《無(wú)線加密方式》PPT課件

無(wú)線安全機(jī)制 目錄 概訴無(wú)線局域網(wǎng)加密認(rèn)證方式2 1WEP加密2 2WPA 802 1X加密2 3WPA2加密2 4三大加密對(duì)比三 其他加密3 1WAPI加密認(rèn)證 一 概訴 無(wú)線局域網(wǎng) WirelessLocalAreaNetwork 簡(jiǎn)稱 WLAN 利用無(wú)線射頻 RF 電波作為信息傳輸?shù)拿浇闃?gòu)成的局部無(wú)線網(wǎng)路 與有限局域網(wǎng)的用途十分類似 最大的不同在于傳輸媒介的不同 它利用無(wú)線電技術(shù)取代網(wǎng)線 可以和有限網(wǎng)絡(luò)互為備份 wlan技術(shù)現(xiàn)在正在廣泛被應(yīng)用 具有傳統(tǒng)局域網(wǎng)無(wú)法比擬的靈活性通信范圍不受環(huán)境條件的限制用戶能夠更方便 靈活 快捷的訪問(wèn)網(wǎng)絡(luò)資源隨著無(wú)線局域網(wǎng)技術(shù)和應(yīng)用的進(jìn)一步發(fā)展 無(wú)線局域網(wǎng)正逐漸從傳統(tǒng)意義上的局域網(wǎng)技術(shù)發(fā)展成為 公共無(wú)線局域網(wǎng) 已成為INTERNET寬帶接入的重要手段 盡管無(wú)線局域網(wǎng)路技術(shù)解決了很多傳統(tǒng)有線網(wǎng)絡(luò)存在的問(wèn)題 同時(shí) 他也帶來(lái)了新的安全問(wèn)題 無(wú)線局域網(wǎng)技術(shù)最大的弱點(diǎn)就是其安全性 其安全問(wèn)題使諸多企業(yè)望而卻步 成為WLAN市場(chǎng)拓展的絆腳石 無(wú)局域網(wǎng)不同于傳統(tǒng)的網(wǎng)絡(luò) 有線網(wǎng)絡(luò)本身的物理線鏈路就是一種訪問(wèn)控制 用戶必須通過(guò)線纜或光纖連接到網(wǎng)絡(luò)上才能實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的訪問(wèn) 而無(wú)線網(wǎng)絡(luò)的信息的傳輸載體是無(wú)線電波就使其無(wú)法像傳統(tǒng)網(wǎng)絡(luò)那樣可以實(shí)現(xiàn)物理上的隔離來(lái)保障整個(gè)局域網(wǎng)的信息安全 因此 無(wú)線局域網(wǎng)較之傳統(tǒng)的網(wǎng)絡(luò) 存在更多的安全隱患 如何解決其存在的安全問(wèn)題 直接關(guān)系到無(wú)線網(wǎng)絡(luò)技術(shù)的發(fā)展 二 無(wú)線局域網(wǎng)加密方式 無(wú)線局域網(wǎng)的三大加密技術(shù) WEP WiredEquivalentPrivacy 加密技術(shù)IEEE802 11b標(biāo)準(zhǔn)規(guī)定了一種稱為有線等效保密的加密方案 WEP利用一個(gè)對(duì)稱的方案 在數(shù)據(jù)的加密和解密過(guò)程中使用相同的密鑰和算法WPA Wi FiProtectedAccess 加密技術(shù)具有WPA和WPA2兩個(gè)標(biāo)準(zhǔn) 是一種保護(hù)無(wú)線電腦網(wǎng)路 Wi Fi 安全的系統(tǒng)WPA2加密技術(shù)WPA2是WiFi聯(lián)盟驗(yàn)證過(guò)的IEEE802 11i標(biāo)準(zhǔn)的認(rèn)證形式 實(shí)現(xiàn)了802 11i的強(qiáng)制性元素 特別是Michael算法被公認(rèn)徹底安全的CCMP 計(jì)數(shù)器模式密碼塊鏈消息完整碼協(xié)議 訊息認(rèn)證碼所取代 而RC4加密算法也被AES所取代 其他加密方式 IEEE802 1X是一種為燒保護(hù)網(wǎng)路提供認(rèn)證 控制用戶通信以及動(dòng)態(tài)密鑰分配等服務(wù)的有效機(jī)制 將8021x協(xié)議和windows活動(dòng)目錄技術(shù)相結(jié)合 可以實(shí)現(xiàn)只有通過(guò)內(nèi)部域用戶驗(yàn)證的計(jì)算機(jī)才能正常連入公司交換機(jī)進(jìn)行通訊 否則其接入端口數(shù)據(jù)將被阻隔WAPIWAPI是WLANAuthenticationandPrivacyInfrastructure 無(wú)線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu) 的簡(jiǎn)稱 是中國(guó)提出的 以802 11無(wú)線協(xié)議為基礎(chǔ)的無(wú)線安全標(biāo)準(zhǔn) 2 1WEP加密 1 定義及應(yīng)用全稱 有線等效協(xié)議 是為了保證802 11b協(xié)議數(shù)據(jù)傳輸?shù)陌踩远瞥龅陌踩珔f(xié)議 該協(xié)議可以通過(guò)對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密 以保證無(wú)線局域網(wǎng)中數(shù)據(jù)傳輸?shù)陌踩?在無(wú)線局域網(wǎng)中 要使用WEP協(xié)議 無(wú)線AP首先要啟用WEP功能 并創(chuàng)建密鑰 然后在每個(gè)無(wú)線客戶端啟用WEP 并輸入該密鑰 這樣就可以保證安全連接 2 WEP加密方式全稱為有線對(duì)等保密 是一種數(shù)據(jù)加密算法 用于提供等同于有線局域網(wǎng)的保護(hù)能力 使用該技術(shù)的無(wú)線局域網(wǎng) 所有客戶端與無(wú)線接入點(diǎn)的數(shù)據(jù)都會(huì)以一個(gè)共享的密鑰進(jìn)行加密 密鑰越長(zhǎng) 就需要更多的時(shí)間去破解 因此能夠提供更好的安全保護(hù) WEP安全技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù) 在無(wú)線網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)是使用一個(gè)隨機(jī)產(chǎn)生的密鑰來(lái)加密的 RC4 RC4函數(shù) 加密 解密 對(duì)于RC4來(lái)說(shuō) RC4只有加密 將密文再加密一次 就是解密了 RC4加密算法WEP支持64位和128位加密對(duì)于64位加密 加密密鑰為10個(gè)十六進(jìn)制字符 0 9和A FA 或5個(gè)ASCII字符 對(duì)于128位加密 加密密鑰為26個(gè)十六進(jìn)制字符或13個(gè)ASCII字符 WEP依賴通信雙方共享的密鑰來(lái)保護(hù)所傳的加密數(shù)據(jù)幀 加密過(guò)程1 計(jì)算校驗(yàn)和對(duì)輸入數(shù)據(jù)進(jìn)行完整性校驗(yàn)和計(jì)算把輸入數(shù)據(jù)和計(jì)算得到的校驗(yàn)和組合起來(lái)得到新的加密數(shù)據(jù) 也稱之為明文 用于下一步密過(guò)程的輸入2 加密在這個(gè)過(guò)程中 將第一步得到的數(shù)據(jù)明文采用完整性算法加密 對(duì)明文加密有兩層含義明文數(shù)據(jù)的加密保護(hù)未經(jīng)認(rèn)證的數(shù)據(jù)將24位的初始化向量和40位的密鑰連接進(jìn)行校驗(yàn)和計(jì)算 得到64位的數(shù)據(jù)將這64位的數(shù)據(jù)輸入到虛擬隨機(jī)數(shù)產(chǎn)生器中 對(duì)初始化向量和密鑰的校驗(yàn)和計(jì)算值進(jìn)行加密計(jì)算進(jìn)過(guò)校驗(yàn)和計(jì)算的明文與虛擬隨機(jī)數(shù)產(chǎn)生器的輸出密鑰進(jìn)行按位異或運(yùn)算得到加密后的信息 即密文傳輸將初始化向量和密鑰串聯(lián)起來(lái) 得到要傳輸?shù)募用軘?shù)據(jù)幀 在無(wú)線鏈路上傳輸 RC4優(yōu)點(diǎn) 速度快缺點(diǎn) 需要事先將秘密的傳輸密鑰 WEP加密過(guò)程圖解 3 WEP總結(jié) 無(wú)線網(wǎng)絡(luò)中已經(jīng)存在好幾種加密技術(shù) 最常用的事WEP和WAP兩種加密方式 雖然WEP可以阻止窺探者進(jìn)入無(wú)線網(wǎng)絡(luò) 由于密文需要通過(guò)無(wú)線傳輸 WEP破解起來(lái)非常容易 就像一把鎖在門(mén)上的朔料鎖 由于WEP的安全性低 催生了一個(gè)更安全的無(wú)線網(wǎng)絡(luò)加密方式 WAP的誕生WAP Wi FiProtectedAccess 是WEP的增強(qiáng)產(chǎn)品 WPA是繼承了WEP基本原理又解決了WEP缺點(diǎn)的一項(xiàng)新技術(shù) 2 2WPA加密 定義WPA Wi FiProtectedAccess 網(wǎng)絡(luò)安全存取WPA是一種基于標(biāo)準(zhǔn)的可互大大增強(qiáng)數(shù)據(jù)保護(hù)和訪問(wèn)控制水平 WPA源于正在制定中的IEEE802 11i標(biāo)準(zhǔn)并保持向前兼容 WPA的資料是以一把128位元的鑰匙和一個(gè)48位元的初向量 IV 的RC4streamcipher來(lái)加密 除了認(rèn)證跟加密外 WPA對(duì)于所載資料的完整性也提供了巨大的改進(jìn) WEP所使用的CRC 循環(huán)冗余校驗(yàn) 先天就不安全 在不知道WEP鑰匙的情況下 要篡改所載資料和對(duì)應(yīng)的CRC是可能的 而WPA使用了稱為 Michael 的更安全的訊息認(rèn)證碼 在WPA中叫做訊息完整性查核 MIC 進(jìn)一步地 WPA使用的MIC包含了幀計(jì)數(shù)器 以避免WEP的另一個(gè)弱點(diǎn) replayattack 回放攻擊 的利用 由于WEP已經(jīng)證明的不安全性 在802 11i協(xié)議完善之前 采用WPA為用戶提供一個(gè)臨時(shí)性的解決方案 該標(biāo)準(zhǔn)的數(shù)據(jù)加密采用TKIP協(xié)議 TemporaryKeyIntegrityProtocol 認(rèn)證有兩種模式可供選擇 一種是使用802 1x協(xié)議進(jìn)行認(rèn)證 WPA企業(yè)版 一種是稱為預(yù)先共享密鑰PSK Pre SharedKey 模式 WPA個(gè)人版 TKIP TemporalKeyIntegrityProtocol 臨時(shí)密鑰完整性協(xié)議 TKIP是包裹在已有的WEP密碼外圍的一層 外殼 TKIP使用WEP同樣的加密引擎和EC4算法 但是TKIP中密碼使用的密鑰長(zhǎng)度是128位 解決了WEP密鑰短的問(wèn)題TKIP另一個(gè)重要特性就是變化每個(gè)數(shù)據(jù)包所使用的密鑰 這就是它名稱中 動(dòng)態(tài) 的出處 密鑰通過(guò)將多種因素混合在一起生成 包括基本密鑰 即TKIP中所謂的成對(duì)瞬時(shí)密鑰 發(fā)射站的MAC地址以及數(shù)據(jù)包的序列號(hào) 混合操作在設(shè)計(jì)上將對(duì)無(wú)線站和接入點(diǎn)的要求減少到最低程度 但仍具有足夠的密碼強(qiáng)度 使它不能被輕易破譯 WEP的另一個(gè)缺點(diǎn)就是 重放攻擊 replayattacks 而利用TKIP傳送的每一個(gè)數(shù)據(jù)包都具有獨(dú)有的48位序列號(hào) 由于48位序列號(hào)需要數(shù)千年時(shí)間才會(huì)出現(xiàn)重復(fù) 因此沒(méi)有人可以重放來(lái)自無(wú)線連接的老數(shù)據(jù)包 由于序列號(hào)不正確 這些數(shù)據(jù)包將作為失序包被檢測(cè)出來(lái) 802 1x協(xié)議認(rèn)證 1 在了解802 1x協(xié)議認(rèn)證之前 先了解一下術(shù)語(yǔ) RADIUS RemoteAuthenticationDialInUserService遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng) 可以簡(jiǎn)單將其理解成一個(gè)存儲(chǔ)有用戶的用戶名密碼的服務(wù)器 能夠?qū)σ恍┎樵冞M(jìn)行響應(yīng) 從而得知用戶是否合法 EAP ExtentionalAuthenticationProtocol可擴(kuò)展的認(rèn)證協(xié)議 這是一個(gè)能夠?yàn)闆](méi)有接入網(wǎng)絡(luò)的設(shè)備提供認(rèn)證及網(wǎng)絡(luò)接入的服務(wù) 工作于OSI七層模型中的數(shù)據(jù)鏈路層 之所以稱其為 可擴(kuò)展的 是因?yàn)閰f(xié)議只是規(guī)定了一個(gè)框架 允許企業(yè)根據(jù)實(shí)際需要自行定制 但是它要求企業(yè)自己的標(biāo)準(zhǔn)符合IEEE標(biāo)準(zhǔn)中對(duì)于安全性的要求 EAPOL EAPOverLAN能夠在局域網(wǎng)上傳輸EAP報(bào)文的協(xié)議 2 IEEE802 1x概述 802 1X是由IEEE提出的基于端口的網(wǎng)絡(luò)訪問(wèn)控制標(biāo)準(zhǔn) 它能夠提供一種對(duì)連接到局域網(wǎng)的用戶進(jìn)行認(rèn)證和授權(quán)的手段 達(dá)到了接受合法用戶接入 保護(hù)網(wǎng)絡(luò)安全的目的 基于802 1x的認(rèn)證 又稱EAPOE認(rèn)證 因?yàn)檫@個(gè)協(xié)議依賴于EAP實(shí)現(xiàn)通常 802 1x協(xié)議 802 1x認(rèn)證 EAP協(xié)議都可以認(rèn)為是同一個(gè)意思 IEEE802 1x認(rèn)證組成 802 1X認(rèn)證包括三個(gè)部分 請(qǐng)求方 請(qǐng)求方就是希望接入局域網(wǎng) 無(wú)線局域網(wǎng)來(lái)上網(wǎng)的設(shè)備 譬如一臺(tái)筆記本 有時(shí)候也指設(shè)備上運(yùn)行的客戶端軟件認(rèn)證方 認(rèn)證方則是管理接入的設(shè)備 譬如以太網(wǎng)交換機(jī)或者無(wú)線接入點(diǎn)認(rèn)證服務(wù)器 認(rèn)證服務(wù)器就是一個(gè)運(yùn)行有支持RADIUS和EAP的軟件的主機(jī) 在認(rèn)證過(guò)程中認(rèn)證方起到了關(guān)鍵作用 它將網(wǎng)絡(luò)接入端口分成兩個(gè)邏輯端口 受控端口和非受控端口 非受控端口始終對(duì)用戶開(kāi)放 只允許用于傳送認(rèn)證信息 認(rèn)證通過(guò)之后 受控端口才會(huì)打開(kāi) 用戶才能正常訪問(wèn)網(wǎng)絡(luò)服務(wù) 4 IEEE802 1x認(rèn)證過(guò)程 請(qǐng)求方與認(rèn)證方之間通過(guò)EAPOL傳遞EAP報(bào)文 EAPOL報(bào)文在認(rèn)證方那里封裝成EAP報(bào)文送往認(rèn)證服務(wù)器 所以認(rèn)證方與認(rèn)證服務(wù)器之間傳送的則是真正的EAP報(bào)文 EAP報(bào)文這時(shí)可以被進(jìn)一步通過(guò)其它報(bào)文封裝 譬如TCP UDP 以穿過(guò)復(fù)雜的網(wǎng)絡(luò)環(huán)境 當(dāng)用戶有上網(wǎng)需求時(shí) 打開(kāi)IEEE802 1x的客戶端程序 輸入已經(jīng)申請(qǐng)登記過(guò)的用戶名和口令 發(fā)起連接請(qǐng)求 認(rèn)證方收到請(qǐng)求認(rèn)證的數(shù)據(jù)幀后 向客戶端發(fā)送EAP Requst Identity 要求客戶端程序?qū)⒂脩裘蜕蟻?lái) 客戶端收到EAP Requst Identity后 響應(yīng)認(rèn)證方的請(qǐng)求回應(yīng)一個(gè)EAP Response Identity 其中包括用戶名 認(rèn)證方收到Response Identity后將該報(bào)文封裝到RADIUSAccess Request報(bào)文中 發(fā)送給認(rèn)證服務(wù)器 認(rèn)證服務(wù)器接收到認(rèn)證方轉(zhuǎn)發(fā)上來(lái)的用戶名信息后 產(chǎn)生一個(gè)Challenge 通過(guò)接入設(shè)備將RADIUSAccess Challenge報(bào)文發(fā)送給客戶端 其中包含有EAP Request MD5 Challenge 一個(gè)隨機(jī)生成的密鑰 通常為32位 認(rèn)證方通過(guò)EAP Request MD5 Challenge發(fā)送給客戶端 要求客戶端進(jìn)行認(rèn)證 客戶端將密碼和Challenge做MD5算法后的Challenged Passwor在EAP Response MD5 Challenge回應(yīng)給認(rèn)證方 認(rèn)證方將Challenge ChallengedPassword和用戶名一起送到RADIUS服務(wù)器 由RADIUS服務(wù)器進(jìn)行認(rèn)證 RADIUS服務(wù)器根據(jù)用戶信息 做MD5算法 判斷用戶是否合法 然后回應(yīng)認(rèn)證成功 失敗報(bào)文到接入設(shè)備 如果成功 攜帶協(xié)商參數(shù) 以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán) 如果認(rèn)證失敗 則流程到此結(jié)束 如果認(rèn)證通過(guò) 用戶通過(guò)標(biāo)準(zhǔn)的DHCP協(xié)議 可以是DHCPRelay 通過(guò)接入設(shè)備獲取規(guī)劃的IP地址 認(rèn)證方發(fā)起計(jì)費(fèi)開(kāi)始請(qǐng)求給RADIUS用戶認(rèn)證服務(wù)器 RADIUS用戶認(rèn)證服務(wù)器回應(yīng)計(jì)費(fèi)開(kāi)始請(qǐng)求報(bào)文 用戶上線完畢 用戶發(fā)出一個(gè)EAPOL Logoff報(bào)文 認(rèn)證方受到報(bào)文后告知RADIUS服務(wù)器 RADIUS服務(wù)器停止計(jì)費(fèi)之后 要求認(rèn)證方告知用戶已經(jīng)斷線 認(rèn)證方向用戶發(fā)送EAP Failure 用戶收到EAP Failure后 確認(rèn)已斷線 一次網(wǎng)絡(luò)服務(wù)就此告終 IEEE802 1x小結(jié) IEEE802 1x認(rèn)證定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議 提供了在無(wú)IP環(huán)境下對(duì)接入用戶的身份認(rèn)證和訪問(wèn)控制機(jī)制 具有成本低 實(shí)現(xiàn)容易的特點(diǎn) 它與其它認(rèn)證的不同是它可以提供多種認(rèn)證方式 如口令 智能卡等 802 1x認(rèn)證僅提供了一個(gè)大致框架 目前出現(xiàn)了許多對(duì)802 1x協(xié)議安全性上進(jìn)行的改進(jìn) 包括引進(jìn)公鑰密碼體制的EAP TLS EAP TTLS 基于SIM卡的EAP AKA EAP SIM 基于預(yù)分配密鑰的EAP PSK EAP FAST等 在這些改進(jìn)措施中 通常擴(kuò)展的密碼體制都會(huì)使原本簡(jiǎn)單的802 1x認(rèn)證變得更加復(fù)雜 預(yù)先共享密鑰PSK Pre SharedKey 在企業(yè)網(wǎng)絡(luò)中 認(rèn)證所需要的數(shù)據(jù)庫(kù)信息檢索和比對(duì)工作通常由專門(mén)的服務(wù)器 如Radius服務(wù)器 來(lái)完成 但對(duì)于家庭或小型企業(yè)SOHO環(huán)境而言 則不具備這樣的條件 因此WPA也提供了一個(gè)較簡(jiǎn)單 不需要其他附加設(shè)備也可以使用的模式 即WPA PSK Wi FiProtectedAccesswithPre SharedKey 預(yù)先共享密鑰式Wi Fi保護(hù)訪問(wèn) 要使用WPA PSK 只需要每組WLAN節(jié)點(diǎn) 無(wú)線AP 無(wú)線路由器 客戶端網(wǎng)卡等 輸入單一的密碼 只需要密碼相符 客戶端便會(huì)獲得WLAN的存取權(quán)限 2 3WPA2加密 定義由于完整的IEEE802 11i標(biāo)準(zhǔn)推出尚需要一段時(shí)間 因此以已經(jīng)完成的TKIP的IEEE802 11i第三版草案 IEEE802 11idraft3 為基準(zhǔn) 制定了WPA 而當(dāng)IEEE完成并公布IEEE802 11i無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)后 Wi Fi聯(lián)盟也隨即公布了WPA2的第二版 WPA2 WPA2實(shí)現(xiàn)了802 11i的強(qiáng)制性元素 特別是Michael算法由公認(rèn)徹底安全的CCMP訊息認(rèn)證代碼所取代 而RC4也被AES取代 安全性更高 但與WPA不同的是 WPA2支持802 11g或以上的無(wú)線網(wǎng)卡 2 WPA2的兩種認(rèn)證類型WPA2企業(yè)版需要一臺(tái)具有802 1X功能的RADIUS服務(wù)器WPA2個(gè)人版沒(méi)有RADIUS服務(wù)器的SOHO用戶可以使用WPA2個(gè)人版 其口令長(zhǎng)度為20個(gè)以上的隨機(jī)字符 AES算法 AdvancedEncryptionStandard 高級(jí)加密標(biāo)準(zhǔn) 是美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所用于加密電子數(shù)據(jù)的規(guī)范 該算法匯聚了設(shè)計(jì)簡(jiǎn)單 密鑰安裝快 需要的內(nèi)存空間少 在所有的平臺(tái)上運(yùn)行良好 支持并行處理并且可以抵抗所有已知攻擊等優(yōu)點(diǎn) AES是一個(gè)迭代的 對(duì)稱密鑰分組的密碼 它可以使用128 192和256位密鑰 并且用128位 16字節(jié) 分組加密和解密數(shù)據(jù) 與公共密鑰密碼使用密鑰對(duì)不同 對(duì)稱密鑰密碼使用相同的密鑰加密和解密數(shù)據(jù) 通過(guò)分組密碼返回的加密數(shù)據(jù)的位數(shù)與輸入數(shù)據(jù)相同 AES提供了比TKIP更加高級(jí)的加密技術(shù) 現(xiàn)在無(wú)線路由器都提供了這2種算法 不過(guò)比較傾向于AES TKIP安全性不如AES 而且在使用TKIP算法時(shí)路由器的吞吐量會(huì)下降3成至5成 大大地影響了路由器的性能 迭代加密使用一個(gè)循環(huán)結(jié)構(gòu) 在該循環(huán)中重復(fù)置換 permutations 和替換 substitutions 輸入數(shù)據(jù) AES加密解密過(guò)程 AES提供了比TKIP更加高級(jí)的加密技術(shù) 現(xiàn)在無(wú)線路由器都提供了這2種算法 不過(guò)比較傾向于AES TKIP安全性不如AES 而且在使用TKIP算法時(shí)路由器的吞吐量會(huì)下降3成至5成 大大地影響了路由器的性能 CCMP CCMP主要是兩個(gè)算法所組合而成的 分別是CTRmode以及CBC MACmode CTRmode為加密算法 CBC MAC用戶訊息完整性運(yùn)算 在IEEE802 11i規(guī)格書(shū)中 CCMP為defaultmode 在所謂的RSNnetwork中 扮演相當(dāng)重要的角色CCMP CTRmode CBC MACmode CTR全名是AdvancedEncryptionStandard AES inCounterMode 在CCMP使用的AES是basedonRijndaelAlgorithm所發(fā)展出的算法 2 主要是經(jīng)過(guò)NIST修改并且認(rèn)證 不再有TKIPprotocol支持WEP系統(tǒng)的既有攻擊 所以在安全強(qiáng)度上 有一定的水平 CBC MAC全名是CipherBlockChainingMessageAuthenticationCode 就如同其名 主要是針對(duì)messageblock作運(yùn)算 最后輸出messageauthenticationcode 達(dá)到驗(yàn)證message的效果 因?yàn)镃TR并沒(méi)有提供authentication的機(jī)制 CBC MAC加解密過(guò)程主要是把Messageblock經(jīng)由blockcipheralgorithm加密后 再把輸出給下一個(gè)block當(dāng)input使用 一開(kāi)始第一個(gè)block沒(méi)有input所以IV用0代入 在CCMP里會(huì)把低位的64 bit無(wú)條件的去掉 只取高位64 bit當(dāng)做MIC CBC MACmode運(yùn)算過(guò)程 IV 0 MessageBlock1 MessageBlock2 MessageBlockn 加密 加密 加密 Result 目前主流的無(wú)線網(wǎng)絡(luò)加密方式有三種 即64 128位WEP加密 WAP加密和WPA2加密 這里特別需要說(shuō)明的是 三種無(wú)線加密方式對(duì)無(wú)線網(wǎng)絡(luò)傳輸速率影響也不盡相同 由于IEEE802 11n標(biāo)準(zhǔn)不支持以WEP加密和TKIP加密算法 所以如果用戶選擇了WEP加密方式或WPA PSK WPA2 PSK加密方式的TKIP算法 無(wú)線傳輸速率將會(huì)自動(dòng)限制在11g水平 理論值為54Mbps 實(shí)際在20Mbps左右 如果用戶使用的是符合IEEE802 11n標(biāo)準(zhǔn)的無(wú)線產(chǎn)品 理論速率150M或300M 那么無(wú)線加密方式只能選擇WPA PSK WPA2 PSK的AES算法加密 否則無(wú)線傳輸速率將會(huì)明顯降低 如果用戶使用的是符合IEEE802 11g標(biāo)準(zhǔn)的無(wú)線產(chǎn)品 那么三種加密方式都可以很好的兼容 不過(guò)還是不建議使用WEP這種較老并且易破解的加密方式 2 4三種加密方式的比較 三種加密方式對(duì)比表 WEP安全加密方式WEP特性里使用了rsa數(shù)據(jù)安全性公司開(kāi)發(fā)的rc4算法 全稱為有線對(duì)等保密 WiredEquivalentPrivacy WEP 是一種數(shù)據(jù)加密算法 用于提供等同于有線局域網(wǎng)的保護(hù)能力 使用了該技術(shù)的無(wú)線局域網(wǎng) 所有客戶端與無(wú)線接入點(diǎn)的數(shù)據(jù)都會(huì)以一個(gè)共享的密鑰進(jìn)行加密 密鑰的長(zhǎng)度有40位至256位兩種 密鑰越長(zhǎng) 黑客就需要更多的時(shí)間去進(jìn)行破解 因此能夠提供更好的安全保護(hù) WPA安全加密方式WPA加密即Wi FiProtectedAccess 其加密特性決定了它比WEP更難以入侵 所以如果對(duì)數(shù)據(jù)安全性有很高要求 那就必須選用WPA加密方式了 WindowsXPSP2已經(jīng)支持WPA加密方式 WPA作為IEEE802 11通用的加密機(jī)制WEP的升級(jí)版 在安全的防護(hù)上比WEP更為周密 主要體現(xiàn)在身份認(rèn)證 加密機(jī)制和數(shù)據(jù)包檢查等方面 而且它還提升了無(wú)線網(wǎng)絡(luò)的管理能力 WPA WEP對(duì)比WPA與WEP不同 WEP使用一個(gè)靜態(tài)的密鑰來(lái)加密所有的通信 WPA不斷的轉(zhuǎn)換密鑰 WPA采用有效的密鑰分發(fā)機(jī)制 可以跨越不同廠商的無(wú)線網(wǎng)卡實(shí)現(xiàn)應(yīng)用 另外WPA的另一個(gè)優(yōu)勢(shì)是 它使公共場(chǎng)所和學(xué)術(shù)環(huán)境安全地部署無(wú)線網(wǎng)絡(luò)成為可能 而在此之前 這些場(chǎng)所一直不能使用WEP WEP的缺陷在于其加密密鑰為靜態(tài)密鑰而非動(dòng)態(tài)密鑰 這意味著 為了更新密鑰 IT人員必須親自訪問(wèn)每臺(tái)機(jī)器 而這在學(xué)術(shù)環(huán)境和公共場(chǎng)所是不可能的 另一種辦法是讓密鑰保持不變 而這會(huì)使用戶容易受到攻擊 由于互操作問(wèn)題 學(xué)術(shù)環(huán)境和公共場(chǎng)所一直不能使用專有的安全機(jī)制 WPA2 目前最強(qiáng)的無(wú)線加密技術(shù)WPA2是WiFi聯(lián)盟驗(yàn)證過(guò)的IEEE802 11i標(biāo)準(zhǔn)的認(rèn)證形式 WPA2實(shí)現(xiàn)了802 11i的強(qiáng)制性元素 特別是Michael算法被公認(rèn)徹底安全的CCMP 計(jì)數(shù)器模式密碼塊鏈消息完整碼協(xié)議 訊息認(rèn)證碼所取代 而RC4加密算法也被AES所取代 在WPA WPA2中 PTK的生成是依賴于PMK的 而PMK的方式有兩種 一種是PSK方式 也就是預(yù)共享密鑰模式 pre sharedkey PSK 又稱為個(gè)人模式 在這種方式中PMK PSK 而另一種方式則需要認(rèn)證服務(wù)器和站點(diǎn)進(jìn)行協(xié)商來(lái)產(chǎn)生PMK 下面我們通過(guò)公式來(lái)看看WPA和WPA2的區(qū)別 WPA IEEE802 11idraft3 IEEE802 1X EAP WEP 選擇性項(xiàng)目 TKIPWPA2 IEEE802 11i IEEE802 1X EAP WEP 選擇性項(xiàng)目 TKIP CCMP目前WPA2加密方式的安全防護(hù)能力非常出色 只要你的無(wú)線設(shè)備均支持WPA2加密 那你將體驗(yàn)到最安全的無(wú)線網(wǎng)絡(luò)生活 即使是目前最熱的 蹭網(wǎng)卡 也難以蹭入你的無(wú)線網(wǎng)絡(luò) 用戶大可放心使用 IEEE802個(gè)標(biāo)準(zhǔn)對(duì)三種協(xié)議的支持情況 小結(jié) 總的來(lái)說(shuō) WPA更據(jù)安全性 更可靠 一般來(lái)說(shuō)現(xiàn)在的路由器這3種加密方式都提供 WEP主要是提供給舊版本網(wǎng)卡不支持WPA方式的用戶 如果你的網(wǎng)卡支持 建議使用WPA2的AES加密方式 注 WEP不支持WPS功能 三 其他加密方式 3 1WAPI加密1 定義WAPI是WLANAuthenticationandPrivacyInfrastructure 無(wú)線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu) 的簡(jiǎn)稱 是中國(guó)提出的 以802 11無(wú)線協(xié)議為基礎(chǔ)的無(wú)線安全標(biāo)準(zhǔn) WAPI協(xié)議由以下兩部分構(gòu)成 WAI 是WLANAuthenticationInfrastructure 無(wú)線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu) 的簡(jiǎn)稱 是用于無(wú)線局域網(wǎng)中身份鑒別和密鑰管理的安全方案WPI 是WLANPrivacyInfrastructure 無(wú)線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu) 的簡(jiǎn)稱 是用于無(wú)線局域網(wǎng)中數(shù)據(jù)傳輸保護(hù)的安全方案 包括數(shù)據(jù)加密 數(shù)據(jù)鑒別和重放保護(hù)等功能 2 系統(tǒng)組成在一個(gè)典型的WAPI系統(tǒng)中 WAPI用戶通過(guò)AP接入有線IP網(wǎng)絡(luò) 首先 WAPI用戶與AP進(jìn)行802 11鏈路協(xié)商 之后AP為該用戶觸發(fā)WAI鑒別過(guò)程 配合AS完成與用戶的雙向認(rèn)證 當(dāng)認(rèn)證通過(guò)后 AP會(huì)發(fā)起對(duì)該用戶的密鑰協(xié)商 并使用協(xié)商出的密鑰通過(guò)WPI向該WAPI用戶提供加 解密服務(wù) WAPI的工作過(guò)程在一個(gè)采用了WAPI安全關(guān)聯(lián)機(jī)制的WLAN中 當(dāng)STA需要訪問(wèn)該WLAN時(shí) 通過(guò)被動(dòng)偵聽(tīng)AP的信標(biāo) Beacon 幀