Video在线视频

那之后就是802.11i这个版本

我们对它的这个安全性能

进行了相应的这个安全机制的改进啊

在802.11i里面

我们实际上是提供了多种的

更好的这个编码加密算法

那对密钥的传播

也提供了更加巧妙的安全方法

并且我们使用独立于access point的认证机构

这个呢我们可以在下面这一页slide可以看到啊

这个802.11i它其实是有四段操作过程

首先我们在这个图里面可以看得到

我们有三个

三个entity

就是三个这个网络设备

一个呢是这个laptop

这个无线网络这个client station STA

然后中间这块呢 是这个access point 这个AP

Ap呢 通过这个有线网

连接一个authentication server

就是一个AS

这个AS有可能在这个internet中的任何地方

好 那我们有这三方啊

我们怎么样去建立一个

这个比较secure的channel

就是比较安全的这个通信管道

首先当这个client station来到这个无线网以后

这client station它做什么呢

这STA它就会需要呢

向这个access point发request

要discover这个security capacities

就是capabilities

就是看你这个有可能有什么样的

安全的服务可以提供给我

那access point看到了

这个station的这个请求以后呢

它呢就会让这个station和这个AS

这个authentication server之间直接通话

而这个access point它本身

就相当于是一个桥梁作用

它自己在这个过程不做任何事情

那就是station

和authentication server之间呢

它们可以就是直接通话

去互换一个master key 一个MK

然后呢 这个MK呢 就非常有用了

在这个MK从这个station和AS之间

商量好了以后啊

就是station知道了这个a master key

而这个authentication server

也知道了这个master key

那么这个station

和这个authentication server

就可以各自独立的

通过这个master key就可以衍生其他密钥

那station就可以derive

这个pairwise master key PMK

新的这样一个密钥

这个pairwise master key

是非常重要的一个就像根密钥一样

这根密钥还会再衍生其他的这个子密钥

那这个AS呢 authentication server呢

就会derive

就是它实际上也会衍生出来同样的PMK

就是这个pairwise master key

而这个时候呢

这个authentication server

会把这个PMK发给access point

那到这个时候实际上

这个PMK的生成不是由AP

不是由access point而生成的

而是由一个外置的

Authentication server来生成

这样的这个过程就公平了很多

而且也可能是更加可靠的

因为有可能AP它本身是坏掉的

是一个haker性质的这样一个设备

那我们有这个外部的

Authentication server来做辅助的话

整个这个框架就会安全很多

那到此时为止呢

就是这个得到结果呢

就是说这个client的

这个station和access point

终于他们两个人

有一个共同的secret了

那这个共同的secret是什么呢

就这个PMK

那通过用这个PMK做输入

然后呢 通过一系列的算法

这个station和AP之间

它们就可以各自独立的

去衍生出一系列的密钥来

然后呢这些一系列的密钥

可以应用在相应的算法里面

进行加密解密

进行authentication的这种verification

还可以进行这个

信息的完整性的认证等等等等

我们再讲一下

还有一种这个拓展的认证协议

这个EAP啊

这个extensible authentication protocol

这个EAP呢 也是被用在这个802.11里面

那EAP 它是终端用户设备

这个mobile到这个认证服务器的协议

就是这个mobile device laptop

到这个认证服务器之间的协议

我们可以看得到在这个mobile-device

和这个认证服务器之间

实际上是建立了一个EAP的TLS

Transport layer security protocol

通过这个比较安全的

这样一个管道来互换信息

这个extensible authentication protocol

它最重要的是说

第一步我先来建立这个TLS这个管道

然后通过这个TLS管道呢

后面的信息都可以是安全的去进行传输了

那后面就是说

要传输的信息就是EAP的信息了

EAP的信息在这个两个链接中进行转发

Mobile to AP

就是mobile和access point之间进行转发

另外一边呢

这个是access point

到authentication server之间

是通过一个叫做

Radius over UDP

这样一个connection进行转发

这个是大概的这个EAP的概念

所以呢 到目前为止呢

我们就是简单的介绍了一下

无线网络安全就是从它最开始的

这个WEP它有的这个设计什么样的

那无线网络我们知道

就是说它的这个传输的过程啊

是更加不安全的这样一个媒介

因为它是shared media

就是说它实际上是一个共享一个媒介

所有在这个无线网络中存在的用户

都有可能截听到或者监听到

这个无线网络中传输的这些数据包

当然 就是想当然啊

我们必须要对无线网络中

不管发生了什么都要进行加密处理的

这个是非常重要的

WEP呢 我们虽然这个介绍了它

并且也说了

它实际上已经被证明是一个failure

是一个失败的一个协议

但是呢 我们还是需要知道它

因为WEP是最早的无线网络

这个wifi的这个空间上面的

一个加密的这样一个算法

我们要知道它是如何不工作的

也就是说如何失败的

从而呢 我们可以通过这个失败的

这个教训去学习怎么样设计更好的算法

来这个

就是improve整个这个操作环境变得更加安全

那无线网络我就简单的说到这里

希望我们后面应该是有后续课程

因为无线网络本身它所触及的

各个层面的技术非常广泛

所以它还是想自己

它可以自成体系做一门课的

如果要是大家有兴趣的话

我真的是非常建议大家

有机会 有兴趣的话

去选一门这个无线网络安全的课

甚至说无线网络本身

它的这个技术上面是什么样的

这样一门课

这样的学习是非常有帮助的

就像我刚刚讲过的

现在大部分的这个因特网

Internet的这个data traffic

实际上都是通过无线网络生成的了

所以同学们还是在这一点上

应该做

就是更多的更深入的学习和探讨