【正文】 夠?qū)蓚€(gè)遠(yuǎn)程網(wǎng)絡(luò)連通，而不需要布線，因此可以大大的降低建網(wǎng)成本 82WLAN組網(wǎng) —MeshMesh技術(shù)是網(wǎng)橋技術(shù)的發(fā)展，主要解決了網(wǎng)橋技術(shù)中存在的鏈路建立和終端尋址問(wèn)題，從而使無(wú)線單獨(dú)組網(wǎng)成為可能。如果上述檢查均通過(guò)，將進(jìn)入密鑰協(xié)商過(guò)程。中國(guó)自己的 WLAN 安全標(biāo)準(zhǔn)： 70WAPI認(rèn)證實(shí)體認(rèn)證實(shí)體? 鑒別請(qǐng)求者系統(tǒng) /鑒別器系統(tǒng) /鑒別服務(wù)器? 未鑒別受控端口 /非受控端口在該架構(gòu)下，如下的概念是關(guān)鍵 71WAPI和和 WAPI 認(rèn)證包括三實(shí)體：鑒別請(qǐng)求者系統(tǒng) /鑒別器系統(tǒng) /鑒別服務(wù)器 認(rèn)證包括三實(shí)體： Supplicant/ Authenticator/Authentication Server未鑒別受控端口 /非受控端口 受控端口 /非受控端口WAI協(xié)議承載認(rèn)證報(bào)文 EAPOL協(xié)議承載認(rèn)證報(bào)文WAPI4次握手協(xié)商密鑰 4次握手協(xié)商密鑰支持單播和組播 Key hierarchy 支持單播和組播 Key hierarchy基于 Base key計(jì)算單播和組播 key 基于 PMK計(jì)算單播和組播 key在 beacon, associate等報(bào)文中攜帶 WAPI相關(guān) IE在 beacon, associate等報(bào)文中攜帶 IE 72WAPI和和 WAPI 采用 SMS進(jìn)行加密 采用 AESCCM或 TKIP加密強(qiáng)制使用證書(shū)進(jìn)行認(rèn)證，認(rèn)證方法固定可以支持 EAPTLS等多種認(rèn)證方法證書(shū)簽名的檢查由專(zhuān)門(mén)的鑒別服務(wù)器負(fù)責(zé) 無(wú)線客戶端和服務(wù)器自己檢查證書(shū)簽名支持對(duì)設(shè)備的認(rèn)證 不支持對(duì)設(shè)備認(rèn)證不支持 AAA, 認(rèn)證 Server必須遵循WAPI標(biāo)準(zhǔn)支持 Radius沒(méi)有重用 , Radius等現(xiàn)有標(biāo)準(zhǔn)重用了 , Radius等現(xiàn)有標(biāo)準(zhǔn)證書(shū)必須是 v3 和 GBW 證書(shū)。 63TKIP （續(xù)）（續(xù)）Phase 2MixerPhase 1MixerIntermediate keyPerpacket keyTransmit Address: 00A0C9BA4D5FBase keyPacket Sequence PerPacket Key Mixing 64AESCCM除了數(shù)據(jù)加密， AESCCM還使用 cipher block chaining (CBC)來(lái)產(chǎn)生 MIC (Message Integrity Code) , 以實(shí)現(xiàn)數(shù)據(jù)的 Integrity. AES CCM : Advanced Encryption Standard Counter with CBCMACAESCCM為塊加密， AES為 128 bit, 每 block 128 bits. 對(duì)于塊加密 , 需要將待加密的消息轉(zhuǎn)化為 block, AESCCM使用了 CCM方式作為操作模式。 60 KEY關(guān)系圖關(guān)系圖PTK應(yīng)用于用戶單播數(shù)據(jù)的加密保護(hù)GTK應(yīng)用于廣播和組播數(shù)據(jù)的加密保護(hù)和 WEP不同， key組成 key hierarchy。會(huì)話密鑰支持定期重新協(xié)商。 52Code Identifier Length Type Data? Code： EAP類(lèi)型 1：： Request (eaprequest) 2：： Response (eapresponse) 3：： Success (eapsuccess) 4：： Failure (eapfailure)?Type報(bào)文類(lèi)型：– Type＝ 1———— Identifier– Type＝ 2———— Notification– Type＝ 3———— Nak（ Response Only）字節(jié)數(shù)： 1 2 1 1 NEAP協(xié)議格式EAP數(shù)據(jù)包幀格式Type 值大于等于 4時(shí)，為 EAP認(rèn)證方法通常表示 為EAPRequest/Identity 53EAP協(xié)議格式（續(xù) )作為認(rèn)證方法的框架， EAP并沒(méi)有定義具體的認(rèn)證方法，而是 通過(guò) EAPRequest和 Response承載 TLS這些認(rèn)證方法的報(bào)文，用戶 可以根據(jù) 業(yè)務(wù)需求靈活地選擇具體認(rèn)證方法。顯然， EAP報(bào)文 (EAP認(rèn)證方法 )在特定的鏈路層協(xié)議傳遞時(shí)，需要一定的報(bào)文封裝格式 。?CA只負(fù)責(zé)證書(shū)的頒發(fā)，維護(hù)，并不負(fù)責(zé)證書(shū)校驗(yàn)。當(dāng)公鑰的所有者丟失私鑰 ，或者 改換姓名時(shí)，需要將原有證書(shū)作廢。這個(gè)第三方稱為 CA(證書(shū)授權(quán)中心，也可稱證書(shū)服務(wù)器）。 33IEEE 在 Beacon, Association中攜帶 IE基于 戶身份認(rèn)證 4次握手協(xié)商數(shù)據(jù)加密密鑰 34EAP 和 TLS等認(rèn)證方法AAA（ Radius)MichaelTKIP (RC4)Authenticity接入控制IntegrityConfidentialityAESCCM證書(shū)證書(shū) 是身 份 認(rèn)證 的基 礎(chǔ)CBCCCM Counter Mode TKIP (Per Packet Mixing) 35對(duì)稱和非對(duì)稱密鑰對(duì)稱和非對(duì)稱密鑰對(duì)稱密鑰對(duì)稱密鑰 非對(duì)稱密鑰非對(duì)稱密鑰對(duì)稱 key是唯一的秘密， key的分發(fā) 和安全性 存在很大困難。 301. IV只有 24 bits, 容易出現(xiàn) IV重用。所以一般不使用Share key AuthenticationPlainText ChallengeCipherText ResponsePlainText ChallengeXORCipherText ResponseKey StreamAttcker ListeningListeningListening 27RC4加密算法加密算法塊 (block)加密是將明文分割為多個(gè) block，再和 Key stream XOR RC4進(jìn)行加密：RC4是流 (stream)加密，通過(guò)將 Key stream和明文流 XOR得到密文 28Initialization Vector (IV)塊加密和流加密統(tǒng)稱為 Electronic Code Book (ECB)方式 ，其特征是相同的明文將產(chǎn)生相同的加密結(jié)果 。l假設(shè)使用的天線是標(biāo)準(zhǔn)的 3db天線 ，接收增益為 0dB 12解答距離（ m）PL（傳播損耗）（ dB）Pr（接收電平）（ dB）最大理論帶寬10 54M50 1M？？100 1M？？? 一般寫(xiě)字樓內(nèi)的辦公環(huán)境情況下 n取值為 。當(dāng)發(fā)射功率不足夠大時(shí)，在建筑物后形成無(wú)線覆蓋盲區(qū) 。? Share Key AuthenticationAP向 station發(fā)送明文的 challenge text， station用本地 的 WEP key加密 challenge text并發(fā)給 AP。 所以 IV無(wú)法真正破壞報(bào)文的規(guī)律性。該標(biāo)準(zhǔn)標(biāo)準(zhǔn)為了增強(qiáng) WLAN的數(shù)據(jù)加密和認(rèn)證性能，定義了 RSN（ Robust Security Network）的概念，并且針對(duì) WEP加密機(jī)制的各種缺陷做了多方面的改進(jìn) 。 38非對(duì)稱密鑰典型應(yīng)用非對(duì)稱密鑰典型應(yīng)用Key協(xié)商? 單向?qū)ΨQ key保護(hù) 一方提供對(duì)稱 key，通過(guò)公鑰加密后發(fā)送給接收者? 對(duì)稱 key協(xié)商 雙方 參與 key協(xié)商，協(xié)商過(guò)程通過(guò)公鑰進(jìn)行加密保護(hù)EALTLS就是用非 對(duì) 稱 密 鑰保 護(hù) key協(xié) 商 39為什么需要為什么需要 PKI架構(gòu)？架構(gòu)？不對(duì)稱密鑰機(jī)制在實(shí)際應(yīng)用時(shí)，要求：u 依賴 中間機(jī)構(gòu)來(lái)管理公鑰等信息；u 提供 信息的機(jī)構(gòu)必須可信；u 信息 本身是可信的u 信息 易于訪問(wèn)和獲得所以需要一個(gè)公鑰管理架構(gòu)： PKI在 PKI（ PublicKey Infrastructure）架構(gòu)下，通過(guò)證書(shū)（ Certification）來(lái) 存儲(chǔ)公鑰等信息， 通過(guò) CA(Certification Authority)等服務(wù)來(lái)管理證書(shū)。Authority 44證書(shū)申請(qǐng)和頒發(fā)過(guò)程結(jié) 合 銀 行 證書(shū)實(shí) 例 進(jìn) 行解 釋 45證書(shū)驗(yàn)證過(guò)程?證書(shū)驗(yàn)證即檢查一個(gè)證書(shū)的有效性。1. Authentication Server支持 EAPTLS, EAPPEAP等認(rèn)證方法的 AAA server，對(duì)用戶進(jìn)行身份認(rèn)證。 通過(guò) EAPmessage屬性， EAP報(bào)文將在 Radius的 AccessRequest和 AccessChallenge報(bào)文中攜帶。如果合法，就可以確認(rèn)對(duì)方身份是否合法。 59 (session secret)的動(dòng)態(tài)協(xié)商、密鑰的分發(fā)和使用會(huì)話密鑰進(jìn)行數(shù)據(jù)的加密保護(hù)。u 使用 Michael來(lái)實(shí)現(xiàn) MIC (Message Integrity Code )。由于 TKIP和 WEP都是基于 RC4算法的，所以可以通過(guò)固件升級(jí)來(lái)實(shí)現(xiàn)現(xiàn)網(wǎng)設(shè)備支持 WPA。4. 當(dāng) WLAN接入設(shè)備收到響應(yīng)報(bào)文后，如果發(fā)現(xiàn)報(bào)文被篡改（通過(guò)檢查數(shù)字簽名合法性）或無(wú)線客戶端身份非法 (ASE已經(jīng)在響應(yīng)報(bào)文中指出了無(wú)線客戶端身份是否合法 )，將中斷該無(wú)線客戶端的無(wú)線連接。u 除了監(jiān)視功能， WIDS還可以對(duì)非法 AP或 station進(jìn)行攻擊。5. AP從無(wú)線控制器下載最新軟件版本6. AP從無(wú)線控制器下載最新配置7. AP開(kāi)始正常工作和無(wú)線控制器交換用戶數(shù)據(jù)報(bào)文長(zhǎng)時(shí)間無(wú)響應(yīng)DNSServer獲取無(wú)線交換機(jī)的 IP地址無(wú)線控制器發(fā)現(xiàn)請(qǐng)求無(wú)線控制器發(fā)現(xiàn)響