2.1 802.11网络的运作方式
802.11在设计之初就是做为较上层协议的另一个链路层。其与 Ethernet 渊源之深,有时甚至被称为「无线 Ethernet 」802.11里同样可以找到 Ethernet 的核心成份。它同样是以长度 48个位元的 IEEE802 MAC 地址来区别工作站。概念上,帧的传递是根据 MAC地址。虽然 802.11为了克服无线频道可靠度不够的缺点,纳入了某些机制以确保基本的可靠度,但帧传递实际上还是不可靠的。既要提供 MAC层次的移动性,又要依循之前 802 标准所规划的道路,所以必须加入一些额外的服务与较复杂的帧格式。
2.1.1 网络服务
定义网络技术的方式之一,就是看它能够提供哪些服务,不论设备制造商如何实现这些服务。802.11总共可以提供九种服务。其中三种用来传送数据,其余六种均属管理操作,目的是让网络能够追踪移动节点以及传递帧。以下说明这九种服务:
l 分布式(Distribution)
只要基础结构型网络里的移动式工作站传送任何数据,就会使用这项服务。一旦接入点接收到帧。就会使用分布式服务将帧送至目的地。任何行经接入点的通信都会通过分布式服务传播,包括关联至同一部接入点的两部移动式工作站彼此通信。
l 整合(Integration )
整合服务系由分布式系统提供;它让分布式系统得以关联至非 IEEE 802.11 网络。整合功能将因所使用的分布式系统而异,因此除了必须提供的服务,802.11并未加以规范。
l 关联(Association)
之所以能够将帧传递给移动式工作站,是因为移动式工作站会向接入点登记,或与接入点产生关联。关联之后,分布式系统即可根据这些登录信息判定哪部移动式工作站该使用哪部接入点。未关联的工作站不算「在网络上」,好比拔掉 Ethernet 网线的工作站。802.11虽有规范使用这些关联数据的分布式系统必须提供哪些功能,但对于如何实现这些功能并未强制规定。如果使用强健安全网络协议(robust security network protocol ),关联之后才能进行身份认证。在身份认证完成之前,接入点会将丢弃来自工作站的所有数据。
l 重新关联(Reassociation)
当移动式工作站在同一个扩展服务区域里的基本服务区域之间移动时,它必须随时评估信号的强度,并在必要时切换所关联的接入点。重新关联是由移动式工作站所发起,当信号强度显示最好切换关联对象时便会如此做。接入点不可能直接开启重新关联服务。一旦完成重新关联,分布式系统会更新工作站的位置纪录,以反映出可通过哪个接入点连络上工作站。和关联服务一样,在强健安全网络中,除非已经成功完成身份认证,否则来自工作站的数据均会被弃置。
l 取消关联(Disassociation)
要结束现有关联,工作站可以利用取消关联服务。当工作站启动取消关联服务时,储存于分布式系统的关联数据会随即被移除。一旦解除关联,工作站即不再附接在网络上。在工作站的关机过程中,取消关联是个礼貌性的动作。
l 身份认证(Authentication)
实体安全防护在有线局域网络安全解决方案中是不可或缺的一部分。网络与接入点(attachment point)受到限制,通常只有位于外围访问控制设备(perimeter access control device )之后的办公区才能加以访问。网络设备可以通过加锁的集线柜(locked wiring closet )加以保护,而办公室与隔间的网络插座只在必要时才连接至网络。无线网络无法提供相同层级的实体保护,因此必须依赖额外的身份认证程序,以保证访问网络的使用者已获得授权。身份认证是关联的必要前提,惟有经过身份辨识的使用者才淮许使用网络。工作站与无线网络关联的过程中,可能必须经过多次身份认证。关联之前,工作站会先以本身的MAC地址来跟接入点进行基本的身份辨识。此时的身份认证,通常称为 802.11身份认证,有别于后续所进行、牢靠而经过加密的使用者身份认证。
l 解除认证(Deauthentication )
解除认证用来终结一段认证关系。因为获准使用网络之前必须经过身份认证,解除认证的副作用就是终止目前的关联。在强健安全网络中,解除认证也会清除密钥信息。
l 机密性(Confidentiality)
在有线局域网络中,坚固的实体控制可以防止刺探数据的绝大部分攻击。攻击者必须能够实际访问网络介质,才有可能窥视往来的内容。在有线网络中,网线与其他计算资源一样,也要受到实体保护。在设计上,实际访问无线网络,相对而言较为容易,只要使用正确的天线与调制方式就办得到。802.11初次改版时,机密性( confidentiality )服务原本称为私密性(privacy)服务,而且是由目前已经亳无可信度的有线等效加密(Wired Equivalent Privacy, 简称WEP)协议所提供。除了新的加密机制,802.11i另外提供了两种 WEP无法解决的关键服务来加强机密性服务,亦即基于使用者的身份认证(user-based authentication)以及密钥管理服务。
l MSDU 传递
一个网络如果无法传递数据给接收端,大概也没有什么用。工作站所提供的 MSDU(全名为MAC Service Data Unit)递送服务,负责将数据传送给实际的接收端。
l 传输功率控制(Transmit Power Control,简称 TPC )
TPC 是在 802.11h 所定义的新服务。欧洲标准要求操作于 5 GHz 频段的工作站必须能够控制电波的传输功率,避免干扰其他同样使用 5 GHz频段的用户。传输功率控制也有助于避免干扰其他无线局域网络。传输距离是传输功率的函数;工作站的传输功率愈高,传输距离就愈远,也就愈容易干扰邻近的网络。如果可以 将传输功率调到“刚刚好”(just right ),就可以避免干扰到邻近的工作站。
l 动态频率选择(Dynamic Frequency Selection,简称 DFS )
某些雷达系统的操作范围位于 5 GHz 频段。因此,有些管制当局强制要求无线局域网络必须能够检测雷达系统,以及选择未被雷达系统所使用的频率。有些管制当局甚至要求无线局域网络必须能够均衡使用(uniform use)5 GHz 频段,因此网络必须具备重新配置信道(re-map channels )的能力。
表 2-1:网络服务
2.1.2 工作站服务
每部与802.11相容的工作站都必须提供工作站服务,任何宣称符合 802.11规格的产品也都必须具备这项功能。移动式工作站与接入点的无线界面都会提供工作站服务。工作站提供「帧传递」(frame delivery)服务让信息得以传递,为了支持此项任务,工作站还必须以「身份认证」服务来建立关联。工作站或许也希望利用「机密性」功能,在信息行经容易遭受侵害的无线链路时,加以保护。
2.1.3 分布式系统服务
分布式系统服务负责将接入点关联至分布式系统。接入点的主要功能是将有线网络所提供的服务延伸至无线网络;方法是对无线端提供「分布式」与「整合」服务。分布式系统另外一项重要的功能是管理移动式工作站的关联。为了维护关联数据以及工作站的位置信息,分布式系统还提供了「关联」、「重新关联」以及「解除关联」等服务。
2.1.4 机密性与访问控制机密性与访问控制
服务彼此密不可分。除了传输数据的私密性(secrecy),「机密性」服务也提供帧内容的完整性(integrity)。私密性与完整性均仰赖共享式加密密钥(shared cryptographic keying),因此 r 机密性」服务必然仰赖其他服务提供身份认证与密钥管理。
身份认证与密钥管理(Authentication and key management,简称 AKM)
如果无法防范未经授权的使用者,密码学上的完整性就没有什么价值可言。「机密性」服务仰赖身份认证与密钥管理的配套来确定使用者的身份和建立加密密钥。身份认证也可以通过其他外部协议完成,比如 802.1X 或者预设共享密钥(pre-shared key)。
加密算法(Cryptographic algorithm)
帧的保护可以通过传统的 WEP 演算法,使用长度 40 或 104 个位元的密钥;或者 TKIP(临时密钥完整性协议);或者 CCMP(计数器模式 CBC-MAC 协议)。
l 来源真实性(Origin authenticity)
TKIP与CCMP 让接收端得以验证传送端的 MAC地址,以避免伪装攻击(spoofing attack )。来源真实性只能保护单点传播数据( unicast data)。
l 重放攻击检测(Replay detection)
TKIP与COMP 会使用序号计数器(sequence counter)来验证所接收的帧,以防范重放攻击(replay attack )。“太旧”的帧就会被丢弃。
l 其他外部协议与系统
「机密性」服务极其依赖其他外部协议。密钥管理系由 802.1X所提供,而 802.1X则会搭配EAP 来传递认证数据·802.11并未限制使用何种协议,不过最普遍的做法是以 EAP 提供身份认证,并以 RADIUS 介接认证服务器。
2.1.4.1 频谱管理服务
频谱管理服务是工作站服务的一部分。这项服务让无线网络得以回应环境,以及动态变更电波的设置值。为了符合电波管制的要求,802.1h定义了两种服务。
第一种服务称为传输功率控制(TPC ),用来动态调整工作站的传输功率·接入点可以利用TPC 操作,通知工作站最大容许功率,如果工作站所使用的功率不符合电波管制的要求,也可以拒绝关联。工作站可以利用 TPC 调整功率,使传输距离“刚刚好”可以连上接入点。较低的传输功率也有助于延长电池的使用时问,但是效果取决于手机能够降低多少传输功率。
第二种服务称为动态选频(DFS),开发的目的主要是为了在欧洲地区避免干扰 5GHz 频段的雷达系统。虽然原本是为了符合欧洲管制当局的要求,不过背后所依循的原则,还是跟其他管制当局的要求没有两样。DFS是美国于 2004年决定在 5 GHz 频段开放更多频谱的重要关键。接入点可借助 DFS所提供的功能,让某个信道静默(quiet the channel )后不受干扰地搜索雷达。不过,DFS最重要的功能在于,可以为接入点动态配置信道。切换信道之前,工作站均会接到通知。
2.2 移动性的支持
移动性是采用 802.11网络的主要动机之所在行进间用手机通话。在工作站移动时传送数据,就好比在移动时用手机通话。
802.11所提供的移动性,存在于链路层的基本服务集之间。它并无法理解链路层以上究竟发生什么事。在部署规划 802.11时,网络工程师必须特别小心,好让无线层的无间隙转换(seamless transition )在工作站 IP 地址,可以在被保留在网络协议层也获得支持。就 802.11而言,接入点之间可能出现三种转换:
l 不转换
如果工作站并未离开目前接入点的服务范围,就无须转换。这种状态之所以发生,可能是因为工作站并未移动,或是仍在目前所关联之接入点的基本服务区域中移动。【注】(当然,这种说法可能会引起争论,不过规格就是如此定义的。)
l BSS 转换
工作站持续监控来自所有接入点的信号强度与信号品质。在扩展服务区域中, 802.11提供了MAC层次的移动性。附接至「分布式系统」的工作站,可以将所送出的帧,寻址到某部移动式工作站的 MAC地址,并让接入点充当该移动式工作站的最终跳跃点(final hop )。分布式系统上的工作站无须知道某部移动式工作站的确切位置,只要该移动式工作站位于同样的服务区域。
图 2-1:BSS 转换
图2-1 展示了 BSS 转换的过程。本图有三部接入点被赋予相同的ESS 。一开始,以 t=1 表示,配备802.11无线网卡的膝上型电脑,位于 AP1 的基本服务区,并与 AP1 处于关联的状态。当该膝上型电脑离开 AP1 的基本服务区,并于 t=2 进入 AP2 的范围时,就发生所谓的 BSS 转换。该移动式工作站会使用「重新关联」服务与 AP2 关联,而AP2 则会开始送出帧给该移动工作站。
BSS 转换必须通过接入点彼此合作。在上述状况下,AP2 必须通知 API 该移动式工作站现在已经与AP2 关联。802.11并未规范 BSS 转换过程中接入点之间如何通信的细节。
值得注意的是,即使这两部接入点隶属于同一个扩展集,它们之间却可能是由一部路由器所关联,即受限于第三层协议。在这种情况下,仅使用 802.11 协议并无法保证可以达到无间隙漫游。
l ESS 转换
所谓ESS 转换,是指从某个 ESS 移动至另一个 ESS 。802.11并未支持此类转换,不过允许工作站在离开第一个 ESS 的范围之后,与第二个 ESS 里的接入点关联。可以确定的是,较上层的关联必然会因此而断线。比较正确的说法是, 802.11 所支持的 ESS 转换,仅能够让工作站比较容易与新的「扩展服务区域」之接入点关联。要能够维持较高层次的关联,必须得到协议族的支持。以 TCP/IP写例,要支持无间隙的 ESS 转换,必须使用 Mobile IP。
图 2-2 展示了 ESS的转换过程。图2-2 中,四个基本服务区组成了两个扩展服务区。目前尚未支持从左边的 ESS无间隙地转换至右边的 ESS 。之所以支持 ESS 转换,是因为移动式工作站会立即与第二个ESS里的接入点关联。只要离开第一个 ESS 的范围,任何作用中的网络关联都会随之断线。
图 2-2:ESS 转换
2.2.1 移动性网络设计
在设计上,绝大多数的网络都采用一组接入点访问一组资源。同一组所管理的所有接入点均会被赋予相同的 SSID,使用无线网络时,工作站就以此 SSID进行关联。
工作站四处移动时,除了持续监视网络关联状态,也会在不同接入点间进行切换。802.11可以确保工作站经过不同接入点时维持关联。只要这些接入点属于同一个 SSID,但是网络设计人员在组建网络时必须将移动性纳入考虑。较小的网络通常是由单一的 VLAN、单一的网络所构成,这时就不必担心移动性问题。跨网段的较大网络则必须使用额外技术,能够支持移动性。有些产品仅支持单一的 VLAN,工作站不论身在何处均关联到相同的 VLAN。较新的产品甚至会根据身份认证数据为工作站动态指定 VLAN。
因此不论置身何处,只要使用者一关联,就会被引到相同的VLAN;这类交换式网络只会要求无线局域网络设备必须正确标识帧。有些产品支持 Mobile IP标准,或者自创不同的 VPN技术。事实上,ESS 转换相当罕见,通常只发生在使用者离开某个区域,进入到另一个区域时( 例如,某个 hot spot 的公司网络) 。此时,两个网络可能使用不同的 IP 地址,两者之间也不存在信赖关系,不足以在不中断网络关联的情况下无间隙地移动工作站。
2.2.2专属的移动系统
为了提供移动性,有些厂商会设计自家专属的协议与流程,特别是那些专门设计用来建设大规模网络的设备厂商。802.11尚存一个大问题是,必须在同一个 IP 子网来提供漫游。如此一来,无线局域网络的部署除了必须在架设上实际的规划,在骨干网络之上也免不了要有所调整。有些厂商为了尽快填补这些空隙,让工作站能够在各种形态的网络之间来去自如,以及在接入点之间快速漫游,早已著手开发自家的专属协议。