《无线局域网技术与实践》第15课 WLAN安全与维护（一）

课题WLAN安全与维护（一）——WLAN安全配置课时2课时（90min）教学目标知识技能目标：（1）了解WLAN安全配置的相关知识，具体包括WLAN安全受到的威胁、WLAN安全类别，以及用户接入安全的实现方法和WLAN安全策略的相关概念等（2）掌握安全策略的配置方法，保证用户接入安全素质目标：（1）强化网络安全意识，提高WLAN安全防护能力（2）锻炼分析、解决问题的能力，努力成为高级技术人才教学重难点教学重点：WLAN安全类别，用户接入安全的实现方法，WLAN安全策略的相关概念，安全策略的配置方法教学难点：掌握安全策略的配置方法教学方法案例分析法、问答法、讨论法、讲授法教学用具电脑、投影仪、多媒体课件、教材教学设计第1节课：→→传授新知（28min）→课堂互动（8min）→评价修正（2min）第2节课：课堂实践（40min）→课堂小结（3min）→作业布置（2min）教学过程主要教学内容及步骤设计意图第一节课考勤

（2min）【教师】使用文旌课堂APP进行签到【学生】按照老师要求签到培养学生的组织纪律性，掌握学生的出勤情况问题导入（5min）【教师】提出以下问题：20世纪40年代，随着计算机的出现，计算机安全问题也随之产生。随着计算机在社会各个领域的广泛应用和迅速普及，人类社会开始步入信息时代，以计算机为核心的安全、保密问题越来越突出。20世纪70年代以来，在应用和普及的基础上，以计算机网络为主体的信息处理系统迅速发展，计算机应用也逐渐向网络发展。网络化的信息系统是集通信、计算机和信息处理于一体的，是现代社会不可缺少的基础。计算机应用发展到网络阶段后，信息安全技术得到迅速发展，原有的计算机安全问题增加了许多新的内容。思考：如何理解“没有网络安全就没有国家安全”？【学生】聆听、思考、讨论、回答【教师】通过学生的回答引入要讲的知识通过问题导入的方法，引导学生主动思考，激发学生的学习兴趣传授新知

（28min）一、WLAN安全受到的威胁【教师】结合教材讲解WLAN安全受到的威胁一般来说，WLAN安全受到的威胁主要包括信息泄露、未经授权的访问和非法AP干扰。1．信息泄露如果WLAN中传输的业务数据报文未经加密或加密算法不够安全，传输过程中就可能被不法分子通过窃听软件截获并进行反向解密，导致信息泄露，给个人及企业造成一定损失。2．未经授权的访问WLAN中的STA都是以无线方式接入的，如果不对STA的接入进行控制和授权管理，可能会导致非法STA接入和资源的越权访问。例如，若某公司WLAN未对访客权限进行限制，则访客接入公司WLAN后就有可能获取最高权限，从而任意篡改网络设备的关键信息，畅通无阻地访问公司内部服务器上的各种内容，甚至窃取机密信息。3．非法AP干扰WLAN基于的ISM频段非授权即可使用。换句话说，任何通信设备均可发出该频段的信号。若不法分子利用非法AP释放ISM频段的无线射频信号，就可能干扰WLAN中合法AP的信号质量，有些不法分子甚至利用非法AP进行拒绝服务攻击（DoS），导致WLAN部分中断甚至全部瘫痪。✈【教师】提出问题，课堂互动思考：举例说明上述WLAN安全受到的威胁在现实社会中的案例。✈【学生】聆听、思考、回答问题【学生】聆听、记录、理解二、WLAN安全的类别【教师】结合教材讲解大WLAN安全的类别一般来说，WLAN安全主要包括边界防御安全、用户接入安全和业务安全。1．边界防御安全当WLAN中出现非法用户或AP设备时，边界防御安全系统会对其进行监控，在其尚未造成威胁（如非法访问、信号干扰、伪基站等）时判定其安全级别并采取防御措施，从而最大限度地保障WLAN边界安全。WLAN的边界防御安全系统主要由无线干扰检测系统（wirelessintrusiondetectionsystem,WIDS）和无线干扰防御系统（wirelessintrusionpreventionsystem,WIPS）组成。其中，WIDS可以检测非法的用户或AP，WIPS可以保护企业网络和用户不被无线网络上未经授权的设备访问。2．用户接入安全用户接入安全致力于保证用户接入WLAN的合法性和安全性，主要包括无线链路建立时的链路认证、用户上线时的用户接入认证和数据加密。3．业务安全业务安全也称数据安全，它致力于保证用户的业务数据报文在传输过程中的安全性，主要体现在数据报文的完整性和私密性两个方面。其中，完整性是指避免用户的业务数据报文在传输过程中被非法截获和篡改，这主要通过数据完整性校验技术实现；私密性则是指即使不法分子截获了数据，也无法读取数据的内容，这主要通过数据加密算法实现。✈【教师】提出问题，课堂互动为什么要进行WLAN安全配置？✈【学生】聆听、思考、回答问题✈【教师】总结回答WLAN技术是以无线射频信号作为业务数据的传输介质，这种开放的信道使攻击者很容易对无线信道中传输的业务数据进行窃听和篡改。通过配置WLAN安全，可以防止攻击者对WLAN网络的攻击，并有效保护合法用户的信息和业务。【学生】聆听、记录、理解三、用户接入安全【教师】结合教材讲解用户接入安全相关知识对于用户而言，用户接入安全与自身隐私安全的联系最为紧密。因此，本小节重点对用户接入安全进行讲解。1．链路认证IEEE802.11标准定义了开放系统认证和共享密钥认证两种链路认证机制。（1）开放系统认证。开放系统认证即不认证，这是WLAN默认使用的链路认证机制。适用于由运营商统一部署的、网络环境相对安全的WLAN。（2）共享密钥认证。共享密钥认证要求STA和AP预先通过密钥协商配置相同的共享密钥。当STA向AP发送关联请求时，AP会验证其共享密钥与自身是否一致，若一致则同意其关联请求，否则就拒绝其请求。2．用户接入认证WLAN中常见的用户接入认证方式包括802.1X认证、PSK认证、MAC地址认证和Portal认证等。（1）802.1X认证。这种认证方式由IEEE802委员会于2001年制定，全称是“基于端口的网络接入控制”。这里的“端口”既可以是物理接口，也可以是逻辑端口。802.1X认证采用客户机/服务器（Client/Server,C/S）架构，由客户端、认证者和认证服务器3个元素共同完成用户认证和授权。（2）PSK认证。预共享密钥（pre-sharedkey，PSK）认证是针对难以负担802.1X认证服务器成本的WLAN设计的用户接入认证方式。用户要接入采用PSK认证的WLAN必须输入正确的PSK，PSK通常是8～63位的ASCII字符，它有一个更为人们熟知的俗称，即“Wi-Fi密码”。PSK认证在家庭或小型公司WLAN中的应用非常广泛。（3）MAC地址认证。这种认证方式需要预先在AC上配置允许访问的设备MAC地址列表，如果STA的MAC地址不在列表中，WLAN将拒绝其接入请求。（4）Portal认证。Portal认证也称Web认证。STA接入采用这种认证方式的WLAN时，需要在Web浏览器中打开认证页面（通常自动弹出）并填入用户名及密码等认证信息。填写完成并提交页面后，Web服务器和其他认证设备将配合完成用户认证。Portal认证常用于大型WLAN中访客的接入认证。✈【教师】提出问题，课堂互动社会生活中，我们在哪个地方连接Wi-Fi经常用到Web认证？✈【学生】聆听、思考、回答问题3．数据加密用户通过认证并被赋予访问权限后，WLAN还要使用数据加密协议对数据报文进行加密，保证只有特定设备可以对接收到的报文成功解密。WLAN中常用的数据加密协议包括WEP协议、TKIP协议和CCMP协议。（1）WEP协议。WEP协议是由IEEE802.11标准定义的、基于RC4加密算法的数据加密协议。WEP协议使用32位的循环冗余校验（cyclicredundancycheck，CRC）技术实现数据完整性校验，确保数据的完整性；使用RC4加密算法实现数据加密，确保数据的私密性。WEP协议支持设置64位和128位两种长度的静态密钥。密钥中存在长度为24位的、由系统随机生成的初始向量（initializationvector,IV），因此STA上的WEP密钥实际长度只有40位或104位。【提示】WEP协议可很好地保障数据的安全，但其仍存在以下弊端。

（1）RC4为对称加密算法，即加密和解密数据采用同一套密钥，而WEP协议采用静态密钥，这意味着WLAN中所有STA的密钥均相同，一旦密钥丢失或泄露，整个WLAN的安全性将面临严重威胁。

（2）密钥中的IV由系统随机生成，但IV以明文形式发送，且只有24位，一个繁忙的AP在发送若干个报文后，很可能出现IV重复使用的问题。如果大量监听报文并捕获到两个IV重用的报文，就可以通过互斥运算得出密钥的值，从而解密业务数据报文。

（3）WEP协议采用的CRC32数据完整性校验技术存在缺陷，难以保证数据的完整性。（2）TKIP协议。TKIP协议使用Michael完整性校验技术确保数据的完整性；使用RC4加密算法确保数据的私密性。与WEP协议相比，TKIP协议的安全性更高，原因除了其使用的Michael完整性校验技术相比CRC32更加先进外，还有以下两点。第一，TKIP协议采用128位动态密钥并提供了一套完整的密钥协商与管理机制，两台STA在传输数据时都先通过协商得出1个动态密钥，从而保证WLAN中的每次通信都使用独立密钥，有效防范了黑客通过破解通用密钥窃取数据的风险；第二，TKIP协议将IV从24位增加到48位，降低了IV重用的风险。（3）CCMP协议。CCMP协议通过密码块链消息认证码（CBC-MAC）技术保证数据完整性，通过高级加密标准（advancedencryptionstandard,AES）保证数据私密性。CCMP协议由IEEE802.11i修正案定义，通过采用上述先进的数据完整性校验技术和数据加密算法，成了比WEP协议和TKIP协议更安全的数据加密协议。与TKIP协议类似，CCMP协议采用128位动态密钥，初始向量长度也为48位，且密钥的协商和管理机制也与TKIP协议相同。✈【教师】提出问题，课堂互动对上述3中数据加密协议，在数据完整性校验技术、数据加密算法、密钥类型、IV、密钥长度等几个方面进行比较。✈【学生】聆听、思考、回答问题✈【教师】总结回答【学生】聆听、记录、理解四、WLAN安全策略【教师】结合教材讲解WLAN安全策略相关知识WLAN安全策略是指由链路认证机制、用户接入认证方式和数据加密协议共同组成的一整套安全方案，可全方位地保障WLAN和用户的安全。常见的WLAN安全策略包括开放认证策略、WEP策略、WPA/WPA2策略和WAPI策略。（1）开放认证策略。开放认证策略即允许任何STA接入WLAN。这种策略存在安全隐患，故如今的开放认证策略并非完全开放，而是配置了Portal认证或MAC认证。例如，在机场、车站、商业中心、会议场馆等用户流动性大的公共场所，通常存在采用开放认证策略（配置Portal认证）的WLAN，用户无须认证即可接入此WLAN，但接入后会自动跳转到Web浏览器并加载身份认证界面，通过身份认证后方可使用WLAN业务。（2）WEP策略。WEP策略由链路认证机制和数据加密协议两部分组成，因仅支持WEP协议而得名。该策略支持全部链路认证机制，如果采用开放系统认证，用户在链路认证过程中不进行WEP加密，用户上线后，可自行配置是否对业务数据报文进行WEP加密；如果选择共享密钥认证，用户在链路认证过程中需要使用共享密钥与AP完成密钥协商，用户上线后，其业务数据报文将采用WEP协议进行加密。（3）WPA/WPA2策略。WPA/WPA2策略由链路认证机制、用户接入认证方式和数据加密协议3部分组成，因基于Wi-Fi访问保护（Wi-Fiprotectedaccess,WPA）技术而得名。该策略仅支持的链路认证机制为开放系统认证，支持的用户接入认证方式包括802.1X认证和PSK认证，支持的数据加密协议包括TKIP协议和CCMP协议。（4）WAPI策略。WAPI是我国自主研发的WLAN安全策略，该策略采用了基于公钥密码体制的椭圆曲线密码算法和对称密码体制的分组密码算法，分别用于STA的数字证书、证书鉴别、密钥协商和传输数据的加解密，从而实现STA的身份鉴别、链路认证、接入认证和业务数据报文的加密保护。此外，WAPI策略还支持PSK认证。【卓越创新】WAPI全称是WLAN鉴别和保密基础结构（WirelessLANauthenticationandprivacyinfrastructure），它是我国在计算机网络无线通信领域自主创新并拥有知识产权的安全接入技术标准，已由国际标准化组织ISO/IEC正式批准发布，是当前全球WLAN领域仅有的两大标准之一。WAPI支持双向认证，安全性极高，在电力、金融、教育等行业取得了不俗的反响。随着WAPI的发展和持续推进，其产业链已颇具规模。截至2019年12月，全球无线局域网芯片均已支持WAPI，芯片达500多个型号，全球出货量超过140亿颗，具备WAPI安全能力的无线局域网产品超过14000款。✈【教师】提出问题，课堂互动（1）我们为什么需要WLAN安全策略？（2）我国为什么要制定WAPI策略？✈【学生】聆听、思考、回答问题【学生】聆听、记录、理解通过教师的讲解和演示，使学生了解WLAN安全收到的威胁，WLAN安全的类别，用户接入安全以及WLAN安全策略等相关知识课堂互动（8min）【教师】提出问题，要求学生讨论并回答问题（1）WLAN的安全类别有哪些？（2）请简述用户接入认证方式及使用场景。（3）WLAN提供了多种安全策略，到底改选用哪种？请总结各种安全策略的使用场景和安全性等信息。【学生】思考、讨论、回答问题通过课堂互动巩固所学知识，加深学生对知识点的理解评价修正（2min）【教师】点评