全部科目 > 网络工程师 >
2011年上半年 上午试卷 综合知识
第 66 题
知识点 WLAN的安全   Access   认证  
关键词 安全认证方案   安全   安全认证  
章/节 局域网  
 
 
Wi-Fi联盟制定的安全认证方案WPA (Wi-Fi Protected Access)是(66)标准的子集。
 
  A.  IEEE 802.11
 
  B.  IEEE 802.11a
 
  C.  IEEE 802.11b
 
  D.  IEEE 802.11i
 
 




 
 
相关试题     IEEE 802.11的新进展 

  第66题    2012年上半年  
在无线局域网中,AP的作用是(65)。新标准IEEE 802.11n提供的最高数据速率可达到(66)。

  第60题    2013年上半年  
在Wi-Fi安全协议中,WPA与WEP相比,采用了(60)。

  第67题    2016年下半年  
无线局域网的新标准IEEE802.11n提供的最高数据速率可达到(67)Mb/s。

 
知识点讲解
· WLAN的安全
· Access
· 认证
 
        WLAN的安全
        1)SSID访问控制
        可以对各个无线接入点(AP)设置不同的SSID(Service Set Identifier),当然,也可以禁用SSID广播。
        2)物理地址过滤
        在无线路由器中维护一组允许访问的MAC地址列表,用于实现物理地址过滤功能。
        3)有线等效保密
        有线等效保密(Wired Equivalent Privacy, WEP)使用RC4协议进行加密,并使用CRC-32校验保证数据的正确性。最初的WEP标准使用24位的初始向量,加上40位的字符串,构成64位的WEP密钥。后来美国政府放宽了出口密钥长度的限制,允许使用104位的字符串,加上24位的初始向量,构成128位的WEP密钥。
        4)WPA
        Wi-Fi联盟的厂商们以802.11i草案的一个子集为蓝图制定了称为WPA(Wi-Fi Protected Access)的安全认证方案。在WPA的设计中包含了认证、加密和数据完整性校验3个组成部分。
        首先是WPA使用了802.1x协议对用户的MAC地址进行认证;其次是WEP增大了密钥和初始向量的长度,以及128位的密钥和48位的初始向量(IV)用于RC4加密。WPA还采用了可以动态改变密钥的临时密钥完整性协议(Temporary Key Integrity Protocol, TKIP),通过更频繁地变换密钥来降低安全风险。
        5)IEEE 802.11i
        IEEE 802.11i标准包含以下3个方面的安全部件。
        .临时密钥完整性协议(TKIP)是一个短期的解决方案,仍然使用RC4加密方法,但是弥补了WEP的安全缺陷。
        .重新制定了新的加密协议,称为CBC-MAC协议的计时器模式(Counter Mode with CBC-MAC Protocol, CCMP)。这是基于高级加密标准(Advanced Encryption Standard, AES)的加密方法。
        .采用802.1x进行身份认证。如果认证通过,则AP为无线工作站打开一个逻辑端口。
        可扩展的认证协议(Extensible Authentication Protocol, EAP)是一种专门用于认证的传输协议。常用的认证机制有EAP-MD5、Lightweight EAP(LEAP)、EAP-TLS。
        802.11i还提供了一种任选的加密方案WRAP(Wireless Robust Authentication Protocol),实现了一种动态密钥交换和管理体制。对于小型办公室和家庭应用,可以使用预共享密钥(Pre-Shared Key, PSK)的方案,这样就可以省去802.1x认证和密钥交换过程了。
 
        Access
        Access是由微软发布的一款关联式数据序管型系统,它结合了Microsoft Jet Database Engine和图形用户界面的特点,常被用来开发Web应用程序。这些应用程序都利用ASP技术在IIs上运行。
        不过,由于Access是小型数据库,有根本的使用局限性,在数据量过大或者访问量过高的时候其性能会急剧下降。比较复杂或者容量较大的Web应用程序则使用PHP+ MySQL或者ASP+Microsoft SQL Sever架构,不过对于中小型网站或者个人独立博客来说,Access容易管理并且应用方便,仍然很适合作为网站的数据库。
        虽然数据库能够给组织带来巨大的效益,可是选择好的数据库软件并使其正常运转还是很难的一件事。想想你需要什么,看看其他类似的组织都在做什么,仔细选择解决方案,认真监督现行系统的数据和程序。
 
        认证
        认证又分为实体认证和消息认证两种。实体认证是识别通信对方的身份,防止假冒,可以使用数字签名的方法。消息认证是验证消息在传送或存储过程中有没有被篡改,通常使用报文摘要的方法。
               基于共享密钥的认证
               如果通信双方有一个共享的密钥,则可以确认对方的真实身份。这种算法依赖于一个双方都信赖的密钥分发中心(Key Distribution Center,KDC),如下图所示,其中的A和B分别代表发送者和接收者,KAKB分别表示A、B与KDC之间的共享密钥。
               
               基于共享密钥的认证协议
               认证过程如下:A向KDC发出消息{A,KA(B,KS)},说明自己要与B通信,并指定了与B会话的密钥KS。注意,这个消息中的一部分(B,KS)是用KA加密的,所以第三者不能了解消息的内容。KDC知道了A的意图后就构造了一个消息{KB(A,KS)}发给B。B用KB解密后就得到了A和KS,然后就可以与A用KS会话了。
               然而,主动攻击者对这种认证方式可能进行重放攻击。例如A代表雇主,B代表银行。第三者C为A工作,通过银行转账取得报酬。如果C为A工作了一次,得到了一次报酬,并偷听和复制了A和B之间就转账问题交换的报文,那么贪婪的C就可以按照原来的次序向银行重发报文2,冒充A与B之间的会话,以便得到第二次、第三次……报酬。在重放攻击中攻击者不需要知道会话密钥KS,只要能猜测密文的内容对自己有利或是无利就可以达到攻击的目的。
               基于公钥的认证
               这种认证协议如下图所示。A向B发出EB(A,RA),该报文用B的公钥加密。B返回EARARBKS),用A的公钥加密。这两个报文中分别有A和B指定的随机数RARB,因此能排除重放的可能性。通信双方都用对方的公钥加密,用各自的私钥解密,所以应答比较简单。其中的KS是B指定的会话键。这个协议的缺陷是假定双方都知道对方的公钥。
               
               基于公钥的认证协议



更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5
京公网安备 11010502032051号 | 营业执照
 Copyright ©2000-2023 All Rights Reserved
软考在线版权所有