WLAN安全认证与加密方式详解:从WEP到WPA2
WLAN安全认证与加密方式详解:从WEP到WPA2
无线局域网(WLAN)的安全性是确保数据传输安全和用户隐私的关键。本文详细介绍了WLAN中的各种认证与加密方式,包括WEP、PSK、802.1x等认证技术,以及WEP、TKIP、CCMP等加密技术。通过深入解析这些技术和标准,帮助读者全面了解WLAN安全机制的工作原理和应用场景。
无线网络存在的安全隐患
- 数据没有加密:无线数据在空气中传播,任何个人都可以通过空口抓包网卡截获到数据,导致信息泄露。
- 没有接入认证:所有终端都可以连接到无线信号,然后去访问有线网络,进行攻击。
- 非法AP接入:STA连接到非法AP,数据被窃取。可以通过WIDS、WIPS来反制AP(后续讲解)。
STA上线流程
WLAN中STA(Station,即无线终端)的上线流程涉及多个步骤,包括认证和加密密钥的生成。具体流程较为复杂,涉及多个技术细节,将在后续章节详细讲解。
终端认证技术
目前常用的认证技术主要有以下几种:
WEP认证
WEP认证可以分为开放系统认证和共享密钥认证。
- WEP 开放系统认证(Open System Authentication):不对站点身份进行认证的认证方式;没有做认证。通过2个认证报文进行交互(认证请求、认证应答)。适用于开放性场景,对安全性要求不高。
- WEP 共享密钥认证(Shared Key Autheentication):通过判断对方是否掌握相同的密钥来确定对方的身份是否合法。
PSK认证
PSK(Pre-shared key)认证主要用于个人用户。要求在STA侧预先配置Key,AP通过4次握手Key协商协议来验证STA侧Key的合法性。
802.1x认证与MAC认证
802.1x认证是一种较为安全的认证方式,通过用户名+密码的方式进行认证。支持802.3有线网络和802.1x无线网络。
Portal认证
Portal认证采用浏览器输入域名重定向到Portal界面进行用户认证。
数据加密技术
主要有以下几种加密技术:
WEP加密
WEP是无线等效保密技术的简称,使用RC4流加密技术保证数据的机密性,使用CRC-32保证数据的完整性。采用静态密钥进行加密,如果被其它用户破解了,就可以使用此密钥破解数据。
TKIP加密
TKIP是WPA标准中的加密算法,是WEP的升级版。采用动态密钥,对于每个数据帧都生成一个密钥去加密。采用MIC来保证数据的完整性,比CRC32更可靠。
CCMP加密
CCMP是WPA2标准中的加密技术,采用AES的加密算法进行加密,通过CCM实现数据完整性校验。
802.11安全标准
无线的安全标准主要有三个:
- WEP标准:只支持WEP方式的认证和加密。
- WPA标准:支持PSK和802.1x的认证,但是只支持TKIP的加密方式。
- WPA2标准:支持PSK和802.1x的认证,支持CCMP(AES)、TKIP两种加密方式。
WEP共享密钥认证、加密工作原理
WEP共享密钥认证
通过4个认证报文进行交互:认证请求、明文质询消息、密文质询消息、认证结果。
WEP加解密过程
WEP 加密:
- 通过静态的WEP密钥再加IV(初始化向量)通过RC4流加密算法扩展成与明文的数据(包含数据与CRC-32对ICV)等长的密钥流。
- 将此密钥流与(明文数据+ICV)进行异或得到加密数据。
Wep 解密:
- 到达AP之后,IV是明文,AP将先将IV提取出来,将前3个字节与自身配置的静态密钥去做RC4算法形成密钥流。
- 然后将加密的数据与自身形成的密钥流再做异或,还原出加密数据,此时还原出来的数据包含(明文数据+ICV)。
- 此时AP对明文数据进行CRC-32循环校验再算出一个ICV,然后将两个进行对比;数据一致的话就说明数据没有被更改过,是完整的。
PSK认证以及生成动态密钥的工作原理
PSK认证阶段主要对用户认证并生成加密密钥,用于CCMP/TKIP加密。通过4个认证报文进行交互,具体过程较为复杂,涉及密钥生成和完整性校验等技术细节。
802.1x认证以及生成动态密钥的工作原理
802.1x认证是一种较为安全的认证方式,通过用户名+密码的方式进行认证。支持802.3有线网络和802.1x无线网络。