无线局域网安全.ppt
合集下载
网络安全教育PPT课件(共23页PPT)
传播正能量 安全网络行
电信诈骗的防范意识
提高公众的防范意识是预防电信诈骗的重 要手段。公众应时刻保持警惕,不轻信陌 生人的信息和要求,不随意泄露个人信息, 遇到可疑情况应及时报警。同时,相关部 门也应加强宣传教育,提高公众的识骗防 骗能力。
传播正能量 安全网络行
感谢聆听!
演讲者:
演讲时间:
传播正能量 安全网络行
网络安全问题教育 主题班会
演讲者:
演讲时间:
传播正能量 安全网络行
目录
01 常见的网络安全问题
02 网络问题的危害
03 如何预防网络诈骗
04 网络安全小知识
传播正能量 安全网络行 01 第一部分
常见的网络安全 问题
传播正能量 安全网络行
虚假免费WiFi
为了节约流量,一些用户出门在外时,会 选择连接周边的免费WiFi,这就给不法分 子留下了可乘之机。他们会打着提供免费 WiFi服务的幌子,通过后台侵入用户手机, 窥探隐私、收集数据。
传播正能量 安全网络行
容易发现无线局域网
无线局域网非常容易被发现,为了能够使 用户发现无线网络的存在,网络必须发送 有特定参数的信标帧,这样就给攻击者提 供了必要的网络信息。入侵者可以通过高 灵敏度天线从公路边、楼宇中以及其他任 何地方对网络发起攻击而不需要任何物理 方式的侵入。
传播正能量 安全网络行
传播正能量 安全网络行 02 第二部分
网络问题的危害
传播正能量 安全网络行
影响学术研究
大学诈骗事件的频发可能导致学术研究资 金的流失,影响科研项目的开展和学术成 果的产出,进Байду номын сангаас影响国家的科技进步。
传播正能量 安全网络行
道德观念扭曲
第11章 无线网络安全PPT讲义
UTRAN) 演进的分组核心网络(Evolved Packet Core,EPC) 应用网络域
LTE的安全性
LTE网络架构
用户设备(UE)
用户设备中类似于UMTS的终端设备包括终端ME和USIM卡两部分,除了普通的用户设备外,LTE 系统还支持多种机器类型设备(Machine Type Communication Device,MTCD)接入到EPC。
应用网络域
LTE系统引入两种新型的服务,包括机器类型通信MTC和IP多媒体子系统(IMS),因此应用网络 域主要用于处理两种应用场景:IP多媒体子系统(IMS)、机器类型通信(MTC)。
LTE的安全性
LET的安全性
接入网和核心网的双层安全模型:UE和基站之间的接入层(AS)安 全机制、UE到MME间的非接入层信令安全机制(NAS)
AP发送一个认证请求信息,请求STA提供身份 信息。
STA将自己的身份信息发送给AP。 AP将包含用户身份的信息转发给RADIUS服务
器。
RADIUS服务器通过查询用户身份信息数据库 或使用其他认证算法验证用户身份的合法性。
RADIUS服务器向AP发送接收或拒绝用户访问 的信息。
AP向STA发送认证成功或认证失败的消息。如 果RADIUS服务器告知AP可以允许用户接入, 则AP将为用户开放一个受控端口,用户STA将 就可用该端口传输数据。
第11章 无线网络安全
本章内容
11.1 • 无线网络面临的安全威胁 11.2 • 无线蜂窝网络的安全性 11.3 • 无线局域网络的安全性 11.4 • 移动Ad hoc网络的安全性
什么是安全威胁?
主动威胁 被动威胁
安全威胁是指某个人、物或事件对某一资源(如信 息)的保密性、可用性、完整性以及资源的合法使 用构成危险。
LTE的安全性
LTE网络架构
用户设备(UE)
用户设备中类似于UMTS的终端设备包括终端ME和USIM卡两部分,除了普通的用户设备外,LTE 系统还支持多种机器类型设备(Machine Type Communication Device,MTCD)接入到EPC。
应用网络域
LTE系统引入两种新型的服务,包括机器类型通信MTC和IP多媒体子系统(IMS),因此应用网络 域主要用于处理两种应用场景:IP多媒体子系统(IMS)、机器类型通信(MTC)。
LTE的安全性
LET的安全性
接入网和核心网的双层安全模型:UE和基站之间的接入层(AS)安 全机制、UE到MME间的非接入层信令安全机制(NAS)
AP发送一个认证请求信息,请求STA提供身份 信息。
STA将自己的身份信息发送给AP。 AP将包含用户身份的信息转发给RADIUS服务
器。
RADIUS服务器通过查询用户身份信息数据库 或使用其他认证算法验证用户身份的合法性。
RADIUS服务器向AP发送接收或拒绝用户访问 的信息。
AP向STA发送认证成功或认证失败的消息。如 果RADIUS服务器告知AP可以允许用户接入, 则AP将为用户开放一个受控端口,用户STA将 就可用该端口传输数据。
第11章 无线网络安全
本章内容
11.1 • 无线网络面临的安全威胁 11.2 • 无线蜂窝网络的安全性 11.3 • 无线局域网络的安全性 11.4 • 移动Ad hoc网络的安全性
什么是安全威胁?
主动威胁 被动威胁
安全威胁是指某个人、物或事件对某一资源(如信 息)的保密性、可用性、完整性以及资源的合法使 用构成危险。
《无线局域网WiFi》课件
《无线局域网WIFI》PPT课件
目录
CONTENTS
• 无线局域网概述 • 无线局域网技术原理 • 无线局域网设备 • 无线局域网设置与配置 • 无线局域网常见问题与解决方案 • 无线局域网未来发展
01 无线局域网概述
CHAPTER
无线局域网定义
01
无线局域网(WLAN)是一种利 用无线通信技术在一定的局部范 围内建立的网络,其范围通常在 几十米到几公里以内。
无线局域网将与云计算、大数据等技术融合,实现更高效的数据处理和存储,提升网络服务 的质量和效率。
谢谢
THANKS
详细描述
确保无线加密方式是最新的,并定 期更换密码以增加安全性。使用 MAC过滤功能限制特定设备的访 问权限。
解决方案
安装安全软件,定期更新操作系统 和应用程序的安全补丁,以防范恶 意攻击和病毒传播。
06 无线局域网未来发展
CHAPTER
5G技术在无线局域网的应用
5G技术为无线局域网提供了更高的传 输速度、更低的延迟和更大的连接数 ,将有助于提升无线局域网的应用范 围和服务质量。
02 无线局域网技术原理
CHAPTER
无线传输技术
01
02
03
无线电波传输
无线局域网通过无线电波 进行数据传输,利用电磁 波在空气中传播实现网络 连接。
微波传输
微波传输是无线传输的一 种,频率范围在300MHz300GHz之间,具有传输 速度快、容量大等优点。
红外线传输
红外线传输利用红外线进 行数据传输,具有抗干扰 能力强、安全性高等特点 。
,保护网络安全。
03 无线局域网设备
CHAPTER
无线路由器
无线路由器是用于连接无线局域网的 设备,它可以将有线网络转换成无线 网络,使得多台设备能够同时接入互 联网。
目录
CONTENTS
• 无线局域网概述 • 无线局域网技术原理 • 无线局域网设备 • 无线局域网设置与配置 • 无线局域网常见问题与解决方案 • 无线局域网未来发展
01 无线局域网概述
CHAPTER
无线局域网定义
01
无线局域网(WLAN)是一种利 用无线通信技术在一定的局部范 围内建立的网络,其范围通常在 几十米到几公里以内。
无线局域网将与云计算、大数据等技术融合,实现更高效的数据处理和存储,提升网络服务 的质量和效率。
谢谢
THANKS
详细描述
确保无线加密方式是最新的,并定 期更换密码以增加安全性。使用 MAC过滤功能限制特定设备的访 问权限。
解决方案
安装安全软件,定期更新操作系统 和应用程序的安全补丁,以防范恶 意攻击和病毒传播。
06 无线局域网未来发展
CHAPTER
5G技术在无线局域网的应用
5G技术为无线局域网提供了更高的传 输速度、更低的延迟和更大的连接数 ,将有助于提升无线局域网的应用范 围和服务质量。
02 无线局域网技术原理
CHAPTER
无线传输技术
01
02
03
无线电波传输
无线局域网通过无线电波 进行数据传输,利用电磁 波在空气中传播实现网络 连接。
微波传输
微波传输是无线传输的一 种,频率范围在300MHz300GHz之间,具有传输 速度快、容量大等优点。
红外线传输
红外线传输利用红外线进 行数据传输,具有抗干扰 能力强、安全性高等特点 。
,保护网络安全。
03 无线局域网设备
CHAPTER
无线路由器
无线路由器是用于连接无线局域网的 设备,它可以将有线网络转换成无线 网络,使得多台设备能够同时接入互 联网。
《无线局域网》PPT课件
衰减效应使得无线传输的强度随时间和空间变化,其覆盖范围 是不一致的,不可预料的。 *所发射的信号不可能限定到一个指定的区域,信号可能被窃听者 截取。 *频谱是有限的,必须跟其它用户(临近的无线LAN)和设备(例 如微波炉和荧光灯)共享。 *有限的频谱也使得难以提供跟使用有线媒体易于得到的同样的传 输速率。 *无线频谱传统地受到不同政府部门所进行的不同的管制,难以设 计针对全球市场的产品。
计算机网络课程
Ethernet
Intranet
h
Internet
1
第8单元 无线局域网
8.1 无线局域网的组成
8.2 无线局域网的协议体系 8.3 无线局域网中的扩展频谱技术
8.3 .1 跳频
8.3 .2 直接序列
8.4 IEEE 802.11 MAC协议 8.4.0 概论
8.4.1 分布式协调功能
h
3
第8单元 无线局域网
无线技术可以免除许多对硬导线连接的需求,同时简化了设备 的安装和移动。它可以提供在一个计算机系统部件之间的连接, 也可以提供计算机之间的连接。然而,无线技术必须克服下列 挑战:
*易于受到噪音和干扰的影响,传输不是很可靠。 *由多径传播和因物理障碍及地理拓扑引起的非平稳传播所产生的
在概念上,我们把无线局域网可复盖的区域称为服务区 域。服务区域又可分为基本服务区域(BSA—Basic Service Area)和扩展服务区域(ESA—Extended Service Area)。为了扩大无线局域网的复盖区域,通 常采用无线接入站AP(Access Point)把BSA与骨干网 (通常是有线局域网)相连接。多个BSA中的站经由访 问点(AP)设备与有线骨干网连接,构成扩展服务区域。 典型的ESA的复盖范围与有线局域网一样,在几公里以 内。在ESA中,访问点设备除了具有无线/有线的桥接功 能外,还确定了一个BSA的地理位置。
计算机网络课程
Ethernet
Intranet
h
Internet
1
第8单元 无线局域网
8.1 无线局域网的组成
8.2 无线局域网的协议体系 8.3 无线局域网中的扩展频谱技术
8.3 .1 跳频
8.3 .2 直接序列
8.4 IEEE 802.11 MAC协议 8.4.0 概论
8.4.1 分布式协调功能
h
3
第8单元 无线局域网
无线技术可以免除许多对硬导线连接的需求,同时简化了设备 的安装和移动。它可以提供在一个计算机系统部件之间的连接, 也可以提供计算机之间的连接。然而,无线技术必须克服下列 挑战:
*易于受到噪音和干扰的影响,传输不是很可靠。 *由多径传播和因物理障碍及地理拓扑引起的非平稳传播所产生的
在概念上,我们把无线局域网可复盖的区域称为服务区 域。服务区域又可分为基本服务区域(BSA—Basic Service Area)和扩展服务区域(ESA—Extended Service Area)。为了扩大无线局域网的复盖区域,通 常采用无线接入站AP(Access Point)把BSA与骨干网 (通常是有线局域网)相连接。多个BSA中的站经由访 问点(AP)设备与有线骨干网连接,构成扩展服务区域。 典型的ESA的复盖范围与有线局域网一样,在几公里以 内。在ESA中,访问点设备除了具有无线/有线的桥接功 能外,还确定了一个BSA的地理位置。
局域网组网技术ppt精选课件
子网掩码计算方法和实例演示
子网1
192.168.1.0 - 192.168.1.63
子网2
192.168.1.64 - 192.168.1.127
子网3
192.168.1.128 - 192.168.1.191
子网4
192.168.1.192 - 192.168.1.255
CIDR表示法及其应用场景
05
CATALOGUE
路由协议原理及其在局域网中应用探讨
静态路由配置步骤和注意事项
在路由器上配置静态路由 条目
确定目标网络和下一跳地 址或出口接口
配置步骤
01
03 02
静态路由配置步骤和注意事项
测试和验证路由配置 注意事项 确保网络拓扑清晰,避免路由环路
静态路由配置步骤和注意事项
合理规划子网掩码和下一跳地址 考虑网络的可扩展性和维护性
IP地址分类及私有地址范围
IP地址分类
A、B、C、D、E五类,其中A、 B、C类为常用IP地址,D类为组
播地址,E类为保留地址。
A类
10.0.0.0 - 10.255.255.255
B类
172.16.0.0 - 172.31.255.255
C类
192.168.0.0 192.168.255.255
发展历程
从早期的以太网(Ethernet)到现在的 高速局域网技术,如千兆以太网 (Gigabit Ethernet)和万兆以太网 (10 Gigabit Ethernet)。
局域网拓扑结构类型
星型拓扑
以中央节点为中心,其他节点通过点到点链路与中央节点相 连。优点是易于扩展和管理,缺点是中央节点故障会导致整 个网络瘫痪。
无线局域网
图7-5 CHIPPING-BARKER序列
3.跳频技术
• 跳 频 技 术 ( FREQUENCY-HOPPING SPREAD SPECTRUM,FHSS)快速地转换传输的频率,每个 时间段内使用的频率和前后时间段的都不一样,所以发 送端和接收端必须保持跳变频率一致,这样才能保证正 确地接收信号。跳频原理框图如图7-6所示。
AP
支持3600个AP间的无缝漫游
漫游能力
支持2、3层无缝漫游,3层无缝 漫游必须通过WLSM或Mobile IP技术 实现
图7-11 基于中心控制的网络
AP有两种架构类型:
(1)胖AP架构 •在自治架构中,AP完全部署和端接802.11功能。它可以 作为网络中的一个单独节点,起交换机或路由器的作用。 (2)瘦AP架构 •通常又将该架构称为“智能天线”,其主要功能是接收 和发送无线流量。它将无线数据帧送回控制器,然后对 这些数据帧进行处理,再接入有线网络。
联络线由一位标识码“5”和两位路线顺序号构成: G508:赤峰—曹妃甸
一、我国主要国道
其他公路:
以“X”开头的县道 以“Y”开头的乡道
其他编码规则一样
一、我国主要国道
公路网国道主干线规划情况
“五纵”路线是
同江--三亚; 北京-福州; 北京--珠海; 二连浩特-河口; 重庆-湛江
“七横”路线是
图7-6 跳频原理框图
4.正交频分复用技术
• 正 交 频 分 复 用 ( ORTHOGONAL FREQUENCY DIVISION MULTIPLEXING,OFDM)技术是一种基 于正交多载波的频分复用技术。OFDM传输的基本思 路是将高速串行数据流经串并转换后,分割成大量的低 速数据流,每路数据再采用独立载波调制并叠加发送, 接收端依据正交载波特性分离出多路信号。
3.跳频技术
• 跳 频 技 术 ( FREQUENCY-HOPPING SPREAD SPECTRUM,FHSS)快速地转换传输的频率,每个 时间段内使用的频率和前后时间段的都不一样,所以发 送端和接收端必须保持跳变频率一致,这样才能保证正 确地接收信号。跳频原理框图如图7-6所示。
AP
支持3600个AP间的无缝漫游
漫游能力
支持2、3层无缝漫游,3层无缝 漫游必须通过WLSM或Mobile IP技术 实现
图7-11 基于中心控制的网络
AP有两种架构类型:
(1)胖AP架构 •在自治架构中,AP完全部署和端接802.11功能。它可以 作为网络中的一个单独节点,起交换机或路由器的作用。 (2)瘦AP架构 •通常又将该架构称为“智能天线”,其主要功能是接收 和发送无线流量。它将无线数据帧送回控制器,然后对 这些数据帧进行处理,再接入有线网络。
联络线由一位标识码“5”和两位路线顺序号构成: G508:赤峰—曹妃甸
一、我国主要国道
其他公路:
以“X”开头的县道 以“Y”开头的乡道
其他编码规则一样
一、我国主要国道
公路网国道主干线规划情况
“五纵”路线是
同江--三亚; 北京-福州; 北京--珠海; 二连浩特-河口; 重庆-湛江
“七横”路线是
图7-6 跳频原理框图
4.正交频分复用技术
• 正 交 频 分 复 用 ( ORTHOGONAL FREQUENCY DIVISION MULTIPLEXING,OFDM)技术是一种基 于正交多载波的频分复用技术。OFDM传输的基本思 路是将高速串行数据流经串并转换后,分割成大量的低 速数据流,每路数据再采用独立载波调制并叠加发送, 接收端依据正交载波特性分离出多路信号。
无线局域网WiFi ppt课件
A 的作用范围
无线局域网 (IEEE 802.11x)
提供 LAN 和 Internet 接入
提供高速数据速率
802.11b:11 Mbps 802.11a / g : 54 Mbps
支持移动性
成本低
主要标准
无线局域网 (IEEE 802.11x)
HIPERLAN
High Performance Radio LAN(高性能无线LAN)
信号最强的 最近使用过的
Step3: 认 证
无线局域身份的过程
两种认证机制 开放系统认证 共享密钥认证
开放系统认证
无线局域网 (IEEE 802.11x)
802.11 的缺省认证协议
对任何发出认证请求的工作站进行认证 零(NULL)认证 (即根本不进行认证)
无线局域网 —— IEEE 802.11x
PPT课件
1
无线局域网(IEEE 802.11x)
无线局域网 (IEEE 802.11x)
1
基本概念
2 介质访问控制层(MAC)协议
3
安全
概述
无线局域网 (IEEE 802.11x)
覆盖范围在一个建筑物范围内 访问一般在100m以内(室外增大功率可达300m)
Basic Service Area
802.11 LAN
802.x LAN
Basic Service Set
站1
Extended Service Set
BSS1
ESS
BSA
访问点 AP
门桥 Portal
分布式系统
访问点 AP
BSS2
站2 802.11 LAN 站3
无线局域网 (IEEE 802.11x)
提供 LAN 和 Internet 接入
提供高速数据速率
802.11b:11 Mbps 802.11a / g : 54 Mbps
支持移动性
成本低
主要标准
无线局域网 (IEEE 802.11x)
HIPERLAN
High Performance Radio LAN(高性能无线LAN)
信号最强的 最近使用过的
Step3: 认 证
无线局域身份的过程
两种认证机制 开放系统认证 共享密钥认证
开放系统认证
无线局域网 (IEEE 802.11x)
802.11 的缺省认证协议
对任何发出认证请求的工作站进行认证 零(NULL)认证 (即根本不进行认证)
无线局域网 —— IEEE 802.11x
PPT课件
1
无线局域网(IEEE 802.11x)
无线局域网 (IEEE 802.11x)
1
基本概念
2 介质访问控制层(MAC)协议
3
安全
概述
无线局域网 (IEEE 802.11x)
覆盖范围在一个建筑物范围内 访问一般在100m以内(室外增大功率可达300m)
Basic Service Area
802.11 LAN
802.x LAN
Basic Service Set
站1
Extended Service Set
BSS1
ESS
BSA
访问点 AP
门桥 Portal
分布式系统
访问点 AP
BSS2
站2 802.11 LAN 站3
无线局域网的安全概述
确认成功/失败
工作站向AP发出认证请求AP收到初始认证帧之后,回应一个认证帧,其中包含128字节的挑战码工作站将挑战码植入认证帧,并用共享密钥对其加密,然后发送给APAP解密,并检查返回的挑战码是否相同,以次判断验证是否通过
RC4加密随机数
解密收到的相应结果,并与原发送的随机数进行比较,如果相同则认为成功
重放攻击。攻击者截取网络通信信息,例如口令,稍后用这些信息可以未经授权地接入网络。广播监测。在一个配置欠佳的网络中,如果接入点连接到集线器而不是交换机,那么集线器将会广播数据包到那些并不想接收这些数据包的无线站点,它们可能会被攻击者截取。ARP欺骗(或ARP缓存中毒)。攻击者通过接入并破坏存有MAC和IP地址映射的ARP的高速缓冲,来欺骗网络使其引导敏感数据到攻击者的无线站点。会话劫持(或中间人攻击)。是ARP欺骗攻击的一种,攻击者伪装成站点并自动解决链接来断开站点和接入点的连接,然后再伪装成接入点使站点和攻击者相连接。
2.WLAN安全
无线局域网安全措施
802.11涉及的安全技术
开放式认证系统
共享密钥认证系统
完整性校验(ICV)
RC4加密
认证技术
接入控制
完整性检验技术
加密技术
初始化向量(IV)
WEP:有线等效保密算法
WEP
3. 802.11的加密技术——有线等效加密WEP
WEP提供了有限的接入控制和采用密钥的数据加密:接入控制(认证):一般将密码短语输入到接入点,任何试图与接入点链接的站点都必须知道这个短语。如果不知道密码短语,站点可以感知数据流量但不能进行链接或解密数据。
802.11的——完整性检验(ICV)
802.11使用(CRC-32) 校验和算法计算报文的ICV,附加在MSDU后,ICV和MSDU一起被加密保护。CRC-32本身很弱,可以通过bit-flipping attack篡改报文。
工作站向AP发出认证请求AP收到初始认证帧之后,回应一个认证帧,其中包含128字节的挑战码工作站将挑战码植入认证帧,并用共享密钥对其加密,然后发送给APAP解密,并检查返回的挑战码是否相同,以次判断验证是否通过
RC4加密随机数
解密收到的相应结果,并与原发送的随机数进行比较,如果相同则认为成功
重放攻击。攻击者截取网络通信信息,例如口令,稍后用这些信息可以未经授权地接入网络。广播监测。在一个配置欠佳的网络中,如果接入点连接到集线器而不是交换机,那么集线器将会广播数据包到那些并不想接收这些数据包的无线站点,它们可能会被攻击者截取。ARP欺骗(或ARP缓存中毒)。攻击者通过接入并破坏存有MAC和IP地址映射的ARP的高速缓冲,来欺骗网络使其引导敏感数据到攻击者的无线站点。会话劫持(或中间人攻击)。是ARP欺骗攻击的一种,攻击者伪装成站点并自动解决链接来断开站点和接入点的连接,然后再伪装成接入点使站点和攻击者相连接。
2.WLAN安全
无线局域网安全措施
802.11涉及的安全技术
开放式认证系统
共享密钥认证系统
完整性校验(ICV)
RC4加密
认证技术
接入控制
完整性检验技术
加密技术
初始化向量(IV)
WEP:有线等效保密算法
WEP
3. 802.11的加密技术——有线等效加密WEP
WEP提供了有限的接入控制和采用密钥的数据加密:接入控制(认证):一般将密码短语输入到接入点,任何试图与接入点链接的站点都必须知道这个短语。如果不知道密码短语,站点可以感知数据流量但不能进行链接或解密数据。
802.11的——完整性检验(ICV)
802.11使用(CRC-32) 校验和算法计算报文的ICV,附加在MSDU后,ICV和MSDU一起被加密保护。CRC-32本身很弱,可以通过bit-flipping attack篡改报文。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Wi-Fi网络安全存储(WPA)
Wi-Fi 网络安全存储:Wi-Fi Protected Access WPA是为了改善WEP的不足,在802.11i协议
之前的一种临时解决方案。 WPA的数据加密采用TKIP协议,认证有两种模
型,一种是使用802.1x协议进行认证,一种是 称为预先共享密钥(PSK)模式。
802.11i
在成对密钥体系中,利用伪随机函数,根据主密钥、申 请者与认证者的MAC地址以及两个作为四次密钥交换 握手的随机nonce值,来展开PMK。
KCK:Key Confirmation Key,用于完整性校验 KEK:Key Encryption Key,用于加密消息
802.11i
802.11r
802.11r
无限局域网所面临的安全威胁
欺诈AP
广播监听
重放攻击
安全威胁
中间人攻击
消息删除和拦截
拒绝服务攻击
无限局域网的安全要求
1
为用户的数据提 供坚固的数据保 护,包括数据加 密和数据完整性 校验。
2
用户和服务器之 间相互认证。
3
能够生成派生密 钥,能够根据主 密钥派生出动态 密钥,用于数据 加密。
常用的安全协议
TKIP的密钥混合
WPA的认证模型
WPA的认证模型有两种,一种是使用802.1x协 议进行认证,另一种是PSK(Pre-shared key )模型。
如果系统有认证服务器,则采用802.1x协议进 行认证,适用于企业版认证;否则,使用PSK 模型,适用于个人版认证。
802.1X协议
802.1X认证会话过程定义了三个组件:
临时密钥完整性协议(TKIP)
临时密钥完整性协议: Temporal Key Integrity Protocol
TKIP是对WEP的一次改进。 TKIP相比于WEP的改进之处:
TKIP使用多个主密钥,用来加密的帧的密钥由主密钥派生; TKIP为每个帧从主密钥派生特有的RC4密钥; 为每个帧提供一个序列号; 新的消息完整性校验(MIC); 消息完整性校验失败的对策。
无限局域网安全介绍
目录
1
无限局域网安全概述
2 有限对等保密协议(WEP)
3
Wi-Fi保护访问( WPA )
4
IEEE 802.11i协议
5
IEEE 802.11r协议
什么是无限局域网
什么是无限局域网?
维基百科的解释: A wireless local area network (WLAN) links two or more devices using some wireless distribution method (typically spread-spectrum or OFDM radio), and usually providing a connection through an access point to the wider internet. This gives users the mobility to move around within a local coverage area and still be connected 传输系统,它利用 射频的技术,取代旧式碍手碍脚的双绞铜线所构成的局域网络,使得 无线局域网络能利用简单的存取架构让用户透过它,达到「信息随身 化、便利走天下」的理想境界。
物理层和数据链路层上广泛使用的的是IEEE802.11系列标准,其中 IEEE802.11i为安全架构。
一旦使用WEP加密,帧主体就会增加8个字节,其中
三个字节为IV,6位为填充位,2位为密钥标识符,4 个字节为帧校验序列(FCS)。
有限对等加密(WEP)
WEP的两种认证方式:开放系统认证和共享密钥认证 开放系统认证:
共享密钥认证:
有限对等加密(WEP)
WEP的不足: 标准的静态WEP只提供长度为40位的密钥; 一旦重复使用密钥流,流密码容易被识破(利用IV 重复); 不常更换密钥,积累到一定程度的帧后,就可以推 算出一定的数据; WEP使用线性CRC进行校验; 详细参考: /isaac/wepfaq.html。
TKIP的数据处理过程
临时密钥完整性协议(TKIP)
TKIP进行数据处理时的输入项:
需要保护的有效载荷; 要来加密帧的临时密钥(temporal key); 用来保护帧内容的MIC密钥; 发送端地址; 由驱动程序或固件所维护的序列号计数器(
sequence counter)。
802.11r
Mobility domain: A set of basic service set within the same extended service set that support fast BSS transitions between themselves and that are identified by the set’s mobility domian identifier(MDID).
从supplicant到authenticator是通过EAPOL。 从authenticator到authenticator server是把EAP包做成
RADIUS包。
802.1X协议
802.1x的基础是扩展身份验证协议(EAP)。 扩展身份验证协议:Extensible Authentication
有限对等加密(WEP) WEP的数据处理过程
有限对等加密(WEP)
WEP只保护802.11MAC的有效载荷。 WEP的密钥标准长度为64位,其中24位IV,40位为进
行传送时的共享密钥。 WEP一般有如下两种:
单播密钥:一般为工作站与接入点共享,用来保护 单播帧,密钥编号为0;
默认密钥:为同一服务集的所有工作站所共享,用 来保护广播帧和组播帧,密钥编号为1。
Protocol。 EAP是一种框架协议,允许协议设计人员打造自己的
EAP认证方式(EAP method)。
802.1X协议
802.11i
802.11i定义了两种安全协议:TKIP和CCMP。 TKIP是对WEP的改进,而CCMP采用AES128位密钥
进行加密,是一种全新的规范。 计数器模式及密码块链消息认证码协议:Counter
Mode with CBC-MAC Protocol,简称CCMP。 密码块链:Cipher-block chaining ,简称CBC。 CCMP进行数据处理所需的数据项:
需要保护的有效载荷; 临时密钥 密钥标识符 封包编号
802.11i CCMP数据处理
802.11i
临时密钥完整性协议(TKIP)
TKIP的密钥长度为128位,加密算法采用RC4 。IV长度48位,采用密钥混合的方式产生动态 密钥。同时,IV也扮演着序列号计数器的角色 ,每次安装新的主密钥,初始化向量/序列计数 器都会被重新设置为1。
TKIP的加密密钥派生自初始化向量/序列号计 数器、帧的发送端地址以及临时密钥,为每个 帧产生一个独特的WEP密钥。
FTIE: fast BSS transition information element FTAA: fast BSS transiton authentication
algorithm MDIE: mobility domain information element
802.11r 802.11r中的密钥分层结构:
802.11i构建了强健安全网络(RSN),用于定 义密钥的产生与分配方式。
强健安全网络:Robust Security Network 链路层加密协议使用了两种密钥:
成对密钥(pairwise key)用来保护工作站与AP之 间的数据,产生自身份验证信息;
组密钥(group key)用来保护AP至所关联工作站 之间的广播或组播数据,由接入点动态产生然后分 配给各个工作站。
在组密钥的层次结构中,通过伪随机函数,组 主密钥会被展开成如下图的组密钥层次结构。
802.11i
更新成对密钥采用的是四次握手。 更新组密钥采用的是组握手。
802.11i 802.11i连接(RSNA)的建立过程
802.11r
802.11r主要是解决在不同AP间切换带来的延 时太长问题 。在切换时引入了快速切换机制。
常用的安全协议基本上是为了满足上面三条要求 而设计的。
WEP WPA 820.11i
数据加密 64位RC4 128位RC4 128为AES
数据完整性 CRC MIC CCMP
认证方式 开放系统 802.1X+EAP/PSK 802.1X+EAP/PSK
派生密钥 无
密钥混合 RSN
有限对等加密(WEP)
快速切换机制提供了四种模型,可以分为基本 方式和预先保留资源方式,按照物理交换方式 可以分为无限信道模型以及分发系统模型。
无限信道模型:over-the-air fast basic service set transition
分发系统模型:over-the-DS(distribution system) fast basic service set transition
申请者(supplicant):寻求访问网络资源的用户机 器;
认证者(authenticator):控制网络访问,同时扮 演申请者与认证服务器之间的中介角色;
认证服务器(authentication server):负责实际的 认证处理,如RADIUS服务器
802.1X协议
申请者与认证者都拥有端口访问实体(PAE),用来执 行认证。
有限对等加密:Wired Equivalent Privacy WEP是IEEE802.11b标准的一部分,使用RC4流加密技