WLAN一体化安全简析.docVIP

　　WLAN一体化安全简析～教育资源库 　　等安全机制。此外，我国国家标准化组织针对802.11和802.11i 标准中的不足对现有的antin和Adi Shamir公开了对ESH终端中继技术 局域网知识：详解无线（SDU后，ICV和MSDU一起被加密保护。接收者解密报文后，将本地计算的CRC-32结果和ICV进行比较，如果不一致，则可以判定发生了报文篡改。CRC-32算法本身很弱，可以通过bit-flipping attack篡改报文，而让接收者无法察觉。 　　l 密钥管理不支持动态协商，密钥只能静态配置，完全不适合企业等大规模部署场景。 　　2. IEEE 802.11i标准 　　IEEE 802.11i工作组针对802.11标准的安全缺陷，进行了如下改进： 　　l 认证基于成熟的802.1x、Radius体系; 　　l 数据加密采用TKIP和AES-CCM; 　　l 完整性校验采用Michael和CBC算法; 　　l 基于4次握手过程实现了密钥的动态协商。 　　下面对802.1x、TKIP和AES-CCM等技术进行更详细的介绍。 　　802.1x接入认证 　　IEEE802.1x体系包括如下三个实体： 　　图1 802.1x体系架构 　　l 客户端(Supplicant)：接收认证的客户端，如WLAN终端(STA)。 　　l 认证系统(Authenticator)：在无线网络中就是无线接入点AP或者具有无线接入点AP功能的通信设备。其主要作用是完成用户认证信息(802.1x报文)在客户端和认证服务器之间的传递，控制用户是否可以接入到网络中。 　　l 认证服务器(Authentication Server)：检验客户端的身份是否合法，通知认证系统是否可以让客户端接入。一般普遍采用Radius作为认证服务器。 　　IEEE 802.1x并不是专为WLAN设计的，它已经在有线网络中被广泛应用。重用这个成熟的认证体系，确保了WLAN安全建立在了一个成熟的基础之上，实现了有线和无线共用认证体系。为了适应WLAN的特点，IEEE 802.11i对IEEE 802.1x进行了增强补充，包括支持EAPOL-Key的协商过程等，以帮助完成设备端和客户端进行动态密钥协商和管理。 编缉推荐阅读以下文章 无线应用：WLAN的企业级应用翩翩起舞 检测WLAN性能中的WIDS应用 驯服WLAN：推动更好的Wi-Fi性能机制 如何建大规模VoWLAN WLAN中的安全机制简述 非常规WLAN无缝覆盖技术 12345下一页 友情提醒：，特别！MESH终端中继技术 局域网知识：详解无线（K。此外，为了确保兼顾漫游的安全和快速性，802.11i还定义了key cache和预认证机制。 　　IEEE 802.11i 4次握手 　　无论是AES还是TKIP加密，密钥的动态协商是在aster key，基于后者可以计算出PMK。由于PMK只被K传递给IC)、具有序列功能的初始向量和密钥生成和定期更新功能四种算法，极大地提高了加密安全强度。此外，基于4 次握手所提供的会话密钥动态协商，更提高了安全性。 　　虽然TKIP针对ESH终端中继技术 局域网知识：详解无线（P加密 　　CCMP提供了加密、认证、完整性和重放保护。CCMP是基于CCM方式的，该方式使用了AES(Advanced Encryption Standard)加密算法，结合了用于加密的Counter Mode(CTR)和用于认证和完整性的加密块链接消息认证码(CBC-MAC)，保护MPDU数据和IEEE 802.11 MPDU帧头部分域的完整性。AES是一种对称的块加密技术，提供比目前是IEEE 802.11工作组在无线加密方面的终极方案。 　　3. 中国ESH终端中继技术 局域网知识：详解无线（WLAN）技术 构建WLAN的几点技术探讨 S4算法; 　　l 完整性校验采用了SMS4算法; 　　l 基于3次握手过程完成单播密钥协商，两次握手过程完成组播密钥协商。 　　无线入侵检测系统 　　前面介绍的安全标准都是一种被动的安全机制，即通过提高系统自身对威胁的免疫力来抵御进攻。事实上，对于DOS攻击这些攻击模式，这些安全手段是无能为力的。需要一种手段来帮助网络管理者能够主动地发现网络中的隐患，在第一时间对无线攻击者进行主动防御和反攻击。这种技术就是无线入侵检测系统。 　　它的基本原理是在网络中部署一些AP并配置它们工作在监听模式，捕捉空间中传播的无线报文。通过对这些报文的特征进行分析，识别出特