公務(wù)員期刊網(wǎng) 精選范文 無線局域網(wǎng)技術(shù)范文

無線局域網(wǎng)技術(shù)精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的無線局域網(wǎng)技術(shù)主題范文,僅供參考,歡迎閱讀并收藏。

無線局域網(wǎng)技術(shù)

第1篇:無線局域網(wǎng)技術(shù)范文

關(guān)鍵詞:無線局域網(wǎng);標準;安全;趨勢

前言無線局域網(wǎng)本質(zhì)上是一種網(wǎng)絡(luò)互連技術(shù)。無線局域網(wǎng)使用無線電波代替雙絞線、同軸電纜等設(shè)備,省去了布線的麻煩,組網(wǎng)靈活。無線局域網(wǎng)(WLAN)是計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。它既可滿足各類便攜機的入網(wǎng)要求,也可實現(xiàn)計算機局域網(wǎng)遠端接入、圖文傳真、電子郵件等功能。無線局域網(wǎng)技術(shù)作為一種網(wǎng)絡(luò)接入手段,能迅速地應(yīng)用于需要在移動中聯(lián)網(wǎng)和在網(wǎng)間漫游的場合,并在不易架設(shè)有線的地力和遠沖離的數(shù)據(jù)處理節(jié)點提供強大的網(wǎng)絡(luò)支持。因此,WLAN已在軍隊、石化、醫(yī)護管理、工廠車間、庫存控制、展覽和會議、金融服務(wù)、旅游服務(wù)、移動辦公系統(tǒng)等行業(yè)中得到了應(yīng)用,受到了廣泛的青睞,已成為無線通信與Internet技術(shù)相結(jié)合的新興發(fā)展力向之一。WLAN的最大優(yōu)點就是實現(xiàn)了網(wǎng)絡(luò)互連的可移動性,它能大幅提高用戶訪問信息的及時性和有效性,還可以克服線纜限制引起的不便性。但由于無線局域網(wǎng)應(yīng)用具有很大的開放性,數(shù)據(jù)傳播范圍很難控制,因此無線局域網(wǎng)將面臨著更嚴峻的安全問題。

1.無線局域網(wǎng)安全發(fā)展概況

無線局域網(wǎng)802.11b公布之后,迅速成為事實標準。遺憾的是,從它的誕生開始,其安全協(xié)議WEP就受到人們的質(zhì)疑。美國加州大學(xué)伯克利分校的Borisov,Goldberg和Wagner最早指出了WEP協(xié)議中存在的設(shè)計失誤,接下來信息安全研究人員發(fā)表了大量論文詳細討論了WEP協(xié)議中的安全缺陷,并與工程技術(shù)人員協(xié)作,在實驗中破譯了經(jīng)WEP協(xié)議加密的無線傳輸數(shù)據(jù)?,F(xiàn)在,能夠截獲無線傳輸數(shù)據(jù)的硬件設(shè)備己經(jīng)能夠在市場上買到,能夠?qū)λ孬@數(shù)據(jù)進行解密的黑客軟件也已經(jīng)能夠在因特網(wǎng)上下載。WEP不安全己經(jīng)成一個廣為人知的事情,人們期待WEP在安全性方面有質(zhì)的變化,新的增強的無線局域網(wǎng)安全標準應(yīng)運而生[1]。

我國從2001年開始著手制定無線局域網(wǎng)安全標準,經(jīng)過西安電子科技大學(xué)、西安郵電學(xué)院、西電捷通無線網(wǎng)絡(luò)通信有限公司等院校和企業(yè)的聯(lián)合攻關(guān),歷時兩年多制定了無線認證和保密基礎(chǔ)設(shè)施WAPI,并成為國家標準,于2003年12月執(zhí)行。WAPI使用公鑰技術(shù),在可信第三方存在的條件下,由其驗證移動終端和接入點是否持有合法的證書,以期完成雙向認證、接入控制、會話密鑰生成等目標,達到安全通信的目的。WAPI在基本結(jié)構(gòu)上由移動終端、接入點和認證服務(wù)單元三部分組成,類似于802.11工作組制定的安全草案中的基本認證結(jié)構(gòu)。同時我國的密碼算法一般是不公開的,WAPI標準雖然是公開的,然而對其安全性的討論在學(xué)術(shù)界和工程界目前還沒有展開[2]。

增強的安全草案也是歷經(jīng)兩年多時間定下了基本的安全框架。其間每個月至少召開一次會議,會議的文檔可以從互聯(lián)網(wǎng)上下載,從中可以看到一些有趣的現(xiàn)象,例如AES-OCB算法,開始工作組決定使用該算法作為無線局域網(wǎng)未來的安全算法,一年后提議另外一種算法CCMP作為候選,AES-OSB作為缺省,半年后又提議CCMP作為缺省,AES-OCB作為候選,又過了幾個月,干脆把AES-OCB算法完全刪除,只使用CCMP算法作為缺省的未來無線局域網(wǎng)的算法。其它的例子還有很多。從這樣的發(fā)展過程中,我們能夠更加清楚地認識到無線局域網(wǎng)安全標準的方方面面,有利于無線局域網(wǎng)安全的研究[3][4]。

2.無線局域網(wǎng)的安全必要性

WLAN在為用戶帶來巨大便利的同時,也存在著許多安全上的問題。由于WLAN通過無線電波在空中傳輸數(shù)據(jù),不能采用類似有線網(wǎng)絡(luò)那樣的通過保護通信線路的方式來保護通信安全,所以在數(shù)據(jù)發(fā)射機覆蓋區(qū)域內(nèi)的幾乎任何一個WLAN用戶都能接觸到這些數(shù)據(jù),要將WLAN發(fā)射的數(shù)據(jù)僅僅傳送給一名目標接收者是不可能的。而防火墻對通過無線電波進行的網(wǎng)絡(luò)通訊起不了作用,任何人在視距范圍之內(nèi)都可以截獲和插入數(shù)據(jù)。因此,雖然無線網(wǎng)絡(luò)和WLAN的應(yīng)用擴展了網(wǎng)絡(luò)用戶的自由,它安裝時間短,增加用戶或更改網(wǎng)絡(luò)結(jié)構(gòu)時靈活、經(jīng)濟,可提供無線覆蓋范圍內(nèi)的全功能漫游服務(wù)。然而,這種自由也同時帶來了新的挑戰(zhàn),這些挑戰(zhàn)其中就包括安全性。WLAN必須考慮的安全要素有三個:信息保密、身份驗證和訪問控制。如果這三個要素都沒有問題了,就不僅能保護傳輸中的信息免受危害,還能保護網(wǎng)絡(luò)和移動設(shè)備免受危害。難就難在如何使用一個簡單易用的解決方案,同時獲得這三個安全要素。國外一些最新的技術(shù)研究報告指出,針對目前應(yīng)用最廣泛的802.11bWLAN標準的攻擊和竊聽事件正越來越頻繁[5],故對WLAN安全性研究,特別是廣泛使用的IEEE802.11WLAN的安全性研究,發(fā)現(xiàn)其可能存在的安全缺陷,研究相應(yīng)的改進措施,提出新的改進方案,對WLAN技術(shù)的使用、研究和發(fā)展都有著深遠的影響。

同有線網(wǎng)絡(luò)相比,無線局域網(wǎng)無線傳輸?shù)奶烊惶匦允沟闷湮锢戆踩嗳醯枚?,所以首先要加強這一方面的安全性。

無線局域網(wǎng)中的設(shè)備在實際通信時是逐跳的方式,要么是用戶設(shè)備發(fā)數(shù)據(jù)給接入設(shè)備,飯由接入設(shè)備轉(zhuǎn)發(fā),要么是兩臺用戶設(shè)備直接通信,每一種通信方式都可以用鏈路層加密的方法來實現(xiàn)至少與有線連接同等的安全性。無線信號可能被偵聽,但是,如果把無線信號承載的數(shù)據(jù)變成密文,并且,如果加密強度夠高的話,偵聽者獲得有用數(shù)據(jù)的可能性很小。另外,無線信號可能被修改或者偽造,但是,如果對無線信號承載的數(shù)據(jù)增加一部分由該數(shù)據(jù)和用戶掌握的某種秘密生成的冗余數(shù)據(jù),以使得接收方可以檢測到數(shù)據(jù)是杏被更改,那么,對于無線信號的更改將會徒勞無功。而秘密的獨有性也將使得偽造數(shù)據(jù)被誤認為是合法數(shù)據(jù)的可能性極小。

這樣,通過數(shù)據(jù)加密和數(shù)據(jù)完整性校驗就可以為無線局域網(wǎng)提供一個類似有線網(wǎng)的物理安全的保護。對于無線局域網(wǎng)中的主機,面臨病毒威脅時,可以用最先進的防毒措施和最新的殺毒工具來給系統(tǒng)增加安全外殼,比如安裝硬件形式的病毒卡預(yù)防病毒,或者安裝軟件用來時實檢測系統(tǒng)異常。PC機和筆記本電腦等設(shè)備己經(jīng)和病毒進行了若千年的對抗,接下來的無線設(shè)備如何與病毒對抗還是一個待開發(fā)領(lǐng)域。

對于DOS攻擊或者DDOS攻擊,可以增加一個網(wǎng)關(guān),使用數(shù)據(jù)包過濾或其它路由設(shè)置,將惡意數(shù)據(jù)攔截在網(wǎng)絡(luò)外部;通過對外部網(wǎng)絡(luò)隱藏接入設(shè)備的IP地址,可以減小風(fēng)險。對于內(nèi)部的惡意用戶,則要通過審計分析,網(wǎng)絡(luò)安全檢測等手段找出惡意用戶,并輔以其它管理手段來杜絕來自內(nèi)部的攻擊。硬件丟失的威脅要求必須能通過某種秘密或者生物特征等方式來綁定硬件設(shè)備和用戶,并且對于用戶的認證也必須基于用戶的身份而不是硬件來完成。例如,用MAC地址來認證用戶是不適當?shù)腫5]。

除了以上的可能需求之外,根據(jù)不同的使用者,還會有不同的安全需求,對于安全性要求很高的用戶,可能對于傳輸?shù)臄?shù)據(jù)要求有不可抵賴性,對于進出無線局域網(wǎng)的數(shù)據(jù)要求有防泄密措施,要求無線局域網(wǎng)癱瘓后能夠迅速恢復(fù)等等。所以,無線局域網(wǎng)的安全系統(tǒng)不可能提供所有的安全保證,只能結(jié)合用戶的具體需求,結(jié)合其它的安全系統(tǒng)來一起提供安全服務(wù),構(gòu)建安全的網(wǎng)絡(luò)。

當考慮與其它安全系統(tǒng)的合作時,無線局域網(wǎng)的安全將限于提供數(shù)據(jù)的機密,數(shù)據(jù)的完整,提供身份識別框架和接入控制框架,完成用戶的認證授權(quán),信息的傳輸安全等安全業(yè)務(wù)。對于防病毒,防泄密,數(shù)據(jù)傳輸?shù)牟豢傻仲?,降低DoS攻擊的風(fēng)險等都將在具體的網(wǎng)絡(luò)配置中與其它安全系統(tǒng)合作來實現(xiàn)。

3.無線局域網(wǎng)安全風(fēng)險

安全風(fēng)險是指無線局域網(wǎng)中的資源面臨的威脅。無線局域網(wǎng)的資源,包括了在無線信道上傳輸?shù)臄?shù)據(jù)和無線局域網(wǎng)中的主機。

3.1無線信道上傳輸?shù)臄?shù)據(jù)所面臨的威脅

由于無線電波可以繞過障礙物向外傳播,因此,無線局域網(wǎng)中的信號是可以在一定覆蓋范圍內(nèi)接聽到而不被察覺的。這如用收音機收聽廣播的情況一樣,人們在電臺發(fā)射塔的覆蓋范圍內(nèi)總可以用收音機收聽廣播,如果收音機的靈敏度高一些,就可以收聽到遠一些的發(fā)射臺發(fā)出的信號。當然,無線局域網(wǎng)的無線信號的接收并不像收音機那么簡單,但只要有相應(yīng)的設(shè)備,總是可以接收到無線局域網(wǎng)的信號,并可以按照信號的封裝格式打開數(shù)據(jù)包,讀取數(shù)據(jù)的內(nèi)容[6]。

另外,只要按照無線局域網(wǎng)規(guī)定的格式封裝數(shù)據(jù)包,把數(shù)據(jù)放到網(wǎng)絡(luò)上發(fā)送時也可以被其它的設(shè)備讀取,并且,如果使用一些信號截獲技術(shù),還可以把某個數(shù)據(jù)包攔截、修改,然后重新發(fā)送,而數(shù)據(jù)包的接收者并不能察覺。

因此,無線信道上傳輸?shù)臄?shù)據(jù)可能會被偵聽、修改、偽造,對無線網(wǎng)絡(luò)的正常通信產(chǎn)生了極大的干擾,并有可能造成經(jīng)濟損失。

3.2無線局域網(wǎng)中主機面臨的威脅

無線局域網(wǎng)是用無線技術(shù)把多臺主機聯(lián)系在一起構(gòu)成的網(wǎng)絡(luò)。對于主機的攻擊可能會以病毒的形式出現(xiàn),除了目前有線網(wǎng)絡(luò)上流行的病毒之外,還可能會出現(xiàn)專門針對無線局域網(wǎng)移動設(shè)備,比如手機或者PDA的無線病毒。當無線局域網(wǎng)與無線廣域網(wǎng)或者有線的國際互聯(lián)網(wǎng)連接之后,無線病毒的威脅可能會加劇。

對于無線局域網(wǎng)中的接入設(shè)備,可能會遭受來自外部網(wǎng)或者內(nèi)部網(wǎng)的拒絕服務(wù)攻擊。當無線局域網(wǎng)和外部網(wǎng)接通后,如果把IP地址直接暴露給外部網(wǎng),那么針對該IP的Dog或者DDoS會使得接入設(shè)備無法完成正常服務(wù),造成網(wǎng)絡(luò)癱瘓。當某個惡意用戶接入網(wǎng)絡(luò)后,通過持續(xù)的發(fā)送垃圾數(shù)據(jù)或者利用IP層協(xié)議的一些漏洞會造成接入設(shè)備工作緩慢或者因資源耗盡而崩潰,造成系統(tǒng)混亂。無線局域網(wǎng)中的用戶設(shè)備具有一定的可移動性和通常比較高的價值,這造成的一個負面影響是用戶設(shè)備容易丟失。硬件設(shè)備的丟失會使得基于硬件的身份識別失效,同時硬件設(shè)備中的所有數(shù)據(jù)都可能會泄漏。

這樣,無線局域網(wǎng)中主機的操作系統(tǒng)面臨著病毒的挑戰(zhàn),接入設(shè)備面臨著拒絕服務(wù)攻擊的威脅,用戶設(shè)備則要考慮丟失的后果。

4.無線局域網(wǎng)安全性

無線局域網(wǎng)與有線局域網(wǎng)緊密地結(jié)合在一起,并且己經(jīng)成為市場的主流產(chǎn)品。在無線局域網(wǎng)上,數(shù)據(jù)傳輸是通過無線電波在空中廣播的,因此在發(fā)射機覆蓋范圍內(nèi)數(shù)據(jù)可以被任何無線局域網(wǎng)終端接收。安裝一套無線局域網(wǎng)就好象在任何地方都放置了以太網(wǎng)接口。因此,無線局域網(wǎng)的用戶主要關(guān)心的是網(wǎng)絡(luò)的安全性,主要包括接入控制和加密兩個方面。除非無線局域網(wǎng)能夠提供等同于有線局域網(wǎng)的安全性和管理能力,否則人們還是對使用無線局域網(wǎng)存在顧慮。

4.1IEEE802.11b標準的安全性

IEEE802.11b標準定義了兩種方法實現(xiàn)無線局域網(wǎng)的接入控制和加密:系統(tǒng)ID(SSID)和有線對等加密(WEP)[7][8]。

4.1.1認證

當一個站點與另一個站點建立網(wǎng)絡(luò)連接之前,必須首先通過認證。執(zhí)行認證的站點發(fā)送一個管理認證幀到一個相應(yīng)的站點。IEEE802.11b標準詳細定義了兩種認證服務(wù):一開放系統(tǒng)認證(OpenSystemAuthentication):是802.11b默認的認證方式。這種認證方式非常簡單,分為兩步:首先,想認證另一站點的站點發(fā)送一個含有發(fā)送站點身份的認證管理幀;然后,接收站發(fā)回一個提醒它是否識別認證站點身份的幀。一共享密鑰認證(SharedKeyAuthentication):這種認證先假定每個站點通過一個獨立于802.11網(wǎng)絡(luò)的安全信道,已經(jīng)接收到一個秘密共享密鑰,然后這些站點通過共享密鑰的加密認證,加密算法是有線等價加密(WEP)。

4.1.2WEP

IEEE802.11b規(guī)定了一個可選擇的加密稱為有線對等加密,即WEP。WEP提供一種無線局域網(wǎng)數(shù)據(jù)流的安全方法。WEP是一種對稱加密,加密和解密的密鑰及算法相同。WEP的目標是:接入控制:防止未授權(quán)用戶接入網(wǎng)絡(luò),他們沒有正確的WEP密鑰。

加密:通過加密和只允許有正確WEP密鑰的用戶解密來保護數(shù)據(jù)流。

IEEE802.11b標準提供了兩種用于無線局域網(wǎng)的WEP加密方案。第一種方案可提供四個缺省密鑰以供所有的終端共享一包括一個子系統(tǒng)內(nèi)的所有接入點和客戶適配器。當用戶得到缺省密鑰以后,就可以與子系統(tǒng)內(nèi)所有用戶安全地通信。缺省密鑰存在的問題是當它被廣泛分配時可能會危及安全。第二種方案中是在每一個客戶適配器建立一個與其它用戶聯(lián)系的密鑰表。該方案比第一種方案更加安全,但隨著終端數(shù)量的增加給每一個終端分配密鑰很困難。

4.2影響安全的因素[9][10]

4.2.1硬件設(shè)備

在現(xiàn)有的WLAN產(chǎn)品中,常用的加密方法是給用戶靜態(tài)分配一個密鑰,該密鑰或者存儲在磁盤上或者存儲在無線局域網(wǎng)客戶適配器的存儲器上。這樣,擁有客戶適配器就有了MAC地址和WEP密鑰并可用它接入到接入點。如果多個用戶共享一個客戶適配器,這些用戶有效地共享MAC地址和WEP密鑰。

當一個客戶適配器丟失或被竊的時候,合法用戶沒有MAC地址和WEP密鑰不能接入,但非法用戶可以。網(wǎng)絡(luò)管理系統(tǒng)不可能檢測到這種問題,因此用戶必須立即通知網(wǎng)絡(luò)管理員。接到通知后,網(wǎng)絡(luò)管理員必須改變接入到MAC地址的安全表和WEP密鑰,并給與丟失或被竊的客戶適配器使用相同密鑰的客戶適配器重新編碼靜態(tài)加密密鑰??蛻舳嗽蕉?,重新編碼WEP密鑰的數(shù)量越大。

4.2.2虛假接入點

IEEE802.11b共享密鑰認證表采用單向認證,而不是互相認證。接入點鑒別用戶,但用戶不能鑒別接入點。如果一個虛假接入點放在無線局域網(wǎng)內(nèi),它可以通過劫持合法用戶的客戶適配器進行拒絕服務(wù)或攻擊。

因此在用戶和認證服務(wù)器之間進行相互認證是需要的,每一方在合理的時間內(nèi)證明自己是合法的。因為用戶和認證服務(wù)器是通過接入點進行通信的,接入點必須支持相互認證。相互認證使檢測和隔離虛假接入點成為可能。

4.2.3其它安全問題

標準WEP支持對每一組加密但不支持對每一組認證。從響應(yīng)和傳送的數(shù)據(jù)包中一個黑客可以重建一個數(shù)據(jù)流,組成欺騙性數(shù)據(jù)包。減輕這種安全威脅的方法是經(jīng)常更換WEP密鑰。通過監(jiān)測工EEE802.11b控制信道和數(shù)據(jù)信道,黑客可以得到如下信息:客戶端和接入點MAC地址,內(nèi)部主機MAC地址,上網(wǎng)時間。黑客可以利用這些信息研究提供給用戶或設(shè)備的詳細資料。為減少這種黑客活動,一個終端應(yīng)該使用每一個時期的WEP密鑰。

4.3完整的安全解決方案

無線局域網(wǎng)完整的安全方案以IEEE802.11b比為基礎(chǔ),是一個標準的開放式的安全方案,它能為用戶提供最強的安全保障,確保從控制中心進行有效的集中管理。它的核心部分是:

擴展認證協(xié)議(ExtensibleAuthenticationProtocol,EAP),是遠程認證撥入用戶服務(wù)(RADIUS)的擴展??梢允篃o線客戶適配器與RADIUS服務(wù)器通信。

當無線局域網(wǎng)執(zhí)行安全保密方案時,在一個BSS范圍內(nèi)的站點只有通過認證以后才能與接入點結(jié)合。當站點在網(wǎng)絡(luò)登錄對話框或類似的東西內(nèi)輸入用戶名和密碼時,客戶端和RADIUS服務(wù)器(或其它認證服務(wù)器)進行雙向認證,客戶通過提供用戶名和密碼來認證。然后RADIUS服務(wù)器和用戶服務(wù)器確定客戶端在當前登錄期內(nèi)使用的WEP密鑰。所有的敏感信息,如密碼,都要加密使免于攻擊。

這種方案認證的過程是:一個站點要與一個接入點連接。除非站點成功登錄到網(wǎng)絡(luò),否則接入點將禁止站點使用網(wǎng)絡(luò)資源。用戶在網(wǎng)絡(luò)登錄對話框和類似的結(jié)構(gòu)中輸入用戶名和密碼。用IEEE802.lx協(xié)議,站點和RADIUS服務(wù)器在有線局域網(wǎng)上通過接入點進行雙向認證??梢允褂脦讉€認證方法中的一個。

相互認證成功完成后,RADIUS服務(wù)器和用戶確定一個WEP密鑰來區(qū)分用戶并提供給用戶適當?shù)燃壍木W(wǎng)絡(luò)接入。以此給每一個用戶提供與有線交換幾乎相同的安全性。用戶加載這個密鑰并在該登錄期內(nèi)使用。

RADIUS服務(wù)器發(fā)送給用戶的WEP密鑰,稱為時期密鑰。接入點用時期密鑰加密它的廣播密鑰并把加密密鑰發(fā)送給用戶,用戶用時期密鑰來解密。用戶和接入點激活WEP,在這時期剩余的時間內(nèi)用時期密鑰和廣播密鑰通信。

網(wǎng)絡(luò)安全性指的是防止信息和資源的丟失、破壞和不適當?shù)氖褂谩o論有線絡(luò)還是無線網(wǎng)絡(luò)都必須防止物理上的損害、竊聽、非法接入和各種內(nèi)部(合法用戶)的攻擊。

無線網(wǎng)絡(luò)傳播數(shù)據(jù)所覆蓋的區(qū)域可能會超出一個組織物理上控制的區(qū)域,這樣就存在電子破壞(或干擾)的可能性。無線網(wǎng)絡(luò)具有各種內(nèi)在的安全機制,其代碼清理和模式跳躍是隨機的。在整個傳輸過程中,頻率波段和調(diào)制不斷變化,計時和解碼采用不規(guī)則技術(shù)。

正是可選擇的加密運算法則和IEEE802.11的規(guī)定要求無線網(wǎng)絡(luò)至少要和有線網(wǎng)絡(luò)(不使用加密技術(shù))一樣安全。其中,認證提供接入控制,減少網(wǎng)絡(luò)的非法使用,加密則可以減少破壞和竊聽。目前,在基本的WEP安全機制之外,更多的安全機制正在出現(xiàn)和發(fā)展之中[12]。

5.無線局域網(wǎng)安全技術(shù)的發(fā)展趨勢

目前無線局域網(wǎng)的發(fā)展勢頭十分強勁,但是起真正的應(yīng)用前景還不是十分的明朗。主要表現(xiàn)在:一是真正的安全保障;二個是將來的技術(shù)發(fā)展方向;三是WLAN有什么比較好的應(yīng)用模式;四是WLAN的終端除PCMCIA卡、PDA有沒有其他更好的形式;五是WLAN的市場規(guī)模??磥頍o線局域網(wǎng)真正的騰飛并非一己之事[13]。

無線局域網(wǎng)同樣需要與其他已經(jīng)成熟的網(wǎng)絡(luò)進行互動,達到互利互惠的目的。歐洲是GSM網(wǎng)的天下,而WLAN的崛起使得他們開始考慮WLAN和3G的互通,兩者之間的優(yōu)勢互補性必將使得WLAN與廣域網(wǎng)的融合迅速發(fā)展?,F(xiàn)在國內(nèi)中興通訊己經(jīng)實現(xiàn)了WLAN和CI}IVIA系統(tǒng)的互通,而對于使用中興設(shè)備的WLAN與GSM/GPRS系統(tǒng)的互通也提出了解決方案,這條路必定越走越寬。

互通中的安全問題也必然首當其沖,IEEE的無線局域網(wǎng)工作組己經(jīng)決定將EAP-SIIVI納入無線局域網(wǎng)安全標準系列里面,并且與3G互通的認證標準EAP-AID也成為討論的焦點。

無線網(wǎng)絡(luò)的互通,現(xiàn)在是一個趨勢。802.11工作組新成立了WIG(WirelesslnterworkingGrouq),該工作組的目的在于使現(xiàn)存的符合ETSI,IEEE,MMAC所制訂的標準的無線域網(wǎng)之間實現(xiàn)互通。另外3GPP也給出了無線局域網(wǎng)和3G互通的兩個草案,定義了互通的基本需求,基本模型和基本框架。還有就是愛立信公司的一份文檔給出了在現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)上,實現(xiàn)無線局域網(wǎng)和G1VIS/GPRS的互通。

不同類型無線局域網(wǎng)互通標準的制定,使得用戶可以使用同一設(shè)備接入無線局域網(wǎng)。3G和無線局域網(wǎng)的互通者可以使用戶在一個運營商那里注冊,就可以在各地接入。當然,用戶享用上述方便的同時,必然會使運營商或制造商獲得利潤,而利潤的驅(qū)動,則是這個互通風(fēng)潮的根本動力。為了達到互通的安全,有以下需求:支持傳統(tǒng)的無線局域網(wǎng)設(shè)備,對用戶端設(shè)備,比如客戶端軟件,影響要最小,對經(jīng)營者管理和維護客戶端SW的要求要盡量少,應(yīng)該支持現(xiàn)存的UICC卡,不應(yīng)該要求該卡有任何改動,敏感數(shù)據(jù),比如存在UICC卡中的長期密鑰不能傳輸。對于UICC卡的認證接口應(yīng)該是基于該密鑰的Challenge-,Response模式。用戶對無線局域網(wǎng)接入的安全級別應(yīng)該和3GPP接入一樣,應(yīng)該支持雙向認證,所選的認證方案應(yīng)該顧及到授權(quán)服務(wù),應(yīng)該支持無線局域網(wǎng)接入NW的密鑰分配方法,無線局域網(wǎng)與3GPP互通所選擇的認證機制至少要提供3GPP系統(tǒng)認證的安全級別,無線局域網(wǎng)的重連接不應(yīng)該危及3GPP系統(tǒng)重連接的安全,所選擇的無線局域網(wǎng)認證機制應(yīng)該支持會話密鑰素材的協(xié)商,所選擇的無線局域網(wǎng)密鑰協(xié)商和密鑰分配機制應(yīng)該能防止中間人攻擊。也就是說中間人不能得到會話密鑰素材,無線局域網(wǎng)技術(shù)應(yīng)當保證無線局域網(wǎng)UE和無線局域網(wǎng)AN的特定的認證后建立的連接可以使用生成的密鑰素材來保證完整性。所有的用于用戶和網(wǎng)絡(luò)進行認證的長期的安全要素應(yīng)該可以在一張UICC卡中存下[14]。

對于非漫游情況的互通時,這種情況是指當用戶接入的熱點地區(qū)是在3GPP的歸屬網(wǎng)絡(luò)范圍內(nèi)。簡單地說,就是用戶在運營商那里注冊,然后在該運營商的本地網(wǎng)絡(luò)范圍內(nèi)的熱點地區(qū)接入時的一種情況。無線局域網(wǎng)與3G網(wǎng)絡(luò)安全單元功能如下:UE(用戶設(shè)備)、3G-AAA(移動網(wǎng)絡(luò)的認證、授權(quán)和計帳服務(wù)器)、HSS(歸屬業(yè)務(wù)服務(wù)器)、CG/CCF(支付網(wǎng)關(guān)/支付采集功能)、OCS(在線計帳系統(tǒng))。

對于漫游的互通情況時,3G網(wǎng)絡(luò)是個全域性網(wǎng)絡(luò)借助3G網(wǎng)絡(luò)的全域性也可以實現(xiàn)無線局域網(wǎng)的漫游。在漫游情況下,一種常用的方法是將歸屬網(wǎng)絡(luò)和訪問網(wǎng)絡(luò)分開,歸屬網(wǎng)絡(luò)AAA服務(wù)作為認證的找到用戶所注冊的歸屬網(wǎng)絡(luò)。

在無線局域網(wǎng)與3G互通中有如下認證要求:該認證流程從用戶設(shè)備到無線局域網(wǎng)連接開始。使用EAP方法,順次封裝基于USIM的用戶ID,AKA-Challenge消息。具體的認證在用戶設(shè)備和3GPAAA服務(wù)器之間展開。走的是AKA過程,有一點不同在于在認證服務(wù)器要檢查用戶是否有接入無線局域網(wǎng)的權(quán)限。

上述互通方案要求客戶端有能夠接入無線局域網(wǎng)的網(wǎng)卡,同時還要實現(xiàn)USIM或者SIM的功能。服務(wù)網(wǎng)絡(luò)要求修改用戶權(quán)限表,增加對于無線局域網(wǎng)的接入權(quán)限的判斷。

無線局域網(wǎng)的崛起使得人們開始考慮無線局域網(wǎng)和3G的互通,兩者之間的優(yōu)勢互補性必將使得無線局域網(wǎng)與廣域網(wǎng)的融合迅速發(fā)展?,F(xiàn)在國內(nèi)中興通訊已經(jīng)實現(xiàn)了無線局域網(wǎng)和CDMA系統(tǒng)的互通,而對于使用中興設(shè)備的無線局域網(wǎng)與GSM/GPRS系統(tǒng)的互通也提出了解決方案,這條路必定越走越寬。

參考文獻:

[1]郭峰,曾興雯,劉乃安,《無線局域網(wǎng)》,電子工業(yè)出版杜,1997

[2]馮錫生,朱榮,《無線數(shù)據(jù)通信》1997

[3]你震亞,《現(xiàn)代計算機網(wǎng)絡(luò)教程》,電子工業(yè)出版社,1999

[4]劉元安,《寬帶無線接入和無線局域網(wǎng)》,北京郵電大學(xué)出版社,2000

[5]吳偉陵,《移動通信中的關(guān)鍵技術(shù)》,北京郵電大學(xué)出版社,2000

[6]張公忠,陳錦章,《當代組網(wǎng)技術(shù)》,清華大學(xué)出版社,2000

[7]牛偉,郭世澤,吳志軍等,《無線局域網(wǎng)》,人民郵電出版社,2003

[8]JeffreyWheat,《無線網(wǎng)絡(luò)設(shè)計》,莫蓉蓉等譯,機械工業(yè)出版社,2002

[9]GilHeld,《構(gòu)建無線局域網(wǎng)》,沈金龍等澤,人民郵電出版社,2002

[10]ChristianBarnes等,《無線網(wǎng)絡(luò)安全防護》,林生等譯,機械工業(yè)出版社.2003

[11]JuhaHeiskala等,《OFDM無線局域網(wǎng)》,暢曉春等譯,電子工業(yè)出版社,2003

[12]EricOuellet等,《構(gòu)建Cisco無線局域網(wǎng)》,張穎譯,科學(xué)出版社,2003

[13]MarkCiampa,《無線周域網(wǎng)設(shè)計一與實現(xiàn)》,王順滿譯,科學(xué)出版社.2003

第2篇:無線局域網(wǎng)技術(shù)范文

關(guān)鍵詞:無線局域網(wǎng);標準;安全;趨勢

前言 無線局域網(wǎng)本質(zhì)上是一種網(wǎng)絡(luò)互連技術(shù)。無線局域網(wǎng)使用無線電波代替雙絞線、同軸電纜等設(shè)備,省去了布線的麻煩,組網(wǎng)靈活。無線局域網(wǎng)(WLAN)是計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。它既可滿足各類便攜機的入網(wǎng)要求,也可實現(xiàn)計算機局域網(wǎng)遠端接入、圖文傳真、電子郵件等功能。無線局域網(wǎng)技術(shù)作為一種網(wǎng)絡(luò)接入手段,能迅速地應(yīng)用于需要在移動中聯(lián)網(wǎng)和在網(wǎng)間漫游的場合,并在不易架設(shè)有線的地力和遠沖離的數(shù)據(jù)處理節(jié)點提供強大的網(wǎng)絡(luò)支持。因此,WLAN已在軍隊、石化、醫(yī)護管理、工廠車間、庫存控制、展覽和會議、金融服務(wù)、旅游服務(wù)、移動辦公系統(tǒng)等行業(yè)中得到了應(yīng)用,受到了廣泛的青睞,已成為無線通信與Internet技術(shù)相結(jié)合的新興發(fā)展力向之一。WLAN的最大優(yōu)點就是實現(xiàn)了網(wǎng)絡(luò)互連的可移動性,它能大幅提高用戶訪問信息的及時性和有效性,還可以克服線纜限制引起的不便性。但由于無線局域網(wǎng)應(yīng)用具有很大的開放性,數(shù)據(jù)傳播范圍很難控制,因此無線局域網(wǎng)將面臨著更嚴峻的安全問題。

1. 無線局域網(wǎng)安全發(fā)展概況

無線局域網(wǎng)802.11b公布之后,迅速成為事實標準。遺憾的是,從它的誕生開始,其安全協(xié)議WEP就受到人們的質(zhì)疑。美國加州大學(xué)伯克利分校的Borisov,Goldberg和Wagner最早指出了WEP協(xié)議中存在的設(shè)計失誤,接下來信息安全研究人員發(fā)表了大量論文詳細討論了WEP協(xié)議中的安全缺陷,并與工程技術(shù)人員協(xié)作,在實驗中破譯了經(jīng)WEP協(xié)議加密的無線傳輸數(shù)據(jù)。現(xiàn)在,能夠截獲無線傳輸數(shù)據(jù)的硬件設(shè)備己經(jīng)能夠在市場上買到,能夠?qū)λ孬@數(shù)據(jù)進行解密的黑客軟件也已經(jīng)能夠在因特網(wǎng)上下載。WEP不安全己經(jīng)成一個廣為人知的事情,人們期待WEP在安全性方面有質(zhì)的變化,新的增強的無線局域網(wǎng)安全標準應(yīng)運而生[1]。

我國從2001年開始著手制定無線局域網(wǎng)安全標準,經(jīng)過西安電子科技大學(xué)、西安郵電學(xué)院、西電捷通無線網(wǎng)絡(luò)通信有限公司等院校和企業(yè)的聯(lián)合攻關(guān),歷時兩年多制定了無線認證和保密基礎(chǔ)設(shè)施WAPI,并成為國家標準,于2003年12月執(zhí)行。WAPI使用公鑰技術(shù),在可信第三方存在的條件下,由其驗證移動終端和接入點是否持有合法的證書,以期完成雙向認證、接入控制、會話密鑰生成等目標,達到安全通信的目的。WAPI在基本結(jié)構(gòu)上由移動終端、接入點和認證服務(wù)單元三部分組成,類似于802.11工作組制定的安全草案中的基本認證結(jié)構(gòu)。同時我國的密碼算法一般是不公開的,WAPI標準雖然是公開的,然而對其安全性的討論在學(xué)術(shù)界和工程界目前還沒有展開[2]。

增強的安全草案也是歷經(jīng)兩年多時間定下了基本的安全框架。其間每個月至少召開一次會議,會議的文檔可以從互聯(lián)網(wǎng)上下載,從中可以看到一些有趣的現(xiàn)象,例如AES-OCB算法,開始工作組決定使用該算法作為無線局域網(wǎng)未來的安全算法,一年后提議另外一種算法CCMP作為候選,AES-OSB作為缺省,半年后又提議CCMP作為缺省,AES-OCB作為候選,又過了幾個月,干脆把AES-OCB算法完全刪除,只使用CCMP算法作為缺省的未來無線局域網(wǎng)的算法。其它的例子還有很多。從這樣的發(fā)展過程中,我們能夠更加清楚地認識到無線局域網(wǎng)安全標準的方方面面,有利于無線局域網(wǎng)安全的研究[3][4]。

2.無線局域網(wǎng)的安全必要性

WLAN在為用戶帶來巨大便利的同時,也存在著許多安全上的問題。由于WLAN 通過無線電波在空中傳輸數(shù)據(jù),不能采用類似有線網(wǎng)絡(luò)那樣的通過保護通信線路的方式來保護通信安全,所以在數(shù)據(jù)發(fā)射機覆蓋區(qū)域內(nèi)的幾乎任何一個WLAN用戶都能接觸到這些數(shù)據(jù),要將WLAN發(fā)射的數(shù)據(jù)僅僅傳送給一名目標接收者是不可能的。而防火墻對通過無線電波進行的網(wǎng)絡(luò)通訊起不了作用,任何人在視距范圍之內(nèi)都可以截獲和插入數(shù)據(jù)。因此,雖然無線網(wǎng)絡(luò)和WLAN的應(yīng)用擴展了網(wǎng)絡(luò)用戶的自由,它安裝時間短,增加用戶或更改網(wǎng)絡(luò)結(jié)構(gòu)時靈活、經(jīng)濟,可提供無線覆蓋范圍內(nèi)的全功能漫游服務(wù)。然而,這種自由也同時帶來了新的挑戰(zhàn),這些挑戰(zhàn)其中就包括安全性。WLAN 必須考慮的安全要素有三個:信息保密、身份驗證和訪問控制。如果這三個要素都沒有問題了,就不僅能保護傳輸中的信息免受危害,還能保護網(wǎng)絡(luò)和移動設(shè)備免受危害。難就難在如何使用一個簡單易用的解決方案,同時獲得這三個安全要素。國外一些最新的技術(shù)研究報告指出,針對目前應(yīng)用最廣泛的802.11bWLAN 標準的攻擊和竊聽事件正越來越頻繁[5],故對WLAN安全性研究,特別是廣泛使用的IEEE802.11WLAN的安全性研究,發(fā)現(xiàn)其可能存在的安全缺陷,研究相應(yīng)的改進措施,提出新的改進方案,對 WLAN 技術(shù)的使用、研究和發(fā)展都有著深遠的影響。

同有線網(wǎng)絡(luò)相比,無線局域網(wǎng)無線傳輸?shù)奶烊惶匦允沟闷湮锢戆踩嗳醯枚?,所以首先要加強這一方面的安全性。

無線局域網(wǎng)中的設(shè)備在實際通信時是逐跳的方式,要么是用戶設(shè)備發(fā)數(shù)據(jù)給接入設(shè)備,飯由接入設(shè)備轉(zhuǎn)發(fā),要么是兩臺用戶設(shè)備直接通信,每一種通信方式都可以用鏈路層加密的方法來實現(xiàn)至少與有線連接同等的安全性。無線信號可能被偵聽,但是,如果把無線信號承載的數(shù)據(jù)變成密文,并且,如果加密強度夠高的話,偵聽者獲得有用數(shù)據(jù)的可能性很小。另外,無線信號可能被修改或者偽造,但是,如果對無線信號承載的數(shù)據(jù)增加一部分由該數(shù)據(jù)和用戶掌握的某種秘密生成的冗余數(shù)據(jù),以使得接收方可以檢測到數(shù)據(jù)是杏被更改,那么,對于無線信號的更改將會徒勞無功。而秘密的獨有性也將使得偽造數(shù)據(jù)被誤認為是合法數(shù)據(jù)的可能性極小。

這樣,通過數(shù)據(jù)加密和數(shù)據(jù)完整性校驗就可以為無線局域網(wǎng)提供一個類似有線網(wǎng)的物理安全的保護。對于無線局域網(wǎng)中的主機,面臨病毒威脅時,可以用最先進的防毒措施和最新的殺毒工具來給系統(tǒng)增加安全外殼,比如安裝硬件形式的病毒卡預(yù)防病毒,或者安裝軟件用來時實檢測系統(tǒng)異常。PC機和筆記本電腦等設(shè)備己經(jīng)和病毒進行了若千年的對抗,接下來的無線設(shè)備如何與病毒對抗還是一個待開發(fā)領(lǐng)域。

對于DOS攻擊或者DDOS攻擊,可以增加一個網(wǎng)關(guān),使用數(shù)據(jù)包過濾或其它路由設(shè)置,將惡意數(shù)據(jù)攔截在網(wǎng)絡(luò)外部;通過對外部網(wǎng)絡(luò)隱藏接入設(shè)備的IP地址,可以減小風(fēng)險。對于內(nèi)部的惡意用戶,則要通過審計分析,網(wǎng)絡(luò)安全檢測等手段找出惡意用戶,并輔以其它管理手段來杜絕來自內(nèi)部的攻擊。硬件丟失的威脅要求必須能通過某種秘密或者生物特征等方式來綁定硬件設(shè)備和用戶,并且對于用戶的認證也必須基于用戶的身份而不是硬件來完成。例如,用MAC地址來認證用戶是不適當?shù)腫5]。

除了以上的可能需求之外,根據(jù)不同的使用者,還會有不同的安全需求,對于安全性要求很高的用戶,可能對于傳輸?shù)臄?shù)據(jù)要求有不可抵賴性,對于進出無線局域網(wǎng)的數(shù)據(jù)要求有防泄密措施,要求無線局域網(wǎng)癱瘓后能夠迅速恢復(fù)等等。所以,無線局域網(wǎng)的安全系統(tǒng)不可能提供所有的安全保證,只能結(jié)合用戶的具體需求,結(jié)合其它的安全系統(tǒng)來一起提供安全服務(wù),構(gòu)建安全的網(wǎng)絡(luò)。

當考慮與其它安全系統(tǒng)的合作時,無線局域網(wǎng)的安全將限于提供數(shù)據(jù)的機密,數(shù)據(jù)的完整,提供身份識別框架和接入控制框架,完成用戶的認證授權(quán),信息的傳輸安全等安全業(yè)務(wù)。對于防病毒,防泄密,數(shù)據(jù)傳輸?shù)牟豢傻仲?,降低DoS攻擊的風(fēng)險等都將在具體的網(wǎng)絡(luò)配置中與其它安全系統(tǒng)合作來實現(xiàn)。

3.無線局域網(wǎng)安全風(fēng)險

安全風(fēng)險是指無線局域網(wǎng)中的資源面臨的威脅。無線局域網(wǎng)的資源,包括了在無線信道上傳輸?shù)臄?shù)據(jù)和無線局域網(wǎng)中的主機。

3.1 無線信道上傳輸?shù)臄?shù)據(jù)所面臨的威脅

由于無線電波可以繞過障礙物向外傳播,因此,無線局域網(wǎng)中的信號是可以在一定覆蓋范圍內(nèi)接聽到而不被察覺的。這如用收音機收聽廣播的情況一樣,人們在電臺發(fā)射塔的覆蓋范圍內(nèi)總可以用收音機收聽廣播,如果收音機的靈敏度高一些,就可以收聽到遠一些的發(fā)射臺發(fā)出的信號。當然,無線局域網(wǎng)的無線信號的接收并不像收音機那么簡單,但只要有相應(yīng)的設(shè)備,總是可以接收到無線局域網(wǎng)的信號,并可以按照信號的封裝格式打開數(shù)據(jù)包,讀取數(shù)據(jù)的內(nèi)容[6]。

另外,只要按照無線局域網(wǎng)規(guī)定的格式封裝數(shù)據(jù)包,把數(shù)據(jù)放到網(wǎng)絡(luò)上發(fā)送時也可以被其它的設(shè)備讀取,并且,如果使用一些信號截獲技術(shù),還可以把某個數(shù)據(jù)包攔截、修改,然后重新發(fā)送,而數(shù)據(jù)包的接收者并不能察覺。

因此,無線信道上傳輸?shù)臄?shù)據(jù)可能會被偵聽、修改、偽造,對無線網(wǎng)絡(luò)的正常通信產(chǎn)生了極大的干擾,并有可能造成經(jīng)濟損失。

3.2 無線局域網(wǎng)中主機面臨的威脅

無線局域網(wǎng)是用無線技術(shù)把多臺主機聯(lián)系在一起構(gòu)成的網(wǎng)絡(luò)。對于主機的攻擊可能會以病毒的形式出現(xiàn),除了目前有線網(wǎng)絡(luò)上流行的病毒之外,還可能會出現(xiàn)專門針對無線局域網(wǎng)移動設(shè)備,比如手機或者PDA的無線病毒。當無線局域網(wǎng)與無線廣域網(wǎng)或者有線的國際互聯(lián)網(wǎng)連接之后,無線病毒的威脅可能會加劇。

對于無線局域網(wǎng)中的接入設(shè)備,可能會遭受來自外部網(wǎng)或者內(nèi)部網(wǎng)的拒絕服務(wù)攻擊。當無線局域網(wǎng)和外部網(wǎng)接通后,如果把IP地址直接暴露給外部網(wǎng),那么針對該IP的Dog或者DDoS會使得接入設(shè)備無法完成正常服務(wù),造成網(wǎng)絡(luò)癱瘓。當某個惡意用戶接入網(wǎng)絡(luò)后,通過持續(xù)的發(fā)送垃圾數(shù)據(jù)或者利用IP層協(xié)議的一些漏洞會造成接入設(shè)備工作緩慢或者因資源耗盡而崩潰,造成系統(tǒng)混亂。無線局域網(wǎng)中的用戶設(shè)備具有一定的可移動性和通常比較高的價值,這造成的一個負面影響是用戶設(shè)備容易丟失。硬件設(shè)備的丟失會使得基于硬件的身份識別失效,同時硬件設(shè)備中的所有數(shù)據(jù)都可能會泄漏。

這樣,無線局域網(wǎng)中主機的操作系統(tǒng)面臨著病毒的挑戰(zhàn),接入設(shè)備面臨著拒絕服務(wù)攻擊的威脅,用戶設(shè)備則要考慮丟失的后果。

4.無線局域網(wǎng)安全性

無線局域網(wǎng)與有線局域網(wǎng)緊密地結(jié)合在一起,并且己經(jīng)成為市場的主流產(chǎn)品。在無線局域網(wǎng)上,數(shù)據(jù)傳輸是通過無線電波在空中廣播的,因此在發(fā)射機覆蓋范圍內(nèi)數(shù)據(jù)可以被任何無線局域網(wǎng)終端接收。安裝一套無線局域網(wǎng)就好象在任何地方都放置了以太網(wǎng)接口。因此,無線局域網(wǎng)的用戶主要關(guān)心的是網(wǎng)絡(luò)的安全性,主要包括接入控制和加密兩個方面。除非無線局域網(wǎng)能夠提供等同于有線局域網(wǎng)的安全性和管理能力,否則人們還是對使用無線局域網(wǎng)存在顧慮。

4.1 IEEE802. 11 b標準的安全性

IEEE 802.11b標準定義了兩種方法實現(xiàn)無線局域網(wǎng)的接入控制和加密:系統(tǒng)ID(SSID)和有線對等加密(WEP)[7][8]。

4.1.1認證

當一個站點與另一個站點建立網(wǎng)絡(luò)連接之前,必須首先通過認證。執(zhí)行認證的站點發(fā)送一個管理認證幀到一個相應(yīng)的站點。IEEE 802.11b標準詳細定義了兩種認證服務(wù):一開放系統(tǒng)認證(Open System Authentication):是802.11b默認的認證方式。這種認證方式非常簡單,分為兩步:首先,想認證另一站點的站點發(fā)送一個含有發(fā)送站點身份的認證管理幀;然后,接收站發(fā)回一個提醒它是否識別認證站點身份的幀。一共享密鑰認證(Shared Key Authentication ):這種認證先假定每個站點通過一個獨立于802.11網(wǎng)絡(luò)的安全信道,已經(jīng)接收到一個秘密共享密鑰,然后這些站點通過共享密鑰的加密認證,加密算法是有線等價加密(WEP )。

4. 1 .2 WEP

IEEE 802.11b規(guī)定了一個可選擇的加密稱為有線對等加密,即WEP。WEP提供一種無線局域網(wǎng)數(shù)據(jù)流的安全方法。WEP是一種對稱加密,加密和解密的密鑰及算法相同。WEP的目標是:接入控制:防止未授權(quán)用戶接入網(wǎng)絡(luò),他們沒有正確的WEP密鑰。

加密:通過加密和只允許有正確WEP密鑰的用戶解密來保護數(shù)據(jù)流。

IEEE 802.11b標準提供了兩種用于無線局域網(wǎng)的WEP加密方案。第一種方案可提供四個缺省密鑰以供所有的終端共享一包括一個子系統(tǒng)內(nèi)的所有接入點和客戶適配器。當用戶得到缺省密鑰以后,就可以與子系統(tǒng)內(nèi)所有用戶安全地通信。缺省密鑰存在的問題是當它被廣泛分配時可能會危及安全。第二種方案中是在每一個客戶適配器建立一個與其它用戶聯(lián)系的密鑰表。該方案比第一種方案更加安全,但隨著終端數(shù)量的增加給每一個終端分配密鑰很困難。

4.2 影響安全的因素[9][10]

4. 2. 1硬件設(shè)備

在現(xiàn)有的WLAN產(chǎn)品中,常用的加密方法是給用戶靜態(tài)分配一個密鑰,該密鑰或者存儲在磁盤上或者存儲在無線局域網(wǎng)客戶適配器的存儲器上。這樣,擁有客戶適配器就有了MAC地址和WEP密鑰并可用它接入到接入點。如果多個用戶共享一個客戶適配器,這些用戶有效地共享MAC地址和WEP密鑰。

當一個客戶適配器丟失或被竊的時候,合法用戶沒有MAC地址和WEP密鑰不能接入,但非法用戶可以。網(wǎng)絡(luò)管理系統(tǒng)不可能檢測到這種問題,因此用戶必須立即通知網(wǎng)絡(luò)管理員。接到通知后,網(wǎng)絡(luò)管理員必須改變接入到MAC地址的安全表和WEP密鑰,并給與丟失或被竊的客戶適配器使用相同密鑰的客戶適配器重新編碼靜態(tài)加密密鑰。客戶端越多,重新編碼WEP密鑰的數(shù)量越大。

4.2.2虛假接入點

IEEE802. 1 1b共享密鑰認證表采用單向認證,而不是互相認證。接入點鑒別用戶,但用戶不能鑒別接入點。如果一個虛假接入點放在無線局域網(wǎng)內(nèi),它可以通過劫持合法用戶的客戶適配器進行拒絕服務(wù)或攻擊。

因此在用戶和認證服務(wù)器之間進行相互認證是需要的,每一方在合理的時間內(nèi)證明自己是合法的。因為用戶和認證服務(wù)器是通過接入點進行通信的,接入點必須支持相互認證。相互認證使檢測和隔離虛假接入點成為可能。

4.2.3其它安全問題

標準WEP支持對每一組加密但不支持對每一組認證。從響應(yīng)和傳送的數(shù)據(jù)包中一個黑客可以重建一個數(shù)據(jù)流,組成欺騙性數(shù)據(jù)包。減輕這種安全威脅的方法是經(jīng)常更換WEP密鑰。通過監(jiān)測工EEE802. 11 b控制信道和數(shù)據(jù)信道,黑客可以得到如下信息:客戶端和接入點MAC地址,內(nèi)部主機MAC地址,上網(wǎng)時間。黑客可以利用這些信息研究提供給用戶或設(shè)備的詳細資料。為減少這種黑客活動,一個終端應(yīng)該使用每一個時期的WEP密鑰。

4.3 完整的安全解決方案

無線局域網(wǎng)完整的安全方案以IEEE802.11b比為基礎(chǔ),是一個標準的開放式的安全方案,它能為用戶提供最強的安全保障,確保從控制中心進行有效的集中管理。它的核心部分是:

擴展認證協(xié)議(Extensible Authentication Protocol,EAP),是遠程認證撥入用戶服務(wù)(RADIUS)的擴展。可以使無線客戶適配器與RADIUS服務(wù)器通信。

當無線局域網(wǎng)執(zhí)行安全保密方案時,在一個BSS范圍內(nèi)的站點只有通過認證以后才能與接入點結(jié)合。當站點在網(wǎng)絡(luò)登錄對話框或類似的東西內(nèi)輸入用戶名和密碼時,客戶端和RADIUS服務(wù)器(或其它認證服務(wù)器)進行雙向認證,客戶通過提供用戶名和密碼來認證。然后RADIUS服務(wù)器和用戶服務(wù)器確定客戶端在當前登錄期內(nèi)使用的WEP密鑰。所有的敏感信息,如密碼,都要加密使免于攻擊。

這種方案認證的過程是:一個站點要與一個接入點連接。除非站點成功登錄到網(wǎng)絡(luò),否則接入點將禁止站點使用網(wǎng)絡(luò)資源。用戶在網(wǎng)絡(luò)登錄對話框和類似的結(jié)構(gòu)中輸入用戶名和密碼。用IEEE802. lx協(xié)議,站點和RADIUS服務(wù)器在有線局域網(wǎng)上通過接入點進行雙向認證??梢允褂脦讉€認證方法中的一個。

相互認證成功完成后,RADIUS服務(wù)器和用戶確定一個WEP密鑰來區(qū)分用戶并提供給用戶適當?shù)燃壍木W(wǎng)絡(luò)接入。以此給每一個用戶提供與有線交換幾乎相同的安全性。用戶加載這個密鑰并在該登錄期內(nèi)使用。

RADIUS服務(wù)器發(fā)送給用戶的WEP密鑰,稱為時期密鑰。接入點用時期密鑰加密它的廣播密鑰并把加密密鑰發(fā)送給用戶,用戶用時期密鑰來解密。用戶和接入點激活WEP,在這時期剩余的時間內(nèi)用時期密鑰和廣播密鑰通信。

網(wǎng)絡(luò)安全性指的是防止信息和資源的丟失、破壞和不適當?shù)氖褂?。無論有線絡(luò)還是無線網(wǎng)絡(luò)都必須防止物理上的損害、竊聽、非法接入和各種內(nèi)部(合法用戶)的攻擊。

無線網(wǎng)絡(luò)傳播數(shù)據(jù)所覆蓋的區(qū)域可能會超出一個組織物理上控制的區(qū)域,這樣就存在電子破壞(或干擾)的可能性。無線網(wǎng)絡(luò)具有各種內(nèi)在的安全機制,其代碼清理和模式跳躍是隨機的。在整個傳輸過程中,頻率波段和調(diào)制不斷變化,計時和解碼采用不規(guī)則技術(shù)。

正是可選擇的加密運算法則和IEEE 802.11的規(guī)定要求無線網(wǎng)絡(luò)至少要和有線網(wǎng)絡(luò)(不使用加密技術(shù))一樣安全。其中,認證提供接入控制,減少網(wǎng)絡(luò)的非法使用,加密則可以減少破壞和竊聽。目前,在基本的WEP安全機制之外,更多的安全機制正在出現(xiàn)和發(fā)展之中[12]。

5.無線局域網(wǎng)安全技術(shù)的發(fā)展趨勢

目前無線局域網(wǎng)的發(fā)展勢頭十分強勁,但是起真正的應(yīng)用前景還不是十分的明朗。主要表現(xiàn)在:一是真正的安全保障;二個是將來的技術(shù)發(fā)展方向;三是WLAN有什么比較好的應(yīng)用模式;四是WLAN的終端除PCMCIA卡、PDA有沒有其他更好的形式;五是WLAN的市場規(guī)模??磥頍o線局域網(wǎng)真正的騰飛并非一己之事[13]。

無線局域網(wǎng)同樣需要與其他已經(jīng)成熟的網(wǎng)絡(luò)進行互動,達到互利互惠的目的。歐洲是GSM網(wǎng)的天下,而WLAN的崛起使得他們開始考慮WLAN和3G的互通,兩者之間的優(yōu)勢互補性必將使得WLAN與廣域網(wǎng)的融合迅速發(fā)展?,F(xiàn)在國內(nèi)中興通訊己經(jīng)實現(xiàn)了WLAN和CI}IVIA系統(tǒng)的互通,而對于使用中興設(shè)備的WLAN與GSM/GPRS系統(tǒng)的互通也提出了解決方案,這條路必定越走越寬。

互通中的安全問題也必然首當其沖,IEEE的無線局域網(wǎng)工作組己經(jīng)決定將EAP-SIIVI納入無線局域網(wǎng)安全標準系列里面,并且與3G互通的認證標準EAP-AID也成為討論的焦點。

無線網(wǎng)絡(luò)的互通,現(xiàn)在是一個趨勢。802.11工作組新成立了WIG(Wireless lnterworking Grouq),該工作組的目的在于使現(xiàn)存的符合ETSI,IEEE,MMAC所制訂的標準的無線域網(wǎng)之間實現(xiàn)互通。另外3GPP也給出了無線局域網(wǎng)和3G互通的兩個草案,定義了互通的基本需求,基本模型和基本框架。還有就是愛立信公司的一份文檔給出了在現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)上,實現(xiàn)無線局域網(wǎng)和G1VIS/GPRS的互通。

不同類型無線局域網(wǎng)互通標準的制定,使得用戶可以使用同一設(shè)備接入無線局域網(wǎng)。3G和無線局域網(wǎng)的互通者可以使用戶在一個運營商那里注冊,就可以在各地接入。當然,用戶享用上述方便的同時,必然會使運營商或制造商獲得利潤,而利潤的驅(qū)動,則是這個互通風(fēng)潮的根本動力。為了達到互通的安全,有以下需求:支持傳統(tǒng)的無線局域網(wǎng)設(shè)備,對用戶端設(shè)備,比如客戶端軟件,影響要最小,對經(jīng)營者管理和維護客戶端SW的要求要盡量少,應(yīng)該支持現(xiàn)存的UICC卡,不應(yīng)該要求該卡有任何改動,敏感數(shù)據(jù),比如存在UICC卡中的長期密鑰不能傳輸。對于UICC卡的認證接口應(yīng)該是基于該密鑰的Challenge-, Response模式。用戶對無線局域網(wǎng)接入的安全級別應(yīng)該和3GPP接入一樣,應(yīng)該支持雙向認證,所選的認證方案應(yīng)該顧及到授權(quán)服務(wù),應(yīng)該支持無線局域網(wǎng)接入NW的密鑰分配方法,無線局域網(wǎng)與3GPP互通所選擇的認證機制至少要提供3 GPP系統(tǒng)認證的安全級別,無線局域網(wǎng)的重連接不應(yīng)該危及3GPP系統(tǒng)重連接的安全,所選擇的無線局域網(wǎng)認證機制應(yīng)該支持會話密鑰素材的協(xié)商,所選擇的無線局域網(wǎng)密鑰協(xié)商和密鑰分配機制應(yīng)該能防止中間人攻擊。也就是說中間人不能得到會話密鑰素材,無線局域網(wǎng)技術(shù)應(yīng)當保證無線局域網(wǎng)UE和無線局域網(wǎng)AN的特定的認證后建立的連接可以使用生成的密鑰素材來保證完整性。所有的用于用戶和網(wǎng)絡(luò)進行認證的長期的安全要素應(yīng)該可以在一張UICC卡中存下[14]。

對于非漫游情況的互通時,這種情況是指當用戶接入的熱點地區(qū)是在3GPP的歸屬網(wǎng)絡(luò)范圍內(nèi)。簡單地說,就是用戶在運營商那里注冊,然后在該運營商的本地網(wǎng)絡(luò)范圍內(nèi)的熱點地區(qū)接入時的一種情況。無線局域網(wǎng)與3G網(wǎng)絡(luò)安全單元功能如下:UE(用戶設(shè)備)、3G-AAA(移動網(wǎng)絡(luò)的認證、授權(quán)和計帳服務(wù)器)、HSS(歸屬業(yè)務(wù)服務(wù)器)、CG/CCF(支付網(wǎng)關(guān)/支付采集功能)、OCS(在線計帳系統(tǒng))。

對于漫游的互通情況時,3G網(wǎng)絡(luò)是個全域性網(wǎng)絡(luò)借助3G網(wǎng)絡(luò)的全域性也可以實現(xiàn)無線局域網(wǎng)的漫游。在漫游情況下,一種常用的方法是將歸屬網(wǎng)絡(luò)和訪問網(wǎng)絡(luò)分開,歸屬網(wǎng)絡(luò)AAA服務(wù)作為認證的找到用戶所注冊的歸屬網(wǎng)絡(luò)。

在無線局域網(wǎng)與3G互通中有如下認證要求:該認證流程從用戶設(shè)備到無線局域網(wǎng)連接開始。使用EAP方法,順次封裝基于USIM的用戶ID,AKA-Challenge消息。具體的認證在用戶設(shè)備和3GPAAA服務(wù)器之間展開。走的是AKA過程,有一點不同在于在認證服務(wù)器要檢查用戶是否有接入無線局域網(wǎng)的權(quán)限。

上述互通方案要求客戶端有能夠接入無線局域網(wǎng)的網(wǎng)卡,同時還要實現(xiàn)USIM或者SIM的功能。服務(wù)網(wǎng)絡(luò)要求修改用戶權(quán)限表,增加對于無線局域網(wǎng)的接入權(quán)限的判斷。

無線局域網(wǎng)的崛起使得人們開始考慮無線局域網(wǎng)和3G的互通,兩者之間的優(yōu)勢互補性必將使得無線局域網(wǎng)與廣域網(wǎng)的融合迅速發(fā)展?,F(xiàn)在國內(nèi)中興通訊已經(jīng)實現(xiàn)了無線局域網(wǎng)和CDMA系統(tǒng)的互通,而對于使用中興設(shè)備的無線局域網(wǎng)與GSM/GPRS系統(tǒng)的互通也提出了解決方案,這條路必定越走越寬。

參考文獻

[1] 郭峰,曾興雯,劉乃安,《無線局域網(wǎng)》,電子工業(yè)出版杜,1997

[2] 馮錫生,朱榮,《無線數(shù)據(jù)通信》1997

[3] 你震亞,《現(xiàn)代計算機網(wǎng)絡(luò)教程》,電子工業(yè)出版社,1999

[4] 劉元安,《寬帶無線接入和無線局域網(wǎng)》,北京郵電大學(xué)出版社,2000

[5] 吳偉陵,《移動通信中的關(guān)鍵技術(shù)》,北京郵電大學(xué)出版社,2000

[6] 張公忠,陳錦章,《當代組網(wǎng)技術(shù)》,清華大學(xué)出版社,2000

[7] 牛偉,郭世澤,吳志軍等,《無線局域網(wǎng)》,人民郵電出版社,2003

[8] Jeffrey Wheat,《無線網(wǎng)絡(luò)設(shè)計》,莫蓉蓉等譯,機械工業(yè)出版社,2002

[9] Gil Held,《構(gòu)建無線局域網(wǎng)》,沈金龍等澤,人民郵電出版社,2002

[10] Christian Barnes等,《無線網(wǎng)絡(luò)安全防護》,林生等譯,機械工業(yè)出版社.2003

[11] Juha Heiskala等,《OFDM無線局域網(wǎng)》,暢曉春等譯,電子工業(yè)出版社,2003

[12] Eric Ouellet等,《構(gòu)建Cisco無線局域網(wǎng)》,張穎譯,科學(xué)出版社,2003

[13] Mark Ciampa,《無線周域網(wǎng)設(shè)計一與實現(xiàn)》,王順滿譯,科學(xué)出版社.2003

第3篇:無線局域網(wǎng)技術(shù)范文

間,但目前的校園網(wǎng)基本是基于有線局域網(wǎng)架構(gòu)的,教學(xué)活動常常受到接入點相對固定、某些環(huán)境中接入點較少等限制。而運用無線網(wǎng)絡(luò)技術(shù)優(yōu)化校園網(wǎng)絡(luò),就是其應(yīng)用之一。

關(guān)鍵詞:無線局域網(wǎng);校園網(wǎng)絡(luò);IEEE802.11協(xié)議;網(wǎng)絡(luò)建設(shè)

一、無線局域網(wǎng)的出現(xiàn)

隨著計算機技術(shù)和通信技術(shù)的發(fā)展,有線局域網(wǎng)在高校得到了迅速的發(fā)展。校園局域網(wǎng)的廣泛應(yīng)用,對學(xué)生的學(xué)習(xí)、教師的教學(xué)和科研以及學(xué)校的教學(xué)管理等方面起到很大的作用。但在實際使用過程中,傳統(tǒng)的有線網(wǎng)絡(luò)存在很多不足。

1.網(wǎng)絡(luò)接入點較少,無法架設(shè)線路環(huán)境。

2.移動辦公的需求隨著計算機技術(shù)的迅速發(fā)展,筆記本電腦、平板電腦、手機的續(xù)航能力、運算速度不斷提高,且基本都配備無線網(wǎng)卡,加上成本的降低,市場的普及,使得筆記本電腦、手機等移動設(shè)備正逐漸成為移動辦公的高效率平臺。

3.熱點區(qū)域的網(wǎng)絡(luò)建設(shè)。

4.通常計算機組網(wǎng)的傳輸媒介主要依賴銅纜或光纜,構(gòu)成有線局域網(wǎng)。

無線局域網(wǎng)就是解決有線網(wǎng)絡(luò)以上問題而出現(xiàn)的。

二、無線網(wǎng)絡(luò)的概述和IEEE802.11協(xié)議

無線局域網(wǎng)(Wireless local-area network,WLAN)概述所謂無線網(wǎng)絡(luò),是指無需布線即可實現(xiàn)計算機互連的網(wǎng)絡(luò)。通俗地講,無線局域網(wǎng)就是在不采用網(wǎng)線的情況下,提供以太網(wǎng)互聯(lián)功能。無線網(wǎng)絡(luò)的適用范圍非常廣泛。但由于聯(lián)網(wǎng)方式靈活方便,是一種很有前途的連網(wǎng)方式。

三、無線局域網(wǎng)的特點

1.無線局域網(wǎng)的優(yōu)點

(1)靈活性和移動性

在有線網(wǎng)絡(luò)中,網(wǎng)絡(luò)設(shè)備的安放位置受網(wǎng)絡(luò)位置的限制,而無線局域網(wǎng)在無線信號覆蓋區(qū)域內(nèi)的任何一個位置都可以接入網(wǎng)絡(luò)。無線局域網(wǎng)另一個最大的優(yōu)點在于其移動性,連接到無線局域網(wǎng)的用戶可以移動且能同時與網(wǎng)絡(luò)保持連接。

(2)安裝便捷

無線局域網(wǎng)可以免去或最大限度地減少網(wǎng)絡(luò)布線的工作量,一般只要安裝一個或多個接入點設(shè)備,就可建立覆蓋整個區(qū)域的局域網(wǎng)絡(luò)。

(3)傳輸速率高,碼分多址能力強

無線網(wǎng)絡(luò)的速度可達108M,可支持多用戶連接,且易于擴展,能滿足大量用戶的需求。

除此之外,還包括:易于進行網(wǎng)絡(luò)規(guī)劃和調(diào)整。故障定位容易。易于擴展。維護成本低等優(yōu)點,由于無線局域網(wǎng)有以上諸多優(yōu)點,因此其發(fā)展十分迅速。

2.無線局域網(wǎng)的不足之處

無線局域網(wǎng)在能夠給網(wǎng)絡(luò)用戶帶來便捷和實用的同時,也存在著一些缺陷。無線局域網(wǎng)的不足之處體現(xiàn)在性能、速率、安全性三個方面。

無線路由器的設(shè)置安全保密性太差,幾乎是公開的。若是沒有經(jīng)過統(tǒng)一的設(shè)置,私自加設(shè)無線路由,很容易地址沖突,造成整個無線線路癱瘓。

無線局域網(wǎng)技術(shù)雖然在校園網(wǎng)絡(luò)建設(shè)中有極大的應(yīng)用前景,但在實際使用中仍應(yīng)注意以下幾個方面的問題:一是無線局域網(wǎng)不可能完全取代有線局域網(wǎng),只能作為有線網(wǎng)絡(luò)的補充和完善,

第4篇:無線局域網(wǎng)技術(shù)范文

關(guān)鍵詞藍牙技術(shù)辦公網(wǎng)絡(luò)藍牙協(xié)議

一、前言

在現(xiàn)代企業(yè)的辦公局域網(wǎng)絡(luò)中.個人電腦要登錄單位內(nèi)部的局域網(wǎng)以及Internet,訪問網(wǎng)上資源,個人電腦之間要進行文件、資料和設(shè)備的共享。這樣一來PC機與各種外設(shè)之間,PC機與各種共享設(shè)備之間.以及PC機與局域網(wǎng)插口之間,就存在許許多多的連線,給移動辦公及調(diào)度管理帶來了極大的不便。藍牙技術(shù)發(fā)展的初衷是為了用一種統(tǒng)一的無線通信技術(shù)來取代各種數(shù)字化設(shè)備之間相互連接的電纜。利用藍牙技術(shù)組建企業(yè)內(nèi)部通信網(wǎng).構(gòu)建Internet網(wǎng)絡(luò)平臺.不僅可以改善人們的辦公環(huán)境,而且可以提高企業(yè)的現(xiàn)代化管理水平.加快現(xiàn)代企業(yè)的辦公自動化進程。

二、藍牙技術(shù)

藍牙(Bluetooth)技術(shù)是由愛立信、諾基亞、Intel、IBM和東芝5家公司于1998年5月共同提出開發(fā)的。藍牙技術(shù)的本質(zhì)是設(shè)備間的無線聯(lián)接,主要用于通信與信息設(shè)備。近年來,在電聲行業(yè)中也開始使用。依據(jù)發(fā)射輸出電平可以有3種距離等級,Class1為100m左右、Class2約為10m、Class3約為2-3m。一般情況下,其正常的工作范圍是10m半徑之內(nèi)。在此范圍內(nèi),可進行多臺設(shè)備間的互聯(lián)。但對于某些產(chǎn)品,設(shè)備間的聯(lián)接距離甚至遠隔100m也照樣能建立藍牙通信與信息傳遞。

借助采用了藍牙技術(shù)的PDA個人數(shù)字助理,用戶可很方便地進人因特網(wǎng)。有了藍牙技術(shù),存儲于手機中的信息可以在電視機上顯示出來,也可以將其中的聲音信息數(shù)據(jù)進行轉(zhuǎn)換,以便在PC個人電腦上聆聽。東芝公司已開發(fā)上市了一種藍牙無線Modem和PC卡,將2張卡中的一張插人Modem的主機上,另一張插人PC個人電腦。這樣,用戶就成功實現(xiàn)了與因特網(wǎng)的無線聯(lián)網(wǎng)。

藍牙技術(shù)的特點包括:1、采用跳頻技術(shù),數(shù)據(jù)包短,抗信號衰減能力強;2、采用快速跳頻和前向糾錯方案以保證鏈路穩(wěn)定,減少同頻干擾和遠距離傳輸時的隨機噪聲影響;3、使用2.4GHzISM頻段,無須申請許可證;4、可同時支持數(shù)據(jù)、音頻、視頻信號;5、采用FM調(diào)制方式,降低設(shè)備的復(fù)雜性。

該技術(shù)的傳輸速率設(shè)計為1MHz,以時分方式進行全雙工通信,其基帶協(xié)議是電路交換和分組交換的組合。一個跳頻頻率發(fā)送一個同步分組,每個分組占用一個時隙,使用擴頻技術(shù)也可擴展到5個時隙。同時,藍牙技術(shù)支持1個異步數(shù)據(jù)通道或3個并發(fā)的同步話音通道,或1個同時傳送異步數(shù)據(jù)和同步話音的通道。每一個話音通道支持64kb/s的同步話音;異步通道支持最大速率為721kb/s,反向應(yīng)答速率為57.6kb/s的非對稱連接,或者是432.6kb/s的對稱連接。

目前,藍牙技術(shù)已被普遍應(yīng)用在筆記本電腦上,以幫助兩臺(或多臺)筆記本電腦之間實現(xiàn)無線通信。較紅外線傳輸“必須保證傳輸信息的兩個設(shè)備正對,且中間不能有障礙物”、“幾乎無法控制信息傳輸?shù)倪M度”、“沒有成為被廣泛接受的工業(yè)標準、設(shè)備種類不多”等致命的缺陷,藍牙的優(yōu)勢顯示出了勃勃生機。全世界已有2161家公司參加了SIG(SpecialInterestGroup)組織,并正在共同制定藍牙技術(shù)標準。SIG的核心公司除上述最初提出開發(fā)藍牙技術(shù)的5家公司外,還有3com、Lucent技術(shù)、微軟和摩托羅拉4家。SIG成員公司包括:PC個人電腦、移動電話、網(wǎng)絡(luò)相關(guān)設(shè)備、輔助設(shè)備和A/V設(shè)備、通訊設(shè)備和汽車電子、自動售貨機、醫(yī)藥器械、計時裝置等諸多領(lǐng)域的設(shè)備制造公司。

三、藍牙體系結(jié)構(gòu)

藍牙體系結(jié)構(gòu)包括3部分,各部分的構(gòu)成見圖1。下面就硬件、軟件、路由機制3方面作簡略說明。

1、硬件部分

1.1射頻模塊

將基帶模塊的數(shù)據(jù)包通過無線電信號以一定的功率和跳頻頻率發(fā)送出去,實現(xiàn)藍牙設(shè)備的無線連接。

1.2基帶模塊

采用查詢和尋呼方式,使跳頻時鐘及跳頻頻率同步,為數(shù)據(jù)分組提供對稱連接(SCO)和非對稱連接(ASL),并完成數(shù)據(jù)包的定義、前向糾錯、循環(huán)冗余校驗、邏輯通道選擇、信號噪化、鑒權(quán)、加密、編碼和解碼等功能。它采用混合電路交換和分組交換方式,既適合語音傳送,也適合一般的數(shù)據(jù)傳送。每一個語音通道支持64kb/s同步語音,異步通道支持最大速率723.2kb/s(反向57.6kb/s)的非對稱連接或433.9kb/s的對稱連接。

2、藍牙協(xié)議(軟件)

2.1鏈路管理協(xié)議(LMP)

通過對鏈接的發(fā)送、交換、實施身份鑒權(quán)和加密,并通過協(xié)商確定基帶數(shù)據(jù)分組的大小,控制射頻部分的電源模式、工作周期及網(wǎng)絡(luò)內(nèi)藍牙設(shè)備的連接狀態(tài)。

2.2邏輯鏈路控制與應(yīng)用協(xié)議(L2CAP)

L2CAP與LMP平行工作,共同實現(xiàn)OSI的數(shù)據(jù)鏈路層的功能。它可提供對稱連接和非對稱連接的數(shù)據(jù)服務(wù)。

2.3串行電纜仿真協(xié)議(RFCOMM)

在藍牙的基帶上仿真RS-232的功能,實現(xiàn)設(shè)備串行通信。例如,在撥號網(wǎng)絡(luò)中,主機將AT命令發(fā)送到調(diào)制解調(diào)器,再傳送到局域網(wǎng),建立連接后,應(yīng)用程序就可以通過RFCOMM提供的串口發(fā)送和接收數(shù)據(jù)。

2.4服務(wù)發(fā)現(xiàn)協(xié)議(SDP)

按照用戶需要,發(fā)現(xiàn)相應(yīng)服務(wù)及有關(guān)設(shè)備,并給出服務(wù)與設(shè)備列表。工作過程如下:主設(shè)備廣播1條信息,從設(shè)備做出相應(yīng)的反應(yīng),將收集到的地址存于主設(shè)備的內(nèi)存中,然后主設(shè)備從中選擇1個地址,利用鏈路管理所提供的進程在物理層建立連接。一旦建立了服務(wù)發(fā)現(xiàn)協(xié)議,在主從設(shè)備之間的物理層連接上就建立了一條LZCAP點對點通信層。

3、無線辦公網(wǎng)絡(luò)的路由機制

利用藍牙技術(shù)構(gòu)建現(xiàn)代企業(yè)無線辦公網(wǎng)絡(luò),實現(xiàn)的基本功能包括:1、文件、檔案、報表、設(shè)備資源的共享和互連,比如PC機之間的互連,PC機與各種外設(shè)或智能設(shè)備的互聯(lián)和共享等;2、利用藍牙設(shè)備無線訪問單位內(nèi)部局域網(wǎng)以及Internet;3、通過一定的路由機制實現(xiàn)辦公網(wǎng)絡(luò)內(nèi)部的各個匹克網(wǎng)之間的互連。

根據(jù)企業(yè)的實際需要,企業(yè)無線網(wǎng)絡(luò)由多個匹克網(wǎng)(piconet)構(gòu)成,而不同匹克網(wǎng)之間的通信應(yīng)該只在辦公網(wǎng)絡(luò)內(nèi)部進行路由,而不應(yīng)通過局域網(wǎng),這就需要建立一種特殊的路由機制,使得各匹克網(wǎng)之間的通信能夠進行正確的路由,達到方便快捷的通信、拓寬通信范圍、減輕網(wǎng)絡(luò)負載的目的。

3.1藍牙網(wǎng)關(guān)

用于辦公網(wǎng)絡(luò)內(nèi)部的藍牙移動終端通過無線方式訪問局域網(wǎng)以及Internet;跟蹤、定位辦公網(wǎng)絡(luò)內(nèi)的所有藍牙設(shè)備,在兩個屬于不同匹克網(wǎng)的藍牙設(shè)備之間建立路由連接,并在設(shè)備之間交換路由信息。

主要功能包括:

①實現(xiàn)藍牙協(xié)議與TCP/IP協(xié)議的轉(zhuǎn)換,完成辦公網(wǎng)絡(luò)內(nèi)部藍牙移動終端的無線上網(wǎng)功能。

②在安全的基礎(chǔ)上實現(xiàn)藍牙地址與IP地址之間的地址解析,它利用自身的IP地址和TCP端口來唯一地標識辦公網(wǎng)絡(luò)內(nèi)部沒有IP地址的藍牙移動終端,比如藍牙打印機等。

③通過路由表來對網(wǎng)絡(luò)內(nèi)部的藍牙移動終端進行跟蹤、定位,使得辦公網(wǎng)絡(luò)內(nèi)部的藍牙移動終端可以通過正確的路由,訪問局域網(wǎng)或者另一個匹克網(wǎng)中的藍牙移動終端。

④在兩個屬于不同匹克網(wǎng)的藍牙移動終端之間交換路由信息,從而完成藍牙移動終端通信的漫游與切換。在這種通信方式中,藍牙網(wǎng)關(guān)在數(shù)據(jù)包路由過程中充當中繼作用,相當于藍牙網(wǎng)橋。

3.2藍牙移動終端(MT)

藍牙移動終端是普通的藍牙設(shè)備,能夠與藍牙網(wǎng)關(guān)以及其他藍牙設(shè)備進行通信,從而實現(xiàn)辦公網(wǎng)絡(luò)內(nèi)部移動終端的無線上網(wǎng)以及網(wǎng)絡(luò)內(nèi)部文件、資源的共享。各個功能模塊關(guān)系如圖2所示。

如果目的端位于單位內(nèi)部的局域網(wǎng)或者Internet,則需要通過藍牙網(wǎng)關(guān)進行藍牙協(xié)議與TCP/IP協(xié)議的轉(zhuǎn)換,如果該MT沒有IP地址,則由藍牙網(wǎng)關(guān)來提供,其通信方式為MT-BG–MT。如果目的端位于辦公網(wǎng)絡(luò)內(nèi)部的另一個匹克網(wǎng),則通過藍牙網(wǎng)關(guān)來建立路由連接,從而完成整個通信過程的漫游.其通信方式為MT-BG-M_MT(為主移動終端)-MT。采用藍牙技術(shù)也可使辦公室的每個數(shù)據(jù)終端互相連通。例如多臺終端共用1臺打印機,可按照一定的算法登陸打印機的等待隊列,依次執(zhí)行。

四、藍牙技術(shù)的發(fā)展前景

藍牙技術(shù)是一種新興的技術(shù),尚未投入廣泛應(yīng)用,目前許多藍牙設(shè)備還處于實驗室試驗階段,還有待于實際使用的嚴格檢驗。2002年下半年起,藍牙產(chǎn)品的生產(chǎn)量將明顯增加,市場進一步擴大。除日本外,韓國的LG、三星、大宇以及臺灣諸多公司已著手開始步人藍牙技術(shù)與產(chǎn)品的開發(fā)行列,有的已推出成品。如LG公司的LG-P610B,一種用于PCS個人通信服務(wù)的蜂窩式電話。由于在PC個人電腦開發(fā)制造上的成功與經(jīng)驗,臺灣制造業(yè)界期望2005年藍牙工業(yè)在臺灣能占臺灣無線通信工業(yè)的15%,產(chǎn)值達到6.5億美元。2002年夏季開始,臺灣的一些制造廠商已開始在天線、濾波器、模塊、筆記本電腦、PDA、鍵盤和鼠標器等信息設(shè)備中采用藍牙技術(shù),并將推出用于dongle(一種保護軟件被拷貝的設(shè)備)、PCMCIA卡和LAN局域網(wǎng)間聯(lián)絡(luò)的藍牙通信中轉(zhuǎn)裝置。至今,日本已有7家公司在筆記本電腦中采用了藍牙技術(shù)。

藍牙的發(fā)展軌跡符合當今新技術(shù)發(fā)展的理想模式即競爭前合作。據(jù)ABI(AlliedBusinessIntelligence)的一項調(diào)查顯示,盡管最近藍牙市場有點遲滯,但其發(fā)展沒有減緩的趨勢。ABI的官員說,越來越多的人考慮給自己的設(shè)備增加無線連接,他們也逐步意識到藍牙技術(shù)的低功耗和低成本解決方案是理想的。藍牙的使用范圍已不僅僅局限于筆記本電腦和蜂窩電話,藍牙收發(fā)器(即藍牙卡)已經(jīng)越來越多地嵌人到從PC機到工業(yè)設(shè)備的各種設(shè)備中,藍牙不僅僅是電纜替代品。不過,ABI同時提醒到,在Bluetooth成功的道路還存在著一定的障礙,其主要表現(xiàn)在以下幾個方面:(l)因硅半導(dǎo)體價格的昂貴,藍牙芯片過于昂貴以致一時難以普及。(2)藍牙協(xié)議的實現(xiàn)與標準不一致,使硬件的互操作性、軟件的互操作性以及軟硬件之間的互操作性不佳。(3)軟件開發(fā)還難以為藍牙應(yīng)用提供完整的解決方案,跨平臺移植難以實現(xiàn)。

盡管這些問題正在減緩藍牙設(shè)備投放市場的速度,但隨著SIG新標準的制定,預(yù)計這種統(tǒng)一數(shù)據(jù)傳送方式會被廣泛應(yīng)用,到那時,全球?qū)⒂袛?shù)以億計的計算機和通信設(shè)備使用藍牙技術(shù),它將帶來一個無線通信的新時代。

五、具體組網(wǎng)方案

根據(jù)前述藍牙路由機制,圖3給出了一種無線辦公網(wǎng)絡(luò)具體應(yīng)用的原理圖。藍牙網(wǎng)關(guān)通過RJ45插頭與局域網(wǎng)接入接口相連;圖中的個人電腦及各種設(shè)備均需安裝有藍牙通用模塊或藍牙網(wǎng)卡,以使其藍牙化。藍牙網(wǎng)關(guān)與各終端的最大直線不能大于100m,且一個藍牙網(wǎng)關(guān)最多可連接7個帶通用外界模塊的設(shè)備。

組網(wǎng)方案中,主要部件功能如下:

1、藍牙網(wǎng)關(guān)(金歐公司LLTR-1S)

*采用時分多址技術(shù),支持異步數(shù)據(jù),支持點對點、點對多點的藍牙數(shù)據(jù)通信;

*具有同時與有線網(wǎng)絡(luò)和藍牙設(shè)備通信的接口及能力;

*在安全的基礎(chǔ)上實現(xiàn)藍牙地址與IP地址間的地址解釋;

*實現(xiàn)IP網(wǎng)際協(xié)議以及TCP傳輸控制協(xié)議,從而能夠完成藍牙協(xié)議與TCP/IP的協(xié)議轉(zhuǎn)換;

*在底層協(xié)議棧的基礎(chǔ)上,通過實行特定的藍牙路由機制解決匹克網(wǎng)間的路由問題,以最終解決藍牙不同匹克網(wǎng)間不同單元的通信問題。

2、網(wǎng)絡(luò)適配器(BlueBerry藍牙USB)

安裝在網(wǎng)絡(luò)內(nèi)部的PC機、筆記本電腦上,使設(shè)備藍牙化。

3、為了使得辦公室內(nèi)部的打印機、投影儀、掃描儀等辦公設(shè)備具有藍牙功能,選用金歐公司的通用藍牙模塊,該通用藍牙模塊具有串口、USB和并口可供選擇。

六、結(jié)束語

第5篇:無線局域網(wǎng)技術(shù)范文

[關(guān)鍵詞]無線局域網(wǎng) AP VPN IEEE802.11 WEP

[中圖分類號]TN[文獻標識碼]A[文章編號]1007-9416(2010)02-0071-02

1 無線局域網(wǎng)的結(jié)構(gòu)

根據(jù)不同局域網(wǎng)的應(yīng)用環(huán)境與需求的不同,無線局域網(wǎng)可采取不同的網(wǎng)絡(luò)結(jié)構(gòu)來實現(xiàn)互聯(lián)。常用的具體有如下幾種:

(1)網(wǎng)橋連接型:不同的局域網(wǎng)之間互聯(lián)時,由于物理上的原因,若采取有線方式不方便,則可利用無線網(wǎng)橋的方式實現(xiàn)二者的點對點連接,無線網(wǎng)橋不僅提供二者之間的物理與數(shù)據(jù)鏈路層的連接,還為兩個網(wǎng)的用戶提供較高層的路由與協(xié)議轉(zhuǎn)換。

(2)基站接入型:當采用移動蜂窩通信網(wǎng)接入方式組建無線局域網(wǎng)時,各站點之間的通信是通過基站接入、數(shù)據(jù)交換方式來實現(xiàn)互聯(lián)的。各移動站不僅可以通過交換中心自行組網(wǎng),還可以通過廣域網(wǎng)與遠地站點組建自己的工作網(wǎng)絡(luò)。

(3)HUB接入型:利用無線Hub可以組建星型結(jié)構(gòu)的無線局域網(wǎng),具有與有線Hub組網(wǎng)方式相類似的優(yōu)點。在該結(jié)構(gòu)基礎(chǔ)上的WLAN,可采用類似于交換型以太網(wǎng)的工作方式,要求Hub具有簡單的網(wǎng)內(nèi)交換功能。

(4)無中心結(jié)構(gòu):要求網(wǎng)中任意兩個站點均可直接通信。此結(jié)構(gòu)的無線局域網(wǎng)一般使用公用廣播信道,MAC層采用CSMA類型的多址接入?yún)f(xié)議。

無線局域網(wǎng)可以在普通局域網(wǎng)基礎(chǔ)上通過無線Hub、無線接入站(AP)、無線網(wǎng)橋、無線Modem及無線網(wǎng)卡等來實現(xiàn),其中以無線網(wǎng)卡最為普遍,使用最多。

2 無線局域網(wǎng)的安全威脅分析

2.1 常規(guī)安全威脅

由于無線網(wǎng)絡(luò)只是在傳輸方式上和傳統(tǒng)的有些網(wǎng)絡(luò)有區(qū)別,所以常規(guī)的安全風(fēng)險如病毒,惡意攻擊,非授權(quán)訪問等都是存在的,這就要求繼續(xù)加強常規(guī)方式上的安全措施。

2.2 非常規(guī)安全威脅

無線網(wǎng)絡(luò)中每個AP覆蓋的范圍都形成了通向網(wǎng)絡(luò)的一個新的入口。由于無線傳輸?shù)奶攸c,對這個入口的管理不像傳統(tǒng)網(wǎng)絡(luò)那么容易。正因為如此,未授權(quán)實體可以在公司外部或者內(nèi)部進入網(wǎng)絡(luò):首先,未授權(quán)實體進入網(wǎng)絡(luò)瀏覽存放在網(wǎng)絡(luò)上的信息,或者是讓網(wǎng)絡(luò)感染上病毒。其次,未授權(quán)實體進入網(wǎng)絡(luò),利用該網(wǎng)絡(luò)作為攻擊第三方網(wǎng)絡(luò)的跳板。第三,入侵者對移動終端發(fā)動攻擊,或為了瀏覽移動終端上的信息,或為了通過受危害的移動設(shè)備訪問網(wǎng)絡(luò)。第四,入侵者和公司員工勾結(jié),通過無線交換數(shù)據(jù)。

2.3 敏感信息易泄露威脅

由于電磁波是共享的,所以要竊取信號,并通過竊取信號進行解碼特別容易。特別是WLAN默認都是不設(shè)置加密措施的,也就是任何能接受到信號的人,無論是公司內(nèi)部還是公司外部都可以進行竊聽。根據(jù)802.11b協(xié)議一般AP的傳輸范圍都在100米到300米左右,而且能穿透墻壁,所以傳輸?shù)男畔⒑苋菀妆恍孤?。雖然802.11規(guī)定了WEP加密,但是WEP加密也是不安全的,WEP是IEEE 802.11 WLAN標準的一部分,它的主要作用是為無線網(wǎng)絡(luò)上的信息提供和有線網(wǎng)絡(luò)同一等級的機密性。有線網(wǎng)絡(luò)典型地是使用物理控制來阻止非授權(quán)用戶連接到網(wǎng)絡(luò)查看數(shù)據(jù)。在WLAN中,無需物理連接就可以連接到網(wǎng)絡(luò),因此IEEE選擇在數(shù)據(jù)鏈路層使用加密來防止在網(wǎng)絡(luò)上進行未授權(quán)偷聽。

3 無線局域網(wǎng)的安全防范與對策

無線局域網(wǎng)中主要的安全性考慮包括訪問控制和加密。訪問控制保證敏感數(shù)據(jù)只能由通過認證授權(quán)的用戶訪問,加密則保證發(fā)送的數(shù)據(jù)只能被所期望的用戶接收和理解。通常可采用的防范對策有六種。

3.1 建立MAC地址表,減少非法用戶的接入

如果所在接入小區(qū)接入用戶不多,可通過其提供地唯一合法MAC地址在其接入的核心交換機上建立MAC地址表,對接入的用戶進行驗證,以減少非法用戶的接入。同時,可以在AP中手工維護一組允許訪問的MAC地址列表,實現(xiàn)物理地址過濾。這個方案要求AP中的MAC地址列表必需隨時更新,可擴展性差,無法實現(xiàn)機器在不同AP之間的漫游,而且MAC地址在理論上可以偽造,因此這也是較低級別的授權(quán)認證。

3.2 采用有線等效保密改進方案(WEP2)

IEEE802.11標準規(guī)定了一種被稱為有線等效保密(WEP)的可選加密方案[5],其目標是為WLAN提供與有線網(wǎng)絡(luò)相同級別的安全保護。WEP在鏈路層采用RC4對稱加密算法,從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。有線等效保密(WEP)方案主要用于實現(xiàn)三個安全目標:接入控制、數(shù)據(jù)保密性和數(shù)據(jù)完整性。然而WEP存在極差的安全性,所以 ?IEEE802.11b提出有線等效保密改進方案(WEP2),它與傳統(tǒng)的WEP算法相比較,將WEP加密密鑰的長度加長到104位,初始化向量的長度右24位加長到128位,所以建議使用的WLAN設(shè)備具有WEP2功能。

3.3 采用802.1x 基于端口的認證協(xié)議

802.1x為接入控制搭建了一個新的框架,使得系統(tǒng)可以根據(jù)用戶的認證結(jié)果決定是否開放服務(wù)端口?;?02.1x認證體系結(jié)構(gòu)[4],其認證機制是由用戶端設(shè)備、接入設(shè)備、后臺RADIUS認證服務(wù)器三方完成。接入設(shè)備用來傳送用戶與后臺RADIUS服務(wù)器之間的會話數(shù)據(jù)包。這種認證機制的好處是方便了管理,可以更容易地與現(xiàn)有的資源融合,802.1x除提供端口訪問控制能力之外,還提供基于用戶的認證系統(tǒng)及計費,更適合公共無線接入解決方案。在采用802.1x的WLAN中,無線用戶端安裝802.1x客戶端軟件,無線AP內(nèi)嵌802.1x認證,同時它還作為RADIUS服務(wù)器的客戶端,負責(zé)用戶與RADIUS服務(wù)器之間認證信息的轉(zhuǎn)發(fā)。當無線客戶端登錄到無線訪問AP點后,是否可使用AP的服務(wù)取決于802.1x的認證結(jié)果。如果認證通過,則AP為客戶端打開這個邏輯端口,否則不允許用戶上網(wǎng)。

4 結(jié)語

無線網(wǎng)絡(luò)的出現(xiàn)就是為了解決有線網(wǎng)絡(luò)無法克服的困難。雖然無線網(wǎng)絡(luò)有諸多優(yōu)勢,但與有線網(wǎng)絡(luò)相比,無線局域網(wǎng)也有很多不足。無線網(wǎng)絡(luò)速率較慢、價格較高,因而它主要面向有特定需求的用戶。目前無線局域網(wǎng)還不能完全脫離有線網(wǎng)絡(luò),無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)是互補的關(guān)系,而不是競爭,目前還只是有線網(wǎng)絡(luò)的補充,而不是替換。但也應(yīng)該看到,近年來,無線局域網(wǎng)產(chǎn)品的價格正逐漸下降,相應(yīng)軟件也逐漸成熟。此外,無線局域網(wǎng)已能夠通過與廣域網(wǎng)相結(jié)合的形式提供移動互聯(lián)網(wǎng)的多媒體業(yè)務(wù)。相信在未來,無線局域網(wǎng)將以它的高速傳輸能力和靈活性發(fā)揮更加重要的作用。

[參考文獻]

[1] 王欣軒.構(gòu)建CISCO無線局域網(wǎng)[M].科學(xué)出版社,第三版,2003.4,170―182.

第6篇:無線局域網(wǎng)技術(shù)范文

關(guān)鍵詞無線局域網(wǎng);安全;802.11標準;有線等效保密;WAPI鑒別與保密

1引言

經(jīng)過20多年的發(fā)展,無線局域網(wǎng)(WirelessLocalAreaNetwork,WLAN),已經(jīng)成為一種比較成熟的技術(shù),應(yīng)用也越來越廣泛,是計算機有線網(wǎng)絡(luò)的一個必不可少的補充。WLAN的最大優(yōu)點就是實現(xiàn)了網(wǎng)絡(luò)互連的可移動性,它能大幅提高用戶訪問信息的及時性和有效性,還可以克服線纜限制引起的不便性。但由于無線局域網(wǎng)應(yīng)用是基于開放系統(tǒng)的,它具有更大的開放性,數(shù)據(jù)傳播范圍很難控制,因此無線局域網(wǎng)將面臨著更嚴峻的安全問題。

無線局域網(wǎng)的安全問題伴隨著市場與產(chǎn)業(yè)結(jié)構(gòu)的升級而日益凸現(xiàn),安全問題已經(jīng)成為WLAN走入信息化的核心舞臺,成為無線局域網(wǎng)技術(shù)在電子政務(wù)、行業(yè)應(yīng)用和企業(yè)信息化中大展拳腳的桎梏。

2無線局域網(wǎng)的安全威脅

隨著公司無線局域網(wǎng)的大范圍推廣普及使用,WLAN網(wǎng)絡(luò)信息系統(tǒng)所面臨的安全問題也發(fā)生了很大的變化。任何人可以從任何地方、于任何時間、向任何一個目標發(fā)起攻擊,而且我們的系統(tǒng)還同時要面臨來自外部、內(nèi)部、自然等多方面的威脅。

由于無線局域網(wǎng)采用公共的電磁波作為載體,傳輸信息的覆蓋范圍不好控制,因此對越權(quán)存取和竊聽的行為也更不容易防備。無線局域網(wǎng)必須考慮的安全威脅有以下幾種:

>所有有線網(wǎng)絡(luò)存在的安全威脅和隱患都存在;

>無線局域網(wǎng)的無需連線便可以在信號覆蓋范圍內(nèi)進行網(wǎng)絡(luò)接入的嘗試,一定程度上暴露了網(wǎng)絡(luò)的存在;

>無線局域網(wǎng)使用的是ISM公用頻段,使用無需申請,相鄰設(shè)備之間潛在著電磁破壞(干擾)問題;

>外部人員可以通過無線網(wǎng)絡(luò)繞過防火墻,對公司網(wǎng)絡(luò)進行非授權(quán)存?。?/p>

>無線網(wǎng)絡(luò)傳輸?shù)男畔]有加密或者加密很弱,易被竊取、竄改和插入;

>無線網(wǎng)絡(luò)易被拒絕服務(wù)攻擊(DOS)和干擾;

>內(nèi)部員工可以設(shè)置無線網(wǎng)卡為P2P模式與外部員工連接。

3無線局域網(wǎng)的安全保障

自從無線局域網(wǎng)誕生之日起,安全患與其靈活便捷的優(yōu)勢就一直共存,安全問題的解決方案從反面制約和影響著無線局域網(wǎng)技術(shù)的推廣和應(yīng)用。為了保證無線局域網(wǎng)的安全性,IEEE802.11系列標準從多個層次定義了安全性控制手段。

3.1SSID訪問控制

服務(wù)集標識符(ServiceSetIdentifier,SSID)這是人們最早使用的一種WLAN安全認證方式。服務(wù)集標識符SSID,也稱業(yè)務(wù)組標識符,是一個WLAN的標識碼,相當于有線局域網(wǎng)的工作組(WORKGROUP)。無線工作站只有出示正確的SSID才能接入WLAN,因此可以認為SSID是一個簡單的口令,通過對AP點和網(wǎng)卡設(shè)置復(fù)雜的SSID(服務(wù)集標識符),并根據(jù)需求確定是否需要漫游來確定是否需要MAC地址綁定,同時禁止AP向外廣播SSID。嚴格來說SSID不屬于安全機制,只不過,可以用它作為一種實現(xiàn)訪問控制的手段。

3.2MAC地址過濾

MAC地址過濾是目前WLAN最基本的安全訪問控制方式。MAC地址過濾屬于硬件認證,而不是用戶認證。MAC地址過濾這種很常用的接入控制技術(shù),在運營商鋪設(shè)的有線網(wǎng)絡(luò)中也經(jīng)常使用,即只允許合法的MAC地址終端接入網(wǎng)絡(luò)。用無線局域網(wǎng)中,AP只允許合法的MAC地址終端接入BSS,從而避免了非法用戶的接入。這種方式要求AP中的MAC地址列表必須及時更新,但是目前都是通過手工操作完成,因此擴展能力差,只適合小型網(wǎng)絡(luò)規(guī)模,同時這種方法的效率也會隨著終端數(shù)目的增加而降低。

3.3802.11的認證服務(wù)

802.11站點(AP或工作站)在與另一個站點通信之前都必須進行認證服務(wù),兩個站點能否通過認證是能否相互通信的根據(jù)。802.11標準定義了兩種認證服務(wù):開放系統(tǒng)認證和共享密鑰認證。采用共享密鑰認證的工作站必須執(zhí)行有線等效保密協(xié)議(WiresEquivalentPrivacy,WEP)。

WEP利用一個64位的啟動源密鑰和RC4加密算法保護調(diào)制數(shù)據(jù)傳輸。WEP為對稱加密,屬于序列密碼。為了解決密鑰重用的問題,WEP算法中引入了初始向量(InitialilizationVector,IV),IV為一隨機數(shù),每次加密時隨機產(chǎn)生,IV與原密鑰結(jié)合作為加密的密鑰。由于IV并不屬于密鑰的一部分,所以無須保密,多以明文形式傳輸。

WEP協(xié)議自公布以來,它的安全機制就遭到了廣泛的抨擊,主要問題如下:

(1)WEP加密存在固有的缺陷,它的密鑰固定且比較短(只有64-24=40bits)。

(2)IV的使用解決了密鑰重用的問題,但是IV的長度太短,強度并不高,同時IV多以明文形式傳輸,帶來嚴重的安全隱患。

(3)密鑰管理是密碼體制中最關(guān)鍵的問題之一,但是802.11中并沒有具體規(guī)定密鑰的生成、分發(fā)、更新、備份、恢復(fù)以及更改的機制。

(4)WEP的密鑰在傳遞過程中容易被截獲。

所有上述因素都增加了以WEP作為安全手段的WLAN的安全風(fēng)險。目前在因特網(wǎng)上已經(jīng)出現(xiàn)了許多可供下載的WEP破解工具軟件,例如WEPCrack和AirSnort。

4WLAN安全的增強性技術(shù)

隨著WLAN應(yīng)用的進一步發(fā)展,802.11規(guī)定的安全方案難以滿足高端用戶的需求。為了推進WLAN的發(fā)展和應(yīng)用,業(yè)界積極研究,開發(fā)了很多增強WLAN安全性的方法。

4.1802.1x擴展認證協(xié)議

IEEE802.1x使用標準安全協(xié)議(如RADIUS)提供集中的用戶標識、身份驗證、動態(tài)密鑰管理?;?02.1x認證體系結(jié)構(gòu),其認證機制是由用戶端設(shè)備、接入設(shè)備、后臺RADIUS認證服務(wù)器三方完成。IEEE802.1x通過提供用戶和計算機標識、集中的身份驗證以及動態(tài)密鑰管理,可將無線網(wǎng)絡(luò)安全風(fēng)險減小到最低程度。在此執(zhí)行下,作為RADIUS客戶端配置的無線接入點將連接請求發(fā)送到中央RADIUS服務(wù)器。中央RADIUS服務(wù)器處理此請求并準予或拒絕連接請求。如果準予請求,根據(jù)所選身份驗證方法,該客戶端獲得身份驗證,并且為會話生成唯一密鑰。然后,客戶機與AP激活WEP,利用密鑰進行通信。

為了進一步提高安全性,IEEE802.1x擴展認證協(xié)議采用了WEP2算法,即將啟動源密鑰由64位提升為128位。

移動節(jié)點可被要求周期性地重新認證以保持一定的安全級。

4.2WPA保護機制

Wi-FiProtectedAccess(WPA,Wi-Fi保護訪問)是Wi-Fi聯(lián)盟提出的一種新的安全方式,以取代安全性不足的WEP。WPA采用了基于動態(tài)密鑰的生成方法及多級密鑰管理機制,方便了WLAN的管理和維護。WPA由認證、加密和數(shù)據(jù)完整性校驗三個部分組成。

(1)認證

WPA要求用戶必須提供某種形式的證據(jù)來證明它是合法用戶,才能擁有對某些網(wǎng)絡(luò)資源的訪問權(quán),并且這是是強制性的。WPA的認證分為兩種:第一種采用802.1xEAP(ExtensibleAuthenticationProtocol)的方式,用戶提供認證所需的憑證,如用戶名密碼,通過特定的用戶認證服務(wù)器來實現(xiàn)。另一種為WPA預(yù)共享密鑰方式,要求在每個無線局域網(wǎng)節(jié)點(AP、STA等)預(yù)先輸入一個密鑰,只要密鑰吻合就可以獲得無線局域網(wǎng)的訪問權(quán)。

(2)加密

WPA采用TKIP(TemporalKeyIntegrityProtocol,臨時密鑰完整性協(xié)議)為加密引入了新的機制,它使用一種密鑰構(gòu)架和管理方法,通過由認證服務(wù)器動態(tài)生成、分發(fā)密鑰來取代單個靜態(tài)密鑰、把密鑰首部長度從24位增加到128位等方法增強安全性。而且,TKIP利用了802.1x/EAP構(gòu)架。認證服務(wù)器在接受了用戶身份后,使用802.1x產(chǎn)生一個唯一的主密鑰處理會話。然后,TKIP把這個密鑰通過安全通道分發(fā)到AP和客戶端,并建立起一個密鑰構(gòu)架和管理系統(tǒng),使用主密鑰為用戶會話動態(tài)產(chǎn)生一個唯一的數(shù)據(jù)加密密鑰,來加密每一個無線通訊數(shù)據(jù)報文。

(3)消息完整性校驗

除了保留802.11的CRC校驗外,WPA為每個數(shù)據(jù)分組又增加了一個8個字節(jié)的消息完整性校驗值,以防止攻擊者截獲、篡改及重發(fā)數(shù)據(jù)報文。

4.3VPN的應(yīng)用

目前許多企業(yè)以及運營商已經(jīng)采用虛擬專用網(wǎng)(VPN)技術(shù)。虛擬專用網(wǎng)(VPN)技術(shù)是指在一個公共IP網(wǎng)絡(luò)平臺上通過隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性,其本身并不屬于802.11標準定義,但是用戶可以借助VPN來抵抗無線網(wǎng)絡(luò)的不安全因素,同時還可以提供基于RADIUS的用戶認證以及計費??梢酝ㄟ^購置帶VPN功能防火墻,在無線基站和AP之間建立VPN隧道,這樣整個無線網(wǎng)的安全性得到極大的提高,能夠有效地保護數(shù)據(jù)的完整性、可信性和不可抵賴性。

VPN技術(shù)作為一種比較可靠的網(wǎng)絡(luò)安全解決方案,在有線網(wǎng)絡(luò)中,尤其是企業(yè)有線網(wǎng)絡(luò)應(yīng)用中得到了一定程度的采用,然而無線網(wǎng)絡(luò)的應(yīng)用特點在很大程度上阻礙了VPN技術(shù)的應(yīng)用,如吞吐量性能瓶頸、網(wǎng)絡(luò)的擴展性問題、成本問題等。

4.4WAPI鑒別與保密

無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)(WLANAuthenticationandPrivacyInfrastructure,WAPI)是我國無線局域網(wǎng)國家標準制定的,由無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)(WLANAuthenticationInfrastructure,WAI)和無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)(WLANPrivacyInfrastructure,WPI)組成。WAPI采用公開密鑰體制的橢圓曲線密碼算法和對稱密鑰體制的分組密碼算法,分別用于WLAN設(shè)備的數(shù)字證書、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密,從而實現(xiàn)設(shè)備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護。

在WAPI中,身份鑒別的基本功能是實現(xiàn)對接入設(shè)備用戶證書和其身份的鑒別,若鑒別成功則允許接入網(wǎng)絡(luò),否則解除其關(guān)聯(lián),鑒別流程包含下列幾個步驟:

1)鑒別激活:當STA登錄至AP時,由AP向STA發(fā)送認證激活以啟動認證過程;

2)接入鑒別請求:工作站STA向AP發(fā)出接入認證請求,將STA證書與STA的當前系統(tǒng)時間(接入認證請求時間)發(fā)往AP;

3)證書鑒別請求:AP收到STA接入認證請求后,向AS(認證服務(wù)器)發(fā)出證書認證請求,將STA證書、接入認證請求時間、AP證書及用AP的私鑰對上述字段的簽名,構(gòu)成認證請求報文發(fā)送給AS。

4)證書鑒別響應(yīng):AS收到AP的證書認證請求后,驗證AP的簽名以及AP和STA證書的合法性。驗證完畢后,AS將STA證書認證結(jié)果信息(包括STA證書、認證結(jié)果及AS對它們的簽名)、AP證書認證結(jié)果信息(包括AP證書、認證結(jié)果、接入認證請求時間及AS對它們的簽名)構(gòu)成證書認證響應(yīng)報文發(fā)回給AP。

5)接入鑒別響應(yīng):AP對AS返回的證書認證響應(yīng)進行簽名驗證,得到STA證書的認證結(jié)果。AP將STA證書認證結(jié)果信息、AP證書認證結(jié)果信息以及AP對它們的簽名組成接入認證響應(yīng)報文回送至STA。STA驗證AS的簽名后,得到AP證書的認證結(jié)果。STA根據(jù)該認證結(jié)果決定是否接入該AP。

至此,工作站STA與AP之間完成了雙向的證書鑒別過程。為了更大程度上保證WLAN的安全需求,還可以進行私鑰的驗證,以確認AP和工作站STA是否是證書的合法持有者,私鑰驗證由請求和響應(yīng)組成。

當工作站STA與接入點AP成功進行證書鑒別后,便可進行會話密鑰的協(xié)商。會話密鑰協(xié)商包括密鑰協(xié)商請求和密鑰協(xié)商響應(yīng)。密鑰協(xié)商請求可以由AP或STA中的任意一方發(fā)起,另一方進行響應(yīng)。為了進一步提高通信的保密性能,在通信一段時間或交換一定數(shù)量的報文后,工作站STA與AP之間應(yīng)該重新進行會話密鑰的協(xié)商來確定新的會話密鑰。

5結(jié)束語

要保證WLAN的安全,需要從加密技術(shù)和密鑰管理技術(shù)兩方面來提供保障。使用加密技術(shù)可以保證WLAN傳輸信息的機密性,并能實現(xiàn)對無線網(wǎng)絡(luò)的訪問控制,密鑰管理技術(shù)為加密技術(shù)服務(wù),保證密鑰生成、分發(fā)以及使用過程中不會被非法竊取,另外靈活的、基于協(xié)商的密鑰管理技術(shù)為WLAN的維護工作提供了便利。盡管我們國家WLAN標準的出臺以及強制執(zhí)行引起了很大的影響,但這是我國信息安全戰(zhàn)略的具體落實,它表明我們國家已經(jīng)邁出了堅實的一步。

參考文獻

[1][美]JimGeier著,王群等譯.無線局域網(wǎng).人民郵電出版社

第7篇:無線局域網(wǎng)技術(shù)范文

關(guān)鍵詞:無線網(wǎng)絡(luò)技術(shù) 局域網(wǎng) 問題分析

中圖分類號:TN925 文獻標識碼:A 文章編號:1007-9416(2014)02-0046-01

現(xiàn)階段,無線網(wǎng)絡(luò)技術(shù)的應(yīng)用可以說必將廣泛,利用無線網(wǎng)絡(luò)技術(shù)組建局域網(wǎng)也成為很多家庭和中小型辦公室的首選。但是在應(yīng)用無線網(wǎng)絡(luò)組建局域網(wǎng)過程中,常常會遇見一些常見的問題,導(dǎo)致網(wǎng)絡(luò)無法正常連接。在本文中,筆者即分析應(yīng)用無線網(wǎng)絡(luò)技術(shù)組建局域網(wǎng)中常見的問題。

1 硬件錯排的問題

如果僅僅有接入點和客戶端分別只有一個,那么出現(xiàn)了連接問題,我們能夠很快找到故障出現(xiàn)的位置和故障出現(xiàn)的原因。但如果有多個接入點和多個客戶端,找到問題的原因也就因此變得很不容易。

在多數(shù)利用無線網(wǎng)絡(luò)技術(shù)組建的無線網(wǎng)絡(luò)環(huán)境當中,如果有一些用戶無法連接到網(wǎng)絡(luò)上,但其它用戶可以正常連接到無線網(wǎng)絡(luò)上。在這種情況下,問題出現(xiàn)的原因可能是多個接入點中的某一個接入點的問題。通常而言,無線網(wǎng)絡(luò)用戶只需要仔細檢查網(wǎng)絡(luò)客戶端的位置,便能夠判斷出是哪個位置上的接入點的問題。

但另外一種情況時,如果無線網(wǎng)絡(luò)用戶都不可以正常連接到網(wǎng)絡(luò),則問題的原因是多方面的。但如果無線網(wǎng)絡(luò)僅僅使用一個接入點,則可能是接入點的硬件或者配置的問題。

2 配置的問題

無線網(wǎng)絡(luò)設(shè)備的質(zhì)量通常是沒有問題的,因此在組建局域網(wǎng)過程中如果出現(xiàn)了問題,則極有可能是配置上的問題,而不是硬件本身。在下文中,筆者介紹幾種常見的網(wǎng)絡(luò)連接故障:

(1)測試信號強度。如果用戶可以通過網(wǎng)線測到無線接入點,而用無線則找不到接入點,那么一般情況下可以斷定接入點只是暫時出了狀況。但如果調(diào)試之后問題依然沒有得到解決,則就應(yīng)測試接入點的信號強度。

但是現(xiàn)階段,行業(yè)還沒有統(tǒng)一的、標準的測試信號強度方式,不過一些無線網(wǎng)廠商在網(wǎng)卡上設(shè)置了測量無線信號強度的方法。

(2)檢查WEP密鑰。如果WEP的設(shè)置出現(xiàn)錯誤,則用戶同樣無法從無線網(wǎng)絡(luò)的終端ping到無線接入點。此外,無線廠商不同,則無線網(wǎng)卡和接入點所需的密鑰也各不相同。

所以,用戶如果想要WEP正常工作,則無線客戶端和接入點的匹配必需完全正確。但有時,無線客戶端雖然看似配置了正確的WEP,但卻依舊無法連接到網(wǎng)絡(luò)上。如果出現(xiàn)這種情況,通常的做法是把接入點恢復(fù)到出廠狀態(tài),再重新輸入WEP配置信息,啟動WEP功能。

(3)頻道改變問題。筆者經(jīng)過反復(fù)的測試,發(fā)現(xiàn)一些用戶接入點的信號強度比較弱,但最近一段時間內(nèi)又沒有移動過,則可嘗試通過改變接入點的頻道方式來增強接入點的信號強度。

無線終端連接頻道的改進,通??梢钥醋魇且豁棌?fù)雜的系統(tǒng)工程。因此,這就要求用戶首先進行無線終端上的測試,證實無線端終端確實有效之后才可以大范圍實施。但需要注意的是,在一些時候,無線網(wǎng)絡(luò)故障可由于某個員工進行收集,或關(guān)閉微波爐,情況便會好轉(zhuǎn)。

(4)WEP的配置問題?,F(xiàn)階段,在WEP配置問題中,最常見的問題是WEP協(xié)議的使用。WEP配置問題比較麻煩,不容易通過技術(shù)手段來解決,主要是因為WEP不匹配便會產(chǎn)類似的問題,且問題呈現(xiàn)多樣化的趨勢;此外,問題的癥狀也相類似。比如WEP配置錯誤,則無線客戶端便不能夠從無線網(wǎng)絡(luò)DHCP服務(wù)器中獲得IP地址;而如果無線客戶端使用的是靜態(tài)IP地址,則也無法ping到無線接入點IP地址;在這種情況下,用戶通常會認為網(wǎng)絡(luò)沒連上。

判斷是WEP配置錯誤,還是網(wǎng)絡(luò)硬件故障,或者二者同時出現(xiàn)故障或錯誤,常用的方法之一:利用操作系統(tǒng)內(nèi)置的診斷功能、以及無線網(wǎng)卡驅(qū)動。舉例來講,這里有一臺Windows XP系統(tǒng)筆記本,配有Linksys無線網(wǎng)卡,當班鼠標移到無線網(wǎng)絡(luò)圖標上時,圖標便會自動呈現(xiàn)網(wǎng)絡(luò)連接的信息。SSID設(shè)置和頻道連接如果正確,即便WEP設(shè)置出現(xiàn)錯誤,那么用戶可以正常連接到無線接入點。

在這種情況下,用戶就會看到任務(wù)欄中顯示的信號強度為零。點擊任務(wù)欄中的無線網(wǎng)絡(luò)圖標,會彈出相應(yīng)的無線網(wǎng)絡(luò)命令,在這個命令中,用戶可看到無線連接對話框。這個對話框會顯示頻道內(nèi)無線網(wǎng)絡(luò)SSID號,包括沒有連接上網(wǎng)絡(luò)。用戶所需的無線網(wǎng)絡(luò)信號如果在列表中,但卻無法正常連接,那么,問題出現(xiàn)便出現(xiàn)在了配置上面。

(5)DHCP的配置問題。應(yīng)用無線網(wǎng)絡(luò)組建局域網(wǎng),一個比較常見的問題是DHCP配置問題。無線網(wǎng)絡(luò)中的DHCP服務(wù)器,是無線網(wǎng)絡(luò)能否正常接入的關(guān)鍵因素。

目前,不少新款無線接入設(shè)備都帶有DHCP服務(wù)器。一般情況下,這些DHCP服務(wù)器會把192.168.0.x鏈接地址分配給各無線客戶端。而DHCP接入點不會接受不屬于分配IP地址的請求。這也就等于說,靜態(tài)的IP地址或從其他DHCP服務(wù)器中獲取IP地址的客戶端,均無法連接到該接入點。

3 多個接入點連接問題

我們來假設(shè)一種情況:兩個或以上的接入點同時按系統(tǒng)默認方式工作。在這種情況之下,每一個接入點都會為用戶的無線客戶端分配一個192.168.0.xIP地址。

這種連接方式會導(dǎo)致一個問題:兩個或兩個以上的無線接入點無法區(qū)分自身由哪個IP分配的。所以,在無線網(wǎng)絡(luò)使用當中,就會出現(xiàn)IP地址沖突的問題。解決這個問題的方式很簡單,就是在每一個接入點上設(shè)置不同的IP地址,并設(shè)定分配的范圍,防止客戶端IP地址出現(xiàn)重疊。

4 接入點的可連接性

檢查無線網(wǎng)絡(luò)連接的問題的原因,首先要檢測無線接入點能不能正常接入。一個較為簡單的檢測方法是打開電腦命令中的命令模式,然后ping無線接入點的IP地址,如果接入點響應(yīng)了此命令,則證明電腦可正常連接到無線接入點。如果無響應(yīng),則是無線接入點出了問題。

5 結(jié)語

在本文中,筆者結(jié)合自身的工作實際,分析了應(yīng)用無線網(wǎng)絡(luò)技術(shù)組建局域網(wǎng)中常見的問題,以及解決這些問題常用的技巧和方法。但需要特別指出的是,在本文中,筆者所介紹的無線網(wǎng)技術(shù),是基本的無線網(wǎng)絡(luò),而不是比較特殊的無線網(wǎng)絡(luò)。

參考文獻

[1]佟麗莉.應(yīng)用無線網(wǎng)絡(luò)技術(shù)組建局域網(wǎng)的常見問題分析[J].遼寧教育行政學(xué)院學(xué)報,2008(12).

第8篇:無線局域網(wǎng)技術(shù)范文

關(guān)鍵詞:校園 無線局域網(wǎng) 安全策略

隨著科學(xué)技術(shù)的日新月異,無線網(wǎng)絡(luò)以其獨特的靈活性、易擴展性、可移動性得到了廣泛的應(yīng)用。無線校園網(wǎng)是計算機網(wǎng)絡(luò)與無線通信技術(shù)結(jié)合的產(chǎn)物,它不受電纜的限制,并且可移動、可滿足各類便攜設(shè)備入網(wǎng)的要求,實現(xiàn)計算機無線網(wǎng)的接入、圖文傳輸、電子郵件收發(fā)、網(wǎng)絡(luò)教學(xué)等多種功能。無線網(wǎng)絡(luò)的飛速發(fā)展,對目前學(xué)校的教學(xué)模式、理念以及教學(xué)管理產(chǎn)生了非常重要的影響,也使得教師和學(xué)生的學(xué)習(xí)方式發(fā)生了巨大的變化。

1、無線局域網(wǎng)技術(shù)概述

無線局域網(wǎng)(WLAN)是計算機網(wǎng)絡(luò)與無線通信技術(shù)結(jié)合的產(chǎn)物,在普通局域網(wǎng)的基礎(chǔ)上可以通過無線Hub、無線接入站AP(Access Point)、無線網(wǎng)橋、無線網(wǎng)卡及無線Modem等來實現(xiàn)。無線網(wǎng)通信協(xié)議所采用的標準有:IEEE 802.11a、IEEE 802.11b和 IEEE 802.11g等。目前運行的無線局域網(wǎng)絡(luò)大多采用IEEE 802.11b/g標準,以及最新的標準IEEE802.1i。

2、無線網(wǎng)絡(luò)安全基本技術(shù)

2.1 有線等價保密協(xié)議(WEP)

無線局域網(wǎng)的安全技術(shù)體現(xiàn)在利用有線等效保密協(xié)議對數(shù)據(jù)進行加密。有線等價保密協(xié)議(WEP)是IEEE802.11b協(xié)議中最基本的無線網(wǎng)絡(luò)安全加密措施。它的目的是訪問控制和保密,采用這種協(xié)議只允許擁有正確WEP密鑰的用戶通過加密來保護無線網(wǎng)絡(luò)的數(shù)據(jù)流。有線等價保密協(xié)議在傳輸上提供了一定的保密性和安全性,并且可以阻止無線用戶對AP和STA之間傳輸?shù)膬?nèi)容進行查看。

2.2 基于802.1x認證的安全解決方案

無線網(wǎng)絡(luò)是以空氣當做媒介、通過電波進行信息傳輸,這就導(dǎo)致在一個無線局域網(wǎng)接入點(AP)所服務(wù)的區(qū)域中,每個客戶端都可以隨意接受到此接入點所傳播的電磁波信號,從而導(dǎo)致數(shù)據(jù)被竊取。這對無線局域網(wǎng)的安全認證、數(shù)據(jù)加密、接入控制顯得非常重要。802.1x協(xié)議是基于Client/Server的訪問控制和認證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口(access port)訪WLAN。

2.3 新一代WLAN安全標準——802.11i

802.11i是新一代的無線安全標準。這一安全標準定義了RSN(Robust Security Network)的概念,增強了無線網(wǎng)絡(luò)的數(shù)據(jù)加密和認證性能,并且針對WEP加密機制的各種缺陷做了多方面的改進。

3、校園無線局域網(wǎng)的安全威脅

校園局域網(wǎng)不是無線產(chǎn)品的簡單組合,它具有較大的構(gòu)建規(guī)模,是一種整體的校園網(wǎng)絡(luò)系統(tǒng)。在構(gòu)建時,一方面要考慮到無線網(wǎng)絡(luò)的信號覆蓋問題,另一方面也要考慮到無線網(wǎng)絡(luò)所面臨的安全威脅。而且還要考慮到其規(guī)模在以后會擴展的需求,校園無線局域網(wǎng)系統(tǒng)應(yīng)當滿足高吞吐量、安全的移動性以及與有線網(wǎng)絡(luò)的無縫結(jié)合等問題。

對于校園無線局域網(wǎng)的安全構(gòu)成主要威脅的來源有:

(1)依靠有效保密(WEP)方式對無線局域網(wǎng)數(shù)據(jù)加密存在的漏洞:①密鑰容易泄漏;②密鑰容易通過一些無線破解軟件進行破解;③MAC地址認證接入方式。

(2)網(wǎng)絡(luò)黑客的惡意攻擊、竊取、修改信息;

(3)內(nèi)部用戶可能的惡意攻擊、誤操作;

4、校園無線局域網(wǎng)安全策略及構(gòu)建

無線局域網(wǎng)的安全問題是一個系統(tǒng)工程,在校園無線局域網(wǎng)的構(gòu)建上更存在安全隱患。由于學(xué)校的各部門對網(wǎng)絡(luò)的需求不一樣,例如,某些部門(比如學(xué)生宿舍區(qū))只需要對校園內(nèi)部數(shù)據(jù)資源進行訪問,不允許其訪問互聯(lián)網(wǎng)數(shù)據(jù),而有的部門比如財務(wù)部等重要部門需要對銀聯(lián)數(shù)據(jù)進行訪問。這就對無線控制器提出了級別不同的安全技術(shù)策略。為了保證校園無線局域網(wǎng)的安全性,在制定其安全策略時應(yīng)該符合以下幾個方面的要求:

(1)校園無線局域網(wǎng)設(shè)備應(yīng)合理設(shè)計配置,并使校園無線局域網(wǎng)和核心網(wǎng)絡(luò)有效隔離。

具體措施是:把默認的服務(wù)器改掉,關(guān)閉定期廣播功能;時常查看接入點的日志記錄,及時發(fā)現(xiàn)攻擊情況做出相應(yīng)處理。在結(jié)構(gòu)方面,校園無線局域網(wǎng)和內(nèi)部重要網(wǎng)絡(luò)之間設(shè)置防火墻進行有效的安全隔離,必要時同時采用物離手段。這樣,可以避免在局域網(wǎng)出現(xiàn)安全問題時,導(dǎo)致內(nèi)部網(wǎng)絡(luò)產(chǎn)生嚴重危機。

(2)合理利用加密技術(shù),設(shè)置附加的第三方數(shù)據(jù)加密方案。

具體措施是:首先正確、合理地利用無線局域網(wǎng)加密技術(shù),用以提高校園無線局域網(wǎng)的可靠性。如在將數(shù)據(jù)包中的數(shù)據(jù)發(fā)送到校園無線局域網(wǎng)之前,通過多種加密方式對數(shù)據(jù)進行加密,最終可以讀取或恢復(fù)這些數(shù)據(jù)的人或者組織,只能是那些擁有正確密鑰的站點。

其次可通過附加的第三方數(shù)據(jù)加密方案對校園無線局域網(wǎng)進行相應(yīng)的安全設(shè)置,這樣,即便黑客竊取了無線局域網(wǎng)的信號,竊聽到的內(nèi)容也是不能夠準確獲得的。

(3)無線入侵檢測/防御。采用網(wǎng)絡(luò)入侵檢測系統(tǒng)可以彌補防火墻的不足,可以提供安全、實時的入侵檢測,對發(fā)現(xiàn)的問題采取相應(yīng)的防御手段,如記錄數(shù)據(jù)用于跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等。

具體措施是:可以采用H3CWX5000系列多業(yè)務(wù)無線控制器進行檢測。監(jiān)測無線網(wǎng)絡(luò)中的非法設(shè)備,并對發(fā)生的情況實時上報;支持靜態(tài)配置白名單功能,從而進一步減少非法報文對網(wǎng)絡(luò)的沖擊,降低網(wǎng)絡(luò)安全風(fēng)險,防止入侵者的破壞。

(4)用戶的計算機安全管理要加強。

具體措施是:網(wǎng)內(nèi)的個人用戶應(yīng)該管理好自己的計算機。在計算機上安裝防火墻、防ARP欺騙的相關(guān)工具軟件和殺毒軟件;定期修改用戶個人密碼;其次對于用戶的密碼及認證措施必須設(shè)置嚴密,可以利用802.1x身份認證和WEP。再次是對用戶進行嚴格的隔離。用以太網(wǎng)MUX設(shè)備。

5、結(jié)語

隨著計算機技術(shù)、網(wǎng)絡(luò)通信技術(shù)的飛速發(fā)展,無線局域網(wǎng)技術(shù)正向著快速、安全、穩(wěn)定的方向發(fā)展,但同時也存在著很多的安全問題。在構(gòu)架校園無線局域網(wǎng)技術(shù)的時候,根據(jù)校園實際情況,如何制定一個合理的、安全強度足夠高的方案顯得尤為重要,必須及時掌握和了解最新的安全技術(shù),建立多層安全保護機制,從接入、加密、認證等多方面充分考慮,最大限度減少無線網(wǎng)絡(luò)帶來的風(fēng)險。

參考文獻

第9篇:無線局域網(wǎng)技術(shù)范文

關(guān)鍵詞:無線局域網(wǎng),WLAN,801.11,拓撲,安全性,應(yīng)用

 

一、什么是無線局域網(wǎng)

無線局域網(wǎng)(WirelessLocal Area Network,縮寫為'WLAN')是計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。從專業(yè)角度講,無線局域網(wǎng)利用了無線多址信道的一種有效方法來支持計算機之間的通信,并為通信的移動化、個性化和多媒體應(yīng)用提供了可能。通俗地說,無線局域網(wǎng)就是在不采用傳統(tǒng)纜線的同時,提供以太網(wǎng)或者令牌網(wǎng)絡(luò)的功能。

二、什么情形需要無線局域網(wǎng)絡(luò)

無線局域網(wǎng)絡(luò)絕不是用來取代有線局域網(wǎng)絡(luò),而是用來彌補有線局域網(wǎng)絡(luò)之不足,以達到網(wǎng)絡(luò)延伸之目的,現(xiàn)在有線局域網(wǎng)技術(shù)已經(jīng)發(fā)展得比較完善,但是什么情形需要使用無線局域網(wǎng)呢?下面就是無線局域網(wǎng)大顯身手的幾種場合。

1、移動辦公

有了無線局域網(wǎng),你就可以充分享受無線的自由:到辦公室后,打開自己的筆記本電腦,就可以擺脫煩人的雙絞線,在公司內(nèi)自由移動辦公了。而且,如果你來到分公司,如果他們也有無線局域網(wǎng),你也可以直接聯(lián)入網(wǎng)絡(luò),再也不用為找一個臨時座位和雙絞線而發(fā)愁了。

2、會議

會場布置過程中最令人頭痛的就是網(wǎng)絡(luò)布線,因為演示者很可能需要聯(lián)入網(wǎng)絡(luò)環(huán)境才能得心應(yīng)手。此時,如果在會場附近架設(shè)無線局域網(wǎng),使無線局域網(wǎng)覆蓋會場,筆記本電腦借助無線網(wǎng)卡上網(wǎng),那么問題就會迎刃而解。

3、布線困難的場所

地方利用無線局域網(wǎng)進行信息的交流;零售商、空運和航運公司高峰時間所需的額外工作站等。

流動工作者可得到信息的區(qū)域:需要在醫(yī)院、零售商店或辦公室區(qū)域流動時得到信息的醫(yī)生、護士、零售商、白領(lǐng)工作者。

辦公室和家庭辦公室(SOHO)用戶,以及需要方便快捷地安裝小型網(wǎng)絡(luò)的用戶。

三、目前的幾種無線網(wǎng)絡(luò)技術(shù)

目前,實現(xiàn)無線網(wǎng)絡(luò)的技術(shù),有藍牙無線接入技術(shù)、家庭網(wǎng)絡(luò)的HomeRF以及IEEE802.11連接技術(shù)。

1、藍牙技術(shù)

Bluetooth(藍牙)是一種短距的無線通訊技術(shù),電子裝置彼此可以透過藍牙而連接起來。透過芯片上的無線接收器,配有藍牙技術(shù)的電子產(chǎn)品能夠在十米的距離內(nèi)彼此相通,傳輸速度可以達到10M/s。不過Bluetooth產(chǎn)品致命的缺陷是任何藍牙產(chǎn)品都離不開Bluetooth芯片、Bluetooth模塊較難生產(chǎn),Bluetooth難于全面測試。這三點是藍牙產(chǎn)品發(fā)展的瓶頸。。

2、HomeRF技術(shù)

HomeRF是由HomeRF工作組開發(fā)的,是在家庭區(qū)域范圍內(nèi)的任何地方,在PC機和用戶電子設(shè)備之間實現(xiàn)無線數(shù)字通信的開放性工業(yè)標準。。作為無線技術(shù)方案,它代替了需要鋪設(shè)昂貴傳輸線的有線家庭網(wǎng)絡(luò),為網(wǎng)絡(luò)中的設(shè)備該協(xié)議的網(wǎng)絡(luò)是對等網(wǎng),也就是說,網(wǎng)上的每一個節(jié)點都是西對獨立的,不受中央節(jié)點的控制。因此,任何一個節(jié)點離開網(wǎng)絡(luò)都不會影響到網(wǎng)絡(luò)上其他節(jié)點的正常工作。它的另外一個特點是低功耗,很適合筆記本電腦。

3、IEEE802.11

IEEE802.11是IEEE最初制定的一個無線局域網(wǎng)標準,主要用于解決辦公室局域網(wǎng)和校園網(wǎng)中用戶與用戶終端的無線接入,業(yè)務(wù)主要限于數(shù)據(jù)存取,速率最高只能達到2Mb/s。

由于IEEE802.11在速率和傳輸距離上都不能滿足人們的需要,因此,IEEE小組又相繼推出了IEEE802.11b和IEEE802.11a兩個新標準。三者之間技術(shù)上的主要差別在于MAC子層和物理層。此外還出現(xiàn)了最新802.11g。

本文主要討論以802.11b為基礎(chǔ)的無線局域網(wǎng)。

四、無線局域網(wǎng)的標準

20世紀90年代初,無線局域網(wǎng)設(shè)備就已經(jīng)出現(xiàn),但是由于價格、性能、通用性等種種原因,沒有得到廣泛應(yīng)用。IEEE 802.11標準是IEEE(電氣和電子工程師協(xié)會)于1997年制定的一個無線局域網(wǎng)標準,主要用于解決辦公室局域網(wǎng)和校園網(wǎng)中設(shè)備的無線接入,速率最高只能達到2Mbps。由于IEEE 802.11標準在速率和傳輸距離上都不能滿足人們的需要,1999年IEEE小組又相繼推出了IEEE 802.11b和IEEE 802.11a兩個新標準。 由于802.11b和802.11a互不兼容,由802.11b升級到802.11a成本非常高,經(jīng)過長時間的研究, IEEE于近日試驗性的批準了802.11g。

IEEE 802.11是最初的一個無線局域網(wǎng)標準,用于用戶與用戶終端的無線接入,業(yè)務(wù)主要限于數(shù)據(jù)存取,速率最高為2Mbps。目前,3Com、TP-link等公司都有該標準的無線網(wǎng)卡。。

五、無線局域網(wǎng)的拓撲結(jié)構(gòu)

無線局域網(wǎng)的拓撲結(jié)構(gòu)可分為兩類:無中心拓撲(對等式拓撲)和有中心拓撲。無中心拓撲的網(wǎng)絡(luò)要求網(wǎng)中任意兩點均可直接通信。采用這種結(jié)構(gòu)的網(wǎng)絡(luò)一般使用公用廣播信道,而信道接入控制(MAC)協(xié)議多采用載波監(jiān)測多址接入(CSMA)類型的多址接入?yún)f(xié)議。有中心拓撲結(jié)構(gòu)中則要求一個無線站點充當中心站,所有站點對網(wǎng)絡(luò)的訪問均由中心站控制。

對于不同局域網(wǎng)的應(yīng)用環(huán)境與需求,無線局域網(wǎng)可采取不同的網(wǎng)絡(luò)結(jié)構(gòu)來實現(xiàn)互連。

網(wǎng)橋連接型:不同的局域網(wǎng)之間互連時,由于物理上的原因,若采取有線方式不方便,則可利用無線網(wǎng)橋的方式實現(xiàn)二者的點對點連接,無線網(wǎng)橋不僅提供二者之間的物理與數(shù)據(jù)鏈路層的連接,還為兩個網(wǎng)的用戶提供較高層的路由與協(xié)議轉(zhuǎn)換。

基站接入型:當采用移動蜂窩通信網(wǎng)接入方式組建無線局域網(wǎng)時,各站點之間的通信是通過基站接入、數(shù)據(jù)交換方式來實現(xiàn)互連的。各移動站不僅可以通過交換中心自行組網(wǎng),還可以通過廣域網(wǎng)與遠地站點組建自己的工作網(wǎng)絡(luò)。

Hub接入型:利用無線Hub可以組建星型結(jié)構(gòu)的無線局域網(wǎng),具有與有線Hub組網(wǎng)方式相類似的優(yōu)點。在該結(jié)構(gòu)基礎(chǔ)上的無線局域網(wǎng),可采用類似于交換型以太網(wǎng)的工作方式,要求Hub具有簡單的網(wǎng)內(nèi)交換功能。

無中心結(jié)構(gòu):要求網(wǎng)中任意兩個站點均可直接通信。此結(jié)構(gòu)的無線局域網(wǎng)一般使用公用廣播信道,MAC層采用CSMA類型的多址接入?yún)f(xié)議。

結(jié)束語

無線局域網(wǎng)的技術(shù)和產(chǎn)品在國內(nèi)的實際應(yīng)用領(lǐng)域還是新生事物。很多人對無線局域網(wǎng)還缺乏基本的了解,認同度就更談不上了。管理者認為,假如企業(yè)要運用無線局域網(wǎng)辦公,那么企業(yè)將不得不為設(shè)備付出昂貴的價格。因為目前無線局域網(wǎng)設(shè)備的價格相對高昂,如果使用無線局域網(wǎng)就意味著還需要大量的無線網(wǎng)橋和無線網(wǎng)卡,這一切都將使企業(yè)為之付出不菲的代價。而且在短時間內(nèi),企業(yè)很難看見由這些無線局域網(wǎng)設(shè)備投入而帶來的企業(yè)運營成本的降低。無線局域網(wǎng)技術(shù)還有一段路要走,但它會成為網(wǎng)絡(luò)技術(shù)中不可或缺的一支。

參考文獻:

[1] 符意德,潘錫東. CAN總線網(wǎng)與無線局網(wǎng)間的網(wǎng)橋設(shè)計[J]工業(yè)控制計算機, 2004,(04) .

[2] 夏宇洲. 無線局域網(wǎng)技術(shù)及應(yīng)用[J]電腦知識與技術(shù), 2005,(15) .

[3] 沈樂. 高速無線局域網(wǎng)信道差錯控制研究[J]廣東技術(shù)師范學(xué)院學(xué)報, 2005,(06) .

[4] 梁磊,熊小華,周宗平. 802.11i無線局域網(wǎng)的安全現(xiàn)狀研究[J]福建電腦, 2006,(02) .