WLAN安全技术介绍-D.docx

， ， WLAN安全技术介绍 技术介绍WLAN目 录 技术介绍 WLAN 目 录 i i 目 录 WLAN安全 1 WLAN安全概述 1 链路认证方式 1 WLAN服务的数据安全 2 用户接入认证 4 WLAN安全策略 6 技术介绍WLANWLAN 技术介绍 WLAN WLAN 安全 PAGE PAGE 1 WLAN 安全 WLAN 安全概述 WLAN 具有安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点， 但是由于无线局域网信道开放的特点，使攻击者能够很容易的进行窃听，恶意修改， 因此安全性成为阻碍无线局域网发展的最重要因素。 802.11 协议提供的无线安全性能可以很好地抵御一般性网络攻击，但是仍有少数黑客能够入侵无线网络，从而无法充分保护包含敏感数据的网络。为了更好的防止未授权用户接入网络，需要实施一种性能高于 802.11 的高级安全机制。 H3C 的WLAN 安全完全实现了IEEE802.11 协议以及WPA 规定的服务的安全标准， 而且可以配合的端口安全特性使用，提供更安全的接入保护、更灵活的服务应用组合以适应各种网络需要。 AC 和 FAT AP 支持本文所介绍的所有 WLAN 安全技术，为方便描述，这里以 AC 为例。 链路认证方式 开放系统认证（Open system authentication） 开放系统认证是缺省使用的认证机制，也是最简单的认证算法，即不认证。如果认证类型设置为开放系统认证，则所有请求认证的客户端都会通过认证。开放系统认证包括两个步骤：第一步是请求认证，第二步是返回认证结果。 Client AP Authentication request Authentication request Authentication response 图1 开放系统认证过程 共享密钥认证（Shared key authentication） 共享密钥认证是除开放系统认证以外的另外一种认证机制。共享密钥认证需要客户端和设备端配置相同的共享密钥。 共享密钥认证的认证过程为：客户端先向设备发送认证请求，无线设备端会随机产生一个 Challenge 包（即一个字符串）发送给客户端；客户端会将接收到字符串拷贝到新的消息中，用密钥加密后再发送给无线设备端；无线设备端接收到该消息后， 用密钥将该消息解密，然后对解密后的字符串和最初给客户端的字符串进行比较。如果相同，则说明客户端拥有无线设备端相同的共享密钥，即通过了 Shared Key 认证；否则 Shared Key 认证失败。 Client AP Authentication Request Authentication Response（Challenge Authentication（Encrypted Challenge Authentication Response（Success ）））图2 共享密钥认证过程 ） ） ） WLAN 服务的数据安全 相对于有线网络，WLAN 存在着与生俱来的数据安全问题。在一个区域内的所有的WLAN 设备共享一个传输媒介，任何一个设备可以接收到其他所有设备的数据，这个特性直接威胁到 WLAN 接入数据的安全。 802.11 协议也在致力于解决 WLAN 的安全问题，主要的方法为对数据报文进行加密，保证只有特定的设备可以对接收到的报文成功解密。其他的设备虽然可以接收到数据报文，但是由于没有对应的密钥，无法对数据报文解密，从而实现了 WLAN 数据的安全性保护。目前支持四种安全服务。 明文数据 该种服务本质上为无安全保护的WLAN 服务，所有的数据报文都没有通过加密处理。 WEP 加密 WEP（Wired Equivalent Privacy，有线等效加密）用来保护无线局域网中的授权用户所交换的数据的机密性，防止这些数据被随机窃听。WEP 使用 RC4 加密算法来保证数据的保密性，通过共享密钥来实现认证，理论上增加了网络侦听，会话截获等的攻击难度，虽然 WEP104 在一定程度上提高了 WEP 加密的安全性，但是受到 RC4 加密算法、过短的初始向量和静态配置密钥的限制，WEP 加密还是存在比较大的安全隐患。 WEP 加密方式可以分别和 Open system、Shared key 链路认证方式使用。 采用 Open system authentication 方式：此时 WEP 密钥只做加密，即使密钥配的不一致，用户也是可以上线，但上线后传输的数据会因为密钥不一致被接收端丢弃。 采用 Shared key authentication 方式：此时如果双方密钥不一致，客户端就不能通过 Shared key 认证，无法上线。也就是说，当 WEP 和 Share