无线加密方式PPT.ppt

Click to add title,Top level,Second level,Third level,Fourth level,Fifth level,AUTELAN,Page,*,无线安全机制,目录,概诉,无线局域网加密认证方式,2.1 WEP,加密,2.2 WPA/802.1X,加密,2.3 WPA2,加密,2.4,三大加密对比,三,.,其他加密,3.1 WAPI,加密认证,一,.,概诉,无线局域网（,Wireless Local Area Network,）简称“,WLAN,”，利用无线射频（,RF,）电波作为信息传输的媒介构成的局部无线网路，与有限局域网的用途十分类似，最大的不同在于传输媒介的不同，它利用无线电技术取代网线，可以和有限网络互为备份。,wlan,技术现在正在广泛被应用，具有传统局域网无法比拟的灵活性,通信范围不受环境条件的限制,用户能够更方便，灵活，快捷的访问网络资源,随着无线局域网技术和应用的进一步发展，无线局域网正逐渐从传统意义上的局域网技术发展成为“公共无线局域网”，已成为,INTERNET,宽带接入的重要手段,尽管无线局域网路技术解决了很多传统有线网络存在的问题，同时，他也带来了新的安全问题。无线局域网技术最大的弱点就是其安全性，其安全问题使诸多企业望而却步，成为,WLAN,市场拓展的绊脚石。,无局域网不同于传统的网络，有线网络本身的物理线链路就是一种访问控制。用户必须通过线缆或光纤连接到网络上才能实现对网络的访问。而无线网络的信息的传输载体是无线电波就使其无法像传统网络那样可以实现物理上的隔离来保障整个局域网的信息安全，因此，无线局域网较之传统的网络，存在更多的安全隐患，如何解决其存在的安全问题，直接关系到无线网络技术的发展。,二,.,无线局域网加密方式,无线局域网的三大加密技术,WEP(Wired Equivalent Privacy),加密技术,IEEE802.11b,标准规定了一种称为有线等效保密的加密方案，,WEP,利用一个对称的方案，在数据的加密和解密过程中使用相同的密钥和算法,WPA,（,Wi-Fi Protected Access),加密技术,具有,WPA,和,WPA2,两个标准，是一种保护无线电脑网路（,Wi-Fi,）安全的系统,WPA2,加密技术,WPA2,是,WiFi,联盟验证过的,IEEE 802.11i,标准的认证形式，实现了,802.11i,的强制性元素，特别是,Michael,算法被公认彻底安全的,CCMP,（计数器模式密码块链消息完整码协议）讯息认证码所取代，而,RC4,加密算法也被,AES,所取代,其他加密方式,IEEE 802.1X,是一种为烧保护网路提供认证，控制用户通信以及动态密钥分配等服务的有效机制，将,8021x,协议和,windows,活动目录技术相结合，可以实现只有通过内部域用户验证的计算机才能正常连入公司交换机进行通讯，否则其接入端口数据将被阻隔,WAPI,WAPI,是,WLAN Authentication and Privacy Infrastructure,（无线局域网鉴别与保密基础结构）的简称，是中国提出的、以,802.11,无线协议为基础的无线安全标准。,2.1 WEP,加密,1.,定义及应用,全称,有线等效协议，是为了保证,802.11b,协议数据传输的安全性而推出的安全协议，该协议可以通过对传输的数据进行加密，以保证无线局域网中数据传输的安全性。,在无线局域网中，要使用,WEP,协议，无线,AP,首先要启用,WEP,功能，并创建密钥，然后在每个无线客户端启用,WEP,，并输入该密钥，这样就可以保证安全连接,2.WEP,加密方式,全称为有线对等保密，是一种数据加密算法，用于提供等同于有线局域网的保护能力，使用该技术的无线局域网，所有客户端与无线接入点的数据都会以一个共享的密钥进行加密，密钥越长，就需要更多的时间去破解，因此能够提供更好的安全保护，,WEP,安全技术源自于名为,RC4,的,RSA,数据加密技术，在无线网络中传输的数据是使用一个随机产生的密钥来加密的,RC4,RC4,函数（加密,/,解密）,对于,RC4,来说，,RC4,只有加密，将密文再加密一次，就是解密了。,RC4,加密算法,WEP,支持,64,位和,128,位加密,对于,64,位加密，加密密钥为,10,个十六进制字符（,0-9,和,A-FA),或,5,个,ASCII,字符；,对于,128,位加密，加密密钥为,26,个十六进制字符或,13,个,ASCII,字符；,WEP,依赖通信双方共享的密钥来保护所传的加密数据帧,加密过程,1.,计算校验和,对输入数据进行完整性校验和计算,把输入数据和计算得到的校验和组合起来得到新的加密数据，也称之为明文，用于下一步密过程的输入,2.,加密,在这个过程中，将第一步得到的数据明文采用完整性算法加密。对明文加密有两层含义,明文数据的加密,保护未经认证的数据,将,24,位的初始化向量和,40,位的密钥连接进行校验和计算，得到,64,位的数据,将这,64,位的数据输入到虚拟随机数产生器中，对初始化向量和密钥的校验和计算值进行加密计算,进过校验和计算的明文与虚拟随机数产生器的输出密钥进行按位异或运算得到加密后的信息，即密文,传输,将初始化向量和密钥串联起来，得到要传输的加密数据帧，在无线链路上传输,RC4,优点：速度快,缺点：需要事先将秘密的传输密钥,WEP,加密过程图解,3.WEP,总结,无线网络中已经存在好几种加密技术，最常用的事,WEP,和,WAP,两种加密方式。虽然,WEP,可以阻止窥探者进入无线网络，由于密文需要通过无线传输，,WEP,破解起来非常容易，就像一把锁在门上的朔料锁。,由于,WEP,的安全性低，催生了一个更安全的无线网络加密方式,WAP,的诞生,WAP,（,Wi-Fi Protected Access,）是,WEP,的增强产品，,WPA,是继承了,WEP,基本原理又解决了,WEP,缺点的一项新技术,2.2 WPA,加密,定义,WPA,（,Wi-Fi Protected Access,）网络安全存取,WPA,是一种基于标准的可互大大增强数据保护和访问控制水平。,WPA,源于正在制定中的,IEEE802.11i,标准并保持向前兼容。,WPA,的资料是以一把,128,位元的钥匙和一个,48,位元的初向量,(IV),的,RC4 stream cipher,来加密。,除了认证跟加密外，,WPA,对于所载资料的完整性也提供了巨大的改进。,WEP,所使用的,CRC,（循环冗余校验）先天就不安全，在不知道,WEP,钥匙的情况下，要篡改所载资料和对应的,CRC,是可能的，而,WPA,使用了称为,Michael,的更安全的讯息认证码（在,WPA,中叫做讯息完整性查核，,MIC,）。进一步地，,WPA,使用的,MIC,包含了帧计数器，以避免,WEP,的另一个弱点,replay attack,（回放攻击）的利用。,由于,WEP,已经证明的不安全性，在,802.11i,协议完善之前，采用,WPA,为用户提供一个临时性的解决方案，该标准的数据加密采用,TKIP,协议（,Temporary Key Integrity Protocol,）认证有两种模式可供选择，,一种是使用,802.1x,协议进行认证（,WPA,企业版）,一种是称为预先共享密钥,PSK(Pre-Shared Key),模式（,WPA,个人版）,TKIP,（,Temporal Key Integrity Protocol,）临时密钥完整性协议,TKIP,是包裹在已有的,WEP,密码外围的一层“外壳”。,TKIP,使用,WEP,同样的加密引擎和,EC4,算法，但是,TKIP,中密码使用的密钥长度是,128,位，解决了,WEP,密钥短的问题,TKIP,另一个重要特性就是变化每个数据包所使用的密 钥，这就是它名称中“动态”的出处。密钥通过将多种因素混合在一起生成，包括基本密钥（即,TKIP,中所谓的成对瞬时密钥）、发射站的,MAC,地址以及数据包 的序列号。混合操作在设计上将对无线站和接入点的要求减少到最低程度，但仍具有足够的密码强度，使它不能被轻易破译。,WEP,的另一个缺点就是“重放攻击（,replay attacks,）”，而利用,TKIP,传送的每一个数据包都具有独有的,48,位序列号，由于,48,位序列号需要数千年时间才会出现重复，因此没有人可以重放来自 无线连接的老数据包：由于序列号不正确，这些数据包将作为失序包被检测出来。,802.1x,协议认证,1.,在了解,802.1x,协议认证之前，先了解一下术语,RADIUS：Remote Authentication Dial In User Service,远程用户拨号认证系统,，,可以简单将其理解成一个存储有用户的用户名密码的服务器，,能够对一些查询进行响应，从而得知用户是否合法,EAP：Extentional Authentication Protocol,可扩展的认证协议，这是一个能够为没有接入网络的设备提供认证及网络接入的服务，,工作于OSI七层模型中的数据链路层。之所以称其为,“,可扩展的,”,，是因为协议只是,规定了一个框架，允许企业根据实际需要自行定制，但是它要求企业自己的标准符合,IEEE标准中对于安全性的要求,EAPOL：EAP Over LAN,能够在局域网上传输EAP报文的协议,2.,IEEE 802.1x概述,802.1X是由IEEE提出的基于端口的网络访问控制标准。它能够提供一种对连接到局域网的用户进行认证和授权的手段，达到了接受合法用户接入，保护网络安全的目的。,基于802.1x的认证，又称EAPOE认证，因为这个协议依赖于EAP实现,通常，802.1x协议、802.1x认证、EAP协议都可以认为是同一个意思,IEEE 802.1x认证组成,802.1X认证包括三个部分:,请求方,请求方就是希望接入局域网/无线局域网来上网的设备，譬如一台笔记本，有时,候也指设备上运行的客户端软件,认证方,认证方则是管理接入的设备，譬如以太网交换机或者无线接入点,认证服务器,认证服务器就是一个运行有支持RADIUS和EAP的软件的主机。,在认证过程中认证方起到了关键作用。它将网络接入端口分成两个逻辑端口：受控端口和非受控端口，非受控端口始终对用户开放，只允许用于传送认证信息，认证通过之后，受控端口才会打开，用户才能正常访问网络服务,4.,IEEE 802.1x认证过程,请求方与认证方之间通过EAPOL传递EAP报文，EAPOL报文在认证方那里封装成EAP报文送往认证服务器，所以认证方与认证服务器之间传送的则是真正的EAP报文，EAP报文这时可以被进一步通过其它报文封装，譬如TCP/UDP，以穿过复杂的网络环境,当用户有上网需求时，打开IEEE 802.1x的客户端程序，输入已经申请登记过的用户名和口令，发起连接请求。,认证方,收到请求认证的数据帧后，向客户端发送EAP-Requst/Identity。要求客户端程序将用户名送上来。,客户端收到EAP-Requst/Identity后，响应,认证方,的请求回应一个EAP-Response/Identity，其中包括用户名。,认证方,收到Response/Identity后将该报文封装到RADIUS Access-Request报文中，发送给认证服务器,认证服务器接收到认证方转发上来的用户名信息后，产生一个Challenge，通过接入设备将RADIUS Access-Challenge报文发送给客户端，其中包含有EAP-Request/MD5-Challenge,（一个随机生成的密钥，通常为32位）,认证方,通过EAP-Request/MD5-Challenge发送给客户端，要求客户端进行认证,客户端将密码和Challenge做MD5算法后的Challenged-Passwor在EAP-Response/MD5-Challenge回应给,认证方,认证方,将Challenge，Challenged Password和用户名一起送到RADIUS服务器，由RADIUS服务器进行认证.,RADIUS服务器根据用户信息，做MD5算法，判断用户是否合法。然后回应认证成功/失败报文到接入设备。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束,如果认证通过，用户通过标准的DHCP协议(可以是DHCP Relay)，通过接入设备获取规划的IP地址,，认证方,发起计费开始请求给RADIUS用户认证服务器,RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕,用户发出一个EAPOL-Logoff报文，认证方受到报文后告知RADIUS服务器，RADIUS服务器停止计费之后，要求认证方告知用户已经断线，认证方向用户发送EAP-Failure,用户收到EAP-Failure后，确认已断线，一次网络服务就此告终。,IEEE 802.1x小结,IEEE 802.1x认证定义了基于端口的网络接入控制协议，提供了在无IP环境下对接入用户的身份认证和访问控制机制，具有成本低、实现容易的特点，它与其它认证的不同是它可以提供多种认证方式，如口令，智能卡等。,802.1x认证仅提供了一个大致框架，目前出现了许多对802.1x协议安全性上进行的改进，包括引进公钥密码体制的EAP-TLS,EAP-TTLS，基于SIM卡的EAP-AKA，EAP-SIM，基于预分配密钥的EAP-PSK、EAP-FAST等。,在这些改进措施中，通常扩展的密码体制都会使原本简单的802.1x认证变得更加复杂,。,预先共享密钥,PSK(Pre-Shared Key),在企业网络中，认证所需要的数据库信息检索和比对工作通常由专门的服务器（如,Radius,服务器）来完成。但对于家庭或小型企业,SOHO,环境而言，则不具备这样的条件，因此,WPA,也提供了一个较简单，不需要其他附加设备也可以使用的模式，即,WPA-PSK,（,Wi-Fi Protected Access with Pre-Shared Key,：预先共享密钥式,Wi-Fi,保护访问）,要使用,WPA-PSK,，只需要每组,WLAN,节点（无线,AP,，无线路由器，客户端网卡等）输入单一的密码，只需要密码相符，客户端便会获得,WLAN,的存取权限,2.3 WPA2,加密,定义,由于完整的,IEEE 802.11i,标准推出尚需要一段时间，因此以已经完成的,TKIP,的,IEEE802.11i,第三版草案（,IEEE 802.11i draft 3,）为基准，制定了,WPA,。,而当,IEEE,完成并公布,IEEE 802.11i,无线局域网安全标准后，,Wi-Fi,联盟也随即公布了,WPA2,的第二版,WPA2,。,WPA2,实现了,802.11i,的强制性元素，特别是,Michael,算法由公认彻底安全的,CCMP,讯息认证代码所取代，而,RC4,也被,AES,取代，安全性更高，但与,WPA,不同的是，,WPA2,支持,802.11g,或以上的无线网卡,2.WPA2,的两种认证类型,WPA2,企业版,需要一台具有,802.1X,功能的,RADIUS,服务器,WPA2,个人版,没有,RADIUS,服务器的,SOHO,用户可以使用,WPA2,个人版，其口令长度为,20,个以上的随机字符,AES,算法,Advanced Encryption Standard(,高级加密标准,),是美国国家标准与技术研究所用于加密电子数据的规范，该算法汇聚了设计简单、密钥安装快、需要的内存空间少、在所有的平台上运行良好、支持并行处理并且可以抵抗所有已知攻击等优点。,AES,是一个迭代的、对称密钥分组的密码，它可以使用,128,、,192,和,256,位密钥，并且用,128,位（,16,字节）分组加密和解密数据。,与公共密钥密码使用密钥对不同，对称密钥密码使用相同的密钥加密和解密数据。通过分组密码返回的加密数据的位数与输入数据相同。,AES,提供了比,TKIP,更加高级的加密技术，现在无线路由器都提供了这,2,种算法，不过比较倾向于,AES,。,TKIP,安全性不如,AES,，而且在使用,TKIP,算法时路由器的吞吐量会下降,3,成至,5,成，大大地影响了路由器的性能。,迭代加密使用一个循环结构，在该循环中重复置换（,permutations,）和替换,(substitutions,）输入数据。,AES,加密解密过程,AES,提供了比,TKIP,更加高级的加密技术，现在无线路由器都提供了这,2,种算法，不过比较倾向于,AES,。,TKIP,安全性不如,AES,，而且在使用,TKIP,算法时路由器的吞吐量会下降,3,成至,5,成，大大地影响了路由器的性能。,CCMP,CCMP,主要是两个算法所组合而成的，分别是,CTR mode,以及,CBC-MAC mode.CTR mode,为加密算法，,CBC-MAC,用户讯息完整性运算。在,IEEE 802.11i,规格书中，,CCMP,为,default mode,，在所谓的,RSN network,中，扮演相当重要的角色,CCMP =CTR mode+CBC-MAC mode,CTR,全名是,Advanced Encryption Standard(AES)in Counter Mode,，,在,CCMP,使用的,AES,是,based on Rijndael Algorithm,所发展出的算法,2,，主要是经过,NIST,修改并且认证，不再有,TKIP protocol,支持,WEP,系统的既有攻击，所以在安全强度上，有一定的水平。,CBC-MAC,全名是,Cipher Block Chaining Message Authentication Code,，,就如同其名，主要是针对,message block,作运算，最后输出,message authentication code,，,达到验证,message,的效果,(,因为,CTR,并没有提供,authentication,的机制,),。,CBC-MAC,加解密过程主要是把,Message block,经由,block cipher algorithm,加密后，再把输出给下一个,block,当,input,使用。一开始第一个,block,没有,input,所以,IV,用,0,代入。在,CCMP,里会把低位的,64-,bit,无条件的去掉，只取高位,64-,bit,当做,MIC,。,CBC-MAC mode,运算过程,IV=0,Message,Block 1,Message,Block 2,Message,Block n,加密,加密,加密,Result,目前主流的无线网络加密方式有三种，即,64/128,位,WEP,加密，,WAP,加密和,WPA2,加密。这里特别需要说明的是，三种无线加密方式对无线网络传输速率影响也不尽相同。,由于,IEEE 802.11n,标准不支持以,WEP,加密和,TKIP,加密算法，所以如果用户选择了,WEP,加密方式或,WPA-PSK/WPA2-PSK,加密方式的,TKIP,算法，无线传输速率将会自动限制在,11g,水平（理论值为,54Mbps,实际在,20Mbps,左右）,如果用户使用的是符合,IEEE 802.11n,标准的无线产品（理论速率,150M,或,300M,），那么无线加密方式只能选择,WPA-PSK/WPA2-PSK,的,AES,算法加密，否则无线传输速率将会明显降低。,如果用户使用的是符合,IEEE 802.11g,标准的无线产品，那么三种加密方式都可以很好的兼容，不过还是不建议使用,WEP,这种较老并且易破解的加密方式,2.4,三种加密方式的比较,加密技术,全称,加密算法,协议,类型,WEP,Wired Equivalent Privacy,（有线对等保密）,RC4,IEEE 802.11b,无,WPA,Wi-Fi Protected Access,（,WiFi,安全存取）,RC4,IEEE 802.11i draft 3,，它使用,TKIP,WPA-PSK,WPA-Enterprise,WPA2,Wi-Fi Protected Access 2,（,WiFi,安全存取 第二版）,支持,AES(,高级加密算法,),，因此它需要新的硬件支持，它使用,CCMP,IEEE 802.11i,WPA2-PSK,WPA,2,-Enterprise,三种加密方式对比表,WEP,安全加密方式,WEP,特性里使用了,rsa,数据安全性公司开发的,rc4,算法。全称为有线对等保密,(Wired Equivalent Privacy,，,WEP),是一种数据加密算法，用于提供等同于有线局域网的保护能力。使用了该技术的无线局域网，所有客户端与无线接入点的数据都会以一个共享的密钥进行加密，密钥的长度有,40,位至,256,位两种，密钥越长，黑客就需要更多的时间去进行破解，因此能够提供更好的安全保护。,WPA,安全加密方式,WPA,加密即,Wi-Fi Protected Access,，其加密特性决定了它比,WEP,更难以入侵，所以如果对数据安全性有很高要求，那就必须选用,WPA,加密方式了,(Windows XP SP2,已经支持,WPA,加密方式,),。,WPA,作为,IEEE 802.11,通用的加密机制,WEP,的升级版，在安全的防护上比,WEP,更为周密，主要体现在身份认证、加密机制和数据包检查等方面，而且它还提升了无线网络的管理能力。,WPA,、,WEP,对比,WPA,与,WEP,不同，,WEP,使用一个静态,的密钥来加密所有的通信。,WPA,不断的转换密钥,。,WPA,采用有效的密钥分发机制，可以跨越不同厂商的无线网卡实现应用。另外,WPA,的另一个优势是，它使公共场所和学术环境安全地部署无线网络成为可能。而在此之前，这些场所一直不能使用,WEP,。,WEP,的缺陷在于其加密密钥为静态密钥而非动态密钥。这意味着，为了更新密钥，,IT,人员必须亲自访问每台机器，而这在学术环境和公共场所是不可能的。另一种办法是让密钥保持不变，而这会使用户容易受到攻击。由于互操作问题，学术环境和公共场所一直不能使用专有的安全机制。,WPA2,：目前最强的无线加密技术,WPA2,是,WiFi,联盟验证过的,IEEE 802.11i,标准的认证形式，,WPA2,实现了,802.11i,的强制性元素，特别是,Michael,算法被公认彻底安全的,CCMP(,计数器模式密码块链消息完整码协议,),讯息认证码所取代、而,RC4,加密算法也被,AES,所取代。,在,WPA/WPA2,中，,PTK,的生成是依赖于,PMK,的，而,PMK,的方式有两种，一种是,PSK,方式，也就是预共享密钥模式,(pre-shared key,，,PSK,，又称为个人模式,),，在这种方式中,PMK=PSK;,而另一种方式则需要认证服务器和站点进行协商来产生,PMK,。下面我们通过公式来看看,WPA,和,WPA2,的区别：,WPA=IEEE 802.11i draft 3=IEEE 802.1X/EAP+WEP(,选择性项目,)/TKIP,WPA2=IEEE 802.11i=IEEE 802.1X/EAP+WEP(,选择性项目,)/TKIP/CCMP,目前,WPA2,加密方式的安全防护能力非常出色，只要你的无线设备均支持,WPA2,加密，那你将体验到最安全的无线网络生活。即使是目前最热的“蹭网卡”也难以蹭入你的无线网络，用户大可放心使用。,IEEE 802,个标准对三种协议的支持情况,小结,总的来说，,WPA,更据安全性，更可靠。一般来说现在的路由器这,3,种加密方式都提供。,WEP,主要是提供给旧版本网卡不支持,WPA,方式的用户，如果你的网卡支持，建议使用,WPA2,的,AES,加密方式。,注：,WEP,不支持,WPS,功能,三，其他加密方式,3.1 WAPI,加密,1.,定义,WAPI,是,WLAN Authentication and Privacy Infrastructure,（无线局域网鉴别与保密基础结构）的简称，是中国提出的、以,802.11,无线协议为基础的无线安全标准。,WAPI,协议由以下两部分构成：,WAI,：是,WLAN Authentication Infrastructure,（无线局域网鉴别基础结构）的简称，是,用 于无线局域网中身份鉴别和密钥管理的安全方案,WPI,：是,WLAN Privacy Infrastructure,（无线局域网保密基础结构）的简称，是用于无,线局域网中数据传输保护的安全方案，包括数据加密、数据鉴别和重放保护等功,能,2.,系统组成,在一个典型的,WAPI,系统中，,WAPI,用户通过,AP,接入有线,IP,网络。首先，,WAPI,用户与,AP,进行,802.11,链路协商，之后,AP,为该用户触发,WAI,鉴别过程，配合,AS,完成与用户的双向认证。当认证通过后，,AP,会发起对该用户的密钥协商，并使用协商出的密钥通过,WPI,向该,WAPI,用户提供加、解密服务。,WAPI,的工作过程,在一个采用了,WAPI,安全关联机制的,WLAN,中，当,STA,需要访问该,WLAN,时，通过被动侦听,AP,的信标（,Beacon,）帧或主动发送探询帧以识别,AP,所采用的安全策略：,若,AP,采用证书鉴别方式，,AP,将发送鉴别激活分组启动证书鉴别过程，当证书鉴别过,程成功结束后，,AP,和,STA,再进行单播密钥协商和组播密钥通告；,若,AP,采用预共享密钥鉴别方式，,AP,将与,STA,直接进行单播密钥协商和组播密钥通告。,4.WAPI,的鉴别方式,WAPI,支持如下两种鉴别方式：,证书鉴别方式,预共享密钥鉴别方式。,证书鉴别方式,数字证书是一种经,PKI,（,Public Key Infrastructure,，公钥基础设施）证书授权中心签名的、包含公开密钥及用户相关信息的文件，是网络用户的数字身份凭证。,WAPI,系统中所使用的用户证书为数字证书，通过,AS,对用户证书进行验证，可以唯一确定,WAPI,用户的身份及其合法性。,证书鉴别是基于,STA,和,AP,双方的证书所进行的鉴别。鉴别前,STA,和,AP,必须预先拥有,各自的证书，然后通过,AS,对双方的身份进行鉴别，根据双方产生的临时公钥和临时,私钥生成,BK,，并为随后的单播密钥协商和组播密钥通告做好准备,在进行证书鉴别时，有如下两种证书鉴别模式可供选择：,标准鉴别模式：即基于,WAPI,标准协议的,UDP,模式。在该模式下，,AP,与,AS,之间的,WAI,协议报文将通过普通的,UDP,方式进行传输，最终完成证书鉴别。该模式不支持对用户的计费功能。,AAA,鉴别模式：是,H3C,私有的一种鉴别模式。在该模式下，,AP,与,AS,之间通过,RADIUS,报文完成证书鉴别，,WAI,协议报文将承载于,RADIUS,协议报文之上（要求,RADIUS,服务器,支持,WAPI,功能），作为,RADIUS,报文的一个私有属性。此外，该模式还能够提供对用户,的授权和计费功能（需要,RADIUS,服务器配合）。,预共享密钥鉴别方式,预共享密钥鉴别是基于,STA,和,AP,双方的密钥所进行的鉴别。鉴别前,STA,和,AP,必须预先配置有相同的密钥，即预共享密钥。鉴别时直接将预共享密钥转换为,BK,，然后进行单播密钥协商和组播密钥通告。,4.WAPI,的密钥管理,STA,与,AP,之间交互的单播数据利用单播密钥协商过程所协商出的单播加密密钥和单播完整性校验密钥进行保护；,AP,利用自己通告的、由组播主密钥导出的组播加密密钥和组播完整性校验密钥对其发送的广播,/,组播数据进行保护，而,STA,则采用,AP,通告的、由组播主密钥导出的组播加密密钥和组播完整性校验密钥对收到的广播,/,组播数据进行解密。,首先要进行单播密钥的协商，如图所示,当单播密钥协商完成后，再使用单播密钥协商过程所协商出的密钥进行组播密钥的通告，如图所示,创新你的无线,