WLAN身份验证和数据加密白皮书-携远天成.doc

无线安全技术白皮书 一、概述 由于无线监控采用具有空中开放特性的无线电波作为数据通信媒介，在没有采取必要措施的情况下，任何用户均可截取无线信号进尔窥探未经保护的数据。因此，在无线监控中必须对传输链路采取适当的加密保护手段，以确保通信安全。由此业界各厂商和相关组织相继开发出各种认证和加密方法，本文仅介绍下列普遍采用的认证加密方式。 OPEN+WEP SHARED+WEP IEEE802.1x+WEP WPA-PSK（TKIP or CCMP） WPA2-PSK（TKIP or CCMP） WPA（TKIP or CCMP） WPA2（TKIP or CCMP） 二、OPEN+WEP OPEN+WEP采用空认证和WEP加密，无线终端无需经过验证，即可与相应的无线收发器进行关联。具体过程如下：申请者首先发送一个认证请求到无线收发器，如果无线收发器设置了MAC地址过滤功能，则无线收发器对申请者MAC地址进行核实，否则无线收发器直接通过认证请求，认证成功后申请者会向无线收发器发送关联请求，无线收发器回应关联应答，双方建立关联，然后就可以传递数据了。 OPEN模式关联过程 该模式只对传输数据进行WEP加密，由于目前使用的无线网卡在硬件上均支持WEP加密，因此该模式兼容性较强。 WEP 是IEEE 802.11 标准最初指定的加密算法，既可部署用于认证，也可用于加密。 WEP密钥（为专用加密密钥，简称口令）按长度可分为40位和104位两种，其中在40位口令长度的情况下，需要配置5个ASCII字符（或者10个十六进制字符）；在104位口令长度的情况下，需要配置13个ASCII字符（或者26个十六进制字符）。 在WEP中用来保护数据的RC4加密算法（cipher）属于一种对称性（密钥）流加密算法（stream cipher）。其加密过程需要将初始向量（IV）和口令串接在一起组成用于加密数据包的密钥，其中每个数据包需要选择一个新的IV，但是口令保持不变。 WEP存在严重的安全隐患，因为WEP口令在进行数据传输时是保持不变的，改变的是24位长的IV值，虽然IV有24 位，但IV周期数不会超224），如恶意攻击者在WEP密钥不更新的情况下，连续监听不超包就可以侦测到重复的IV值了，这样就可以通过暴力破解获得WEP 密钥，从而对无线网络产生安全威胁。另外口令（40位或104位）也存在同样的问题，容易被黑客使用数据捕获与分析软件攻破。 三、SHARED+WEP SHARED+WEP采用共享密钥认证和WEP加密，与OPEN+WEP方式相比，只是用户关联过程不同，加密过程完全一致。 在SHARED+WEP方式中，无线终端与相应的无线收发器进行关联时，需提供双方事先约定好的WEP口令，只有在双方的WEP相匹配的情况下，才能关联成功。 具体过程如下：在无线收发器收到认证请求后，无线收发器会随机产生一串字符（challenge值）发送给申请者，申请者采用自己的WEP口令加密该字符串后发回给无线收发器，无线收发器收到后会进行解密，并对解密后的字符串和最初给申请者的字符串进行比较，如果内容准确无误则允许其做后面的关联操作，如果内容不相符，那么将不会允许其接入。 共享认证模式关联过程 四、IEEE 802.1X+WEP IEEE802.1x+WEP基于802.1x身份认证和WEP加密。与上述两种认证加密方式相比，只是用户认证过程不同，加密过程完全一致。 IEEE 802.1x协议起源于802.11，其主要目的是为了解决无线局域网用户的接入认证问题。802.1x 协议又称为基于端口的访问控制协议，可提供对802.11无线局域网和对有线以太网络的验证的网络访问权限。802.1x协议仅仅关注端口的打开与关闭，对于合法用户接入时，打开端口；对于非法用户接入或没有用户接入时，则端口处于关闭状态。 x采用IETF的可扩展身份验证协议（Extensible Authentication Protocol，简称EAP）制定而成。然而EAP只是一个验证框架协议，它只定义了通讯格式、要求与回应、验证成功与失败以及验证方式的类型代码，并不处理验证的细节。EAP将验证的细节处理授权给一个称为EAP method（一组验证用户身份的规则）的附属协议，而EAP本身以“验证方式的类型代码”来指定由那个“EAP method”来完成后续的验证过程。 802.1x/EAP框架 以下描述了利用和RADIUS服务器对进行身份验证的。　　Wi-Fi Protected Access）基于IEEE802.11i草案三制定；WPA2则是基于IEEE802.11i的正式规范制定，相比WPA具有更高的安全性。 根据WiFi联盟的规定，WPA-PSK必须支持基于TKIP（Tem