无线网络安全.pptVIP

无线网络安全

;偷窥的眼睛就在我们身边;;“加密”;重点;一、无线网络;1、无线网络的兴起;2、无线网络分类;2.1从无线网络覆盖范围看;无线个域网(WirelessPersonalAreaNetwork，WPAN);无线个域网（WPAN）

;无线局域网;802.11WLAN

;Adhoc网络;应用;无线城域/广域网络;无线城域网（WMAN）

;2.2从无线网络的应用角度看;无线传感器网络;无线传感器网络典型应用场景;无线Mesh网络;无线穿戴网络;物联网;车载网;3无线局域网（Wirelesslocal－areanetwork，WLAN）;优点;适用范围：;无线局域网标准的演进;1.802.11网络的两个基本构件;2.802.11网络的两种组网模式;Ad-Hoc（点对点）模式－对等网;Infrastructure模式－基础模式;基础模式工作原理;3.802.11体系结构;工作原理：在PLCP子层，将来自MAC子层的数据作为PLCP的服务数据单元（PSDU），加上PLCP的前导码（同步信号或帧起始信号）和PLCP帧头组成PLCP的协议数据单元（PPDU），送交给PMD子层。

PMD子层将PLCP的数据调制后经天线发射出去。

注意：PLCP的帧数据单元与PMD子层采用的媒体传送方式有关。不同的PMD子层，所对应的PLCP也不同;MAC子层提供服务：

访问控制

标准定义了两种访问方式：

1、分布式协调功能DCF,站点之间通信基于竞争协议CSMA/CA（载波侦听多路访问／冲突避免）

2、点协调功能PCF，是一种集中控制方式，站点之间的通信基于轮询的方式，一种无竞争的方式

关联

认证与加密

帧的分段与重装

无线信道易受干扰，小帧长有利于提供传输的成功率

分段功能是802.11的一个可选项;IEEE802.11中的3种MAC帧;管理帧;;;;二、无线网络安全

;2.1早期的无线网络安全;1、无线网卡物理地址（MAC）过滤：

其工作原理：限制接入终端的MAC地址，以确保只有经过注册的设备才可以接入无线网络。

由于每一块无线网卡拥有唯一的MAC地址，该物理地址编码方式类似于以太网物理地址，是48位的。网络管理员可在无线局域网访问点AP中手工维护一组允许访问或不允许访问的“MAC地址控制表”（AccessControl），只有在表中列出的MAC才是合法可以连接的无线网卡，否则将会被拒绝连接。;MAC地址控制可以有效地防止未经过授权的用户侵入无线网络。媒体访问控制只适合???小型网络规模。-为什么？

不安全的。原因：

MAC地址在网上是明码模式传送，只要监听网络便可从中截取或盗用该MAC地址，进而伪装使用者潜入企业或组织内部偷取机密资料。

部分无线网卡允许通过软件来更改其MAC地址，可通过编程将想用的地址写入网卡就可以冒充这个合法的MAC地址，因此可通过访问控制的检查而获取访问受保护网络的权限。

媒体访问控制属于硬件认证

，而不是用户认证。;2、服务区标识符(SSID)匹配

在每个AP内都会设置唯一的网络SSID，每当无线终端设备要连接AP时，AP会检查其SSID是否与自己的服务区域认证ID一致。只有当AP和无线终端的SSID相匹配时，AP才接受无线终端的访问并提供网络服务；如果不匹配，访问点就拒绝给予服务。

SSID是一个简单的口令，从而提供口令认证机制，实现一定的安全。

不安全：SSID是一个简单的口令，并不提供任何数据机密功能，也不提供终端到无线接入点的认证。

使用网络分析工具（如Sniffer）很容易就可以获得SSID。;实现以下三个方面的目标：

网络访问控制（AccessControl），防止他人在没有被授权的情况下访问网络。

数据传输的私密性（Confidentiality），防止他人截获密文之后破译出明文。

数据传输的完整性（DataIntegrity），防止他人更改网络上传输的数据而不被发现。;安全方案;开放系统认证（OpenSystemAnthentication）;共享密钥认证（SharedKeyAuthentication）;安全的;发起认证的STA同样首先发送一个管理帧表明自己身份并提出认证请求，该管理帧的认证处理序列号字段值为“1”。

AP作出响应，响应帧的认证处理序列号字段值为“2”，同时该帧中还包含一个由WEP算法产生的随机挑战信息（challengetext）

STA对随机挑战信息用共享密钥进行加密后发回给AP，这一步中，认证处理序列号字段值为“3”。

AP对STA的加密结果进行解密，并返回认证结果，认证处理序列号字段值为“4”。

在这一步中，如果解密后的challengetext与第二步发送的原challengetext相匹配，