无线局域网安全与QoS设计概述.ppt

第七章 无线局域网安全与QoS;WLAN安全概述;黑客手段 1.窃听 被动攻击 嗅探 隐蔽性 2.非法登录 主动攻击 更改设置 3.干扰攻击 高功率的微波信号发送器;目前仍在使用的WLAN安全技术有： 物理地址（ MAC ）过滤； 服务区标识符(SSID)匹配； 有线对等保密（WEP）； 端口访问控制技术（IEEE802.1x）； WPA (Wi-Fi Protected Access)； IEEE 802.11i； WAPI等。;可以将这些技术手段整合起来，在不同的场景使用不同级 别的安全策略，例如：;3.WLAN安全漏洞分析;WLAN安全漏洞分析 ;未经授权的接入: 指的是在开放式的WLAN系统中，非指定用户也可以接入AP，导致合法用户可用的带宽减少，并对合法用户的安全产生威胁。;MAC地址欺骗: 对于使用了MAC地址过滤的AP,也可以通过抓取无线包，来获取合法用户的MAC地址，从而通过AP的验证，来非法获取资源。;无线窃听: 对于WLAN来说，所有的数据都是可以监听到的，无线窃听不仅可以窃听到AP和STA的MAC，而且可以在网络间伪装一个AP，来获取STA的身份验证信息。;企业级入侵： 相比传统的有现网络，WLAN更容易成为入侵内网的入口。大多数企业的防火墙都在WLAN系统前方，如果黑客成功的攻破了WLAN系统，则基本认为成功的进入了企业的内网，而有线网络黑客往往找不到合适的接入点，只有从外网进行入侵。;WLAN系统的安全要求;WLAN系统的安全要求;4.WLAN常用安全技术;WLAN常用安全技术;;;;;;;;;;; WPA：WI-FI Protected Access WI-FI访问保护 由于WEP无法为WLAN的安全性做出有效的保障,在802.11i出 台之前,WIFI联盟设计了一套用来完全取代WEP的方案,即WPA(WI- FI Protected Access). WPA主要包含以下的内容: 1.WPA-PSK（Pre-Shared Key） 2.802.1x 这一节讲述WPA主要针对WPA-PSK，802.1x后面有专门的章节 讲述。; WPA-PSK采用的是一种叫做TKIP（Temporal Key Integrity Protocol，临时密钥集成协议）的协议，它的设计完全是在WEP的基础上升级而来，一般都能适用于早期使用WEP的设备。 它对比WEP，做出的改进主要有： 1.加入了密钥管理； 2.每帧生成密钥； 3.序列号计数器； 4.非线形的消息完整性检验。;TKIP封装格式;TKIP完整封包过程;TKIP加密的802.11帧;802.11i 802.11链路安全标准;802.11i的来历和组成部分;802.11i和WPA的关系;CCMP加密;CTR Mode;CTR Mode;CBC-MAC;AES-CCM加密过程;AES-CCM加密过程分解（1）;AES-CCM加密过程分解（1）;AES-CCM加密过程分解（1）;AES-CCM加密过程分解（1）;AES-CCM加密过程分解（1）;AES-CCM加密过程分解（2）;AES-CCM加密过程分解（2）;802.1x 端口访问控制;802.1x简介;802.1x体系结构;802.1x体系结构;802.1x体系结构;EAP的扩展与组成;EAPOL在以太网帧中的位置;典型的STA-AP-RADIUS认证过程;PORTAL WEB认证技术;PORTAL概述;PORTAL的系统组成;PORTAL的认证过程;CHAP认证过程;CHAP认证过程;PAP认证过程;PAP认证过程;PORTAL认证过程中的重定向;中移动PORTAL标准报文格式;中移动PORTAL标准报文格式;中移动PORTAL标准报文格式;中移动PORTAL标准报文格式;中移动PORTAL标准报文格式;中移动PORTAL标准报文格式;中移动PORTAL标准报文格式;WAPI： Wireless LAN Authentication and Privacy Infrastructure 无线局域网鉴别和保密基础结构; WAPI (WLAN Authentication and Privacy Infrastructure)，即无线局域网鉴别与保密基础结构，它是针对IEEE802.11中WEP协议安全问题，在中国无线局域网国家标准 GB15629.11中提出的WLAN安全解决方案。它的主要特点是采用基于公钥密码体系的证书机制，真正实现了移动终端(MT)与无线接入点(AP)间双向鉴别。2006年3月7日，WAPI产业联盟成立大会在北京召开，WAPI产业联盟正式成立。;WAPI认证过程