信息通信网PPT(modify).pptVIP

WLAN安全性分析----IEEE 802.11i 标准 安全问题的缘由 WLAN但由于无线信道开放性，任何位于无线传输覆盖范围内的站点STA都能接收到无线信号，从而使窃听、篡改传输数据成为可能 研究可靠的数据安全解决方案，先后出现了多个数据安全保障协议，有WEP、WPA、WAPI，包括最新的IEEE 802.11i，这些算法都是在链路层对数据进行加密 WEP协议 WEP (Wired Equivalent Privacy，有线等价保密协议） 通过HUB或是接入点传递加密数据，使用RC4对称加密算法，密钥长度为40位（后来增加到128位） 提供了认证机制 AP就会向STA发出一个质询报文，STA再利用共享密钥将此报文加密后送回AP以进行确认，建立关联 WEP协议的缺憾 依靠一个简单的安全协议，不足以说服每一个人都去尝试无线局域网 不仅WEP协议本身存在安全漏洞，RC4算法从根本上存在着重大漏洞，只需15分钟即可破解WEP密码 WEP缺少对突发性用户增长的验证，在核心管理能力、扩展性方面也不是很方便。 目前WEP协议已经退出WLAN 市场 WPA协议 WPA (Wi-Fi Protected Access，无线保护访问 ） 是Wi-Fi Alliance的临时标准，比WEP的密钥更具安全性和保护性，全新的方式限制用户访问无线局域网 两个开发目标：提高密码强度、增加用户认证功能 采用TKIP（Temporal Key Integrity Protocol）提高安全强度。使用48位初始化向量，可以增加密钥的数量，能够满足动态增长的用户需求 通过802.1x和扩展校验协议，能够为企业级用户提供认证检验 WPA协议的缺憾 WPA协议使用了802.11i标准草案中部分已经能够投放市场的成熟技术。但并没有包含草案中尚未完全确定的高强度数据保密技术 WPA的用户所进行的认证管理也是在WEP基础上进行的，所以它只能够缓解那些针对WEP存在安全不足的指责，而不能够从根本上消除 IEEE 802.11i标准 2004年6月24日由IEEE-SA的标准委员会发布 结合IEEE802.1x中的用户端口身份验证和设备验证，对WLAN MAC层进行修改与整合,定义了严格的加密格式和鉴权机制，以改善WLAN的安全性 重大技术突破：强健安全网络(RSN) 修订标准：Wi-Fi保护访问（WPA)技术 IEEE 802.11i安全框架 两种安全框架 ：RSN and pre-RSN RSNA： depend on 802.1X to transport its authentication services and deliver key management services RSN： A network that only allows RSNA in associations with RSN-capable equipments pre-RSN： A network that allows pre-RSNA associations between stations RSNA和pre-RSNA的主要差别：四次握手 RSN 协议体系示意图 RSN 对网络的认证和加密都做出了严格要求 把网络访问控制分为两部分：策略决策点和策略执行点 两个策略决策点分别位于移动站点STA内和认证服务器AS内 两个策略执行点分别位于STA和AP内，策略执行点负责安全决策的执行，通信密钥的生成和更新，并为用户提供安全的通信环境 802.11i工作过程 分为三个阶段（如上图） 首先，AS和STA协商用于认证和加密的安全策略，并根据选定的方案进行双向认证 其次，两个策略决策点分别计算出对等主密钥(PMK)，并分发到策略执行点 最后，由策略执行点利用PMK，通过一个密钥协商过程，获得具体通信过程所需的一组密钥 结果：STA和AP之间建立一个保密的信道，进行组密钥的分发或TK的更新，进行用户数据的传送 IEEE 802.11i的基本组成 三个主要组成部分 网络认证与授权 密钥生成与管理 数据加密机制 RSN的技术改进 认证改进：引进802.1X中的port和认证服务器 加密改进：CCMP/AES以及过渡算法TKIP 密钥管理和生成：手工与自动的密钥管理机制 网络认证与授权 对网络的认证和授权提出了很高的安全要求 并没有重新设计自己的认证协议, 采用802.1x定义的访问控制机制 802.1X port表示两个对等体之间的关联，它们之间一一对应 AS可以跟AP集成也可单独放置，它们之间通过TLS或IPsec等建立安全隧道 必须使用EAP进行双向认证，满足该条件的只有EAP-TLS 由STA和AP分别充当请求者和认证者 AS可以与AP配置在一起，也可以单独设立，一个AS可以为多个