《无线局域网接入技术.ppt》由会员分享,可在线阅读,更多相关《无线局域网接入技术.ppt(77页珍藏版)》请在课桌文档上搜索。
1、2023/3/27,1,第8章 无线局域网接入技术,WLAN概述IEEE802.11标准概要WLAN安全技术WLAN的应用,2023/3/27,2,WLAN概述,WLAN的功能为小范围内固定或移动站点提供无线数据通信服务标准机构及组织IEEE802.11工作组WiFi联盟技术标准IEEE802.11系列网络结构Ad-hoc(无中心)AP(有中心)MAC协议 CSMA/CA协议 频段2.4GHz(ISM频段),5GHz无线环境恶劣,存在诸多问题很难解决,2023/3/27,3,无线数据传输的环境(1/4),有限的带宽2.4GHz:无需申请频带,非常拥挤ISM频段:工业、科学和医学5GHz频带:成
2、本较高面临的问题之一:如何利用有限的带宽共享信道多个站点共享同一信道数据通信具有广播的特点两个或以上站点同时发送会发生冲突面临的问题之二:如何避免冲突、如何分解冲突,2023/3/27,4,无线数据传输的环境(2/4),并非单纯的广播环境共享无线信道的广播信息不一定到达每个站点存在着隐藏站点和暴露站点的问题隐藏站点会增加站点冲突的可能性暴露站点会抑制信道资源的充分利用面临的问题之三:如何克服隐藏站点和暴露站点,2023/3/27,5,隐藏站点问题,实例:A向B发送数据时C监测不到载波C也向发送数据,造成冲突A对C隐藏隐藏站点问题:由于竞争者离得太远而导致一个站点无法检测到潜在的介质竞争者,A,
3、B,C,2023/3/27,6,暴露站点问题,实例:“B向A发送数据”和“C向D发送数据”本来互不干扰但在B发送时,C检测信道,以为会发生冲突,而停止传输B暴露在C、D之间,A,B,C,D,2023/3/27,7,无线数据传输的环境(3/4),移动带来许多不定因素移动中通信链路变化拓扑变化加上不确定信道干扰如何保持站点移动时的连续通信是WLAN面临的问题之四,2023/3/27,8,无线数据传输的环境(4/4),提高抗干扰能力是WLAN面临的问题之五安全性问题是WLAN面临的问题之六防止非法用户的接入防止恶意的获取他人个人信息,2023/3/27,9,WLAN的网络结构,无中心对等结构(adh
4、oc)所有移动站点都处于平等地位无中心站,所有站点间可直接通信无需中继所有站点共享同一信道,竞争同一信道不便于采用定向天线用户增加时,冲突厉害适合用户少且范围小的组网,2023/3/27,10,WLAN的网络结构,有中心AP接入结构所有移动站点通过中心站点(AP)接入一般AP位置不动,实现站点的接入和到有线网的桥接不考虑移动站点之间的直接通信只考虑各站点与AP之间的直接通信无线站点之间、无线站点到互联用户的通信都需通过AP转发有中心的结构便于对用户的接入管理,更适合作WLAN接入网的结构,Internet,2023/3/27,11,工作频段中国,中国频谱管理2.42.4835GHz,带宽:83
5、.5MHz信部无 2001 653号、信部无 2002 353号发射功率:100/500 mW 5.7255.850 GHz,带宽:125MHz信部无2002277号发射功率:500 mW,2023/3/27,12,第8章 无线局域网接入技术,WLAN概述IEEE802.11标准概要WLAN安全技术WLAN的应用,2023/3/27,13,IEEE802.11标准概要,标准概述参考模型BSS与ESSWLAN系统服务STA接入过程分片与重组CSMA/CA协议IEEE802.11 MAC帧格式IEEE 802.11主要系列,2023/3/27,14,IEEE802.11标准概述,1990年IEEE
6、802委员会成立IEEE802.11工作组IEEE 802.11基本标准的版本有:IEEE Std 802.11-1997IEEE Std 802.11,1999 EditionISO/IEC 802.11:2005(E)IEEE Std 802.11-2007IEEE802.11增补标准最吸引注意力的是大量的WLAN物理层(PMD)增补)IEEE 802.11b-1999IEEE 802.11a-1999IEEE 802.11g-2003其它的增补IEEE 802.11h-2003IEEE 802.11j-2004IEEE 802.11i-2004IEEE 802.11e-2005,2023
7、/3/27,15,IEEE802.11标准概述,IEEE802.11标准全称无线局域网介质访问控制和物理层规范Wireless LAN Medium Access Control and Physical Layer Specifications标准包含的内容包括基本的组网方式及结构协议参考模型MAC层协议、数据格式与数据传输物理层技术用户认证与信息安全,2023/3/27,16,IEEE802.11标准概要,标准概述参考模型BSS与ESSWLAN系统服务STA接入过程分片与重组CSMA/CA协议IEEE802.11 MAC帧格式IEEE 802.11主要系列,2023/3/27,17,IEE
8、E802.11的参考模型,MAC子层物理层,进一步分为两个子层PLCP:Physical Layer Convergence Procedure 物理层汇聚过程子层PMD:Physical Medium Dependent 物理介质相关子层,2023/3/27,18,MAC子层功能,访问控制:标准定义了两种访问方式分布式协调功能DCF,站点之间通信基于竞争协议CSMA/CA点协调功能 PCF,是一种集中控制方式,站点之间的通信基于轮询的方式,一种无竞争的方式关联(Association)认证(Authentication)与加密(Privacy)帧的分段与重装无线信道易受干扰,短帧有利于提供传
9、输的成功率分段功能是IEEE 802.11的一个可选项,2023/3/27,19,物理层功能,PMD功能信号的调制解调,从信道上收发数据信道物理状态检测在802.11-1999中定义3中PMDFHSS PMD、DSSS PMD、IR PMDPLCP功能形成物理层PDU,以便送PMD传输在MPDU(MAC protocol data unit)与PPDU(PLCP protocol data unit)之间建立映射,将针对特定物理层技术(例如:跳频或直扩)设计的物理帧转换为MAC层统一的PDU,或者将统一的MPDU映射成各种适合于PMD系统收发的物理帧格式,从而完成多种差异颇大的PMD物理帧会聚
10、成统一的MAC帧的过程。对MAC帧封装同步头、起始定界符等不同的PMD子层有不同的的PLCP,2023/3/27,20,IEEE802.11标准概要,标准概述参考模型BSS与ESSWLAN系统服务STA接入过程分片与重组CSMA/CA协议IEEE802.11 MAC帧格式IEEE 802.11主要系列,2023/3/27,21,BSS与ESS,BSS(Basic Service Set,基本服务组)BSS是一个基本的WLAN的单元网络为一组站点提供通信服务在一个BSS内,各站点可直接通信(对等)或只能通过一跳中继实现站点之间的通信(AP)每个BSS都有一个ID,称为BSSID不同的BSS之间的
11、站点不能直接通信,2023/3/27,22,BSS与ESS(续),ESSESS:Extended Service Set,扩展服务组多个BSS通过一个分布系统(DS)相连构成一个ESS(每个BSS内有一个AP,用于连接DS及控制BSS内站点的接入)ESS有一个ID,称为ESSID(与BSSID统称为SSID)。同一个ESS的站点可以在不同的BSS之间切换,2023/3/27,23,DS,基本作用是互连多个基本服务组BSS,将多个独立的BSS扩展成为一个多个BSS协同工作的ESSDS仅仅是一个逻辑概念,DS既可以是有线网络也可以是无线网络,2023/3/27,24,IEEE802.11标准概要,
12、标准概述参考模型BSS与ESSWLAN系统服务STA接入过程分片与重组CSMA/CA协议IEEE802.11 MAC帧格式IEEE 802.11主要系列,2023/3/27,25,WLAN系统服务,IEEE 802.11系统提供的服务(IEEE 802.11 architectural services)SS:站点提供的服务认证/解除认证:Authentication/Deauthentication隐私、保密:Privacy802.11i更改为机密性服务并有所增强M_SDU投递:MSDU deliveryDSS:DS提供的服务关联/解除关联/重新关联Association/Disassoci
13、ation/Reassociation分布:Distribution集成:Integration,2023/3/27,26,IEEE802.11标准概要,标准概述参考模型BSS与ESSWLAN系统服务STA接入过程分片与重组CSMA/CA协议IEEE802.11 MAC帧格式IEEE 802.11主要系列,2023/3/27,27,STA接入AP过程,AP定期发送信标帧广播自己的通信参数STA扫描所有信道,通过接收AP的信标帧得到通信参数选择一个AP接入认证成为组成员BSS成员关联可使用DSSDS服务ESS成员,2023/3/27,28,IEEE802.11标准概要,标准概述参考模型BSS与E
14、SSWLAN系统服务STA接入过程分片与重组CSMA/CA协议IEEE802.11 MAC帧格式IEEE 802.11主要系列,2023/3/27,29,分段与重装,WLAN对高层的接口呈现以太网接口对上的服务接口为以太接口WLAN帧必须先转换成以太帧,再交高层为了适应无线信道的传输,形成PDU时发送方需要对MSDU分段接收方需要对分段重装,再上交高层,2023/3/27,30,IEEE802.11标准概要,标准概述参考模型BSS与ESSWLAN系统服务STA接入过程分片与重组CSMA/CA协议IEEE802.11 MAC帧格式IEEE 802.11主要系列,2023/3/27,31,CSMA
15、/CA协议,协议的基本思想载波侦听,随机后退,避免冲突发前侦听信道若闲,等待一个随机时间仍闲才发送若忙,一直侦听直到闲,等待一个随机时间仍闲再发送RTS和CTS握手,解决隐藏站点问题,避免冲突确认与重发,确保在易受干扰的无线信道上数据传输的可靠性对每一帧都进行确认(停等协议)只有收到正确应答后才发下一帧,2023/3/27,32,载波侦听,物理层载波侦听可以通过检测信号能量,判定信道的忙闲状态MAC层虚拟载波侦听通过分析MAC帧的类型以及交互的顺序判定信道的占用情况(可能的趋势),2023/3/27,33,RTS与CTS,为更好的避免冲突,采用RTS/CTS握手机制站点发送数据之前,先发送RT
16、S如果收到通信对象的CTS,则没有冲突,可以发送数据,并在后续的发送中不会冲突如果定时收不到CTS,说明冲突产生,退避并重试RTS/CTS机制能较好的解决隐藏站点的问题,RTS,CTS,A,B,C,D,2023/3/27,34,IEEE802.11标准概要,标准概述参考模型BSS与ESSWLAN系统服务STA接入过程分片与重组CSMA/CA协议IEEE802.11 MAC帧格式IEEE 802.11主要系列,2023/3/27,35,MAC帧格式,以太帧,802.11MAC帧,目的地址源地址,目的地址、源地址发送站地址、接收站地址,2023/3/27,36,MAC帧通用格式,MAC帧格式由三部
17、分组成:MAC帧头、帧体和校验控制字段不同决定了帧类型的不同控制帧、数据帧或是管理帧持续时间表示一个帧的持续发送时间,以便虚拟载波侦听序列号是对分段号的标识,以便按序重组地址分为四种地址,不过不同的帧类型,地址个数也不同 四种地址为:源地址、目的地址、发送站地址、接收站地址,2023/3/27,37,帧格式FC字段,Pver:0,当前标准版本Typ/Subtyp:帧类型ToDS/FromDS:流入/出DS,决定帧格式中4个地址段的含义More frag:MSDU/MMPDU还有后继分段PwrMgt/Mdat:省电模式控制WEP:使用WEP安全模式Order:使用StrictlyOrdered服
18、务等级,2023/3/27,38,MAC帧类型,FC中的Type字段定义了MAC帧类型00:管理帧01:控制帧10:数据帧11:保留管理帧:Association、Authentication、Beacon、控制帧:RTS、CTS、ACK、,2023/3/27,39,MAC帧中的地址段,To/FromDS决定了帧中地址段的表示BSSID:AP模式下,可使用AP的48位MAC地址DA、SA、RA、TARA:receiver addressTA:transmitter address,2023/3/27,40,关于MAC地址的进一步说明,假设A与B通信,则A首先将数据发给AP,然后由AP转发给B,
19、A,B,AP向B转发的帧,A向AP发送的帧,2023/3/27,41,IEEE802.11标准概要,标准概述参考模型BSS与ESSWLAN系统服务STA接入过程分片与重组CSMA/CA协议IEEE802.11 MAC帧格式IEEE 802.11主要系列,2023/3/27,42,IEEE802.11主要标准,IEEE std 802.11-1997发布,2Mbps2.4GHzIEEE 802.11,1999 EditionIEEE 802.11a-1999:54Mbps 5GHzIEEE 802.11b-1999:11Mbps2.4GHzIEEE 802.11g-2003:54Mbps2.4G
20、HzIEEE 802.11i-2004,MAC的安全性增强正在发展:IEEE 802.11e:MAC的QoS增强开始研究IEEE 802.11s:无线Mesh网,2023/3/27,43,物理层标准,2023/3/27,44,IEEE802.11b物理层要点,采用DSSS/CCK-DPSK技术工作在2.4GHz,ISM波段13个子信道,不重叠子信道数:最大为3数据传输率:11/5.5/2/1Mbps传输范围:100米2003年最为流行,2,3,4,5,1,7,8,9,10,6,11,12,13,2023/3/27,45,IEEE802.11a物理层要点,1999年发布,近年来才开始流行工作在5
21、GHz,频段干扰小子信道数达12,且可以同时使用采用OFDM,数据率高达54Mbps价格较高,但近年来下降显著,2023/3/27,46,IEEE802.11g物理层要点,2003年6月发布,2004年的主流标准.802.11g的特征数据率五倍于802.11b,高达54Mbps工作在2.4GHz,且兼容所有原来802.11b的产品价格略高于802.11b,性价比更好802.11g采用了OFDM的调制所以能提供高达54Mbps的性能但其仍然强制保留DSSS/CCK的调制方式因此其能兼容802.11b标准,2023/3/27,47,第8章 无线局域网接入技术,WLAN概述IEEE802.11标准概
22、要WLAN安全技术WLAN的应用,2023/3/27,48,WLAN安全需求,无线网络的信号传输在开放性的空间中而有线网络的信号传输是在光纤或铜缆等封闭性的物理介质中易于侵入无线传输空间给WLAN造成了严重的安全隐患传输空间的开放性导致信号的接收和发送都比封闭性的介质容易得多接入阶段:站点直接与AP交互,存在隐患传输阶段:两个站点的数据交换完全暴露给第三方,2023/3/27,49,WLAN安全标准,下列3个标准IEEE 802.11-1997定义私密(privacy)服务定义了一个WEP(wired equivalent privacy,有线等价保密)协议WEP协议和协议的基础算法(RC4)
23、均有重大漏洞IEEE 802.11i-2004功能全面强化的机密性(Confidentiality)服务定义了改进型的TKIP协议和新一代的CCMP协议,提出了需要采用全面的安全措施构建一个健壮的安全网络(RSN)GB 15628.11-2004WAPI(WLAN Authentication and Privacy Infrastructure)WAPI是一个强制实施级的国家标准,2023/3/27,50,安全框架,IEEE802.11标准先后定义了两类安全框架:前RSNARSNA前RSNA(Pre-RSNA)包括以下算法:WEP(Wired Equivalent Privacy)IEEE8
24、02.11实体认证RSNA安全包括以下算法:TKIP(Temporal Key Integrity Protocol)CCMP(CTR with CBC-MAC Protocol)RSNA(robust security network association)密钥管理过程,2023/3/27,51,前RSNA安全,包括:加密和认证两部分内容加密算法WEP(有线等价保密)WEP的基础是RC4对称加密算法最初采用64位加密算法,后来扩展到可以采用128位加密算法一个服务组(BSS或ESS)内的所有站点都采用同一密钥认证方法开放式系统认证(Open System authentication)共享
25、密钥认证(Shared Key authentication),2023/3/27,52,共享密钥认证,通过判决对方是否掌握相同的密钥来确定对方的身份是否合法共享密钥:所有合法用户共享1个,认证请求,质询文本,质询文本加密,认证结果,2023/3/27,53,TKIP,时限密钥完整性协议 Temporal Key Integrity Protocol最初,802.11i任务组对WLAN面临安全形势的颇为乐观,认为只需要制订WEP协议的增强TKIP协议就足以解除安全隐患TKIP也是基于RC4加密算法TKIP改进了WEP,追加了以下功能:逐帧密钥生成逐报文重构密钥机制消息完整性检查具有序列功能的初
26、始向量密钥生成和定期更新功能等,2023/3/27,54,TKIP,基本思路是:采用逐帧重构密钥的机制且分离认证密钥与传输密钥同时引入了新的机制进行密钥生成和密钥管理,加强了密钥生成的动态性和密钥分发的私密性与WEP协议的单一静态密钥配置不同,在TKIP协议中密钥由密钥管理中心动态生成并负责分发TKIP中的密钥数量从WEP中的单一静态密钥增加到500万亿个可用的动态密钥,2023/3/27,55,TKIP与IEEE 802.1X协同工作,在认证阶段802.1X认证服务器在认可了用户身份后将通知密钥管理中心将产生一个唯一的用户主密钥TKIP把用户主密钥通过安全通道分发到AP和无线站点802.1X
27、根据主密钥为每个认证用户建立一个相应的密钥构架和管理系统,用于处理用户的本次会话在传输阶段使用用户主密钥为每一个用户会话动态产生一个唯一的数据加密密钥,用以加密每一个无线通信数据报文,2023/3/27,56,对TKIP的质疑,TKIP协议中的逐帧密钥只是“像是”一次性密钥而非“真正的”一次性密钥在TKIP中,逐帧密钥是通过一个伪随机过程产生的密钥序列并不是一个真正的随机序列而仅仅是一个伪随机序列,密钥的序列值之间并不是相互“独立”而仅仅是统计意义上“无关”的相互独立的值是几乎不可能猜测而统计独立的值是由一个算法生成因而也可以使用一个算法恢复的许多研究表明TKIP协议的基础RC4算法从根本上就
28、存在着重大的漏洞,2023/3/27,57,CCMP,CCMP协议是IEEE 802.11i-2004中提出的一种WLAN链路级安全性增强协议CCMP协议的核心算法是AES(Advanced Encryption Standard,高级加密标准)加密算法AES是一种对称分组加密技术,使用128位分组加密数据,提供比RC4算法更高的加密强度。,2023/3/27,58,WLAN安全应用,WLAN安全应用SSID匹配检查WEP协议应用TKIP协议应用CCMP协议应用CCMP协议是最新发布IEEE802.11i安全标准,2023/3/27,59,SSID匹配检查,开放式系统认证,Open Syste
29、m Authentication一种不对站点身份进行认证的认证方式定义于:IEEE 802.11-1999AP让所有SSID匹配的设备入网使AP被感知是设备联网时的连通性初始化协议而非入网认证入网设备使用“Any”选项可避开此项检查SSID:Service Set Identification 服务组标识,32字符,作为网络名同一服务组内所有设备的SSID必须配置相同区别:ESSID/BSSID、有中心/无中心网、AP/Ad hoc,2023/3/27,60,WEP协议应用,WEP协议采用静态密钥进行入网认证和传输加密保密强度太低,实用价值不大WEP协议和RC4算法均存在着重大漏洞适合在小型企
30、业和家庭网络等小型环境中应用,2023/3/27,61,TKIP的应用,WPA(Wi-Fi Protected Access,Wi-Fi保护接入)是Wi-Fi联盟在802.11i 标准正式完成前推出的一个代替WEP的无线安全协议过渡措施核心协议:TKIP两种认证体系:WPA-PSK(Pre-Shared Key)小型网络结合802.1X框架的认证体系大型网络由客户、认证系统和认证服务系统组成目前较安全的认证方式,2023/3/27,62,WPA-PSK,WPA-PSK(WPA Pre-Shared Key,WPA预共享密钥方式)提供两种加密方法:TKIP和AES 密钥仅仅用于认证过程,而不用于
31、加密过程,2023/3/27,63,结合802.1X框架的认证体系,2023/3/27,64,IEEE802.11i引入新的安全机制,802.11i是WLAN信息安全性的最新标准Wi-Fi将WPA作为过渡,计划在IEEE802.11i发布后,全面推广IEEE802.11i据认为可以构建安全的无线局域网受到业界广泛支持802.11i的发布同时阻击了WAPI的实施最新的安全机制包括CCMP协议健壮安全网络RSN,2023/3/27,65,CCMP协议应用,CCMP协议:Counter-Mode/CBC-MAC Protocol定义于:802.11i-2004标准基于AES加密算法 高级加密标准:A
32、dvanced Encryption Standard一种对称分组加密技术、使用128bit分组加密数据加密强度大大高于RC4算法WPA2Wi-Fi以WPA2为名称推广CCMP协议,2023/3/27,66,健壮安全网络RSN,RSN:Robust Security Network,健壮的安全网络IEEE 802.11i定义的新概念构建完备的WLAN安全体系提高数据传输加密强度例如CCMP协议增强接入认证控制性能,协同使用IEEE 802.1X接入控制机制多种上层认证协议等RSN的协议体系示意图如右示,2023/3/27,67,WLAN用户接入控制与管理,IEEE802.1xRADIUSAP支
33、持802.1x协议,且AP具有RADIUS客户端功能站点安装802.1x客户端功能AP接收用户的认证请求,并向RADIUS服务器发出认证请求对认证通过的用户,AP提供接入,否则拒绝其接入,DS,AP2,BSS1,BSS2,ESS,RADIUS服务器,2023/3/27,68,第8章 无线局域网接入技术,WLAN概述IEEE802.11标准概要WLAN安全技术WLAN的应用,2023/3/27,69,WLAN的应用,WLAN接入应用的方式WLAN的应用场合,2023/3/27,70,WLAN应用:链路级接入,基于AP的链路级接入用户的接入完全由AP控制APMaster;用户client可以使用8
34、02.1X进行用户身份认证AP工作在链路层,不具有IP层的服务功能,2023/3/27,71,WLAN接入应用的方式(续),一般不采用对等方式做接入无线链路上各节点的实体在协议上是均等的无线节点间存在直接通信方式,2023/3/27,72,WLAN应用:网络级接入,基于AP的网络级接入AP具有网络层功能结合无线路由器和AP的功能无线节点间不存在直接通信方式,2023/3/27,73,网络级接入新功能,相对于链路级接入,基于AP的网络级接入可以具有以下新功能:DHCP服务,NAT服务可以执行路由功能从而可以动态选择不同的IP服务提供者,2023/3/27,74,WLAN的应用,WLAN接入应用的方式WLAN的应用场合,2023/3/27,75,WLAN的应用场合,主要应用的场合不需布线、快速组网、移动范围有限的无线数据通信的场合如:酒店、机场、会展、校园等,2023/3/27,76,应用举例校园WLAN,根据不同的需求,校园安全级别可分为开放型接入限制型信息保密型技术可采用802.11g/a,速率可达54Mbps802.11i/802.1X,提高安全性,2023/3/27,77,应用举例校园WLAN(续),限制接入型安全级别系统需求限制接入:管理、计费等不考虑数据加密技术措施接入控制:IEEE 802.1X可在服务器统一存放用户帐号数据注意:无线AP需支持IEEE802.1X认证,