《WLAN理论基础》由会员分享,可在线阅读,更多相关《WLAN理论基础(52页珍藏版)》请在金锄头文库上搜索。
1、Contents,WLAN基础概念 工作原理简介 IEEE802.11基本协议 IEEE802.11其他协议 其它,WLAN与其它通信标准之间的关系,从协议中,WLAN的定位为:最后百米覆盖使用; 随着技术的发展,带宽能力在逐渐的提高,11n的标准提供100M带宽能力;,WLAN基础概念及工作原理,无线局域网(WLAN)就是一种无线数据网络,它是以无线方式构建的局域网,或者说,不用线缆设备相连的局域网络。WLAN利用电磁波在空气中发送和接收数据,而无需线缆介质。的数据传输速率现在已经能够达到54Mbps,传输距离可远至公里以上。它是对有线联网方式的一种补充和扩展,使网上的计算机具有可移动性,能
2、快速方便地解决使用有线方式不易实现的网络互联问题。无线局域网常用的实现技术有:家用射频工作组提出的HomeRF、Bluetooth(蓝牙)以及美国的802.11协议和欧洲的HiperLAN2协议等。以IEEE 802.11协议为基础的无线局域网在标准之争中脱颖而出,成为目前企业网领域占主导地位的无线局域网标准。,WLAN基础概念解释,ESS:描述一种无线服务 SSID:是BSS的描述 SSIDService Set ID 无线网络系统的业务标识符; 一般情况,SSID不作为一种加密方式。由AP周期的向外广播。无线用户端可以搜索到空中有哪些无线网络; 有些AP可以禁止SSID的广播,此时SSID
3、具备一定的安全性; STA:客户端 AP:Access Point Wireless Switch:无线交换机 Wireless Controller:无线控制器,WLAN协议族,802.11的协议主要定义了二层(PHY层与MAC层),同时协议越来越完善,针对企业 用户的应用已经能满足相关的业务需求,802.11系列标准(一),802.11系列标准(二),802.11e:该协议将QoS功能加入到802.11网络上,它用TDMA方式取代类似Ethernet的MAC层,为重要的数据增加额外的纠错功能802.11f:IAPP(Inter-Access Point Protocol),接入点内部协议,
4、该协议是为了改善802.11中的切换机制而制定的,以使用户能够在两个不同的交换分区(无线信道)之间,或在加到2个不同的网络上的接入点之间漫游的同时保持连接功能802.11h:是对802.11a的补充,增加了动态频率选择(DFS)和发射功率控制(TPC),降低对采用同样频段的雷达或其它宽频通信系统的干扰,使之符合5Ghz频段无线局域网的欧洲规范。,802.11系列标准(三),802.11i:加强了安全性。它采用了802.1x的认证协议、改进的密钥分布架构以及AES(Advanced Encryption Standard)加密。802.11i已在2004年6月24的IEEE标准会议上正式获得批准
5、802.11j:实际上是日本的802.11a标准,由于802.11a所定义的5GHz频段在日本无法使用,802.11j定义了新的4.95GHz的工作频段。802.11n:下一个无线新标准,对PHY层和MAC层进行了优化,同时支持2.4GHz和5GHz频段,并采用了MIMO技术,使吞吐量大大增加,该标准定义的WLAN的传输速率至少将达到100Mbps(MAC层速度),使通过WLAN的多媒体和家庭娱乐应用成为可能,势必成为802.11b、802.11a、802.11g之后WLAN领域的另一场重头戏。802.11n标准的第一个草案(Draft)在2006年1月发布,预计在2006年底或2007年初标
6、准将正式通过。,Wireless其他相关组织和协议,Wi-Fi联盟 成立于1999年的Wi-Fi联盟是一个非牟利国际协会,旨在认证基于IEEE 802.11规格的无线局域网产品的互操作性和推动wireless新标准的制定 目前已知的相关标准 WPA:802.11i的子集,支持802.1x认证以及TKIP加密算法 WPA2: 802.11i WMM:802.1e的子集,支持EDCA方式 WAPI 中国无线网络产品国标中安全机制的标准,包括无线局域网鉴别(WAI)和保密基础结构(WPI)两部分。核心技术由西安捷通公司掌握。由于其加密算法未公开,只能购买指定公司的加密芯片,因此遭到国外大多数公司的抵
7、制 。,Contents,WLAN基础概念 工作原理简介 IEEE802.11基本协议 IEEE802.11其他协议 其它,无线传输的干扰因素-障碍物,电磁波的穿透性能是和频率相关的。 当发射功率不足够大时,在建筑物后形成无线覆盖盲区。,无线传输的干扰因素-多径干扰,无线传输的干扰因素电磁干扰,2.4GHz为ISM频段,不需授权即可使用。 同一区域内AP之间的互相干扰,干扰方式分为同信道干扰和邻信道干扰。 其他干扰源 微波炉 医疗设备 双向寻呼系统 脉冲雷达系统 其它无线通讯系统 干扰的存在会使系统的整体性能有非常明显的下降,在有些时候甚至会失去工作的能力。,有效带宽吞吐率,标准定义了空口带宽
8、,按标准协议去实现的话,理论带宽(1500字节)核算,利用为:50%左右(11b: 11M vs 5.5M;11g:54M vs 24.7M);从调制原理的角度出发,AP接入用户数基本均分其有效带宽;其他用于协议封装或冲突避免开销 无线环境不停的变化 物理建筑的构成 共享介质 用户数 数据量,WLAN覆盖范围,802.11g的理论覆盖与802.11b的相同,比802.11a覆盖距离要大 802.11b的覆盖距离及与速率间的关系见表中描述,随机退避,当 STA 需要发送帧时,如果信道空闲,则等待 DIFS在发送数据;如果信道正被其他 STA 占用,则应在信道空闲后等待 DIFS再进行随机退避后进
9、行发送 随机退避时间以 SlotTime 为单位,用一个减计数器保存,初始值为随机整数,称为竞争窗口(Contention Window, CW) 在退避窗口期间,计数器每过 SlotTime 减一 计数器减到零之前,如果信道上有信号发送,则退避窗口结束,计数器暂停,到下次退避窗口时再继续计数 若计数器计到零,且信道上没有侦听到信号,则 STA 在下一个 SlotTime 时将帧发送,同时保持对信道的控制权直到帧序列传输完成或出现异常(未收到对方响应) 发送完成后,应生成新的竞争窗口继续执行随机退避的操作,Contents,WLAN基础概念 工作原理简介 IEEE802.11基本协议 IEEE
10、802.11其他协议 其它,WLAN的接入模式,Ad hoc (peer to peer) 无需AP,不能接入到有线网络中。 Infrastructure 覆盖区域为基本服务区(BSS); 通讯均通过AP; AP可以连接到有线网络。,WLAN基础概念解释,SSID SSIDService Set ID 无线网络系统的业务标识符。 一般情况,SSID不作为一种加密方式。由AP周期的向外广播。无线用户端可以搜索到空中有哪些无线网络。 有些AP可以禁止SSID的广播,此时ESSID具备一定的安全性。 WPA Wi-Fi Protected Access 加密比特位数为128bits。 数据报完整性检
11、测采用MIC(Message Intigrity Check) 加密密钥为动态。每一个用户,每一个会话,每一个数据包使用不同的密钥 TKIP(Temporal Key Integrity Protocol)用于密钥的分发及管理。密钥数可达500,000,000,000。(WEP为224) 采用802.1x用户认证方式。支持EAP-TLS, EAP-TTLS, PEAP,WLAN基础概念解释,WPA2 WPA2支持128bits,192bits,256bits 采用AES(Advanced Encryption Standard) 兼容WPA1.0 支持TKIP, PSK 用来加密所有的802.
12、11设备。(包括802.11b, 802.11a, 802.11g等等) EAP EAP的类型:EAP-MD5、EAP-SIM、EAP-TLS、EAP-TTLS (Funk)、PEAP (MicroSoft, Cisco,REA security)、LEAP (Cisco) EAP-MD5是最早的EAP认证类型。它是基于用户名,密码方式的认证。认证过程与CHAP认证过程基本相同。EAP-MD5代表了802.1x设备中对EAP最基本的支持。基于MAC地址的认证方式及基于SIM的认证方式都与EAP-MD5雷同。 EAP-TLS是一种基于证书的认证方式,它是对用户端和认证服务器端进行双向认证的认证方
13、式。它依赖于驻留在用户端和认证服务器端的证书来实现认证。并且动态产生每个用户及每个会话都不相同的密钥,用于AP与无线用户端的加密。,802.11 MAC层工作原理用户接入管理过程,建立802.11数据链路,后续执行上层功能,诸如:MAC认证、802.1X认证、ARP、IP,二种发现机制:Beacon、Probe,802.11 MAC层工作原理 -Encryption 加密,采用基于RC4对称流加密算法的WEP加密 STA和AP需要预先配置相同的静态Key,Key的长度为40 bit或104bit 每次对数据加密的Key静态Key24bit的IV值(IV值为动态生成) 所有的STA共用相同的静态
14、Key造成: 当用户的STA丢失或者用户离职时需要对所有用户STA重新配置新的静态Key。 静态Key泄漏被发现前,网络存在安全隐患 24bit的IV值太短造成: Attacker可以在分析侦听到的1M-4M用户报文后破解加密Key,WEP加密过程,802.11 MAC层工作原理漫游和同步,Wireless漫游的概念 STA可以在属于同一个ESS的AP接入点接入,可以使用同一信道或不同信道; STA可以在Wireless网络中任意移动,同时保证已有的业务不中断,用户的标识(IP地址)不改变。 Wireless漫游的分类 二层漫游 在同一个子网内的AP间漫游 由于不涉及子网的变化,因此只需保证用
15、户在AP间切换时访问网络的权限不变即可。为了保证快速的切换,通常都会利用STA在原有AP上使用的资源(例如Key等) 三层漫游 在不同子网内的AP间漫游 除了要实现二层漫游中提到的内容以外,通常会采用一些特殊手段来保证用户业务的不中断。目前较流行的做法有:Mobile IP、 VLAN二层透传、GRE二层隧道、IP in IP三层隧道等,Contents,WLAN基础概念 工作原理简介 IEEE802.11基本协议 IEEE802.11其他协议 IEEE802.11i IEEE802.11e IEEE802.11f 其它,从加密到安全,WEP够了吗?整个网络公用一个共享密钥,一旦丢失,整个网络
16、都很危险。IV向量太短,且用明文传送,容易被监听RC4加密算法本身过于简单。How to do?增加一种密钥管理机制 更高级的加密算法,802.11 i协议安全认证和加密,引入RSNA (robust security network association)概念增强了STA和AP的认证机制 支持802.1x认证,并采用双向认证方式有效的防止非法AP的使用 支持Pre-shared key认证方式,该方式要求在STA侧预先配置Key,AP通过4次握手Key协商协议来验证STA侧Key的合法性增加了 Key的生成、管理以及传递的机制 每用户使用独立的Key 通过非对称密钥算法生成和传递用户数据加密使用的Key增加了两类对称加密算法,加密强度大大增强 TKIP:核心仍然是RC4算法 CCMP:核心为AES算法,802.11 i协议用户通过802.1x认证接入过程TLS认证举例,802.11 i协议Pre-authentication技术,优点:STA在切换AP以后不必在进行烦琐的802.1x认证和Key交换,加快了切换速度 缺点:STA和周围接收范围内的所有AP都作认证消耗系统资源较大、需要STA软件支持,
