时间:2023-06-06 09:30:45
关键词:WLAN;安全机制;加密;认证
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)33-1355-03
Security Analysis and Solutions for WLAN
TENG Bu-wei
(Lianyugang Technical College,Lianyungang 222006,China)
Abstract: This paper analyses the basic security mechanism for the main technical characteristics and shortcomings which used in WLAN at present.Introduced the latest development of several security mechanism for WLAN. At last, The security mechanism direction of development for WLAN is given.
Key words: WLAN;security mechanism
1 引言
无线局域网(WLAN),就是指利用无线电波作为传输媒介而构成的信息网络。由于WLAN产品不需要铺设通信电缆,因而可以灵活机动地应付各种网络环境的设置变化。WLAN技术为用户提供更好的移动性、灵活性和扩展性,在难以重新布线的区域提供快速而经济有效的局域网接入,无线网桥可用于为远程站点和用户提供局域网接入。由于无线通信开放的传输介质,使得WLAN的安全性能一直是人们关注的焦点,尽管802.11b/a/g等一系列无线局域网标准相继出台,但是WLAN的安全性能仍有待进一步提升。
2 无线局域网存在的安全风险
目前最广泛使用的WLAN产品仍然是802.11b产品。802.11b主要定义了以下几种无线局域网基本安全机制:
1) 服务集标识符(SSID);
2) 物理地址(MAC)过滤控制;
3) 有线对等保密机制(WEP)。
2.1 服务集标识符(SSID)
无线局域网中,首先为多个接入点(Access Point, AP)配置不同的服务集标识符(Service Set Identifier,SSID),无线终端必须知道SSID以便在网络中发送和接收数据。若某移动终端企图接入WLAN,Access Point首先检查无线终端出示的SSID,符合则允许接入WLAN。
SSID机制在WLAN中实际上为客户端和AP提供了一个共享密钥,SSID由AP对外广播,非常容易被非法入侵者窃取,通过AP入侵WLAN。甚至非法入侵者亦可伪装为AP,达到欺骗无线终端的目的。
2.2 物理地址(MAC)过滤控制
物理地址过滤控制是采用硬件控制的机制来实现对接入无线终端的识别。由于无线终端的网卡都具备唯一的MAC地址,因此可以通过检查无线终端数据包的源MAC地址来识别无线终端的合法性。地址过滤控制方式要求预先在AP服务器中写入合法的MAC地址列表,只有当客户机的MAC地址和合法MAC地址表中的地址匹配,AP才允许客户机与之通信,实现物理地址过滤。
但是由于很多无线网卡支持重新配置MAC地址,因此非法入侵者很有可能从开放的无线电波中截获数据帧,分析出合法用户的MAC地址,然后伪装成合法用户,非法接入WLAN,使得网络安全遭到破坏。另外,随着无线终端的增减,MAC地址列表需要随时更新,但是AP设备中的合法MAC地址列表目前都是手工维护,因此这种方式的扩展能力很差,只适合于小型无线网络使用。
2.3 有线对等保密机制(WEP)
在802.11中有一个对数据基于共享密钥的加密机制,称为“有线对等保密WEP”(Wired Equivalent Privacy)的技术, WEP是一种基于RC-4算法的40bit或128bit加密技术。移动终端和AP可以配置4组WEP密钥, 加密传输数据时可以轮流使用,允许加密密钥动态改变。
由于WEP机制中所使用密钥只能是4组中的一个,因此其实质上还是静态WEP加密。同时,AP和它所联系的所有移动终端都使用相同的加密密钥,使用同一AP的用户也使用相同的加密密钥, 因此带来如下问题: 一旦其中一个用户的密钥泄漏,其他用户的密钥也无法保密了。
3 无线局域网的安全措施
为了提高无线局域网的安全性,必须引入更加安全的认证机制、加密机制以及控制机制。
3.1 SSL
SSL(安全套接字层)协议本来是设计用来进行web安全传输的协议,是采用非对称密钥进行加密的一种方式。这种方式也可以被应用到WLAN中来。由WLAN运营商或者企业服务器为AP及合法的WLAN用户证书和私钥。在客户端进行网络接入的时候,AP和WLAN用户相互对彼此的证书进行认证,认证完成之后会协商一个会话密钥,之后的通信都会用这个会话密钥进行保护。
SSL无需客户端安装额外的软件,使用十分方便,并且能够提供十分强大的安全性能。目前应用中的SSL加密大部分只使用了单向认证,但为了提供全面的安全性,双向认证必然会是SSL应用发展的一个趋势。
3.2 虚拟专用网络(VPN)
虚拟专用网是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,只要具有IP的连通性,就可以建立VPN。VPN技术不属于802.11标准定义,它是一种以更强大更可靠的加密方法来保证传输安全的一种新技术。
对于无线商用网络,基于VPN 的解决方案是WEP机制和MAC地址过滤机制的最佳替代者。VPN方案已经广泛应用于Internet远程用户的安全接入。在远程用户接入的应用中,VPN在不可信的网络(如Internet)上提供一条安全、专用的通道或隧道。各种隧道协议,包括点到点的隧道协议(PPTP)和第二层隧道协议(L2TP)都可以与标准的、集中的认证协议一起使用,例如远程用户接入认证服务协议(RADIUS)。同样的,VPN技术可以应用在无线的安全接入上,在这个应用中,不可信的网络是无线网络。AP可以被定义成无WEP机制的开放式接入(各AP仍应定义成采用SSID机制把无线网络分割成多个无线服务子网),但是无线接入网络已经被VPN 服务器和VLAN(AP和VPN 服务器之间的线路)从企业内部网络中隔离开来。VPN服务器提供无线网络的认证和加密,并充当企业内部网络的网关。与WEP机制和MAC地址过滤接入不同,VPN方案具有较强的扩充、升级性能,可应用于大规模的无线网络。
3.3 802.1X端口访问控制机制
802.1X认证是采用IEEE802.1X协议的认证方式的总称。IEEE 802.1X协议由IEEE于2001年6月提出,是一种基于端口的访问控制协议(Port Based Network Access Control Protocol),能够实现对局域网设备的安全认证和授权。802.1X协议的基础在于EAP(Extensible Authentication Protocol)认证协议,即IETF提出的PPP协议的扩展。EAP消息包含在IEEE 802.1X消息中,被称为EAPOL(EAP over LAN)。IEEE 802.1X协议的体系结构包括三个重要的部分,客户端、认证者和认证服务器。三者之间通过EAP协议进行通信,基于802.1X认证的无线局域网网络框图如图1所示。
图1 802.1X访问机制
上图表明:802.1x依赖于一个EAP和一个RADIUS服务器来管理身份验证。其中:1表示客户端与拒绝通信的访问点联系,2表示访问点完成与认证服务器的一次握手,3表示认证服务器向请求者索要身份证明,4表示请求者用所指定的身份验证方法响应要求,5表示认证服务器向请求者提供一个会话密钥,6表示请求者现在与验证服务器和访问点同步,并能够在无线网络上通信。
基于802.1X/EAP的无线安全特别适用于多数公司级的无线网络。一些小型网络可以将802.1X安全与一个标准的加密协议(如WPA或TKIP)结合起来,一些更大的、要求更安全的网络会要求将802.1x的安全性与基于证书的的验证结合起来。
3.4WPA(Wi-Fi Protected Access)协议和强健安全网络(RSN)
在采用WEP安全标准的情况下,拥有WLAN的网络不能成为企业的核心网,只能作为接入网,所以必须解决WLAN的安全问题。802.11i标准是围绕802.1X基于端口的用户和设备认证展开的。它主要包含两方面的发展:WPA(Wi-Fi保护访问)和RSN(强健的安全网络)。
3.4.1 无线保护访问(WPA)标准
Wi-Fi联盟制定了WPA(Wi-Fi Protected Access)标准。这一标准采用了IEEE802.11i的草案,保证了与未来出现的协议的前向兼容。
WPA系统在工作的时候,先由AP向外公布自身对WPA的支持,在Beacons、Probe Response等报文中使用新定义的WPA信息元素(Information Element),这些信息元素中包含了AP的安全配置信息(包括加密算法和安全配置等信息)。STA(无线工作站)根据收到的信息选择相应的安全配置,并将所选择的安全配置表示在其发出的Association Request和Re-Association Request报文中。WPA通过这种方式来实现STA与AP之间的加密算法以及密钥管理方式的协商。
支持WPA的AP工作需要在开放系统认证方式下,STA以WPA模式与AP建立关联之后,如果网络中有RADIUS服务器作为认证服务器,那么STA就使用802.1x方式进行认证;如果网络中没有RADIUS,STA与AP就会采用预共享密钥(PSK,Pre-Shared Key)的方式。
STA通过了802.1x身份验证之后,AP会得到一个与STA相同的Session Key, AP与STA将该Session Key作为PMK(Pairwise Master Key,对于使用预共享密钥的方式来说,PSK就是PMK)。随后AP与STA通过EAPOL-KEY进行WPA的四次握手(4-Way Handshake)过程,
在这个过程中,AP和STA均确认了对方是否持有与自己一致的PMK,如不一致,四次握手过程就告失败。为了保证传输的完整性,在握手过程中使用了名为MIC(Message Integrity Code)的检验码。在四次握手的过程中,AP与STA经过协商计算出一个512位的PTK(Pairwise Transient Key),并将该PTK分解成为五种不同用途的密钥。
其中前128位用做计算和检验EAPOL-KEY报文的MIC的密钥,随后的128位作为加密EAPOL-KEY的密钥;接下来的128位作为AP与该STA之间通信的加密密钥的基础密钥(即由该密钥再经过一定的计算后得出的密钥作为二者之间的密钥);最后两个64位的密钥分别作为AP与该STA之间的报文的MIC计算和检验密钥。
由PTK分解出来的这一组(五个)密钥是AP与该STA之间使用的密钥(所以也叫每用户密钥,用于AP与STA之间的单播报文的加密),这些密钥永远也不会以任何形式出现在无线网络上。在确认双方所持的PMK一致后, AP会根据自身是否支持每用户密钥的能力来指示STA是否安装并使用这个每用户密钥。
为了使现有的设备能够通过软件/固件升级实现WPA,协议规定AP可以不采用PTK方式,而是利用下面将要描述的GTK作为AP向STA发送单播报文时的密钥。如果AP通知STA安装并使用PTK,那么STA在向AP发送一个EAPOL-KEY相应报文后,再把相应的密钥安装到无线网卡中。
四次握手成功后,AP要生成一个256位的GTK(Group Transient Key),GTK是一组全局加密密钥,所有与该AP建立关联的STA均使用相同的GTK,AP用这个GTK来加密所有与它建立关联的STA的通信报文, STA则使用这个GTK来解密由AP发送的报文并检验其MIC。该密钥可以分解为三种不同用途的密钥, 最前面的128位作为构造全局“每报文密钥”(Per-packet Encryption Key)的基础密钥(Base Key),后面的两个64位的密钥分别作为计算和检验WPA数据报文的MIC的密钥。AP使用EAPOL-KEY加密密钥将GTK加密并发送给STA,并指明该GTK是否允许STA用作发送报文所使用,STA成功接收到该报文,将GTK解密后,向AP发送应答报文,并根据AP所指示的Key Index将其安装无线网卡的相应位置,如果AP使用GTK作为向某一STA单播传输的密钥,则该STA也需要使用GTK作为向AP发送单播报文的密钥。
TKIP并不直接使用由PTK/GTK分解出来的密钥作为加密报文的密钥,而是将该密钥作为基础密钥(Base Key),经过两个阶段的密钥混合过程,从而生成一个新的每一次报文传输都不一样的密钥,该密钥才是用做直接加密的密钥。 通过这种方式可以进一步增强WLAN的安全性。
3.4.2 强健安全网络(RSN)
强健安全网络在接入点和移动设备之间使用的是动态身份验证方法和加密运算法则。在802.11i标准草案中所建议的身份验证方案是以802.1X协议和“可扩展身份验证协议” (EAP)为依据的。加密运算法则使用的是“高级加密标准”AES加密算法。
认证和加密算法的动态谈判能使RSN具有灵活的升级能力,随着安全技术的进步,可以加入新的算法,对付新的威胁。使用动态谈判、802.1x、EAP和AES,RSN明显比WEP和WPA安全性更高。但RSN对硬件要求较高,只有拥有加速处理算法硬件的新设备,才能显示出WLAN产品所期望的性能。
4 结束语
无线网络安全是一个不断改善和升级的过程,当前WLAN所使用的主要安全机制包括SSID、物理地址(MAC)过滤、有线对等保密机制(WEP)都已经在实际使用中显露出弊端。将802.1x端口控制技术、EAP认证机制和AES加密算法相结合,可以使WLAN安全性能得到较大提高。随着无线技术迅猛发展,无线通信安全尚待进一步发展和完善,将用户的认证和传输数据的加密等多种措施结合起来,才能构筑安全的无线局域网。
参考文献:
【关键词】无线局域网 校园网 无线数字通信 安全性
一、无线局域网的安全威胁
无线局域网通过电磁波传播数据的特性为我们带来便利的同时,安全问题随之而来。在使用WLAN时面临的安全威胁主要有三个方面,一个来自网络自身的漏洞,一个来自外界的恶意威胁,最后一个是网络中承载的信息的价值。无线网络的漏洞包含2个层次,一方面是前面提到的传输介质的开放性导致的漏洞,另一个方面问题是由于无线网络存在的漏洞,影响原有的有线网络的安全性。网络外部的恶意攻击者和网络内部的用户都可能是WLAN安全威胁的带来者。在IEEE802.11协议中,用户数据通过密钥进行加密,看似用户的数据安全性有保障,实际上所用的WEP中规定的加密方案并不能做到。WEP攻击主要有四种:被动型攻击――解密业务流、主动型攻击――接入业务流、针对接收和发送两端的主动攻击、利用解密字典进行攻击。
二、802.11无线局域网的安全改进方案
思科开发了802.1X/LEAP认证方案来增强控制,使用基于AES算法的加密方法来取代WEP协议也很常见,另外使用上层的保护手段也比较有效,比如IPSVPN。尽管各大制造商自行研发的解决方案使得WLAN的安全得到了更大的保障,但是这种使用各自不同的解决方方案的情况使得产品之间出现兼容性的问题。
IEEE802研发组成立了专门的工作小组来解决802.11出现的安全问题。他们推出的新的安全协议就是802.11i,这个协议对MAC层的安全进行了保障。802.11i的出世既要解决802.11中面临的安全问题,也要做到支持已在市面上的大量产品都能够使用这个新的协议,来保障相关单位在之前做出的投资。在IEEE802.1i协议中,IEEE802.1X、可扩展认证协议(EAP)、远程身份验证拨入用户服务RADIUS这三个部分共同完成了身份认证和接入控制。
三、WLAN建设的总体需求
(一)构架方式。建设过程中用的组网方式是无线控制器和FITAP方式。这个模式是在无线控制器上进行配置的,对于同一类的接入点只需要配置一次就足够了,接入点会从无线控制器上把我们配置好的文件下载到本地进行使用,解决了传统方式中工作繁复的问题,即使接入点设备遗失,配置文件也不会泄漏。无线控制器还可以对接入的用户进行管理和监控。这个组网方式支持对接入点的自动软件更新,只要对接入点进行重启,接入点就会去检查自己的软件版本和无线服务器上的软件版本,如果需要更新则更新。如图1。
FITAP下,用户的数据能通过AP中的CAPWAP隧道链接无线控制器,这使得用户的VLAN可以和骨干交换机沟通,而绕过无线交换机。这一个特性对于在校园有线网络的基础上建设校园无线局域网非常有用。可以很大程度少减少对有线网络的改造,减少工作量。
(二)负载平衡。负载平衡要做的是每当有新的用户想要接入到WLAN时,查看每个AP的连接数,通过比较以后将用户分配给接入数较少的接入点。这样做能够是用户在使用网络的时候拥有更快的相应。这个机制中,当用户接入接入点的时候,无线控制器会做负载平衡。接入点每隔一段时间向无线控制器发送当前已经连接的设备的信息。无线控制器收到消息以后,使用这项数据来判断当前的AP是否过载。如果没有超过负载,就会允许用户的接入,否则,依据设置来决定是否允许接入。以上图为例子,客户端想要链接到接入点1,但是不再不均衡,最后个客户端会链接到连接数较少的接入点2上。
(三)认证功能。无线控制器AC需要支持SIM卡,TLS,PEAP,MD5,TTLS等协议,才能对不同形态的用户进行授权。在原有的有线校园网中,已经有了不少的用户,他们有相应的账号和密码。在建设好无线局域网以后,要使得这些账户仍然可用,别切在无线网络和有线网络的切换中不需要重复认证,这需要在无线控制器中设置。
(四)无线控制器的备份。本设计中使用双链路链接的方案来实现备份。这个方案可以实现备份的热进行,在进行备份的时候网络仍然可用。存在两个无线控制器,分别主用和备用,所有的接入点既要与主控制器连接也要与备用控制器连接。当进行备份的时候主控制器就会当机,这是侯心跳检测机制会告诉接入点主控制器的情况,接入点就会在极短时间内接入到备用的无线控制器,做到在备份的同时不影响到网络的连接和使用。双链路链接如图2。正常情况下都是无线控制器1也就是主控制器服务于1-4这4个接入点,当无线控制器停止工作的时候,无线控制器2就会顶替控制器1成为主控制器为接入点服务,直到无线控制器1回复工作,无线控制器1再次成为主控制器并接管工作。
关键词:有线局域网;无线局域网;混合局域网
1引言
随着便携式终端联网设备得到广泛使用,人们对移动网络通信的需求越来越高,传统的有线网络则无法实现这一需求。无线局域网具有移动性好、易扩展和组网灵活等特点,以稳定的有线局域网作为基础,结合灵活高效的无线网络,实现“有线+无线”的混合型接入网络,实现了采用有线方式难以解决的网络移动连通问题,是计算机局域网的重要发展趋势。
2有线技术和无线技术混合局域网的需求分析
目前局域网的主要组网方案是采用有线局域网进行组网。有线网络传输具有数据传输速度高,传输稳定可靠等优点,但有线网络也存在一定缺陷。首先,有线网络的布设需要使用大量的线缆及相关配件,造价相对昂贵。另外,有线网络信息点需要保留一定比例的冗余,有线网络的投资越大,按比例的浪费越大。其次,有线网络布设时需要在建筑物上钻孔铺设线缆,施工困难,周期长,出现故障也难以判断和解决,维护维修难度较大。第三,有线网络的结构及布线一旦确定并完成后,信息点位置固定,无法灵活满足各种变动,可扩展性差。
无线局域网(Wireless Local Area Network)是计算机网络与无线通信技术相结合的产物,它利用射频通信技术,不依赖固定的有线通信线路,能够提供有线局域网的所有功能。近年来,WLAN得到了广阔的发展。与有线局域网相比,无线局域网具有很大的优势:第一,在无线局域网络中,用户接入点和网络数据源不局限于物理连接上,用户可以在无线网络布设的区域内自由移动并和网络保持持续连接,移动性强。第二,在无线局域网中,网络安装无需繁琐的布线工作,一个AP覆盖范围可达上百米,可同时与多台计算机相连,随时可以根据应用的需要来调整,组网灵活,易于扩展。第三,无线局域网不存在线路老化等问题,维护成本比有线网络大为降低。因此,WLAN可以快速方便的实现室内、室外局域网连接,特别适用于网络临时安装的区域,如大礼堂、体育场馆等,或者不适合进行有线接入的场所,如展览会、历史建筑等。但同时无线局域网也存在一些缺陷,具体表现在:第一,无线网络以空气作为传输介质,会由于受到干扰或者遮挡而给网络稳定通信带来不利影响。第二,与有线局域网相比,无线局域网的信息传输速率较低。第三,无线网络的传输信道是开放的,存在安全性问题。
因此,在局域网组建中,必须同时考虑两种网络的优缺点,根据不同的需求,取长补短,采取最佳的组建方式,组建“有线+无线”的混合网络。这样既满足现有应用的需求,又具有较大的可持续发展性。
3有线和无线混合局域网的实现
根据上面的分析,有线和无线混合局域网主要解决两个问题:第一,信息接入点的移动问题。对于较大的集体活动场所,如图书馆、会议室、礼堂等,这些场所一般布设的有线接入点数量有限,但往往还存在大量的网络连接需求。这种情况下,采用无线接入方式就势在必行。第二,布线困难或者需要有线网络拓展的问题。一般情况下,例如体育馆、实验室或者历史建筑等场所难以进行有线网络的布线和有线接入,在存在电脑入网需求的情况下,可以采用无线局域网。针对上面需要解决的主要问题,以企业内部局域网这一应用环境为例,研究有线和无线混合局域网组建方案,如图1。
图1 企业内部有线和无线混合局域网组建拓扑结构
图1中路如器、防火墙和核心交换机形成网络的核心。接入部分是有线网络和无线网络的组合。有线局域网主要是布线完成的区域,例如办公楼,这一部分只要进行交换机的配置就能实现有线接入。无线接入针对没有布线或者不适合布线但又要求网络覆盖的区域,例如图1中礼堂和宿舍楼。礼堂内有线和无线混合局域网设计拓扑结构如图2。
图2 礼堂内部有线和无线混合局域网组建拓扑结构
礼堂内部空间较大,可能存在的入网用户可能较多,由于单个无线AP可接入的无线终端数量有限,为满足多用户的需求,可增加无线AP的数量。为避免无线AP间的信号频段相互重叠,还需要将无线AP上的频段进行设置,避免应相互覆盖而影响网络性能。
集体宿舍单个房间内可以直接AP接入室内的以太网端口,作为有线网络的补充和拓展,有线和无线混合局域网组建拓扑结构如图3。
图3 集体宿舍单个房间有线和无线混合局域网组建拓扑结构
4、结束语
针对当前网络连接的实际应用需求和网络技术发展现状,将无线技术作为有线局域网的重要补充,采用“有线+无线”的混合网络,既满足现有应用的需求,又具有较大的可拓展性,具有实际的工程应用价值。
参考文献:
关键词:数字化校园;无线局城网;应用探讨
在教育信息化快速发展的今天,校园网已经成为校园生活的重要组成部分,是教职员工和学生获取资源和信息的主要途径。它将校园里的院系、学生与从事社交、学术、业务活动的行政人员紧密地联系在一起,在教育系统中具有重要的作用。目前,越来越多的教师、学生拥有了笔记本电脑,他们渴望在教室、实验室、图书馆和室外广场等场地随时随地地接人互联网或校园内网,及时地获得所需的信息。
一、传统有线网络的局限性
1.永远不够用的网络信息点
在教学楼、学生宿舍楼,学校图书馆等校园内,学生的数量多而密集,大量的学生、教师要求接人校园网络,于是有限的网络接口就变得炙手可热,甚至很多宿舍学生自己买了switch与之相连,导致满宿舍的网线错综复杂,不易管理。
2.无法及时获取信息
在校园内的开阔地点,如草坪、操场、学术报告厅等,学生们休息的时候想浏览网页;想上学校的BBS;想在网上视频点播,但却找不到网络信息点。
3.无法满足开放式电子图书资源的访问
学校图书馆是学生查阅资料相对比较集中的地方,学生需要在图书管理员处查询、借还各种图书,以及机房占用有限的网络接口无法浏览电子图书,所以经常可以看到在图书管机房排着长长的队伍。无线局域网是无线通信技术与网络技术相结合的产物。从专业角度讲,无线局域网就是通过无线信道来实现网络设备之间的通信,并实现通信的移动化、个性化和宽带化。.通俗地讲,无线局域网就是在不采用网线的情况下,提供以太网互联功能。广阔的应用前景、广泛的市场需求以及技术上的可实现性,促进了无线局域网技术的完善和产业化,已经商用化的802.1 1b网络也正在证实这一点。随着802.1 la网络的商用和其他无线局域网技术的不断发展,无线局域网将迎来发展的黄金时期。无线局域网逐步在企业、医院、商店、工厂和学校等场合得到应用。
4.架设中职无线局域网所需的硬件设备如:
A无线网桥/网卡/路由器设。B室外高增益天线系统 。C网络安全系统何选)无线网络控制器。D避雷及防水设备
二、中职架设无线局域网的优势
1.可以充分利用学校已有资源。当前,教师利用多媒体进行教学已经司空见惯,许多中职教师人手一台笔记本电脑,许多中职已经基本形成无纸化课堂。随着无线技术迅速发展,学校难以避免需要向无线局域网技术升级。无线局域网的架设,可以使用户不再受线路的限制,并能使高速无线与各校已经安装的有线局域网集成起来,从而保护学校和教师已有的投资。
2.可以很方便地扩容和调试。对于有线网络来说,办公地点或网络拓扑的改变通常意味着重新建网。重新布线是一个昂贵、费时、浪费和琐碎的过程,无线局域网可以避免或减少以上情况的发生。使用无线接人方式,既可用于物理布线困难的地方,调试也相对简单,又更能节省大量的维护费用,是目前局域网用户升级、改造现有网络最佳的途径。
3.解决“信息孤岛”问题。构建学校校园网,主要解决重要建筑之间的联网,如通常会连接主楼、信息中心、图书馆等,一般采用光纤网络的方式。许多距离较远或用户较少的建筑变成了“信息孤岛”。在学校的主要室外活动地点如主广场、运动场等架设一套无线网桥路由设备,配备大功率室外天线,装有无线网卡的笔记本电脑用户就可以享受无线网络带来的便利:可以在草地上查阅图书管资料、在湖边收发邮件、在树荫下、在网站上过行比赛文字现场直播!
4.可以节省大量专项经费。使用无线接人解决方案,可以节省大量的布线成本,仅需要在每个教室或宿舍的每个楼层预留一至两个以太局域网接口,便可轻松实现无缝接人校园网。启用无线接人解决方案后,教师和学生都使用笔记本电脑或PDA移动办公,便可完全取代PC,因此学校就无需购置专用的教学PC,仅需购置几十块无线网卡即可。
5.可以充分覆盖校园。合理地布置无线局域网接人点,可以使整个校园都有网络,学校就不必再投人大量的资金来建设更多公共机房;在座位紧张的电子阅览室,学生也不必为上机发愁,真正实现数字化校园的功能。而且由于没有线缆的限制,学校可以方便地按需增加工作站或重新配置工作站。
6.可以让网络管理高效有序。采用无线接人的方式来访问校园网,同有线网络比较,安全维护上并不需要特殊的投资,在管理上则完全按照有线网络来管理。即通过服务器来给不同的用户设置权限,这样不同的用户只能访问特定的资源。
7.有线局域网与无线局域网并存。自从上世纪末,各中职开始校园数字化建设起,各校大都进行并完成了有线局域网的架设工作,其间,因大学校园的扩建,网络基础设施建设进行了大规模的扩容和增加信息点,各种管理信息系统的上线,教育平台的搭建上已经基本形成格局。根据对高速网络技术及应用的需求,各大学可以采用以有线局域网为基础的网络平台,构建各样的无线局域网。校园网通常分为三级建设:核心层、分布层和接人层。只用在已经分布好的信息点处加装一些无线宽带路由器,即可实现一定范围的无线局域网覆盖面。虽然纯无线局域网要比有线局域网成本高,但无线局域网会是有线方案的有利补充。随着大学师生个人购买笔记本和PDA人数的增多,网络无线化应用将会普及到校园中去。
三、无线局域网在能够给网络用户带来便捷和实用的同时,也存在着一些缺陷:
1.无线电波易受干扰,建筑物、车辆、树木和其它障碍物都可能阻碍电磁波的传输,会影响网络的性能;
2.无线信道的传输速率与有线信道相比偏低。
3.从理论上讲,无线网络更容易被监测到信息,造成通信信息泄漏。
可采用扬长避短,针对性策略:
1.组合使用安全技术保障信息安全。对于安全性要求更高的用户,将现有的VPN安全技术与802.1 1b安全技术结合起来,是目前较为理想的无线局域网络的安全解决方案。
2.建立相应的无线网络管理系统。完善和升级现在所用的网管系统、监控系统,做到主机能够监视无线网络系统中所有单元、监视和报告无线信号的变化以及接人点的业务类型和负载情况、自动发现进人无线网络体系结构的新设备,就能保证网络的传输速率的稳定。
无线局域网在技术上已经日渐成熟,应用日趋广泛,无线局域网将从小范围应用进人主流应用。大学校园应大力进行校园无线局域网技术的研究和实用化工作,抓住无线局域网发展的契机。不但可极大地推动国家信息化的发展进程,还将为我国信息产业和通信市场步人国际市场创造了机会与条件。
参考文献:
[1]李梦祺 黄锋 李君 浅谈无线局域网络的安全 《中国科技纵横》2010年 第7期
西电捷通所提供的基于WAPI标准的AirSec?专业级无线局域网产品作为2006年首批“无线局域网认证产品政府采购清单”推荐产品,目前,已在国家金审工程、中国飞行试验研究院、中国人民信息安全测评认证中心、中国科学院等多个高要求行业的重点客户实现两年以上性能稳定可靠运行。凭借其在安全接入、产品性能、产品稳定性等方面的出色表现和西电捷通公司所提供的专业化定制服务,AirSec?专业级无线局域网产品满足了政府、金融、军事等行业对安全的高标准要求。
同样,由40余项发明专利构成的IP自适应网络系统产品(AIPNTM)作为在国内外首次提出的一种移动用户在移动环境中无需任何配置,可使用原局域网固定私有IP地址,随时随地接入“局域网内”的技术、产品及解决方案,解决了关键业务、流程对局域网依赖,以及局域网不能柔性延伸支持连续业务等问题,使得局域网与业务同样积极以保障工作效率。截至目前,在电力、科研院所、政府机关等多个行业中,IP自适应网络系统产品(AIPNTM)已实现了规模商用,并以稳定、安全的表现有力的保障了用户关键业务的开展。
截至目前,西电捷通已拥有六十余项WAPI、AIPN等技术的专利及专利申请。相关成果先后获得国家技术发明奖(二等奖)、联合国世界知识产权组织(WIPO)和国家知识产权局联合授予的中国专利发明金奖、信息产业重大技术发明奖和国家密码管理局密码科技进步二等奖。
随着无线网络技术的不断发展以及用户对无线网络需求的不断增加,无线局域网市场将会有一个“井喷”式的增长。作为WAPI主要技术提供商和积极的合作伙伴,西电捷通将致力于与无线局域网产业链各方的精诚合作;另一方面,也以完全开放的模式,专注与行业系统解决方案提供商的紧密合作,并努力通过专业的、可定制化的技术产品,以满足和提升政府事业机构和行业客户对移动、安全的要求和价值。
Raritan IT基础设施管理产品CommandCenter Secure Gateway
某移动公司通过Raritan的CommandCenter Secure Gateway产品真正实现了数据中心集中访问处理的的各种功能,如人员的权限分配、按时间段来控制访问权限、跨地域的设备访问控制、整合第三方的监控工具和带内访问软件、对各种访问事件全面记录等各种灵活的功能。
――美国Raritan(力登)公司中国区技术经理 周里功
业界率先实现的IT设备“监控、处理”无缝整合的完整解决方案:IT维护人员收到系统的告警信息后点击连接直接进入设备维护。所有操作在同一界面下完成,实现实现“一站试”的即发现即处理的闭合维护系统;纯硬件的解决方案,定制化专有的安全系统内核,使用高冗余度的硬件设备搭建的集带内带外管理优点于一身的全冗余设计方案;集用户安全、设备安全和数据安全于一身的安全体系,保障系统正常运行;简单的设备数量增加,即可完成对整个系统的管理设备数量扩充和管理功能扩充;良好的多语言人机界面、自动适应客户的电脑语言;备份、升级、报告等任务的预设制强大的集中管理功能。
宏正KN2116
KN2116可让ㄧ位近程与两位远程用户同时登录KN2116所连接的服务器,拥有先进的加密技术与卓越的安全管理机制,可安全地执行监控、管理、疑难排除,以及各项应用程序。
――宏正公司 载文怡
全球数字信息分享领导厂商-宏正自动科技,旗下ALTUSEN系列新款16端口远程电脑管理方案- KN2116 KVM Over the NET ,可协助系统管理人员突破空间与时间的限制,只需连结LAN、WAN、或是网络,即可远程访问与操控多达16台服务器。兼具成本与实用效益的KN2116 KVM Over the NET 多电脑切换器,采用先进的Cat 5类网线连接方式,其不但可简化机房线路管理,并能有效节省机房使用空间。
通过完整的电脑端模块,可灵活支持多平台与多接口环境,包括 PS/2、USB、SUN、以及串口服务器与设备,能够满足目前机房内多元化平台管理的需求。
KN2116采用Cat 5类网线连接方式,能节省机房使用空间。通过完整的电脑端模组,可支持多平台与多接口环境,包括 PS/2、USB、SUN、以及序列服务器与设备,满足目前机房内多元化平台管理的需求。
Avocent AlterPath ACS系列网管设备
有了带外网管,电信城域网可以轻松获得良好的可用性、集中的运维模式、高度的安全规范,电信工程师能够从任何位置接入网络并安全和可靠地管理网络。
――Avocent(中国)企业销售总监 李广瑞
随着电信市场竞争的加剧和人们生活水平的提高,用户对各大电信运营商的服务质量的要求也在不断提升。如何降低网络故障率,提升故障处理水平已成为电信运营商能否赢得客户信任,能否保住市场的关键。特别是电信业务大集中后,处理问题更需要科学化、规范化、自动化、信息化,因此,建立一个轻松、安全、高效的城域网网管体系就显得尤其重要。Avocent AlterPath ACS系列是一种专为需要远程配置、恢复或复位分支机构内的服务器或网络设备的IT管理员所设计的高性价比网管设备。AlterPath ACS系列将调制解调器支持和电源控制结合在统一解决方案中,整个解决方案可保证全天候远程访问分支机构中重要的IT设备。通过一个安全集中管理界面,AlterPath ACS系列帮助IT管理员避免了昂贵的分支机构现场服务,并且改善了对业务关键设备的控制。
SafeNet访问控制无边界访问控制服务器
客户登录时使用iKey+PIN码的双因素认证方式,既解决了用户自己管理密码的安全问题,又解决了下级经销商人员变动的帐户管理问题,让员工和下级经销商业务人员的远程访问既安全又方便。
――SafeNet企业安全产品销售工程师 童军水
SafeNet无边界访问控制服务器(Borderless Security Enterprise Access Server)是专为满足大型企业对快速建立安全存取控制解决方案的严苛需求而建构及设计。Enterprise Access Server安装在稳固且高效能的1U装置中,并整合了IPSec及SSL VPN、稳固的用户认证、多方授权、端点安全兼容性检查,以及广泛的认证,提供安全远程访问。
健康一体机 VPN 低成本 网络接入方案
1 引言
安徽省卫计委下配给县级卫生系统的健康一体机功能齐全且便于携带,具备心电图、心率、血糖、血压、血氧饱和度、尿常规、体温等检测功能。同时,配有二代身份证读卡器,并配套相关的应用软件和管理软件,实现与基层医疗机构管理信息系统、公共卫生系统及县级综合卫生管理平台间的互联互通和信息共享。该机的配备使用将有力提升村级医疗机构服务能力,为农村居民带来更高质量的医疗卫生服务,广大农民群众足不出村即可享受各项免费身体检查,尤其是65岁以上老年人和慢性病患者的健康体检将更加方便快捷。但是在使用过程中发现,健康一体机是接入卫生局内网的,而村卫生室中的互联网专线用户、家庭宽带用户、4G LTE宽带用户均无法使用健康一体机。
后期安徽省卫计委将在全省推广健康一体机,涉及滁州市1050户村卫生室接入。如村卫生室使用数据专线直连至卫生局内网,可以正常接入,但数据专线投资成本较高,经济效益较差。基于此,本文项目旨在研究村卫生室用户的接入方案,在经济效益及方案可行性上进行创新接入。
2 项目背景
项目旨在使移动用户使用健康一体机能够成功接入到卫生局内网。健康一体机要求通过WLAN(Wireless Local Area Networks,无线局域网)方式连接,在保证能够正常接入的同时,考虑到接入方式的经济效益问题,应尽可能选取低成本、高效的接入方式。
健康一体机操作系统为Linux,无法进行客户端VPN(Virtual Private Network,虚拟专用网络)拨号,且健康一体机访问IP等信息已固化在设备中,无法通过公网映射。
用户接入方式包括有线宽带、LTE宽带这2种形式。4G信号在村卫生室已基本覆盖,投资较低;而有线宽带覆盖较弱,投资较高,但接入质量较好。考虑到经济效益问题,方案需要解决有线宽带及LTE宽带用户的接入问题。
3 采用方案及关键技术分析
健康一体机接入方案拓扑图如图1所示。有线宽带用户通过滁州IP城域网与在卫生局部署的网关设备连接,LTE宽带用户通过4G CPE(Customer Premise Equipment,客户终端设备)连接至安徽省网Internet,并通过省到市CMNET连接滁州IP城域网连接到卫生局网关设备。根据以上特点,拟采用L2TP(Layer 2 Tunneling Protocol,第二层隧道协议) VPN方案接入[1-2],有线宽带用户及LTE宽带用户通过不同的方式接入卫生局内网。
关键技术:PPP(Point to Point Protocol,点对点协议)协议定义了一种封装技术,可以在二层的点到点链路上传输多种协议数据包,当用户与NAS(Network Access Server,网络接入服务器)之间运行PPP协议时,二层链路端点PPP会话点会驻留在相同硬件设备上。由于L2TP协议提供了对PPP链路层数据包的隧道传输支持,允许二层链路端点和PPP会话点驻留在不同的设备上,并且采用包交换网络技术进行信息交互,从而扩展了PPP模型。L2TP协议结合了L2F(Level 2 Forwarding protocol,第二层转发协议)协议和PPTP(Point to Point Tunneling Protocol,点到点隧道协议)协议的各自优点,成为IETF(The Internet Engineering Task Force,国际互联网工程任务组)有关二层隧道协议的工业标准[3]。
(1)有线宽带接入方案
有线宽带利用滁州城域网BRAS(Broadband Remote Access Server,宽带远程接入服务器)(华为ME60)作为L2TP LAC(L2TP Access Concentrator,L2TP访问集中器)设备[4],与卫生局网关设备建立L2TP隧道,有线宽带用户通过无线路由器进行PPPoE(PPP over Ethernet,以太网上的点对点协议)方式拨号接入卫生局内网,健康一体机通过WLAN连接无线路由器接入卫生局内网,方案无额外投资。
总体思路:将卫生局网关设备通过三层接口与滁州BRAS互联,BRAS使用LoopBack地址与网关设备建立L2TP隧道,BRAS及卫生局网关设备均新建认证域,BRAS下挂用户通过PPPoE拨号连接后,BRAS认证域将用户指向卫生局网关设备认证并连接到卫生局内网[5]。主要配置如下:
要求在BRAS上建立卫生局网关设备的三层子接口[6-7]。
在BRAS上使能L2TP并建立l2tp-group[8],使用BRAS的LoopBack接口作为隧道接口,建立L2TP用户认证域并关联到l2tp-group。
卫生局网关设备(华为SRG2200)建立虚拟网关接口[7-8]、使能L2TP功能并建立l2tp-group;在AAA模块中创建认证域、创建用户并关联地址池,其中创建用户必须使用户名后缀为“@认证域的域名”,如下所示:
local-user test@dywsj password cipher test@123 //dywsj为认证的域名
在BRAS下建立用户认证接口[7],将用户指向该接口认证。
BRAS下挂用户通过PPPoE方式使用用户名/密码(test@dywsj/test@123)认证,在卫生局网关上认证成功,健康一体机使用WLAN连接进行服务器测试,测试成功。
(2)LTE宽带接入方案
LTE宽带利用4G CPE作为L2TP LAC设备,通过Internet与卫生局网关设备建立L2TP隧道,LTE宽带用户通过无线路由器连接到CPE上接入卫生局内网,健康一体机通过WLAN连接无线路由器接入卫生局内网,方案无额外投资[9]。
选取室外型CPE ZLT P10设备作为L2TP LAC设备,原设备无法进行L2TP拨号,联系设备厂家对CPE设备进行软件版本升级后,可以在ZLT P10上直接进行L2TP拨号[10]。
该CPE设备软件版本升级后可以直接进行L2TP拨号配置,但在进行L2TP拨号时要求具备隧道名称,需在卫生局网关设备上做如下配置:
能L2TP并建立l2tp-group[8],其中l2tp-group必须具备隧道名称,如下所示:
l2tp-group 2
allow l2tp virtual-template 2 remote lac domain system //关联认证接口及认证域,隧道名称为lac
创建认证域、关联地址池并创建用户[7-8]。
在升级后的CPE设备中直接进行L2TP拨号设置,输入卫生局网关设备的IP地址、隧道名称以及配置的用户名/密码(test/test@123),健康一体机使用WLAN连接进行服务器测试,测试成功。
4 结论
本文接入方案针对村卫生室用户的基础网络覆盖情况,对已有光缆覆盖的用户,使用IP城域网与卫生局内网网关设备做L2TP VPN接入;对无光缆覆盖但4G信号已覆盖的用户,使用4G CPE与卫生局内网网关做L2TP VPN接入。经过实地接入测试,成功达到方案的研究目的,实现低成本、高效的接入,并且接入运行正常稳定。
参考文献:
[1] 白树成. 初探L2TP技术[J]. 青年时代, 2014(20): 90.
[2] 邓晓宇. 不同场景下4G与FTTH宽带接入需求的替代性探讨[J]. 电子技术与软件工程, 2015(4): 26.
[3] 佛罗赞,费根. 数据通信与网络[M]. 吴时霖,吴永辉,吴之艳,等译. 4版. 北京: 机械工业出版社, 2007.
[4] 刘蒙. 基于L2TP和IPSec的远程访问型VPN技术方案[J]. 科技创新与应用, 2014(36): 73.
[5] 王相林. 组网技术与配置[M]. 2版. 北京: 清华大学出版社, 2007.
[6] 李健,靳冰t. 浅谈BRAS(ME60)双机热备份实现方案[J]. 科技创新与应用, 2013(30): 75-76.
[7] 王达. 华为路由器学习指南[M]. 北京: 人民邮电出版社, 2014.
[8] 华为技术有限公司. HCNA网络技术学习指南[M]. 北京: 人民邮电出版社, 2015.
关键词:无线局域网;校园网;应用
校园网经过一段时间的发展,如今已经在校园的各种教育教学活动中得到了广泛的应用。校园网对学校的教学、科研、管理,起到了不可估量的作用,并逐步成为校园中不可缺少的一个部分。早期的校园网基本上使用的是有线局域网,但是随着日益增长的网络应用的需要,重新布线不仅浪费巨大,且工期较长,而且拓展性仍然受到限制,如何解决这一问题?目前正迅猛发展的无线局域网络正具备拓展性强、安装使用方便等特点。本文就无线局域网络的标准、无线网络的组网设备、组网方式以及组网实践进行探讨。
无线局域网WLAN(Wireless Local Area Network)是计算机网络与无线通信技术相结合的产物。它利用红外线(IR)、射频(RF)和微波作为传输介质,取代传统的网线构成局域网络,具有传统有线局域网的所有功能。WLAN由于使用无线信道来传输数据,有效地促进了通信的移动化。无线局域网有着移动性强、安全性可控、节点在其信号传输允许范围内可不受物理地域限制,且经济实用、便于维护和管理的优点。
无线局域网的组建较为简单,一般只要具备下列两种设备就可以组建无线局域网。
无线网卡:根据接口不同分为笔记本电脑的内置PC卡、台式机的内置PCI卡以及两者皆适用的外接USB卡等。在无线局域网中,它们是操作系统与天线之间的接口,用来创建透明的网络连接,用于无线网络的组建。
无线接入点AP(Access Point):是一个无线子网的基站,它实现无线局域网和有线局域网之间的桥接,在无线局域网和有线局域网之间接收、缓冲存储和传输数据。AP通常是通过标准以太网线连接到有线局域网上,并通过天线与无线设备进行通信。其作用半径取决于天线的方向和增益。在有多个AP时,用户可以在AP之间漫游切换。通过添加更多的AP,可以比较轻松地扩充无线局域网,从而减少网络拥塞并扩大网络的覆盖范围。
将无线局域网技术应用于校园网络建设中,采取何种组网方式必须依据建网的目的及网络要求来灵活应用。现阶段,无线网络的接入方式主要分为对等接入方式和基础结构接入方式两种:
对等接入模式:通常由若干无线终端和服务器组成,每个设备都有无线网卡,网络中不设置AP和有线网络,节点之间的通信由无线网卡的对等互联实现,主要适用于在无任何网络设施的条件下快速搭建无线局域网。
基础设施模式:多数无线局域网都是基于该模式的,该模式以星型拓扑为基础,包含一个AP和多个无线终端,以AP为中心,AP通过电缆连线与有线局域网连接,通过无线电波与无线终端连接,可以实现无线终端之间的通信,以及无线终端与有线局域网之间的通信。这样,既能以AP为中心独立建一个无线局域网,又能以AP作为一个有线网的扩展部分。这种方案是一个中心点可同时应付若干个分支点,它主要在近距离内用于多个工作站或局域网的互联。在校园网络建设中,接入方式是应用前景最为广阔的一种方式,又是一种可行而又经济的联网方案。
我校是一所省四星级学校,在2003年就已经建成了校园网,拥有一个教育网内网IP地址网段10.11.1.X。随着学校办学规模的扩大,学校的教学设置每年都在更新,截至2012年9月,学校已经为全校三百多名教师配备了装有无线网卡的笔记本电脑,再加上教师办公室、学生机房、多媒体教室,学校需要的IP地址已经远远超出了原来的设计要求。此时,学校原有的有线网络已经不能满足需要。因此,在2011年8月学校就开始对有线网络进行了扩建补充。网络建设采用无线接入方式进行,基于WWW浏览、E-mail和文件传输服务等,在每个教师办公室、多媒体机房、图书馆、实验室都设置AP,将每个AP所在点都设置成为一个无线子网,通过有线网络接入AP的WAN接口,在每个AP中都开启DHCP服务,并设置密码。这样笔记本的无线网卡会自动获取无线子网IP,并根据无线网络的信号强弱选择合适的AP,实现移动中信号无缝连接。我校还经常承办各种大型活动,如省级运动赛事,大型会议,在这些场合经常会使用到网络,但是由于会议地点的不同和条件的限制,有线网络有时难以使用,此时搭建一个小型的无线局域网就可以解决上述问题。
什么是无线局域网
无线局域网(Wireless Local Area Network,缩写为"WLAN")是计算机网络与无线通信技术相结合的产物。从专业角度讲,无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信,并为通信的移动化、个性化和多媒体应用提供了可能。通俗地说,无线局域网就是在不采用传统缆线的同时,提供以太网或者令牌网络的功能。
在同一建筑物之内,无线局域网使得信息交换、协作无论在线或者移动状态下都能进行。只要在笔记本或PC上安装PC Card适配器,用户就能够在无线网络覆盖区内自由移动而保持与网络的联结。将无线局域网技术应用到台式机系统,则具有传统局域网无法比拟的灵活性。桌面用户能够安放在缆线所无法到达的地方,台式机的位置能够随时随地进行变换。
按与有线局域网的关系,无线局域网分为独立式和非独立式两种。独立式无线局域网指整个网络都使用无线通信的无线局域网,非独立式无线局域网指局域网中无线网络设备与有线网络设备相结合使用的局域网。目前非独立式无线局域网居于无线局域网的主流,在有线局域网的基础上通过无线访问节点、无线网桥、无线网卡等设备使无线通信得以实现,其本身还要依赖于有线局域网,是有线局域网的扩展和补充,而不是有线局域网的替代产品。非独立式无线局域网的拓扑图如图1所示。
图1中,带有无线网卡的电脑与接入点(Access Point,简称"AP")实现无线通信,访问点通过线缆与网络的其他部分相连接。一个接入点覆盖的半径在35~100米之间,实际连接距离和速度视环境有无障碍物而定。
什么情形需要无线局域网络
无线局域网络绝不是用来取代有线局域网络,而是用来弥补有线局域网络之不足,以达到网络延伸之目的,现在有线局域网技术已经发展得比较完善,但是什么情形需要使用无线局域网呢?因为无线局域网无线的特性具有常规网络无可比拟的优点。下面就是无线局域网大显身手的几种场合。
移动办公
有了无线局域网,你就可以充分享受无线的自由:到办公室后,打开自己的笔记本电脑,就可以摆脱烦人的双绞线,在公司内自由移动办公了。而且,如果你来到分公司,如果他们也有无线局域网,你也可以直接联入网络,再也不用为找一个临时座位和双绞线而发愁了。
会议
会场布置过程中最令人头痛的就是网络布线,因为演示者很可能需要联入网络环境才能得心应手。如果拉双绞线到会场,则会非常麻烦,既不美观,也不方便,还存在来往人员被线缆绊倒或将线缆损坏的可能。此时,如果在会场附近架设无线局域网,使无线局域网覆盖会场,笔记本电脑借助无线网卡上网,那么问题就会迎刃而解。
布线困难的场所
地方利用无线局域网进行信息的交流;零售商、空运和航运公司高峰时间所需的额外工作站等。
流动工作者可得到信息的区域:需要在医院、零售商店或办公室区域流动时得到信息的医生、护士、零售商、白领工作者。
办公室和家庭办公室(SOHO)用户,以及需要方便快捷地安装小型网络的用户。
目前,无线局域网已经在教育、金融、健康、旅馆以及零售业、制造业等各方面有了广泛的应用。
目前的几种无线网络技术
目前,实现无线网络的技术,有蓝牙无线接入技术、家庭网络的HomeRF以及IEEE802.11连接技术。
蓝牙技术
Bluetooth(蓝牙)是一种短距的无线通讯技术,电子装置彼此可以透过蓝牙而连接起来,传统的电线在这里就毫无用武之地了。透过芯片上的无线接收器,配有
蓝牙技术的电子产品能够在十米的距离内彼此相通,传输速度可以达到10M/s。以往红外线接口的传输技术需要电子装置在视线之内的距离,而现在有了蓝牙技术,这样的麻烦也可以免除了。不过Bluetooth产品致命的缺陷是任何蓝牙产品都离不开Bluetooth芯片、Bluetooth模块较难生产,Bluetooth难于全面测试。这三点是蓝牙产品发展的瓶颈。HomeRF技术
HomeRF是由HomeRF工作组开发的,是在家庭区域范围内的任何地方,在PC机和用户电子设备之间实现无线数字通信的开放性工业标准。作为无线技术方案,它代替了需要铺设昂贵传输线的有线家庭网络,为网络中的设备,如笔记本电脑和Internet应用提供了漫游功能。HomeRF工作频段是2.4GHz,支持数据和音频。该协议的网络是对等网,也就是说,网上的每一个节点都是西对独立的,不受中央节点的控制。因此,任何一个节点离开网络都不会影响到网络上其他节点的正常工作。它的另外一个特点是低功耗,很适合笔记本电脑。
IEEE802.11 IEEE802.11是IEEE最初制定的一个无线局域网标准,主要用于解决办公室局域网和校园网中用户与用户终端的无线接入,业务主要限于数据存取,速率最高只能达到2Mb/s。
由于IEEE802.11在速率和传输距离上都不能满足人们的需要,因此,IEEE小组又相继推出了IEEE802.11b和IEEE802.11a两个新标准。三者之间技术上的主要差别在于MAC子层和物理层。此外还出现了最新802.11g。
本文主要讨论以802.11b为基础的无线局域网。
无线局域网的标准
20世纪90年代初,无线局域网设备就已经出现,但是由于价格、性能、通用性等种种原因,没有得到广泛应用。IEEE 802.11标准是IEEE(电气和电子工程师协会)于1997年制定的一个无线局域网标准,主要用于解决办公室局域网和校园网中设备的无线接入,速率最高只能达到2Mbps。由于IEEE 802.11标准在速率和传输距离上都不能满足人们的需要,1999年IEEE小组又相继推出了IEEE 802.11b和IEEE 802.11a两个新标准。 由于802.11b和802.11a互不兼容,由802.11b升级到802.11a成本非常高,经过长时间的研究, IEEE于近日试验性的批准了802.11g。
802.11
IEEE 802.11是最初的一个无线局域网标准,用于用户与用户终端的无线接入,业务主要限于数据存取,速率最高为2Mbps。目前,3Com等公司都有该标准的无线网卡。
WLAN的安全性
由于无线局域网采用公共的电磁波作为载体,因此对越权存取和窃听的行为也更不容易防备。无线局域网必须考虑的安全要素有三个:信息保密、身份验证和访问控制。如果这三个要素都没有问题了,就不仅能保护传输中的信息免受危害,还能保护网络和移动设备免受危害。难就难在如何使用一个简单易用的解决方案,同时获得这三个安全要素。影响无线局域网安全的问题主要在以下方面:
数据保密。无线LAN网络通信安全会受到几方面的危害,例如传输中数据被人查看或捕获,传输中数据被人改动、重新发送。
访问和验证。每个访问点形成了通向网络的一个新的入口。正因为如此,你会受到下列漏洞的威胁:首先,未授权实体进入网络,浏览存放在网络上的信息,或者是让网络感染上病毒。其次,未授权实体进入网络,利用该网络作为攻击第三方网络的出发点(致使受危害的网络却被误认为攻击始发者)。第三,入侵者对移动终端发动攻击,或为了浏览移动终端上的信息,或为了通过受危害的移动设备访问网络。因此,我们在一开始应用无线网络时,就应该充分考虑其安全性。常见的无线网络安全技术有以下几种:
服务集标识符(SSID)
通过对多个无线接入点AP设置不同的SSID,并要求无线工和站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接入,并对资源访问的权限进行区别限制。这只是一个简单的口令,只能提供一定的安全;而且如果配置AP向外广播其SSID,那么安全程度还将下降。
物理地址(MAC)过滤
由于每个无线工作站的网卡都有唯一的物理地址,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新,可扩展性差;而且MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。
连线对等保密(WEP)
在链路层采用RC4对称加密技术,用户的加密金钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位(有时也称为64位)或128位长度的密钥机制,但是它仍然存在许多缺陷,例如一个服务区内的所有用户都共享一个密钥,一个用户丢失钥匙将使整个网络不安全。
虚拟专用网络(VPN)
VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,它不属于802.11标准定义;倡用户可以借助VPN来抵抗无线网络的不安全因素,同时还可以提供Radius的用户认证以及计费。
端口访问控制技术(802.1x)
该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为用户打开这个逻辑端口,否则不允许用户上网。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案。
无线局域网的拓扑结构
无线局域网的拓扑结构可分为两类:无中心拓扑(对等式拓扑)和有中心拓扑。无中心拓扑的网络要求网中任意两点均可直接通信。采用这种结构的网络一般使用公用广播信道,而信道接入控制(MAC)协议多采用载波监测多址接入(CSMA)类型的多址接入协议。有中心拓扑结构中则要求一个无线站点充当中心站,所有站点对网络的访问均由中心站控制。
对于不同局域网的应用环境与需求,无线局域网可采取不同的网络结构来实现互连。
网桥连接型:不同的局域网之间互连时,由于物理上的原因,若采取有线方式不方便,则可利用无线网桥的方式实现二者的点对点连接,无线网桥不仅提供二者之间的物理与数据链路层的连接,还为两个网的用户提供较高层的路由与协议转换。
基站接入型:当采用移动蜂窝通信网接入方式组建无线局域网时,各站点之间的通信是通过基站接入、数据交换方式来实现互连的。各移动站不仅可以通过交换中心自行组网,还可以通过广域网与远地站点组建自己的工作网络。
Hub接入型:利用无线Hub可以组建星型结构的无线局域网,具有与有线Hub组网方式相类似的优点。在该结构基础上的无线局域网,可采用类似于交换型以太网的工作方式,要求Hub具有简单的网内交换功能。
无中心结构:要求网中任意两个站点均可直接通信。此结构的无线局域网一般使用公用广播信道,MAC层采用CSMA类型的多址接入协议。
无线局域网中数据量和接入点数量的关系
零售店环境
WLAN可以实现商场内摆设的灵活调整,并使PC和POS机终端和手持条码扫描器与网络随时相连,由于数据传输量不大,2Mbps速率完全可以满足要求。 所以接入点的数量少,以最低带宽实现最大覆盖面积。可实现2Mbps的最大覆盖,在屋顶布线比较适宜。布置接入点的示意图如图3。
都市频道应用方案
关键词:无线局域网;标准;安全;趋势
前言无线局域网本质上是一种网络互连技术。无线局域网使用无线电波代替双绞线、同轴电缆等设备,省去了布线的麻烦,组网灵活。无线局域网(WLAN)是计算机网络与无线通信技术相结合的产物。它既可满足各类便携机的入网要求,也可实现计算机局域网远端接入、图文传真、电子邮件等功能。无线局域网技术作为一种网络接入手段,能迅速地应用于需要在移动中联网和在网间漫游的场合,并在不易架设有线的地力和远冲离的数据处理节点提供强大的网络支持。因此,WLAN已在军队、石化、医护管理、工厂车间、库存控制、展览和会议、金融服务、旅游服务、移动办公系统等行业中得到了应用,受到了广泛的青睐,已成为无线通信与Internet技术相结合的新兴发展力向之一。WLAN的最大优点就是实现了网络互连的可移动性,它能大幅提高用户访问信息的及时性和有效性,还可以克服线缆限制引起的不便性。但由于无线局域网应用具有很大的开放性,数据传播范围很难控制,因此无线局域网将面临着更严峻的安全问题。
1.无线局域网安全发展概况
无线局域网802.11b公布之后,迅速成为事实标准。遗憾的是,从它的诞生开始,其安全协议WEP就受到人们的质疑。美国加州大学伯克利分校的Borisov,Goldberg和Wagner最早指出了WEP协议中存在的设计失误,接下来信息安全研究人员发表了大量论文详细讨论了WEP协议中的安全缺陷,并与工程技术人员协作,在实验中破译了经WEP协议加密的无线传输数据。现在,能够截获无线传输数据的硬件设备己经能够在市场上买到,能够对所截获数据进行解密的黑客软件也已经能够在因特网上下载。WEP不安全己经成一个广为人知的事情,人们期待WEP在安全性方面有质的变化,新的增强的无线局域网安全标准应运而生[1]。
我国从2001年开始着手制定无线局域网安全标准,经过西安电子科技大学、西安邮电学院、西电捷通无线网络通信有限公司等院校和企业的联合攻关,历时两年多制定了无线认证和保密基础设施WAPI,并成为国家标准,于2003年12月执行。WAPI使用公钥技术,在可信第三方存在的条件下,由其验证移动终端和接入点是否持有合法的证书,以期完成双向认证、接入控制、会话密钥生成等目标,达到安全通信的目的。WAPI在基本结构上由移动终端、接入点和认证服务单元三部分组成,类似于802.11工作组制定的安全草案中的基本认证结构。同时我国的密码算法一般是不公开的,WAPI标准虽然是公开的,然而对其安全性的讨论在学术界和工程界目前还没有展开[2]。
增强的安全草案也是历经两年多时间定下了基本的安全框架。其间每个月至少召开一次会议,会议的文档可以从互联网上下载,从中可以看到一些有趣的现象,例如AES-OCB算法,开始工作组决定使用该算法作为无线局域网未来的安全算法,一年后提议另外一种算法CCMP作为候选,AES-OSB作为缺省,半年后又提议CCMP作为缺省,AES-OCB作为候选,又过了几个月,干脆把AES-OCB算法完全删除,只使用CCMP算法作为缺省的未来无线局域网的算法。其它的例子还有很多。从这样的发展过程中,我们能够更加清楚地认识到无线局域网安全标准的方方面面,有利于无线局域网安全的研究[3][4]。
2.无线局域网的安全必要性
WLAN在为用户带来巨大便利的同时,也存在着许多安全上的问题。由于WLAN通过无线电波在空中传输数据,不能采用类似有线网络那样的通过保护通信线路的方式来保护通信安全,所以在数据发射机覆盖区域内的几乎任何一个WLAN用户都能接触到这些数据,要将WLAN发射的数据仅仅传送给一名目标接收者是不可能的。而防火墙对通过无线电波进行的网络通讯起不了作用,任何人在视距范围之内都可以截获和插入数据。因此,虽然无线网络和WLAN的应用扩展了网络用户的自由,它安装时间短,增加用户或更改网络结构时灵活、经济,可提供无线覆盖范围内的全功能漫游服务。然而,这种自由也同时带来了新的挑战,这些挑战其中就包括安全性。WLAN必须考虑的安全要素有三个:信息保密、身份验证和访问控制。如果这三个要素都没有问题了,就不仅能保护传输中的信息免受危害,还能保护网络和移动设备免受危害。难就难在如何使用一个简单易用的解决方案,同时获得这三个安全要素。国外一些最新的技术研究报告指出,针对目前应用最广泛的802.11bWLAN标准的攻击和窃听事件正越来越频繁[5],故对WLAN安全性研究,特别是广泛使用的IEEE802.11WLAN的安全性研究,发现其可能存在的安全缺陷,研究相应的改进措施,提出新的改进方案,对WLAN技术的使用、研究和发展都有着深远的影响。
同有线网络相比,无线局域网无线传输的天然特性使得其物理安全脆弱得多,所以首先要加强这一方面的安全性。
无线局域网中的设备在实际通信时是逐跳的方式,要么是用户设备发数据给接入设备,饭由接入设备转发,要么是两台用户设备直接通信,每一种通信方式都可以用链路层加密的方法来实现至少与有线连接同等的安全性。无线信号可能被侦听,但是,如果把无线信号承载的数据变成密文,并且,如果加密强度够高的话,侦听者获得有用数据的可能性很小。另外,无线信号可能被修改或者伪造,但是,如果对无线信号承载的数据增加一部分由该数据和用户掌握的某种秘密生成的冗余数据,以使得接收方可以检测到数据是杏被更改,那么,对于无线信号的更改将会徒劳无功。而秘密的独有性也将使得伪造数据被误认为是合法数据的可能性极小。
这样,通过数据加密和数据完整性校验就可以为无线局域网提供一个类似有线网的物理安全的保护。对于无线局域网中的主机,面临病毒威胁时,可以用最先进的防毒措施和最新的杀毒工具来给系统增加安全外壳,比如安装硬件形式的病毒卡预防病毒,或者安装软件用来时实检测系统异常。PC机和笔记本电脑等设备己经和病毒进行了若千年的对抗,接下来的无线设备如何与病毒对抗还是一个待开发领域。
对于DOS攻击或者DDOS攻击,可以增加一个网关,使用数据包过滤或其它路由设置,将恶意数据拦截在网络外部;通过对外部网络隐藏接入设备的IP地址,可以减小风险。对于内部的恶意用户,则要通过审计分析,网络安全检测等手段找出恶意用户,并辅以其它管理手段来杜绝来自内部的攻击。硬件丢失的威胁要求必须能通过某种秘密或者生物特征等方式来绑定硬件设备和用户,并且对于用户的认证也必须基于用户的身份而不是硬件来完成。例如,用MAC地址来认证用户是不适当的[5]。
除了以上的可能需求之外,根据不同的使用者,还会有不同的安全需求,对于安全性要求很高的用户,可能对于传输的数据要求有不可抵赖性,对于进出无线局域网的数据要求有防泄密措施,要求无线局域网瘫痪后能够迅速恢复等等。所以,无线局域网的安全系统不可能提供所有的安全保证,只能结合用户的具体需求,结合其它的安全系统来一起提供安全服务,构建安全的网络。
当考虑与其它安全系统的合作时,无线局域网的安全将限于提供数据的机密,数据的完整,提供身份识别框架和接入控制框架,完成用户的认证授权,信息的传输安全等安全业务。对于防病毒,防泄密,数据传输的不可抵赖,降低DoS攻击的风险等都将在具体的网络配置中与其它安全系统合作来实现。
3.无线局域网安全风险
安全风险是指无线局域网中的资源面临的威胁。无线局域网的资源,包括了在无线信道上传输的数据和无线局域网中的主机。
3.1无线信道上传输的数据所面临的威胁
由于无线电波可以绕过障碍物向外传播,因此,无线局域网中的信号是可以在一定覆盖范围内接听到而不被察觉的。这如用收音机收听广播的情况一样,人们在电台发射塔的覆盖范围内总可以用收音机收听广播,如果收音机的灵敏度高一些,就可以收听到远一些的发射台发出的信号。当然,无线局域网的无线信号的接收并不像收音机那么简单,但只要有相应的设备,总是可以接收到无线局域网的信号,并可以按照信号的封装格式打开数据包,读取数据的内容[6]。
另外,只要按照无线局域网规定的格式封装数据包,把数据放到网络上发送时也可以被其它的设备读取,并且,如果使用一些信号截获技术,还可以把某个数据包拦截、修改,然后重新发送,而数据包的接收者并不能察觉。
因此,无线信道上传输的数据可能会被侦听、修改、伪造,对无线网络的正常通信产生了极大的干扰,并有可能造成经济损失。
3.2无线局域网中主机面临的威胁
无线局域网是用无线技术把多台主机联系在一起构成的网络。对于主机的攻击可能会以病毒的形式出现,除了目前有线网络上流行的病毒之外,还可能会出现专门针对无线局域网移动设备,比如手机或者PDA的无线病毒。当无线局域网与无线广域网或者有线的国际互联网连接之后,无线病毒的威胁可能会加剧。
对于无线局域网中的接入设备,可能会遭受来自外部网或者内部网的拒绝服务攻击。当无线局域网和外部网接通后,如果把IP地址直接暴露给外部网,那么针对该IP的Dog或者DDoS会使得接入设备无法完成正常服务,造成网络瘫痪。当某个恶意用户接入网络后,通过持续的发送垃圾数据或者利用IP层协议的一些漏洞会造成接入设备工作缓慢或者因资源耗尽而崩溃,造成系统混乱。无线局域网中的用户设备具有一定的可移动性和通常比较高的价值,这造成的一个负面影响是用户设备容易丢失。硬件设备的丢失会使得基于硬件的身份识别失效,同时硬件设备中的所有数据都可能会泄漏。
这样,无线局域网中主机的操作系统面临着病毒的挑战,接入设备面临着拒绝服务攻击的威胁,用户设备则要考虑丢失的后果。
4.无线局域网安全性
无线局域网与有线局域网紧密地结合在一起,并且己经成为市场的主流产品。在无线局域网上,数据传输是通过无线电波在空中广播的,因此在发射机覆盖范围内数据可以被任何无线局域网终端接收。安装一套无线局域网就好象在任何地方都放置了以太网接口。因此,无线局域网的用户主要关心的是网络的安全性,主要包括接入控制和加密两个方面。除非无线局域网能够提供等同于有线局域网的安全性和管理能力,否则人们还是对使用无线局域网存在顾虑。
4.1IEEE802.11b标准的安全性
IEEE802.11b标准定义了两种方法实现无线局域网的接入控制和加密:系统ID(SSID)和有线对等加密(WEP)[7][8]。
4.1.1认证
当一个站点与另一个站点建立网络连接之前,必须首先通过认证。执行认证的站点发送一个管理认证帧到一个相应的站点。IEEE802.11b标准详细定义了两种认证服务:一开放系统认证(OpenSystemAuthentication):是802.11b默认的认证方式。这种认证方式非常简单,分为两步:首先,想认证另一站点的站点发送一个含有发送站点身份的认证管理帧;然后,接收站发回一个提醒它是否识别认证站点身份的帧。一共享密钥认证(SharedKeyAuthentication):这种认证先假定每个站点通过一个独立于802.11网络的安全信道,已经接收到一个秘密共享密钥,然后这些站点通过共享密钥的加密认证,加密算法是有线等价加密(WEP)。
4.1.2WEP
IEEE802.11b规定了一个可选择的加密称为有线对等加密,即WEP。WEP提供一种无线局域网数据流的安全方法。WEP是一种对称加密,加密和解密的密钥及算法相同。WEP的目标是:接入控制:防止未授权用户接入网络,他们没有正确的WEP密钥。
加密:通过加密和只允许有正确WEP密钥的用户解密来保护数据流。
IEEE802.11b标准提供了两种用于无线局域网的WEP加密方案。第一种方案可提供四个缺省密钥以供所有的终端共享一包括一个子系统内的所有接入点和客户适配器。当用户得到缺省密钥以后,就可以与子系统内所有用户安全地通信。缺省密钥存在的问题是当它被广泛分配时可能会危及安全。第二种方案中是在每一个客户适配器建立一个与其它用户联系的密钥表。该方案比第一种方案更加安全,但随着终端数量的增加给每一个终端分配密钥很困难。
4.2影响安全的因素[9][10]
4.2.1硬件设备
在现有的WLAN产品中,常用的加密方法是给用户静态分配一个密钥,该密钥或者存储在磁盘上或者存储在无线局域网客户适配器的存储器上。这样,拥有客户适配器就有了MAC地址和WEP密钥并可用它接入到接入点。如果多个用户共享一个客户适配器,这些用户有效地共享MAC地址和WEP密钥。
当一个客户适配器丢失或被窃的时候,合法用户没有MAC地址和WEP密钥不能接入,但非法用户可以。网络管理系统不可能检测到这种问题,因此用户必须立即通知网络管理员。接到通知后,网络管理员必须改变接入到MAC地址的安全表和WEP密钥,并给与丢失或被窃的客户适配器使用相同密钥的客户适配器重新编码静态加密密钥。客户端越多,重新编码WEP密钥的数量越大。
4.2.2虚假接入点
IEEE802.11b共享密钥认证表采用单向认证,而不是互相认证。接入点鉴别用户,但用户不能鉴别接入点。如果一个虚假接入点放在无线局域网内,它可以通过劫持合法用户的客户适配器进行拒绝服务或攻击。
因此在用户和认证服务器之间进行相互认证是需要的,每一方在合理的时间内证明自己是合法的。因为用户和认证服务器是通过接入点进行通信的,接入点必须支持相互认证。相互认证使检测和隔离虚假接入点成为可能。
4.2.3其它安全问题
标准WEP支持对每一组加密但不支持对每一组认证。从响应和传送的数据包中一个黑客可以重建一个数据流,组成欺骗性数据包。减轻这种安全威胁的方法是经常更换WEP密钥。通过监测工EEE802.11b控制信道和数据信道,黑客可以得到如下信息:客户端和接入点MAC地址,内部主机MAC地址,上网时间。黑客可以利用这些信息研究提供给用户或设备的详细资料。为减少这种黑客活动,一个终端应该使用每一个时期的WEP密钥。
4.3完整的安全解决方案
无线局域网完整的安全方案以IEEE802.11b比为基础,是一个标准的开放式的安全方案,它能为用户提供最强的安全保障,确保从控制中心进行有效的集中管理。它的核心部分是:
扩展认证协议(ExtensibleAuthenticationProtocol,EAP),是远程认证拨入用户服务(RADIUS)的扩展。可以使无线客户适配器与RADIUS服务器通信。
当无线局域网执行安全保密方案时,在一个BSS范围内的站点只有通过认证以后才能与接入点结合。当站点在网络登录对话框或类似的东西内输入用户名和密码时,客户端和RADIUS服务器(或其它认证服务器)进行双向认证,客户通过提供用户名和密码来认证。然后RADIUS服务器和用户服务器确定客户端在当前登录期内使用的WEP密钥。所有的敏感信息,如密码,都要加密使免于攻击。
这种方案认证的过程是:一个站点要与一个接入点连接。除非站点成功登录到网络,否则接入点将禁止站点使用网络资源。用户在网络登录对话框和类似的结构中输入用户名和密码。用IEEE802.lx协议,站点和RADIUS服务器在有线局域网上通过接入点进行双向认证。可以使用几个认证方法中的一个。
相互认证成功完成后,RADIUS服务器和用户确定一个WEP密钥来区分用户并提供给用户适当等级的网络接入。以此给每一个用户提供与有线交换几乎相同的安全性。用户加载这个密钥并在该登录期内使用。
RADIUS服务器发送给用户的WEP密钥,称为时期密钥。接入点用时期密钥加密它的广播密钥并把加密密钥发送给用户,用户用时期密钥来解密。用户和接入点激活WEP,在这时期剩余的时间内用时期密钥和广播密钥通信。
网络安全性指的是防止信息和资源的丢失、破坏和不适当的使用。无论有线络还是无线网络都必须防止物理上的损害、窃听、非法接入和各种内部(合法用户)的攻击。
无线网络传播数据所覆盖的区域可能会超出一个组织物理上控制的区域,这样就存在电子破坏(或干扰)的可能性。无线网络具有各种内在的安全机制,其代码清理和模式跳跃是随机的。在整个传输过程中,频率波段和调制不断变化,计时和解码采用不规则技术。
正是可选择的加密运算法则和IEEE802.11的规定要求无线网络至少要和有线网络(不使用加密技术)一样安全。其中,认证提供接入控制,减少网络的非法使用,加密则可以减少破坏和窃听。目前,在基本的WEP安全机制之外,更多的安全机制正在出现和发展之中[12]。
5.无线局域网安全技术的发展趋势
目前无线局域网的发展势头十分强劲,但是起真正的应用前景还不是十分的明朗。主要表现在:一是真正的安全保障;二个是将来的技术发展方向;三是WLAN有什么比较好的应用模式;四是WLAN的终端除PCMCIA卡、PDA有没有其他更好的形式;五是WLAN的市场规模。看来无线局域网真正的腾飞并非一己之事[13]。
无线局域网同样需要与其他已经成熟的网络进行互动,达到互利互惠的目的。欧洲是GSM网的天下,而WLAN的崛起使得他们开始考虑WLAN和3G的互通,两者之间的优势互补性必将使得WLAN与广域网的融合迅速发展。现在国内中兴通讯己经实现了WLAN和CI}IVIA系统的互通,而对于使用中兴设备的WLAN与GSM/GPRS系统的互通也提出了解决方案,这条路必定越走越宽。
互通中的安全问题也必然首当其冲,IEEE的无线局域网工作组己经决定将EAP-SIIVI纳入无线局域网安全标准系列里面,并且与3G互通的认证标准EAP-AID也成为讨论的焦点。
无线网络的互通,现在是一个趋势。802.11工作组新成立了WIG(WirelesslnterworkingGrouq),该工作组的目的在于使现存的符合ETSI,IEEE,MMAC所制订的标准的无线域网之间实现互通。另外3GPP也给出了无线局域网和3G互通的两个草案,定义了互通的基本需求,基本模型和基本框架。还有就是爱立信公司的一份文档给出了在现有的网络基础上,实现无线局域网和G1VIS/GPRS的互通。
不同类型无线局域网互通标准的制定,使得用户可以使用同一设备接入无线局域网。3G和无线局域网的互通者可以使用户在一个运营商那里注册,就可以在各地接入。当然,用户享用上述方便的同时,必然会使运营商或制造商获得利润,而利润的驱动,则是这个互通风潮的根本动力。为了达到互通的安全,有以下需求:支持传统的无线局域网设备,对用户端设备,比如客户端软件,影响要最小,对经营者管理和维护客户端SW的要求要尽量少,应该支持现存的UICC卡,不应该要求该卡有任何改动,敏感数据,比如存在UICC卡中的长期密钥不能传输。对于UICC卡的认证接口应该是基于该密钥的Challenge-,Response模式。用户对无线局域网接入的安全级别应该和3GPP接入一样,应该支持双向认证,所选的认证方案应该顾及到授权服务,应该支持无线局域网接入NW的密钥分配方法,无线局域网与3GPP互通所选择的认证机制至少要提供3GPP系统认证的安全级别,无线局域网的重连接不应该危及3GPP系统重连接的安全,所选择的无线局域网认证机制应该支持会话密钥素材的协商,所选择的无线局域网密钥协商和密钥分配机制应该能防止中间人攻击。也就是说中间人不能得到会话密钥素材,无线局域网技术应当保证无线局域网UE和无线局域网AN的特定的认证后建立的连接可以使用生成的密钥素材来保证完整性。所有的用于用户和网络进行认证的长期的安全要素应该可以在一张UICC卡中存下[14]。
对于非漫游情况的互通时,这种情况是指当用户接入的热点地区是在3GPP的归属网络范围内。简单地说,就是用户在运营商那里注册,然后在该运营商的本地网络范围内的热点地区接入时的一种情况。无线局域网与3G网络安全单元功能如下:UE(用户设备)、3G-AAA(移动网络的认证、授权和计帐服务器)、HSS(归属业务服务器)、CG/CCF(支付网关/支付采集功能)、OCS(在线计帐系统)。
对于漫游的互通情况时,3G网络是个全域性网络借助3G网络的全域性也可以实现无线局域网的漫游。在漫游情况下,一种常用的方法是将归属网络和访问网络分开,归属网络AAA服务作为认证的找到用户所注册的归属网络。
在无线局域网与3G互通中有如下认证要求:该认证流程从用户设备到无线局域网连接开始。使用EAP方法,顺次封装基于USIM的用户ID,AKA-Challenge消息。具体的认证在用户设备和3GPAAA服务器之间展开。走的是AKA过程,有一点不同在于在认证服务器要检查用户是否有接入无线局域网的权限。
上述互通方案要求客户端有能够接入无线局域网的网卡,同时还要实现USIM或者SIM的功能。服务网络要求修改用户权限表,增加对于无线局域网的接入权限的判断。
无线局域网的崛起使得人们开始考虑无线局域网和3G的互通,两者之间的优势互补性必将使得无线局域网与广域网的融合迅速发展。现在国内中兴通讯已经实现了无线局域网和CDMA系统的互通,而对于使用中兴设备的无线局域网与GSM/GPRS系统的互通也提出了解决方案,这条路必定越走越宽。
参考文献:
[1]郭峰,曾兴雯,刘乃安,《无线局域网》,电子工业出版杜,1997
[2]冯锡生,朱荣,《无线数据通信》1997
[3]你震亚,《现代计算机网络教程》,电子工业出版社,1999
[4]刘元安,《宽带无线接入和无线局域网》,北京邮电大学出版社,2000
[5]吴伟陵,《移动通信中的关键技术》,北京邮电大学出版社,2000
[6]张公忠,陈锦章,《当代组网技术》,清华大学出版社,2000
[7]牛伟,郭世泽,吴志军等,《无线局域网》,人民邮电出版社,2003
[8]JeffreyWheat,《无线网络设计》,莫蓉蓉等译,机械工业出版社,2002
[9]GilHeld,《构建无线局域网》,沈金龙等泽,人民邮电出版社,2002
[10]ChristianBarnes等,《无线网络安全防护》,林生等译,机械工业出版社.2003
[11]JuhaHeiskala等,《OFDM无线局域网》,畅晓春等译,电子工业出版社,2003
[12]EricOuellet等,《构建Cisco无线局域网》,张颖译,科学出版社,2003
[13]MarkCiampa,《无线周域网设计一与实现》,王顺满译,科学出版社.2003
关键词: 无线局域网;安全;解决措施
中图分类号:TN92 文献标识码:A 文章编号:1671-7597(2012)0310149-01
0 引言
在当前形势下,因为无线局域网存在着移动性强、网速快、方便组网、成本低、快捷方便等各种各样的优点,所以,自从无线局域网产生开始,它在国际范围内取得了飞速的发展。在一定程度上,无线局域网能够有效延伸和补充传统的有线局域网的不足。然而,无线局域网在技术上面临着一些棘手的安全问题,可能会造成无线局域网用户数据的破坏、篡改等问题,这些问题直接影响了无线局域网的正常使用,也是不容忽视的。这些安全问题阻碍了无线局域网的进一步推广。所以,有必要提出解决无线局域网安全问题的几点措施。
1 解决无线局域网安全问题的几点措施
1.1 科学安装配置无线局域网设备
必须合理设定无线局域网的电磁波覆盖范围,科学设定无线访问点(Access Point,AP)的安放位置,防止出现超出物理管辖范围的情况,真正将无线局域网窃听者阻止在门外。与此同时,必须定期和不定期地查看无线访问点日志,对于日志数据进行认真地分析和归纳,从而及时发现无线局域网攻击者。另外,科学安装配置无线局域网防火墙,从而能够将众多的非法用户的可疑数据包拦截掉,将通过Internet的攻击进行隔离。同时,科学安装配置入侵检测工具,从而对于非法用户进行定期扫描搜索。
1.2 加强访问控制机制
服务集标识符(Service Set Identifier,SSID)是一个非常简单的口令,如果将无线访问点定义成向外广播它的服务集标识符,那么,无线局域网的安全性就不能够得到保障。基于此,必须对于不相同的无线接入点设置不相同的服务集标识符,同时,要求只有无线工作站出示正确的服务集标识符,才能够接入无线局域网。通过这种方式,就可以对于不同使用者的访问进行有效的限制,从而使访问无线局域网的安全性得到大幅度的增强。
1.3 建立无线局域网安全机制
建立无线局域网安全机制,要建立健全无线局域网使用的安全制度,定期对无线局域网进行安全检查。在安装无线局域网之后,无线局域网人员必须告知用户有关无线局域网安全的服务等级协议或政策,并且,必须指定一定的负责人,让他们定期检查各级组织网络上的欺骗性或未知接入点。与此同时,对于接入点上的默认的管理密码和服务集标识符进行更改,采取动态密钥或者是定期配置密钥更新,避免攻击者利用默认的密码和默认的服务集标识符进行入侵,从而在最大限度上降低攻击者访问无线局域网的概率。
1.4 在无线局域网中隐藏服务集标识符并且避免服务集标识符广播
在无线局域网中,服务集标识符是一个非常简单的口令,服务集标识符提供一个最底层的接入控制。一个服务集标识符是一个无线局域网子系统内通用的网络名称,可以为无线局域网子系统内的逻辑段进行服务。必须在完全相同的条件下,无线网卡与无线路由器之间才可以实现连接的建立。这是由于服务集标识符自身不具备安全性,必须隐藏服务集标识符。
另外,在无线局域网中,服务集标识符广播是路由设备的一个非常关键的功能,打开服务集标识符广播的无线局域网的路由能够自动向其有效范围内的无线局域网客户端广播其自身的服务集标识符的值,无线局域网客户端接收到服务集标识符的值之后,就会立即接入无线局域网。在现阶段,无线局域网设置相同的服务集标识符就会导致黑客的入侵。所以,一定要将服务集标识符广播的功能禁止。
1.5 在无线局域网中利用虚拟专用网络(VPN)技术
要更好地解决无线局域网安全问题,虚拟专用网络技术的应用这一现代化的网络技术是非常具有可行性的。所谓虚拟专用网络,也就是在一个公共IP网络平台上采用隧道以及加密技术来切实来实现专用数据的网络安全性。虚拟专用网络方案已经在计算机互联网远程用户的安全接入中得到了非常广泛的应用。虚拟专用网络技术在不可信的网络上提供一条安全、专用的通道或者隧道。各种隧道协议,包括点对点的PPTP/L2TP隧道协议和第三层IPsec隧道协议都可以与标准的、集中的认证协议一起使用。与此同时,在不可信的无线局域网安全接入上,虚拟专用网络技术的应用能够使无线局域网的安全性能得到极大的改进和提高。虽然无线访问点能够被定义成无WEP机制的开放式接入,然而,无线接入网络被虚拟专用网络服务器和内部网络隔离出来。虚拟专用网络服务器能够提供网络的认征和加密,这是和WEP机制和MAC地址过滤接入有所区别的,虚拟专用网络方案存在着非常强大的灵活性,能够进行不断的更新、扩充和升级,能够在大规模的无线局域网中得到应用。在很多的无线局域网中,虚拟专用网络能够实现对于从计算机到虚拟专用网络网关的整个链路的加密,在计算机到无线访问点之间的无线局域网部分也是被加密的。另外,虚拟专用网络连接能够采取各种各样的验证方式来进行管理,主要包括密码、证书和智能卡等,能够有效保障无线局域网安全。
2 结束语
综上所述,相对于传统的有线局域网来说,无线局域网在具备一定优势的同时,由于其信道的开放性,也是非常容易受到各种各样的安全风险和安全问题的威胁的。在今后的工作中,仍然需要不断根据计算机网络的发展,结合各种用户的需求,合理选择无线设备,合理设置无线软件,不断探索解决无线局域网安全问题的更多措施。
参考文献:
[1]郭靖轩、柳婵娟,无线局域网技术在校园网中的应用与研究[J].科技信息(科学教研),2008(18).
[2]严照楼、潘爱民,无线局域网的安全性研究[J].计算机工程与应用,2004(05).
[3]王宇,无线局域网基本原理及前沿应用[J].中国数据通信,2003(08).
关键词:无线局域网;无线通信;数据传输;网络安全
中图分类号:TP311文献标识码:A 文章编号:1009-3044(2007)17-31287-01
Wireless LAN Technology and Application on Shipping
ZENG Hua
(Guang Zhou Ceroilfood Intertrans Co., Guangzhou 510095,China)
Abstract: According to the shipping environment, using the wireless LAN technology to set up the wireless LAN between the shipping company and the watercraft, or inside the watercrafts. As the result, the information exchange and data transmission of the shipment can become capable to improve the working efficiency. It has done a detailed analysis on the characteristic , security and stability of the wireless LAN technology, and discussed the feasibility and advantage of applying this technology in special environment.
Key words: wireless LAN; wireless communication; data transmission; network security
1 引言
随着我国外贸的发展,进出口货运量在不断的增长,为了加快船舶的周转,船务公司对属下船舶的操作要求也在不断的提高,在货物装卸、船舶调度等过程中,与船舶之间的沟通联系显得十分重要。另一方面,伴随着计算机的广泛应用,人们对网络的依赖越来越强,而传统局域网络已经不能满足船务操作上的需求,近年来,无线局域网产品逐渐走向成熟,正在以它的高速传输能力和灵活性发挥着日益重要的作用。
2 无线局域网的概述和基本原理
2.1 无线局域网的概念
无线局域网络(Wireless Local-area Networks ,WLAN)是指以无线信道作传输媒介的计算机局域网。它是计算机网络与无线通信技术相结合的产物。从专业角度讲,无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信,并为通信的移动化、个性化和多媒体应用提供了可能。通俗地说,无线局域网就是在不采用传统缆线的同时,提供以太网或者令牌网络的功能。
1971年,夏威夷大学的研究员创造了第一个基于封包式技术的无线电通讯网络,这个被称作ALOHNET的网络,可以算是相当早期的无线局域网络。自从1999年8月IEEEIEEE 802.11b和IEEE 802.11a无线互连协议以来,各种无线局域网产品不断涌现。2004年5月WLAN(Wireless Local-area Networks )规范将再次升级,802.11e和802.11i由IEEE正式宣布为WLAN标准。
无线网络提供了移动接入的功能,无线网络可扩展性、可收缩性以及对恶劣环境的高适应性使其非常适合船务公司在码头的驻点与其属下的船舶之间的网络互联和数据通信。
2.2 无线局域网的技术特点
无线局域网利用电磁波在空气中发送和接受数据,而无需线缆介质。无线局域网的数据传输速率现在已经能够达到11Mbps,传输距离可远至20km以上。能快速方便地解决使用有线方式不易实现的网络联通问题。
无线网络有着极高的抗干扰性,由于采用扩频技术使得信号在低于白噪声电平的情况下仍能保持可靠的识别幅度;雨、雪、雾、大风等恶劣天气对微波扩频系统影响较小。雨衰、雾衰等损耗对微波扩频网络衰减量基本可以忽略不计;对于需要移动联网的场所,微波扩频无线网络所特有的灵活性、移动性、可扩展性、可伸缩性更是有线网络所无法替代的。目前,微波扩频无线网络设备可以90km/ h的速度在不同的接入基站之间实现无缝漫游;微波扩频工作于2.4GHz的工业、科学和卫生(ISM)频段,该频段无需申请使用许可证即可使用。
2.3 无线局域网的基本原理
无线网络系统由网络适配器和转发器两部分组成。无线网络中使用的通信技术主要可分为三类:窄频微波技术、扩频技术及红外线技术。其中扩频通信技术被广泛应用。扩频技术在具体实施时由多种方案,但思路是相同的:把索引(也称为码或序列)加入到通信信道,插入码的方式正好定义了所讨论的扩频技术。
实现扩频通信的基本工作方式有直接序列扩频(Direct Sequence Spread Spectrum)方式(简称DSSS方式)和跳频(Frequency Hopping Spread Spectrum)工作方式(简称FHSS方式)。
2.3.1 直接序列扩频
在这种技术中,伪随机码直接加入载波调制器的数据上。调制器似乎具有更大的比特率,由伪随机序列的码片速率有关。用这样一个码序列调制射频载波的结果是产生一个中心在载波频率、频谱为((sin x)/x)2的直序调制扩展频谱。频谱主瓣(零点至零点)的带宽是调制码时钟速率的两倍,旁瓣带宽等于调制码时钟速率。直序扩频频谱形状上发生一些改变,与实际采用的载波和数字调制方法有关。例如在发射端将“1”用“11100010110”, 而“0”用“00011101001”去代替,这个过程就实现了扩频; 而在接收端只要把收到的序列“11100010110”恢复成“1”而“00011101001”就恢复成“0”,这就是解扩。这样信源速率就被提高了11倍,同时也使处理增益达到10dB以上,从而有效地提高了整机倍噪比。直接序列扩频的主要特点是易于隐蔽。
2.3.2 跳频技术
顾名思义,FHSS中载波在一个很宽的频带上按照伪随机码的定义从一个频率跳变到另一个频率。跳变速率由原始信息的数据速率决定,我们能够识别出快速跳频(FFHSS)和慢速跳频(LFHSS)。后者(最通用)允许几个连续的数据位调制同一频率。另一方面,FFHSS是在每个数字位内多次跳频。跳频信号的发射频谱同直序扩频有很大差别,跳频输出在整个频带上是平坦的。跳频信号的带宽是频率间隙的N倍,N是每个跳变信道的带宽。
3 无线局域网技术在船舶上的应用
3.1 船舶内无线局域网的组建方案
依据IEEE 802.11b标准,采用直序扩频技术(DSSS)提供最大为11Mbps的数据传输速率的无线局域网由于其便利性和可伸缩性,特别适用于船内无线局域网的组建。采用单接入点(AP)或多接入点解决方案。接入器选用ETAP1400无线基站。每个基站可以辐射半径25M - 100M的区域。基站通过微波与周边客户的无线网络终端相联,同时无线基站也通过10 Base-T端口与服务器相连,服务器同时还可以作为有线网络的服务器,使整个无线网的客户终端和有线网络客户端都能访问服务器的资源。多接入点AP可以突破无线网覆盖半径的限制,使船内任意角落的终端均可连网。无线客户端机群选用ETNC 1400系列无线网卡将客户机(台式电脑或笔记本电脑)与网络联接,并同时提供无线网卡MAC地址认证。
3.2 船务公司码头驻点与其属下船舶之间的无线局域网互联
采用的无线局域网产品工作在2.4GHz至2.4835GHz频率范围内,船务公司码头驻点作为无线局域网的中心站点,其他船舶为分站点。分站点内无线局域网的组网方案与船内无线局域网组网方案完全相同。中心站点上接入一个无线接入点AP-10D,其它各分站点通过接入一个站适配器SA-40D与中心站点的AP-10D进行通信,分站点内的无线局域网则通过接入一个无线网桥WB-10D与中心站点AP-10D进行通信。这样各分站点之间无线局域网的访问均通过中心站点的控制来实现,它们共享中心站点AP-10D的3M带宽。使用高增益全定向天线, 联网距离可达到10km~50km。可以有效的保证船务公司码头驻点与船舶之间通讯时的活动空间。
4 无线局域网的安全性和稳定性分析
4.1 无线局域网的安全性
网络安全性涉及两个方面:网络系统自身安全性及网络服务的安全性。无线网络系统产品采用了先进的扩展频谱通信技术,无线网络通信协议通常采用IEEE802.3和IEEE802.11, IEEE802.3用于点对点方式,IEEE802.11用于一点对多点方式。提供的解决方案提供多级成安全机制,保护数据免受未经授权的存取,各项安全手段同时发挥作用,任何一基不符合要求,系统就会拒绝访问,无线网络系统的网络互连属于内部网络的互连,是与公众用户相隔离的网络。因此具有极高的安全性。
无线网络采用低功率的扩展频谱技术来提供发射信号源,其传输数据时将信号源数字信号转变为模拟信号,并将其频谱带宽扩展11倍及将频谱幅度降低11倍。扩展频谱时使用唯一一种扩展编码方式,此编码方式内置于产品内,其他产品则不能识别其频谱信号。
无线网络设备应符合国际无线网络标准IEEE802.11,可以兼容其他厂商生产的符合国际无线网络标准IEEE802.11的无线设备。当把系统安全保密性设置定义为“ANY(任何用户) ”时可以实现对外兼容开放,当系统设置了“封闭无线网络选择功能”时,它可以阻止无授权的SSID(网域名) 的系统接入无线网络系统,保证了系统的安全。
无线网络的认证体系也是无线网络安全保密性的措施之一。IEEE802.11定义了两种认证技术手法,其一为开放系统认证,其二为共享关键字认证。开放系统认证仅仅认证工作站点,它一般均会给予肯定的认证结果。共享关键字认证体系则检证用户是否允许连入该无线网络。它需要检证其WEP码流(Wired Equivalent Privacy),申请过程由四组工作站与Access Point 交换码流组成,以检证接入站点是否与Access Point 拥有同样的密码字。适配网卡还可以使用加密码的方式来保证系统的安全保密性。该方式使得数据信号流组在传输时加入密码流。
无线网桥还具有利用安装设置的MAC地址表来限制站点接入无线网络的功能,也称为网桥地址过滤。用户还可增加一些附属功能以达到更高的保密性,如通过加密机,设置网络服务器的用户密码以及有线网络中其他一些网络安全措施如:防火墙技术,VPN技术等,就使无线网络具有了与有线局域网络同等甚至更高级别的保密特性。无线局域网设备的加密功能由硬件完成,不会对无线网络设备本身传输速度产生影响。
4.2 无线局域网的稳定性
无线网络的稳定性是满足要求的,微波是在空气中传输,其稳定性主要是指恶劣天气对无线网络信号的影响。无线网络的主要设备均安装在室内环境,只有天线安装在室外。除降水外,其他恶劣天气下无线信号均不会受到影响。恶劣天气对无线信号的影响主要是降雨衰减。根据有关测试数据表明,2. 4G无线产品的雨衰效应非常小。雨衰、雾衰等损耗对微波扩频网络衰减量基本可以忽略不计(在每小时150mm降雨量的情况下,2.4GHz微波扩频的信号雨衰小于0.02dB/ km)。可见,将其应用在船舶中的效果还是很好的。
5 小结
本文对无线局域网技术进行了介绍和利用此技术在具体行业的应用与实现。无线局域网在近几年的发展中,不断地与各项无线移动通讯的最新技术相融合,逐渐走向成熟,可以预见在不久的将来会以此为基础,形成一套相对完整的无线通讯技术体系,从而完成移动平台的搭建。未来几年内,无线局域网络的应用将会成为未来网络的技术主流之一。
参考文献:
[1]林阳.无线互联网:支撑远程教育的新平台[J].现代教育技术,2002:37.
[2]胡道元.计算机局域网[M].北京: 清华大学出版社,2002:15-17.
[3]GIL HELD.构建无线局域网[M].北京: 人民邮电出版社,2003:67-69.
[4]刘剑.无线网通信原理与应用[M].北京: 清华大学出版社,2002:40-49.
“无线”风光进校园
校园环境是一个信息交流极快的特殊环境,实现校园信息的电子化和信息资源的共享是时展的必要,或许20年前的校园里电脑尚是一种奢侈品,但今天,无法想像一所没有宽带的高校……
但当大家都已习惯使用校园宽带上网时,另一些苦恼可能就出现了。
体育馆里:什么时候宽带才能进来啊!
会议室里:网线要是能多点儿、长点儿就更好了!
特别是成都电子科技大学作为我国的一所在电子信息领域具有世界先进水平的一流大学,多次主办颇具影响的大型国际会议,随着信息化的发展,针对会议室的需求也与过去不同。为了更好地提升成都电子科技大学的形象,以及为参会人员服务,非常需要采用无线网络技术。
近日,成都电子科技大学启动了校园无线局域网的建设,广大师生只需在自己的笔记本电脑里插入无线网卡,安装相关的程序,就可以在体育馆和会议室享受无线解决方案带来的便捷。
最终,该校根据目前流行的无线网络建设方式,决定采用国际知名的无线网络品牌Linksys,为成都电子科技大学体育馆、211会议室、国际会议厅和主楼322会议室打造一个安全、快速的全方位无线网络环境。该项目的系统集成商为成都赛恩计算机网络技术有限公司。
无限沟通巧实现
Linksys公司遵循面向应用,注重实效,急用先上,逐步完善的原则,充分保护成都电子科技大学的投资,抛弃华而不实的无线网络,同时避免利用率低下的网络,以实用性的原则要求为依据,采用Wrt54G-CN无线设备建设高性价比的校园无线局域网络。
会议厅是成都电子科技大学对外的窗口之一,是充分体现电子科大IT应用的一个重要方面,所以采用的无线网络要求具有充分的可靠性。为此,Linksys同时还提供了多接入点微蜂窝覆盖方案。通过多个无线访问点(AP)的协同工作,可以有效地扩大无线网络覆盖面积,达到较大活动空间的无线漫游目的,保证了会议厅的任何角落都能稳定地连接到校园网络,还可以缓解多人使用时频繁访问导致的对无线网络系统压力的剧增,并且尽量消除了单点故障对整个无线网络的影响。
本无线局域网解决方案采用了先进成熟的网络概念、技术、方法与设备,反映当今先进水平,又给未来的发展留有空间,充分采用目前国际、国内流行和成熟的技术,保证网络能适应技术的快速发展;本网络具有良好的网络管理、网络监控、故障分析和处理能力,Linksys无线网络设备具有远程网络管理能力,具有友好的操作界面,能方便快速地完成所需的配置,日志功能可以对潜在的故障及早发现,防止网络故障的发生,使系统具有极高的可维护性。为了向用户提供高安全的无线局域网产品,Linksys在不同的无线局域网产品中分别提供了无线网卡物理地址过滤、有线等效保密、端口访问控制技术、可扩展认证协议、WPA和VPN-Over-Wireless无线局域网安全技术,使本网络具有多种手段防备各种形式的非法侵入和机密信息的泄露。
对于校园部署无线互联网络的意义和影响,学校领导人表示,我校的无线局域网是以有线网络为架构,作为有线网络的必要补充而建立起来的。它最大的优势是解决了有线接入问题,接入后与互联网完全融合在一起。通过该无线网络,参会人员可以不受所在位置的约束,在无线覆盖区域内随时随地接入本地网络。通过该网络方便地收发电子邮件,进行实时交流讨论,或进入国际互联网在更广泛的范围开展重大课题研究。
成都电子科技大学采用Linksys的Wrt54G-CN无线设备建设了一套安全、快速、可靠的无线网络,不仅实现了许多新的应用,还解决了某些特殊区域无法布线的问题。这个项目是Linksys公司在大中院校大规模无线网络覆盖应用推广方面又一次的成功实践,这充分体现了Linksys公司在无线网络建设上的丰富经验。成都电子科技大学无线网络拓扑图见图1。
在无线网络中,主要的设备是Linksys Wireless-G无线访问点。它可以将Wireless-G或Wireless-B设备连接至网络。由于两种标准都已内置于系统,用户完全可以利用现有的802.11b基础设施,从而保护用户的投资,并根据需求的发展,将网络客户机迁移至高速率的Wireless-G标准,同时在保证连接的最大可用性和可靠性的前提下,实现1Mbps的网速。因此,用户充分地享受到了WLAN所能提供的灵活性和性能。为保护用户的数据和专用性,Wireless-G无线访问点可以加密所有无线传输,并支持业界领先的WPA安全性(64/128位WEP加密)。MAC地址过滤器可帮助用户确定究竟是谁接入了您的无线网。该产品为简便安装提供了向导,还可以利用基于网络浏览器的配置工具,通过内置Web 用户接口,配置工作可以轻松快速地完成。通过网络浏览器完成固件升级。
无限自由成现实
如今,在学校的教室、办公室、运动场,甚至是校园草坪上,都有三三两两的教师和学生,手持笔记本电脑,或查阅资料,或在电脑上完成作业并递交到老师的信箱,或进行上网访问……今天,学习已走出教室,走向更广阔的户外,这源于无线局域网技术以经济、灵活、有效地拓展了现有网络的覆盖范围,并使随时随地的网络接入成为可能。
集成商如是说
本次工程的集成商成都赛恩计算机网络技术有限公司负责人田先生:Linksys无线联网解决方案可以帮助校园改良传统的教育模式,并提供许多创新的互动方式。成都电子科技大学无线校园网项目向人们展示了更加积极的信息化手段和随之而来的成果,因为新的无线网络支持大家根据需要而不受限制、随时随地进入网络和随时获取相关信息开展联机工作。无线校园将是未来社会教育模式的重要趋势之一。成都电子科技大学无线网络方案的使用和近期即可显现的良好收效,将加速西南其他区域校园普及无线网络的步伐。
小资料
