無線局域網(wǎng)接入技術課件

第8章無線局域網(wǎng)接入技術WLAN概述IEEE802.11標準概要WLAN安全技術WLAN的應用9/21/20231第8章無線局域網(wǎng)接入技術WLAN概述8/1/20231WLAN概述WLAN的功能為小范圍內固定或移動站點提供無線數(shù)據(jù)通信服務標準機構及組織IEEE802.11工作組Wi－Fi聯(lián)盟技術標準IEEE802.11系列網(wǎng)絡結構Ad-hoc（無中心）AP（有中心）MAC協(xié)議CSMA/CA協(xié)議頻段2.4GHz（ISM頻段），5GHz無線環(huán)境惡劣，存在諸多問題很難解決9/21/20232WLAN概述WLAN的功能8/1/20232無線數(shù)據(jù)傳輸?shù)沫h(huán)境(1/4)有限的帶寬2.4GHz：無需申請頻帶，非常擁擠ISM頻段：工業(yè)、科學和醫(yī)學5GHz頻帶：成本較高面臨的問題之一：如何利用有限的帶寬共享信道多個站點共享同一信道數(shù)據(jù)通信具有廣播的特點兩個或以上站點同時發(fā)送會發(fā)生沖突面臨的問題之二：如何避免沖突、如何分解沖突9/21/20233無線數(shù)據(jù)傳輸?shù)沫h(huán)境(1/4)有限的帶寬8/1/20233無線數(shù)據(jù)傳輸?shù)沫h(huán)境(2/4)并非單純的廣播環(huán)境共享無線信道的廣播信息不一定到達每個站點存在著隱藏站點和暴露站點的問題隱藏站點會增加站點沖突的可能性暴露站點會抑制信道資源的充分利用面臨的問題之三：如何克服隱藏站點和暴露站點9/21/20234無線數(shù)據(jù)傳輸?shù)沫h(huán)境(2/4)并非單純的廣播環(huán)境8/1/202隱藏站點問題實例：A向B發(fā)送數(shù)據(jù)時C監(jiān)測不到載波C也向發(fā)送數(shù)據(jù)，造成沖突A對C隱藏隱藏站點問題：由于競爭者離得太遠而導致一個站點無法檢測到潛在的介質競爭者ABC9/21/20235隱藏站點問題實例：ABC8/1/20235暴露站點問題實例：“B向A發(fā)送數(shù)據(jù)”和“C向D發(fā)送數(shù)據(jù)”本來互不干擾但在B發(fā)送時，C檢測信道，以為會發(fā)生沖突，而停止傳輸B暴露在C、D之間ABCD9/21/20236暴露站點問題實例：ABCD8/1/20236無線數(shù)據(jù)傳輸?shù)沫h(huán)境(3/4)移動帶來許多不定因素移動中通信鏈路變化拓撲變化加上不確定信道干擾如何保持站點移動時的連續(xù)通信是WLAN面臨的問題之四9/21/20237無線數(shù)據(jù)傳輸?shù)沫h(huán)境(3/4)移動帶來許多不定因素8/1/20無線數(shù)據(jù)傳輸?shù)沫h(huán)境(4/4)提高抗干擾能力是WLAN面臨的問題之五安全性問題是WLAN面臨的問題之六防止非法用戶的接入防止惡意的獲取他人個人信息9/21/20238無線數(shù)據(jù)傳輸?shù)沫h(huán)境(4/4)提高抗干擾能力是WLAN面臨的問WLAN的網(wǎng)絡結構無中心－對等結構（ad－h(huán)oc）所有移動站點都處于平等地位無中心站，所有站點間可直接通信無需中繼所有站點共享同一信道，競爭同一信道不便于采用定向天線用戶增加時，沖突厲害適合用戶少且范圍小的組網(wǎng)ABCDE頻率f9/21/20239WLAN的網(wǎng)絡結構無中心－對等結構（ad－h(huán)oc）ABCDEWLAN的網(wǎng)絡結構有中心－AP接入結構所有移動站點通過中心站點(AP)接入一般AP位置不動，實現(xiàn)站點的接入和到有線網(wǎng)的橋接不考慮移動站點之間的直接通信只考慮各站點與AP之間的直接通信無線站點之間、無線站點到互聯(lián)用戶的通信都需通過AP轉發(fā)有中心的結構便于對用戶的接入管理，更適合作WLAN接入網(wǎng)的結構APInternet9/21/202310WLAN的網(wǎng)絡結構有中心－AP接入結構APInternet8工作頻段——中國中國頻譜管理2.4~2.4835GHz，帶寬：83.5MHz信部無[2001]653號、信部無[2002]353號發(fā)射功率：100/500mW5.725~5.850GHz，帶寬：125MHz信部無[2002]277號發(fā)射功率：500mW9/21/202311工作頻段——中國中國頻譜管理8/1/202311第8章無線局域網(wǎng)接入技術WLAN概述IEEE802.11標準概要WLAN安全技術WLAN的應用9/21/202312第8章無線局域網(wǎng)接入技術WLAN概述8/1/202312IEEE802.11標準概要標準概述參考模型BSS與ESSWLAN系統(tǒng)服務STA接入過程分片與重組CSMA/CA協(xié)議IEEE802.11MAC幀格式IEEE802.11主要系列9/21/202313IEEE802.11標準概要標準概述8/1/202313IEEE802.11標準概述1990年IEEE802委員會成立IEEE802.11工作組IEEE802.11基本標準的版本有：IEEEStd802.11-1997IEEEStd802.11,1999EditionISO/IEC802.11:2005(E)IEEEStd802.11-2007IEEE802.11增補標準最吸引注意力的是大量的WLAN物理層（PMD）增補）IEEE802.11b-1999IEEE802.11a-1999IEEE802.11g-2003其它的增補IEEE802.11h-2003IEEE802.11j-2004IEEE802.11i-2004IEEE802.11e-20059/21/202314IEEE802.11標準概述1990年IEEE802委員會成IEEE802.11標準概述IEEE802.11標準全稱無線局域網(wǎng)介質訪問控制和物理層規(guī)范WirelessLANMediumAccessControlandPhysicalLayerSpecifications標準包含的內容包括基本的組網(wǎng)方式及結構協(xié)議參考模型MAC層協(xié)議、數(shù)據(jù)格式與數(shù)據(jù)傳輸物理層技術用戶認證與信息安全9/21/202315IEEE802.11標準概述IEEE802.11標準全稱8/IEEE802.11標準概要標準概述參考模型BSS與ESSWLAN系統(tǒng)服務STA接入過程分片與重組CSMA/CA協(xié)議IEEE802.11MAC幀格式IEEE802.11主要系列9/21/202316IEEE802.11標準概要標準概述8/1/202316IEEE802.11的參考模型MAC子層物理層，進一步分為兩個子層PLCP:PhysicalLayerConvergenceProcedure物理層匯聚過程子層PMD:PhysicalMediumDependent物理介質相關子層9/21/202317IEEE802.11的參考模型MAC子層8/1/202317MAC子層功能訪問控制:標準定義了兩種訪問方式分布式協(xié)調功能DCF,站點之間通信基于競爭協(xié)議CSMA/CA點協(xié)調功能PCF，是一種集中控制方式，站點之間的通信基于輪詢的方式，一種無競爭的方式關聯(lián)(Association)認證(Authentication)與加密(Privacy)幀的分段與重裝無線信道易受干擾，短幀有利于提供傳輸?shù)某晒β史侄喂δ苁荌EEE802.11的一個可選項9/21/202318MAC子層功能訪問控制:標準定義了兩種訪問方式8/1/202物理層功能PMD功能信號的調制解調，從信道上收發(fā)數(shù)據(jù)信道物理狀態(tài)檢測在802.11-1999中定義3中PMDFHSSPMD、DSSSPMD、IRPMDPLCP功能形成物理層PDU，以便送PMD傳輸在MPDU（MACprotocoldataunit）與PPDU（PLCPprotocoldataunit）之間建立映射，將針對特定物理層技術（例如：跳頻或直擴）設計的物理幀轉換為MAC層統(tǒng)一的PDU，或者將統(tǒng)一的MPDU映射成各種適合于PMD系統(tǒng)收發(fā)的物理幀格式，從而完成多種差異頗大的PMD物理幀會聚成統(tǒng)一的MAC幀的過程。對MAC幀封裝同步頭、起始定界符等不同的PMD子層有不同的的PLCP9/21/202319物理層功能PMD功能8/1/202319IEEE802.11標準概要標準概述參考模型BSS與ESSWLAN系統(tǒng)服務STA接入過程分片與重組CSMA/CA協(xié)議IEEE802.11MAC幀格式IEEE802.11主要系列9/21/202320IEEE802.11標準概要標準概述8/1/202320BSS與ESSBSS(BasicServiceSet,基本服務組)BSS是一個基本的WLAN的單元網(wǎng)絡為一組站點提供通信服務在一個BSS內，各站點可直接通信（對等）或只能通過一跳中繼實現(xiàn)站點之間的通信（AP)每個BSS都有一個ID，稱為BSSID不同的BSS之間的站點不能直接通信9/21/202321BSS與ESSBSS(BasicServiceSet,BSS與ESS（續(xù)）ESSESS:ExtendedServiceSet，擴展服務組多個BSS通過一個分布系統(tǒng)（DS)相連構成一個ESS(每個BSS內有一個AP，用于連接DS及控制BSS內站點的接入）ESS有一個ID，稱為ESSID（與BSSID統(tǒng)稱為SSID）。同一個ESS的站點可以在不同的BSS之間切換

DSAPAPBSS1BSS2ESS9/21/202322BSS與ESS（續(xù)）ESSDSAPAPBSS1BSS2ESDS基本作用是互連多個基本服務組BSS，將多個獨立的BSS擴展成為一個多個BSS協(xié)同工作的ESSDS僅僅是一個邏輯概念，DS既可以是有線網(wǎng)絡也可以是無線網(wǎng)絡9/21/202323DS基本作用是互連多個基本服務組BSS，將多個獨立的BSS擴IEEE802.11標準概要標準概述參考模型BSS與ESSWLAN系統(tǒng)服務STA接入過程分片與重組CSMA/CA協(xié)議IEEE802.11MAC幀格式IEEE802.11主要系列9/21/202324IEEE802.11標準概要標準概述8/1/202324WLAN系統(tǒng)服務IEEE802.11系統(tǒng)提供的服務(IEEE802.11architecturalservices)SS：站點提供的服務認證/解除認證：Authentication/Deauthentication隱私、保密：Privacy802.11i更改為機密性服務并有所增強M_SDU投遞：MSDUdeliveryDSS：DS提供的服務關聯(lián)/解除關聯(lián)/重新關聯(lián)Association/Disassociation/Reassociation分布：Distribution集成：Integration9/21/202325WLAN系統(tǒng)服務IEEE802.11系統(tǒng)提供的服務(IEIEEE802.11標準概要標準概述參考模型BSS與ESSWLAN系統(tǒng)服務STA接入過程分片與重組CSMA/CA協(xié)議IEEE802.11MAC幀格式IEEE802.11主要系列9/21/202326IEEE802.11標準概要標準概述8/1/202326STA接入AP過程AP定期發(fā)送信標幀廣播自己的通信參數(shù)STA掃描所有信道，通過接收AP的信標幀得到通信參數(shù)選擇一個AP接入認證成為組成員BSS成員關聯(lián)可使用DSSDS服務ESS成員9/21/202327STA接入AP過程AP定期發(fā)送信標幀廣播自己的通信參數(shù)8/1IEEE802.11標準概要標準概述參考模型BSS與ESSWLAN系統(tǒng)服務STA接入過程分片與重組CSMA/CA協(xié)議IEEE802.11MAC幀格式IEEE802.11主要系列9/21/202328IEEE802.11標準概要標準概述8/1/202328分段與重裝WLAN對高層的接口呈現(xiàn)以太網(wǎng)接口對上的服務接口為以太接口WLAN幀必須先轉換成以太幀，再交高層為了適應無線信道的傳輸，形成PDU時發(fā)送方需要對MSDU分段接收方需要對分段重裝，再上交高層分段重裝MACIPPHYMSDUMPDU9/21/202329分段與重裝WLAN對高層的接口呈現(xiàn)以太網(wǎng)接口分段重裝MACIIEEE802.11標準概要標準概述參考模型BSS與ESSWLAN系統(tǒng)服務STA接入過程分片與重組CSMA/CA協(xié)議IEEE802.11MAC幀格式IEEE802.11主要系列9/21/202330IEEE802.11標準概要標準概述8/1/202330CSMA/CA協(xié)議協(xié)議的基本思想載波偵聽，隨機后退，避免沖突發(fā)前偵聽信道若閑，等待一個隨機時間仍閑才發(fā)送若忙，一直偵聽直到閑，等待一個隨機時間仍閑再發(fā)送RTS和CTS握手，解決隱藏站點問題，避免沖突確認與重發(fā)，確保在易受干擾的無線信道上數(shù)據(jù)傳輸?shù)目煽啃詫γ恳粠歼M行確認（停等協(xié)議）只有收到正確應答后才發(fā)下一幀9/21/202331CSMA/CA協(xié)議協(xié)議的基本思想8/1/202331載波偵聽物理層載波偵聽可以通過檢測信號能量，判定信道的忙閑狀態(tài)MAC層虛擬載波偵聽通過分析MAC幀的類型以及交互的順序判定信道的占用情況（可能的趨勢）9/21/202332載波偵聽物理層載波偵聽8/1/202332RTS與CTS為更好的避免沖突，采用RTS/CTS握手機制站點發(fā)送數(shù)據(jù)之前，先發(fā)送RTS如果收到通信對象的CTS,則沒有沖突，可以發(fā)送數(shù)據(jù)，并在后續(xù)的發(fā)送中不會沖突如果定時收不到CTS，說明沖突產(chǎn)生，退避并重試RTS/CTS機制能較好的解決隱藏站點的問題RTSCTSABCD9/21/202333RTS與CTS為更好的避免沖突，采用RTS/CTS握手機制RIEEE802.11標準概要標準概述參考模型BSS與ESSWLAN系統(tǒng)服務STA接入過程分片與重組CSMA/CA協(xié)議IEEE802.11MAC幀格式IEEE802.11主要系列9/21/202334IEEE802.11標準概要標準概述8/1/202334MAC幀格式地址域DATA校驗幀控制持續(xù)時間ID地址域DATA校驗以太幀802.11MAC幀目的地址源地址目的地址、源地址發(fā)送站地址、接收站地址9/21/202335MAC幀格式地址域DATA校驗幀控制持續(xù)時間ID地址域DATMAC幀通用格式MAC幀格式由三部分組成：MAC幀頭、幀體和校驗控制字段不同決定了幀類型的不同控制幀、數(shù)據(jù)幀或是管理幀持續(xù)時間表示一個幀的持續(xù)發(fā)送時間，以便虛擬載波偵聽序列號是對分段號的標識，以便按序重組地址分為四種地址，不過不同的幀類型，地址個數(shù)也不同四種地址為：源地址、目的地址、發(fā)送站地址、接收站地址幀控制持續(xù)時間/ID地址1地址2地址3序列號地址4幀體校驗9/21/202336MAC幀通用格式MAC幀格式由三部分組成：MAC幀頭、幀體和幀格式－FC字段Pver：0，當前標準版本Typ/Subtyp：幀類型ToDS/FromDS：流入/出DS，決定幀格式中4個地址段的含義Morefrag：MSDU/MMPDU還有后繼分段PwrMgt/Mdat：省電模式控制WEP：使用WEP安全模式Order：使用StrictlyOrdered服務等級9/21/202337幀格式－FC字段Pver：0，當前標準版本8/1/20233MAC幀類型FC中的Type字段定義了MAC幀類型00：管理幀01：控制幀10：數(shù)據(jù)幀11：保留管理幀：Association、Authentication、Beacon、……控制幀：RTS、CTS、ACK、……9/21/202338MAC幀類型FC中的Type字段定義了MAC幀類型8/1/2MAC幀中的地址段To/FromDS決定了幀中地址段的表示BSSID：AP模式下，可使用AP的48位MAC地址DA、SA、RA、TARA:receiveraddressTA:transmitteraddressToDSFrDSAddr1Addr2Addr3Addr400DASABSSIDN/A01DABSSIDSAN/A10BSSIDSADAN/A11RATADASA9/21/202339MAC幀中的地址段To/FromDS決定了幀中地址段的表示T關于MAC地址的進一步說明假設A與B通信，則A首先將數(shù)據(jù)發(fā)給AP，然后由AP轉發(fā)給BAPBSSAB地址3地址2地址1持續(xù)時間ID幀控制AP向B轉發(fā)的幀地址3

地址2地址1持續(xù)時間ID幀控制源地址A站地址接收地址目的地址B站地址AP地址發(fā)送站地址A向AP發(fā)送的幀AP地址BSSID接收站地址目的地址B站地址源地址發(fā)地址A站地址9/21/202340關于MAC地址的進一步說明假設A與B通信，則A首先將數(shù)據(jù)發(fā)給IEEE802.11標準概要標準概述參考模型BSS與ESSWLAN系統(tǒng)服務STA接入過程分片與重組CSMA/CA協(xié)議IEEE802.11MAC幀格式IEEE802.11主要系列9/21/202341IEEE802.11標準概要標準概述8/1/202341IEEE802.11主要標準IEEEstd802.11-1997發(fā)布，2Mbps@2.4GHzIEEE802.11，1999EditionIEEE802.11a-1999:54Mbps@5GHzIEEE802.11b-1999:11Mbps@2.4GHzIEEE802.11g-2003:54Mbps@2.4GHzIEEE802.11i-2004，MAC的安全性增強正在發(fā)展：IEEE802.11e:MAC的QoS增強開始研究IEEE802.11s:無線Mesh網(wǎng)9/21/202342IEEE802.11主要標準IEEEstd802.11-物理層標準802.11a802.11b802.11g802.11n發(fā)布時間1999年7月1999年7月2003年6月2006年工作頻段5GHz2.4GHz2.4GHz2.4GHz5GHz最大數(shù)據(jù)率/每子信道54Mbps11Mbps54Mbps600Mbps不重疊子信道數(shù)1233?調制方式OFDMDSSS/CCKOFDM/CCK?9/21/202343物理層標準802.11a802.11b802.11g802.IEEE802.11b物理層要點采用DSSS/CCK-DPSK技術工作在2.4GHz，ISM波段13個子信道，不重疊子信道數(shù)：最大為3數(shù)據(jù)傳輸率：11/5.5/2/1Mbps傳輸范圍：～100米2003年最為流行2.4222.4322.4422.4522.4622.4722.4842.4122.4172.4272.4372.4472.4572.467234517891061112139/21/202344IEEE802.11b物理層要點采用DSSS/CCK-DPSIEEE802.11a物理層要點1999年發(fā)布，近年來才開始流行工作在5GHz，頻段干擾小子信道數(shù)達12，且可以同時使用采用OFDM，數(shù)據(jù)率高達54Mbps價格較高，但近年來下降顯著9/21/202345IEEE802.11a物理層要點1999年發(fā)布，近年來才開始IEEE802.11g物理層要點2003年6月發(fā)布，2004年的主流標準.802.11g的特征數(shù)據(jù)率五倍于802.11b，高達54Mbps工作在2.4GHz，且兼容所有原來802.11b的產(chǎn)品價格略高于802.11b，性價比更好802.11g采用了OFDM的調制所以能提供高達54Mbps的性能但其仍然強制保留DSSS/CCK的調制方式因此其能兼容802.11b標準9/21/202346IEEE802.11g物理層要點2003年6月發(fā)布，2004第8章無線局域網(wǎng)接入技術WLAN概述IEEE802.11標準概要WLAN安全技術WLAN的應用9/21/202347第8章無線局域網(wǎng)接入技術WLAN概述8/1/202347WLAN安全需求無線網(wǎng)絡的信號傳輸在開放性的空間中而有線網(wǎng)絡的信號傳輸是在光纖或銅纜等封閉性的物理介質中易于侵入無線傳輸空間給WLAN造成了嚴重的安全隱患傳輸空間的開放性導致信號的接收和發(fā)送都比封閉性的介質容易得多接入階段：站點直接與AP交互，存在隱患傳輸階段：兩個站點的數(shù)據(jù)交換完全暴露給第三方9/21/202348WLAN安全需求無線網(wǎng)絡的信號傳輸在開放性的空間中8/1/2WLAN安全標準下列3個標準IEEE802.11-1997定義私密（privacy）服務定義了一個WEP（wiredequivalentprivacy，有線等價保密）協(xié)議WEP協(xié)議和協(xié)議的基礎算法（RC4）均有重大漏洞IEEE802.11i-2004功能全面強化的機密性（Confidentiality）服務定義了改進型的TKIP協(xié)議和新一代的CCMP協(xié)議，提出了需要采用全面的安全措施構建一個健壯的安全網(wǎng)絡（RSN）GB15628.11-2004WAPI（WLANAuthenticationandPrivacyInfrastructure）WAPI是一個強制實施級的國家標準9/21/202349WLAN安全標準下列3個標準8/1/202349安全框架IEEE802.11標準先后定義了兩類安全框架：前RSNARSNA前RSNA（Pre-RSNA）包括以下算法：WEP（WiredEquivalentPrivacy）IEEE802.11實體認證RSNA安全包括以下算法：TKIP（TemporalKeyIntegrityProtocol）CCMP（CTRwithCBC-MACProtocol）RSNA（robustsecuritynetworkassociation）密鑰管理過程9/21/202350安全框架IEEE802.11標準先后定義了兩類安全框架：8/前RSNA安全包括：加密和認證兩部分內容加密算法WEP（有線等價保密）WEP的基礎是RC4對稱加密算法最初采用64位加密算法，后來擴展到可以采用128位加密算法一個服務組（BSS或ESS）內的所有站點都采用同一密鑰認證方法開放式系統(tǒng)認證（OpenSystemauthentication）共享密鑰認證（SharedKeyauthentication）9/21/202351前RSNA安全包括：加密和認證兩部分內容8/1/202351共享密鑰認證通過判決對方是否掌握相同的密鑰來確定對方的身份是否合法共享密鑰：所有合法用戶共享1個認證請求質詢文本質詢文本加密認證結果9/21/202352共享密鑰認證通過判決對方是否掌握相同的密鑰來確定對方的身份是TKIP時限密鑰完整性協(xié)議TemporalKeyIntegrityProtocol最初，802.11i任務組對WLAN面臨安全形勢的頗為樂觀，認為只需要制訂WEP協(xié)議的增強——TKIP協(xié)議就足以解除安全隱患TKIP也是基于RC4加密算法TKIP改進了WEP，追加了以下功能：逐幀密鑰生成——逐報文重構密鑰機制消息完整性檢查具有序列功能的初始向量密鑰生成和定期更新功能等9/21/202353TKIP時限密鑰完整性協(xié)議TemporalKeyIntTKIP基本思路是：采用逐幀重構密鑰的機制且分離認證密鑰與傳輸密鑰同時引入了新的機制進行密鑰生成和密鑰管理，加強了密鑰生成的動態(tài)性和密鑰分發(fā)的私密性與WEP協(xié)議的單一靜態(tài)密鑰配置不同，在TKIP協(xié)議中密鑰由密鑰管理中心動態(tài)生成并負責分發(fā)TKIP中的密鑰數(shù)量從WEP中的單一靜態(tài)密鑰增加到500萬億個可用的動態(tài)密鑰9/21/202354TKIP基本思路是：采用逐幀重構密鑰的機制且分離認證密鑰與傳TKIP與IEEE802.1X協(xié)同工作在認證階段802.1X認證服務器在認可了用戶身份后將通知密鑰管理中心將產(chǎn)生一個唯一的用戶主密鑰TKIP把用戶主密鑰通過安全通道分發(fā)到AP和無線站點802.1X根據(jù)主密鑰為每個認證用戶建立一個相應的密鑰構架和管理系統(tǒng)，用于處理用戶的本次會話在傳輸階段使用用戶主密鑰為每一個用戶會話動態(tài)產(chǎn)生一個唯一的數(shù)據(jù)加密密鑰，用以加密每一個無線通信數(shù)據(jù)報文9/21/202355TKIP與IEEE802.1X協(xié)同工作在認證階段8/1/2對TKIP的質疑TKIP協(xié)議中的逐幀密鑰只是“像是”一次性密鑰而非“真正的”一次性密鑰在TKIP中，逐幀密鑰是通過一個偽隨機過程產(chǎn)生的密鑰序列并不是一個真正的隨機序列而僅僅是一個偽隨機序列，密鑰的序列值之間并不是相互“獨立”而僅僅是統(tǒng)計意義上“無關”的相互獨立的值是幾乎不可能猜測而統(tǒng)計獨立的值是由一個算法生成因而也可以使用一個算法恢復的許多研究表明TKIP協(xié)議的基礎——RC4算法從根本上就存在著重大的漏洞9/21/202356對TKIP的質疑TKIP協(xié)議中的逐幀密鑰只是“像是”一次性密CCMPCCMP協(xié)議是IEEE802.11i-2004中提出的一種WLAN鏈路級安全性增強協(xié)議CCMP協(xié)議的核心算法是AES（AdvancedEncryptionStandard，高級加密標準）加密算法AES是一種對稱分組加密技術，使用128位分組加密數(shù)據(jù)，提供比RC4算法更高的加密強度。9/21/202357CCMPCCMP協(xié)議是IEEE802.11i-2004中提WLAN安全應用WLAN安全應用SSID匹配檢查WEP協(xié)議應用TKIP協(xié)議應用CCMP協(xié)議應用CCMP協(xié)議是最新發(fā)布IEEE802.11i安全標準9/21/202358WLAN安全應用WLAN安全應用8/1/202358SSID匹配檢查開放式系統(tǒng)認證，OpenSystemAuthentication一種不對站點身份進行認證的認證方式定義于：IEEE802.11-1999AP讓所有SSID匹配的設備入網(wǎng)使AP被感知是設備聯(lián)網(wǎng)時的連通性初始化協(xié)議而非入網(wǎng)認證入網(wǎng)設備使用“Any”選項可避開此項檢查SSID：ServiceSetIdentification

服務組標識，32字符，作為網(wǎng)絡名同一服務組內所有設備的SSID必須配置相同區(qū)別：ESSID/BSSID、有中心/無中心網(wǎng)、AP/Adhoc9/21/202359SSID匹配檢查開放式系統(tǒng)認證，OpenSystemAuWEP協(xié)議應用WEP協(xié)議采用靜態(tài)密鑰進行入網(wǎng)認證和傳輸加密保密強度太低，實用價值不大WEP協(xié)議和RC4算法均存在著重大漏洞適合在小型企業(yè)和家庭網(wǎng)絡等小型環(huán)境中應用9/21/202360WEP協(xié)議應用WEP協(xié)議采用靜態(tài)密鑰進行入網(wǎng)認證和傳輸加密8TKIP的應用WPA（Wi-FiProtectedAccess，Wi-Fi保護接入）是Wi-Fi聯(lián)盟在802.11i標準正式完成前推出的一個代替WEP的無線安全協(xié)議——過渡措施核心協(xié)議：TKIP兩種認證體系：WPA-PSK(Pre-SharedKey)——小型網(wǎng)絡結合802.1X框架的認證體系——大型網(wǎng)絡由客戶、認證系統(tǒng)和認證服務系統(tǒng)組成目前較安全的認證方式9/21/202361TKIP的應用WPA（Wi-FiProtectedAccWPA-PSKWPA-PSK（WPAPre-SharedKey,WPA預共享密鑰方式）提供兩種加密方法：TKIP和AES密鑰僅僅用于認證過程，而不用于加密過程9/21/202362WPA-PSKWPA-PSK（WPAPre-Shared結合802.1X框架的認證體系IP網(wǎng)絡RADIUS服務器WLAN無線AP9/21/202363結合802.1X框架的認證體系IPRADIUS服務器WLANIEEE802.11i引入新的安全機制802.11i是WLAN信息安全性的最新標準Wi-Fi將WPA作為過渡，計劃在IEEE802.11i發(fā)布后，全面推廣IEEE802.11i據(jù)認為可以構建安全的無線局域網(wǎng)受到業(yè)界廣泛支持802.11i的發(fā)布同時阻擊了WAPI的實施最新的安全機制包括CCMP協(xié)議健壯安全網(wǎng)絡RSN9/21/202364IEEE802.11i引入新的安全機制802.11i是WLACCMP協(xié)議應用CCMP協(xié)議：Counter-Mode/CBC-MACProtocol定義于：802.11i-2004標準基于AES加密算法高級加密標準：AdvancedEncryptionStandard一種對稱分組加密技術、使用128bit分組加密數(shù)據(jù)加密強度大大高于RC4算法WPA2Wi-Fi以WPA2為名稱推廣CCMP協(xié)議9/21/202365CCMP協(xié)議應用CCMP協(xié)議：Counter-Mode/CB健壯安全網(wǎng)絡RSNRSN：RobustSecurityNetwork，健壯的安全網(wǎng)絡IEEE802.11i定義的新概念構建完備的WLAN安全體系提高數(shù)據(jù)傳輸加密強度例如CCMP協(xié)議增強接入認證控制性能，協(xié)同使用IEEE802.1X接入控制機制多種上層認證協(xié)議等RSN的協(xié)議體系示意圖如右示IEEE802.11iTKIP/CCMPIEEE802.1X

EAPoW上層認證協(xié)議PAP/CHAP等RSN體系示意圖9/21/202366健壯安全網(wǎng)絡RSNRSN：RobustSecurityNWLAN用戶接入控制與管理IEEE802.1x＋RADIUSAP支持802.1x協(xié)議，且AP具有RADIUS客戶端功能站點安裝802.1x客戶端功能AP接收用戶的認證請求，并向RADIUS服務器發(fā)出認證請求對認證通過的用戶，AP提供接入，否則拒絕其接入

DSAP1AP2BSS1BSS2ESS