【正文】 ，沒有任何安全防護能力，通過其他方式來保證用戶接入網(wǎng)絡(luò)的安全性，例如 Address filter、用戶報文中的 SSIDSTA APAuthentication requestAuthentication Response (success)STA APAuthentication requestPlain text challengeCipher text challengeAuthentication Response (success)預(yù)置 Key用 Key加密明文密文解密和明文比較預(yù)置 KeyWLAN工作原理 ： Authentication認(rèn)證共享密鑰認(rèn)證 ：采用 WEP加密算法。u IV在報文中明文攜帶，這樣接受方 可以解密。RC4本身并不是一個糟糕的加密算法，但是由于 IV等問題導(dǎo)致了 WEP機制不安全。簽名者 接收者對待簽名的數(shù)據(jù)進行 hash，將hash的數(shù)據(jù)用私鑰進行加密保護，即 簽名將原始數(shù)據(jù)和簽名后數(shù)據(jù)一同發(fā)送給用戶用簽名者的公鑰對簽名數(shù)據(jù)進行解密本地對原始數(shù)據(jù)計算 hash，比較本地 hash后的數(shù)據(jù)和簽名者的Hash值Hash是對任意非空長度的數(shù)據(jù)經(jīng)過運算之后得到固定長度的 hash值 ，結(jié)果 反映原始數(shù)據(jù)的特征，即數(shù)據(jù)的指紋。 最常用的是 RSA算法 證書 在 EAPTLS等 認(rèn)證 方法中，最主要作用是 幫 助 驗證 用 戶 或 AAA的身 份 41證書格式證書格式u Version: (v1,v2,v3)u Serial number: CA內(nèi)標(biāo)識證書 (用戶)的整數(shù) ,不同證書 (用戶 )的序列號不同 (同一 CA內(nèi) )u Signature algorithm identifier: CA用來簽署該證書的算法和參數(shù) ,在后面也出現(xiàn) .u Issuer name: 發(fā)行并簽署該證書的CAu Period of validity: 有效期 (起始日期和終止日期 )u Subject name: 證書持有者的姓名u Subject’s publickey info :證書持有者的的公鑰 ,算法類型及參數(shù) (可與CA的簽名算法不同 )u Signature amp。證書存檔 (Repository)一個電子站點，存放證書和作廢證書列表、 CA在用證書和作廢證書。1. Authenticator一般 是 AP或 AC，負(fù)責(zé)協(xié)助 Authentication server通過 EAPTLS等 認(rèn)證 方法對用戶身份進行認(rèn)證和執(zhí)行授權(quán)控制。由于認(rèn)證是通過 authentication server完成的，所以在認(rèn)證過程中， authenticator將把 EAPOL報文中的認(rèn)證 報文封裝 到 Radius報文中，通過 Radius報文和 authentication server進行交互。主要特點如下：? 基于證書， 可以進行身份的雙向認(rèn)證（客戶端和服務(wù)器）? 協(xié)商得到的共享密鑰是動態(tài)協(xié)商的，中間人無法知道 56EAPTLS協(xié)議流程協(xié)議流程Authenticate ServerSupplicant EAP Request/TLS StartEAP Response/TLS ClientHello(Random)EAP Request/TLS ServerHello(Random) || Certificate [|| ServerKeyExchange] [|| CertificateRequest] || ServerHelloDoneEAP Response/TLS Certificate || ClientKeyExchange [|| CertificateVerify] || ChangeCipherSpec || FinishedEAP Response/IdentityEAP Request/TLS ChangeCipherSpec || FinishedEAP SuccessEAP Response 57EAPTLS協(xié)議流程（續(xù)）協(xié)議流程（續(xù)）u客戶端和服務(wù)器通過 hello報文（ TLS Client Hello和 TLS Server Hello）來 協(xié)商認(rèn)證算法、密鑰交換算法等u客戶端和服務(wù)器的雙向身份認(rèn)證是證書來實現(xiàn) 的1. 通過 TLS Certificate報文獲得對方的 證書2. 通過 檢查證書（ CA的簽名）來確認(rèn)對方的證書是合法的 。2. 使用 Accessrequest 來承載 EAP message (from NAS to AS)。u 雖然 PMK不再握手過程中交互，但通過 MIC操作（ MIC結(jié)果在握手報文中傳遞）實現(xiàn)了對雙方的 PMK確認(rèn)。為了保證廠家的互通， WIFI聯(lián)盟參考 ，制定了 WPA（ WiFi Protected Access）規(guī)范。2. ASE對 WLAN接入設(shè)備和客戶端的身份進行認(rèn)證，并首先把他們的身份驗證結(jié)果通過認(rèn)證響應(yīng)報文發(fā)給 WLAN接入設(shè)備，再由 WLAN接入設(shè)備發(fā)給客戶端。 H3C進 行了私有 擴 展，可以 將WAPI 承 載 在 Radius報 文 75Part 4: 安全應(yīng)用和標(biāo)準(zhǔn)n無線安全應(yīng)用場景n WIDS（無線 IDS)n管理報文安全標(biāo)準(zhǔn)n 參考文獻(xiàn) 76安全標(biāo)準(zhǔn)應(yīng)用場景安全標(biāo)準(zhǔn)應(yīng)用場景No WEP 和 Broadcast ModePublic Access開放接入 40bit 和 128bit靜態(tài) WEP keyPSKSOHO基本安全WPA /WPA2/ WAPIMidMarket and Enterprise增強安全 77WIDSMonitor APAccess PointsWireless StationsHackerRogue Access PointMonitor APHackeru ，但不能主動發(fā)現(xiàn)安全隱患，無法抵抗非法設(shè)備發(fā)起的干擾攻擊等。 FIT APAC（ Access Controller）無線控制器AP管理非法無線入侵檢測位置檢測網(wǎng)絡(luò)自愈每用戶的安全策略RF管理“胖 ”AP“瘦 ”AP天線加密移動 IP,VPN, TKIP, Qos, 權(quán)限控制策略控制三層漫游天線加密移動權(quán)限控制策略控制漫游 87AP DHCPServer 無線控制器獲取 IP地址、DNS Server、域名無線控制器發(fā)現(xiàn)請求版本下載配置下載用戶數(shù)據(jù)傳遞1. AP通過 DHCP server獲取 IP地址、 DNS server、域名2. AP發(fā)出二層廣播的發(fā)現(xiàn)請求報文試圖聯(lián)系一個無線控制器3. AP在多次嘗試發(fā)現(xiàn)請求無回應(yīng)的情況下：216。Mesh的缺陷也很明顯，報文經(jīng)過無線多跳時，報文時延明顯增大，另外，路由負(fù)載占用過多的無線空口的帶寬，標(biāo)準(zhǔn)不成熟等使得 Mesh技術(shù)的應(yīng)用一直受到很大的限制。 對于 FAT AP, 該 WLAN接入設(shè)備指 FAT AP。 v3 必須采用的是橢圓曲線 不必須使用證書，如果用， V3就可 73WAPI協(xié)議過程協(xié)議過程ASE(認(rèn)證服務(wù)器）只對 ASUE（ AP or AC)和 AE (client)做身份認(rèn)證，并不參與 BK (base key)，會話密鑰等協(xié)商過程 74WAPI協(xié)議過程協(xié)議過程 (續(xù)）續(xù)）最關(guān)鍵的步驟是： 由認(rèn)證服務(wù)器通過證書鑒別無線客戶端和 WLAN接入設(shè)備身份1. 無線客戶端在發(fā)起接入鑒別后， WLAN接入設(shè)備會向遠(yuǎn)端的 ASE發(fā)起證書鑒別，鑒別請求消息中同時包含有無線客戶端和 WLAN接入設(shè)備的證書信息。為了破壞加密結(jié)果的規(guī)律性， CCM采用了 counter mode: 首先計算得到一個 counter (初始值隨機，然后累加 1), AES后得到加密值，和被加密的 block XOR。這些Key是在協(xié)議過程中動態(tài)協(xié)商產(chǎn)生的，而不是靜態(tài)配置的。 58RADIUS協(xié)議支持協(xié)議支持 EAPAttribute包括如下的字段， Type標(biāo)示屬性的類別， Type由 IETF統(tǒng)一分配。具體的認(rèn)證方法（如 EAPTLS)負(fù)責(zé)實現(xiàn)：? 用戶數(shù)據(jù)的加密保護? 雙向認(rèn)證? 密鑰推演（動態(tài) key協(xié)商） 54EAP主要流程主要流程(EAPResponse Identity)EAPResponse IdentityEAPSuccess || PMKEAPSuccessServerNASPeerEAPOL EAP 傳輸認(rèn)證方法對應(yīng)的 EAP Request認(rèn)證方法對應(yīng)的 EAP Response直到成功或失敗(EAPRequest Identity)計算 Master Session Key (MSK) 計算 Master Session Key (MSK)EAPOL: Extensible Authentication Protocol over LAN 55EAPTLS協(xié)議協(xié)議1994年 Netscape開發(fā)了 SSL(Secure Socket Layer)協(xié)議 ，專門用于保護 Web通訊， SSL經(jīng)過了多個版本演化 。這 就是EAPOL（ EAP over link）報文的作用。?由證書使用者（如 IE客戶端，檢查用戶證書的 AAA等），對證書執(zhí)行如下檢查：1. 驗證證書的簽名，用簽發(fā)該證書的 CA的公鑰進行驗證2. CRL檢查，證書是否撤銷。 43PKI基本組成（續(xù)）基本組成（續(xù)）公鑰 證書由 可信實體簽名的電子記錄，記錄將公鑰和密鑰（公私鑰對）所有者 的 身