目錄

終端認(rèn)證技術(shù)

WEP認(rèn)證

PSK認(rèn)證

802.1x認(rèn)證與MAC認(rèn)證

Portal認(rèn)證

數(shù)據(jù)加密技術(shù)

WEP加密

TKIP加密

CCMP加密

TKIP和CCMP生成密鑰所需要的密鑰信息

802.11安全標(biāo)準(zhǔn)

WEP共享密鑰認(rèn)證、加密工作原理

WEP共享密鑰認(rèn)證

WEP加解密過(guò)程

PSK認(rèn)證以及生成動(dòng)態(tài)密鑰的工作原理

802.1x認(rèn)證以及生成動(dòng)態(tài)密鑰的工作原理

無(wú)線網(wǎng)絡(luò)存在的安全隱患

數(shù)據(jù)沒(méi)有加密

無(wú)線數(shù)據(jù)是在空氣中傳播，任何個(gè)人都可以通過(guò)空口抓包網(wǎng)卡截獲到數(shù)據(jù)，導(dǎo)致信息泄露

沒(méi)有接入認(rèn)證

所有終端都可以連接到無(wú)線信號(hào)，然后去訪問(wèn)有線網(wǎng)絡(luò)，進(jìn)行攻擊

非法AP接入

STA連接到非法AP，數(shù)據(jù)被竊取

可以通過(guò)WIDS、WIPS來(lái)反制AP（后續(xù)講解）

STA上線流程

Wlan——STA上線流程與802.11MAC幀講解_靜下心來(lái)敲木魚(yú)的博客-CSDN博客

終端認(rèn)證技術(shù)

目前我們使用到的認(rèn)證主要有WEP認(rèn)證、PSK認(rèn)證、802.1x認(rèn)證與MAC認(rèn)證、Portal認(rèn)證

WEP認(rèn)證

WEP認(rèn)證可以分為開(kāi)放系統(tǒng)認(rèn)證和共享密鑰認(rèn)證

WEP 開(kāi)放系統(tǒng)認(rèn)證（Open System Authentication）

不對(duì)站點(diǎn)身份進(jìn)行認(rèn)證的認(rèn)證方式；沒(méi)有做認(rèn)證

通過(guò)2個(gè)認(rèn)證報(bào)文進(jìn)行交互（認(rèn)證請(qǐng)求、認(rèn)證應(yīng)答）

適用于開(kāi)放性場(chǎng)景，對(duì)安全性要求不高

WEP 共享密鑰認(rèn)證（Shared Key Autheentication）

通過(guò)判斷對(duì)方是否掌握相同的密鑰來(lái)確定對(duì)方的身份是否合法

具體的認(rèn)證過(guò)程在此文章的Wlan安全標(biāo)準(zhǔn)講解

PSK認(rèn)證

PSK認(rèn)證（Pre-shared key）

PSK主要是個(gè)人用戶進(jìn)行認(rèn)證

要求在STA側(cè)預(yù)先配置Key，AP通過(guò)4次握手Key協(xié)商協(xié)議來(lái)驗(yàn)證STA側(cè)Key的合法性

具體的認(rèn)證流程在此文章的Wlan安全標(biāo)準(zhǔn)有講解（此認(rèn)證會(huì)生成動(dòng)態(tài)加密密鑰）

PPSK中小型企業(yè)認(rèn)證（每個(gè)用戶一個(gè)密碼）? 配置的密鑰有數(shù)量限制

每個(gè)終端一個(gè)密鑰，在AP設(shè)備上提前去生成一些密鑰，然后把密鑰告訴終端，終端連接上無(wú)線信號(hào)的時(shí)候就會(huì)把MAC地址這些域密鑰做綁定

一個(gè)密鑰與MAC地址綁定之后，其余人就無(wú)法使用了

802.1x認(rèn)證與MAC認(rèn)證

802.1x認(rèn)證（需要認(rèn)證服務(wù)器-大型網(wǎng)絡(luò)）

相對(duì)來(lái)說(shuō)是比較安全的，通過(guò)用戶名+密碼的方式進(jìn)行認(rèn)證

支持802.3有線網(wǎng)絡(luò)和802.1x無(wú)線網(wǎng)絡(luò)

802.1x有線網(wǎng)絡(luò)的認(rèn)證流程

802.1x認(rèn)證和MAC認(rèn)證講解_靜下心來(lái)敲木魚(yú)的博客-CSDN博客

802.1x無(wú)線網(wǎng)絡(luò)的認(rèn)證流程

在此文章的Wlan安全標(biāo)準(zhǔn)講解（此認(rèn)證會(huì)生成動(dòng)態(tài)加密密鑰）

MAC地址認(rèn)證

通過(guò)Radius服務(wù)器進(jìn)行MAC地址認(rèn)證（在Radius服務(wù)器添加終端的MAC）

認(rèn)證的大致流程

當(dāng)MAC接入認(rèn)證發(fā)現(xiàn)當(dāng)前接入的客戶端為未知客戶端，會(huì)主動(dòng)向Radius服務(wù)器發(fā)送認(rèn)證請(qǐng)求

在Radius服務(wù)器完成對(duì)該用戶的認(rèn)證后，認(rèn)證通過(guò)的用戶可以訪問(wèn)無(wú)線網(wǎng)絡(luò)

缺陷

當(dāng)終端數(shù)量較多時(shí)，配置繁瑣；由于終端的MAC也是可以更改的，所以存在一些安全隱患

Portal認(rèn)證

Portal認(rèn)證（Web認(rèn)證）

采用瀏覽器輸入域名重定向到Portal界面進(jìn)行用戶認(rèn)證

Portal認(rèn)證講解_portal web認(rèn)證_靜下心來(lái)敲木魚(yú)的博客-CSDN博客

數(shù)據(jù)加密技術(shù)

主要有無(wú)線終端使用的加密技術(shù)主要有WEB加密、TKIP加密、CCMP加密

WEP加密

WEP是無(wú)線等效保密技術(shù)的簡(jiǎn)稱，對(duì)在兩臺(tái)設(shè)備間傳輸?shù)臒o(wú)線數(shù)據(jù)做加密，并提供認(rèn)證

WEP認(rèn)證在上述已經(jīng)講解，現(xiàn)在主要做WEB加密的講解

WEP加密技術(shù)--無(wú)線領(lǐng)域第一個(gè)安全協(xié)議

使用RC4流加密技術(shù)保證數(shù)據(jù)的機(jī)密性

使用CRC-32保證數(shù)據(jù)的完整性（循環(huán)冗余校驗(yàn)去校驗(yàn)數(shù)據(jù)的完整性）

采用靜態(tài)密鑰進(jìn)行加密，如果被其它用戶破解了，就可以使用此密鑰破解數(shù)據(jù)

Wep的密鑰的組成

Wep密鑰由IV的前24bit和40/104位的靜態(tài)密鑰組成

IV一共4字節(jié)

IV前3個(gè)字節(jié)也就是24bit作為初始化向量，是隨機(jī)生成的，IV越長(zhǎng)越安全

后2bit的Key ID用來(lái)表示使用的是哪個(gè)密鑰（因?yàn)樵谠O(shè)置Wep靜態(tài)密鑰時(shí)，我們可以設(shè)置4個(gè)靜態(tài)密鑰，但是使用時(shí)只可以使用一個(gè)，使用哪個(gè)密鑰就可以通過(guò)Key ID來(lái)區(qū)分）

靜態(tài)wep密鑰

WEP加密方式的靜態(tài)密鑰有40bit或者104bit，這個(gè)靜態(tài)密鑰就是我們自己設(shè)置的密鑰

通過(guò)不同的單位表示：16進(jìn)制就是10/26位，Ascii就是5/13位

具體的加解密過(guò)程在此文章的Wlan安全標(biāo)準(zhǔn)講解（此認(rèn)證會(huì)生成動(dòng)態(tài)加密密鑰）

TKIP加密

TKIP加密技術(shù)--是WAP標(biāo)準(zhǔn)中的加密算法（WPA由WiFi聯(lián)盟定義）

?WEP的升級(jí)版，采用動(dòng)態(tài)密鑰，對(duì)于每個(gè)數(shù)據(jù)幀都生成一個(gè)密鑰去加密

?也是使用RC4來(lái)保證數(shù)據(jù)的機(jī)密性；不過(guò)密鑰由WEP的104位增加到128位，加密IV的長(zhǎng)度由24位增加到了48位

?采用MIC來(lái)保證數(shù)據(jù)的完整性，比CRC32更可靠

具體如何加密和校驗(yàn)不做講解，只講解如何生成動(dòng)態(tài)密鑰，在此文章的Wlan安全標(biāo)準(zhǔn)講解

CCMP加密

CCMP加密技術(shù)--WPA2標(biāo)準(zhǔn)

?WPA2是Wifi聯(lián)盟定義出來(lái)的WPA的第二個(gè)版本

?CCMP稱為計(jì)數(shù)器模式密碼塊鏈消息完整碼協(xié)議

?也是動(dòng)態(tài)生成密鑰，采用AES的加密算法進(jìn)行加密，通過(guò)CCM實(shí)現(xiàn)數(shù)據(jù)完整性校驗(yàn)

具體如何加密和校驗(yàn)不做講解，只講解如何生成動(dòng)態(tài)密鑰，在此文章的Wlan安全標(biāo)準(zhǔn)講解

TKIP和CCMP生成密鑰所需要的密鑰信息

TKIP/CCMP生成密鑰所需要使用到的密鑰

PMK ???? 成對(duì)主密鑰，用于生成PTK的材料，不用于實(shí)際的數(shù)據(jù)加解密

PTK? ???? 成對(duì)臨時(shí)密鑰，實(shí)際的密鑰，用于加解密數(shù)據(jù)

PTK又包含三個(gè)部分

?????? KCK??????? 對(duì)EAPOL-KEY消息進(jìn)行完整性校驗(yàn)產(chǎn)生MIC值

?????? KEK??????? EAPOL-KEY消息的加密密鑰

?????? TK????????? 普通數(shù)據(jù)的加密密鑰

MIC KEY 用于后續(xù)數(shù)據(jù)報(bào)文的完整性校驗(yàn)(TKIP的PTK會(huì)多成一個(gè)密鑰，用于對(duì)后續(xù)報(bào)文的完整性校驗(yàn)；CCMP不包含)

GMK?????? 為組主密鑰，用于生成GTK，而GTK主要用于組播和廣播的加密

PTK用于單播報(bào)文的加密

PMK/PTK密鑰的生成方式（目前主要有802.1x和PSK兩種方式）

如果是802.1x認(rèn)證之后進(jìn)行數(shù)據(jù)加密，則是PMK是由MSK組會(huì)話密鑰產(chǎn)生

?????? 認(rèn)證成功之后會(huì)在認(rèn)證成功報(bào)文里面會(huì)攜帶MSK，然后生成PMK、PTK密鑰

?????? 然后通過(guò)交互EAPOL-KEY報(bào)文文成無(wú)線加密密鑰的配置

通過(guò)PTK生成加密密鑰進(jìn)行報(bào)文的數(shù)據(jù)加密

如果是PSK認(rèn)證之后進(jìn)行數(shù)據(jù)加密，PMK就不是MSK組會(huì)話密鑰產(chǎn)生的（具體交互過(guò)程在WPA安全標(biāo)準(zhǔn)講解）

PMK/PTK生成所需的材料（WAP/WAP2密鑰為PSK的認(rèn)證密鑰）

由SSID和我們配置的密鑰去做哈希產(chǎn)生PMK的，然后通過(guò)PMK和STA的MAC等信息hash生成PTK

然后通過(guò)交互EAPOL-KEY報(bào)文交互完成無(wú)線加密密鑰的配置

通過(guò)PTK生成加密密鑰進(jìn)行報(bào)文的數(shù)據(jù)加密

802.11安全標(biāo)準(zhǔn)

無(wú)線的安全標(biāo)準(zhǔn)主要由三個(gè)

WEP標(biāo)準(zhǔn)（傳統(tǒng)標(biāo)準(zhǔn)）

WPA標(biāo)準(zhǔn)

WAP2標(biāo)準(zhǔn)（也可以稱為RSN）

其中WEP標(biāo)準(zhǔn)只支持WEP方式的認(rèn)證和加密

WAP標(biāo)準(zhǔn)支持PSK和802.1x的認(rèn)證，但是只支持TKIP的加密方式，

WPA2支持PSK和802.1x的認(rèn)證，支持CCMP（AES）、TKIP兩種加密方式

WEP共享密鑰認(rèn)證、加密工作原理

WEP共享密鑰認(rèn)證

通過(guò)4個(gè)認(rèn)證報(bào)文進(jìn)行交互

?????? 認(rèn)證請(qǐng)求、明文質(zhì)詢消息、密文質(zhì)詢消息、認(rèn)證結(jié)果

報(bào)文交互過(guò)程

1. STA發(fā)送認(rèn)證請(qǐng)求
2. AP收到后，生成明文質(zhì)詢信息，發(fā)送給STA；明文質(zhì)詢信息可以看成是隨機(jī)數(shù)
3. STA對(duì)明文質(zhì)詢進(jìn)行加密發(fā)給AP（加密方式是采用無(wú)線用戶本身設(shè)置的靜態(tài)WEP密鑰去做加密）
4. AP同樣也對(duì)明文質(zhì)詢進(jìn)行加密（加密使用的是AP上已經(jīng)設(shè)置好的靜態(tài)WEP的密鑰）；將加密結(jié)果與STA發(fā)來(lái)的結(jié)果做對(duì)比，然后返回認(rèn)證結(jié)果

缺陷

可以通過(guò)空口抓包抓到AP生成的隨機(jī)數(shù)和STA加密后的密文，然后就可以推導(dǎo)出密鑰；不是很安全

WEP加解密過(guò)程

WEP的加解密過(guò)程

Wep加密

ICV：CRC-32對(duì)明文數(shù)據(jù)進(jìn)行校驗(yàn)得到的校驗(yàn)值

1. 通過(guò)靜態(tài)的WEP密鑰再加IV（初始化向量）通過(guò)RC4流加密算法擴(kuò)展成與明文的數(shù)據(jù)（包含數(shù)據(jù)與CRC-32對(duì)ICV）等長(zhǎng)的密鑰流
2. 將此密鑰流與（明文數(shù)據(jù)+ICV）進(jìn)行異或得到加密數(shù)據(jù)
3. 然后將加密數(shù)據(jù)加上之前隨機(jī)生成的IV一起發(fā)送給認(rèn)證端（為什么發(fā)送出去的加密數(shù)據(jù)要加上IV字段？防止相同數(shù)據(jù)加密后出現(xiàn)相同的密文，防止靜態(tài)密鑰被破解；還攜帶使用的key id信息）

Wep解密--具體終端和AP使用哪個(gè)密鑰進(jìn)行加密，通過(guò)終端發(fā)來(lái)的IV中Key ID字段決定

1. 到達(dá)AP之后，IV是明文，AP將先將IV提取出來(lái)，將前3個(gè)字節(jié)與自身配置的靜態(tài)密鑰去做RC4算法形成密鑰流
2. 然后將加密的數(shù)據(jù)與自身形成的密鑰流再做異或，還原出加密數(shù)據(jù)，此時(shí)還原出來(lái)的數(shù)據(jù)包含（明文數(shù)據(jù)+ICV）
3. 此時(shí)AP對(duì)明文數(shù)據(jù)進(jìn)行CRC-32循環(huán)校驗(yàn)再算出一個(gè)ICV，然后將兩個(gè)進(jìn)行對(duì)比；數(shù)據(jù)一致的話就說(shuō)明數(shù)據(jù)沒(méi)有被更改過(guò)，是完整的

WEP加解密的異或過(guò)程

異或：相加為1則為1，為非1則為0

加密：將數(shù)據(jù)（二進(jìn)制表示）與密鑰流（二進(jìn)制表示）相加進(jìn)行異或，得到加密數(shù)據(jù)

解密：將加密的數(shù)據(jù)與自身形成的密鑰流相加，進(jìn)行異或，得到數(shù)據(jù)

PSK認(rèn)證以及生成動(dòng)態(tài)密鑰的工作原理

PSK認(rèn)證階段--對(duì)用戶認(rèn)證并生成加密密鑰，用于CCMP/TKIP加密（不講解TKIP和CCMP如何加密）

4個(gè)認(rèn)證報(bào)文

報(bào)文交互流程

Anonce就是AP（認(rèn)證端）產(chǎn)生的隨機(jī)數(shù)

Snonce 就是終端（請(qǐng)求者）產(chǎn)生的隨機(jī)數(shù)

1. 當(dāng)終端進(jìn)行認(rèn)證時(shí)，認(rèn)證方發(fā)送自己產(chǎn)生的隨機(jī)數(shù)給終端（明文）
2. 終端收到此隨機(jī)數(shù)后，自己也產(chǎn)生一個(gè)隨機(jī)數(shù)Snonce；根據(jù)Snonce等材料生成了PMK和PTK（包含KCK、KEK、TK）密鑰；然后發(fā)送自身產(chǎn)生的Snonce和通過(guò)KCK對(duì)報(bào)文做了完整性校驗(yàn)的MIC值
3. AP收到Snonce后也根據(jù)自身的材料生成PMK，PTK（包含KCK、KEK、TK），然后利用KCK把終端發(fā)送過(guò)來(lái)的報(bào)文進(jìn)行完整性校驗(yàn)，將結(jié)果與收到的MIC進(jìn)行對(duì)比；如果MIC一致，就說(shuō)明PMK一致的，就可以得出配置的WPA/WPA2認(rèn)證密鑰也是一樣的；通過(guò)MIC值就可以驗(yàn)證密鑰是否一致；認(rèn)證通過(guò)后，認(rèn)證方就回復(fù)終端，讓終端安裝PTK到網(wǎng)卡上，并發(fā)送加密的GTK密鑰和對(duì)報(bào)文的完整性校驗(yàn)值（GTK的加密是使用PTK里面的KEK做加密的）
4. 終端收到后也會(huì)對(duì)報(bào)文完整性校驗(yàn)，然后與收到的MIC做對(duì)比，如果一樣則說(shuō)明PMK一致，然后就會(huì)把PTK安裝到網(wǎng)卡中，給認(rèn)證方回應(yīng)確認(rèn)報(bào)文
5. 后面的數(shù)據(jù)交互就是用PTK里面的TK做加密

注意事項(xiàng)

認(rèn)證1/4握手失?。河锌赡苁钦J(rèn)證的密碼錯(cuò)誤，有可能是空口丟包錯(cuò)誤

認(rèn)證3/4握手失敗：基本上就是空口丟包了

TKIP/CCMP加密和完整性校驗(yàn)（具體如何加密和校驗(yàn)不做講解）

加密的密鑰

TKIP和CCMP都通過(guò)PTK的密鑰解決自身的算法進(jìn)行加密

完整性校驗(yàn)算法

對(duì)于TKIP來(lái)說(shuō)，生成PTK是還會(huì)生成MIC KEY，用戶后續(xù)用戶數(shù)據(jù)的完整性校驗(yàn)

對(duì)于CCMP來(lái)說(shuō)，后續(xù)用戶完整性校驗(yàn)通過(guò)CCM來(lái)完成

802.1x認(rèn)證以及生成動(dòng)態(tài)密鑰的工作原理

Wlan安全——認(rèn)證與加密方式（WPA/WPA2）_靜下心來(lái)敲木魚(yú)的博客-CSDN博客文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-663395.html

到了這里，關(guān)于Wlan安全——認(rèn)證與加密方式（WPA/WPA2）的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！