無線局域網關鍵技術研究

2019-11-03 19:23:53

字體：大中小

來源：轉載

供稿：網友

陳凱

　　摘要　本文詳細介紹和分析了無線局域接入網的關鍵技術，主要包括安全機制、切換與漫游技術、覆蓋與天線技術。

　　關鍵詞　WLAN，802.11，802.11i，WAPI

一、WLAN的安全機制

　　2004年的WLAN產品市場將面臨嚴峻考驗，低端產品市場將趨于產品的同質化和價格戰，如果不能順利向企業應用高端市場挺進，WLAN投資泡沫將開始出現。與此同時，越來越多的企業決策者認為安全問題是影響他們作出WLAN部署決定的首要因素。

　　1.基本的WLAN安全

　　業務組標識符(SSID)：無線客戶端必須出示正確的SSID才能訪問無線接入點AP。利用SSID，可以很好地進行用戶群體分組，避免任意漫游帶來的安全和訪問性能的問題，從而為無線局域網提供一定的安全性。然而無線接入點AP周期向外廣播其SSID，使安全程度下降。另外，一般情況下，用戶自己配置客戶端系統，所以很多人都知道該SSID，很容易共享給非法用戶。況且有的廠家支持any方式，只要無線客戶端處在AP范圍內，那么它都會自動連接到AP，這將繞過SSID的安全功能。

　　物理地址(MAC)過濾：每個無線客戶端網卡都由惟一的物理地址標識，因此可以在AP中手工維護一組允許訪問的MAC地址列表，實現物理地址過濾。物理地址過濾屬于硬件認證，而不是用戶認證。這種方式要求AP中的MAC地址列表必需隨時更新，目前都是手工操作；如果用戶增加，則擴展能力很差，因此只適合于小型網絡規模。另外，非法用戶利用網絡偵聽手段很容易竊取合法的MAC地址，而且MAC地址并不難修改，因此非法用戶完全可以盜用合法的MAC地址進行非法接入。

　　2、IEEE 802.11的安全技術

　　(1)認證

　　在無線客戶端和中心設備交換數據之前，它們之間必須先進行一次對話。在802.11b標準制定時，IEEE在其中加入了一項功能：當一個設備和中心設備對話后，就立即開始認證工作，在通過認證之前，設備無法進行其他關鍵通信。這項功能可以被設為shared key authentication和open authentication，默認的是后者。在默認設定下，任何設備都可以和中心設備進行通訊，而無法越過中心設備，去更高一級的安全區域。而在shared key authentication設定時，客戶機要先向中心設備發出連接請求，然后中心設備發回一串字符，要求客戶機使用WEP鑰匙返回密碼。只有在密碼正確的情況下，客戶機才可以和中心設備進行通信，并可以進入更高級別。

　　使用認證方式有一個缺點，中心設備發回的字符是明文的。通過監聽通信過程，攻擊者可以在認證公式中得到2個未知數的值，明文的字符和客戶機返回的字符，而只有一個值還無法知道。通過RC4計算機通信加密算法，攻擊者可以輕易的搞到shared authentication key。由于WEP使用的是同一個鑰匙，侵入者就可以通過中心設備，進入其他客戶端。諷刺的是，這項安全功能通常都應該設為“open authentication”，使得任何人都可以和中心設備通信，而通過其他方式來保障安全。盡管不使用這項安全功能看上去和保障網絡安全相矛盾，但是實際上，這個安全層帶來的潛在危險遠大于其提供的幫助。

　　(2)保密

　　有線等效保密(WEP)：WEP雖然通過加密提供網絡的安全性，但存在許多缺陷：

　　缺少密鑰管理。用戶的加密密鑰必須與AP的密鑰相同，并且一個服務區內的所有用戶都共享同一把密鑰。WEP標準中并沒有規定共享密鑰的管理方案，通常是手工進行配置與維護。由于同時更換密鑰的費時與困難，所以密鑰通常長時間使用而很少更換，倘若一個用戶丟失密鑰，則將殃及到整個網絡。

　　ICV算法不合適。WEP ICV是一種基于CRC-32的用于檢測傳輸噪音和普通錯誤的算法。CRC-32是信息的線性函數，這意味著攻擊者可以篡改加密信息，并很容易地修改ICV，使信息表面上看起來是可信的。能夠篡改即加密數據包使各種各樣的非常簡單的攻擊成為可能。

　　RC4算法存在弱點。在RC4中，人們發現了弱密鑰。所謂弱密鑰，就是密鑰與輸出之間存在超出一個好密碼所應具有的相關性。在24位的IV值中，有9000多個弱密鑰。攻擊者收集到足夠的使用弱密鑰的包后，就可以對它們進行分析，只須嘗試很少的密鑰就可以接入到網絡中。利用認證與加密的安全漏洞，在很短的時間內，WEP密鑰即可被破解。

　　3、IEEE 802.11i標準

　　(1)認證-端口訪問控制技術(IEEE 802.1x)

　　通過802.1X，當一個設備要接入中心設備時，中心設備就要求一組證書。用戶提供的證書被中心設備提交給服務器進行認證。這臺服務器稱為RADIUS，也就是temote Authentication Dial-In User Service，通常是用來認證撥號用戶的。這整個過程被包含在802.1X的標準EAP(擴展認證協議)中。EAP是一種認證方式集合，可以讓開發者以各種方式生成他們自己的證書發放方式，EAP也是802.1X中最主要的安全功能?，F在的EAP方式主要有四種。

　　但是IEEE 802.1x提供的是無線客戶端與RADIUS服務器之間的認證，而不是客戶端與無線接入點AP之間的認證；采用的用戶認證信息僅僅是用戶名與口令，在存儲、使用和認證信息傳遞中存在很大安全隱患，如泄漏、丟失；無線接入點AP與RADIUS服務器之間基于其享密鑰完成認證過程協商出的會話密鑰的傳遞，該共享密鑰為靜態，人為手工管理，存在一定的安全隱患。

　　(2)保密

　　有線等效保密的改進方案-TKip。

　　目前Wi-Fi推薦的無線局域網安全解決方案WPA(Wi-Fi PRotected access)以及制定中的IEEE 802.11i標準均采用TKIP(Temporal Key Integrity Protocol)作為一種過渡安全解決方案。TKIP與WEP一樣基于RC4加密算法，但相比于WEP算法，將WEP密鑰的長度由40位加長到128位，初始化向量IV的長度由24位加長到48位，由于WEP算法的安全漏洞是由于WEP機制本身引加性高斯噪聲信道起的，與密鑰的長度無關，即使增加加密密鑰的長度，也不可能增強其安全程度，初始化向量IV長度的增加也只能在有限程度上提高破解難度，比如延長破解信息收集時間，并不能從根本上解決問題，因為作為安全關鍵的加密部分，TKIP沒有脫離WEP的核心機制。

　　目前正在制定中的IEEE 802.11i標準的終極加密解決方案為基于IEEE 802.1x認證的CCMP(CBC-MAC Protoco1)加密技術，即以AES(Advanced Encryption Standard)為核心算法，采用CBC-MAC加密模式，具有分組序號的初始向量。CCMP為128位的分組加密算法，相比前面所述的所有算法安全程度更高。

　　4、VPN技術

　　作為一種比較可靠的網絡安全解決方案，VPN技術在有線網絡中，尤其是企業有線網絡應用中得到了一定程度的采用。然而，無線網絡的應用特點在很大程度上阻礙了VPN技術的應用，主要體現在以下幾個方面：

　　運行的脆弱性：眾所周知，因突發干擾或AP間越區切換等因素導致的無線鏈路質量波動或短時中斷是無線應用的特點之一，因此用戶通信鏈路出現短時中斷不足為奇。這種情況對于普通的TCP／IP應用影響不顯敏感，但對于VPN鏈路影響巨大，一旦發生中斷，用戶將不得不通過手動設置以重新恢復VPN連接。這對于WLAN用戶，尤其是需要移動或QoS保證(如VoIP業務)的WLAN用戶是不可忍受的。

　　通用性問題：VPN技術在國內，甚至在國際上沒有一個統一的開發標準，各公司基于自有技術與目的開發自有專用產品，導致技術體制雜亂，沒有通用型可言。這對于強調互通性的WLAN應用是相悖的。

　　網絡的擴展性問題：VPN技術在提供網絡安全的同時，大大限制了網絡的可擴展性能，這主要是由于VPN網絡架設的復雜性導致的。如果要改變一個VPN網絡的拓撲結構或內容，用戶往往將不得不重新規劃并進行網絡配置，這對于一個中型以上的網絡兒乎是不可思議的。

　　成本問題：上述的3個問題實際在不同程度上直接導致了用戶網絡架設的成本攀升。另一個重要因素是VPN產品本身的價格就很高，對于中小型網絡用戶甚至超過WLAN設備的采購費用。

　　5、WAPI

　　技術標準是所有產業健康發展的基石，對無線局域網產業而言，以往一直存在缺乏統一標準和安全保障兩大瓶頸。目前WEAN國際標準可靠安全機制的軟肋使得安全問題的壓力大部分遺留給了WLAN產業鏈上的芯片設計、設備制造、系統集成甚至最終用戶等各個環節，各設備廠商和系統集成商各行其道，市場中出現大量專有的安全標準和解決方案，這些方案要么影響網絡性能要么限制了網絡的可用性和擴展性，當然最致命的是，這些方案大多基于WEP、802.lx等對WLAN來說并不十分可靠的基礎協改。對于大多數并不熟悉WLAN安全技術的最終用戶而言，WEP／WPA／SSID／VPN／802.1x等名目繁多、花樣翻新，往往又價格不斐的WLAN安全方案讓他們無所適從。

　　最新頒布并且即將強制執行的WLAN國家標準對目前中國WLAN市場的發展和格局將產生深遠影響。WLAN國家標準依據我國的無線電管理法規對我國無線局域網相關產品的發射功率、信道數等作出了明確規定，標準還強調和規定了無線局域網安全技術的應用要求。適用于獨立的無線局域網設備以及提供無線局域網相關功能的獨立或嵌入式軟件模塊。同時該標準與相應國際標準的區別主要表現在對安全機制的嚴格要求，即用WAPI協議取代了IEEE802.11標準中先天不足的WEP協議。雖然WAPI作為被中國政府認可并最終頒布的WLAN安全機制，有著比目前WEP、802.lx、WPA等安全協議更高的安全性，但是能否獲得最終的成功還有待于廠商的支持和市場的考驗。

二　WLAN的切換與漫游

　　1、切換與漫游

　　WLAN的切換指的是在相同的SSID(AP)之間，移動終端與新的AP建立新的連接，并切斷原來AP的連接過程。漫游指的是在不同的SSID(AP)之間，移動終端與新的AP建立新的連接，并切斷原來AP的連接過程。

　　加入現有的服務區有兩種方法：主動掃描和被動掃描。主動掃描要求站點查找接入點，從接入點設備中接受同步信息。也可通過被動掃描獲得同步信息，可偵聽每個接入點周期性所發送的信標幀。一旦站點定位了接入點，并取得了同步信息，就必須交換驗證信息。這些信息的交互在接入點和站點之間產生，每個設備給出預設的口令。在站點經過驗證后，關聯過程就開始了。在關聯過程中，交換站點信息和接入點服務的能力信息是一群接入點得到的站點當前位置的信息。一旦關聯過程結束，該站點就能夠發送和接收幀。當站點離開它的接入點發生漫游時，注意到接入點的鏈路信號正在變弱。站點使用它的掃描功能查找另一個接入點，或利用上一次掃描得到的信息選取另一個接入點。一旦找到新的接入點，站點就向它發送重新關聯請求。如果站點接收到重新關聯響應，它就擁有一個新的接入點并且漫游成功。

　　2、移動IP

　　在無線網絡中，如果一邊使用無線局域網接入服務，一邊移動接入位置，那么一旦移動終端超越子網覆蓋范圍，IP數據包就無法到達移動終端，正在進行的通信將被中斷。為此，IETF制定了擴展IP網絡移動性的系列標準。所謂移動IP，就是指在IP網絡上的多個子網內均可使用同一IP地址的技術。這種技術是通過使用被稱為本地代理(Home Agent)和外地代理(Foreign Agent)的特殊路由器對網絡終端所處位置的網絡進行管理來實現的。在移動IP系統中，可保證用戶的移動終端始終使用固定的IP地址進行網絡通信，不管在怎樣的移動過程中皆可建立TCP連接并不會發生中斷。在無線局域網系統中，廣泛的應用移動IP技術可以突破網絡的地域范圍限制，并可克服在跨網段時使用動態主機配置協議(DHCP)方式所造成的通信中斷、權限變化等問題。

　　3、切換與漫游存在的問題

　　在沒有啟用加密協議的情況下，相同的SSID(AP)之間的業務連接由AC控制，AP僅僅起到二層透、傳的作用。在不同的SSID(AP)之間，由于IP地址發生改變，業務必然中斷，需要重新進行連接進行認證與計費。

　　如果采用安全加密機制，例如采用默認設置WEP協議，每當到一個新的接入點的時候需手工輸入40bit或104bit的密鑰，即麻煩又不安全。在實際使用中，采用加密措施對漫游切換帶來了很大的麻煩，因為必須及時通知用戶更改新的接入點的密鑰。如何才能安全分發和保存這些新的密鑰也是難題，所以大多數運營商多沒有采用加密措施如WEP加密。

三、WLAN的覆蓋與天線技術

　　802.11的頻率范圍2400-2483.5MHz,14個子頻道，頻帶寬為22MHz，最多可以提供3個不重疊的頻道同時工作(1，6，11)，最多可提供33MHz的傳輸容量。

　　1、室外覆蓋

　　室外覆蓋的兩種常用的方式：宏蜂窩和微蜂窩；在某些功率限制較小的場合如農村、野戰環境、大的運動場地，可以通過加大基站發射功率和接收靈敏度以及提高基站天線高度的方法來提高單個基站的覆蓋范圍。

　　(1)宏蜂窩

　　只有在基站位于開闊地的時候，接收機的輸入功率能夠滿足標準的無線局域網接收機的靈敏度要求，如果適當提高基站靈敏度和功率，則可以覆蓋更大的范圍，而對于城市或城郊來說，如果應用宏蜂窩，則無線局域網收發設備的功率和靈敏度都要大幅度增加，這對于城市頻譜、電磁兼容限制以及成本增加來說，都是不能允許的，因此，不推薦使用宏蜂窩進行布網，除非在大范圍的開闊地應用。

　　(2)微蜂窩

　　微蜂窩覆蓋可以在城市或城郊進行網絡覆蓋，一般可設在建筑物頂部，或在專門搭建的發射塔上，也可以借助某些已有的設施，如路燈、站牌等安裝AP，進行鏈路計算，確定滿足接收機靈敏度的最大范圍，針對覆蓋區域性狀和大小的要求，也要進行天線選型以滿足重點區域的良好覆蓋。綜合以上因素，在一定區域內確定所有微蜂窩基站的位置，從而完成覆蓋。

　　2、室內覆蓋

　　室內傳播環境與室外相比，覆蓋距離更小，環境變化更大，不受雨、雪、云等天氣的影響，但受建筑物的大小、形狀、結構、房間布局及室內陳設的影響，最重要的是建筑材料的影響。室內障礙物不僅有磚墻，而且包括木材、玻璃、金屬和其他材料。這些因素導致室內傳播環境遠較室外復雜。

　　室內通常要采用微蜂窩、室內分布式天線和泄漏電纜或它們之間的組合以覆蓋盲區。

　　3、天線技術

　　在發射功率受到限制的情況下，天線技術成為提高覆蓋的重要手段。在室外應使用高增益的全向天線，在室內應使用定向天線，并采用分集接收和智能天線技術。同時應盡量避免頻率和電磁干擾。

　　分集接收是在發射機和接收機之間的多個獨立信道，因此當獨立的通道本質上是空間的話，就可得到天線分集和極化鑒別，也就是說，在接收機和發射機的天線單元之間存在充分的間隔，各自信號相互之間就沒有或很少有相關性，天線分集可用來提高信號的鏈路性能或是增加數據的吞吐量。

　　天線分集技術可以化為兩大類，即發射和接收分集。

　　(1)接收分集

　　在接收機中使用多個天線稱之為接收分集，是相當容易實現。本質上能接收發射信號流的多個拷貝，采用合適的信號處理技術有效地把這些拷貝信號組合在一起。隨著天線數量的增加，中斷的可能性就降到了零，而且有效信道逼近于加性高斯噪聲信道。兩種最普遍的接收分集技術是選擇和最佳比率組合。

　　(2)發射分集

　　多單元的發射機天線陣列在新興的無線局域網網絡中，特別在接入點將發揮越來越重要的作用。事實上，當與經適當設計的信號處理算法一起使用時，這樣的陣列會極大地提高性能。

四、結束語

　　WLAN技術仍然處在高速發展和變化之中，目前普遍使用的是802.1lb的產品，必然要向傳輸速率更高的802.11a和802.llg演進，特別是802.1lg很可能成為主流。運營商和產品制造商應抓住難得的機遇，共同努力縮短演進的進程。在安全方面，對于已經大量使用802.1lb的產品可以通過軟件升級過渡到WPA，并使用集成多種功能的接入點(AP)設備來降低使用成本。雖然采用安全加密措施必然對802.11b的性能會有一定的影響，并且帶來使用的不方便，但是這是商用網必須做的，因為這是長期盈利的前提條件。并且逐漸升級過渡到可以和802.1lb設備兼容的802.11g設備，但是在這種混合模式下，由于802.llb和802.llg采用不同的調制方式，因此對實際傳輸效率有一定的影響。另外，必須認識到無線局域網設計與實施的復雜性，重視在正式部署前的勘察與測試工作，制定切實可行的組網方案。

　　如果說無線局域網是一只希望展翅高飛的小鳥，那么至少目前它還需要更為堅實有力的翅膀，去實現人們在任何時間任何地點與世界互聯的夢想。

摘自　泰爾網

上一篇：軟交換中的安全機制

下一篇：城域網的發展方向