无限局域网技术分析与探讨 毕业论文由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“局域网安全毕业论文”。
JIU JIANG UNIVERSITY
毕 业 论 文
题 目: 无线局域网技术分析与探讨 院 系: 信息科学与技术学院 专 业: 网络系统管理 姓 名: 年 级: 指导教师:
二零一一年十一月二十日
摘 要...........................................................2 目 录„„„„„„„„„„„„„„„„„„„„„„„„„„„„„.3 第一章„„„„„„„„„„„„„„„„„„„„„„„„„„„„„5 1.1 选题背景„„„„„„„„„„„„„„„„„„„„„„„„ 5 第二章 无线局域网„„„„„„„„„„„„„„„„„„„„„„..6
2.1 简单的家庭无线局域网„„„„„„„„„„„„„„„„„„ 6 2.2 无线桥接„„„„„„„„„„„„„„„„„„„„„„„„ 6 2.3 中型无线局域网„„„„„„„„„„„„„„„„„„„„„.7 2.4 大型可交换局域网„„„„„„„„„„„„„„„„„„„„.7 2.5 无线局域网络应用„„„„„„„„„„„„„„„„„„„„ 8 2.6 无线局域网的优点„„„„„„„„„„„„„„„„„„„„ 8 2.7 无线局域网的不足之处„„„„„„„„„„„„„„„„„„ 9 第三章 无线技术„„„„„„„„„„„„„„„„„„„„„„„ 10 3.1 技术要求„„„„„„„„„„„„„„„„„„„„„„„„ 10 3.2 硬件设备„„„„„„„„„„„„„„„„„„„„„„„„ 10 3.3 展频技术„„„„„„„„„„„„„„„„„„„„„„„„ 11 3.3.1 跳频技术„„„„„„„„„„„„„„„„„„„„„„.11 3.3.2 直接序列展频技术„„„„„„„„„„„„„„„„„„.11 3.4 FHSS VS DSSS调变差异„„„„„„„„„„„„„„„„„„.11 3.5 DSSS VS FHSS之优劣 „„„„„„„„„„„„„„„„„„.11 第四章 IEEE 802.11之相关信息 „„„„„„„„„„„„„„„„.13 4.1 2.4GHz Direct Sequence Spread Spectrum„„„„„„„„„„ 13 4.2 2.4GHz Frequency Hopping Spread Spectrum„„„„„„„„„ 13 4.3 Diffused IR„„„„„„„„„„„„„„„„„„„„„„ 13 第五章 无线局域网络产品简介„„„„„„„„„„„„„„„„„.14 5.1 Acce Point „„„„„„„„„„„„„„„„„„„„„„14 5.2 Wirele LAN Card„„„„„„„„„„„„„„„„„„„„14 5.3 Antenna„„„„„„„„„„„„„„„„„„„„„„„„.14 5.4 产品Q&A„„„„„„„„„„„„„„„„„„„„„„„„.14 5.5 无线局域网络之应用„„„„„„„„„„„„„„„„„„..17 第六章 无线局域网关键技术与展望„„„„„„„„„„„„„„„ 18 6.1 公共WLAN组网方案„„„„„„„„„„„„„„„„„„„.18
6.1.1 接入点(AP)„„„„„„„„„„„„„„„„„„„.18 6.1.2 接入控制点(AC)„„„„„„„„„„„„„„„„„„ 18 6.1.3 远程拨号接入认证(RADIUS)服务器„„„„„„„„„„.18 6.1.4 认证服务器(AS)„„„„„„„„„„„„„„„„„„.18 6.1.5门户网站服务器(Portal Server)„„„„„„„„„„„„18 6.2 公网WLAN用户接入的相关解决方案„„„„„„„„„„„„„18 6.2.1 1.OWLAN的用户认证„„„„„„„„„„„„„„„„„.18 6.2.2 802.1x用户认证方式中的访问实体„„„„„„„„„„„ 19 6.3 802.1x认证方式„„„„„„„„„„„„„„„„„„„„„19
6.3.1 EAP-MD5认证方式„„„„„„„„„„„„„„„„„„.19 6.3.2 EAP-SIM认证方式„„„„„„„„„„„„„„„„„„.19 6.3.3 EAP-TLS认证方式„„„„„„„„„„„„„„„„„...19 6.3.4 EAP-TTLS鉴权认证方式„„„„„„„„„„„„„„„..19 6.4 OWLAN的数据安全„„„„„„„„„„„„„„„„„„„„.20 第七章 WLAN中的VPN„„„„„„„„„„„„„„„„„„„„„„21 7.1 由用户端发起的VPN连接„„„„„„„„„„„„„„„„„ 21 7.2 由AC端发起的VPN连接„„„„„„„„„„„„„„„„„„ 21 7.3 802.11i标准„„„„„„„„„„„„„„„„„„„„„...21 7.4 基本的WLAN安全„„„„„„„„„„„„„„„„„„„„..22 7.5 IEEE 802.11的安全技术„„„„„„„„„„„„„„„„„.22 7.5.1 认证.................................................22 7.5.2 保密................................................23 7.6 IEEE 802.11i标准„„„„„„„„„„„„„„„„„„„„ 23 7.7 VPN技术„„„„„„„„„„„„„„„„„„„„„„„„ 24 7.8 WAPI„„„„„„„„„„„„„„„„„„„„„„„„„„ 24 7.9 WLAN的切换与漫游„„„„„„„„„„„„„„„„„„„„25 7.9.1 切换与漫游„„„„„„„„„„„„„„„„„„„„„„„ 25 7.9.2 移动IP„„„„„„„„„„„„„„„„„„„„„„„„„25 结语„„„„„„„„„„„„„„„„„„„„„„„„„„„„„.26 致谢„„„„„„„„„„„„„„„„„„„„„„„„„„„„„.27 参考文献„„„„„„„„„„„„„„„„„„„„„„„„„„„.28
第一章
绪论
1.1 选题背景
对于局域网络管理主要工作之一,对于铺设电缆或是检查电缆是否断线这种耗时的工作,很容易令人烦躁,也不容易在短时间内找出断线所在。再者,由于配合企业及应用环境不断的更新与发展,原有的企业网络必须配合重新布局,需要重新安装网络线路,虽然电缆本身并不贵,可是请技术人员来配线的成本很高,尤其是老旧的大楼,配线工程费用就更高了。因此,架设无线局域网络就成为最佳解决方案。
无线局域网拓扑结构概述:基于IEEE802.11标准的无线局域网允许在局域网络环境中使用未授权的2.4或5.3GHz射频波段进行无线连接。它们应用广泛,从家庭到企业再到Internet接入热点。
第二章 无线局域网
图一
2.1 简单的家庭无线局域网
简单的家庭无线LAN:在家庭无线局域网最通用和最便宜的例子,如图1所示,一台设备作为防火墙,路由器,交换机和无线接入点。这些无线路由器可以提供广泛的功能,例如:保护家庭网络远离外界的入侵。允许共享一个ISP(Internet服务提供商)的单一IP地址。可为4台计算机提供有线以太网服务,但是也可以和另一个以太网交换机或集线器进行扩展。为多个无线计算机作一个无线接入点。通常基本模块提供2.4GHz802.11b/g操作的Wi-Fi,而更高端模块将提供双波段Wi-Fi或高速MIMO性能。双波段接入点提供2.4GHz802.11b/g和5.3GHz802.11a性能,而MIMO接入点在2.4GHz范围中可使用多个射频以提高性能。双波段接入点本质上是两个接入点为一体并可以同时提供两个非干扰频率,而更新的MIMO设备在2.4GHz范围或更高的范围提高了速度。2.4GHz范围经常拥挤不堪而且由于成本问题,厂商避开了双波段MIMO设备。双波段设备不具有最高性能或范围,但是允许你在相对不那么拥挤的5.3GHz范围操作,并且如果两个设备在不同的波段,允许它们同时全速操作。家庭网络中的例子并不常见。该拓扑费用更高但是提供了更强的灵活性。路由器和无线设备可能不提供高级用户希望的所有特性。在这个配置中,此类接入点的费用可能会超过一个相当的路由器和AP一体机的价格,归因于市场中这种产品较少,因为多数人喜欢组合功能。一些人需要更高的终端路由器和交换机,因为这些设备具有诸如带宽控制,千兆以太网这样的特性,以及具有允许他们拥有需要的灵活性的标准设计。
2.1 无线桥接
图二
无线桥接:当有线连接太昂贵或者需要为有线连接建立第二条冗余连接以作备份时,无线桥接允许在建筑物之间进行无线连接。802.11设备通常用来进行这项应用以及无线光纤桥。802.11基本解决方案一般更便宜并且不需要在天线之间有直视性,但是比光纤解决方案要慢很多。802.11解决方案通常在5至30mbps范围内操作,而光纤解决方案在100至1000mbps范围内操作。这两种桥操作距离可以超过10英里,基于802.11的解决方案可达到这个距离,而且它不需要线缆连接。但基于802.11的解决方案的缺点是速度慢和存在干扰,而光纤解决方案不会。光纤解决方案的缺点是价格高以及两个地点间不具有直视性。
2.3 中型无线局域网
图五
中型无线局域网:中等规模的企业传统上使用一个简单的设计,他们简单地向所有需要无线覆盖的设施提供多个接入点。这个特殊的方法可能是最通用的,因为它入口成本低,尽管一旦接入点的数量超过一定限度它就变得难以管理。大多数这类无线局域网允许你在接入点之间漫游,因为它们配置在相同的以太子网和SSID中。从管理的角度看,每个接入点以及连接到它的接口都被分开管理。在更高级的支持多个虚拟SSID的操作中,VLAN通道被用来连接访问点到多个子网,但需要以太网连接具有可管理的交换端口。这种情况中的交换机需要进行配置,以在单一端口上支持多个VLAN。尽管使用一个模板配置多个接入点是可能的,但是当固件和配置需要进行升级时,管理大量的接入点仍会变得困难。从安全的角度来看,每个接入点必须被配置为能够处理其自己的接入控制和认证。RADIUS服务器将这项任务变得更轻松,因为接入点可以将访问控制和认证委派给中心化的RADIUS服务器,这些服务器可以轮流和诸如Windows活动目录这样的中央用户数据库进行连接。但是即使如此,仍需要在每个接入点和每个RADIUS服务器之间建立一个RADIUS关联,如果接入点的数量很多会变得很复杂。
2.4 大型可交换无线局域网
图六
大型可交换无线局域网:交换无线局域网是无线连网最新的进展,简化的接入点通过几个中心化的无线控制器进行控制。数据通过Cisco,ArubaNetworks,Symbol和TrapezeNetworks这样的制造商的中心化无线控制器进行传输和管理。这种情况下的接入点具有更简单的设计,用来简化复杂的操作系统,而且更复杂的逻辑被嵌入在无线控制器中。接入点通常没有物理连接到无线控制器,但是它们逻辑上通过无线控制器交换和路由。要支持多个VLAN,数据以某种形式被封装在隧道中,所以即使设备处在不同的子网中,但从接入点到无线控制器有一个直接的逻辑连接。无线局域网
从管理的角度来看,管理员只需要管理可以轮流控制数百接入点的无线局域网控制器。这些接入点可以使用某些自定义的DHCP属性以判断无线控制器在哪里,并且自动连结到它成为控制器的一个扩充。这极大地改善了交换无线局域网的可伸缩性,因为额外接入点本质上是即插即用的。要支持多个VLAN,接入点不再在它连接的交换机上需要一个特殊的VLAN隧道端口,并且可以使用任何交换机甚至易于管理的集线器上的任何老式接入端口。VLAN数据被封装并发送到中央无线控制器,它处理到核心网络交换机的单一高速多VLAN连接。安全管理也被加固了,因为所有访问控制和认证在中心化控制器进行处理,而不是在每个接入点。只有中心化无线控制器需要连接到RADIUS服务器,这些服务器在图6显示的例子中轮流连接到活动目录。交换无线局域网的另一个好处是低延迟漫游。这允许VoIP和Citrix这样的对延迟敏感的应用。切换时间会发生在通常不明显的大约50毫秒内。传统的每个接入点被独立配置的无线局域网有1000毫秒范围内的切换时间,这会破坏电话呼叫并丢弃无线设备上的应用会话。交换无线局域网的主要缺点是由于无线控制器的附加费用而导致的额外成本。但是在大型无线局域网配置中,这些附加成本很容易被易管理性所抵消
2.5 无线局域网络应用
无线局域网络应用:大楼之间:大楼之间建构网络的连结,取代专线,简单又便宜。餐饮及零售:餐饮服务业可使用无线局域网络产品,直接从餐桌即可输入并传送客人点菜内容至厨房、柜台。零售商促销时,可使用无线局域网络产品设置临时收银柜台。医疗:使用附无线局域网络产品的手提式计算机取得实时信息,医护人员可藉此避免对伤患救治的迟延、不必要的纸上作业、单据循环的迟延及误诊等,而提升对伤患照顾的品质。企业:当企业内的员工使用无线局域网络产品时,不管他们在办公室的任何一个角落,有无线局域网络产品,就能随意地发电子邮件、分享档案及上网络浏览。仓储管理:一般仓储人员的盘点事宜,透过无线网络的应用,能立即将最新的资料输入计算机仓储系统。货柜集散场:一般货柜集散场的桥式起重车,可于调动货柜时,将实时信息传回office,以利相关作业之逐行。监视系统:一般位于远方且需受监控现场之场所,由于布线之困难,可藉由无线网络将远方之影像传回主控站。展示会场:诸如一般的电子展,计算机展,由于网络需求极高,而且布线又会让会场显得凌乱,因此若能使用无线网络,则是再好不过的选择。
2.6 无线局域网的优点
无线局域网的优点:(1)灵活性和移动性。在有线网络中,网络设备的安放位置受网络位置的限制,而无线局域网在无线信号覆盖区域内的任何一个位置都可以接入网络。无线局域网另一个最大的优点在于其移动性,连接到无线局域网的用户可以移动且能同时与网络保持连接。(2)安装便捷。无线局域网可以免去或最大程度地减少网络布线的工作量,一般只要安装一个或多个接入点设备,就
可建立覆盖整个区域的局域网络。(3)易于进行网络规划和调整。对于有线网络来说,办公地点或网络拓扑的改变通常意味着重新建网。重新布线是一个昂贵、费时、浪费和琐碎的过程,无线局域网可以避免或减少以上情况的发生。(4)故障定位容易。有线网络一旦出现物理故障,尤其是由于线路连接不良而造成的网络中断,往往很难查明,而且检修线路需要付出很大的代价。无线网络则很容易定位故障,只需更换故障设备即可恢复网络连接。(5)易于扩展。无线局域网有多种配置方式,可以很快从只有几个用户的小型局域网扩展到上千用户的大型网络,并且能够提供节点间“漫游”等有线网络无法实现的特性。由于无线局域网有以上诸多优点,因此其发展十分迅速。最近几年,无线局域网已经在企业、医院、商店、工厂和学校等场合得到了广泛的应用。
2.7 无线局域网的不足之处
无线局域网的不足之处:无线局域网在能够给网络用户带来便捷和实用的同时,也存在着一些缺陷。无线局域网的不足之处体现在以下几个方面:(1)性能。无线局域网是依靠无线电波进行传输的。这些电波通过无线发射装置进行发射,而建筑物、车辆、树木和其它障碍物都可能阻碍电磁波的传输,所以会影响网络的性能。(2)速率。无线信道的传输速率与有线信道相比要低得多。目前,无线局域网的最大传输速率为150Mbit/s,只适合于个人终端和小规模网络应用。(3)安全性。本质上无线电波不要求建立物理的连接通道,无线信号是发散的。从理论上讲,很容易监听到无线电波广播范围内的任何信号,造成通信信息泄漏。
第三章 无线技术
3.1 技术要求
由于无线局域网需要支持高速、突发的数据业务,在室内使用还需要解决多径衰落以及各子网间串扰等问题。具体来说,无线局域网必须实现以下技术要求:
1.可靠性:无线局域网的系统分组丢失率应该低于10-5,误码率应该低于10-8。
2.兼容性:对于室内使用的无线局域网,应尽可能使其跟现有的有线局域网在网络操作系统和网络软件上相互兼容。
3.数据速率:为了满足局域网业务量的需要,无线局域网的数据传输速率应该在1Mbps以上。
4.通信保密:由于数据通过无线介质在空中传播,无线局域网必须在不同层次采取有效的措施以提高通信保密和数据安全性能。
5.移动性:支持全移动网络或半移动网络。
6.节能管理:当无数据收发时使站点机处于休眠状态,当有数据收发时再激活,从而达到节省电力消耗的目的。
7.小型化、低价格:这是无线局域网得以普及的关键。
8.电磁环境:无线局域网应考虑电磁对人体和周边环境的影响问题。
3.2 硬件设备
1.无线网卡。无线网卡的作用和以太网中的网卡的作用基本相同,它作为无线局域网的接口,能够实现无线局域网各客户机间的连接与通信。无线局域网
2.无线AP。AP是Acce Point的简称,无线AP就是无线局域网的接入点、无线网关,它的作用类似于有线网络中的集线器。
3.无线天线。当无线网络中各网络设备相距较远时,随着信号的减弱,传输速率会明显下降以致无法实现无线网络的正常通信,此时就要借助于无线天线对所接收或发送的信号进行增强开源项目
使用开源软件无线电GNU Radio,BBN Technologies Internetwork Research BBN-BBN Technologies Internetwork Research ADROIT Project 在DARPA 的赞助下编写802.11 代码。GNU Radio 是免费的软件开发工具套件。它提供信号运行和处理模块,用它可以在易制作的低成本的射频(RF)硬件和通用微处理器上实现软件定义无线电。这套套件广泛用于业余爱好者,学术机构和商
业机构用来研究和构建无线通信系统。GNU Radio 的应用主要是用Python 编程语言来编写的。但是其核心信号处理模块是C++在带浮点运算的微处理器上构建的。因此,开发者能够简单快速的构建一个实时、高容量的无线通信系统。尽管其主要功用不是仿真器,GNU Radio 在没有射频RF 硬件部件的境况下支持对预先存储和(信号发生器)生成的数据进行信号处理的算法的研究。
3.3 展频技术
展频技术的无线局域网络产品是依据FCC(Federal Communications Committee;美国联邦通讯委员会)规定的ISM(Industrial Scientific,and Medical),频率范围开放在902M~928MHz及2.4G~2.484GHz两个频段,所以并没有所谓使用授权的限制。展频技术主要又分为「跳频技术」及「直接序列」两种方式。而此两种技术是在第二次世界大战中军队所使用的技术,其目的是希望在恶劣的战争环境中,依然能保持通信信号的稳定性及保密性。
3.3.1跳频技术(FHSS)
跳频技术(Frequency-Hopping Spread Spectrum;FHSS)在同步、且同时的情况下,接受两端以特定型式的窄频载波来传送讯号,对于一个非特定的接受器,FHSS所产生的跳动讯号对它而言,也只算是脉冲噪声。FHSS所展开的讯号可依特别设计来规避噪声或One-to-Many的非重复的频道,并且这些跳频讯号必须遵守FCC的要求,使用75个以上的跳频讯号、且跳频至下一个频率的最大时间间隔(Dwell Time)为400ms。
3.3.2直接序列展频技术(DSSS)
直接序列展频技术(Direct Sequence Spread Spectrum;DSSS)是将原来的讯号「1」或「0」,利用10个以上的chips来代表「1」或「0」位,使得原来较高功率、较窄的频率变成具有较宽频的低功率频率。而每个bit使用多少个chips称做Spreading chips,一个较高的Spreading chips可以增加抗噪声干扰,而一个较低Spreading Ration可以增加用户的使用人数。
基本上,在DSSS的Spreading Ration是相当少的,例如在几乎所有2.4GHz的无线局域网络产品所使用的Spreading Ration皆少于20。而在IEEE802.11的标准内,其Spreading Ration大约在100左右。
3.4 FHSS VS DSSS调变差异
无线局域网络在性能和能力上的差异,主要是取决于所采用的是FHSS还是DSSS来实现、以及所采用的调变方式。然而,调变方式的选择并不完全是随意的,像FHSS并不强求某种特定的调变方式,而且,大部分既有的FHSS都是使用某些不同形式的GFSK,但是,IEEE 802.11草案规定要使用GFSK。至于DSSS则过使用可变相位调变(如:PSK、QPSK、DQPSK),可以得到最高的可靠性以及表现高数据速率性能。在抗噪声能力卜方面,采用QPSK调变方式的DSSS与采用FSK调变方式的FHSS相比,可以发现这两种不同技术的无线局域网络各自拥有的优势。FHSS系统之所以选用FSK调变方式的原因是因为FHSS和FSK内在架构的简单性,FSK无线讯号可使用非线性功率放大器,但这却牺牲了作用范围和抗噪声能力。而DSSS系统需要稍为贵一些的线性放大器,但却可以获得更多的回馈。
3.5 DSSS VS FHSS之优劣
截至目前,若以现有的产品参数详加比较,可以看出DSSS技术在需要最佳可靠性的应用中具有较佳的优势,而FHSS技术在需要低成本的应用中较占优势。虽然我们可以在网际网络内看到各家厂商各说各话,但真正需要注意的是厂商在DSSS和FHSS展频技术的选择,必须要审慎端视产品在市场的定位而定,因为它可以解决无线局域网络的传输能力及特性,包括:抗干扰能力、使用距离范围、频宽大小、及传输资料的大小。一般而言,DSSS由于采用全频带传送资料,速度较快,未来可开发出更高传输频率的潜力也较大。DSSS技术适用于固定环境中、或对传输品质要求较高的应用,因此,无线厂房、无线医院、网络社区、分校连网等应用,大都采用DSSS无线技术产品。FHSS则大都使用于需快速移动的端点,如行动电话在无线传输技术部分即是采用FHSS技术;且因FHSS传输范围较小,所以往往在相同的传输环境下,所需要的FHSS技术设备要比DSSS技术设备多,在整体价格上,可能也会比较高。以目前企业需求来说,高速移动端点应用较少,而大多较注重传输速率、及传输的稳定性,所以未来无线网络产品发展应会以DSSS技术为主流。消费者选购无线局域网络时需要特别注意下列的特性,以决定自己合适的产品,包括:
◎ 涵盖范围
◎ 传输率
◎ 受Multipath影响程度
◎ 提供资料整合程度
◎ 和有线的基础设施之间的互操性
◎ 和其它无线的基础设施之间的互操性
◎ 抗干扰程度
◎ 简单、易操作
◎ 保密能力
◎ 低成本
◎ 电流消耗情况。
第四章 IEEE 802.11之相关信息
因应无线局域网络的强烈需求,美国的国际电子电机学会于1990年11月召开了802.11委员会,开始制定无线局域网络标准。承袭IEEE802系列,802.11规范了无线局域网络的介质存取控制(Medium Acce Control ;MAC)层及实体(Physical ;PHY)层。此较特别的是由于实际无线传输的方式不同,IEEE802.11在统一的MAC层下面规范了各种不同的实体层,以因应目前的情况及未来的技术发展。目前802.11中制订了三种介质的实体,为了未来技术的扩充性,也都提供了多重速率(Mulitiple Rates)的功能。这三个实体分别是:
4.1 2.4GHz Direct Sequence Spread Spectrum
速率1Mbps时用DBPSK调变(Difference By Phase Shift Keying)速率2Mbps 时用DQPSK调变(Difference Quarter Phase Shift Keying)接收敏感度–80dbm 用长度11的Barker码当展频PN码
4.2 2.4GHz Frequency Hopping Spread Spectrum
速率1Mbps时用2-level GFSK调变,接收敏感度–80dbm, 速率2Mbps时用4-level GFSK调变,接收敏感度–75dbm, 每秒跳2.5个 hops Hopping Sequence在欧美有22组,在日本有4组
4.3 Diffused IR
速率1Mbps时用16ppm调变,接收敏感度2 ×10-5mW/平方公分 速率2Mbps时用4ppm调变,接收敏感度8 ×10-5mW/平方公分 波长850nm~950nm
其中前两种在2.4GHz的射频方式是依据ISM频段以展频技术可做不须授权使用的规定,这个频段的使用在全世界包含美国、欧洲、日本及中国台湾等主要国家和地区都有开放。第三项的红外线由于目前使用上没有任何管制(除了安全上的规范),因此也是自由使用的。IEEE 802.11 MAC的基本存取方式称为CSMA/CA(Carrier Sense Multiple Acce with Collision Avoidance),与以太网络所用的CSMA/CD(Collision Detection)变成了碰撞防止(Collision Avoidance),这一字之差是很大的。因为在无线传输中感测载波及碰撞侦测都是不可靠的,感测载波有困难。另外通常无线电波经天线送出去时,自己是无法监视到的,因此碰撞侦测实质上也做不到。在802.11中感测载波是由两种方式来达成,第一是实际去听是否有电波在传,及加上优先权的观念。另一个是虚拟的感测载波,告知大家待会有多久的时间我们要传东西,以防止碰撞。
第五章 无线局域网络之产品简介
5.1 Acce Point
一般俗称为网络桥接器,顾名思义即是当作传统的有线局域网络与无线局域网络之桥梁,因此任何一台装有无线网卡之PC均可透过AP去分享有线局域网络甚至广域网络之资源。除此之外,AP本身又兼具有网管之功能,可针对接有无线网络卡之PC作必要之控管。
5.2 Wirele LAN Card
一般称为无线网络卡,其与传统之Ethernet网络卡的差别是在于前者之资料传送乃是藉由无线电波,而后者则是透过一般的网络线。目前无线网络卡的规格大致可分成2M,5M,11M,三种,而其适用之界面可分为PCMCIA,ISA,PCI三种界面。
5.3 Antenna
一般称为天线,此天线与一般电视,火腿族,大哥大所用之天线不同,其原因乃是因为频率不同所致,WLAN所用之频率为较高2.4GHz之频段。天线之功能乃是将source之信号,藉由天线本身的特性而传送至远处,至于能传多远,一般除了考虑source的output power强度之外,其另一重要因素乃是天线本身之dBi值,即俗称的增益值,dB值愈高,相对所能传达之距离也更远。通常每增加8dB则相对之距离可增至原距离的一半。一般天线有所谓指向性(Uni-direction)与全向性(Omni-direction)两种,前者较适合于长距离使用,而后者则较适合区域性之应用。
5.4 产品Q & A
Q1:何谓无线网络
ANS:一般来讲,所谓无线,顾名思义就是利用无线电波来作为资料的传导,而就应用层面来讲,它与有线网络的用途完全相似,两者最大不同的地方是在于传输资料的媒介不同。除此之外,正因它是无线,因此无论是在硬件架设或使用之机动性均比有线网络要优势许多。
Q2:无线网络与有线网络相较之下,有那些优点 ANS:就使用上它的机动性,便利性,是有线网络所不及,就成本上,它可省下一笔可观的布线费用,修改装潢费用,基本上使用的空间较为弹性许多。
Q3:无线网络对人体是否有所影响
ANS:因无线网络的发射功率较一般的大哥大手机要微弱许多,无线网络发射功率约60~70mW,而大哥大手机发射功率约200mW左右,而且使用的方式亦非像手机一般直接接触于人体,因此较无安全上之考量。
Q4:若要架构一个无线网络,其最基本之配备需要有那些
ANS:一般架设无线网络的基本配备就是一片无线网络卡及一台桥接器(AP),如此便能以无线的模式,配合既有的有线架构来分享网络资源。
Q5:无线网络就使用是否会被干扰或影响其它设备运作
ANS:基本上无线网络所使用之频段是属于ISM 2.4GHz的高频率范围,就日常生活,或办公室等等所用之电器设备是不会相互干扰,因频率差异甚多,而且无线网络本身共有12个信道可供调整,自然干扰的现象就不必担心。
Q6:何谓ISM频段
ANS:ISM(Industrial Scientific Medical)Band,此频段(2.4~2.4835GHz)主要是开放给工业,科学、医学,三个主要机构使用,该频段是依据美国联邦通讯委员会(FCC)所定义出来,属于Free License,并没有所谓使用授权的限制。
Q7:何谓展频(Spread Spectrum)ANS:展频技术主要又分为「跳频技术」及「直接序列」两种方式。而此两种技术是在第二次世界大战中军队所使用的技术,其目的是希望在恶劣的战争环境中,依然能保持通信信号的稳定性及保密性。对于一个非特定的接受器,Spread Spectrum所产生的跳动讯号对它而言,只算是脉冲噪声。因此对整体而言是一种较具安全性的通讯技术。
Q8:何谓跳频(Frequency-Hopping Spread Spectrum)ANS:跳频技术(Frequency-Hopping Spread Spectrum;FHSS)在同步、且同时的情况下,接受两端以特定型式的窄频载波来传送讯号,对于一个非特定的接受器,FHSS所产生的跳动讯号对它而言,只算是脉冲噪声。FHSS所展开的讯号可依特别设计来规避噪声或One-to-Many的非重复的频道,并且这些跳频讯号必须遵守FCC的要求,使用75个以上的跳频讯号、且跳频至下一个频率的最大时间间隔(Dwell Time)为400ms。
Q9:何谓直接序列展频(Direct Sequence Spread Spectrum)ANS:直接序列展频技术(Direct Sequence Spread Spectrum;DSSS)是将原来的讯号「1」或「0」,利用10个以上的chips来代表「1」或「0」位,使得原来较高功率、较窄的频率变成具有较宽频的低功率频率。而每个bit使用多少个chips称做Spreading chips,一个较高的Spreading chips可以增加抗噪声干扰,而一个较低Spreading Ration可以增加用户的使用人数。基本上,在DSSS的Spreading Ration是相当少的,例如在几乎所有2.4GHz的无线局域网络产品所使用的Spreading Ration皆少于20。而在IEEE 802.11的标准内,其Spreading Ration只有11,但FCC的规定是必须大于10,而实验中,最佳的Spreading Ration大约在100左右。
Q10:无线网络所能含盖的范围有多广
ANS:一般无线网络所能含盖的范围应视环境的开放与否而定,若不加外接天线而言,在视野所及之处约250M,若属半开放性空间,有隔间之区域,则约35~50M左右,当然若加上外接天线,则距离可达更远,此关系到天线本身之增益而定,因此需视客户之需求而加以规划之。
Q11:无线网络于使用之过程其保密性为何
ANS:基本上GEMPLEX之无线网络技术采DSSS系统,本身就具有防窃听之功能,另外再加上资料加密功能(WEP40bits)的双重防护下,因此其安全性是相当周全。
Q12:何谓桥接器(Acce Point)ANS:Acce Point,一般俗称为网络桥接器,顾名思义即是当作传统的有线局域网络与无线局域网络之桥梁,因此任何一台装有无线网卡之PC均可透过AP去分享有线局域网络甚至广域网络之资源。除此之外,AP本身又兼具有网管之功能,可针对接有无线网络卡之PC作必要之控管。
Q13:Acce Point在使用上可同时支持多少工作站
ANS:理论上是可以支持到一个CLASS C,但为了让工作站本身有足够之频宽可利用,一般建议一台AP约支持20~30左右之工作站为最佳状态。
Q14:何谓漫游(Roaming)功能
ANS:如同大哥大一般,可漫游在不同的基地台之间,无线网络工作站亦可漫游在不同的AP之间,只要AP群的ESSID
定义一样,则自然无线网络工作站可自由的漫游于无线电波所能含盖之区域。
Q15:若无线网络之设备架设于室外,其如何防止雷击
ANS:基本上无线网络可配置避雷器之设备,此设备可选购装设于无线网络设备上,以利外来之突波造成系统损坏。
Q16:何谓Acce Control ANS:基本上每张无线网卡上都有一组独一无二的硬件地址,即所谓的MAC addre,经由Acce Control table可定义某些卡可登入此AP,某些卡被拒绝登入,如此便能达到控管的机制,可避免非相关人员随意登入网络,窃取资源。
Q17:何谓ASBF ANS:ASBF(Automatic Scale Back Functionality),此项功能是Gemplex AP特有之功能,保证WLAN始终处于最佳的联机品质,除此之外,并提供支持多重厂商的无线网卡,但其网卡必须是符合IEEE 802.11之规范而设计。
Q18:何谓Power Management ANS:由于Notebook使用约2小时左右后便必须充电,若又同时使用其它外围设备,则必定更加耗电,因此此项功能乃在于有效的管理无线网络卡所消耗之电量,换句话说,它能适时控制当有DATA sending or receiving时,是处于”Wake up status”,反之则处于power down mode。
Q19:天线所使用之导线的长度是否有影响传输品质 ANS:一般来讲,天线所使用之导线的长度,材质,阻抗匹配,均会对讯号造成某程度之影响,而最明显的就是增益衰减。通常以20 feet之长度而言就会让讯号衰减约1.2dBi左右,而平均每衰减8dBi就会让原传输之距离约缩减一半,因此导线之长度与品质在无线产品的应用上是不容忽视的。
Q20:架设指向性天线时,是否有工具可提供指示,让讯号品质达到最佳化
ANS:Gemplex之Bridge本身有提供一套软件联机品质校正程序,其中是以图形曲线的方式呈现于屏幕上,使用者可明显看出该讯号目前强弱之状况,而加以调整天线的位置,已达最佳状态。
Q21 : 何谓Ad-hoc ANS : 构成一种特殊的无线网络应用模式,一群计算机接上无线网络卡,即可相互连接,资源共享,无需透过Acce Point.Q22 : 何谓Infrastructure ANS : 一种整合有线与无线局域网络架构的应用模式,透过此种架构模式,即可达成网络资源的共享,此应用需透过Acce Point.Q23 : 何谓BSS ANS : 一种特殊的Ad-hoc LAN的应用,称为Basic Service Set(BSS),一群计算机设定相同的BSS名称,即可自成一个group,而此BSS名称,即所谓BSSID。
Q24 : 何谓ESS ANS : 一种infrastructure的应用,一个或多个以上的BSS,即可被定义成一个Extended Service Set(ESS),使用者可于ESS上roaming及存取BSSs中的任何资料,其中Acce Points必须设定相同的ESSID及channel才能允许roaming.Q25 : 何谓SNMP ANS : “Simple Network Management Protocol “,一种网管的通信协议,透过SNMP的软件可以连接至可支持SNMP的装置并可收集该装置所有的信息并做其它整合性的应用,Gemplex Wirele LAN product 就有support此功能。
Q26 : 何谓WEP ANS : “Wired Equivalent Protection “,一种将资料加密的处理方式,WEP 40bits的encryption 乃是IEEE 802.11的标准规范。
透过WEP的处理便可让我们的资料于传输中更加安全。
5.5 无线局域网络之应用
大楼之间 : 大楼之间建构网络的连结,取代专线,简单又便宜。
餐饮及零售:餐饮服务业可使用无线局域网络产品,直接从餐桌即可输入并传送客人点菜内容至厨房、柜台。零售商促销时,可使用无线局域网络产品设置临时收银柜台。
医 疗 :
使用附无线局域网络产品的手提式计算机取得实时信息,医护人员可藉此避免对伤患救治的迟延、不必要的纸上作业、单据循环的迟延及误诊等,而提升对伤患照顾的品质。
企 业 :
当企业内的员工使用无线局域网络产品时,不管他们在办公室的任何一个角落,有无线局域网络产品,就能随意地发电子邮件、分享档案及上网络浏览。
仓储管理 : 一般仓储人员的盘点事宜,透过无线网络的应用,能立即将最新的资料输入计算机仓储系统。
货柜集散场 : 一般货柜集散场的桥式起重车,可于调动货柜时,将实时信息传回office,以利相关作业之逐行。
监视系统 : 一般位于远方且需受监控现场之场所,由于布线之困难,可藉由无线网络将远方之影像传回主控站。
展示会场 : 诸如一般的电子展,计算机展,由于网络需求极高,而且布线又会让会场显得凌乱,因此若能使用无线网络,则是再好不过的选择。
第六章 无线局域网关键技术研究与展望
与目前5类线到户的有线局域网(LAN)用户接入方式相类似,无线局域网(WLAN)正在发展成为公网的宽带无线用户接入方式,即运营商的WLAN(OWLAN)。OWLAN严格说起来并不是一种局域网,而是一种采用WLAN技术的无线接入网络。由于在制定IEEE802.11标准时,WLAN只定位在局域网应用,故在WLAN作为热点地区公共接入网络时,802.11在认证、漫游、加密、计费和网管等方面显现出一定的缺陷。本章主要探讨WLAN在作为公共接入网时的组网方案,以及对认证、加密、计费和漫游方面的解决方案。
6.1 公共WLAN组网方案
OWLAN可以作为某一个运营商的无线接入网,亦可作为多个运营商共用的无线接入网,故在OWLAN中要求能支持多种认证方式。
6.1.1 接入点(AP)
AP是WLAN的小型无线基站设备,为无线网与DS(分配系统例如有线以太网)之间的网关,且具有802.11f切换功能
6.1.2 接入控制点(AC)
AC为OWLAN和运营商IP网的网关。作为认证控制点时能鉴别不同的认证方式,并提供动态IP地址分配、输出原始计费信息、提供路由功能等。
6.1.3 远程拨号接入认证(RADIUS)服务器
在使用“用户号十密码”或“手机号十密码”的Web认证方式时,使用RADIUS服务器实现对用户身份的认证。该服务器还接收来自AC的原始计费信息,产生符合移动运营商要求格式的CDR(呼叫数据记录)计费信息,实时送相应运行商的计费中心(Billing)。在RADIUS服务器中存有归属用户的用户名、登录名、固定IP地址、MAC地址、欠费情况等信息。
6.1.4 认证服务器(AS)
移动运营商使用SIM卡认证方式时,需要使用认证服务器(AS)。AS与网关(GW或GPRS中的GGSN)相配合提供WLAN与移动运行商HLR/AUC的连接。AS在读取MT(移动终端)的国际移动用户识别(IMSI),送HLR/AUC确认该用户为WLAN注册用户后,与HLR/AUC配合完成密钥产生、EAP(可扩展认证协议)_SIM认证等任务。其他功能同RADIUS服务器。
6.1.5 门户网站服务器(Portal Server)
用于向用户端推送WEB认证页面和门户网站主页面。
6.2 公网WLAN用户接入的相关解决方案
6.2.1 OWLAN的用户认证
WLAN在作为局域网使用时,沿用了有线LAN的PPPoE(PPP over Ethernet)和Web用户认证方式。在作为OWLAN使用时,由于其在物理上的开放性,使得非
法用户入侵的可能性大为增加,原有802.11认证的安全性已不能满足运营商的需要。在采用RADIUS协议并加上802.1x的认证手段以及802.1i的安全协议后,基本可以满足OWLAN的要求。同时,在认证安全前提下,应尽量利用运营商已有的鉴权认证设备,以简化系统、节约投资。
6.2.2 802.1x用户认证方式中的访问实体
802.1x协议克服了传统PPPoE和WEB认证方式的缺点,更适合在OWLAN中使用。该协议亦称为基于端口的接入控制协议。802.1x协议的访问控制流程中端口访问实体(PAE)包括:客户端、认证者和认证服务器三部分。(1)客户端
用户从客户端发起802.11x的用户认证过程,为了支持基于端口的接入控制,客户端必需支持EAPoL(基于LAN的扩展认证协议)。(2)认证者
认证者通常为支持802.1x协议的网络设备,这些设备的端口对应于用户端而言有受控与不受控两种逻辑端口。不受控端口始终处于双向连接状态,主要用于传递EAPoL协议帧,用以保证客户端始终可以发出或接受认证。受控端口只有在认证通过时才打开,用于传递运营商的有偿网络资源和业务。当用户未通过认证时,受控端口对该用户关闭,即无法访问该运营商所提供的有偿服务。(3)认证服务器
认证服务器通常为RADIUS服务器或AS+HLR/AUC,它与认证者之间通过EAP协议进行通信。
6.3 802.1x认证方式
802.1x的网络访问控制协议规范了802.1x的用户鉴权认证方式。802.1x推荐使用拨号用户远程认证服务(RADIUS)及与之相关的两个通信协议:可扩展认证协议(EAP)和传输层协议(TLS)。802.1x主要涵盖以下四种认证方式:
6.3.1 EAP-MD5认证方式
EAP-MD5认证方式通过RADIUS服务器提供简单的集中用户认证。用户注册时该服务器只是检查用户名与密码,若通过认证就就允许客户端访问网络业务。采用该认证方式时,用户密码采用MD5加密算法,以保证认证信息的安全。EAP-MD5属单向认证机制,即只包括网络对客户端的认证。
6.3.2 EAP-SIM认证方式
EAP-SIM认证方式主要用于蜂窝移动运营商WLAN的SIM卡认证方式,支持用户与网络之间的双向认证和动态密钥下发。在该认证方式中,用户端采用装有SIM卡读卡器的WLAN网卡。网络侧的认证服务器(AS)与移动交换系统原有的HLR/AUC协同工作共同完成对用户的认证
6.3.3 EAP-TLS认证方式
EAP-TLS认证方式属于传输层认证机制,支持用户与网络之间的双向认证。用户可以在每次连接动态生成新密钥,且在用户连接期间按一定间隔更新密钥。TLS认证中,传送的数据由TLS加密封装,保证认证信息的安全。
6.3.4 EAP-TTLS鉴权认证方式
EAP-TTLS认证方式基于隧道安全认证技术,能够支持双向认证和动态密钥分发。在该认证方式中客户端与RADIUS之间,采用EAPoL协议建立安全隧道传送EAP认证包,实现TTLS认证。
6.4 OWLAN的数据安全
802.1x协议对数据的加
为了克服802.11所定义WEP(有线等效保密协议)存在的安全隐患,IEEE制定了802.1x用以增强WEP的安全性。WEP使用40位静态密钥,而802.1x通过动态配置WEP的128位密钥加强了数据的保密性,制订了动态密钥完整性协议(TKIP)对WEP的RC4算法进行改进,并增加了消息完整性检查(MIC)
在802.1x的EAP-TLS、EAP-TTLS、EAP-LEAP认证方式中提供了依赖于其初始鉴权认证的主密钥。利用该主密钥对空中数据帧加密,使得未经认证的用户无法对所窃取的数据帧进行解密
第七章 WLAN中的VPN
为了保证企业内部网络的安全接入,在OWLAN接入网中采用虚拟专网(VPN)技术用以保证企业内部网络的安全接入。VPN是指在一个公共IP平台上,通过隧道及加密技术,为网络提供点对点的安全通信,以保证远程用户接入专用网络的数据安全性。
在采用VPN技术的WLAN中,无线接入网络已被企业的VPN服务器和虚拟局域网(VLAN)将企业内部网的接入隔离开来。由企业的VPN服务器提供无线网络的认证与加密,并充当企业内部网络的网关。VPN协议包括第二层的PPTP/L2TP协议及第三层的IPSec协议,上述协议对通过WLAN传送的数据提供强大的加密功能。
根据隧道的建立方式,可划分为2类VPN连接应用:
7.1 由用户端发起的VPN连接
在由用户端发起的VPN连接应用中,需要在MT中按装VPN客户端软件。用以在MT与企业的VPN服务器(网关)之间建立隧道连接。在这类VPN连接中,VPN只涉及发起端与终结端,因此对AP、AC而言是透明的,无需AP、AC支持VPN。
7.2 由AC端发起的VPN连接
在由AC端发起的VPN连接应用中,用户以PPPoE方式连接AC,AC根据通信目的域名地址判为VPN业务后,由AC发起一条隧道连接用户欲接入的企业网网关。在这种方式下从MT到AC的用户数据加密应在PPP层完成,可以采用PPP协议的加密选项来实现传输数据的加密。
7.3 802.11i标准
802.11i是专门针对WLAN安全体系的标准。该标准提供一种新的加密方法和认证方式(即WEP2技术)。与传统的WEP算法相比较,WEP2将密钥的长度由40位增加到128位,故很难破译。同时,该标准将一种增强安全网络(RSN)方案纳入其中,并包括了TKIP和AES-OCB两个协议。802.11i通过使用动态密钥、良好的密钥管理与分发机制以及更强的加密算法,使得在WLAN中的数据帧传输变得更加安全。
OWLAN的计费
在OWLAN中,AC监测用户数据传输的时间或流量,用以产生计费的原始信息送AS或RADUIS。在AS或RADUIS中对计费原始信息进行加工,生成符合计费中心所需格式的计费数据记录(CDR),送运行商计费中心。在多个运营商共用一个OWLAN时,要求AC能鉴别不同运营商的计费信息,分别送对应运营商的计费系统。
OWLAN的移动性管理
802.11至今还没有一个对MT设备跟踪与管理的正式标准。而在将WLAN作为OWLAN应用的今天,必须解决在同一计算机子网(域)内MT在不同AP之间漫游的问题;以及不同计算机子网(域)之间的漫游的问题。在没有统一的WLAN域内、域间的漫游标准之前,各制造商和运营商则推出了各自的解决方案
域内漫游
在802.11中仅说明了MT可以在同一个ESS(扩展业务集)内的AP之间进
行漫游,但未对MT漫游时AP之间具体通信过程做出规定,故不同厂家在实现AP间漫游时均采用了私有协议,这对运营商的组网带来了困难。为此IEEE推出了支持域内漫游的802.11f标准(已被IEEE批准为实践性标准)。
802.11f定义了同一ESS中AP的登录,以及MT从一个AP切换到另一个AP时,AP之间交换的信息。
802.11f所定义的IAPP(AP间交互协议)在IP层上规定了AP之间以及AP和RADIUS服务器之间所需交换的信息。AP之间是通过UDP/IP协议在一个共同的DS中交互信息、进行互操作。同时亦通过IAPP来影响第二层网络设备的操作。802.11f要求在RADIUS服务器中存放有域内各AP的基本信息,例如基本服务集标识(BSS-ID)、IP地址以及MT接入的认证密钥。
7.4 基本的WLAN安全
务组标识符(SSID):无线客户端必须出示正确的SSID才能访问无线接入点AP。利用SSID,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题,从而为无线局域网提供一定的安全性。然而无线接入点AP周期向外广播其SSID,使安全程度下降。另外,一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。况且有的厂家支持any方式,只要无线客户端处在AP范围内,那么它都会自动连接到AP,这将绕过SSID的安全功能。
物理地址(MAC)过滤:每个无线客户端网卡都由惟一的物理地址标识,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作;如果用户增加,则扩展能力很差,因此只适合于小型网络规模。另外,非法用户利用网络侦听手段很容易窃取合法的MAC地址,而且MAC地址并不难修改,因此非法用户完全可以盗用合法的MAC地址进行非法接入。
7.5 IEEE 802.11的安全技术
7.5.1 认证
在无线客户端和中心设备交换数据之前,它们之间必须先进行一次对话。在802.11b标准制定时,IEEE在其中加入了一项功能:当一个设备和中心设备对话后,就立即开始认证工作,在通过认证之前,设备无法进行其他关键通信。这项功能可以被设为shared key authentication和open authentication,默认的是后者。在默认设定下,任何设备都可以和中心设备进行通讯,而无法越过中心设备,去更高一级的安全区域。而在shared key authentication设定时,客户机要先向中心设备发出连接请求,然后中心设备发回一串字符,要求客户机使用WEP钥匙返回密码。只有在密码正确的情况下,客户机才可以和中心设备进行通信,并可以进入更高级别。
使用认证方式有一个缺点,中心设备发回的字符是明文的。通过监听通信过程,攻击者可以在认证公式中得到2个未知数的值,明文的字符和客户机返回的字符,而只有一个值还无法知道。通过RC4计算机通信加密算法,攻击者可以轻易的搞到shared authentication key。由于WEP使用的是同一个钥匙,侵入者就可以通过中心设备,进入其他客户端。讽刺的是,这项安全功能通常都应该设
为“open authentication”,使得任何人都可以和中心设备通信,而通过其他方式来保障安全。尽管不使用这项安全功能看上去和保障网络安全相矛盾,但是实际上,这个安全层带来的潜在危险远大于其提供的帮助
7.5.2 保密
有线等效保密(WEP):WEP虽然通过加密提供网络的安全性,但存在许多缺陷:
缺少密钥管理。用户的加密密钥必须与AP的密钥相同,并且一个服务区内的所有用户都共享同一把密钥。WEP标准中并没有规定共享密钥的管理方案,通常是手工进行配置与维护。由于同时更换密钥的费时与困难,所以密钥通常长时间使用而很少更换,倘若一个用户丢失密钥,则将殃及到整个网络。
ICV算法不合适。WEP ICV是一种基于CRC-32的用于检测传输噪音和普通错误的算法。CRC-32是信息的线性函数,这意味着攻击者可以篡改加密信息,并很容易地修改ICV,使信息表面上看起来是可信的。能够篡改即加密数据包使各种各样的非常简单的攻击成为可能。
RC4算法存在弱点。在RC4中,人们发现了弱密钥。所谓弱密钥,就是密钥与输出之间存在超出一个好密码所应具有的相关性。在24位的IV值中,有9000多个弱密钥。攻击者收集到足够的使用弱密钥的包后,就可以对它们进行分析,只须尝试很少的密钥就可以接入到网络中。利用认证与加密的安全漏洞,在很短的时间内,WEP密钥即可被破解。
7.6 IEEE 802.11i标准
(1)认证-端口访问控制技术(IEEE 802.1x)
通过802.1X,当一个设备要接入中心设备时,中心设备就要求一组证书。用户提供的证书被中心设备提交给服务器进行认证。这台服务器称为RADIUS,也就是temote Authentication Dial-In User Service,通常是用来认证拨号用户的。这整个过程被包含在802.1X的标准EAP(扩展认证协议)中。EAP是一种认证方式集合,可以让开发者以各种方式生成他们自己的证书发放方式,EAP也是802.1X中最主要的安全功能。现在的EAP方式主要有四种。
但是IEEE 802.1x提供的是无线客户端与RADIUS服务器之间的认证,而不是客户端与无线接入点AP之间的认证;采用的用户认证信息仅仅是用户名与口令,在存储、使用和认证信息传递中存在很大安全隐患,如泄漏、丢失;无线接入点AP与RADIUS服务器之间基于其享密钥完成认证过程协商出的会话密钥的传递,该共享密钥为静态,人为手工管理,存在一定的安全隐患。
(2)保密
有线等效保密的改进方案-TKIP。
目前Wi-Fi推荐的无线局域网安全解决方案WPA(Wi-Fi Protected Acce)以及制定中的IEEE 802.11i标准均采用TKIP(Temporal Key Integrity Protocol)作为一种过渡安全解决方案。TKIP与WEP一样基于RC4加密算法,但相比于WEP算法,将WEP密钥的长度由40位加长到128位,初始化向量IV的长度由24位加长到48位,由于WEP算法的安全漏洞是由于WEP机制本身引加性高斯噪声信道起的,与密钥的长度无关,即使增加加密密钥的长度,也不可能增强其安全程度,初始化向量IV长度的增加也只能在有限程度上提高破解难度,比如延长破解信息收集时间,并不能从根本上解决问题,因为作为安全关键的加密部分,TKIP
没有脱离WEP的核心机制。
目前正在制定中的IEEE 802.11i标准的终极加密解决方案为基于IEEE 802.1x认证的CCMP(CBC-MAC Protoco1)加密技术,即以AES(Advanced Encryption Standard)为核心算法,采用CBC-MAC加密模式,具有分组序号的初始向量。CCMP为128位的分组加密算法,相比前面所述的所有算法安全程度更高。
7.7 VPN技术
作为一种比较可靠的网络安全解决方案,VPN技术在有线网络中,尤其是企业有线网络应用中得到了一定程度的采用。然而,无线网络的应用特点在很大程度上阻碍了VPN技术的应用,主要体现在以下几个方面:
运行的脆弱性:众所周知,因突发干扰或AP间越区切换等因素导致的无线链路质量波动或短时中断是无线应用的特点之一,因此用户通信链路出现短时中断不足为奇。这种情况对于普通的TCP/IP应用影响不显敏感,但对于VPN链路影响巨大,一旦发生中断,用户将不得不通过手动设置以重新恢复VPN连接。这对于WLAN用户,尤其是需要移动或QoS保证(如VoIP业务)的WLAN用户是不可忍受的。
通用性问题:VPN技术在国内,甚至在国际上没有一个统一的开发标准,各公司基于自有技术与目的开发自有专用产品,导致技术体制杂乱,没有通用型可言。这对于强调互通性的WLAN应用是相悖的。
网络的扩展性问题:VPN技术在提供网络安全的同时,大大限制了网络的可扩展性能,这主要是由于VPN网络架设的复杂性导致的。如果要改变一个VPN网络的拓扑结构或内容,用户往往将不得不重新规划并进行网络配置,这对于一个中型以上的网络儿乎是不可思议的。
成本问题:上述的3个问题实际在不同程度上直接导致了用户网络架设的成本攀升。另一个重要因素是VPN产品本身的价格就很高,对于中小型网络用户甚至超过WLAN设备的采购费用。
7.8 WAPI 技术标准是所有产业健康发展的基石,对无线局域网产业而言,以往一直存在缺乏统一标准和安全保障两大瓶颈。目前WEAN国际标准可靠安全机制的软肋使得安全问题的压力大部分遗留给了WLAN产业链上的芯片设计、设备制造、系统集成甚至最终用户等各个环节,各设备厂商和系统集成商各行其道,市场中出现大量专有的安全标准和解决方案,这些方案要么影响网络性能要么限制了网络的可用性和扩展性,当然最致命的是,这些方案大多基于WEP、802.lx等对WLAN来说并不十分可靠的基础协改。对于大多数并不熟悉WLAN安全技术的最终用户而言,WEP/WPA/SSID/VPN/802.1x等名目繁多、花样翻新,往往又价格不斐的WLAN安全方案让他们无所适从。
最新颁布并且即将强制执行的WLAN国家标准对目前中国WLAN市场的发展和格局将产生深远影响。WLAN国家标准依据我国的无线电管理法规对我国无线局域网相关产品的发射功率、信道数等作出了明确规定,标准还强调和规定了无线局域网安全技术的应用要求。适用于独立的无线局域网设备以及提供无线局域网相关功能的独立或嵌入式软件模块。同时该标准与相应国际标准的区别主要表现在对安全机制的严格要求,即用WAPI协议取代了IEEE802.11标准中先天不足的WEP协议。虽然WAPI作为被中国政府认可并最终颁布的WLAN安全机制,有着比
目前WEP、802.lx、WPA等安全协议更高的安全性,但是能否获得最终的成功还有待于厂商的支持和市场的考验。
7.9 WLAN的切换与漫游
7.9.1 切换与漫游
WLAN的切换指的是在相同的SSID(AP)之间,移动终端与新的AP建立新的连接,并切断原来AP的连接过程。漫游指的是在不同的SSID(AP)之间,移动终端与新的AP建立新的连接,并切断原来AP的连接过程。
加入现有的服务区有两种方法:主动扫描和被动扫描。主动扫描要求站点查找接入点,从接入点设备中接受同步信息。也可通过被动扫描获得同步信息,可侦听每个接入点周期性所发送的信标帧。一旦站点定位了接入点,并取得了同步信息,就必须交换验证信息。这些信息的交互在接入点和站点之间产生,每个设备给出预设的口令。在站点经过验证后,关联过程就开始了。在关联过程中,交换站点信息和接入点服务的能力信息是一群接入点得到的站点当前位置的信息。一旦关联过程结束,该站点就能够发送和接收帧。当站点离开它的接入点发生漫游时,注意到接入点的链路信号正在变弱。站点使用它的扫描功能查找另一个接入点,或利用上一次扫描得到的信息选取另一个接入点。一旦找到新的接入点,站点就向它发送重新关联请求。如果站点接收到重新关联响应,它就拥有一个新的接入点并且漫游成功。
7.9.2 移动IP
在无线网络中,如果一边使用无线局域网接入服务,一边移动接入位置,那么一旦移动终端超越子网覆盖范围,IP数据包就无法到达移动终端,正在进行的通信将被中断。为此,IETF制定了扩展IP网络移动性的系列标准。所谓移动IP,就是指在IP网络上的多个子网内均可使用同一IP地址的技术。这种技术是通过使用被称为本地代理(Home Agent)和外地代理(Foreign Agent)的特殊路由器对网络终端所处位置的网络进行管理来实现的。在移动IP系统中,可保证用户的移动终端始终使用固定的IP地址进行网络通信,不管在怎样的移动过程中皆可建立TCP连接并不会发生中断。在无线局域网系统中,广泛的应用移动IP技术可以突破网络的地域范围限制,并可克服在跨网段时使用动态主机配置协议(DHCP)方式所造成的通信中断、权限变化等问题。
结语
无线网络的出现就是为了解决有线网络无法克服的困难,虽然无线网络有诸多优势,但与有线网络相比,无线局域网也有很多不足。无线网络速率较慢、价格较高,因而它主要面向有特定需求的用户,目前无线局域网还不能完全脱离有线网络,无线网络与有线网络是互补的关系,而不是竞争,目前还只是有线网络的补充,而不是替换,但也应该看到。近年来,随着适用于无线局域网产品的价格正逐渐下降,相应软件也逐渐成熟。此外,无线局域网已能够通过与广域网相结合的形式提供移动互联网的多媒体业务,相信在未来,无线局域网将以它的高速传输能力和灵活性发挥更加重要的作用。
致谢
在此,首先要对我的导师柯江民老师,致以最深的感谢。感谢柯老师对我的论文不厌其烦的细心指点。柯老师首先细致地为我选题、解题;当我深陷于众多的资料,找不准角度,理不清思路时,柯老师又为我指点迷津,梳理脉络,使我感到柳暗花明,分清了层次,确立了本文的框架。在论文写作过程中,经常得到柯老师电话和邮件指点。在修改和完善过程中,柯老师更是严格细致,从框架的完善,到内容的扩充;从行文的用语,到格式的规范,进行了全面地审阅,提出了许多中肯的修改意见。我再次为柯老师的付出表示感谢。同时还要衷心感谢网络管理学科的尧时茂老师 崇志军老师 程霄老师 王凌敏老师等的言传身教,是你们的启迪与指导,使我获得了各种专业知识。老师们勤奋工作、严谨治学的精神永远值得我学习。也要感谢每一位朋友、每一位同学,正是有了你们友情的陪伴,才使得我的大学生活丰富而多彩!在此我要特别感谢各位兄弟姐妹们给予我的支持和帮助!最后,要深深感谢家人对我学业的全力支持,你们的期待与鼓励是我前进的最大动力。
三年是短暂的,记忆是永恒的!最后,衷心祝愿我亲爱的朋友们:生活幸福,天天快乐!
参考文献:
1.李建东.黄振海 WLAN的标准与技术发展[期刊论文]-中兴通讯技术 2003(2)2.徐冬梅 WLAN走向安全、高速、互联 2002(12)3.GB 15629.11-2003.信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分:无线局域网媒体访问(MAC)和物理(PHY)层规范
4.GB 15629.1102-2003.信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分:无线局域网媒体访问(MAC)和物理(PHY)层规范:2.4GHz频段较高速物理层扩展规范
5.孙少陵.李新.叶伟 WLAN市场发展现状与前景[期刊论文]-中兴通讯技术 2003(2)6.王志勤 3G与WLAN的关系[期刊论文]-中兴通讯技术 2003(2)7.李承恕 WLAN与2.5/3代移动通信网的结合[期刊论文]-中兴通讯技术 2003(2)8.谈振辉 应用于移动环境中的WLAN接入网结构[期刊论文]-中兴通讯技术 2003(2)9.吕霞.杨军 WLAN标准GB15629.11安全机制--WAPI协议解析[期刊论文]-电子设计应用 2004(10)10.尹传勇.刘寿强.毕雅宁 营造安全的无限空间--无限局域网新标准WAPI解析[期刊论文]-计算机安全 2004(7)11.郑君杰.肖军模.程林 WAPI协议及其安全性分析[期刊论文]-电视技术 2004(5)12.可运营WLAN网络安全问题的探讨
14.倪源.彭志威.王育民 增强的无线局域网安全技术分析[期刊论文]-中兴通讯技术 2003(6)15.万仁福.陈宇.李方伟 3G与WLAN融合的安全性分析[期刊论文]-电信快报 2004(8)16.魏松.肖征荣 3G与WLAN互连的安全问题[期刊论文]-电信快报 2004(8)17.何广法.刘乃安 基于3GPP-WLAN互通性安全的AP设计应用[期刊论文]-现代电子技术 2004(9)18.Lily Lidong Chen Common Authentication for WLAN and Cellular 2004 19.杨文东 IEEE 802.16宽带无线接入标准体系介绍[期刊论文]-电信工程技术与标准化 2003(2)20.刘文杰.傅海阳.吴蒙 LMDS系统安全认证协议的形式分析与改进[期刊论文]-计算机工程 2003(22)21.傅坚 无线宽带固定接入系统的安全性分析[期刊论文]-计算机工程 2004(6)
刀豆文库小编为你整合推荐4篇局域网技术与设计分析论文,也许这些就是您需要的文章,但愿刀豆文库能带给您一些学习、工作上的帮助。......
局域网技术与设计分析论文1 定义简介局域网,从字面能够理解其含义。为了加深理解,笔者由浅入深地进行说明。计算机网络有若干种划分方法,而从地理距离和范围角度划分就可以划分......
1 定义简介局域网,从字面能够理解其含义。为了加深理解,笔者由浅入深地进行说明。计算机网络有若干种划分方法,而从地理距离和范围角度划分就可以划分成广域网络、城域网络、局......
郑州城市职业学院毕业设计(论文)题 目 无线局域网的研究 实习单位 中国通信建设第四工程局 系(部) 电子工程系 专业班级 移动通信技术2班 学生姓名 白朋朋 学 号 20091032259 总......
论文关键词:计算机网络 网络安全 局域网安全 广域网论文摘要:随着计算机网络和互联网的发展,局域网安全越来越受到人们的重视和关注。无论是在局域网还是在广域网中,都存在着自......
