1.IEEE802.11标准概述
IEEE802.11标准的逻辑结构如图1所示,每个站点所应用的802.11标准的逻辑结构包括一个单一MAC层和多个PHY中的一个。
图1 802.11MAC层支持三个分离的PHY
MAC层在LLC层的支持下为共享介质PHY提供访问控制功能(如寻址方式、访问协调、帧校验序列生成的检查,以及LLC PDU定界等)。MAC层在LLC层的支持下执行寻址方式和帧识别功能。802.11标准MAC层采用CSMA/CA(载波监听多路访问/冲突检测)协议控制每一个站点的接入。
1992年7月,802.11工作组决定将无线局域网的工作频率定为2.4GHz的ISM频段,用直接序列扩频和跳频方式传输。因为2.4GHz的ISM频段在世界大部分国家已经放开,无须无线电管理部门的许可。在美国,FCC规定ISM频段的天线增益最大为6dBi,发射功率不超过100mW。
1993年3月,802.11标准委员会接受建议,制定一个直接序列扩频物理层标准。经过多方讨论,直接序列物理层规定两个数据速率:
●利用差分四进制相移键控(DQPSK)调制的2Mbit/s。
●利用差分二进制相移键控(DBPSK)调制的1Mbit/s。
在DSSS中,将2.4GHz的频宽划分成14个22MHz的信道(Channel),临近的信道互相重叠,在14个频道内,只有3个频道是互相不覆盖的,数据就是从这14个频段中的一个进行传送而不需要进行频道之间的跳跃。在不同的国家信道的划分是不相同的。
与直接序列扩频相比,基于802.11的跳频PHY利用无线电从一个频率跳到另一个频率发送数据信号。跳频系统按照跳频序列跳跃,一个跳频序列一般被称为跳频信道(Frequency Hopping Channel)。如果数据在某一个跳跃序列频率上被破坏,系统必须要求重传。
802.11委员会规定跳频PHY层利用GFSK调制,传输的数据速率为1Mbit/s。该规定描述了已在美国被确定的79信道中心频率。
红外线物理层描述了采用波长为850到950nm的红外线进行传输的无线局域网,用于小型设备和低速应用软件。
2.介质访问控制(MAC)层
802.11无线局域网的所有工作站和访问节点都提供介质访问控制(MAC)层服务,MAC服务是指同层LLC(逻辑链路控制层)在MAC服务访问节点(SAP)之间交换MAC服务数据单元(MSDU)的能力,包括利用共享无线电波或红外线介质进行MAC服务数据单元的发送。
MAC层具有三个主要功能:
●无线介质访问
●网络连接
●提供数据验证和保密
无线介质访问
在IEEE802.11标准中定义了两种无线介质访问控制的方法,它们是:
●分布式访问方式(DCF)
分布式访问方式类似于IEEE802.3有线局域网的介质访问控制协议,它采用具有冲突避免的载波侦听多路访问。
分布式访问控制方式是物理层兼容的工作站和访问节点(AP)之间自动共享无线介质的主要的访问协议。802.11网络采用CSMA/CA协议进行无线介质的共享访问,该协议与802.3以太网标准的MAC协议(CSMA/CD)类似。载波侦听可以让MAC层监测介质是处于繁忙还是空闲状态。物理层(PHY)提供信道的物理检测,把物理信道评估结果发送到MAC层,作为确定信道状态信息的一个因素。
MAC控制机制利用帧中持续时间字段的保留信息实现虚拟监测协议,这一保留信息发布(向所有其他工作站)本工作站将要使用介质的消息。MAC层监听所有MAC帧的持续时间字段,如果监听到的值大于当前的网络分配矢量(NAV)值,就用这一信息更新该工作站的NAV。NAV工作起来就像一个计数器,开始值是最后一次发送的帧的持续时间字段值,然后倒计时到0。当NAV的值为0,且PHY控制机制表明有空闲信道时,这个工作站就可以发送帧了。
●中心网络控制方式(PCF)
中心网络控制方式是一个无竞争访问协议,它是一种基于优先级别的访问,适用于节点安装有点控制器的网络。
PCF方式提供可选优先级的无竞争的帧传送。在这种工作方式下,由中心控制器控制来自工作站的帧的传送,所有工作站均服从中心控制器的控制,在每一个无竞争期的开始时间设置它们的NAV(网络分配矢量)值。当然,对于无竞争的轮询(CF-Poll帧),工作站可以有选择地进行回应。
在无竞争期开始,中心控制器首先获得介质的控制权,并遵循PIFS对介质进行访问;因此,中心控制器可以在无竞争期保持控制权,等待比工作在分布式控制方式下更短的发送间隔。
网络连接
当工作站接通电源之后,首先通过被动或主动扫描方式检测有无现成的工作站和访问节点可供加入。加入一个BSS(基本服务组)或ESS(扩展服务组)之后,工作站从访问节点接收SSID、时间同步函数(TSF:Timer Synchronization Function)、计时器的值和物理(PHY)安装参数。
在被动扫描模式下,工作站对每一个信道都进行一段时间的监听,具体时间的长短由ChannelTime参数确定。该工作站只寻找具有本站希望加入的SSID的信标帧,搜索到这个信标后,继而便分别通过认证和连接过程建立起连接。
在主动扫描方式下,工作站发送包含有该站希望加入的SSID信息的探询(Probe)帧,然后开始等待探询响应帧(Probe Reponse Frame),探询响应帧将标识所需网络的存在。
认证和加密
IEEE802.11标准提供两种认证服务,以此来增强网络的安全性:
(1)开放系统认证(Open System Authentication)
这是系统缺省的认证服务。不需要对发送工作站进行身份认证时,一般采用开放系统认证。如果接收工作站通过MIB中的aAuthenticationType参数指明其采用开放系统认证模式,那么采用开放系统认证模式的发送工作站可认证任何其他工作站和AP。
(2)共享密钥认证(Shared Key Authentication)
与开放系统认证相比,共享密匙认证方式提供更高的安全检查级别。采用共享密匙认证的工作站必须执行WEP。
(3)加密
802.11规范定义了可选的WEP,以使无线网络具有和有线网络相同的安全性。如果要避免网络受到安全威胁攻击,就必须同时实施WEP和认证服务。
3.物理层
无线局域网物理层由三部分组成:
●物理层管理(Physical Layer Management):为物理层提供管理功能,它与MAC层管理相连。
●物理层汇聚子层(PLCP):MAC层和PLCP通过物理层服务访问点(SAP)利用原语进行通信。MAC层发出指示后,PLCP就开始准备需要传输的介质协议数据单元(MPDUs)。PLCP也从无线介质向MAC层传递引入帧。
PLCP为MPDU附加字段,字段中包含物理层发送和接收所需的信息,802.11标准称这个合成帧为PLCP协议数据单元(PPDU)。PLCP将MAC协议数据单元映射成适合被PMD传送的格式,从而降低MAC层对PMD层的依赖程度。PPDU的帧结构提供了工作站之间MPDU的异步传输,因此,接收工作站的物理层必须同步每个单独的即将到来的帧。
●物理介质依赖(PMD)子层:在PLCP下方,PMD支持两个工作站之间通过无线介质实现物理层实体的发送和接收。为了实现以上功能,PMD需直接面向无线介质(大气空间),并对数据进行调制和解调。PLCP和PMD之间通过原语通信,控制发送和接收功能。
在802.11标准中规定了无线局域网物理层实现的功能:
●载波侦听:判断介质的状态是否空闲。无线局域网的物理层通过PMD子层检查介质状态来完成载波侦听功能。
发送:发送网络要传输的数据帧。PLCP在接收到MAC层的发送请求(PHY-TXSTART.request原语)后将PMD转换到传输模式。同时,MAC层将与该请求一道发送字节数(0-4095)和数据率指示。然后,PMD通过天线在20微秒内发射帧的前同步码。
●接收:接收网络传送过来的数据帧。如果载波侦听检测到介质繁忙,同时有合法的即将到来帧的前同步码,则PLCP就开始监视该帧的适配头。当PMD监听到的信号能量超过85dBm,它就认为介质忙。如果PLCP测定适配头无误,目的接收地址是本地地址,它将向MAC层通知帧的到来(发送PHY-RXSTART.indication原语)。同时还发送帧适配头的一些信息(如字节数、RSSI和数据率)。
PLCP根据PSDU(PLCP服务数据单元)适配头字段长度的值,来设置字节计数器。计数器跟踪接收到的帧的数目,使PLCP知道帧什么时间结束。PLCP在接收数据的过程中,通过PHY-DAT .indication信息向MAC层发送PSDU的字节。接收到最后一个字节后,它向MAC层发送一条PHY-RXEND.indication原语,声明帧的结束。
IEEE 802.11无线局域网标准的制定是无线网络技术发展的一个里程碑。IEEE802.11标准除了介绍无线局域网的优点及各种不同性能外,还使得各种不同厂商的无线产品得以互联。另外,标准使核心设备执行单芯片解决方案,降低了采用无线技术的造价。IEEE802.11标准的颁布,使得无线局域网在各种有移动要求的环境中被广泛接受。但是802.11标准也存在不足之处,主要有:
●数据速率低:IEEE802.11标准的数据速率只能达到2Mbit/s,一些用户和厂家都感到这个速率太低了。确实在有些情况下这个速度不能满足人们的要求,如视频传输。
●缺少可以在多个厂家AP间漫游的标准:802.11标准没有定义在分布式系统内移动802.11帧所必要的协议,即没有定义两个AP间的连接,而是由厂家来提供AP间漫游所必需的协议。
2000年8月,802.11标准得到了进一步的完善和修订,并成为IEEE/ANSI 和ISO/IEC 的一个联合标准。ISO/IEC 将该标准定为ISO 8802 11。这次802.11标准的修订内容包括用一个基于SNMP 的MIB 来取代原来基于OSI 协议的MIB。另外,还增加了两项新内容:
●IEEE802.11a
它扩充了标准的物理层,规定该层使用5GHz 的频带。该标准采用正交频分调制数据,传输速率范围为6~54Mb/s。这样的速率既能满足室内的应用,也能满足室外的应用。
●IEEE802.11b
它是IEEE802.11标准的另一个扩充,它规定采用2.4GHz 频带,调制方法采用补偿码键控(CKK)。CKK来源于直接序列扩频技术,多速率机制的介质接入控制(MAC)确保当工作站之间距离过长或干扰太大、信噪比低于某个门限时,传输速率能够从11Mb/s 自动降到5.5Mb/s,或者根据直接序列扩频技术调整到2Mb/s和1Mb/s。
1.IEEE802.11b标准
802.11b在无线局域网协议中最大的贡献就在于它在802.11协议的物理层增加了两个新的速度:5.5Mbps和11Mbps。为了实现这个目标,DSSS被选作该标准的唯一的物理层传输技术,这是由于FHSS在不违反FCC原则的基础上无法再提高速度了。这个决定使得802.11b可以和1Mbps和2M的802.11bps DSSS系统互操作,但是无法和1Mbps和2Mbps的FHSS系统一起工作。
利用802.11b,移动用户能够获得同10Mbit/s有线以太网相近的性能、网络吞吐率、可用性。这个基于标准的技术使得管理员可以根据环境选择合适的局域网技术来构造自己的网络,满足他们的商业用户和其他用户的需求。
802.11b的基本结构、特性和服务都在802.11标准中进行了定义,802.11b协议主要在物理层上进行了一些改动,加入了高速数字传输的特性和连接的稳定性。
802.11的DSSS标准使用11位的Barker序列将数据编码并发送,每一个11位的chipping代表一个一位的数字信号1或者0,这个序列被转化成波形(称为一个Symbol),然后在空气中传播。这些Symbol以1MSps(每秒1M的symbols)的速度进行传送,传送的机制称为BPSK(Binary Phase Shifting Keying ),在2Mbps的传送速率中,使用了一种更加复杂的传送方式称为QPSK(Quandrature Phase Shifting Keying),QPSK中的数据传输率是BPSK的两倍,以此提高了无线传输的带宽。
在802.11b标准中,一种更先进的编码技术被采用了,在这个编码技术中,抛弃了原有的11位Barker序列技术,而采用了CCK(Complementary Code Keying)技术,它的核心编码中有一个64个8位编码组成的集合,在这个集合中的数据有特殊的数学特性使得他们能够在经过干扰或者由于反射造成的多径接收问题后还能够被正确地互相区分。5.5Mbps使用CCK串来携带4位的数字信息,而11Mbps的速率使用CCK串来携带8位的数字信息。两个速率的传送都利用QPSK作为调制的手段,不过信号的调制速率为1.375MSps。这也是802.11b获得高速的机理。
为了支持在有噪音的环境下能够获得较好的传输速率,802.11b采用了动态速率调节技术,来允许用户在不同的环境下自动使用不同的连接速度来补充环境的不利影响。在理想状态下,用户以11Mbit/s的速度运行,然而,当用户移出理想的11M速率传送的位置或者距离时,或者潜在地受到了干扰的话,这把速度自动按顺序降低为5.5Mbps、2Mbps、1Mbps。同样,当用户回到理想环境的话,连接速度也会以反向增加直至11Mbps。速率调节机制是在物理层自动实现而不会对用户和其它上层协议产生任何影响。
2.IEEE802.11a标准
IEEE802.11a标准(支持的最高速率为54Mbps)是类似于802.11b标准(支持的最高速率是11Mbps)的快速以太网,只是使用不同的物理层编码方案和不同的频段。由于目前2.4GHz的ISM频带比较拥挤,且带宽比较窄(83MHz),因此802.11a选择工作在5.8GHz的ISM频带。
802.11a工作在5GHz的频率范围内。FCC已经为无执照的运行在5GHz频带内分配了300MHz的频带,为5.15GHz~5.35GHz和5.725GHz~5.85GHz。这个频带被切分为三个工作“域”。第一个100MHz(5.15~5.25GHz)位于低段,限制最大输出功率为50mW。第二个100MHz(5.25~5.35GHz)允许输出功率250mW。最高端分配给室外应用,允许最大输出功率1W。
虽然是分段的,但是IEEE 802.11a应用可用的总带宽几乎是ISM频带的4倍,ISM频带只提供2.4 GHz范围内的83MHz的频谱。同时802.11b的频谱受到了来自无绳电话、微波炉和其它的融合了无线技术的产品(例如蓝牙产品)的干扰。
802.11a由于工作频率较高而使其性能得到了改进。因为频率越高,在空间传播的损耗越大,在相同的发射功率和编码方案的情况下,802.11a产品比802.11b产品发射距离短。为此802.11a产品把EIRP(有效全向辐射功率)增加到了最大的50mW克服了一些距离的损失(802.11b产品一般为30mW)。
然而,光靠功率是不足以在802.11a环境中维持象802.11b那样的距离的。为此802.11a规定和设计了一种新的物理层编码技术,称为COFDM(即编码OFDM)。COFDM是专为室内无线应用而开发的,而且性能大大超过了广谱解决方案的性能。COFDM的工作方式是,将一个高速的载波波段分解为几个子波段,然后以并行方式传输。每个高速载波波段是20MHz宽,被分解为52个子波段,每个大约是300KHz宽。COFDM使用了52个子频道中的48个传输数据,其余的4个用于纠错。由于COFDM的编码方案和纠错技术,使其具备了较高的递送速率和高度的多路径反射恢复性能。
在速度梯度的低端,采用BPSK调制,对每个频道的125Kbps数据编码,结果得到了6,000Kbps,即6Mbps的数据速率。采用QPSK调制可实现双倍数据量编码,达到每个频道编码250Kbps,输出12Mbps的数据速率。采用16QAM(正交调幅)调制,可以达到24Mbps的数据速率。802.11a标准规定,所有适应802.11a的产品都必须支持这些基本数据速率。标准也允许厂商扩充超过24Mbps的调制方式。但是,每个周期(赫兹)编码的bit数越多,信号就越容易受到干扰和衰减,最终发射范围变短。
802.11a还支持36Mbps、48Mbps和54Mbps的数据速率。采用64QAM(64级正交调幅)可以达到54Mbps的数据速率,此时每个周期输出8个bit,每个300KHz的频道总输出达到1.125Mbps。使用48个频道,最终达到54Mbps的数据速率。
3.IEEE802.1x
随着无线局域网IEEE802.11系列标准的制定和产品的出现,无线局域网产品的价格也迅速下降,从而触发了对无线局域网的强劲需求。但是在繁荣的背后,无线网络隐藏的巨大安全隐患也渐渐显现出来。802.11中包含了SSID和WEP加密等为无线局域网提供了一定的安全性,但是仍然有很多漏洞。
为了确保安全性,无线局域网应该做到以下几个方面:
●基于无线局域网认证与设备无关的项目,如用户名和密码。这样客户端的拥有和使用与用户操作客户端没有关系。
●支持用户和认证服务器之间的相互认证(RADIUS)。
●使用动态产生的WEP密钥进行认证,而不是与客户端物理联系的静态密钥。
●支持基于时间的WEP密钥。
而第一代无线局域网的安全性依赖于静态密钥进行接入控制和加密,不能满足这些要求。为了满足上述要求,IEEE制定了802.1x协议。
IEEE 802.1x 称为基于端口的访问控制协议(Port based network access control protocol),它对认证方式和认证体系结构进行了优化,解决了传统PPPoE和Web/Portal认证方式带来的问题,更适合在宽带以太网中的使用。
IEEE 802.1x协议的体系结构包括三个重要的部分:客户端(Supplicant System)、认证系统(Authenticator System)和认证服务器(Authentication Server System)。
●客户端系统
客户端系统一般为一个用户终端系统,该终端系统通常要安装一个客户端软件,用户通过启动这个客户端软件发起IEEE802.1x协议的认证过程。为支持基于端口的接入控制,客户端系统需支持扩展认证协议(EAPOL:Extensible Authentication Protocol Over LAN)。
●认证系统
认证系统通常为支持IEEE802.1x协议的网络设备。该设备对应于不同用户的端口(可以是物理端口,也可以是用户设备的MAC地址、VLAN、IP等)。有两个逻辑端口:受控(controlled Port)端口和不受控端口(uncontrolled Port)。不受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,可保证客户端始终可以发出或接受认证。受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用环境。如果用户未通过认证,则受控端口处于未认证状态,则用户无法访问认证系统提供的服务。
IEEE 802.1x协议中的“可控端口”与“非可控端口”是逻辑上的理解,设备内部并不存在这样的物理开关。对于每个用户而言,IEEE 802.1x协议均为其建立一条逻辑的认证通道,该逻辑通道其他用户无法使用,不存在端口打开后被其他用户利用问题。
●认证服务器
认证服务器通常为RADIUS服务器,该服务器可以存储有关用户的信息,比如用户所属的VLAN、CAR参数、优先级、用户的访问控制列表等等。当用户通过认证后,认证服务器会把用户的相关信息传递给认证系统,由认证系统构建动态的访问控制列表,用户的后续流量就将接受上述参数的监管。认证服务器和RADIUS服务器之间通过EAP协议进行通信。
IEEE 802.1x认证协议已经得到了很多软件厂商的重视,目前Microsoft也在大力推广,并在Windows操作系统中的最新版Windows XP已经整合IEEE 802.1x客户端软件,无需要另外安装客户端软件。