HCWLA116WLAN接入安全及配置介绍ISSUE1.00

WLAN接入安全及配置介绍培训目标学完本课程后，您应该能：概括WLAN认证和加密技术配置华为WLAN安全模板Page1目录WLAN认证技术WLAN加密技术WLAN安全策略及安全模板配置Page2WLAN安全的发展历程Page3时间基本加密没有严格身份验证静态的、易破解的密钥不可扩展也使用MAC过滤器以及SSID伪装来完善WEP安全性发展趋势安全WEP动态密钥增强型加密用户身份验证802.1XEAPRadius802.1X标准化TKIP/CCMP加密严格的用户身份验证WPA/WPA2199720012003至今WLAN安全认证当前以802.11为标准的WLAN为广大用户提供了越来越高的无线接入带宽，越来越多的用户开始使用WLAN网络，同时对WLAN的安全性也提出了越来越高的要求。如何保护用户敏感数据的安全，保护用户的隐私，是众多WLAN用户非常关心的问题。Page4开放系统认证开放系统认证（Opensystemauthentication）是缺省使用的认证机制，是最简单的认证算法，即不认证。Page5认证请求认证成功STAAP服务区标识符(SSID)匹配Page6ESSID：group1ESSID：group2ESSID：group1ESSID：group2企业网络ACAPAPSTASMAC认证Page7MAC:000FE20166BEMAC:000FE20166DDMAC:000FE20166DF地址控制接入表：MAC:000FE20166BFMAC:000FE20166DDMAC:000FE20166DFMAC:000FE2016612MAC:000FE20166E1MAC地址认证：在设备上预先配置允许访问的MAC地址列表，如果客户端的MAC地址不在允许访问的MAC地址列表，将被拒绝其接入请求。×STA1STA2STA3APAC共享密钥认证（Shared-keyauthentication）必须使用WEP加密方式，要求STA和AP使用相同的共享密钥（key），通常被称为静态WEP密钥。Page8共享密钥认证认证请求随机生成“挑战短语”“挑战短语”加密的密文认证成功预置密钥预置密钥使用密钥加密明文密钥解密后和明文比较STAAPIEEE802.1X认证简介IEEE802.1X是IEEE制定关于用户接入网络的认证标准。它的全称是“基于端口的网络接入控制”。于2001年标准化，之后为了配合无线网络的接入进行修订改版，于2004年完成。Page9IEEE802.1X认证三大元素在802.1X架构中，只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。客户端认证者认证服务器Page10客户端认证者认证服务器EAP协议802.1X体系本身不是一个完整的认证机制，而是一个通用架构。802.1X体系使用EAP（ExtensibleAuthenticationProtocol）认证协议。EAP的封包格式EAPoverLANsPage11LANHeaderCodeIdentifierLengthDataEAP类型Page12EAP类型认证方式备注EAP-MD5用户名和密码最早的EAP类型EAP-TLS(TransportLayerSecurity)客户端：证书认证服务器：证书第一个符合无线网络三项要求的身份验证方式EAP-TTLS(TunnelledTransportLayerSecurity)认证服务器：证书可以使用任何第三方EAP认证方法，由FunkSoftware发起EAP-PEAP(ProtectedEAP)认证服务器：证书客户端：用户名+密码双层加密通道，由微软、思科、RSA发起PSK认证PSK认证需要实现在无线客户端和设备端配置相同的预共享密钥，可以通过是否能够对协商的消息成功解密，来确定本端配置的预共享密钥是否和对端配置的预共享密钥相同，从而完成服务端和客户端的互相认证。Page13相同的预共享密钥PPPoE认证PPPoE（Point-to-PointProtocoloverEthernet），以太网上的点对点协议，是将点对点协议（PPP）封装在以太网（Ethernet）框架中的一种网络隧道协议。。PPPoE在WLAN使用时，和WLAN本身采用的认证加密没有关系。PPPoE认证系统架构：Page14PPPoE客户端PPPoE服务器AAA服务器Portal认证Portal认证也称Web认证。客户端使用标准Web浏览器（例如IE），填入用户名、密码信息，页面提交后，由Web服务器和设备配合完成用户的认证。Portal认证体系架构Page15Portal服务器客户端接入服务器AAA服务器Portal认证过程Page16STA获得IPHttp请求Http重定向Http定向到Portal服务器返回输入的用户名和密码与Radius服务器认证交互下发认证结果APACRadiusServerPortalServerSTA目录WLAN认证技术WLAN加密技术WLAN安全策略及安全模板配置Page17WLAN安全加密在WLAN用户通过认证后并赋予访问权限后，网络必须保护用户所传送的数据不被窥视。主要的方法为对数据报文进行加密，保证只有特定的设备可以对接收到的报文成功解密。WLAN加密方式：WEP加密TKIP加密CCMP加密Page18WEP加密Page19KeyXORKeyStreamCipherTextRC4IVPlainText（data）MAC802.11EncrypteddataFCSWEP加密缺陷WEP够了吗？整个网络共用一个共享密钥，一旦丢失，整个网络都很危险IV向量太短，大量监听用户数据报文后，WEP加密很容易被破解RC4加密算法过于简单解决办法增加一种密钥管理机制采用更强壮的加密算法Page20TKIP加密TKIP：临时密钥完整性协议（TemporalKeyIntegrityProtocol）使用RC4来实现数据加密，这样可以重用用户原有的硬件而不增加加密成本。TKIP加密特点将IVsize从24bits增加到48bits，减少了IV重用增加了Key的生成、管理以及传递的机制每用户使用独立的Key通过安全的传递方法传递用户数据加密使用的Key使用Michael来实现MIC(MessageIntegrityCode)Page21密钥的生成Page22PMKPMK生成Anonce生成PTK生成PTKInstallPTKInstallPTK发送Anonce发送Snonce，MIC协商PTK响应安装PTKBaseKey（PTK）TransmitAddressPacketSequenceMixerKey四次握手密钥混合密钥消息完整性校验（MIC）Page23DASAPayloadMICKeyMIC8-ByteMICMIC通过以下因素计算：MICKey目的MAC地址源地址MAC地址数据CCMP加密CCMP是围绕AES建立的安全协议，称为计数器模式+密码块链认证码协议（CounterModewithCipherBlockChainingMACProtocol，CCMP）。即CCMP=CounterMode+CBC-MACAES算法加密，比RC4健壮同TKIP加密一样的密钥分发和管理机制，使用128bits密钥AES需要升级硬件Page24加密方式对比加密方式WEPTKIPCCMP加密算法RC4RC4AES密钥长度40or104bits128bits128bits密钥寿命24-bitIV48-bitIV48-bitIV数据校验算法CRC-32MichaelCBC密钥管理None4-wayHandshake4-wayHandshakePage25目录WLAN认证技术WLAN加密技术WLAN安全策略及安全模板配置Page26安全策略认证：不认证加密：不加密应用配合业务层Portal认证作为计费方式，广泛应用于运营商场景中。配置方法：华为设备中安全模板默认即为不认证、不加密Page27WEP认证：共享密钥认证加密：WEP加密（RC4）应用：常用与家庭、个人无线网络中，对安全性要求不高，需要专人维护密钥。Page28WEP配置方法：Page29[AC-wlan-ac-view]security-profilenametestWEP-40hex加密方式[HUAWEI-wlan-sec-prof-test]security-policywep[HUAWEI-wlan-sec-prof-test]wepauthentication-methodshare-key[HUAWEI-wlan-sec-prof-test]wepkeywep-40hex01234567890[HUAWEI-wlan-sec-prof-test]wepdefault-key0WEP-40pass-phrase加密方式[HUAWEI-wlan-sec-prof-test]security-policywep[HUAWEI-wlan-sec-prof-test]wepauthentication-methodshare-key[HUAWEI-wlan-sec-prof-test]wepkeywep-40pass-phrase012345[HUAWEI-wlan-sec-prof-test]wepdefault-key0WEPPage30WEP-104hex加密方式[HUAWEI-wlan-sec-prof-test]security-policywep[HUAWEI-wlan-sec-prof-test]wepauthentication-methodshare-key[HUAWEI-wlan-sec-prof-test]wepkeywep-104hex012345678901234567890123456[HUAWEI-wlan-sec-prof-test]wepdefault-key0WEP-104pass-phase加密方式[HUAWEI-wlan-sec-prof-test]security-policywep[HUAWEI-wlan-sec-prof-test]wepauthentication-methodshare-key[HUAWEI-wlan-sec-prof-test]wepkeywep-104pass-phrase01234567890abc[HUAWEI-wlan-sec-prof-test]wepdefault-key0WPAWPA

(Wi-FiProtectedAccess)认证方式：WPA个人版：PSKWPA企业版：802.1X+EAP加密方式：TKIP应用场景：WPA个人版适合个人、家庭与小型SOHO网络，对网络安全要求相对较低，不适用认证服务器。WPA企业版适合企业等安全性要求较高的网络，需要有认证服务器。Page31WPA配置方法：Page32WPA-PSK（TKIP加密方式）：

[HUAWEI-wlan-sec-prof-test]security-policywpa[HUAWEI-wlan-sec-prof-test]wpaauthentication-methodpskpass-phrasesimple12345678encryption-methodtkipWPA-PEAP（TKIP加密方式）：[HUAWEI-wlan-sec-prof-test]security-policywpa[HUAWEI-wlan-sec-prof-test]wpaauthentication-methoddot1xpeapencryption-methodtkipWPA2WPA2是经由Wi-Fi联盟验证过的IEEE802.11i标准的认证形式。认证方式：WPA个人版：PSKWPA企业版：802.1X+EAP加密：TKIPCCMP应用：同WPAPage33WPA-PSK配置方法：Page34WPA-PSK认证，tkip加密方式[HUAWEI-wlan-sec-prof-test]security-policywpa[HUAWEI-wlan-sec-prof-test]wpaauthentication-methodpskpass-phrasesimple12345678encryption-methodtkip

WPAdot1x认证radius-servertemplatehuaweiradius-servershared-keysimplehuaweiradius-serverauthentication001812aaaauthentication-schemehuaweiauthentication-moderadiusdomaindefaultauthentication-schemehuaweiradius-serverhuaweiPage35WPAdot1x认证（续）interfaceWLAN-Ess1porthybridpvidvlan101porthybriduntaggedvlan101dot1x-authenticationenabledot1xauthentication-methodeap

security-profilenamesecurity-3id3security-policywpa2wpa2authentication-methoddot1xpeapencryption-methodccmpservice-setnamehuawei101id2WLAN-ess1ssidhuawei101traffic-profileid1

security-profileid3service-vlan101Page36WPA/WPA2在最新的实现中，不管是WPA还是WPA2都可以使用802.1X认证或PSK认证。加密方法上也都可以使用TKIP或者CCMP加密。因此，WPA的认证加密组合有：WPA-PSK+TKIPWPA-PSK+CCMPWPA2-PSK+TKIPWPA2-PSK+CCMPPage37WPA-802.1X+TKIPWPA-802.1X+CCMPWPA2-802.1X+TKIPWPA2-802.1X+CCMPWAPIWAPI是WLANAuthenticationandPrivacyInfrastructure（无线局域网鉴别与保密基础结构）的简称，是中国提出的、以802.11无线协议为基础的无线安全标准，WAPI的以太类型字段为0x88B4。技术背景基于三元结构和对等鉴别的访问控制方法可普遍适用于无线、有线网络WAPI目的：“合法用户接入合法网络”Page38WAPI三元架构Page39WEP802.1X+EAP(802.11i)WAPI二元安全架构对应二物理实体单向鉴别无法保证安全三元安全架构对应三物理实体接入点/基站有独立身份完整双向认证有效保证安全二元安全架构对应三物理实体AP无独立身份，易被攻击仍无法保证安全WAPIWAPI协议由以下两部分构成：WAI：是WLANAuthenticationInfrastructure（无线局域网鉴别基础结构）的简称，是用于无线局域网中身份鉴别和密钥管理的安全方案；WPI：是WLANPrivacyInfrastructure（无线局域网保密基础结构）的简称，是用于无线局域网中数据传输保护的安全方案，包括数据加密、数据鉴别和重放保护等功能。Page40WAPIWAPI服务与WEP/WPA/WPA2的区别：WAPI支持WLAN客户端和接入网络的双向认证，即网络验证用户的