物聯(lián)網(wǎng)信息安全 課件 第5章 物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全

物聯(lián)網(wǎng)安全技術(shù)物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全需求物聯(lián)網(wǎng)工程課程目錄針對承載網(wǎng)絡(luò)信息傳輸?shù)墓?/p>

(1)對非授權(quán)數(shù)據(jù)的非法獲取

基本手段為：竊取、篡改或刪除鏈路上的數(shù)據(jù)；偽裝成網(wǎng)絡(luò)實體截取業(yè)務(wù)數(shù)據(jù)；對網(wǎng)絡(luò)流量進行分析；

(2)對數(shù)據(jù)完整性的攻擊

攻擊者對系統(tǒng)無線鏈路中傳輸?shù)臉I(yè)務(wù)與信令、控制信息等進行篡改，包括插入、修改和刪除等；物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全5.1網(wǎng)絡(luò)層安全需求

5.1.1網(wǎng)絡(luò)層安全威脅

5.1.2網(wǎng)絡(luò)層安全技術(shù)和方法5.2近距離無線接入安全——WLAN安全

5.2.1無線局域網(wǎng)WLAN的安全威脅

5.2.2無線局域網(wǎng)的安全機制物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全物聯(lián)網(wǎng)體系結(jié)構(gòu)圖物聯(lián)網(wǎng)網(wǎng)絡(luò)層概述

物聯(lián)網(wǎng)網(wǎng)絡(luò)層功能：主要通過各種網(wǎng)絡(luò)接入設(shè)備與移動通信網(wǎng)和互聯(lián)網(wǎng)等廣域網(wǎng)相連，把感知層收集到的信息快速、可靠、安全地傳輸?shù)叫畔⑻幚韺?，然后根?jù)不同的應(yīng)用需求進行信息處理、分類、聚合等。

物聯(lián)網(wǎng)網(wǎng)絡(luò)層構(gòu)成：主要由網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)管理及處理系統(tǒng)組成。物聯(lián)網(wǎng)的承載網(wǎng)絡(luò)：主要用于連接終端感知網(wǎng)絡(luò)與服務(wù)器，包括互聯(lián)網(wǎng)、移動網(wǎng)、WLAN網(wǎng)絡(luò)和一些專業(yè)網(wǎng)；是一個多網(wǎng)絡(luò)疊加的開放性網(wǎng)絡(luò)。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全網(wǎng)絡(luò)層安全技術(shù)需求物聯(lián)網(wǎng)的特點物聯(lián)網(wǎng)具有：由大量機器構(gòu)成、缺少人對設(shè)備的有效監(jiān)控、數(shù)量龐大、設(shè)備集群等特點。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全特點物聯(lián)網(wǎng)除具有傳統(tǒng)網(wǎng)絡(luò)安全的問題之外，還具有一些與現(xiàn)有網(wǎng)絡(luò)安全不同的特殊安全問題。

物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全物聯(lián)網(wǎng)網(wǎng)絡(luò)安全需求

(1)業(yè)務(wù)數(shù)據(jù)在承載網(wǎng)絡(luò)中的傳輸安全

需要保證物聯(lián)網(wǎng)業(yè)務(wù)數(shù)據(jù)在承載網(wǎng)絡(luò)傳輸過程中，數(shù)據(jù)內(nèi)容不被泄露、不被非法篡改、數(shù)據(jù)流信息不被非法獲?。?/p>

(2)承載網(wǎng)絡(luò)的安全防護需要解決的問題是：面對最常見的病毒、木馬、DDOS等網(wǎng)絡(luò)攻擊，如何對脆弱的傳輸節(jié)點或核心網(wǎng)絡(luò)設(shè)備進行安全防護；

(3)終端及異構(gòu)網(wǎng)絡(luò)的鑒權(quán)認證提供輕量級鑒別認證和訪問控制，實現(xiàn)對終端接入認證、異構(gòu)網(wǎng)絡(luò)互連的身份認證、鑒權(quán)管理及對應(yīng)用的細粒度訪問控制；物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全5.1物聯(lián)網(wǎng)網(wǎng)絡(luò)安全需求

(4)異構(gòu)網(wǎng)絡(luò)下終端的安全接入

針對物聯(lián)網(wǎng)M2M的業(yè)務(wù)特征，對網(wǎng)絡(luò)接入技術(shù)和網(wǎng)絡(luò)架構(gòu)均需要改進和優(yōu)化，以滿足物聯(lián)網(wǎng)業(yè)務(wù)的網(wǎng)絡(luò)安全應(yīng)用需求：①網(wǎng)絡(luò)對低移動性、低數(shù)據(jù)量、高可靠性、海量容量的優(yōu)化；②適應(yīng)物聯(lián)網(wǎng)業(yè)務(wù)模型的無線安全接入技術(shù)、核心網(wǎng)優(yōu)化技術(shù)；③終端尋址、安全路由、鑒權(quán)認證、網(wǎng)絡(luò)邊界管理、終端管理等技術(shù)；④適用于傳感器節(jié)點的短距離安全通信技術(shù)、異構(gòu)網(wǎng)絡(luò)的融合技術(shù)和協(xié)同技術(shù)。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全5.1物聯(lián)網(wǎng)網(wǎng)絡(luò)安全需求

(5)物聯(lián)網(wǎng)應(yīng)用網(wǎng)絡(luò)統(tǒng)一協(xié)議棧需求

物聯(lián)網(wǎng)核心網(wǎng)層面是基于TCP/IP協(xié)議，但在網(wǎng)絡(luò)接入層面，協(xié)議種類繁多，有GPRS/CDMA、短信、傳感器、有線等多種通道，因此物聯(lián)網(wǎng)需要一個統(tǒng)一的協(xié)議棧和相應(yīng)的技術(shù)標準，從而杜絕通過篡改協(xié)議，協(xié)議漏洞等攻擊威脅網(wǎng)絡(luò)應(yīng)用安全；

(6)大規(guī)模終端分布式安全管控物聯(lián)網(wǎng)應(yīng)用終端的大規(guī)模部署，對網(wǎng)絡(luò)安全管控體系、安全檢測、應(yīng)急聯(lián)動、安全審計等方面提出了新的安全需求。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全5.1物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全

物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全威脅和安全需求

物聯(lián)網(wǎng)核心網(wǎng)安全新措施

移動通信接入安全

無線接入安全

物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全5.1.1網(wǎng)絡(luò)層安全威脅1.IP欺騙2.ICMP攻擊3.端口結(jié)構(gòu)的缺陷網(wǎng)絡(luò)層面臨的安全問題

針對物聯(lián)網(wǎng)終端的攻擊針對物聯(lián)網(wǎng)承載網(wǎng)絡(luò)信息傳輸?shù)墓翎槍ξ锫?lián)網(wǎng)核心網(wǎng)絡(luò)的攻擊物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全針對網(wǎng)絡(luò)終端的攻擊病毒、木馬對網(wǎng)絡(luò)終端的威脅：隨著物聯(lián)網(wǎng)終端的計算和存儲能力的增強，使其遭受病毒、木馬等侵入的機會也大大增加；且病毒或木馬在物聯(lián)網(wǎng)中具有更大的傳播性、更強的破壞性、更高的隱蔽性，因此威脅更大；網(wǎng)絡(luò)終端自身平臺缺乏完整性保護和驗證機制：平臺軟/硬件模塊容易被攻擊者篡改；終端內(nèi)部各通信接口間缺乏機密性和完整性保護：傳遞的信息容易被竊取或篡改。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全針對網(wǎng)絡(luò)終端的攻擊使用偷竊的終端和智能卡對終端或智能卡中的數(shù)據(jù)進行篡改對終端和智能卡間的通信進行偵聽偽裝身份截取終端與智能卡間的交互信息非法獲取終端和智能卡中存儲的數(shù)據(jù)物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全5.1.2網(wǎng)絡(luò)層安全技術(shù)和方法1.邏輯網(wǎng)絡(luò)分段2.VLAN的實施3.防火墻服務(wù)4.加密技術(shù)5.數(shù)字簽名和認證技術(shù)針對核心網(wǎng)的攻擊

(1)對數(shù)據(jù)的非法獲取

對用戶業(yè)務(wù)、信令和控制數(shù)據(jù)的竊聽，偽裝成網(wǎng)絡(luò)實體截取用戶信息以及對用戶流量進行主動與被動分析，即：對系統(tǒng)數(shù)據(jù)存儲實體的非法訪問；在呼叫建立階段偽裝用戶位置信息等。

(2)對數(shù)據(jù)完整性的攻擊對用戶業(yè)務(wù)與信令消息進行篡改；對下載到用戶終端或UsIM的應(yīng)用程序與數(shù)據(jù)進行篡改；通過偽裝成應(yīng)用程序及數(shù)據(jù)發(fā)起方篡改用戶終端或USIM的行為；篡改系統(tǒng)存儲實體中儲存的用戶數(shù)據(jù)等。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全網(wǎng)絡(luò)層安全技術(shù)和方法邏輯網(wǎng)絡(luò)分段VLAN的實施

邏輯網(wǎng)絡(luò)分段是指將整個網(wǎng)絡(luò)系統(tǒng)在網(wǎng)絡(luò)層（ISO/OSI模型中的第三次）上進行分段。例如，對于TCP/IP網(wǎng)絡(luò)，可以把網(wǎng)絡(luò)分成若干IP子網(wǎng)，各子網(wǎng)必須通過中間設(shè)備進行連接，并利用這些中間設(shè)備的安全機制來控制各子網(wǎng)之間的訪問。

基于MAC的VLAN不能防止MAC的欺騙攻擊。因此，VLAN劃分最好基于交換機端口。VLAN的劃分方式的目的是為了保護系統(tǒng)的安全性。因此，可以按照系統(tǒng)的安全性來劃分VLAN。針對核心網(wǎng)的攻擊

(3)拒絕服務(wù)攻擊

基本手段包括：物理干擾、協(xié)議級干擾、偽裝成網(wǎng)絡(luò)實體對用戶請求作出拒絕回答，濫用緊急服務(wù)等。

(4)否認攻擊主要包括：對費用的否認、對發(fā)送數(shù)據(jù)的否認、對接受數(shù)據(jù)的否認等。(5)對非授權(quán)業(yè)務(wù)的非法訪問

基本手段包括偽裝成用戶、服務(wù)網(wǎng)絡(luò)、歸屬網(wǎng)絡(luò)，濫用特權(quán)非法訪問非授權(quán)業(yè)務(wù)。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全網(wǎng)絡(luò)層安全技術(shù)和方法防火墻服務(wù)加密技術(shù)數(shù)字簽名和認證技術(shù)

防火墻技術(shù)是網(wǎng)絡(luò)安全的重要安全技術(shù)之一，其主要作用是在網(wǎng)絡(luò)入口點檢查網(wǎng)絡(luò)通信，根據(jù)客戶設(shè)定的安全準則，提供內(nèi)外網(wǎng)通信。

加密型網(wǎng)絡(luò)安全技術(shù)的基本思想是不依賴于網(wǎng)絡(luò)中數(shù)據(jù)途徑的安全性來實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全，而是通過對網(wǎng)絡(luò)數(shù)據(jù)的加密來保障網(wǎng)絡(luò)的安全可靠性。

認證技術(shù)主要解決網(wǎng)絡(luò)通信過程中通信雙方的身份認可，數(shù)字簽名是身份認證技術(shù)中的一種具體技術(shù)，同時數(shù)字簽名還可用于通信過程中的不可依賴要求?；赑KI的認證組成圖物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全特點

(1)無法復(fù)制傳統(tǒng)網(wǎng)絡(luò)成功的技術(shù)模式

不同應(yīng)用領(lǐng)域的物聯(lián)網(wǎng)具有完全不同的網(wǎng)絡(luò)安全和服務(wù)質(zhì)量要求；

(2)不同于傳統(tǒng)網(wǎng)絡(luò)的安全架構(gòu)傳統(tǒng)網(wǎng)絡(luò)的安全架構(gòu)是從人通信的角度設(shè)計的，而物聯(lián)網(wǎng)中以機器通信為主。若使用傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)，會割裂物聯(lián)網(wǎng)機器間的邏輯關(guān)系；

(3)物聯(lián)網(wǎng)需要嚴密的安全性和可控性

物聯(lián)網(wǎng)中的大多數(shù)應(yīng)用均涉及個人隱私或企業(yè)內(nèi)部機密，因此，需具有保護個人隱私、防御網(wǎng)絡(luò)攻擊的能力；物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全特點

(4)多源異構(gòu)的數(shù)據(jù)格式使網(wǎng)絡(luò)安全問題更復(fù)雜

物聯(lián)網(wǎng)在感知層從各種感知節(jié)點所采集的數(shù)據(jù)海量且多源異構(gòu)，致使網(wǎng)絡(luò)接入技術(shù)、網(wǎng)絡(luò)架構(gòu)、異構(gòu)網(wǎng)絡(luò)的融合技術(shù)和協(xié)同技術(shù)等相關(guān)網(wǎng)絡(luò)安全技術(shù)必須符合物聯(lián)網(wǎng)業(yè)務(wù)特征；

(5)對于網(wǎng)絡(luò)的實時性、安全可信性、資源保證性方面的要求均高于傳統(tǒng)網(wǎng)絡(luò)如：在智能交通應(yīng)用領(lǐng)域，物聯(lián)網(wǎng)必須是穩(wěn)定的；在醫(yī)療衛(wèi)生應(yīng)用領(lǐng)域，物聯(lián)網(wǎng)必須具有很高的可靠性。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全框架物聯(lián)網(wǎng)網(wǎng)絡(luò)層構(gòu)成

物聯(lián)網(wǎng)網(wǎng)絡(luò)層可分為：業(yè)務(wù)網(wǎng)、核心網(wǎng)、接入網(wǎng)三部分；物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全解決方案

(1)構(gòu)建物聯(lián)網(wǎng)與互聯(lián)網(wǎng)、移動網(wǎng)相融合的網(wǎng)絡(luò)安全體系結(jié)構(gòu)；(2)建設(shè)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全統(tǒng)一防護平臺；(3)提高物聯(lián)網(wǎng)系統(tǒng)各應(yīng)用層之間的安全應(yīng)用與保障措施；(4)建立全面的物聯(lián)網(wǎng)網(wǎng)絡(luò)安全接入與應(yīng)用訪問控制機制。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全基于網(wǎng)絡(luò)層安全特點的解決方案5.2.1無線局域網(wǎng)WLAN的安全威脅

無線局域網(wǎng)WLAN是計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。隨著無線局域網(wǎng)（WLAN）、第三代移動通信技術(shù)（3G）等無線無線互聯(lián)網(wǎng)技術(shù)的產(chǎn)生和運用，無線網(wǎng)絡(luò)使人們的生活變得輕松自如，并且在安裝、維護等方面也具有有線網(wǎng)無法比擬的優(yōu)勢，但隨著WLAN應(yīng)用市場的逐步擴大，除了常見的有線網(wǎng)絡(luò)的安全威脅外，WLAN的安全性問題顯得尤其重要。針對核心網(wǎng)的攻擊

(3)拒絕服務(wù)攻擊

基本手段包括：物理干擾、協(xié)議級干擾、偽裝成網(wǎng)絡(luò)實體對用戶請求作出拒絕回答，濫用緊急服務(wù)等。

(4)否認攻擊主要包括：對費用的否認、對發(fā)送數(shù)據(jù)的否認、對接受數(shù)據(jù)的否認等。(5)對非授權(quán)業(yè)務(wù)的非法訪問

基本手段包括偽裝成用戶、服務(wù)網(wǎng)絡(luò)、歸屬網(wǎng)絡(luò)，濫用特權(quán)非法訪問非授權(quán)業(yè)務(wù)。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全5.2.1無線局域網(wǎng)WLAN的安全威脅（1）無線局域網(wǎng)的網(wǎng)絡(luò)結(jié)（2）WLAN的安全風險分析

無線局域網(wǎng)可分為兩大類：第一類是有固定基礎(chǔ)設(shè)施的，即有接入點AP;第二類是無固定設(shè)施的，即自組織網(wǎng)絡(luò)（人們常稱為AbHoc網(wǎng)絡(luò)）。

1.DHCP導(dǎo)致易入侵。2.接入的風險。3.客戶端連接不當?shù)娘L險。4.竊聽導(dǎo)致的風險。5.拒絕服務(wù)攻擊。

WLAN所面臨的基本安全威脅主要有信息泄露、完整性破壞、拒絕服務(wù)和非法使用。主要包括非授權(quán)訪問、竊聽、偽裝、篡改信息、否認、重放、重路等（3）無線局域網(wǎng)的安全威脅一、無線局域網(wǎng)WLAN的網(wǎng)絡(luò)結(jié)構(gòu)第一類有固定基礎(chǔ)設(shè)施的網(wǎng)線局域網(wǎng)基礎(chǔ)結(jié)構(gòu)的WLAN圖物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全擴展的服務(wù)集ESS自組織網(wǎng)絡(luò)圖另一類無固定基礎(chǔ)設(shè)施的無線局域網(wǎng)又叫做自組織網(wǎng)絡(luò)物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全自組織網(wǎng)絡(luò)存在隱藏終端的問題，存在無線覆蓋外的站點，自組織網(wǎng)中的站點“看不到”隱藏終端，偵聽不到隱藏終端的載波信號，所以無法避免沖突發(fā)生，從而導(dǎo)致CSMA失效，信道吞吐率驗證下降。隱藏終端問題如上圖，A、D、C分別都能與B通信，由于沒有全覆蓋，結(jié)果導(dǎo)致：A、D或C、D同時發(fā)送數(shù)據(jù)時，彼此認為沒有沖突，實際上沖突會在B處發(fā)生。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全現(xiàn)有核心網(wǎng)典型安全防護系統(tǒng)部署物聯(lián)網(wǎng)AAA服務(wù)器

是一個能夠處理用戶訪問請求的服務(wù)器程序。提供驗證授權(quán)以及帳戶服務(wù)。AAA服務(wù)器通常同網(wǎng)絡(luò)訪問控制、網(wǎng)關(guān)服務(wù)器、數(shù)據(jù)庫以及用戶信息目錄等協(xié)同工作。

AAA

Authentication：

驗證用戶是否可以獲得訪問權(quán)限；

Authorization：

授權(quán)用戶可以使用哪些服務(wù)；

Accounting：

記錄用戶使用網(wǎng)絡(luò)資源的情況。物聯(lián)網(wǎng)核心網(wǎng)安全無線局域網(wǎng)的安全威脅

1.非授權(quán)訪問：入侵者訪問未授權(quán)的資源或使用未授權(quán)的服務(wù)。入侵者可看、刪除或修改未授權(quán)訪問的機密信息，造成信息泄露、完整性破壞，以及非法訪問和使用資源。

2.竊聽：入侵者能夠通過信息信道來獲取信息。AP的無線電波難以精確地控制在某個范圍之內(nèi)，所以在AP范圍內(nèi)幾乎任何一個STA都能竊聽這些數(shù)據(jù)。

3.偽裝：入侵者能夠偽裝成其他STA或授權(quán)用戶，對機密信息進行訪問；或者偽裝成AP，接收合法用戶的信息。

4.重放、重路由、錯誤路由和刪除消息。

5.否認：接收信息或服務(wù)的一方事后否認曾經(jīng)發(fā)送過的請求或接收過該信息或服務(wù)。現(xiàn)有核心網(wǎng)典型安全防護系統(tǒng)部署物聯(lián)網(wǎng)AAA服務(wù)器

是一個能夠處理用戶訪問請求的服務(wù)器程序。提供驗證授權(quán)以及帳戶服務(wù)。AAA服務(wù)器通常同網(wǎng)絡(luò)訪問控制、網(wǎng)關(guān)服務(wù)器、數(shù)據(jù)庫以及用戶信息目錄等協(xié)同工作。

AAA

Authentication：

驗證用戶是否可以獲得訪問權(quán)限；

Authorization：

授權(quán)用戶可以使用哪些服務(wù)；

Accounting：

記錄用戶使用網(wǎng)絡(luò)資源的情況。物聯(lián)網(wǎng)核心網(wǎng)安全現(xiàn)有核心網(wǎng)典型安全防護系統(tǒng)部署物聯(lián)網(wǎng)AAA服務(wù)器

是一個能夠處理用戶訪問請求的服務(wù)器程序。提供驗證授權(quán)以及帳戶服務(wù)。AAA服務(wù)器通常同網(wǎng)絡(luò)訪問控制、網(wǎng)關(guān)服務(wù)器、數(shù)據(jù)庫以及用戶信息目錄等協(xié)同工作。

AAA

Authentication：

驗證用戶是否可以獲得訪問權(quán)限；

Authorization：

授權(quán)用戶可以使用哪些服務(wù)；

Accounting：

記錄用戶使用網(wǎng)絡(luò)資源的情況。物聯(lián)網(wǎng)核心網(wǎng)安全無線局域網(wǎng)的標準協(xié)議

1）IEEE802.11系列標準(1)IEEE802.11標準是IEEE最初制定的第一個無線局域網(wǎng)標準。

(2)IEEE802.11b標準是對IEEE802.11的補充，采用補償編碼鍵控調(diào)制方式。

(3)IEEE802.11a標準也是對IEEE802.11的補充，擴展了物理層。

(4)IEEE802.11g標準是一種混合標準。

(5)IEEE802.11n標準不僅傳輸速率高，穩(wěn)定性和覆蓋范圍都有所提高。

2）家庭網(wǎng)絡(luò)HomeRF與HIPERLAN協(xié)議

(1)家庭網(wǎng)絡(luò)的HomRF是IEEE802.11與DECT的結(jié)合，旨在降低語音數(shù)據(jù)成本。

(2)HiPerLAN協(xié)議標準體系中的HiPerLAN2標準是目前比較完善的WLAN協(xié)議。3）藍牙針對核心網(wǎng)的攻擊

(3)拒絕服務(wù)攻擊

基本手段包括：物理干擾、協(xié)議級干擾、偽裝成網(wǎng)絡(luò)實體對用戶請求作出拒絕回答，濫用緊急服務(wù)等。

(4)否認攻擊主要包括：對費用的否認、對發(fā)送數(shù)據(jù)的否認、對接受數(shù)據(jù)的否認等。(5)對非授權(quán)業(yè)務(wù)的非法訪問

基本手段包括偽裝成用戶、服務(wù)網(wǎng)絡(luò)、歸屬網(wǎng)絡(luò)，濫用特權(quán)非法訪問非授權(quán)業(yè)務(wù)。物聯(lián)網(wǎng)網(wǎng)絡(luò)層安全5.2.2無線局域網(wǎng)的安全機制（1）WEP加密和認證機制（2）IEEE802.1x認證機制

WEP是一種基于RC4算法的40bit或128bit加密技術(shù)。移動終端和AP可以配置四組WEP秘鑰，加密傳輸數(shù)據(jù)時可以輪流使用，允許加密秘鑰動態(tài)改變。

請求者提供憑證，如用戶名/密碼、數(shù)字證書等，給認證這，認證者將這些憑證轉(zhuǎn)發(fā)給認證服務(wù)器，認證服務(wù)器決定憑證是否有效，并依次決定請求者是否可以訪問網(wǎng)絡(luò)資源

IEEE802.11i是802.11工作組為新一代WLAN制定的安全協(xié)議，主要包括加密技術(shù)、AES以及認證協(xié)議IEEE802.1x。（3）IEEE80