無線局域網(wǎng)安全原理(d1上)(修訂版)

無線局域網(wǎng)安全原理概述無線傳輸與接入事業(yè)部大綱802.11標(biāo)準(zhǔn)簡介WLAN安全概述WLAN安全漏洞分析WLAN常用技術(shù)WLAN的其它安全手段常用密碼算法簡介1.802.11標(biāo)準(zhǔn)簡介802.11標(biāo)準(zhǔn)簡介802.11為IEEE（電機(jī)電子工程師協(xié)會(huì)，TheInstituteofElectricalandElectronicsEngineers）于1997年公告的無線區(qū)域網(wǎng)路標(biāo)準(zhǔn)，適用于有線站臺(tái)與無線用戶或無線用戶之間的溝通連結(jié)。802.11標(biāo)準(zhǔn)簡介IEEE標(biāo)準(zhǔn)標(biāo)準(zhǔn)描述802.111997年制定的第一份WLANPHY標(biāo)準(zhǔn)，制定了MAC及直接序列展頻技術(shù)(DSSS)和跳頻展頻技術(shù)(DFSS)802.11a1999年制定的PHY標(biāo)準(zhǔn)，確定了最大速率54Mbps及運(yùn)行在5.8GHz的頻率之上,確定了使用正交頻分復(fù)用(OFDM)技術(shù)802.11b1999年制定的PHY標(biāo)準(zhǔn)，確定最大速率11Mbps及運(yùn)行在2.4GHz的頻率之上TGc負(fù)責(zé)更正802.11a編碼規(guī)范的任務(wù)組。802.11d擴(kuò)展調(diào)頻的功能，使之能在不同的管治區(qū)域中使用TGe為MAC提供QOS擴(kuò)展功能，在形成802.11e之前，先形成WMM的過渡版本。802.11f改善接入點(diǎn)之間漫游功能的內(nèi)部協(xié)議。802.11g2003年制定的PHY標(biāo)準(zhǔn)，確定了最大速率54Mbps及運(yùn)行在2.4GHz的頻率之上。802.11h使802.11a符合歐洲的無線電標(biāo)準(zhǔn)。802.11標(biāo)準(zhǔn)簡介IEEE標(biāo)準(zhǔn)標(biāo)準(zhǔn)描述802.11i鏈路層的安全標(biāo)準(zhǔn)。802.11j使802.11a符合日本無線電管制的標(biāo)準(zhǔn)TGk改善客戶端與網(wǎng)絡(luò)間的通信，使無線電資源的管理和利用更有效。TGm負(fù)責(zé)將802.11a,802.11b,802.11d及TGc的變動(dòng)整合進(jìn)802.11主規(guī)范中。802.11n2009年制定的標(biāo)準(zhǔn)，制定了最大600Mbps,可運(yùn)行于2.4GHz和5.8GHz,采用多進(jìn)多出技術(shù)(MIMO)智能天線技術(shù)及OFDM的先進(jìn)無線標(biāo)準(zhǔn)。TGp負(fù)責(zé)讓802.11適用汽車行業(yè)的任務(wù)組。TGr加強(qiáng)漫游的性能TGs負(fù)責(zé)讓802.11成為網(wǎng)狀網(wǎng)絡(luò)技術(shù)（MESH）的任務(wù)組TGt負(fù)責(zé)為802.11設(shè)計(jì)測(cè)試與測(cè)量標(biāo)準(zhǔn)的任務(wù)組。TGu負(fù)責(zé)讓802.11與其他不同網(wǎng)絡(luò)技術(shù)互通的任務(wù)組2.WLAN安全概述WLAN安全概述無線局域網(wǎng)（WLAN）具有安裝便捷、使用靈活、經(jīng)濟(jì)節(jié)約、易于擴(kuò)展等有線網(wǎng)絡(luò)無法比擬的優(yōu)點(diǎn)，因此無線局域網(wǎng)得到越來越廣泛的使用。但是由于無線局域網(wǎng)信道開放的特點(diǎn)，使得攻擊者能夠很容易的進(jìn)行竊聽，惡意修改并轉(zhuǎn)發(fā)，因此安全性成為阻礙無線局域網(wǎng)發(fā)展的最重要因素。雖然一方面對(duì)無線局域網(wǎng)需求不斷增長，但同時(shí)也讓許多潛在的用戶對(duì)不能夠得到可靠的安全保護(hù)而對(duì)最終是否采用無線局域網(wǎng)系統(tǒng)猶豫不決。為了有效的對(duì)WLAN的安全進(jìn)行保護(hù)，先后出現(xiàn)了多種技術(shù)或機(jī)制。它們可以單獨(dú)使用，也可以結(jié)合起來使用。目前仍在使用的WLAN安全技術(shù)有：物理地址（MAC）過濾；服務(wù)區(qū)標(biāo)識(shí)符(SSID)匹配；有線對(duì)等保密（WEP）；端口訪問控制技術(shù)（IEEE802.1x）；WPA(Wi-FiProtectedAccess)；IEEE802.11i；WAPI等。WLAN安全概述可以將這些技術(shù)手段整合起來，在不同的場(chǎng)景使用不同級(jí)別的安全策略，例如：安全級(jí)別典型場(chǎng)合使用技術(shù)初級(jí)安全小型企業(yè)，家庭用戶等WPA-PSK+隱藏SSID+MAC地址綁定中級(jí)安全倉庫物流、醫(yī)院、學(xué)校、餐飲娛樂IEEE802.1x認(rèn)證+TKIP加密專業(yè)級(jí)安全各類公共場(chǎng)合及網(wǎng)絡(luò)運(yùn)營商、大中型企業(yè)、金融機(jī)構(gòu)用戶隔離技術(shù)＋I(xiàn)EEE802.11i＋Radius認(rèn)證和計(jì)費(fèi)+PORTAL頁面推送（對(duì)運(yùn)營商）WLAN安全概述3.WLAN安全漏洞分析WLAN安全漏洞分析WLAN的安全威脅WLAN的安全威脅主要來自于以下幾個(gè)部分：未經(jīng)授權(quán)的接入；MAC地址欺騙；無線竊聽；企業(yè)級(jí)入侵未經(jīng)授權(quán)的接入:

指的是在開放式的WLAN系統(tǒng)中，非指定用戶也可以接入AP，導(dǎo)致合法用戶可用的帶寬減少，并對(duì)合法用戶的安全產(chǎn)生威脅。WLAN安全漏洞分析MAC地址欺騙:

對(duì)于使用了MAC地址過濾的AP,也可以通過抓取無線包，來獲取合法用戶的MAC地址，從而通過AP的驗(yàn)證，來非法獲取資源。WLAN安全漏洞分析無線竊聽:對(duì)于WLAN來說，所有的數(shù)據(jù)都是可以監(jiān)聽到的，無線竊聽不僅可以竊聽到AP和STA的MAC，而且可以在網(wǎng)絡(luò)間偽裝一個(gè)AP，來獲取STA的身份驗(yàn)證信息。WLAN安全漏洞分析企業(yè)級(jí)入侵：

相比傳統(tǒng)的有現(xiàn)網(wǎng)絡(luò)，WLAN更容易成為入侵內(nèi)網(wǎng)的入口。大多數(shù)企業(yè)的防火墻都在WLAN系統(tǒng)前方，如果黑客成功的攻破了WLAN系統(tǒng)，則基本認(rèn)為成功的進(jìn)入了企業(yè)的內(nèi)網(wǎng)，而有線網(wǎng)絡(luò)黑客往往找不到合適的接入點(diǎn)，只有從外網(wǎng)進(jìn)行入侵。WLAN安全漏洞分析WLAN系統(tǒng)的安全要求基于以上的針對(duì)WLAN系統(tǒng)的安全威脅，WLAN系統(tǒng)的安全系統(tǒng)應(yīng)滿足以下的要求:機(jī)密性：這是安全系統(tǒng)的最基本要求，它可以提供數(shù)據(jù)、語音、地址等的保密性，不同的用戶，不同的業(yè)務(wù)和數(shù)據(jù)，有不同的安全級(jí)別要求；合法性：只有被確定合法并給予授權(quán)的用戶才能得到相應(yīng)的服務(wù)。這需要用戶識(shí)別（Identify）和身份驗(yàn)證(Authenticate)；數(shù)據(jù)完整性：協(xié)議應(yīng)保證用戶數(shù)據(jù)的完整并鑒定數(shù)據(jù)來源；不可否認(rèn)性：數(shù)據(jù)的發(fā)送方不能否認(rèn)它發(fā)送過的信息，否則認(rèn)為不合法；WLAN安全漏洞分析WLAN系統(tǒng)的安全要求訪問控制:應(yīng)在接入端對(duì)STA的IP,MAC等進(jìn)行維護(hù),控制其接入；可用性:WLAN應(yīng)該具有一些對(duì)用戶接入、流量控制等一系列措施，使所有合法接入者得到較好的用戶體驗(yàn)；健壯性:一個(gè)WLAN系統(tǒng)應(yīng)該不容易崩潰,具有較好的容錯(cuò)性及恢復(fù)機(jī)制。WLAN安全漏洞分析4.WLAN常用安全技術(shù)WLAN常用安全技術(shù)在802.11中，有如下幾種常用安全認(rèn)證方式，它們是人們常見的形式，并且不一定是獨(dú)立存在的，可能存在一些重疊或包含關(guān)系：WEPWPA802.11i802.1x

WEP：WiredEquivalentPrivacy有線等效保密算法

WEP(有線等效加密)是當(dāng)初1999年通過的802.11標(biāo)準(zhǔn)的一部分,當(dāng)初是為了使WLAN的網(wǎng)絡(luò)達(dá)到和有線網(wǎng)絡(luò)一致的機(jī)密性而就此命名的。

WEP使用RC4（RivestCipher）串流加密算法達(dá)到機(jī)密性，并由CRC32驗(yàn)證數(shù)據(jù)完整性。WLAN常用安全技術(shù)

WEP被用來提供和有線LAN同級(jí)的安全性。LAN天生比WLAN安全，因?yàn)長AN的物理結(jié)構(gòu)對(duì)其有所保護(hù)，部分或全部網(wǎng)絡(luò)埋在建筑物里面也可以防止未授權(quán)的訪問。經(jīng)由無線電波的WLAN沒有同樣的物理結(jié)構(gòu)，因此容易受到攻擊、干擾。WEP的目標(biāo)就是通過對(duì)無線電波里的數(shù)據(jù)加密提供安全性，如同端-端發(fā)送一樣。WLAN常用安全技術(shù)標(biāo)準(zhǔn)的64比特WEP使用40比特的鑰匙接上24比特的初向量(initializationvector，IV)成為RC4用的鑰匙。在起草原始的WEP標(biāo)準(zhǔn)的時(shí)候，美國政府在加密技術(shù)的輸出限制中限制了鑰匙的長度，一旦這個(gè)限制放寬之后，所有的主要業(yè)者都用104比特的鑰匙實(shí)作了128比特的WEP延伸協(xié)定。用戶輸入WEP共享密碼可以用ASCII和HEX兩種方式來輸入，其中ASCII為字符模式，既輸入5（64bit模式）個(gè)或13（128bit模式）字符；HEX模式為十六進(jìn)制模式，既輸入10個(gè)（64bit模式）或26個(gè)（128bit模式）從0-9及A-F之間的字符。WLAN常用安全技術(shù)64bitWEP密鑰構(gòu)成WLAN常用安全技術(shù)128bitWEP密鑰構(gòu)成WLAN常用安全技術(shù)WEP有兩種方式：開放式系統(tǒng)（OpenSystem）共享密鑰（SharedKey）WLAN常用安全技術(shù)WEP報(bào)文加密過程WLAN常用安全技術(shù)WEPSharedKey驗(yàn)證機(jī)制STAWTP身份認(rèn)證請(qǐng)求發(fā)送隨機(jī)數(shù)用密文響應(yīng)確認(rèn)成功生成隨機(jī)數(shù)發(fā)送到客戶端解密收到的相應(yīng)結(jié)果，并與原發(fā)送的隨機(jī)數(shù)進(jìn)行比較，如果相同則認(rèn)為成功RC4加密隨機(jī)數(shù)WLAN常用安全技術(shù)

WPA：WI-FIProtectedAccess

WI-FI訪問保護(hù)由于WEP無法為WLAN的安全性做出有效的保障,在802.11i出臺(tái)之前,WIFI聯(lián)盟設(shè)計(jì)了一套用來完全取代WEP的方案,即WPA(WI-FIProtectedAccess). WPA主要包含以下的內(nèi)容: 1.WPA-PSK（Pre-SharedKey）

2.802.1x這一節(jié)講述WPA主要針對(duì)WPA-PSK，802.1x后面有專門的章節(jié)講述。WLAN常用安全技術(shù)

WPA-PSK采用的是一種叫做TKIP（TemporalKeyIntegrityProtocol，臨時(shí)密鑰集成協(xié)議）的協(xié)議，它的設(shè)計(jì)完全是在WEP的基礎(chǔ)上升級(jí)而來，一般都能適用于早期使用WEP的設(shè)備。它對(duì)比WEP，做出的改進(jìn)主要有：

1.加入了密鑰管理；

2.每幀生成密鑰；

3.序列號(hào)計(jì)數(shù)器；

4.非線形的消息完整性檢驗(yàn)。WLAN常用安全技術(shù)TKIP加密過程WLAN常用安全技術(shù)TKIP密鑰混合過程WLAN常用安全技術(shù)TKIP封裝格式WLAN常用安全技術(shù)TKIP接收解密過程WLAN常用安全技術(shù)TKIP完整封包過程WLAN常用安全技術(shù)TKIP加密的802.11幀WLAN常用安全技術(shù)802.11i802.11鏈路安全標(biāo)準(zhǔn)WLAN常用安全技術(shù)802.11i的來歷和組成部分為了進(jìn)一步加強(qiáng)無線網(wǎng)絡(luò)的安全性和保證不同廠家之間無線安全技術(shù)的兼容，IEEE802.11工作組開發(fā)了作為新的安全標(biāo)準(zhǔn)的IEEE802.11i，并且致力于從長遠(yuǎn)角度考慮解決IEEE802.11無線局域網(wǎng)的安全問題。IEEE802.11i標(biāo)準(zhǔn)中主要包含加密技術(shù)：TKIP(TemporalKeyIntegrityProtocol)AES（AdvancedEncryptionStandard）IEEE802.1x。

IEEE802.11i標(biāo)準(zhǔn)已在2004年6月24美國新澤西的IEEE標(biāo)準(zhǔn)會(huì)議上正式獲得批準(zhǔn)。WLAN常用安全技術(shù)802.11i和WPA的關(guān)系

WPA、WPA2是WI-FI聯(lián)盟推動(dòng)的對(duì)802.11安全標(biāo)準(zhǔn)的升級(jí)，它們?cè)?02.11i還未出臺(tái)前就市場(chǎng)化了。可以說WPA就是802.11i的子集，在市場(chǎng)的一些WLAN設(shè)備上常見一些叫法：WPA個(gè)人版：即802.11iTKIPWPA企業(yè)版：即802.1xWPA2個(gè)人版：加入了CCMPWPA2企業(yè)版：即802.1xWLAN常用安全技術(shù)CCMP加密

CCMP主要是兩個(gè)算法所組合而成的，分別是CTRmode以及CBC-MACmode。CTRmode為加密算法，CBC-MAC用于訊息完整性的運(yùn)算。在IEEE802.11i規(guī)格書中，CCMP為defaultmode，在所謂的RSNnetwork中，扮演相當(dāng)重要的角色。以下將分別簡介CTRmode以及CBC-MAC。RSN:802.11規(guī)范的健壯安全網(wǎng)絡(luò)(RobustSecurityNetwork)WLAN常用安全技術(shù)CTRMode

全名是AdvancedEncryptionStandard(AES)inCounterMode，在CCMP使用的AES是basedonRijndaelAlgorithm所發(fā)展出的算法，主要是經(jīng)過NIST(NationalInstituteofStandardsandTechnology)修改并且認(rèn)證，不再有TKIPprotocol支持WEP系統(tǒng)的既有攻擊，所以在安全強(qiáng)度上，有一定的水平。WLAN常用安全技術(shù)CTRModeWLAN常用安全技術(shù)CBC-MAC

全名是CipherBlockChainingMessageAuthenticationCode，就如同其名，主要是針對(duì)messageblock作運(yùn)算，最后輸出messageauthenticationcode，達(dá)到驗(yàn)證message的效果(因?yàn)镃TR并沒有提供authentication的機(jī)制)。

CBC-MAC加解密過程主要是把Messageblock經(jīng)由blockcipheralgorithm加密后，再把輸出給下一個(gè)block當(dāng)input使用。一開始第一個(gè)block沒有input所以IV用0代入。在CCMP里會(huì)把低位的64-bit無條件的去掉，只取高位64-bit當(dāng)做MIC。WLAN常用安全技術(shù)AES-CCM加密過程WLAN常用安全技術(shù)AES-CCM加密過程分解（1）

AES-CCM要求發(fā)射機(jī)生成惟一的隨機(jī)值Nonce，每個(gè)分組進(jìn)行加密時(shí)使用的隨機(jī)值各不相同。第0～4B是由GMH的前5B構(gòu)成的。第5-8B是預(yù)留段，全部設(shè)置為0。第9-12B是分組序號(hào)(PacketNumber，PN)。PN與安全關(guān)聯(lián)(SA)對(duì)應(yīng)，當(dāng)安全關(guān)聯(lián)建立和新TEK安裝完畢后，PN設(shè)置為1。由于Nonce值取決于GMH，因而接收機(jī)能夠檢測(cè)到GMH的變化。WLAN常用安全技術(shù)AES-CCM加密過程分解（1）

為了產(chǎn)生消息認(rèn)證碼(MessageAuthenticationCode，MAC)，AES-CCM使用的是CBC模式的一種變形。AES-CCM不使用Ⅳ，而是在對(duì)消息進(jìn)行加密之前，將CBC分組添加到消息的開頭。初始CBC分組是由一個(gè)標(biāo)記、分組Nonce值和載荷長度構(gòu)成的。WLAN常用安全技術(shù)AES-CCM加密過程分解（1）為了對(duì)載荷和消息認(rèn)證碼進(jìn)行加密，AES-CCM采用了計(jì)數(shù)器(CTR)模式。使用這種模式，可生成n個(gè)計(jì)數(shù)器分組，其中n是與消息長度和消息認(rèn)證碼的一個(gè)分組長度(AES使用128bit分組)之和相匹配的分組數(shù)。第1個(gè)分組用于對(duì)消息認(rèn)證碼進(jìn)行加密，其余分組用于對(duì)載荷進(jìn)行加密。計(jì)數(shù)器分組是由標(biāo)識(shí)、分組Nonce、分組序號(hào)i(o≤i≤n)組成的。WLAN常用安全技術(shù)AES-CCM加密過程分解（1）WLAN常用安全技術(shù)AES-CCM加密過程分解（1）消息認(rèn)證碼是通過對(duì)初始CBC分組和明文載荷進(jìn)行加密得到的，消息認(rèn)證碼生成和消息認(rèn)證碼的加密過程如圖7-9所示。產(chǎn)生消息認(rèn)證碼的第1步是從PDU中提取明文載荷，并將初始CBC分組添加到明文載荷的起始位置；然后，使用AES-CBC和來自連接SA的TEK對(duì)消息進(jìn)行加密，并選擇加密后輸出結(jié)果的最后128bit(AES分組的大小)來表示消息認(rèn)證碼。發(fā)送者執(zhí)行此過程，然后對(duì)消息和消息認(rèn)證碼進(jìn)行加密。接收者對(duì)消息和消息認(rèn)證碼進(jìn)行解密，然后對(duì)消息執(zhí)行相同的過程。然后，接收者將生成的消息認(rèn)證碼與接收到的消息認(rèn)證碼進(jìn)行比較。如果兩者相同，則消息通過認(rèn)證，否則丟棄該消息。WLAN常用安全技術(shù)AES-CCM加密過程分解（2）WLAN常用安全技術(shù)AES-CCM加密過程分解（2）對(duì)消息認(rèn)證碼的加密，是通過使用AES-CTR模式和來自于SA的TEK對(duì)計(jì)數(shù)器分組0進(jìn)行加密來實(shí)現(xiàn)的。加密后的分組與消息認(rèn)證碼進(jìn)行異或運(yùn)算，來生成加密的消息認(rèn)證碼版本。對(duì)載荷的加密，是通過使用AES-CTR模式和用于加密消息認(rèn)證碼的同一TEK對(duì)1～n的計(jì)數(shù)器分組進(jìn)行加密得到的。然后，從PDU中提取出明文載荷，并與加密后的計(jì)數(shù)器分組進(jìn)行異或運(yùn)算，從而生成密文載荷。然后，將分組序號(hào)到密文載荷前，將消息認(rèn)證碼添加到密文載荷的后面，這樣這組數(shù)據(jù)就代替了明文載荷。將GMH中的EC位設(shè)置為1，表示加密后的載荷，同時(shí)對(duì)EKS進(jìn)行設(shè)置，以表示用來加密載荷的TEK。對(duì)于新的密文載荷，如果包含了CRC，則需要對(duì)其進(jìn)行更新。WLAN常用安全技術(shù)802.1x端口訪問控制WLAN常用安全技術(shù)802.1x簡介

802.1x協(xié)議是基于Client/Server的訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口(accessport)訪問LAN/WLAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前，802.1x對(duì)連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過之前，802.1x只允許EAPoL（基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議）數(shù)據(jù)通過設(shè)備連接的交換機(jī)端口；認(rèn)證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。

802.1x的核心是EAP協(xié)議（ExtensibleAuthenticationProtocol）。WLAN常用安全技術(shù)802.1x體系結(jié)構(gòu)在802.1x協(xié)議中，只有具備了以下三個(gè)元素才能夠完成基于端口的訪問控制的用戶認(rèn)證和授權(quán)?？蛻舳耍阂话惆惭b在用戶的工作站上，當(dāng)用戶有上網(wǎng)需求時(shí)，激活客戶端程序，輸入必要的用戶名和口令，客戶端程序?qū)?huì)送出連接請(qǐng)求。認(rèn)證系統(tǒng)：在無線網(wǎng)絡(luò)中就是無線接入點(diǎn)AP或者具有無線接入點(diǎn)AP功能的通信設(shè)備。其主要作用是完成用戶認(rèn)證信息的上傳、下達(dá)工作，并根據(jù)認(rèn)證的結(jié)果打開或關(guān)閉端口。認(rèn)證服務(wù)器：通過檢驗(yàn)客戶端發(fā)送來的身份標(biāo)識(shí)（用戶名和口令）來判別用戶是否有權(quán)使用網(wǎng)絡(luò)系統(tǒng)提供的服務(wù)，并根據(jù)認(rèn)證結(jié)果向認(rèn)證系統(tǒng)發(fā)出打開或保持端口關(guān)閉的狀態(tài)。WLAN常用安全技術(shù)802.1x體系結(jié)構(gòu)WLAN常用安全技術(shù)802.1x體系結(jié)構(gòu)

EAP是802.1x的核心，從客戶端到驗(yàn)證端通過EAPOL協(xié)議傳送，從驗(yàn)證斷到驗(yàn)證服務(wù)器端是通過EAPoverRadius協(xié)議傳送。WLAN常用安全技術(shù)EAP的擴(kuò)展與組成WLAN常用安全技術(shù)EAPOL在以太網(wǎng)幀中的位置同步頭7字節(jié)起始幀1字節(jié)目的地址6字節(jié)源地址6字節(jié)長度/類型2字節(jié)數(shù)據(jù)46~1500字節(jié)CRC4字節(jié)PAE的以太網(wǎng)類型2字節(jié)協(xié)議版本1字節(jié)數(shù)據(jù)幀類型1字節(jié)數(shù)據(jù)幀長度2字節(jié)數(shù)據(jù)N字節(jié)以太網(wǎng)幀EAPOL幀0x888E0x01數(shù)據(jù)幀類型值EAP-Packet0x00EAPOL-Start0x01EAPOL-Logoff0x02EAPOL-Key0x03EAPOL-Encapsulated-ASF-Alert0x04WLAN常用安全技術(shù)典型的STA-AP-RADIUS認(rèn)證過程WLAN常用安全技術(shù)PORTALWEB認(rèn)證技術(shù)WLAN常用安全技術(shù)PORTAL概述PORTAL在英語中是入口的意思。PORTAL認(rèn)證通常也稱為WEB認(rèn)證，一般將PORTAL認(rèn)證網(wǎng)站稱為門戶網(wǎng)站。未認(rèn)證用戶上網(wǎng)時(shí)，設(shè)備強(qiáng)制用戶登錄到特定站點(diǎn)，用戶可以免費(fèi)訪問其中的服務(wù)。當(dāng)用戶需要使用互聯(lián)網(wǎng)中的其它信息時(shí)，必須在門戶網(wǎng)站進(jìn)行認(rèn)證，只有認(rèn)證通過后才可以使用互聯(lián)網(wǎng)資源。用戶可以主動(dòng)訪問已知的PORTAL認(rèn)證網(wǎng)站，輸入用戶名和密碼進(jìn)行認(rèn)證，這種開始PORTAL認(rèn)證的方式稱作主動(dòng)認(rèn)證。反之，如果用戶試圖通過HTTP訪問其他外網(wǎng)，將被強(qiáng)制訪問PORTAL認(rèn)證網(wǎng)站，從而開始PORTAL認(rèn)證過程，這種方式稱作強(qiáng)制認(rèn)證。

PORTAL業(yè)務(wù)可以為運(yùn)營商提供方便的管理功能，門戶網(wǎng)站可以開展廣告、社區(qū)服務(wù)、個(gè)性化的業(yè)務(wù)等，使寬帶運(yùn)營商、設(shè)備提供商和內(nèi)容服務(wù)提供商形成一個(gè)產(chǎn)業(yè)生態(tài)系統(tǒng)。WLAN常用安全技術(shù)PORTAL的系統(tǒng)組成主要系統(tǒng)組成AccessController：接入控制器。實(shí)現(xiàn)用戶強(qiáng)制Portal、業(yè)務(wù)控制，接收PortalServer發(fā)起的認(rèn)證請(qǐng)求，完成用戶認(rèn)證功能。PortalServer：門戶網(wǎng)站。推送認(rèn)證頁面及用戶使用狀態(tài)頁面，接收WLAN用戶的認(rèn)證信息，向AC發(fā)起用戶認(rèn)證請(qǐng)求以及用戶下線通知。RadiusServer：中心認(rèn)證服務(wù)器,和AC一同完成用戶認(rèn)證，并將用戶使用網(wǎng)絡(luò)信息提供后臺(tái)計(jì)費(fèi)系統(tǒng)。WLAN常用安全技術(shù)PORTAL的認(rèn)證過程PORTAL認(rèn)證分為兩種模式,為:CHAP模式PAP模式其中CHAP模式是具有請(qǐng)求挑戰(zhàn)字的模式，密碼不以明文傳輸,較PAP的明文傳輸密碼安全，所以是PORTAL認(rèn)證的首選模式。WLAN常用安全技術(shù)CHAP認(rèn)證過程WLAN常用安全技術(shù)CHAP認(rèn)證過程用戶訪問網(wǎng)站，經(jīng)過AC重定向到PortalServer；Portalserver推送統(tǒng)一的認(rèn)證頁面；用戶填入用戶名、密碼，提交頁面，向PortalServer發(fā)起連接請(qǐng)求；Portal向Radius發(fā)出用戶信息查詢請(qǐng)求，由Radius驗(yàn)證用戶密碼、查詢用戶信息，并向Portal返回查詢結(jié)果及系統(tǒng)配置的單次連接最大時(shí)長、手機(jī)用戶及卡用戶的套餐剩余時(shí)長信息；如果查詢失敗，Portal結(jié)束認(rèn)證流程，并直接返回提示信息給用戶，指導(dǎo)用戶開戶及正確使用；如果查詢成功，PortalServer向AC請(qǐng)求Challenge；AC分配Challenge給PortalServer；PortalServer向AC發(fā)起認(rèn)證請(qǐng)求；而后AC進(jìn)行RADIUS認(rèn)證，獲得RADIUS認(rèn)證結(jié)果；AC向PortalServer送認(rèn)證結(jié)果；PortalServer根據(jù)編碼規(guī)則判斷帳戶的歸屬地，推送歸屬地定制的個(gè)性化頁面，并將認(rèn)證結(jié)果、系統(tǒng)配置的單次連接最大時(shí)長、套餐剩余時(shí)長、自服務(wù)選項(xiàng)填入頁面，和門戶網(wǎng)站一起推送給客戶,同時(shí)啟動(dòng)正計(jì)時(shí)提醒；PortalServer回應(yīng)確認(rèn)收到認(rèn)證結(jié)果的報(bào)文。WLAN常用安全技術(shù)PAP認(rèn)證過程WLAN常用安全技術(shù)PAP認(rèn)證過程用戶訪問網(wǎng)站，經(jīng)過AC重定向到PortalServer；Portalserver推送統(tǒng)一的認(rèn)證頁面；用戶填入用戶名、密碼，提交頁面，向PortalServer發(fā)起連接請(qǐng)求；Portal向Radius發(fā)出用戶信息查詢請(qǐng)求，由Radius驗(yàn)證用戶密碼、查詢用戶信息，并向Portal返回查詢結(jié)果及系統(tǒng)配置的單次連接最大時(shí)長、手機(jī)用戶及卡用戶的套餐剩余時(shí)長信息；如果查詢失敗，Portal直接返回提示信息給用戶，指導(dǎo)用戶開戶及正確使用；如果查詢成功，PortalServer向AC發(fā)起認(rèn)證請(qǐng)求；而后AC進(jìn)行RADIUS認(rèn)證，獲得RADIUS認(rèn)證結(jié)果；AC向PortalServer送認(rèn)證結(jié)果；PortalServer根據(jù)編碼規(guī)則判斷帳戶的歸屬地，推送歸屬地定制的個(gè)性化頁面，并將認(rèn)證結(jié)果、系統(tǒng)配置的單次連接最大時(shí)長、套餐剩余時(shí)長、自服務(wù)選項(xiàng)填入頁面，和門戶網(wǎng)站一起推送給客戶,同時(shí)啟動(dòng)正計(jì)時(shí)提醒；PortalServer回應(yīng)確認(rèn)收到認(rèn)證結(jié)果的報(bào)文。WLAN常用安全技術(shù)PORTAL認(rèn)證過程中的重定向

PORTAL認(rèn)證的第一步也是最重要的一步就是讓用戶能看到PORTAL登錄頁面，其關(guān)鍵點(diǎn)就是能將用戶的HTTP請(qǐng)求重定向到AC（直接讓用戶輸入PORTAL的URL也可以，但是用戶體驗(yàn)程度就比較低下了）?，F(xiàn)在比較普遍的做法是，AC在集中轉(zhuǎn)發(fā)模式下，收到未認(rèn)證（AC中有用戶狀態(tài)可維護(hù)）用戶的第一個(gè)HTTP請(qǐng)求，則發(fā)送一個(gè)HTTPRedirect報(bào)文（“302MovedTemporarily”或“301MovedPermanen”），其中包含URL如下：

http://xxx.xxx.xxx.xxx/?wlanuserip=xxx.xxx.xxx.xxx&wlanacip=xxx.xxx.xxx.xxx

其中：wlanuserip為請(qǐng)求用戶的IP，wlanacip為ac的IP。WLAN常用安全技術(shù)中移動(dòng)PORTAL標(biāo)準(zhǔn)報(bào)文格式WLAN常用安全技術(shù)中移動(dòng)PORTAL標(biāo)準(zhǔn)報(bào)文格式Ver

Ver字段是協(xié)議的版本號(hào)，長度為1字節(jié)，目前定義的值為0x01。WLAN常用安全技術(shù)中移動(dòng)PORTAL標(biāo)準(zhǔn)報(bào)文格式TypeType字段定義報(bào)文的類型，長度為1字節(jié)，目前其值的定義如下表Type值方向含義REQ_CHALLENGE0x01Client----->ServerPortalServer向AC設(shè)備發(fā)送的請(qǐng)求Challenge報(bào)文ACK_CHALLENGE0x02Client<-----ServerAC設(shè)備對(duì)PortalServer請(qǐng)求Challenge報(bào)文的響應(yīng)報(bào)文REQ_AUTH0x03Client----->ServerPortalServer向AC設(shè)備發(fā)送的請(qǐng)求認(rèn)證報(bào)文ACK_AUTH0x04Client<-----ServerAC設(shè)備對(duì)PortalServer請(qǐng)求認(rèn)證報(bào)文的響應(yīng)報(bào)文REQ_LOGOUT0x05Client----->Server若ErrCode字段值為0x00，表示此報(bào)文是PortalServer向AC設(shè)備發(fā)送的請(qǐng)求用戶下線報(bào)文；若ErrCode字段值為0x01，表示該報(bào)文是PortalServer發(fā)送的超時(shí)報(bào)文，其原因是PortalServer發(fā)出的各種請(qǐng)求在規(guī)定時(shí)間內(nèi)沒有收到響應(yīng)報(bào)文。ACK_LOGOUT0x06Client<-----ServerAC設(shè)備對(duì)PortalServer請(qǐng)求下線報(bào)文的響應(yīng)報(bào)文AFF_ACK_AUTH0x07Client----->ServerPortalServer對(duì)收到的認(rèn)證成功響應(yīng)報(bào)文的確認(rèn)報(bào)文；NTF_LOGOUT0x08Server-->Client用戶被強(qiáng)制下線通知報(bào)文REQ_INFO0x09Client-->Server信息詢問報(bào)文ACK_INFO0x0aServer-->Client信息詢問的應(yīng)答報(bào)文WLAN常用安全技術(shù)中移動(dòng)PORTAL標(biāo)準(zhǔn)報(bào)文格式Pap/Chap

Pap/Chap字段定義此用戶的認(rèn)證方式，長度為1字節(jié)，只對(duì)Type值為0x03的認(rèn)證請(qǐng)求報(bào)文有意義：Chap方式認(rèn)證－－－值為0x00；Pap方式認(rèn)證－－－值為0x01；Rsv

Rsv目前為保留字段，長度為1字節(jié)，在所有報(bào)文中值為0；WLAN常用安全技術(shù)中移動(dòng)PORTAL標(biāo)準(zhǔn)報(bào)文格式SerialNo

SerialNo字段為報(bào)文的序列號(hào)，長度為2字節(jié)，由PortalServer隨機(jī)生成，PortalServer必須盡量保證不同認(rèn)證流程的SerialNo在一定時(shí)間內(nèi)不得重復(fù)，在同一個(gè)認(rèn)證流程中所有報(bào)文的SerialNo相同。ReqID

ReqID字段長度為2個(gè)字節(jié)，由AC設(shè)備隨機(jī)生成，盡量使得在一定時(shí)間內(nèi)ReqID不重復(fù)。標(biāo)注每一次請(qǐng)求/應(yīng)答的一對(duì)數(shù)據(jù)可以匹配。UserIP

UserIP字段為Portal用戶的IP地址，長度為4字節(jié)，其值由PortalServer根據(jù)其獲得的IP地址填寫，在所有的報(bào)文中此字段都要有具體的值；UserPort

UserPort字段目前沒有用到，長度為2字節(jié)，在所有報(bào)文中其值為0；ErrCode

ErrCode字段和Type字段一起表示一定的意義，長度為1字節(jié)，比如PORTAL請(qǐng)求CHALLENGE成功，ErrCode=0。WLAN常用安全技術(shù)中移動(dòng)PORTAL標(biāo)準(zhǔn)報(bào)文格式AttrNumAttrNum字段表示其后邊可變長度的屬性字段屬性的個(gè)數(shù)，長度為1字節(jié)（表示屬性字段最多可有255個(gè)屬性），其值在所有的報(bào)文中都要根據(jù)具體情況賦值；

TLV屬性報(bào)文屬性字段（Attr）的格式Attr字段（屬性字段）是一個(gè)可變長字段，由多個(gè)屬性依次鏈接而成，每個(gè)屬性的格式為TLV格式，格式為：WLAN常用安全技術(shù)中移動(dòng)PORTAL標(biāo)準(zhǔn)報(bào)文格式TLV屬性如下列表Attr(屬性字段)AttrType屬性值長度屬性含義UserName0x01<=253（可變）用戶名PassWord0x02<=16（可變）用戶提交的明文密碼Challenge0x0316（固定）Chap方式加密的魔術(shù)字ChapPassWord0x0416（固定）經(jīng)過Chap方式加密后的密碼WLAN常用安全技術(shù)WAPI：WirelessLANAuthenticationandPrivacyInfrastructure無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)WLAN常用安全技術(shù)WAPI(WLANAuthenticationandPrivacyInfrastructure)，即無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)，它是針對(duì)IEEE802.11中WEP協(xié)議安全問題，在中國無線局域網(wǎng)國家標(biāo)準(zhǔn)GB15629.11中提出的WLAN安全解決方案。它的主要特點(diǎn)是采用基于公鑰密碼體系的證書機(jī)制，真正實(shí)現(xiàn)了移動(dòng)終端(MT)與無線接入點(diǎn)(AP)間雙向鑒別。2006年3月7日，WAPI產(chǎn)業(yè)聯(lián)盟成立大會(huì)在北京召開，WAPI產(chǎn)業(yè)聯(lián)盟正式成立。WAPI簡介WLAN常用安全技術(shù)WAPI認(rèn)證過程WLAN常用安全技術(shù)WAPI與802.11i的對(duì)比項(xiàng)目WEPWAPIIEEE802.11i鑒別鑒別機(jī)制單向鑒別（AP鑒別MT）雙向鑒別（AP和MT通過AS實(shí)現(xiàn)相互的身份鑒別）單向和雙向鑒別（MT和Radius之間），MT不能夠鑒別AP的合法性鑒別方法開放式系統(tǒng)鑒別（或共享密鑰鑒別）身份憑證為公鑰數(shù)字證書；無線用戶與無線接入點(diǎn)地位對(duì)等，實(shí)現(xiàn)無線接入點(diǎn)的接入控制；客戶端支持多證書，方便用戶多處使用用戶身份通常為用戶名和口令；AP后端的Radius服務(wù)器對(duì)用戶進(jìn)行認(rèn)證；鑒別對(duì)象客戶機(jī)用戶用戶密鑰管理無全集中（局域網(wǎng)內(nèi)統(tǒng)一由AS管理）AP和Radius服務(wù)器之間需手工設(shè)置共享密鑰；AP和MT之間只定義了認(rèn)證體系結(jié)構(gòu)，不同廠商的具體設(shè)計(jì)可能不兼容；算法64bitRC4192位橢圓曲線算法（ECC192）與具體的協(xié)議有關(guān)安全漏洞鑒別易于偽造未查明用戶身份憑證簡單，被盜取后可任意使用；加密密鑰靜態(tài)動(dòng)態(tài)動(dòng)態(tài)算法64bitRC4128-bitSMS4128bitAES和128bitRC4WLAN常用安全技術(shù)5.WLAN的其他安全手段WLAN的其他安全手段除了以上講述的幾種常用的WLAN安全解決方法，隨著技術(shù)的進(jìn)步、WLAN與其他無線系統(tǒng)的學(xué)習(xí)和融合，還有一些多元化的選擇：動(dòng)態(tài)密鑰（D-Key）；雙因素身份認(rèn)證（Two-factorAuthenti