無線加密方式

1、無線安全機(jī)制 AUTELANPage 2目錄一概訴 二無線局域網(wǎng)加密認(rèn)證方式 2.1 WEP加密 2.2 WPA/802.1X加密 2.3 WPA2加密 2.4 三大加密對(duì)比三 . 其他加密 3.1 WAPI加密認(rèn)證 AUTELANPage 3一. 概訴 無線局域網(wǎng)（Wireless Local Area Network）簡稱“WLAN”，利用無線射頻（RF）電波作為信息傳輸?shù)拿浇闃?gòu)成的局部無線網(wǎng)路，與有限局域網(wǎng)的用途十分類似，最大的不同在于傳輸媒介的不同，它利用無線電技術(shù)取代網(wǎng)線，可以和有限網(wǎng)絡(luò)互為備份。 wlan技術(shù)現(xiàn)在正在廣泛被應(yīng)用，具有傳統(tǒng)局域網(wǎng)無法比擬的靈活性 通信范圍不受環(huán)境條件的

2、限制 用戶能夠更方便，靈活，快捷的訪問網(wǎng)絡(luò)資源 隨著無線局域網(wǎng)技術(shù)和應(yīng)用的進(jìn)一步發(fā)展，無線局域網(wǎng)正逐漸從傳統(tǒng)意義上的局域網(wǎng)技術(shù)發(fā)展成為“公共無線局域網(wǎng)”，已成為INTERNET寬帶接入的重要手段 AUTELANPage 4 盡管無線局域網(wǎng)路技術(shù)解決了很多傳統(tǒng)有線網(wǎng)絡(luò)存在的問題，同時(shí)，他也帶來了新的安全問題。無線局域網(wǎng)技術(shù)最大的弱點(diǎn)就是其安全性，其安全問題使諸多企業(yè)望而卻步，成為WLAN市場拓展的絆腳石。 無局域網(wǎng)不同于傳統(tǒng)的網(wǎng)絡(luò)，有線網(wǎng)絡(luò)本身的物理線鏈路就是一種訪問控制。用戶必須通過線纜或光纖連接到網(wǎng)絡(luò)上才能實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的訪問。而無線網(wǎng)絡(luò)的信息的傳輸載體是無線電波就使其無法像傳統(tǒng)網(wǎng)絡(luò)那樣可以實(shí)現(xiàn)

3、物理上的隔離來保障整個(gè)局域網(wǎng)的信息安全，因此，無線局域網(wǎng)較之傳統(tǒng)的網(wǎng)絡(luò)，存在更多的安全隱患，如何解決其存在的安全問題，直接關(guān)系到無線網(wǎng)絡(luò)技術(shù)的發(fā)展。 AUTELANPage 5二. 無線局域網(wǎng)加密方式 無線局域網(wǎng)的三大加密技術(shù)WEP ( Wired Equivalent Privacy)加密技術(shù)IEEE802.11b標(biāo)準(zhǔn)規(guī)定了一種稱為有線等效保密的加密方案，WEP利用一個(gè)對(duì)稱的方案，在數(shù)據(jù)的加密和解密過程中使用相同的密鑰和算法WPA（Wi-Fi Protected Access)加密技術(shù)具有WPA和WPA2兩個(gè)標(biāo)準(zhǔn)，是一種保護(hù)無線電腦網(wǎng)路（Wi-Fi）安全的系統(tǒng)WPA2加密技術(shù)WPA2是WiF

4、i聯(lián)盟驗(yàn)證過的IEEE 802.11i標(biāo)準(zhǔn)的認(rèn)證形式，實(shí)現(xiàn)了802.11i的強(qiáng)制性元素，特別是Michael算法被公認(rèn)徹底安全的CCMP（計(jì)數(shù)器模式密碼塊鏈消息完整碼協(xié)議）訊息認(rèn)證碼所取代，而RC4加密算法也被AES所取代其他加密方式IEEE 802.1X 是一種為燒保護(hù)網(wǎng)路提供認(rèn)證，控制用戶通信以及動(dòng)態(tài)密鑰分配等服務(wù)的有效機(jī)制，將8021x協(xié)議和windows活動(dòng)目錄技術(shù)相結(jié)合，可以實(shí)現(xiàn)只有通過內(nèi)部域用戶驗(yàn)證的計(jì)算機(jī)才能正常連入公司交換機(jī)進(jìn)行通訊，否則其接入端口數(shù)據(jù)將被阻隔WAPIWAPI 是WLAN Authentication and Privacy Infrastructure（無線局

5、域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)）的簡稱，是中國提出的、以802.11 無線協(xié)議為基礎(chǔ)的無線安全標(biāo)準(zhǔn)。 AUTELANPage 62.1 WEP加密 1. 定義及應(yīng)用全稱有線等效協(xié)議，是為了保證802.11b協(xié)議數(shù)據(jù)傳輸?shù)陌踩远瞥龅陌踩珔f(xié)議，該協(xié)議可以通過對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證無線局域網(wǎng)中數(shù)據(jù)傳輸?shù)陌踩?。在無線局域網(wǎng)中，要使用WEP協(xié)議，無線AP首先要啟用WEP功能，并創(chuàng)建密鑰，然后在每個(gè)無線客戶端啟用WEP，并輸入該密鑰，這樣就可以保證安全連接2. WEP加密方式全稱為有線對(duì)等保密，是一種數(shù)據(jù)加密算法，用于提供等同于有線局域網(wǎng)的保護(hù)能力，使用該技術(shù)的無線局域網(wǎng)，所有客戶端與無線接入點(diǎn)的數(shù)據(jù)

6、都會(huì)以一個(gè)共享的密鑰進(jìn)行加密，密鑰越長，就需要更多的時(shí)間去破解，因此能夠提供更好的安全保護(hù)，WEP安全技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù)，在無線網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)是使用一個(gè)隨機(jī)產(chǎn)生的密鑰來加密的 AUTELANPage 7RC4l RC4函數(shù)（加密/解密） 對(duì)于RC4來說，RC4只有加密，將密文再加密一次，就是解密了。l RC4加密算法 WEP支持64位和128位加密 對(duì)于64位加密，加密密鑰為10個(gè)十六進(jìn)制字符（0-9和A-FA)或5個(gè)ASCII字符； 對(duì)于128位加密，加密密鑰為26個(gè)十六進(jìn)制字符或13個(gè)ASCII字符； WEP依賴通信雙方共享的密鑰來保護(hù)所傳的加密數(shù)據(jù)幀 AUTELA

7、NPage 8l 加密過程 1. 計(jì)算校驗(yàn)和 對(duì)輸入數(shù)據(jù)進(jìn)行完整性校驗(yàn)和計(jì)算 把輸入數(shù)據(jù)和計(jì)算得到的校驗(yàn)和組合起來得到新的加密數(shù)據(jù)，也稱之為明文，用于下一步密過程的輸入 2. 加密 在這個(gè)過程中，將第一步得到的數(shù)據(jù)明文采用完整性算法加密。對(duì)明文加密有兩層含義 明文數(shù)據(jù)的加密 保護(hù)未經(jīng)認(rèn)證的數(shù)據(jù) 將24位的初始化向量和40位的密鑰連接進(jìn)行校驗(yàn)和計(jì)算，得到64位的數(shù)據(jù) 將這64位的數(shù)據(jù)輸入到虛擬隨機(jī)數(shù)產(chǎn)生器中，對(duì)初始化向量和密鑰的校驗(yàn)和計(jì)算值進(jìn)行加密計(jì)算 進(jìn)過校驗(yàn)和計(jì)算的明文與虛擬隨機(jī)數(shù)產(chǎn)生器的輸出密鑰進(jìn)行按位異或運(yùn)算得到加密后的信息，即密文l 傳輸 將初始化向量和密鑰串聯(lián)起來，得到要傳輸?shù)募用軘?shù)

8、據(jù)幀，在無線鏈路上傳輸 AUTELANPage 9RC4 優(yōu)點(diǎn)：速度快 缺點(diǎn)：需要事先將秘密的傳輸密鑰WEP加密過程圖解 AUTELANPage 103. WEP總結(jié) 無線網(wǎng)絡(luò)中已經(jīng)存在好幾種加密技術(shù)，最常用的事WEP和WAP兩種加密方式。雖然WEP可以阻止窺探者進(jìn)入無線網(wǎng)絡(luò)，由于密文需要通過無線傳輸，WEP破解起來非常容易，就像一把鎖在門上的朔料鎖。 由于WEP的安全性低，催生了一個(gè)更安全的無線網(wǎng)絡(luò)加密方式WAP的誕生 WAP（Wi-Fi Protected Access）是WEP的增強(qiáng)產(chǎn)品，WPA是繼承了WEP基本原理又解決了WEP缺點(diǎn)的一項(xiàng)新技術(shù) AUTELANPage 112.2 WP

9、A加密 1.定義 WPA（Wi-Fi Protected Access）網(wǎng)絡(luò)安全存取 WPA是一種基于標(biāo)準(zhǔn)的可互大大增強(qiáng)數(shù)據(jù)保護(hù)和訪問控制水平。WPA源于正在制定中的IEEE802.11i標(biāo)準(zhǔn)并保持向前兼容。 WPA 的資料是以一把 128 位元的鑰匙和一個(gè) 48 位元的初向量 (IV) 的 RC4 stream cipher 來加密。除了認(rèn)證跟加密外，WPA 對(duì)于所載資料的完整性也提供了巨大的改進(jìn)。WEP 所使用的 CRC（循環(huán)冗余校驗(yàn)）先天就不安全，在不知道 WEP 鑰匙的情況下，要篡改所載資料和對(duì)應(yīng)的 CRC 是可能的，而 WPA 使用了稱為 Michael 的更安全的訊息認(rèn)證碼（在 W

10、PA 中叫做訊息完整性查核，MIC）。進(jìn)一步地，WPA 使用的 MIC 包含了幀計(jì)數(shù)器，以避免 WEP 的另一個(gè)弱點(diǎn)replay attack（回放攻擊）的利用。 由于WEP已經(jīng)證明的不安全性，在802.11i協(xié)議完善之前，采用WPA為用戶提供一個(gè)臨時(shí)性的解決方案，該標(biāo)準(zhǔn)的數(shù)據(jù)加密采用TKIP協(xié)議（Temporary Key Integrity Protocol）認(rèn)證有兩種模式可供選擇， 一種是使用802.1x協(xié)議進(jìn)行認(rèn)證（WPA企業(yè)版） 一種是稱為預(yù)先共享密鑰PSK(Pre-Shared Key)模式（WPA個(gè)人版） AUTELANPage 12l TKIP（Temporal Key Int

11、egrity Protocol）臨時(shí)密鑰完整性協(xié)議 TKIP是包裹在已有的WEP密碼外圍的一層“外殼”。TKIP使用WEP同樣的加密引擎和EC4算法，但是TKIP中密碼使用的密鑰長度是128位，解決了WEP密鑰短的問題 TKIP另一個(gè)重要特性就是變化每個(gè)數(shù)據(jù)包所使用的密 鑰，這就是它名稱中“動(dòng)態(tài)”的出處。密鑰通過將多種因素混合在一起生成，包括基本密鑰（即TKIP中所謂的成對(duì)瞬時(shí)密鑰）、發(fā)射站的MAC地址以及數(shù)據(jù)包 的序列號(hào)?；旌喜僮髟谠O(shè)計(jì)上將對(duì)無線站和接入點(diǎn)的要求減少到最低程度，但仍具有足夠的密碼強(qiáng)度，使它不能被輕易破譯。 WEP的另一個(gè)缺點(diǎn)就是“重放攻擊 （replay attacks）”，

12、而利用TKIP傳送的每一個(gè)數(shù)據(jù)包都具有獨(dú)有的48位序列號(hào)，由于48位序列號(hào)需要數(shù)千年時(shí)間才會(huì)出現(xiàn)重復(fù)，因此沒有人可以重放來自 無線連接的老數(shù)據(jù)包：由于序列號(hào)不正確，這些數(shù)據(jù)包將作為失序包被檢測出來。 AUTELANPage 13l 802.1x協(xié)議認(rèn)證1. 在了解802.1x協(xié)議認(rèn)證之前，先了解一下術(shù)語 RADIUS：Remote Authentication Dial In User Service 遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)，可以簡單將其理解成一個(gè)存儲(chǔ)有用戶的用戶名密碼的服務(wù)器， 能夠?qū)σ恍┎樵冞M(jìn)行響應(yīng)，從而得知用戶是否合法 EAP：Extentional Authentication Prot

13、ocol 可擴(kuò)展的認(rèn)證協(xié)議，這是一個(gè)能夠?yàn)闆]有接入網(wǎng)絡(luò)的設(shè)備提供認(rèn)證及網(wǎng)絡(luò)接入的服務(wù)， 工作于OSI七層模型中的數(shù)據(jù)鏈路層。之所以稱其為“可擴(kuò)展的”，是因?yàn)閰f(xié)議只是 規(guī)定了一個(gè)框架，允許企業(yè)根據(jù)實(shí)際需要自行定制，但是它要求企業(yè)自己的標(biāo)準(zhǔn)符合 IEEE標(biāo)準(zhǔn)中對(duì)于安全性的要求 EAPOL：EAP Over LAN 能夠在局域網(wǎng)上傳輸EAP報(bào)文的協(xié)議 AUTELANPage 142. IEEE 802.1x概述802.1X是由IEEE提出的基于端口的網(wǎng)絡(luò)訪問控制標(biāo)準(zhǔn)。它能夠提供一種對(duì)連接到局域網(wǎng)的用戶進(jìn)行認(rèn)證和授權(quán)的手段，達(dá)到了接受合法用戶接入，保護(hù)網(wǎng)絡(luò)安全的目的?；?02.1x的認(rèn)證，又稱EAP

14、OE認(rèn)證，因?yàn)檫@個(gè)協(xié)議依賴于EAP實(shí)現(xiàn)通常，802.1x協(xié)議、802.1x認(rèn)證、EAP協(xié)議都可以認(rèn)為是同一個(gè)意思3.IEEE 802.1x認(rèn)證組成802.1X認(rèn)證包括三個(gè)部分:請求方請求方就是希望接入局域網(wǎng)/無線局域網(wǎng)來上網(wǎng)的設(shè)備，譬如一臺(tái)筆記本，有時(shí) 候也指設(shè)備上運(yùn)行的客戶端軟件認(rèn)證方認(rèn)證方則是管理接入的設(shè)備，譬如以太網(wǎng)交換機(jī)或者無線接入點(diǎn)認(rèn)證服務(wù)器認(rèn)證服務(wù)器就是一個(gè)運(yùn)行有支持RADIUS和EAP的軟件的主機(jī)。 在認(rèn)證過程中認(rèn)證方起到了關(guān)鍵作用。它將網(wǎng)絡(luò)接入端口分成兩個(gè)邏輯端口：受控端口和非受控端口，非受控端口始終對(duì)用戶開放，只允許用于傳送認(rèn)證信息，認(rèn)證通過之后，受控端口才會(huì)打開，用戶才能正

15、常訪問網(wǎng)絡(luò)服務(wù) AUTELANPage 154. IEEE 802.1x認(rèn)證過程 請求方與認(rèn)證方之間通過EAPOL傳遞EAP報(bào)文，EAPOL報(bào)文在認(rèn)證方那里封裝成EAP報(bào)文送往認(rèn)證服務(wù)器，所以認(rèn)證方與認(rèn)證服務(wù)器之間傳送的則是真正的EAP報(bào)文，EAP報(bào)文這時(shí)可以被進(jìn)一步通過其它報(bào)文封裝，譬如TCP/UDP，以穿過復(fù)雜的網(wǎng)絡(luò)環(huán)境 AUTELANPage 16當(dāng)用戶有上網(wǎng)需求時(shí)，打開IEEE 802.1x的客戶端程序，輸入已經(jīng)申請登記過的用戶名和口令，發(fā)起連接請求。認(rèn)證方收到請求認(rèn)證的數(shù)據(jù)幀后，向客戶端發(fā)送EAP-Requst/Identity。要求客戶端程序?qū)⒂脩裘蜕蟻??？蛻舳耸盏紼AP-Req

16、ust/Identity后，響應(yīng)認(rèn)證方的請求回應(yīng)一個(gè)EAP-Response/Identity，其中包括用戶名。認(rèn)證方收到Response/Identity后將該報(bào)文封裝到RADIUS Access-Request報(bào)文中，發(fā)送給認(rèn)證服務(wù)器認(rèn)證服務(wù)器接收到認(rèn)證方轉(zhuǎn)發(fā)上來的用戶名信息后，產(chǎn)生一個(gè)Challenge，通過接入設(shè)備將RADIUS Access-Challenge報(bào)文發(fā)送給客戶端，其中包含有EAP-Request/MD5-Challenge（一個(gè)隨機(jī)生成的密鑰，通常為32位）認(rèn)證方通過EAP-Request/MD5-Challenge發(fā)送給客戶端，要求客戶端進(jìn)行認(rèn)證客戶端將密碼和Chal

17、lenge做MD5算法后的Challenged-Passwor在EAP-Response/MD5-Challenge回應(yīng)給認(rèn)證方認(rèn)證方將Challenge，Challenged Password和用戶名一起送到RADIUS服務(wù)器，由RADIUS服務(wù)器進(jìn)行認(rèn)證.RADIUS服務(wù)器根據(jù)用戶信息，做MD5算法，判斷用戶是否合法。然后回應(yīng)認(rèn)證成功/失敗報(bào)文到接入設(shè)備。如果成功，攜帶協(xié)商參數(shù)，以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán)。如果認(rèn)證失敗，則流程到此結(jié)束如果認(rèn)證通過，用戶通過標(biāo)準(zhǔn)的DHCP協(xié)議(可以是DHCP Relay)，通過接入設(shè)備獲取規(guī)劃的IP地址，認(rèn)證方發(fā)起計(jì)費(fèi)開始請求給RADIUS用戶認(rèn)證服務(wù)

18、器RADIUS用戶認(rèn)證服務(wù)器回應(yīng)計(jì)費(fèi)開始請求報(bào)文。用戶上線完畢用戶發(fā)出一個(gè)EAPOL-Logoff報(bào)文，認(rèn)證方受到報(bào)文后告知RADIUS服務(wù)器，RADIUS服務(wù)器停止計(jì)費(fèi)之后，要求認(rèn)證方告知用戶已經(jīng)斷線，認(rèn)證方向用戶發(fā)送EAP-Failure用戶收到EAP-Failure后，確認(rèn)已斷線，一次網(wǎng)絡(luò)服務(wù)就此告終。 AUTELANPage 174.IEEE 802.1x小結(jié) IEEE 802.1x認(rèn)證定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議，提供了在無IP環(huán)境下對(duì)接入用戶的身份認(rèn)證和訪問控制機(jī)制，具有成本低、實(shí)現(xiàn)容易的特點(diǎn)，它與其它認(rèn)證的不同是它可以提供多種認(rèn)證方式，如口令，智能卡等。 802.1x認(rèn)證僅提

19、供了一個(gè)大致框架，目前出現(xiàn)了許多對(duì)802.1x協(xié)議安全性上進(jìn)行的改進(jìn)，包括引進(jìn)公鑰密碼體制的EAP-TLS,EAP-TTLS，基于SIM卡的EAP-AKA，EAP-SIM，基于預(yù)分配密鑰的EAP-PSK、EAP-FAST等。 在這些改進(jìn)措施中，通常擴(kuò)展的密碼體制都會(huì)使原本簡單的802.1x認(rèn)證變得更加復(fù)雜。 AUTELANPage 18l 預(yù)先共享密鑰PSK(Pre-Shared Key) 在企業(yè)網(wǎng)絡(luò)中，認(rèn)證所需要的數(shù)據(jù)庫信息檢索和比對(duì)工作通常由專門的服務(wù)器（如Radius服務(wù)器）來完成。但對(duì)于家庭或小型企業(yè)SOHO環(huán)境而言，則不具備這樣的條件，因此WPA也提供了一個(gè)較簡單，不需要其他附加設(shè)備

20、也可以使用的模式，即WPA-PSK（Wi-Fi Protected Access with Pre-Shared Key：預(yù)先共享密鑰式Wi-Fi保護(hù)訪問） 要使用WPA-PSK，只需要每組WLAN節(jié)點(diǎn)（無線AP，無線路由器，客戶端網(wǎng)卡等）輸入單一的密碼，只需要密碼相符，客戶端便會(huì)獲得WLAN的存取權(quán)限 AUTELANPage 192.3 WPA2加密 1.定義 由于完整的IEEE 802.11i 標(biāo)準(zhǔn)推出尚需要一段時(shí)間，因此以已經(jīng)完成的TKIP的IEEE802.11i第三版草案（IEEE 802.11i draft 3）為基準(zhǔn)，制定了WPA。 而當(dāng)IEEE完成并公布IEEE 802.11i

21、無線局域網(wǎng)安全標(biāo)準(zhǔn)后，Wi-Fi聯(lián)盟也隨即公布了WPA2的第二版WPA2。 WPA2實(shí)現(xiàn)了802.11i的強(qiáng)制性元素，特別是Michael算法由公認(rèn)徹底安全的CCMP訊息認(rèn)證代碼所取代，而RC4也被AES取代，安全性更高，但與WPA不同的是，WPA2支持802.11g或以上的無線網(wǎng)卡2. WPA2的兩種認(rèn)證類型 WPA2企業(yè)版 需要一臺(tái)具有802.1X功能的RADIUS服務(wù)器 WPA2個(gè)人版 沒有RADIUS服務(wù)器的SOHO用戶可以使用WPA2個(gè)人版，其口令長度為20個(gè)以上的隨機(jī)字符 AUTELANPage 20l AES算法Advanced Encryption Standard(高級(jí)加密標(biāo)

22、準(zhǔn)) 是美國國家標(biāo)準(zhǔn)與技術(shù)研究所用于加密電子數(shù)據(jù)的規(guī)范，該算法匯聚了設(shè)計(jì)簡單、密鑰安裝快、需要的內(nèi)存空間少、在所有的平臺(tái)上運(yùn)行良好、支持并行處理并且可以抵抗所有已知攻擊等優(yōu)點(diǎn)。 AES 是一個(gè)迭代的、對(duì)稱密鑰分組的密碼，它可以使用128、192 和 256 位密鑰，并且用 128 位（16字節(jié)）分組加密和解密數(shù)據(jù)。 與公共密鑰密碼使用密鑰對(duì)不同，對(duì)稱密鑰密碼使用相同的密鑰加密和解密數(shù)據(jù)。通過分組密碼返回的加密數(shù)據(jù)的位數(shù)與輸入數(shù)據(jù)相同。 AES提供了比 TKIP更加高級(jí)的加密技術(shù)， 現(xiàn)在無線路由器都提供了這2種算法，不過比較傾向于AES。TKIP安全性不如AES，而且在使用TKIP算法時(shí)路由器的

23、吞吐量會(huì)下降3成至5成，大大地影響了路由器的性能。 迭代加密使用一個(gè)循環(huán)結(jié)構(gòu)，在該循環(huán)中重復(fù)置換（permutations ）和替換(substitutions）輸入數(shù)據(jù)。 AUTELANPage 21 AES加密解密過程 AUTELANPage 22AES提供了比 TKIP更加高級(jí)的加密技術(shù)， 現(xiàn)在無線路由器都提供了這2種算法，不過比較傾向于AES。TKIP安全性不如AES，而且在使用TKIP算法時(shí)路由器的吞吐量會(huì)下降3成至5成，大大地影響了路由器的性能。l CCMPCCMP主要是兩個(gè)算法所組合而成的，分別是CTR mode以及CBC-MAC mode. CTR mode為加密算法，CBC-

24、MAC用戶訊息完整性運(yùn)算。在IEEE 802.11i規(guī)格書中，CCMP為default mode，在所謂的RSN network中，扮演相當(dāng)重要的角色 CCMP = CTR mode + CBC- MAC mode AUTELANPage 23 CTR 全名是Advanced Encryption Standard (AES) in Counter Mode，在CCMP使用的AES 是based on Rijndael Algorithm所發(fā)展出的算法2，主要是經(jīng)過NIST修改并且認(rèn)證，不再有TKIP protocol支持WEP系統(tǒng)的既有攻擊，所以在安全強(qiáng)度上，有一定的水平。 CBC-MAC

25、全名是Cipher Block Chaining Message Authentication Code，就如同其名，主要是針對(duì)message block作運(yùn)算，最后輸出message authentication code，達(dá)到驗(yàn)證message的效果(因?yàn)镃TR并沒有提供authentication的機(jī)制)。 CBC-MAC加解密過程主要是把Message block經(jīng)由block cipher algorithm加密后，再把輸出給下一個(gè)block當(dāng)input使用。一開始第一個(gè)block沒有input所以IV用0代入。在CCMP里會(huì)把低位的64-bit無條件的去掉，只取高位64-bit當(dāng)做

26、MIC。 AUTELANPage 24CBC-MAC mode運(yùn)算過程IV=0MessageBlock 1MessageBlock 2MessageBlock n加密加密加密Result AUTELANPage 25 目前主流的無線網(wǎng)絡(luò)加密方式有三種，即64/128位WEP加密，WAP加密和WPA2加密。這里特別需要說明的是，三種無線加密方式對(duì)無線網(wǎng)絡(luò)傳輸速率影響也不盡相同。 由于IEEE 802.11n標(biāo)準(zhǔn)不支持以WEP加密和TKIP加密算法，所以如果用戶選擇了WEP加密方式或WPA-PSK/WPA2-PSK加密方式的TKIP算法，無線傳輸速率將會(huì)自動(dòng)限制在11g水平（理論值為54Mbps,

27、實(shí)際在20Mbps左右） 如果用戶使用的是符合IEEE 802.11n標(biāo)準(zhǔn)的無線產(chǎn)品（理論速率150M或300M），那么無線加密方式只能選擇WPA-PSK/WPA2-PSK的AES算法加密，否則無線傳輸速率將會(huì)明顯降低。 如果用戶使用的是符合IEEE 802.11g標(biāo)準(zhǔn)的無線產(chǎn)品，那么三種加密方式都可以很好的兼容，不過還是不建議使用WEP這種較老并且易破解的加密方式2.4 三種加密方式的比較 AUTELANPage 26加密技術(shù)全稱加密算法協(xié)議類型WEPWired Equivalent Privacy（有線對(duì)等保密）RC4IEEE 802.11b 無WPAWi-Fi Protected Acc

28、ess（WiFi安全存?。㏑C4IEEE 802.11i draft 3，它使用TKIPWPA-PSKWPA-EnterpriseWPA2Wi-Fi Protected Access 2（WiFi安全存取 第二版）支持AES(高級(jí)加密算法)，因此它需要新的硬件支持，它使用CCMPIEEE 802.11iWPA2-PSKWPA2-Enterprise三種加密方式對(duì)比表 AUTELANPage 27l WEP安全加密方式 WEP特性里使用了rsa數(shù)據(jù)安全性公司開發(fā)的rc4 算法。全稱為有線對(duì)等保密(Wired Equivalent Privacy，WEP)是一種數(shù)據(jù)加密算法，用于提供等同于有線局域

29、網(wǎng)的保護(hù)能力。使用了該技術(shù)的無線局域網(wǎng)，所有客戶端與無線接入點(diǎn)的數(shù)據(jù)都會(huì)以一個(gè)共享的密鑰進(jìn)行加密，密鑰的長度有40位至256位兩種，密鑰越長，黑客就需要更多的時(shí)間去進(jìn)行破解，因此能夠提供更好的安全保護(hù)。 l WPA安全加密方式 WPA加密即Wi-Fi Protected Access，其加密特性決定了它比WEP更難以入侵，所以如果對(duì)數(shù)據(jù)安全性有很高要求，那就必須選用WPA加密方式了(Windows XP SP2已經(jīng)支持WPA加密方式)。 WPA作為IEEE 802.11通用的加密機(jī)制WEP的升級(jí)版，在安全的防護(hù)上比WEP更為周密，主要體現(xiàn)在身份認(rèn)證、加密機(jī)制和數(shù)據(jù)包檢查等方面，而且它還提升了無

30、線網(wǎng)絡(luò)的管理能力。 AUTELANPage 28l WPA、WEP對(duì)比 WPA與WEP不同，WEP使用一個(gè)靜態(tài)的密鑰來加密所有的通信。WPA不斷的轉(zhuǎn)換密鑰。WPA采用有效的密鑰分發(fā)機(jī)制，可以跨越不同廠商的無線網(wǎng)卡實(shí)現(xiàn)應(yīng)用。另外WPA的另一個(gè)優(yōu)勢是，它使公共場所和學(xué)術(shù)環(huán)境安全地部署無線網(wǎng)絡(luò)成為可能。而在此之前，這些場所一直不能使用WEP。WEP的缺陷在于其加密密鑰為靜態(tài)密鑰而非動(dòng)態(tài)密鑰。這意味著，為了更新密鑰，IT人員必須親自訪問每臺(tái)機(jī)器，而這在學(xué)術(shù)環(huán)境和公共場所是不可能的。另一種辦法是讓密鑰保持不變，而這會(huì)使用戶容易受到攻擊。由于互操作問題，學(xué)術(shù)環(huán)境和公共場所一直不能使用專有的安全機(jī)制。 AU

31、TELANPage 29l WPA2：目前最強(qiáng)的無線加密技術(shù) WPA2是WiFi聯(lián)盟驗(yàn)證過的IEEE 802.11i標(biāo)準(zhǔn)的認(rèn)證形式，WPA2實(shí)現(xiàn)了802.11i的強(qiáng)制性元素，特別是Michael算法被公認(rèn)徹底安全的CCMP(計(jì)數(shù)器模式密碼塊鏈消息完整碼協(xié)議)訊息認(rèn)證碼所取代、而RC4加密算法也被AES所取代。 在WPA/WPA2中，PTK的生成是依賴于PMK的，而PMK的方式有兩種，一種是PSK方式，也就是預(yù)共享密鑰模式(pre-shared key，PSK，又稱為個(gè)人模式)，在這種方式中PMK=PSK;而另一種方式則需要認(rèn)證服務(wù)器和站點(diǎn)進(jìn)行協(xié)商來產(chǎn)生PMK。下面我們通過公式來看看WPA和WP

32、A2的區(qū)別： WPA = IEEE 802.11i draft 3 = IEEE 802.1X/EAP + WEP(選擇性項(xiàng)目)/TKIP WPA2 = IEEE 802.11i = IEEE 802.1X/EAP + WEP(選擇性項(xiàng)目)/TKIP/CCMP 目前WPA2加密方式的安全防護(hù)能力非常出色，只要你的無線設(shè)備均支持WPA2加密，那你將體驗(yàn)到最安全的無線網(wǎng)絡(luò)生活。即使是目前最熱的“蹭網(wǎng)卡”也難以蹭入你的無線網(wǎng)絡(luò)，用戶大可放心使用。 AUTELANPage 30IEEE 802 個(gè)標(biāo)準(zhǔn)對(duì)三種協(xié)議的支持情況小結(jié) 總的來說，WPA更據(jù)安全性，更可靠。一般來說現(xiàn)在的路由器這3種加密方式都提供

33、。WEP主要是提供給舊版本網(wǎng)卡不支持WPA方式的用戶，如果你的網(wǎng)卡支持，建議使用WPA2的AES加密方式。注：WEP不支持WPS功能 AUTELANPage 31三，其他加密方式3.1 WAPI加密1. 定義 WAPI 是WLAN Authentication and Privacy Infrastructure（無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)）的簡稱，是中國提出的、以802.11 無線協(xié)議為基礎(chǔ)的無線安全標(biāo)準(zhǔn)。WAPI 協(xié)議由以下兩部分構(gòu)成： WAI：是WLAN Authentication Infrastructure（無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)）的簡稱，是 用 于無線局域網(wǎng)中身份鑒別和密鑰管理

34、的安全方案 WPI：是WLAN Privacy Infrastructure（無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)）的簡稱，是用于無 線局域網(wǎng)中數(shù)據(jù)傳輸保護(hù)的安全方案，包括數(shù)據(jù)加密、數(shù)據(jù)鑒別和重放保護(hù)等功 能 AUTELANPage 322. 系統(tǒng)組成 在一個(gè)典型的WAPI系統(tǒng)中，WAPI用戶通過AP接入有線IP網(wǎng)絡(luò)。首先，WAPI用戶與AP進(jìn)行802.11 鏈路協(xié)商，之后AP為該用戶觸發(fā)WAI鑒別過程，配合AS完成與用戶的雙向認(rèn)證。當(dāng)認(rèn)證通過后，AP會(huì)發(fā)起對(duì)該用戶的密鑰協(xié)商，并使用協(xié)商出的密鑰通過WPI向該WAPI用戶提供加、解密服務(wù)。 AUTELANPage 333.WAPI 的工作過程 在一個(gè)采用了WAPI安全關(guān)聯(lián)機(jī)制的WLAN中，當(dāng)STA需要訪問該WLAN時(shí)，通過被動(dòng)偵