2.3 802.11网络的运作方式
(1) 802.11为了克服无线频道可靠度不够的缺点,纳入了某些机制以确保基本的可靠度,但帧传递实际上是不可靠的;
(2)802.11既要提供MAC层次的移动性,又要依循之前802标准所规划的道路,所以必须加入一些额外的服务与较复杂的帧格式;
2.3.1网络服务
802.11总共提供9中服务,其中3种用来传送数据,其余6种均属管理作业,目的是让网络能够追踪行动节点以及传递帧。
(1)传输(Distribution)
基础型网络中,一旦基站接收到帧,就会使用传输服务将帧送至目的地;
(2)整合(Integration)
整合服务由传输系统提供,它让传输系统得以连接至非IEEE 802.11网络;
(3)连接(Association)
移动式工作站向基站登记建立连接后,才能将帧传递给移动式工作站。如果使用固安网络协议,连接之后才能进行身份认证,在身份认证完成之前,基站会将丢弃来自工作站的所有数据;
(4)重新连接(Reassociation)
-
当移动式工作站在同一个延伸服务区域里的基本服务区域之间移动时,它必须随时评估信号的强度,并在必要时切换所连接的基站;
-
当信号强度显示最好切换连接对象时,移动式工作站会发起重新连接;
-
一旦完成重新连接,传输系统会更新工作站的位置记录,以反映出可通过哪个基站连接上工作站;
(5)解除连接(Disassociation)
(6)身份认证(Authentication)
(7)解除认证(Deauthentication)
解除认证用来终结一段认证关系,副作用就是终止目前的连接。在固安网络中,解除认证也会清除密钥信息。
(8)机密性(Confidentiality)
(9)MSDU传递
-
MSDU(MAC Service Data Unit)MAC服务数据单元;
-
工作站所提供的MSDU递送服务,负责将数据传送给实际的接收端;
-
TPC(Transmit Power control)传输功率控制,是在802.11h所定义的新服务;
-
欧洲标准要求作用于5GHz频段的工作站必须能够控制电波的传输功率,避免干扰其他同样使用5GHz频段的用户;
-
传输功率控制也有助于避免干扰其他无线局域网络;
-
传输距离是传输功率的函数,工作站的传输功率越高,传输距离就越远,也就越容易干扰邻近的网络;
-
如果可以将传输功率调到“刚刚好”,既可以避免干扰到邻近的工作站;
(10)动态频率选择(Dynamic Frequency Selection,简称DFS)
表2-1:网络服务
服务 |
此服务属于工作站或传输系统 |
说明 |
传输 |
传输系统 |
系统递送帧时,可使用此服务来决定目的地位于基础网络上的地址 |
整合 |
传输系统 |
用来将帧递送至无线网络以外的IEEE 802 LAN |
连接 |
传输系统 |
用来建立AP(做为闸道器用)与特定移动式工作站间的连接 |
重新连接 |
传输系统 |
用来变更AP(做为闸道器用)与特定移动式工作站间的连接 |
解除连接 |
传输系统 |
用来从网络移除无线工作站 |
身份认证 |
工作站 |
建立连接之前,用来进行身份认证(利用MAC地址); |
解除认证 |
工作站 |
用来终结一段认证关系,其副作用是终止目前的连接 |
加密性 |
工作站 |
用来防止窃听 |
MSDU递送 |
工作站 |
用来递送数据至接收端 |
传输功率控制(TPC) |
工作站/频谱管理 |
降低工作站传输功率以减少干扰 |
动态频率选择(DFS) |
工作站/频谱管路 |
避免5GHz频段干扰雷达作业 |
工作站提供帧传递(frame delivery)服务让信息得以传递,工作站还必须以【身份认证】服务来建立连接;
工作站利用【机密性】功能,在信息行径到容易遭受侵害的无线链路时,可加以保护;
2.3.1.2传输系统服务
(1)将基站AP连接至传输系统,基站(AP)的主要功能是将有线网络所提供的服务延伸至无线网络,方法是对无线端提供【传输】与【整合】服务;
(2)管理移动式工作站的连接,为了维护连接数据以及工作站的位置信息,传输系统还提供了【连接】、【重新连接】以及【解除连接】等服务;
2.3.1.3机密性、访问控制机密性与访问控制
身份认证与密钥管理(Authentication and key management,简称AKM);
TKIP(临时密钥完整性协议)
CCMP(计数模式CBC-MAC协议)
伪装攻击(spoofing attack)
单点传播数据(unicast data)
【机密性】服务依赖身份认证与密钥管理的配套来确定使用者身份和建立加密密钥。身份认证也可以通过其他外部协议来完成,比如802.1x或者预设共享密钥;
加密演算法(Cryptographic algorithm)
帧的保护可以通过传统的WEP演算法,使用长度40或104个位元的密钥,或者TKIP,或者CCMP。
算法的特点如下:
来源真实性(Origin authenticity)
TKIP与CCMP让接收端得以验证传送的MAC地址,以避免伪装攻击,来源真实性只能保护单点传播数据;
重演攻击检测(Replay detection)
TKIP与CCMP会使用序号计数器(sequence counter)来验证所接收的帧,以防范重演攻击(replay attack)。“太旧”的帧会被丢弃。
其他外部协议与系统
【机密性】服务极其依赖其他外部协议。密钥管理由802.1x所提供。802.1x会搭配EAP来传输认证数据。
2.3.1.4频谱管理服务
频谱管理服务是工作站服务的一部分,这项服务让无线网络得以回应环境,以及动态变更电波的设置值。为了符合电波管制的要求,802.11h定义了两种服务。
第一种:传输功率控制(TPC)
(1)它用来动态调整工作站的传输功率,基站可以利用TPC作业,通知工作站最大容许功率,如果工作站所使用的功率不符合电波管制的要求,也可以拒绝连接。
(2)工作站可以利用TPC调整功率,使传输距离“刚刚好”可以连上基站;
(3)较低的传输功率有助于延长电池的使用时间,但是效果取决于手机能够降低多少传输功率。
第二种:动态选项(DFS)
(1)目的是为了在欧洲地区避免干扰5GHz频段的雷达系统;
(2)DFS最重要的功能在于,可以为基站动态配置频道,切换频道之前,工作站均会接到通知。
参考《无线权威指南》第二版