第9章 無線局域網(wǎng)安全

無線局域網(wǎng)安全物聯(lián)網(wǎng)信息安全12檢查回顧新知學(xué)習(xí)合作探究過關(guān)測(cè)試五步教學(xué)法提綱考核點(diǎn)評(píng)1.根據(jù)FCC管制域，哪3個(gè)不重疊信道可用于2.4GHz的WLAN設(shè)計(jì)方案（

）。信道3、5和7信道2、6和11信道1、6和11信道1、5、9ABCD提交單選題10分

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試獨(dú)立完成單選題10分；知識(shí)目標(biāo)1.熟悉無線網(wǎng)絡(luò)概述；2.掌握無線局域網(wǎng)安全（重點(diǎn)、難點(diǎn)）。能力目標(biāo)探索精神、團(tuán)隊(duì)合作精神，提高安全網(wǎng)絡(luò)安全意識(shí)。思政目標(biāo)

具備分析無線局域網(wǎng)安全的能力。第0章物理層

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試問題引入

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試（投稿回答）討論題1：根據(jù)網(wǎng)絡(luò)覆蓋范圍，無線網(wǎng)絡(luò)可以分為哪幾類？2.UWB、藍(lán)牙、紅外等技術(shù)主要是用于（

）。WWANWPANWLANWMANABCD提交單選題10分

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試獨(dú)立完成單選題10分1無線網(wǎng)絡(luò)安全需求

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試(1) 數(shù)據(jù)傳輸真實(shí)性：第三方必須能夠驗(yàn)證消息的內(nèi)容在傳輸過程中沒有更改。(2) 不可否認(rèn)性：特定信息的來源或接收必須可由第三方驗(yàn)證。(3) 可追溯性：一個(gè)實(shí)體的行動(dòng)必須可唯一追蹤到該實(shí)體。(4) 可用性：網(wǎng)絡(luò)可用性是經(jīng)授權(quán)的實(shí)體可以根據(jù)需要訪問和使用的資源。2無線局域網(wǎng)安全介紹

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試特性描述頻譜2.4

GHz

(ISM

band)and

5

GHz.數(shù)據(jù)速率1

Mbps,

2

Mbps,5.5

Mbps(11b),

11

Mbps(11b),

54

Mbps(11a)

數(shù)據(jù)和網(wǎng)絡(luò)安全保障

基于RC4的流加密算法，用于機(jī)密性、身份驗(yàn)證和完整性。有限的密鑰管理。組件客戶機(jī)，AP（接入點(diǎn)）范圍150英尺（室內(nèi)），1500英尺（室外）

優(yōu)勢(shì)

成本低廉，高速，產(chǎn)品多樣化劣勢(shì)吞吐量在高載荷時(shí)明顯不足3.以下哪些802.11標(biāo)準(zhǔn)使用5.0GHz范圍（

）802.11802.11b/g802.11n802.11aABCD提交

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試多選題20分2無線局域網(wǎng)安全介紹

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試（投稿回答）這兩種拓?fù)浣Y(jié)構(gòu)分別是如何工作的？4.WLAN上的兩個(gè)設(shè)備之間使用的標(biāo)識(shí)碼叫（

）BSSESSSSID隱形碼ABCD提交

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試單選題10分無線網(wǎng)絡(luò)所面臨的安全威脅

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試安全威脅廣播監(jiān)聽欺詐AP中間人攻擊拒絕服務(wù)攻擊重放攻擊消息刪除和攔截?zé)o線局域網(wǎng)安全威脅

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試拒絕服務(wù)(Denialofservice,DoS)攻擊。攻擊者使用過量的通信流量使網(wǎng)絡(luò)設(shè)備溢出，從而阻止或嚴(yán)重減慢正常的接入。該方法可以針對(duì)多個(gè)層次，例如，向Web服務(wù)器中大量發(fā)送頁面請(qǐng)求或者向接入點(diǎn)發(fā)送大量的鏈接或認(rèn)證請(qǐng)求。人為干擾。是DoS的一種形式，攻擊者向RF波段發(fā)送大量的干擾，致使WLAN通信停止。在2.4GHz頻段上，藍(lán)牙設(shè)備、一些無繩電話或微波爐都可以導(dǎo)致上述干擾。插入攻擊。攻擊者可以將一個(gè)未授權(quán)的客戶端連接到接入點(diǎn)，這是由于沒有進(jìn)行授權(quán)檢查或者攻擊者偽裝成已授權(quán)用戶。無線局域網(wǎng)安全威脅

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試重放攻擊。攻擊者截取網(wǎng)絡(luò)通信信息，例如口令，稍后用這些信息可以未經(jīng)授權(quán)地接入網(wǎng)絡(luò)。廣播監(jiān)測(cè)。在一個(gè)配置欠佳的網(wǎng)絡(luò)中，如果接入點(diǎn)連接到集線器而不是交換機(jī)，那么集線器將會(huì)廣播數(shù)據(jù)包到那些并不想接收這些數(shù)據(jù)包的無線站點(diǎn)，它們可能會(huì)被攻擊者截取。ARP欺騙（或ARP緩存中毒）。攻擊者通過接入并破壞存有MAC和IP地址映射的ARP的高速緩沖，來欺騙網(wǎng)絡(luò)使其引導(dǎo)敏感數(shù)據(jù)到攻擊者的無線站點(diǎn)。會(huì)話劫持（或中間人攻擊）。是ARP欺騙攻擊的一種，攻擊者偽裝成站點(diǎn)并自動(dòng)解決鏈接來斷開站點(diǎn)和接入點(diǎn)的連接，然后再偽裝成接入點(diǎn)使站點(diǎn)和攻擊者相連接。無線局域網(wǎng)安全威脅

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試流氓接入點(diǎn)（或惡魔雙子截?。?。攻擊者安裝未經(jīng)授權(quán)的帶有正確SSID的接入點(diǎn)。如果該接入點(diǎn)的信號(hào)通過放大器或者高增益的天線增強(qiáng)，客戶端將會(huì)優(yōu)先和流氓接入點(diǎn)建立連接，敏感數(shù)據(jù)就會(huì)受到威脅。密碼分析攻擊。攻擊者利用理論上的弱點(diǎn)來破譯密碼系統(tǒng)。例如，RC4密碼的弱點(diǎn)會(huì)導(dǎo)致WEP易受攻擊。旁信道攻擊。攻擊者利用功率消耗、定時(shí)信息或聲音和電磁發(fā)射等物理信息來獲取密碼系統(tǒng)的信息。分析上述信息，攻擊者可能會(huì)直接得到密鑰，或者可以計(jì)算出密鑰的明文信息。802.11涉及的安全技術(shù)

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試開放式認(rèn)證系統(tǒng)共享密鑰認(rèn)證系統(tǒng)完整性校驗(yàn)(CRC)RC4加密認(rèn)證技術(shù)完整性檢驗(yàn)技術(shù)加密技術(shù)初始化向量(IV)WEP：有線等效保密算法無線局域網(wǎng)的安全要求

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試1為用戶的數(shù)據(jù)提供堅(jiān)固的數(shù)據(jù)保護(hù)，包括數(shù)據(jù)加密和數(shù)據(jù)完整性校驗(yàn)。2用戶和服務(wù)器之間相互認(rèn)證。3能夠生成派生密鑰，能夠根據(jù)主密鑰派生出動(dòng)態(tài)密鑰，用于數(shù)據(jù)加密。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試Opensystemauthentication開放系統(tǒng)認(rèn)證是802.11的缺省設(shè)置，不進(jìn)行認(rèn)證Sharedkeyauthentication共享密鑰認(rèn)證使用一個(gè)共享的密鑰，完成AP對(duì)接入點(diǎn)的認(rèn)證缺點(diǎn)：Hacker只要將明文challengetext和加密后的challengetext截獲到進(jìn)行XOR就可以得到WEPkey。802.11的認(rèn)證——基于WEP有線等效加密WEP

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試STAAP認(rèn)證請(qǐng)求挑戰(zhàn)碼(128bytes隨機(jī)數(shù))挑戰(zhàn)碼回應(yīng)確認(rèn)成功/失敗工作站向AP發(fā)出認(rèn)證請(qǐng)求AP收到初始認(rèn)證幀之后，回應(yīng)一個(gè)認(rèn)證幀，其中包含128字節(jié)的挑戰(zhàn)碼工作站將挑戰(zhàn)碼植入認(rèn)證幀，并用共享密鑰對(duì)其加密，然后發(fā)送給APAP解密，并檢查返回的挑戰(zhàn)碼是否相同，以次判斷驗(yàn)證是否通過RC4加密隨機(jī)數(shù)解密收到的相應(yīng)結(jié)果，并與原發(fā)送的隨機(jī)數(shù)進(jìn)行比較，如果相同則認(rèn)為成功生成隨機(jī)數(shù)發(fā)送到客戶端有線等效加密WEP

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試有限對(duì)等加密（WEP）WEP的兩種認(rèn)證方式：開放系統(tǒng)認(rèn)證和共享密鑰認(rèn)證開放系統(tǒng)認(rèn)證：共享密鑰認(rèn)證：有線等效加密WEP有線等效加密WEP1、有線等效加密WEP--802.11的加密技術(shù)

有線對(duì)等加密：WiredEquivalentPrivacyWEP是IEEE802.11b標(biāo)準(zhǔn)的一部分，使用RC4流加密技術(shù)對(duì)數(shù)據(jù)幀進(jìn)行加密，并使用CRC做數(shù)據(jù)完整性校驗(yàn)。WEP對(duì)數(shù)據(jù)進(jìn)行處理有效載荷時(shí)需要以下三個(gè)輸入項(xiàng)：需要保護(hù)的（payload）密鑰（secertkey）初始化向量（initializationvector，簡(jiǎn)稱IV）

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試（彈幕回答）什么是CRC校驗(yàn)？

WEP提供了有限的接入控制和采用密鑰的數(shù)據(jù)加密：數(shù)據(jù)加密：采用RC4加密算法將數(shù)據(jù)轉(zhuǎn)變?yōu)橐粋€(gè)40比特的密鑰，加上24比特的初始向量(InitializationVector,IV)生成64比特的加密密鑰。為了臨時(shí)性增強(qiáng)WEP加密，有些向量將密鑰長度增加到128比特（104比特+24比特IV）。實(shí)際上這只是表面的增強(qiáng)，因?yàn)椴徽撌鞘褂?0比特還是104比特的密鑰，竊聽者總能通過分析大約400萬個(gè)發(fā)送幀提取出密鑰。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試有線等效加密WEP

WEP通過RC4算法生成密鑰比特流：密鑰比特流是從S序列中偽隨機(jī)選擇的字節(jié)，而S序列是所有256種可能的字節(jié)的排列組合。RC4通過下列方法選擇密鑰流的下一個(gè)字節(jié):

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試有線等效加密WEP

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試(1)增加計(jì)數(shù)器i的值(2)將序列中第i個(gè)字節(jié)的值S(i)和j的原值相加作為第二個(gè)計(jì)數(shù)器j的值(3)查找兩個(gè)計(jì)數(shù)器指示的兩個(gè)字節(jié)的值S(i)和S(j)，然后將其以模256相加(4)輸出由S(i)+S(j)指示的字節(jié)K，如K=S(S(i)+S(j))在回到步驟(1)選擇密鑰流中的下一個(gè)字節(jié)前，要將字節(jié)S(i)和S(j)的值相交換有線等效加密WEP

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試輸入計(jì)數(shù)器輸出密匙字節(jié)有線等效加密WEP

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試有線等效加密WEPWEP的不足：標(biāo)準(zhǔn)的靜態(tài)WEP只提供長度為40位的密鑰；一旦重復(fù)使用密鑰流，流密碼容易被識(shí)破（利用IV重復(fù)）；不常更換密鑰，積累到一定程度的幀后，就可以推算出一定的數(shù)據(jù)；WEP使用線性CRC進(jìn)行校驗(yàn)。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試有線等效加密WEPWPA協(xié)議Wi-Fi網(wǎng)絡(luò)安全存儲(chǔ)（WPA）

Wi-Fi網(wǎng)絡(luò)安全存儲(chǔ)：Wi-FiProtectedAccessWPA是為了改善WEP的不足，在802.11i協(xié)議之前的一種臨時(shí)解決方案。WPA的數(shù)據(jù)加密采用TKIP協(xié)議，認(rèn)證有兩種模型，一種是使用802.1x協(xié)議進(jìn)行認(rèn)證，一種是稱為預(yù)先共享密鑰（PSK）模式。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試TKIP協(xié)議臨時(shí)密鑰完整性協(xié)議（TKIP）

臨時(shí)密鑰完整性協(xié)議：TemporalKeyIntegrityProtocolTKIP是對(duì)WEP的一次改進(jìn)。TKIP相比于WEP的改進(jìn)之處：TKIP使用多個(gè)主密鑰，用來加密的幀的密鑰由主密鑰派生；TKIP為每個(gè)幀從主密鑰派生特有的RC4密鑰；為每個(gè)幀提供一個(gè)序列號(hào)；新的消息完整性校驗(yàn)（MIC）；消息完整性校驗(yàn)失敗的對(duì)策。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試TKIP的數(shù)據(jù)處理過程TKIP協(xié)議TKIP進(jìn)行數(shù)據(jù)處理時(shí)的輸入項(xiàng)：需要保護(hù)的有效載荷；要來加密幀的臨時(shí)密鑰（temporalkey）；用來保護(hù)幀內(nèi)容的MIC密鑰；發(fā)送端地址；由驅(qū)動(dòng)程序或固件所維護(hù)的序列號(hào)計(jì)數(shù)器（sequencecounter）。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試TKIP協(xié)議用這種方法每個(gè)站點(diǎn)使用不同的密鑰來加密發(fā)送的數(shù)據(jù)。然后TKIP在一段設(shè)置的密鑰生存時(shí)間后，管理這些密鑰在所有站點(diǎn)的升級(jí)和分配，根據(jù)安全要求不同，可以從每個(gè)包一次到每10000個(gè)包一次不等。盡管使用相同的RC4密碼來產(chǎn)生密鑰流，但是用TKIP的密鑰混合和分配方法來代替WEP中的只有一個(gè)靜態(tài)密鑰顯著地改善了WLAN的安全性。該方法能從280000000000個(gè)可能的密鑰中動(dòng)態(tài)變化選擇。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試TKIP協(xié)議

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試TKIP密鑰混合和加密過程臨時(shí)密鑰發(fā)射機(jī)的MAC地址短語1密鑰混合WEPIV每包密鑰PC4密鑰TKIP序列計(jì)數(shù)器WEP封裝加密MPDUMIC密鑰源地址目的地址MSDU明文MIC分段TKIP協(xié)議TKIP的密鑰長度為128位，加密算法采用RC4。IV長度48位，采用密鑰混合的方式產(chǎn)生動(dòng)態(tài)密鑰。同時(shí)，IV也扮演著序列號(hào)計(jì)數(shù)器的角色，每次安裝新的主密鑰，初始化向量/序列計(jì)數(shù)器都會(huì)被重新設(shè)置為1。TKIP的加密密鑰派生自初始化向量/序列號(hào)計(jì)數(shù)器、幀的發(fā)送端地址以及臨時(shí)密鑰，為每個(gè)幀產(chǎn)生一個(gè)獨(dú)特的WEP密鑰。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試TKIP協(xié)議

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試TKIP的密鑰混合TKIP協(xié)議5.以下關(guān)于TKIP加密的描述，錯(cuò)誤的是（

）。TKIP加密中使用的IV長度為24bitsTKIP加密采用的加密算法與WEP加密相同開發(fā)TKIP加密的動(dòng)機(jī)是為了升級(jí)舊式WEP硬件的安全性TKIP加密中增加了Key的生成、管理以及傳遞的機(jī)制ABCD提交

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試單選題20分WPA的認(rèn)證模型

WPA的認(rèn)證模型有兩種，一種是使用802.1x協(xié)議進(jìn)行認(rèn)證，另一種是PSK（Pre-sharedkey）模型。如果系統(tǒng)有認(rèn)證服務(wù)器，則采用802.1x協(xié)議進(jìn)行認(rèn)證，適用于企業(yè)版認(rèn)證；否則，使用PSK模型，適用于個(gè)人版認(rèn)證。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試WPA協(xié)議無線局域網(wǎng)安全

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試IEEE802.1x是通過認(rèn)證用戶來為網(wǎng)絡(luò)提供有保護(hù)的接入控制協(xié)議。IEEE802LAN/WAN委員會(huì)為解決無線局域網(wǎng)網(wǎng)絡(luò)安全問題，提出了802.1x協(xié)議。后來，802.1x協(xié)議作為局域網(wǎng)端口的一個(gè)普通接入控制機(jī)制在以太網(wǎng)中被廣泛應(yīng)用，主要解決以太網(wǎng)內(nèi)認(rèn)證和安全方面的問題。802.1x協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議（portbasednetworkaccesscontrolprotocol）。“基于端口的網(wǎng)絡(luò)接入控制”是指:在局域網(wǎng)接入設(shè)備的端口這一級(jí)對(duì)所接入的用戶設(shè)備進(jìn)行認(rèn)證和控制。連接在端口上的用戶設(shè)備如果能通過認(rèn)證，接入點(diǎn)上會(huì)為網(wǎng)絡(luò)接入打開一個(gè)虛端口,就可以訪問局域網(wǎng)中的資源；如果不能通過認(rèn)證，則無法訪問局域網(wǎng)中的資源——相當(dāng)于物理連接被斷開。無線局域網(wǎng)安全

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試IEEE802.1x認(rèn)證定義了三個(gè)元素：請(qǐng)求者：無線站點(diǎn)上運(yùn)行的尋求認(rèn)證的軟件認(rèn)證者：代表請(qǐng)求者要求認(rèn)證的無線接入點(diǎn)認(rèn)證服務(wù)器：運(yùn)行著RADIUS或Kerberos等認(rèn)證協(xié)議的服務(wù)器，使用認(rèn)證數(shù)據(jù)庫來提供集中認(rèn)證和接入控制。該標(biāo)準(zhǔn)定義了數(shù)據(jù)鏈路層如何使用可擴(kuò)展認(rèn)證協(xié)議(EAP)在請(qǐng)求者和認(rèn)證服務(wù)器之間傳送認(rèn)證信息。實(shí)際的認(rèn)證過程是根據(jù)具體使用的EAP類型來定義和處理的，作為認(rèn)證者的接入點(diǎn)只是一個(gè)媒介，它使得請(qǐng)求者和認(rèn)證服務(wù)器能夠通信。無線局域網(wǎng)安全

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試IEEE802.1x認(rèn)證：在企業(yè)WLAN中的應(yīng)用需要網(wǎng)絡(luò)中有認(rèn)證服務(wù)器。服務(wù)器：可以通過已存的姓名列表和授權(quán)用戶的證書來認(rèn)證用戶；最常用的認(rèn)證協(xié)議：是遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)(RemoteAuthenticationDial-inUserService,RADIUS)，由兼容WPA的接入點(diǎn)支持，提供集中認(rèn)證、授權(quán)和計(jì)費(fèi)服務(wù)。無線局域網(wǎng)安全

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試無線客戶端通過接入點(diǎn)認(rèn)證尋求網(wǎng)絡(luò)接入：此時(shí)，接入點(diǎn)作為RADIUS服務(wù)器的客戶端，向服務(wù)器發(fā)送一個(gè)含有用戶證書和請(qǐng)求連接參數(shù)信息的RADIUS消息。RADIUS服務(wù)器可以認(rèn)證、授權(quán)或拒絕請(qǐng)求，任何一種情況都會(huì)送回一個(gè)響應(yīng)消息。無線局域網(wǎng)安全

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試802.1X認(rèn)證協(xié)議無線局域網(wǎng)安全802.1x（Port-BasedNetworkAccessControl）是一個(gè)基于端口的網(wǎng)絡(luò)訪問控制標(biāo)準(zhǔn)。802.1x利用EAP(

ExtensibleAuthenticationProtocol)鏈路層安全協(xié)議，在通過認(rèn)證以前，只有EAPOL報(bào)文（ExtensibleAuthenticationProtocoloverLAN）可以在網(wǎng)絡(luò)上通行。認(rèn)證成功后，通常的數(shù)據(jù)流便可在網(wǎng)絡(luò)上通行。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試無線局域網(wǎng)安全

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試SupplicantAuthenticatorAuthenticationServerEAP認(rèn)證方法(EAP-TLS，EAP-TEAP)EAP協(xié)議802.1XEAPOLEAP報(bào)文（封裝在Radius報(bào)文）802.1X協(xié)議架構(gòu)無線局域網(wǎng)安全

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試EAP(

ExtensibleAuthenticationProtocol)是認(rèn)證協(xié)議框架，不提供具體認(rèn)證方法，可以實(shí)現(xiàn)多種認(rèn)證方法802.1X報(bào)文(EAP認(rèn)證方法)在特定的鏈路層協(xié)議傳遞時(shí)，需要一定的報(bào)文封裝格式。EAP報(bào)文傳輸.authenticator將把EAPOL報(bào)文中的認(rèn)證報(bào)文EAP封裝到Radius報(bào)文中，通過Radius報(bào)文和authentication

server進(jìn)行交互。注意：802.1X提供了控制接入框架，依賴EAP協(xié)議完成認(rèn)證，EAP協(xié)議給諸多認(rèn)證協(xié)議提供了框架，EAP協(xié)議前端依賴EAPOL后端依賴Raduis完成協(xié)議交換無線局域網(wǎng)安全

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試RADIUS認(rèn)證中EAP的消息格式請(qǐng)求者=客戶無線LAN認(rèn)證者=接入服務(wù)器內(nèi)部互聯(lián)LANRADIUS消息格式認(rèn)證服務(wù)器EAP消息封裝為RADIUS消息屬性ＥＡＰＯＬ包攜帶的EAP請(qǐng)求和響應(yīng)消息無線局域網(wǎng)安全WPA中——可擴(kuò)展認(rèn)證協(xié)議EAP

可擴(kuò)展認(rèn)證協(xié)議(EAP)：是建立在遠(yuǎn)程接入架構(gòu)上的，而遠(yuǎn)程接入最初是在點(diǎn)對(duì)點(diǎn)協(xié)議(Point-to-pointProtocol,PPP)組中為撥號(hào)連接而建立的。PPP撥號(hào)序列提供了鏈路協(xié)商和網(wǎng)絡(luò)控制協(xié)議，以及基于要求安全等級(jí)的認(rèn)證協(xié)議。例如：密碼認(rèn)證協(xié)議(PasswordAuthenticationProtocol,PAP)挑戰(zhàn)握手認(rèn)證協(xié)議(ChallengeHandshakeAuthenticationProtocol,CHAP)等認(rèn)證協(xié)議在建立連接后，在客戶端和遠(yuǎn)程接入服務(wù)器之間協(xié)商，然后用所選擇的協(xié)議認(rèn)證連接。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試無線局域網(wǎng)安全WPA中——可擴(kuò)展認(rèn)證協(xié)議EAP

EAP通過允許使用被稱為EAP類型的任意認(rèn)證機(jī)制延伸了這個(gè)結(jié)構(gòu)，EAP類型為交換認(rèn)證消息定義了多種多樣的結(jié)構(gòu)。當(dāng)建立了一個(gè)WLAN連接，客戶和接入點(diǎn)同意使用EAP來認(rèn)證，那么在開始連接認(rèn)證階段就會(huì)選定一個(gè)特定的EAP類型。認(rèn)證過程：包括客戶端和認(rèn)證服務(wù)器之間的一系列消息的交換。交換長度和細(xì)節(jié)取決于請(qǐng)求連接的參數(shù)和選擇的EAP類型。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試無線局域網(wǎng)安全

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試EAP協(xié)議ExtensibleAuthenticationProtocolAKA/SIMTLSTokenCardPPP802.3802.11EAP設(shè)計(jì)的中心思想：可以支持多種認(rèn)證方法和多種鏈路層協(xié)議。無線局域網(wǎng)安全I(xiàn)EEE802.11i和WPA2IEEE802.11i標(biāo)準(zhǔn)：為IEEE802.11WLAN定義了安全加強(qiáng)，提供更強(qiáng)大的加密、認(rèn)證和密鑰管理策略，以建立一個(gè)魯棒的安全網(wǎng)絡(luò)(RobustSecurityNetwork,RSN)為目的。WPA2和IEEE802.11i的關(guān)系：WPA2（Wi-FiProtectedAccess2，無線保護(hù)接入2）是WiFi聯(lián)盟對(duì)IEEE802.11i標(biāo)準(zhǔn)終稿的實(shí)現(xiàn)。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試無線局域網(wǎng)安全I(xiàn)EEE802.11i的框架結(jié)構(gòu)

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試通過EAP-TLS等認(rèn)證方法對(duì)用戶進(jìn)行認(rèn)證用戶認(rèn)證接入控制802.11i密鑰管理及加密通過802.1x控制用戶的接入802.11i實(shí)現(xiàn)用戶會(huì)話key的動(dòng)態(tài)協(xié)商實(shí)現(xiàn)TKIP、CCMP算法實(shí)現(xiàn)數(shù)據(jù)的加密為了增強(qiáng)WLAN的數(shù)據(jù)加密和認(rèn)證性能，定義了RSN（RobustSecurityNetwork）的概念，并且針對(duì)WEP加密機(jī)制的各種缺陷做了多方面的改進(jìn)。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試802.11i802.11i定義了兩種安全協(xié)議：TKIP和CCMP。TKIP是對(duì)WEP的改進(jìn)，而CCMP采用AES128位密鑰進(jìn)行加密，是一種全新的規(guī)范。計(jì)數(shù)器模式及密碼塊鏈消息認(rèn)證碼協(xié)議：CounterModewithCBC-MACProtocol，簡(jiǎn)稱CCMP。密碼塊鏈：Cipher-blockchaining,簡(jiǎn)稱CBC。CCMP進(jìn)行數(shù)據(jù)處理所需的數(shù)據(jù)項(xiàng)：—需要保護(hù)的有效載荷；密鑰標(biāo)識(shí)符；臨時(shí)密鑰；封包編號(hào)無線局域網(wǎng)安全I(xiàn)EEE802.11i的加密1——TKIPTKIP:TemporalKeyIntegrityProtocol

使用RC4來實(shí)現(xiàn)數(shù)據(jù)加密，這樣可以重用用戶原有的硬件而不增加加密成本。使用Michael來實(shí)現(xiàn)MIC(MessageIntegrityCode)。結(jié)合MIC，TKIP采用了countermeasures方式：一旦發(fā)現(xiàn)了攻擊（MICFailure)，就中止該用戶接入。將IVsize從24bits增加到48bits，減少了IV重用；使用了Per-PacketKeyMixing方式來增加key的安全性。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試無線局域網(wǎng)安全I(xiàn)EEE802.11i的加密2——AES-CCMPAES-CCMP（AdvancedEncryptionStandard-CounterwithCipherlockchainingMessageAuthenticationCode,高級(jí)加密標(biāo)準(zhǔn)—帶有密碼塊鏈消息認(rèn)證代碼協(xié)議的計(jì)數(shù)器模式），融合了以下三種加密技術(shù)：AES計(jì)數(shù)模式MIC

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試無線局域網(wǎng)安全AES-CCMP之高級(jí)加密標(biāo)準(zhǔn)（AES）與能加密任意長度消息的流密碼RC4不同的是，AES是塊密碼，使用大小為128比特的固定消息塊，加密密鑰長度為128比特、192比特或256比特。這是Daemen和Rijmen的原創(chuàng)密碼的一個(gè)具體實(shí)例，又稱為Rijndael密碼，它使用128～256比特大小的塊和密鑰，步進(jìn)為32比特。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試無線局域網(wǎng)安全AES-CCMP之：分組密碼的計(jì)數(shù)模式AES-CCMP（AdvancedEncryptionStandard-CounterwithCipherlockchainingMessageAuthenticationCode,高級(jí)加密標(biāo)準(zhǔn)—帶有密碼塊鏈消息認(rèn)證代碼協(xié)議的計(jì)數(shù)器模式）為塊加密，802.11i要求AES為128bit,每block128bits.在分組密碼的計(jì)數(shù)模式中，加密算法不是直接應(yīng)用到數(shù)據(jù)塊而是應(yīng)用于任意的計(jì)數(shù)器。首先計(jì)算得到一個(gè)counter(初始值隨機(jī)，然后累加1),AES后得到加密值。因此：CCM采用計(jì)數(shù)模式（countermode）的目的是:為了破壞加密結(jié)果的規(guī)律性。然后每個(gè)數(shù)據(jù)塊與加密計(jì)數(shù)器異或，完成加密，得到加密數(shù)據(jù)塊。得到如下圖所示。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試無線局域網(wǎng)安全

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試消息計(jì)數(shù)器加密數(shù)據(jù)塊數(shù)據(jù)塊數(shù)據(jù)塊數(shù)據(jù)塊數(shù)據(jù)塊數(shù)據(jù)塊數(shù)據(jù)塊加密數(shù)據(jù)塊加密數(shù)據(jù)塊加密數(shù)據(jù)塊加密數(shù)據(jù)塊加密數(shù)據(jù)塊加密數(shù)據(jù)塊加密數(shù)據(jù)塊加密文本分組加密工作模式的計(jì)數(shù)模式（AES）無線局域網(wǎng)安全場(chǎng)景三

在2006年意大利舉行的一次學(xué)術(shù)會(huì)議上，就有研究者提出病毒可能感染RFID芯片，通過偽造沃爾瑪、家樂福這樣的超級(jí)市場(chǎng)里的RFID電子標(biāo)簽，將正常的電子標(biāo)簽替換成惡意標(biāo)簽，即可進(jìn)入他們的數(shù)據(jù)庫及IT系統(tǒng)中發(fā)動(dòng)攻擊。2011年9月，北京公交一卡通被黑客破解，從而敲響了整個(gè)RFID行業(yè)的警鐘。黑客通過破解公交一卡通，給自己的一卡通非法充值，獲取非法利益2200元。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試在分組密碼的計(jì)數(shù)模式中，每個(gè)消息，它的計(jì)數(shù)器都從任意的數(shù)值開始，并根據(jù)收發(fā)雙方協(xié)商好的已知方式增加?？朔穗娮用艽a本（ECB，ElectronicCodeBook）方式下，明文消息和密文一對(duì)一的對(duì)應(yīng)關(guān)系，密鑰容易被發(fā)現(xiàn)的危險(xiǎn)。無線局域網(wǎng)安全場(chǎng)景三

在2006年意大利舉行的一次學(xué)術(shù)會(huì)議上，就有研究者提出病毒可能感染RFID芯片，通過偽造沃爾瑪、家樂福這樣的超級(jí)市場(chǎng)里的RFID電子標(biāo)簽，將正常的電子標(biāo)簽替換成惡意標(biāo)簽，即可進(jìn)入他們的數(shù)據(jù)庫及IT系統(tǒng)中發(fā)動(dòng)攻擊。2011年9月，北京公交一卡通被黑客破解，從而敲響了整個(gè)RFID行業(yè)的警鐘。黑客通過破解公交一卡通，給自己的一卡通非法充值，獲取非法利益2200元。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試AES-CCMP之：MIC（CBC-MAC的簡(jiǎn)寫）除了采用計(jì)數(shù)模式進(jìn)行數(shù)據(jù)加密，AES-CCM還使用密碼分組鏈-消息認(rèn)證代碼（cipherblockchaining-messageauthenticationcode，CBC-MAC)來產(chǎn)生MIC,以實(shí)現(xiàn)數(shù)據(jù)的完整性校驗(yàn).

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試802.11iCCMP數(shù)據(jù)處理

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試802.11i802.11i構(gòu)建了強(qiáng)健安全網(wǎng)絡(luò)（RSN），用于定義密鑰的產(chǎn)生與分配方式。強(qiáng)健安全網(wǎng)絡(luò)：RobustSecurityNetwork鏈路層加密協(xié)議使用了兩種密鑰：成對(duì)密鑰（pairwisekey）用來保護(hù)工作站與AP之間的數(shù)據(jù)，產(chǎn)生自身份驗(yàn)證信息；組密鑰（groupkey）用來保護(hù)AP至所關(guān)聯(lián)工作站之間的廣播或組播數(shù)據(jù)，由接入點(diǎn)動(dòng)態(tài)產(chǎn)生然后分配給各個(gè)工作站。

五步教學(xué)法檢查回顧新知學(xué)習(xí)合作探究考核點(diǎn)評(píng)過關(guān)測(cè)試802.11i在成對(duì)密鑰體系中，利用偽隨機(jī)函數(shù)，根據(jù)主密鑰、申請(qǐng)者與認(rèn)證者的MAC地址以及兩個(gè)作為四次密鑰交換握手的隨機(jī)nonce值，來展開PMK。KCK：KeyConfirmationKey，用于完整性校驗(yàn)KEK：Ke