无线局域网技术范文
时间:2023-10-02 17:41:44
无线局域网技术篇1
前 言
在这个“网络就是计算机”的时代,伴随着有线网络的广泛应用,以快捷高效,组网灵活为优势的无线网络技术也在飞速发展。无线局域网是计算机网络与无线通信技术相结合的产物。从专业角度讲,无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信,并为通信的移动化、个性化和多媒体应用提供了可能。通俗地说,无线局域网(wireless local-area network,wlan)就是在不采用传统缆线的同时,提供以太网或者令牌网络的功能。 通常计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。但有线网络在某些场合要受到布线的限制:布线、改线工程量大;线路容易损坏;网中的各节点不可移动。特别是当要把相离较远的节点连接起来时,敷设专用通信线路的布线施工难度大、费用高、耗时长,对正在迅速扩大的联网需求形成了严重的瓶颈阻塞。无线局域网就是解决有线网络以上问题而出现的。
无线局域网的历史
说到无线网络的历史起源,可能比各位想像的还要早。无线网络的初步应用,可以追溯到五十年前的第二次世界大战期间,当时美国陆军采用无线电信号做资料的传输。他们研发出了一套无线电传输科技,并且采用相当高强度的加密技术。当初美军和盟军都广泛使用这项技术。这项技术让许多学者得到了灵感,在1971年时,夏威夷大学(university of hawaii)的研究员创造了第一个基于封包式技术的无线电通讯网络,这被称作alohnet的网络,可以算是相当早期的无线局域网络(wlan)。这最早的wlan包括了7台计算机,它们采用双向星型拓扑(bi-directional star topology),横跨四座夏威夷的岛屿,中心计算机放置在瓦胡岛(oahu island)上。从这时开始,无线网络可说是正式诞生了。 虽然目前几乎所有的局域网络(lan)都仍旧是有线的架构,不过近年来无线网络的应用却日渐增加,主要应用在学术界(像是大学校园)、医疗界、制造业和仓储业等,而且相关的技术也一直在进步,对企业而言要转换到无线网络也更加容易、更加便宜了。
无线局域网的技术特点
无线局域网利用电磁波在空气中发送和接受数据,而无需线缆介质。无线局域网的数据传输速率现在已经能够达到11mbps,传输距离可远至20km以上。它是对有线联网方式的一种补充和扩展,使网上的计算机具有可移动性,能快速方便地解决使用有线方式不易实现的网络联通问题。
1.无线局域网的优点
与有线网络相比,无线局域网具有以下优点:
安装便捷
一般在网络建设中,施工周期最长、对周边环境影响最大的,就是网络布线施工工程。在施工过程中,往往需要破墙掘地、穿线架管。而无线局域网最大的优势就是免去或减少了网络布线的工作量,一般只要安装一个或多个接入点ap(access point)设备,就可建立覆盖整个建筑或地区的局域网络。
使用灵活
在有线网络中,网络设备的安放位置受网络信息点位置的限制。而一旦无线局域网建成后,在无线网的信号覆盖区域内任何一个位置都可以接入网络。
经济节约
由于有线网络缺少灵活性,这就要求网络规划者尽可能地考虑未来发展的需要,这就往往导致预设大量利用率较低的信息点。而一旦网络的发展超出了设计规划,又要花费较多费用进行网络改造,而无线局域网可以避免或减少以上情况的发生。
易于扩展
无线局域网有多种配置方式,能够根据需要灵活选择。这样,无线局域网就能胜任从只有几个用户的小型局域网到上千用户的大型网络,并且能够提供像“漫游(roaming)”等有线网络无法提供的特性。由于无线局域网具有多方面的优点,所以发展十分迅速。在最近几年里,无线局域网已经在医院、商店、工厂和学校等不适合网络布线的场合得到了广泛应用。
2.无线局域网的相关技术
1). ieee 802.11标准
ieee 802.11是在1997年由大量的局域网以及计算机专家审定通过的标准。ieee 802.11规定了无线局域网在2.4ghz波段进行操作,这一波段被全球无线电法规实体定义为扩频使用波段。
1999年8月,802.11标准得到了进一步的完善和修订,包括用一个基于snmp的mib来取代原来基于osi协议的mib。另外还增加了两项内容,一是802.11a,它扩充了标准的物理层,频带为5ghz,采用qfsk调制方式,传输速率为6mb/s-54mb/s。它采用正交频分复用(ofdm)的独特扩频技术,可提供25mbps的无线atm接口和10mbps的以太网无线帧结构接口,并支持语音、数据、图像业务。这样的速率完全能满足室内、室外的各种应用场合。但是,采用该标准的产品目前还没有进入市场。另一种是802.11b标准,在2.4ghz频带,采用直接序列扩频(dsss)技术和补偿编码键控(cck)调制方式。该标准可提供11mb/s的数据速率,还能够根据情况的变化,在11 mbps、5.5 mbps、2 mbps、1 mbps的不同速率之间自动切换。它从根本上改变无线局域网设计和应用现状,扩大了无线局域网的应用领域,现在,大多数厂商生产的无线局域网产品都基于802.11b标准。
2). 无线局域网的相关概念
在一个典型的无线局域网环境中,有一些进行数据发送和接收的设备,称为接入点(ap)。通常,一个ap能够在几十至上百米的范围内连接多个无线用户。在同时具有有线和无线网络的情况下,ap可以通过标准的ethernet电缆与传统的有线网络相联,作为无线网络和有线网络的连接点。无线局域网的终端用户可通过无线网卡等访问网络。
无线局域网在室外主要有以下几种结构:点对点型、点对多点型、多点对点型和混合型。
点对点型
该类型常用于固定的要联网的两个位置之间,是无线联网的常用方式,使用这种联网方式建成的网络,优点是传输距离远,传输速率高,受外界环境影响较小。
点对多点型
该类型常用于有一个中心点,多个远端点的情况下。其最大优点是组建网络成本低、维护简单;其次,由于中心使用了全向天线,设备调试相对容易。该种网络的缺点也是因为使用了全向天线,波束的全向扩散使得功率大大衰减,网络传输速率低,对于较远距离的远端点,网络的可靠性不能得到保证。
混合型
这种类 型适用于所建网络中有远距离的点、近距离的点,还有建筑物或山脉阻挡的点。在组建这种网络时,综合使用上述几种类型的网络方式,对于远距离的点使用点对点方式,近距离的多个点采用点对多点方式,有阻挡的点采用中继方式。
无线局域网的室内应用则有以下两类情况
独立的无线局域网
这是指整个网络都使用无线通信的情形。在这种方式下可以使用ap,也可以不使用ap。在不使用ap时,各个用户之间通过无线直接互联。但缺点是各用户之间的通信距离较近,且当用户数量较多时,性能较差。
非独立的无线局域网
在大多数情况下,无线通信是作为有线通信的一种补充和扩展。我们把这种情况称为非独立的无线局域网。在这种配置下,多个ap通过线缆连接在有线网络上,以使无线用户即能够访问网络的各个部分。
其他相关概念
微单元和无线漫游
无线电波在传播过程中会不断衰减,导致ap的通讯范围被限定在一定的范围之内,这个范围被称为微单元。当网络环境存在多tap,且它们的微单元互相有一定范围的重合时,无线用户可以在整个无线局域网覆盖区内移动,无线网卡能够自动发现附近信号强度最大的ap,并通过这个ap收发数据,保持不间断的网络连接,这就称为无线漫游。
扩频
大多数的无线局域网产品都使用了扩频技术。扩频技术原先是军事通讯领域中使用的宽带无线通信技术。使用扩频技术,能够使数据在无线传输中完整可靠,并且确保同时在不同频段传输的数据不会互相干扰。
直序扩频
所谓直接序列扩频,就是使用具有高码率的扩频序列,在发射端扩展信号的频谱,而在接收端用相同的扩频码序列进行解扩,把展开的扩频信号还原成原来的信号。
跳频扩频
跳频技术与直序扩频技术完全不同,是另外一种扩频技术。跳频的载频受一个伪随机码的控制,在其工作带宽范围内,其频率按随机规律不断改变频率。接收端的频率也按随机规律变化,并保持与发射端的变化规律一致。
跳频的高低直接反映跳频系统的性能,跳频越高,抗干扰的性能越好,军用的跳频系统可以达到每秒上万跳。实际上移动通信gsm系统也是跳频系统。出于成本的考虑,商用跳频系统跳速都较慢,一般在50跳/秒以下。由于慢跳跳频系统实现简单,因此低速无线局域网常常采用这种技术。
无线局域网的应用
基于无线局域网具有的诸多优点,它可广泛应用于下列领域:
1.接入网络信息系统:电子邮件、文件传输和终端仿真。
2.难以布线的环境:老建筑、布线困难或昂贵的露天区域、城市建筑群、校园和工厂。
3.频繁变化的环境:频繁更换工作地点和改变位置的零售商、生产商,以及野外勘测、试验、军事、公安和银行等。
4.使用便携式计算机等可移动设备进行快速网络连接。
5.用于远距离信息的传输:如在林区进行火灾、病虫害等信息的传输;公安交通管理部门进行交通管理等。
6.专门工程或高峰时间所需的暂时局域网:学校、商业展览、建设地点等人员流动较强的地方;利用无线局域网进行信息的交流;零售商、空运和航运公司高峰时间所需的额外工作站等。
7.流动工作者可得到信息的区域:需要在医院、零售商店或办公室区域流动时得到信息的医生、护士、零售商、白领工作者。
8.办公室和家庭办公室(soho)用户,以及需要方便快捷地安装小型网络的用户。
无线局域网的结构
根据不同局域网的应用环境与需求的不同,无线局域网可采取不同的网络结构来实现互联。常用的具体有如下几种:
1、网桥连接型:不同的局域网之间互联时,由于物理上的原因,若采取有线方式不方便,则可利用无线网桥的方式实现二者的点对点连接,无线网桥不仅提供二者之间的物理与数据链路层的连接,还为两个网的用户提供较高层的路由与协议转换。
2、基站接入型:当采用移动蜂窝通信网接入方式组建无线局域网时,各站点之间的通信是通过基站接入、数据交换方式来实现互联的。各移动站不仅可以通过交换中心自行组网,还可以通过广域网与远地站点组建自己的工作网络。
3、hub接入型:利用无线hub可以组建星型结构的无线局域网,具有与有线hub组网方式相类似的优点。在该结构基础上的wlan,可采用类似于交换型以太网的工作方式,要求hub具有简单的网内交换功能。
4、无中心结构:要求网中任意两个站点均可直接通信。此结构的无线局域网一般使用公用广播信道,mac层采用csma类型的多址接入协议。
无线局域网可以在普通局域网基础上通过无线hub、无线接入站(ap)、无线网桥、无线modem及无线网卡等来实现,其中以无线网卡最为普遍,使用最多。无线局域网的关键技术,除了红外传输技术、扩频技术、网同步技术外还有一些其他技术,如:调制技术、加解扰技术、无线分集接收技术、功率控制技术和节能技术。
无线局域网的具体实现
笔者通过在实际工作中对无线局域网设备和技术实现有过较为深刻的接触。下面以广州凯创公司(enterasys networks)的roamabout 802.11系列无线局域网设备对无线局域网的具体实现加以简单介绍:
1. roamabout802.11设备简介:
enterasys推出的roamabout无线网络解决方案,用于迅速、轻松和经济地建立无线lan,它可以为用户提供类似以太网的可靠性能。roamabout 802.11系列产品由两部分组成:全功能交换接入点和2.4ghz直接序列扩频无线以太网pc卡。前者可以通过无屏蔽双绞线对,迅速而轻松地连接有线lan;后者的功能类似于所有标准的有线以太网卡,但它使用射频而不是电缆来建立lan连接。当用户在整个网络内漫游时,roamabout pc卡可以无缝地切换到不同接入点上,从而始终保持与网络的连接。
2. 工程具体实现实例:
例1:某税务分局大楼内已建成一条有线局域网,在分局大楼外有七个所需要通过无线局域网与大楼内的有线网相连接。分局大楼外的七个所,至分局最远距离15km,最近3km,其中有两个所在一栋建筑物内已建成一个小有线局域网,各所一般拥有2至4台工作站。我们采用的无线局域网产品工作在2.4ghz至2.4835ghz频率范围内,它要求两个通信点的天线之间最好没有物体遮挡,但由于大楼处于繁华地带,因此选择一个楼层较高的所作为无线局域网的中心站点。在中心站点上接入一个无线接入点ap-10d,其它各所通过接入一个站适配器sa-40d与中心站点的ap-10d进行通信,分局大楼内的有线局域网则通过接入一个无线网桥wb-10d与中心站点ap-10d进行通信。这样各所与分局所有站点对无线局域网的访问均通过中心站点的控制来实现,它们共享中心站点ap-10d的3m带宽。
例2:某集团公司各企业分布在不同的建筑物内办公,按常规设计必须专线连接,每月支付昂贵的月租费和维护费用,并且无法解决移动站点访问和存取公司网上信息。采用2.4ghz频段无线局域网产品,可以比较灵活地组成一体化企业网络,达到与专线相同的性能,并解决移动站点问题,且安装维护方便,不需交频率使用费。具体方法是使用无线接入点(ap)的桥接功能,一端与建筑物间天线相连,一端与有线网络hub相连,这样把两栋大楼互相连接起来替代专线功能。周围移动站点通过无线接入点与公司有线网络互联,访问和存取公司信息。
结束语
无线局域网技术篇2
关键词:无线局域网;校园网;传输带宽
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2009)24-6629-02
The Application of WLAN Technology In Campus Network
HE Cheng-qian1, LU Man-li2
(1.Yangzhou Polytechnic College,Yangzhou 225009,China;2.Yangzhou Vocational College of Environment and Resources, Yangzhou 225007,China)
Abstract: In this paper, the author supplies an overview of WLAN, and then, introduces current application of WLAN technology in Campus Network,analies the difference between WLAN and wired networks,for the advantages and defects of WLAN, advances the present practicalapplication prospect of WLAN technology in Campus Network.
Key words: WLAN; gampus network; transportation bandwidth
目前校园网用户有多种新的需求,如网络信息点流动的需求、难以布线区域网络接入需求、降低成本和保护投资的需求等等。这些迫切的需求问题目前都难以通过有线介质网络技术加以解决,所以在原有网络基础下使用无线局域网技术建立无线校园网,方便或是完善校园网的功能,已成为现代化校园网的一个重要标志。根据相关报道,2008年6月,中国已有600所高校建设无线校园网。
1 校园对无线局域网的需求
21世纪是数字化、网络化、信息化的世纪。随着信息技术的飞速发展和教育信息化程度的提高, 在校园网内全面实现全面信息电子化交换和信息资源共享成为必要。从而在原有的网络基础上提出了新的一些问题:
1)网络扩展问题:随着校园的发展,有一定物理分隔的老校区与新校区之间可能需要实现网络互联,比如新老校区间需跨越城市主干道;或是建筑物之间的不易架设网线的网络互联,比如建筑物之间有河流、湖泊等自然阻隔,这些情况下使用有线网络介质实现网络互联都比较困难;
2)移动获取网络服务问题:随着笔记本电脑、掌上电脑等移动智能设备的普及,这类移动性强设备对网络接入服务提出了很高的移动性要求,而当前有线网络环境却无法满足此项要求;
3)网络接入要求密集问题:当大量用户在一个相对空间狭小的地点同时要求网络接入时,比如学校电子阅览室,如果用电缆连网,恐怕连铺设电缆的位置都很难找到的情况;
要解决上述问题,就促使我们必须打破有线网络通信介质的束缚,寻求使用无线局域网通信介质扩充网络的解决方案。
2 无线局域网的性能和特点
无线局域网(WLAN)是指利用无线电波作为传输介质,使用无线射频(RF)技术实现与设备位置无关的网络数据传输体统,是一种数据传输系统,是从有线网络系统发展而来的一种新技术,使用无线射频技术通过空中收发数据,从而减少使用有线连接。一般来说,凡是采用无线传输数据或媒体计算机网络都称为无线网络,它是计算机网络与无线通信技术相互结合共同发展的产物。
当前,在诸多计算机连网技术中,无线局域网技术以其无需布线、在一定区域漫游、安装运行费用低廉等特点,在许多场合发挥着其他连网技术不可替代的作用。
3 无线局域网在校园网应用优势
如前所述,根据无线局域网技术的特点,其在校园网应用中的具有一些优势,这些优势主要表现在三种典型的应用:
3.1 无线局域网实现校园网扩展中的优势
无线局域网的安装维护简单,无需布线或开挖沟槽可实现快速安装,对在已建建筑群区域使用,及对具有一定物理分隔或是其他无法进行有线传输介质铺设的网络连接需要时,无线局域网能提供更简单的网络接入保障。另外,当网络发生故障时,网络管理员不必巡线寻找损坏的线路,只要检查信号发送与接收端的信号是否正常即可判断网络故障所在。因此使用无线局域网技术相比使用有线网络技术而言,在很大程度上简化施工维护难度的同时还能有效地削减施工成本。
3.2 无线局域网实现校园网移动接入的优势
无线局域网技术具有无缝覆盖, 不受布线接点位置的限制的优点,使传统的有线网络传输距离得到了无线的延伸,克服了布线困难的问题。有线网络难以延伸的区域,可由无线局域网覆盖,在无线局域网的信号覆盖范围内的任何一个位置都可以接入网络,使得网络的接入和扩容非常的灵活。具有有线网络不具有可移动性,为学生和教师提供移动网络服务。传统校园网为学生和教师提供了像互联网接入、图书馆和数据中心等服务,但是用户为了使用这类服务不得不整天在它们之间奔波。如果学生与教师使用了配有无线网卡的便携式计算机,他们就可以在学校的任何时间、任何地点来使用这些校园网提供的服务,可以很方便地建立虚拟教室和调研项目,为学生提供方便即时的无线上网服务。
另外,无线局域网还可以对临时教学活动提供灵活方便的服务。一间教室有可能有不同用途,而该教室中的计算机也可能需要被拿到另外的教室中用于其它用途。无线局域网产品可以很容易地实现这些频繁移动的计算机之间的网络互连,从而很快地将一个本来是用于其他目的的教室变成你需要的功能教室,省去了布线的费用以及所耗精力。
3.3 无线局域网技术实现校园网密集接入的优势
无线局域网技术具有大容量接入,且不受布线束缚接入方便的特点,一个信道可以支持多用户共享,大大的提高了设备逻辑端口密度,更适合在用户密集的热点地区部署。就目前使用的无线局域网接入设备而言,理论上一台AP(无线访问节点)可以提供250台以上安装了无线网卡的电脑或其他移动智能设备接入网络,由于没有线缆,根本上解决了有线网络在密集接入中需要考虑的布线问题和多交换机级联、多交换机设置等问题。同时也节省了购置线缆和其他网络连接设备的费用。对于校园网中电子阅览室、礼堂等这类室内空间且需要提供密集连接场所的网络接入要求,相比使用有线网络技术而言,使用无线局域网技术的确可以起到事半功倍的效果。
并且,无线局域网采用CSMA/CA介质访问协议,与有线以太网IEEE802.3的MAC物理链路层标准CSMA/CD兼容,所以能与标准以太网及目前的几种主流的网络操作系统完全兼容。因此,在网络连接由有线以太网方式改为无线局域网方式时,用户已有的网络软件可不做任何的设置修改,就能在新的网络环境中正常运行。所以在原有有线网络环境下实现无线网络的改造比较方便。
4 无线局域网在校园网应用中的缺点
目前无线局域网技术在校园网络中仍然无法完全取代有线网络的,其原因主要在于一下三方面:
4.1 信号抗干扰性、穿透性弱
我们目前的校园环境中的无线信号本就种类繁多。比如校园内的广播站信号,移动通信信号甚至是办公室里的微波炉产生的微波,而这些都能对同样利用无线电波作为传输介质的无线局域网产生影响。这和通常使用抗辐射屏蔽技术的无线局域网传输介质相比的能力有较大的差异。而且无线电波的较差,当AP与安装无线网卡的接入设备之间有建筑或其他各种障碍物或干扰体遮挡时,信号的衰减相当明显,这也是无法和有线网络相比的。
4.2 传输距离有限
由表1可知无线局域网的理论最大传输距离比较有线网络的没有优势。且由于上文所述无线局域网信号抗干扰性、穿透性弱的原因,在实际应用中其有效传输距离往往很大程度上低于理论最大值。故而在进行长距离网络传输时,还是使用有线网络技术。
4.3 数据传输带宽有限
从表2和表3中我们可以看出,就理论数值分析,无线局域网的速度较有线网络有一定的差距。而且,一般状态下无线局域网的用户实际使用中上并未达到理论速度的最大值。业界公认,无线局域网的实际传输速度是最大传输速度的一半以下。而这样的速度仅仅接近100M有线网络的传输带宽。更何况由于前文提到的原因,无线信号易受干扰,在传输距离较长时,信号衰变较快,因而上述的实际传输带宽也仅仅时短距离,无信号干扰的理想环境中的测试值。因此在对传输带宽要求比较高的的网络部分,比如校园网主干网建议使用有线网络技术架设。
5 结束语
从前文可以看出,校园网中引入无线局域网技术能很好的扩展和补充单一有线局域网的缺点,这样的综合方案能有效的涉及校园网络的实际建设要求,在现阶段无线局域网虽然无法完全取代有线局域网的传输主干的作用,但可以明显的增强原有有线校园网的实用性,补充原有有线校园网的功能性。随着无线通信技术的成熟和提高,无线局域网技术必将得到广泛的应用,使校园网中无线局域网与有线网络的结合使用成为当前校园网络发展趋势。
参考文献:
[1] 谢希仁.计算机网络[M].2版.北京:电子工业出版社,1999.
[2] 赵国芳,严战友.校园网的无线设计方案[J].通信信息技术,2005,4:44-47.
[3] 崔少仪.无线局域网的优势及在校园应用探讨[J].金卡工程,2005,8:45-49.
[4] 龙.浅析无线局域网技术[J].应用能源技术,2006,4:45-48.
[5] 李玉翠,晁翠华.无线网络数据安全模型研究及实现[J].现代通信技术,2006,8:38-41.
无线局域网技术篇3
关键词:无线局域网安全技术;WEP;WPA;WAPI;VPN
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)10-2274-02
随着互联网的迅速发展和网络社会化的到来,无线局域网的应用也越来越广泛。无线局域网最大的优点就是实现了网络互联的可移动性,它能大幅提高用户访问信息的及时性和有效性。但无线局域网具有开放性、互联性和共享性的特点,因此无线局域网面临着更严峻的安全问题。
1 无线局域网存在的安全威胁
无线局域网存在的安全威胁,最大问题在于无线通信设备在自由空间中进行传输,无法通过对传输媒介接入控制保证数据不会被未经授权的用户获取。现代无线局域网面临的主要安全威胁:
1.1 无线局域网探测
当前网络上有不同操作系统平台下的多种无线局域网探测和定位软件,其中最著名是由Marius Milner开发的Netstumbler。这种软件能够收集到无线局域网覆盖区域内的数据包,比如WEP密钥加密包,并进行分析以恢复WEP密钥,最快可以在很短时间内攻破WEP密钥。
1.2 无线局域网监听
目前绝大多数无线AP属于无线集线器,对于线集线器共享网络环境,只要把网络适配器设置成混杂工作模式,就能监听到整个WLAN内的数据帖流量。
1.3 无线局域网欺诈
无线局域网欺诈就是利用默认配置漏洞、加密漏洞、密钥管理漏洞和服务设置标识漏洞等突破身份认证的封锁,假冒合法无线客户端骗取WLAN的信任,窃听重要信息或非法访问资源的攻击行为。
1.4 无线局域网劫持
无线局域网劫持是指通过伪造ARP缓冲表,使会话流向指定恶意无线客户端的攻击行为。ARP发送请求进程与侦听应答进程之间的无关联性,为通过伪造MAC地址实现会话劫持提供了机会。
2 无线局域网安全标准
在国际上,为了确保不同厂家生产设备之间的互操性,ITU-R,IEEE和Wi-Fi联盟3个组织制定了WLAN标准。常见的WLAN标准有IEEE 802.11a,IEEE 802.11b,IEEE 802.11g,IEEE 802.11i和IEEE 802.11n等。
WAPI是无线局域网鉴别和保密基础结构,是一种无线局域网安全协议,同时也是中国无线局域网强制性标准中的安全机制。
3 无线局域网安全技术
随着信息技术的不断发展,在对无线局域网安全问题的研究过程中,出现了适应不同环境下的无线局域网安全技术。
3.1 防问控制技术
3.1.1 服务区标识符(SSID)匹配
无线工作站必须出示正确的SSID,与无线访问点AP的SSID相同,才能访问AP。如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务区上网。因此可以认为SSID是一个简单的口令,从而提供口令谁机制,实现一定的安全。在无线局域网接入点AP上对此项技术就是可不让AP广播其SSID号,这样无线工作站就必须主动提供正确的SSID号才能与AP进行关联。
3.1.2 无线网卡物理地址(MAC)过滤
每个无线工作站都有唯一的物理地址标识,网络管理员可在无线局域网访问点中手工维护一组允许访问的MAC地址列表,以实现物理地址的访问过滤。
3.1.3 端口访问控制技术(IEEE 802.1 x)和可扩展认证协议
这是用于无线局域网的一种增强性网络安全方案。当无线工作站与无线访问点AP关联后,是否可以使用AP的服务决于802.1x的认证结果。如果认证通过,则AP为无线工作站打开这个逻辑端口,否则不允许用户上网。现在,安全功能比较全的AP在支持IEEE802.1x和Radius的集中认证时支持的可扩展认证协议类型有:EAP-MD5&TLS、TTLS和PEAP。
3.2 数据加密技术
3.2.1WEP有线等价保密
有线等价保密WEP是IEEE 802.11a,IEEE 802.11b和IEEE 802.11g无线局域网采用的安全保护机制,只要正确配置WEP的全部安全功能,WEP仍然能够为WLAN应用提供基本的保密性和完整性。WEP加密利用共享密钥在提供数据传输保密性的同时,也提供了身份认证机制,能够在一定程度上防止通过无线链路泄露、窃听和非法访问等恶意行为。
3.2.2 WPA
WPA是IEEE 802.11i 标准的大部分,是在 802.11i 完备之前替代 WEP 的过渡方案。有WPA 和 WPA2两个标准,它是应研究者在前一代的系统有线等效加密(WEP)中找到的几个严重的弱点而产生的。在现有的WEP加密引擎中增加了“密钥细分”,“消息完整性检查”,“具有序列功能的初始向量”和“密钥生成和定期更新功能”4种算法,极大提高了加密安全强度。该标准的数据加密采用TKIP协议(Temporary Key Integrity Protocol),认证有两种模式可供选择,一种是使用802.1x协议进行认证;一种是称为预先共享密钥PSK(Pre-Shared Key)模式。
3.3 认证技术
3.3.1 基于PPPoE的认证
PPPoE认证是出现最早也是最为成熟的一种认证机制,现有的宽带接入技术采用这种接入认证方式。在无线局域中,采用PPPoE认证,只需对原有的后台系统增加相关的软件模块,就可以达到认证目的,从而大大节省投资,因此使用较为广泛。
3.3.2 基于WEB的认证
WEB认证相比PPPoE认证,一个非常重要的特点就是客户端除了IE浏览器外不需要安装认证客户端软件,给用户面去了安装、配置与管理客户端软件的烦恼,也给维护人员减少了很多相关维护压力。
3.3.3 基于802.1x认证
802.1x认证是采用802.1x协议的认证方式的总称。IEEE802.1x协议由IEEE于2001年6月提出,是一种基于端口的访问控制协议,能够实现对局域网设备的安全认证和授权。802.1x协议的基础在于EAP认证协议,即IEEE提出的PPP协议的扩展。IEEE 802.1x协议的体系结构包括3个重要的部分:客户端、认证系统和认证服务器,者之间通过EAP协议进行通信。
3.4 虚拟专用网(VPN)技术
目前广泛应用于广域网络及远程接入等领域的VPN安全技术也可以用于无线局域网。与IEEE802.1x标准所采用的安全技术不同,VPN主要采用DFS,3DFS等技术来保障数据传输的安全。对于安全性要求更高的用户,将现有的VPN安全技术与IEEE802.1x安全技术结合起来,是目前较为理想的无线局域网络的安全解决方案之一。与WEP机制和MAC地址过滤接入不同,VPN方案具有较强的扩冲及升级性能,可应用于大规模的无线网络。
4 结束语
无线局域网目前正处于蓬勃发展时期,而无线局域网安全问题也是业界尤为关注的焦点之一。无线局域网安全技术是一个不断改善和升级的过程,只有在现有的无线局域网安全框架基础上,运用相关的关键技术搭建一个增强的,有足够安全性的无线局域网,才能推动无线局域网的实际应用,尤其是在企业、机关等重要部门中使用。也只有这样,无线局域网才能安全顺利地与其它有线网络、无线网络乃至3G网络实现互联互通,发挥其巨大的潜力。
参考文献:
[1] 程胜军,韩桂华.无线局域网安全技术研究[J].软件导刊,2008(7).
[2] 郑向军.无线局域网安全技术研探讨[J].福建电脑,2009(10).
[3] 田利民.无线网络技术及安全研究[J].计算机与现代化,2008(11).
无线局域网技术篇4
[关键词]VPN技术无线局域网SSL VPN
[中图分类号]TP3[文献标识码]A[文章编号]1007-9416(2010)03-0091-02
随着信息产业的飞速发展,通信技术和计算机技术的融合越来越快。无线通信已经成为我们生活不可缺少的一部分。但由于其无线通信设备采用的是无线信号的空中传输,使得在无线链路中传输的信息很容易被窃听,存在很不安全的因素。严重的话甚至导致整个网络的瘫痪。为此在一个企业当中建立一个无线局域网,安全性应是头号要解决的问题。VPN是无线网络建设当中解决无线通信安全问题的一个很好的方案。本文试图就VPN技术在无线局域网中的应用做出一定的探讨。
1 VPN技术概述
VPN (Virtual Private Network,虚拟专用网)是专用网络在公共网络如Internet上的扩展。VPN通过隧道技术在公共网络上仿真一条点到点的专线,从而达到安全的数据传输目的,基于Internet的VPN也称为IP-VPN。所以从本质上说,虚拟专用网(VPN)是一种能够通过公用网络安全地对内部专用网进行远程访问的技术。其要点是在远程用户和VPN服务器之间建立一条加密隧道,将原始数据包加密,并在外面封装新的协议包头。这样只有知道密钥的通信双方能够解开数据包,保证了数据包在公共媒质上传送的时候,不会被非VPN 用户截取。
2 VPN技术在无线局域网中的应用分析
无线局域网因其传输介质、访问方式等原因,使得其很容易受到攻击。无线局域网常用的安全方式,如MAC地址过滤、服务区标识符(SSID)匹配等存在很多明显的弊端。利用VPN技术可以为无线局域网提供更可靠的安全解决方案。但是从目前现状来看,VPN在无线局域网中应用实现方式主要有两种,一种是基于IPSec 的无线VPN设计,另外一种是基于SSL的无线VPN设计。但是IPSec 的无线VPN设计是较早时期VPN在无线局域网中的实现方式,随着近年来无线局域网以及VPN技术的逐渐成熟,基于SSL的无线局域网实现技术已经成为主流,本文将重点探讨基于SSL的VPN技术在无线局域网中的应用。
2.1 SSL VPN在无线局域网中应用原理及功能特点
SSL(Secure Socket Layer,安全套接层)是一种在两台机器间提供安全通道的协议,它具有保护传输数据以及识别通信机器的功能。SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。SSL VPN使用SSL协议和为终端用户提供基于HTTP, C/S和共享文件资源的认证和安全访问。与复杂的IPSec VPN相比,SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSL VPN,这是因为SSL内嵌在浏览器中,它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。SSL VPN的工作原理如图1所示:
SSL VPN的功能特点主要体现在以下几个方面:一是无需安装客户端软件。大多数执行基于SSL协议的远程访问不需要在远程客户端设备上安装软件,只需使用标准Web浏览器即可访问到企业内部的网络资源。这样无论是从软件协议购买成本上,还是从维护、管理成本上都可以节省一大笔资金,从而大幅降低VPN网络的实施成本。二是适用于大多数设备及系统。由于Web方式的开放性,支持标准浏览器的任何设备都可以使用SSLVPN进行远程访问,包括非传统设备,如PDA等。三是适用于大多数操作系统。任何支持标准Web浏览器的操作系统都可以作为S SL VPN的客户端进行远程访问。不管用户使用的操作系统是Windows、Macintosh、UNIX还是Linux。都可以非常容易地访问到企业内部网站的资源。
2.2 SSL VPN在无线局域网中的具体应用
通过图1的示意图可以看出,SSL VPN在无线局域网网中应用的整个系统由SSL网关和Web服务器以及AP组成,其中最重要的是SSL网关。网关由多个服务器组成,LDAP服务器负责证书以及证书吊销列表的保存,RADIUS服务器负责访问控制策略,DHCP服务器负责为接入网关的局域网计算机分配IP地址,AD是证书验证服务器。
对于SSL VPN来说,要保证通信的安全,必须要做到保密性、消息完整性和端点的认证。保密性是指传输的数据必须经过加密,消息完整性是指传输的数据能够确认是没有被黑客或攻击者篡改过,端点认证是指客户端或者服务器端能够对另一方确认是否是正确的通信者。SSL协议通过SSL握手来确定密钥并用该对称密钥来对通信的数据进行加密。在握手期间通过公钥技术对双方进行认证,并用密钥交换技术交换通信使用的对称密钥,然后使用对称密钥加密通信数据。SSL的安全依赖于所使用的加密套件,每个加密套件使用四种算法,即:数字签名算法,消息摘要算法,密钥确立算法以及数据加密算法。
SSL VPN在无线局域网中具体应用需要重点解决以下几个方面的问题:一是客户端安全接入问题。对于SSL VPN服务器来说,有效地保证自身的安全和对客户端接入的控制是最重要的。应该具备一个专门的子系统来负责对客户端的认证,它的功能是针对不同的客户端选择相应的策略进行认证;二是有效的访问控制策略。当用户通过了系统的认证之后,如何有效而灵活控制客户的访问权限,是非常重要的问题,同时也是SSL VPN系统最具特色的特点之一。如何实施用户的集中化管理,通过SSL VPN控制台进行管理,更加有效的监控用户使用权限,如何做到能够基于内容的访问控制策略等等都需要更多的关注。三是传输性能问题。对于一个SSL VPN服务器来说,传输在整个SSL VPN系统中是一个性能的瓶颈点。
总之,随着我国网络用户的快速增长,无线网络作为有效网络的有效补充,在人们的网络生活中将会占据更加重要的地位。而VPN技术作为无线局域网的一种有效安全措施,在无线局域网中具有非常广泛的应用。
[参考文献]
[1] 刘乃安.无线局域网(WLAN)――原理、技术与应用[M].西安:电子科技大学出版社,2004.
[2] 周明.SSL VPN体系结构在无线局域网中的应用与设计[J].电子科技大学.2006(4).
[3] 吴丽华,史烈.基于VPN技术的安全无线局域网的构建[J].计算机工程,2005(2).
无线局域网技术篇5
关键词:无线局域网;入侵检测;接入点;无线入侵检测
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2011) 23-0000-02
Wireless LAN Intrusion Detection Technology Study
Chen Shujiang
(CPC Zhejiang Provincial Committee Party School,Hangzhou 310002,China)
Abstract:As wireless LAN(WLAN)of the increasingly widespread use,is widely used in homes,shopping centers,enterprises and institutions and other places,coupled with the openness of its transmission channels,wireless local area network more vulnerable to invasion.Intrusion detection is a more active security defense system against invasion,it can not affect the network in the data under the premise of screening test,to prevent external and internal attacks.This article briefly describes the characteristics of the wireless LAN for wireless LAN intrusion detection methods were discussed,specifically to draw some practical wireless LAN intrusion detection methods.
Keywords:Wireless LAN;Intrusion detection;Access points;Wireless intrusion detection
引言:随着无线局域网WLAN(Wireless LAN)的蓬勃发展,它的信息保密和应用安全等问题受到了用户们的关注和重视。由于互联网本身的开放性和脆弱性,加之无线局域网所特有的无线传播途径,入侵者不需要物理连接就可以入侵。无线局域网的安全危险是双重性的,即要面对有线网络存在的安全危险,还要面对无线网络入侵的危险。
由于无线局域网具有不同的传播方式,以前针对有线网络的防御措施已无法适应无线局域网,比如无法适应无线局域网的IEEE 802.11协议和有线等价保密协议WEP等。大部分的入侵都是网络的内部攻击,比如,AP(Access Point)访问点隐藏的入侵攻击能识别无线网络到有线网络的连接,但是不能识别局域网内部的危险。无线局域网入侵检测系统弥补了传统入侵检测的不足,但还没有发展成熟,需要进一步的研究和探讨。
一、无线局域网入侵检测技术的发展和研究现状
(一)无线局域网入侵检测技术正在渐渐趋于成熟。在有线网络入侵检测系统中,公共入侵检测框架得到了极大的应用,安全专家大量研究神经网络、模式匹配、数据融合等技术,取得了不错的防御效果。无线局域网和有限网络的最根本特征在于MAC层和物理层,保持无线局域网的安全,主要是管理和控制MAC层上的特殊帧。无线局域网的入侵检测是由无线局域网的飞速发展和入侵隐患带动发展的,和有线网络的入侵检测相比,无线局域网的入侵检测还非常稚嫩。不久以后,结合检测系统和异常检查,合理应用分析统计方法,将入侵模式和行为特征完全解析,建立一个比较完善先进的检测模式,入侵检测系统的精准度将大大提高。
(二)国外已经出现了许多无线局域网的安全检测工具,比如Ethereal、kismet、Airopeek和AirDefense等,这些技术工具大都可以捕获入侵数据包,具有通信协议分析功能,能够对常见的入侵进行特征匹配检测。但是离完备的入侵检测系统还有一段距离。
(三)WIDZ系统是由FATBLOKE开发的能够对未授权AP、非法AP和拒绝服务攻击实施检测,能简单分析了802.11系统,它操作简单,但检测依旧不够精确,像中间人攻击都无法检测。继IBM之后,一套更具有意义的无线局域网入侵检测工具由英国的Red-M公司推出,它和WIDZ系统最大的不同是能对无线空间进行全面连续扫描,突破无线空间检测的技术难题。
二、无线局域网入侵检测机制
无线局域网的安全机制,可以简单地从三个方面进行简单的概括。
(一)数据机密性。数据机密性就是数据信息在传输的过程中,不能被不合法的用户截取或者偷看,只能被授权的合法用户读取使用,保证信息的机密和准确。加密算法对数据加密是防止数据被窃取或者偷看的主要方法。
(二)数据完整性。数据完整性就是要防止信息数据在传输过程中丢失和被非法篡改。由于无线局域网的开放性,无线网络比有线网络容易丢失数据或被入侵者修改窃取,因此需要能够检查数据完整性和准确性的消息鉴别技术。
(三)身份认证。身份认证机制就是通过验证用户登陆的合法性,来有效地防止非法用户登录的技术。身份认证主要有两个目标:一是建立更加准确稳定的身份认证机制;二是实现双向身份认证,也就是用户想要登录网络只有双方均认证成功后才能成功。这种技术在很大程度上保证了用户信息的安全和隐私。
三、入侵检测技术的相关原理
(一)入侵检测系统是帮助计算机系统预备和处理攻击的防御系统。它收集不同网络信息,对系统和收集到的信息进行安全分析,完成入侵检测的目的。入侵检测系统组成原理如图1。
图1:入侵检测系统组成原理图
图2:入侵检测技术的原理图
(二)入侵检测的过程是检测工具(机器)和黑客(人)之间的对抗分析过程。这个过程是基于用户的历史操作和当前操作,完成对入侵的决策,将入侵证据保留下来,为后来的数据恢复提供依据,其技术原理是知识的智能推理,用冗余知识和冗余推理方法的信息融合技术来提高入侵检测率。入侵检测技术的原理如图2。
事后入侵检检测和实时入侵检测是入侵检测的两种不同方法。实时入侵检测是在网络连接过程中进行检测,一旦发现入侵迹象,会马上断开攻击者和主机的连接,并实施数据恢复。事后入侵检测需要由人员进行主动检测管理,在设计入侵检测系统时一般都采用人机交互的综合集成技术。
四、入侵检测技术的实际应用
(一)对假冒AP的检测,可先建立一个列表,将无线局域网中收集到的所有合法AP和各种信息记录下来,如将MAC地址、频道、SSID值等信息纳入表格中。当合法AP和捕获的AP的配置信息无法匹配时,我们就判定为非法AP,相关信息会发送至控制中心并告警。分析序列号检测假冒MAC地址是一项检测MAC的重要方法。如果对比有所偏差,则可能是数据包丢失了,但不会相差太远,如果远远偏离了序列号基线,那么该帧就可以确定是伪造的帧。
(二)一般入侵检测技术多采用主动检测或射频监听这两种比较实用的检测模式。下面我们以NetStumbler的入侵检测为例进行分析。NetStumbler是基于Windows的GUI工具,大约每秒发送一个Probe Request帧来主动检测,通过AP的回应,无线网络的相关信息会被Probe Response帧得到,在检测到AP后,就会发送一个数据包,它具有以下几个特征:①LLC的OUI值为0x00601d,②它的协议类型标识为0x0001,③数据负载值为58B,④不同版本的Netstumbler包含的特殊字符串是不同的。因此,只要满足以下几个条件就可以判断为Netstumbler入侵:①帧控制字段的类型/子类型字段值是10/0000,②LLC的OUI值是0x00601d,③LLC的协议类型字段是0x0001。
(三)校园无线局域网的入侵检测:(1)H3C WX5000系列多业务无线控制器的应用,可以很大程度上保护无线网络。它能够自动监测WLAN网络中的非法设备,实时向网管中心报告。它支持静态配置白名单和多种攻击的检测功能,能大大减少非法AP对校园无线局域网的冲击;它支持MAC地址认证,对那些手持终端(WiFi手机)采取电脑的认证很不方便,通过MAC地址认证方式能够很容易地解决这个问题。更重要的是,它支持Portal认证,比如一些校园外的客户在校园内,想使用该校的无线网络来访问Internet,如果没有安装像802.1x这样的客户端,这时Portal就发挥了作用,它能够为用户提供认证方式。(2)学校内的各个部门对网络需求有所不同,这时入侵检测系统就需要针对不同级别的部门采取不同的入侵检测。比如,像无线客户端比较少的部门,我们就可以采用AP认证进行入侵检测。像资料库这样存放重要数据资源的部门,我们就需要考虑到终端用户数量,针对AP和用户数量的变化,入侵检测也要随之调整,当用户增加时,入侵检测系统就要增加,当AP减少时,入侵检测也可以随之减少。这是因为AP用户数量越多,入侵风险就越大。由于校园网在认证方式上多采用的是基于用户,而不是采用基于MAC地址的认证机制,这时如果采用较为高级无线局域网安全标准IEEE802.11i,在很大程度上能提高校园无线网络入侵检测的成功率。这种认证方式的优点是,一是网内的MAC地址数据库可以自行管理,二是AP能自动维护所有的验证工作。因此,我们在规划校园无线网络时应将AP部署好,在具体实施的时候应注意以下几个方面:一是采用符合802.11标准的无线网络产品,核心安全架构采用WPA标准;二是禁止SSID进行广播;三是校园无线局域网的安全接入产品最好使用H3C WX5000系列无线网络接入控制器,为网络安全和以后的扩展提供保证;四是建立一套入侵检测软件,对不同的用户使用不同的路由,提供合适的接入认证方式。
五、结束语
将来,无线局域网的入侵肯定不会局限于现在的这些问题,各种新的入侵方式会不断出现,因此无线局域网入侵检测方法和工具需要不断改进。首先,要对现在存在的入侵攻击方式进行深入的探究,掌握它的异常行为的变化,对新的入侵方式进行详细了解和细致研究,以便研究出更强的有针对性的检测手段。其次,对现有的检测方法进行更新,完善检测性能。最后,不仅要检测入侵,还要对入侵进行主动的防御,这将是一项非常庞大的工程。无线局域网入侵检测系统关系到无线局域网的未来发展,只有安全得到保障,无线局域网的应用和产生的效益才能最大化,这方面值得花大力气进行研究。
参考文献:
[1]刘宁,赵建华.应用免疫原理的无线传感器网络入侵检测系统[J].计算机工程与应用,2011,15:80-82
[2]刘宁.一种新型无线传感器网络入侵检测系统[J].价值工程,2011,3:286
无线局域网技术篇6
[关键词]无线;局域网;WLAN;接入点配置
中图分类号 : T P393∶TN915 文献标识码 :A 文章编号:
前言
无线局域网络(英文:Wireless LAN,缩写WLAN)是相当便利的数据传输系统,它利用射频(Radio Frequency;RF)的技术,取代旧式碍手碍脚的双绞铜线(Coaxial)所构成的局域网络,使得无线局域网络能利用简单的存取架构让用户透过它,达到“信息随身化、便利走天下”的理想境界。
一、无线局域网概念
无线局域网是不使用任何导线或传输电缆连接的局域网,而使用无线电波作为数据传送的媒介,传送距离一般只有几十米。无线局域网的主干网路通常使用有线电缆,无线局域网用户通过一个或多个无线接取器接入无线局域网。无线局域网现在已经广泛的应用在商务区,大学,机场,及其他公共区域。
在一个典型的无线局域网环境中,有一些进行数据发送和接收的设备,称为接入点(AP1。通常,一个AP能够在几十至上百米的范围内连接多个无线用户。在同时具有有线和无线网络的情况下,AP可以通过标准的Ethemet电缆与传统的有线网络相联,作为无线网络和有线网络的连接点。无线局域网的终端用户可通过无线网卡等访问网络。
二、无线局域网的结构
根据不同局域网的应用环境与需求的不同,无线局域网可采取不同的网络结构来实现互联。常用的具体有如下几种:
(1)网桥连接型。不同的局域网之间互联时,由于物理上的原因,若采取有线方式不方便,则可利用无线网桥的方式实现二者的点对点连接,无线网桥不仅提供二者之间的物理与数据链路层的连接,还为两个网的用户提供较高层的路由与协议转换。
(2)基站接入型。当采用移动蜂窝通信网接入方式组建无线局域网时,各站点之间的通信是通过基站接入、数据交换方式来实现互联的。各移动站不仅可以通过交换中心自行组网,还可以通过广域网与远地站点组建自己的工作网络。
(3)HUB接入型。利用无线Hub可以组建星型结构的无线局域网,具有与有线Hub组网方式相类似的优点。在该结构基础上的WLAN,可采用类似于交换型以太网的工作方式,要求Hub具有简单的网内交换功能。
(4)无中心结构.要求网中任意两个站点均可直接通信。此结构的无线局域网一般使用公用广播信道,MAC层采用CSMA类型的多址接入协议。
三、无线局域网技术应用问题解决办法
(1)硬件排错。当只有一个接入点以及一个无线客户端出现连接问题时,我们可能会很快的找到出有问题的客户端。但是当网络非常大时,找出问题的所在可能就不是那么容易了。在大型的无线网络环境中,如果有些用户无法连接网络,而另一些客户却没有任何问题,那么很有可能是众多接入点中的某个出现了故障。一般来说,通过察看有网络问题的客户端的物理位置,你就能大概判断出是哪个接入点出现问题。当所有客户都无法连接网络时,问题可能来自多方面。如果你的网络只使用了一个接入点,那么这个接入点可能有硬件问题或者配置有错误。另外,也有可能是由于无线电干扰过于强烈,或者是无线接入点与有线网络间的连接出现了问题。
(2)检查接入点的可连接性。要确定无法连接网络问题的原因,首先需要检测一下网络环境中的电脑是否能正常连接无线接入点。简单的检测方法是在你的有线网络中的一台电脑中打开命令行模式,然后ping无线接入点的IP地址,如果无线接入点响应了这个ping命令,那么证明有线网络中的电脑可以正常连接到无线接入点。如果无线接入点没有响应,有可能是电脑与无线接入点间的无线连接出现问题,或者是无线接入点本身出现了故障。要确定到底是什么问题,你可以尝试从无线客户端ping无线接入点的IP地址,如果成功,说明刚才那台电脑的网络连接部分可能出现了问题,比如网线损坏。
(3)配置问题。无线网络设备本身的质量一般还是可以信任的,因此最大的问题根源一般来自设备的配置上,而不是硬件本身。1)测试信号强度,如果你可以通过网线直接ping到无线接入点,而不能通过无线方式ping到它,那么基本可以认定无线接入点的故障只是暂时的。如果经过调试,问题还没有解决,那么你可以检测一下接入点的信号强度。虽然对于大多数网管来说,还没有一个标准的测量无线信号强度的方法,但是大多数无线网卡厂商都会在网卡上包含某种测量信号强度的机制。2)试试改变频道,如果经过测试,你发现信号强度很弱,但是最近又没有做过搬移改动,那么可以试着改变无线接入点的频道并通过一台无线终端检验信号是否有所加强。由于在所有的无线终端上修改连接频道是一项不小的工程,因此你首先应该在一台无)线终端上测试,证明确实有效后才可以大面积实施。记住,有时候无线网络的故障可能由于某个员工挂断手机或者关闭微波炉而突然好转。3)DHCP配置问题,网络中的DHCP服务器可以说是你能否正常使用无线网络的一个关键因素。很多新款的无线接入点都自带DHCP服务器功能。一般来说,这些DHCP服务器都会将192.168.0.X这个地址段分配给无线客户端。而且DHCP接入点也不会接受不是自己分配的IP地址的连接请求。这意味着具有静态IP地址的无线客户端或者从其它DHCP服务器获取IP地址的客户端有可能无法正常连接到这个接入点。
四、无限局域网的优点
⑴灵活性和移动性。在有线网络中,网络设备的安放位置受网络位置的限制,而无线局域网在无线信号覆盖区域内的任何一个位置都可以接入网络。无线局域网另一个最大的优点在于其移动性,连接到无线局域网的用户可以移动且能同时与网络保持连接。
⑵安装便捷。无线局域网可以免去或最大程度地减少网络布线的工作量,一般只要安装一个或多个接入点设备,就可建立覆盖整个区域的局域网络。
⑶易于进行网络规划和调整。对于有线网络来说,办公地点或网络拓扑的改变通常意味着重新建网。重新布线是一个昂贵、费时、浪费和琐碎的过程,无线局域网可以避免或减少以上情况的发生。
⑷故障定位容易。有线网络一旦出现物理故障,尤其是由于线路连接不良而造成的网络中断,往往很难查明,而且检修线路需要付出很大的代价。无线网络则很容易定位故障,只需更换故障设备即可恢复网络连接。
⑸易于扩展。无线局域网有多种配置方式,可以很快从只有几个用户的小型局域网扩展到上千用户的大型网络,并且能够提供节点间“漫游”等有线网络无法实现的特性。由于无线局域网有以上诸多优点,因此其发展十分迅速。最近几年,无线局域网已经在企业、医院、商店、工厂和学校等场合得到了广泛的应用。
结束语
无线局域网在能够给网络用户带来便捷和实用的同时,也存在着一些缺陷。无线局域网的不足之处体现在以下几方面:1)电波传输性能易受影响;2)传输速率与有线信道相比要低得多,只适合于个人终端和小规模网络应用。3)信号安全上容易被监听,容易造成通信信息泄漏等几方面。虽然无线局域网技术存在比有线网络技术更多的安全问题,但这并不能限制无线局域网络技术的迅猛发展。
参考文献:
[1]赵琴,浅谈无线网络的安全性研究[J],机械管理开发,2008(1).
[2]刘瑞林,计算机网络技术与应用[M],浙江:浙江大学出版社,2009.8
无线局域网技术篇7
关键词 : 无线局域网;安全;802.11标准;有线等效保密;WAPI鉴别与保密
1 引言
经过20多年的发展,无线局域网(Wireless Local Area Network,WLAN),已经成为一种比较成熟的技术,应用也越来越广泛,是计算机有线网络的一个必不可少的补充。WLAN的最大优点就是实现了网络互连的可移动性,它能大幅提高用户访问信息的及时性和有效性,还可以克服线缆限制引起的不便性。但由于无线局域网应用是基于开放系统的,它具有更大的开放性,数据传播范围很难控制,因此无线局域网将面临着更严峻的安全问题。
无线局域网的安全问题伴随着市场与产业结构的升级而日益凸现,安全问题已经成为WLAN走入信息化的核心舞台,成为无线局域网技术在电子政务、行业应用和企业信息化中大展拳脚的桎梏。
2 无线局域网的安全威胁
随着公司无线局域网的大范围推广普及使用,WLAN网络信息系统所面临的安全问题也发生了很大的变化。任何人可以从任何地方、于任何时间、向任何一个目标发起攻击,而且我们的系统还同时要面临来自外部、内部、自然等多方面的威胁。
由于无线局域网采用公共的电磁波作为载体,传输信息的覆盖范围不好控制,因此对越权存取和窃听的行为也更不容易防备。无线局域网必须考虑的安全威胁有以下几种:
>所有有线网络存在的安全威胁和隐患都存在;
>无线局域网的无需连线便可以在信号覆盖范围内进行网络接入的尝试,一定程度上暴露了网络的存在;
>无线局域网使用的是ISM公用频段,使用无需申请,相邻设备之间潜在着电磁破坏(干扰)问题;
>外部人员可以通过无线网络绕过防火墙,对公司网络进行非授权存取;
>无线网络传输的信息没有加密或者加密很弱,易被窃取、窜改和插入;
> 无线网络易被拒绝服务攻击(DOS)和干扰;
> 内部员工可以设置无线网卡为P2P模式与外部员工连接。
3 无线局域网的安全保障
自从无线局域网诞生之日起,安全性隐患与其灵活便捷的优势就一直共存,安全问题的解决方案从反面制约和影响着无线局域网技术的推广和应用。为了保证无线局域网的安全性,IEEE 802.11系列标准从多个层次定义了安全性控制手段。
3.1 SSID访问控制
服务集标识符(Service Set Identifier,SSID)这是人们最早使用的一种WLAN安全认证方式。服务集标识符SSID,也称业务组标识符,是一个WLAN的标识码,相当于有线局域网的工作组(WORKGROUP)。无线工作站只有出示正确的SSID才能接入WLAN,因此可以认为SSID是一个简单的口令,通过对AP点和网卡设置复杂的SSID(服务集标识符),并根据需求确定是否需要漫游来确定是否需要MAC地址绑定,同时禁止AP向外广播SSID。严格来说SSID不属于安全机制,只不过,可以用它作为一种实现访问控制的手段。
3.2 MAC地址过滤
MAC地址过滤是目前WLAN最基本的安全访问控制方式。MAC地址过滤属于硬件认证,而不是用户认证。MAC地址过滤这种很常用的接入控制技术,在运营商铺设的有线网络中也经常使用,即只允许合法的MAC地址终端接入网络。用无线局域网中,AP只允许合法的MAC地址终端接入BSS,从而避免了非法用户的接入。这种方式要求AP中的MAC地址列表必须及时更新,但是目前都是通过手工操作完成,因此扩展能力差,只适合小型网络规模,同时这种方法的效率也会随着终端数目的增加而降低。
3.3 802.11的认证服务
802.11站点(AP或工作站)在与另一个站点通信之前都必须进行认证服务,两个站点能否通过认证是能否相互通信的根据。802.11标准定义了两种认证服务:开放系统认证和共享密钥认证。采用共享密钥认证的工作站必须执行有线等效保密协议(Wires Equivalent Privacy,WEP)。
WEP利用一个64位的启动源密钥和RC4加密算法保护调制数据传输。WEP为对称加密,属于序列密码。为了解决密钥重用的问题,WEP算法中引入了初始向量(Initialilization Vector,IV),IV为一随机数,每次加密时随机产生,IV与原密钥结合作为加密的密钥。由于IV并不属于密钥的一部分,所以无须保密,多以明文形式传输。
WEP协议自公布以来,它的安全机制就遭到了广泛的抨击,主要问题如下:
(1) WEP加密存在固有的缺陷,它的密钥固定且比较短(只有64-24=40bits)。
(2) IV的使用解决了密钥重用的问题,但是IV的长度太短,强度并不高,同时IV多以明文形式传输,带来严重的安全隐患。
(3) 密钥管理是密码体制中最关键的问题之一,但是802.11中并没有具体规定密钥的生成、分发、更新、备份、恢复以及更改的机制。
(4) WEP的密钥在传递过程中容易被截获。
所有上述因素都增加了以WEP作为安全手段的WLAN的安全风险。目前在因特网上已经出现了许多可供下载的WEP破解工具软件,例如WEPCrack和AirSnort。
4 WLAN安全的增强性技术
随着WLAN应用的进一步发展,802.11规定的安全方案难以满足高端用户的需求。为了推进WLAN的发展和应用,业界积极研究,开发了很多增强WLAN安全性的方法。
4.1 802.1x扩展认证协议
IEEE 802.1x使用标准安全协议(如RADIUS)提供集中的用户标识、身份验证、动态密钥管理。基于802.1x认证体系结构,其认证机制是由用户端设备、接入设备、后台RADIUS认证服务器三方完成。IEEE 802.1x 通过提供用户和计算机标识、集中的身份验证以及动态密钥管理,可将无线网络安全风险减小到最低程度。在此执行下,作为RADIUS客户端配置的无线接入点将连接请求发送到中央RADIUS服务器。中央RADIUS服务器处理此请求并准予或拒绝连接请求。如果准予请求,根据所选身份验证方法,该客户端获得身份验证,并且为会话生成唯一密钥。然后,客户机与AP激活WEP,利用密钥进行通信。
无线局域网技术篇8
[关键词]无线局域网;负载平衡技术
在IEEE 802,1l无线局域网中,MN(Moble Node)的接入或切换方式很容易产生AP间的负载不平衡现象。IEEE 802.11中规定的负载平衡机制很难满足用户服务的需求,很多解决AP间的负载平衡技术可能会产生负载平衡假象问题,而不能真正解决无线网络的负载平衡问题。
一、无线局域网的负载平衡技术
(一)基于发起者的负载平衡技术
1.移动终端主控的负载平衡。移动终端主控的负载平衡实际上是一种自发的负载平衡策略,是无线局域网中移动终端的特性之一,切换完成的移动终端实际上也实现了网络负载的传递。对终端切换的条件加以扩充,在终端接入无线接入点之前,比较ESS内AP的当前接入用户数或接入数据流量,无线终端将接入到接入用户数或接入流量最少的无线接入点,实现局域网无线接入点的负载平衡。终端接入或切换除了AP的信号强度,还要考虑AP的当前用户数和流量,增加了切换目标AP选择的准确性。这样的方法的缺点是切换或接入的过程中,终端必须查询AP的状态,增加了切换的工作步骤,使切换的时间延长,违背快速切换原则。有研究对此方法进行了改进,由AP定期广播其流量和用户数量,这样做虽然可以在终端背景扫描时就同时得到信号质量和负载水平,不过这种方法会增加网络开销。移动终端主控的优点是:移动终端十分明白自己的业务需求及所处的环境,此外,移动终端扫描得到的环境中可用的ESS情况对移动终端而言最准确。切换或接入的主体是移动终端,业务也是在移动终端上开展,切换造成的损失由移动终端承担。移动终端主控的缺点是:移动终端仅仅知道终端侧的情况和移动终端自身的情况,对网络环境而言,移动终端并不能准确掌握,没有发言权。移动终端切换随意性大,会对整个ESS造成混乱,使网络全局的负载平衡效果不佳。
2.AP主控负载平衡。AP主控负载平衡的出发点是iAP处于网络侧,AP之间通过有线的联结,可以在不影响移动终端业务的情况下,相互传递与负载平衡相关的信息。根据这些信息,ESS就可以判断出AP中负载最重的AP和负载最轻的AP。拥有这些信息的ESS就可以做出一些决策,比如让负载重的AP下的终端切换到负载轻的妙下,或者对新加入网络的终端进行限制,不允许负载重的AP接入而只允许负载轻的AP接入等,实现ESS内的负载平衡。AP主控的优点是网络侧的整体情况可以通过AP之间的分布式系统,准确、及时地进行统计,在整体协调和调度方面对网络侧有利,也比较容易实现整体策略的实施,整个网络的负载平衡调整速度会很快。缺点是网络侧并不知道移动终端所处的位置和网络环境、移动终端历:能够扫描到的Ap的情况,所以有切换决策错误的风险。
(二)基于解决方式的负载平衡技术
1.接入式负载平衡。接入式负载平衡就是通过控制移动终端的接入,从而实现负载平衡。可以首先对移动终端的接入数设置阂值,当AP的负载情况超过阈值后,该AP就会拒绝新的终端的接入,要加入网络的终端只有寻找负载较轻的AP进行联接,从而在一定的程度上实现负载的平衡。由于接入式负载平衡是通过控制新终端的接入过程或切换后的重联接过程,它属于被动的负载平衡,负载平衡的调整收敛速度会比较慢。这种负载平衡技术有可能出现极端的情况,既没有新的终端进入网络,或者所有的移动终端都维持当前联接,网络会一直处于非平衡状态。
2.切换式负载平衡。切换式负载平衡是通过控制移动终端的切换实现负载平衡。当ESS中某AP的负载过重的时候,ESS或终端就会控制该AP下的移动终端切换到其他AP上:以分散其负担;当ESS中某AP的负载过轻的时候,ESS或终端就会控制其他AP下的移动终端切换到该AP上,以实现整个ESS的全局平衡。切换式负载平衡的优点是反应迅速,一旦出现负载差异,可以通过切换行为迅速调整。缺点是切换会对终端造成损失,有切换失败和上层业务中断的风险。切换式负载平衡必须依赖于快速切换才能实现,如果快速切换方法效果差,则负载平衡造成的损失会增大。
二、对负载平衡相关问题的讨论