信息安全与技术课件09(清华大学)

信息安全与技术课件09(清华大学)

信息安全与技术清华大学出版社

信息安全与技术课件09(清华大学)

第9章 无线网安全与防御技术

信息安全与技术课件09(清华大学)

9.1 无线网络安全概述及无线网络设备

9.1.1无线网络安全概述 9.1.2无线网络设备

信息安全与技术课件09(清华大学)

9.1.1无线网络安全概述

无线局域网(Wireless Local Area Network,即WLAN)是 指以无线信道作传输媒介的计算机局域网，是有线联网方 式的重要补充和延伸，并逐渐成为计算机网络中一个至关 重要的组成部分，广泛适用于需要可移动数据处理或无法 进行物理传输介质布线的领域。随着IEEE802.11无线网 络标准的制定与发展，使无线网络技术更加成熟与完善。 并已成功的广泛应用于众多行业。产品主要包括：无线接 入点、无限网卡、无线路由器、无线网关、无线网桥等。 近年来无线网络的应用却日渐增加。特别是当无线网络技 术与Internet相结合时，其迸发出的能力是所有人都无法 估计的。射频无线鼠标、WAP手机上网等都具有无线网 络的特征。 目前最为热门的三大无线技术是WiFi、蓝牙以及HomeRF

信息安全与技术课件09(清华大学)

9.1.1无线网络安全概述无限网络存在许多的安全性问题，主要表现在以下几个方面：

所有常规有线网络存在的安全威胁和隐患都存在； 外部人员可以通过无线网络绕过防火墙，对公司网络进行非授权 存取； 无线网络传输的信息没有加密或者加密很弱，易被窃取、窜改和 插入； 无线网络易被拒绝服务攻击(DOS)和干扰； 内部员工可以设置无线网卡为P2P模式与外部员工连接； 无线网络的安全产品相对较少，技术相对比较新。

信息安全与技术课件09(清华大学)

9.1.2无线网络设备

在无线局域网里，常见的设备有无线 网卡、无线网桥、无线天线、 AP 接入 点等。

无线网卡:作用类似于以太网中的网卡，作为无线局域网的接口，实 现与无线局域网的连接。 无线网卡根据接口类型的不同，主要分为三种类型，即 PCMCIA无线网卡、PCI无线网卡和USB无线网卡。

AP接入点AP是英文ACCESS POINT 。它主要是提供无线工作站对 有线局域网和从有线局域网对无线工作站的访问，在访问 接入点覆盖范围内的无线工作站可以通过它进行相互通信。

信息安全与技术课件09(清华大学)

9.1.2无线网络设备

无线网桥 无线网桥顾名思义就是无线网络的桥接，它可在两个或多个网络 之间搭起通信的桥梁(无线网桥亦是无线AP的一种分支)。无线网 桥除了具备上述有线网桥的基本特点之外，比其它有线网络设备 更方便部署。 无线天线 当计算机与无线AP或其他计算机相距较远时，随着信号的减弱， 或者传输速率明显下降，或者根本无法实现与AP或其他计算机之 间通讯，此时，就必须借助于无线天线对所接收或发送的信号进 行增益(放大)。 无线

终端设备 无线移动终端一般指的是用户直接使用并具有无线网络接入能力 的数字终端，目前市面上主要有迅驰笔记本电脑、带有WLAN无 线网卡的台式PC机、具有WLAN接入功能的手机、PDA等等，甚 至现在还有带WLAN通信功能的摄像、监控设备。

信息安全与技术课件09(清华大学)

9.2 无线局域网的标准

9.2.1 IEEE的802.11标准系列 9.2.2 ETSI的HiperLan2 9.2.3 HomeRF

信息安全与技术课件09(清华大学)

9.2 无线局域网的标准

目前国际上有三大标准家族，他们是美国IEEE 802.11家族、欧洲ETSI 高性能局域网HIPERLAN系 列和日本ARIB 移动多媒体接入通信MMAC。 其它类似标准还有美国HomeRF 共享无线接入协议 SWAP。 2003年5月，两项 WLAN 中国标准已正式颁布。这两 项国家标准在原则采用IEEE 802.11/802.11b系列标 准前提下，在充分考虑和兼顾WLAN产品互连互通的 基础上，针对WLAN的安全问题，给出了技术解决方 案和规范要求。 这里面，IEEE 802.11系列标准是WLAN的主流标准。

信息安全与技术课件09(清华大学)

9.2.1 IEEE的802.11标准系列

在1997年，经过了7年的工作以后，IEEE发布了802.11协议，这也是在 无线局域网领域内的第一个国际上被认可的协议。在1999年9月，他们 又提出了802.11b"High Rate"协议，用来对802.11协议进行补充， 802.11b在802.11的1Mbps和2Mbps速率下又增加了5.5Mbps和11Mbps两 个新的网络吞吐速率，后来又演进到802.11g的54Mbps,直至今日 802.11n的300Mbps以上。 IEEE 802.11标准是无线网络技术发展的一个里程碑 IEEE 802.11(Wireless Fidelity,Wi-Fi,无线相容认证)标准定义物理层 和媒体访问控制(MAC)规范。物理层定义了数据传输的信号特征和调制， 定义了两个RF传输方法和一个红外线传输方法，RF传输标准是跳频扩 频和直接序列扩频，工作在2.4000~2.4835GHz频段。

IEEE 802.11a IEEE 802.11b 802.11e IEEE 802.11g 802.11h 802.11i

信息安全与技术课件09(清华大学)

9.2.1 IEEE的802.11标准系列1.IEEE 802.11工作方式 802.11定义了两种类型的设备，一种是无线站，通常是通过一 台PC机器加上一块无线网络接口卡构成的，另一个称为无线接 入点(Access Point, AP),它的作用是提供无线和有线网络之 间的桥接。一个无线接入点通常由一个无线输出口和一个有线的 网络接口(802.3接口)构成，桥接软件符合802.1d桥接协议。接 入点就像是无线网络的一个无线基站，将多个无线的接入站聚合 到有线的网络上。无线的终端可以是802.11PCMCIA卡、PCI接 口、ISA接口的，或者是在非计算机终端上的嵌入式设备(例如 802.11手机)。 802.11定义了两种模式：Infrastructure模式和Ad hoc模式，在 Infrastructure模式中，如图9-1,无线网络至少有一个和有线网 络连接的无线接入点，还包括一系列无线的终端站。这种配置成 为一个BSS(Basic Service Set 基本服

务集合)。一个扩展服务集 合(ESS Extended Service Set)是由两个或者多个BSS构成的一 个单一子网。由于很多无线的使用者需要访问有线网络上的设备 或服务(文件服务器、打印机、互联网链接),他们都会采用这种 Infrastructure模式。

信息安全与技术课件09(清华大学)

9.2.1 IEEE的802.11标准系列2.IEEE 802.11物理层 在802.11最初定义的三个物理层包括了两个扩展频谱技术和一 个红外传播规范，无线传输的频道定义在2.4GHz的ISM波段内， 这个频段，在各个国家无线管理机构中，都是非注册使用频段。 这样，使用802.11的客户端设备就不需要任何无线许可。扩展 频谱技术保证了802.11的设备在这个频段上的可用性和可靠的 吞吐量，这项技术还可以保证同其他使用同一频段的设备不互相 影响。802.11无线标准定义的传输速率是1Mbps和2Mbps,可 以使用跳频序列扩频技术 (frequency hopping spread spectrum, FHSS)和直接序列扩频技术 (direct sequence spread spectrum, DSSS),需要指出的是，FHSS和DSSS技术在运行机制上是完 全不同的，所以采用这两种技术的设备没有互操作性。

信息安全与技术课件09(清华大学)

9.2.1 IEEE的802.11标准系列3.802.11b的增强物理层 802.11b在无线局域网协议中最大的贡献就在于它在802.11协议 的物理层增加了两个新的速度:5.5Mbps和11Mbps。为了实现这 个目标，DSSS被选作该标准的唯一的物理层传输技术，这是由 于FHSS在不违反FCC原则的基础上无法再提高速度了。这个决 定使得802.11b可以和1Mbps和2M的802.11bps DSSS系统互操 作，但是无法和1Mbps和2Mbps的FHSS系统一起工作。 在802.11b标准中，一种更先进的编码技术被采用了，在这个编 码技术中，抛弃了原有的11位Barker序列技术，而采用了 CCK(Complementary Code Keying)技术，它的核心编码中有一 个64个8位编码组成的集合，在这个集合中的数据有特殊的数学 特性使得他们能够在经过干扰或者由于反射造成的多方接受问题 后还能够被正确地互相区分。5.5Mbps使用CCK串来携带4位的 数字信息，而11Mbps的速率使用CCK串来携带8位的数字信息。 两个速率的传送都利用QPSK作为调制的手段，不过信号的调制 速率为1.375MSps。这也是802.11b获得高速的机理。

信息安全与技术课件09(清华大学)

9.2.1 IEEE的802.11标准系列 4.802.11数字链路层 802.11的数据链路层由两个之层构成，逻辑 链路层LLC(Logic Link Control)和媒体控制层 MAC(Media Access Control)。802.11使用 和802.2完全相同的LLC之层和802协议中的 48位MAC地址，这使得无线和有线之间的桥 接非常方便。但是MAC地址只对无线局域网 唯一。

信息安全与技术课件09(清华大学)

9.2.2 ETSI的HiperLan21.HiperLan2简介 HiperLan是ETSI(European Telecom Standards Institute,欧洲 电信标准学会)的RES10工作组在1992年提出的一个WLAN标准， HiperLan2是它的后续版本，HiperLan2

部分建立在GSM基础上， 使用频段为5GHz。 在物理层上HiperLan2和802.11a几乎完全相同：它采用OFDM技 术，最大数据速率为54Mbps,实际应用吞吐率最低也能保持在 20Mbps左右，为视频和话音一类的实时应用提供了新的途径。 它和802.11a最大的不同是HiperLan2不是建立在以太网基础上的， 而是采用的TDMA结构，形成是一个面向连接的网络，其传输结 构能够对多种类型的网络基础结构(包括以太网、IP、ATM和 PPP)提供连接，而且对每一种连接都具有安全认证和加密功能。 HiperLan2的面向连接的特性使它很容易满足QoS要求，可以为 每个连接分配一个指定的QoS,确定这个连接在带宽、延迟、拥 塞、比特错误率等方面的要求。这种QoS支持与高传输速率一起 保证了不同的数据序列(如视频、话音和数据等)可以同时进行高 速传输，将开辟诸如视频信号分配到家庭等多种全新的应用业务。

信息安全与技术课件09(清华大学)

9.2.2 ETSI的HiperLan2 2.HIPERLAN2的主要特点

第一是高速数据传输。 第二是面向链接的机制。 第三是QoS支持。 第四是自动频率分配。 第五是安全性支持。 第六是移动性支持。 第七是网络与应用的独立性。 第八是节能管理。