欢迎来到冰点文库! | 帮助中心 分享价值,成长自我!
冰点文库

热门搜索:

上传文档
冰点文库
上传文档 加入VIP,免费下载
全部分类
  • 临时分类>
  • IT计算机>
  • 经管营销>
  • 医药卫生>
  • 自然科学>
  • 农林牧渔>
  • 人文社科>
  • 工程科技>
  • PPT模板>
  • 求职职场>
  • 解决方案>
  • 总结汇报>
  • 首页
  • 专题
  • 公告
  • 加入VIP,免费下载
    • ImageVerifierCode 换一换
    首页 冰点文库 > 资源分类 > PPT文档下载
    分享到微信 分享到微博 分享到QQ空间

    chap3WLAN快速切换安全方案.ppt

    • 资源ID:18852600       资源大小:476.50KB        全文页数:30页
    • 资源格式: PPT        下载积分:10金币
    快捷下载 游客一键下载
    账号登录下载
    微信登录下载
    三方登录下载: 微信开放平台登录 QQ登录
    二维码
    微信扫一扫登录
    下载资源需要10金币
    邮箱/手机:
    温馨提示:
    快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。
    如填写123,账号就是123,密码也是123。
    支付方式: 支付宝    微信支付   
    验证码:   换一换

    加入VIP,免费下载
     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    1、下载资料失败解决办法   
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。

    chap3WLAN快速切换安全方案.ppt

    1、1,第三章 快速切换安全协议802.11 R,2,前言,使用無線電話技術的移動用戶必須能夠從一個AP迅速斷開連接,並重新連接到另一個AP。這個切換過程中的延遲時間不應該超過50毫秒,因為這是人耳能夠感覺到的時間間隔。目前802.11網路在漫遊時的平均延遲是幾百毫秒,這直接導致傳輸過程中的斷續,造成連接丟失和語音品質下降。,3,前言,在一個新的接入點上,只有經過切換以後移動設備才可得知是否能獲得足夠的QoS資源,這樣就不可能事先瞭解切換會否帶來滿意的應用性能。,4,解決方案,Client可以停留在現有通道,並使用當前的接入點與其他備選接入點通訊。這使Client資料流程中斷的可能性降到最小,但客

    2、戶無法探測到通過無線電與其他接入點通訊能力的任何細節。Client也可以直接切換到另一個接入點的通道,這使客戶機可以確定通過無線電與其他接入點通訊的品質,但會造成與當前接入點通訊過程中的一定程度間斷。,5,802.11 r 概述,802.11r改善了移動的用戶端設備在AP之間移動時的切換過程。協議允許一個無線AP在實現切換之前,就建立起與新AP之間安全且具備QoS的狀態。Client可以將現有的接入點作為通向其他接入點的管道,使由於通道改變所引起的通訊中斷最小化。,6,802.11 r 架構示意圖,7,研究與討論,一些專家認為來自802.11i和802.11k工作的技術將保證50ms範圍內的切

    3、換,足以使802.11r變得多餘。來自802.11k的協議主要可被移動站用於發現在失去連接前應當向哪里移動。來自802.11i的PMK緩存技術加快安全連接的速度(20ms30ms)。這些協議可能實現WLAN連接在AP之間的快速、安全、無縫的切換。,8,802.11 r:Fast BSS Transition,9,Limitation of Fast BSS Transition,Applies only to the STAAccess Point(AP)connection state.Within the same Extended Service Set(ESS),and will No

    4、t apply to the Independent Basic Service Set(IBSS),10,Definition,pairwise master key(PMK):The PMK may be derived from an Extensible Authentication Protocol(EAP)method or may be obtained directly from a pre-shared key(PSK).pairwise transient key(PTK):A value that is derived form the pairwise master k

    5、ey(PMK),11,Definition(cont.),Fast Transition Information Element(FTIE):An Information Element for enabling fast transitions between APs,which carries resource reservation and security policy information.Transition Enabled Access Point(TAP):Fast BSS Transition Enabled Access Point.Transition Enabled

    6、Station(TSTA):The non-AP station capable of executing the fast BSS transition procedures,as defined in this standard.,12,Definition(cont.),Mobility Domain:A set of BSSs,within the same ESS,identified by a Mobility Domain Identifier that provide the following assurances to the STA:(1)Fast transition

    7、is possible between any two BSSs using either“over the DS”or“over the air”procedures.(2)Common key infrastructure is accessible at all BSSs.(3)APs in the same mobility domain advertise the same Mobility Domain Identifier.,13,Fast BSS Transition stages,scanning,802.11 authentication,re-association,PT

    8、K derivation-four-way handshake,QoS admission control,14,State description,There are three state transitions involved when a STA transitions from its current AP to a new AP:Discovery:the station locates and decides to which AP it will transition.Resource establishment:the station may establish that

    9、the new AP will provide connection resources it needs to maintain active sessions.Transition:the station abandons the current AP and establishes a connection with a new AP.,15,Fast BSS Transitions,1)Base Fast BSS Transition:This mechanism is executed when a TSTA needs to transition to a target TAP a

    10、nd does Not require a reservation prior to its transition.即在重关联阶段进行资源的分配和其他所需信息的交互。这种方式适用于AP工作在轻载状态,并且通过Beacon/Probe响应消息获得目标AP的资源状况的场合。在支持IEEE 802.11e的QoS网络中,AP通过Beacon/Probe响应消息中的QBSSIE(信息元素)进行能力告知。QBSSIE包括3个字段,分别是已经关联的STA数、BSS信道使用情况和允许的接入能力。,16,2)Pre-reservation Fast BSS Transition:This mechanism

    11、is executed when a TSTA needs assurances that the required security and QoS resources be available prior to a transition.预先保留资源方式(Pre-ReservationMechanism),指在重关联阶段之前预先进行资源确认和分配。这种机制适用于DS架构变化缓慢或者希望通过明确的资源保留来确保的业务QoS的场合。,17,18,(1)STA暂时断开当前的无线信道,通过其它的无线信道与目标AP2进行通信;(2)STA通过当前的AP1转发STA的资源请求与目标AP2进行通信。无论

    12、哪种方式,STA和目标AP之间都是通过RRSAP(Resource Request Service Access Point)模块进行资源配置。,19,20,802.11r安全问题,IEEE 802.11r快速切换认证请求帧和快速切换认证响应帧中,缺少对随机数的认证,因此面临比IEEE 802.11i更为严重的DOS攻击。(1)第一类DOS攻击 攻击者可以向AP发送大量快速切换认证请求帧,AP接收到快速切换认证请求帧后,需要进行以下后继操作,包括:产生及发送Anoce,预计算PTK以及保持一个连接状态等,有可能会使其内存及计算资源耗尽。产生原因:快速切换认证请求帧中的随机数没有经过认证就发送,

    13、而AP必须接收该消息并进行相应处理。解决办法:在快速切换认证请求帧中加入MAC值校验,MAC的密钥可以取为PMKR1和某一单调增加值的运算式。,25,802.11r安全问题,(2)第二类DOS攻击 STA向AP发送快速切换认证请求帧,AP响应一条快速切换认证响应帧,其中包含 nonce A,同时计算PTK。此时攻击者可以假冒STA向AP另发送一条快速切换认证请求帧,AP接收到此消息后,重新发送快速切换认证响应帧,包含 nonce A,并重新计算 PTK 从而导致STA与AP计算的PTK不匹配,致使STA发送的IEEE 802.11认证确认帧无法通过验证,从而使STA无法接入网络。产生原因:快速

    14、切换认证请求帧没有经过认证就发送,而AP必须接收并进行相应处理。解决办法:在快速切换认证请求帧中加入MAC值校验,MAC的密钥可以取为PMKR1和某一单调增加值的运算式。,26,802.11r安全问题,(3)第三类DOS攻击 STA发送快速切换认证请求帧,其中包含 nonce S;攻击者假冒AP发送一条篡改的快速切换认证响应帧,其中包含 nonce A,导致STA和AP计算的PTA不匹配,IEEE 802.11认证确认帧无法通过验证,使STA无法接入网络。产生原因:快速切换认证响应帧中的随机数没有经过认证就发送,而STA必须接收并进行相应处理。解决办法:AP应该在快速切换认证响应帧中加入MAC值校验,该MAC的密钥可以取为预计算的PTK。,27,改进认证方案:1 基于 MIC认证解决方案,通过在切换请求消息和切换响应消息中加入MIC(Message Integrity Code)值进行校验,可以有效解决上述安全问题。(1)在快速切换认证请求帧中加入 M IC值校验,M IC 的密钥可以取为 PMK和某一单调增加值的运算式,克服第一类和第二类 DOS攻击;(2)AP在快速切换认证响应帧中加入及 M I C 值校验,该 M IC的密钥可以取为预计算的 PTK,解决第三类 DOS攻击。,28,29,30,Thank you,


    注意事项

    本文(chap3WLAN快速切换安全方案.ppt)为本站会员主动上传,冰点文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰点文库(点击联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    copyright@ 2008-2023 冰点文库 网站版权所有

    经营许可证编号:鄂ICP备19020893号-2


    收起
    在线客服
    意见反馈
    返回顶部
    展开
    QQ交谈
    返回顶部