当前课程知识点:网络安全概述 > 第五章 无线网络安全 > 第二节 802.11i改进机制 > Video
那之后就是802.11i这个版本
我们对它的这个安全性能
进行了相应的这个安全机制的改进啊
在802.11i里面
我们实际上是提供了多种的
更好的这个编码加密算法
那对密钥的传播
也提供了更加巧妙的安全方法
并且我们使用独立于access point的认证机构
这个呢我们可以在下面这一页slide可以看到啊
这个802.11i它其实是有四段操作过程
首先我们在这个图里面可以看得到
我们有三个
三个entity
就是三个这个网络设备
一个呢是这个laptop
这个无线网络这个client station STA
然后中间这块呢 是这个access point 这个AP
Ap呢 通过这个有线网
连接一个authentication server
就是一个AS
这个AS有可能在这个internet中的任何地方
好 那我们有这三方啊
我们怎么样去建立一个
这个比较secure的channel
就是比较安全的这个通信管道
首先当这个client station来到这个无线网以后
这client station它做什么呢
这STA它就会需要呢
向这个access point发request
要discover这个security capacities
就是capabilities
就是看你这个有可能有什么样的
安全的服务可以提供给我
那access point看到了
这个station的这个请求以后呢
它呢就会让这个station和这个AS
这个authentication server之间直接通话
而这个access point它本身
就相当于是一个桥梁作用
它自己在这个过程不做任何事情
那就是station
和authentication server之间呢
它们可以就是直接通话
去互换一个master key 一个MK
然后呢 这个MK呢 就非常有用了
在这个MK从这个station和AS之间
商量好了以后啊
就是station知道了这个a master key
而这个authentication server
也知道了这个master key
那么这个station
和这个authentication server
就可以各自独立的
通过这个master key就可以衍生其他密钥
那station就可以derive
这个pairwise master key PMK
新的这样一个密钥
这个pairwise master key
是非常重要的一个就像根密钥一样
这根密钥还会再衍生其他的这个子密钥
那这个AS呢 authentication server呢
就会derive
就是它实际上也会衍生出来同样的PMK
就是这个pairwise master key
而这个时候呢
这个authentication server
会把这个PMK发给access point
那到这个时候实际上
这个PMK的生成不是由AP
不是由access point而生成的
而是由一个外置的
Authentication server来生成
这样的这个过程就公平了很多
而且也可能是更加可靠的
因为有可能AP它本身是坏掉的
是一个haker性质的这样一个设备
那我们有这个外部的
Authentication server来做辅助的话
整个这个框架就会安全很多
那到此时为止呢
就是这个得到结果呢
就是说这个client的
这个station和access point
终于他们两个人
有一个共同的secret了
那这个共同的secret是什么呢
就这个PMK
那通过用这个PMK做输入
然后呢 通过一系列的算法
这个station和AP之间
它们就可以各自独立的
去衍生出一系列的密钥来
然后呢这些一系列的密钥
可以应用在相应的算法里面
进行加密解密
进行authentication的这种verification
还可以进行这个
信息的完整性的认证等等等等
我们再讲一下
还有一种这个拓展的认证协议
这个EAP啊
这个extensible authentication protocol
这个EAP呢 也是被用在这个802.11里面
那EAP 它是终端用户设备
这个mobile到这个认证服务器的协议
就是这个mobile device laptop
到这个认证服务器之间的协议
我们可以看得到在这个mobile-device
和这个认证服务器之间
实际上是建立了一个EAP的TLS
Transport layer security protocol
通过这个比较安全的
这样一个管道来互换信息
这个extensible authentication protocol
它最重要的是说
第一步我先来建立这个TLS这个管道
然后通过这个TLS管道呢
后面的信息都可以是安全的去进行传输了
那后面就是说
要传输的信息就是EAP的信息了
EAP的信息在这个两个链接中进行转发
Mobile to AP
就是mobile和access point之间进行转发
另外一边呢
这个是access point
到authentication server之间
是通过一个叫做
Radius over UDP
这样一个connection进行转发
这个是大概的这个EAP的概念
所以呢 到目前为止呢
我们就是简单的介绍了一下
无线网络安全就是从它最开始的
这个WEP它有的这个设计什么样的
那无线网络我们知道
就是说它的这个传输的过程啊
是更加不安全的这样一个媒介
因为它是shared media
就是说它实际上是一个共享一个媒介
所有在这个无线网络中存在的用户
都有可能截听到或者监听到
这个无线网络中传输的这些数据包
当然 就是想当然啊
我们必须要对无线网络中
不管发生了什么都要进行加密处理的
这个是非常重要的
WEP呢 我们虽然这个介绍了它
并且也说了
它实际上已经被证明是一个failure
是一个失败的一个协议
但是呢 我们还是需要知道它
因为WEP是最早的无线网络
这个wifi的这个空间上面的
一个加密的这样一个算法
我们要知道它是如何不工作的
也就是说如何失败的
从而呢 我们可以通过这个失败的
这个教训去学习怎么样设计更好的算法
来这个
就是improve整个这个操作环境变得更加安全
那无线网络我就简单的说到这里
希望我们后面应该是有后续课程
因为无线网络本身它所触及的
各个层面的技术非常广泛
所以它还是想自己
它可以自成体系做一门课的
如果要是大家有兴趣的话
我真的是非常建议大家
有机会 有兴趣的话
去选一门这个无线网络安全的课
甚至说无线网络本身
它的这个技术上面是什么样的
这样一门课
这样的学习是非常有帮助的
就像我刚刚讲过的
现在大部分的这个因特网
Internet的这个data traffic
实际上都是通过无线网络生成的了
所以同学们还是在这一点上
应该做
就是更多的更深入的学习和探讨
-第一节 电子邮件e-mail的安全
--Video
-第二节 计算机网络的服务
--Video
-第三节 网络协议的分层结构
--Video
-第四节 网络数据包的传输过程
--Video
-第五节 实例演绎计算机网络通讯工程
--Video
-第一节 计算机网络为什么不安全
--Video
-第二节 网络安全技术需要提供的服务
--Video
-第三节 网络安全讨论的情景设置
--Video
-第四节 黑客有可能有哪些攻击网络安全的手段
--Video
-第五节 网络中的恶意软件
--Video
-第一节 编码解码学的基本概念
--Video
-第二节 攻击编码解码技术的方法
--Video
-第三节 共享密钥加密法
--Video
-第四节 公共密钥加密法
--Video
-第五节 鉴别认证
--Video
-第六节 信息完整性
--Video
-第一节 电子邮件E-mail的安全
--Video
-第二节 传输协议(TCP)的安全:隐秘套接字协议(SSL)
--Video
-第三节 网络层安全:IPSec
--Video
-第一节 WEP的设计和问题
--Video
-第二节 802.11i改进机制
--Video
-第一节 防火墙概念及目的
--Video
-第二节 三种防火墙
--Video
-第三节 IDS(Intrusion Detection Systems)介绍
--Video