HCWLA116WLAN接入安全及配置介绍ISSUE1.00

1、Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WLAN接入安全及配置介绍Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 培训目标l学完本课程后，您应该能：p概括WLAN认证和加密技术p配置华为WLAN安全模板Page1Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 目 录1. WLAN认证技术认证技术2. WLAN加密技术3. WLAN安全策略

2、及安全模板配置Page2Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WLAN 安全的发展历程Page3时间时间基本加密没有严格身份验证静态的、易破解的密钥不可扩展也使用 MAC 过滤器以及 SSID 伪装来完善 WEP安全性发展安全性发展趋势趋势安全安全WEP 动态密钥 增强型加密 用户身份验证 802.1X EAP Radius802.1X 标准化 TKIP/CCMP加密 严格的用户身份验证WPA/WPA2199719972001200120032003至今至今Copyright 2012 Huawei

3、Technologies Co., Ltd. All rights reserved. WLAN安全认证l当前以802.11为标准的WLAN为广大用户提供了越来越高的无线接入带宽，越来越多的用户开始使用WLAN网络，同时对WLAN的安全性也提出了越来越高的要求。l如何保护用户敏感数据的安全，保护用户的隐私，是众多WLAN用户非常关心的问题。Page4Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 开放系统认证l开放系统认证（ Open system authentication ）是缺省使用的认证机制，是最简单

4、的认证算法，即不认证。Page5认证请求认证成功STAAPCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 服务区标识符 ( SSID ) 匹配Page6ESSID：group1ESSID：group2ESSID：group1ESSID：group2企业网络ACAPAPSTASCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved. MAC认证Page7MAC:000FE20166BEMAC:000FE20166DDMAC:000FE201

5、66DF地址控制接入表：MAC:000FE20166BFMAC:000FE20166DDMAC:000FE20166DFMAC:000FE2016612MAC:000FE20166E1lMAC 地址认证：在设备上预先配置允许访问的MAC 地址列表，如果客户端的MAC 地址不在允许访问的MAC 地址列表，将被拒绝其接入请求。STA1STA2STA3APACCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved. l共享密钥认证（ Shared-key authentication ）必须使用WEP加密方式，要求STA和AP

6、使用相同的共享密钥（key），通常被称为静态WEP密钥。Page8共享密钥认证认证请求随机生成“挑战短语”“挑战短语”加密的密文认证成功预置密钥预置密钥使用密钥加密明文密钥解密后和明文比较STAAPCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved. IEEE802.1X认证简介lIEEE 802.1X是IEEE制定关于用户接入网络的认证标准。它的全称是“基于端口的网络接入控制”。于2001年标准化，之后为了配合无线网络的接入进行修订改版，于2004年完成。Page9Copyright 2012 Huawei Tec

7、hnologies Co., Ltd. All rights reserved. IEEE802.1X认证三大元素l在802.1X架构中，只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。 p客户端p认证者p认证服务器Page10客户端认证者认证服务器Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. EAP协议l802.1X体系本身不是一个完整的认证机制，而是一个通用架构。l802.1X体系使用EAP（Extensible Authentication Protocol）认证协议。lEAP的封包

8、格式pEAP over LANsPage11LANHeaderCodeIdentifierLengthDataCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved. EAP类型Page12EAP类型类型认证方式认证方式备注备注EAP-MD5用户名和密码最早的EAP类型EAP-TLS(Transport Layer Security) 客户端：证书认证服务器：证书第一个符合无线网络三项要求的身份验证方式EAP-TTLS (Tunnelled Transport Layer Security)认证服务器：证书可以使用任何第

9、三方EAP认证方法，由Funk Software发起EAP-PEAP(Protected EAP)认证服务器：证书客户端：用户名+密码双层加密通道，由微软、思科、 RSA 发起Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. PSK认证lPSK认证需要实现在无线客户端和设备端配置相同的预共享密钥，可以通过是否能够对协商的消息成功解密，来确定本端配置的预共享密钥是否和对端配置的预共享密钥相同，从而完成服务端和客户端的互相认证。Page13相同的预共享密钥Copyright 2012 Huawei Technolog

10、ies Co., Ltd. All rights reserved. PPPoE认证lPPPoE（Point-to-Point Protocol over Ethernet），以太网上的点对点协议，是将点对点协议（PPP）封装在以太网（Ethernet）框架中的一种网络隧道协议。lPPPoE在WLAN使用时，和WLAN本身采用的认证加密没有关系。lPPPoE认证系统架构：Page14PPPoE客户端PPPoE服务器AAA服务器Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Portal认证lPortal认证也称

11、Web认证。客户端使用标准Web浏览器（例如IE），填入用户名、密码信息，页面提交后，由Web服务器和设备配合完成用户的认证。lPortal认证体系架构Page15Portal服务器客户端接入服务器AAA服务器Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Portal认证过程Page16STA获得IPHttp请求Http重定向Http定向到Portal服务器返回输入的用户名和密码与Radius服务器认证交互下发认证结果APACRadius ServerPortal ServerSTACopyright 201

12、2 Huawei Technologies Co., Ltd. All rights reserved. 目 录1. WLAN认证技术2. WLAN加密技术加密技术3. WLAN安全策略及安全模板配置Page17Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WLAN安全加密l在WLAN用户通过认证后并赋予访问权限后，网络必须保护用户所传送的数据不被窥视。主要的方法为对数据报文进行加密，保证只有特定的设备可以对接收到的报文成功解密。lWLAN加密方式：pWEP加密pTKIP加密pCCMP加密Page18Copy

13、right 2012 Huawei Technologies Co., Ltd. All rights reserved. WEP加密Page19KeyXORKey StreamCipher TextRC4IVPlain Text（data）MAC802.11Encrypted dataFCSCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WEP加密缺陷lWEP够了吗？p整个网络共用一个共享密钥，一旦丢失，整个网络都很危险pIV向量太短，大量监听用户数据报文后，WEP加密很容易被破解pRC4加密算法过于简单l解

14、决办法p增加一种密钥管理机制p采用更强壮的加密算法Page20Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. TKIP加密lTKIP：临时密钥完整性协议（Temporal Key Integrity Protocol）l使用RC4来实现数据加密，这样可以重用用户原有的硬件而不增加加密成本。lTKIP加密特点p将IV size 从 24 bits 增加到 48 bits，减少了IV重用p增加了 Key的生成、管理以及传递的机制n每用户使用独立的Keyn通过安全的传递方法传递用户数据加密使用的Keyp使用Micha

15、el来实现MIC (Message Integrity Code )Page21Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 密钥的生成Page22PMKPMK生成Anonce生成PTK生成PTKInstall PTKInstall PTK发送Anonce发送Snonce，MIC协商PTK响应安装PTKBase Key（PTK）Transmit AddressPacket SequenceMixerKey四次握手密钥混合密钥Copyright 2012 Huawei Technologies Co., Ltd

16、. All rights reserved. 消息完整性校验（MIC）Page23DASAPayloadMIC KeyMIC8-ByteMIClMIC通过以下因素计算：pMIC Keyp目的MAC地址p源地址MAC地址p数据Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. CCMP 加密lCCMP是围绕AES建立的安全协议，称为计数器模式+密码块链认证码协议（ Counter Mode with Cipher Block Chaining MAC Protocol，CCMP）。p即CCMP=Counter Mod

17、e + CBC-MACpAES算法加密，比RC4健壮p同TKIP加密一样的密钥分发和管理机制，使用128bits密钥pAES需要升级硬件Page24Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 加密方式对比加密方式加密方式WEPTKIPCCMP加密算法加密算法RC4RC4AES密钥长度密钥长度40 or 104 bits128 bits128bits密钥寿命密钥寿命24-bit IV48-bit IV48-bit IV数据校验算法数据校验算法CRC-32MichaelCBC密钥管理密钥管理None4-way

18、Handshake4-way HandshakePage25Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 目 录1. WLAN认证技术2. WLAN加密技术3. WLAN安全策略及安全模板配置安全策略及安全模板配置Page26Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 安全策略l认证：不认证l加密：不加密l应用p配合业务层Portal认证作为计费方式，广泛应用于运营商场景中。l配置方法：p华为设备中安全模板默认即为不认证、

19、不加密Page27Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WEPl认证：共享密钥认证l加密：WEP加密（RC4）l应用：p常用与家庭、个人无线网络中，对安全性要求不高，需要专人维护密钥。Page28Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WEPl配置方法：Page29AC-wlan-ac-view security-profile name testWEP-40 hex加密方式HUAWEI-wlan-sec-pr

20、of-test security-policy wep HUAWEI-wlan-sec-prof-test wep authentication-method share-key HUAWEI-wlan-sec-prof-test wep key wep-40 hex 0 1234567890HUAWEI-wlan-sec-prof-test wep default-key 0WEP-40 pass-phrase 加密方式HUAWEI-wlan-sec-prof-test security-policy wep HUAWEI-wlan-sec-prof-test wep authenticat

21、ion-method share-key HUAWEI-wlan-sec-prof-test wep key wep-40 pass-phrase 0 12345HUAWEI-wlan-sec-prof-test wep default-key 0Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WEPPage30WEP-104 hex 加密方式HUAWEI-wlan-sec-prof-test security-policy wep HUAWEI-wlan-sec-prof-test wep authentic

22、ation-method share-key HUAWEI-wlan-sec-prof-test wep key wep-104 hex 0 12345678901234567890123456 HUAWEI-wlan-sec-prof-test wep default-key 0WEP-104 pass-phase 加密方式HUAWEI-wlan-sec-prof-test security-policy wep HUAWEI-wlan-sec-prof-test wep authentication-method share-key HUAWEI-wlan-sec-prof-test we

23、p key wep-104 pass-phrase 0 1234567890abcHUAWEI-wlan-sec-prof-test wep default-key 0Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WPAlWPA (Wi-Fi Protected Access) l认证方式：pWPA个人版：PSKpWPA企业版：802.1X+EAPl加密方式：TKIPl应用场景：pWPA个人版适合个人、家庭与小型SOHO网络，对网络安全要求相对较低，不适用认证服务器。pWPA企业版适合企业等安全性要求较高的网

24、络，需要有认证服务器。Page31Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WPAl配置方法：Page32WPA-PSK（TKIP 加密方式）： HUAWEI-wlan-sec-prof-test security-policy wpaHUAWEI-wlan-sec-prof-test wpa authentication-method psk pass-phrase simple 12345678 encryption-method tkip WPA-PEAP（TKIP 加密方式 ）：HUAWEI-wl

25、an-sec-prof-test security-policy wpaHUAWEI-wlan-sec-prof-test wpa authentication-method dot1x peap encryption-method tkip Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WPA2lWPA2 是经由 Wi-Fi 联盟验证过的 IEEE 802.11i 标准的认证形式。l认证方式：pWPA个人版：PSKpWPA企业版：802.1X+EAPl加密：pTKIPpCCMPl应用：同WPAPage33C

26、opyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WPA-PSKl配置方法：Page34WPA-PSK认证，tkip 加密方式 HUAWEI-wlan-sec-prof-test security-policy wpaHUAWEI-wlan-sec-prof-test wpa authentication-method psk pass-phrase simple 12345678 encryption-method tkip Copyright 2012 Huawei Technologies Co., Ltd.

27、 All rights reserved. WPA dot1x认证radius-server template huawei radius-server shared-key simple huawei radius-server authentication 00 1812aaa authentication-scheme huawei authentication-mode radius domain default authentication-scheme huawei radius-server huaweiPage35Copyright 2012 Huawei T

28、echnologies Co., Ltd. All rights reserved. WPA dot1x认证（续）interface WLAN-Ess1 port hybrid pvid vlan 101 port hybrid untagged vlan 101 dot1x-authentication enable dot1x authentication-method eap security-profile name security-3 id 3 security-policy wpa2 wpa2 authentication-method dot1x peap encryption

29、-method ccmp service-set name huawei101 id 2 WLAN-ess 1 ssid huawei101 traffic-profile id 1 security-profile id 3 service-vlan 101Page36Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WPA/WPA2l在最新的实现中，不管是WPA还是WPA2都可以使用802.1X认证或PSK认证。l加密方法上也都可以使用TKIP或者CCMP加密。l因此，WPA的认证加密组合有：pWPA-PSK

30、 + TKIPpWPA-PSK + CCMPpWPA2-PSK + TKIPpWPA2-PSK + CCMPPage37pWPA -802.1X + TKIPpWPA -802.1X + CCMPpWPA2 -802.1X + TKIPpWPA2 -802.1X + CCMPCopyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WAPIlWAPI是WLAN Authentication and Privacy Infrastructure（无线局域网鉴别与保密基础结构）的简称，是中国提出的、以802.11无线协议为基

31、础的无线安全标准，WAPI的以太类型字段为0 x88B4。l技术背景p基于三元结构和对等鉴别的访问控制方法p可普遍适用于无线、有线网络pWAPI目的：“合法用户接入合法网络”Page38Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WAPI三元架构Page39WEP802.1X+EAP(802.11i)WAPI二元安全架构对应二物理实体单向鉴别无法保证安全 三元安全架构对应三物理实体接入点/基站有独立身份完整双向认证 有效保证安全二元安全架构对应三物理实体AP无独立身份，易被攻击 仍无法保证安全 Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. WAPIlWAPI协议由以下两部分构成：pWAI：是WLAN Authentication Infrastructure（无线局域网鉴别基础结构）的简称，是用于无线局域网中身份鉴别和密钥管理的安全方案； pWPI：是WLAN Privacy Infrastructure（无线局域网保密基础结构）的简称，是用于无线局域网中数据传输保护的安全方案，包括数据加密、数据鉴别和重放保护等功能。P