当前课程知识点:网络技术与应用 > 第9讲 网络安全 > 9.5 无线局域网安全技术 > 9.5 无线局域网安全技术
无线局域网是通过自由空间传播电磁波
实现终端之间的互相通信
因此它没有物理连接和物理边界
这两个特性使得无线局域网的安全问题成为十分严峻的问题
下面就来学习无线局域网的安全技术
我们主要学习无线局域网安全问题和解决机制
然后学习两个无线局域网的安全标准
一是WEP 二是WPA2
无线局域网的特点就是开放性
一是频段开放性
因为无线局域网所使用的频率是美国ISM频段的开放频段
因此使用这些频段的人都可以接收到无线局域网
发送的信息
二是空间的开放性
任何一个终端都可以进入到无线局域网的覆盖范围里
这两个开放性带来了相应的安全问题
一是任何终端均可向无线局域网中的其他终端发送数据
二是任何位于某个终端电磁波传播范围内的其他终端
都可以接收到该终端发送的数据
这样的话 黑客就可以利用这样一些特点
冒充授权终端窃取网络当中的信息
篡改网络当中的信息
因此无线局域网需要有一套完善的安全机制
下面看一下无线局域网的安全机制
无线局域网的特点可以使得黑客冒充授权终端
无线局域网的安全机制通过接入控制功能
来解决这个问题
第二通过数据加密解决窃取数据的问题
第三 利用检测数据完整性解决篡改数据的问题
无线局域网的安全技术就是实现终端身份鉴别
数据加密和完整性检测的技术
下面看一下无线局域网的标准
在PT软件里面 在config选项卡中有这样一个选项
这个选项就是身份验证选项
这个里面有三项
WEP WPA2 WPA
这三项实际上就是三个无线局域网的安全标准
WEP是有线等效保密的英文缩写
这个标准是最早的无线局域网安全标准
WPA是Wi-Fi网络安全接入的英文缩写
这是一个过渡的安全标准
现在常用的是WPA2 是WPA的另外一个版本
后面的内容主要介绍较早的WEP标准
和WPA2标准
下面先来看一下WEP标准
先来看一下它的加密机制
发送端的加密过程是先生成24位的初始向量IV
然后跟40的密钥串接在一起形成64位随机数种子
经过伪随机数生成器PRING生成一个一次性的密钥K
对数据进行一个循环冗余算法之后生成一个循环冗余码
这个循环冗余码作为一个完整性的检验值
然后数据和循环冗余码连接在一起以后
跟一次性密钥K进行异或运算
生成一个密文
这里的加密算法就是异或运算
非常的简单
然后把初始向量IV以明文的形式
和密文一起发送给接收端
接收端的解密过程是这样
当接收端接收到IV和密文以后
把IV分离出来 跟它自己的密钥串接
然后通过伪随机数生成器生成一个一次性密钥
然后和接收到的密文进行异或操作
还原出原来的数据和完整性检验码
然后对数据进行循环冗余操作
生成一个循环冗余码
跟接收到的循环冗余码相比较
如果两个是相同的
说明数据在传输过程当中没有被修改过
否则 说明数据在传输过程当中被篡改了
在这里特别说明一下伪随机数生成器的特点
一是不同的输入产生不同的一次性密钥
二是伪随机数生成器是一个单向函数
可以通过密钥和IV算出一个密文
但是它不能通过IV和接收到的密文推导出共享密钥
因此从过程当中可以看出来
WEP加密机制的加密过程与完整性检验融合在一起
接下来看一下WEP的鉴别机制
鉴别机制有两种
一个是开放系统鉴别机制
这个相当于无身份鉴别
下面看一下第二种机制 共享密钥鉴别机制
共享密钥鉴别机制是这样
比如这是一个终端 这是一个AP
终端向AP发送一个鉴别请求
AP发送一个鉴别响应
在鉴别响应里面发送了128个字节的随机数
然后终端对随机数进行加密以后
发送一个鉴别请求
然后终端AP还原出原来的的随机数
和AP保留的随机数进行比较
如果是相同的
那么鉴别接通过 发送鉴别响应帧
这是鉴别的过程
通过刚才的讨论
WEP的安全存在一些缺陷
主要体现在这么几个方面
一是同一个BSS中的终端使用相同密钥
无法确保数据的保密性
二是一次性密钥集有限 它的数量不可能是无穷大
很容易发送重复使用一次性密钥的情况
因此攻击者只要接收到了一个一次性密钥以后
以后用这个一次性密钥去解密数据就可能会成功
三是循环冗余的方法计算完整性检验值
完整性检测能力有限
身份鉴别过程也存在缺陷
我们来看一下
比如这是一个AP 这是一个授权终端和一个入侵终端
授权终端发起鉴别请求
AP给它一个鉴别响应 发送一个随机数p
授权终端通过异或运算计算出一个密文Y
然后发送一个鉴别请求
鉴别请求里面有Y和IV
在这个过程当中
入侵终端都可侦听到它们的鉴别请求和响应过程的全部数据
截获鉴别响应随机数P
又截获鉴别请求中的Y和IV
通过Y和P
再次进行异或 就可以得出密钥K
这样的话 它可以向AP发送鉴别请求
然后当AP给它发送一个鉴别响应P'的时候
它就可以用推算出的密钥K 对P进行异或操作
生成一个密文Y'
同时把Y'和侦听到的IV一起发送给AP
AP检查密钥和IV都是正常范围里的
因此就鉴别成功
给入侵终端发送鉴别成功帧
这是它的安全问题
这个标准产生问题就产生了另外一个新的标准WPA
那么下面讨论它的目前常用版本WPA2
这个标准有两种模式
企业模式和个人模式
企业模式是基于用户接入控制
每个用户有独立的用户名和口令
个人模式基于终端的接入控制
在WPA2个人模式下是这样
属于相同BSS的终端匹配相同的预共享密钥
称为PSK
每一个终端与AP之间又有独立的密钥
把这个密钥称为成对过渡密钥
简称为PTK
PTK是PSK的派生密钥
在PT软件当中
有这样一个配置项供选择是个人模式还是企业模式
下面主要介绍个人模式
看一下派生密钥的计算方法
首先由PSK导出PMK
PSK是成对主密钥 是256位的密钥
通过PSK的导出过程可以通过一个单向函数计算出来的
单向函数的参数有SSID SSID长度 PSK等
然后由PMK再推导出PTK
在PT软件里 还有这样一些配置
无论是个人模式还是企业模式
都有AEC和TKIP两个选项
因此在PMK导出PTK的过程当中
这两个选项对应的导出过程是不一样得到
我们来看一下它的过程
这是一个伪随机数生成器
它的输入有256位的PMK
还有AP的MAC地址 AP生成的一个随机数
还有终端生成的一个随机数
还有终端的MAC地址
然后经过伪随机数生成器后
不同的模式下有不同的密钥
如果是TKIP模式 是生成4个密钥
分别是KCK KEK TKIP TK和TKIP MIC
如果是AES-CCMP模式生成3个密钥
分别是KCK KEK CCMP TK
KCK是身份鉴别密钥
KEK是加密广播密钥
TKIP TK是加密密钥
MIC是完整性检测密钥
AES-CCMP模式的加密密钥和完整性检测密钥
是相同的
我们来看一下加密过程
在这里对加密过程做个简单的介绍
终端和AP之间以128位的TKIP的TK密钥
或者是128位的AES-CCMP TK作为加密密钥
这是两种模式
对终端和AP之间传输数据进行加密
每一个终端与AP之间的密钥是不同的
因此同一个BSS中的其他终端无法解密
某个终端与AP之间传输的加密数据
另外 TKIP和AES-CCMP加密过程是不一样的
AES-CCMP的安全性更高一些
加密过程比较复杂 这里就不再详细介绍了
只要了解原理就行了
第三 看一下它的完整性检测
完整性检测是终端和AP之间以128位的TKIP MIC
或者128位的AES-CCMP TK作为加密密钥
对终端与AP之间传输的数据的报文摘要进行加密
由于每一个终端与AP之间的密钥是不同的
因此同一个BSS中的其他终端无法解密某个终端
与AP之间传输的加密的报文摘要
这两种模式下的完整性检测过程是不一样的
AES-CCMP模式的安全性更高一些
在这里也不详细介绍完整性检测过程
下面看一下身份鉴别过程
这种模式下的身份鉴别过程是这样
首先建立关联
为了和802.11终端接入无线局域网的过程兼容
采用的是开放系统的鉴别
也就相当于是没有鉴别
主要是下面的802.1x接入控制过程
重点看一下802.1x的接入控制过程
它的控制过程是这样
它的主要功能是身份鉴别和计算派生密钥
首先AP生成随机数AN
终端接收到AN以后生成一个随机数SN
然后计算出PTK
然后分离出身份鉴别密钥KCK
然后对数据进行报文摘要算法并且加密
然后把计算以后的MIC和SN发送给AP
AP接收到SN以后生成PTK'
然后分离出其中的KCK'
对数据进行报文摘要计算和加密
计算出MIC'
然后由MIC'和它接收到的MIC是否相同
判别终端KCP和AP KCK是否一致
如果是一致的 终端就通过对终端A的身份验证
AP就把计算出来的MIC'和AN发送给终端
终端以同样的方法鉴别AP是否与它自己拥有相同的KCK
如果是的话 就发送一个ACK报文
然后一起发送ACK MIC
完成鉴别过程
最后把WPA2和WEP之间进行一下比较
WPA2为每一个终端与AP派生出独立的PTK
WEP是所有终端使用相同的密钥产生用于加密数据
和完整性检验值的一次性密钥
WPA2用报文摘要算法对数据计算报文摘要
并且加密
计算出64位的消息完整性编码
WEP用循环冗余码计算出32位的完整性检验值
相对来说 WEP计算比较简单
WPA2采用的是双向鉴别机制
通过交换D和报文摘要并且加密以后
确定双方是否拥有相同的PSK
WEP采用单向鉴别机制
AP通过有效初始向量与一次性密钥
确定终端有着与AP相同的共享密钥
最后对刚才的内容进行一下简单的小结
无线局域网由于开放性存在严重的安全问题
安全机制的核心是身份鉴别 数据加密 完整性检测
无线局域网的安全标准有WEP WPA WPA2
其中WPA2是目前常用的无线局域网安全标准
-课程先导语
--先导语
-1.1 网络内涵
--网络内涵
-1.2 互联网发展过程
--互联网发展过程
-1.2 互联网发展过程--作业
-1.3 交换方式
--电路交换
-- 虚电路交换
--数据报交换
--三种交换方式比较
--html
-1.3 交换方式--作业
-1.4 计算机网络体系结构和协议
--分层结构
--OSI体系结构
-1.4 计算机网络体系结构和协议--作业
-第一讲内容的启示
--html
-例题分析
--例题分析
-测验--作业
-本讲内容简介
-2.1 数据传输系统
-2.1 数据传输系统--作业
-2.2 信号
--2.2 信号
-2.2 信号--作业
-2.3 编码和调制
--2.3-1 编码
--2.3-2 调制
-2.3 编码和调制--作业
-2.4 差错控制
-2.4 差错控制--作业
-2.5 传输媒体
--2.5 传输媒体
-2.5 传输媒体--作业
-2.6 Packet Tracer6.2使用说明
-第二讲内容的启示
--html
-例题分析
--例题分析
-测验--作业
-以太网发展过程与内容简介
-以太网发展过程与内容简介--作业
-3.1 总线形以太网
-3.1 总线形以太网--作业
-3.2 网桥与冲突域分割
-3.2 网桥与冲突域分割--作业
-3.3 交换式以太网与VLAN
-3.3 交换式以太网与VLAN--作业
-3.4 以太网标准
-3.4 以太网标准--作业
-第三讲内容的启示
--html
-例题分析
--例题分析
-案例设计
--案例设计
-测验--作业
-本讲内容简介
--无线局域网
-4.1 无线局域网概述
-4.1 无线局域网概述--作业
-4.2 无线局域网应用方式
-4.2 无线局域网应用方式--作业
-4.3 无线局域网MAC层
-4.3 无线局域网MAC层--作业
-4.4 终端接入无线局域网过程
-4.4 终端接入无线局域网过程--作业
-4.5 无线局域网设计和分析
-第四讲内容的启示
--html
-例题分析
--例题分析
-测验--作业
-本讲内容简介
-- IP与网络互连
-5.1 网络互连机制
-5.1 网络互连机制--作业
-5.2 网际协议
-5.2 网际协议--作业
-5.3 IP分组传输过程
-5.3 IP分组传输过程--作业
-5.4 路由表建立过程
-5.4 路由表建立过程--作业
-5.5 IP over以太网
-5.5 IP over以太网--作业
-5.6 三层交换机与VLAN间通信过程
-5.7 Internet控制报文协议
-5.7 Internet控制报文协议--作业
-第五讲内容启示
--html
-案例设计
--案例设计
-例题分析
-测验--作业
-本讲内容简介
--本讲内容简介
-6.1 Internet接入控制机制
-6.1 Internet接入控制机制--作业
-6.2 以太网和ADSL接入技术
-6.2 以太网和ADSL接入技术--作业
-6.3 家庭局域网接入方式与无线路由器
-6.3 家庭局域网接入方式与无线路由器--作业
-6.4 接入综合演示实验
-6.4 接入综合演示实验--作业
-第六讲内容的启示
--html
-例题分析
--第六讲 例题分析
-测验--作业
-本讲内容简介
--传输层
-7.1 传输层服务特性
--传输层服务特性
-7.1 传输层服务特性--作业
-7.2 端口号
--端口号
-7.3 用户数据报协议UDP
-7.3 用户数据报协议UDP--作业
-7.4 传输控制协议TCP
--TCP特点和格式
-- TCP的几点说明
-7.4 传输控制协议TCP--作业
-第七讲内容启示
--html
-例题分析
--例题分析
-测验--作业
-本讲内容简介
-- 应用层
-8.1 应用结构
--应用结构
-8.1 应用结构--作业
-8.2 域名解析
-8.2 域名解析--作业
-8.3 动态主机配置协议
-8.3 动态主机配置协议--作业
-8.4 万维网
-- 万维网
-8.4 万维网--作业
-8.5 电子邮件
--html
-8.6 文件传输协议
--html
-例题分析
--例题分析
-案例设计
--CH8 案例设计
-应用层启示
--html
-测验--作业
-本讲内容简介
-9.1 网络安全概述
-9.1 网络安全概述--作业
-9.2 网络安全基础
-9.2 网络安全基础--作业
-9.3 病毒检测与防御技术
-9.3 病毒检测与防御技术--作业
-9.4 以太网安全技术
-9.4 以太网安全技术--作业
-9.5 无线局域网安全技术
-9.5 无线局域网安全技术--作业
-9.6 防火墙
-9.6 防火墙--作业
-9.7 安全协议
--9.7 安全协议
-9.7 安全协议--作业
-例题分析
--例题分析
-防火墙演示实验
-- 防火墙演示实验
-案例设计
--案例设计
-网络安全的启示
--html
-测验--作业
-附录1:综合应用分析
--综合应用分析
-附录2:Cisco实际设备网络构建与配置
-期末考试--考试试题
