物聯(lián)網(wǎng)信息安全 課件 第3章 無線局域網(wǎng)WLAN物理層安全

無線局域網(wǎng)WLAN物理層安全物聯(lián)網(wǎng)工程PPT模板下載：/moban/行業(yè)PPT模板：/hangye/節(jié)日PPT模板：/jieri/PPT素材下載：/sucai/PPT背景圖片：/beijing/PPT圖表下載：/tubiao/優(yōu)秀PPT下載：/xiazai/PPT教程：/powerpoint/Word教程：/word/Excel教程：/excel/資料下載：/ziliao/PPT課件下載：/kejian/范文下載：/fanwen/試卷下載：/shiti/教案下載：/jiaoan/PPT論壇：

目錄IEEE802.11物理層特點IEEE802.11MAC層CSMA/CA協(xié)議RTS/CTS協(xié)議WAPI協(xié)議

IEEE802.11物理層特點目前，WLAN的主流是標(biāo)準(zhǔn)是802.11系列標(biāo)準(zhǔn)802.11物理層三種實現(xiàn)方法①調(diào)頻擴展(FHSS)是擴頻技術(shù)中常用的一種。它使用2.4GHz的ISM頻段，共有79個信道可供調(diào)頻使用。第一個頻道中心頻率為2.402GHz，以后每隔1MHz一個信道。因此每個信道可使用的帶寬為1MHz。當(dāng)時用GPSK時，基本接入速度為1Mb/s。當(dāng)使用GFSK時，接入速度為2Mb/s。優(yōu)點：1.保密性2.抗單頻及部分帶寬干擾的能力3.抗多徑衰落的能力4.承受過載的能力缺點：1.信號的隱蔽性差2.跳頻系統(tǒng)抗多頻干擾及跟蹤式干擾能力有限3.快速跳頻器的限制802.11物理層三種實現(xiàn)方法②直接序列擴頻(DSSS)是另一種重要的擴頻技術(shù)。它也使用2.4GHz的ISM頻段。當(dāng)使用二元相對移相鍵控時，基本接入速度為1Mb/s。當(dāng)使用四元相對移相鍵控時，接入速度為2Mb/s。優(yōu)點：1.可靠性2.速度較快3.傳輸品質(zhì)高4.傳輸穩(wěn)定缺點：1.頻道數(shù)減少2.帶寬增大3.信息量增大802.11物理層三種實現(xiàn)方法③紅外線(IR)的波長為850~950nm，可用于室內(nèi)傳輸數(shù)據(jù)。接入速率為1~2Mb/s優(yōu)點：1.保密性強2.傳輸速度快3.安全特性高4.抗干擾性強缺點：1.傳輸距離短2.要求設(shè)備的位置固定3.無法靈活地組成網(wǎng)絡(luò)IEEE802.11標(biāo)準(zhǔn)中的MAC層802.11規(guī)范為MAC協(xié)議定義了5類時序間隔，其中兩類是由物理層決定的基本類型：短幀空間(SIFS)和時隙(slottime)。其余3類時序間隔則基于以上兩種基本的時序間隔：優(yōu)先級幀間空間(PIFS)、分散幀間空間(DIFS)和擴展幀間空間(EIFS)。SIFS是最短的時序間隔，其次為時隙。時隙可視為MAC協(xié)議操作的時間單元，盡管802.11信道就整體而言并不工作于時隙級時序間隔上。對于802.11b網(wǎng)絡(luò)(即具有DSSS物理層的網(wǎng)絡(luò))，SIFS和時隙分別為10和20μs?？紤]到信號的傳播和處理延遲，通常將時隙選擇為20μs。PIFS等于SIFS加1個時隙，而DIFS等于SIFS加2個時隙。EIFS比上述4類時序間隔都長得多，通常在當(dāng)收到的數(shù)據(jù)幀出現(xiàn)錯誤時才使用。IEEE802.11標(biāo)準(zhǔn)中的MAC層802.11MAC支持兩種操作模式：單點協(xié)調(diào)功能(PCF)和分散協(xié)調(diào)功能(DCF)。PCF提供了可避免競爭的接入方式，而DCF則對基于接入的競爭采取帶有沖突避免的載波檢測多路訪問(CSMA/CA)機制。上述兩種模式可在時間上交替使用，即一個PCF的無競爭周期后緊跟一個DCF的競爭周期。PCF協(xié)議在PCF協(xié)議中，AP通過向相關(guān)的移動站發(fā)送輪詢消息依次對這些移動站進(jìn)行輪詢。如果AP需要將數(shù)據(jù)發(fā)送至正被輪詢的移動站，那么數(shù)據(jù)可包含在輪詢消息中。如果輪詢的基站需要將數(shù)據(jù)發(fā)送至AP，則可將數(shù)據(jù)包含在輪詢響應(yīng)消息中。在適當(dāng)情況下，確認(rèn)信息(確認(rèn)收到了上一個來自AP的數(shù)據(jù)幀)也可包含在響應(yīng)消息中。PCF的主要思想為：AP充當(dāng)中心協(xié)調(diào)控制器（PC）的角色，根據(jù)其內(nèi)部的輪詢表（pollinglist）依次輪詢與之連接的節(jié)點（CF-PollableSTA），看其是否有數(shù)據(jù)待傳。在CFP時間內(nèi)，節(jié)點由于NAV機制，故無法主動競爭信道。故除非基站輪詢節(jié)點，要求其反饋數(shù)據(jù)，節(jié)點不可以主動進(jìn)行傳輸動作。DCF協(xié)議

DCF采用CSMA/CA機制，其工作原理如下：帶有準(zhǔn)備傳送的新分組數(shù)據(jù)的移動站(包括AP)首先檢測信道是否繁忙，如果信道在DIFS時序間隔(對于802.11b網(wǎng)絡(luò)為50μs)內(nèi)為空閑狀態(tài)，那么移動站將開始傳送分組數(shù)據(jù)。否則，移動站繼續(xù)檢測信道。如果信道在DIFS時序間隔內(nèi)空閑，那么移動站：a)開始將信道時間分為多個時隙單元；b)生成以時隙為單位的隨機退避間隔(randombackoffinterval)；c)繼續(xù)檢測信道。接著，在信道仍保持空閑的每個時隙中，退避間隔值減1。當(dāng)間隔值為0時，移動站將開始傳送分組數(shù)據(jù)。

在退避期間，如果在一個時隙中檢測到信道繁忙，那么退避間隔將保持不變，并且只當(dāng)檢測到在DIFS間隔及其下一時隙內(nèi)信道持續(xù)保持空閑，才重新開始減少退避間隔值。當(dāng)退避間隔為0，將再次傳送分組數(shù)據(jù)。退避機制有助于避免沖突，因為信道可在最近時刻被檢測為繁忙。更進(jìn)一步，為了避免信道被捕獲，在兩次連續(xù)的新分組數(shù)據(jù)傳送之間，移動站還必須等待一個退避間隔，盡管在DIFS間隔中檢測到信道空閑。802.11MAC層功能掃描：802.11標(biāo)準(zhǔn)定義了被動和主動掃描，也就是說，一個radioNIC可以搜索AP。被動掃描是強制的，每個NIC搜索單獨的信道來發(fā)現(xiàn)最好的信號。AP定期的發(fā)送beacon，radioNIC在掃描的時候接收此beacon并記錄相應(yīng)的信號強度。beacon中包含了AP的相關(guān)信息，如服務(wù)集標(biāo)識符（SSID）、支持的速率等。RadioNIC可以使用這些信息和信號強度來比較AP并決定使用哪個AP。可選的主動掃描是類似的，除了radioNIC通過廣播rpobe幀來初始化過程，而在區(qū)域內(nèi)的AP則通過探測響應(yīng)回復(fù)此報文。主動掃描使得radioNIC不需要經(jīng)過一個beacon傳輸時間而直接從AP獲取響應(yīng)。盡管如此，問題在于主動掃描為網(wǎng)絡(luò)增加了額外的開銷，因為額外的探測和探測響應(yīng)報文的傳輸開銷。802.11MAC層功能認(rèn)證：認(rèn)證實際上就是提供證明的過程，802.11標(biāo)準(zhǔn)中指定了兩種形式的認(rèn)證：開放系統(tǒng)認(rèn)證和共享密鑰認(rèn)證。開放系統(tǒng)認(rèn)證是強制的，包含了兩個步驟：一個radioNIC首先通過發(fā)送認(rèn)證請求幀到AP來初始化此過程，AP則在響應(yīng)幀的StatusCOde中設(shè)置同意或者拒絕的信息。共享密鑰認(rèn)證是可選的，包含了四個步驟。這是基于WEP密鑰的認(rèn)證方式。RadioNIC首先發(fā)送認(rèn)證請求幀到AP上，AP然后在響應(yīng)幀中包含挑戰(zhàn)碼。NIC使用WEP密鑰對此挑戰(zhàn)碼進(jìn)行加密并發(fā)送到AP上，AP將此密鑰解密并與原來的挑戰(zhàn)碼進(jìn)行比較。如果結(jié)果相同，則AP認(rèn)為NIC有著同樣的密鑰。AP通過發(fā)送認(rèn)證成功或者失敗的幀來完成此過程。802.11MAC層功能關(guān)聯(lián)：一旦認(rèn)證成功，NIC在發(fā)送數(shù)據(jù)幀之前必須要和此AP關(guān)聯(lián)。關(guān)聯(lián)對于NIC和AP之間的信息同步是必要的，如支持的數(shù)據(jù)傳輸速率。NIC通過發(fā)送關(guān)聯(lián)請求來初始化此過程，其中包含了SSID和支持的速率等信息。AP通過關(guān)聯(lián)響應(yīng)幀來響應(yīng)此報文，其中包含關(guān)聯(lián)的ID以及AP的其他信息。一旦NIC和AP完成關(guān)聯(lián)過程，雙方就可以互相發(fā)送數(shù)據(jù)幀了。CSMA/CA協(xié)議CSMA/CD（CarrierSenseMultipleAccesswithCollisionDetection）即帶沖突檢測的載波監(jiān)聽多路訪問技術(shù)(載波監(jiān)聽多點接入/碰撞檢測)。在傳統(tǒng)的共享以太網(wǎng)中，所有的節(jié)點共享傳輸介質(zhì)。如何保證傳輸介質(zhì)有序、高效地為許多節(jié)點提供傳輸服務(wù)，就是以太網(wǎng)的介質(zhì)訪問控制協(xié)議要解決的問題。CSMA/CA協(xié)議

CSMA/CD是一種爭用型的介質(zhì)訪問控制協(xié)議。它起源于美國夏威夷大學(xué)開發(fā)的ALOHA網(wǎng)所采用的爭用型協(xié)議，并進(jìn)行了改進(jìn)，使之具有比ALOHA協(xié)議更高的介質(zhì)利用率。主要應(yīng)用于現(xiàn)場總線Ethernet中。另一個改進(jìn)是，對于每一個站而言，一旦它檢測到有沖突，它就放棄它當(dāng)前的傳送任務(wù)。換句話說，如果兩個站都檢測到信道是空閑的，并且同時開始傳送數(shù)據(jù)，則它們幾乎立刻就會檢測到有沖突發(fā)生。它們不應(yīng)該再繼續(xù)傳送它們的幀，因為這樣只會產(chǎn)生垃圾而已；相反一旦檢測到?jīng)_突之后，它們應(yīng)該立即停止傳送數(shù)據(jù)?？焖俚亟K止被損壞的幀可以節(jié)省時間和帶寬。CSMA/CD控制方式的優(yōu)點是：原理比較簡單，技術(shù)上易實現(xiàn)，網(wǎng)絡(luò)中各工作站處于平等地位，不需集中控制，不提供優(yōu)先級控制。但在網(wǎng)絡(luò)負(fù)載增大時，發(fā)送時間增長，發(fā)送效率急劇下降。CSMA/CA協(xié)議

CSMA/CD應(yīng)用在OSI的第二層數(shù)據(jù)鏈路層它的工作原理是:發(fā)送數(shù)據(jù)前先偵聽信道是否空閑,若空閑，則立即發(fā)送數(shù)據(jù)。若信道忙碌，則等待一段時間至信道中的信息傳輸結(jié)束后再發(fā)送數(shù)據(jù)；若在上一段信息發(fā)送結(jié)束后，同時有兩個或兩個以上的節(jié)點都提出發(fā)送請求，則判定為沖突。若偵聽到?jīng)_突,則立即停止發(fā)送數(shù)據(jù)，等待一段隨機時間,再重新嘗試。其原理簡單總結(jié)為：先聽后發(fā)，邊發(fā)邊聽，沖突停發(fā)，隨機延遲后重發(fā)。CSMA/CA協(xié)議的二進(jìn)制算法

由于單向傳輸?shù)脑?，對于寬帶總線而言，沖突檢測時間等于任意兩個站之間最大傳播時延的4倍，所以對于寬帶CSMA/CD來說，要求數(shù)據(jù)幀的傳輸時延至少4倍于傳播時延。在CSMA/CD算法中，一旦檢測到?jīng)_突并發(fā)完阻塞信號后，為了降低再次沖突的概率，需要等待一個隨機時間，然后再使用CSMA方法試圖傳輸。為了保證這種退避操作維持穩(wěn)定采用了一種稱為“二進(jìn)制數(shù)指數(shù)退避”算法?！岸M(jìn)制數(shù)指數(shù)退避算法”的規(guī)則如下：1.對每個幀，當(dāng)?shù)谝淮伟l(fā)生沖突時，設(shè)置參數(shù)L＝2。退避重發(fā)時間在1～L個時隙中隨機抽??；2.當(dāng)幀再次沖突時，L加倍，即L＝2L。退避重發(fā)時間仍在1～L個時隙中隨機抽取；3.當(dāng)沖突n次，L＝2n。設(shè)置一個最大重傳次數(shù)，超過此值，不再重發(fā)，并報告出錯。此算法的效果是不沖突或少沖突的幀重發(fā)的機會大，沖突多的幀重發(fā)的機會小。CSMA/CA協(xié)議CSMA/CD控制方式的優(yōu)點是：原理比較簡單，技術(shù)上也容易實現(xiàn)，網(wǎng)絡(luò)中各工作站處于平等地位，不需集中控制，不提供優(yōu)先級控制。但在網(wǎng)絡(luò)負(fù)載增大時，發(fā)送時間增長，發(fā)送效率急劇下降。它的代價是用于檢測沖突所花費的時間。對于基帶總線而言，最壞情況下用于檢測一個沖突的時間等于任意兩個站之間傳播時延的兩倍。從一個站點開始發(fā)送數(shù)據(jù)到另一個站點開始接收數(shù)據(jù)，也即載波信號從一端傳播到另一端所需的時間，稱為“信號傳播時延”。信號傳播時延（μs）=兩站點的距離（m）/信號傳播速度（200m/μs）。RTS/CTS協(xié)議

RTS/CTS協(xié)議(RequestToSend/ClearToSend)即請求發(fā)送/清除發(fā)送協(xié)議是被802.11無線網(wǎng)絡(luò)協(xié)議采用的一種用來減少由隱藏節(jié)點問題所造成的沖突的機制。相當(dāng)于一種握手協(xié)議，主要用來解決"隱藏終端"問題。"隱藏終端"（HiddenStations）是指，基站A向基站B發(fā)送信息，基站C未偵測到A也向B發(fā)送，故A和C同時將信號發(fā)送至B，引起信號沖突，最終導(dǎo)致發(fā)送至B的信號都丟失了。"隱藏終端"多發(fā)生在大型單元中（一般在室外環(huán)境），這將帶來效率損失，并且需要錯誤恢復(fù)機制。RTS/CTS協(xié)議

當(dāng)需要傳送大容量文件時，尤其需要杜絕"隱藏終端"現(xiàn)象的發(fā)生。IEEE802.11提供了如下解決方案。在參數(shù)配置中，若使用RTS/CTS協(xié)議，同時設(shè)置傳送上限字節(jié)數(shù)----一旦待傳送的數(shù)據(jù)大于此上限值時，即啟動RTS/CTS握手協(xié)議：首先，A向B發(fā)送RTS信號，表明A要向B發(fā)送若干數(shù)據(jù)，B收到RTS后，向所有基站發(fā)出CTS信號，表明已準(zhǔn)備就緒，A可以發(fā)送，而其余欲向B發(fā)送數(shù)據(jù)的基站則暫停發(fā)送；雙方在成功交換RTS/CTS信號（即完成握手）后才開始真正的數(shù)據(jù)傳遞，保證了多個互不可見的發(fā)送站點同時向同一接收站點發(fā)送信號時，實際只能是收到接收站點回應(yīng)CTS的那個站點能夠進(jìn)行發(fā)送，避免了沖突發(fā)生。即使有沖突發(fā)生，也只是在發(fā)送RTS時，這種情況下，由于收不到接收站點的CTS消息，大家再回頭用DCF提供的競爭機制，分配一個隨機退守定時值，等待下一次介質(zhì)空閑DIFS后競爭發(fā)送RTS，直到成功為止。RTS/CTS協(xié)議的局限性

①由于缺乏認(rèn)證機制,攻擊者能任意地發(fā)送偽造數(shù)據(jù)包②通過在RTS/CTS幀中設(shè)定足夠大的NAV值并連續(xù)發(fā)送RTS/CTS幀,可以達(dá)到阻塞無線網(wǎng)絡(luò),進(jìn)行拒絕服務(wù)攻擊的目的。③在數(shù)據(jù)包較小的情況下,采用RTS/CTS機制,盡管可以提高數(shù)據(jù)包沖突避免的效率,但卻會造成信道共享效率的急速下降,最終導(dǎo)致信道利用率的惡化。WAPI協(xié)議一、WAPI的概念WAPI英文全拼為WirelessLANAuthenticationandPrivacyInfrastructure，即無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)，它是一種安全協(xié)議同時也是中國無線局域網(wǎng)安全強制性標(biāo)準(zhǔn)。經(jīng)多方參加，反復(fù)論證，充分考慮各種應(yīng)用模式，在中國無線局域網(wǎng)國家標(biāo)準(zhǔn)GB15629.11中提出的WLAN安全解決方案。WAPI協(xié)議一、WAPI的概念簡單來說，WAPI其實是一種應(yīng)用于WLAN系統(tǒng)的安全性協(xié)議，只是它采用了比WIFI更高級的加密方式，而更重要的意義在于它是我國自主研發(fā)的無限局域網(wǎng)標(biāo)準(zhǔn)，普遍使用的話可以比WIFI更有利于保護(hù)我國的信息安全。WAPI協(xié)議二、WAPI的技術(shù)內(nèi)容WAPI安全系統(tǒng)采用公鑰密碼技術(shù)，鑒權(quán)服務(wù)器AS(AS=AuthenticationServer，鑒別服務(wù)器)負(fù)責(zé)證書的頒發(fā)、驗證與吊銷等，無線客戶端與無線接入點AP（AP，AccessPoint）上都安裝有AS頒發(fā)的公鑰證書，作為自己的數(shù)字身份憑證。當(dāng)無線客戶端登錄至無線接入點AP時，在訪問網(wǎng)絡(luò)之前必須通過鑒別服務(wù)器AS對雙方進(jìn)行身份驗證。根據(jù)驗證的結(jié)果，持有合法證書的移動終端才能接入持有合法證書的無線接入點AP。WAPI協(xié)議二、WAPI的技術(shù)內(nèi)容WAPI系統(tǒng)中包含以下部分：

1、WAI鑒別及密鑰管理——無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)（WAI）不僅具有更加安全的鑒別機制、更加靈活的密鑰管理技術(shù)，而且實現(xiàn)了整個基礎(chǔ)網(wǎng)絡(luò)的集中用戶管理，從而滿足更多用戶和更復(fù)雜的安全性要求。WAPI協(xié)議二、WAPI的技術(shù)內(nèi)容WAPI系統(tǒng)中包含以下部分：

2、WPI數(shù)據(jù)傳輸保護(hù)——無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)（WPI）對MAC(MediaAccessControl,介質(zhì)訪問控制)子層的MPDU（MACProtocolDataUnit--MAC協(xié)議數(shù)據(jù)單元）進(jìn)行加、解密處理，分別用于WLAN設(shè)備的數(shù)字證書、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密，從而實現(xiàn)設(shè)備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護(hù)。WAPI協(xié)議三、WAPI的認(rèn)證體制基于WAPI協(xié)議的WLAN安全網(wǎng)絡(luò)由AP、客戶端和認(rèn)證服務(wù)器（AS）三個實體組成，利用公開密碼體系完成客戶端和AP間的雙向認(rèn)證。認(rèn)證過程中利用橢圓曲線密碼算法，客戶端和AP間協(xié)商出會話密鑰；對通信過程中的數(shù)據(jù)采用國家密碼主管部門指定的加密算法完成加密。同時，WAPI還支持在通信過程中在一定時間間隔后或傳輸了一定數(shù)量的數(shù)據(jù)包后更新會話密鑰。WAP