无线局域网安全原理(d1上)(修订版).ppt

WAPI： Wireless LAN Authentication and Privacy Infrastructure 无线局域网鉴别和必威体育官网网址基础结构 WLAN常用安全技术 WAPI (WLAN Authentication and Privacy Infrastructure)，即无线局域网鉴别与必威体育官网网址基础结构，它是针对IEEE802.11中WEP协议安全问题，在中国无线局域网国家标准 GB15629.11中提出的WLAN安全解决方案。它的主要特点是采用基于公钥密码体系的证书机制，真正实现了移动终端(MT)与无线接入点(AP)间双向鉴别。2006年3月7日，WAPI产业联盟成立大会在北京召开，WAPI产业联盟正式成立。 WAPI简介 WLAN常用安全技术 WAPI认证过程 WLAN常用安全技术 WAPI与802.11i的对比 项目 WEP WAPI IEEE 802.11i 鉴别 鉴别机制 单向鉴别（AP鉴别MT） 双向鉴别（AP和MT通过AS实现相互的身份鉴别） 单向和双向鉴别（MT和Radius之间），MT不能够鉴别AP的合法性 鉴别方法 开放式系统鉴别（或共享密钥鉴别） 身份凭证为公钥数字证书； 无线用户与无线接入点地位对等，实现无线接入点的接入控制； 客户端支持多证书，方便用户多处使用 用户身份通常为用户名和口令； AP后端的Radius服务器对用户进行认证； 鉴别对象 客户机 用户 用户 密钥管理 无 全集中（局域网内统一由AS管理） AP和Radius服务器之间需手工设置共享密钥； AP和MT之间只定义了认证体系结构，不同厂商的具体设计可能不兼容； 算法 64 bit RC4 192位椭圆曲线算法（ECC192） 与具体的协议有关 安全漏洞 鉴别易于伪造 未查明 用户身份凭证简单，被盗取后可任意使用； 加密 密钥 静态 动态 动态 算法 64 bit RC4 128-bit SMS4 128 bit AES和128 bit RC4 WLAN常用安全技术 5.WLAN的其他安全手段 WLAN的其他安全手段 除了以上讲述的几种常用的WLAN安全解决方法，随着技术的进步、WLAN与其他无线系统的学习和融合，还有一些多元化的选择： 动态密钥（D-Key）； 双因素身份认证（Two-factor Authenticator）； 个人防火墙（Personal Firewall）； 入侵检测系统（Intrusion Detection System）； 智能卡系统（Smart Card）； 虚拟专用网（Virtual Private Networks）； 公钥基础设施（PKI）； 生物特征识别（Biometrics）； 6.常用密码算法简介 常用密码算法简介 WLAN加密认证常用的算法有： RC4 AES RC4 RC4加密算法是大名鼎鼎的RSA三人组中的头号人物Ron Rivest在1987年设计的密钥长度可变的流加密算法簇。之所以称其为簇，是由于其核心部分的S-box长度可为任意，但一般为256字节。该算法的速度可以达到DES加密的10倍左右，且具有很高级别的非线性。RC4起初是用于保护商业机密的。但是在1994年9月，它的算法被发布在互联网上，也就不再有什么商业机密了。RC4也被叫做ARC4（Alleged RC4——所谓的RC4），因为RSA从来就没有正式发布过这个算法。 常用密码算法简介 AES （美国）国家标准技术研究所（NIST）选择Rijndael作为美国政府加密标准（AES）的加密算法，AES取代早期的数据加密标准（DES）。Rijndael由比利时计算机科学家Vincent Rijmen和Joan Daemen开发，它可以使用128位，192位或者256位的密钥长度，使得它比56位的DES更健壮可靠。Rijndael也有一个非常小的版本（52位），合适用在蜂窝电话、个人数字处理器（PDA）和其他的小设备上。 近似读音：Rijn [rain] dael [del] (莱恩戴尔)。 Rijn 来源 Rhine [莱茵河]的荷兰语(Dutch)发音。dael 是常用的人名，这词是两个科学家的名字各出一段拼成的。 常用密码算法简介 AES AES的基本要求是，采用对称分组密码体制，密钥长度的最少支持为128、192、256，分组长度128位，算法应易于各种硬件和软件实现。1998年NIST开始AES第一轮分析、测试和征集，共产生了15个候选算法。1999年3月完成了第二轮AES2的分析、测试。2000年10月2日美国政府正式宣布选中比利时密码学家Joan Daemen 和 Vincent Rijmen 提出的一种密码算法RIJNDAEL