物联网与短距离无线通信技术董健-第三章.ppt
- 文档编号:29867842
- 上传时间:2023-08-01
- 格式:PPT
- 页数:79
- 大小:4.93MB
物联网与短距离无线通信技术董健-第三章.ppt
《物联网与短距离无线通信技术董健-第三章.ppt》由会员分享,可在线阅读,更多相关《物联网与短距离无线通信技术董健-第三章.ppt(79页珍藏版)》请在冰豆网上搜索。
物联网与短距离无线通信技术董健第三章,WLAN发展WLAN网络结构WLAN安全架构WLAN协议,本章内容,WLAN发展介绍WLAN是什么WLAN大事记WLAN标准族WLAN网站,小节提纲,WLAN是什么,WPAN:
无线个域网采用无线连接的个人局域网,它被用在诸如手机、计算机、PDA之间的小范围(一般是在10米以内)通讯。
WPAN的技术包括蓝牙、ZigBee、红外等,其中蓝牙应用最广泛。
WLAN:
无线局域网一般应用于家庭、企业和热点覆盖,覆盖半径几十米到几百米,提供PC和手机高速上网。
无线局域网采用Wi-Fi技术,速率可到达几十Mbps,使用方式与有线局域网一样,简单易用。
WLAN:
无线城域网提供城市范围的无线覆盖,用于进行城市范围内的宽带无线数据传输。
无线城域网采用WiMax技术,覆盖半径几公里到几十公里,速率可达到几十Mbps。
WPAN.WLAN.WMAN,蓝牙,Wi-Fi,WiMax,WLAN是什么,WLAN:
WirelessLocalAreaNetwork广义的WLAN,是指通过无线通信技术将计算机设备互联起来,构成通信网络。
狭义的WLAN,是指采用IEEE802.11无线技术进行互连的通信网络。
目前的WLAN一般指802.11无线网络。
IEEE802.11,是国际电工电子委员会(InstituteofElectricalandElectronicsEngineers)下负责WLAN标准制定的工作组。
Wi-Fi:
WirelessFidelity是最大的WLAN工业组织Wi-Fi联盟(Wi-FiAlliance)的商标,该组织致力于对WLAN设备进行兼容性认证测试。
Wi-Fi是指Wi-Fi联盟认证,通过认证的产品,可以使用Wi-Fi的LOGO。
通常,Wi-Fi作为WLAN的同义词使用,尽管并非所有WLAN设备都进行Wi-Fi认证。
WLAN=,+,WLAN大事记,WLAN标准化:
IEEE802.111990年,IEEE802.11标准工作组成立1997年,IEEE802.11标准发布(2Mbit/s,工作在2.4GHz)1999年,IEEE802.11a标准发布(54Mbit/s,工作在5GHz)1999年,IEEE802.11b标准发布(11Mbit/s工作在2.4GHz)2003年,IEEE802.11g标准发布(54Mbit/s,工作在2.4GHz)2007年,IEEE802.11ndraft2发布(300Mbit/s,工作在2.4GHz/5.8GHz)WLAN产业化:
Wi-FiAlliance1999年,WirelessEthernetCompatibilityAlliance(WECA)成立,后来WECA更名为Wi-FiAlliance(Wi-Fi联盟),现总部设在美国德州,成员单位超过300个。
2000年,Wi-Fi联盟启动了Wi-Fi认证计划(Wi-FiCERTIFIED),对WLAN产品进行802.11兼容性认证测试。
2007年,Wi-Fi联盟启动IEEE802.11ndraft2认证测试。
2008年截止,累计超过4000种WLAN设备通过Wi-Fi认证(Wi-FiCERTIFIED)2008年底,累计超过10亿的Wi-Fi芯片出货量;2012年,预计Wi-Fi芯片的年出货量达到10亿,WLAN标准族,主要的IEEE802.11标准:
IEEE802.11a-54Mbit/s,5GHzstandard(1999,shippingproductsin2001)IEEE802.11b-Enhancementsto802.11tosupport5.5and11Mbit/s(1999)IEEE802.11d-International(country-to-country)roamingextensions(2001)IEEE802.11e-Enhancements:
QoS,includingpacketbursting(2005)IEEE802.11g-54Mbit/s,2.4GHzstandard(backwardscompatiblewithb)(2003)IEEE802.11h-SpectrumManaged802.11a(5GHz)forEuropeancompatibility(2004)IEEE802.11i-Enhancedsecurity(2004)IEEE802.11j-ExtensionsforJapan(2004),WLAN标准族,主要的IEEE802.11标准:
IEEE802.11k-Radioresourcemeasurementenhancements(2008)IEEE802.11n-HigherthroughputimprovementsusingMIMO(multipleinput,multipleoutputantennas)(November2009)IEEE802.11p-WAVE-WirelessAccessfortheVehicularEnvironment(suchasambulancesandpassengercars)(working-2009)IEEE802.11r-FastroamingWorkingTaskGroupr-(2008)IEEE802.11s-MeshNetworking,ExtendedServiceSet(ESS)(working-Jul.2010)IEEE802.11T-WirelessPerformancePrediction(WPP)-testmethodsandmetricsRecommendation(2008)IEEE802.11y-3650-3700MHzOperationintheU.S.(2008),WLAN标准族,IEEE802.11a/b/g/n制式的比较,WLAN标准族,Wi-Fi强制认证:
Wi-Fi产品无线认证:
802.11a/b/g单模认证,802.11b/g双模认证,802.11a/b/g多频段(2.4G和5G)认证。
本认证目前是手持设备CTIA认证的一部分。
Wi-Fi无线网络安全认证:
包括WPA/WPA2认证。
EAP(ExtensibleAuthenticationProtocol)认证:
EAP是一种网络设备身份认证的安全机制。
Wi-Fi可选认证:
下一代Wi-Fi认证:
IEEE802.11ndraft2.0无线标准认证。
Wi-FiProtectedSetup认证:
快速完成安全配置的功能认证。
Wi-FiMultimedia认证:
无线QoS认证。
WMMPowerSave认证:
语音和多媒体业务时省电功能的认证测试。
Wi-Fi手机认证:
对Wi-Fi手机中Wi-Fi与蜂窝系统的相互影响进行认证。
Wi-Fi认证标准,WLAN网站,IEEE802.11官方网站:
Wi-Fi联盟官方网站:
Wi-Fi论坛:
小节提纲,WLAN网络结构802.11802Infrastructure网络Adhoc网络Mesh网络胖/瘦APWDS,802.11802,IEEE802.11:
包括物理层和MAC层协议,Infrastructure网络-BSS,BSS(BasicServiceSet)网络BSS是WLAN网络的基本单位,包括一个基站(AP)和若干个终端(STA),通讯必须通过AP来完成。
网络标识:
BSSID,使用AP的MAC地址。
Infrastructure网络-ESS,ESS(ExtendedServiceSet)网络由多个BSS组成,多个BSS的AP通过DS(DistributionSystem)网络互联,终端能在不通BSS之间漫游。
网络标识:
SSID,AP上统一配置的一个字符串。
Adhoc网络,IBSS(IndependentBasicServiceSet)网络若干Wi-Fi站点之间对等、临时的组网,俗称adhoc网络。
站点之间地位平等,两两进行通讯。
网络标识:
BSSID,自动选择某个站点的MAC地址作为ID。
Mesh网络,Mesh网络是infrastructure网络和adhoc网络的结合既支持AP的功能,又能通过adhoc完成多个BSS互联和回传,Mesh网络,IEEE802.11s:
ESSMeshNetworking标准进展:
因技术分歧大、需求不紧迫,进展缓慢2004年7月,成立11s标准工作组2006年3月,通过第一个提案预计2010年底,通过11s标准网络组成:
由MP/MAP/STA/LWMP组成,构成ESSMP:
MESH点,只有MESH回传功能的站点MAP:
MESH接入点,除了MP功能外,又有AP功能(能接入Wi-Fi终端)的站点STA:
Wi-Fi终端LWMP:
轻量MESH点,一般是移动的MESH站点(也可称作MESH终端)网络标识:
用接入SSID和回传SSID分别标识接入网络和回传网络,胖AP/瘦AP,对不同组网方式下AP的通俗叫法,没有严格的定义。
胖AP(FatAP):
能够独立配置、管理和工作的AP设备。
桥接型AP:
仅完成Wi-Fi终端接入,以及无线与有线之间的二层桥接功能。
企业中多采用这种方法,作为企业有线网络的延伸。
路由型AP:
完成Wi-Fi终端的接入之外,还提供DHCP、NAT路由和PPP拨号等功能,一般用在家庭或简单的热点覆盖,又叫无线路由器。
瘦AP(ThinAP):
多个瘦AP与接入控制器(AC)协同提供Wi-Fi接入服务。
AC一般完成集中交换、鉴权和管理,以及外部互联。
FitAP:
一些厂家对自己瘦AP的叫法,各厂家AP与AC的功能划分有所差异。
无线交换机:
早期的AC,从有线交换机演变而来,与瘦AP通过以太网连接。
接入控制器(AC):
对瘦AP及其业务流进行集中管理、控制,并完成与外部网络互联的网关设备。
AP与AC之间通过TCP/IP专用的隧道进行互联。
大部分支持AC/AP组网的AP都具有胖瘦转换能力。
胖AP/瘦AP,胖APvs瘦AP,胖AP:
成本低,部署快,适合小规模、安全要求不高的网络。
瘦AP:
可管理性好,安全性好,适合大规模或运营性质的网络。
成本低,安全性差,可管理性差,胖AP特性,布设简单,扩展性好,安全性高,可管理性好,可运营,瘦AP特性,网络级协调,胖AP/瘦AP,CAPWAP协议:
AP与AC之间的交互协议草案,由IETFCAPWAP工作组负责(),标准还在制定中,WTP:
WirelessTerminationPoint,无线端结点,就是指瘦AP。
AC:
AccessController,接入控制器。
CAPWAP协议主要定义以下功能:
1、发现,WTP自动发现AC的机制。
2、配置,AC通过CAPWAP对WTP进行配置,WTP可以做到零配置。
3、软件版本管理,AC可自动更新WTP的软件。
4、集中交换,用户数据集中在AC上进行交换。
5、无线资源管理,AC进行全网的无线参数优化。
AC,WTP,STA,Intranet/Internet,Wi-Fi,CAPWAP,TCP/IP,WDS,WDS(WirelessDistributionSystem):
802.11中定义了DS,用于将多个AP互联的有线网络。
WDS则是无线DS,通过无线方式将多个AP互联起来。
WDS数据帧采用4地址格式,包括接收地址、发送地址、目的地址、源地址(RA/TA/DA/SA)。
WDS优点:
部网快速、灵活,成本低。
没有有线网络情况下,使用WDS快速部网将已有的有线DS互联的网线网络,通过WDS进行延伸覆盖WDS缺点:
1)安全性差,只能使用WEP;2)性能差,接入和DS共享信道,WDS,AP工作模式:
除了标准的功能外,很多AP支持其他工作模式,包括Client、ClientBridge、WDS、Repeater和RepeaterBridge模式。
Client模式:
Client作为STA连接AP,用户通过有线连接Client,Client进行NAT转发。
Client模式:
Client作为STA连接AP,用户通过有线连接Client,Client进行二层的桥接。
WDS,AP工作模式:
除了标准的功能外,很多AP支持其他工作模式,包括Client、ClientBridge、WDS、Repeater和RepeaterBridge模式。
WDS模式:
WDSAP同时支持STA接入和WDS互联。
业务由WDSAP进行桥接转发。
WDS,AP工作模式:
除了标准的功能外,很多AP支持其他工作模式,包括Client、ClientBridge、WDS、Repeater和RepeaterBridge模式。
Repeater模式:
Repeater作为STA连接AP,同时作为AP允许STA接入。
业务由Repeater进行NAT转发。
RepeaterBridge模式:
Repeater作为STA连接AP,同时作为AP允许STA接入。
业务由Repeater进行二层桥接转发。
小节提纲,WLAN安全架构什么是WLAN安全WEPWPA/WPA2WAPI,什么是WLAN安全,WLAN安全性:
与其它通信网络的安全性含义类似,包括鉴权、私密性和完整性。
鉴权(Autentication):
一般都指双向鉴权,网络对接入的用户进行身份确认,同时用户对接入的网络也进行身份确认。
实现合法用户接入合法网络。
有时候也叫“鉴别”、“验证”、“认证”。
私密性(Privacy):
指数据包的加解密,确保通信内容不能被偷听。
完整性(Integrity):
在数据包中附加加密的校验字节,确保通信内容没有被篡改。
安全架构:
为达到安全目的设计的相关结构、管理和操作方式,良好的安全架构设计能够满足安全要求的同时做到容易部署和管理。
WEP,WEP:
WiredEquivalentPrivacy,已被淘汰的一种WLAN安全算法。
1999年成为WLAN安全标准,2001年被彻底破解,2003年被WPA替代,现在依然在WLAN产品中广泛支持。
鉴权:
OpenSystem,不鉴权;SharedKey:
四次握手过程进行鉴权。
加密:
采用RC4流加密算法,密钥长度为64/128位。
完整性:
使用CRC-32算法,WEP,WEP:
SharedKey鉴权,WEP,WEP:
帧格式,WEP,WEP:
加密流程,WEP,WEP:
解密流程,WEP,WEP安全缺陷:
严重的安全缺陷导致WEP最终被废弃。
WEP鉴权缺陷OpenSystem:
不鉴权,则容易被利用进行DOS攻击。
SharedKey:
握手过程中出现了明文/密文对,严重损坏保密性。
实际上,其安全性不如OpenSystem。
WEP加密缺陷:
现在的研究表明流加密算法的安全性是比较低的,WEP中的RC4算法更加脆弱。
初始向量碰撞:
24位的IV很容易重复,这是流加密算法的大忌。
完整性检查太简单:
采用CRC-32来进行校验,容易被攻击者用来猜测明文内容。
RC4算法缺陷:
RC4生成的密码流中部分bit随机性不好,容易被攻击者利用。
没有密钥管理:
无密钥动态生成、分发和更新流程合法用户之间不保密:
合法用户使用相同的key,相互之间相当于不保密。
固定密钥不安全:
这样密码容易泄漏,同时留给攻击者无限的破解时间。
WEP破解工具:
利用这些工具能在几分钟内破解WEP密码。
*AirSnort*WEPCrack,WPA/WPA2,WPA(Wi-FiProtectedAccess):
因为WEP的严重安全漏洞,IEEE制定了802.11i来替代WEP,WPA是Wi-Fi联盟基于IEEE802.11i技术标准制定的商业标准,分WPA/WPA2。
其主要差别在于WPA2增加了对CCMP的支持。
WPA:
2002年,Wi-Fi联盟以已经完成TKIP的IEEE802.11idraft3)为基准,制定了WPA。
是一个过渡性的中间标准。
WPA2:
2004年,Wi-Fi联盟以完成的IEEE802.11i标准为基准,制定了WPA2。
TKIP:
前向兼容WEP硬件,依然采用了RC4作为加密算法,还是存在安全性漏洞。
CCMP:
采用了AES加密算法,彻底解决WLAN全性问题。
也称作AES或AES-CCMP。
WRAP:
另一种加密协议,因专利权争议,成为可选项(事实上已被废弃)。
WPA/WPA2,WPA
(2)/WPA
(2)-PSK,WPA
(2)-PSK:
WPA的简化版本,以预设的密码(PreSharedKey)验证替代WPA的IEEE802.1X/EAP验证,不需要验证服务器AS(如:
RADIUS服务器)。
这种方式方便了使用,但降低了安全性。
但认为用于家庭等小规模网络足够安全。
WPA
(2)-Enterprise/WPA
(2)-Personal:
一些设备厂商的叫法,WPA-Enterprise就是指标准的WPA,WPA-Personal就是指WPA-PSK。
AS,AP,STA,WPA(WPA-Enterprise),AP,STA,WPA-PSK(WPA-Personal),WPA/WPA2,TKIP:
TemporalKeyIntegrityProtocol,802.11i定义的一种基于WEP安全算法RC4,改进WLAN网络安全的协议。
TKIP相对WEP的改进:
引入802.1x/EAP鉴权:
引入了终端和网络的双向鉴权,而WEP中几乎没有鉴权。
密钥分发和更新机制:
通过802.1x机制,每次会话使用不同的基本密钥。
每包密钥构建机制:
加密密钥由基本密钥、MAC地址、包序号动态生成,每包数据加密时,均采用不同的密钥。
增加了加密强度。
使用48位初始向量:
使用了48位包序号作为初始向量,因为48位可认为永不重复,可抵御重放攻击。
Michael消息完整性检查码:
解决WEP中数据包容易被篡改的漏洞。
TKIP的缺点:
TKIP设计时要求兼容WEP硬件,因此沿用了WEP的RC4加密算法。
本质不安全:
因为RC4算法已经被破解,这决定了TKIP本质上依然是不安全的。
已有破解实践:
详细破解方法,可参见MartinBeck&ErikTews,“PracticalattacksagainstWEPandWPA”。
WPA/WPA2,TKIP:
帧格式,WPA/WPA2,TKIP:
加密流程,WPA/WPA2,TKIP:
解密流程,WPA/WPA2,CCMP:
802.11i定义的一种必选的加密协议(使用AES算法),用于提高WLAN网络安全。
也叫AES或CCMP-AES。
CCMP与TKIP比较:
主要的差别就是采用了AES块加密算法,块长128位,密钥长度128位。
报文加密、密钥管理、消息完整性校验都使用AES算法。
AES:
AdvancedEncryptionStandard,2001年成为美国政府的加密标准,用于取代DES。
该标准采用了由两个比利时人发明的Rijndael块加密算法。
采用了128位的块长度,128/192/156位密钥长度,进行10/12/14轮迭代。
安全性:
美国政府认为其安全性满足政府要求保密数据的加密要求。
破解情况:
对于AES中的加密算法本身,目前还没有发现破解方法。
已有的成功的攻击方式都是旁道攻击(需要利用加密算法运算的相关的信息,如:
计算时间),且只能完成对降阶AES算法的攻击(如:
降低迭代次数)。
WPA/WPA2,CCMP:
帧格式,WPA/WPA2,CCMP:
加密流程,WPA/WPA2,CCMP:
解密流程,WPA/WPA2,802.11i框架,TKIP和CCMP是以算法为核心的加密协议,实现通信的私密性和完整性。
802.1X实现基于端口的接入认证。
KeyManagement完成TKIP/CCMP的密钥生成和管理。
TKIP,CCMP,802.1x,KeyManagement,802.11i/802.1x鉴权,WPA/WPA2,802.11i框架,802.1x定义了基于端口控制的三元鉴权结构,并定义了EAPOL,用于承载EAP鉴权协议。
EAP(ExtensibleAuthenticationProtocol)定义了认证流程和框架,具体认证方法可扩展,PEAP是使用最广泛的认证方法。
使用鉴权生成的主密钥MK,生成CCMP/TKIP密钥,用于空口的加密。
802.11,EAPOL,RADIUS,安全通道,EAP,PEAP/EAP-TLS/EAP-SIM,802.11(CCMP/TKIP),802.11iKeyManagement,业务网络,802.11i/加密,WPA/WPA2,802.1x框架,三元结构:
鉴权在终端和鉴权服务器之间进行,AP仅进行协议转发。
业务端口为受控端口,初始处于关闭状态,鉴权通过后打开,终端可使用该业务端口。
鉴权完成后,终端与鉴权服务器协商生成主密钥MK,该主密钥由鉴权服务器分发给AP。
STAAPRadiusServer,WPA/WPA2,802.1x/EAPOL,802.1x定义了EAPOL协议,用于在LAN/WLAN上承载EAP协议。
EAPOL使用LLC/SNAP来封装EAP协议。
AA-AA-03,00-00-00-88-8E,ProtocolVersion(1byte),PacketType(1byte),PacketBodyLength(2bytes),PacketBody(nbytes),WPA/WPA2,802.11i操作流程,阶段一:
STA和AP利用关联流程完成安全策略的协商。
阶段二:
STA与鉴权服务器AS之间完成802.1x认证,并生成主密钥MK。
阶段三:
AS给AP分发主密钥MK,STA/AP之间根据MK生成点播/多播临时密钥(PTK/GTK)。
阶段四:
TKIP/CCMP使用PTK/GTK进行安全的数据收发。
WPA-PSK流程:
阶段一:
相同阶段二:
无阶段三:
使用PSK作为PMK,其他相同阶段四:
相同,WPA/WPA2,802.11i操作流程(阶段一):
关联过程,STA通过Probe流程(或侦听Beacon),获得AP的安全策略信息。
进行OpenSystem方式的鉴权。
进行关联流程,STA将自己的安全策略告知AP,协商达成一致后,则关联成功。
安全策略的内容包括:
鉴权方法(802.1xorPSK),单播/多播加密协议(TKIPorCCMP)。
WPA/WPA2,802.11i操作流程(阶段二):
802.1x鉴权,AP触发,启动802.1x/EAP认证过程,认证过程在STA与AS之间进行,AP负责协议转发。
STA与AS之间认证流程与选择的EAP认证方法有关系,AS可同时支持多种认证方法。
认证成功后,STA和AS生成了主密钥MK,AS通过RADIUS将MK分发给AP。
WPA/WPA2,802.11i操作流程(阶段三):
密钥派生和分发,第1步:
AS通过Radius协议将MK发送给AP,一般先转换成RadiusKey后再分发。
第2步:
使用MK(或PSK)作为PMK,通过EAPOL-Key消息完成PTK/GTK的派生和分发。
第3步:
多播临时密钥GTK更新。
WPA/WPA2,802.11i操作流程(阶段三):
PairwiseKeyHierarchy,PMK生成临时密钥,PTK用于点播包的加密,PTK可周期性更新。
对于802.1x鉴权,STA与AS协商生成的MK(MasterKey)即作为PMK。
对于PSK鉴权,PMK=PSK=PBKDF2(PassPhrase,ssid,ssidLength,4096,256),WPA/WPA2,802.11i操作流程(阶段三):
GroupKeyHierarchy,GMK由AP随机生成,通过GMK(周期性)生成GTK,GTK用于多播包的加密和完整性检查。
GTK可周期性更新。
仅AP-STA需要使用多播,STA到AP的均为点播包。
WAPI,WAPI:
WirelessAuthentiction
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 联网 短距离 无线通信 技术 第三