第10讲无线局域网的安全汇总.pptVIP

针对802.11标准存在的安全缺陷（数据报文的安全性）。为了满足企业等应用，各标准组织对它进行了标准完善。 802.11无线局域网目前的安全标准主要有两大发展主流： 中国WAPI(WLAN Authentication and Privacy Infrastructure) 标准 IEEE 802.11i 标准 两大技术标准综合使用了多种安全技术，实现了用户认证，数据完整性，用户数据加密保护，key管理，用户会话密钥的动态协商等功能。 TKIP 协议最后为高级加密标准（AES）所取代。 * 临时密钥完整性协议（TKIP，Temporal Key Integrity Protocol)：是一种加密方法.TKIP提供结合信息完整性检查和重新按键机制的信息包密钥. 密钥管理： 使用802.1X认证服务器给每个用户分配不同的密钥. * 每个站点使用不同的密钥来加密发送的数据。 TKIP在一段设置的密钥生存时间后，管理这些密钥在所有站点的升级和分配，根据安全要求不同，可以从每个包一次到每10 000个包一次不等。 * * TLS：传输层安全 * 高级加密标准：是由比利时密码专家Joan Daemen 和Vincent Rijmen开发的一种密码，经过四年的筛选，在2001年11月被美国国家标准和技术协会(National Institute of Standards and Technology, NIST)采用为加密标准。 在2003年6月，美国政府授权AES用来保护包括最高机密信息在内的保密信息，前提是使用长度为192或256比特的密钥。 * RTS域值：0-2347: 0:AP总发RTS信号 2347：AP永远不发RTS信号 其他值：包长该值，则启用RTS机制，AP通过CTS通知其他站点推迟发送。 IAPP协议（Inter-Access Point Protocol）接入点互操作协议，对应802.11f，目标是改善WLAN的切换机制，使不同的用户在交换分区间或接入设备间漫游，使WLAN能提供与移动通信网同样的移动性。 * * TKIP密钥混合和加密过程 临时密钥 发射机的 MAC地址 短语1 密钥混合 WEP IV 每包密钥 PC4 密钥 TKIP序 列计数器 WEP 封装 加密 MPDU MIC密钥 源地址 目的地址 MSDU明文 MIC 分段 尽管使用相同的RC4密码来产生密钥流，但是用TKIP的密钥混合和分配方法来代替WEP中的只有一个静态密钥，使得每个站点使用不同的密钥来加密发送的数据，这显著地改善了WLAN的安全性。 该方法能从280 000 000 000个可能的密钥中动态变化选择。 TKIP(暂时密匙完整性协议) 第8章 无线局域网安全 黑客威胁 WLAN安全 有线等效加密 Wi-Fi保护接入 IEEE 802.11i和WPA2 WLAN 安全措施 IEEE802.11i和WPA2 TKIP 是 WPA 的核心组件，设计初衷是为对现有 WEP 设备进行固件升级。因此， WPA 必须重复利用 WEP 系统中的某些元素，最终也被黑客利用。 WPA2 （Wi-Fi Protected Access2，无线保护接入2）于2006年正式取代WPA 。WPA2 ： 强制使用 AES 算法和引入 CCMP （计数器模式密码块链消息完整码协议）替代 TKIP 。 WPA2和IEEE 802.11i的关系： WPA2是WiFi联盟对IEEE802.11i标准终稿的实现。 IEEE802.11i的框架结构 通过EAP-TLS等认证方法对用户进行认证 用户认证 接入控制 802.11i密钥管理及加密 通过802.1x控制用户的接入 802.11i实现用户会话key的动态协商 用AES、CCMP算法实现数据的加密 为了增强WLAN的数据加密和认证性能，定义了RSN（Robust Security Network）的概念，并且针对WEP加密机制的各种缺陷做了多方面的改进 。 IEEE802.11i和WPA2 IEEE 802.11i解决了以下问题： 密钥协商：在设备链接期间每个选择的通信类型都有通过密钥协商拥有合适的机密性协议；安全参数协商后，在客户站和AP之间需利用IEEE802.1x或PSK进行相互认证。 密钥分发和管理：在设备链接和认证时，通过EAP握手可以生成和管理两个层次的密钥。 密钥对：用来保护客户站和AP之间的单播消息 。 群密钥：用来保护从接入点AP到它的BSS中的所有站点的多播或广播消息。 更安全的加密：AES-CCMP。 AES-CCMP AES-CCMP（Advanced Encryption Standard - Counter with Cipher lock chain