无线局域网结课论文
802.11无线局域网安全及防范措施
802.11 WLAN security and preventive measures
摘要:
首先简要介绍了IEEE802.11无线局城网技术标准。而在无线网络发展的同时,安全问题也慢慢显现出来。本文分析了基于IEEE802.11无线局域网中存在的安全问题,并提出了相应的防范措施,最大程度保证无线网络的使用安全。
关键词:无线局域网;IEEE802.11协议;安全五要素;跳频技术;直接序列扩频;
Abstract—firstly,we give a brief introduction of technical standards.However,with the development of the wireless LAN, security issues are slowly revealed.This paper analyzes the security problems existed in the IEEE802.11 wireless LAN, and proposed the corresponding preventive measures to ensure the maximum and safe use of the wireless network.Index Terms—wireless LAN,IEEE802.11 Protocol,Five elements of security,frequency-hopping technology,Direct Sequence Spread Spectrum.一
绪论 I Introduction
1.无线局域网
无线局域网(WLAN)是用无线通信技术构建的局域网,虽不采用缆线,但也能提供传统有线局域网的所有功能,与有线局域网相比,WLAN具有移动性好、灵活性高、建网迅速、管理方便、扩展能力强等优点。无线局域网技术目前主要有两大阵营,即IEEE802.11系列标准和欧洲的HiperLAN。其中以IEEE802.11系列标准中的802.11b产品在目前占主导地位。
1.Wireless LAN WLAN is a LAN built with wireless communication technology.Though do not
无线局域网结课论文
用2.4GHz和5GHz这两个ISM频段。其中的2.4GHz的ISM频段为世界上绝大多数国家采用。
IEEE802.11b是无线局域网的一个标准。其载波的频率为2.4GHz传送速 度为11Mbit/s。IEEE802.11b是所有无线局域网标准中普及最广的标准。在2.4-GHz-ISM频段共有14个频宽为22MHz的频道可供使用。IEEE802.11b的后继标准是IEEE802.11g,其传送速度为54Mbit/s。
2.无线安全要素
无线环境安全性的定义可以归结为5个要素,即数据安全、访问控制、身份验证、加密和保障措施。它们显示为紧密集成相互依赖的组件。如图1所示。
图1 无线环境安全要素
2.1 数据安全
计算机网络的数据安全可以这样理解:通过技术和管理措施,确保网络数据的可用性、完整性和保密性。网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄露等。未经授权的用户如果登录到网络窃取数据,重要信息如遭到窃取或破坏,对经济、社会影响是巨大的。2.2 访问控制
访问控制是指按用户及定义组来限制用户对某些信息项的访问或对某些控制功能的使用。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。无线网络和有线网络一样存在访问控制方面的安全漏洞,很容易访问外部网络。最常见的攻击类型是使用无线网络接口卡漫游到可用的 802.11 网络,网络上的一切都变得容易受到攻击、盗窃或破坏、病毒等。2.3 身份验证
身份验证是指通过一定的手段,完成对用户身份的确认。身份验证的方法基本上可分为:基于共享密钥的身份验证、基于生物学特征的身份验证和基于公开密钥加密算法的身份验证。在大多数无线网络中,通常只配置一个账户,黑客(他自己的无线装置)可以很容易地登录一般帐户。2.4 加密
无线局域网结课论文
如果黑客不能直接登录到网络,他可以使用无线数据包嗅探器来监听网络流量。这样,即使黑客无法通过验证连接到网络,他还可以窃取敏感数据和监控。大多数无线路由器有一个内部网站,通过简单配置非常容易窃取数据、隐私。有线等效保密(WEP)协议是对在两台设备间无线传输的数据进行加密的方式,用以防止非法用户窃听或侵入无线网络。WEP工作在数据链路层和物理层,大多数无线路由器提供64和128位的加密密钥,不过密码分析学家已经找出WEP好几个弱点,因此被 WPA淘汰,后来又由完整的IEEE802.11i标准(又称为WPA2)所取代。2.5 保障措施
最好的保障是熟悉无线网络和无线路由器,建立一个至少在64位最好在128位水平的加密密钥。然而需要注意的是,一些无线网卡支持的加密水平较低。通常无线路由器本身可以表示无线局域网的流量,也有一些软件工具测量网络流量和每个连接的吞吐量。如果有大量的网络流量流经无线网络造成阻塞,可以跟踪路由器的每个连接,如有未知连接那么可能有人进入系统,确保帐户所有的网络流量,留意可疑活动,这种类型的保障类似于“入侵检测系统”,它提醒你有未经授权的访问尝试从外部源进入网络。防范措施
802.11使用跳频技术(FHSS),如确 定802.11的传输信号解码扩频码,就可以将它转化为可用的形式。这种形式通过限制无线设备的传播范围起到屏蔽设施的作用。例如,跳频扩频(FHSS)在发射器和接收器之间有超过75种跳频信号来锁定一些随机代码序列。跳频系统有上千个频率,可以组合成若干种跳频模式,由发射器指定代码类型,接收器检测跃点模式然后同步到发射机。通过在指定的时间间隔重置设备保持模式更改,通过模式更改即可使 FHSS 模式难以被检测到并以此侦听网络通信。
直接序列扩频(DSSS)直接用伪噪声序列对载波进行调制,将每个数据位分段的码片迁移到一个波形,通过几个不同的频率传输信号,接收器然后对原始数据信号进行混合解码。例如802.11b使用64字8 位代码段信号。当试图侦听该信号时,黑客看到的DSSS信号就象是宽带背景噪声。通过使用几个直接序列扩频信号,使其显示有重叠的802.11设备。虽然这不能防止窃听,但是很难从许多访问点中挑选出一个访问点,起到混淆的作用。
最好的方法是组合这两种类型的系统,以混淆任何潜在的攻击者。这是保护系统免受黑客窃听更好的方法。在处理跳频扩频(FHSS)时,黑客需要知道无线传输中使用的跳频模式)在处理直接序列扩频(DSSS)时,黑客需要知道码片代码或代码字出现在什么标准中。此外,无论哪种方法,黑客都必须要知道频无线局域网结课论文
段频率和调制正确解码传输的数据信号。保持802.11免受黑客攻击的主要因素是保密某些跳频模式或码片代码。如果黑客不知道这些还可以通过一些方法确定调制,黑客可以创建一个接收拦截器并读取网络信号。扩频技术使得黑客的侵入变得非常困难,所以802.11是一种合理安全的平台。扩频技术的整体概念是在一个大的频率范围内减少无线电信号传播对其他无线设备的干扰量。但是,信号仍有可能被黑客干扰。绝缘的建筑也可以一定程度阻隔攻击,无线电信号从无线局域网的墙外很难穿透或破坏网络。屏蔽材料不仅绝缘墙壁阻碍了干扰设备,而且可以让无线网络更加难以被侵入。
还有一种方法是避免使用无线电波改为使用红外传输。可以使用相同类型的无线连接,但需要在一定范围内使用红外发射器。这种类型的传输有许多局限,但是提供了一个思路,即无论采用什么方法,一个好的策略和配置可以在一定程度上保证无线网络的使用安全。
参考文献
目前WLAN主要指符合IEEE802.11x标准的无线局域网, IEEE802.11x系列中主要包含如下标准:IEEE802.11b、IEEE802.11a、IEEE802.11g。IEEE802.11x技术成熟度高、通信质量稳定、传输带宽宽, 成为了无线局域网 (WLAN) 的主要标准, 得到了广泛的应用。
从家庭、学校到电信运营商, 无线局域网 (WLAN) 成为宽带数据业务最主要的承载方式。尤其对于电信运营商而言, 它甚至成为数据业务竞争不可或缺的网络形式, 成为TD-SCDMA等3G业务的有效补充, 是数据业务最后一公里技术的最主要无线通信实现形式。
WLAN的主要应用场景有室内分布、室内放装和室外覆盖等。室内覆盖形式的优点是覆盖好, 信号稳定, 但其不足是工程量大、费用大、周期长。尤其对于一些特定的场景如商业街、学校、广场等的覆盖则必须依靠室外覆盖来解决。这样一来, 对于WLAN无线传播的研究分析就显得尤为重要, WLAN空间信道衰落模型、链路预算及平衡、覆盖模拟仿真等方面的研究将对WLAN室外覆盖的规划和优化提供指导依据。
本文针对WLAN空间信道衰落模型在不同覆盖情形下, 尤其是密集市区覆盖情形下的路径损耗进行了计算分析, 从而为WLAN的室外覆盖规划和优化提供无线信号空间传播衰落方面的依据。
2 WLAN标准的频率特性及技术特点
无线局域网 (WLAN) 目前主要包含有802.11a/b/g几种标准, 其主要频率特性及技术特点如表1:
802.11b/g主要用于无线接入点AP (Access Point) 和客户端STA (Sta-tion) 之间的高速数据传输, 802.11/a用于点与点之间的桥接等。
802.11b/g在各国使用和开通情况如表2所示。
802.11b/g工作频段划分参见图1。
信道1在频谱上和信道2、3、4、5都有交叠的地方, 为了最大程度的利用频段资源, 可以使用1、6、11;2、7、12;3、8, 13;4、9、14这4组互相不干扰的信道来进行无线覆盖。由于只有部分国家开放了12~14信道频段, 所以一般情况下, 都使用1、6、11三个非重叠信道来进行频率规划。
在考虑室外覆盖场景时, 涉及到的AP和STA之间的数据传输通信都是工作在2.4GHz频段, 因此下文中的WLAN相关分析将主要考虑2.4GHz频段的频率特性。
3 WLAN室外覆盖链路预算及平衡分析
3.1 WLAN室外覆盖链路预算的意义
链路预算是移动通信网络覆盖分析的重要手段, 广泛用于网络规划、优化和运维。链路预算用于网络覆盖分析的同时, 通过调整上下行链路预算中的各种参数达到上下行链路平衡, 扩大网络的覆盖范围并提高网络的覆盖质量。WLAN网络用于室外覆盖时, 链路预算及平衡分析关系到WLAN网络覆盖范围及传输质量, 是极其重要的。WLAN无线链路预算就是在保证覆盖质量的前提下, 确定基站/AP和终端/STA之间的无线链路所能允许的最大路径损耗, 包括上行链路预算和下行链路预算。无线链路预算能够指导规划小区半径设置、所需基站/AP的数量和站址布局。
3.2 WLAN上/下行链路预算与平衡分析
上行链路指终端/STA发、基站/AP收的通信链路。WLAN上行链路预算时主要考虑如下参数:终端/STA发射机EIRP (Effective Isotropic Radiated Power) , 基站/AP接收灵敏度, 各种增益:如AP和STA天线增益、AP分集接收增益等, 各种损耗:如馈线损耗等, 各种余量:如衰落余量、干扰余量等, 计算方法如下:
终端/STA发射机EIRP=终端/STA最大发射功率+终端/STA天线增益
最大路径损耗 (上行) =终端/STA发射机EIRP-基站/AP接收灵敏度+基站/AP天线增益+终端/STA天线增益+分集增益-馈线损耗-干扰余量-衰落余量
下行链路指基站/AP发、终端/STA收的通信链路。WLAN下行链路预算时主要考虑如下参数:基站/AP发射机EIRP (Effective Isotropic Radiated Power) , 终端/STA接收灵敏度, 各种增益:如AP和STA天线增益等, 各种损耗:如馈线损耗等, 各种余量:如衰落余量、干扰余量等, 计算方法如下:
基站/AP发射机EIRP=基站/AP最大发射功率+基站/AP天线增益-馈线损耗
最大路径损耗 (下行) =基站/AP发射机EIRP-终端/STA接收灵敏度+基站/AP天线增益+终端/STA天线增益-馈线损耗-干扰余量-衰落余量
上下行链路平衡是指上行链路允许的最大路径损耗和下行链路允许的最大路径损耗相一致, 如果下行链路预算覆盖区域大于上行链路预算覆盖区域, 将使得下行链路预算覆盖区域边缘的终端/STA信号不能有效上行, 造成系统实际覆盖区域受限于上行, 会与上行链路预算覆盖区域一致 (如图2) ;如果上行链路预算覆盖区域大于下行链路预算覆盖区域, 将使得上行链路预算覆盖区域边缘的终端/STA信号得不到基站/AP信号的有效覆盖, 造成系统实际覆盖区域受限于下行, 会与下行链路预算覆盖区域一致。上下行链路平衡的无线通信系统能保证稳定的通信质量, 避免因为链路失衡造成的通信故障和退服。
3.3 WLAN室外覆盖典型应用时的上/下行功率预算
表3和表4分别为WLAN室外覆盖典型应用时的下行和上行的功率预算表, 具体参数描述如下:
基站/AP采用A8室外覆盖基站, 最大发射功率为500m W。
终端/STA最大发射功率一般在50m W。
基站到天线馈线长1~2m, 损耗约为0.2d B。
天线选用两种, 增益19d Bi和14d Bi的双极化天线, 前者适用于定向覆盖, 后者适用于全向覆盖 (四扇区方式) 。
目前使用的WLAN终端/STA有各种不同的上网卡、手机终端等, 其接收灵敏度对应不同的数据速率而不同, 其典型值为:
54M:-68d B@10%PER、11M:-85d B@8%PER、1M:-90d B@8%PER.
采用服务数据速率为1M时的灵敏度:-90d B作为功率预算的参数。
A 8基站在服务数据速率为1 M时的灵敏度 (典型值) :-95d B
终端/STA天线增益为2d B。
基站天线分集增益4d B。
信号衰落余量11d B。
干扰余量3d B。
3.4 WLAN室外覆盖距离分析
由表3和表4的计算结果表明:WLAN典型室外覆盖场景中, 上行链路允许的最大路径损耗为123d B或118d B (分别对应19d Bi或14d Bi基站天线) , 下行链路允许的最大路径损耗为123.8d B或118.8d B (分别对应19d Bi或14d Bi基站天线) , 下行链路预算覆盖区域略大于上行链路预算覆盖区域, 上下行链路基本上是平衡的。从信号覆盖的角度考虑, 当路径损耗在120~130d B时, WLAN室外覆盖区域内至少可以达到1M数据速率的服务水平。
当WLAN系统最大允许路径损耗在120~130d B时, 系统覆盖能达到多远呢?这需要结合WLAN所在2.4GHz频段的空间信号传播模型来分析。
在密集城区, WLAN (802.11b/g) 工作在2.4GHz频段, 传播模型可使用如下COST231 Hata修正模型:
PL (d B) =46.3+33.9log10f-13.82log10Ht-α (Hr) + (44.9-6.55log10Ht) log10d+Cm
其中α (Hr) =3.2 (log1011.75Hr) 2-4.97
各参数描述如下:
f (MHz) :工作频率;
Ht (m) :基站/AP天线有效高度, 定义为基站/AP天线实际海拔高度与天线传播范围内的平均海拔高度之差;
Hr (m) :终端/STA有效天线高度, 定义为终端/STA天线高出地表的高度。
d (km) :基站/AP天线和终端/STA天线之间的水平距离;
α (Hr) :有效天线修正因子, 是覆盖区大小的函数, 其数字与所处的无线环境相关。
Cm修正因子取值如下:
密集城区 (Dense Urban) :-3一般城区 (Urban) :-6
郊区 (Suburb) :-12农村 (Rural) :-20
图3是AP天线高度Ht=30m, STA高度Hr分别为1m、10m、25m, 距离d从100m到1 500m时, 在密集城区的WLAN信号路径损耗如图3。
可见, 在密集城区, 当基站/AP天线高度30m, 终端/STA天线高度为1m (对应覆盖区内街道层或楼房底层) , WLAN空间路径损耗在传输距离为300m时达到120d B, 空间路径损耗在传输距离为500m时达到130d B。也就是说, 当系统允许的最大路径损耗为123d B (或118d B) 时, WLAN室外覆盖传输距离将局限在300m~500m。
通过对以上WLAN无线链路功率预算分析可以看到, 在现行的WLAN室外覆盖系统中, 系统上下行链路允许的最大路径损耗在120~130d B, 这时能实现最低1M数据速率的无线传输。结合路径损耗与传输距离的分析, WLAN室外覆盖在使用大功率基站/AP和高增益天线时, 在密集城区, 覆盖半径可达300~500m。因此, 在进行WLAN室外覆盖规划时, 可以此结果作为覆盖半径规划的参考, 合理地计算基站/AP数量, 并布局基站/AP位置。同时可进行立体网布局, 实现定向覆盖, 基站/AP分层覆盖, 低天线高度的AP负责街道、广场和低楼层覆盖;高天线高度的AP负责对较高楼层的覆盖, 从而实现有效的WLAN信号覆盖, 另外, 上下行无线链路的平衡是覆盖区域一致性的保证, 是非常重要的因素。
4 总结
本文分析了无线局域网WLAN无线通信中上下行链路功率预算的方法, 对现行的WLAN室外覆盖系统的上下行无线链路进行了功率预算计算, 结果表明:在WLAN所在的2.4GHz工作频段, 系统上下行允许最大路径损耗在120~130d B;结合WLAN所在2.4GHz频段的无线路径损耗计算结果, 可以看到, 在密集城区在当使用大功率基站/AP以及高增益天线时, WLAN室外覆盖半径可达300~500m。最后, 本文为无线局域网WLAN的室外覆盖场景应用提供了有价值的规划布局建议:以本文计算的覆盖半径作为规划的参考, 合理计算基站/AP数量, 布局基站/AP位置, 同时考虑多层次立体网布局和改善系统上下行平衡可以有效实现WLAN系统的室外覆盖。
摘要:文章介绍了无线局域网WLAN所用IEEE802.11x标准的技术特点和频率特性, 分析了无线通信中上下行链路功率预算的方法, 并对现行的WLAN室外覆盖系统的上下行无线链路进行了功率预算。计算结果表明:在WLAN所在的2.4GHz频段, 系统上下行链路允许的最大路径损耗为120130dB;结合WLAN所在2.4GHz频段的无线路径损耗计算结果, 可以得到以下结论:当使用大功率基站/AP以及高增益天线时, 在密集城区, WLAN室外覆盖半径可达300~500m。最后, 文章为无线局域网WLAN的室外覆盖场景应用提供了有价值的规划布局建议:以该文计算的覆盖半径作为规划的参考依据, 合理计算基站/AP数量, 布局基站/AP位置, 同时考虑多层次立体网布局并改善系统上下行平衡, 可以有效地实现WLAN系统的室外覆盖。
关键词:无线局域网WLAN,链路预算,路径损耗,覆盖半径,WLAN室外覆盖规划
参考文献
[1] IEEE Std 802.11TM-2007.Wireless LAN medium access control (MAC) and physical layer (PHY) specifications, 2007
[2] IEEE Std 802.11a-1999 (R2003) .High-speed physical layer in the 5 GHz Band, 2003
[3] IEEE Std 802.11b-1999 (R2003) .Higher-speed physical layer extension in the 2.4 GHz band, 2003
[4] IEEE Std 802.11gTM-2003.Further higher data rate extension in the 2.4 GHz band, 2003
[5]刘乃安.无线局域网 (WLAN) ——原理、技术与应用[M].西安:西安电子科技大学出版社, 2004
Wi-Fi与蓝牙
根据目前的无线技术状况,目前可以通过红外、蓝牙及802.11b/a/g三种无线技术组建无线办公网络。红外技术的数据传输速率仅为115.2Kbps,传输距离一般只有1米;蓝牙技术的数据传输速率为1Mbps,通信距离为10米左右;而802.11b/a/g的数据传输速率达到了11Mbps,并且有效距离长达100米,更具有“移动办公”的特点,可以满足用户运行大量占用带宽的网络操作,基本就像在有线局域网上一样。所以802.11b/a/g比较适合用在办公室构建的企业无线网络(特别是笔记本电脑)。
从成本来看,802.11b/a/g也比较廉价,因为目前很多笔记本一般都为迅弛平台,本身就集成了802.11b/a/g无线网卡,用户只要够买一台无线局域网接入器(无线AP)即可组建无线网络。蓝牙根据网络的概念提供点对点和点对多点的无线连接。在任意一个有效通信范围内,所有设备的地位都是平等的。当然,从另一个角度来看,蓝牙更适合家庭组建无线局域网。
Wi-Fi无线网络方案
Wi-Fi无线组网原理
在组建Wi-Fi无线网络前,需要准备无线网卡和无线AP,如果电脑本身不具备无线网卡,那么可以购买相同协议的PCMICA、USB等接口的802.11b无线网卡(如图1),目前这类无线网卡价格都在200元内。另一个就是无线AP的选择了,建议这类用户选择小型办公使用的USB无线AP(如图2),价格在500至800元左右。不过建议商务办公的性质,如果预算比较充裕,尽量购买功能和性能强一些的无线AP,这关系到商务办公电脑上网的稳定性和安全性。
在实际组建当中,比如有5台电脑,其中1台(1号)放在单独里面的一间房间里,另外4台在办公的大房间里(分别为2号、3号、4号),并且使用ADSL拨号的电话也在1号机器上。因此,将无线AP安装到1号机器上,其它机器通过无线网关连接到1号机器的AP上组成无线网络(如图3)。
无线网络轻松装
设备准备好后,接下来就需要将设备安装并配置。首先是无线网卡的安装,不管是使用笔记本内置无线网卡,还是通过扩展安装无线网卡,首先需要安装好无线网卡的驱动程序。一般而言,在Windows XP下无线网卡无需安装驱动,系统可自动识别无线网卡。但对兼容性的考虑,还是建议安装网卡自身的最新驱动(如图4)。
接下来进行无线网络的安装,最新版本的Windows XP SP2中对无线的支持也有很大程度的提高。Windows XP SP2中对于无线网络的支持,主要从安全和易用性两个方面进行了加强。首先在Windows XP中安装最新版SP2补丁,然后进入“控制面板”的“无线网络安装向导”(如图5)。
点“下一步” 进入“创建无线网络名称”窗口。在“网络名”中输入SSID名称(比如alo),SSID主要用来区别不同的无线网络,请根据自己的情况进行设置。如果选择“自动分配网络密匙”选项,Windows将自动创建密匙(推荐),如果点选“手动分配网络密匙” 选项,那么将需要自己添加密匙。如果你确认自己的所有无线设备都支持WPA,请勾选“使用WPA加密,不使用WEP”(如图6)。和WEP相比,WPA加密的安全性更高,不过由于是新出现的标准,所以有可能部分设备和WPA不兼容。
点“下一步”进入“创建无线网络方法选择”窗口。Windows XP SP2中的“无线网络安装向导”提供了两种方法来创建无线网络:使用USB闪存驱动器和手动设置网络(如图7)。手动设置网络需要你手工为无线设备设置相应参数。笔者不建议在Windows XP SP2中采用“手动设置网络”,除非无线设备不支持微软的WSNK快速配置。如果无线设备不支持WSNK快速配置,就在选中“手动设置网络”后,按下“下一步”,选择“打印网络设置”(如图8),然后根据打印信息到相应的无线设备上进行手工设置(如图9)。
选择“使用USB闪存驱动器”点“下一步” Windows XP SP2借助于USB闪存驱动器可以自动、快速地完成无线网络的配置,首先将把USB闪存盘与电脑连接好,然后在“将设置保存到闪存驱动器”窗口中,选择USB闪存盘的盘符(如图10),就可以制作一个可以自动配置其他无线网络设备的USB盘。
当出现“将您的网络设置传送到其他计算机或设备”窗口时,将闪存盘从此计算机取出,插入其他须要配置的无线访问点。如果无线设备支持WSNK,则可以自动配置,并在配置完毕后闪三下(如果没有闪三下,请等待30秒)。当所有无线访问点配置完毕后,把闪存盘插回原来的计算机,并在“无线网络安装向导”中点击下一步(如图11),弹出设置成功窗口,此时你所设置的所有“网络设备”都会在该窗口中显示。
无线网络配置技巧
接下来,为每台电脑的无线网卡设置一个IP地址(如192.168.168.1、192.168.168.2、192.168.168.3……),如果此时已经安装好了无线AP,那么无线网卡将会自动搜索无线AP,最初无线网卡会搜索到一个无线接入点,由于这个连接没有使用WEP加密,因此这个连接是不安全的,系统会提示你是否要连接(如图12)。
用USB线将AP连接到1号机器上,将ADSL拨号的网线接到无线AP的LAN接口,然后将无线AP的电源连接好,打开无线AP电源开关,此时可以看到无线AP的工作指示灯亮了。系统开始搜索设备,安装好无线AP驱动和管理软件,接着开始搜索IP地址。找到IP地址后按“确定”结束搜索(如图13)。
无线网络的安全
目前,无线网络最令人不放心的因素便是安全问题。虽然通过WEP或WPA加密、禁用SSID广播等措施可以对无线网络进行加密设置,保护网络的安全,但无线网络还是非常脆弱。
在安装SP2之后,通过它所提供的增强型防火墙功能可以为无线网络保驾护航,让无线网络密不透风。首先,打开“控制面板”中的“网络连接”,右键点击已经建立的“无线网络连接”,选择“属性”打开属性窗口。接着选择“高级”选项卡,在“Windows防火墙”区域点击“设置”按钮打开“Windows防火墙”窗口,在“常规”选项卡中选择“启用” (如图14)。
在“例外”选项卡中能够添加可以访问网络的“例外程序”和服务,比如MSN Messenger、QQ等等(如图15)。此外,点击“添加程序”按钮还可以添加其他要访问网络的程序,比如泡泡堂、UC等;点击“添加端口”按钮可以添加要访问网络的端口号,包括TCP和UDP端口。接下来在“高级”选项卡中,选中“无线网络连接”。最后,点击“确定”按钮就可启用无线网络的防火墙。
在Windows XP当中,要设置802.1x身份验证,可打开网络连接。 右键单击要为其启用或禁用 IEEE 802.1x 身份验证的连接,然后单击“属性”。 在“身份验证”选项卡上,要为此连接启用 IEEE 802.1x 身份验证,请选中“使用 IEEE 802.1X 的网络访问控制”复选框。默认情况下将选中此复选框。在“EAP类型”中,单击要用于此连接的“可扩展的身份验证协议”类型。
当然,我们最好能采用无线AP自带的安全功能,进入无线AP软件管理界面,进入“无线设置”界面,在“SSID”文本框中可以输入该无线网络服务设置标识(即无线网络名称),该标识不能超过32位字符;在“Channle”项中选择该无线网络使用的频道,一般会提供1至13个频道供我们选择,在此可以根据需要进行选择。最后单击“OK”按钮设置生效(如图16)。当然,这里还可以设置IP、加密等信息,这些都可以在无线AP的管理软件里设置。
蓝牙无线网络方案
蓝牙无线组网原理
首先每台电脑准备必须具备蓝牙功能,如果没有,可以购买USB接口的蓝牙适配器,价格在200元左右,其次需要购买一个蓝牙无线接入点,价格在600元左右。在蓝牙组建局域网中有两种组网方式:一种是PC对PC组网;另一种是PC对蓝牙接入点的组网。
对于PC对PC组网方式,可以用蓝牙适配器来让两台电脑共享互联网络连入。其中的一台电脑通过网卡连接ADSL MODEM等接入设备已经能访问Internet,装上蓝牙USB适配器,把它当作一台Internet共享的代理服务器。其它配有蓝牙USB适配器的电脑当作客户端可以通过它访问Internet,也可以共享其它资源。这种方案也是蓝牙技术在家庭组网方案中最具有代表性和最普遍采用的方案(如图17)。
对PC对蓝牙接入点的组网,蓝牙接入点(蓝牙网关)通过RJ45与ADSL MODEM等宽带接入设备相连。其它要接入网络的电脑均安装有蓝牙适配器,一个蓝牙网关最多可连接7台这样的电脑。这里的蓝牙接入点的功能就如同上个方案中的Internet代理服务器。这个方案的组网拓朴类似Wi-Fi无线接入点组网(如图18)。
蓝牙无线网络设置
以PC对蓝牙接入点的组网为例,首先我们做好蓝牙接入点与宽带接入设备的连接,并给电脑插入USB蓝牙适配器,并为USB蓝牙适配器安装好驱动程序。这样电脑就可以通过浏览器以蓝牙接入点预设的IP访问蓝牙接入点,再继续根据自己的宽带接入类型,为蓝牙接入点设置相应的IP,DNS参数就可以上网了。当然电脑本身也要相应设置IP段的IP,网关(蓝牙接入点IP)和DNS等。IP、网关等参数和以上的WIFI无线网络组建设置方法基本一致。
双击电脑屏幕右下角的蓝牙图标启动“我的蓝牙位置”(如图19),会弹出一个叫BLUETOOTH CONFIGURATION的窗口,显然,这是用来配置这个无线传输器的窗口。点击“蓝牙设置向导”。选择“我知道我需要的服务和我要找提供服务的蓝牙设备”。按“下一步”,在出现的“蓝牙服务选择”对话框中选择“网络访问”。按“下一步”开始搜索附近的蓝牙设备(蓝牙接入点)。选中“开始连接”单选钮。最后按“结束”即可。
接下来点击桌面上的图标,可以进入一个目录,上面又有两个图标,分别是SEARCH FOR DEVICES和LOCAL DEVICE。显然,前者是搜寻在10米通信范围内的一切蓝牙设备,包括另外的一个(甚至几个)USB无线传输器,蓝牙手机以及其他的使用了蓝牙技术的通信设备;而后者是用来配置和控制本地这个蓝牙无线传输器的。下面点击SEARCH FOR DEVICES这个图标,很快,就找到了在另外一台电脑上安装的另外一个无线传输器,而那台电脑的机器名叫SKY(如图20)。
接下来进入LOCAL DEVICE这层子目录,可以看到七个图标(如图21),分别是蓝牙串行端口,拨号网络,传真,网络连接,文件传输,信息交换和信息同步。其中图标上没有红叉的表示已经启动了,而有红叉的则说明该项服务无法启用。
无线网络的安全
《计算机网络》课程论文
题目:无线局域网
专业班级:
通信技术(2)
学生姓名:
余春联
学
号: 0932002237
授课教师:
叶承琼
页 1 安徽新华学院2011年10月30日星期日
引言
在这个“网络就是计算机”的时代,伴随着有线网络的广泛应用,以快捷高效,组网灵活为优势的无线网络技术也在飞速发展。无线局域网是计算机网络与无线通信技术相结合的产物。从专业角度讲,无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信,并为通信的移动化、个性化和多媒体应用提供了可能。通俗地说,无线局域网(Wireless local-area network,WLAN)就是在不采用传统缆线的同时,提供以太网或者令牌网络的功能。通常计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。但有线网络在某些场合要受到布线的限制:布线、改线工程量大;线路容易损坏;网中的各节点不可移动。特别是当要把相离较远的节点连接起来时,敷设专用通信线路的布线施工难度大、费用高、耗时长,对正在迅速扩大的联网需求形成了严重的瓶颈阻塞。无线局域网就是解决有线网络以上问题而出现的。
关键字:无线局域
无线网卡
无线AP
扩频
蓝牙
Home RF
]
页 2 安徽新华学院2011年10月30日星期日
目录
第一章无线局域网概述.............................................................................4
1.1无线网络历史与使用技术...........................................................4 1.2无线局域网标准体系....................................................................5
1.2.1 IEE802.11协议族.................................................5
第二章 无线局域网技术介绍...................................................................7
2.1无线局域网定义..............................................................................7 2.2 无线局域网的优点........................................................................7 2.3无线局域网的结构.........................................................................8 2.4 无线局域设备.................................................................................8
2.4.1 无线网卡...............................................................8 2.4.2无线AP..................................................................8 2.4.3无线路由................................................................9 2.4.4无线网桥................................................................9 2.4.5无线天线..............................................................10 2.4.6其他无线网络设备..............................................10
第三章 无线局域网关键技术.................................................................11
3.1 扩频技术.........................................................................................11 3.2蓝牙技术..........................................................................................12 3.3红外技术..........................................................................................12 3.4 Home RF.........................................................................................13 结束语.....................................................................................................14 参考文献.................................................................................................15
页 3 安徽新华学院2011年10月30日星期日
第一章 无线局域网概述
一般而言,凡是采用无线传输的计算机局域网都可以称为无线局域网(Wireless Local Area Network ,WLAN)。它是指应用无线通信技术将计算机设备互联起来,构成可以相互通信和实现资源共享的网络体系。无线局域网本质的特点是不再使用通信电缆将计算机与网络连接起来,而是通过无线的方式连接,从而使用网络的构建和终端的移动更加灵活。
无线局域网是计算机网络与无线通信技术相结合的产物。它利用射频(radio frequency,RF)技术,取代旧式的有线构成的局域网网络;从专业角度讲,无线局域网利用了无线多址信道的一种有效方法来支持计算机之间的通信,并为通信的移动化、个性化和多媒体应用提供了可能。通俗的说,无线局域网(Wireless Local Area Network ,WLAN)就是在不采用传统缆线的同时,提供以太网或者令牌网络的功能。
1.1无线网络历史与使用技术
说到无线网络的历史起源,可能比各位想像的还要早。无线网络的初步应用,可以追溯到五十年前的第二次世界大战期间,当时美国陆军采用无线电信号做资料的传输。他们研发出了一套无线电传输科技,并且采用相当高强度的加密技术。当初美军和盟军都广泛使用这项技术。这项技术让许多学者得到了灵感,在1971年时,夏威夷大学(University of Hawaii)的研究员创造了第一个基于封包式技术的无线电通讯网络,这被称作ALOHNET的网络,可以算是相当早期的无线局域网络(WLAN)。这最早的WLAN包括了7台计算机,它们采用双向星型拓扑(bi-directional star topology),横跨四座夏威夷的岛屿,中心计算机放置在瓦胡岛(Oahu Island)上。从这时开始,无线网络可说是正式诞生了。虽然目前几乎所有的局域网络(LAN)都仍旧是有线的架构,不过近年来无线网络的应用却日渐增加,主要应用在学术界(像是大学校园)、医疗界、制造业和仓储业等,而且相关的技术也一直在进步,对企业而言要转换到无线网络也更加容易、更加便宜了。
目前,使用的比较广泛的近距离无线通信技术有蓝牙(Bluetooth)、无线IEE802.11(Wi-Fi)和红外线数据传输(IrDA)。此外,还有一些具有发展潜力的近距离无线技术标准,它们分别是ZigBee、超宽频(ultra wideband)、短距通信(NFC)、WiMedia、GPS、DECT和专用的无线系统等。
页 4 安徽新华学院2011年10月30日星期日
1.2无线局域网标准体系
无线局域网(Wireless Local Area Network ,WLAN)技术反正至今,主要为两大类:IEE802.11标准和欧洲邮电委员会(CEPT)制定的HIPERLAN(High Performance Radio LAN)标准体系。IEE802.11标准是由面向数据的计算机局域网发展而来的,网络采用无线连接的协议,目前市场上的大部分产品都是按这个标准开发的;与之对抗的HIPERLAN-2标准则是基于连接的无线局域网。致力于面向语音的蜂窝电话,这个网络标准还在完善之中,所以暂时还少有产品上市;现在市场上主要的运用IEE802.11标准。这里主要介绍的是IEE802.11系列的标准体系。
IEE802.11标准的制定始于1987年,当初是在802.4L小组作为令牌总线上网一部分来研究的。其主要目的是用作工厂设备通信和控制设施。1990年,IEE802.11小组正式独立出来。专门从事制定WLAN的物理层和MAC层标准。1991年5月,IEE802.11工作组成立,1997年6月26 日,IEE802.11标准制定完成,并在同年11月份正式发布。该标准运行在2.4GHz的ISM(Industrial Scientific and Medical)频段。采用扩频通信技术,支持1Mb/s和2Mb/s数据速率。1999年推出的IEE802.11a标准运行在U-NII(Unlicensed National Information Infrastructure)频段。采用OFDM(Orthogonal Frequency Division Multiplexing)调制技术,支持高达54Mb/s的数据速率。以及后来发展的IEE802.11x标准是第一代无线网络标准之一,对无线网络技术的发展和应用起到了重要的推动作用,促进的不同厂家的无线网络产品的互通。
1.2.1 IEE802.11协议族
(1)802.11a
802.11a采用正交频分(OFDM)技术调制数据,使用5GHz的频带。OFDM技术将无线信道分成以低数据速率并行传输的分频率,然后在将这些频率一起放回接受端,可提供25Mbit/s的无线ATM接口和10Mbit/s的以太网无线帧结构接口,以及TDD/TDMA的空中接口。在很大程度上可提高传输速率,改进信号质量,克服干扰。物理层速率可达54Mbit/s,传输层可达到25Mbit/s,能满足室内及室外的应用。(2)802.11b 802.11b也被称为Wi-Fi技术,采用补码键控(CCK)调制方式,使用2.4GHz频带,其对无线局域网通信的最大贡献是可以支持两种速率--5.5Mbit/s和11Mbit/s。多速率机制的介质访问控制可确保当工作站之间距离过长或干扰太大、信噪比低于某个门限制时,传输速率能
页 5 安徽新华学院2011年10月30日星期日
过从11Mbit/s自动降到5.5Mbit/s,或根据直序扩频技术调整到2Mbit/s和1Mbit/s。在不违反FCC规定的前提下,采用跳频技术无法支持更高的速率,因此需要选择DSSS作为该标准的唯一物理层技术。(3)802.11g 2001年11月。在802.11 IEEE会议上形成了802.11g标准草案,目前是在2.4GHz频段实现802.11a的速率要求。该标准将2003年初获得批准。802.11g采用PBCC和CCK/OFDM调制方式。使用2.4GHz频段,对现有的802.11b系统向下兼容。它既能适应传统的802.11b标准(在2.4GHz频段下提供的数据传输率为11Mbit/s),也符合802.11a标准(在5GHz频率下提供的据传输率为56Mbit/s),从而解决了对已有的802.11b设备的兼容。用户还可以配置与802.11a、802.11b以及802.11g均互相兼容的多方式无线局域网,有利于促进无线网络市场的发展。
(4)其他相关协议
IEEE802工作组今后将继续对802.11系列协议进行探讨,并计划推出一系列用于完善无线局域网应用的协议,其中主要包括802.11e(定义服务质量和服务类型)、802.11f(AP间协议)、802.11h(欧洲5GHz规范)、802.11i(增强的安全性&认证)、802.11j(日本的4.9GHz规范)、802.11k(高层无线/网络测量规范)以及高吞量研究组的相关协议等。
页 6 安徽新华学院2011年10月30日星期日
第二章 无线局域网技术介绍
2.1无线局域网定义
无线局域网络(Wireless Local Area Networks; WLAN)是相当便利的数据传输系统,它利用射频(Radio Frequency; RF)的技术,取代旧式碍手碍脚的双绞铜线(Coaxial)所构成的局域网络,使得无线局域网络能利用简单的存取架构让用户透过它,达到「信息随身化、便利走天下」的理想境界。
2.2 无线局域网的优点
与有线网络相比,无线局域网具有以下优点:(1)安装便捷。
一般在网络建设中,施工周期最长、对周边环境影响最大的,就是网络布线施HIH工程,在施工过程中,往往需要破墙掘地、穿线架管。而无线局域网最大的优势就是免去或减少了网络布线的工作量,一般只要安装一个或多个接入点AP(Access Point)设备,就可建立覆盖整个建筑或地区的局域网络。(2)使用灵活。
在有线网络中,网络设备的安放位置受网络信息点位置的限制,而一旦无线局域网建成后,在无线网的信号覆盖区域内任何一个位置都可以接入网络。(3)经济节约。
由于有线网络缺少灵活性,这就要求网络规划者尽可能地考虑未来发展的需要,这就往往导致预设大量利用率较低的信息点,而一旦网络的发展超出了设计规划,又要花费较多费用进行网络改造,而无线局域网可以避免或减少以上情况的发生。(4)易于扩展。
无线局域网有多种配置方式,能够根据需要灵活选择。这样,无线局域网就能胜任从只有几个用户的小型局域网到上千用户的大型网络,并且能够提供像“漫游(Roaming)”等有线网络无法提供的特性,由于无线局域网具有多方面的优点,所以发展十分迅速。在最近几年里,无线局域网已经在医院、商店、工厂和学校等不适合网络布线的页 7 安徽新华学院2011年10月30日星期日
场合得到了广泛应用。
2.3无线局域网的结构
(1)网桥连接型:不同的局域网之间互联时,由于物理上的原因,若采取有线方式不方便,则可利用无线网桥的方式实现二者的点对点连接,无线网桥不仅提供二者之间的物理与数据链路层的连接,还为两个网的用户提供较高层的路由与协议转换。
(2)基站接人型:当采用移动蜂窝通信网接入方式组建无线局域网时,各站点之间的通信是通过基站接人、数据交换方式来实现互联的。各移动站不仅可以通过交换中心自行组网,还可以通过广域网与远地站点组建自己的工作网络。
(3)HUB接人型:利用无线Hub可以组建星型结构的无线局域网,具有与有线Hub组网方式相类似的优点。在该结构基础上的WLAN,可采用类似于交换型以太网的工作方式,要求Hub具有简单的网内交换功能。
2.4 无线局域设备 2.4.1 无线网卡
网卡(network interface card , NIC)又被称为网络适配器(network interface adapter),网卡是连接计算机和网络电缆之间的基础设备,它能够为计算机之间相互通信提供一条物理通道,并通过这条通道进行数据传输。
网卡又分为有线和无线之分,无线网卡的作用类似于以太网中的网卡(即有线网卡),作为无线网络的接口,实现与无线网络的连接。无线网卡根据接口类型的不同,主要分为三种类型,即PCMCIA无线网卡,PCI无线网卡和USB无线网卡。
2.4.2无线AP 无线AP(Access Point)即无线接人点,它是用于无线网络的无线交换机,也是无线网络的核心。无线AP是移动计算机用户进入有线网络的接入点,主要用于宽带家庭、大楼内部以及园区内部,典型距离覆盖几十米至上百米,目前主要主要技术为802.11系列。大多数无线AP还带有接入点客户端模式(AP client),可以和其它AP进行无
页 8 安徽新华学院2011年10月30日星期日
线连接,延展网络的覆盖范围。
无线AP(AP,Access Point,无线访问节点、会话点或存取桥接器)是一个包含很广的名称,它不仅包含单纯性无线接入点(无线AP),也同样是无线路由器(含无线网关,无线网桥)等类设备的统称。
2.4.3无线路由
无线路由器:无线路由器是单纯型AP与宽带路由器的一种结合体;借助于路由器功能,可实现通过无线网络与Internet连接共享,实现ADSL和小区宽带的无线共享接入,另外,无线路由器可以把通过它进行无线和有线连接的终端都分配到一个子网,这样子网内的各种设备交换数据就非常方便。
无线路由器可广范应用于金融、保险、电力、监控、交通、气象、水文监测等行业。无线路由器借助CDMA,GPRS等无线网络在公用移动网络覆盖的条件下,原先采用以太网接口,依靠有线以太网通信系统的各个终端设备,如PC机、工控机、ATM机、POS机、网络摄像机等,都可以很方便地通过无线路由器接入到GPRS/CAMA 1X网络中,利用移动互联网提供的数据服务来进行数据通信。随着现在越来越多的公司深入研究WIFI WIMAX的技术,使得无线路由的应用也越来越广。
现阶段无线路由的开发处于一个飞速发展的阶段,无线模式由2.4G时代开始进入5G网络,由B过渡的B and G至现在的B/G/N模式,在无线网络需求越来越大的现在,无线路由产品的研发已经进入一个升华的发展阶段。
2.4.4无线网桥
无线网桥是为使用无线(微波)进行远距离数据传输的点对点网间互联而设计。从作用上来理解无线网桥,它可以用于连接两个或多个独立的网络段,这些独立的网络段通常位于不同的建筑内,相距几百米到几十公里。所以说它可以广泛应用在不同建筑物间是互联。同时,根据协议不同,无线网桥又可以分为2.4GHz频段的802.11b或802.11G以及采用5.8GHz频段的802.11a无线网桥。无线网桥有三种工作方式,点对点,点对多点中继连接。特别适用于城市中的远距离通讯。它有2种接入方式,IP+E1双接口接入。
在无高大障碍的条件下,一对速组网和野外作业的临时组网。其作用距离取决于环境和天线,现7km的点对点微波互连,一对27dbi的定向天线可以实现10km的点对点微波互连。12dbi的定向天线可以
页 9 安徽新华学院2011年10月30日星期日
实现2km的点对点微波互连;一对只实现到链路层功能的无线网桥是透明网桥,而具有路由等网络层功能、在网络24dbi的定向天线可以异种网络互联的设备交无线路由器,也可作为第三层网桥使用。无线网桥通常是用于室外,主要用于连接两个网络,使用无线网桥不可能只使用一个,必须两个以上,而AP可以单独使用。无线网桥功率大,传输距离远(最大可达约50km),抗干扰能力强等,不自带天线,一般配备抛物面天线实现长距离的点对点连接。
现在市面上已经出现了802.11n的无线网桥,传输速率可达到300Mbps以上。不过由于各种因素是影响,实际速率远远低于商家标榜的数值。但相对于11g的速率的确提高了很多,这也使得我们要求高宽带,高传输速率成为可能。随着技术的不断发展,相信有更好的新产品会随着新技术的出现而衍生出来。
2.4.5无线天线
天线是将传输线中的电磁能转化为自由空间的电磁波,或空间电磁波转化成传输线中的电磁专用设备。
天线的分类标准很多,一般按照天线的辐射和接受水平面的方向性可分为定西和全向天线。全向天线具有较大的覆盖区域,而定向天线则具有较大的信号强度。另外,在介于这两种之间的就是扇面天线,它具有能量定向聚焦的功能,可以在水平不同的角度范围内进行有效覆盖。
天线的主要特性指标包括了:方向图、方向性参数、天线增益、输入阻抗、电压驻波比(voltage standing wave ratio,VSWR)、频率范围等。
2.4.6其他无线网络设备
除了以上的主要无线网络设备外,还有众多的设备;比如:AP控制器、无线交换机等,它们在实际的应用中都各有特点。
页 10 安徽新华学院2011年10月30日星期日
第三章 无线局域网关键技术
3.1 扩频技术
扩展频谱通信(Spread Spectrum Communication)简称扩频通信,其特点是传输信息所用的带宽远大于信息本身带宽。扩频通信技术在发端以扩频编码进行扩频调制,在收端以相关解调技术收信,这一过程使其具有诸多优良特性:
1、抗干扰性能好:它具有极强的抗人为宽带干扰、窄带瞄准式干扰、中继转发式干扰的能力,有利于电子反对抗。如果再采用自适应对消、自适应天线、自适应滤波,可以使多径干扰消除,这对军用和民用移动通信是很有利的。
2、隐蔽性强、干扰小:因信号在很宽的频带上被扩展,则单位带宽上的功率很小,即信号功率谱密度很低。信号淹没在白噪声之中,别人难于发现信号的存在,再加之不知扩频编码,就更难拾取有用信号。而极低的功率谱密度,也很少对其它电讯设备构成干扰。扩频通信技术把被传送的信号带宽展宽,从而降低了系统在单位频带内的电波“通量密度”,这对空间通信大有好处。国际无线电咨询委员会及国际电信联盟规定了空间通信系统在地面上产生“通量密度”的国际标准,以防止对地面通信的干扰。例如规定在S波段内每4KHz频带内“通量密度”为-154dB/m2。
3、易于实现码分多址:扩频通信占用宽带频谱资源通信,改善了抗干扰能力,是否浪费了频谱资源呢?其实正相反,是提高了频带的利用率。正是由于扩频通信要用扩频编码进行扩频调制发送,而信号接收需要用相同的扩频编码之间的相关解扩才能得到,这就给频率复用和多址通信提供了基础。充分利用不同码型的扩频编码之间的相关特性,分配给不同用户不同的扩频编码,就可以区别不同用户的信号,众多用户,只要配对使用自己的扩频编码,就可以互不干扰地同时使用同一频率通信,从而实现了频率复用,使拥挤的频谱得到充分的利用。
4、数模兼容:可以传输数字信号,也可以传输模拟信号。常规的无线电通信是在频率上分配(称为频分)或从时间上分配(称为时分)给通信用户,使之在频段上或时间上互不相同,以使彼此互不干扰共用频谱资源。扩频通信是以各用户使用不同的扩频编码来共用同一频率。采用扩频通信多址方式的频谱利用率高于采用频分多址方式的频谱利用率。而且扩频码分多址还易于解决增加新用户的问题。
页 11 安徽新华学院2011年10月30日星期日
扩频系统的缺点 :
1.系统用频带宽。
2.相对于FDMA、TDMA多址方式,采用扩频技术的CDMA多址方式在移动通信的系统实现更为复杂。
扩频技术的研究现状:
扩频技术由于其本身具备的优良性能而得到广泛应用,到目前为止,其最主要的两个应用领域仍是军事抗干扰通信和移动通信系统,而跳频系统与直扩系统则分别是在这两个领域应用最多的扩频方式。一般而言,跳频系统主要在军事通信中对抗故意干扰,在卫星通信中也用于保密通信,而直扩系统则主要是一种民用技术。
对跳频系统的分析,现在仍集中在其对抗各种干扰的性能方面,如对抗部分边带干扰以及多频干扰等。而直扩系统,即DS-CDMA系统,在移动通信系统中的应用则成为扩频技术的主流。欧洲的GSM标准和北美的以CDMA技术为基础的IS-95都在第二代移动通信系统(2G)的应用中取得了巨大的成功。而在目前所有建议的第三代移动通信系统(3G)标准中(除了EDGE)都采用了某种形式的CDMA。因此CDMA技术成为目前扩频技术中研究最多的对象,其中又以码捕获技术和多用户检测(MUD)技术代表了目前扩频技术研究的现状。
3.2蓝牙技术
蓝牙,是一种支持设备短距离通信(一般10m内)的无线电技术。能在包括移动电话、PDA、无线耳机、笔记本电脑、相关外设等众多设备之间进行无线信息交换。利用“蓝牙”技术,能够有效地简化移动通信终端设备之间的通信,也能够成功地简化设备与因特网Internet之间的通信,从而数据传输变得更加迅速高效,为无线通信拓宽道路。蓝牙采用分散式网络结构以及快跳频和短包技术,支持点对点及点对多点通信,工作在全球通用的2.4GHz ISM(即工业、科学、医学)频段。其数据速率为1Mbps。采用时分双工传输方案实现全双工传输。
3.3红外技术
研究红外辐射的产生、传播、转化、测量及其应用的技术科学。通常人们将其划分为近、点击此处添加图片说明中、远红外三部分。近红外指波长为0.75~3.0微米;中红外指波长为3.0~20微米;远红外则指波长为20~1000微米。在光谱学中,波段的划分方法尚不统一,也有人将0.75~3.0微米、3.0~40微米和40~1000微米作为近红外、中红外和远红外波段。另外,由于大气对红外辐射的吸收,只留下三
页 12 安徽新华学院2011年10月30日星期日
个重要的“窗口”区,即1~3微米、3~5微米和8~13微米可让红外辐射通过,因而在军事应用上,又分别将这三个波段称为近红外、中红外和远红外。
红外技术的内容包含四个主要部分:
1.红外辐射的性质,其中有受热物体所发射的辐射在光谱、强度和方向的分布;辐射在媒质中的传播特性--反射、折射、衍射和散射;热电效应和光电效应等。
2.红外元件、部件的研制,包括辐射源、微型制冷器、红外窗口材料和滤光电等。
3.把各种红外元、部件构成系统的光学、电子学和精密机械。4.红外技术在军事上和国民经济中的应用。由此可见,红外技术的研究涉及的范围相当广泛,既有目标的红外辐射特性,背景特性,又有红外元、部件及系统;既有材料问题,又有应用问题。
3.4 Home RF Home RF(家庭射频)是无绳电话技术和无线局域网技术相互融合发展的产物。Home RF是专门为家庭网络应用而制定的一项无线局域网技术标准,由Home RF工作组(Home RF working group)负责开发。Home RF工作组成立于1998年,主要有intel、IBM、Companq、3com、Philips、Microsoft、Motorola等几家大公司组成,旨在制定PC和用户电子设备之间无线数字通信的开放性工作标准为家庭用户建立具有互操性的音频和数据通信网。
页 13 安徽新华学院2011年10月30日星期日
结束语
无线网络的出现就是为了解决有线网络无法克服的困难。虽然无线网络有诸多优势,但与有线网络相比,无线局域网也有很多不足。无线网络速率较慢、价格较高,因而它主要面向有特定需求的用户。目前无线局域网还不能完全脱离有线网络,无线网络与有线网络是互补的关系,而不是竞争;目前还只是有线网络的补充,而不是替换。但也应该看到,近年来,随着适用于无线局域网产品的价格正逐渐下降,相应软件也逐渐成熟。此外,无线局域网已能够通过与广域网相结合的形式提供移动互联网的多媒体业务。相信在未来,无线局域网将以它的高速传输能力和灵活性发挥更加重要的作用。
页 14 安徽新华学院2011年10月30日星期日
参考文献
无线局域网(WLAN,Wireless Local Area Network)可定义为,使用射频(RF,Radio Frequency)微波(Microwave)或红外线(Infrared),在一个有限地域范围内互连设备的通信系统。一个无线局域网可作为有线局域网的扩展来使用,也可以独立作为有线局域网的替代设施。因此,无线局域网提供了很强的组网灵活性。 与有线局域网通过铜线或光纤等导体传输不同的是,无线局域网使用电磁频谱来传递信息。与无线广播和电视类似,无线局域网使用频道(Airwave)发送信息。其传输可以使用无线微波或红外线实现。一般应工作在ISM频段。
1.1无线局域网的优点和局限性
1.1.1优点
无线局域网有下列优点:首先,无线局域网使用简易,能灵活地满足组网的要求;其次,减少了传统布线的需要,使其构建不需布线或者不会太昂贵,因此,除非运营商对接入因特网收费高的离奇,无线局域网能够降低运营商和用户双方的运营成本;第三,无线局域网明显提供了可移动性,能够添加、移动、修改设施。另一个优点是可伸缩性,在适当的位置放置或添加接入点和扩展点,就有可能满足扩展组网的需要。
1.1.2局限性
在某些领域中使用无线局域网收、数据会表现出其局限性。下面列出了使用无线局域网的五大局限性:
传输范围
吞吐量
干扰
成本
移动平台的电池寿命
无线局域网设备的低功率和高频率限制了其传输范围。传统的有线局域网通过使用光纤中继器可以达到数公里的传输范围,而无线设备的传输范围却只有几百米。
到新世纪初,无线局域网的最大传输速率是2Mb/s。引入支持IEEE802.11b标准的设备将吞吐量提高到了11Mb/s,一旦符合IEEE802.11a标准的设备投放市场,吞吐量可能达到54Mb/s。
与有线局域网的运行速率相比,旧的无线局域网技术似乎是一个瓶颈,而更重要的是考虑一个接入点所争用的节点数,而不是单一的吞吐量。比如,架设用802.11bLAN和一个快速以太网做比较。假定计划将一个无线局域网通过一个单独的接入点连入到一个100BaseT网段,以便为5个节点服务,在假设快速以太网中有80个节点。
将无线局域网与有线局域网相比较,可以将运行速率除以节点个数,得出每种类型局域网的每个节点的数据率。对于有线局域网,100Mb/s/80得出平均速率为每节点1.25Mb/s。而无线局域网中注意到尽管通过接入点连接到以100Mb/s速率运行的有线局域网,但是802.11b局域网的接入点时被限制在只支持11Mb/s的数据率内。因此,每节点的平均数据率为0.733Mb/s。
多径传播引起的干扰会限制吞吐量,电磁干扰也会影响传输。因此,适当的站点检测能把许多问题在尚未发生时就解决掉。
几年前,无线局域网适配卡和接入部件还相对昂贵。尽管这些产品的成本都已经因为大规模的生产有所下降,但其价格还是比10Mb/s网卡贵许多倍。
无线局域网的一个主要局限性就是移动平台的电池寿命。当无线局域网被用来在难以布线构建LAN的地方提供通信时,那个地方很有可能缺少电源插座。类似地,使用PDA在商店里边移动边检查库存,电源插座的存在就没有意义了,因为为设备的电池充电需要时间。因此,在很多场合下,移动平台的电池寿命势
必系考虑的一个不小的局限性。
1.2网络应用
在医院里记录和提交有关病人的信息
在大学校园了对特定活动进行技术支持
控制批发和零售的库存
通过宾馆、机场和公用楼群里的接口接入因特网
通过简短通知来配置组织Ad-hoc短期培训中心
不用添加、移动和修改设施的动态网络环境
对商贸展览运作进行技术支持
第二章 IEEE802.11MAC层功能介绍
本章主要介绍数据链路层功能及其实现过程,以及其分层结构,说明数据传输的握手过程,数据交换过程等等问题。在说明问题之前,有必要介绍一些专业术语以及MAC层的基本概念性知识。
2.1 术语和概念介绍
2.1.1 DCF
DCF是IEEE802.11MAC帧的最基本的访问方法,在所有STA中被贯彻执行,用于IBSS及构造网络中。
对于一STA帧的传送,首先侦听介质是否有另一个STA正传送数据,如果介质空闲,则传送可以进行,正在传送的STA必须保证试图传送前的一定的时间内介质是空闲的。如果介质忙,则该STA应延迟发送,直到当前传送结束。 可见DCF方式下,STA使用CSMA/CA和在介质忙时使用一随机延迟的方法允许在两个兼容的物理层间自动共享介质,另外所有正确的传输均以一个ACK帧进行确认,如果发送者没有受到ACK帧,则要将该帧进行重传。
当多个工作站同时访问一个介质时冲突最可能发生,而CSMA/CA减少了冲突发生的可能性。介质由忙变闲的瞬间(这可由载波侦听机制提供)是冲突发生率最高的时候,这是因为多个STA可能都一直在等着介质重新变为空闲。这种情况下需要一随机的后延程序以解决介质的竞争冲突问题。
实际的载波侦听机制是通过发布一预定信号预定介质来实现的。发布预定信息的途径之一是在实际的数据传输之前交换RTS和CTS信息帧。RTS和CTS帧中包含了时间和地址信息,定义了一个时间片即介质传送实际的数据帧和返回ACK信息帧将占用的时间。在接收性能范围变化之内,所有的工作站,包括发送站(发送RTS)、接收站(发送CTS)都将收到介质被预定的信号。于是即使工作站不能接收源工作站的信息,它仍然知道将有人要使用介质传送数据。 发送预定信息的另一途径是在正确传送的帧中包含时间/地址信息,给出介质被占用的时间,或者在传送的结束立即送一ACK信息帧或万一有分段发生,在该确认帧后附下一分段分帧。
RTS/CTS机制的另一好处发生在当多个业务集同时占用一个信道时。介质预定机制在BSA的界限范围内起作用。RTS/CTS机制也可以在一种典型环境下提高操作性能,在此环境下,所有的工作站均能接收来自AP的信息,却都不能接收来自同一个BSA中的其他工作站的信息。
RTS/CTS机制不能在广播和存在多个接收者的情况下应用。因为这样存在多个接收地址,对于一个RTS信号来说,这意味着可能多个并存的CTS信号作为回答。而实际上,并非每一个数据帧的传送都需要交换RTS/CTS,这是因为附加的RTS/CTS交换增加了数据在空中传输的低效率。所以该机制并不总是正确的,特别是对较短的帧。
RTS/CTS在摩尔司码阈值属性的控制下运行,该属性可以在每一个基本的工作站被设置,工作站可能被设置为或者总是用、从不用、或者仅仅当帧的长度大于一特定值使用RTS/CTS交换机值。
没有被设置为开始时实施RTS/CTS机制的工作站仍将更新其在接收的RTS或CTS帧中包含的时间信息的载波帧听机制,并总是对一有地址信息的RTS信号回答一CTS帧。
该协议允许工作站支持不同的数码率的设置。在一个基本数码率变化范围内,工作站接受所有的数码率设置,并能在一个或多个基本数码率设置下传送数据。为支持适当的RTS/CTS操作和实际的载波帧听机制,所有的工作站必须都能检测到RTS/CTS信号。因此,RTS/CTS信号必须在一基本的数码率设置的速率下传送。
2.1.2 PCF
除了上述分布式协调功能以外,还存在其它的基于不同优先级的集中式接入模式。这种模式即为点协调功能模式,这种模式可以允许在无竞争环境中高优先级站能接入到介质中去。在这种模式中,通常控制核心部分都把控制权授予给一个集中式的协调器,一般这个协调器就是接入点本身。因此接入点很多时候又被称为点协调器(PC)。PCF的工作原理是它本身会询问所有的站是否具有无竞争业务流量,如果有,那么PC就会把这些业务流量收集起来并把这些流量传到要求的目的战中。
PCF运用了带有优先级的实际的载波侦听机制,PC分发带有指示管理信息的帧,通过设定STA中的NAV(网络分配矢量)来获得对介质的控制权。另外,所有PCF下传送的帧用了一个比在DCF方式下传送帧的帧间间隔要小的帧间间隔,这意味着当多个STA同时访问同一个信道时,PCF可以对访问介质有较高的优先级。另外,在无线局域网中,还允许DCF和PCF的共存,DCF作为PCF的基础而存在。
2.1.3 CSMA/CA
CSMA/CA是无线局域网中最基本的介质访问方式,再次提供了两种CSMA/CA方式。一种由物理层提供,即实际的载波侦听机制。另一种由MAC层提供,称为虚拟的载波侦听机制。
CSMA/CD被用于很多基于IR的局域网,其发射和接收都是定向的。在这种情况下,发送器总是用自己发射的信号与从其它终端接收到的信号比较来检测冲突。无线电波传播不是定向的,这使得在自己发射期间确定其它终端的发射有困难。因此,冲突检测机制不适合无线局域网。然而兼容性对无线局域网非常重要,因此网络的设计人员不得不考虑CSMA/CD与以太网骨干局域网的兼容性,后者在有线局域网领域占主导地位。
尽管在有线局域网里实现冲突检测很容易,只需要检测电平再和某一阈值电平比较,但在无线信道中由于衰落和其他无线信道的特性无法采用这种简单的技术。一个可以被用来检测冲突的简单办法是让发射站首先对信道的信号进行解调,解调之后将所得信息与自己发射信息相比较,如果二者不一致则认为是冲突发生了,则立即中止发射分组。然而在无线环境里,发送器自己的信号在所有附
近接收信号中占优势,因此接收器可能无法分辨冲突,只检测到自己的信号。为了避免这种情况发生,发射站的发射天线模式应该与其接收模式有所不同,但是在无线终端设置这样的模式并不方便,因此这需要定向天线,并且发送器和接收器都需要昂贵的前端放大器。
在CSMA/CA中使用了两个特殊的帧,他们分别是RTS(发送请求帧)和CTS(清除发送帧)。
2.1.4 NAV
NAV就是网络分配矢量。
2.1.5 MAC信息管理库(MAC MIB)
MAC层的信息管理库是由一系列表格形式的属性值按照一定的规则组织起来的,这样就能对同属于一个MAC层中的不同事件起到协调作用。MAC层的信息管理库又包括了两套属性:站管理属性组和MAC属性组。一下重点介绍MAC属性组的`一些属性。
dotllMACAddress:该属性值表示MAC的唯一单独地址值。该属性值属于MAC层私有,并且MAC层也通过这个地址才能完成接收不同的帧,并把这些帧传递到更上层协议层进行处理。
dotllRTSThreshold:该属性控制在传递数据帧和管理帧前传递RTS控制帧。具体的属性值定义了传递RTS所需最短帧的长度。该属性的缺省值为2347字节。 dotllShortRetryLimit:该属性定义了可以传递一个长度小于dotllRTSThreshold阈值的帧的次数阈值。超过这个阈值,这个帧就会被丢弃而且会向上层激发一个故障事件的产生。
dotllLongRetryLimit:该属性定义了一个可以传递一个长度大于或者等于dotllRTSThreshold阈值的帧的次数。超过这个阈值,这个帧就会被丢弃而且会向上层激发一个故障事件的产生。该阈值的缺省值为4,并且这个却省值可以由本地或者外部管理器进行修改。
dotllFragmentationThreshold:该属性定义了物理层所能接受的帧的最长长度。超过了这个最长长度的帧都将被进行分段。
dotllTrahsmittedFragmentCount:该计数器记录成功传递了多少个帧片段。一个不需要经过分段处理就被传递了的MSDU也算作一个帧片段并增加一次这个
计数器的值。一次成功的传递被定义为向特定地址发送的已经接收到其ACK信号的数据帧,或者其它向组播地址发送的数据或管理帧。
dotllMulticastTransmittedFrameCount:该计数器仅仅记录传送了多少个组播帧。只要传递一个组播帧,那么计数器就增加一。
dotllRetryCount:该计数器记录那些在完成成功传输过程中至少经过了一次重传的帧数。
dotllMultipleRetryCount:记录那些在完成成功传输过程中至少经过了两次重传的帧数。
2.1.6 帧间间隔(IFS)
两帧之间的时间间隔,对给定的间隔,工作站通过载波帧听判断介质的忙闲状态。定义了四种不同的IFS以提供对无线介质的优先级别访问。不同的IFS有其独立的工作站比特率。IFS定时被定义为介质上的时间间隙,视每个物理层而不同。
SIFS
被用于ACK、CTS、有分段时的下一分帧或在点协调方式下作为对任一询问的回答,在轮询控制时也可用于任意的帧。SIFS时从前一帧最后一个符号的结束到接下来一帧开头低一个字符的开始所对应的时间,可被用于一系列帧交换的过程中。当工作站已占用介质需保持一段时间以执行一系列的帧交换时,利用这一最短的时间间隔传送一系列帧交换可以阻止那些需等待介质空闲较长时间间隔的工作站争用介质,于是这一系列的帧交换的进行就取得了优先权。 PIFS
仅仅被用于PCF方式下。在一CFP开始时取得介质访问的优先权。
DIFS
用于分布协调方式下。工作站传送MPDU和MMPDU,在正确接收一帧并后延时间期满,如果载波侦听判断介质在DIFS期间空闲,使用分布协调的工作站将被允许传送数据。
如果传送中有错误,那么即使判断出介质空闲后,一个在分布协调方式下的工作站也不能传输数据。工作站可能接收一个“错误----空闲”帧后传送,是工作站重新同步。折旧允许工作站使用DIFS,可见DIFS在上述“错误――空闲”
帧之后。
EIFS
扩展的IFS,用于分布协调方式下。此时物理层指示MAC:一帧的传送开始后,没有正确的接收。
物理层不用实际的载波侦听机制检测出错误的帧后判断介质空闲,随后EIFS延迟开始。在一个工作站开始传送以前,EIFS为另一个工作站提供足够的时间以回答该工作站,什么是不正确接收的帧。根据实际的介质忙闲状态,在EIFS期间,由于收到一“错误――空闲”帧而使工作站重新获得同步。所以EIFS被终止,正常的介质访问在收到“错误――空闲”帧后继续执行
2.1.7 帧的分段和重组
所谓真的分段,就是将一个MAC服务数据单元MSDU或一个MAC控制协议数据单元MMPDU分割为较小的MAC级别的帧即MAC协议数据单元MPDU。分段处理产生的比原先的MSDU及MMPDU长度更短的MPDU增加了可靠性,这种方法是通过在某些信道对一些较长帧有些特殊的限制其接受可靠性时增加了MSDU及MMPDU成功传输的可能性,该处理对于一个立即发射机是比较可靠的。将多个MPDU重组为单个的MSDU或MMPDU的处理过程称为重组,这一过程相应地对一个立即接收机非常方便。该过程只对单一接收地址的帧进行分段,而在广播或组播时不进行分段。
当从LLC层接收的MSDU或从MLME接收的MMPDU的长度大于2.1.5中的dotllFragmentationThreshold分段阈值时,MSDU或MMPDU就将被分段成为MPDU。每一个分段帧的长度均不大于上述分段阈值,当然小于该阈值也是可能的。分段的示意图如下:
2.2 MAC分层结构
MAC层分为MAC子层和MAC管理子层。前者主要负责访问机制的实现和分组的拆分和重组。其管理子层主要负责ESS漫游管理、电源管理,还有登记过程中的关联、去关联以及要求重新关联等等过程的管理。802.11物理层分为三个子层:PLCP(物理层会聚协议)、PMD(物理介质相关协议)和物理层管理子层。PLCP子层主要进行载波侦听的分析和针对不同的物理层形成相应格式的分
组。PMD子层用于识别相关介质传输的信号所使用的调制和编码技术。物理层管理子层为不同的物理层进行信道选择和调谐。除此之外IEEE802.11还定义了一个站管理子层,它的主要任务是协调物理层和MAC层之间的交互作用。
2.2.1 MAC子层
MAC层支持三种主要的帧类型――站点间传输信息所用的数据帧、控制访问介质所用的控制帧以及管理帧。管理帧用于站点第二层间交换管理信息,而不会将管理信息送往协议栈的高层。
2.2.1.1 帧格式
802.11的帧格式是可变长的。图2.2说明了站点间发送信息所用的MAC数据帧格式。在后面的介绍中将会发现,该帧的某些域也在其他类型的帧中使用。
图2.2
帧正文(Body)域的最大长度可达2312Byte,如上图所示。然而,因为无线链路的误码率比有线LAN误码率高得多,随着帧长度增加,帧信息受破坏的概率也高。因此一个无线局域网比一个有线局域网的情况就糟糕多了。为弥补这种情况,无线局域网在MAC层支持一种简单的分段重组机制。
A,控制域
16bit的帧控制域包含11个子域。其中有8个1bit域,通过设置,可指定一个特性或功能。以下将介绍控制域中的每个子域。
a、 协议版本子域
2 bit的协议版本子域提供了一种标识802.11标准版本的机制。该标准的最初版本中,协议版本子域值设为零。
b、类型和子类型子域
类型和子类型子域提供6bit来标识一个帧。类型子域能识别4种类型的帧,但目前仅定义了3种。4bit的子类型子域标识了类型分类中的一种特定类型的帧。
c、到分布系统子域
该子域为1bit。当帧寻址到一个接入点以便转发到分布系统时,该子域置”1”。否则该子域置“0”。
d、来自分布系统子域
该子域也是1bit。当帧是收自分布系统时,该子域置“1”,否则该子域置“0”。 e、多段子域
该子域为1bit。当在当前段之后还有更多的段时,这个域的值就设为“1”。这个域使发送端注意一个帧是一个段,并且允许接受端将一系列段重装成一个帧。
f、重试子域
当这个1bit域被置“1”,表示这个帧是一个先前传送过的重传段。接收站点用这个域来识别当确认帧丢失时可能发生的重传。
g、电源管理子域
IEEE802.11站点可选择两种电源模式(即节能模式或活动模式)之一。当发送时一个站点是活动模式时,一个帧能将其电源状态从活动改为节能模式。
通过使用电源管理比特,一个站点可标识其电源状态。接入点使用该信息,不断维护工作在节能模式的站点记录。接入点将缓存发往其他站点的分组,直到那些站点通过发送轮询请求来专门请求分组,或是改变其电源状态。
通过使用信标帧可获得另一种将缓存帧发送给一个运行于节能模式站点的技术。接入点周期性地发送信息,这些信息是关于运行于节能模式的站点有接入点所缓存的帧,作为信标帧的一部分。每个这样的站点接受信标帧后被唤醒,注意到有帧存储在接入点中等待转发。然后这些站点就保持在活动电源状态,并且给接入点发送一个轮询请求信息以索取那些帧。
h、多数据子域
这个子域指示在当前帧后带有更多帧。这个1bit子域由接入点设置,指示有更多的帧缓存在一个特定站点中。记住当一个目的站点运行在节能模式时,将在接入点中产生缓存。目的站点可利用此信息来决定它是否要继续轮询,或者这个站点是否要将电源管理模式转变为活动模式。
i、 有线等效保密子域
IEEE802.11委员会提出通过附加授权认证和加密保证安全性,统称为有线等效保密(WEP,Wired Epuivalent Privacy)。WEP子域的设置指示了帧的正文按WEP算法加密。
j、顺序子域
控制域的最后一个子域是1bit的顺序子域。该比特1指示帧使用严格顺序服务等级进行发送。该子域的使用是适应DEC LAT协议的,DEC LAT协议不允许单播和多播帧间顺序的变化。因此,对于大多数无线应用是不使用该子域。
以上是对控制域内的子域做了详细介绍,下面继续讨论MAC数据帧。
B 持续时间/标志符域
这个域的含义与帧类型有关。在一个节能轮询消息中,该域指示了站点标志符(ID)。在其他类型帧中,该域指出持续时间值,它表示发送一帧所需的时间间隔,单位是微秒。
C 地址域
一个帧可以包含多达4个地址,这与控制域中ToDS和FromDS比特设置有关。地址域被标识为地址1到地址4。
基于控制域中的ToDS和FromDS比特设置,地址域的应用情况见表2.2。注意表2.2中地址1总是指接受端地址,这个地址可以是目的地址DA、基本服务集ID(BSSID)或是接收地址RA。如果ToDS比特置“1”,那么地址1中含接入点地址;如果ToDS比特置“0”,那么地址1中是站点地址。所有站点按地址1域中的值进行过滤。
表2.2 基于控制域中的ToDS和FromDS比特设置的MAC地址域值
地址2总是用于标志发送分组的站点。如果From DS比特置“1”,那么地址2中是接入点地址;否则代表站点地址。地址3域也与ToDS和FromDS比特设置有关。当Fromds比特设置为“1”,地址3中就是原来的源地址。如果ToDS比特置“1”,则地址3中就是DA。
地址4用于特定情况,即使用了无线分布系统,并且一个帧从一个接入点正发往另一个接入点。在这种情况下,ToDS和FromDS比特设置都被置位。因此,原来的DA和SA都不可用了,地址4就仅限于标识有线DS帧的源地址。
D 序列控制域
2Byte的序列控制域用作表示所属帧的不同段顺序的机制。序列控制域中包含两个子域:段号和序列号。这些子域用于定义帧和所属帧的各段的段号。
E 帧正文域
帧正文域用于在站点间传送实际信息,这个域是可变长的,最长可达2312字节。
F CRC域
MAC数据帧中最后一个域是CTC域,这个帧长4字节,包含32比特的CRC。
2.2.1.2 数据传送前的握手过程
如前所述,IEEE802.11MAC采用了一个基本的介质访问协议即带有冲突避免的载波侦听多路访问机制(CSMA/CA)。所用的CSMA/CA协议要求一个有信息要发送的站点首先要对传输介质进行侦听,即发前侦听。如果介质忙,该站点就延迟发送。如果接着在某一特定的时间内是可用的,称之为分布的帧间间隔DIFS,则该站点可以发送数据。因为其他的站点可能几乎同时发送信息,接收站点就必须检验接收分组,并且发送一个确认消息ACK通知发送站点没有发生冲突。若发送站点没收到确认信息,他将进行重发,直到它收到一个确认消息或者其重发次数达到一定的极限。
CSMA/CA机制使介质访问中的冲突最小化。因为有可能会出现两个站点同时侦听信道,并发现介质空闲随后发送信息,或是两个站点没有互相侦听,就发送信息的情况,这时冲突就会发生。为减小冲突的可能性,IEEE802.11标准所用的CSMA/CA派生出一种称为虚拟载波侦听VCS的技术。在VCS中,要求发送信息的站点先发送一个请求发送帧RTS的分组。这个分组是一个相当短的控制包,它包含了DA和SA,以及随后的发送持续时间。这个持续时间是根据数据分组的传输和接收端分组确认的时间来规定的。接收端发出清除发送CTS分组作为响应。CTS分组指示了与RTS分组中相同的持续时间信息。收到RTS或CTS控制分组,或是收到两种分组的每个站点,将其VCS指示器设成传输持续时间。在IEEE802.11中,该指示器即为所谓的网络分配矢量NAV,其用作一种通知介质上所有其它站点后退或延迟其传送的机制。
如果在以预定的时间内未收到CTS,则发送站点就认为是发生了冲突,并且
重新开始这个过程,发送另一个RTS分组。一旦收到CTS帧,就发送数据帧,接收端回送一个ACK分组以确认一次成功的数据传输。
使用RTS和CTS控制分组减少了在接收端发生冲突的可能性,这种冲突来自发送端“隐藏”的站点。所谓“隐藏节点”指一个服务集的站点,它不能检测到另一个站点的传送数据,因而不能判断出介质忙。
现以图解的方式归纳使用RTS和CTS控制分组以及它们与数据流和NAV之间的关系,如图2.5所示:
为了更形象地说明问题,现举一个有五个工作站竞争信道的例子如下: 有A、B、C、D、E五个展位了发送自己的数据帧参与竞争信道。此时A站有一个帧在空中发射,BCD站侦听信道并且发现信道正忙,于是他们各自允许随机数发生器来随机产生一个后退时间。C站在D和B站之后得到一个最小的数。所有三个终端继续侦听信道并且推迟各自的发射,直到A终端的发射完成。完成后三个终端等候IFS周期,一旦此周期结束他们立即开始计数。第一个完成计数的终端,在本例中是C站,在等待时间计数完成后开始其帧发射。其余两个终端B和D,将各自计数器停止在C站开始发射时的计数值。在C站发射的过程中,E站开始侦听信道,运行自己的随机数发生器,在本例中得到一个比D站剩余计数大但是比B站剩余计数小的随机计数值,因此在C站传输完毕之后推迟自己的发射。按照和先前一样的方式,所有的终端要等待IFS周期,然后开始计数。D站最早完成自己的随机等候时间,开始发射自己的分组。同时B和E暂停自己的计数器,等待D站完成帧传输以及之后的IFS周期,然后他们再次启动计数,由于E站的计数器首先计数到零,于是E站开始发射数据,B站暂停计数。在E站完成帧传输以及IFS周期后,B站的计数器一直计数到零并且开始发射帧数据,这样的后退策罗比起IEEE802.3标准中的指数后退方案,其优势在于无需冲突检测程序,并且等候时间也是公平分布的,平均来说执行了先来先服务的原则。具体过程图解如下:
2.2.1.3 分段传输过程中的RTS/CTS用法
RTS/CTS帧定义了以下帧和ACK帧持续的时间。时间/标识域(在数据帧和
ACK帧中)详细指明了下一分段和ACK的时间。每一帧包括了定义下一次传输持续时间的信息,该信息帧从用来更新NAV值时介质忙的RTS帧开始直到ACK0的结束,从用来更新NAV值时介质忙的CTS帧开始直到ACK0的结束。分段0和ACK0中都包括时间信息以更新NAV值时介质忙直至ACK1的结束,这些均通过运用时间/地址域(数据帧和ACK)振中来实现。到最后一分段中,时间信息变为一个ACK时间加一个SIFS时间且在其ACK帧中将其时间/标识域设为零。每一分段和ACK均像RTS和CTS;因此,在以RTS/CTS开始一系列帧交换后,尽管分段的长度可能大于dot11RTS阈值,仍不再在分段的传送之间用RTS和CTS帧。在运用跳频技术的物理层的工作站中,当在下一时间边界前没有充足的时间传送随后的分段时,发动帧交换序列的工作站就在时间边界前将时间/标识域的值在最后一个数据帧或管理帧中设为一ACK时间加上一个SIFS时间。
万一ACK被送出而源工作站没收到,接收分段或ACK帧的工作站就把信道对下一帧交换标记为忙,因为NAV从这些帧的信息中一直被更新,这是最坏的情况,见下图。如目标工作站没送出ACK则仅能听到目标工作站的工作站不更新其NAV且可能试图访问信道当他们的从收到的前一帧的信息中被更新的NAV达到0时,所有能听到源工作站的工作站在其NAV期满时都将自由地访问信道。 在分段突发期间,源工作站仅仅在下列情况下才在SIFS后传送:
――工作站已经收到一需要ACK的分段。
――源工作站已经收到对前一分段的ACK,又有多个分段要传,在下一个居留时间边界之前,有足够的时间发送下一分段且能收到其确认信号。 另外还应遵守下列规则:
――当工作站已传完一帧,除了开始的或中间的分段,工作站不会在此信道中在不执行后延程序的情况下在紧跟着传输一ACK帧。
――MSDU成功传输或所有重传尝试都结束,而且该工作站还有一随后的MSDU待传时,工作站将执行补偿程序。
――仅仅没被确认的分段要重传。
2.2.1.4 广播和组播
PCF方式下,当一广播或多接收地址的MPDU被传送时,仅仅需要一基本的介质访问程序,而不考虑帧的长度,也不用RTS/CTS帧交换。另外,也不用
ACK帧的传送。任何工作站要传送广播和多接收地址的MPDU时,除了要确认基本的CSMA/CA介质访问程序以外,还要服从RTS/CTS帧交换的规则,因为该MPDU时直接到达AP的。广播信息将被分发到BSS内,原来的工作站也将收到。因此,所有的工作站将过滤出包含他们自己地址的广播信息作为源地址。广播和多接收地址的MPDU将在一个ESS内被散播。
在广播和多接收地址的MPDU帧中无MAC层恢复功能,于是比起直接传送的可靠性,这样的传输的可靠性就降低了,因为在延迟、碰撞等情况下,帧丢失的可能性增大了。
2.2.1.5 恢复处理
本节主要讲述对错误帧地恢复程序、重传过程及其极限和对重复帧的处理过程。
a、 恢复程序和重传极限
导致错误发生而需要恢复的环境很多,例如,RTS被传送后,可能CTS没被返回,这有可能是因为与其他的传输发生了冲突,也可能因为信道中的干扰,或者因为收到RTS的STA正处于载波侦听状态(指示介质忙)。
对于一发起帧交换且被证明错误的工作站,错误恢复可以通过重传来进行。对于每个失败的帧交换序列,重传继续直到成功或者直到达到一个适当的重试极限。对于每个期待传送的MSDU或MMPDU工作站都包含一个短的和长的重试计数器,这些计数器在增加或者重设时是互相独立的。
一RTS帧被传送后,工作站将执行CTS(9.2.5.7)。如果RTS传输失败,则短重试计数器和长重试计数器增加,该过程继续直到尝试重传的次数达到dot11短重试极限。
传送一需要确认的帧后,工作站执行ACK程序(9.2.8)。对于MSDU或MMPDU来说,每一次传送的MAC帧(长度小于或等于dot11RTS阈值)失败,短重试计数器增加,成功的话,计数器被重置。而长度大于dot11RTS阈值的帧传送失败,长重试计数器增加,成功传输则长重试计数器被重置。直到长重试计数器或短重试计数器达到各自的重试极限,对失败传输的重传将继续。一旦达到极限,重传停止,该MSDU或MMPDU被丢弃。
在省电模式下的工作站,通过传送一轮询帧作为对来自AP数据的回答已开
始一帧交换序列。万一既没有ACK帧也没有数据帧从AP传过来,工作站将在适宜的时刻通过发送另一个轮询帧来重试该帧交换序列。如果AP发一数据帧作为对轮询的回答,但又没收到ACK确认帧,则从同一个工作站发出的下一个轮询帧会引起AP中最后一个MSDU的重传,该完全一样的帧将被滤波器过滤。如果AP送一ACK作为回答,那么相应地,因为数据在一系列的帧交换中已被传送,对于一携带错误恢复的数据帧的责任就转移到了AP上。AP就试图传送一MSDU给传送轮询帧的工作站,用任何合法的帧交换序列换取一个正确的MSDU.
省电模式下,如果传送轮询帧的工作站在传送了ACK帧作为对成功接收MSDU的确认后回到Doze状态,AP将重传该MSDU直到达到有关的重试极限。
b、重复帧的检测和恢复
既然该协议中包含了确认和重传机制,那么就有可能某一帧被不止一次地传送,那些重复帧将被目的工作站的MAC层过滤出来。在数据帧和管理帧中,重复帧的过滤有助于包括一序列控制域(包括一序列号和一分段号)的帧的通过,作为同一个MPDU的MPDU有同样的序列号而不同的MSDU(有很大的可能性)有不同的序列号。序列号被正在传送的工作站作为一个增值的整数序列而存在。
2.2.2 MAC管理子层
管理子层负责在站和AP之间进行通信的初始化,这一层的操作机制是移动环境下所需要的。这种功能在其他的无线系统中也有,但在802.11的MAC管理子层得到了极大的扩展。一般的MAC管理帧的格式见下图,不同的管理帧一般用于不同的目的。
MAC管理帧格式
a、登记
信标是一种管理帧,它是由AP准定期地进行发送,用来建立定时同步功能(TSF)。管理帧包含的信息有基站子系统ID(BSS-ID)、时间戳(用于同步)、业务指示表(睡眠模式)、功率管理和漫游等。接收信号的强度的测量是根据信标信息作出的。信标帧还用来识别AP,网络等等。要给MS(移动台)发送帧时,分布式系统必须要先知道为这个MS服务的AP的位置。关联过程实际上就是MS向一个AP登记的过程,只有建立关联以后MS才能通过一个AP发松和接收分组。至于分布式系统中怎样保存关联信息,标准并没有规定。如果MS想同一个AP建立关联,首先必须给MS发送一个关联请求帧,AP同意后发送一个关联响应帧作为回答。MAC管理帧和切换过程中使用的两帧功能是类似的。
b、越区切换
IEEE802.11有三种移动模式:其中一种就是所谓的“无转移”类型,在这种移动方式下,MS时静态的或在一个BSA范围内移动;另一种模式是“BSS转移”方式,这种模式中MS从一个BSS转移到另一个BSS,但这两个BSS都在同一个ESS内;最常见的一种移动方式就是“ESS转移”,MS从一个BSS 转移到另一个BSS,但这两个BSS不在同一个ESS内,在这种情况下高层的连接就中断了,这时就必须需要一个移动的IP继续保持连接。
当一个MS在同一个ESS内从一个BSS转移到另一个BSS时,就要用重关联服务。MS要进行初始化,告诉分布式系统该MS已经将关联从一个AP转到另一个AP上。去关联是用来中止一个关联的,它可由关联的任何一方启动。去关联是一种同志形式,而不是一个请求,因而它是不能被拒绝的。离开一个BSS的MS将会发送一个去关联信息给其所关联的AP,但这个信息不能保证一定能被收到。
c、 功率管理
无线局域网的功率保存问题就是当空闲的移动台突然有数据需要接受时,如何保持空闲状态,这样就可以控制LAN适配器的功率消耗。实现的难点在于怎样在空闲状态时关掉断源又能保持会话。IEEE802.11的解决方案是让这些移动
台处于睡眠模式,发往这些MS的数据先在AP 中缓存,当MS被唤醒时AP再把缓存的数据发往相应的移动台。同蜂窝电话的持续功率管理比较而言,这种方案更适合于突发数据通信的应用。
利用时间同步帧TFS,所有的MS 在同一时间里被唤醒以监听信标帧,如下图所示就可以实现所有MS的同步。MS使用帧控制字段中的功率管理位表明自己当前是处于睡眠还是唤醒状态。随信标一起发送的有一个业务指示表TIM,TIM是在AP中有缓存信息的移动台的列表。MS 通过检查信表和TIM来了解自己是否有缓存信息。有缓存信息的MS发送节能轮询帧给AP。若站处在活动模式时,AP就向其发送缓存的分组。
侦听用于电源管理的信标
d、安全
上面简单描述了WLAN的技术发展及安全现状。本文主要介绍入侵检测技术及其应用于WLAN时的特殊要点,给出两种应用于不同架构WLAN的入侵检测模型及其实用价值。需要说明的是,本文研究的入侵检测主要针对采用射频传输的IEEE802.11a/b/g WLAN,对其他类型的WLAN同样具有参考意义。
1、WLAN概述
1.1 WLAN的分类及其国内外发展现状
对于WLAN,可以用不同的标准进行分类。根据采用的传播媒质,可分为光WLAN和射频WLAN。光WLAN采用红外线传输,不受其他通信信号的干扰,不会被穿透墙壁偷听,而早发射器的功耗非常低;但其覆盖范围小,漫射方式覆盖16m,仅适用于室内环境,最大传输速率只有4 Mbit/s,通常不能令用户满意。由于光WLAN传送距离和传送速率方面的局限,现在几乎所有的WLAN都采用另一种传输信号——射频载波。射频载波使用无线电波进行数据传输,IEEE 802.11采用2.4GHz频段发送数据,通常以两种方式进行信号扩展,一种是跳频扩频(FHSS)方式,另一种是直接序列扩频(DSSS)方式。最高带宽前者为3 Mbit/s,后者为11Mbit/s,几乎所有的WLAN厂商都采用DSSS作为网络的传输技术。根据WLAN的布局设计,通常分为基础结构模式WLAN和移动自组网模式WLAN两种。前者亦称合接入点(Ap)模式,后者可称无接入点模式。分别如图1和图2所示。
图1 基础结构模式WLAN
图2 移动自组网模式WLAN
1.2 WLAN中的安全问题 WLAN的流行主要是由于它为使用者带来方便,然而正是这种便利性引出了有线网络中不存在的安全问题。比如,攻击者无须物理连线就可以连接网络,而且任何人都可以利用设备窃听到射频载波传输的广播数据包。因此,着重考虑的安全问题主要有:
a)针对IEEE 802.11网络采用的有线等效保密协议(WEp)存在的漏洞,进行破解攻击。
b)恶意的媒体访问控制(MAC)地址伪装,这种攻击在有线网中同样存在。
C)对于含Ap模式,攻击者只要接入非授权的假冒Ap,就可登录欺骗合法用户。
d)攻击者可能对Ap进行泛洪攻击,使Ap拒绝服务,这是一种后果严重的攻击方式。此外,对移动自组网模式内的某个节点进行攻击,让它不停地提供服务或进行数据包转发,使其能源耗尽而不能继续工作,通常称为能源消耗攻击。
e)在移动自组网模式的局域网内,可能存在恶意节点,恶意节点的存在对网络性能的影响很大。
2、入侵检测技术及其在WLAN中的应用
IDS可分为基于主机的入侵检修系统(HIDS)和基于网络的入侵检测系统(NIDS)。HIDS采用主机上的文件(特别是日志文件或主机收发的网络数据包)作为数据源。HIDS最早出现于20世纪80年代初期,当时网络拓扑简单,入侵相当少见,因此侧重于对攻击的事后分析。现在的HIDS仍然主要通过记录验证,只不过自动化程度提高,且能做到精确检测和快速响应,并融入文件系统保护和监听端口等技术。与HIDS不同,NIDS采用原始的网络数据包作为数据源,从中发现入侵迹象。它能在不影响使用性能的情况下检测入侵事件,并对入侵事件进行响应。分布式网络IDS则把多个检测探针分布至多个网段,最后通过对各探针发回的信息进行综合分析来检测入侵,这种结构的优点是管理起来简单方便,单个探针失效不会导致整个系统失效,但配置过程复杂。基础结构模式入侵检测模型将采用这种分布式网络检测方法,而对于移动自组网模式内的入侵检测模型将采用基于主机的入侵检测模型。
当前,对WLAN的入侵检测大都处于试验阶段,比如开源入侵检测系统Snort发布的Snort-wire-less测试版,增加了Wifi协议字段和选项关键字,采用规则匹配的方法进行入侵检测,其Ap由管理员手工配置,因此能很好地识别非授权的假冒Ap,在扩展Ap时亦需重新配置。但是,由于其规则文件无有效的规则定义,使检测功能有限,而且不能很好地检测MAC地址伪装和泛洪拒绝服务攻击。2003年下半年,IBM提出WLAN入侵检测方案,采用无线感应器进行监测,该方案需要联入有线网络,应用范围有限而且系统成本昂贵,要真正市场化、实用化尚需时日。此外,作为概念模型设计的WIDZ系统实现了Ap监控和泛洪拒绝服务检测,但它没有一个较好的体系架构,存在局限性。
在上述基础上,我们提出一种基于分布式感应器的网络检测模型框架,对含Ap模式的WLAN进行保护。对于移动自组网模式的WLAN,则由于网络中主机既要收发本机的数据,又要转发数据(这些都是加密数据),文献提出了采用异常检测法对路由表更新异常和其他层活动异常进行检测,但只提供了模型,没有实现。此外,我们分析了移动自组网模式中恶意节点对网络性能的影响,并提出一种基于声誉评价机制的安全协议,以检测恶意节点并尽量避开恶意节点进行路由选择,其中恶意节点的检测思想值得借鉴。Snort-wireless可以作为基于主机的入侵检测,我们以此为基础提出一种应用于移动自组网入侵检测的基于主机的入侵检测模型架构。
3、WLAN中的入侵检测模型架构
在含Ap模式中,可以将多个WLAN基本服务集(BSS)扩展成扩展服务集(ESS),甚至可以组成一个大型的WLAN。这种网络需要一种分布式的检测框架,由中心控制台和监测代理组成,如图3所示。
图3 含Ap模式的分布式入侵检测系统框架
网络管理员中心控制台配置检测代理和浏览检测结果,并进行关联分析。监测代理的作用是监听无线数据包、利用检测引擎进行检测、记录警告信息,并将警告信息发送至中心控制台。
由此可见,监测代理是整个系统的核心部分,根据网络布线与否,监测代理可以采用两种模式:一种是使用1张无线网卡再加1张以大网卡,无线网卡设置成“杂凑”模式,监听所有无线数据包,以太网卡则用于与中心服务器通信;另一种模式是使用2张无线网卡,其中一张网卡设置成“杂凑”模式,另一张则与中心服务器通信。
分组捕获完成后,将信息送至检测引擎进行检测,目前最常用的IDS主要采用的检测方法是特征匹配,即把网络包数据进行匹配,看是否有预先写在规则中的“攻击内容”或特征。尽管多数IDS的匹配算法没有公开,但通常都与著名的开源入侵检测系统Snort的多模检测算法类似。另一些IDS还采用异常检测方法(如Spade检测引擎等),通常作为一种补充方式。无线网络传输的是加密数据,因此,该系统需要重点实现的部分由非授权Ap的检测。通常发现入侵之后,监测代理会记录攻击特征,并通过安全通道(采用一定强度的加密算法加密,有线网络通常采用安全套接层(SSL)协议,无线网络通常采用无线加密协议(WEp))将告警信息发给中心控制台进行显示和关联分析等,并由控制台自动响应(告警和干扰等),或由网络管理员采取相应措施。
在移动自组网模式中,每个节点既要收发自身数据,又要转发其他节点的数据,而且各个节点的传输范围受到限制,如果在该网络中存在或加入恶意节点,网络性能将受到严重影响。恶意节点的攻击方式可以分为主动性攻击和自私性攻击。主动性攻击是指节点通过发送错误的路由信息、伪造或修改路由信息等方式,对网络造成干扰;自私性攻击是指网络中的部分节点可能因资源能量和计算能量等缘故,不愿承担其他节点的转发任务所产生的干扰。因此,对恶意节点的检测并在相应的路由选择中避开恶意节点,也是该类型WLAN需要研究的问题。
我们的检测模型建立在HIDS上,甚至可以实现路由协议中的部分安全机制,如图4所示。
图4 移动自组网模式中的入侵检测架构
当数据包到达主机后,如果属于本机数据,数据包将被解密,在将它递交给上层之前,先送至基于主机的误用检测引擎进行检测,根据检测结果,对正常数据包放行,对攻击数据包则进行记录,并根据响应策略进行响应。此外,还可以在误用检测模型的基础上辅以异常检测引擎,根据以往的研究成果,可以在网络层或应用层上进行,也可以将其做入路由协议中,以便提高检测速度和检测效率。
4、结束语
1.1 SSID访问控制
SSID (Service Set Identifier) 也可以写为ESSID, 用来区分不同的网络, 最多可以有32个字符, 无线网卡设置了不同的SSID就可以进入不同的网络。SSID参数在缺省设定中是被AP无线接入点广播出去的, 客户端只有收到这个参数或者手动设定与AP相同的SSID才能连接到无线网络。如果我们把这个广播禁止, 我们的无线网络就不会出现在其他人所搜索到的可用网络列表中, 在无法找到SSID的情况下是不能连接到网络的。需要注意的是, 如果黑客利用其他手段获取相应参数, 仍可接入目标网络。因此, 禁止SSID广播适用于一般SOHO环境当作简单口令安全方式。
1.2 MAC地址过滤
每一块无线网卡拥有唯一的MAC地址 (物理地址) , 由厂方出厂前设定, 无法更改。MAC地址过滤, 就是在AP中设置一组允许访问的MAC地址列表, AP会对收到的每个数据包都会做出判断, 只有符合设定标准的才能被转发, 否则将会被丢弃。
在搭建小型无线局域网时, 使用该方法最为简单、快捷, 网络管理员只需要通过简单的配置就可以完成访问权限的设置, 十分经济有效。但对于大中型的无线局域网来说, 这种方式比较麻烦, 而且不能支持大量的移动客户端。另外, 如果非法用户利用网络侦听手段窃取到MAC地址, 非法用户仍可以通过假冒的MAC地址接入。
1.3 WEP加密
有线保密机制 (WEP-WiredEquivalentPrivacy) 是IEEE802.11b协议中最基本的无线安全加密措施。WEP采用的是一种对称密钥和算法, 通过访问控制阻止那些没有正确WEP密钥并且未经授权的用户访问网络, 仅仅允许具备正确WEP密钥的用户通过加密来保护WLAN数据流, 使得无线网络的安全达到与有线网络同样的安全等级。
WEP存在缺少密钥管理机制, 加密算法RC4被证明有弱点等缺陷, 其安全性受到了业界的质疑, 一般用于中小型企业的安全加密。
2 无线局域网安全的增强技术
2.1 WPA保护机制
Wi-Fi Protected Access (WPA, Wi-Fi保护访问) 是Wi-Fi联盟提出的一种新的安全方式, 以取代安全性不足的WEP。WPA采用了基于动态密钥的生成方法及多级密钥管理机制, 方便了WLAN的管理和维护。WPA由认证、加密和数据完整性校验3个部分组成, 是一个完整的安全方案。
WPA的认证分为两种, 第一种采用802.1x+EAP的方式, 用户提供认证所需的凭证。如用户名密码, 通过特定的用户认证服务器来实现。IEEE802.1x是一种基于端口的网络接入控制技术, 可以提供一个可靠的用户认证和密钥分发的框架, 可以控制用户只有在认证通过以后才能连接网络。当无线工作站与AP关联后, 是否可以使用AP的服务要取决于802.1x的认证结果, 如果认证通过, 则AP为用户打开这个逻辑端口, 否则不允许用户上网。IEEE802.1x本身并不提供实际的认证机制, 需要和EAP配合来实现用户认证和密钥分发。EAP允许无线终端可以支持不同的认证类型, 能与后台不同的认证服务器进行通讯, 如远程接入拨入用户服务 (RADIUS) 。在大型企业网络中, 通常采用这种方式。WPA也提供一种简化的模式, 它不需要专门的认证服务器, 这种模式叫做WPA预共享密匙 (WPA-PSK) , 仅要求在每个WLAN节点 (AP、STA等) 预先输入一个密匙即可实现, 只要密匙吻合, 客户就可以获得WLAN的访问权。由于这个密匙仅仅用于认证过程, 而不用于加密过程, 因此不会导致诸如使用WEP密匙来进行802.11预共享认证那样严重的安全问题。
WPA采用TKIP (Temporal Key Integrity Protocol, 临时密钥完整性协议) 为加密引入了新的机制, 它使用一种密钥构架和管理方法, 通过由认证服务器动态生成、分发密钥来取代单个静态密钥、把密钥首部长度从24位增加到128位等方法增强安全性。而且, TKIP利用了802.1x/EAP构架。认证服务器在接受了用户身份后, 使用802.1x产生一个唯一的主密钥处理会话。然后, TKIP把这个密钥通过安全通道分发到AP和客户端, 并建立起一个密钥构架和管理系统, 使用主密钥为用户会话动态产生一个唯一的数据加密密钥, 来加密每一个无线通讯数据报文。
WPA采用消息完整性校验 (MIC) 是为了防止攻击者从中间截获数据报文, 篡改后重发而设置的。除了和802.11一样继续保留对每个数据分段 (MPDU) 进行CRC校验外, WPA为802.11的每个数据分组 (MSDU) 都增加了一个8个字节的消息完整性校验值, 这和802.11对每个数据分段 (MPDU) 进行ICV校验的目的不同。
2.2 IEEE802.11i
为了更进一步的增强WLAN技术的安全性能, IEEE802.11的工作组致力于制订被称为IEEE802.11i的新一代安全标准。IEEE802.11i安全协议标准致力于从长远角度来考虑解决IEEE802.11无线局域网的安全问题, 以满足大型企业、银行、证券等网络结构复杂而又对安全要求很高的应用环境。
为了增强WLAN的数据加密和认证性能, 定义了RSN (RobustSecurityNetwork) 的概念, 并且针对WEP加密机制的各种缺陷做了多方面的改进。IEEE802.11i规定使用802.1x认证和密匙管理方式, 在数据加密方面, 定义了TKIP (TemporalKeyIntegrityProtocol) 、CCMP (Counter-Mode/CBC-MACProtocol) 和WRAP (WirelessRobustAuthenticatedProtocol) 3种加密机制。其中TKIP采用WEP机制里的RC4作为核心加密算法, 可以通过在现有的设备基础上升级硬件和驱动程序的方法, 达到提高WLAN安全性能的目的。CCMP机制基于AES (AdvancedEncryptionStandard) 加密算法和CCM (Counter-Mode/CBC-MAC) 认证方式。使得WLAN的安全程度大大提高, 是实现RSN的强制性要求, 由于AES对硬件要求比较高, 因此CCMP无法通过在现有设备的基础上进行升级实现。WRAP机制基于AES加密算法和OCB (Offset Codebook) , 是一种可选的加密机制。
2.3 WAPI
2003年5月, 我国提出了无线局域网国家标准GB15629.11, 该标准较好地解决了无线局域网的安全问题。它和IEEE802.11i的主要区别在于安全加密技术的不同, 标准中包含了全新的WAPI (WLAN Authenticationand Pri-vacy Infrastructure) 安全机制。这种安全机制由WAI (WLAN Authentication Infrastructure) 和WPI (WLAN Pri-vacy Infrastructure) 两部分组成。WAI和WPI分别实现对用户身份的鉴别和对传输数据的加密, WAPI能为用户WLAN系统提供全面的安全保护。
其中WAI采用公开密匙密码体制, 利用证书对WLAN系统中的STA和AP进行认证, WAI还定义了一种名为ASU (AuthenticationServiceUnit) 的实体, 用于管理参与信息交换的各方所需要的证书 (包括证书的产生、颁发、吊销和更新) 。证书里面包含有证书颁发者 (ASU) 的公匙和签名, 以及证书持有者的公匙和签名 (这里的签名采用的是WAPI特有的椭圆曲线数字签名算法) 是网络设备的数字身份凭证。
WAPI协议取代了IEEE802.11标准中先天不足的WEP协议。有着比目前WEP、802.lx、WPA等安全协议更高的安全性。
2.4 VPN技术
目前已广泛应用的VPN安全技术也可用于无线局域网, 与IEEE802.11标准所采用的安全技术不同, VPN主要采用DES, 3DES等加密技术来保障数据传输的安全。对于安全性要求更高的用户, 将现有的VPN安全技术与IEEE802.11安全技术结合起来, 这是在802.11i标准正式推出之前较为理想的无线局域网安全解决方案。
VPN协议包括2层的PPTP/L2TP协议和3层的IPSec协议, IPSec用于保护IP数据包或上层数据, IPSec采用诸如数据加密标准 (DES) 和168位三重数据加密标准 (3DES) 以及其它数据包鉴权算法来进行数据加密, 并使用数字证书来验证公钥, VPN在客户端与各级组织之间架起一条动态加密的隧道, 并支持用户身份验证, 实现高级别的安全。VPN支持中央安全管理, 不足之处是需要在客户机中进行数据的加密和解密, 增加了系统的负担, 另外要求在AP后面配备VPN集中器, 从而提高了成本。无线局域网的数据用VPN技术加密后再用无线加密技术加密, 就好像双重门锁, 提高了可靠性。
3 结束语
在无线局域网的未来发展中, 安全问题仍将是一个最重要的、迫切需要解决的问题。很多公司和机构提出了自己的安全协议和认证标准, 如WAPI、IEEE802.11i等, 主要是从加密技术和密钥管理技术两方面来提供安全保障。使用加密技术可以保证WLAN传输信息的机密性, 并能实现对无线网络的访问控制, 密钥管理技术为加密技术服务, 保证密钥生成、分发以及使用过程中不会被非法窃取。另外, 灵活的、基于协商的密钥管理技术为WLAN的维护工作提供了便利。
参考文献
[1]张勇.无线局域网安全技术[J].中国金融电脑, 2007 (3) .
[2]荣莉, 罗莉.无线局域网安全的分析[J].电脑与电信, 2008 (5)
[3]薛红.浅谈无线局域网的安全技术[J].中国水运 (学术版) , 2007 (5) .
[4]卢伟良.浅析无线局域网的安全技术[J].广东科技, 2007 (4) .
[5]崔宏.新环境下的支撑:无线局域网的安全保障[J].通信世界, 2008 (15)
关键词:无线局域网;应用;展望
一、校园无线局域网的概述
校园无线局域网络的基本技术倾向于采用IEEE802.11b技术建设,802.11b宽带无线技术较成熟的,并随着技术的进步,平滑过渡到802,11g,逐步增加网络带宽。LMDS(Loca1Mu1tipoint DistribtIteservice区域多点传输服务)是点对多点无线连接技术,可以提供大带宽、远距离、高可靠性的无线连接,特别适台大的校园内多栋楼之间的连接以及不同校区之间的连接。LMDS和802.11b这两种技术结合使用,可以实现整个校园无线连接,所提供的带宽能够毫无障碍的运行一般的多媒体课件。在校园内设置无线接入基站,在一定范围内用户可以通过无线网卡自由上网,没有任何束缚,如果再配合笔记本电脑、掌上电脑,完全可以实现随时随地学习的目标。与光纤加五类线这种有线组网方式相比,通过基站和无线网卡组网所需投资较少。当前的技术背景下,采用LNlEls等无线技术手段是较适台我国高等教育应用的接入技术,它具有宽带、可靠、接入方式灵活机动,初期组网投资少、使用和维护费用合理等特点,几乎能完美的满足各高校对于接入技术的要求。
二、无线局域网在校园的应用及展望
随着教育信息化、校园数字化进程的加快,教育部对高等学校应用现代教育技术提出了具体要求,出台了《关于加强高等学校本科教学工作提高教学质量的若干意见》,明确提出各高校使用现代化教育技术、提升教学水平,要求各高校加强校园网、电子图书馆、多媒体教室等数字化教学环境的建设。国家对信息技术等新的教育技术手段的应用非常重视。研究无线接入技术在高校应用的可能性和前景具有重要意义和紧迫性。因特网接入方面存在的限制和缺陷,影响了教育信息化的进程,必须寻找符合教育需求特点的新的接入方式。无线网络技术具有无缝覆盖,可移动通讯等许多有线网络系统不具备的优点,把它引入到教育系统中,为我们开辟了一条新的途径,弥补了有线网路的不足。无线接入技术可以满足建设校园网、接入因特网、开展远程(网络)教育等一系列需求。无线局域网络在教学中的应用。由于高校条件所限,大部分教室不具各上网条件,通过无线网络的建设,可以使多数教室具各无线上网条件,教师只需携带便携电脑和相关设各,就能在任意教室中连接校园网、因特网,播放多媒体课件、从网上展示与课堂相关的资料、向学生推荐参考网站及资料,或者直接从网上使用原版最新资料。借助无线网络辅助听课,学生可以配备便携电脑在课堂上使用,通过无线网络连接校园网、囚特网,跟着教师的思路,查找和访问与课堂相关的网站、资料,提高信息接受度,有效提高听课质量,便于参考教师指定的网上资料,便于师生之间联系,激发研究式学习,培养创新能力。无线局域网络在校园公共服务体系中的应用。
目前,多数高校的图书馆、运动场、礼堂、体育馆、食堂、空旷场地等公共场所未铺设有线网络,有了无线网络,当师生在这些场所活动时,可以通过无线网络上网获取信息,充分利用时间,提高效率,方便师生快速、及时获取信息。无线网络有力的补充了学生宿舍、教室、办公场所、教职工宿舍等网络服务,提升公共服务体系的档次。学生们在無线网络环境的教室、宿舍、图书馆等场所进行复习、自学时,及时方便的利用无线网络与教师或其他同学联系,提出问题,获得解答,有助于研究式学习氛围的形成。高教系统经常召开各种校内、校际会议,有了无线网络,无线用户可以在校园内漫游上网,甚至异地漫游上网,在任意校区方便的连接网络,从而提高工作效率。传统的有线网用户从一处到达另一处后往往很难立即接入网络,而使用无线网,用户可以在无线网络基站覆盖的区域内漫游使用,如同在同t个接入点上网一样。无线网络有助于提升高校的高科技形象。通过无线网络的建设,学校拥有国际先进水平的无线校园网络,能够提升学校的信息化程度,促使“便携电脑型大学”的出现,更多的师生配备便携电脑,在无线网络环境中,实现移动教育,随时随地开展教学和学术活动。无线网络促进网络教育的发展。在无线网络教学环境下,师生将会更加注重各种先进的网络教育手段的采用,研究型学习方式将成为未来高校学生的主流学习方式,这对于培养具有创新精神的人才有着重大意义。无线网络促使网络IP电话的发展,特使得远程或异地师生之间交流、答疑变得简单、低成本。网络建设采用无线网络技术这种先进的现代教育技术手段,极大的提升中国的教育水平,促进中国教育的发展,加快教育目标的实现。
三、无线局域网的不足之处
无线局域网在能够给网络用户带来便捷和实用的同时,也存在着一些缺陷如下:
1.性能。无线局域网依靠无线电波进行传输,电波通过无线发射装置进行发射时,建筑物、车辆、树木等障碍物都可能阻碍电磁波的传输,影响网络的性能。
2.速率。目前无线信道的传输速率比有线信道低。
3.安全性。本质上无线电波不要求建立物理的连接通道,无线信号是发散的,可被监听,造成通信信息
泄漏。校园无线局域网作为有线网络的必要补充而建立起来,由于它依托有线网络的构架,可较好地解决性能、速率的问题,随着无线网络的发展,无线技术日益精熟,安全性更有保障,人们可以安全地遨游网络,充分享受“无限”的便利和自由。
四、结束语
【无线局域网结课论文】推荐阅读:
无线网络安全的论文07-25
未来无线通信技术论文11-14
企业局域网的发展10-14
局域网的设计方案10-29
组建校园局域网方案11-11
家庭无限局域网组建12-10
局域网共享常见问题06-11
局域网组建教学大纲10-19
如何在局域网中共享远程教育资源09-26