1、专专 业业 务务 实实 学学 以以 致致 用用学习情境学习情境2 2:实训任务:实训任务2.72.7专专 业业 务务 实实 学学 以以 致致 用用任务场景及描述任务场景及描述1任务相关任务相关工具软件介绍工具软件介绍2任务设计、规划任务设计、规划3任务实施及方法技巧任务实施及方法技巧4任务检查与评价任务检查与评价5任务总结任务总结6专专 业业 务务 实实 学学 以以 致致 用用任务场景及描述任务场景及描述专专 业业 务务 实实 学学 以以 致致 用用任务相关工具软件介绍任务相关工具软件介绍Back track4Back track4软件软件:BT4(backtrack4)是一款完全免费的便携l
2、inux系统。它是目前网络上最著名的攻击平台,能够非常方便的破解无线网络密码。其中内置的spoonwep更是一个非常强悍的图形化破解wep无线网络密码的工具,使用它用户可以轻松的破解WiFi无线密码,软件能够支持U盘,光盘和硬盘启动。专专 业业 务务 实实 学学 以以 致致 用用任务设计、规划任务设计、规划专专 业业 务务 实实 学学 以以 致致 用用任务设计、规划任务设计、规划专专 业业 务务 实实 学学 以以 致致 用用专专 业业 务务 实实 学学 以以 致致 用用 无线局域网(WLAN)具有安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点,因此无线局域网得到越来越广泛的使用
3、。但是由于无线局域网信道开放的特点,使得攻击者能够很容易的进行窃听,恶意修改并转发,因此安全性成为阻碍无线局域网发展的最重要因素。虽然一方面对无线局域网需求不断增长,但同时也让许多潜在的用户对不能够得到可靠的安全保护而对最终是否采用无线局域网系统犹豫不决。为了有效的对WLAN的安全进行保护,先后出现了多种技术或机制。它们可以单独使用,也可以结合起来使用。专专 业业 务务 实实 学学 以以 致致 用用WLANWLAN安全概述安全概述专专 业业 务务 实实 学学 以以 致致 用用IEEEIEEE标准标准标准描述标准描述802.111997年制定的第一份WLAN PHY标准,制定了MAC及直接序列展
4、频技术(DSSS)和跳频展频技术(DFSS)802.11a1999年制定的PHY标准,确定了最大速率54Mbps及运行在5.8GHz的频率之上,确定了使用正交频分复用(OFDM)技术802.11b1999年制定的PHY标准,确定最大速率11Mbps及运行在2.4GHz的频率之上TGc负责更正802.11a编码规范的任务组。802.11d扩展调频的功能,使之能在不同的管治区域中使用TGe为MAC提供QOS扩展功能,在形成802.11e之前,先形成WMM的过渡版本。802.11f改善接入点之间漫游功能的内部协议。802.11g2003年制定的PHY标准,确定了最大速率54Mbps及运行在2.4GH
5、z的频率之上。802.11h使802.11a符合欧洲的无线电标准。802.11802.11为为IEEEIEEE(电机电子工程师协会)于(电机电子工程师协会)于19971997年公告的无线区域网路标准,适年公告的无线区域网路标准,适用于有线站台与无线用户或无线用户之间的沟通连结。用于有线站台与无线用户或无线用户之间的沟通连结。专专 业业 务务 实实 学学 以以 致致 用用IEEEIEEE标准标准标准描述标准描述802.11i链路层的安全标准。802.11j使802.11a符合日本无线电管制的标准TGk改善客户端与网络间的通信,使无线电资源的管理和利用更有效。TGm负责将802.11a,802.1
6、1b,802.11d及TGc 的变动整合进802.11主规范中。802.11n2009年制定的标准,制定了最大600Mbps,可运行于2.4GHz和5.8GHz,采用多进多出技术(MIMO)智能天线技术及OFDM的先进无线标准。TGp负责让802.11适用汽车行业的任务组。TGr加强漫游的性能TGs负责让802.11成为网状网络技术(MESH)的任务组TGt负责为802.11设计测试与测量标准的任务组。TGu负责让802.11与其他不同网络技术互通的任务组专专 业业 务务 实实 学学 以以 致致 用用常见的常见的WLANWLAN解决方案解决方案WEP802.1X EAPWPA802.1i/WP
7、A2引入时间1997200120032004加密静态密钥,易被破解动态密钥动态密钥,每个分组都有动态密钥,每个分组都有,最安全用户认证无(可选的MAC地址过滤)用户名/密码,证书,预共享密钥(PSK)用户名/密码,证书,PSK用户名/密码,证书,PSK区别静态64比特密钥,RC4算法使用验证服务器验证过渡方案,使用TKIP使用128位的AES加密和CCMP算法专专 业业 务务 实实 学学 以以 致致 用用常见的常见的WLANWLAN解决方案解决方案可以将这些技术手段整合起来,在不同的场景使用不同级可以将这些技术手段整合起来,在不同的场景使用不同级别的安全策略,例如:别的安全策略,例如:安全级别
8、安全级别典型场合典型场合使用技术使用技术初级安全小型企业,家庭用户等WPA-PSK+隐藏SSID+MAC地址绑定中级安全仓库物流、医院、学校、餐饮娱乐IEEE802.1x认证+TKIP加密专业级安全各类公共场合及网络运营商、大中型企业、金融机构用户隔离技术IEEE802.11iRadius认证和计费+PORTAL页面推送(对运营商)专专 业业 务务 实实 学学 以以 致致 用用WLANWLAN安全漏洞分析安全漏洞分析WLANWLAN的安全威胁主要来自于以下几个部分:的安全威胁主要来自于以下几个部分:u未经授权的接入:指的是在开放式的WLAN系统中,非指定用户也可以接入AP,导致合法用户可用的带
9、宽减少,并对合法用户的安全产生威胁。uMAC地址欺骗:对于使用了MAC地址过滤的AP,也可以通过抓取无线包,来获取合法用户的MAC地址,从而通过AP的验证,来非法获取资源。u无线窃听:对于WLAN来说,所有的数据都是可以监听到的,无线窃听不仅可以窃听到AP和STA的MAC,而且可以在网络间伪装一个AP,来获取STA的身份验证信息。u企业级入侵:相比传统的有线网络,WLAN更容易成为入侵内网的入口。大多数企业的防火墙都在WLAN系统前方,如果黑客成功的攻破了WLAN系统,则基本认为成功的进入了企业的内网,而有线网络黑客往往找不到合适的接入点,只有从外网进行入侵。专专 业业 务务 实实 学学 以以
10、 致致 用用基于以上的针对基于以上的针对WLANWLAN系统的安全威胁,系统的安全威胁,WLANWLAN系统的安全系统系统的安全系统应满足以下的要求应满足以下的要求:u机密性:机密性:这是安全系统的最基本要求,它可以提供数据、语音、地址等的保密性,不同的用户,不同的业务和数据,有不同的安全级别要求;u合法性:合法性:只有被确定合法并给予授权的用户才能得到相应的服务。这需要用户识别(Identify)和身份验证(Authenticate);u数据完整性:数据完整性:协议应保证用户数据的完整并鉴定数据来源;u不可否认性:不可否认性:数据的发送方不能否认它发送过的信息,否则认为不合法;u访问控制:访
11、问控制:应在接入端对STA的IP,MAC等进行维护,控制其接入;u可用性:可用性:WLAN应该具有一些对用户接入、流量控制等一系列措施,使所有合法接入者得到较好的用户体验;u健壮性:健壮性:一个WLAN系统应该不容易崩溃,具有较好的容错性及恢复机制。WLANWLAN系统的安全要求系统的安全要求专专 业业 务务 实实 学学 以以 致致 用用基本无线安全技术基本无线安全技术uSSIDSSID 只要使用者能够提出正确的SSID,存取点AP就接受用户端的登入请求。通常情况下,无线接入点AP会向外广播其SSID。我们可以通过Disable SSID Broadcast来提高无线网络安全性。uMAC MA
12、C AP可以通过stations的MAC address来对特定的stations进行filter管理,从而可以表示是allow 还是deny这些stations来associate该AP专专 业业 务务 实实 学学 以以 致致 用用基本无线安全技术基本无线安全技术u 可以采用的安全防范方式包括:可以采用的安全防范方式包括:改变默认设置改变默认设置,例如,例如SSIDSSID、密码和、密码和IPIP地址。地址。禁用禁用SSIDSSID广播广播功能功能 配置配置MACMAC地址过滤地址过滤 改变无线路由和改变无线路由和AP的出厂默认设置是至关重要的!的出厂默认设置是至关重要的!专专 业业 务务
13、实实 学学 以以 致致 用用基本无线安全技术基本无线安全技术u MAC MAC 地址过滤地址过滤专专 业业 务务 实实 学学 以以 致致 用用WEP(Wired Equivalent PrivacyWired Equivalent Privacy)有线等同加密有线等同加密专专 业业 务务 实实 学学 以以 致致 用用IEEE 802.11b规定的一个可选择的加密称为有线对等加密,提供一种无线局域网数据流的安全方法。它是一种对称加密,其中加密和解密的密钥及算法(RC4和XOR演算法)相同。WEP只对数据帧的实体加密,而不对数据帧控制域以及其他类型帧加密。使用了该技术的无线局域网,所有客户端(ST
14、A)与无线接入点(AP)的数据都会以一个共享的密钥进行加密,密钥的长度有64/128/256bits几种方式(对应的key value分别是40/104/232bits)。其中包括24位是初始向量IV,WEP使用的具体算法是RC4加密。经过WEP加密的封包中,只有MAC地址和IV是明码,其余部分都是经过RC4加密后来传送的。RC4(Rivest Cipher,由RSA算法中的第一人设计的)串流加密算法达到机密性,并由CRC32验证数据完整性。用户输入WEP共享密码可以用ASCII和HEX两种方式来输入,其中ASCII为字符模式,既输入5(64bit模式)个或13(128bit模式)字符;HEX
15、模式为十六进制模式,既输入10个(64bit模式)或26个(128bit模式)从0-9及A-F之间的字符。专专 业业 务务 实实 学学 以以 致致 用用WEPWEP加密流程加密流程方框图方框图:|WEPPRNG函数函数异或异或IV密文密文完整性完整性检测算法检测算法|明文明文种子种子密钥密钥序列序列完整性检测值完整性检测值ICV初始化向初始化向量量IV密钥密钥伪随机码产生器伪随机码产生器消息消息1.密钥和IV一起生成一个输入PRNG(伪随机码产生器)的种子,通过PRNG输出一个密钥序列.2.完整性检测算法作用于明文产生一个ICV(Integrity Check Value,长度为32bits)
16、.3.加密过程是通过对明文和ICV与密钥序列异或操作来完成的.4.发出去消息内容:IV(明文),加密后的密文.专专 业业 务务 实实 学学 以以 致致 用用WEPWEP解密流程方框图及流程解密流程方框图及流程:1.取得附于封包中的IV。2.将取得的IV与密钥通过PRNG运算得出密钥序列。3.用密钥序列解密出原始明文和ICV1。4.对解密出的明文执行完整性检测,得出ICV2。5.将ICV2与解密出的ICV1相比较,如二者相同,则证明收到的帧是正确的,如二者不同,则证明收到的帧有误,并会发送一个错误的指示到MAC层管理实体,带有错误的帧将不会传给LLC。IVIV 密文密文|WEPWEPPRNGPR
17、NG函数函数异或异或完整性完整性检测检测ICV2ICV2密钥序列密钥序列种子种子密钥密钥消息消息ICV1ICV1明文明文ICV1ICV1ICV1=ICV2?ICV1=ICV2?专专 业业 务务 实实 学学 以以 致致 用用WEPWEP认证控制方式认证控制方式1.1.开放式系统认证开放式系统认证 Open systemOpen system不需要密钥验证就可以连接,即不使用预共享密钥等方式进行身份的认证,但这并不代表无线传输的数据是不加密的。2 2.共享密钥共享密钥Shared Shared keykey(PSK:Pre-Share Key PSK:Pre-Share Key)它做为一种认证算法
18、应在WEP加密的基础上实现。该机制的双方必须有一个公共密钥,同时要求双方支持WEP加密,然后使用WEP对测试文本进行加密和解密,以此来证明双方拥有相同的密钥。专专 业业 务务 实实 学学 以以 致致 用用探测请求探测请求AP回应探测请求回应探测请求认证请求认证请求AP回应认证请求回应认证请求连接请求连接请求连接请求回复、建立连接连接请求回复、建立连接无线工作站无线工作站无线无线AP专专 业业 务务 实实 学学 以以 致致 用用探测请求探测请求AP回应探测请求回应探测请求认证请求认证请求AP回应认证,发送挑战字符串回应认证,发送挑战字符串连接请求连接请求连接请求回复、建立连接连接请求回复、建立连
19、接无线工作站无线工作站无线无线AP加密挑战字符串返回给加密挑战字符串返回给APAP解密并对比原明文一致则认证成功解密并对比原明文一致则认证成功专专 业业 务务 实实 学学 以以 致致 用用用shared key认证,选择wep加密的,要和AP建立连接的话,就需要4次握手。1.1.第一次握手,第一次握手,STASTA向向APAP发出认证请求。发出认证请求。802.11management802.11management这个是管理帧,这个是管理帧,Auth Algorithm Auth Algorithm 是说明是哪种认证方式,如果是是说明是哪种认证方式,如果是1 1就代表就代表shared ke
20、yshared key,如果是,如果是0 0就代表就代表open systemopen system。Auth Auth SeqSeq Num Num:这个代表的是第:这个代表的是第几次握手。几次握手。Status codeStatus code:这个是说握手的状态。:这个是说握手的状态。专专 业业 务务 实实 学学 以以 致致 用用第二次第二次握手,握手,APAP响应响应STA,STA,里面包含里面包含128128的挑战字串。的挑战字串。Auth Seq Num:当前为:当前为2,表示第,表示第2次握手,次握手,status code:显示也是成功的。:显示也是成功的。我们还可以看到我们还可
21、以看到128位的挑战字串。位的挑战字串。专专 业业 务务 实实 学学 以以 致致 用用第三次握手,第三次握手,STASTA对挑战字串加密,丢给对挑战字串加密,丢给APAP。这次我们看不到这次我们看不到Auth Seq Num:因为它被加密了。这次我们看到了多了:因为它被加密了。这次我们看到了多了iv向量。向量。Wep data就是加密后的内容。就是加密后的内容。专专 业业 务务 实实 学学 以以 致致 用用u 第四次握手,第四次握手,APAP对对STASTA加密的密文进行解密,对比原来的明文。加密的密文进行解密,对比原来的明文。Auth Seq Num为为4了,说明是第了,说明是第4次握手,状
22、态是也显示成功的。次握手,状态是也显示成功的。专专 业业 务务 实实 学学 以以 致致 用用uWEP加密,challenge txt和加密后的密文都是可以看到的,3个字节的IV也是明文。uWEP加密采用的算法就是简单的异或运算,u明文(异或)加密流=密文u密文(异或)明文=加密流u异或运算又是可逆的。专专 业业 务务 实实 学学 以以 致致 用用WEPWEP的安全弱点的安全弱点u802.2头信息和简单的rc4流密码算法,导致攻击者在有客户端并有大量有效通信时,可以分析出WEP的密码。uIV重复使用导致在攻击者在有客户端。少量通信或者没有通讯时,可以使用 arp重放的方法获得大量有效数据。u无身
23、份验证机制,使用线性函数 CRC32 进行完整性校验。无身份验证机制,导致攻击者能使用-1 fakeauth count attack mode和 AP建立伪链接进而获得XOR 文件。使用线性函数 CRC32 进行完整性校验,导致攻击者能用 XOR 文件伪造一个arp包。然后依靠这个包去捕获大量有效数据。专专 业业 务务 实实 学学 以以 致致 用用WPA(Wi-Fi Protected Access)无线联盟数据保护和访问控制标准无线联盟数据保护和访问控制标准专专 业业 务务 实实 学学 以以 致致 用用WPAWPA(Wi-Fi Protected Access Wi-Fi Protecte
24、d Access)u 无线联盟制定的一种等级更高的数据保护和访问控制标准,用于升级现存的或将来的无线局域网系统。采用RADIUS和Pre-Shared Key(预共享密钥)两种认证方式。u RADIUS方式:用户提供认证所需的凭证,如用户名密码,通过特定的用户认证服务器(一般是RADIUS服务器)来实现。适用于大型企业网络。u 如果采用PSK方式:仅要求在每个WLAN节点(AP、无线路由器、网卡等)预先输入一个密钥即可实现。只要密钥吻合,客户就可以获得WLAN的访问权。适用于家庭网络。u WPA包含了认证、加密和数据完整性校验三个组成部分,是一个完整的安全性方案专专 业业 务务 实实 学学 以
25、以 致致 用用WPAWPA(Wi-Fi Protected Access Wi-Fi Protected Access)WPA-PSK采用的是一种叫做TKIP(Temporal Key Integrity Protocol,临时密钥集成协议)的协议,它的设计完全是在WEP的基础上升级而来,一般都能适用于早期使用WEP的设备。它对比WEP,做出的改进主要有:u加入了密钥管理;加入了密钥管理;u每帧生成密钥;每帧生成密钥;u序列号计数器;序列号计数器;u非线形的消息完整性检验。非线形的消息完整性检验。专专 业业 务务 实实 学学 以以 致致 用用TKIP加密技术加密技术u 新一代的加密技术TKIP
26、与WEP一样基于RC4加密算法,但为了解决WEP静态密钥容易被他人获得的问题,对现有的WEP进行了改进,在现有的WEP加密引擎中追加了“密钥细分(每发一个包重新生成一个新的密钥)”、“消息完整性检查(MIC)”、“具有序列功能的初始向量(IV)”和“密钥生成和定期更新功能”等4种算法,从而提高了加密安全强度u WPA采用TKIP来对密钥进行管理,该协议要求加密密钥在一定时间间隔内就要更换,更换的时间间隔要小于最成熟的破解者破解密钥所需要的最短时间。即使密钥每10分钟被更换一次,一个Wi-Fi客户端还是需要知道用哪个密钥开始。WPA规范要求WPA产品自动产生这一密钥。专专 业业 务务 实实 学学
27、 以以 致致 用用AESAES加密技术加密技术 AES(Advanced Encryption Standard)是一个新的可以用于保护电子数据的加密算法。明确地说,AES 是一个迭代的、对称密钥分组的密码.它可以使用128、192 和 256 位密钥,并且用 128 位(16字节)分组加密和解密数据。AES 算法是基于置换和代替的。置换是数据的重新排列,而代替是用一个单元数据替换另一个。AES 使用了几种不同的技术来实现置换和替换。作为一种全新的高级加密标准,AES加密算法采用对称的块加密技术,提供比WEP/TKIP中RC4算法更高的加密性能,它将在IEEE 802.11i最终确认后,成为取
28、代WEP的新一代的加密技术,为无线网络带来更强大的安全防护。专专 业业 务务 实实 学学 以以 致致 用用802.11i802.11i802.11802.11链路安全标准链路安全标准专专 业业 务务 实实 学学 以以 致致 用用 为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容,IEEE802.11工作组开发了作为新的安全标准的IEEE802.11i,并且致力于从长远角度考虑解决IEEE 802.11无线局域网的安全问题。IEEE 802.11i 标准中主要包含加密技术:uTKIP(Temporal Key Integrity Protocol)uAES(Advanced E
29、ncryption Standard)uIEEE802.1x。IEEE 802.11i标准已在2004年6月24美国新泽西的IEEE标准会议上正式获得批准。802.11i802.11i的来历和组成部分的来历和组成部分专专 业业 务务 实实 学学 以以 致致 用用 WPA、WPA2是WI-FI联盟推动的对802.11安全标准的升级,它们在802.11i还未出台前就市场化了。可以说WPA就是802.11i的子集,在市场的一些WLAN设备上常见一些叫法:uWPAWPA个人版:即个人版:即802.11i TKIP802.11i TKIPuWPAWPA企业版:即企业版:即802.1x802.1xuWPA
30、2WPA2个人版:加入了个人版:加入了CCMPCCMPuWPA2WPA2企业版:即企业版:即802.1x802.1x802.11i802.11i和和WPAWPA的关系的关系专专 业业 务务 实实 学学 以以 致致 用用 CCMP主要是两个算法所组合而成的,分别是CTR mode以及CBC-MAC mode。CTR mode为加密算法,CBC-MAC用于讯息完整性的运算。在IEEE 802.11i 规格书中,CCMP为default mode,在所谓的RSN network中,扮演相当重要的角色。以下将分别简介CTR mode以及CBC-MAC。RSN:802.11RSN:802.11规范的健壮
31、安全网络规范的健壮安全网络(Robust Security Network)(Robust Security Network)CCMPCCMP加密加密专专 业业 务务 实实 学学 以以 致致 用用uCTR ModeCTR Mode:全名是Advanced Encryption Standard(AES)in Counter Mode,在CCMP使用的AES 是based on Rijndael Algorithm所发展出的算法,主要是经过NIST(National Institute of Standards and Technology)修改并且认证,不再有TKIP protocol支持WE
32、P系统的既有攻击,所以在安全强度上,有一定的水平。uCBC-MACCBC-MAC:全名是Cipher Block Chaining Message Authentication Code,就如同其名,主要是针对message block作运算,最后输出message authentication code,达到验证message的效果(因为CTR并没有提供authentication的机制)。CBC-MAC加解密过程主要是把Message block经由block cipher algorithm加密后,再把输出给下一个block当input使用。一开始第一个block没有input所以IV用
33、0代入。在CCMP里会把低位的64-bit无条件的去掉,只取高位64-bit当做MIC。CCMPCCMP加密加密专专 业业 务务 实实 学学 以以 致致 用用802.1x802.1x端口访问控制端口访问控制专专 业业 务务 实实 学学 以以 致致 用用 802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交
34、换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。802.1x的核心是EAP协议(Extensible Authentication Protocol)。802.1x802.1x简介简介专专 业业 务务 实实 学学 以以 致致 用用 在802.1x协议中,只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。u客户端:客户端:一般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。u认证系统:认证系统:在无线网络中就是无线接入点AP或者具有无线接入点AP功能的通信设备。其主要作用是完成用户认证信息的上传、下达工作
35、,并根据认证的结果打开或关闭端口。u认证服务器:认证服务器:通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的服务,并根据认证结果向认证系统发出打开或保持端口关闭的状态。802.1x802.1x体系结构体系结构专专 业业 务务 实实 学学 以以 致致 用用 EAP是802.1x的核心,从客户端到验证端通过EAPOL协议传送,从验证断到验证服务器端是通过EAP over Radius协议传送。802.1x802.1x体系结构体系结构专专 业业 务务 实实 学学 以以 致致 用用同步头7字节起始帧1字节目的地址6字节源地址6字节长度/类型2字节数据461500字节C
36、RC4字节PAE的以太网类型2字节协议版本1字节数据帧类型1字节数据帧长度2字节数据N字节数据帧类型值EAP-Packet0 x00EAPOL-Start0 x01EAPOL-Logoff0 x02EAPOL-Key0 x03EAPOL-Encapsulated-ASF-Alert0 x04EAPOLEAPOL在以太网帧中的位置在以太网帧中的位置专专 业业 务务 实实 学学 以以 致致 用用典型的典型的STA-AP-RADIUSSTA-AP-RADIUS认证过程认证过程EAPoLEAPoR专专 业业 务务 实实 学学 以以 致致 用用PORTALPORTALWEBWEB认证技术认证技术专专 业
37、业 务务 实实 学学 以以 致致 用用 PORTAL 在英语中是入口的意思。PORTAL 认证通常也称为WEB 认证,一般将 PORTAL 认证网站称为门户网站。未认证用户上网时,设备强制用户登录到特定站点,用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时,必须在门户网站进行认证,只有认证通过后才可以使用互联网资源。用户可以主动访问已知的 PORTAL 认证网站,输入用户名和密码进行认证,这种开始 PORTAL 认证的方式称作主动认证。反之,如果用户试图通过HTTP 访问其他外网,将被强制访问 PORTAL 认证网站,从而开始 PORTAL 认证过程,这种方式称作强制认证。POR
38、TAL 业务可以为运营商提供方便的管理功能,门户网站可以开展广告、社区服务、个性化的业务等,使宽带运营商、设备提供商和内容服务提供商形成一个产业生态系统。PORTALPORTAL概述概述专专 业业 务务 实实 学学 以以 致致 用用主要系统组成主要系统组成uAccess Controller:接入控制器。实现用户强制Portal、业务控制,接收Portal Server发起的认证请求,完成用户认证功能。uPortal Server:门户网站。推送认证页面及用户使用状态页面,接收WLAN用户的认证信息,向AC发起用户认证请求以及用户下线通知。uRadius Server:中心认证服务器,和AC一
39、同完成用户认证,并将用户使用网络信息提供后台计费系统。PORTALPORTAL的系统组成的系统组成专专 业业 务务 实实 学学 以以 致致 用用PORTALPORTAL认证分为两种模式认证分为两种模式,为为:1.CHAP模式2.PAP模式其中CHAP模式是具有请求挑战字的模式,密码不以明文传输,较PAP的明文传输密码安全,所以是PORTAL认证的首选模式。PORTALPORTAL的认证过程的认证过程专专 业业 务务 实实 学学 以以 致致 用用CHAPCHAP认证过程认证过程专专 业业 务务 实实 学学 以以 致致 用用1.1.用户访问网站,经过用户访问网站,经过ACAC重定向到重定向到Por
40、tal ServerPortal Server;2.2.Portal serverPortal server推送统一的认证页面;推送统一的认证页面;3.3.用户填入用户名、密码,提交页面,向用户填入用户名、密码,提交页面,向Portal ServerPortal Server发起连接请求;发起连接请求;4.4.PortalPortal向向RadiusRadius发出用户信息查询请求,由发出用户信息查询请求,由RadiusRadius验证用户密码、查询用户信验证用户密码、查询用户信息,并向息,并向PortalPortal返回查询结果及系统配置的单次连接最大时长、手机用户及卡返回查询结果及系统配置
41、的单次连接最大时长、手机用户及卡用户的套餐剩余时长信息;用户的套餐剩余时长信息;5.5.如果查询失败,如果查询失败,PortalPortal结束认证流程,并直接返回提示信息给用户,指导用户结束认证流程,并直接返回提示信息给用户,指导用户开户及正确使用;开户及正确使用;6.6.如果查询成功,如果查询成功,Portal ServerPortal Server向向ACAC请求请求ChallengeChallenge;7.7.ACAC分配分配ChallengeChallenge给给Portal ServerPortal Server;8.8.Portal ServerPortal Server向向AC
42、AC发起认证请求;发起认证请求;9.9.而后而后ACAC进行进行RADIUSRADIUS认证,获得认证,获得RADIUSRADIUS认证结果;认证结果;10.10.ACAC向向Portal ServerPortal Server送认证结果;送认证结果;11.11.Portal ServerPortal Server根据编码规则判断帐户的归属地,推送归属地定制的个性化页根据编码规则判断帐户的归属地,推送归属地定制的个性化页面,并将认证结果、系统配置的单次连接最大时长、套餐剩余时长、自服务选面,并将认证结果、系统配置的单次连接最大时长、套餐剩余时长、自服务选项填入页面,和门户网站一起推送给客户项填
43、入页面,和门户网站一起推送给客户,同时启动正计时提醒;同时启动正计时提醒;12.12.Portal ServerPortal Server回应确认收到认证结果的报文。回应确认收到认证结果的报文。CHAPCHAP认证过程认证过程专专 业业 务务 实实 学学 以以 致致 用用PAPPAP认证过程认证过程专专 业业 务务 实实 学学 以以 致致 用用1.用户访问网站,经过AC重定向到Portal Server;2.Portal server推送统一的认证页面;3.用户填入用户名、密码,提交页面,向Portal Server发起连接请求;4.Portal向Radius发出用户信息查询请求,由Radiu
44、s验证用户密码、查询用户信息,并向Portal返回查询结果及系统配置的单次连接最大时长、手机用户及卡用户的套餐剩余时长信息;5.如果查询失败,Portal直接返回提示信息给用户,指导用户开户及正确使用;6.如果查询成功,Portal Server向AC发起认证请求;7.而后AC进行RADIUS认证,获得RADIUS认证结果;8.AC向Portal Server送认证结果;9.Portal Server根据编码规则判断帐户的归属地,推送归属地定制的个性化页面,并将认证结果、系统配置的单次连接最大时长、套餐剩余时长、自服务选项填入页面,和门户网站一起推送给客户,同时启动正计时提醒;10.Porta
45、l Server回应确认收到认证结果的报文。PAPPAP认证过程认证过程专专 业业 务务 实实 学学 以以 致致 用用 PORTAL认证的第一步也是最重要的一步就是让用户能看到PORTAL登录页面,其关键点就是能将用户的HTTP请求重定向到AC(直接让用户输入PORTAL的URL也可以,但是用户体验程度就比较低下了)。现在比较普遍的做法是,AC在集中转发模式下,收到未认证(AC中有用户状态可维护)用户的第一个HTTP请求,则发送一个HTTP Redirect报文(“302MovedTemporarily”或“301MovedPermanen”),其中包含URL如下:http:/xxx.xxx.
46、xxx.xxx/?wlanuserip=xxx.xxx.xxx.xxx&wlanacip=xxx.xxx.xxx.xxx 其中:wlanuserip为请求用户的IP,wlanacip为ac的IP。PORTALPORTAL认证过程中的重定向认证过程中的重定向专专 业业 务务 实实 学学 以以 致致 用用WAPIWAPI:Wireless LAN Authentication and Privacy InfrastructureWireless LAN Authentication and Privacy Infrastructure无线局域网鉴别和保密基础结构无线局域网鉴别和保密基础结构专专 业
47、业 务务 实实 学学 以以 致致 用用 WAPI(WLAN Authentication and Privacy Infrastructure),即无线局域网鉴别与保密基础结构,它是针对IEEE802.11中WEP协议安全问题,在中国无线局域网国家标准 GB15629.11中提出的WLAN安全解决方案。它的主要特点是采用基于公钥密码体系的证书机制,真正实现了移动终端(MT)与无线接入点(AP)间双向鉴别。2006年3月7日,WAPI产业联盟成立大会在北京召开,WAPI产业联盟正式成立。WAPIWAPI简介简介专专 业业 务务 实实 学学 以以 致致 用用WAPIWAPI认证过程认证过程专专 业
48、业 务务 实实 学学 以以 致致 用用项目项目WEPWEPWAPIWAPIIEEE 802.11iIEEE 802.11i鉴别鉴别机制单向鉴别(AP鉴别MT)双向鉴别(AP和MT通过AS实现相互的身份鉴别)单向和双向鉴别(MT和Radius之间),MT不能够鉴别AP的合法性鉴别方法开放式系统鉴别(或共享密钥鉴别)身份凭证为公钥数字证书;无线用户与无线接入点地位对等,实现无线接入点的接入控制;客户端支持多证书,方便用户多处使用 用户身份通常为用户名和口令;AP后端的Radius服务器对用户进行认证;鉴别对象客户机用户用户密钥管理无全集中(局域网内统一由AS管理)AP和Radius服务器之间需手工
49、设置共享密钥;AP和MT之间只定义了认证体系结构,不同厂商的具体设计可能不兼容;算法64 bit RC4192位椭圆曲线算法(ECC192)与具体的协议有关安全漏洞鉴别易于伪造未查明用户身份凭证简单,被盗取后可任意使用;加密密钥静态动态动态算法64 bit RC4128-bit SMS4128 bit AES和128 bit RC4WAPIWAPI与与802.11i802.11i的对比的对比专专 业业 务务 实实 学学 以以 致致 用用WLANWLAN的其他安全手段的其他安全手段 除了以上讲述的几种常用的WLAN安全解决方法,随着技术的进步、WLAN与其他无线系统的学习和融合,还有一些多元化的
50、选择:1.动态密钥(D-Key);2.双因素身份认证(Two-factor Authenticator);3.个人防火墙(Personal Firewall);4.入侵检测系统(Intrusion Detection System);5.智能卡系统(Smart Card);6.虚拟专用网(Virtual Private Networks);7.公钥基础设施(PKI);8.生物特征识别(Biometrics);专专 业业 务务 实实 学学 以以 致致 用用专专 业业 务务 实实 学学 以以 致致 用用 RC4 RC4加密算法是大名鼎鼎的加密算法是大名鼎鼎的RSARSA三人组中的头号人物三人组中的
