IEEE 802.11是IEEE制定的无线局域网标准,于1997年推出,是在无线局域网领域内的第一个国际上被认可的协议。802.11主要针对网络的物理层(PH)和媒体访问控制子层(MAC)进行了规定。由于802.11在速率和传输距离上都不能满足人们的需要,因此,在1999年IEEE小组又相继推出了802.11b和802.11a两个新标准,去年又推出了802.11g标准。据悉,IEEE 802.11委员会将于今年年内推出最新的802.11i标准,以提升大家普遍关注的无线局域网的安全性能。本文着重介绍802.11标准的体系结构和安全机制。
802.11体系结构
一、802.11体系结构的组成
802.11体系结构的组成包括:无线站点STA(station),无线接入点AP(access point),独立基本服务组IBSS(independent basic service set),基本服务组BSS(basic service set),分布式系统DS(distribution system)和扩展服务组ESS(extended service set)。
一个无线站点STA通常由一台PC机或笔记本计算机加上一块无线网卡构成,无线网卡分为台式机用的PCI或ISA插槽的网卡和笔记本电脑用的PCMCIA网卡,此外无线的终端还可以是非计算机终端上的能提供无线连接的嵌入式设备(例如802.11手机)。
无线接入点AP可以看成是一个无线的Hub,它的作用是提供STA和现有骨干网络(有线或无线的)之间的桥接。AP可以接入有线局域网,也可以不接入有线局域网,但在多数时候AP与有线网络相连,以便能为无线用户提供对有线网络的访问。AP通常由一个无线输出口和一个以太网接口(802.3接口)构成,桥接软件符合802.1d桥接协议。
802.11在网络构成上采用单元结构,将整个系统分成许多单元,每个单元称为一个BSS(基本服务组),多个BSS构成一个ESS(扩展服务组),不含AP的BSS称为IBSS(独立基本服务组)。
二、802.11的工作模式
802.11定义了两种工作模式:ad hoc(对等)模式和infrastructure(架构)模式。
在ad hoc模式中,至少需要包含两个STA,每两个STA之间直接相连实现资源共享,不需要AP和分布式系统,由此构成的无线局域网也称为IBSS网络。
在infrastructure模式中,各无线站点STA通过AP与现有的骨干网相连接,这种配置组成一个BSS。在BSS中,AP不仅提供STA之间通信的桥接功能,还提供STA与有线局域网的连接,以便无线用户访问有线网络上的设备或服务(如文件服务器、打印机、互联网链接等等)。
多个BSS互相连接即组成一个ESS。ESS支持漫游功能(移动性),无线站点STA可以在ESS内不同的BSS之间漫游。
分布式系统DS是用于BSS互联的逻辑组成单元,由它提供STA在BSS之间漫游的分配服务。
图1 802.11体系结构
三、STA和AP的关联和重关联
IEEE 802标准委员会为OSI七层模型的第二层--数据链路层定义了两个独立子层:逻辑连接控制子层(LLC)和媒体访问控制子层(MAC)。802.11无线标准定义了物理层和MAC子层规范以及向上与LLC层的通信。802.11体系结构的所有组成部分都是在MAC子层或物理层定义的。
802.11的MAC子层负责解决客户端STA和AP之间的连接。当无线站点STA进入一个或多个AP的覆盖范围时,它会根据信号的强弱和分组差错率自动选择某个AP启动关联过程(这个过程也称为加入一个基本服务组BSS)。一旦关联成功,STA就会将发送接受信号的频道切换为该AP的频段。在随后的时间内,STA将周期性地轮询所有频段,以探测是否有其它AP能够提供性能更高的服务。如果发现另一个AP能提供更强的信号或更低的差错率,STA会与新AP进行协商,然后将频道切换到新AP的服务频道中,这一过程称为"重关联"。
发生重关联的主要原因通常是由于STA在移动的过程中远离AP而导致信号减弱。此外如果一个AP关联了过多STA从而发生拥塞或者由于电波干扰而造成信号变化,也会引发重关联。在拥塞的情况下,重关联实现了"负载平衡",能够提高整个无线网络的利用率。
重关联的这种动态协商处理方式使得我们很容易通过布置多个相互之间有重叠覆盖范围的AP,来实现扩大整个无线网络覆盖面积的目的。STA在移动过程中,自动与不同的AP发生关联和重关联,并保持对于用户透明的无缝连接,这就是所谓的漫游功能。漫游包括基本漫游和扩展漫游。基本漫游是指无线STA的移动仅局限在一个扩展服务组ESS内部。扩展漫游指无线SAT从一个扩展服务组中的某个BSS移动到另一个扩展服务组中的某个BSS,但802.11并不保证这种漫游的上层连接。
四、802.11 MAC帧结构
802.11的MAC帧结构如图二所示,包含MAC头,帧体,和帧校验序列FCS。图中数字为每个字段的字节数。
图2 802.11 MAC帧格式
802.11安全
一、802.11安全
802.11标准提供了认证和加密两个方面的规范定义。它定义了两种认证服务:开放系统认证(Open System Anthentication)和共享密钥认证(Shared Key Authentication)。其中开放系统认证是802.11的缺省认证方法,包括提出认证请求和返回认证结果两个步骤。在共享密钥认证方法中,共享密钥通过独立于IEEE 802.11的安全信道分发给各个STA和AP,它既可以对已知共享密钥的无线站点成员提供认证服务,也可对不知道共享密钥的无线站点成员提供认证。
802.11标准定义的加密规范是WEP(Wired Equivalent Privacy)。WEP意在为无线网络提供与有线网络对等的安全保护。在无线网络中,由于数据通过天线以广播方式传输,因此如果没有一定的加密保护措施,信号非常容易被入侵者截取。
虽然802.11规范确实提供了认证和加密服务,但它却没有定义或提供WEP密钥管理协议,这是IEEE 802.11安全服务的不足之处。在拥有较多STA的大型无线infrastructure模式中,这一局限性所带来的安全缺陷尤为明显。802.1x草案详细描述了802.11的安全缺陷。
二、802.11认证
802.11定义了两种认证服务,认证类型用MAC帧的认证算法码(authentication algorithm number)字段标识。认证算法码字段值为"0"代表开放系统认证,字段值为"1"代表共享密钥认证。MAC帧的认证处理序列号(authentication transaction sequence number)字段用于指示认证过程的当前状态。
开放系统认证
开放系统认证使用明文传输,包括两个通信步骤。发起认证的STA首先发送一个管理帧表明自己身份并提出认证请求,该管理帧的认证算法码字段值为"0"表示使用开放系统认证,认证处理序列号字段值为"1"。随后,负责认证的AP对STA作出响应,响应帧的认证处理序列号字段值为"2"。
开放系统认证允许对所有认证算法码字段为"0"的STA提供认证,在这种方式下,任何STA都可以被认证为合法设备,所以开放式认证基本上没有安全保证。
共享密钥认证
共享密钥认证需要在STA和AP之间进行四次交互,使用经WEP加密的密文传输。
第一步:发起认证的STA同样首先发送一个管理帧表明自己身份并提出认证请求,该管理帧的认证处理序列号字段值为"1"。
第二步和第三步是个"握手"过程:第二步AP作出响应,响应帧的认证处理序列号字段值为"2",同时该帧中还包含一个由WEP算法产生的随机挑战信息(challenge text)。之后的第三步,STA对随机挑战信息用共享密钥进行加密后 发回给AP,这一步中,认证处理序列号字段值为"3"。
第四步:AP对STA的加密结果进行解密,并返回认证结果,认证处理序列号字段值为"4"。在这一步中,如果解密后的challenge text与第二步发送的原challenge text相匹配,则返回正的认证结果,即STA可以通过认证加入无线网络;反之,认证结果为负,STA不能加入该无线网。
在理论上,共享密钥认证是安全的。
三、802.11加密
在无线网络中,由于信息是通过天线以广播方式进行传输,因此如果不加密,信号很容易为入侵者截取。WEP安全协议旨在为无线网络提供与有线网络相当的安全措施。
WEP是IEEE 802.11标准定义的加密规范。虽然IEEE 802.11标准并没有强求所有的移动设备使用相同的WEP密钥,而且它允许移动设备同时拥有两套共享密钥:单址会话密钥和广播密钥,但目前符合IEEE 802.11标准的产品基本上只支持共享广播密钥,也就是说,所有的STA和AP使用的是同一个共享密钥。
WEP为授权无线局域网用户提供加密服务,其工作原理可简述为:WEP函数对帧中应用数据部分进行加密,并以密文替代原帧中的明文数据发送,同时通过在MAC头的的帧控制字段中设置WEP位,告知接收节点传输数据已加密。接收节点在收到密文帧后,用相同的加密机制对密文进行解密,并将解密结果替代回数据帧,这样就得到了发送方的原始数据信息。
WEP采用的是对称加密法,即加解密使用相同的密钥。IEEE 802.11在标准中定义了带24位初始向量(IV)的40位密钥(不同的软件供应商提供的实际密钥长度不尽相同,如有的产品提供带24位初始向量的104位密钥)。尽管WEP算法会根据不同的安全需求等级,周期性的更改向量初值,但一般一个WEP密钥持续的使用时间都很长。
由于在802.11标准中没有明确WEP共享密钥的分配方式,目前共享密钥都是通过独立于IEEE 802.11的安全信道分发给各个STA和AP的,所有的STA和AP使用同一个密钥,这在STA数量增大时,难以提供可靠的安全保障。802.11 没有为密钥的分发提供密钥管理协议的局限性使其难以胜任大型无线infrastructure模式中的安全服务。
为了能提供更好的访问控制和安全机制,在规范中加入密钥管理协议是有必要的。802.1x标准在分析802.11安全局限性的同时提出了一个密钥管理方案。据悉,802.1x将成为目前正在制定新的802.11i安全标准的一部分。
802.11体系结构
一、802.11体系结构的组成
802.11体系结构的组成包括:无线站点STA(station),无线接入点AP(access point),独立基本服务组IBSS(independent basic service set),基本服务组BSS(basic service set),分布式系统DS(distribution system)和扩展服务组ESS(extended service set)。
一个无线站点STA通常由一台PC机或笔记本计算机加上一块无线网卡构成,无线网卡分为台式机用的PCI或ISA插槽的网卡和笔记本电脑用的PCMCIA网卡,此外无线的终端还可以是非计算机终端上的能提供无线连接的嵌入式设备(例如802.11手机)。
无线接入点AP可以看成是一个无线的Hub,它的作用是提供STA和现有骨干网络(有线或无线的)之间的桥接。AP可以接入有线局域网,也可以不接入有线局域网,但在多数时候AP与有线网络相连,以便能为无线用户提供对有线网络的访问。AP通常由一个无线输出口和一个以太网接口(802.3接口)构成,桥接软件符合802.1d桥接协议。
802.11在网络构成上采用单元结构,将整个系统分成许多单元,每个单元称为一个BSS(基本服务组),多个BSS构成一个ESS(扩展服务组),不含AP的BSS称为IBSS(独立基本服务组)。
二、802.11的工作模式
802.11定义了两种工作模式:ad hoc(对等)模式和infrastructure(架构)模式。
在ad hoc模式中,至少需要包含两个STA,每两个STA之间直接相连实现资源共享,不需要AP和分布式系统,由此构成的无线局域网也称为IBSS网络。
在infrastructure模式中,各无线站点STA通过AP与现有的骨干网相连接,这种配置组成一个BSS。在BSS中,AP不仅提供STA之间通信的桥接功能,还提供STA与有线局域网的连接,以便无线用户访问有线网络上的设备或服务(如文件服务器、打印机、互联网链接等等)。
多个BSS互相连接即组成一个ESS。ESS支持漫游功能(移动性),无线站点STA可以在ESS内不同的BSS之间漫游。
分布式系统DS是用于BSS互联的逻辑组成单元,由它提供STA在BSS之间漫游的分配服务。
图1 802.11体系结构
三、STA和AP的关联和重关联
IEEE 802标准委员会为OSI七层模型的第二层--数据链路层定义了两个独立子层:逻辑连接控制子层(LLC)和媒体访问控制子层(MAC)。802.11无线标准定义了物理层和MAC子层规范以及向上与LLC层的通信。802.11体系结构的所有组成部分都是在MAC子层或物理层定义的。
802.11的MAC子层负责解决客户端STA和AP之间的连接。当无线站点STA进入一个或多个AP的覆盖范围时,它会根据信号的强弱和分组差错率自动选择某个AP启动关联过程(这个过程也称为加入一个基本服务组BSS)。一旦关联成功,STA就会将发送接受信号的频道切换为该AP的频段。在随后的时间内,STA将周期性地轮询所有频段,以探测是否有其它AP能够提供性能更高的服务。如果发现另一个AP能提供更强的信号或更低的差错率,STA会与新AP进行协商,然后将频道切换到新AP的服务频道中,这一过程称为"重关联"。
发生重关联的主要原因通常是由于STA在移动的过程中远离AP而导致信号减弱。此外如果一个AP关联了过多STA从而发生拥塞或者由于电波干扰而造成信号变化,也会引发重关联。在拥塞的情况下,重关联实现了"负载平衡",能够提高整个无线网络的利用率。
重关联的这种动态协商处理方式使得我们很容易通过布置多个相互之间有重叠覆盖范围的AP,来实现扩大整个无线网络覆盖面积的目的。STA在移动过程中,自动与不同的AP发生关联和重关联,并保持对于用户透明的无缝连接,这就是所谓的漫游功能。漫游包括基本漫游和扩展漫游。基本漫游是指无线STA的移动仅局限在一个扩展服务组ESS内部。扩展漫游指无线SAT从一个扩展服务组中的某个BSS移动到另一个扩展服务组中的某个BSS,但802.11并不保证这种漫游的上层连接。
四、802.11 MAC帧结构
802.11的MAC帧结构如图二所示,包含MAC头,帧体,和帧校验序列FCS。图中数字为每个字段的字节数。
图2 802.11 MAC帧格式
802.11安全
一、802.11安全
802.11标准提供了认证和加密两个方面的规范定义。它定义了两种认证服务:开放系统认证(Open System Anthentication)和共享密钥认证(Shared Key Authentication)。其中开放系统认证是802.11的缺省认证方法,包括提出认证请求和返回认证结果两个步骤。在共享密钥认证方法中,共享密钥通过独立于IEEE 802.11的安全信道分发给各个STA和AP,它既可以对已知共享密钥的无线站点成员提供认证服务,也可对不知道共享密钥的无线站点成员提供认证。
802.11标准定义的加密规范是WEP(Wired Equivalent Privacy)。WEP意在为无线网络提供与有线网络对等的安全保护。在无线网络中,由于数据通过天线以广播方式传输,因此如果没有一定的加密保护措施,信号非常容易被入侵者截取。
虽然802.11规范确实提供了认证和加密服务,但它却没有定义或提供WEP密钥管理协议,这是IEEE 802.11安全服务的不足之处。在拥有较多STA的大型无线infrastructure模式中,这一局限性所带来的安全缺陷尤为明显。802.1x草案详细描述了802.11的安全缺陷。
二、802.11认证
802.11定义了两种认证服务,认证类型用MAC帧的认证算法码(authentication algorithm number)字段标识。认证算法码字段值为"0"代表开放系统认证,字段值为"1"代表共享密钥认证。MAC帧的认证处理序列号(authentication transaction sequence number)字段用于指示认证过程的当前状态。
开放系统认证
开放系统认证使用明文传输,包括两个通信步骤。发起认证的STA首先发送一个管理帧表明自己身份并提出认证请求,该管理帧的认证算法码字段值为"0"表示使用开放系统认证,认证处理序列号字段值为"1"。随后,负责认证的AP对STA作出响应,响应帧的认证处理序列号字段值为"2"。
开放系统认证允许对所有认证算法码字段为"0"的STA提供认证,在这种方式下,任何STA都可以被认证为合法设备,所以开放式认证基本上没有安全保证。
共享密钥认证
共享密钥认证需要在STA和AP之间进行四次交互,使用经WEP加密的密文传输。
第一步:发起认证的STA同样首先发送一个管理帧表明自己身份并提出认证请求,该管理帧的认证处理序列号字段值为"1"。
第二步和第三步是个"握手"过程:第二步AP作出响应,响应帧的认证处理序列号字段值为"2",同时该帧中还包含一个由WEP算法产生的随机挑战信息(challenge text)。之后的第三步,STA对随机挑战信息用共享密钥进行加密后 发回给AP,这一步中,认证处理序列号字段值为"3"。
第四步:AP对STA的加密结果进行解密,并返回认证结果,认证处理序列号字段值为"4"。在这一步中,如果解密后的challenge text与第二步发送的原challenge text相匹配,则返回正的认证结果,即STA可以通过认证加入无线网络;反之,认证结果为负,STA不能加入该无线网。
在理论上,共享密钥认证是安全的。
三、802.11加密
在无线网络中,由于信息是通过天线以广播方式进行传输,因此如果不加密,信号很容易为入侵者截取。WEP安全协议旨在为无线网络提供与有线网络相当的安全措施。
WEP是IEEE 802.11标准定义的加密规范。虽然IEEE 802.11标准并没有强求所有的移动设备使用相同的WEP密钥,而且它允许移动设备同时拥有两套共享密钥:单址会话密钥和广播密钥,但目前符合IEEE 802.11标准的产品基本上只支持共享广播密钥,也就是说,所有的STA和AP使用的是同一个共享密钥。
WEP为授权无线局域网用户提供加密服务,其工作原理可简述为:WEP函数对帧中应用数据部分进行加密,并以密文替代原帧中的明文数据发送,同时通过在MAC头的的帧控制字段中设置WEP位,告知接收节点传输数据已加密。接收节点在收到密文帧后,用相同的加密机制对密文进行解密,并将解密结果替代回数据帧,这样就得到了发送方的原始数据信息。
WEP采用的是对称加密法,即加解密使用相同的密钥。IEEE 802.11在标准中定义了带24位初始向量(IV)的40位密钥(不同的软件供应商提供的实际密钥长度不尽相同,如有的产品提供带24位初始向量的104位密钥)。尽管WEP算法会根据不同的安全需求等级,周期性的更改向量初值,但一般一个WEP密钥持续的使用时间都很长。
由于在802.11标准中没有明确WEP共享密钥的分配方式,目前共享密钥都是通过独立于IEEE 802.11的安全信道分发给各个STA和AP的,所有的STA和AP使用同一个密钥,这在STA数量增大时,难以提供可靠的安全保障。802.11 没有为密钥的分发提供密钥管理协议的局限性使其难以胜任大型无线infrastructure模式中的安全服务。
为了能提供更好的访问控制和安全机制,在规范中加入密钥管理协议是有必要的。802.1x标准在分析802.11安全局限性的同时提出了一个密钥管理方案。据悉,802.1x将成为目前正在制定新的802.11i安全标准的一部分。
扫一扫
438
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
