《无线局域网讲义.ppt》由会员分享,可在线阅读,更多相关《无线局域网讲义.ppt(167页珍藏版)》请在三一办公上搜索。
1、无线局域网,无线局域网概述无线局域网的协议无线局域网标准无线局域网安全,无线局域网概述,无线局域网的概念无线局域网的发展历史无线局域网的优点无线局域网的市场和应用,第 2 页,无线局域网的概念,无线局域网的概念:无线网络,也就是利用无线电波而非线缆来实现与计算机设备位置无关的网络数据传送的系统无线局域网(Wireless Local Area Network,简称为WLAN)是无线网络领域的一种重要的分支从广义上讲,凡是采用无线传输媒体的计算机局域网都可称为无线局域网,第 3 页,无线局域网的发展历史,无线局域网的发展历史:1985年,FCC开放了ISM频段而把无线局域网向着商业化发展1996
2、年,中国开放了2.4GHz的ISM频段2002年,中国开放了5.8GHz的ISM频段,第 4 页,无线局域网的发展历史,无线局域网标准的制定:1997年6月26日,IEEE802.11标准制定完成1999年,IEEE802.11工作组又批准了802.11的两个分支:802.11a和802.11b历经十几年的发展,802.11家族已经从最初的802.11发展到了目前802.11a、802.11b、802.11i等,第 5 页,无线局域网概述,无线局域网的优点:移动性低成本用于物理布线困难的地方缩短布线时间长期费用节省高可靠性工作效率,第 6 页,无线局域网络概述,无线局域网的市场和应用:点对点无
3、线数据传输室内无线局域网络无线网络与普通网络对接建筑物网络连接,远距离无线桥接灾难性恢复及临时性连接,第 7 页,无线局域网络概述,无线局域网的市场和应用:企业应用交通运输零售行业医疗行业教育行业,第 8 页,无线局域网的市场和应用,无线局域网在电信运营商的应用:2001年,中国网通开通“无限伴侣”服务中国电信“天翼通”服务中国移动“随e行”服务中国联通“CDMA2000-1X+WLAN”服务,第 9 页,无线局域网的市场和应用,无线局域网在电信运营商的应用:技术要求:对多种认证方式的支持对多种用户终端的接入方式的支持一键上网,自动切换基于接入点(AP)的用户隔离对热点地区的多种计费方式提供支
4、持功能导入业务控制机制支持用户的漫游安全的数据业务接入,第 10 页,无线局域网的市场和应用,无线局域网与移动蜂窝网络的融合:无线局域网价格低廉、组网灵活、支持高速无线数据接入移动蜂窝覆盖范围广移动通信和互联网已成为当今信息产业的两大支柱WLAN与移动蜂窝网络的融合将为用户提供更快捷,更灵活的移动数据业务,第 11 页,无线局域网的市场和应用,GPRS/UMTS+WLAN业务:,第 12 页,无线局域网的市场和应用,WLAN与3G的融合:,第 13 页,无线局域网的市场和应用,GSM、UMTS与WLAN的对比:,第 14 页,无线局域网的市场和应用,CDMA2000-1X+WLAN业务:,第
5、15 页,无线局域网,无线局域网概述无线局域网的协议无线局域网标准无线局域网安全,第 17 页,无线局域网的协议,无线局域网的协议WLAN体系结构MAC协议,第 18 页,WLAN的体系结构,局域网的体系结构:OSI的物理层OSI的数据链路层逻辑链路控制层(LLC层)媒体访问控制层(MAC层),高层,LLC,MAC,物理层,高层,LLC,MAC,物理层,链路层,链路层,介质,第 19 页,WLAN的体系结构,IEEE802协议体系:,802.2,802.10,802.3,4,5,6,9,10,11,12,14,15,16,17,802.1,LLC,MACPHY,802.7 Broad Band
6、,802.8 Fiber Optic,第 20 页,WLAN的体系结构,WLAN参考体系结构:MAC层物理层,IEEE 802.2,IEEE 802.10,MAC,DSSS,红外线,FHSS,802.11,第 21 页,WLAN的体系结构,WLAN协议体系:IEEE802.11a:扩充了无线局域网的物理层,规定使用5GHz频带和正交频分复用(OFDM)技术,传输速率范围为654MbpsIEEE802.11b:是IEEE802.11 标准物理层的另一个扩充,规定采用2.4GHz ISM 频带,调制方法采用补偿编码键控(CCK)IEEE802.11c:在原有标准的基础上增强MAC层,以实现802.
7、11标准的网桥操作IEEE802.11d:802.11b使用其它频率的版本,以适应一些不能使用2.4GHz 频段的国家,第 22 页,WLAN的体系结构,WLAN协议体系:IEEE802.11e:增强了WLAN的QoS功能IEEE802.11f:接入点内部协议(Inter-Access Point Protocol),该标准目的是改善802.11协议的切换机制,使用户能够在不同的交换分区间(无线信道)或者在接入设备间漫游IEEE802.11g:第三个物理层传输标准,运行于2.4GHz,使用了OFDM技术,最高传输速率54MbpsIEEE802.11h:增强5GHz波段的802.11 MAC规范
8、及802.11a高速物理层规范,第 23 页,WLAN的体系结构,WLAN协议体系:IEEE802.11i:增强了WLAN的安全和鉴别机制,主要是克服802.11在安全性方面存在的不足IEEE802.11j:使802.11a和HiperLAN2网络能够互通IEEE802.11n:新的高速无线局域网标准,第 24 页,无线局域网的协议,WLAN的LLC协议:LLC为网络层提供的服务:未确认无连接服务面向连接的服务确认无连接服务,第 25 页,无线局域网的协议,MAC协议:MAC协议的分类典型的MAC协议:ALOHA协议CSMA协议CSMA/CD协议WLAN的CSMA/CA协议,第 26 页,MA
9、C协议,MAC协议的分类:固定分配类MAC协议随机竞争类MAC协议按需分配类MAC协议,第 27 页,MAC协议,典型的MAC协议-ALOHA协议:ALOHA一种最简单的随机竞争类多址接入协议ALOHA协议的工作机制:当任一站有帧进入要求发送时,该站不管信道是否忙碌,立即将该帧送入信道发送出去,收到对方认可后认为发送成功发送站检测出自己发送的帧与其它站发出的帧碰撞后,则发送站独立地延迟一个随机时间后再把该帧发送出去,第 28 页,MAC协议,典型的MAC协议-时隙ALOHA协议:时隙ALOHA是纯ALOHA协议的改进时隙ALOHA协议的工作机制:把信道传输时间按帧长T为单位分成一个一个的时间段
10、,并把每帧的发送时刻限制在每个时间段的起始时刻,第 29 页,MAC协议,典型的MAC协议-CSMA协议:CSMA一种最简单的随机竞争类多址接入协议每站发送前先检测信道状态,是否发送根据信道的状态来决定分为两类:非持续型CSMA持续型CSMA,第 30 页,MAC协议,典型的MAC协议-CSMA协议:非持续型CSMA协议是CSMA协议的一个类型非持续型CSMA协议的工作机制:第一步:帧到达发送缓冲器,等待发送第二步:检测信道,如果信道空闲,则发送帧;如信道忙碌,则选择随机时延,开始延时第三步:延时结束后,开始第二步,第 31 页,MAC协议,典型的MAC协议-CSMA协议:持续型CSMA协议是
11、CSMA协议的另一个类型持续型CSMA协议的工作机制:当信道忙碌时,持续型CSMA将持续监测信道,直至信道空闲持续型CSMA协议的分类:1-持续型CSMAp-持续型CSMA,第 32 页,MAC协议,典型的MAC协议-CSMA协议:1-持续型CSMA协议是持续型CSMA协议的一个类型1-持续型CSMA协议的工作机制:第一步:帧到达发送缓冲器,等待发送第二步:监测信道,如果信道空闲,则发送帧,然后返回第一步;如果信道忙碌,则重新开始第二步,第 33 页,MAC协议,典型的MAC协议-CSMA协议:p-持续型CSMA协议是持续型CSMA协议的另一个类型p-持续型CSMA协议的工作机制:第一步:帧到
12、达发送缓冲器,等待发送第二步:监测信道,如果信道忙碌,则重新开始第二步;如果信道空闲,在0,1区间内选择一个随机数,若p,则发送帧,然后返回第一步;否则暂停监测信道,并开始延时第三步:延时结束后,转至第二步,第 34 页,MAC协议,典型的MAC协议-CSMA/CD协议:1持续型CSMA协议的基础上增加了碰撞检测功能CSMA/CD协议的工作机制:发送帧时,仍持续监测信道,一旦发现信道上发生了碰撞,则立即中止该帧的发送帧发送结束后,再持续2的时间继续检监测信道,如监测不到碰撞,可确认该帧已发送成功,第 35 页,WLAN的MAC协议,WLAN的MAC协议:CSMA/CA协议RTS/CTS信包重整
13、,第 36 页,WLAN的MAC协议,探询脉冲CSMA/CA协议:,接入延迟,竞争窗口,下一帧,DIFS,第 37 页,WLAN的MAC协议,RTS/CTS:用于解决无线局域网中的隐藏终端问题RTS(请求发送)CTS(清除发送),第 38 页,WLAN的MAC协议,RTS/CTS:站点发送RTS到接入点接入点收到RTS后,发送CTS站点发送数据到接入点接入点正确接收信息后,返回ACK到站点,第 39 页,WLAN的MAC协议,信包重整:信包越大,传输错误需要重传的耗费越大考虑到需要完成快速的包重发,无线网络应该比有线网络传送更小的包,以提高抗干扰能力小包的缺点是当包中的数据位没有被破坏的情况下
14、,对于发送同样的信息,大量的小包比发送几个大包需要更大的代价,第 40 页,WLAN的MAC协议,信包重整:把较大的数据分组分段为多个较小片段每个片段都使用一个ACK消息来进行确认每个片段和ACK消息之间都有一个SIFS增加数据传递的可靠性,片段2,SIFS,ACK0,无线局域网,无线局域网概述无线局域网的协议无线局域网标准无线局域网安全,第 42 页,无线局域网标准,无线局域网标准:IEEE802.11标准IEEE802.11b标准IEEE802.11a标准IEEE802.11g标准IEEE802.11n标准,第 43 页,无线局域网标准,IEEE802.11标准IEEE802.11逻辑结构
15、IEEE802.11拓扑结构IEEE802.11服务IEEE802.11空中接口物理层MAC子层MAC管理子层,第 44 页,IEEE802.11标准,IEEE802.11逻辑结构:,802.2802.11 MAC,FHSS DSSS IR,FHSS:跳频扩展频谱DSSS:直接序列扩展频谱IR:红外线,第 45 页,IEEE802.11标准,IEEE802.11拓扑结构:自组网(Ad Hoc network)无线网络中没有接入点(AP),第 46 页,IEEE802.11标准,IEEE802.11拓扑结构:IBSS:(Independent Base Service Set,独立基本服务集)没
16、有连到有线网络的BSS,第 47 页,IEEE802.11标准,IEEE802.11拓扑结构:BSS:(Base Service Set)一个或者多个工作站(STA)唯一接入点(AP),STA-a1 STA-b1STA-a2 STA-b2,AP-a,AP-b,STA-b3STA-b4,信道(频率范围)#1BSS1,信道(频率范围)#3BSS2,第 48 页,IEEE802.11标准,IEEE802.11拓扑结构:ESS(Extended Service Set)由DS(分布式系统)和多个BSS组成的分布结构工作站可在多个BSS中漫游,工作站从一个BSS移动到另外一个BSS(在同一个ESS中)的
17、过程对LLC是透明的,STA-1 STA-1 STA-1,AP-a,AP-b,信道(频率范围)#1 BSS1,信道(频率范围)#3 BSS2,DS,第 49 页,IEEE802.11标准,IEEE802.11服务:站点服务(Station Service)认证不认证加密,第 50 页,IEEE802.11标准,IEEE802.11服务:分布式系统服务关联分离分布集成重关联,第 51 页,IEEE802.11标准,IEEE802.11空中接口:工作频段:2.4GHz ISM频段双工方式:时分双工(TDD)多址方式:CSMA/CA带宽:直接序列扩频(DSSS):22MHz跳频扩频(FHSS):1M
18、Hz,第 52 页,IEEE802.11标准,物理层:物理层管理(Physical Layer Management)物理层汇聚子层(PHY convergence procedure,PLCP)物理介质依赖(Physical Medium Dependent,PMD)子层,PMD子层,MAC层,PLCP子层,物理层,第 53 页,IEEE802.11物理层,物理层功能:载波侦听发送接收,第 54 页,IEEE802.11物理层,物理层功能-载波侦听:通过PMD子层检查介质状态来完成探测信号是否到来信道评价,第 55 页,IEEE802.11物理层,物理层功能-发送:PLCP子层接收到MAC层
19、的发送请求后将PMD转换到传输模式PMD在20微秒内发射帧的前同步码以1Mbps的速率发送前同步码和适配头适配头的发送结束后,发送器将数据率转换到适配头确定的速率发送全部完成后,PLCP向MAC层发送确认一个MPDU传送结束关闭发送器,并将PMD电路转换到接收模式,第 56 页,IEEE802.11物理层,物理层功能接收:载波侦听检测到介质繁忙接收到合法的同步码和适配头通知MAC层设置字节计数器,第 57 页,IEEE802.11物理层,跳频扩频物理层:跳频扩频PLCP子层,第 58 页,IEEE802.11物理层,跳频扩频物理层:跳频扩频PMD子层跳频功能。总信道数为78个,每个信道的带宽1
20、MHz,最小跳距6MHz,最小跳频速率为2.5跳/秒GFSK调制(1Mbps)和4GFSK调制(2Mbps),第 59 页,IEEE802.11物理层,跳频扩频物理层:跳频组和跳频序列,0 1 2 3 4 5 72 73 74 75 76 77,GHz,组1,组3,组2,第 60 页,IEEE802.11物理层,直接序列扩频物理层:直接序列扩频(DSSS)PLCP子层,第 61 页,IEEE802.11物理层,直接序列扩频物理层:直接序列扩频(DSSS)PMD子层采用11位Barker码扩频,扩频码为:+1,-1,+1,+1,-1,+1,+1,+1,-1,-1,-1最小处理增益:11,第 62
21、 页,IEEE802.11物理层,直接序列扩频物理层:1Mbps速率时采用DBPSK调制,输入bit,相位改变,0,0,1,p,1 Mb/s DBPSK 编码表,第 63 页,IEEE802.11物理层,直接序列扩频物理层:2Mbps速率时采用DQPSK调制,输入(d0,d1),d0 是第一位,相位改变,00,0,01,p,/2,11,p,10,3,p,/2(,-p,/2),2 Mb/s DQPSK 编码表,第 64 页,IEEE802.11物理层,直接序列扩频物理层:2.4GHz频段的14个信道带宽:22MHz信道间隔:5MHz,第 65 页,IEEE802.11物理层,红外线物理层:红外线
22、PLCP子层,第 66 页,IEEE802.11物理层,红外线物理层:红外线PMD子层采用DF/IR方式工作波长:850-950nm最大发射功率为2W,平均值为150mW或250mW,第 67 页,IEEE802.11物理层,红外线物理层:1Mbps速率采用16PPM调制,第 68 页,IEEE802.11物理层,红外线物理层:2Mbps速率采用4PPM调制,第 69 页,IEEE802.11标准,MAC层:三种访问机制分布式协调功能(DCF)RTS/CTS机制点协调功能(PCF),第 70 页,IEEE802.11MAC层,载波侦听机制:MAC控制机制利用帧中持续时间字段的保留信息实现虚拟监
23、测协议由网络分配矢量(NAV)来实现MAC层根据物理信道评估和NAV的内容确定信道的状态,只有当两个都确定目前信道空闲时,才能发送数据,第 71 页,IEEE802.11MAC层,退避过程:,CWmin,CWmax,7,15,31,63,127,127,初次尝试,第二次尝试,第三次尝试,第四次尝试,第五次尝试,第六次尝试,每次当站试图再次发送相同内容而又发现介质还是处于占用的情况时,退避规程就双倍延长规避时间。一般而言,对一个帧进行2到3次发送尝试而不成功后,就会丢弃这个帧。,第 72 页,IEEE802.11MAC层,差错控制机制:是IEEE802.11独有的,以太网MAC层不具备采用自动反
24、馈重发(ARQ),第 73 页,IEEE802.11MAC层,帧间间隔:Short帧间隔(SIFS),下列的帧使用SIFS:ACK(应答)帧CTS(清除发送)帧分段的第二个或猝发的介质数据单元(MSDU)PCF帧间隔(PIFS)DCF帧间隔(DIFS)扩展帧间隔(EIFS),第 74 页,IEEE802.11 MAC层,RTS/CTS机制:解决“隐藏终端”问题需要占用网络资源而增加了额外的网络负担,RTS,CTS,帧0,ACK0,帧1,ACK1,源,目的,SIFS,RTS/CTS开销Overhead=RTS+CTS+2SIFS,第 75 页,IEEE802.11 MAC层,点协调功能(PCF)
25、:一种无冲突的介质访问提供了QoS的可能,突发PCF,突发PCF,突发DCF,长度可变,长度可变,CFP周期,CFP周期,竞争空闲期,DIFS,PIFS,NAV,NAV,NAV,第 76 页,IEEE802.11 MAC层,点协调功能(PCF):AP首先发送信标(Beacon)帧,然后等待至少一个SIFS间隔,开始发送下面的某一种帧:数据帧CF轮询帧数据+CF轮询帧CF结束帧,第 77 页,IEEE802.11 MAC层,网络连接:被动扫描模式主动扫描模式发送广播探询帧,第 78 页,IEEE802.11 MAC层,MAC帧结构:,第 79 页,IEEE802.11标准,MAC管理子层:登记越
26、区切换功率管理安全认证加密,第 80 页,IEEE802.11 MAC管理子层,登记:AP准定期(100ms)地进行发送信标帧,用来建立定时同步功能(TSF)根据信标帧测量接收信号强度,还用来识别AP,网络等等如果STA想同一个AP建立关联,首先必须给AP发送一个关联请求帧,AP同意后发送一个关联响应帧作为回答,第 81 页,IEEE802.11 MAC管理子层,越区切换:,AP-a,AP-b,1.强信号,2.弱信号,准备开始切换搜索,3.探测请求,4.探测响应,5.选择最强响应的AP,6.重关联请求,7.重关联响应,8.IAPP指示与前一个AP的重关联,第 82 页,IEEE802.11 M
27、AC管理子层,越区切换:IAPP在越区切换中的作用,站点,B(旧)接入点,A(新)接入点,IEEE802.11,IAPP,重关联程序,越区切换程序,重关联请求,重关联响应,越区切换响应,越区切换请求,第 83 页,IEEE802.11 MAC管理子层,功率管理:规定了两种电源利用模式:CAM(Continuous Aware Mode,唤醒模式)和PSPM(Power Save Polling Mode,节电模式)利用TSF(时间同步帧),所有的STA在同一时间里被唤醒以监听信标,随信标一起发送的有一个业务指示表(TIM),介质上的信息量,介质忙,实际的信标,期望的信标时间,第 84 页,IE
28、EE802.11 MAC管理子层,认证:开放系统认证(Open System Authentication),请求工作站,响应工作站,认证帧验证算法标识=“开放系统”,认证响应,第 85 页,IEEE802.11 MAC管理子层,认证:共享密钥认证(Shared Key Authentication),请求工作站,响应工作站,认证帧认证算法标识=“共享密钥”认证处理序列号=1,认证帧认证算法标识=“共享密钥”认证处理序列号=2质询文本,认证帧认证算法标识=“共享密钥”认证处理序列号=3质询文本加密,认证帧认证算法标识=“共享密钥”认证处理序列号=4,第 86 页,IEEE802.11 MAC管
29、理子层,加密:,第 87 页,无线局域网标准,IEEE802.11b标准:标准描述PLCP子层PMD子层,第 88 页,IEEE802.11b标准,标准描述:在802.11协议的物理层增加了两个新的速度:5.5Mbps和11Mbps802.11b的基本结构、特性和服务都在802.11标准中进行了定义物理层改动:采用了CCK或PBCC调制,第 89 页,IEEE802.11b标准,空中接口:工作频段:2.4GHz ISM频段带宽:22MHz双工方式:时分双工(TDD)多址方式:CSMA/CA,第 90 页,IEEE802.11b标准描述,多速率支持:,第 91 页,IEEE802.11b PLC
30、P子层,长前导序列PPDU帧格式:,第 92 页,IEEE802.11b PLCP子层,短前导序列PPDU帧格式:,第 93 页,IEEE802.11b PLCP子层,扰码:,第 94 页,IEEE802.11b PMD子层,CCK调制(11Mbps):,第 95 页,IEEE802.11b PMD子层,DQPSK相位编码表:,第 96 页,IEEE802.11b PMD子层,CCK调制(5.5Mbps):,第 97 页,IEEE802.11b PMD子层,5.5Mbps CCK编码表:,第 98 页,无线局域网标准,IEEE802.11a标准:标准描述PLCP子层PMD子层,第 99 页,I
31、EEE802.11a标准,标准描述:工作频段:5GHz UNII频段带宽:20MHz双工方式:时分双工(TDD)多址方式:CSMA/CA,第 100 页,IEEE802.11a标准,标准描述:速率高采用OFDM技术传输距离短MAC层和IEEE802.11相同多速率支持:6,9,12,18,24,36,48或54Mbps,第 101 页,IEEE802.11a标准描述,系统框图:,第 102 页,IEEE802.11a标准描述,IEEE802.11a主要参数:,第 103 页,IEEE802.11a标准,PLCP子层:,第 104 页,IEEE802.11a PLCP子层,速率和调制参数:,第
32、105 页,IEEE802.11a PLCP子层,卷积编码:,第 106 页,IEEE802.11a PLCP子层,删除型卷积码:通信系统怎样实现多个不同的速率?调整调制的星座图实现具有不同码率的几个不同卷积编码器,并且改变卷积编码速率和星座删除型卷积码,第 107 页,IEEE802.11a PLCP子层,删除型卷积码:由同一个码率为1/2的卷积码可以变换产生各种(n-1)/n卷积码删除模式编码速率3/4。周期6比特,每个周期的第3和第4个比特删除编码速率2/3。周期4比特,每个周期的第四个比特被删除,第 108 页,IEEE802.11a标准,PMD子层:可使用的信道,第 109 页,无线
33、局域网标准,IEEE802.11g标准:兼容IEEE802.11b的产品提供高速率有两种模式PBCCCCK-OFDM,第 110 页,IEEE802.11g标准,速率等级:,第 111 页,IEEE802.11g标准,速率等级:,第 112 页,无线局域网标准,IEEE802.11n标准双工方式:时分双工(TDD)多址方式:CSMA/CA工作频段:2.4GHz ISM频段;5GHz UNII频段。传输速率:最高300Mbps。技术:MIMO和OFDM带宽:20或40MHz,无线局域网,无线局域网概述无线局域网的协议无线局域网标准无线局域网安全,第 114 页,无线局域网安全,无线局域网中常见攻
34、击和弱点配置安全的无线局域网IEEE802.11i标准WAPI,第 115 页,无线局域网安全,无线局域网的安全威胁:易受窃听难于检测易受大功率干扰易受欺骗与劫持攻击易受拒绝服务攻击基站伪装移动、漫游带来的审计、管理难题无线信道的高误码率限制了某些加密算法的应用,第 116 页,无线局域网安全,无线局域网中常见攻击和弱点:无线局域网安全弱点进行搜索网络监听欺骗与非授权访问网络劫持拒绝服务和泛洪攻击,第 117 页,无线局域网中常见攻击和弱点,无线局域网安全弱点:SSID的弱点认证的弱点WEP中存在的弱点MAC地址过滤的弱点,第 118 页,无线局域网安全弱点,SSID的弱点:目前是对无线设备本
35、身进行身份认证,而不是用户身份验证或网络站点的身份验证在SSID中存在谁都可以访问的默认分组名称广播SSID,第 119 页,无线局域网安全弱点,认证的弱点:开放系统认证没有安全性在共享密钥认证中,明文和密文都在空中传输,如果攻击者同时知道了原始明文和密文,那么就有可能创造一个伪造的报文,第 120 页,无线局域网安全弱点,WEP中存在的弱点:静态密钥的缺陷WEP的密钥管理问题用户行为中存在的弱点WEP加密算法的弱点缺少密钥管理和密钥长度太短IV太小ICV算法不合适WEP采用的RC4存在弱点认证信息易于伪造,第 121 页,无线局域网安全弱点,MAC地址过滤的弱点:管理负担通过无线嗅探器来监听
36、无线通信,可以轻易从用户的数据中得到认可的MAC地址MAC地址可以改动,第 122 页,无线局域网中常见攻击和弱点,进行搜索:,第 123 页,无线局域网中常见攻击和弱点,网络监听:监视网络的流量、状态、数据等信息,协助网络管理员监测网络传输数据,排除网络故障网络监听也给以太网安全带来了极大的隐患,造成口令失窃,敏感数据被截获等等连锁性安全事件将无线网卡设置为promiscuous模式,就实现了监听保护无线网络免受攻击者监听的方式是在所有可能的地方都对会话过程加密,另外确保关闭任何网络身份识别的广播功能,并且如果有可能的话,禁止非授权用户访问你的网络,第 124 页,无线局域网中常见攻击和弱点
37、,欺骗与非授权访问:欺骗是一种攻击手段,利用它攻击者可以骗过你的网络设备,使得它们错误地认为来自它们的连接是网络中一个合法的和经过同意的机器发出的IEEE802.11网络还引入了一种新的欺骗性身份验证欺骗通过静态定义MAC地址表能防止这种类型的攻击,但管理负担大最好的防止措施涉及到无线局域网以外的部分,如RADIUS认证,第 125 页,无线局域网中常见攻击和弱点,网络劫持:攻击者假扮成缺省网关或网络上某个特定的主机,那么所有希望连接该网络的机器或被欺骗的机器都将连接到攻击者的机器上来AP欺骗定义静态的MAC/IP地址对应关系可以防止网络劫持,但会带来巨大的管理负担按照常规的基本原则来改变密钥
38、并增加其他身份验证机制(如RADIUS)或动态防火墙,第 126 页,无线局域网中常见攻击和弱点,拒绝服务和泛洪攻击:指当攻击者占用了主机或网络几乎所有的资源的时候,使得合法用户无法获得这些资源攻击者可以发送与无线局域网相同频率的干扰信号来干扰网络的正常运行,从而导致正常的用户无法使用网络发送大量的非法(或合法)的身份请求,第 127 页,无线局域网安全,配置安全的无线局域网:设计和部署安全网络有效管理无线网络的SSID实现WEP过滤MAC地址过滤协议分配IP使用VPN保护用户无线局域网安全系统,第 128 页,配置安全的无线局域网,设计和部署安全网络:修改缺省值把AP看作远程访问服务器(Re
39、mote Access Server,RAS)详细说明只用在WLAN上的IP范围使用AP支持的最新安全功能,第 129 页,配置安全的无线局域网,有效管理无线网络的SSID:定期更改SSID定义封闭系统,第 130 页,配置安全的无线局域网,实现WEP:注意密钥管理、避免使用缺省选项,并确保在每个可能被攻击的位置上都进行足够的加密WEP的优点:全部报文都使用校验和加密,提供了一定的抵抗篡改的能力通过加密来维护一定的保密性WEP非常容易实现可以由用户定义WEP密钥,而且没有限制WEP的缺点:RC4加密算法是一个公开的流加密算法必须在每个客户端和每个AP实现WEP,WEP才能生效一旦修改了密钥,你
40、就不得不告诉每个人,以便他们能够更改设置,第 131 页,配置安全的无线局域网,过滤MAC地址:,第 132 页,配置安全的无线局域网,过滤MAC地址:MAC地址过滤的好处:接受预先确定的用户被过滤的MAC不能进行访问提供了第一层的防护MAC过滤的缺点管理负担在一些无线设备中,可以对MAC地址编程,第 133 页,配置安全的无线局域网,过滤协议:在路由器上设置协议过滤器,避免某些不必要的带宽用途和数据包处理好处:限制某些对工作效率无益的通信类型,保护网络免受服务攻击,并限制一些蛮力攻击进行管理访问缺点:对不知情的正当用户进行某些限制,因此需要充分理解网络布局、资源位置和用户需要,第 134 页
41、,配置安全的无线局域网,分配IP:针对WLAN空间来分配IP地址DHCP:配置简单,灵活性高WEP被攻破时,会为黑客提供一条使用DHCP的自由入口,即存在第三层的弱点。静态分配IP地址限制在网络上传递对设备的第三层的访问跟踪正在使用的全部IP地址所需的管理负担。随着WLAN使用的增加而递增,第 135 页,配置安全的无线局域网,使用VPN:客户端使用VPN Client软件通过AP提供本地VPN服务器,第 136 页,配置安全的无线局域网,使用VPN:VPN的优点:VPN是点对点的模拟,使每个节点看起来全部对话都被限制在两个参与者之间的单独对话中VPN的使用提供了使用多重密钥加密的传输VPN并
42、不仅仅针对连接到公共资源上的个人用户,还针对通过Internet连接的部分办公室VPN的缺点:VPN非常复杂,难于安装和管理占用额外负载如果用户系统或设备上的安全设置不安全,VPN可能没有用处增加了管理员的负担,第 137 页,配置安全的无线局域网,保护用户:对用户进行威胁和风险教育能够保护用户的报告和策略保护用户的优点:可以避免故障。它允许全部安全策略同时工作,同时为保护模型增加了安全层使用户不必与管理者之间形成对抗关系,从而可以更好地完成自己的工作缺点是不可能得到百分之百的合作,还需要昂贵的培训和管理费用,第 138 页,配置安全的无线局域网,无线局域网安全系统:,第 139 页,无线局域
43、网络安全,IEEE802.11i标准:WPAIEEE802.1x认证协议密钥管理协议RADIUS协议TKIP密码协议AES算法WRAP和CCMP密码协议,第 140 页,IEEE802.11i标准,IEEE802.11i协议结构:两种安全网络构架:过渡安全网络(TSN)强健的安全网络(RSN),第 141 页,IEEE802.11i标准,WPA:,第 142 页,IEEE802.11i标准,IEEE802.1x认证协议:IEEE802.1x的体系结构IEEE802.1x认证过程EAP协议EAP支持的认证协议,第 143 页,IEEE802.1x认证协议,IEEE802.1x的体系结构:,第 1
44、44 页,IEEE802.1x认证协议,IEEE802.1x认证过程:无线终端向AP发出请求,试图与AP进行通信AP将加密的数据发送给认证服务器进行用户身份认证认证服务器确认用户身份后,AP允许该用户接入建立网络连接后授权用户通过AP访问网络资源,第 145 页,IEEE802.1x认证协议,EAP协议:在链路建立阶段完成后,认证者发送一个或多个请求数据包来对对方进行认证,该数据包中有一个类型域表明请求的类型对方发送一个响应数据包对每一个请求做出应答。响应包中的类型域与请求包中的类型域对应认证者发送一个成功或失败数据包结束认证阶段,第 146 页,IEEE802.1x认证协议,EAP对IEEE
45、802.11的改进:双向认证机制集中化认证管理和动态分配加密密钥机制定义了集中策略控制,当会话超时时,将触发重新认证和生成新的密钥,第 147 页,IEEE802.1x认证协议,EAP协议在IEEE802.1x中应用的层次结构:,第 148 页,IEEE802.1x认证协议,EAP支持的认证协议:EAP-MD5LEAPEAP-TLSEAP-TTLS,第 149 页,IEEE802.1x认证协议,TLS传输层安全协议:SSL协议:客户和服务器双向身份验证数据加密保护数据完整性保护,第 150 页,IEEE802.1x认证协议,TLS传输层安全协议:TLS协议栈,第 151 页,IEEE802.1
46、1i标准,密钥管理协议:密钥的种类认证和密钥管理系统TKIP密钥层次AES密钥层次四步握手密钥协商机制,第 152 页,密钥管理协议,密钥的种类:基本密钥(Base Key)或初始密钥(Primary Key)会话密钥(Session Key)密钥加密密钥(Key Encrypting Key),第 153 页,密钥管理协议,认证和密钥管理系统:,第 154 页,密钥管理协议,TKIP密钥层次:,第 155 页,密钥管理协议,AES密钥层次:,第 156 页,密钥管理协议,四步握手密钥协商机制:,第 157 页,IEEE802.11i标准,TKIP密码协议:,第 158 页,IEEE802.1
47、1i标准,AES算法:AES密码是一个迭代型分组密码,其分组长度和密码长度都是可变的,分组长度和密码长度可以独立的指定为128位,192位或者256位,第 159 页,IEEE802.11i标准,WRAP和CCMP密码协议:OCB模式与WRAP密码协议CCM模式与CCMP密码协议,第 160 页,WRAP和CCMP密码协议,OCB模式与WRAP密码协议:OCB模式,第 161 页,WRAP和CCMP密码协议,OCB模式与WRAP密码协议:WRAP加密,第 162 页,WRAP和CCMP密码协议,CCM模式与CCMP密码协议:CTR,第 163 页,WRAP和CCMP密码协议,CCM模式与CCM
48、P密码协议:CBC-MAC,第 164 页,WRAP和CCMP密码协议,CCM模式与CCMP密码协议:CCMP密码协议,第 165 页,IEEE802.11i标准,WAPI:WAI(WLAN Authentication Infrastructure)鉴别机制WPI(WLAN Privacy Infrastructure)加密机制,第 166 页,WAPI,WAI鉴别机制:鉴别激活接入鉴别请求证书鉴别请求证书鉴别响应接入鉴别响应,第 167 页,WAPI,WPI加密机制:密钥协商请求密钥协商响应密钥协商成功后,STA 与AP 将自己与对方产生的随机数据进行异或运算生成会话密钥Session_Key=AP_randomSTA_random,
