基于IEEE802.11无线宽带局域网

基于IEEE802.11无线宽带局域网 级本科毕业设计论文第 1 页 共 26 页 在这个“计算机网络无线化”的时代，伴随着有线网络的广泛应用，以快捷高效， 组网灵活为优势的无线网络技术也在飞速发展。无线局域网是计算机网络与无线通信 技术相结合的产物。从专业角度讲，无线局域网利用了无线多址信道的一种有效方法 来支持计算机之间的通信，并为通信的移动化、个性化和多媒体应用提供了可能。通 俗地说，无线局域网（Wireless local-area network，WLAN）就是在不采用传统缆线的同时，提供以太网或者令牌网络的功能。 通常计算机组网的传输媒介主要依赖 铜缆或光缆，构成有线局域网。但有线网络在某些场合要受到布线的限制：布线、改 线工程量大；线路容易损坏；网中的各节点不可移动。特别是当要把相离较远的节点 连接起来时，敷设专用通信线路的布线施工难度大、费用高、耗时长,对正在迅速扩大的联网需求形成了严重的瓶颈阻塞。无线局域网就是解决有线网络以上问题而出现 的。 它利用射频（RF）技术，取代旧式的双绞铜线构成局域网络，提供传统有线局 域网的所有功能，网络所需的基础设施不需再埋在地下或隐藏在墙里，也能够随需移 动或变化。使得无线局域网络能利用简单的存取构架让用户透过它，达到"信息随身化、便利走天下"的理想境界。WLAN计算机与无线通信技术相结合的产物，它使用无 线信道来接入网络，为通信的移动化，个人化和多媒体应用提供了潜在的手段，并 成为宽带接入的有效手段之一。 说到无线网络的历史起源，可能比想像的还要早。无线网络的初步应用，可以追 溯到五十年前的第二次世界大战期间，当时美国陆军采用无线电信号做资料的传输。 他们研发出了一套无线电传输科技，并且采用相当高强度的加密技术。当初美军和盟 军都广泛使用这项技术。这项技术让许多学者得到了灵感，在1971年时，夏威夷大学（University of Hawaii）的研究员创造了第一个基于封包式技术的无线电通讯网 络，这被称作ALOHNET的网络，可以算是相当早期的无线局域网络（WLAN）。这最早的WLAN包括了7台计算机，它们采用双向星型拓扑（bi-directional star topology）,横跨四座夏威夷的岛屿，中心计算机放置在瓦胡岛（Oahu Island）上。从这时开始，无线网络可说是正式诞生了。 虽然目前几乎所有的局域网络（LAN）都仍旧是有线的 级本科毕业设计论文第 2 页 共 26 页 架构，不过近年来无线网络的应用却日渐增加，主要应用在学术界（像是大学校园）、 医疗界、制造业和仓储业等，而且相关的技术也一直在进步，对企业而言要转换到无 线网络也更加容易、更加便宜了。 无线局域网利用电磁波在空气中发送和接受数据，而无需线缆介质。无线局域网 的数据传输速率现在已经能够达到11Mbps/54Mbps，传输距离可远至20km以上。它是对有线联网方式的一种补充和扩展，使网上的计算机具有可移动性，能快速方便地解 决使用有线方式不易实现的网络联通问题。 与有线网络相比，无线局域网具有以下优点： (1)安装便捷 一般在网络建设中，施工周期最长、对周边环境影响最大的，就是网络布线施工 工程。在施工过程中，往往需要破墙掘地、穿线架管。而无线局域网最大的优势就是 免去或减少了网络布线的工作量，一般只要安装一个或多个接入点AP(Access Point)设备，就可建立覆盖整个建筑或地区的局域网络。 (2)使用灵活 在有线网络中，网络设备的安放位置受网络信息点位置的限制。而一旦无线局 域网建成后，在无线网的信号覆盖区域内任何一个位置都可以接入网络。 (3)经济节约 由于有线网络缺少灵活性，这就要求网络规划者尽可能地考虑未来发展的需要， 这就往往导致预设大量利用率较低的信息点。而一旦网络的发展超出了设计规划，又 要花费较多费用进行网络改造,而无线局域网可以避免或减少以上情况的发生。 (4)易于扩展 无线局域网有多种配置方式，能够根据需要灵活选择。这样，无线局域网就能胜 任从只有几个用户的小型局域网到上千用户的大型网络，并且能够提供像“漫游 (Roaming)”等有线网络无法提供的特性。由于无线局域网具有多方面的优点，所以 发展十分迅速。在最近几年里，无线局域网已经在医院、商店、工厂和学校等不适合 网络布线的场合得到了广泛应用。 基于无线局域网具有的诸多优点，它可广泛应用于下列领域： 级本科毕业设计论文第 3 页 共 26 页 (1)接入网络信息系统：电子邮件、文件传输和终端仿真。 (2)难以布线的环境：老建筑、布线困难或昂贵的露天区域、城市建筑群、校园 和工厂。 (3)频繁变化的环境：频繁更换工作地点和改变位置的零售商、生产商，以及野 外勘测、试验、军事、公安和银行等。 (4)使用便携式计算机等可移动设备进行快速网络连接。 (5)用于远距离信息的传输：如在林区进行火灾、病虫害等信息的传输；公安交 通管理部门进行交通管理等。 (6)专门工程或高峰时间所需的暂时局域网：学校、商业展览、建设地点等人员 流动较强的地方；利用无线局域网进行信息的交流；零售商、空运和航运公司高峰时 间所需的额外工作站等。 (7)流动工作者可得到信息的区域：需要在医院、零售商店或办公室区域流动时 得到信息的医生、护士、零售商、白领工作者。 (8)办公室和家庭办公室（SOHO）用户，以及需要方便快捷地安装小型网络的用 户。 1997年IEEE802.11的制定是无线局域网发展的里程碑，它是由大量的局域 网以及计算机专家审定通过的标准。IEEE802.11标准定义了单一的MAC层和多样的物理层，其物理层标准主要有IEEE802.11b,a和g。 3.1.1 IEEE802.11b 1999年9月正式通过的IEEE802.11b标准是IEEE802.11标准的扩展。它可以支持最高11Mbps的数据速率，运行在2.4GHz的ISM频段上，采用的调制技术是CCK。但是随着用户不断增长的对数据速率的要求，CCK调制方式就不再是一种合适的方法 了。因为对于直接序列扩频技术来说，为了取得较高的数据速率，并达到扩频的目的， 选取的码片的速率就要更高，这对于现有的码片来说比较困难;对于接收端的RAKE接收机来说，在高速数据速率的情况下，为了达到良好的时间分集效果，要求RAKE接收机有更复杂的结构，在硬件上不易实现。 3.1.2 IEEE802.11a 级本科毕业设计论文第 4 页 共 26 页 IEEE802.11a工作5GHz频段上，使用OFDM调制技术可支持54Mbps的传输速率。802.11a与802.11b两个标准都存在着各自的优缺点，802.11b的优势在于价格低廉,但速率较低(最高11Mbps);而802.11a优势在于传输速率快(最高54Mbps)且受干扰少，但价格相对较高。另外，11a与11b工作在不同的频段上,不能工作在同一AP的网络里，因此11a与11b互不兼容。 3.1.3 IEEE802.11g 为了解决上述问题，为了进一步推动无线局域网的发展，2003年7月802.11工作组批准了802.11g标准，新的标准终于浮出水面成为人们对无线局域网关注的焦点。 IEEE802.11工作组开始定义新的物理层标准IEEE802.11g。该草案与以前的802.11协议标准相比有以下两个特点:其在2.4G频段使用OFDM调制技术，使数据传输速率 提高到20Mbps以上;IEEE802.11g标准能够与802.11b的WIFI系统互相连通，共存在 同一AP的网络里，保障了后向兼容性。这样原有的WLAN系统可以平滑的向高速无线 局域网过渡，延长了IEEE802.11b产品的使用寿命，降低用户的投资。 3.1.4 IEEE802.11n IEEE已经成立802.11n工作小组，以制定一项新的高速无线局域网标准802.11n。802.11n工作小组是由高吞吐量研究小组发展而来的，由802.11g工作小组主席Matthew B. Shoemaker担任主席一职。该工作小组在2003年9月召开首次会议。IEEE802.11n计划将WLAN的传输速率从802.11a和802.11g的54Mbps增加至108Mbps以上，最高速率可达320Mbps，成为802.11b、802.11a、802.11g之后的另一场重头戏。和以往地802.11标准不同，802.11n协议为双频工作模式(包含2.4GHz和5GHz两个工作频段)。这样11n保障了与以往的802.11a b, g标准兼容。 IEEE802.11n计划采用MIMO与OFDM相结合，使传输速率成倍提高。另外，天线 技术及传输技术，使得无线局域网的传输距离大大增加，可以达到几公里(并且能够保障100Mbps的传输速率)。IEEE802.11n标准全面改进了802.11标准，不仅涉及物理层标准，同时也采用新的高性能无线传输技术提升MAC层的性能，优化数据帧结构， 提高网络的吞吐量性能。 3.1.5 IEEE802.11MAC协议 普通的802.11无线局域网MAC层有两种通讯方式，一种叫分布式协同式（DCF），另一种叫点协同式。分布式协同（DCF）基于具有冲突检测的载波侦听多路存取方法 (CSMA/CA)，无线设备发送数据前，先探测一下线路的忙闲状态，如果空闲，则立即 级本科毕业设计论文第 5 页 共 26 页 发送数据，并同时检测有无数据碰撞发生。这一方法能协调多个用户对共享链路的访 问，避免出现因争抢线路而谁也无法通信的情况。它对所有用户都一视同仁，在共享 通讯介质时没有任何优先级的规定。点协同方式（PCF）是指无线接入点设备周期性 地发出信号测试帧，通过该测试帧与各无线设备就网络识别、网络管理参数等进行交 互。测试帧之间的时间段被分成竞争时间段和无竞争时间段，无线设备可以在无竞争 时间段发送数据。由于这种通讯方式无法预先估计传输时间，因此，与分布式协同相 比，目前用得还比较少。 3.2.1 DSSS调制技术 基于DSSS(直接序列扩频)的调制技术有三种。最初IEEE802.11标准制定在1Mbps数据速率下采用DBPSK。如提供2Mbps的数据速率，要采用DQPSK，这种方法每次处理两个比特码元，成为双比特。第三种是基于CCK(补偿编码键控)的QPSK，是11b标准采用的基本数据调制方式。它采用了补码序列与直序列扩频技术，是一种单载波调 制技术，通过PSK方式传输数据，传输速率分为1，2,5.5和11Mbps。CCK通过与接收端的Rake接收机配合使用，能够在高效率的传输数据的同时有效的克服多径效应。 IEEE802.11b使用了CCK调制技术来提高数据传输速率，最高可达11Mbps。但是传输速率超过11Mbps，CCK为了对抗多径干扰，需要更复杂的均衡及调制，实现起来非常 困难。因此，802.11工作组，为了推动无线局域网的发展，又引入新的调制技术。 3.2.2 PBCC调制技术 PBCC调制技术是由TI公司提出的，已作为802.11g的可选项被采纳。PBCC也是单载波调制，但它与CCK不同，它使用了更多复杂的信号星座图。PBCC采用8PSK，而CCK使用BPSK/QPSK；另外PBCC使用了卷积码，而CCK使用区块码。因此，它们的 解调过程是十分不同的。PBCC可以完成更高速率的数据传输，其传输速率为11，22和33Mbps。 3.2.3 OFDM技术 OFDM(正交频分复用的扩频)技术是一种无线环境下的高速多载波传输技术。无线 信道的频率响应曲线大多是非平坦的，而OFDM技术的主要思想：就是在频域内将给 定信道分成许多正交子信道，在每个子信道上使用一个子载波进行调制，并且各子载 波并行传输，从而有效的抑制无线信道的时间弥散所带来的ISI。这样就减少了接收 机内均衡的复杂度，有时甚至可以不采用均衡器，仅通过插入循环前缀的方式消除ISI 级本科毕业设计论文第 6 页 共 26 页 的不利影响。 由于在OFDM系统中各个子信道的载波相互正交，于是它们的频谱是相互重叠的， 这样不但减小了子载波间的相互干扰，同时又提高了频谱利用率。在各个子信道中的 这种正交调制和解调可以采用IFFT和FFT方法来实现，随着大规模集成电路技术与 DSP技术的发展，IFFT和FFT都是非常容易实现的。FFT的引入，大大降低了OFDM的实现复杂性，提升了系统的性能。（如图3.1所示OFDM发送接收机系统结构） FDM f OFDE f 图3.1 FDM信号与OFDM信号频谱比较 无线数据业务一般都存在非对称性，即下行链路中传输的数据量要远远大于上行 链路中的数据传输量。因此无论从用户高速数据传输业务的需求，还是从无线通信自 身来考虑，都希望物理层支持非对称高速数据传输，而OFDM容易通过使用不同数量 的子信道来实现上行和下行链路中不同的传输速率。 由于无线信道存在频率选择性，所有的子信道不会同时处于比较深的衰落情况 中，因此可以通过动态比特分配以及动态子信道分配的方法，充分利用信噪比高的子 信道，从而提升系统性能。由于窄带干扰只能影响一小部分子载波，因此OFDM系统在某种程度上抵抗这种干扰。 级本科毕业设计论文第 7 页 共 26 页 另外，同单载波系统相比，OFDM还存在一些缺点，易受频率偏差的影响，存在较 高的PAR。 OFDM技术有非常广阔的发展前景，已成为第4带移动通信的核心技术。 IEEE802.11a g标准为了支持高速数据传输都采用了OFDM调制技术。目前，OFDM结合时空编码、分集、干扰（包括符号间干扰ISI和邻道干扰ICI）抑制以及智能天线技术，最大程度的提高物理层的可靠性。如再结合自适应调制、自适应编码以及动态 子载波分配、动态比特分配算法等技术，可以使其性能进一步优化。 天 线 阵 空 空 S(k) 时 信时信 . . . . 编 源编宿Ci(k) Ri(k) 码 码 .. . . 图3.2 OFDM系统结构框图 3.2.4 MIMO OFDM技术 MIMO技术能在不增加带宽的情况下成倍地提高通信系统的容量和频谱利用率。它 可以定义为发送端和接收端之间存在多个独立信道，也就是说天线单元之间存在充分 的间隔，因此消除了天线间信号的相关性，提高信号的链路性能增加了数据吞吐量。 现代信息论表明：对于发射天线数为N，接收天线数为M的多入多出（MIMO）系统，假定信道为独立的瑞利衰落信道，并设N、M很大，则信道容量C近似为公式 C=[min(M, N)]Blog2(ρ/2) （其中B为信号带宽，ρ为接收端平均信噪比，min(M,N)为M，N的较小者）。 上式表明，MIMO技术能在不增加带宽的情况下成倍地提高通信系统的容量和频谱 利用率。研究表明，在瑞利衰落信道环境下，OFDM系统非常适合使用MIMO技术来提 级本科毕业设计论文第 8 页 共 26 页 高容量。采用多输入多输出（MIMO）系统是提高频谱效率的有效方法。我们知道，多 径衰落是影响通信质量的主要因素，但MIMO系统却能有效地利用多径的影响来提高 系统容量。系统容量是干扰受限的，不能通过增加发射功率来提高系统容量。而采用 MIMO结构不需要增加发射功率就能获得很高的系统容量。因此将MIMO技术与OFDM技术相结合是下一代无线局域网发展的趋势。 在OFDM系统中采用多发射天线实际上就是根据需要在各个子信道上应用多发射 天线技术。每个子信道都对应一个多天线子系统。一个多发射天线的OFDM系统。目前正在开发的设备由2组IEEE802.11a收发器、发送天线和接收天线各2个（2×2）和负责运算处理过程的MIMO系统组成，能够实现最大108Mbit/秒的传输速度。支持AP和客户端之间的传输速度为108Mbps，客户端不支持该技术时IEEE802.11a客户端的情况，通信速度为54Mbps。 WLAN网络产品的多种使用方法可以组合出适合各种情况的无线联网设计，可以方 便地解决许多以线缆方式难以联网的用户需求。例如，数十公里远的两个局域网相联： 其间或有河流、湖泊相隔，拉线困难且线缆安全难保障，或在城市中敷设专线要涉及 审批复杂，周期很长的市政施工问题，WLAN能以比线缆低几倍的费用在几天内实现， WLAN也可方便地实现不经过大的施工改建而使旧式建筑具有智能大厦的功能。 WLAN的设备主要包括：无线网卡、无线访问接入点、无线集线器和无线网桥，几 乎所有的无线网络产品中都自带无线发射/接收功能，且通常是一机多用。WLAN的网络结构主要有两种类型：无中心网络和有中心网络。 3.3.1 无中心网络 无中心网络(无AP网络)也称对等网络或Ad-hoc网络，它覆盖的服务区称IBSS。对等网络用于一台无线工作站（STA, Station）和另一台或多台其他无线工作站的直 接通讯，该网络无法接入有线网络中，只能独立使用。这是最简单的无线局域网结构。 (如图2.4所示)一个对等网络由一组有无线接口的计算机组成。这些计算机要有相同 的工作组名、ESSID和密码。 对等网络组网灵活，任何时间，只要两个或更多的无线接口互相都在彼此的范围 之内，它们就可以建立一个独立的网络。这些根据要求建立起来的典型网络在管理和 预先调协方面没有任何要求。 对等网络中的一个节点必需能同时"看"到网络中的其他节点，否则就认为网络中 级本科毕业设计论文第 9 页 共 26 页 断，因此对等网络只能用于少数用户的组网环境，比如4至8个用户，并且他们离得足够近。 3.3.2 有中心网络 有中心网络也称结构化网络。它由无线AP、无线工作站（STA）以及DSS构成，覆盖的区域分BSS和ESS。无线访问点也称无线AP或无线Hub，用于在无线STA和有线网络之间接收、缓存和转发数据。无线AP通常能够覆盖几十至几百用户，覆盖半 径达上百米。 BSS由一个无线访问点以及与其关联（associate）的无线工作站构成，在任何时 候，任何无线工作站都与该无线访问点关联。换句话说，一个无线访问点所覆盖的微 蜂窝区域就是基本服务区。无线工作站与无线访问点关联采用AP的BSSID，802.11中，BSSID是AP的MAC地址。 扩展服务区ESS是指由多个AP以及连接它们的分布式系统组成的结构化网络，所 有AP必需共享同一个ESSID，也可以说扩展服务区ESS中包含多个BSS。分布式系统在IEEE802.11标准中并没有定义，但是目前大都是指以太网。扩展服务区只包含物 理层和数据链路层，网络结构不包含网络层及其以上各层。因此，对于高层协议比如 IP来说，一个ESS就是一个IP子网。 有线网络一直以来都是家庭、企业用户经常使用的网络方式。随着无线网络的普 及，有线网络也渐渐的暴露出其不可避免的弊端：布线、改线工程量大；线路容易损 坏；网中的各节点不可移动。特别是当要把相离较远的节点联接起来时，架设专用通 信线路的布线施工难度大、费用高、耗时长,对正在迅速扩大的连网需求形成了严重 的瓶颈阻塞。这时无线网络就显示其优越性：可移动性、安装简单、高灵活性和扩展 能力，作为对传统有线网络的延伸，在许多特殊环境中得到了广泛的应用。以前电影 中经常出现的在智能大厦里任意地方移动办公，随时随地下载资料、打印文件的片断， 都出现在我们的现实生活当中。 但是在无线局域网的安全性更值得我们去注意。由于传送的数据是利用无线电波 在空中辐射传播，无线电波可以穿透天花板、地板和墙壁，发射的数据可能到达预期 之外的、安装在不同楼层、甚至是发射机所在的大楼之外的接收设备，任何人都有条 级本科毕业设计论文第 10 页 共 26 页 件窃听或干扰信息，数据安全也就成为最重要的问题。因此，我们在一开始应用无线 网络时，就应该充分考虑其安全性，了解足够多的防范措施，保护好我们自己的网络。 下面，我们就向大家介绍一些无线局域网所面临的危险，知道了解危险如何存在，那 么我们再去解决也就相对容易一些： (1)容易侵入 无线局域网非常容易被发现，为了能够使用户发现无线网络的存在，网络必须发 送有特定参数的信标帧，这样就给攻击者提供了必要的网络信息。入侵者可以通过高 灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方 式的侵入。 (2)非法的AP 无线局域网易于访问和配置简单的特性，使网络管理员和安全官员非常头痛。因 为任何人的计算机都可以通过自己购买的AP，不经过授权而连入网络。很多部门未通过公司IT中心授权就自建无线局域网，用户通过非法AP接入给网络带来很大安全隐患。 (3)经授权使用服务 一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改。几乎 所有的AP都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密钥。由于 无线局域网的开放式访问方式，未经授权擅自使用网络资源不仅会增加带宽费用，更 可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出的服务条款，可 能会导致ISP中断服务。 (4)服务和性能的限制 无线局域网的传输带宽是有限的，由于物理层的开销，使无线局域网的实际最高 有效吞吐量仅为标准的一半，并且该带宽是被AP所有用户共享的。 无线带宽可以被几种方式吞噬：来自有线网络远远超过无线网络带宽的网络流 量，如果攻击者从快速以太网发送大量的Ping流量，就会轻易地吞噬AP有限的带宽； 如果发送广播流量，就会同时阻塞多个AP；攻击者可以在同无线网络相同的无线信道 内发送信号，这样被攻击的网络就会通过CSMA/CA机制进行自动适应，同样影响无线网络的传输；另外，传输较大的数据文件或者复杂的client/server系统都会产生很 大的网络流量。 (5)地址欺骗和会话拦截 级本科毕业设计论文第 11 页 共 26 页 由于802.11无线局域网对数据帧不进行认证操作，攻击者可以通过欺骗帧去重 定向数据流和使ARP表变得混乱，通过非常简单的方法，攻击者可以轻易获得网络中 站点的MAC地址，这些地址可以被用来恶意攻击时使用。 除攻击者通过欺骗帧进行攻击外，攻击者还可以通过截获会话帧发现AP中存在的认证缺陷，通过监测AP发出的广播帧发现AP的存在。然而，由于802.11没有要求AP必须证明自己真是一个AP，攻击者很容易装扮成AP进入网络，通过这样的AP，攻击者可以进一步获取认证身份信息从而进入网络。在没有采用802.11i对每一个802.11 MAC帧进行认证的技术前，通过会话拦截实现的网络入侵是无法避免的。 (6)流量分析与流量侦听 802.11无法防止攻击者采用被动方式监听网络流量，而任何无线网络分析仪都可 以不受任何阻碍地截获未进行加密的网络流量。目前，WEP有漏洞可以被攻击者利用， 它仅能保护用户和网络通信的初始数据，并且管理和控制帧是不能被WEP加密和认证的，这样就给攻击者以欺骗帧中止网络通信提供了机会。 早期，WEP非常容易被Airsnort、WEPcrack一类的工具解密，但后来很多厂商发布的固件可以避免这些已知 的攻击。作为防护功能的扩展，最新的无线局域网产品的防护功能更进了一步，利用 密钥管理协议实现每15分钟更换一次WEP密钥。即使最繁忙的网络也不会在这么短 的时间内产生足够的数据证实攻击者破获密钥。 (7)高级入侵 一旦攻击者进入无线网络，它将成为进一步入侵其他系统的起点。很多网络都有 一套经过精心设置的安全设备作为网络的外壳，以防止非法攻击，但是在外壳保护的 网络内部确是非常的脆弱容易受到攻击的。无线网络可以通过简单配置就可快速地接 入网络主干，但这样会使网络暴露在攻击者面前。即使有一定边界安全设备的网络， 同样也会使网络暴露出来从而遭到攻击。 有线网络和无线网络有着不同的传输方式。有线网络的访问控制往往以物理端口 接入方式进行监控，数据通过双绞线、光纤等介质传输到特定的目的地，有线网络辐 射到空气中的电磁信号强度很小，很难被窃听，一般情况下，只有在物理链路遭到盗 用后数据才有可能泄漏。而无线网络的数据传输是利用电磁波在空气中辐射传播，只 要在接入点(AP，Access Point)覆盖的范围内，所有的无线终端都可以接收到无线信 号。无线网络的这种电磁辐射的传输方式是无线网络安全保密问题尤为突出的主要原 级本科毕业设计论文第 12 页 共 26 页 因。 无线局域网络产品的IEEE 802.11系列标准主要有802.11a(5GHz-1999年获得通过)、802.11b(11Mbps 2.4GHz-1999年获得通过)、802.11d(额外的规章制度)、802.11e(服务质量)、802.11f(接入点间协议IAPP)、802.11g(2.4GHz-更高的数据速率>20Mbps-2003年5月获得通过)、802.11h(灵活的频率选择与传输电源控制机制)、802.11i(验证与安全性-2004年6月获得通过)、802.1x(基于端口的网络接入控制 EAP-2003年6月获得通过)，下面将标准中涉及的安全技术加以阐述。 通常网络的安全性主要体现在两个方面：一是访问控制，它用于保证敏感数据只 能由授权用户进行访问；另一个是数据加密，它用于保证传送的数据只被所期望的用 户所接收和理解。无线局域网相对于有线局域网所增加的安全问题主要是由于其采用 了电磁波作为载体来传输数据信号，其他方面的安全问题两者是相同的。 4.2.1 服务集标识SSID(Service Set Identifier)匹配 通过对多个无线AP设置不同的SSID标识字符串(最多32个字符)，并要求无线工作站出示正确的SSID才能访问AP，这样就可以允许不同群组的用户接入，并对资 源访问的权限进行区别限制。但是SSID只是一个简单的字符串，所有使用该无线网 络的人都知道该SSID，很容易泄漏；而且如果配置AP向外广播其SSID，那么安全程度还将下降，因为任何人都可以通过工具或Windows XP自带的无线网卡扫描功能就 可以得到当前区域内广播的SSID。所以，使用SSID只能提供较低级别的安全防护。 4.2.2 物理地址(MAC，Media Access Control)过滤 由于每个无线工作站的网卡都有唯一的类似于以太网的48位的物理地址，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现基于物理地址的过滤。如 果各级组织中的AP数量很多，为了实现整个各级组织所有AP的无线网卡MAC地址统一认证，现在有的AP产品支持无线网卡MAC地址的集中RADIUS认证。物理地址过滤的方法要求AP中的MAC地址列表必须及时更新，因此此方法维护不便、可扩展性差； 而且MAC地址还可以通过工具软件或修改注册表伪造，因此这也是较低级别的访问控 制方法。 4.2.3 新一代无线安全技术——IEEE802.11i 为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容， IEEE802.11工作组于2004年6月正式批准了IEEE 802.11i安全标准，从长远角度考 虑解决IEEE 802.11无线局域网的安全问题。IEEE 802.11i标准主要包含的加密技术 级本科毕业设计论文第 13 页 共 26 页 是TKIP(Temporal Key Integrity Protocol)和AES(Advanced Encryption Standard)，以及认证协议IEEE 802.1x。定义了强壮安全网络RSN(Robust Security Network)的概念，并且针对WEP加密机制的各种缺陷做了多方面的改进。 IEEE 802.11i规范了802.1x认证和密钥管理方式，在数据加密方面，定义了 TKIP(Tem-poral Key Integrity Protocol)、CCMP(Counter-Mode/CBC2 MAC Protocol) 和WRAP(Wireless Ro2bust Authenticated Protocol)三种加密机制。其中TKIP可以通过在现有的设备上升级固件和驱动程序的方法实现，达到提高WLAN安全的目的。CCMP机制基于AES(Advanced Encryption Standard)加密算法和CCM(Counter2Mode/CBC2MAC)认证方式，使得WLAN的安全程度大大提高，是实现RSN的强制性要求。AES是一种对称的块加密技术，有128/192/256位不同加密位数，提 供比WEP/TKIP中RC4算法更高的加密性能，但由于AES对硬件要求比较高，因此CCMP无法通过在现有设备的基础上进行升级实现。 在某些场合，如大型企业、银行、证券行业，其现有的网络结构比较复杂且对网 络的安全性要求很高，仅使用基本的安全措施并不能完全达到其安全需求。为了进一 步加强无线网络的安全性， IEEE802.11工作组目前正在开发作为新的安全标准的 “IEEE802.11i”，并且致力于从长远角度考虑解决IEEE 802.11无线局域网的安全问题。IEEE 802.11i标准草案中主要包含加密技术：TKIP (Temporal Key Integrity Protocol) 和 AES（Advanced Encryption Standard），以及认证协议：IEEE802.1x。 在 IEEE 802.11i 标准最终确定前，WPA（WiFiTM Protected Access）技术将成为代替WEP的无线安全标准协议，为IEEE 802.11 无线局域网提供更强大的安全性能。 WPA是IEEE802.11i的一个子集，其核心就是IEEE802.1x和TKIP。 IEEE802.11i是新一代的无线安全标准。在 IEEE 802.11i 标准最终确定前，WPA技术将成为代替WEP的无线安全标准协议。WPA是IEEE802.11i的一个子集，其核心 就是IEEE802.1x和TKIP 新一代的加密技术TKIP与WEP一样基于RC4加密算法，且对现有的WEP进行了改进，在现有的WEP加密引擎中追加了“密钥细分（每发一个包重新生成一个新的密 钥）”、“消息完整性检查（MIC）”、“具有序列功能的初始向量”和“密钥生成 和定期更新功能”等4种算法，极大地提高了加密安全强度。TKIP与当前WiFiTM 产品向后兼容，而且可以通过软件进行升级，AboveCable无线产品完全支持WiFiTM标准，只需要简单的软件升级就可以实现对TKIP的支持。 级本科毕业设计论文第 14 页 共 26 页 TKIP在基于RC4加密算法的基础上引入的4个新算法: （1）扩展的48 位初始化向量(IV)和IV顺序规则(IV Sequencing Rules); 表4.1 802.11i协议结构 上层认证机制(EAP) IEEE802.1X TKIP CCMP （2）每包密钥构建机制(per-packet key construction); （3）Michael 消息完整性代码(Message Integrity Code,MIC); （4）密钥重新获取和分发机制。 TKIP 并不直接使用由PTK/ GTK分解出来的密钥作为加密报文的密钥，而是将该 密钥作为基础密钥(Base Key) ，经过两个阶段的密钥混合过程，从而生成一个新的、 每一次报文传输都不一样的密钥，该密钥才是用做直接加密的密钥，通过这种方式可 以进一步增强WLAN 的安全性。 IEEE 802.11i中还定义了一种基于“高级加密标准”AES的全新加密算法，以实施更强大的加密和信息完整性检查。AES是一种对称的块加密技术，提供比WEP/TKIP中RC4算法更高的加密性能，它将在IEEE 802.11i最终确认后，成为取代WEP的新一代的加密技术，为无线网络带来更强大的安全防护。 端口访问控制技术（IEEE802.1x）和可扩展认证协议（EAP） IEEE802.1x是一种基于端口的网络接入控制技术，在网络设备的物理接入级对接 入设备进行认证和控制。IEEE802.1x可以提供一个可靠的用户认证和密钥分发的框 架，可以控制用户只有在认证通过以后才能连接网络。IEEE802.1x本身并不提供实际的认证机制，需要和上层认证协议（EAP）配合来实现用户认证和密钥分发。EAP允许无线终端可以支持不同的认证类型，能与后台不同的认证服务器进行通讯，如远程接 入拨入用户服务（RADIUS）。 IEEE 802.1x提供了一个可靠的用户认证和密钥分发的框架，可以控制用户只有 在认证通过以后才能连接到网络。但IEEE 802.1x本身并不提供实际的认证机制，需 要和扩展认证协议EAP(Extensible Authentication Protocol)配合来实现用户认证和密钥分发。EAP允许无线终端使用不同的认证类型，与后台的认证服务器进行通讯， 如远程认证拨号用户服务器(RADIUS)交互。EAP的类型有EAP-TLS、EAP-TTLS、EAP-MD5、 级本科毕业设计论文第 15 页 共 26 页 PEAP等类型，EAP-TLS是现在普遍使用的，因为它是唯一被IETF(因特网工程任务组)接受的类型。当无线工作站与无线AP关联后，是否可以使用AP的受控端口要取决于802.1x的认证结果，如果通过非受控端口发送的认证请求通过了验证，则AP为无线工作站打开受控端口，否则一直关闭受控端口，用户将不能上网。 AboveCable HotSopt AP已经加入了对IEEE802.1x和EAP的支持，大大提高了无 线网络的安全性能，为各行业安全地使用无线网络提供了坚实的基础，完全可以满足 企业、学校、物流仓储等对网络安全要求较高的无线用户的需求。 IEEE802.1x认证过程如下： 1） 无线终端向AP发出请求，试图与AP进行通讯； 2） AP将加密的数据发送给验证服务器进行用户身份认证； 3） 验证服务器确认用户身份后，AP允许该用户接入； 4） 建立网络连接后授权用户通过AP访问网络资源； 4.2.4 802.11mesh网的关键技术 当前，业界的802.11mesh网体系结构不尽相同，主要区别在于无线中继的方式 和无线中继链路路由选择的方法。无线中继手段，业界主要的分歧在于采用 Multi-Band、Multi-Radio方式还是采用Single-Band、Single-Radio方式。如果用户接入和无线中继工作于同一频段，如使用工作于2.4GHz的802.11b作为用户接入，同时使用同样工作于2.4GHz的802.11g作无线中继，就是一种Single-Band、Single-Radio方式。反之，用户接入和无线中继工作于不同频段，如使用工作于2.4GHz的802.11b/g作为用户接入，同时使用工作于5GHz的802.11a作无线中继，则是一种典型的Multi-Band、Multi-Radio方式，采用Multi-Radio方式至少可以将接入部 分和无线中继部分从频率上分开，使得两者互不干扰，能在一定程度上提升性能。 而在路由算法上，沿用有线网络路由协议还是开发专用的无线mesh路由协议也是两种截然不同的技术路线。Mesh路由的目的是为了寻找最优或相对最优的回传路 径。在无线网络中，网络性能同发送成功概率息息相关。在WMN中，一个好的路由算法必须兼顾减少路由跳数以及降低某条链路上包错误概率。在这个意义上，传统的有 线路由协议并不适合于无线mesh路由，因为它通常无法考虑一条无线链路上包错误 概率。因此，单从性能角度来考察，必须开发适用于无线环境的mesh路由协议。 4.2.5 802.11mesh网的安全挑战 Mesh网和802.11无线局域网相比多跳通信是一个主要的安全挑战。众所周知无 级本科毕业设计论文第 16 页 共 26 页 线通信很容易受到被动攻击（如窃听），以及主动攻击（如信息篡改，DOS攻击）。而这些安全隐患在多跳的mesh网中将被进一步放大。 （1）在802.11无线局域网中每个用户端都和AP相连，所以有利于管理员的管 理。但是由于802.11mesh网是一个多跳网络，所以将所有的都集中一端的 无线网关将延缓网络对攻击的检测和应对，这将无疑会给攻击者带来好处。 （2）由于无线路由器距离Internet接入点有近有远，远离Internet接入点的节点有可能获得很小的带宽，所以设计合理的协议来保证节点间公平是很重要的。然 而对公平性的保护也带来了新的挑战。 （3）在有线网络中路由器一般会得到妥善的保护，所以对有线网络中的路由器 的攻击不是那么方便，然而不同于有线网的路由器无线路由器一般都在室外分布，比 如安放在楼顶或安放在路灯上。所以无线路由器得不到很好的物理保护。这很容易造 成攻击者对无线路由器的攻击，比如修改路由器中的信息，窃取路由器中用于认证的 对称密钥或公私钥对，或者用非法的无线路由器替换合法的。 （4）由于无线路由器得不到很好的物理保护，攻击者可以潜入网络伪装成合法 的节点，发布错误的路由信息。所以必须设计安全的路由协议以对抗针对路由协议的 攻击。 4.2.6 802.11mesh网的安全解决 目前802.11mesh网的安全方案主要是Tropos的TroposMetroMesh方案和Nortel的方案。Tropos Metro Mesh方案，采用了多层安全架构，对客户机提供WEP、WPA保护；对无线路由器间的数据采用64/128 bit WEP或128bit AES加密；同时使用VPN来增强整体的安全性。 链路层的保护是无线网络安全机制的第一步，但是单独的链路层保护不能提供对 敏感数据的保护。TroposMetroMesh使用了一系列方法来保护链路层的安全： （1）使用WEP通过用加密所有的帧来提供网络接入控制和安全数据传输。但是 WEP被证明易受被动攻击，如果单独使用不能提供充分的安全性。 （2）WPA是Wi-Fi联盟最新的安全标准，它使用更强的密码体制。WPA利用EAP和RADIUS提供更强的认证，它还提供了基于802.1x的端口接入控制。 （3）使用128bitAES加密所有终端用户在mesh网中多跳传输的数据直到它们到 达一个有线网关。 （4）使用MAC地址接入控制列表：接入点通过设置可接入名单和黑名单来进接 级本科毕业设计论文第 17 页 共 26 页 入控制。但是因为物理地址可以被修改所以基于MAC地址的接入控制只能当作多层安 全体制中的一部分。 （5）抑制网络名（ESSID）：接入点允许管理员有选择的抑制网络可用性的广播， 这样可以使非法的节点不能发现接入点，除非他使用探测工具。 （6）多网络名（ESSID）：使用多接入点标示可以灵活适应有不同无限设备和安 全性的用户组。在三、四层Tropos使用VPN来实现网络接入控制和保护数据传输。 在无线路由器上使用流量过滤来加强VPN提供的安全。使用128bit AES加密PWRP路由协议传输的节点身份和路由选择路径信息。 管理信息的加密：作为网关的无线路由器从与它相关联的节点收集管理信息并发 送到管理服务器，并使用AES加密这些流量。所有的无线路由器可以使用基于Web的配置来进行配置和监控，所有的配置信息使用HTTPS进行保护，这样网络管理者可以 安全的配置和监控每一个无线路由器。 Nortel在安全方面也别具特色。每个无线路由器间均建立经过加密的IPSec隧道，以便安全地传送所有用户的数据业务、内部信令处理和管理信息，也就是说数据 在无线路由器之间的传送都处于IPSec保护之下。不过网关并不涉及用户的认证工作。 对于具有WPA（802.11i）功能的用户而言，无线路由器会将用户的认证信息经过IPSec加密隧道“透明地”传送到网络中心的RADIUS认证服务器进行合法性认证。通过认 证后，无线路由器与用户间的传输资料就会以WPA/802.11i加密算法加密，用户的传 输资料将经由IPSec加密隧道，在无线路由器之间传送直到网关。另外，无线路由器 不仅支持多种用户WPA：EAP-TLS、EAP-TTLS、EAP-PEAP；还在无线路由器间采用以 WPA为基础的认证功能，对新加入网络的无线路由器进行认证，防止非法无线路由器 接入。并使用基于WPA的加密功能，保证邻近无线路由器间传送的路由和通信控制协 议的安全。 4.3.1 WEP(Wired Equivalent Privacy)有线等效保密 为了保证数据能安全地通过无线网络传输而制定的一个加密标准，使用了共享秘 钥RC4加密算法，只有在用户的加密密钥与AP的密钥相同时才能获准存取网络的资 源，从而防止非授权用户的监听以及非法用户的访问。密钥长度最初为40位(5个字符)，后来增加到128位(13个字符)，有些设备可以支持152位加密。 WEP标准在保护网络安全方面存在固有缺陷，例如一个服务区内的所有用户都共 级本科毕业设计论文第 18 页 共 26 页 享同一个密钥，一个用户丢失或者泄漏密钥将使整个网络不安全。另外，WEP加密有自身的安全缺陷，有许多公开可用的工具能够从互联网上免费下载，用于入侵不安全 网络。而且黑客有可能发现网络传输，然后利用这些工具来破解密钥，截取网络上的 数据包，或非法访问网络。 4.3.2 WPA保护访问(Wi-Fi Protected Access) WEP存在的缺陷不能满足市场的需要，Wi-Fi联盟适时推出了WPA技术，WPA是一种可替代 WEP的无线安全技术，在 IEEE 802.11i 标准最终确定前，将为IEEE802.11 无线局域网 (WLAN)提供更强大的安全性能。WPA实际上是IEEE 802.11i的一个子集，其核心就是IEEE 802.1x和TKIP。 WPA考虑到不同的用户和不同的应用安全需要，例如：企业用户需要很高的安全 保护（企业级），否则可能会泄漏非常重要的商业机密；而家庭用户往往只是使用网 络来浏览 Internet、收发email、打印和共享文件，这些用户对安全的要求相对较低。 为了满足不同要求用户的需要，WPA中规定了两种应用模式： 企业模式：通过使用认证服务器和复杂的安全认证机制来保护无线网络通信安 全。家庭模式（包括小型办公室）：在AP（或者无线路由器）以及连接无线网络的无 线终端上输入共享密钥来保护无线链路的通信安全。 WPA之所以比WEP更可靠，就是因为它改进了WEP的加密算法。其原理为根据通 用密钥，配合表示电脑MAC地址和分组信息顺序号的编号，分别为每个分组信息生成 不同的密钥，然后与WEP一样将此密钥用于RC4加密处理。通过这种处理，所有客户 端的分组信息所交换的数据将由各个不相同的密钥加密而成。无论收集到多少这样的 数据，要想破解出原始的通用密钥几乎是不可能的。WPA还追加了防止数据中途被篡 改的功能和认证功能。由于具备这些功能，此前WEP中倍受指责的缺点得以全部解决。 WPA不仅是一种比WEP更为强大的加密方法，而且有更为丰富的内涵。由于WEP密钥分配是静态的，黑客可以通过拦截和分析加密的数据，在很短的时间内就能破解密钥。 而在使用WPA时，系统频繁地更新主密钥，确保每一个用户的数据分组使用不同的密 钥加密，即使截获很多的数据，破解起来也非常地困难。 4.3.3 其它数据加密技术——虚拟专用网络(VPN) 虚拟专用网络(VPN)是指在一个公共IP网络平台上通过隧道以及加密技术保证专 用数据的网络安全。它不属于802.11标准定义，是以另外一种强大的加密方法来保 证传输安全的技术，可以和其它的无线安全技术一起使用。VPN协议包括二层的 级本科毕业设计论文第 19 页 共 26 页 pptP/L2TP协议和三层的IPSec协议，IPSec用于保护IP数据包或上层数据，IPSec采用诸如数据加密标准(DES)和168位三重数据加密标准(3DES)以及其它数据包鉴权算法来进行数据加密，并使用数字证书来验证公钥，VPN在客户端与各级组织之间架 起一条动态加密的隧道，并支持用户身份验证，实现高级别的安全。VPN支持中央安全管理，不足之处是需要在客户机中进行数据的加密和解密，增加了系统的负担，另 外要求在AP后面配备VPN集中器，从而提高了成本。无线局域网的数据用VPN技术加密后再用无线加密技术加密，就好像双重门锁，提高了可靠性。 表4.2 对几种主要的无线加密技术进行了比较。 指标 LEAP+TKIP EAP-TLS+TKIP PEAP+TKIP 基于Psec的VPN 密钥长度(比特) 128 128 128 128，168，192，256 加密算法 RC4 RC4 RC4 3DES或AES 包完整性 CRC-32/MIC CRC-32/MIC CRC-32/MIC MD5-HMAC/SHA-HMAC 设备认证 没有 证书 没有 预共享的密钥获证书 用户明/口用户明/口令或一次性 用户认证 证书 用户明/口令 令 口令 证书的需要 不需要 RADUS/WLAN客户 RADUS 可选 用户的区别 组 组 组 使用者 附加的硬件 不需要 认证服务器 不需要 Psec集中器 用户密钥 是 是 是 是 协议支持 任何 任何 任何 P单播 客户操作系统支 大范围 大范围 大范围 大范围 持 开放标准 不是 是 ETF草案 不是 在WLAN安全解决方案中，政府和大型机构将不使用或者推迟使用WLAN，他们将等待安全的WLAN保密安全技术，如WPA，或者类似产品诞生。但也有的将采用其他保 密安全技术。 (1)使用私有的WEP安全技术。私有的WEP安全技术对WEP的形式进行一定改变，但是还是容易被攻击，而且私有协议不能互相兼容。 (2)增强的2层隧道协议。哈里斯公司开发的安全无线局域网——Harris SecNet 11采用增强的2层隧道协议，目前美国国家安全局已允许政府使用。其能提供增强的 级本科毕业设计论文第 20 页 共 26 页 安全，但是造价昂贵(估计每个网络接口卡需要2500美元)。 各级组织在建设WLAN时，在有数据安全需求时，保护网络中重要数据传输的安 全是非常重要的问题，必须确保重要数据不外泄和完整性，制定合理的安全规划。 5.1.1 从访问控制考虑 不论是对有线的以太网络还是无线的802.11网络，RADIUS都是标准化的网络登 录技术。支持802.1x 协议的RADIUS技术，提高了WLAN的用户认证能力，802.1x技术能够为用户带来高效、灵活的无线网络安全解决方案。所以，选用802.1x技术的无线产品是各级组织WLAN访问控制的最佳选择，而没有技术和设备条件的各级组织 在访问控制上起码要使用SSID匹配和物理地址过滤技术。 5.1.2 从数据加密考虑 无线网络的数据完全是在空气中传输，只要处于该无线信号覆盖范围内，就很容 易通过其他无线设备截取信息，因此，保密性和安全性对无线产品尤为重要。WPA、TKIP、AES等数据加密技术提供了较高的安全性，各级组织必须选用有这类安全加密 标准的产品，128位的WEP加密技术是迫不得已的选择。 5.1.3 传输性能及功耗 无线产品目前主要有IEEE802.11b、IEEE802.11a、IEEE802.11g标准。802.11b技术运行在2.4GHz频段，能够提供11Mbps的数据传输速率，802.11b产品成本较低，对电源要求较低，得到了众多厂商的广泛支持和普遍应用；运行于5GHz频段的802.11a规范能够提供高达54Mbps的数据传输速率；802.11g标准是专门设计用来提 升802.11b网络的性能与应用，运行在2.4GHz频段的802.11g标准将设备的数据传 输速率提升到了20Mbps之上，最高可以提供54Mbps的数据传输速率，802.11g+甚至可以达到108Mbps。802.11a／g调制的功效比802.11b高出二至三倍。这使得我们在 WLAN上操作时，移动设备的电池寿命能够获得显著改善。尽管802.11b在某个时间瞬间所耗的功率可能较少，但在802.11b网络上传输／接收有意义的应用数据量的时间 却可能比 802.11a／g 无线局域网长出五倍，支持更长的传输／接收时间所需的功率 使802.11b的功效大大低于802.11a／g。所以，在产品选型上，尽量选用802.11a／g的产品。 级本科毕业设计论文第 21 页 共 26 页 5.1.4 安全指标 制定了安全规划后，在选择无线产品时，要仔细查看设备是否提供SSID、IEEE802.1X、MAC地址绑定、WEP、WPA、TKIP、AES等安全机制，以保证无线网络的 顺利部署。 5.1.5 硬件安装 合理布置无线AP及工作站的位置，同样对网络安全性十分重要。例如，应将AP置于接近建筑物中心的地方，远离外向墙壁或窗户。这样不仅可使所有办公室能够更 好地接入WLAN，而且还可减少来自外界的干扰，而且还应灵活地减少接入点广播强度， 仅覆盖所需区域，减少被窃听的机会。 5.2.1 技术人员重视安全技术措施 从最基本的安全制度到最新的访问控制、数据加密协议，各级组织的网络技术主 管部门都需要采用最高安全保护措施。采用的安全措施越多，其网络相对就越安全， 数据安全才能得到保障。 5.2.2 用户安全教育 各级组织的网络技术人员可以让办公室中的每位网络用户负责安全性，将所有网 络用户作为“安全代理”，明确每位员工都负有安全责任并分担安全破坏费用，以帮 助管理风险。重要的是帮助员工了解不采取安全保护的危险性，特别需要向用户演示 如何检查其电脑上的安全机制，并按需要激活这些机制，这样可以更轻松地管理和控 制网络。 5.2.3 安全制度建设 制定安全制度，进行定期安全检查。WLAN实施是危险的，网络技术人员应该公布 关于无线网络安全的服务等级协议或政策，还应指定政策负责人，积极定期检查各级 组织网络上的欺骗性或未知接入点。此外，更改接入点上的缺省管理密码和SSID，并实施动态密钥(802.1X)或定期配置密钥更新，这样有助于最大限度地减少非法接入网 络的可能性。 无线局域网总的发展方向是速度会越来越快(目前已见的是11Mbps的IEEE 802.11b，54Mbps的IEEE 802.11g 与IEEE 802.11a标准)，安全性会越来越高。当 级本科毕业设计论文第 22 页 共 26 页 然无线局域网的各项技术均处在快速的发展过程当中，但54Mbps的无线局域网规范IEEE 802.11g及IEEE 802.11i将是整个无线局域网业的热点。 在无线网络的发展中，安全问题是所有问题的焦点，而在802.11i标准中加入了新的安全措施，加强了无线网的安全性，很好地解决了现有无线网络的安全缺陷和隐 患。安全标准的完善，无疑将有利于推动WLAN 应用。网络的安全不仅与加密认证等 机制有关，而且还需要入侵检测、防火墙等技术的配合来共同保障，因此无线局域网 的安全需要从多层次来考虑，综合利用各种技术来实现。面对形形色色的无线安全方 案，我们需要保持清醒：即使最新的802.11i也存在缺陷，没有一种方案就能解决所 有安全问题。例如，许多Wi-Fi解决方案当前所提供的128位加密技术，不可能阻止黑客蓄意发起的攻击活动。许多用户也常常会犯一些简单错误，如忘记启动WEP功能，从而使无线连接成为不设防的连接，用户没有在企业防火墙的外部设置AP，结果使攻击者利用无线连接避开防火墙，入侵局域网。对于用户来说，与其依赖一种安全技术， 不如选择适合实际情况的无线安全方案，建立多层的安全保护机制，这样才能有助于 避免无线技术带来的安全风险。 对无线局域网的安全防护应考虑以下防范点和措施： 安全防范点： 1. 未经授权用户的接入 2. 网上邻居的攻击 3. 非法用户截取无线链路中的数据 4. 非法AP的接入 5. 内部未经授权的跨部门使用 相应措施： 1. 使用各种先进的身份认证措施，防止未经授权用户的接入 由于无线信号是在空气中传播的，信号可能会传播到不希望到达的地方，在信号覆盖范围内，非法用户 无需任何物理连接就可以获取无线网络的数据，因此，必须从多方面防止非法终端接 入以及数据的泄漏问题。 2. 利用MAC阻止未经授权的接入 每块无线网卡都拥有唯一的一个MAC 地址，为 AP 设置基于 MAC 地址的 Access Control（访问控制表），确保只有经过注册的设 备才能进入网络。 使用802.1x端口认证技术进行身份认证 使用802.1x端口认证技术配合后台的RADIUS认证服务器，对所有接入用户的身份进行严格认证，杜绝未经 授权的用户接入网络，盗用数据或进行破坏。 3. 使用先进的加密技术，使得非法用户即使截取无线链路中的数据也无法破译 基本的WEP加密 WEP是IEEE802.11b无线局域网的标准网络安全协议。在传输信息时， WEP可以通过加密无线传输数据来提供类似有线传输的保护。在简便的安装和启动之 级本科毕业设计论文第 23 页 共 26 页 后，应立即设置WEP密钥。 4. 利用对AP的合法性验证以及定期进行站点审查，防止非法AP的接入 在无线AP接入有线集线器的时候，可能会遇到非法AP的攻击，非法安装的AP会危害无线网络的宝贵资源，因此必须对AP的合法性进行验证。AP支持的IEEE802.1x技术提供了一个客户机和网络相互验证的方法，在此验证过程中不但AP需要确认无线用户的合法性，无线终端设备也必须验证AP是否为虚假的访问点，然后才能进行通信。通过 双向认证，可以有效的防止非法AP的接入。对于那些不支持IEEE802.1x的AP，则需要通过定期的站点审查来防止非法AP的接入。在入侵者使用网络之前，通过接收天 线找到未被授权的网络，通过物理站点的监测应当尽可能地频繁进行，频繁的监测可 增加发现非法配置站点的存在几率，选择小型的手持式检测设备，管理员可以通过手 持扫描设备随时到网络的任何位置进行检测。 5. 利用ESSID、MAC限制防止未经授权的跨部门使用 利用ESSID进行部门分组，可以有效地避免任意漫游带来的安全问题；MAC地址限制更能控制连接到各部门AP的终端，避免未经授权的用户使用网络资源。 保障整个网络安全是非常重要的，无论是否有无线网段，大多数的局域网都必须 要有一定级别的安全措施。而无线网络相对来说比较安全，无线网段即或不能提供比 有线网段更多的保护，也至少和它相同。需要注意的是，使用无线局域网的最终目标 不是消除有线设备，而是尽量减少线缆和断线时间，让有线与无线网络很好地配合工 作。 级本科毕业设计论文第 24 页 共 26 页 通过论文的编写，我不仅学习到了IEEE802.11各种标准及无线局域网安全相关 技术，还掌握IEEE802.11安全协议簇，还了解无线通信的发展及相关应用。无线局 域网安全技术主要包括3G、3.5GHz MMDS、WLAN、WiMax、UWB等五大热点。几种无线技术的融合应用，是大势所趋。今天，第三代移动通信3G格外引人瞩目，成为无线 通信产业的最大热点。3.5GHz宽带固定无线接入技术MMDS，是工作于3.5GHz无线频段上的中宽带无线接入技术。今年4月份，第三批3.5GHz宽带固定无线接入频率评 选（招标）工作在我国进行，使MMDS技术在我国的应用进一步扩大，这也使3.5GHz固定无线接入技术成为今年业界的热点之一。无线局域网技术WLAN（Wi－Fi），其技术标准为802.11，可实现十几兆至几十兆甚至上百兆的无线接入。而自去年开始的 WAPI标准之争，吸引了全球的关注目光。“WiMAX”已经成为近期互联网上搜索量最 大的通信关键词，该项技术以其远覆盖和高带宽特性，成为无线业界的新宠。无线技 术领域的活跃除表现在新技术不断涌现外，还表现在其传输能力的不断拓展。近两年， 一项超高速的无线接入技术受到了大家的关注，那就是UWB。 级本科毕业设计论文第 25 页 共 26 页 1 赖小龙.802.11无线局域网的安全技术[D] .西安电子科技大学，2004 2 倪源.无线局域网系统安全技术研究、应用与实现:西安电子科技大学，2004 3 田海博.无线局域网安全研究.西安电子科技大学，2003 4 冯登国.网络安全原理与技术.北京：科学出版社，2003 5 李涛.网络安全概论.北京：电子工业出版社，2004 6 方旭明.下一代无线因特网技术：无线mesh网络.北京：人民出版社，2006 7 吕征宇，陈国柱，钱照明，汪生.电力电子中的数字化控制技术[J].机电工程，2001 8 朱洪波，傅海阳等.无线接入网(M).北京:人民邮电出版社，2000 9 沈庆国.移动计算机通信网络(M).北京:人民邮电出版社，1999. 10 刘元安等.宽带无线接入和无线局域网(M).北京：北京邮电出版社，2000 11 G.J.Pottie.wireless sensor networks.Inc IEEE Information Theory Workshop,1998 139-140 12 IEEE Working Group. (1999) ， Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications High-speed Physical Layer in the 5 GHz Band, IEEE 13 IEEE Working Group. (1999) ， Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications: Higher-Speed Physical Layer Extension in the 2.4 GHz Band， IEEE 14 L B puil，J M S Nogueira,A A P Loureiro.MANNA:a management acchitecture for wireless sensor networks.IEEE communication magazine,2003,41 (2):116-125 15 IEEE std802.lla一1999，IEEE computer society，1999年 级本科毕业设计论文第 26 页 共 26 页