（计算机应用技术专业论文）无线局域网ap中嵌入8021x的研究.pdf

学位论文独创性声明 本人所呈交的学位论文是我在导师的指导下进行的研究工作及取得的 研究成果。据我所知，除文中已经注明引用的内容外，本论文不包含其他 个人已经发表或撰写过的研究成果。对本文的研究做出重要贡献的个人和 集体，均己在文中作了明确说明并表示谢意。 作者签名：铆 学位论文使用授权声明 本人完全了解华东师范大学有关保留、使用学位论文的规定，学校有权保 留学位论文并向国家主管部门或其指定机构送交论文的电子版和纸质版。有权 将学位论文用于非赢利目的的少量复制并允许论文进入学校图书馆被查阅。有 权将学位论文的内容编入有关数据库进行检索。有权将学位论文的标题和摘要 汇编出版。保密的学位论文在解密后适用本规定。 学位论文作者签名：勃1 丰， 日期：毒印年；艿 导师样：脚 日期：7 ，o o q , 3 吁 摘要关键字 摘要 基于8 0 2 1 1 标准的无线局域网，其典型a p 结构中的安全性主要有共享密钥认证、s s i d ( s e r v i c es e t i d e n t i f i e r ) 认证、m a c 地址认证和一个被称为w e p ( w i r e d e q u i v a l e n t p r i v a c y ) 的安全协议来保证。但这些认证方法和w e p 协议存在巨大的安全漏洞，无法保证无线网 络的安全。 8 0 2 i x 是基于端口进行网络访问控制的安全性标准，它提供了一种安全结构框架，通 过使用各种认证方法和加密机制可以保障网络的安全。为了克服8 0 2 1 1 的安全缺陷，8 0 2 1 1 引入了8 0 2 ，l x 协议。 本文分析了原有系统在安全上的不足，研究了在无线局域网a p 中引入8 0 2 1 x 协议的 方法和结构，包括8 0 2 1 x 相关层次的功能、为实现这些功能需要定义的主要数据结构和主 要函数。在此基础上，进行了嵌入8 0 2 1 x 的a p 结构在h o s t a p 环境下的模拟实现，并对 该实现的m a c 层的报文进行了抓取，说明嵌入8 0 2 1 x 的a p 是如何确保数据通信的安全 的。 关键字 无线局域网 e a p o l 8 0 2 1 1 r 丑d i u s 端口8 0 2 1 x扩展认证协议 e a p - t l se a p - m d 5认证 a b s t r a c t t h ew i r e l e s sl a nb a s e do n8 0 2 1 1s t a n d a r dh a si t st y p i c a ls a f e t yi na ps t n l c t u r e ：s h a r e d k e ya u t h e n t i c a t i o n 、s s i d ，m a ca d d r e s sa u t h e n t i c a t i o na n d as a f e t yp r o t o c o lc a l l e dw e p h o w e v e r , t h o s ea b o v e - m e n t i o n e da u t h e n t i c a t i o nm e t h o d sa n dw e pp r o t o c o a le x i s tg r a v es a f e t y l o o p h o l e ，a n dt h es a f e t yo f t h ew i r e l e s sn e t w o r kc a nn o tb eg u a r a n t e e d 8 0 2 i x ，as a f e t yp o r t - b a s e dn e t w o r ka c c e s sc o n t r o ls t a n d a r d ，p r o v i d e sas a f e t yf r a m e w o r k ， a n de n s u r e st h es a f e t yo ft h en e t w o r kt h r o u g hv a r i o u sa u t h e n t i c a t i o nm e t h o d sa n de n c r y p t i o n m e c h a n i s m s 。t oo v e r c o m e t h es a f e t yd r a w b a c k s o f 8 0 2 1 1 ，8 0 2 i x i s i n t r o d u c e d t h et h e s i sa n a l y s e st h ew e a kp o i n t si nt h ea s p e c t so ft h es a f e t yi nt h ep e v i o u ss y s t e m ，a n d s t u d i e st h em e t h o d sa n dt h es t r u c n l r eo fi n t r o d u c i n g8 0 2 1 xi nt h ea po ft h ew i r e l e s sl a n i n c l u d i n gt h ef u n c t i o no f t h er e l a t e da s p e c t so f 8 0 2 1 x ，t h ed a t as 仃u c t u r e sa n df u n c t i o n sn e e d e d t 0b ed e f i n e dt of u l f i l lt h o s ef u n c t i o n s t h et h e s i sa l s op u ts t r e s so ns i m u l a t e df u l f i l l m e n to ft h e a pa r c h i t e c t u r ee m b e d d e dw i t h8 0 2 1 xa g a i n s tt h eh o s t a pb a c k g r o t m da n dt h ec a p t u r eo f m e s s a g e so nt h em a cl e v e l s oa s t os h o wh o wa pa r c h i t e c t u r ee m b e d d e dw i t h8 0 2 1 x g u a r a n t e e st h es a f e t yo f d a t ac o m m u n i c a t i o ni n t h ew i r e l e s se n v i r o n m e n t k e y w o r d s w l a n e a p o l 8 0 2 r a d i u s p o r t8 0 2 1 x e a p e a p t l se a p m d 5a u t h e n t i c a t i o n i i 第一章引言 1 1 本章提示 第一章引言 本章给出了本文的研究背景，指出由于无线局域网的方便性及快速赢利使其得到了飞 速发展，但随着其发展壮大，原有的安全机制已经不能满足其发展的需要，安全问题日益 成为其发展的障碍，所以无线局域网的安全成为第一要解决的问题。本文正是基于这样的 背景下产生的。 1 2 无线局域网发展现状 无线局域网与有线局域网相比，在诸多方面都具有优势：一是容易安装，免去或减少 了网络布线的工作量；二是使用灵活，网络设备的安放位置不受网络信息点位置的限制， 一旦无线局域网建成后，在无线网的信号覆盖区域内任何一个位置都可以接入网络；三是 经济节约，由于有线局域网缺少灵活性，一旦网络的发展超出了设计规划，要花费较多费 用进行网络改造。而无线局域网可以避免或减少以上情况的发生，特别适合于变化频繁的 工作场台；四是易于扩展，无线局域网有多种配置方式，能够根据需要灵活选择。 无线局域网作为一种实现宽带无线i p 接入的典型形式，由于其具有支持移动计算、架 构灵活快捷、维护所需费用较低和可扩展性好等优点，应用日益广泛，国内外产业也逐步 成熟，成为i t 产业的亮点之一。在过去的近十年里，无线局域网飞速发展。现在它正保持 这种良好的势头。 市场调研厂商i n f o n e t i c s 公司在发表的一份报告中预测，尽管目前大企业和组织在部署 无线局域网技术方面不大积极，但到2 0 0 6 年前，无线局域网市场硬件的销售额将增长6 0 以上。l n f o n e t i c s 公司称，去年，全球无线局域网硬件的销售额为1 6 8 亿美元，到2 0 0 6 年， 这一数字将上升到2 7 2 亿美元，增长幅度为6 2 【jj 。 2 0 0 3 年1 0 月2 4 目消息，据h l s i g h t 研究公司新的市场研究报告称，全球无线局域 网服务和设备开支在未来5 年里将达到1 6 3 0 亿美元。i n s i 吐t 发表的题为北美和欧洲 的无线局域网：电信行业的未来2 0 0 3 - 2 0 0 8 ) ) 的对无线局域网行业的分析报告称，无线 局域网技术在机场、咖啡馆等公共场所以及私人住宅和企业等地方的应用正在迅速增 长。这种技术在欧洲的发展速度将比北美快。全球无线局域网销售收入在2 0 0 3 年为 7 0 亿美元，到2 0 0 8 年将增长到4 4 0 亿美元，混合年增长率为4 4 口】。 但随着无线局域网越来越，“泛的使用，它正暴露出越来越多的安全问题。企业在采用 无线局域网系统时很多都未采取适当的安全措施。 r s a s e c u r i t y 在英国伦敦进行的一项调查也表明，6 7 的无线局域网毫无安全可言p j 。 第一章引言 美国l a w r e n c el i v e r r n o r e 国家实验室宣布禁止无线计算机网络，原因在于这些设备的 系统中存在的安全隐患容易遭受到黑客的攻击而丢失机密信息。这个实验室主要负责研究 核武器以及其他国家防御技术，其发言人d a v i ds c h w o e g l e r 说，这次禁用了l i v e r m o r e 的 两个无线本地网络。 由于第一代无线局域网的种种安全漏洞，无线网络的安全问题已经引起了国内外不少 公司或组织的重视，各公司或组织纷纷投入大量的人力物力开始了无线局域网安全方面的 研究，探求无线局域网安全的解决方案。 1 3 无线局域网安全研究现状 研究分析表明原8 0 2 1 l 标准中提供的安全机制是很脆弱的，协议标准中没有关于身份 认证的机制，而现存的访问控制机制和数据保密机制都存在严重的漏洞。 8 0 2 ，1 1 网络中的每一个s t a 可使用一个网络名称( 被称为s s i d ，即服务集标识) ，s t a 通过递交s s i d 作为凭证接入a p ，只有那些知道s s i d 的用户才可以访问网络，这时s s i d 实际上是作为共享密钥。不幸的是，s s l d 定期被a p 以明文形式广播，攻击者就可以很容 易地嗅探到这个被用作共享秘密来获取受保护网络访问权限的网络名称。另外，s t a 一般 没有手段认证a p 的真实性”j 。 m a c 地址亦可用于验证和授权。m a c 是一个4 8 位的独特序列号码，每一个以太网 类型的装置都分配到一个。经过授权的m a c 地址清单可储存在每一个a p 内，只允许a p 的接入控制清单上有其m a c 地址的s t a 接通此a p 。但是，有两个原因使得m a c 地址访 问控制列表也不能提供合理的安全性。一是m a c 地址也以明文形式出现在信息帧中，即 使使用w e p 加密也是如此，所以攻击者可以很容易地探测到用户的m a c 地址；二是攻击 者探测到m a c 地址后，可通过软件来更改其m a c 地址。因此，通过窃听，攻击者可以 很容易地获取受权用户的m a c 地址，然后通过编程将想用的地址写入网卡就可以冒充这 个合法的m a c 地址，因此就可以“通过”访问控制的检查而访问“受保护”的网络。 8 0 2 1 1 无线网络使用w e p 来提供数据机密性和完整性，在链路层进行r c 4 对称加密， 这种加密方式存在的安全漏洞已经广为人知。在w e p 中，由于i v 太短、密钥共享、完整 性检验算法c r c 3 2 强度太低、没有密钥更新等原因造成无线网络中数据安全面临危险。 随着无线局域网的应用越来越广泛，如何保证无线宽带网络应用的安全性成为了这项 新技术面临的挑战。在美国，安全研究员和无线爱好者在城市和郊区已经发现了成百上千 的不安全的网络，这些网络允许黑客连接到互联网上并发起攻击，可是黑客们的行为却非 常难以被追踪。在我国，无线网络的漏洞也无处不在，这些问题无疑为我们敲响了无线网 络安全的警钟。 分析表明第一代无线网络的安全机制已经不能给现在的企业或组织提供足够的安全 性。由于第一代无线局域网的种种安全漏洞，无线网络的安全问题已经引起了国外不少公 司或组织的重视，各公司或组织纷纷投入人力物力开始了无线安全方面的研究，探求无线 2 第一章引言 网络安全的解决方案。比较知名的，如m i c r o s o rw m d o w sx p 系统的无线安全零配置方案 及c i s c o 的无线整体解决方案等。在众多的方案中，i e e e8 0 2 1 x 标准提供了一种结构框架， 人们可以在这种框架之上使用各种认证方法，如基于证书的认证，智能卡，一次性密钥等。 它提供一种基于端口的访问控制机制，这种机制可适用于各种各样的网络技术，如令牌环、 f d d i ( 8 0 2 5 ) 、i e e e8 0 2 1 l 和8 0 2 - 3 局域网等。 由国内著名信息安全厂商绿盟科技( w w w n s f o c u s c o r n ) 和诺亚思网络开发有限公司 r w w w w e b m a s t e r c o m c n ) 共同发起组织的国内第一个“无线局域网安全研究小组”在北京成 立，并于2 0 0 2 年1 1 月1 4 日召开了第一次工作会议，明确了研究小组的工作目标、任务与 计划，同时也确立了小组的组织机构与成员1 6 j 。这种局面必定会促进无线局域网的在我国 的进一步发展。 1 4 本文的研究目的和研究内容 事实上，基于8 0 2 1 1 典型的a p 结构本身存在诸多安全漏洞，并没有达到预期的安全 目标，可以说8 0 2 1 1 无线局域网基本上毫无安全性可言。本文的研究目标是分析原有系统 的安全漏洞，并研究在典型的a p 中嵌入8 0 2 1 x 这种新的基于端口的认证方法，从而达到 提高8 0 2 1 1 无线局域网安全的目的。 主要研究内容具体为： ( 1 ) 采用8 0 2 i x 无线安全标准结合r a d i u s 机制对用户进行身份识别和授权； ( 2 ) 使用8 0 2 ，l x 建立动态密钥交换和密钥生成机制，实现高安全性能的信息安全保护 体制； ( 3 ) 嵌入8 0 2 1 x 的a p 结构的研究； ( 4 ) 嵌入8 0 2 1 x 的a p 结构在h o s t a p 环境下的模拟实现： 解决的关键问题为： ( 1 ) 研究a p 结构中与8 0 2 1 x 相关的层次的功能、为实现这些功能需要定义的主要数 据结构和主要函数； ( 2 ) 设计一个d e m o 系统，实现a p 中8 0 2 1 x 的嵌入。并对无线局域网m a c 层的报 文进行抓取，说明嵌入8 0 2 ，l x 的a p 是如何确保数据通信的安全的； 1 5 本文的组织结构 本文的组织结构如下： 第二：章：无线局域网基本概念。对无线局域网进行简单的介绍，主要论述了无线局域 网1 e e e8 0 2 1 1 标准，着重论述了i e e e8 0 2 1 1 协议栈、体系结构、i e e e8 0 2 1 1 提供的服 务和工作过程等，使我们对无线局域网的基本概念有一个清晰的全面的了解。 第三章：8 0 2 1 1 典型的a p 结构和安全机制。在本章中主要介绍如下几个方面的内容： 3 第一章引言 8 0 2 1 1 典型的a p 结构中的组成部分以及每个部分的功能、典型的a p 结构提供的安全机 制及其存在的问题。 第四章：8 0 2 1 x 协议。8 0 2 1 x 协议是基于端口进行网络访问控制的安全性标准，本章 的内容主要包括：8 0 2 1 x 协议中的重要组成部分及其功能、8 0 2 1 x 协议的工作机制、e a p o l 协议、e a p 协议、e a p t l s 高层协议和r a d i u s 协议。 第五章：嵌入8 0 2 1 x 的a p 结构研究。嵌入8 0 2 1 x 的a p 结构是在典型的a p 结构中 加入8 0 2 1 x 功能模块。在这一章中主要介绍嵌入8 0 2 1 x 的a p 结构中与8 0 2 ，l x 相关层次 的功能、为实现这些功能需要定义的主要数据结构和主要函数。 第六章：嵌入8 0 2 1 x 的a p 结构的模拟实现。在本章中主要对嵌入8 0 2 1 x 的a p 结构 进行模拟实现，模拟环境为h o s t a p ，并对无线局域网m a c 层的报文进行抓取，说明嵌入 8 0 2 1 x 的a p 是如何确保数据通信的安全的。 第七章：总结和展望。本章主要对本文进行总结，指出本文的研究成果以及今后进一 步有待研究的工作。 4 第二章无线局域网基本概念 第二章无线局域网基本概念 2 1 本章提要 本章对无线局域网进行简单的介绍，着重论述了i e e e8 0 2 1 1 物理层和m a c 层技术、 8 0 2 1 1 体系结构、8 0 2 1 1 提供的服务、工作过程等，使我们对无线局域网的一些相关概念 和基本知识有一个清晰的全面的了解。 2 2 无线局域网8 0 2 1 1 标准的产生 移动计算网络基本上可以分为两种解决方案：广域解决方案和局域解决方案。广域方 案主要是依靠无线蜂窝数据通信网络和卫星通信网络作为移动计算的物理网，而在地域范 围上受限制，但速率更高的移动解决方案是无线局域网。 无线局域网是9 0 年代计算机网络与无线通信技术相结合的产物，它提供了使用无线多 址信道的一种有效方法来支持计算机之间的通信，并为通信的移动化、个人化和多媒体应 用提供了潜在的手段。 世界上第一个试验性无线局域网是1 9 8 7 年建立的，随后，在医疗、零售、机场等地方， 出现无线局域网。为了解决各厂商的无线局域网的互联问题，于是1 9 9 0 年1 1 月成立1 e e e 8 0 2 1 1 委员会，着手制定无线局域网标准，并于1 9 9 7 年6 月制定出全球第一个无线局域网 标准1 e e e8 0 2 1 1 。i e e e8 0 2 1 1 无线局域网标准使得不同供应商的产品具有了互操作性， 这也是在无线局域网领域内的第一个国际上被认可的协议。该标准定义了物理层和媒体访 问控制( m a c ) 协议的规范和一些基本的信令规范及服务规范，允许无线局域网及无线设备 制造商在一定范围内建立互操作网络设备。目前1 m b p s 和2 m b p s 的无线局域网技术和产 品已相当成熟，整个系统的实现成本也正逐渐下降。但与以太网相比，无线局域网较慢的 数据传输率成了其进一步发展的瓶颈。为此，i e e eg r o u p 又相继推出了新的高速标准 8 0 2 1 l b 和8 0 2 1 l a 两个新标准，而且后来又推出了相当于前二者的混合标准8 0 2 1 l g ，使 得无线局域网的速度又向前迈进了一大步1 7 j 。 2 3 无线局域网物理层和m a c 层技术 8 0 2 1 1 标准定义了物理层和媒体访问控制( m a c ) 协议的规范和一些基本的信令规范及 服务规范，允许无线局域网及无线设备制造商在一定范围内建立互操作网络设备。 第二章无线局域网基本概念 2 3 1 无线局域网物理层技术 在8 0 2 1 1 最初定义的三个物理层技术包括了两个扩散频谱技术和一个红外传播规范， 无线传输的频道定义在2 4 g h z 的i s m 波段内。 扩散频谱技术又称为扩频技术。扩展频谱技术包括以下几种方式：直接序列扩频 ( d s s s ) 、跳频扩频( f h s s ) 、跳时扩频( t h s s ) 、线性调频( c h i r p ) 以及这几种方式的 组合，i e e e8 0 2 1 1 定义了d s s s 和f h s s 两种方式j 。需要指出的是，f h s s 和d s s s 技术 在运行机制上是完全不同的，所以采用这两种技术的设备没有互操作性。 在8 0 2 1 1 b 中采用的是d s s s 技术。d s s s 技术是一种最被广泛应用的技术。使用连续 的2 2 m 带宽的宽频带，数据速率从1 m b p s 、2 m b p s 、5 5 m b p s 到1 1 m b p s 不等。d s s s 将待 发送的信息用伪随机码扩展到较宽的频带上去，在接收端用相同的伪随机码对接收到的信 号进行相关的处理，恢复出原始信息。f h s s 技术是在一个频带上发送完一段较短的信息 后，跳转到另一个频带上，在一段时间内跳转完所有的频带后，再开始另一个跳转周期驯。 2 3 2 无线局域网m a c 层技术 i e e e8 0 2 1 1m a c 子层的基本访问方法是d c f ( d i s t r i b u t e d c o o r d i n a t i o n f u n t i o n ) ，并在 此基础上补充了p c f ( p o i n tc o o r d i n a t i o nf u n t i o n ) ，其体系结构如图2 1 所示。 图2 1m a c 子层体系结构 其中分布协调功能d c f 是数据传输的基本方式，作用于媒体竞争期( c p ) ，其核心是 c s m a c a 技术。点协调功能p c f 建立在d c f 基础上，工作于非竞争期。p c f 的媒体访 问方法是：利用一个运行在b s s 内a p 上的p c ( 点协调器) 来决定当前哪一个s t a 有权 发送，其实质是由p c 负责的轮询。两者总是交替出现，先由d c f 竞争媒体使用权，然后 进入非竞争期( c f p ) ，由p c f 控制数据传输。 8 0 2 1 1 的m a c 和8 0 2 3 协议的m a c 非常相似，都是在一个共享媒体之上支持多个用 户共享资源，由发送者在发送数据前先进行网络的可用性检测。在8 0 2 3 协议中，是由一 种称为c s m a c d ( 载波侦听多点接入肿突检测) 的协议来完成调节，而在8 0 2 1 1 无线局域 网中，由于不容易像有线环境中那样检测到碰撞，因此8 0 2 1 1 把以太网的冲突检测改为冲 突避免，采用了新的协议c s m a c a ( 载波侦听多点接入冲突避免) 。冲突避免主要是通过 虚拟载波侦听和随机退避两种机制来实现“。 在s t a 发送数据之前，先确定媒体是否空闲，可通过物理载波侦听机制和虚拟载波侦 6 第二章无线局域网基本概念 听机制共同反映。只要其中有一种机制指示为忙，就认为媒体忙。物理载波侦听机制由物 理层提供，用来检测媒体的能量，当媒体能量超过一定的门限时，则认为媒体被占用。虚 拟载波侦听机制由m a c 提供，利用网络分配向量( n e t w o r ka l l o c a t i o nv e c t o r ，n a v ) 实现。 每个s t a 都有一个n a v 定时器，维护着对媒体上未来通信的预测，其依据是准备发送的 s t a 在实际发送数据前发送的r t s c t s 控制帧中包含的d u r a t i o n i d 字段，该字段定义了 媒体即将被保留用于发送实际的数据帧和返回的a c k 帧所需的时间( 如果需要a c k ) 。此 外，在c p ( 竞争期) 期间的所有帧( 除p s p o l l 控制帧之外) 的m a c 头都包含有d u r a t i o n 1 d 字段。在n a v 时间内，其它s t a 都认为媒体忙，不会进行任何发送，因此降低了发送碰 撞的概率。 冲突发生概率最高的情况出现在媒体由忙变为空闲的时刻，因为可能有多个s t a 正等 待媒体再次可用，这就需要一个随机退避过程来尽量减少媒体竞争冲突。另外要强调的是， 当一个s t a 发送一帧后，它不能立即占用媒体发送下一帧，而必须执行退避算法，重新竞 争媒体。退避算法的好处在于：上次竞争不到媒体的s t a 将以越来越短的时间进入下次竞 争，避免出现永远竞争不到媒体的情况。 2 48 0 2 1 1 体系结构 8 0 2 1 1 定义了两种类型的设备，一种是无线站s t a ，通常是通过一台p c 机器加上一 块无线网络接口卡构成的，另一个称为无线接入点a p ，它的作用是提供无线和有线网络 之间的桥接。 2 4 18 0 2 1 1 体系结构的组成 8 0 2 1 1 体系结构的组成包括：无线站点s t a ，无线接八点a p ，独立基本服务组i b s s ( i n d e p e n d e n tb a s i cs e r v i c es e t ) ，基本服务组b s s ( b a s i cs e r v i c es e t ) ，分发系统d s ( d i s t r i b u t i o ns y s t e m ) 和扩展服务组e s s ( e x t e n d e ds e r v i c es e t ) 1 。 一个无线站点s t a 通常由一台p c 机或笔记本计算机加上一块无线网卡构成，无线网 卡分为台式机用的p c i 或i s a 插槽的网卡和笔记本电脑用的p c m c i a 网卡。 无线接入点a p 可以看成是一个无线的h u b ，它的作用是提供s t a 和现有骨干网络( 有 线或无线的) 之间的桥接。a p 可以接入有线局域网，也可以不接入有线局域网，但在多 数时候a p 与有线网络相连，以便能为无线用户提供对有线网络的访问。a p 通常由一个无 线输出e l 和一个以太网接h ( 8 0 2 3 接口) 构成，桥接软件符台8 0 2 1 d 桥接协议。 8 0 2 1 1 在网络构成上采用单元结构，将整个系统分成许多单元，每个单元称为一个b s s ( 基本服务组) ，多个b s s 构成个e s s ( 扩展服务组) ，不含a p 的b s s 称为i b s s ( 独 立基本服务组) 。 7 第二章无线局域网基本概念 2 4 2 无线局域网的工作模式 8 0 2 1 1 定义了两种工作模式：a dh o e ( 对等) 模式和i n f r a s t r u c t u r e ( 架构) 模式”。 在a dh o c 模式中，至少需要包含两个s t a ，每两个s t a 之间直接相连实现资源共享， 不需要a p 和分发系统，由此构成的无线局域网也称为i b s s 网络。 在i n f r a s t r u c t u r e 模式中，各无线站点s t a 通过a p 与现有的骨干网相连接，这种配置 组成一个b s s ( b a s i cs e r v i c es e t ) 。在b s s 中，a p 不仅提供s t a 之间通信的桥接功能， 还提供s t a 与有线局域网的连接，以便无线用户访问有线网络上的设备或服务。 多个b s s 互相连接即组成一个e s s 。e s s 支持漫游功能( 移动性) ，无线站点s t a 可 以在e s s 内不同的b s s 之间漫游。 分发系统d s ( d i s t r i b u t i o ns y s t e m ) 是用于b s s 互联的逻辑组成单元，由它提供s t a 在b s s 之间漫游的分配服务。如图2 2 所示。 f s s ( 扩展胴务组) i b 5 s ( 独立基本服务蛆) 图2 2 无线局域网的两种基本工作模式 另外，从两种基本模式衍生而来形成了另三种比较典型的组网模式：多接入点漫游模 式、无线桥接模式和无线路由模式【l 。 在多接入点漫游模式中，采用多个接入点分别与有线网络相连，并合理摆放无线接入 点，使其有效范围覆盖全场并互相重叠，从而形成以有线网络为主干的多接入点无线网络。 这样用户可以在一群访问点覆盖的范围内漫游，用户从一个接入点覆盖的区域转移到另一 个接入点覆盖的区域时，通讯不会中断，而且这种漫游对用户来说是透明的。 无线桥接模式的重要用途是连接两段网络，连接的网络可以是有线网络，也可以是无 线网络。在实现这个功能的诸多要素中，最为重要的是如何延伸网络连接的距离，一般的 解决方案是通过各类天线和信号放大器来实现。 前面提到的组网模式都是工作在o s l 的物理层和数字链路层，这也是8 0 2 1 1 协议中规 定的两个层，但是无线网络的广泛应用使得仅仅局限于这两层的应用显得不能很好地满足 用户的需求，用户需要能够在和有线网络的连接上获得更好的效果，于是第三层的无线路 第二章无线局域网基本概念 由模式出现了。无线路由模式是将原来的无线中继器和无线网桥进行了协议上的提升，加 入了路由器中所包含的一些功能。 2 58 0 2 1 1 提供的服务 i e e e8 0 2 1 l 提供九种不同的服务，也可将这些服务视为其软件架构的需求，主要可分 为：s t a 的服务( s t a t i o ns e r v i c e ，s s ) 和分发系统的服务( d i s 雠b u t i o ns y s t e ms e r v i c e ，d s s ) 1 。 移动站提供的服务叫s s 。s s 服务为m a c 子层实体所使用。该服务让主机具有正确发 送和接收数据的能力，同时也考虑数据传送的安全。包括下列4 种服务： a u t h e 咖i c a t i o n d e a u t h e n t i c a t i o n p r i v a c y m s d u d e l i v e r y a u t h e n t i c a t i o n ( 身份认证服务) 主要是用来确认每个s t a 的身份，i e e e8 0 2 1 1 通常 要求双向式的身份确认： d e a u t h e n t i c a t i o n ( 取消身份认证服务) 可让已完成身份认证的工作站用来取消身份认 证，一旦取消后关联( a s s o c i a t i o n ) 服务也同时取消； p r i v a c y ( 隐密性服务) 的主要功能是提供一套隐密性服务的算法将数据做加密与解密。 无线网络的数据是在空间开放的介质中传播。因此任何只要装有i e e e8 0 2 1 1 适配卡的 s t a ，都能接收到别人的数据。所以数据的保密性若做得不好，资料很容易被别人窃取。 m s d u d e l i v e r y ( 8 0 2 1 l 封包传送) 为s t a 服务最基本功能，它将数据传送给接受者。 2 5 2d s s i s t r i b u t i o ns y s t e ms e r v i c e ) d s 提供的服务称之为d s s ，d s s 使8 0 2 1 1 的封包可在同一个e s s 中的不同b s s 间传 送，无论s t a 移动到e s s 中的哪个地方都能收到属于它的数据。a p 是唯一同时提供s s 和d s s 的无线网络组件，也是s t a 和d s 之间的桥梁。d s s 提供下列5 种服务： a s s o c i a t i o n d i b i s a s s o c i ；i a t i o n d q s t r i b u t i o n i n t e g a t i o n r e a s s o c i a t i o n a s s o c i a t i o n ( 关联服务) 的主要目的是：在s t a 和a p 之间建立一个通信关联。当分 9 第二章无线局域网基本概念 发系统要将数据送给s t a 时，必需事先知道这个s t a 目前是透过哪个a p 来接入分发系统 的，这些信息由关联服务提供。一个s t a 在被允许由某个a p 送数据给分发系统前，必须 先和此a p 关联，通常在一个基本服务区内有一个a p ，因此，任何在这个基本服务区内的 s t a 想和外界通信，就必需先与此a p 相关联。这个动作类似注册。请注意，在任一瞬间， 任一s t a 只会和一个a p 关联，这样才能使分发系统能在任何时候知道哪个s t a 是由哪个 a p 所管辖。然而，一个a p 却可以同时和多个s t a 关联。关联服务都是由s t a 所启动， 通常s t a 会由启动关联服务来要求和a p 做一个连接。 d i s a s s o c i a t i o n ( 取消关联服务) 的主要目的是取消一个关联，当一个s t a 传送数据结 束时，可启动取消关联服务。另外，当一个s t a 从一个基本服务区移动到另一个基本服务 区时，它除了会对新的a p 启动重关联服务外，也会对旧的a p 启动取消关联服务。此服 务可由s t a 或a p 来启动，不论是哪方启动另一方都不能拒绝。另外，a p 可能因网络负 荷过重而启动对s t a 取消关联。 d i s t r i b u t i o n ( 分发服务) 主要由基础架构无线局域网络中的s t a 所使用，当s t a 要传 送数据时，数据首先会传送至a p ，再由a p 利用分发系统传送至目的地。i e e e8 0 2 1 1 并 没有规定d s 要如何将数据正确地送达目的地，但它说明了在关联、取消关联及重关联等 服务中，该数据该送往哪个a p 输出，以便将数据送达正确的目的位置。 i n t e g a t i o n ( 整合服务) 的主要目的是让数据能在d s 和现存的有线局域网络间传送。i 由于以太网和无线局域网的帧格式完全不同，所以必须进行帧格式转换。 r e a s s o c i a t i o n ( 重关联服务) 的主要目的是将一个移动中s t a 的关联，从一个a p 转 移到另一个a p 。当s t a 从一个基本服务区移动到另一个服务区时，它就会启动重关联服 务。 2 6 无线局域网工作过程 无线局域网的工作过程分为如下几个阶段：同步搜索，定位a p ；验证和关联以及漫 游等【1 5 】。 2 6 1 同步搜索 为了得到无线局域网提供的服务，s t a 在进入无线局域网区域时，须进行同步搜索以 定位a p ，获取相关信息。同步方式有主动扫描和被动扫描两种。 在主动扫描中，s t a 在预定的各个频道上连续扫描，主动发出探测( p r o b e ) 广播帧， 如果在该信道上有a p ，则它会收到来自a p 的响应。收到a p 的探测响应帧后，s t a 将对 各帧中的相关部分，如支持的速率等进行比较以确定最佳a p 。 s t a 获得同步的第二种方法是被动扫描。在该同步方式下，移动站在它所分配的信道 上倾听来自a p 的b e a c o n 消息，然后根据信号强度创建个a p 优先链表。当然信号强度 1 0 第二章无线局域网基本概念 最高的a p 优先级最高。 2 6 2 认证和关联 认证是用米证实某一s t a 是受权的某一合法s t a 集合中的一员。s t a 在获得了同步 信息并定位了a p 后，它就开始了认证过程，认证证包括共享密钥认证等等。 s t a 在被认证通过后，还必须经过关联过程，才能进行正常的通信。关联能够在a p 和s t a 之间建立映射关系，目的是使s t a 能够调用分发系统服务。所以在进行实际的数 据通信之前，无线网络客户端s t a 必须和a p 建立起通信若系即关联。如果关联成功，a p 将给s t a 分配一个关联标识( a i d ) ，其取值范围是1 ，2 0 0 7 。只有在s t a 和a p 之间关 联后，s t a 间才能交换数据。认证过程结束后，就开始关联过程，关联过程包括：s t a 和 a p 交换信息，在d s 中建立了s t a 和a p 的映射关系，d s 将根据该映射关系来实现相同 b s s 及不同b s s 用户问的信息传送。关联过程结束后，s t a 就能够得到该b s s 提供的服 务了。 2 6 3 漫游 漫游是指无线s t a 在一组无线访问点之间移动，并提供对用户透明的无缝连接。它包 括基本漫游和扩展漫游。基本漫游是指无线s t a 的移动仅局限在一个扩展服务区内部。扩 展漫游指无线s t a 从一个扩展服务区中的一个b s s 移动到另一个扩展服务区的一个 b s s 【i “。i e e e8 0 2 11m a c 层定义了移动s t a 如何同a p 进行连接，但并没有定义a p 在 服务区域对漫游用户的跟踪规范，m a c 层上的漫游通常是由厂商按自己开发的a p 内部协 议来完成。 漫游用户的切换过程如下： 当s t a 逐渐远离原a p 时，它对原a p 的接收信号及帧差错率将变差于是，s t a 启 动扫描功能重新定位a p ，一旦定位了新的a p ，s t a 随即发射重新关联请求给新的a p ， 新a p 将该s t a 重新关联请求通知d s 。d s 随即更改该s t a 与a p 的映射关系，并通知原 a p ，不再与该s t a 关联，然后，新a p 向该站发射重新关联响应。至此，完成漫游过程。 如果s t a 没有收到重新关联响应，它将重启扫描功能，定位其它a p ，重复上述过程，直 到连上新的a p 。 2 6 48 0 2 1 1 状态机 在i n f r a s t r u c t u r e 模式中，8 0 2 1 1 状态机涉及到三种状态：未认证，未关联、已认证 未关联、已认证，已关联”l ，其状态机如下图2 3 所示。 第二章无线局域网基本概念 成功认证 成功认证 或重认证 图2 38 0 2 1 1 状态机 取消认证通知 为了从一个状态转换到另一个状态，通信双方必须交换被称作管理帧的信息。a p 周 期性地发送一个信号帧，s t a 为了和a p 关联并加入一个b s s ，它必须在a p 的频谱覆盖 范围内侦昕到a p 发出的信号帧并以此来识别a p ，然后，s t a 选择一个b s s 加入。所有 的网络名或叫做服务集标识( s s i d ) 被包含在信号帧中并呈现给s t a ，这样s t a 就可以 选择网络号加入到一个网络中。s t a 也可以主动发送探测请求帧以发现一个与所需的s s i d 相联系的a p 。找到a p 后，s t a 和a p 之间通过交换一系列的管理帧执行认证。认证成功 后，s t a 即进入第二个状态一通过认证但未关联。s t a 发送关联请求帧，a p 用关联响应 帧来响应s t a ，这样s t a 便从第二个状态进入第三个状态通过认证，关联成功。执行 完上述过程后，客户端便成为无线网络中的一个实体，就可以在网络上进行数据传输了。 第三章8 0 21 1 典型的a p 结构和安全机制 第三章8 0 2 1 1 典型的a p 结构和安全机制 3 1 本章提要 本章中主要介绍8 0 2 1 1 典型的a p 结构，该结构提供的安全机制及其存在的安全问题。 3 28 0 2 1 1 典型的a p 结构 如图3 1 所示，这是一个嵌入了漫游功能的8 0 2 1 1 典型的a p 结构图。 图3 18 0 2 1 l 典型的a p 结构 a p m e ( a pm a n a g e m e n te n t i t y ) 是a p 的一个子系统，它实现了a p s t a t i o n 的管理、认证、 关联和漫游等功能。o a m 提供s n m pm i b 和w e b 访问，以便配置和管理a p 。l a p p 指 定了a p 之间以及和l a p p 和高层网络管理实体之间的信息如何交互，这种建立在i e t f i p 上的信息交互足够使不同供应商的a p 能通过d s 互相通信，移动站可以在子网中自由的 漫游。r a d i u sc l i e n t 与后端的r a d i u ss e r v e r 认证服务器进行通信。分发系统d s 为通过a p 使b s s 相互连接的组件，d s 提供的服务能使8 0 2 1 1 的封包可在同一个e s s 中的不同b s s 间传送，无论主机移动到e s s 中的哪个地方都能收到属于它的数据。无线局域网是开放系 统，各站共享媒体，而且通信站具有可移动性、便携性，m l m e 用于解决信息的保密性问 题、节能问题、同步问题和漫游等问题。p l m e 提供物理层的管理功能，同m l m e 层的管 理功能相连接。 第三章8 0 21 1 典型的a p 结构和安全机制 3 3 典型的a p 结构提供的安全机制 在任何通过无线媒介传输数据的环境中，都必须具备安全保护措施，并对其实施有效 管理。就无线局域网而言，由于不能信赖媒介的基本物理特性来提供最低层次的保护，其 信任模式就与有线局域网不同。换句话说，单是因为无线的关系，无线局域网就容易召来 窃听。无线局域网的安全系统要做到有效，就必须解决下面三个安全问题； 提供接入控制 验证用户，授权他们接入特定的资源，同时拒绝为未经授权的用户提供接入。 确保链路的保密与完好 防止未经授权的用户读取、引入或更动在网络上传输的数据。 防止阻断服务攻击 确保没有一个用户或一小批用户可占用某个接入点的所有可用带宽，阻断其他用户的 正当接入。 尽管8 0 2 1 l b 在设计时就没有考虑提供企业级的安全等级，但还是具备一些基本的安 全措施，如果使用得当，还是可以保证一定的安全。对于每一项安全功能，都可能使网络 变得更安全或是更容易被攻破。 3 3 1 开放系统认证 开放系统认证( o p e ns y s