《信息安全与技术课件09(清华大学)》由会员分享,可在线阅读,更多相关《信息安全与技术课件09(清华大学)(53页珍藏版)》请在金锄头文库上搜索。
1、信息安全与技术清华大学出版社第9章 无线网安全与防御技术9.1 无线网络安全概述及无线网络设备l9.1.1无线网络安全概述l9.1.2无线网络设备9.1.1无线网络安全概述l无线局域网(Wireless Local Area Network,即WLAN)是 指以无线信道作传输媒介的计算机局域网,是有线联网方 式的重要补充和延伸,并逐渐成为计算机网络中一个至关 重要的组成部分,广泛适用于需要可移动数据处理或无法 进行物理传输介质布线的领域。随着IEEE802.11无线网 络标准的制定与发展,使无线网络技术更加成熟与完善。 并已成功的广泛应用于众多行业。产品主要包括:无线接 入点、无限网卡、无线路
2、由器、无线网关、无线网桥等。l近年来无线网络的应用却日渐增加。特别是当无线网络技 术与Internet相结合时,其迸发出的能力是所有人都无法 估计的。射频无线鼠标、WAP手机上网等都具有无线网 络的特征。l目前最为热门的三大无线技术是WiFi、蓝牙以及HomeRF9.1.1无线网络安全概述无限网络存在许多的安全性问题,主要表现在以下几个方面 :l所有常规有线网络存在的安全威胁和隐患都存在;l外部人员可以通过无线网络绕过防火墙,对公司网络进行非授权 存取;l无线网络传输的信息没有加密或者加密很弱,易被窃取、窜改和 插入;l无线网络易被拒绝服务攻击(DOS)和干扰;l内部员工可以设置无线网卡为P2
3、P模式与外部员工连接;l无线网络的安全产品相对较少,技术相对比较新。9.1.2无线网络设备在无线局域网里,常见的设备有无线 网卡、无线网桥、无线天线、AP接入 点等。l无线网卡:l作用类似于以太网中的网卡,作为无线局域网的接口,实 现与无线局域网的连接。l无线网卡根据接口类型的不同,主要分为三种类型,即 PCMCIA无线网卡、PCI无线网卡和USB无线网卡。lAP接入点lAP是英文ACCESS POINT 。它主要是提供无线工作站对 有线局域网和从有线局域网对无线工作站的访问,在访问 接入点覆盖范围内的无线工作站可以通过它进行相互通信 。 9.1.2无线网络设备l无线网桥l无线网桥顾名思义就是
4、无线网络的桥接,它可在两个或多个网络 之间搭起通信的桥梁(无线网桥亦是无线AP的一种分支)。无线网 桥除了具备上述有线网桥的基本特点之外,比其它有线网络设备 更方便部署。l无线天线l当计算机与无线AP或其他计算机相距较远时,随着信号的减弱, 或者传输速率明显下降,或者根本无法实现与AP或其他计算机之 间通讯,此时,就必须借助于无线天线对所接收或发送的信号进 行增益(放大)。l无线终端设备l无线移动终端一般指的是用户直接使用并具有无线网络接入能力 的数字终端,目前市面上主要有迅驰笔记本电脑、带有WLAN无 线网卡的台式PC机、具有WLAN接入功能的手机、PDA等等,甚 至现在还有带WLAN通信功
5、能的摄像、监控设备。9.2 无线局域网的标准l9.2.1 IEEE的802.11标准系列l9.2.2 ETSI的HiperLan2l9.2.3 HomeRF9.2 无线局域网的标准l目前国际上有三大标准家族,他们是美国IEEE 802.11家族、欧洲ETSI 高性能局域网HIPERLAN系 列和日本ARIB 移动多媒体接入通信MMAC。l其它类似标准还有美国HomeRF 共享无线接入协议 SWAP。l2003年5月,两项 WLAN 中国标准已正式颁布。这两 项国家标准在原则采用IEEE 802.11/802.11b系列标 准前提下,在充分考虑和兼顾WLAN产品互连互通的 基础上,针对WLAN的
6、安全问题,给出了技术解决方 案和规范要求。l这里面,IEEE 802.11系列标准是WLAN的主流标准 。 9.2.1 IEEE的802.11标准系列l在1997年,经过了7年的工作以后,IEEE发布了802.11协议,这也是在 无线局域网领域内的第一个国际上被认可的协议。在1999年9月,他们 又提出了802.11b“High Rate“协议,用来对802.11协议进行补充, 802.11b在802.11的1Mbps和2Mbps速率下又增加了5.5Mbps和11Mbps两 个新的网络吞吐速率,后来又演进到802.11g的54Mbps,直至今日 802.11n的300Mbps以上。lIEEE
7、802.11标准是无线网络技术发展的一个里程碑 IEEE 802.11(Wireless Fidelity,Wi-Fi,无线相容认证)标准定义物理层 和媒体访问控制(MAC)规范。物理层定义了数据传输的信号特征和调制 ,定义了两个RF传输方法和一个红外线传输方法,RF传输标准是跳频 扩频和直接序列扩频,工作在2.40002.4835GHz频段。lIEEE 802.11alIEEE 802.11bl802.11elIEEE 802.11gl802.11hl802.11i9.2.1 IEEE的802.11标准系列1IEEE 802.11工作方式l802.11定义了两种类型的设备,一种是无线站,通常
8、是通过一 台PC机器加上一块无线网络接口卡构成的,另一个称为无线接 入点(Access Point, AP),它的作用是提供无线和有线网络之 间的桥接。一个无线接入点通常由一个无线输出口和一个有线的 网络接口(802.3接口)构成,桥接软件符合802.1d桥接协议。接 入点就像是无线网络的一个无线基站,将多个无线的接入站聚合 到有线的网络上。无线的终端可以是802.11PCMCIA卡、PCI接 口、ISA接口的,或者是在非计算机终端上的嵌入式设备(例如 802.11手机)。l802.11定义了两种模式:Infrastructure模式和Ad hoc模式,在 Infrastructure模式中,
9、如图9-1,无线网络至少有一个和有线网 络连接的无线接入点,还包括一系列无线的终端站。这种配置成 为一个BSS(Basic Service Set 基本服务集合)。一个扩展服务集 合(ESS Extended Service Set)是由两个或者多个BSS构成的一 个单一子网。由于很多无线的使用者需要访问有线网络上的设备 或服务(文件服务器、打印机、互联网链接),他们都会采用这种 Infrastructure模式。9.2.1 IEEE的802.11标准系列2IEEE 802.11物理层l在802.11最初定义的三个物理层包括了两个扩展频谱技术和一 个红外传播规范,无线传输的频道定义在2.4GH
10、z的ISM波段内 ,这个频段,在各个国家无线管理机构中,都是非注册使用频段 。这样,使用802.11的客户端设备就不需要任何无线许可。扩 展频谱技术保证了802.11的设备在这个频段上的可用性和可靠 的吞吐量,这项技术还可以保证同其他使用同一频段的设备不互 相影响。802.11无线标准定义的传输速率是1Mbps和2Mbps, 可以使用跳频序列扩频技术 (frequency hopping spread spectrum,FHSS)和直接序列扩频技术 (direct sequence spread spectrum,DSSS),需要指出的是,FHSS和DSSS技术 在运行机制上是完全不同的,所以
11、采用这两种技术的设备没有互 操作性。9.2.1 IEEE的802.11标准系列3802.11b的增强物理层l802.11b在无线局域网协议中最大的贡献就在于它在802.11协议 的物理层增加了两个新的速度:5.5Mbps和11Mbps。为了实现这 个目标,DSSS被选作该标准的唯一的物理层传输技术,这是由 于FHSS在不违反FCC原则的基础上无法再提高速度了。这个决 定使得802.11b可以和1Mbps和2M的802.11bps DSSS系统互操 作,但是无法和1Mbps和2Mbps的FHSS系统一起工作。l在802.11b标准中,一种更先进的编码技术被采用了,在这个编 码技术中,抛弃了原有的
12、11位Barker序列技术,而采用了 CCK(Complementary Code Keying)技术,它的核心编码中有一 个64个8位编码组成的集合,在这个集合中的数据有特殊的数学 特性使得他们能够在经过干扰或者由于反射造成的多方接受问题 后还能够被正确地互相区分。5.5Mbps使用CCK串来携带4位的 数字信息,而11Mbps的速率使用CCK串来携带8位的数字信息 。两个速率的传送都利用QPSK作为调制的手段,不过信号的调 制速率为1.375MSps。这也是802.11b获得高速的机理。 9.2.1 IEEE的802.11标准系列4802.11数字链路层l802.11的数据链路层由两个之层
13、构成,逻辑 链路层LLC(Logic Link Control)和媒体控制层 MAC(Media Access Control)。802.11使用 和802.2完全相同的LLC之层和802协议中的 48位MAC地址,这使得无线和有线之间的桥 接非常方便。但是MAC地址只对无线局域网 唯一。 9.2.2 ETSI的HiperLan21HiperLan2简介lHiperLan是ETSI(European Telecom Standards Institute,欧洲 电信标准学会)的RES10工作组在1992年提出的一个WLAN标准 ,HiperLan2是它的后续版本,HiperLan2部分建立在G
14、SM基础 上,使用频段为5GHz。l在物理层上HiperLan2和802.11a几乎完全相同:它采用OFDM技 术,最大数据速率为54Mbps,实际应用吞吐率最低也能保持在 20Mbps左右,为视频和话音一类的实时应用提供了新的途径。 它和802.11a最大的不同是HiperLan2不是建立在以太网基础上的 ,而是采用的TDMA结构,形成是一个面向连接的网络,其传输 结构能够对多种类型的网络基础结构(包括以太网、IP、ATM和 PPP)提供连接,而且对每一种连接都具有安全认证和加密功能。lHiperLan2的面向连接的特性使它很容易满足QoS要求,可以为 每个连接分配一个指定的QoS,确定这个
15、连接在带宽、延迟、拥 塞、比特错误率等方面的要求。这种QoS支持与高传输速率一起 保证了不同的数据序列(如视频、话音和数据等)可以同时进行高 速传输,将开辟诸如视频信号分配到家庭等多种全新的应用业务 。9.2.2 ETSI的HiperLan22HIPERLAN2的主要特点l第一是高速数据传输。l第二是面向链接的机制。l第三是QoS支持。l第四是自动频率分配。l第五是安全性支持。l第六是移动性支持。l第七是网络与应用的独立性。l第八是节能管理。9.2.3 HomeRFlHomeRF工作组是由美国家用射员会领导、于1997年成立的, 其主要工作任务是为家庭用户建立具有互操作性的话音和数据通 信网。
16、lHomeRF无线标准是由HomeRF工作组开发的开放性行业标准, 基于原始的802.11的FHSS版本。顾名思义,HomeRF是为家庭 网络设计的(RF Radio Frequency意思是射频),是一种将家中的 PC和用户电子设备之间实现无线数字通信的开放性工业标准, 目的是在家庭范围内,使计算机与其他电子设备之间实现无线通 信。它推出HomeRF的标准集成了语音和数据传送技术,工作频 段为2.4GHz,数据传输速率达到100Mbit/s,在WLAN的安全性 方面主要考虑访问控制和加密技术。lHomeRF的特点是安全可靠;成本低廉;简单易行;不受墙壁和 楼层的影响;传输交互式语音数据采用TDMA技术,传输高速数 据分组则采用CSMA/CA技术;无线电干扰影响小;支持流媒体 。但其推广一直不力,目前已基本退出历史舞台。 9.3 无线局域网安全协议为解决无线局域网络安全问题,网络安全专家先 后提出了有线等效保密(Wired Equivalent Privacy, WEP)方案;过渡期间的Wi-Fi保护存取(Wi-Fi Protected Access,
