初探80211协议之简单认证过程

最新推荐文章于 2024-08-13 13:59:45 发布

小小码农Come on

最新推荐文章于 2024-08-13 13:59:45 发布

阅读量1.5k

点赞数

文章标签：物联网网络

本文链接：https://blog.csdn.net/weixin_45312249/article/details/105737573

版权

简单认证过程：主要分三步走
1）扫描：用于STA发现网络
2）链路认证： STA和AP的认证过程交换网络支持的数率和协议支持情况，通过认证
后STA和AP才有资格建立无线链路。
3）关联：确认STA和AP有资格建立连接后，AP和STA还需要协商无线服务的参数才
能建立连接完成数据传输。

1.扫描

扫描就是sta发现身边无线网络的过程，分为主动扫描和被动扫描。主动扫描就是sta主动发送proberequest包去请求指定的网络，被动扫描就是STA只能被动接受AP发送的Beacon数据帧，才能获取网络情况。

1.1 主动扫描：STA会主动在所支持的信道上依次发送proberequest探测请求包，用于发现周围的无线信号。STA发送的proberequest包分为两类：一类是未指定ssid的，一类是指定ssid的。
探测请求帧如果没有指定ssid，意思是这个探测请求想要获取周围所有能获取的无线信号。所有收到这个广播请求帧的AP设备都会回复一个请求响应包(proberesponse）,这个响应包携带SSID信息。STA就能获取周围无线网络（如果AP的无线配置Beacon帧隐藏SSID功能，这个AP收到STA发送广播探测请求不会回应，STA也不会收到AP的ssid信息）
探测请求帧如果指定ssid，表明STA只想连接指定ssid的网络，AP收到广播请求后会和自己的SSID想比较，只有相同才会STA proberesponse包。

1.2 被动扫描：STA不会主动发送探测请求包，它只需要被动的接受AP定期发送Beacon信标帧。
AP的Beacon帧会携带SSID和支持速率等信息，AP会周期的发送Beacon，STA在所支持的信道上接受AP发送的Beacon（如果AP的无线配置Beacon帧隐藏SSID功能，那么STA接受的ssid为空字符串，STA也无法从Beacon中获取ssid信息）。

2 链路认证

STA和AP建立无线链路需要先通过无线链路认证，只有通过认证STA和AP才能进行关联。但此时尚不能保证STA有接入无线网络的权限，只有通过接入认证判断后才能确认。
安全策略是一整套完整的安全机制，它包括无线链路建立时的认证方式、无线用户上线接入的认证和无线用户传输业务数据的加密方式。常见的包括WEP、WPA/WPA2-802.1X、WPA/WPA2-PSK等。

链路认证包括Open和Shared-key Authentication

开放式系统认证：Open System Authentication
开放系统认证就是不认证，这种认证方式下只要由STA发送链路认证请求，AP就会同意其认证成功。这种方式安全性较差，一般配合接入认证方式保证其安全性。
在这里插入图片描述

共享密钥认证(Shared-key Authentication)

在这里插入图片描述
认证过程由STA向AP发送一个认证请求，接着AP在收到请求后会生成一个挑战短语，再将这个挑战短语发送给STA，假设这个挑战短语是A。然后，STA会用自己的密钥Key将挑战短语进行加密，加密后再发给AP，假设加密后变为了B。

最后，AP收到STA的加密后信息B，用自己的密钥Key进行解密。只要STA和AP上的密钥配置的一致，解密出来的结果就会是A，AP会将这个结果与最开始发给STA的挑战短语进行对比，发现结果一致，则告知STA认证成功，结果不一致则就会认证失败。

链路认证成功后，STA就可以进行下一步的关联阶段了。

3 关联

关联总是由STA发起的，关联是AP和STA进行无线链路服务协商的过程。也是请求和应答模式完成服务参数协议的。
STA发送的关联请求中，携带STA的参数包括支持的速率、信道、Qos、接入认证方式和加密算法等。
如果FAT_AP收到STA发送的关联请求后会直接判断是否需要进行接入认证并返回关联结果给STA。如果FIT_AP收到STA发送的关联请求，FIT_AP负责将请求报文经过CAPWAP封装后交给AC,由AC进行关联处理，并且FIT_AP还需要将AC的处理结果解CAPWAP封装后发给STA（这个过程中FIT_AP只是充当一个传话筒的作用，关联保温在AP之间传输数据需要通过CAPWAP隧道）
关联认证过程