无线组网 频道

带你360度全方位认识802.11b无线网络

  3.IEEE 802.11b无线网络运作模式

  IEEE 802.11定义了两种运作模式:特殊(Ad hoc)模式和基础(Infrastructure)模式。

  在Ad hoc模式(也称为点对点模式)下,无线客户端直接相互通信(不使用无线AP)。使用Ad hoc模式通信的两个或多个无线客户端就形成了一个独立基础服务集(Independent Basic Service Set,IBSS)。Ad hoc模式用于在没有提供无线AP时连接无线客户端。

  在Infrastructure模式下,至少存在一个无线AP和一个无线客户端。无线客户端使用无线AP访问有线网络的资源。有线网络可以是一个机构的intranet或Internet,具体情况取决于无线AP的布置。

  支持一个或多个无线客户端的单个无线AP称为一个基础服务集(Basic Service Set,BSS)。一组连接到相同有线网络的两个或多个AP称为一个扩展服务集(Extended Service Set,ESS)。一个ESS是单个逻辑网段(也称为一个子网),并通过它的服务集标识符(Service Set Identifier,SSID)来识别。如果某个ESS中的无线AP的可用物理区域相互重叠,那么无线客户端就可以漫游,或从一个位置(具有一个无线AP)移动到另一个位置(具有一个不同的AP),同时保持网络层的连接。

  4.IEEE 802.11b无线网络运作基础

  当一个无线适配器打开时,便开始扫描无线频率,查找无线AP和其他特殊模式下的无线客户端。假设将无线客户端配置为运作于特殊模式,无线适配器将选择一个要与之连接的无线AP。这种选择是通过使用SSID和信号强度以及帧出错率信息自动完成的。接着,无线适配器将切换到所选择的无线AP的指定通道,开始协商端口的使用。这称为建立关联。

  如果无线AP的信号强度太低,出错率太高,或者如果在操作系统的指示下(在使用Windows XP的情况下),无线适配器将扫描其他无线AP,以确定是否有某个无线AP能够提供更强的信号或更低的出错率。如果找到这样一个无线AP,无线适配器将切换到该无线AP的通道,然后开始协商端口的使用。这称为重新关联。

  与一个不同的无线AP重新建立关联的原因有许多。信号可能随着无线适配器远离无线AP而减弱,或者无线AP可能因为流量太高或干扰太大而变得拥堵。通过切换到另一个无线AP,无线适配器能够将负载分散到其他无线AP上,从而提高其他无线客户端的性能。通过设置无线AP,您可以实现信号在大面积区域内的连贯覆盖,从而使得信号区域只产生轻微重叠。随着无线客户端漫游到不同的信号区域,就能与不同的无线AP关联或重新关联,同时维持对有线网络的连续性逻辑连接。

  5.IEEE 802.11无线网络安全

  IEEE 802.11标准为无线安全定义了以下机制:

  ◆通过开放系统和共享密钥身份验证类型实现的身份验证

  ◆通过有线等效隐私(Wired Equivalent Privacy,WEP)实现的数据保密性

  开放系统身份验证不提供身份验证,而只是使用无线适配器的MAC地址进行身份鉴别。开放系统身份验证在不需要身份验证时使用。某些无线AP允许使用那些允许的无线客户端的MAC地址配置。 然而,这样并不安全,因为无线客户端的MAC地址可能会被利用。

  共享密钥身份验证检验某个正在进行身份验证的无线客户端是否知道某个共享秘密。这类似于Internet协议安全(IPsec)中的预先共享的密钥身份验证。802.11标准当前假设为通过独立于IEEE 802.11的安全通道来参与连接的STA提供了共享密钥。实际上,这个秘密通过手动同时为无线AP和客户端配置。由于共享密钥身份验证秘密必须手动分发,这种身份验证方法无法扩展到基础设施网络(例如:公司园区和公共场所,又如商场和机场等)。此外,共享密钥身份验证是不安全的,因此不推荐使用。

  出于无线网络的固有性质,保护无线网络的物理访问是很困难的。 因为物理端口不是必需的,在某个无线AP范围内的任何人都能够发送和接收帧,以及侦听正在发送的其他帧。如果没有WEP,进行窃听和远程数据包探测将很容易。WEP是在IEEE 802.11标准中定义的,旨在提供等效于有线网络的数据保密级别。

  WEP通过加密无线节点之间发送的数据,提供数据保密服务。WEP加密使用具有40位或104位的加密密钥的RC4对称流密码(stream cipher)。WEP通过在无线帧的加密部分中包括完整性检查值(integrity check value,ICV),从而提供避免随机错误的数据完整性。

  然而,WEP仍然存在一个重要问题。WEP密钥的确认和分发未定义,必须通过独立于802.11的安全通道进行分发。实际上,这只是一个必须手动地同时为无线AP和客户端配置(使用键盘)的文本字符串。显而易见,这种密钥分发机制无法很好地扩展至企业组织。

  此外,不存在某种已定义的机制可改变WEP密钥,不管是在每次进行身份验证时更变,还是在经过身份验证的某个连接期间按预定的时间间隔更变。所有无线AP和客户端都将手动配置的相同WEP密钥应用于多次连接和身份验证。对于多个无线客户端发送大量数据的情况,恶意用户有可能远程捕获大量WEP密码文本,并使用密码分析学方法来确定WEP密钥。

  不管是手动确定WEP密钥还是经常进行更变,缺乏WEP密钥管理是802.11安全性的一个严重局限,特别是在大量无线客户端处于基础模式的情况下。缺少自动化身份验证和密钥确定服务还影响了特殊模式下的运作,在特殊模式下,用户可能希望进行点对点协作通信(例如在会议室范围内)。

  由于没有足够的身份验证方法,再加上缺乏无线数据加密的密钥管理,导致IEEE采用IEEE 802.1X基于端口的网络访问控制标准进行无线连接。

0
相关文章