协议.ppt
- 文档编号:2732663
- 上传时间:2022-11-10
- 格式:PPT
- 页数:115
- 大小:2.05MB
协议.ppt
《协议.ppt》由会员分享,可在线阅读,更多相关《协议.ppt(115页珍藏版)》请在冰豆网上搜索。
WiFi-City802.11行動網路技術802.11無線網路技術802.11Protocol探討11/10/2022802.11a/b/g,工作于2.4/5GHzISM开放频带;802.11e,改善“WLAN的服务质量,提供应用支持QoS,将用时分多址(TDMA)方案取代类似以太网的MAC层,并对重要的业务,增加额外的纠错功能802.11f,规定了Inter-AccessPointProtocol(IAPP),解决不同AP之间的漫游;802.11h,控制发送功率,动态选择无线信道;802.11i,改善WEP加密功能,采用动态加密法,升级到AES加密,增强安全性能;802.1x,定义动态密钥加密部分,结合Radius服务器,支持EAP-TLS认证。
802.11x国际标准国际标准11/10/2022Client如何加入一個WLAN當在安裝、設定、最後並啟動一個WLAN系統。
Client端的USB或PC卡能自動聽以確定附近是否有一WLAN系統,這流程稱為Scanning(掃描)。
Scanning可能得到多個可加入的WLAN,Client內部需決定應與哪一個WLAN結合,這流程稱為Joining。
Joining之後則為與AP之間的Authentication與Association兩個動作。
Scanning發生於所有其它動作之前,因為Client靠Scanning來找尋WLAN。
Scanning可分為主動與被動。
在發現AP時,Client靠AP每隔100ms發出的Beacon,Beacon之中包括SSID及與該AP相關之許多其他參數。
11/10/2022SSIDSSID(ServiceSetIdentifier)為WLAN系統之中唯一的、字母大小寫有關的、2至32字母長所表示的WLAN網路名稱。
在一個ESS(ExtendedServiceSet)之中,SSID為唯一的,相同SSID下的AP屬於同群組,若此AP支援802.1QVLAN,則屬於同VLAN的User亦屬於同SSID,此時的SSID比較Virtual,亦即同一台AP可支援多個SSID。
此名稱有助於網路的區隔,為最基本的安全方法,且用在Client與AP做結合之用。
SSID存在於Beacon、ProbeRequest/Response、及一些其他的Frame之中(如AssociationFrame)。
如圖10.1,Client中必須被設定正確的SSID才能與AP做結合。
11/10/202211/10/2022圖圖10.210.2為為APAP如何設定隱藏如何設定隱藏SSIDSSID功能。
功能。
11/10/2022Beacon(信號彈)OSI(OpenSystemsInterconnection)所定義之SevenLayerCommunicationsProcol中,第一層稱為PhysicalLayer(物理層),第二層稱為DataLink。
以IEEE802.11而言,PhysicalLayer(或稱PHY)再被拆為上半的PLCP(PhysicalLayerConvergenceProtocol),以及下半的PMD(PhysicalMediumDependent)。
OSI第二層亦被拆為上半的LLC(LogicalLinkControl),以及下半的MAC(MediumAccessControl)。
而802.11本身只定義PHY及MAC,LLC則在802.2被定義。
11/10/202211/10/2022SSID訊息Client觀察Beacon中的SSID以決定是否做結合。
當找到適當SSID,Client再檢視其MAC位址以為結合之用。
如前述,若Client被設定為可接受任何SSID,則Client可與第一個發出Beacon,或信號最強的AP做結合。
11/10/2022交通指示(TIM)TIM(TrafficIndicationMap)表示哪些因省電而睡覺的Client目前在AP之中還有未傳送的封包。
每個Beacon都有這訊息。
睡覺中的Client能定時起動接收器,以聽取Beacon,檢查Beacon中的TIM以檢視自己是否列名,若無則回到睡眠狀態。
若有則Client發出PS(PowerSave)Probe給AP。
11/10/2022被動式掃描(PassiveScanning)被動式掃描為在每個頻道聽取Beacon的方法。
例如架構模式下由AP送出的Beacon,或Ad-hoc模式下Client所輪流送出的Beacon。
然後比較各個Beacon。
找出欲加入(Joining)之SSID值。
之後則啟動驗證與結合動作。
如圖10.6所示。
若有多台的SSID相同,則選取信號最強以及封包錯誤率最低的AP。
11/10/202211/10/2022主動式掃描(ActiveScanning)主動式掃描為由Client發出一個Probe要求,當Client要做主動式掃描時會發出此要求到網路上。
這個要求會包含一個SSID、或是廣播型SSID。
假如是單一SSID的Probe,則SSID相同的AP會回應。
如Probe中的SSID屬於廣播型,則所有的AP都會回應,如圖10.7。
發出Probe的目的是找尋WLAN。
一旦發現適當的AP,此Client可開始作驗證與結合動作。
11/10/202211/10/2022加入(Joining)Joining發生於Client內部。
為由Scanning所得到之多個Beacon或ProbeResponse的資訊之中,所表示的多個架構模式或Ad-Hoc模式之各個WLAN中,Client考慮應加入到哪一個WLAN的內部動作。
802.11並未規定考慮點的優先順序,而放手讓廠商自行定義。
故有的廠商以信號好壞作標準,有的以Client之多個SSID的順序作首要考慮點。
11/10/2022驗證與結合WLAN的連接包括兩個步驟,第一步驟為驗證,第二步驟為結合。
如當Client與AP完成連線,則表示他完成了驗證與結合兩個動作。
注意此處的結合是指第2層(MAC)的結合(非IP或Netbios層,故網路芳鄰看不到),而驗證只與PC卡有關(因WEPKey或SSID等設定只與網卡有關),而非使用者。
這個觀念在WLAN的安全、除錯上都很重要。
11/10/2022驗證驗證是與WLAN相連的第一個動作。
架構模式的AP或Ad-hocClient用來驗證Client網卡的動作。
換句話說,是AP回應Client之連線請求所做的驗證動作。
有時這動作是虛的,亦即Client不需身分證明即能完成驗證。
此虛驗證(OpenAuthentication)為一般AP與網卡出廠的預設狀態。
架構模式下,由Client送出一個驗證請求到AP而開始驗證程序。
驗證流程可發生在AP,或AP會將驗證請求再傳送到上游之驗證主機。
例如RADIUS,RADIUS會依照程序透過AP而驗證Client,最後透過AP告訴Client驗證是否成功完成。
11/10/2022結合一旦Client驗證成功,Client則開始與AP做結合。
若結合成功,則Client可以與AP傳送及接收資料。
假如你的網卡與AP結合成功,表示你與AP成功連線。
結合之流程如下。
Client先送驗證要求給AP。
AP開始作驗證,當驗證完成,Client送出結合要求給AP,AP回答可以或不可以結合。
11/10/2022驗證與結合狀態11/10/2022未驗證且未結合在此初始狀態,節點與網路完全不相關,且無法與AP溝通。
AP保有一個名單稱為結合名單,每家廠商在此名單中分別以不同名稱表示各狀態。
一般以未驗證表示未驗證且未結合的Client,或是驗證失敗的Client。
圖10.9為某AP的AssociationTable,顯示有一張網卡已與AP結合11/10/2022已驗證但未結合在此第二種狀態,Client已通過了驗證程序,但尚未與AP做結合。
此時Client尚未被允許對AP傳送或接收資料。
AP的結合名單一般顯示已驗證。
因為Client已通過驗證階段,而且可能在千分之幾秒之內就可能結合成功。
故通常見不到這種狀態。
你常見的是第一種未驗證與第三種已結合。
11/10/2022已驗證且已結合在此最後階段,Client與AP完全連線成功,且能與AP傳送與接收資料。
下圖顯示Client與AP的結合。
一般在AP的結合名單中,此狀態被稱為已結合。
表示此Client已完全與網路結合。
由前述,你應已了解先進的WLAN安全系統應在驗證時就應介入。
11/10/202211/10/2022驗證方式OpenSystem驗證方式OpenSystem驗證方式屬於虛驗證。
為8021.11的預設驗證方式。
若Client設定為使用這種驗證方式,它能與SSID相同且亦設為此種驗證方式的AP完成驗證。
AP與Client的SSID必須相同才能完成驗證流程。
SSID的安全考慮點於第十二章將詳細說明。
OpenSystem驗證方式能在不安全或安全的兩種環境中被有效的使用。
11/10/2022OpenSystem驗證流程OpenSystem驗證流程如下:
(1)Client送出結合要求給AP、
(2)AP驗證此Client並答應可以結合。
如圖10.11所示。
OpenSystem驗證流程很簡單。
作為WLAN管理者,你可選擇用WEP加密配合OpenSystem驗證(表示虛驗證完成之後,資料互傳仍需加密)。
假如使用WEP配合OpenSystem驗證,在做驗證時,不會檢查彼此的WEPKey是否正確而只是用在結合之後之互傳資料的加密動作。
11/10/202211/10/2022SharedKey驗證方式SharedKey驗證方式需要使用到WEP。
WEP加密用的Key必須在AP與Client端都相同。
SharedKey驗證以兩種方式使用到WEPKey。
11/10/2022SharedKey驗證流程SharedKey的驗證流程之步驟如下:
1.Client要求與AP結合:
此步驟與OpenSystem驗證的第一步相同。
2.AP送出一個Challenge給Client:
為一串純文字。
3.Client對這個Challenge作回應:
它必須使用WEPKey對該純文字加密,而再送還給AP。
4.AP對Client回應:
AP使用WEPKey對Client送來的加密文字做解密,經由此動作,AP可以知道Client是否有正確的Key。
若正確,AP會讓Client通過驗證。
若不正確,AP不會讓Client通過驗證,而讓Client留在未驗證且未結合狀態。
整個流程如圖10.12。
11/10/202211/10/2022驗證之安全性SharedKey驗證並不是安全的驗證方式,因為AP將純文字直接送出,而Client則將加密過的文字送出。
此情況讓駭客使用一台Sniffer清晰看到未加密與加密過的封包。
有了這兩種資訊,駭客可用簡單的破解程式來取得WEPKey。
一旦有了Key,駭客則可以對所有封包即時解密。
故OpenSystem驗證較SharedKey驗證安全。
如圖10.13中,在UseofDataEncryption選單中點選FullEncryption,而在AcceptAuthentication中勾選Open,即表示如此設定。
採用OpenSystem驗證,但資料之互傳則使用WEP加密。
11/10/202211/10/2022互享的機密與證明文件互享的機密為一串文數字,常被稱為WEPKey。
證明文件(Certificate)為證明使用者的另一種方法,亦可用於無線網路,好比WEPKey。
證明文件(亦為驗證用之文件)需先置放於Client端。
當使用者欲與無線網路驗證時,Client已經有了驗證用之文件。
兩種驗證傳統上都是以人工方式完成,但市面已有專門主機能自動對許多設備更新WEPKey或證明文件。
圖10.14為AP之中,設定WEPKey之實例。
例如AP以第三個Key作Transmit,而Clie
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 协议