---

WLAN加密技術(shù)

WLAN網(wǎng)絡(luò)中，如果想用戶的數(shù)據(jù)不被泄露和窺視，必須對(duì)用戶的數(shù)據(jù)進(jìn)行加密。

---

一、WEP加密

WEP是一種以RC4流加密為基礎(chǔ)的二層加密機(jī)制，WEP加密的3個(gè)目的是機(jī)密性、完整性和認(rèn)證。

• 機(jī)密性：數(shù)據(jù)傳輸之前對(duì)其加密。
• 完整性：會(huì)確認(rèn)數(shù)據(jù)傳輸過(guò)程中沒(méi)有被篡改
• 認(rèn)證：客戶端必須和AP的WEP密鑰相同才能獲得相應(yīng)的應(yīng)用授權(quán)。
  
  ?

1.WEP加密過(guò)程

簡(jiǎn)單說(shuō)明：

• 系統(tǒng)會(huì)對(duì)需要加密的明文數(shù)據(jù)進(jìn)行CRC循環(huán)冗余校驗(yàn)，校驗(yàn)的結(jié)果放在數(shù)據(jù)的尾部。
• 系統(tǒng)會(huì)自動(dòng)生成一個(gè)24位的IV，與靜態(tài)密鑰混合，然后通過(guò)算法生成WEP密文，最后，將明文的IV添加到加密數(shù)據(jù)的頭部，完成加密。

?
?

二、TKIP加密

WEP容易受到IⅣ碰撞攻擊、弱密鑰攻擊、再注入攻擊以及比特翻轉(zhuǎn)攻擊。TKIP對(duì)其進(jìn)行了完善和改進(jìn)。采用的是CCMP高級(jí)加密標(biāo)準(zhǔn)。下面介紹它的一些新功能。

1.密鑰層次結(jié)構(gòu)與自動(dòng)密鑰管理

• 與WEP不同，采用多密鑰，最后用來(lái)加密幀的密鑰是從這些主密鑰派生而來(lái)的。
  ?

2.每幀生成密鑰

• TKIP然后采用RC4流加密算法，為了防范弱口令攻擊，TKIP會(huì)被每個(gè)幀派生特有的RC4密鑰，稱為密鑰混合。
• 

?

3.序列號(hào)計(jì)數(shù)器

• 為每個(gè)幀分配序列號(hào)可識(shí)別出次序錯(cuò)亂的幀，這樣便能防范入侵者先攔截有效封包，一段時(shí)間后再予以重傳的攻擊。
  ?

4.新的消息完整性校驗(yàn)（MIC）

• 以一種可靠的Michael的完整性校驗(yàn)散列算法。
• 這種算法更容易探測(cè)偽造幀。
  ?
  ?

三、CCMP加密

• 這種加密方式是802.1i默認(rèn)的加密方式，以AES加密算法為基礎(chǔ)。對(duì)于AES來(lái)說(shuō)，目前沒(méi)有破解方法。
• CCMP/AES采用128位加密密鑰，信息被加密為128位的定長(zhǎng)區(qū)塊。
• 由于采用了AES算法，不需要密鑰混合。
• AES對(duì)硬件的要求較高。

?

?
?

WLAN安全策略及安全模板配置

一、開(kāi)放系統(tǒng)認(rèn)證+明文

三個(gè)字總結(jié)：不加密

?

二、共享密鑰認(rèn)證+WEP加密

共享密鑰認(rèn)證需要客戶端和AP配置相同的共享密鑰。共享密鑰認(rèn)證方式下WEP加密密鑰可以同時(shí)指定4個(gè)密鑰，密鑰索引分別為0、1、2、3。如果是WEP-40加密，則加密密鑰可配置為10個(gè)十六進(jìn)制或者5個(gè) ASCII字符。配置如下：

[AC6605-wlan-view]security-profile name default
[AC6605-wlan-sec-prof-default]wep default-key 0
[AC6605-wlan-sec-prof-default]wep key 0 wep-40 hex a123456789 [AC6605-wlan-sec-prof-default]wep key 0 ?    #三種加密方式              wep-104  WEP-104 wep-128  WEP-128wep-40   WEP-40[AC6605-wlan-sec-prof-default]wep key 0 wep-40 ? #普通和hex方式hex          Hexadecimal pass-phrase  Passphrase 

[AC6605-wlan-sec-prof-default]security ?open      Open system#開(kāi)放不加密 wapi      WLAN authentication and privacy infrastructure #中國(guó)提出的，中國(guó)無(wú)線局域網(wǎng)強(qiáng)制性標(biāo)準(zhǔn)中的安全機(jī)制。wep       Wired equivalent privacy wpa       Wi-Fi protected access  #不安全，適用于家庭的網(wǎng)絡(luò)wpa-wpa2  Wi-Fi protected access version 1&2 #混合策略，便于多種類型的設(shè)備接入。wpa2      Wi-Fi protected access version 2 #采用共享密鑰認(rèn)證方式，理論上很安全。

?

三、WLAN策略對(duì)比