无线局域网解决方案范文
时间:2023-09-15 02:50:04
无线局域网解决方案篇1
在万物互联的时代,移动互联网、物联网、车联网等都已经充斥每个人的生活。无处不在的网络、连接、计算、数据汇聚为“云管端”这一新信息架构,而移动互联网作为管道中的关键一环,愈发显出其重要性。移动互联网发展的历史,已经从2G语音通信时代进入到4G畅享高速网络时代。目前,pre-5G的商用和5G的研究已经开始,其中,4G LTE技术带来的变革尤其具有革命性意义,OFDM调制技术的引入、高效的传输编码技术、更加简化的网络架构,产生了带宽、灵活度、传输效率等性能的巨大提升,造就了人们对无线通信的更多依赖。而5G技术一方面沿着4G LTE的方向继续演进,不断地通过引入新的调制、天线、组网技术来提升频谱利用率和单位面积内的数据吞吐量;另一方面更把目标投入了高频段新的广阔频谱和应用场景汇总,基本上是要囊括一切无线接入应用场景,这必将催生一大批新的移动应用和生产生活模式。
采用LTE技术的无线覆盖方案是未来趋势
在移动互联网技术发展的同时,传统无线局域网的发展势头同样迅猛。相比传统有线接入网络,无线局域网具有无需布线安装便捷,用户接入方便并使用灵活,经济节能,在一定范围内可以自由移动,传输速率高等优点。由于无线局域网的多方面优点,使其在无论是覆盖小至几个用户的局域网,还是大至上千用户的大型网络上都有应用。在医院、商店和学校等公共场合,都有无线局域网的身影。但该技术仍然存在一些弊端,譬如客户端经常不能连上网络,经常掉线;可能无法获得IP地址;可能在多用户使用同个AP产生速度极慢的现象;若一个AP出现故障,将会大面积的使信号处于盲区等诸多问题。由于无线局域网技术发展上本身是作为以太网络的无线接入扩展,因此在空口上对于多用户缺少统一的调度协调,对于多个AP之间也不存在统一的调度协调,再加之过分追求速度和低成本而牺牲了很多移动速度、可靠性等方面的技术保证,因此在应用到具有大带宽、多用户、移动特性的公共场所时,难免弊端频现。
目前,大部分企业专用网络领域均采用无线局域网覆盖方式,而企业专用网络不同于社会公共无线热点,它对于带宽、可靠性、多用户、移动性等方面可能存在一定的需求。只是长期受限于频谱、网络规模、设备成本等各方面因素,企业专用网络大多只能采用无线局域网的解决方案。不过,随着万物互联急速发展时代的到来,移动通信技术和相关硬件平台都有了长足的进步,同时有大量新的频谱资源进行释放。采用LTE技术来改进现有的以无线局域网标准为主的企业专用网络必将是未来的一个趋势。针对企业的需求有针对性地提供LTE技术的无线覆盖方案,提供具有传输距离、移动性、并发用户数和可靠性优势的无线接入设备将会获得市场的青睐。不过,对于广大芯片解决方案提供商而言,这不仅是一个机会,更是一次挑战,如果没有无线通信领域的长期积累,也将无法在这个广阔的市场中分一杯羹。
中兴无线通讯芯片:高移动性的定制化解决方案
纵观国内的芯片企业,中兴微电子可能会是这个市场中的一匹黑马。中兴微电子于2003年注册成立,前身是中兴通讯于1996年成立的IC设计部,已拥有19年的IC研发历史。根据官方消息,中兴微电子现有研发人员约2000人,在深圳、西安、南京、上海、美国均设有研发机构,截至目前,共申请IC专利超过2000件。公司每年将营收的30%用于研发投入,2015年销售规模已跻身国内集成电路行业前三。
中兴微电子多年来为中兴通讯供应通信芯片,在无线通讯芯片领域有着长期的积累,从而使得其可以将标准商用网络的服务经验拿来为广大企业客户所用,为他们提供长距离、大带宽、高移动性的定制化的芯片解决方案,将无线最前沿技术应用于专用网络。
目前中兴微电子提供包括定制芯片、通信协议栈、核心网解决方案在内的多种定制化服务。涉及应用场景相当广泛,例如基于LTE技术的无线交通覆盖解决方案,在保证高吞吐量和高移动速率的基础上,提供基于低成本的接入AP、车载CPE和高速网关设备的组网方案和芯片解决方案,从而能够灵活支持各种授权和非授权频段的无线接入服务。并且其特有的单芯片软件无线电架构能充分保证系统的高集成度、定制化、可升级特性。又或者,无线视频监控解决方案同样可以基于LTE技术,从而保证多路移动或者固定摄像头的无线高清的回传,减小布网成本。同时通过采用下移核心网络技术和简单以太网组网方式,可以说是监控安防未来升级的绝佳方式。再者,无线中继解决方案可以应用到一些不方便布置有线连接的场景,有些AP无有线回传通道,通过无线的中继就可以回传到控制中心。
无线局域网解决方案篇2
在WAPI申请国际标准折戟沉沙1年之后,国人又一项具有自主知识产权的新技术开始冲击“国际标准”,这就是“超高速宽带无线局域网解决方案”。与WAPI一样,它也来自于无线局域网领域。
中国公司再度出击
在日前美国佛罗里达奥兰多举行的IEEE802工作会议上,来自中国的高科技公司――北京新岸线软件科技有限公司应大会邀请,做了关于“超高速宽带无线局域网解决方案”的报告,从而引起业界广泛关注。
IEEE(美国电气电子工程师协会)在全球的影响力毋庸置疑,该协会在包括局域网、无线局域网、城域网等在内的多个领域拥有权威地位。目前,全球广泛应用的WiFi无线上网标准就是由该协会认定的。
此次,在国家相关主管部门和中国工程院多名院士的一致推动下,已在全球申请了五项核心专利的新岸线公司终于向IEEE提出申请全球标准。
目前,802.11n标准尚未出台,主流的802.11g理论上提供的最高速率虽然可以达到54Mbps,大致相当于企业中百兆局域网速率的一半,但是它却容易受到实际使用环境中的诸多干扰,无线上网的实际速率与理论值也存在较大差距,很难满足实时传输高清晰视频的需求。另外,虽然市场上符合802.11n草案的设备已是遍地开花,但是不同厂商的产品之间却存在较为严重的操作兼容性问题。与之相比,新岸线公司提出的超高速无线局域网解决方案则有效地解决了这些问题,并且传输带宽更高、功能更强。
在实际使用环境中,新岸线方案实现的实际传输速率要远远高于802.11a/802.11g,甚至明显高于市场上现有的一些符合802.11n草案的设备,最高时可达到该种设备的两倍。同时,新岸线方案兼容性明显好于802.11n,不需要对基站进行大规模改造,工程建设简单、经济,便于投入产业应用。同时,只要采用支持新技术的无线局域网芯片,无线网络设备生产厂商无须改变其产品的任何设计及生产过程,不用做任何新的投入,即可达到技术升级的要求。
多方支持 前景看好
在这个技术博弈的竞技场中,巨头们的态度从来都值得玩味。想当初,WAPI的国际化进程曾遭受到来自各方的巨大阻力,其中就包括IEEE协会以及英特尔等公司。
对于来自中国新岸线的方案,IEEE标准委员会主席斯蒂夫•米尔斯与802.11标准工作组主席保罗•尼克利奇均是非常重视。大会期间,他们亲自与中方代表会面,希望中方充满信心,并且保持耐心,努力推动这一技术最终成为新的国际标准。IEEE负责无线局域网标准的另一位高官更是表示,希望中方代表能将此方案带到5月在蒙特利尔举行的中期会议上进一步讨论,争取成立专门的工作组,从而将该方案纳入正式的标准申请程序。
英特尔网络安全架构师杰西•沃克也表示,该公司愿意与新岸线公司一道,共同推动来自中国的这项技术走向国际。据悉,双方已经初步达成意向,将共同成立一个专门小组,而英特尔也会从内部遴选精英,协助这一方案能够顺利地申请国际标准。
微软(中国)公司首席技术执行官李志霄博士也表示,微软公司高层非常看好这项技术,近期将与新岸线就具体合作方式进行讨论。
中国工程院副院长邬贺铨院士指出,新岸线的“超高速无线局域网解决方案”在技术上较为先进,传输速率高、移动性好、功能更完善。对于这项中国人拥有核心专利的技术,中国工程院支持并鼓励其争取成为国际标准。不过,邬贺铨院士也同时指出,申请国际标准从来都需要历经一个漫长的过程,其进程也不会一帆风顺,而且不可避免地将会面临国外诸多利益团体的激烈竞争。
技术标准作为全球产业分工和国际化竞争的制高点,从来都备受关注。争取在产业技术领域的参与权和发言权,更是国家发展信息产业的战略目标。据悉,超高速无线局域网已经被列入2007年国家招标研发的信息产业国家重大专项的一部分。
避免踏入同一条河流
我们期待新岸线方案能够成为国际标准,因此我们更应该对WAPI遭遇到的“陷阱”提高警惕。回过头看看WAPI曾经走过的路,或许能对“超高速宽带无线局域网解决方案”冲击国际标准带来几分启迪。
从技术层面来看,较之目前主流的802.11x标准,WAPI在认证机制、密钥管理、构建和扩展易用性、认证协议完整性、会话密钥协商、安全强度等方面均具有明显的优势。然而,在一年前那场冲击国际标准之争中,WAPI最终败下阵来,其国际标准之路也以“中国政府无限期推迟实施WAPI标准的时间”而告一段落。
国际标准本来应该是一个纯粹的技术问题,领先者被采用,落后者被淘汰,似乎再也简单不过。然而,在实际操作中,国人还是应该事先考虑到一些非技术因素可能带来的负面影响。仍以WAPI为例,与英特尔迅驰平台中无线模块的冲突,很有可能就是导致WAPI遭遇重重铁幕的主因。在这种起跑线不一样的竞争中,只有革命性的创新方能突围。否则,在商业惯性和商业垄断的双重笼罩下,要想有所突破难度极大。
另外,负责制订标准的IEEE斯蒂夫•米尔斯也曾表示:“WAPI联盟把更多精力放在了抱怨投票的过程上,因此他们也失去了就两项安全增补技术的优势进行建设性谈话的宝贵机会。”由此看来,不光需要在技术上有创新之举,争取更多的印象分也是非常重要的。不过当本人费劲周章,查询到新岸线公司的网址时,页面却显示“网站正在建设中”。值此申报国际标准的重要时刻,正有越来越多的国内外人士关注该公司,新岸线却轻而易举地放弃这样的宣传机会,本人认为殊为不智。
不过,多位专家仍是认为,新岸线的方案是对现有802.11a/g标准的有效改进,它不排斥国际巨头们的原有产品,并且便于投入产业应用,因此成为国际标准的前景也被广为看好。
近年来,全球无线局域网市场一直保持着极快的增长速度,2006年的市场规模已经超过了50亿美元。更令人兴奋的是,今后几年无线局域网市场规模仍将保持40%左右的增长。对于这样一个庞大的市场,产业链中每个层面的厂商都想分一杯羹。试想一下,如果来自中国的超高速宽带无线局域网技术成为国际标准,将会极大地提高中国企业在这一产业链中的地位和收益。
无线局域网解决方案篇3
【关键词】无线网络;WLAN技术;网络安全
一、引言
WLAN(Wireless Local Area Network,无线局域网)技术经过多年的发展,已走向成熟并得到广泛的应用,特别是当今智能手机和无线设备的飞速发展对无线网络的需求越来越高。校园作为智能设备使用的集中场所,随时随地上网无疑是广大师生的迫切要求,因此,在校园建立广阔的WLAN网络有着广阔的现实意义和经济意义[1]。
二、设计分析
设计的总体思路为成本控制,分片布置。区分不同的应用环境,在用户相对疏散的区域,配置适当数量的无线路由器,以范围覆盖为主;在用户相对密集区域,适当增加单位面积内路由器数量,以增加容量、提供可靠服务为主。在设计时注意遵循以下原则:
第一,无线覆盖设计将遵循按照信号范围最大化原则,在全校全面覆盖的前提下,重点选择部分区域进行更加细腻的覆盖。
第二,要在保证无线网络稳定性的基础上实现与绝大多数无线设备兼容。
第三,在设计时要考虑网络扩容,为今后网络扩容做好准备。
三、设计方案
校园无线网络的三种典型应用及解决方案:
第一,户外公共区域的覆盖;
第二,局部开放的室内大环境,如大型公共教室、大礼堂、阅览室等无线覆盖;
第三,房间多、用户分散的楼宇(教学楼、办公楼、宿舍区等)的无线覆盖[2]。
(1)室外区域无线覆盖方案
学校体育场、图书馆前后空地是学生课外学习较为集中的区域,也是学校最为需要实现无线覆盖的室外公共区域。根据需覆盖的室外区域的实际情况,设计建立多个无线覆盖点,采用重叠交叉无线漫游的覆盖方式,即可成功实现设计要求和目标。
具体的实施如下:要实现无线漫游,就需要将多个无线路由器的信号覆盖范围相互重叠一小部分,不过要想漫游成功,还需要对各个无线路由器进行适当的设置。首先需要登录进无线路由器的参数设置界面,在其中找到SSID设置选项,然后将所有无线路由器的SSID名称设置成相同,这样才能确保漫游用户在同一网络中漫游;接着还要修改每一个无线路由器的IP地址,让所有无线路由器的IP地址属于同一网段之中;还需要修改信号互相覆盖的无线路由器的频道。考虑到相邻的两个无线路由器之间有信号重叠区域,为保证这部分区域所使用的信号频道不能互相覆盖,具体地说信号互相覆盖的无线路由器必须使用不同的频道,否则很容易造成各个无线路由器之间的信号相互产生干扰,从而导致无线网络的整体性能下降。目前一个无线路由器可以使用的频道总共有11个,其中只有1、6、11这三个频道是完全不被覆盖的,因此你可以将相邻的无线路由器设置成使用这些频道,来确保无线漫游成功。
(2)室内宽广区域无线覆盖方案
针对局部开发的室内大环境,如图书阅览室、礼堂、体育馆、大教室等,网络用户数量较多而集中,采用多个多个无线路由器整合交叉覆盖形成大面积覆盖区域,每个无线路由器都独立接到交换机上,以保证有更高的带宽。
(3)室内复杂区域无线覆盖方案
针对办公楼、教学楼、宿舍等结构较为复杂的室内区域,可根据建筑结构具体情况,选用以下两种方案:方案一:采用多个无线路由器整合交叉覆盖形成大面积覆盖区域,每个无线路由器都独立接到交换机上,以保证有更高的带宽。方案二:采用室外覆盖方式,选用室外无线路由器,通过天线聚集无线信号,使无线覆盖范围更大、更远,穿透能力更强。设备与天线安置于楼宇顶部,以无线信号向下整体覆盖楼宇。
四、安全防范
安全问题一直是制约无线局域网技术的推广的关键因素之一,很多人都把安全问题作为是否部署无线局域网的首要因素。本文对无线局域网各种安全标准和协议进行分析与比较,从而确定方便易用的无线局域网安全技术。
1.把住安全认证关口
在无线客户端和无线无线路由器交换数据之前,它们之间必须先进行一次对话认证,认证方式有两种:开放认证和共享密钥认证。开放认证方法是802.nb标准中默认的认证方式,在明文状态下进行认证 [3],通常有三种策略:第一种策略为默认方式,允许任何客户端认证;第二种是只允许认证带有合法服务器标识ID(实际为SSID)的客户端,SSID相当于密码的作用;第三种是无线路由器只允许认证MAC地址在无线路由器的访问控制列表中的客户端。共享密钥认证是基于WEP、WPA(WPA2)共享密钥的认证方法,前提是客户端和无线路由器中己经预先手动设置好了共享密钥,共享密钥认证与开放认证相似,只不过它使用WEP、WPA对认证过程进行加密,因而其安全性要高于开放认证。
2.选用适当加密技术
加密技术是网络安全的一项重要技术。IEEE为无线局域网提供了三种安全性保护协议:WEP、TKIP、CCMP。主要的方法有无线局域网E无线路由器策略、无线局域网鉴别与保密基础架构W无线路由器I以及IEEE802.11标准中的WPA等等。可以根据应用需求和安全要求合理选用。
3.确定合理安全策略
确保无线局域网网安全可以说“三分靠技术,七分靠策略”,无线局域网部署中要适当应用安全技术,合理选择安全策略。在部署无线局域网时,只要结合自身的网路安全实际需求,合理选择无线局域网的安全策略,提供足够的网络安全防护,就可以安心的享受无线接入的便捷,同时也能保证重要数据的安全[4]。首先对无线局域网的各种安全措施以及无线路由器类型进行比较,最后选择基本安全、增强安全和扩展安全三种无线局域网部署方案。
五、结束语
随着信息技术的不断发展和创新,网络已成为高等院校必不可少的重要组成部分。网络对于院校教学、科研、管理、交流具有重要的现实意义,其以成为院校师生学习生活工作的一部分。从目前院校网络建设的现状来看,受限的网络带宽,有限的网络接口,已经远远满足不了院校师生的需求。因此,架设校园无线网络,完成无线网络的全时空覆盖,无疑是解决此问题的有效手段[5]。本文就无线网络架设的一些问题进行了探讨和研究,提出了初步的设计方案,给出了解决的办法。当然本方案还存在许多不足,特别是在无线局域网的安全防范中,对很多细节没有进行深入研究,在下步网络的实际架设中,我们将结合实践不断进行改进。
参考文献
[1][美]阿斯皮沃.无线网络安装调试与维护[M].北京:电子工业出版社,2007.
[2]于雷,余兆明.高校校园无线局域网部署方案的分析研究[J].中国科技信息,2008,04.
[3]冯锡平,刘元安.MIMO一oFDM技术与IEEE802.lln标准[J].现代电信科技,2005(03).
[4]刘晓芳.无线传感器网络路由协议比较研究[D].北京:北京邮电大学,2008.
无线局域网解决方案篇4
[关键词]无线局域网 AP VPN IEEE802.11 WEP
[中图分类号]TN[文献标识码]A[文章编号]1007-9416(2010)02-0071-02
1 无线局域网的结构
根据不同局域网的应用环境与需求的不同,无线局域网可采取不同的网络结构来实现互联。常用的具体有如下几种:
(1)网桥连接型:不同的局域网之间互联时,由于物理上的原因,若采取有线方式不方便,则可利用无线网桥的方式实现二者的点对点连接,无线网桥不仅提供二者之间的物理与数据链路层的连接,还为两个网的用户提供较高层的路由与协议转换。
(2)基站接入型:当采用移动蜂窝通信网接入方式组建无线局域网时,各站点之间的通信是通过基站接入、数据交换方式来实现互联的。各移动站不仅可以通过交换中心自行组网,还可以通过广域网与远地站点组建自己的工作网络。
(3)HUB接入型:利用无线Hub可以组建星型结构的无线局域网,具有与有线Hub组网方式相类似的优点。在该结构基础上的WLAN,可采用类似于交换型以太网的工作方式,要求Hub具有简单的网内交换功能。
(4)无中心结构:要求网中任意两个站点均可直接通信。此结构的无线局域网一般使用公用广播信道,MAC层采用CSMA类型的多址接入协议。
无线局域网可以在普通局域网基础上通过无线Hub、无线接入站(AP)、无线网桥、无线Modem及无线网卡等来实现,其中以无线网卡最为普遍,使用最多。
2 无线局域网的安全威胁分析
2.1 常规安全威胁
由于无线网络只是在传输方式上和传统的有些网络有区别,所以常规的安全风险如病毒,恶意攻击,非授权访问等都是存在的,这就要求继续加强常规方式上的安全措施。
2.2 非常规安全威胁
无线网络中每个AP覆盖的范围都形成了通向网络的一个新的入口。由于无线传输的特点,对这个入口的管理不像传统网络那么容易。正因为如此,未授权实体可以在公司外部或者内部进入网络:首先,未授权实体进入网络浏览存放在网络上的信息,或者是让网络感染上病毒。其次,未授权实体进入网络,利用该网络作为攻击第三方网络的跳板。第三,入侵者对移动终端发动攻击,或为了浏览移动终端上的信息,或为了通过受危害的移动设备访问网络。第四,入侵者和公司员工勾结,通过无线交换数据。
2.3 敏感信息易泄露威胁
由于电磁波是共享的,所以要窃取信号,并通过窃取信号进行解码特别容易。特别是WLAN默认都是不设置加密措施的,也就是任何能接受到信号的人,无论是公司内部还是公司外部都可以进行窃听。根据802.11b协议一般AP的传输范围都在100米到300米左右,而且能穿透墙壁,所以传输的信息很容易被泄漏。虽然802.11规定了WEP加密,但是WEP加密也是不安全的,WEP是IEEE 802.11 WLAN标准的一部分,它的主要作用是为无线网络上的信息提供和有线网络同一等级的机密性。有线网络典型地是使用物理控制来阻止非授权用户连接到网络查看数据。在WLAN中,无需物理连接就可以连接到网络,因此IEEE选择在数据链路层使用加密来防止在网络上进行未授权偷听。
3 无线局域网的安全防范与对策
无线局域网中主要的安全性考虑包括访问控制和加密。访问控制保证敏感数据只能由通过认证授权的用户访问,加密则保证发送的数据只能被所期望的用户接收和理解。通常可采用的防范对策有六种。
3.1 建立MAC地址表,减少非法用户的接入
如果所在接入小区接入用户不多,可通过其提供地唯一合法MAC地址在其接入的核心交换机上建立MAC地址表,对接入的用户进行验证,以减少非法用户的接入。同时,可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新,可扩展性差,无法实现机器在不同AP之间的漫游,而且MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。
3.2 采用有线等效保密改进方案(WEP2)
IEEE802.11标准规定了一种被称为有线等效保密(WEP)的可选加密方案[5],其目标是为WLAN提供与有线网络相同级别的安全保护。WEP在链路层采用RC4对称加密算法,从而防止非授权用户的监听以及非法用户的访问。有线等效保密(WEP)方案主要用于实现三个安全目标:接入控制、数据保密性和数据完整性。然而WEP存在极差的安全性,所以 ?IEEE802.11b提出有线等效保密改进方案(WEP2),它与传统的WEP算法相比较,将WEP加密密钥的长度加长到104位,初始化向量的长度右24位加长到128位,所以建议使用的WLAN设备具有WEP2功能。
3.3 采用802.1x 基于端口的认证协议
802.1x为接入控制搭建了一个新的框架,使得系统可以根据用户的认证结果决定是否开放服务端口。基于802.1x认证体系结构[4],其认证机制是由用户端设备、接入设备、后台RADIUS认证服务器三方完成。接入设备用来传送用户与后台RADIUS服务器之间的会话数据包。这种认证机制的好处是方便了管理,可以更容易地与现有的资源融合,802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,更适合公共无线接入解决方案。在采用802.1x的WLAN中,无线用户端安装802.1x客户端软件,无线AP内嵌802.1x认证,同时它还作为RADIUS服务器的客户端,负责用户与RADIUS服务器之间认证信息的转发。当无线客户端登录到无线访问AP点后,是否可使用AP的服务取决于802.1x的认证结果。如果认证通过,则AP为客户端打开这个逻辑端口,否则不允许用户上网。
4 结语
无线网络的出现就是为了解决有线网络无法克服的困难。虽然无线网络有诸多优势,但与有线网络相比,无线局域网也有很多不足。无线网络速率较慢、价格较高,因而它主要面向有特定需求的用户。目前无线局域网还不能完全脱离有线网络,无线网络与有线网络是互补的关系,而不是竞争,目前还只是有线网络的补充,而不是替换。但也应该看到,近年来,无线局域网产品的价格正逐渐下降,相应软件也逐渐成熟。此外,无线局域网已能够通过与广域网相结合的形式提供移动互联网的多媒体业务。相信在未来,无线局域网将以它的高速传输能力和灵活性发挥更加重要的作用。
[参考文献]
[1] 王欣轩.构建CISCO无线局域网[M].科学出版社,第三版,2003.4,170―182.
[2] 李健东.WLAN的标准与技术发展[M].中兴通讯,第二版,2002.8,52―73.
无线局域网解决方案篇5
【关键词】无线网络原理 无线校园网组网 问题
一、无线局域网概念及基本原理
无线局域网WLAN(Wireless Local Area Network)是指以无线信道作传输媒介的计算机局域网。其常见的形式是把一个计算机站点以无线方式连入一个计算机网络中,作为网络中的一个点,使之具有网络工作站所具有的各种功能,并能享受网络中的各种服务。无线入网的计算机能在一定的区域内移动同时又随时与网络系统保持联络。与有线网络相比,WLAN具有移动性强、可靠性高、运行成本低廉、便于维护管理等优点。它能够有效的作为补充和完善有线局域网,快速、方便地解决以有线方式不能实现的网络信道的连通问题,充分发挥网络的利用率。无线网络系统由网络适配器和转发器两部分组成。网络适配器固定在计算机扩展槽上,利用天线发送信息;而转发器则接收发送信息,通过一条输出线连接用户计算机和公共网络。无线网络中使用的通信技术主要可分为三类:窄频微波技术、扩频技术及红外线技术。其中扩频通信技术应用最广,其基本特征是使用比发送的信息数据速率高许多倍的伪随机码对载有信息数据的基带信号的频谱进行扩展,形成宽带的低功率谱密度的信号来发射。扩频通信技术在发射端以扩频编码进行扩频调制,在接收端以相关解调技术接收信号。这一过程使其具有抗干扰性强、隐蔽性强、易于实现码分多址、抗多径干扰等优点。
实现扩频通信的基本工作方式有直接序列扩频(Direct Se-quence Spread Spectrum)方式(简称DSSS方式)和跳频(Frequen-cy-Hopping)工作方式(简称FH方式)。
二、无线校园网建设方案
在校园中建立的无缝无线通讯网络,使校园的每个角落都处在网络中,形成真正意义上的校园网。最大的特点是具有的高度的空间自由性和灵活性;可以避免大规模铺设网线和固定设备投入,有效地削减了网络建设费用,极大地缩短了建设周期;无线局域网带宽很宽,适合进行大量双向和多向的多媒体信息传输。国际上,拥有无线校园网,已经成为现代化校园的一个标志。据悉,到2006年,将有600所高校建设无线校园网。中国的大学无线校园网的建设已经如火如荼地展开了。无线校园网正是顺应了教育信息化建设的前进步伐,蓬勃发展起来的。当前的教育网用户非常期待实现许多需求,如网络信息点流动的需求、难以布线区域网络建设的需要、利用网络提高教学效率的需要、以及信息化建设中降低成本和保护投资的要求等,通过无线校园网的建设,都可以找到解决的基础和途径随着无线局域网技术的发展,这些问题都能够得到妥善的解决。
在校园无线网络建设需求中,主要存在三种典型的应用环境。第一是校园内的户外公共区域;第二是局部开放的室内大环境,如典型公共教室、图书阅览室等;第三是房间多、用户数量不多但分布较散的楼宇,如教学办公楼、宿舍等。
(一)室外区域无线覆盖方案
学校体育场、中心广场、教学楼宇间公共区域等,一般是学校需要实现无线覆盖的室外公共区域。根据需覆盖的室外区域的实际情况,可以设计建立多个无线覆盖基站,采用重叠交叉无线覆盖的方式,完成区域的无缝无线覆盖。
(二)室内区域无线覆盖方案
室内覆盖区域的大小和建筑结构的复杂程度往往差别很大,根据学校的具体需求,设计多种室内覆盖解决方案。一般来讲,针对局部开发的室内大环境,如图书阅览室、礼堂、体育馆、大教室等,网络用户数量较多而集中,推荐设计以单个AP(Access Point,无线接入点)小面积覆盖,多个AP整合交叉覆盖形成大面积覆盖区域,每个AP都独立接到交换机上,保证有效带宽更宽。在具体实施项目中,一般采用兼容802.11b/g标准的室内无线Ap产品完成无线网络的室内覆盖。针对办公楼、教学楼等结构较为复杂的室内区域,可根据建筑结构具体情况,选用以下两种方案:方案一,采用高灵敏度、穿透能力强的无线AP产品,配合分离式吸顶天线,以一个AP配合一个天线,或一个AP配合多个天线,完成室内区域的完全覆盖。一般要选用专用的无线AP,配合室内吸顶天线,完成楼宇内部无线覆盖。采用分离式天线设计,可以适应无线设备与高增益天线的连接使用,以保障高质量的无线信号能够覆盖更远距离,同时增强设备在干扰较大的频率环境中使用的能力。方案二,采用室外覆盖方式,选用室外无线AP,通过天线聚集无线信号,使无线覆盖范围更大、更远,穿透能力更强。设备与天线安置于楼宇顶部或底部,以无线信号向下或向上整体覆盖楼宇。
三、常见问题
目前,无线校园网还有很多不近人意的地方,很多学校在建设和管理维护校园无线网络的时候,经常会面临两个棘手的问题,怎样解决好这两个问题也成为完善和发展无线校园网关键。
(一)无线信号的传播深受环境影响
多径等问题导致无线信号在不同方向上存在非常复杂的衰减现象,实际的信号覆盖和理想的信号衰减模型往往存在一定差异。所以WLAN网络的实施往往需要周密的网络规划,详细的工勘,网络部署后的调优等一系列活动。即使完成这些活动后,网络应用阶段的射频参数调整仍然是必不可少。这是因为无线环境是不断地变化的,障碍物的移动,微波等工作带来的干扰等都可能对无线信号的传播造成影响,所以无线接入点的信道、发射功率等射频资源必须能够动态地调整以适应用户环境的变化。这样的调整过程是复杂的,需要丰富的射频技术经验和定期的工勘,无疑需要非常高的操作成本。
(二)无线环境调整的自适应性
无线局域网解决方案篇6
基于软交换技术的3G核心网
3G网络的发展是在现有的网络向下一代网络NGN演进的大背景下进行的,因此3G网络的演进应符合NGN的要求。NGN是可以提供语音、数据和多媒体等各种业务的综合开放的网络架构,有以下特征:采用开放的网络架构体系,是业务驱动和基于分组的网络。
软交换网络的主要思想是业务、控制、传送与接入相分离,各实体间通过标准的协议进行连接和通信,整个网络分为四个层面:业务应用与支撑层、控制层、传送层与接入层。软交换网络体系结构如图1所示。
3G核心网实现方案的基本思想包括以下几方面。由增强的GPRS网络完成对无线接入网的接入并提供IP通道,以使智能用户终端直接由控制层的软交换设备进行控制,同时在GPRS网络之上架构一基于软交换的IP多媒体子系统,完成对IP多媒体通信的控制和业务的提供。在核心网内部全部基于IP传送,采用网关体系与传统的PSTN/ISDN/PLMN等非IP网络进行互通和转换。采用基于软交换的分层网络结构体系,使控制与承载分离。本文提出的核心网实现方案是根据3GPP R5规范,如图2所示。
无线局域网
无线局域网(Wireless LAN)是从有线局域网(Wired LAN)延伸出来的一种灵活的数据传输系统。它使用无线电射频(RF)技术来收发数据,通常计算机组网的传输媒介主要是铜缆或光缆,构成有线局域网。但是有线网络在某些场合要受到布线的限制。布线、改线工程量大;线路容易损坏,网中的各节点不可移动。WLAN就能解决有线网络遇到的问题。
WLAN利用电磁波在空气中发送和接收数据,而无须线缆介质。WLAN的数据传输速率现在已经能够达到11Mb/s,传输距离可远至20km。它是对有线连网方式的一种补充和扩展,使网上的计算机具有可移性,能快速方便地解决使用有线方式不易实现的网络连通问题。与有线网络相比,WLAN具有以下优点:安装便捷,使用灵活,经济节约,易于扩展。
1997年6月,国际电子与电气工程师组织(简称IEEE)通过了802.1l标准,它是IEEE制定的无线局域网标准,主要是对网络的物理层(PHY)和媒体访问控制层(MAC)进行了规定,其中对MAC层的规定是重点。IEEE 802.11标准的协议结构如图3所示。
3G与WLAN的互通
这是一种将移动语音网络与WLAN互联的方法。利用SIM卡和UIM卡里存有的全球唯一的WLAN用户标示和认证密钥,结合移动网络完善的认证、计费体系,对WLAN用户实施有效的管理。用户上网时,可以通过移动运营商现有的认证计费系统进行认证,用户上网的费用可以对应到其手机的帐单上,并且在有语音呼入时,会在WLAN终端上有相应的提示,用户可以有由WLAN终端接听该语音呼叫或拒绝等多种选择。该体系结构有两个特点:利用SIM卡或UIM卡的WLAN用户标识和认证密钥对WLAN终端进行有效控制;利用了移动语音网络的数据业务网络部分。
图4为基于软交换技术的3G与无线局域网的互通原理图。无线3G分组网络通过VolP网络连接到PSTN或PLMN,SGSN/GGSN通过IP将来自RAN的信令传递到多媒体服务器/应用服务器(MMCS/MMAS),它们提供了与MSC服务器相同的功能。MGS执行通过SG与PSTN或传统PLMN的信令。来自RAN的媒体以RTP包的形式通过SGSN/GGSN传递到MG。
局域网仿真技术
因为在WLAN与3G的融合方案中,A7M是面向有连接的,而UDP是面向无连接的。要实现从面向无连接向面向有连接的过渡,就要采用局域网仿真技术。
为了完成仿真局域网的功能,ATM局域网仿真技术在ATM网络的适配层与传统局域网高层协议之间加入了一层协议功能,称为局域网仿真层(LAN Emulation Layer)。这一层向下利用第5类ATM适配层(AAL5)的功能,而向上所提供的服务则模拟局域网协议体系中的媒体访问(MAC)子层。发送端的高层发给MAC子层的数据与控制信息由LE层转换成可被AAL5识的格式。通过ATM网络来透明传送,接收端的LE层将AAL5收到的数据转换成MAC服务数据单元的格式交给高层。ATM局域网仿真技术选择MAC子层界面作为LE层仿真的接口,是因为这样可以为各种局域网(包括传统局域网与ATM局域网)提供统一的MAC服务接口,同时在这一层上局域网间的互连可以由网桥实现,比路由器实现更简单。ATM局域网仿真的协议栈如图5所示。
实时传输协议
RTP是针对实时多点多媒体会议而设计的实时传输协议,它提供了端到端的实时媒体(交互式音频和视频)传输服务。RTP是运行在UDP上的传输层协议,以便利用UDP的多路复用、检查和服务。然而RTP也可以和其他适当的下层网络和传输层一起使用。RTP本身不能提供任何保证及时提交的机制,也不提供其他服务质量(QoS)的保证,而是依靠下层服务完成这些任务。它既不保证提交,也不防止错序提交,还不假设下层基础网络可靠而且按序提交分组。RTP当中包含的顺序号允许接收方重建发送方分组序列,但是,在视频解码中,顺序号也可能用于确定分组的适当位置,从而不必按序解码分组。RTP的应用框图如图6所示。
结束语
无线局域网解决方案篇7
1.规划
首先是网络架构。目前无线局域网有胖AP(FAT AP)和瘦AP(FIT AP)两种方案,瘦AP架构由无线控制器实现对无线AP的管理和控制,由无线AP实现对无线信号的加密解密。这种方式具有组网灵活、业务开展能力强等特点,更适合大规模部署。胖AP在小规模部署的时候具有成本低、部署简单的优势。由于无线校园网AP总数一般都比较多,所以在无线校园网中,一般采用瘦AP架构。
通过以上分析结合网络现状与需求可以看出,FAT AP是适合甘肃交通职业技术学院的一种低成本、高性能的技术方案。
其次是无线(WLAN)覆盖方案规划。WLAN覆盖规划需要考虑建筑结构、用户密度等因素,一般有软件模拟、现场实测、现场人工勘察几种方式。具体步骤如下:
第一步,根据用户提供的平面图或者CAD图,使用专业的WLAN网络规划软件,模拟目标区域覆盖的效果。
第二步,典型区域现场测试。对于比较典型同时又可能出问题的区域,需要带设备进行实测,根据测试结果,调整覆盖方案。
第三步,对于条件受限不能进行实测的区域,由专业的WLAN规划团队现场勘测,结合现场测试和规划软件结果,制定最终的WLAN覆盖规划方案。
2.部署
WLAN的部署需要根据目标区域的不同制定最佳的WLAN覆盖方案,根据覆盖区域和用户要求不同,可以采用室内直接覆盖、室内分布式覆盖、室外覆盖、室外覆盖室内等多种覆盖方案。
(1)室内直接覆盖
适用于用户密度高、信号衰减小的区域,如图书馆、合班教室、阶梯教室、礼堂等。这种情况下,AP可以采用壁挂式或者吸顶式安装。此时优先考虑的因素是用户数量而不是信号质量。通常,每个AP支持用户数量的合理值在15个~20个,根据用户总数和使用无线局域网的比例来合理规划每个区域部署AP的位置和数量。
(2)室内分布式覆盖
适用于用户密度不高、信号衰减大的区域,如办公楼、实训车间等。每个AP通过室内分布式系统带多个天线来达到扩大覆盖区域、提高信号质量的目的。此时AP一般部署于楼道天花板上或者弱电间中,天线则部署于楼道内。在使用室内分布式覆盖的情况下,AP的数量主要在施工难度和信号质量之间取得平衡。
(3)室外覆盖
适合于操场、篮球场、迎新大道等室外开阔区域。在这些区域中,需要覆盖的区域范围广,并且通常会有比较多的树木等影响无线信号。同时设备部署到室外,必须考虑防水、防尘、防雷、防高温、防低温等因素,因此对无线设备要求非常高,一般必须使用专业室外型产品。在距离超过以太网作用范围的情况下,要求AP必须支持光纤接口。室外覆盖方案首要考虑的是信号质量,一般情况下,普通100mw的室外型产品能够覆盖100米~200米,大功率室外型AP可以覆盖超过300米。
(4)室外覆盖室内
适合学生宿舍、家属楼等区域的补点方案。AP部署在目标区域的两侧,在两侧安装室外型AP加定向天线的方式完成对目标区域的覆盖。在这种情况下,每个AP能够覆盖的区域很广,信号通过窗户进入房间,因此窗口附近的信号质量高,远离窗口的区域信号质量稍差。对于家属楼,如果要求不高,可以只覆盖书房所在的一面,而对于学生宿舍楼,必须采用双面覆盖。室外覆盖室内的方案只能解决信号覆盖问题,如果使用无线网络的用户比例增加,上网速度则会下降。这种情况下,建议更换为室内覆盖方案。
3.安全
无线局域网由于其物理介质的开放性,会面临更多的安全性问题。WLAN安全解决方案,涵盖从链路层到应用层,能够发现和防护常见的无线攻击,确保无线信号传输过程中的安全。
在链路层,需要考虑结合802.1x认证,防范针对802.11报文的Flood、Null Data、Weak IV等常见攻击,使二者都能满足无线校园网对数据传输安全性的要求。此外,瘦AP架构能够很好地发现和防范非法AP,确保用户不会因连接到非法AP上而导致泄密。
4.业务和扩展性
简单的Internet接入已经不能满足学校教学和科研的多种需求,需要WLAN提供更多的业务,发挥WLAN移动性的优势,提供更多的服务。
首先,无线校园网需要全面支持802.11e协议,提供端到端的QoS保障,为WLAN承载语音、视频等多媒体业务打下良好的基础。同时,AP之间要求实现快速漫游,确保漫游过程中对业务的影响降到最低。其次还需要考虑无线校园网对组播有良好的支持,以便开展多媒体教学。
目前除支持Internet接入之外,无线校园网可以开展的业务还包括:(1)多媒体教学和网络电视:学生可以随时随地通过网络开展学习,提高学习效率;(2)基于位置的页面推送:用户在不同位置接入无线网络时能够提供不同的提示信息,用于学校内部信息的及时传播;(3)VoWiFi:校内无线IP电话,方便广大教职员工内部通信;(4)即拍即传:校园网编辑人员随时把最新活动照片上传至学校网页,师生随时把最新照片上传到个人博客;(5)另外由于很多学校需要在最新网络技术的基础上开展科研工作,因此要求无线网络能够支持最新的技术,包括无线Mesh、IPV6、802.11n等多种业务。
5.管理
设备管理:目前很多已建成的无线校园网都是有线设备一套管理系统、无线设备一套管理系统。很多时候,无线网络出现问题后必须由有线网管系统配合才能最终找到问题的原因,给系统维护带来极大的工作量。因此,无线校园网的管理系统必须能够实现对无线校园网建设所需的所有设备,包括AC、FIT AP、FAT AP,PoE交换机、汇聚交换机、核心交换机在内的有线和无线设备的统一管理,使无线校园网能够作为一个完整的系统,实现单独的管理和运营。
用户管理:对于无线校园网来说,无线管理系统必须能够实现对用户IP、MAC地址、用户名、所在AP、安全策略等动态的管理,能够在系统中实时查询到每个用户的相关信息并记录成日志,以备审计,实现对用户的良好管理。
6.运营和优化
WLAN的运营,既有WLAN自身的特点,又需要和现有的有线网络尽可能保持一致,因此需要全面统一考虑。
认证方面,对于无线校园网来说,由于用户的终端类型多种多样,802.1x认证的终端兼容性问题很难解决,所以在无线校园网中不推荐使用802.1x认证,而推荐使用Web Portal方式认证。在和运营商联合建设的情况下,可以使用PPPoE认证。
计费方面,大多数学校的有线网络都是采用校园网包月、外网按流量计费的模式。此模式包括两个认证过程:第一个过程是用户接入无线网络时检查用户是否存在以及是否缴纳包月费用;第二个过程是用户访问外网时启动流量计费认证。由于用户需要输入两次同样的用户名密码,很不方便,因此无线校园网在计费策略和有线网络保持一致的情况下,可以通过实现一次认证,简化用户认证流程。
网络优化是一个持续的过程。无线局域网容易受到外界干扰,对于短期的干扰,无线控制器自动信道调整和自动功率控制能够把干扰的影响降到最低;而对于长期的干扰,必须根据用户长期使用效果进行人工调节或者调整。
无线校园网是一个系统工程,只有充分考虑到校园网建设的规划、部署、安全、业务和扩展性、管理、运营和优化等各个环节,才能建成既满足实际需求又能节约成本并且是可运营、可管理的运营级无线校园网。
无线局域网解决方案篇8
关键词:无线局域网;标准;安全;趋势
前言 无线局域网本质上是一种网络互连技术。无线局域网使用无线电波代替双绞线、同轴电缆等设备,省去了布线的麻烦,组网灵活。无线局域网(WLAN)是计算机网络与无线通信技术相结合的产物。它既可满足各类便携机的入网要求,也可实现计算机局域网远端接入、图文传真、电子邮件等功能。无线局域网技术作为一种网络接入手段,能迅速地应用于需要在移动中联网和在网间漫游的场合,并在不易架设有线的地力和远冲离的数据处理节点提供强大的网络支持。因此,WLAN已在军队、石化、医护管理、工厂车间、库存控制、展览和会议、金融服务、旅游服务、移动办公系统等行业中得到了应用,受到了广泛的青睐,已成为无线通信与Internet技术相结合的新兴发展力向之一。WLAN的最大优点就是实现了网络互连的可移动性,它能大幅提高用户访问信息的及时性和有效性,还可以克服线缆限制引起的不便性。但由于无线局域网应用具有很大的开放性,数据传播范围很难控制,因此无线局域网将面临着更严峻的安全问题。
1. 无线局域网安全发展概况
无线局域网802.11b公布之后,迅速成为事实标准。遗憾的是,从它的诞生开始,其安全协议WEP就受到人们的质疑。美国加州大学伯克利分校的Borisov,Goldberg和Wagner最早指出了WEP协议中存在的设计失误,接下来信息安全研究人员发表了大量论文详细讨论了WEP协议中的安全缺陷,并与工程技术人员协作,在实验中破译了经WEP协议加密的无线传输数据。现在,能够截获无线传输数据的硬件设备己经能够在市场上买到,能够对所截获数据进行解密的黑客软件也已经能够在因特网上下载。WEP不安全己经成一个广为人知的事情,人们期待WEP在安全性方面有质的变化,新的增强的无线局域网安全标准应运而生[1]。
我国从2001年开始着手制定无线局域网安全标准,经过西安电子科技大学、西安邮电学院、西电捷通无线网络通信有限公司等院校和企业的联合攻关,历时两年多制定了无线认证和保密基础设施WAPI,并成为国家标准,于2003年12月执行。WAPI使用公钥技术,在可信第三方存在的条件下,由其验证移动终端和接入点是否持有合法的证书,以期完成双向认证、接入控制、会话密钥生成等目标,达到安全通信的目的。WAPI在基本结构上由移动终端、接入点和认证服务单元三部分组成,类似于802.11工作组制定的安全草案中的基本认证结构。同时我国的密码算法一般是不公开的,WAPI标准虽然是公开的,然而对其安全性的讨论在学术界和工程界目前还没有展开[2]。
增强的安全草案也是历经两年多时间定下了基本的安全框架。其间每个月至少召开一次会议,会议的文档可以从互联网上下载,从中可以看到一些有趣的现象,例如AES-OCB算法,开始工作组决定使用该算法作为无线局域网未来的安全算法,一年后提议另外一种算法CCMP作为候选,AES-OSB作为缺省,半年后又提议CCMP作为缺省,AES-OCB作为候选,又过了几个月,干脆把AES-OCB算法完全删除,只使用CCMP算法作为缺省的未来无线局域网的算法。其它的例子还有很多。从这样的发展过程中,我们能够更加清楚地认识到无线局域网安全标准的方方面面,有利于无线局域网安全的研究[3][4]。
2.无线局域网的安全必要性
WLAN在为用户带来巨大便利的同时,也存在着许多安全上的问题。由于WLAN 通过无线电波在空中传输数据,不能采用类似有线网络那样的通过保护通信线路的方式来保护通信安全,所以在数据发射机覆盖区域内的几乎任何一个WLAN用户都能接触到这些数据,要将WLAN发射的数据仅仅传送给一名目标接收者是不可能的。而防火墙对通过无线电波进行的网络通讯起不了作用,任何人在视距范围之内都可以截获和插入数据。因此,虽然无线网络和WLAN的应用扩展了网络用户的自由,它安装时间短,增加用户或更改网络结构时灵活、经济,可提供无线覆盖范围内的全功能漫游服务。然而,这种自由也同时带来了新的挑战,这些挑战其中就包括安全性。WLAN 必须考虑的安全要素有三个:信息保密、身份验证和访问控制。如果这三个要素都没有问题了,就不仅能保护传输中的信息免受危害,还能保护网络和移动设备免受危害。难就难在如何使用一个简单易用的解决方案,同时获得这三个安全要素。国外一些最新的技术研究报告指出,针对目前应用最广泛的802.11bWLAN 标准的攻击和窃听事件正越来越频繁[5],故对WLAN安全性研究,特别是广泛使用的IEEE802.11WLAN的安全性研究,发现其可能存在的安全缺陷,研究相应的改进措施,提出新的改进方案,对 WLAN 技术的使用、研究和发展都有着深远的影响。
同有线网络相比,无线局域网无线传输的天然特性使得其物理安全脆弱得多,所以首先要加强这一方面的安全性。
无线局域网中的设备在实际通信时是逐跳的方式,要么是用户设备发数据给接入设备,饭由接入设备转发,要么是两台用户设备直接通信,每一种通信方式都可以用链路层加密的方法来实现至少与有线连接同等的安全性。无线信号可能被侦听,但是,如果把无线信号承载的数据变成密文,并且,如果加密强度够高的话,侦听者获得有用数据的可能性很小。另外,无线信号可能被修改或者伪造,但是,如果对无线信号承载的数据增加一部分由该数据和用户掌握的某种秘密生成的冗余数据,以使得接收方可以检测到数据是杏被更改,那么,对于无线信号的更改将会徒劳无功。而秘密的独有性也将使得伪造数据被误认为是合法数据的可能性极小。
这样,通过数据加密和数据完整性校验就可以为无线局域网提供一个类似有线网的物理安全的保护。对于无线局域网中的主机,面临病毒威胁时,可以用最先进的防毒措施和最新的杀毒工具来给系统增加安全外壳,比如安装硬件形式的病毒卡预防病毒,或者安装软件用来时实检测系统异常。PC机和笔记本电脑等设备己经和病毒进行了若千年的对抗,接下来的无线设备如何与病毒对抗还是一个待开发领域。
对于DOS攻击或者DDOS攻击,可以增加一个网关,使用数据包过滤或其它路由设置,将恶意数据拦截在网络外部;通过对外部网络隐藏接入设备的IP地址,可以减小风险。对于内部的恶意用户,则要通过审计分析,网络安全检测等手段找出恶意用户,并辅以其它管理手段来杜绝来自内部的攻击。硬件丢失的威胁要求必须能通过某种秘密或者生物特征等方式来绑定硬件设备和用户,并且对于用户的认证也必须基于用户的身份而不是硬件来完成。例如,用MAC地址来认证用户是不适当的[5]。
除了以上的可能需求之外,根据不同的使用者,还会有不同的安全需求,对于安全性要求很高的用户,可能对于传输的数据要求有不可抵赖性,对于进出无线局域网的数据要求有防泄密措施,要求无线局域网瘫痪后能够迅速恢复等等。所以,无线局域网的安全系统不可能提供所有的安全保证,只能结合用户的具体需求,结合其它的安全系统来一起提供安全服务,构建安全的网络。
当考虑与其它安全系统的合作时,无线局域网的安全将限于提供数据的机密性服务,数据的完整性服务,提供身份识别框架和接入控制框架,完成用户的认证授权,信息的传输安全等安全业务。对于防病毒,防泄密,数据传输的不可抵赖,降低DoS攻击的风险等都将在具体的网络配置中与其它安全系统合作来实现。
3.无线局域网安全风险
安全风险是指无线局域网中的资源面临的威胁。无线局域网的资源,包括了在无线信道上传输的数据和无线局域网中的主机。
3.1 无线信道上传输的数据所面临的威胁
由于无线电波可以绕过障碍物向外传播,因此,无线局域网中的信号是可以在一定覆盖范围内接听到而不被察觉的。这如用收音机收听广播的情况一样,人们在电台发射塔的覆盖范围内总可以用收音机收听广播,如果收音机的灵敏度高一些,就可以收听到远一些的发射台发出的信号。当然,无线局域网的无线信号的接收并不像收音机那么简单,但只要有相应的设备,总是可以接收到无线局域网的信号,并可以按照信号的封装格式打开数据包,读取数据的内容[6]。
另外,只要按照无线局域网规定的格式封装数据包,把数据放到网络上发送时也可以被其它的设备读取,并且,如果使用一些信号截获技术,还可以把某个数据包拦截、修改,然后重新发送,而数据包的接收者并不能察觉。
因此,无线信道上传输的数据可能会被侦听、修改、伪造,对无线网络的正常通信产生了极大的干扰,并有可能造成经济损失。
3.2 无线局域网中主机面临的威胁
无线局域网是用无线技术把多台主机联系在一起构成的网络。对于主机的攻击可能会以病毒的形式出现,除了目前有线网络上流行的病毒之外,还可能会出现专门针对无线局域网移动设备,比如手机或者PDA的无线病毒。当无线局域网与无线广域网或者有线的国际互联网连接之后,无线病毒的威胁可能会加剧。
对于无线局域网中的接入设备,可能会遭受来自外部网或者内部网的拒绝服务攻击。当无线局域网和外部网接通后,如果把IP地址直接暴露给外部网,那么针对该IP的Dog或者DDoS会使得接入设备无法完成正常服务,造成网络瘫痪。当某个恶意用户接入网络后,通过持续的发送垃圾数据或者利用IP层协议的一些漏洞会造成接入设备工作缓慢或者因资源耗尽而崩溃,造成系统混乱。无线局域网中的用户设备具有一定的可移动性和通常比较高的价值,这造成的一个负面影响是用户设备容易丢失。硬件设备的丢失会使得基于硬件的身份识别失效,同时硬件设备中的所有数据都可能会泄漏。
这样,无线局域网中主机的操作系统面临着病毒的挑战,接入设备面临着拒绝服务攻击的威胁,用户设备则要考虑丢失的后果。
4.无线局域网安全性
无线局域网与有线局域网紧密地结合在一起,并且己经成为市场的主流产品。在无线局域网上,数据传输是通过无线电波在空中广播的,因此在发射机覆盖范围内数据可以被任何无线局域网终端接收。安装一套无线局域网就好象在任何地方都放置了以太网接口。因此,无线局域网的用户主要关心的是网络的安全性,主要包括接入控制和加密两个方面。除非无线局域网能够提供等同于有线局域网的安全性和管理能力,否则人们还是对使用无线局域网存在顾虑。
4.1 IEEE802. 11 b标准的安全性
IEEE 802.11b标准定义了两种方法实现无线局域网的接入控制和加密:系统ID(SSID)和有线对等加密(WEP)[7][8]。
4.1.1认证
当一个站点与另一个站点建立网络连接之前,必须首先通过认证。执行认证的站点发送一个管理认证帧到一个相应的站点。IEEE 802.11b标准详细定义了两种认证服务:一开放系统认证(Open System Authentication):是802.11b默认的认证方式。这种认证方式非常简单,分为两步:首先,想认证另一站点的站点发送一个含有发送站点身份的认证管理帧;然后,接收站发回一个提醒它是否识别认证站点身份的帧。一共享密钥认证(Shared Key Authentication ):这种认证先假定每个站点通过一个独立于802.11网络的安全信道,已经接收到一个秘密共享密钥,然后这些站点通过共享密钥的加密认证,加密算法是有线等价加密(WEP )。
4. 1 .2 WEP
IEEE 802.11b规定了一个可选择的加密称为有线对等加密,即WEP。WEP提供一种无线局域网数据流的安全方法。WEP是一种对称加密,加密和解密的密钥及算法相同。WEP的目标是:接入控制:防止未授权用户接入网络,他们没有正确的WEP密钥。
加密:通过加密和只允许有正确WEP密钥的用户解密来保护数据流。
IEEE 802.11b标准提供了两种用于无线局域网的WEP加密方案。第一种方案可提供四个缺省密钥以供所有的终端共享一包括一个子系统内的所有接入点和客户适配器。当用户得到缺省密钥以后,就可以与子系统内所有用户安全地通信。缺省密钥存在的问题是当它被广泛分配时可能会危及安全。第二种方案中是在每一个客户适配器建立一个与其它用户联系的密钥表。该方案比第一种方案更加安全,但随着终端数量的增加给每一个终端分配密钥很困难。
4.2 影响安全的因素[9][10]
4. 2. 1硬件设备
在现有的WLAN产品中,常用的加密方法是给用户静态分配一个密钥,该密钥或者存储在磁盘上或者存储在无线局域网客户适配器的存储器上。这样,拥有客户适配器就有了MAC地址和WEP密钥并可用它接入到接入点。如果多个用户共享一个客户适配器,这些用户有效地共享MAC地址和WEP密钥。
当一个客户适配器丢失或被窃的时候,合法用户没有MAC地址和WEP密钥不能接入,但非法用户可以。网络管理系统不可能检测到这种问题,因此用户必须立即通知网络管理员。接到通知后,网络管理员必须改变接入到MAC地址的安全表和WEP密钥,并给与丢失或被窃的客户适配器使用相同密钥的客户适配器重新编码静态加密密钥。客户端越多,重新编码WEP密钥的数量越大。
4.2.2虚假接入点
IEEE802. 1 1b共享密钥认证表采用单向认证,而不是互相认证。接入点鉴别用户,但用户不能鉴别接入点。如果一个虚假接入点放在无线局域网内,它可以通过劫持合法用户的客户适配器进行拒绝服务或攻击。
因此在用户和认证服务器之间进行相互认证是需要的,每一方在合理的时间内证明自己是合法的。因为用户和认证服务器是通过接入点进行通信的,接入点必须支持相互认证。相互认证使检测和隔离虚假接入点成为可能。
4.2.3其它安全问题
标准WEP支持对每一组加密但不支持对每一组认证。从响应和传送的数据包中一个黑客可以重建一个数据流,组成欺骗性数据包。减轻这种安全威胁的方法是经常更换WEP密钥。通过监测工EEE802. 11 b控制信道和数据信道,黑客可以得到如下信息:客户端和接入点MAC地址,内部主机MAC地址,上网时间。黑客可以利用这些信息研究提供给用户或设备的详细资料。为减少这种黑客活动,一个终端应该使用每一个时期的WEP密钥。
4.3 完整的安全解决方案
无线局域网完整的安全方案以IEEE802.11b比为基础,是一个标准的开放式的安全方案,它能为用户提供最强的安全保障,确保从控制中心进行有效的集中管理。它的核心部分是:
扩展认证协议(Extensible Authentication Protocol,EAP),是远程认证拨入用户服务(RADIUS)的扩展。可以使无线客户适配器与RADIUS服务器通信。
当无线局域网执行安全保密方案时,在一个BSS范围内的站点只有通过认证以后才能与接入点结合。当站点在网络登录对话框或类似的东西内输入用户名和密码时,客户端和RADIUS服务器(或其它认证服务器)进行双向认证,客户通过提供用户名和密码来认证。然后RADIUS服务器和用户服务器确定客户端在当前登录期内使用的WEP密钥。所有的敏感信息,如密码,都要加密使免于攻击。
这种方案认证的过程是:一个站点要与一个接入点连接。除非站点成功登录到网络,否则接入点将禁止站点使用网络资源。用户在网络登录对话框和类似的结构中输入用户名和密码。用IEEE802. lx协议,站点和RADIUS服务器在有线局域网上通过接入点进行双向认证。可以使用几个认证方法中的一个。
相互认证成功完成后,RADIUS服务器和用户确定一个WEP密钥来区分用户并提供给用户适当等级的网络接入。以此给每一个用户提供与有线交换几乎相同的安全性。用户加载这个密钥并在该登录期内使用。
RADIUS服务器发送给用户的WEP密钥,称为时期密钥。接入点用时期密钥加密它的广播密钥并把加密密钥发送给用户,用户用时期密钥来解密。用户和接入点激活WEP,在这时期剩余的时间内用时期密钥和广播密钥通信。
网络安全性指的是防止信息和资源的丢失、破坏和不适当的使用。无论有线络还是无线网络都必须防止物理上的损害、窃听、非法接入和各种内部(合法用户)的攻击。
无线网络传播数据所覆盖的区域可能会超出一个组织物理上控制的区域,这样就存在电子破坏(或干扰)的可能性。无线网络具有各种内在的安全机制,其代码清理和模式跳跃是随机的。在整个传输过程中,频率波段和调制不断变化,计时和解码采用不规则技术。
正是可选择的加密运算法则和IEEE 802.11的规定要求无线网络至少要和有线网络(不使用加密技术)一样安全。其中,认证提供接入控制,减少网络的非法使用,加密则可以减少破坏和窃听。目前,在基本的WEP安全机制之外,更多的安全机制正在出现和发展之中[12]。
5.无线局域网安全技术的发展趋势
目前无线局域网的发展势头十分强劲,但是起真正的应用前景还不是十分的明朗。主要表现在:一是真正的安全保障;二个是将来的技术发展方向;三是WLAN有什么比较好的应用模式;四是WLAN的终端除PCMCIA卡、PDA有没有其他更好的形式;五是WLAN的市场规模。看来无线局域网真正的腾飞并非一己之事[13]。
无线局域网同样需要与其他已经成熟的网络进行互动,达到互利互惠的目的。欧洲是GSM网的天下,而WLAN的崛起使得他们开始考虑WLAN和3G的互通,两者之间的优势互补性必将使得WLAN与广域网的融合迅速发展。现在国内中兴通讯己经实现了WLAN和CI}IVIA系统的互通,而对于使用中兴设备的WLAN与GSM/GPRS系统的互通也提出了解决方案,这条路必定越走越宽。
互通中的安全问题也必然首当其冲,IEEE的无线局域网工作组己经决定将EAP-SIIVI纳入无线局域网安全标准系列里面,并且与3G互通的认证标准EAP-AID也成为讨论的焦点。
无线网络的互通,现在是一个趋势。802.11工作组新成立了WIG(Wireless lnterworking Grouq),该工作组的目的在于使现存的符合ETSI,IEEE,MMAC所制订的标准的无线域网之间实现互通。另外3GPP也给出了无线局域网和3G互通的两个草案,定义了互通的基本需求,基本模型和基本框架。还有就是爱立信公司的一份文档给出了在现有的网络基础上,实现无线局域网和G1VIS/GPRS的互通。
不同类型无线局域网互通标准的制定,使得用户可以使用同一设备接入无线局域网。3G和无线局域网的互通者可以使用户在一个运营商那里注册,就可以在各地接入。当然,用户享用上述方便的同时,必然会使运营商或制造商获得利润,而利润的驱动,则是这个互通风潮的根本动力。为了达到互通的安全,有以下需求:支持传统的无线局域网设备,对用户端设备,比如客户端软件,影响要最小,对经营者管理和维护客户端SW的要求要尽量少,应该支持现存的UICC卡,不应该要求该卡有任何改动,敏感数据,比如存在UICC卡中的长期密钥不能传输。对于UICC卡的认证接口应该是基于该密钥的Challenge-, Response模式。用户对无线局域网接入的安全级别应该和3GPP接入一样,应该支持双向认证,所选的认证方案应该顾及到授权服务,应该支持无线局域网接入NW的密钥分配方法,无线局域网与3GPP互通所选择的认证机制至少要提供3 GPP系统认证的安全级别,无线局域网的重连接不应该危及3GPP系统重连接的安全,所选择的无线局域网认证机制应该支持会话密钥素材的协商,所选择的无线局域网密钥协商和密钥分配机制应该能防止中间人攻击。也就是说中间人不能得到会话密钥素材,无线局域网技术应当保证无线局域网UE和无线局域网AN的特定的认证后建立的连接可以使用生成的密钥素材来保证完整性。所有的用于用户和网络进行认证的长期的安全要素应该可以在一张UICC卡中存下[14]。
对于非漫游情况的互通时,这种情况是指当用户接入的热点地区是在3GPP的归属网络范围内。简单地说,就是用户在运营商那里注册,然后在该运营商的本地网络范围内的热点地区接入时的一种情况。无线局域网与3G网络安全单元功能如下:UE(用户设备)、3G-AAA(移动网络的认证、授权和计帐服务器)、HSS(归属业务服务器)、CG/CCF(支付网关/支付采集功能)、OCS(在线计帐系统)。
对于漫游的互通情况时,3G网络是个全域性网络借助3G网络的全域性也可以实现无线局域网的漫游。在漫游情况下,一种常用的方法是将归属网络和访问网络分开,归属网络AAA服务作为认证的找到用户所注册的归属网络。
在无线局域网与3G互通中有如下认证要求:该认证流程从用户设备到无线局域网连接开始。使用EAP方法,顺次封装基于USIM的用户ID,AKA-Challenge消息。具体的认证在用户设备和3GPAAA服务器之间展开。走的是AKA过程,有一点不同在于在认证服务器要检查用户是否有接入无线局域网的权限。
上述互通方案要求客户端有能够接入无线局域网的网卡,同时还要实现USIM或者SIM的功能。服务网络要求修改用户权限表,增加对于无线局域网的接入权限的判断。
无线局域网的崛起使得人们开始考虑无线局域网和3G的互通,两者之间的优势互补性必将使得无线局域网与广域网的融合迅速发展。现在国内中兴通讯已经实现了无线局域网和CDMA系统的互通,而对于使用中兴设备的无线局域网与GSM/GPRS系统的互通也提出了解决方案,这条路必定越走越宽。
参考文献
[1] 郭峰,曾兴雯,刘乃安,《无线局域网》,电子工业出版杜,1997
[2] 冯锡生,朱荣,《无线数据通信》1997
[3] 你震亚,《现代计算机网络教程》,电子工业出版社,1999
[4] 刘元安,《宽带无线接入和无线局域网》,北京邮电大学出版社,2000
[5] 吴伟陵,《移动通信中的关键技术》,北京邮电大学出版社,2000
[6] 张公忠,陈锦章,《当代组网技术》,清华大学出版社,2000
[7] 牛伟,郭世泽,吴志军等,《无线局域网》,人民邮电出版社,2003
[8] Jeffrey Wheat,《无线网络设计》,莫蓉蓉等译,机械工业出版社,2002
[9] Gil Held,《构建无线局域网》,沈金龙等泽,人民邮电出版社,2002
[10] Christian Barnes等,《无线网络安全防护》,林生等译,机械工业出版社.2003
[11] Juha Heiskala等,《OFDM无线局域网》,畅晓春等译,电子工业出版社,2003
[12] Eric Ouellet等,《构建Cisco无线局域网》,张颖译,科学出版社,2003
[13] Mark Ciampa,《无线周域网设计一与实现》,王顺满译,科学出版社.2003
[14] 张振川,《无线局域网技术与协议》,东北大学出版社.2003