第12章 无线网络安全课件.ppt

第12章 无线网络安全 12.1 无线局域网的基本概念 12.2 早期的无线网络安全及安全漏洞 12.3 新无线局域网安全标准802.11i 12.4 802.11i——认证 12.5 802.11i——密钥分配 12.6 802.11i——数据加密 本章学习目标 无线网络安全涉及无线局域网工作原理、认证、密钥管理、加密解密等内容，涉及的概念、原理、协议、算法较多，掌握无线局域网基本工作原理、WEP的攻击原理。 新安全标准802.11i由来，顺着802.11i的工作流程，学习其认证、密钥生成与分配、加密各阶段的工作原理。 无线网络的分类 12.1 无线局域网的基本概念 12.1.1 无线局域网的传输媒质 无线局域网的传输媒质分为无线电波和光波两类。 无线电波主要使用无线电波和微波，光波主要使用红外线。 无线电波和微波频率由各个国家的无线电管理部门规定，分为专用频段和自由频段。专用频段需要经过批准的独自有偿使用的频段；自由频段主要是指ISM频段（Industrical，Scientific，Medical） 12.1.2 无线局域网标准的演进 12.1.3 无线局域网网络结构 1. 802.11网络的两个基本构件 无线局域网网络有两个基本构件——站和无线接入点。 （1）站（Station，STA） 站是无线网的端头设备，例如笔记本、掌上电脑等。通常是通过计算机加一块无线网卡构成的。 （2）无线接入点（Access Point，AP） AP将STA与DS相连，典型的DS是某单位的有线网络，AP也可在不访问DS情况下将多个STA相连。 2. 802.11网络的两种组网模式（1） 工作在对等模式下的STA集合称为自主基本服务集IBSS（Independent Basic Service Set） 对等网络用于一台无线工作站（STA，Station）和另一台或多台其他无线工作站的直接通讯，该网络无法接入有线网络中，只能独立使用。这是最简单的无线局域网结构。一个对等网络由一组有无线接口的计算机组成。这些计算机要有相同的工作组名、SSID和密码。 对等网络组网灵活，任何时间，只要两个或更多的无线接口互相都在彼此的范围之内，它们就可以建立一个独立的网络。这些根据要求建立起来的典型网络在管理和预先调协方面没有任何要求。 802.11网络的两种组网模式（2） 基础模式是一种最常用的无线网络配置模式，所有的STA与AP联系，AP在STA之间 、STA与DS之间转发数据帧。 无线访问点也称无线 AP 或无线 Hub，用于在无线STA和有线网络之间接收、缓存和转发数据。无线AP通常能够覆盖多个甚至几十用户，覆盖半径达上百米。 基本服务集BSS 一个BSS（Basic Service Set）包含一个AP和与其关联的一个或数个STA。 BSS是无线局域网的基本构件。 一个无线访问点所覆盖的微蜂窝区域就是基本服务区BSA（Basic Service Area） 扩展服务集ESS 扩展服务区 ESS 是指由多个 AP 以及连接它们的分布式系统组成的结构化网络，所有 AP 必需共享同一个ESSID，也可以说扩展服务区 ESS 中包含多个 BSS。 分布式系统在 IEEE802.11标准中并没有定义，但是目前大都是指以太网。扩展服务区只包含物理层和数据链路层，网络结构不包含网络层及其以上各层。因此，对于高层协议比如 IP 来说，一个 ESS 就是一个 IP 子网。 3. 802.11体系结构 IEEE802.11标准提出一个体系结构，如下图所示，主要有两个部分：数据链路层的MAC子层和物理层。 在PLCP（Physical Layer Convergence Procedure）子层，将来自MAC子层的数据作为PLCP的服务数据单元（PSDU），加上PLCP的前导码（同步信号或帧起始信号）和PLCP帧头组成PLCP的协议数据单元（PPDU），送交给PMD子层。PLCP的帧数据单元与PMD子层采用的媒体传送方式有关。PMD子层将PLCP的数据调制后经天线发射出去。 与安全相关的是MAC子层，MAC子层提供3种服务： （1）异步数据服务。异步数据服务允许两端的LLC实体交换MSDU，要支持这项服务，本地MAC需要使用底层PHY级的服务将MSDU传送到对端的MAC实体，然后再将MSDU传送到对端的LLC。 （2）安全服务。 （3）MSDU排序。MSDU是由LLC层发给MAC层的数据，称服务数据单元，它被添加MAC头后，成为MPDU，称协议数据单元，在同层的两个MAC实体中传递。一个MSDU可能被切分为多个MPDU。 12.1.4 基础模式工作原理 STA连接到AP并开始发送数据的过程： 先假设AP已经