[WLAN接入流程和MAC帧格式.pptxVIP

WLAN接入流程和MAC帧格式 内容提纲  1 接入与认证服务2 MAC层概述3 MAC帧结构 3.1 MAC帧主体框架结构 3.2 MAC管理帧 3.3 MAC控制帧 3.4 MAC数据帧 1 接入与认证服务 1.1 加入网络 工作站的电源被打开之后，它在验证和连接到合适的AP之前，首先会检测有无现成的AP可供加入。工作站通过被动或主动扫描方式完成上述的搜索过程。加入一个BSS或ESS之后，工作站从访问点AP接收服务组标识符（SSID：Service Set Identifier）、时间同步函数（TSF：Timer Synchronization Function）、计时器的值和物理（PHY）安装参数。 在被动扫描模式下，工作站对每一个信道都进行一段时间的监听，具体时间的长短由ChannelTime参数确定。该工作站只寻找具有本站希望加入的SSID的信标帧，搜索到这个信标后，继而便分别通过验证和连接过程建立连接。 在主动扫描方式下，工作站发送包含有该站希望加入的SSID信息的探询（Proble）帧，然后开始等待探询响应帧，探询响应帧将标识所需网络的存在。 1 接入与认证服务 1.2 认证与保密服务 802.11标准提供两种认证服务，增强了802.11网络的安全性能： ●开放系统认证（Open System Authentication）：默认的认证服务。 仅仅宣布与其他站和AP的连接请求。 ●共享密匙认证（Shared Key Authentication）：包含更加严格的帧交换，以确定响应工作站是可信的。 一． 开放系统认证 无需对发送工作站进行身份认证。 二． 共享密匙认证 与开放系统方式相比，共享密匙认证方式提供更高的安全级别。采用共享密匙认证的工作站必须执行WEP。共享密匙以只读形式存放在工作站的MIB中，只有MAC机制才能访问。其过程如下： ●  请求工作站向另一个工作站发送请求认证帧。 ●  当一个站收到开始请求认证帧后，它会返回一个认证帧，该认证帧包含WEP服务生成的128字节的质询文本。 ●  请求工作站将质询文本复制到一个认证帧中，用共享密匙加密，然后再把帧发往响应工作站。 接收站利用相同的密匙对质询文本进行解密，将其和早先发送的质询文本进行比较。如果相互匹配，响应工作站返回表示认证成功的认证帧；如不匹配，返回失败认证帧。 802.11支持两种基本的认证方式 Open-system Authentication 等同于不需要认证，没有任何安全防护能力 通过其他方式来保证用户接入网络的安全性，例如Address filter、用户报文中的SSID Shared－Key Authentication 采用WEP加密算法 Attacker可以通过监听AP发送的明文Challenge text和STA回复的密文Challenge text计算出WEP KEY STA和AP均可通过Deauthentication来终结认证关系 802.11 ----接入认证 STA AP Authentication request Authentication Response (success) STA AP Authentication request Plain text challenge Cipher text challenge Authentication Response (success) 预置Key 用Key 加密明文 密文解密 和明文比较 预置Key 802.1x认证过程 STA AP Open-system Authentication Association EAPOL start EAPOL-Request/User Identity EAPOL-Response/User Identity 服务器证书/公钥 STA证书/用公钥加密的Master key 认证成功 4次握手Key协商 加密数据报文 Radius Server User Identity 服务器证书/公钥 STA证书/用公钥加密的Master key 认证成功/PMK 验证服务器证书 用公钥加密 Master Key 生成PMK 验证STA证书 用私钥解密 Master Key 生成PMK PMK一致性检查 生成其他Key PMK一致性检查 生成其他Key 计费请求 计费开始 WAPI认证流程 STA AP ASU 证书鉴别请求 证书鉴别响应 接入鉴别请求 接入鉴别响应 单播密钥协商请求 单播密钥协商响应 单播密钥协商确认 组播密钥通告 组播密钥响应 接入鉴别激活 STA：无线接入终端（Station） AP ：无线接入点（Access Point） ASU：鉴别服务单元 Authen