3.模块6无线客户端的认证方法.pptxVIP

无线客户端的认证方法

antneT问题引入支持无线网络的认证方法有很多支持802.11标准客户端的认证方法只有开放式认证和共享秘钥认证两种#worklikeanetwork

antneT开放式认证开放式认证是一种不进行任何类型客户端认证的身份认证本质上就是客户端和AP之间进行了一些hello包的交互一般在公共场所才使用开放式认证#worklikeanetwork

共享秘钥认证是802.11定义的另外一种认证方法即无线等效私密性WEPWEP使用RC4密码算法来保证每个无线网络数据帧的私密性

共享秘钥认证WEP除了可以作为加密工具外，还可以作为可选的认证方法认证包含如图所示的4个过程

共享秘钥认证WEP密钥长度可以是40b或104b，分别对应10个或26个十六进制数字字符串根，如图6-20所示。

共享秘钥认证大家可能会认为，既然替换脆弱或有缺陷的安全方法的需求如此明确，那么就应该很快地替换掉WEP，但事实并非如此，WEP的替换花费了很多年的时间。

Thasbecomeagiantnetwork.问题引入WEP存在IV空间较小，RC4弱密钥，CRC-32（消息篡改），单向认证（中间人），无抗重放机制等诸多问题迫切需要制定新的认证方法

Thasbecomeagiantnetwork.802.1X认证802.1X是一种基于端口的局域网接入控制协议，主要解决无线局域网用户的接入验证问题802.1X认证的最终目的就是确定一个端口是否可用

802.1X客户端认证角色采用C/S（Client/Server）体系结构，包括三个实体是WLAN的一种增强型的网络安全解决方案认证服务器申请者认证者EAPOL帧

EAP协议802.1X本身不是一个完整的认证机制，而是一个通用架构802.1X体系使用可扩展认证协议EAPEAP的封包格式如图所示

EAP协议的类型可扩展性能够在有新的需求浮现时开发新的功能802.11i没有规定上层协议，流行的上层协议认证协议有四种导致不同的运营商或者企业使用不同的EAP

WLAN中802.1X认证过程①用户要求接入，AP防止网络接入②加密的证明材料被发送给验证服务器③验证服务器验证用户并给予接入权④AP端口被启动，动态WEP密钥被分配给客户（加密）⑤无线客户端现在可以安全地访问普通的网络服务了CiscoLEAP与EAP-TLS在每次（重新）验证时均会生成一个WEP会话密钥新的密钥基于用户信息与会话信息RADIUS选项27提供了会话超时设置

MAC地址认证MAC地址认证是一种基于端口的对用户的网络访问权限进行控制的方法MAC认证不建议单独使用可与Radius服务器结合实现MAC地址认证

课题引入连接SSID后，打开网页会弹出Web认证页面，输入用户名密码，通过认证后才可以上网Web认证通常与开放式无线网络一起使用，通常只用于非关键性的网络中Portal认证体系包含三个组件：认证服务器，接入服务器和Web

Portal认证流程

WAPI无线局域网鉴别与保密基础结构WAPI，针对WEP协议安全问题，是中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案本方案已由ISO/IEC授权的机构IEEE注册权威机构审查并获得认可，分配了用于WAPI协议的以太类型字段是我国目前在该领域惟一获得批准的协议。

WAPIAP有独立身份，在三个元两条路上做双向认证鉴别器实体AE：为鉴别请求者在接入服务前提供鉴别的实体，驻留在AP中鉴别请求者实体ASUE：需通过鉴别服务单元进行鉴别的实体，驻留在STA中鉴别服务实体ASE：为鉴别器和鉴别请求提供相互鉴别的实体，驻留在ASU中

WAPI鉴别流程AP为提供无线接入服务的WLAN设备鉴别服务器主要帮助无线客户端和无线设备进行身份认证AAA服务器主要提供计费服务

WLAN安全小结不同的应用场景使用不同级别的WLAN安全措施可以根据没有安全、基本安全、增强安全等种安全措施，选择相应的组合方案没有WEP采用广播模式公共接入开放的接入40位和104位

静态密钥（WEP)SOHO基本的安全性动态密钥管理

开放的802.1X/EAP标准验证

TKIP、MIC、AES中型、大型企业增强的安全性

P