收藏
下载资源下载资源 加入VIP,免费下载

chap3WLAN快速切换安全方案.ppt

上传人:wj 文档编号:18852600 上传时间:2024-01-30 格式:PPT 页数:30 大小:476.50KB
下载 相关 举报
chap3WLAN快速切换安全方案.ppt_第1页
第1页 / 共30页
chap3WLAN快速切换安全方案.ppt_第2页
第2页 / 共30页
chap3WLAN快速切换安全方案.ppt_第3页
第3页 / 共30页
chap3WLAN快速切换安全方案.ppt_第4页
第4页 / 共30页
chap3WLAN快速切换安全方案.ppt_第5页
第5页 / 共30页
chap3WLAN快速切换安全方案.ppt_第6页
第6页 / 共30页
chap3WLAN快速切换安全方案.ppt_第7页
第7页 / 共30页
chap3WLAN快速切换安全方案.ppt_第8页
第8页 / 共30页
chap3WLAN快速切换安全方案.ppt_第9页
第9页 / 共30页
chap3WLAN快速切换安全方案.ppt_第10页
第10页 / 共30页
chap3WLAN快速切换安全方案.ppt_第11页
第11页 / 共30页
chap3WLAN快速切换安全方案.ppt_第12页
第12页 / 共30页
chap3WLAN快速切换安全方案.ppt_第13页
第13页 / 共30页
chap3WLAN快速切换安全方案.ppt_第14页
第14页 / 共30页
chap3WLAN快速切换安全方案.ppt_第15页
第15页 / 共30页
chap3WLAN快速切换安全方案.ppt_第16页
第16页 / 共30页
chap3WLAN快速切换安全方案.ppt_第17页
第17页 / 共30页
chap3WLAN快速切换安全方案.ppt_第18页
第18页 / 共30页
chap3WLAN快速切换安全方案.ppt_第19页
第19页 / 共30页
chap3WLAN快速切换安全方案.ppt_第20页
第20页 / 共30页
亲,该文档总共30页,到这儿已超出免费预览范围,如果喜欢就下载吧!
下载资源
资源描述

chap3WLAN快速切换安全方案.ppt

《chap3WLAN快速切换安全方案.ppt》由会员分享,可在线阅读,更多相关《chap3WLAN快速切换安全方案.ppt(30页珍藏版)》请在冰点文库上搜索。

chap3WLAN快速切换安全方案.ppt

1,第三章快速切换安全协议802.11R,2,前言,使用無線電話技術的移動用戶必須能夠從一個AP迅速斷開連接,並重新連接到另一個AP。

這個切換過程中的延遲時間不應該超過50毫秒,因為這是人耳能夠感覺到的時間間隔。

目前802.11網路在漫遊時的平均延遲是幾百毫秒,這直接導致傳輸過程中的斷續,造成連接丟失和語音品質下降。

3,前言,在一個新的接入點上,只有經過切換以後移動設備才可得知是否能獲得足夠的QoS資源,這樣就不可能事先瞭解切換會否帶來滿意的應用性能。

4,解決方案,Client可以停留在現有通道,並使用當前的接入點與其他備選接入點通訊。

這使Client資料流程中斷的可能性降到最小,但客戶無法探測到通過無線電與其他接入點通訊能力的任何細節。

Client也可以直接切換到另一個接入點的通道,這使客戶機可以確定通過無線電與其他接入點通訊的品質,但會造成與當前接入點通訊過程中的一定程度間斷。

5,802.11r概述,802.11r改善了移動的用戶端設備在AP之間移動時的切換過程。

協議允許一個無線AP在實現切換之前,就建立起與新AP之間安全且具備QoS的狀態。

Client可以將現有的接入點作為通向其他接入點的管道,使由於通道改變所引起的通訊中斷最小化。

6,802.11r架構示意圖,7,研究與討論,一些專家認為來自802.11i和802.11k工作的技術將保證50ms範圍內的切換,足以使802.11r變得多餘。

來自802.11k的協議主要可被移動站用於發現在失去連接前應當向哪里移動。

來自802.11i的PMK緩存技術加快安全連接的速度(20ms30ms)。

這些協議可能實現WLAN連接在AP之間的快速、安全、無縫的切換。

8,802.11r:

FastBSSTransition,9,LimitationofFastBSSTransition,AppliesonlytotheSTAAccessPoint(AP)connectionstate.WithinthesameExtendedServiceSet(ESS),andwillNotapplytotheIndependentBasicServiceSet(IBSS),10,Definition,pairwisemasterkey(PMK):

ThePMKmaybederivedfromanExtensibleAuthenticationProtocol(EAP)methodormaybeobtaineddirectlyfromapre-sharedkey(PSK).pairwisetransientkey(PTK):

Avaluethatisderivedformthepairwisemasterkey(PMK),11,Definition(cont.),FastTransitionInformationElement(FTIE):

AnInformationElementforenablingfasttransitionsbetweenAPs,whichcarriesresourcereservationandsecuritypolicyinformation.TransitionEnabledAccessPoint(TAP):

FastBSSTransitionEnabledAccessPoint.TransitionEnabledStation(TSTA):

Thenon-APstationcapableofexecutingthefastBSStransitionprocedures,asdefinedinthisstandard.,12,Definition(cont.),MobilityDomain:

AsetofBSSs,withinthesameESS,identifiedbyaMobilityDomainIdentifierthatprovidethefollowingassurancestotheSTA:

(1)FasttransitionispossiblebetweenanytwoBSSsusingeither“overtheDS”or“overtheair”procedures.

(2)CommonkeyinfrastructureisaccessibleatallBSSs.(3)APsinthesamemobilitydomainadvertisethesameMobilityDomainIdentifier.,13,FastBSSTransitionstages,scanning,802.11authentication,re-association,PTKderivation-four-wayhandshake,QoSadmissioncontrol,14,Statedescription,TherearethreestatetransitionsinvolvedwhenaSTAtransitionsfromitscurrentAPtoanewAP:

Discovery:

thestationlocatesanddecidestowhichAPitwilltransition.Resourceestablishment:

thestationmayestablishthatthenewAPwillprovideconnectionresourcesitneedstomaintainactivesessions.Transition:

thestationabandonsthecurrentAPandestablishesaconnectionwithanewAP.,15,FastBSSTransitions,1)BaseFastBSSTransition:

ThismechanismisexecutedwhenaTSTAneedstotransitiontoatargetTAPanddoesNotrequireareservationpriortoitstransition.即在重关联阶段进行资源的分配和其他所需信息的交互。

这种方式适用于AP工作在轻载状态,并且通过Beacon/Probe响应消息获得目标AP的资源状况的场合。

在支持IEEE802.11e的QoS网络中,AP通过Beacon/Probe响应消息中的QBSSIE(信息元素)进行能力告知。

QBSSIE包括3个字段,分别是已经关联的STA数、BSS信道使用情况和允许的接入能力。

16,2)Pre-reservationFastBSSTransition:

ThismechanismisexecutedwhenaTSTAneedsassurancesthattherequiredsecurityandQoSresourcesbeavailablepriortoatransition.预先保留资源方式(Pre-ReservationMechanism),指在重关联阶段之前预先进行资源确认和分配。

这种机制适用于DS架构变化缓慢或者希望通过明确的资源保留来确保的业务QoS的场合。

17,18,

(1)STA暂时断开当前的无线信道,通过其它的无线信道与目标AP2进行通信;

(2)STA通过当前的AP1转发STA的资源请求与目标AP2进行通信。

无论哪种方式,STA和目标AP之间都是通过RRSAP(ResourceRequestServiceAccessPoint)模块进行资源配置。

19,20,802.11r安全问题,IEEE802.11r快速切换认证请求帧和快速切换认证响应帧中,缺少对随机数的认证,因此面临比IEEE802.11i更为严重的DOS攻击。

(1)第一类DOS攻击攻击者可以向AP发送大量快速切换认证请求帧,AP接收到快速切换认证请求帧后,需要进行以下后继操作,包括:

产生及发送Anoce,预计算PTK以及保持一个连接状态等,有可能会使其内存及计算资源耗尽。

产生原因:

快速切换认证请求帧中的随机数没有经过认证就发送,而AP必须接收该消息并进行相应处理。

解决办法:

在快速切换认证请求帧中加入MAC值校验,MAC的密钥可以取为PMKR1和某一单调增加值的运算式。

25,802.11r安全问题,

(2)第二类DOS攻击STA向AP发送快速切换认证请求帧,AP响应一条快速切换认证响应帧,其中包含nonceA,同时计算PTK。

此时攻击者可以假冒STA向AP另发送一条快速切换认证请求帧,AP接收到此消息后,重新发送快速切换认证响应帧,包含nonceA,并重新计算PTK从而导致STA与AP计算的PTK不匹配,致使STA发送的IEEE802.11认证确认帧无法通过验证,从而使STA无法接入网络。

产生原因:

快速切换认证请求帧没有经过认证就发送,而AP必须接收并进行相应处理。

解决办法:

在快速切换认证请求帧中加入MAC值校验,MAC的密钥可以取为PMKR1和某一单调增加值的运算式。

26,802.11r安全问题,(3)第三类DOS攻击STA发送快速切换认证请求帧,其中包含nonceS;攻击者假冒AP发送一条篡改的快速切换认证响应帧,其中包含nonceA,导致STA和AP计算的PTA不匹配,IEEE802.11认证确认帧无法通过验证,使STA无法接入网络。

产生原因:

快速切换认证响应帧中的随机数没有经过认证就发送,而STA必须接收并进行相应处理。

解决办法:

AP应该在快速切换认证响应帧中加入MAC值校验,该MAC的密钥可以取为预计算的PTK。

27,改进认证方案:

1基于MIC认证解决方案,通过在切换请求消息和切换响应消息中加入MIC(MessageIntegrityCode)值进行校验,可以有效解决上述安全问题。

(1)在快速切换认证请求帧中加入MIC值校验,MIC的密钥可以取为PMK和某一单调增加值的运算式,克服第一类和第二类DOS攻击;

(2)AP在快速切换认证响应帧中加入及MIC值校验,该MIC的密钥可以取为预计算的PTK,解决第三类DOS攻击。

28,29,30,Thankyou,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 人文社科 > 法律资料

copyright@ 2008-2023 冰点文库 网站版权所有

经营许可证编号:鄂ICP备19020893号-2