4.1 WLAN安全概述
4.1.3 WLAN加密和认证简介 （1） WLAN的加密技术
RC4加密算法是大名鼎鼎的RSA三人组中 的头号人物Ron Rivest在1987年设计的 密钥长度可变的流加密算法簇。之所以 称其为簇，是由于其核心部分的S-box长 度可任意，但一般为256字节。该算法的 速度可以达到DES加密的10倍左右，且具 有很高级别的非线性。RC4起初是用于保 护商业机密的。但是在1994年9月，它的 算法被发布在互联网上，就不再有什么 商业机密了。
音、地址等提供保密性能，不同的用户，不同 的业务和数据，有不同的安全级别要求。 合法性 只有被确定合法并给予授权的用户才能得到相应的 服务。这需要用户识别（Identification）和 身份验证(Authentication)。 数据完整性 协议应保证用户数据的完整并鉴定数据来源。
4.1 WLAN安全概述
的WEP协议，它是WLAN最初使用的安全协议。WEP 协议的设计初衷是为网络业务流提供安全保证， 使得无线网络的安全达到与有线网络同样stem认证和共享密钥认证 ； 数据加密采用RC4算法； 完整性校验采用了ICV； 密钥管理不支持动态协商，密钥只能静态配置，完 全不适合在企业等大规模部署场景。
4.1 WLAN安全概述
（3）IEEE 802.11i标准 认证基于成熟的802.1x、Radius体系 IEEE802.11i标准中定义了如下内容： 数据加密采用TKIP和AES-CCM 完整性校验采用了Michael和CBC算法 基于4次握手过程实现了密钥的动态协商。
4.1 WLAN安全概述
功能
4.1 WLAN安全概述
4.1 WLAN安全概述 由于无线局域网信道开放的特点，
使得攻击者能够很容易的进行窃听，恶 意修改并转发，因此安全性成为阻碍无 线局域网发展的最重要因素。虽然对无 线局域网的需求不断增长，但同时也让 许多潜在的用户因为不能够得到可靠的 安全保护而对最终是否采用无线局域网 系统而犹豫不决。
4.1 WLAN安全概述
（1）WLAN安全技术 物理地址（ MAC ）过滤 服务区标识符(SSID)匹配 有线对等保密（WEP） 端口访问控制技术（IEEE802.1x） WPA (Wi-Fi Protected Access) IEEE 802.11i WAPI
4.1 WLAN安全概述
（2）无线局域网安全策略的应用
⑤ 企业级入侵
⑥ 相比传统的有线网络，WLAN更容易成为入侵 内网的入口。大多数企业的防火墙都在WLAN 系统前方，如果黑客成功的攻破了WLAN系统 ，则基本认为成功地进入了企业的内网，而 有线网络黑客往往找不到合适的接入点，只 有从外网进行入侵。
4.1 WLAN安全概述
（2）WLAN安全系统的要求 机密性 这是安全系统的最基本要求，它可以为数据、 语
安全级别 初级安全 中级安全
专业级安全
典型场合
使用技术
小型企业 家庭用户
WPA-PSK+隐藏SSID+MAC地 址绑定
仓库物流 医院 学校 餐饮娱乐
IEEE802.1x认证+TKIP加密
各类公共场合 用户隔离技术＋
网络运营商
IEEE802.11i＋Radius
大中型企业
认证和计费+PORTAL页
金融机构
④ 不可否认性 ⑤ 数据的发送方不能否认它发送过的信息，否
则认为不合法； ⑥ 访问控制： ⑦ 应在接入端对STA的IP、MAC等进行维护，控
制其接入。 ⑧ 可用性 ⑨ WLAN应该具有一些对用户接入、流量控制等
一系列措施，使所有合法接入者得到较好的 用户体验。 ⑩ 健壮性 ⑪ 一个WLAN系统应该不容易崩溃,具有较好的容 错性及恢复机制 。
1999协议的WEP机制存在诸多缺陷 。 IEEE 802.11在2002年成立了802.11i工作组
，提出了AES-CCM等新的安全机制。 我国的国家标准化组织针对802.11和802.11i
标准中的不足，对WLAN的安全标准进行了 改进，制定了WAPI标准。
4.1 WLAN安全概述
（2）802.11 b中的WEP协议 02.11 b中的WEP协议 1999年，IEEE在802.11b中提出了WLAN认证与加密
第4章 目录
第4章 无线局域网安全管理 4.1 WLAN安全概述 4.2 有线等效保密(WEP) 4.3 Wi-Fi保护访问(WPA) 4.4 802.11i 4.5 WEB认证技术 4.6 WAPI技术 4.7 WLAN 认证 4.8 WLAN IDS
学习目标
通过学习本章，读者应达到如下目标： （1）了解无线网络的安全措施 （2）掌握无线网络中的WEP加密 （3）掌握基于端口的访问控制标准IEEE 802.1x （4）理解远程验证拨号用户服务（RADIUS） （5）掌握无线网络中EAP协议的应用 （6）掌握无线网络中WPA（Wi-Fi保护访问）应用 （7）掌握无线网络中Web认证的应用 （8）掌握无线网络中基于MAC地址认证的应用 （9）能够熟练应用无线网络的二层隔离和广播禁用
面推送（对运营商）
（3）无线局域网安全内容 合法性：确保访问网络资源的用户身份是合法的。 机密性：确保所传递的信息即使被截获了，截获者
也无法获得原始的数据。 完整性：如果所传递的信息被篡改，接收者能够检
测到
4.1 WLAN安全概述
4.1.1 WLAN安全标准 （1）标准的制定 IEEE 802.11工作组最初制定的IEEE802.11-
（4）WAPI标准 认证基于WAPI独有的WAI协议，使用证书作为身份
凭证； 数据加密采用SMS4算法； 完整性校验采用了SMS4算法； 基于3次握手过程完成单播密钥协商，两次握手过
程完成组播密钥协商。
4.1 WLAN安全概述
4.1.2 WLAN安全威胁分析 （1） WLAN安全威胁 未经授权的接入 指的是在开放式的WLAN系统中，非指定用户
也可以接入AP，导致合法用户可用的带宽 减少，并对合法用户的安全产生威胁。 MAC地址欺骗 对于使用了MAC地址过滤的AP,也可以通过抓 取无线包，来获取合法用户的MAC地址， 从而通过AP的验证，来非法获取资源。
4.1 WLAN安全概述
③ 无线窃听
④ 对于WLAN来说，所有的数据都是可以监听到 的，无线窃听不仅可以窃听到AP和STA的MAC ，而且可以在网络间伪装一个AP，来获取STA 的身份验证信息。