第1章_第3讲无线局域网络安全.pptVIP

1.3 无线局域网安全;一、无线局域网发展中面临的问题;3、无线局域网的安全问题;二、无线局域网的安全问题;（2）完整性 要求在无线局域网中存储和传输的各种类信息数据的精确性和可 靠性，防止信息的丢失和被恶意篡改 。;（5）不可否认性 不可否认性也叫不可抵赖性，是防止发送放或者接受方抵赖所传输信息的一种安全服务。当接受方收到一条消息后，能够提供足够的证据想第三方证明这个信息的确来自某个发送方。;（二）无线局域网的安全威胁与风险;4、篡改信息 当非授权用户访问系统资源时会篡改信息，从而破坏信息的完整性。;7，网络泛洪 当入侵者发送大量的无关的消息时，会发生网络泛洪，从而使得系统忙于处理伪造的消息而耗尽资源或者使信道无法使用，进而无法对合法用户提供服务。;三、安全业务;（4）完整性业务 完整性业务能够检测消息是否保持原样，防止消息被恶意或者偶然的修改或者丢失。完整性业务有以下3种形式：1，部分域完整性；2，整体消息的完整性；3，会话完整性;（7）访问控制 访问控制是指对无线局域网中的服务和资源进行权限分配。在网络层，访问控制保证只有受权方才能与无线服务器建立会话。在应层，访问控制保证只有受权实体才能与网络建立关联，访问系统资源。;四、无线局域网安全研究现状;2. 物理地址过滤 每个无线工作站的网卡都有唯一的物理地址，应用媒体访问控制（MAC）技术，可在无线局域网的每一个AP设置一个许可接入的用户的MAC地址清单，MAC地址不在清单中的用户，接入点将拒绝其接入请求。但媒体访问控制只适合于小型网络规模。这是因为： MAC地址在网上是明码模式传送，只要监听网络便可从中截取或盗用该MAC地址，进而伪装使用者潜入企业或组织内部偷取机密资料。 部分无线网卡允许通过软件来更改其MAC地址，可通过编程将想用的地址写入网卡就可以冒充这个合法的MAC地址，因此可通过访问控制的检查而获取访问受保护网络的权限。 媒体访问控制属于硬件认证，而不是用户认证。;3. 有线对等保密 有线等效保密（WEP）是常见的资料加密措施，WEP安全技术源自于名为RC4的RSA数??加密技术，以满足用户更高层次的网络安全需求。在链路层采用RC4对称加密技术，当用户的加密密钥与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。 WEP的工作原理是通过一组40位或128位的密钥作为认证口令，当WEP功能启动时，每台工作站都使用这个密钥，将准备传输的资料加密运算形成新的资料，并透过无线电波传送，另一工作站在接收到资料时，也利用同一组密钥来确认资料并做解码动作，以获得原始资料。 ;WEP目的是向无线局域网提供与有线网络相同级别的安全保护，它用于保障无线通信信号的安全，即保密性和完整性。但WEP提供了40位长度的密钥机制存在许多缺陷，表现在： 40位的密钥现在很容易破解。 密钥是手工输入与维护，更换密钥费时和困难，密钥通常长时间使用而很少更换，若一个用户丢失密钥，则将危及到整个网络。 WEP标准支持每个信息包的加密功能，但不支持对每个信息包的验证。 现在针对WEP的不足之处，对WEP加以扩展，提出了动态安全链路技术（DSL）。DSL采用了128 位动态分配的密钥，每一个会话都自动生成一把密钥，并且在同一个会话期间，对于每256个数据包，密钥将自动改变一次。 ;4. Wi-Fi保护接入 Wi-Fi保护性接入（WPA）是继承了WEP基本原理而又解决了WEP缺点的一种新技术。其原理为根据通用密钥，配合表示电脑MAC地址和分组信息顺序号的编号，分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用RC4加密处理。通过这种处理，所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。WPA还具有防止数据中途被篡改的功能和认证功能。 WPA标准采用了TKIP、EAP和802.1X等技术，在保持Wi-Fi认证产品硬件可用性的基础上，解决802.11在数据加密、接入认证和密钥管理等方面存在的缺陷。 ;5. 国家标准WAPI 国家标准WAPI（WAPI），即无线局域网鉴别与保密基础结构，它是针对IEEE802.11中WEP协议安全问题，在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。WAPI采用公开密钥体制的椭圆曲线密码算法和对称密钥密码体制的分组密码算法，分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。 WAPI的主要特点是采用基于公钥密码体系的证书机制，真正实现了移动终端（MT）与无线接入点（AP）间双向鉴别。另外，它充分考虑了市场应用，从应用模式上可分为单点式