《无线网络教学资料》1_wlan安全体系--含wapi--v2.pptVIP

WLAN平安;内容;1.无线网络平安概况;常规平安威胁分析;非授权访问威胁分析;平安性主要包括三个方面：访问控制、必威体育官网网址性、完整性

访问控制：确保敏感的数据仅由获得授权的用户访问

必威体育官网网址性：确保传送的数据只被目标接收人接收和理解。

完整性：信息不能被篡改;平安三要素;;;;;;;;;;3.无线网络平安进程;;;;;;;;;;对称和非对称密钥;非对称密钥典型应用;非对称密钥典型应用;非对称密钥典型应用;;802.11认证方法;RC4加密算法;InitializationVector(IV);IntegrityCheckValue(ICV)

;802.11平安问题小结;802.11i协议标准;;802.11i协议概述;IEEE802.11i主流程;;802.1x认证参与实体;802.1x体系架构;IEEE802.1x和EAP;;;;;802.1x认证过程;1.最初的802.1x通讯开始以一个非认证客户端设备尝试去连接一个认证端(如AP)，客户端发送一个EAP起始消息。然后开始客户端认证的一连串消息交换。

2.AP回复EAP-请求身份消息。

3.客户端发送给认证效劳器的EAP的响应信息包里包含了身份信息。AP通过激活一个只允许从客户端到AP有线端的认证效劳器的EAP包的端口，并关闭了其它所有的传输，像HTTP、DHCP和POP3包，直到AP通过认证效劳器〔例如：RADIUS〕来验证用户端的身份。

4.认证效劳器使用一种特殊的认证算法去验证客户端身份。同样它也可以通过使用数字证书或其他类型的一些EAP认证。

5.认证效劳器会发送同意或拒绝信息给这个AP。

6.AP发送一个EAP成功信息包〔或拒绝信息包〕给客户端。

7.如果认证效劳器认可这客户端，那么AP将转换这客户端的端口到授权状态，并转发其它的通信。;802.1x受控和非受控端口;RADIUS;802.11iKEY关系图;TKIP;综上，TKIP虽然与WEP同样都是基于RC4加密算法，但却引入了4个新算法：

●扩展的48位初始化向量〔IV〕和IV顺序规那么〔IVSequencingRules〕；

●每包密钥构建机制〔per-packetkeyconstruction〕；

●Michael消息完整性代码〔MessageIntegrityCode，MIC〕；

●密钥重新获取和分发机制。;AES-CCM;802.11i和WEP比照;WPA认证;802.11i实施方案;一、IEEE802.11i系统在工作的时候，先由AP向外公布自身对系统的支持，在Beacons、ProbeResponse等报文中使用新定义的信息元素〔InformationElement〕，这些信息元素中包含??AP的平安配置信息〔包括加密算法和平安配置等信息〕。

二、STA〔终端〕根据收到的信息选择相应的平安配置，并将所选择的平安配置表示在其发出的AssociationRequest和Re-AssociationRequest报文中。;802.11i协议通过上述方式，来实现STA与AP之间的加密算法以及密钥管理方式的协商。

另外，AP需要工作在开放系统认证方式下，STA以该模式与AP建立关联之后：

如果网络中有Radius效劳器作为认证效劳器，那么STA就使用802.1x方式进行认证；

如果网络中没有Radius，STA与AP就会采用预共享密钥〔PSK，Pre-SharedKey〕的方式。;1、STA通过802.1x身份验证之后，AP就会得到一个与STA相同的SessionKey，AP与STA将该SessionKey作为PMK〔PairwiseMasterKey，对于使用预共享密钥的方式来说，PSK就是PMK〕。

2、随后AP与STA通过EAPoL-KEY进行WPA的四次握手〔4-WayHandshake〕过程。

3、在这个过程中，AP和STA均确认了对方是否持有与自己一致的PMK，如不一致，四次握手过程就告失败，连接也因此中断，反之建立连接。;完整的802.1x认证过程;中国WAPI标准;WAPI标准概述

;WAPI认证实体;WAPI和802.11i相似点;WAPI和802.11i差异;WAPI协议过程;WAPI协议过程(续〕;5.应用;