信息安全与技术课件09(清华大学)分解

信息安全与技术清华大学出版社第9章无线网安全与防御技术9.1无线网络安全概述及无线网络设备9.1.1无线网络安全概述9.1.2无线网络设备9.1.1无线网络安全概述无线局域网(WirelessLocalAreaNetwork，即WLAN)是指以无线信道作传输媒介的计算机局域网，是有线联网方式的重要补充和延伸，并逐渐成为计算机网络中一个至关重要的组成部分，广泛适用于需要可移动数据处理或无法进行物理传输介质布线的领域。随着IEEE802.11无线网络标准的制定与发展，使无线网络技术更加成熟与完善。并已成功的广泛应用于众多行业。产品主要包括：无线接入点、无限网卡、无线路由器、无线网关、无线网桥等。近年来无线网络的应用却日渐增加。特别是当无线网络技术与Internet相结合时，其迸发出的能力是所有人都无法估计的。射频无线鼠标、WAP手机上网等都具有无线网络的特征。目前最为热门的三大无线技术是WiFi、蓝牙以及HomeRF9.1.1无线网络安全概述无限网络存在许多的安全性问题，主要表现在以下几个方面：所有常规有线网络存在的安全威胁和隐患都存在；外部人员可以通过无线网络绕过防火墙，对公司网络进行非授权存取；无线网络传输的信息没有加密或者加密很弱，易被窃取、窜改和插入；无线网络易被拒绝服务攻击(DOS)和干扰；内部员工可以设置无线网卡为P2P模式与外部员工连接；无线网络的安全产品相对较少，技术相对比较新。9.1.2无线网络设备在无线局域网里，常见的设备有无线网卡、无线网桥、无线天线、AP接入点等。无线网卡:作用类似于以太网中的网卡，作为无线局域网的接口，实现与无线局域网的连接。无线网卡根据接口类型的不同，主要分为三种类型，即PCMCIA无线网卡、PCI无线网卡和USB无线网卡。AP接入点AP是英文ACCESSPOINT。它主要是提供无线工作站对有线局域网和从有线局域网对无线工作站的访问，在访问接入点覆盖范围内的无线工作站可以通过它进行相互通信。9.1.2无线网络设备无线网桥无线网桥顾名思义就是无线网络的桥接，它可在两个或多个网络之间搭起通信的桥梁(无线网桥亦是无线AP的一种分支)。无线网桥除了具备上述有线网桥的基本特点之外，比其它有线网络设备更方便部署。无线天线当计算机与无线AP或其他计算机相距较远时，随着信号的减弱，或者传输速率明显下降，或者根本无法实现与AP或其他计算机之间通讯，此时，就必须借助于无线天线对所接收或发送的信号进行增益(放大)。无线终端设备无线移动终端一般指的是用户直接使用并具有无线网络接入能力的数字终端，目前市面上主要有迅驰笔记本电脑、带有WLAN无线网卡的台式PC机、具有WLAN接入功能的手机、PDA等等，甚至现在还有带WLAN通信功能的摄像、监控设备。9.2无线局域网的标准9.2.1IEEE的802.11标准系列9.2.2ETSI的HiperLan29.2.3HomeRF9.2无线局域网的标准目前国际上有三大标准家族，他们是美国IEEE802.11家族、欧洲ETSI高性能局域网HIPERLAN系列和日本ARIB移动多媒体接入通信MMAC。其它类似标准还有美国HomeRF共享无线接入协议SWAP。2003年5月，两项WLAN中国标准已正式颁布。这两项国家标准在原则采用IEEE802.11/802.11b系列标准前提下，在充分考虑和兼顾WLAN产品互连互通的基础上，针对WLAN的安全问题，给出了技术解决方案和规范要求。这里面，IEEE802.11系列标准是WLAN的主流标准。9.2.1IEEE的802.11标准系列在1997年，经过了7年的工作以后，IEEE发布了802.11协议，这也是在无线局域网领域内的第一个国际上被认可的协议。在1999年9月，他们又提出了802.11bHighRate协议，用来对802.11协议进行补充，802.11b在802.11的1Mbps和2Mbps速率下又增加了5.5Mbps和11Mbps两个新的网络吞吐速率，后来又演进到802.11g的54Mbps，直至今日802.11n的300Mbps以上。IEEE802.11标准是无线网络技术发展的一个里程碑IEEE802.11(WirelessFidelity，Wi-Fi，无线相容认证)标准定义物理层和媒体访问控制(MAC)规范。物理层定义了数据传输的信号特征和调制，定义了两个RF传输方法和一个红外线传输方法，RF传输标准是跳频扩频和直接序列扩频，工作在2.4000～2.4835GHz频段。IEEE802.11aIEEE802.11b802.11eIEEE802.11g802.11h802.11i9.2.1IEEE的802.11标准系列1．IEEE802.11工作方式802.11定义了两种类型的设备，一种是无线站，通常是通过一台PC机器加上一块无线网络接口卡构成的，另一个称为无线接入点(AccessPoint，AP)，它的作用是提供无线和有线网络之间的桥接。一个无线接入点通常由一个无线输出口和一个有线的网络接口(802.3接口)构成，桥接软件符合802.1d桥接协议。接入点就像是无线网络的一个无线基站，将多个无线的接入站聚合到有线的网络上。无线的终端可以是802.11PCMCIA卡、PCI接口、ISA接口的，或者是在非计算机终端上的嵌入式设备(例如802.11手机)。802.11定义了两种模式：Infrastructure模式和Adhoc模式，在Infrastructure模式中，如图9-1，无线网络至少有一个和有线网络连接的无线接入点，还包括一系列无线的终端站。这种配置成为一个BSS(BasicServiceSet基本服务集合)。一个扩展服务集合(ESSExtendedServiceSet)是由两个或者多个BSS构成的一个单一子网。由于很多无线的使用者需要访问有线网络上的设备或服务(文件服务器、打印机、互联网链接)，他们都会采用这种Infrastructure模式。9.2.1IEEE的802.11标准系列2．IEEE802.11物理层在802.11最初定义的三个物理层包括了两个扩展频谱技术和一个红外传播规范，无线传输的频道定义在2.4GHz的ISM波段内，这个频段，在各个国家无线管理机构中，都是非注册使用频段。这样，使用802.11的客户端设备就不需要任何无线许可。扩展频谱技术保证了802.11的设备在这个频段上的可用性和可靠的吞吐量，这项技术还可以保证同其他使用同一频段的设备不互相影响。802.11无线标准定义的传输速率是1Mbps和2Mbps，可以使用跳频序列扩频技术(frequencyhoppingspreadspectrum，FHSS)和直接序列扩频技术(directsequencespreadspectrum，DSSS)，需要指出的是，FHSS和DSSS技术在运行机制上是完全不同的，所以采用这两种技术的设备没有互操作性。9.2.1IEEE的802.11标准系列3．802.11b的增强物理层802.11b在无线局域网协议中最大的贡献就在于它在802.11协议的物理层增加了两个新的速度:5.5Mbps和11Mbps。为了实现这个目标，DSSS被选作该标准的唯一的物理层传输技术，这是由于FHSS在不违反FCC原则的基础上无法再提高速度了。这个决定使得802.11b可以和1Mbps和2M的802.11bpsDSSS系统互操作，但是无法和1Mbps和2Mbps的FHSS系统一起工作。在802.11b标准中，一种更先进的编码技术被采用了，在这个编码技术中，抛弃了原有的11位Barker序列技术，而采用了CCK(ComplementaryCodeKeying)技术，它的核心编码中有一个64个8位编码组成的集合，在这个集合中的数据有特殊的数学特性使得他们能够在经过干扰或者由于反射造成的多方接受问题后还能够被正确地互相区分。5.5Mbps使用CCK串来携带4位的数字信息，而11Mbps的速率使用CCK串来携带8位的数字信息。两个速率的传送都利用QPSK作为调制的手段，不过信号的调制速率为1.375MSps。这也是802.11b获得高速的机理。9.2.1IEEE的802.11标准系列4．802.11数字链路层802.11的数据链路层由两个之层构成，逻辑链路层LLC(LogicLinkControl)和媒体控制层MAC(MediaAccessControl)。802.11使用和802.2完全相同的LLC之层和802协议中的48位MAC地址，这使得无线和有线之间的桥接非常方便。但是MAC地址只对无线局域网唯一。9.2.2ETSI的HiperLan21．HiperLan2简介HiperLan是ETSI(EuropeanTelecomStandardsInstitute，欧洲电信标准学会)的RES10工作组在1992年提出的一个WLAN标准，HiperLan2是它的后续版本，HiperLan2部分建立在GSM基础上，使用频段为5GHz。在物理层上HiperLan2和802.11a几乎完全相同：它采用OFDM技术，最大数据速率为54Mbps，实际应用吞吐率最低也能保持在20Mbps左右，为视频和话音一类的实时应用提供了新的途径。它和802.11a最大的不同是HiperLan2不是建立在以太网基础上的，而是采用的TDMA结构，形成是一个面向连接的网络，其传输结构能够对多种类型的网络基础结构(包括以太网、IP、ATM和PPP)提供连接，而且对每一种连接都具有安全认证和加密功能。HiperLan2的面向连接的特性使它很容易满足QoS要求，可以为每个连接分配一个指定的QoS，确定这个连接在带宽、延迟、拥塞、比特错误率等方面的要求。这种QoS支持与高传输速率一起保证了不同的数据序列(如视频、话音和数据等)可以同时进行高速传输，将开辟诸如视频信号分配到家庭等多种全新的应用业务。9.2.2ETSI的HiperLan22．HIPERLAN2的主要特点第一是高速数据传输。第二是面向链接的机制。第三是QoS支持。第四是自动频率分配。第五是安全性支持。第六是移动性支持。第七是网络与应用的独立性。第八是节能管理。9.2.3HomeRFHomeRF工作组是由美国家用射员会领导、于1997年成立的，其主要工作任务是为家庭用户建立具有互操作性的话音和数据通信网。HomeRF无线标准是由HomeRF工作组开发的开放性行业标准，基于原始的802.11的FHSS版本。顾名思义，HomeRF是为家庭网络设计的(RFRadioFrequency意思是射频)，是一种将家中的PC和用户电子设备之间实现无线数字通信的开放性工业标准，目的是在家庭范围内，使计算机与其他电子设备之间实现无线通信。它推出HomeRF的标准集成了语音和数据传送技术，工作频段为2.4GHz，数据传输速率达到100Mbit/s，在WLAN的安全性方面主要考虑访问控制和加密技术。HomeRF的特点是安全可靠；成本低廉；简单易行；不受墙壁和楼层的影响；传输交互式语音数据采用TDMA技术，传输高速数据分组则采用CSMA/CA技术；无线电干扰影响小；支持流媒体。但其推广一直不力，目前已基本退出历史舞台。9.3无线局域网安全协议为解决无线局域网络安全问题，网络安全专家先后提出了有线等效保密(WiredEquivalentPrivacy，WEP)方案；过渡期间的Wi-Fi保护存取(Wi-FiProtectedAccess，WPA)标准和已成为新标准的802.11i；我国在2003年5月提出的无线局域网鉴别和保密基础结构(WLANAuthenticationandPrivacyInfrastructure，WAPI)国家标准GB15629.11。现在，无线局域网络安全已经得到很大程度的改善，但是要真正构建端到端的安全无线网络依然任重道远。9.3无线局域网安全协议9.3.1WEP协议9.3.2IEEE802.11i安全标准