时间:2022-11-19 01:23:32
前 言
在这个“网络就是计算机”的时代,伴随着有线网络的广泛应用,以快捷高效,组网灵活为优势的无线网络技术也在飞速发展。无线局域网是计算机网络与无线通信技术相结合的产物。从专业角度讲,无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信,并为通信的移动化、个性化和多媒体应用提供了可能。通俗地说,无线局域网(Wireless local-area network,WLAN)就是在不采用传统缆线的同时,提供以太网或者令牌网络的功能。 通常计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。但有线网络在某些场合要受到布线的限制:布线、改线工程量大;线路容易损坏;网中的各节点不可移动。特别是当要把相离较远的节点连接起来时,敷设专用通信线路的布线施工难度大、费用高、耗时长,对正在迅速扩大的联网需求形成了严重的瓶颈阻塞。无线局域网就是解决有线网络以上问题而出现的。
无线局域网的历史
说到无线网络的历史起源,可能比各位想像的还要早。无线网络的初步应用,可以追溯到五十年前的第二次世界大战期间,当时美国陆军采用无线电信号做资料的传输。他们研发出了一套无线电传输科技,并且采用相当高强度的加密技术。当初美军和盟军都广泛使用这项技术。这项技术让许多学者得到了灵感,在1971年时,夏威夷大学(University of Hawaii)的研究员创造了第一个基于封包式技术的无线电通讯网络,这被称作ALOHNET的网络,可以算是相当早期的无线局域网络(WLAN)。这最早的WLAN包括了7台计算机,它们采用双向星型拓扑(bi-directional star topology),横跨四座夏威夷的岛屿,中心计算机放置在瓦胡岛(Oahu Island)上。从这时开始,无线网络可说是正式诞生了。 虽然目前几乎所有的局域网络(LAN)都仍旧是有线的架构,不过近年来无线网络的应用却日渐增加,主要应用在学术界(像是大学校园)、医疗界、制造业和仓储业等,而且相关的技术也一直在进步,对企业而言要转换到无线网络也更加容易、更加便宜了。
无线局域网的技术特点
无线局域网利用电磁波在空气中发送和接受数据,而无需线缆介质。无线局域网的数据传输速率现在已经能够达到11Mbps,传输距离可远至20km以上。它是对有线联网方式的一种补充和扩展,使网上的计算机具有可移动性,能快速方便地解决使用有线方式不易实现的网络联通问题。
1.无线局域网的优点
与有线网络相比,无线局域网具有以下优点:
安装便捷
一般在网络建设中,施工周期最长、对周边环境影响最大的,就是网络布线施工工程。在施工过程中,往往需要破墙掘地、穿线架管。而无线局域网最大的优势就是免去或减少了网络布线的工作量,一般只要安装一个或多个接入点AP(Access Point)设备,就可建立覆盖整个建筑或地区的局域网络。
使用灵活
在有线网络中,网络设备的安放位置受网络信息点位置的限制。而一旦无线局域网建成后,在无线网的信号覆盖区域内任何一个位置都可以接入网络。
经济节约
由于有线网络缺少灵活性,这就要求网络规划者尽可能地考虑未来发展的需要,这就往往导致预设大量利用率较低的信息点。而一旦网络的发展超出了设计规划,又要花费较多费用进行网络改造,而无线局域网可以避免或减少以上情况的发生。
易于扩展
无线局域网有多种配置方式,能够根据需要灵活选择。这样,无线局域网就能胜任从只有几个用户的小型局域网到上千用户的大型网络,并且能够提供像“漫游(Roaming)”等有线网络无法提供的特性。由于无线局域网具有多方面的优点,所以发展十分迅速。在最近几年里,无线局域网已经在医院、商店、工厂和学校等不适合网络布线的场合得到了广泛应用。
2.无线局域网的相关技术
1). IEEE 802.11标准转贴于
IEEE 802.11是在1997年由大量的局域网以及计算机专家审定通过的标准。IEEE 802.11规定了无线局域网在2.4GHz波段进行操作,这一波段被全球无线电法规实体定义为扩频使用波段。
1999年8月,802.11标准得到了进一步的完善和修订,包括用一个基于SNMP的MIB来取代原来基于OSI协议的MIB。另外还增加了两项内容,一是802.11a,它扩充了标准的物理层,频带为5GHz,采用QFSK调制方式,传输速率为6Mb/s-54Mb/s。它采用正交频分复用(OFDM)的独特扩频技术,可提供25Mbps的无线ATM接口和10Mbps的以太网无线帧结构接口,并支持语音、数据、图像业务。这样的速率完全能满足室内、室外的各种应用场合。但是,采用该标准的产品目前还没有进入市场。另一种是802.11b标准,在2.4GHz频带,采用直接序列扩频(DSSS)技术和补偿编码键控(CCK)调制方式。该标准可提供11Mb/s的数据速率,还能够根据情况的变化,在11 Mbps、5.5 Mbps、2 Mbps、1 Mbps的不同速率之间自动切换。它从根本上改变无线局域网设计和应用现状,扩大了无线局域网的应用领域,现在,大多数厂商生产的无线局域网产品都基于802.11b标准。
2). 无线局域网的相关概念
在一个典型的无线局域网环境中,有一些进行数据发送和接收的设备,称为接入点(AP)。通常,一个AP能够在几十至上百米的范围内连接多个无线用户。在同时具有有线和无线网络的情况下,AP可以通过标准的Ethernet电缆与传统的有线网络相联,作为无线网络和有线网络的连接点。无线局域网的终端用户可通过无线网卡等访问网络。
无线局域网在室外主要有以下几种结构:点对点型、点对多点型、多点对点型和混合型。
点对点型
该类型常用于固定的要联网的两个位置之间,是无线联网的常用方式,使用这种联网方式建成的网络,优点是传输距离远,传输速率高,受外界环境影响较小。
点对多点型
该类型常用于有一个中心点,多个远端点的情况下。其最大优点是组建网络成本低、维护简单;其次,由于中心使用了全向天线,设备调试相对容易。该种网络的缺点也是因为使用了全向天线,波束的全向扩散使得功率大大衰减,网络传输速率低,对于较远距离的远端点,网络的可靠性不能得到保证。
混合型
这种类 型适用于所建网络中有远距离的点、近距离的点,还有建筑物或山脉阻挡的点。在组建这种网络时,综合使用上述几种类型的网络方式,对于远距离的点使用点对点方式,近距离的多个点采用点对多点方式,有阻挡的点采用中继方式。
无线局域网的室内应用则有以下两类情况
独立的无线局域网
这是指整个网络都使用无线通信的情形。在这种方式下可以使用AP,也可以不使用AP。在不使用AP时,各个用户之间通过无线直接互联。但缺点是各用户之间的通信距离较近,且当用户数量较多时,性能较差。
非独立的无线局域网
在大多数情况下,无线通信是作为有线通信的一种补充和扩展。我们把这种情况称为非独立的无线局域网。在这种配置下,多个AP通过线缆连接在有线网络上,以使无线用户即能够访问网络的各个部分。
其他相关概念
微单元和无线漫游
无线电波在传播过程中会不断衰减,导致AP的通讯范围被限定在一定的范围之内,这个范围被称为微单元。当网络环境存在多TAP,且它们的微单元互相有一定范围的重合时,无线用户可以在整个无线局域网覆盖区内移动,无线网卡能够自动发现附近信号强度最大的AP,并通过这个AP收发数据,保持不间断的网络连接,这就称为无线漫游。
扩频
大多数的无线局域网产品都使用了扩频技术。扩频技术原先是军事通讯领域中使用的宽带无线通信技术。使用扩频技术,能够使数据在无线传输中完整可靠,并且确保同时在不同频段传输的数据不会互相干扰。
直序扩频
所谓直接序列扩频,就是使用具有高码率的扩频序列,在发射端扩展信号的频谱,而在接收端用相同的扩频码序列进行解扩,把展开的扩频信号还原成原来的信号。
跳频扩频
跳频技术与直序扩频技术完全不同,是另外一种扩频技术。跳频的载频受一个伪随机码的控制,在其工作带宽范围内,其频率按随机规律不断改变频率。接收端的频率也按随机规律变化,并保持与发射端的变化规律一致。
跳频的高低直接反映跳频系统的性能,跳频越高,抗干扰的性能越好,军用的跳频系统可以达到每秒上万跳。实际上移动通信GSM系统也是跳频系统。出于成本的考虑,商用跳频系统跳速都较慢,一般在50跳/秒以下。由于慢跳跳频系统实现简单,因此低速无线局域网常常采用这种技术。
无线局域网的应用
基于无线局域网具有的诸多优点,它可广泛应用于下列领域:
1.接入网络信息系统:电子邮件、文件传输和终端仿真。
2.难以布线的环境:老建筑、布线困难或昂贵的露天区域、城市建筑群、校园和工厂。
3.频繁变化的环境:频繁更换工作地点和改变位置的零售商、生产商,以及野外勘测、试验、军事、公安和银行等。
4.使用便携式计算机等可移动设备进行快速网络连接。
5.用于远距离信息的传输:如在林区进行火灾、病虫害等信息的传输;公安交通管理部门进行交通管理等。
6.专门工程或高峰时间所需的暂时局域网:学校、商业展览、建设地点等人员流动较强的地方;利用无线局域网进行信息的交流;零售商、空运和航运公司高峰时间所需的额外工作站等。
7.流动工作者可得到信息的区域:需要在医院、零售商店或办公室区域流动时得到信息的医生、护士、零售商、白领工作者。
8.办公室和家庭办公室(SOHO)用户,以及需要方便快捷地安装小型网络的用户。
无线局域网的结构
根据不同局域网的应用环境与需求的不同,无线局域网可采取不同的网络结构来实现互联。常用的具体有如下几种:
1、网桥连接型:不同的局域网之间互联时,由于物理上的原因,若采取有线方式不方便,则可利用无线网桥的方式实现二者的点对点连接,无线网桥不仅提供二者之间的物理与数据链路层的连接,还为两个网的用户提供较高层的路由与协议转换。
2、基站接入型:当采用移动蜂窝通信网接入方式组建无线局域网时,各站点之间的通信是通过基站接入、数据交换方式来实现互联的。各移动站不仅可以通过交换中心自行组网,还可以通过广域网与远地站点组建自己的工作网络。
3、HUB接入型:利用无线Hub可以组建星型结构的无线局域网,具有与有线Hub组网方式相类似的优点。在该结构基础上的WLAN,可采用类似于交换型以太网的工作方式,要求Hub具有简单的网内交换功能。
4、无中心结构:要求网中任意两个站点均可直接通信。此结构的无线局域网一般使用公用广播信道,MAC层采用CSMA类型的多址接入协议。
无线局域网可以在普通局域网基础上通过无线Hub、无线接入站(AP)、无线网桥、无线Modem及无线网卡等来实现,其中以无线网卡最为普遍,使用最多。无线局域网的关键技术,除了红外传输技术、扩频技术、网同步技术外还有一些其他技术,如:调制技术、加解扰技术、无线分集接收技术、功率控制技术和节能技术。
无线局域网的具体实现
笔者通过在实际工作中对无线局域网设备和技术实现有过较为深刻的接触。下面以广州凯创公司(Enterasys Networks)的RoamAbout 802.11系列无线局域网设备对无线局域网的具体实现加以简单介绍:
1. RoamAbout802.11设备简介:
Enterasys推出的RoamAbout无线网络解决方案,用于迅速、轻松和经济地建立无线LAN,它可以为用户提供类似以太网的可靠性能。RoamAbout 802.11系列产品由两部分组成:全功能交换接入点和2.4GHz直接序列扩频无线以太网PC卡。前者可以通过无屏蔽双绞线对,迅速而轻松地连接有线LAN;后者的功能类似于所有标准的有线以太网卡,但它使用射频而不是电缆来建立LAN连接。当用户在整个网络内漫游时,RoamAbout PC卡可以无缝地切换到不同接入点上,从而始终保持与网络的连接。
2. 工程具体实现实例:
例1:某税务分局大楼内已建成一条有线局域网,在分局大楼外有七个所需要通过无线局域网与大楼内的有线网相连接。分局大楼外的七个所,至分局最远距离15km,最近3km,其中有两个所在一栋建筑物内已建成一个小有线局域网,各所一般拥有2至4台工作站。我们采用的无线局域网产品工作在2.4GHz至2.4835GHz频率范围内,它要求两个通信点的天线之间最好没有物体遮挡,但由于大楼处于繁华地带,因此选择一个楼层较高的所作为无线局域网的中心站点。在中心站点上接入一个无线接入点AP-10D,其它各所通过接入一个站适配器SA-40D与中心站点的AP-10D进行通信,分局大楼内的有线局域网则通过接入一个无线网桥WB-10D与中心站点AP-10D进行通信。这样各所与分局所有站点对无线局域网的访问均通过中心站点的控制来实现,它们共享中心站点AP-10D的3M带宽。
例2:某集团公司各企业分布在不同的建筑物内办公,按常规设计必须专线连接,每月支付昂贵的月租费和维护费用,并且无法解决移动站点访问和存取公司网上信息。采用2.4GHz频段无线局域网产品,可以比较灵活地组成一体化企业网络,达到与专线相同的性能,并解决移动站点问题,且安装维护方便,不需交频率使用费。具体方法是使用无线接入点(AP)的桥接功能,一端与建筑物间天线相连,一端与有线网络Hub相连,这样把两栋大楼互相连接起来替代专线功能。周围移动站点通过无线接入点与公司有线网络互联,访问和存取公司信息。
关键词:无线局域网;应用;展望
一、校园无线局域网的概述
校园无线局域网络的基本技术倾向于采用IEEE802.11b技术建设,802.11b宽带无线技术较成熟的,并随着技术的进步,平滑过渡到802,11g,逐步增加网络带宽。LMDS(Loca1Mu1tipoint DistribtIteservice区域多点传输服务)是点对多点无线连接技术,可以提供大带宽、远距离、高可靠性的无线连接,特别适台大的校园内多栋楼之间的连接以及不同校区之间的连接。LMDS和802.11b这两种技术结合使用,可以实现整个校园无线连接,所提供的带宽能够毫无障碍的运行一般的多媒体课件。在校园内设置无线接入基站,在一定范围内用户可以通过无线网卡自由上网,没有任何束缚,如果再配合笔记本电脑、掌上电脑,完全可以实现随时随地学习的目标。与光纤加五类线这种有线组网方式相比,通过基站和无线网卡组网所需投资较少。当前的技术背景下,采用LNlEls等无线技术手段是较适台我国高等教育应用的接入技术,它具有宽带、可靠、接入方式灵活机动,初期组网投资少、使用和维护费用合理等特点,几乎能完美的满足各高校对于接入技术的要求。
二、无线局域网在校园的应用及展望
随着教育信息化、校园数字化进程的加快,教育部对高等学校应用现代教育技术提出了具体要求,出台了《关于加强高等学校本科教学工作提高教学质量的若干意见》,明确提出各高校使用现代化教育技术、提升教学水平,要求各高校加强校园网、电子图书馆、多媒体教室等数字化教学环境的建设。国家对信息技术等新的教育技术手段的应用非常重视。研究无线接入技术在高校应用的可能性和前景具有重要意义和紧迫性。因特网接入方面存在的限制和缺陷,影响了教育信息化的进程,必须寻找符合教育需求特点的新的接入方式。无线网络技术具有无缝覆盖,可移动通讯等许多有线网络系统不具备的优点,把它引入到教育系统中,为我们开辟了一条新的途径,弥补了有线网路的不足。无线接入技术可以满足建设校园网、接入因特网、开展远程(网络)教育等一系列需求。无线局域网络在教学中的应用。由于高校条件所限,大部分教室不具各上网条件,通过无线网络的建设,可以使多数教室具各无线上网条件,教师只需携带便携电脑和相关设各,就能在任意教室中连接校园网、因特网,播放多媒体课件、从网上展示与课堂相关的资料、向学生推荐参考网站及资料,或者直接从网上使用原版最新资料。借助无线网络辅助听课,学生可以配备便携电脑在课堂上使用,通过无线网络连接校园网、囚特网,跟着教师的思路,查找和访问与课堂相关的网站、资料,提高信息接受度,有效提高听课质量,便于参考教师指定的网上资料,便于师生之间联系,激发研究式学习,培养创新能力。无线局域网络在校园公共服务体系中的应用。
目前,多数高校的图书馆、运动场、礼堂、体育馆、食堂、空旷场地等公共场所未铺设有线网络,有了无线网络,当师生在这些场所活动时,可以通过无线网络上网获取信息,充分利用时间,提高效率,方便师生快速、及时获取信息。无线网络有力的补充了学生宿舍、教室、办公场所、教职工宿舍等网络服务,提升公共服务体系的档次。学生们在无线网络环境的教室、宿舍、图书馆等场所进行复习、自学时,及时方便的利用无线网络与教师或其他同学联系,提出问题,获得解答,有助于研究式学习氛围的形成。高教系统经常召开各种校内、校际会议,有了无线网络,无线用户可以在校园内漫游上网,甚至异地漫游上网,在任意校区方便的连接网络,从而提高工作效率。传统的有线网用户从一处到达另一处后往往很难立即接入网络,而使用无线网,用户可以在无线网络基站覆盖的区域内漫游使用,如同在同t个接入点上网一样。无线网络有助于提升高校的高科技形象。通过无线网络的建设,学校拥有国际先进水平的无线校园网络,能够提升学校的信息化程度,促使“便携电脑型大学”的出现,更多的师生配备便携电脑,在无线网络环境中,实现移动教育,随时随地开展教学和学术活动。无线网络促进网络教育的发展。在无线网络教学环境下,师生将会更加注重各种先进的网络教育手段的采用,研究型学习方式将成为未来高校学生的主流学习方式,这对于培养具有创新精神的人才有着重大意义。无线网络促使网络IP电话的发展,特使得远程或异地师生之间交流、答疑变得简单、低成本。网络建设采用无线网络技术这种先进的现代教育技术手段,极大的提升中国的教育水平,促进中国教育的发展,加快教育目标的实现。
三、无线局域网的不足之处
无线局域网在能够给网络用户带来便捷和实用的同时,也存在着一些缺陷如下:
1.性能。无线局域网依靠无线电波进行传输,电波通过无线发射装置进行发射时,建筑物、车辆、树木等障碍物都可能阻碍电磁波的传输,影响网络的性能。
2.速率。目前无线信道的传输速率比有线信道低。
3.安全性。本质上无线电波不要求建立物理的连接通道,无线信号是发散的,可被监听,造成通信信息
泄漏。校园无线局域网作为有线网络的必要补充而建立起来,由于它依托有线网络的构架,可较好地解决性能、速率的问题,随着无线网络的发展,无线技术日益精熟,安全性更有保障,人们可以安全地遨游网络,充分享受“无限”的便利和自由。
摘要:本文介绍了局域网的基本原理、结构和具体组建。其中包括有线局域网和无线局域网,均对其原理、结构进行了详细的比较,并对混合模式的局域网进行研究和实际组建,探讨其应用和发展前景。
关键词:局域网 有线局域网 无线局域网 无线接入设备
abstract:this paper gives a brief introduction of the local area network, including the phylogeny, principle & structures of the lan and wlan. compared with the difference of traditional lan and wireless lan, for example: the structure, the network standard etc. by researching the mix-network(lan + wlan) and build up a mix-network,t ry to foresee the mix-network’s value of use and it’s future.
key words: lan wired lan wireless lan(wlan) wireless acess point
引言:近几年来,网络技术发展日新月异,其技术向着更快、更稳定、更安全的方向发展。其中以无线技术为依托的无线网络的发展尤其引人注目。无线接入技术在国内外得到了迅速的增长,由无线接入技术而诞生的产品目前已经得到了很多应用,并且对传统的有线局域网模式形成了冲击。无线网络的优势无可比拟,在实际应用中,无线接入又常以什么样的形式存在?其技术优势在哪里?无线究竟能带来多大的便利?无线接入存在缺点吗?这就是研究、实践的目的。
付费论文:7900多字 有参考文献 200元
备注:此文版权归本站所有;。
关键词:无线局域网;无线通信;数据传输;网络安全
中图分类号:TP311文献标识码:A 文章编号:1009-3044(2007)17-31287-01
Wireless LAN Technology and Application on Shipping
ZENG Hua
(Guang Zhou Ceroilfood Intertrans Co., Guangzhou 510095,China)
Abstract: According to the shipping environment, using the wireless LAN technology to set up the wireless LAN between the shipping company and the watercraft, or inside the watercrafts. As the result, the information exchange and data transmission of the shipment can become capable to improve the working efficiency. It has done a detailed analysis on the characteristic , security and stability of the wireless LAN technology, and discussed the feasibility and advantage of applying this technology in special environment.
Key words: wireless LAN; wireless communication; data transmission; network security
1 引言
随着我国外贸的发展,进出口货运量在不断的增长,为了加快船舶的周转,船务公司对属下船舶的操作要求也在不断的提高,在货物装卸、船舶调度等过程中,与船舶之间的沟通联系显得十分重要。另一方面,伴随着计算机的广泛应用,人们对网络的依赖越来越强,而传统局域网络已经不能满足船务操作上的需求,近年来,无线局域网产品逐渐走向成熟,正在以它的高速传输能力和灵活性发挥着日益重要的作用。
2 无线局域网的概述和基本原理
2.1 无线局域网的概念
无线局域网络(Wireless Local-area Networks ,WLAN)是指以无线信道作传输媒介的计算机局域网。它是计算机网络与无线通信技术相结合的产物。从专业角度讲,无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信,并为通信的移动化、个性化和多媒体应用提供了可能。通俗地说,无线局域网就是在不采用传统缆线的同时,提供以太网或者令牌网络的功能。
1971年,夏威夷大学的研究员创造了第一个基于封包式技术的无线电通讯网络,这个被称作ALOHNET的网络,可以算是相当早期的无线局域网络。自从1999年8月IEEEIEEE 802.11b和IEEE 802.11a无线互连协议以来,各种无线局域网产品不断涌现。2004年5月WLAN(Wireless Local-area Networks )规范将再次升级,802.11e和802.11i由IEEE正式宣布为WLAN标准。
无线网络提供了移动接入的功能,无线网络可扩展性、可收缩性以及对恶劣环境的高适应性使其非常适合船务公司在码头的驻点与其属下的船舶之间的网络互联和数据通信。
2.2 无线局域网的技术特点
无线局域网利用电磁波在空气中发送和接受数据,而无需线缆介质。无线局域网的数据传输速率现在已经能够达到11Mbps,传输距离可远至20km以上。能快速方便地解决使用有线方式不易实现的网络联通问题。
无线网络有着极高的抗干扰性,由于采用扩频技术使得信号在低于白噪声电平的情况下仍能保持可靠的识别幅度;雨、雪、雾、大风等恶劣天气对微波扩频系统影响较小。雨衰、雾衰等损耗对微波扩频网络衰减量基本可以忽略不计;对于需要移动联网的场所,微波扩频无线网络所特有的灵活性、移动性、可扩展性、可伸缩性更是有线网络所无法替代的。目前,微波扩频无线网络设备可以90km/ h的速度在不同的接入基站之间实现无缝漫游;微波扩频工作于2.4GHz的工业、科学和卫生(ISM)频段,该频段无需申请使用许可证即可使用。
2.3 无线局域网的基本原理
无线网络系统由网络适配器和转发器两部分组成。无线网络中使用的通信技术主要可分为三类:窄频微波技术、扩频技术及红外线技术。其中扩频通信技术被广泛应用。扩频技术在具体实施时由多种方案,但思路是相同的:把索引(也称为码或序列)加入到通信信道,插入码的方式正好定义了所讨论的扩频技术。
实现扩频通信的基本工作方式有直接序列扩频(Direct Sequence Spread Spectrum)方式(简称DSSS方式)和跳频(Frequency Hopping Spread Spectrum)工作方式(简称FHSS方式)。
2.3.1 直接序列扩频
在这种技术中,伪随机码直接加入载波调制器的数据上。调制器似乎具有更大的比特率,由伪随机序列的码片速率有关。用这样一个码序列调制射频载波的结果是产生一个中心在载波频率、频谱为((sin x)/x)2的直序调制扩展频谱。频谱主瓣(零点至零点)的带宽是调制码时钟速率的两倍,旁瓣带宽等于调制码时钟速率。直序扩频频谱形状上发生一些改变,与实际采用的载波和数字调制方法有关。例如在发射端将“1”用“11100010110”, 而“0”用“00011101001”去代替,这个过程就实现了扩频; 而在接收端只要把收到的序列“11100010110”恢复成“1”而“00011101001”就恢复成“0”,这就是解扩。这样信源速率就被提高了11倍,同时也使处理增益达到10dB以上,从而有效地提高了整机倍噪比。直接序列扩频的主要特点是易于隐蔽。
2.3.2 跳频技术
顾名思义,FHSS中载波在一个很宽的频带上按照伪随机码的定义从一个频率跳变到另一个频率。跳变速率由原始信息的数据速率决定,我们能够识别出快速跳频(FFHSS)和慢速跳频(LFHSS)。后者(最通用)允许几个连续的数据位调制同一频率。另一方面,FFHSS是在每个数字位内多次跳频。跳频信号的发射频谱同直序扩频有很大差别,跳频输出在整个频带上是平坦的。跳频信号的带宽是频率间隙的N倍,N是每个跳变信道的带宽。
3 无线局域网技术在船舶上的应用
3.1 船舶内无线局域网的组建方案
依据IEEE 802.11b标准,采用直序扩频技术(DSSS)提供最大为11Mbps的数据传输速率的无线局域网由于其便利性和可伸缩性,特别适用于船内无线局域网的组建。采用单接入点(AP)或多接入点解决方案。接入器选用ETAP1400无线基站。每个基站可以辐射半径25M - 100M的区域。基站通过微波与周边客户的无线网络终端相联,同时无线基站也通过10 Base-T端口与服务器相连,服务器同时还可以作为有线网络的服务器,使整个无线网的客户终端和有线网络客户端都能访问服务器的资源。多接入点AP可以突破无线网覆盖半径的限制,使船内任意角落的终端均可连网。无线客户端机群选用ETNC 1400系列无线网卡将客户机(台式电脑或笔记本电脑)与网络联接,并同时提供无线网卡MAC地址认证。
3.2 船务公司码头驻点与其属下船舶之间的无线局域网互联
采用的无线局域网产品工作在2.4GHz至2.4835GHz频率范围内,船务公司码头驻点作为无线局域网的中心站点,其他船舶为分站点。分站点内无线局域网的组网方案与船内无线局域网组网方案完全相同。中心站点上接入一个无线接入点AP-10D,其它各分站点通过接入一个站适配器SA-40D与中心站点的AP-10D进行通信,分站点内的无线局域网则通过接入一个无线网桥WB-10D与中心站点AP-10D进行通信。这样各分站点之间无线局域网的访问均通过中心站点的控制来实现,它们共享中心站点AP-10D的3M带宽。使用高增益全定向天线, 联网距离可达到10km~50km。可以有效的保证船务公司码头驻点与船舶之间通讯时的活动空间。
4 无线局域网的安全性和稳定性分析
4.1 无线局域网的安全性
网络安全性涉及两个方面:网络系统自身安全性及网络服务的安全性。无线网络系统产品采用了先进的扩展频谱通信技术,无线网络通信协议通常采用IEEE802.3和IEEE802.11, IEEE802.3用于点对点方式,IEEE802.11用于一点对多点方式。提供的解决方案提供多级成安全机制,保护数据免受未经授权的存取,各项安全手段同时发挥作用,任何一基不符合要求,系统就会拒绝访问,无线网络系统的网络互连属于内部网络的互连,是与公众用户相隔离的网络。因此具有极高的安全性。
无线网络采用低功率的扩展频谱技术来提供发射信号源,其传输数据时将信号源数字信号转变为模拟信号,并将其频谱带宽扩展11倍及将频谱幅度降低11倍。扩展频谱时使用唯一一种扩展编码方式,此编码方式内置于产品内,其他产品则不能识别其频谱信号。
无线网络设备应符合国际无线网络标准IEEE802.11,可以兼容其他厂商生产的符合国际无线网络标准IEEE802.11的无线设备。当把系统安全保密性设置定义为“ANY(任何用户) ”时可以实现对外兼容开放,当系统设置了“封闭无线网络选择功能”时,它可以阻止无授权的SSID(网域名) 的系统接入无线网络系统,保证了系统的安全。
无线网络的认证体系也是无线网络安全保密性的措施之一。IEEE802.11定义了两种认证技术手法,其一为开放系统认证,其二为共享关键字认证。开放系统认证仅仅认证工作站点,它一般均会给予肯定的认证结果。共享关键字认证体系则检证用户是否允许连入该无线网络。它需要检证其WEP码流(Wired Equivalent Privacy),申请过程由四组工作站与Access Point 交换码流组成,以检证接入站点是否与Access Point 拥有同样的密码字。适配网卡还可以使用加密码的方式来保证系统的安全保密性。该方式使得数据信号流组在传输时加入密码流。
无线网桥还具有利用安装设置的MAC地址表来限制站点接入无线网络的功能,也称为网桥地址过滤。用户还可增加一些附属功能以达到更高的保密性,如通过加密机,设置网络服务器的用户密码以及有线网络中其他一些网络安全措施如:防火墙技术,VPN技术等,就使无线网络具有了与有线局域网络同等甚至更高级别的保密特性。无线局域网设备的加密功能由硬件完成,不会对无线网络设备本身传输速度产生影响。
4.2 无线局域网的稳定性
无线网络的稳定性是满足要求的,微波是在空气中传输,其稳定性主要是指恶劣天气对无线网络信号的影响。无线网络的主要设备均安装在室内环境,只有天线安装在室外。除降水外,其他恶劣天气下无线信号均不会受到影响。恶劣天气对无线信号的影响主要是降雨衰减。根据有关测试数据表明,2. 4G无线产品的雨衰效应非常小。雨衰、雾衰等损耗对微波扩频网络衰减量基本可以忽略不计(在每小时150mm降雨量的情况下,2.4GHz微波扩频的信号雨衰小于0.02dB/ km)。可见,将其应用在船舶中的效果还是很好的。
5 小结
本文对无线局域网技术进行了介绍和利用此技术在具体行业的应用与实现。无线局域网在近几年的发展中,不断地与各项无线移动通讯的最新技术相融合,逐渐走向成熟,可以预见在不久的将来会以此为基础,形成一套相对完整的无线通讯技术体系,从而完成移动平台的搭建。未来几年内,无线局域网络的应用将会成为未来网络的技术主流之一。
参考文献:
[1]林阳.无线互联网:支撑远程教育的新平台[J].现代教育技术,2002:37.
[2]胡道元.计算机局域网[M].北京: 清华大学出版社,2002:15-17.
[3]GIL HELD.构建无线局域网[M].北京: 人民邮电出版社,2003:67-69.
[4]刘剑.无线网通信原理与应用[M].北京: 清华大学出版社,2002:40-49.
关键词:黄河防汛;无线局域网;通信网络;安装测试
中图分类号:TP393.17
文献标识码:A
文章编号:1672-3198(2009)08-0259-01
无线局域网是计算机网络与无线通信技术相结合的产物。从专业角度讲,无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信,并为通信的移动化、个性化和多媒体应用提供了可能。通俗地说,无线局域网(Wireless local-area network,WLAN)就是在不采用传统缆线的同时,提供以太网或者令牌网络的功能。有效地克服了有线网络布线、改线工程量大;线路容易损坏;网中的各节点不可移动;特别是连接距离较远节点时,敷设专用通信线路的布线施工难度大、费用高、耗时长的缺点。
1 无线局域网技术优点
(1)安装便捷:无线局域网最大的优势就是免去或减少了网络布线的工作量,一般只要安装一个或多个接人点AP(Access Point)设备,就可建立覆盖整个建筑或地区的局域网络。
(2)使用灵活:在有线网络中,网络设备的安放位置受网络信息点位置的限制。而无线局域网建成后,在无线网的信号覆盖区域内任何一个位置都可以接入网络。
(3)经济节约:由于有线网络缺少灵活性,这就要求网络规划者尽可能地考虑未来发展的需要,这就往往导致预设大量利用率较低的信息点。而一旦网络的发展超出了设计规划,又要花费较多费用进行网络改造,而无线局域网可以避免或减少以上情况的发生。
(4)易于扩展:无线局域网有多种配置方式,能够根据需要灵活选择。这样,无线局域网就能胜任从只有几个用户的小型局域网到上千用户的大型网络,并且能够提供像“漫游(Roaming)”等有线网络无法提供的特性,
2 无线局域网配置技术
(1)IEEE 802.11b标准。
1999年8月,在802.11标准的基础上了进一步的完善和修订,增加了实用的802.11b标准,在2.4GHz频带,采用直接序列扩频(DSSS)技术和补偿编码键控(CCK)调制方式。该标准可提供11Mb/s的数据速率。还能够根据情况的变化,在11Mbps、5.5Mbps、2Mbps、1Mbps的不同速率之间自动切换,它从根本上改变无线局域网设计和应用现状,扩大了无线局域网的应用领域。
(2)无线局域网的室外配置类型。
在一个典型的无线局域网环境中,有一些进行数据发送和接收的设备,称为接入点(AP)。通常,一个AP能够在几十至上百米的范围内连接多个无线用户。在同时具有有线和无线网络的情况下,AP可以通过标准的Ethernet电缆与传统的有线网络相联,作为无线网络和有线网络的连接点。无线局域网的终端用户可通过无线网卡等访问网络,无线局域网主要有以下几种结构:点对点型、点对多点型、多点对点型和混合型。
①点对点型:该类型常用于固定的要联网的两个位置之间,是无线联网的常用方式,使用这种联网方式建成的网络,优点是传输距离远,传输速率高。受外界环境影响较小。
⑦点对多点型;该类型常用于有一个中心点,多个远端点的情况下。其最大优点是组建网络成本低、维护简单;其次,由于中心使用了全向天线,设备调试相对容易。该种网络的缺点也是因为使用了全向天线,波束的全向扩散使得功率大大衰减,网络传输速率低,对于较远距离的远端点,网络的可靠性不能得到保证,
③混合型:这种类型适用于所建网络中有远距离的点、近距离的点。还有建筑物或山脉阻挡的点。在组建这种网络时。综合使用上述几种类型的网络方式,对于远距离的点使用点对点方式,近距离的多个点采用点对多点方式,有阻挡的点采用中继方式。
(3)无线局域网的室内应用规则。
①独立的无线局域网:这是指整个网络都使用无线通信的情形。在这种方式下可以使用AP,也可以不使用AP。在不使用AP时,各个用户之间通过无线直接互联。但缺点是各用户之间的通信距离较近,且当用户数量较多时,性能较差。
⑦非独立的无线局域网:在大多数情况下,无线通信是作为有线通信的一种补充和扩展。我们把这种情况称为非独立的无线局域网。在这种配置下,多个AP通过线缆连接在有线网络上,以使无线用户即能够访问网络的各个部分。
3 无线局域网的配置结构
根据不同局域网的应用环境与需求的不同,无线局域网可采取不同的网络结构来实现互联。
(1)网桥连接型;不同的局域网之间互联时,由于物理上的原因,若采取有线方式不方便。则可利用无线网桥的方式实现二者的点对点连接,无线网桥不仅提供二者之间的物理与数据链路层的连接,还为两个网的用户提供较高层的路由与协议转换。
(2)基站接人型:当采用移动蜂窝通信网接入方式组建无线局域网时,各站点之间的通信是通过基站接人、数据交换方式来实现互联的,各移动站不仅可以通过交换中心自行组网。还可以通过广域网与远地站点组建自己的工作网络。
(3)HUB接人型:利用无线Hub可以组建星型结构的无线局域网,具有与有线Hub组网方式相类似的优点。在该结构基础上的WLAN。可采用类似于交换型以太网的工作方式,要求Hub具有简单的网内交换功能。
(4)无中心结构:要求网中任意两个站点均可直接通信。此结构的无线局域网一般使用公用广播信道,MAC层采用CSMA类型的多址接入协议。
无线局域网可以在普通局域网基础上通过无线Hub、无线接入站(AP)、无线网桥、无线Modem及无线网卡等来实现,其中以无线网卡最为普遍。使用最多。无线局域网的关键技术,除了红外传输技术、扩频技术、网同步技术外还有一些其他技术,如:调制技术、加解扰技术、无线分集接收技术、功率控制技术和节能技术。
4 无线通信协议的安装、设置和测试
局域网中常用的三种通信协议有NetBEUI协议、IPX/SPX及其兼容协议、TCP/IP协议,在安装操作系统时会自动安装,如在安装Windows NT或Windows 95/98时,系统会自动安装NetBEUI通信协议,在安装NetWare时,系统会自动安装IPx/SPX通信协议。其中三种协议中,Net-BEUI和IPX/SPX在安装后不需要进行设置就可以直接使用,但TCP/IP要经过必要的设置。
(1)TCP/IP通信协议的安装。在Windows NT中,如果未安装有TCP/IP通信协议,可选择“开始/设置/控制面板/网络”,将出现“网络”对话框,选择对话框中的“协议/添加”,选取其中的TCP/IP协议,然后单击“确定”按钮。系统会询问你是否要进行“DHCP服务器”的设置,如果你的IP地址是固定的(一般是这样),可选择“否”。
(2)TCP/IP通信协议的设置。在“网络”对话框中选择已安装的TCP/IP协议,打开其“属性”,在指定的位置输入已分配好的“IP地址”和“子网掩码”。如果该用户还要访问其它Widnows NT网络的资源,还可以在“默认网关”处输入网关的地址。
关键词:无线网络;无线网络技术;WLAN无线AP
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)08-0049-02
1 无线网络概述
无线网络(wireless network)是利用无线电射频或红外线等无线传输媒体与技术构成的通信网络系统,与有线网络的用途类似,可以和有线网络互为备份。主流应用的无线网络分为无线局域网和通过公众移动通信网实现的无线广域网两种方式。
无线局域网,也被称为 WLAN,指通过无线通信技术将各种终端设备连接起来,实现信息传递和资源共享的网络系统。按照国际相关标准,目前的无线局域网产品的单小区(CELL)覆盖直径在几十米到二、三百米,特殊情况下加功率放大和外接天线可增大覆盖范围,一般用于宽带家庭,大楼内部以及园区内部。
无线广域网络,就是中移动、中联通、中电信提供的无线上网方式,有中移动的GPRS(2G)、EDGE(2.75G)、TD-SCDMA(3G)。中电信的CDMA 1X,中联通的WCDMA。
2有线网络和无线网络的区别
无线局域网与有线局域网络的主要区别在于其传输媒体以及与之有关的媒体访问控制(MAC)协议。
有线网络的连接是通过网线与网卡及交换机等设备相连接,其优点是抗干扰能力强,传输速度快,缺点是组网繁琐,需要穿墙打洞提前布线。无线网络利用无线电技术取代网线,通过无线网卡与无线AP相连接;其优点是组网简便,不需要事先布线,缺点是抗干扰能力差,传输速度慢。相对于有线网络,无线网网络具有移动性强,组网灵活,安装快捷和低成本的特点。
3无线局域网技术
3.1无线局域网的协议标准
和有线局域网协议标准是IEEE802.3一样,IEEE 802.11标准称为无线局域网(WLAN)介质访问控制和物理层规范,由无线网卡和接入点(AP)提供标准的功能。IEEE 802.11b是目前最常用的无线局域网的一个标准,也是所有无线局域网标准中最著名、普及最广的标准,其载波的频率为2.4GHz,传送速度为11Mbit/s。IEEE 802.11b是所有WLAN标准演进的基石,未来许多的系统大都需要与IEEE 802.11b相兼容,它有时也被错误地标为Wi-Fi,实际上Wi-Fi是无线局域网联盟(WLANA)的一个商标,该商标仅保障使用该商标的商品互相之间可以合作,与标准本身实际上没有关系,Wi-Fi是WLAN的重要组成部分。IEEE 802.11b的后续标准中常用的是IEEE 802.11g,它的传送速率为54Mbit/s。
IEEE802.11b标准含有访问控制和保密两个部分,即服务配置标识符(SSID)和有线等效保密(WEP),还有一种加密的机制是在无线网络的虚拟专网(VPN)上来进行的。简单说,SSID就是自己给组建的局域网起的名字,必须将SSID的名称设置为相同的电脑才能互相传递信息。该访问控制技术用于在本地分割子系统,它可以将一个无线局域网分成若干子网,每个子网需要不同身份验证信息,只有通过身份验证的合法用户才能够进入相应的子网络,为网络的安全性提供保障。 WEP被用来提供和有线网络同级的安全性,保障无线传输过程中数据的安全性。WEP能够提供和有线网络相同级别的安全性。
3.2无线局域网络接入设备
在组建无线局域网时,常用到的设备主要包括无线网卡、无线AP、无线网桥、无线天线等。
3.2.1无线网卡
无线网卡根据接口类型的不同,主要分为三种类型,即PCI无线网卡、PCMCIA无线网卡和USB无线网卡。
PCI无线网卡适用于普通的台式计算机,无线网卡插在主板的PCI插槽上,无需外置电源。实际上PCI无线网卡只是在PCI插槽上插入一块普通的PCMCIA卡。
PCMCIA无线网卡只用于笔记本电脑,支持热插拔,可以非常方便地实现移动无线接入,同时也可以使用外部天线来加强PCMCIA无线网卡的信号强度。
USB接口无线网卡同时适用于笔记本和台式机,只要安装了驱动程即可使用,支持热插拔。在选择时要注意的一点就是,只有采用USB2.0接口的无线网卡才能满足802.11g无线产品或802.11g+无线产品的需求
3.2.2无线AP
无线AP是无线网络接入点,是无线网络的核心。其作用是把该设备接入有线网络后,它可以把有线信号转为无线网络,笔记本或电脑通过接受它发射的信号接入无线局域网,通俗地讲,无线AP是无线网和有线网之间沟通的桥梁。无线AP可分为两类,单纯型AP和扩展型AP;单纯型AP就是一般所说的无线AP,扩展型AP就是我们常说的无线路由器。
关键词:无线局域网;标准;安全;趋势
前言 无线局域网本质上是一种网络互连技术。无线局域网使用无线电波代替双绞线、同轴电缆等设备,省去了布线的麻烦,组网灵活。无线局域网(wlan)是计算机网络与无线通信技术相结合的产物。它既可满足各类便携机的入网要求,也可实现计算机局域网远端接入、图文传真、电子邮件等功能。无线局域网技术作为一种网络接入手段,能迅速地应用于需要在移动中联网和在网间漫游的场合,并在不易架设有线的地力和远冲离的数据处理节点提供强大的网络支持。因此,wlan已在军队、石化、医护管理、工厂车间、库存控制、展览和会议、金融服务、旅游服务、移动办公系统等行业中得到了应用,受到了广泛的青睐,已成为无线通信与internet技术相结合的新兴发展力向之一。wlan的最大优点就是实现了网络互连的可移动性,它能大幅提高用户访问信息的及时性和有效性,还可以克服线缆限制引起的不便性。但由于无线局域网应用具有很大的开放性,数据传播范围很难控制,因此无线局域网将面临着更严峻的安全问题。
1. 无线局域网安全发展概况
无线局域网802.11b公布之后,迅速成为事实标准。遗憾的是,从它的诞生开始,其安全协议wep就受到人们的质疑。美国加州大学伯克利分校的borisov,goldberg和wagner最早指出了wep协议中存在的设计失误,接下来信息安全研究人员发表了大量论文详细讨论了wep协议中的安全缺陷,并与工程技术人员协作,在实验中破译了经wep协议加密的无线传输数据。现在,能够截获无线传输数据的硬件设备己经能够在市场上买到,能够对所截获数据进行解密的黑客软件也已经能够在因特网上下载。wep不安全己经成一个广为人知的事情,人们期待wep在安全性方面有质的变化,新的增强的无线局域网安全标准应运而生[1]。
我国从2001年开始着手制定无线局域网安全标准,经过西安电子科技大学、西安邮电学院、西电捷通无线网络通信有限公司等院校和企业的联合攻关,历时两年多制定了无线认证和保密基础设施wapi,并成为国家标准,于2003年12月执行。wapi使用公钥技术,在可信第三方存在的条件下,由其验证移动终端和接入点是否持有合法的证书,以期完成双向认证、接入控制、会话密钥生成等目标,达到安全通信的目的。wapi在基本结构上由移动终端、接入点和认证服务单元三部分组成,类似于802.11工作组制定的安全草案中的基本认证结构。同时我国的密码算法一般是不公开的,wapi标准虽然是公开的,然而对其安全性的讨论在学术界和工程界目前还没有展开[2]。
增强的安全草案也是历经两年多时间定下了基本的安全框架。其间每个月至少召开一次会议,会议的文档可以从互联网上下载,从中可以看到一些有趣的现象,例如aes-ocb算法,开始工作组决定使用该算法作为无线局域网未来的安全算法,一年后提议另外一种算法ccmp作为候选,aes-osb作为缺省,半年后又提议ccmp作为缺省,aes-ocb作为候选,又过了几个月,干脆把aes-ocb算法完全删除,只使用ccmp算法作为缺省的未来无线局域网的算法。其它的例子还有很多。从这样的发展过程中,我们能够更加清楚地认识到无线局域网安全标准的方方面面,有利于无线局域网安全的研究[3][4]。
2.无线局域网的安全必要性
wlan在为用户带来巨大便利的同时,也存在着许多安全上的问题。由于wlan 通过无线电波在空中传输数据,不能采用类似有线网络那样的通过保护通信线路的方式来保护通信安全,所以在数据发射机覆盖区域内的几乎任何一个wlan用户都能接触到这些数据,要将wlan发射的数据仅仅传送给一名目标接收者是不可能的。而防火墙对通过无线电波进行的网络通讯起不了作用,任何人在视距范围之内都可以截获和插入数据。因此,虽然无线网络和wlan的应用扩展了网络用户的自由,它安装时间短,增加用户或更改网络结构时灵活、经济,可提供无线覆盖范围内的全功能漫游服务。然而,这种自由也同时带来了新的挑战,这些挑战其中就包括安全性。wlan 必须考虑的安全要素有三个:信息保密、身份验证和访问控制。如果这三个要素都没有问题了,就不仅能保护传输中的信息免受危害,还能保护网络和移动设备免受危害。难就难在如何使用一个简单易用的解决方案,同时获得这三个安全要素。国外一些最新的技术研究报告指出,针对目前应用最广泛的802.11bwlan 标准的攻击和窃听事件正越来越频繁[5],故对wlan安全性研究,特别是广泛使用的ieee802.11wlan的安全性研究,发现其可能存在的安全缺陷,研究相应的改进措施,提出新的改进方案,对 wlan 技术的使用、研究和发展都有着深远的影响。
同有线网络相比,无线局域网无线传输的天然特性使得其物理安全脆弱得多,所以首先要加强这一方面的安全性。
无线局域网中的设备在实际通信时是逐跳的方式,要么是用户设备发数据给接入设备,饭由接入设备转发,要么是两台用户设备直接通信,每一种通信方式都可以用链路层加密的方法来实现至少与有线连接同等的安全性。无线信号可能被侦听,但是,如果把无线信号承载的数据变成密文,并且,如果加密强度够高的话,侦听者获得有用数据的可能性很小。另外,无线信号可能被修改或者伪造,但是,如果对无线信号承载的数据增加一部分由该数据和用户掌握的某种秘密生成的冗余数据,以使得接收方可以检测到数据是杏被更改,那么,对于无线信号的更改将会徒劳无功。而秘密的独有性也将使得伪造数据被误认为是合法数据的可能性极小。
这样,通过数据加密和数据完整性校验就可以为无线局域网提供一个类似有线网的物理安全的保护。对于无线局域网中的主机,面临病毒威胁时,可以用最先进的防毒措施和最新的杀毒工具来给系统增加安全外壳,比如安装硬件形式的病毒卡预防病毒,或者安装软件用来时实检测系统异常。pc机和笔记本电脑等设备己经和病毒进行了若千年的对抗,接下来的无线设备如何与病毒对抗还是一个待开发领域。
对于dos攻击或者ddos攻击,可以增加一个网关,使用数据包过滤或其它路由设置,将恶意数据拦截在网络外部;通过对外部网络隐藏接入设备的ip地址,可以减小风险。对于内部的恶意用户,则要通过审计分析,网络安全检测等手段找出恶意用户,并辅以其它管理手段来杜绝来自内部的攻击。硬件丢失的威胁要求必须能通过某种秘密或者生物特征等方式来绑定硬件设备和用户,并且对于用户的认证也必须基于用户的身份而不是硬件来完成。例如,用mac地址来认证用户是不适当的[5]。
除了以上的可能需求之外,根据不同的使用者,还会有不同的安全需求,对于安全性要求很高的用户,可能对于传输的数据要求有不可抵赖性,对于进出无线局域网的数据要求有防泄密措施,要求无线局域网瘫痪后能够迅速恢复等等。所以,无线局域网的安全系统不可能提供所有的安全保证,只能结合用户的具体需求,结合其它的安全系统来一起提供安全服务,构建安全的网络。
当考虑与其它安全系统的合作时,无线局域网的安全将限于提供数据的机密性服务,数据的完整性服务,提供身份识别框架和接入控制框架,完成用户的认证授权,信息的传输安全等安全业务。对于防病毒,防泄密,数据传输的不可抵赖,降低dos攻击的风险等都将在具体的网络配置中与其它安全系统合作来实现。
3.无线局域网安全风险
安全风险是指无线局域网中的资源面临的威胁。无线局域网的资源,包括了在无线信道上传输的数据和无线局域网中的主机。
3.1 无线信道上传输的数据所面临的威胁
由于无线电波可以绕过障碍物向外传播,因此,无线局域网中的信号是可以在一定覆盖范围内接听到而不被察觉的。这如用收音机收听广播的情况一样,人们在电台发射塔的覆盖范围内总可以用收音机收听广播,如果收音机的灵敏度高一些,就可以收听到远一些的发射台发出的信号。当然,无线局域网的无线信号的接收并不像收音机那么简单,但只要有相应的设备,总是可以接收到无线局域网的信号,并可以按照信号的封装格式打开数据包,读取数据的内容[6]。
另外,只要按照无线局域网规定的格式封装数据包,把数据放到网络上发送时也可以被其它的设备读取,并且,如果使用一些信号截获技术,还可以把某个数据包拦截、修改,然后重新发送,而数据包的接收者并不能察觉。
因此,无线信道上传输的数据可能会被侦听、修改、伪造,对无线网络的正常通信产生了极大的干扰,并有可能造成经济损失。
3.2 无线局域网中主机面临的威胁
无线局域网是用无线技术把多台主机联系在一起构成的网络。对于主机的攻击可能会以病毒的形式出现,除了目前有线网络上流行的病毒之外,还可能会出现专门针对无线局域网移动设备,比如手机或者pda的无线病毒。当无线局域网与无线广域网或者有线的国际互联网连接之后,无线病毒的威胁可能会加剧。
对于无线局域网中的接入设备,可能会遭受来自外部网或者内部网的拒绝服务攻击。当无线局域网和外部网接通后,如果把ip地址直接暴露给外部网,那么针对该ip的dog或者ddos会使得接入设备无法完成正常服务,造成网络瘫痪。当某个恶意用户接入网络后,通过持续的发送垃圾数据或者利用ip层协议的一些漏洞会造成接入设备工作缓慢或者因资源耗尽而崩溃,造成系统混乱。无线局域网中的用户设备具有一定的可移动性和通常比较高的价值,这造成的一个负面影响是用户设备容易丢失。硬件设备的丢失会使得基于硬件的身份识别失效,同时硬件设备中的所有数据都可能会泄漏。
这样,无线局域网中主机的操作系统面临着病毒的挑战,接入设备面临着拒绝服务攻击的威胁,用户设备则要考虑丢失的后果。
4.无线局域网安全性
无线局域网与有线局域网紧密地结合在一起,并且己经成为市场的主流产品。在无线局域网上,数据传输是通过无线电波在空中广播的,因此在发射机覆盖范围内数据可以被任何无线局域网终端接收。安装一套无线局域网就好象在任何地方都放置了以太网接口。因此,无线局域网的用户主要关心的是网络的安全性,主要包括接入控制和加密两个方面。除非无线局域网能够提供等同于有线局域网的安全性和管理能力,否则人们还是对使用无线局域网存在顾虑。
4.1 ieee802. 11 b标准的安全性
ieee 802.11b标准定义了两种方法实现无线局域网的接入控制和加密:系统id(ssid)和有线对等加密(wep)[7][8]。
4.1.1认证
当一个站点与另一个站点建立网络连接之前,必须首先通过认证。执行认证的站点发送一个管理认证帧到一个相应的站点。ieee 802.11b标准详细定义了两种认证服务:一开放系统认证(open system authentication):是802.11b默认的认证方式。这种认证方式非常简单,分为两步:首先,想认证另一站点的站点发送一个含有发送站点身份的认证管理帧;然后,接收站发回一个提醒它是否识别认证站点身份的帧。一共享密钥认证(shared key authentication ):这种认证先假定每个站点通过一个独立于802.11网络的安全信道,已经接收到一个秘密共享密钥,然后这些站点通过共享密钥的加密认证,加密算法是有线等价加密(wep )。
4. 1 .2 wep
ieee 802.11b规定了一个可选择的加密称为有线对等加密,即wep。wep提供一种无线局域网数据流的安全方法。wep是一种对称加密,加密和解密的密钥及算法相同。wep的目标是:接入控制:防止未授权用户接入网络,他们没有正确的wep密钥。
加密:通过加密和只允许有正确wep密钥的用户解密来保护数据流。
ieee 802.11b标准提供了两种用于无线局域网的wep加密方案。第一种方案可提供四个缺省密钥以供所有的终端共享一包括一个子系统内的所有接入点和客户适配器。当用户得到缺省密钥以后,就可以与子系统内所有用户安全地通信。缺省密钥存在的问题是当它被广泛分配时可能会危及安全。第二种方案中是在每一个客户适配器建立一个与其它用户联系的密钥表。该方案比第一种方案更加安全,但随着终端数量的增加给每一个终端分配密钥很困难。
4.2 影响安全的因素[9][10]
4. 2. 1硬件设备
在现有的wlan产品中,常用的加密方法是给用户静态分配一个密钥,该密钥或者存储在磁盘上或者存储在无线局域网客户适配器的存储器上。这样,拥有客户适配器就有了mac地址和wep密钥并可用它接入到接入点。如果多个用户共享一个客户适配器,这些用户有效地共享mac地址和wep密钥。
当一个客户适配器丢失或被窃的时候,合法用户没有mac地址和wep密钥不能接入,但非法用户可以。网络管理系统不可能检测到这种问题,因此用户必须立即通知网络管理员。接到通知后,网络管理员必须改变接入到mac地址的安全表和wep密钥,并给与丢失或被窃的客户适配器使用相同密钥的客户适配器重新编码静态加密密钥。客户端越多,重新编码wep密钥的数量越大。
4.2.2虚假接入点
ieee802. 1 1b共享密钥认证表采用单向认证,而不是互相认证。接入点鉴别用户,但用户不能鉴别接入点。如果一个虚假接入点放在无线局域网内,它可以通过劫持合法用户的客户适配器进行拒绝服务或攻击。
因此在用户和认证服务器之间进行相互认证是需要的,每一方在合理的时间内证明自己是合法的。因为用户和认证服务器是通过接入点进行通信的,接入点必须支持相互认证。相互认证使检测和隔离虚假接入点成为可能。
4.2.3其它安全问题
标准wep支持对每一组加密但不支持对每一组认证。从响应和传送的数据包中一个黑客可以重建一个数据流,组成欺骗性数据包。减轻这种安全威胁的方法是经常更换wep密钥。通过监测工eee802. 11 b控制信道和数据信道,黑客可以得到如下信息:客户端和接入点mac地址,内部主机mac地址,上网时间。黑客可以利用这些信息研究提供给用户或设备的详细资料。为减少这种黑客活动,一个终端应该使用每一个时期的wep密钥。
4.3 完整的安全解决方案
无线局域网完整的安全方案以ieee802.11b比为基础,是一个标准的开放式的安全方案,它能为用户提供最强的安全保障,确保从控制中心进行有效的集中管理。它的核心部分是:
扩展认证协议(extensible authentication protocol,eap),是远程认证拨入用户服务(radius)的扩展。可以使无线客户适配器与radius服务器通信。
当无线局域网执行安全保密方案时,在一个bss范围内的站点只有通过认证以后才能与接入点结合。当站点在网络登录对话框或类似的东西内输入用户名和密码时,客户端和radius服务器(或其它认证服务器)进行双向认证,客户通过提供用户名和密码来认证。然后radius服务器和用户服务器确定客户端在当前登录期内使用的wep密钥。所有的敏感信息,如密码,都要加密使免于攻击。
这种方案认证的过程是:一个站点要与一个接入点连接。除非站点成功登录到网络,否则接入点将禁止站点使用网络资源。用户在网络登录对话框和类似的结构中输入用户名和密码。用ieee802. lx协议,站点和radius服务器在有线局域网上通过接入点进行双向认证。可以使用几个认证方法中的一个。
相互认证成功完成后,radius服务器和用户确定一个wep密钥来区分用户并提供给用户适当等级的网络接入。以此给每一个用户提供与有线交换几乎相同的安全性。用户加载这个密钥并在该登录期内使用。
radius服务器发送给用户的wep密钥,称为时期密钥。接入点用时期密钥加密它的广播密钥并把加密密钥发送给用户,用户用时期密钥来解密。用户和接入点激活wep,在这时期剩余的时间内用时期密钥和广播密钥通信。
网络安全性指的是防止信息和资源的丢失、破坏和不适当的使用。无论有线络还是无线网络都必须防止物理上的损害、窃听、非法接入和各种内部(合法用户)的攻击。
无线网络传播数据所覆盖的区域可能会超出一个组织物理上控制的区域,这样就存在电子破坏(或干扰)的可能性。无线网络具有各种内在的安全机制,其代码清理和模式跳跃是随机的。在整个传输过程中,频率波段和调制不断变化,计时和解码采用不规则技术。
正是可选择的加密运算法则和ieee 802.11的规定要求无线网络至少要和有线网络(不使用加密技术)一样安全。其中,认证提供接入控制,减少网络的非法使用,加密则可以减少破坏和窃听。目前,在基本的wep安全机制之外,更多的安全机制正在出现和发展之中[12]。
5.无线局域网安全技术的发展趋势
目前无线局域网的发展势头十分强劲,但是起真正的应用前景还不是十分的明朗。主要表现在:一是真正的安全保障;二个是将来的技术发展方向;三是wlan有什么比较好的应用模式;四是wlan的终端除pcmcia卡、pda有没有其他更好的形式;五是wlan的市场规模。看来无线局域网真正的腾飞并非一己之事[13]。
无线局域网同样需要与其他已经成熟的网络进行互动,达到互利互惠的目的。欧洲是gsm网的天下,而wlan的崛起使得他们开始考虑wlan和3g的互通,两者之间的优势互补性必将使得wlan与广域网的融合迅速发展。现在国内中兴通讯己经实现了wlan和ci}ivia系统的互通,而对于使用中兴设备的wlan与gsm/gprs系统的互通也提出了解决方案,这条路必定越走越宽。
互通中的安全问题也必然首当其冲,ieee的无线局域网工作组己经决定将eap-siivi纳入无线局域网安全标准系列里面,并且与3g互通的认证标准eap-aid也成为讨论的焦点。
无线网络的互通,现在是一个趋势。802.11工作组新成立了wig(wireless lnterworking grouq),该工作组的目的在于使现存的符合etsi,ieee,mmac所制订的标准的无线域网之间实现互通。另外3gpp也给出了无线局域网和3g互通的两个草案,定义了互通的基本需求,基本模型和基本框架。还有就是爱立信公司的一份文档给出了在现有的网络基础上,实现无线局域网和g1vis/gprs的互通。
不同类型无线局域网互通标准的制定,使得用户可以使用同一设备接入无线局域网。3g和无线局域网的互通者可以使用户在一个运营商那里注册,就可以在各地接入。当然,用户享用上述方便的同时,必然会使运营商或制造商获得利润,而利润的驱动,则是这个互通风潮的根本动力。为了达到互通的安全,有以下需求:支持传统的无线局域网设备,对用户端设备,比如客户端软件,影响要最小,对经营者管理和维护客户端sw的要求要尽量少,应该支持现存的uicc卡,不应该要求该卡有任何改动,敏感数据,比如存在uicc卡中的长期密钥不能传输。对于uicc卡的认证接口应该是基于该密钥的challenge-, response模式。用户对无线局域网接入的安全级别应该和3gpp接入一样,应该支持双向认证,所选的认证方案应该顾及到授权服务,应该支持无线局域网接入nw的密钥分配方法,无线局域网与3gpp互通所选择的认证机制至少要提供3 gpp系统认证的安全级别,无线局域网的重连接不应该危及3gpp系统重连接的安全,所选择的无线局域网认证机制应该支持会话密钥素材的协商,所选择的无线局域网密钥协商和密钥分配机制应该能防止中间人攻击。也就是说中间人不能得到会话密钥素材,无线局域网技术应当保证无线局域网ue和无线局域网an的特定的认证后建立的连接可以使用生成的密钥素材来保证完整性。所有的用于用户和网络进行认证的长期的安全要素应该可以在一张uicc卡中存下[14]。
对于非漫游情况的互通时,这种情况是指当用户接入的热点地区是在3gpp的归属网络范围内。简单地说,就是用户在运营商那里注册,然后在该运营商的本地网络范围内的热点地区接入时的一种情况。无线局域网与3g网络安全单元功能如下:ue(用户设备)、3g-aaa(移动网络的认证、授权和计帐服务器)、hss(归属业务服务器)、cg/ccf(支付网关/支付采集功能)、ocs(在线计帐系统)。
对于漫游的互通情况时,3g网络是个全域性网络借助3g网络的全域性也可以实现无线局域网的漫游。在漫游情况下,一种常用的方法是将归属网络和访问网络分开,归属网络aaa服务作为认证的找到用户所注册的归属网络。
在无线局域网与3g互通中有如下认证要求:该认证流程从用户设备到无线局域网连接开始。使用eap方法,顺次封装基于usim的用户id,aka-challenge消息。具体的认证在用户设备和3gpaaa服务器之间展开。走的是aka过程,有一点不同在于在认证服务器要检查用户是否有接入无线局域网的权限。
上述互通方案要求客户端有能够接入无线局域网的网卡,同时还要实现usim或者sim的功能。服务网络要求修改用户权限表,增加对于无线局域网的接入权限的判断。
无线局域网的崛起使得人们开始考虑无线局域网和3g的互通,两者之间的优势互补性必将使得无线局域网与广域网的融合迅速发展。现在国内中兴通讯已经实现了无线局域网和cdma系统的互通,而对于使用中兴设备的无线局域网与gsm/gprs系统的互通也提出了解决方案,这条路必定越走越宽。
参考文献:
[1] 郭峰,曾兴雯,刘乃安,《无线局域网》,电子工业出版杜,1997
[2] 冯锡生,朱荣,《无线数据通信》1997
[3] 你震亚,《现代计算机网络教程》,电子工业出版社,1999
[4] 刘元安,《宽带无线接入和无线局域网》,北京邮电大学出版社,2000
[5] 吴伟陵,《移动通信中的关键技术》,北京邮电大学出版社,2000
[6] 张公忠,陈锦章,《当代组网技术》,清华大学出版社,2000
[7] 牛伟,郭世泽,吴志军等,《无线局域网》,人民邮电出版社,2003
[8] jeffrey wheat,《无线网络设计》,莫蓉蓉等译,机械工业出版社,2002
[9] gil held,《构建无线局域网》,沈金龙等泽,人民邮电出版社,2002
[10] christian barnes等,《无线网络安全防护》,林生等译,机械工业出版社.2003
[11] juha heiskala等,《ofdm无线局域网》,畅晓春等译,电子工业出版社,2003
[12] eric ouellet等,《构建cisco无线局域网》,张颖译,科学出版社,2003
[13] mark ciampa,《无线周域网设计一与实现》,王顺满译,科学出版社.2003
与有线网络相比无线网络具有可移动性、不受线缆限制、组网灵活等优点,因此无线局域网在日常生活以及工作中都得到了广泛的应用,也因此,WLAN的入侵检测技术受到了使用者的普遍重视。本文主要研究了无线网所面临的威胁,并对WLAN入侵检测技术的不完整和将来的发展趋势进行了归纳与分析。
关键词:
入侵检测;无线网络;有线网络
0引言
伴着网络的快速发展,无线网络已经成为人们生活中的重要组成元素。但是无线网络的开放性却使其更易受到非法进攻,从而使得无线网络(WLAN)的安全问题研究日渐受到各方瞩目与重视。与传统有线网络比起来,WLAN开启研发较晚,发展也略显迟缓,且未构成严整体系,因此基于无线网络的入侵检测研究相对也就并未臻至充分、全面。本文则特别着重阐述无线局域网面对的主要威胁、入侵检测的技术特征,连同该技术呈现的不足以及未来发展目标也一并给出完整论述。
1无线局域网面对的威胁
一方面,无线网络与传统有线网络只是在传输方式上有区别,因此常规的有线网络中的安全风险如病毒、恶意攻击、非授权访问等在无线网络中也都是并行而共同存在的。另一方面,无线网络与有线网络在安全上也会带来一定的差异,重点体现在物理层和链路层上,因此无线网络在传输环节将更易受到攻击,可能会遭遇比有线网络更为频密的安全威胁。目前,针对WLAN的攻击主要有:嗅探窃听、伪装入侵、中间人攻击、拒绝服务攻击、暴力攻击、不法AP等。在此,则针对各类攻击的原理展开讨论,现分述如下。
1.1嗅探窃听嗅探窃听是无线局域网(WLAN)的首位攻击方法,运用了WLAN信道敞开的不足。进攻者经常在WLAN信号覆盖领域内截取报文,得到锐敏讯息。
1.2伪装入侵伪装入侵是指进攻者将本身的不法设备伪装成正当设备,是一种隐蔽等级较高的潜藏进攻方法。如果进攻者顺利诱骗对象网络,而变身为对象网络中的正当站点或正当接入点,进攻者就随即可以获得当地网络赋予的对应考察权力。
1.3中心人攻击中心人攻击是进攻者发动的针对某个网络的主机发配到另外一台主机的包实行操纵的攻击。这种攻击极具代表性,由于其中包含了当网络数据经过互联网传送时全部可能出现的攻击。攻击实现过程如图1所示。
1.4拒绝服务进攻拒绝服务(DenialofService,DoS),形成的进攻行为可以称作攻击。这种进攻不是以得到网络的掌控权限和信息的走访权限当作目的,而是依据将网络、操作系统或应用程序的限定资源消耗,致使计算机或网络无法展开常规工作,同时也无法提供正常的服务。
1.5暴力进攻暴力进攻(Brute-ForceAttack)是通过运用数字、字母和字符的随意结合,估测用户名和口令,屡次完成探索性考察。同时,凭借其关联系统的速率,每分钟可以发起多达千万次的探索性进攻。对安全系统进行的暴力进攻将会耗费很长时间,而且进攻的成果多是无望的。
1.6不法APAP是WLAN的主要接入设备,而不法AP则是未经网络管理职员允许或委托的无线接入点。由于IEEE802.11对AP并未形成严格规定和限制,因此攻击者很容易搭建非法AP,再通过非法AP对网络和无线用户发起攻击。
2WLAN入侵检测技术
入侵(Intrusion)是指在非授权下对计算机资源的完备性、机密性、可用性造成威迫的各种预谋设计行为。入侵检测系统(IntrusionDetectionSystem,IDS)是一种自动对网络安全施行监督,如果发现危险信息就发出提醒或执行阻断措施的网络安全防御设备[1]。而与其他设备的不同之处在于IDS是一种主动的安全防护设备。WLAN入侵检测技术即是在常见入侵检测技术上加入了些无线局域网络的检测,固然可以从不同的方向对其进行划分,然而从技术达成上,多数情况下可以将其分为误用检测技术和异常检测技术,下面将详尽研究这2种入侵检测技术。
2.1异常检测异常检测是对以往操作的特征进行总结,得出以往操作的样式,通过其中一些行为与正常行为的表象差距来估计是否为入侵。主要过程如下:在综合归纳良性操作通常具备的特征之后,建立正常行为的判断指标,当某一行为和正常的行为偏差较大、即达到设定阈值时,就可断定其可归属入侵行为。
2.2误用检测误用检测(也叫滥用检测)是理解、提取入侵行为等不寻常操作的特征,设立特征库。在检测阶段利用特征库对网罗到的数据进行比对,按照比对成效鉴定是不是入侵行为[2]。误用检测系统是建立在可以运用某种形式或者特征判定手段而对所有己知的入侵实行科学、精准评析与辨识这一基础事实之上的。该系统的研究关键是如何明确形成定制的进攻特征样式可以覆盖与真实进攻有关联的全部因素,和对入侵行为特征的标识匹配。为此,如果要想达成传统概念上针对进攻行为能够获得理想准确检查效率的误用检测系统,就需要保证全部进攻行为均可利用数学语言进行科学规范表达。误用检测系统的实现手段主要有专家系统、基于模型的入侵检测、状态转换、条件概率技术和键盘监控技术等。在此,则对其展开进一步说明论述。
2.2.1专家系统专家系统是依据完整的知识库而设立的、基于规则的实用性核心方法。知识库的完整则有赖于审计记载的全面与实时性。如果能够制定得到充足、且具普适性的准则,就能检查出任何一个入侵的细小变化。
2.2.2基于模型的入侵检测基于模型的入侵检测系统的实现是利用设定的情景脚本、再根据可观察的活动来执行推断。经由观测,即可判定一定入侵情景的一连串行为,并且检验得出入侵计划。基于模型的入侵检测一般是由入侵者、预期者和解释者3个模块而组织构成。
2.2.3状态转移分析技术入侵行为是由进攻者实施的一连串的操作处理,能够控制系统从某种初始情境转变到一个受到威胁的状态。开始状态是指系统还未受到检测入侵时的情况,而危险状态是指攻击完毕后的情况,此时系统行为可演绎为一张状态转换图,伴着对审计数据的理解,系统实施状态转移[3]。这种分析研究的关键是了解入侵行为的每个步骤对系统处境的转移作用,从而能够检验出联合进攻者、以及能够运用用户会话对系统实现进攻的各类行为举措。
2.2.4条件概率技术条件概率的入侵检测方法将入侵手段对照一个事件序列,而后凭借观察事件发生的情况来估计产生的入侵。此种技术是基于事件序列,最终依据贝叶斯定理实施推理。条件概率的检测方法是基于概率观点的常规方法。具体是把贝叶斯方法实施了改进,其不足之处则是先验概率不易设定,同时事件的需求也较难满足。
2.2.5键盘监控技术实现时,通过假定入侵与指定的击键序列相对应,而后侦察客户的击键形式,再将此种模式与入侵模式进行匹配,由此可以检验得出当下的入侵行为。但是该技术只是辨别击键,因而检测不到非法恶意程序发起的自主攻击,但是其实现起来却较为简洁、高效。
3防火墙、入侵检测系统、入侵防御系统之间的区别和联系
通常在信息安全方面,防火墙、入侵检测系统等都是极其重要的安全防护设备。具体地,防火墙是根据互联网协议地址或者服务器端口来辨识和筛选数据包。但其不足则表现在:不能辨别和阻拦内部攻击,也许还会引起正确的数据包出现非预期拦截。为弥补防火墙的不足,能对外部进攻实施全部防御,一般将入侵检测系统连接在防火墙与网络设备中间[4]。对安全级别较高的网络来说,入侵检测系统是时下的优势选择。使用入侵检测系统采集网络数据信息,并把这些信息归纳、分析,从而有效识别攻击。总之,防火墙、入侵检测系统、入侵防御系统之间既有区别又有联系,只有将这3种技术予以专业、科学结合、并综合运用,才能实现最佳的安全保障效果。
4WLAN入侵检测的不足
现如今,对无线网络的入侵检测大都处于研究阶段,特别是我国仅仅处于加速起步阶段。所以无线网络领域的防范方面课题依然难以满足现时需求。综论时下研究背景可知,入侵检测技术主要存在以下不足,具体描述为:
1)入侵检测系统滞后于网络的成长速率,所以无法检测出各类新攻击,无法拦截全部数据。而若拦截网络的所有数据包,并剖析、匹配其中是否含有某种进攻的特性却会消耗不少时间和体系资源[5]。
2)不一样的入侵检测系统配置,即使得在网络有差别时就可能运用了各有不同的入侵检测技术。而且当下的入侵检测系统之间不允许讯息互换,这就使得察觉到进攻时很难找到进攻的开端,甚至由此而使入侵者获得了攻击的大漏洞。
3)目前各个系统之间的入侵检测不能实时协调合作,缺乏信息的交流,导致寻找入侵行为的源头颇为困难。甚至,各种系统之间的相互排斥反而有可能给入侵攻击者提供相应的便利和漏洞。
4)组织结构上还存在问题,现如今许多的入侵检测系统都是由曾经的根据网络或计算机的入侵检测系统改进、改良而得来的,在组织构造等方面无法使分布、开放等要求得到圆满解决。
5WLAN入侵检测的发展方向
目前,入侵检测的研究已经整合展现了众多新的发展方向。在技术上,神经网络、遗传算法、数据挖掘、免疫算法、数据融合技术等均可以尝试与传统WLAN入侵检测相结合,以此来实现对无线局域网的更为严密的安全保护。虽然经过多年的研究进展,无线局域网(WLAN)入侵检测技术已经达到了一定技术水平,但仍然有许多问题需要获得改进与完善[6]。综合分析后,可得研究结论如下:
1)入侵检测分析技术有待加强。如今的WLAN入侵检测技术所验证的入侵行径存在着许多误报和漏报,难以对WLAN网络做到高端安全保护。
2)网络管制能力有待加强。伴着网络数据的不断增加,对网络数据的解析和处理正日渐趋于困难,因此需要加强入侵检测系统的处理能力。
3)高度集成。入侵检测系统不仅需要监督互联网上的信息,还要具备对添加配置提供支持的功能。在网络配置发生非常规状况时,能够对该配置实施管制。将来的入侵检测系统应该是一个将互联网监控、入侵检测和互联网管制等功能融合联系在一起,并可以对互联网进行全面保护的系统。
6结束语
伴着无线网(WLAN)的迅猛成长,人们对其安全问题也愈发提升了重视与关注程度。入侵检测技术是防御网络进攻的根本手段之一,所以使用入侵检测技术来实现无线局域网不受威胁即已成为当下的重点研究课题[7]。本文阐述了WLAN入侵检测技术的发展现状及其存在的安全威胁,讨论了WLAN入侵检测技术是WLAN避免受到非法攻击者实施攻击行为的重要手段,分析了WLAN入侵检测的不足及其将来的发展方向。
参考文献:
[2]郑洪英,侯梅菊,王渝.入侵检测中的快速特征选择方法[J].计算机工程,2010,36(6):262-264.
[3]薛潇,刘以安,魏敏.一种入侵检测的分类方法研究[J].计算机工程与应用,2010,46(30):98-100.
[4]魏广科.基于WLAN的入侵检测系统研究与设计[J].计算机与现代化,2010(8):203-206.
[5]蒋建春,马恒太,任党恩,等.网络安全入侵检测:研究综述[J].软件学报,2000,11(11):1460-1466.
[6]朱会东,黄艳,黄永丽.无线局域网中的入侵检测研究与设计[J].计算机技术与发展,2007,17(6):173-175.
关键词:无线通信 超宽带 无线局域网络
中图分类号:TN91 文献标识码:A 文章编号:1674-098X(2013)01(a)-00-01
在短距离无线信息传输过程中,随着人们生活节奏的加快,工作效率的提高,现有的网络技术与无线通信技术已经不能满足人们日益变化的各种需求和服务,所以开发商和经销商要不断开发新的局域网络技术,以便更好地为人们服务。在设置局域网络无线通信系统时,要考虑到超宽带无线通信技术的技术特点和3G技术的使用水平,将无线局域网、无线个人局域网、家用局域网以及广域网有机结合,通过各种不同设备的链接,来实现人们各种信息传送的需求。在此基础上,局域网络中的超宽带无线通信技术被研究和开发出来。
1 无线局域网络中的超宽带无线通信技术涵义
超宽带无线通信技术在应用技术上距离较短,一般不会超过10 m,发射功率较低,在以终端为中心的辐射能
41.3 dBm/MHz,而且其容量很大,一般会有几个Gbps的储存量。超宽带无线通信技术在信号上其带宽一般都会高于500 MHz,比传统的无线通信系统要强,这也就决定了超宽带无线通信技术的运行功率低等特点。同时,因为保持了持续的低发射功率,超宽带无线通信技术不会在同一频段被其他信号所
干扰。
1.1 超宽带无线通信的载波技术
在局域网络中,以往的载波方式上,传统的无线通信技术是通过基带将信号调制到载波上,这种载波方法效率较低,费时较多,而超宽带无线通信技术采用了可以进行上升下降波动的脉冲来对所发信号进行直接调制,其带宽的量级级别高,运行时间短,工作效率也就大大提高。超宽带无线通信技术增加了局域网络设置中的赫兹容量和空间容量,拓展了更多的无线信道,无线通信系统容量根据局域网络占用的带宽量而增加,而随着信道可承载容量的增加,功能的消耗就会大大减少,也就是说,在短距离的无线局域通信网络中,因为信号发射距离较短,数据传输过程中的损耗较少,而且信号带宽的容量增加也提高了局域网络系统的容量。
1.2 超宽带无线通信技术的频域
超宽带无线通信技术频域的频带比以往的窄带、宽带更宽。以往的窄带的信号带宽与中心频率的比例低于1%,相对宽带最大也只是达到35%。而超宽带无线通信技术的中心频率大于500 mHz,属于超宽带带宽范畴,其频域更加广阔。
1.3 超宽带无线通信技术的时域
传统的无线通信技术利用射频载波的发射来对发射信号进行调制,周转时间长,不能够很好的方便人们使用,而超宽带无线通信技术采用收发点的时域脉冲来直接实现信号调整,减少了信息传输过程中的周转时间,有效提高了数据传输的速度。超宽带无线通信技术的传输根据传输过程所使用的时间来确定带宽所使用的频率,并将信号调制的过程发张这种频率范围内的频带上进行数据输送。但是这种技术的发射功率有限,只适用于10以内的个人局域网络中的信息交流。
2 无线局域网络中的超宽带无线通信技术优点
2.1 系统构造简单
很多无线通线技术都通过载波的变化来完成数据传输,受载波的频率、功率变化影响较大。超宽带无线通信技术在信息输送过程中不需要载波的参与,而通过发送纳秒级脉冲来完成数据的传输。这些都是超宽带无线通信技术系统构造精简的结果,而且由于系统构造的简单,超宽带无线通信技术在局域网络的使用中一般使用简单低廉的宽带发射器,接收机终端也无需做中频处理,这些构造上的简单,操作上的方便,都给人们带来了工作上的便利。
2.2 信息传送速率高
在个人局域网中,一般使用信号范围在10 m以内的超宽带无线通信技术,在小范围内,超宽带无线通信技术的信息输送速率比其他无线通信技术要快得多,也安全得多。
所以在短距离通信与小范围局域网络中,无论是军用、商用、还是民用,超宽带无线通信技术以其高质量的安全性能和迅速的传输速度赢得了用户的广泛认可。
2.3 功能消耗低
超宽带无线通信技术性能良好,由于在信息传送过程中脉冲时间短,所以耗电也低,在商业、军事、家居等方面的应用都可以有效节省电量。另外,超宽带无线通信技术中的电池寿命也会随着电流量的减少而延长,电磁辐射也会相应降低,这些内容不仅环保,也有利于人们的身体健康。
总之,超宽带无线通信技术在局域网络系统构建中的应用还在不断发展,开发商和经销商要不断研究新技术,让超宽带无线通信技术更好的为人们
服务。
参考文献
[1] 王军辉.超宽带无线通信技术[J].黑龙江科技信息,2011(26).
摘要:随着无线技术不断的成熟和应用的普及,无线网络凭借其为用户提供的灵活性、便利性等优势,成为现代校园中应用的主流是大势所需,但是无线网络的安全性问题还没有得到很好的解决,仍是现阶段的难题。本文通过对无线网络的安全隐患分析,结合现有的无线局域网安全技术,提出了在校园无线网络中的多安全防御策略。
关键词:无线;局域网;校园网;安全技术
中图分类号:TP393文献标识码:A文章编号:1007-9599 (2012) 05-0000-02
一、引言
无线局域网(WLAN)相对有线网络具有其独特的优势,避免了有线网络比较繁琐的布线施工过程,节约了施工费用,安装比较便捷,同时可以根据实际使用情况进行扩展。无线网络已逐步在校园网络普及,逐渐成为校园网络建设的重点。无线网络给我们带来便捷的同时,也带来了网络安全隐患,无线网络的信道开放的特点,使得网络数据容易被攻击者窃听、修改或转发。无线网络的安全隐患阻碍了其发展。校园用户大多喜欢尝试新的事物,虽然一方面对无线校园网的需求不断增长,但同时也让许多潜在的用户对不能够得到可靠的安全保护而对最终是否使用无线局域网犹豫不决。
二、无线局域网的安全威胁
利用WLAN进行通信,要求其必须具有较高的通信保密能力。现有的WLAN产品的安全问题主要表现在以下方面:
(一)未经授权使用网络服务
由于WLAN的开放式访问方式特点,未经授权也可以使用网络资源。占用无线通道,增加了带宽费用,合法用户的服务质量遭到影响,而且非法用户滥用无线网络资源,使得合法的无线校园网的用户无法正常使用。
同时,非法用户私自架设无线AP,诱使用户接入不安全的无线AP上。接入非法AP轻则会导致客户无法访问网络资源,重则会导致用户的重要数据被窃取。
(二)地址欺骗和会话拦截
现在许多网卡都支持MAC地址重新配置,非法用户可以通过将自己所用网络设备的MAC地址改为合法用户MAC地址的方法,使用MAC地址“欺骗”,成功通过交换机的检查,进而非法访问网络资源。非法用户利用无线网路的特点监听合法站点的MAC地址,并对合法的MAC地址进行恶意攻击。
另外,由于IEEE802.11没有对AP身份进行认证,攻击者很容易装扮成合法AP进入网络,并进一步获取合法用户的鉴别身份信息,通过会话拦截实现网络入侵。
(三)高级入侵
一旦攻击者侵入无线网络,它将成为进一步入侵其他系统的起点。多数学校部署的WLAN都在防火墙之后,这样WLAN的安全隐患就会成为整个安全系统的漏洞,只要攻破无线网络,整个网络就将暴露在非法用户面前。
三、无线局域网安全技术
目前有很多种无线局域网的安全技术,有物理地址(MAC)过滤、服务集标识符(SSID)匹配、有线对等保密(WEP)、端口访问控制技术(IEEE802.1x)、IEEE 802.11i等。下面对在无线局域网中常用的安全技术进行简介。
(一)物理地址(MAC)过滤
每个无线客户端的无线网卡都有一个唯一的物理地址(MAC),可以在无线接入点(AP)中规定一组允许访问的MAC地址,以实现物理地址过滤,防止非法用户的侵入无线网络。这便要求AP中的MAC地址列表必需随时更新,但物理地址过滤属于硬件认证,而不是用户认证,而且MAC过滤技术的可扩展性比较差,MAC地址在理论上还可以伪造,因此这也是较低级别的授权认证,也只适合于小型网络规模。
(二)服务集标识符(SSID)匹配
服务集标识符(SSID)是赋予一个独特名称给WLAN的一组32位字符。在WLAN中的所有的无线设备为了彼此通信必须使用相同的SSID,这样才能访问AP。通过SSID设置,可以对用户进行有效分组,保证网路的安全和性能。对AP设置不同的SSID,无线工作站必须出示正确的SSID才能访问AP,这样就可以允许不同的用户群组接入,并且通过设置隐藏接入点及SSID的权限控制来达到保密的目的。
(三)有线对等保密(WEP)
有线对等保密(Wired Equivalent Privacy,WEP)是一种数据加密算法,用于提供等同于有线局域网的保护能力。使用了该技术的无线局域网,所有客户端与无线接入点的数据都会以一个共享的密钥进行加密,密钥的长度有40位至256位两种,密钥越长,黑客就需要更多的时间去进行破解,因此能够提供更好的安全保护。
(四)端口访问控制技术(IEEE802.1x)和可扩展认证协议(EAP)
IEEE802.1x是基于端口的网络访问控制标准,它能提供一种对连接到局域网的用户进行认证和授权的手段,达到接受合法用户接入,保护网络安全的目的。基于IEEE802.1x的认证,又称EAPOE认证,因为这个协议依赖于可扩展认证协议(EAP)实现。IEEE802.1x认证包括三个部分:请求方、认证方、认证服务器。请求方就是希望接入局域网/无线局域网来上网的设备,譬如一台笔记本,有时候也指设备上运行的客户端软件;认证方则是管理接入设备、譬如以太网交换机或者无线接入点;认证服务器就是一个运行有支持RADIUS和EAP的软件的主机。在认证过程中认证方起到关键作用。它将网络接入段扣分成两个逻辑端口:受控端口和非受控端口。非受控端口始终对用户开发,只允许用于传送认证信息,认证通过后,受控端口才会打开,用户才能正常访问网络服务。
(五)IEEE 802.11i
IEEE 802.11i的目标是以针对无线网路原本所具备的弱点加以补强,但由于IEEE 802.11i的标准尚未制订完成,在WIFI的推动下,制订了“WIFI Protected Access”标准,以IEEE 802.11i Draft为蓝图,去建构出一个符合现今需求,具备更进一步安全性的无线网路环境。目前802.11i主要定义的加密机制可以分为TKIP(Temporal Key Integrity Protocol)与AES,其中TKIP就是目前WPA 1.x(WPA/SSN)主要采用的加密机制。
四、无线校园网的多安全防御策略
在有线以太网技术的发展历程中,越来越多的面向访问端和服务端的安全技术被开发出来并得到了成熟运用。由于无线网络利用空中载波信道作为传输媒介,物理层和数据链路层的工作原理与有线网络不同,遵循的安全策略也不同。在校园无线网络的设计中,如何保证合法用户的使用权限,避免非法用户的侵入已成为无线网络规划者的设计重点
现有的WLAN产品的安全技术中,SSID禁止广播、WEP机密、WPA认证、802.1X认证、EAP-TLS扩展认证、VLAN划分等一系列技术的得到广泛运用,有效的提升无线网络的安全防御性能。我们可以把室内型和室外型网络设备均支持SSID禁止广播、WEP机密、WPA认证、802.1X认证、EAP-TLS扩展认证、VLAN划分技术,可提供完备的安全防御功能。启用了目前先进的SSID广播禁止功能之后,由于空中不再广播明文的SSID号码,使得那些拥有截获SSID密码的无线终端非法访问网络。
另外,WEP(有线等效密钥)和WPA/WPA2(接入保护)技术的出现,可以通过大量的密文加密位和动态的密钥协议(TKIP/AES),为非法访问者制造难以攻破的障碍,从而避免网络安全事件的发生。我们在校园无线网络规划中,由于目前各高校校园有线网络已具备一定规模,因此,在无线网络融合进有线网络进行数据交换之前,通过WEP和WPA加密技术可以增加一层保护手段,可以极大的提升安全防御的能力。
另外,对于室内/室外型AP产品,由于其分别开放于室内高密度访问和室外环境,面对的是所有用户群体,对不同的用户群体的权限和身份识别则成为必须的功能。因此,AP产品应选择具备多BSS的划分和802.1Q VLAN功能的无线产品,协助接入层无线用户与接入层交换机用户同样接受全网统一管理和VLAN的划分,这样可以彻底解决无线用户无法管、不方便管的疑难问题。
对于覆盖室内/室外环境的无线接入点设备而言,由于接入用户比较复杂,网络应用不尽相同,因此针对不同用户、不同应用的QoS保证必须具备。我们可以采用支持标准的802.11i协议的网络无线接入点产品,可针对不同的BSS或802.1Q VLAN设置优先级保证,有利于充分、合理的利用信道带宽。
五、结束语
信息化的普及使得校园网络已经与教职工、学生的工作和生活息息相关,是教职工和学生获取信息和资源的主要途径。校园网络为用户带来了很大便捷的同时,网络安全问题的存在时刻威胁着用户信息的安全。只有运用有效的安全技术和策略,才能阻止非法用户利用校园网络进行非法操作,保证校园网络的正常、稳定运行。
参考文献:
[1]吴振强.Study on Security Architecture and Key Techno―logies for Wireless Local Area Network[D].西安电子科技大学,2007
[2]伍永锋.无线局域网在高校信息化建设中的应用探讨[J].福建电脑,2004
关键词:无线局域网 硬件 接入点 配置 WEP配置
如果你的无线网络出现了问题,其原因可能是来自各个方面。一些硬件的问题会导致网络错误,同时错误的配置也会导致网络不能正常工作。
1、硬件排错
当只有一个接入点以及一个无线客户端出现连接问题时,我们可能会很快的找到出有问题的客户端。但是当网络非常大时,找出问题的所在可能就不是那么容易了。
在大型的无线网络环境中,如果有些用户无法连接网络,而另一些客户却没有任何问题,那么很有可能是众多接入点中的某个出现了故障。一般来说,通过察看有网络问题的客户端的物理位置,你就能大概判断出是哪个接入点出现问题。
当所有客户都无法连接网络时,问题可能来自多方面。如果你的网络只使用了一个接入点,那么这个接入点可能有硬件问题或者配置有错误。另外,也有可能是由于无线电干扰过于强烈,或者是无线接入点与有线网络间的连接出现了问题。
2、检查接入点的可连接性
要确定无法连接网络问题的原因,首先需要检测一下网络环境中的电脑是否能正常连接无线接入点。简单的检测方法是在你的有线网络中的一台电脑中打开命令行模式,然后ping无线接入点的IP地址,如果无线接入点响应了这个ping命令,那么证明有线网络中的电脑可以正常连接到无线接入点。如果无线接入点没有响应,有可能是电脑与无线接入点间的无线连接出现问题,或者是无线接入点本身出现了故障。要确定到底是什么问题,你可以尝试从无线客户端ping无线接入点的IP地址,如果成功,说明刚才那台电脑的网络连接部分可能出现了问题,比如网线损坏。
3、配置问题
无线网络设备本身的质量一般还是可以信任的,因此最大的问题根源一般来自设备的配置上,而不是硬件本身。知道了这一点,我们下面就来看看几种常见的由于错误配置而导致的网络连接故障。
1)测试信号强度
如果你可以通过网线直接ping到无线接入点,而不能通过无线方式ping到它,那么基本可以认定无线接入点的故障只是暂时的。如果经过调试,问题还没有解决,那么你可以检测一下接入点的信号强度。虽然对于大多数网管来说,还没有一个标准的测量无线信号强度的方法,但是大多数无线网卡厂商都会在网卡上包含某种测量信号强度的机制。
2)试试改变频道
如果经过测试,你发现信号强度很弱,但是最近又没有做过搬移改动,那么可以试着改变无线接入点的频道并通过一台无线终端检验信号是否有所加强。由于在所有的无线终端上修改连接频道是一项不小的工程,因此你首先应该在一台无线终端上测试,证明确实有效后才可以大面积实施。记住,有时候无线网络的故障可能由于某个员工挂断手机或者关闭微波炉而突然好转。
3)检验WEP密钥
检查WEP加密设置。如果WEP设置错误,那么你也无法从无线终端ping到无线接入点。不同厂商的无线网卡和接入点需要你指定不同的WEP密钥。
要让WEP正常工作,所有的无线客户端和接入点都必须正确匹配。很多时候,虽然无线客户端看上去已经正确的配置了WEP,但是依然无法和无线接入点通信。在面对这种情况时,一般可以将无线接入点恢复到出厂状态,然后重新输入WEP配置信息,并启动WEP功能。
4)棘手的WEP配置问题
到现在为止,最常见的与配置有关的问题就是有关使用WEP协议。而且WEP带来的问题也相当棘手,因为由于WEP不匹配所产生的问题显现的症状和很多严重的问题非常相似。比如,如果WEP配置错误,那么无线客户端将无法从无线网络的DHCP服务器那里获得IP地址(就算是无线接入点自带DHCP功能也不行)。如果无线客户端使用了静态IP地址,那么它也无法ping到无线接入点的IP地址,这经常会让人误以为网络没有连接。
判断到底是WEP配置错误还是网络硬件故障的基本技巧是利用无线网卡驱动和操作系统内置的诊断功能。举个例子,一个采用Windows XP系统的笔记本,配备了Linksys的无线网卡。当将鼠标移动到系统任务栏的无线网络图标时,会有网络连接信息摘要浮现出来。当连接频道和SSID设置正确后,就算WEP设置错误,你也可以连接到无线接入点。此时,从任务栏你会看到连接信号的强度为零。不论WEP是否设置正确,Linksys网卡都会显示出连接信号强度。由此你也可以知道网络确实是已经连接上了,虽然有可能无法ping到无线接入点。
如果你右键点击任务栏中的无线网络图标,并在弹出菜单中选择查看可用的无线网络命令,之后你会看到无线网络连接对话窗。这个对话窗会显示出当前频道内的全部无线网络的SSID号,包括你没有连接上的网络。因此如果你发现你的无线网络号在列表中,但是你看起来不能正常连接,那么你可以放心,自己的网络连接并没有什么问题,问题是出在配置上。
5)DHCP 配置问题
另一个让你无法成功的访问无线网络的原因可能是由DHCP配置错误引起的。网络中的DHCP服务器可以说是你能否正常使用无线网络的一个关键因素。
很多新款的无线接入点都自带DHCP服务器功能。一般来说,这些DHCP服务器都会将192.168.0.x这个地址段分配给无线客户端。而且DHCP接入点也不会接受不是自己分配的IP地址的连接请求。这意味着具有静态IP地址的无线客户端或者从其它DHCP服务器获取IP地址的客户端有可能无法正常连接到这个接入点。
4、多个接入点的问题
设想一下假如有两个无线接入点同时按照默认方式工作。在这种情况下,每个接入点都会为无线客户端分配一个192.168.0.X的IP地址。由此产生的问题是,两个无线接入点并不能区分哪个IP是自己分配的,哪个又是另一个接入点分配的。因此网络中早晚会产生IP地址冲突的问题。要解决这个问题,你应该在每个接入点上设定不同的IP地址分配范围,以防止地址重叠。
以上简单分析了无线局域网络可能遇到的一些常见问题,以及一些无线网络排错的方法和技巧,希望能对大家有所帮助。需要特别指明的是,本文针对的是基本的无线网络,而不是特殊的无线网络。
参考文献
1.《无线网络及其应用技术》,黎连业、郭春芳、向东明编著,清华大学出版社,2004.06
【关键词】无线局域网;AP;VPN;IEEE802.11;WEP
0.前言
在过去的几年里,信息化应用越来越贴近人们的生活。在这个“网络就是计算机”的时代,伴随着有线网络的广泛应用,以快捷高效,组网灵活为优势的无线网络技术也在飞速发展。人们正在摆脱网线的束缚,走向没有拘束的网络世界。无线局域网是计算机网络与无线通信技术相结合的产物。从专业角度讲,无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信,并为通信的移动化、个性化和多媒体应用提供了可能。通俗地说,无线局域网(Wireless local-area network,WLAN)就是在不采用传统电缆线的同时,提供以太网或者令牌网络的功能。
1.无线局域网的安全威胁分析
无线局域网(WLAN)产业是当前整个数据通信领域发展最快的产业之一。因其具有灵活性、可移动性及较低的投资成本等优势, 无线局域网解决方案作为传统有线局域网络的补充和扩展,获得了家庭网络用户、中小型办公室用户、广大企业用户及电信运营商的青睐,得到了快速的应用。
由于无线局域网采用公共的电磁波作为载体,因此对越权存取和窃听的行为也更不容易防备。无线局域网必须考虑的安全威胁有以下几种:
(1)常规安全威胁。
由于无线网络只是在传输方式上和传统的有些网络有区别,所以常规的安全风险如病毒,恶意攻击,非授权访问等都是存在的,这就要求继续加强常规方式上的安全措施。
(2)非常规安全威胁。
无线网络中每个AP覆盖的范围都形成了通向网络的一个新的入口。由于无线传输的特点,对这个入口的管理不像传统网络那么容易。正因为如此,未授权实体可以在公司外部或者内部进入网络:首先,未授权实体进入网络浏览存放在网络上的信息,或者是让网络感染上病毒。其次,未授权实体进入网络,利用该网络作为攻击第三方网络的跳板。第三,入侵者对移动终端发动攻击,或为了浏览移动终端上的信息,或为了通过受危害的移动设备访问网络。第四,入侵者和公司员工勾结,通过无线交换数据。
(3)敏感信息易泄露威胁。
由于电磁波是共享的,所以要窃取信号,并通过窃取信号进行解码特别容易。特别是WLAN默认都是不设置加密措施的,也就是任何能接受到信号的人,无论是公司内部还是公司外部都可以进行窃听。根据802.11b协议一般AP的传输范围都在100米到300米左右,而且能穿透墙壁,所以传输的信息很容易被泄漏。虽然802.11规定了WEP加密,但是WEP加密也是不安全的,WEP是IEEE 802.11 WLAN标准的一部分,它的主要作用是为无线网络上的信息提供和有线网络同一等级的机密性。有线网络典型地是使用物理控制来阻止非授权用户连接到网络查看数据。
(4)容易入侵威胁。
无线局域网非常容易被发现,为了能够使用户发现无线网络的存在,网络必须发送有特定参数的信标帧,这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方利用移动公司两个AP点对网络发起攻击而不需要任何物理方式的侵入。
2.无线局域网的安全防范与对策
无线局域网中主要的安全性考虑包括访问控制和加密。访问控制保证敏感数据只能由通过认证授权的用户访问,加密则保证发送的数据只能被所期望的用户接收和理解。通常可采用的防范对策有六种。
2.1 建立MAC地址表,减少非法用户的接入
如果所在接入小区接入用户不多,可通过其提供地唯一合法MAC地址在其接入的核心交换机上建立MAC地址表,对接入的用户进行验证,以减少非法用户的接入。同时,可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新,可扩展性差,无法实现机器在不同AP之间的漫游,而且MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。
2.2 采用有线等效保密改进方案(WEP2)
IEEE802.11标准规定了一种被称为有线等效保密(WEP)的可选加密方案,其目标是为WLAN提供与有线网络相同级别的安全保护。WEP在链路层采用RC4对称加密算法,从而防止非授权用户的监听以及非法用户的访问。有线等效保密(WEP)方案主要用于实现三个安全目标:接入控制、数据保密性和数据完整性。然而WEP存在极差的安全性,所以IEEE802.11b提出有线等效保密改进方案(WEP2),它与传统的WEP算法相比较,将WEP加密密钥的长度加长到104位,初始化向量的长度右24位加长到128位,所以建议使用的WLAN设备具有WEP2功能。
2.3 采用802.1x 基于端口的认证协议
802.1x为接入控制搭建了一个新的框架,使得系统可以根据用户的认证结果决定是否开放服务端口。基于802.1x认证体系结构,其认证机制是由用户端设备、接入设备、后台RADIUS认证服务器三方完成。接入设备用来传送用户与后台RADIUS服务器之间的会话数据包。这种认证机制的好处是方便了管理,可以更容易地与现有的资源融合,802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,更适合公共无线接入解决方案。
2.4 在AP点之间构建VPN
VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,它不属于802.11标准定义,但是用户可以借助VPN来抵抗无线网络的不安全因素,同时还可以提供基于Radius的用户认证以及计费。可以通过购置带VPN功能防火墙,在无线基站和AP之间建立VPN隧道,这样整个无线网的安全性得到极大的提高,能够有效地保护数据的完整性、可信性和可确认性。
2.5 对SSID进行控制
通过对AP点和网卡设置复杂的SSID(服务集标识符),并根据需求确定是否需要漫游来确定是否需要MAC地址绑定,同时禁止AP向外广播SSID。
2.6 指定接入、维护管理规范
指定严格、规范、合理的无线局域网接入及管理规范,在WLAN的设计构建和维护过程中,应考虑方便集中管理、双向认证、数据加密方式等重要因素。要求接入用户严格遵守管理规定。
3.结束语
近年来,无线局域网产品的价格正逐渐下降,相应软件也逐渐成熟。此外,无线局域网已能够通过与广域网相结合的形式提供移动互联网的多媒体业务。相信在未来,无线局域网将以它的高速传输能力和灵活性发挥更加重要的作用。
【参考文献】
