企业无线网络的架设与安全技术
摘要:目前,随着无线网络的发展以及企业内部的发展需求,越来越多的企业选择进行内部无线网络建设。企业内进行无线网络建设具有无线网络安装方便、不需要大规模布线、能快速重建、网络扩展相对简单、无线灵活性高等特点。相比传统网络,无线网络的实用效应更加轻便。无线网络如何架设和管理,包括场地、器材的选择,具有探讨价值,特别是其安全性得到前所未有的重视。
关键词:无线网络、企业、网络架设、安全技术
随着信息技术的不断发展,人们对网络技术的要求也不断地提高,希望在任何时间、任何地点,都能够与任何人进行包括数据、语音、图像等任何内容进行通信,使无线用户对网络的使用实现移动和漫游。无线网络,就是指用无线信道来代替传统有线传输介质所构成的网络,可实现无线设备可移动的网络,数据传输系统。无线网络作为有线网络的有效补充,有效地解决了有线网络环境下不适合布线场所的上网问题,是利用无线网络技术实现无线网络应用的一种新技术。因此,无线网络的构建和应用既可以实现计算机网络建设的目的,又可以
让无线设备自由地移动、便捷地部署,同时易于扩展和推广。
无线网络的最早应用是在第二次世界大战期间,当时美国采用相当高强度的加密技术,研发了一套把无线电信号作为数据传输方式的无线电传输技术,这项技术被当时的美军和盟军广泛使用。1971 年,第一个无线电通信网络由夏威夷大学的研究人员所建立,称为AlohaNet 的网络。它使用 7 台计算机,中心计算机放置在瓦胡岛,采用双向星型拓扑,横跨四座夏威夷的岛屿,构成了一个简单的无线局域网;至此,无线网络开始正式诞生,并开始了其蓬勃发展的历程。
近年来,无线网络技术的日益成熟和笔记本电脑的不断普及,以及无线网络产品的价格不断走低,无线网络已在一些领域占据了主流的地位,并成为一种普及性很高的网络访问方式。特别是无线网络建设速度快、运营成本低、灵活性高、扩展能力强,越来越多的企业、政府机构、事业单位等将无线网络作为有线网络的重要补充,特别是公司和科研机构对无线网络技术的使用更为热衷。 [2][1]
目前,企业有线网络已发挥着重要的作用。作为服务综合一体化的企业网络,在学习、生活、工作和交流等方面极大的方便了广大职工。
1.无线网络概述
无线网络是指用无线信道来代替传统有线传输介质所构成的网络,可实现无线设备可移动的网络数据传输系统。无线网络在有线网络的基础上发展起来的,是有线网络的一种有效的补充;两者形成一种很好的互补,给各公司提供一个稳定、高速、便利的企业网络环境。
1.1 无线网络的优点
可移动性,是指无需线缆就可以接入网络的移动自由性,是无线网络的主要
优势。其他优势还包括安装更迅捷、费用更低、网络可靠性更高以及能够快速支 持灾后重建等。
1.2 无线网络的缺点
无线网络存在着一些不足,这些不足包括:射频信号干扰、安全性、不同供应商产品的互操作性问题以及对健康的潜在危害等,这些都是无线网络技术的缺点。
1.2 无线网络的传输介质
能常用于无线网络数据传输的主要有红外线(IR)和无线电波两种方式;在采用无线电波传输时,通常采用扩频(Spread Spectrum)技术,把发射频谱限制在一定的带宽之内,发射功率被限制在 1W 的范围之内,主要采用直接序列扩频(DSSS)和跳频扩频(FHSS)两种形式实现,新一代的无线局域网如 802.11a/g 等,则采用频带利用率更为高效的 OFDM 方式。如果用微波特指定向无线传输的方式,用射频表示其他一般的无线传输方。
1.3无线网络的分类
根据网络覆盖范围、传输速率和用途的差异,无线网络大体可分为无线广域网、无线城域网、无线局域网、无线个域网和无线体域网。
1)无线广域网(Wireless Wide Area Network,WWAN):主要通过通信卫星进行数据通信,覆盖范围最大。代表技术是3G 以及4G 等,数据传输速率一般在2Mb/s 以上。由于3GPP2 的标准化工作日趋成熟,一些国际标准化组织(如国际电信联盟ITU)已开始考虑能提供更大传输速率和灵活统一的全IP 网络的下一代移动通信系统,也称为超3G、IMT-Advanced、LTE Advanced、或4G。
2)无线城域网(Wireless Metropolitan Area Network,WMAN):主要通过移动电话或车载装置进行移动数据通信,可覆盖城市中的大部分地区。代表技术是IEEE802.20 标准,[5][4][3]
主要针对移动宽带无线接入(Mobile Broadband Wireless Access,MBWA)。
该标准强调移动性(支持速度可高达时速250 公里),由IEEE 802.16 宽带无线接入(Broadband Wireless Access,BWA)发展而来。
另一个代表技术是IEEE 802.16 标准体系,主要有802.16、802.16a、802.16e 等。其中802.16 针对一点对多点,802.16a 是它的补充,增加了对非视距(NLOS, None Line of Sight)和网状结构(Mesh Mode)的支持,802.16e 是对802.16d 的增强,支持在2-11GHz频段下的固定和车速移动业务,并支持基站和扇区间的切换。802.16a/e 也称为WiMAX。802.16m 是目前正在制定的最新版本(静止接收1Gb/s,移动接收100Mb/s)。
3)无线局域网(Wireless Local Area Network,WLAN):覆盖范围较小。数据传输速率为11~56Mb/s 之间(甚至更高)。无线连接距离在50 ~100 米。代表技术是IEEE802.11 系列,以及HomeRF 技术。IEEE802.11 标准系列包含802.11b/a /g3 个WLAN标准,主要用于解决办公室局域网和校园网中用户终端的无线接入。其中,802.11b 的工作频段为
2.4~2.4835GHz,数据传输速率达到11Mb/s,传输距离100~300m。802.11a 的工作频段为
5.15~5.825GHz,数据传输速率达到54Mb/s,传输距离10-100 米,但由于技术成本过高,因此,该技术缺乏价格优势。802.11g 标准拥有802.11a 的传输速率,安全性较802.11b 好,且与802.11a 和802.11b 兼容。
4)无线个域网(Wireless Personal Area Network,WPAN):通常指个人计算(Personal Computing)中无线设备间的网络。无线传输距离一般在10 米左右,代表技术是IEEE 802.15、Bluetooth、ZigBee 技术,数据传输速率在10Mb/s 以上。例如Bluetooth 工作在2.4GHz 频段,可实现低成本、短距离无线通信,在10 米范围内可提供721Kb/s 的异步最大通信速率,并可最多同时和7 个其他蓝牙设备进行通信。IEEE802.15 还可用于无线传感器网络(Wireless Sensor Networks)中传感器节点间的通信[10][9][8][7][6]。
5)无线体域网(Wireless Body Area Network,WBAN):以无线医疗监控和娱乐、军事应用为代表,主要指附着在人体体表或植入人体内的传感器之间的无线通信。从名称上来看,WBAN 和WPAN 有很大关系,但它的通信距离更短,通常来说为小于2 米[11]。因此传输距离非常短是无线体域网的物理层特征。从传输距离角度给出各种网络间的比较。从网络拓扑结构角度,无线网络又可分为有中心网络和无中心、自组织网络。有中心网络以蜂窝移动通信为代表,基站作为一个中央基础设施,网络中所有的终端要通信时,都要通过中央基础设施进行转发;无中心网络以移动自组织网络(Moblie Ad Hoc Networks)、无线传感器网络、移动车载自组织网络(Vehicular Ad Hoc Networks,VANET)为代表,采用分布式、自组织
的思想形成网络,网络中每个节点都兼具路由功能,可以随时为其他节点的数据传输提供路由和中继服务,而不仅仅依赖单独的中心节点。这种网络具有一些通用特征,如无中心基础设施、自组织、动态拓扑变化、有限的传输带宽等
1.4 无线网络的常用设备
在企业无线网络中,常用的设备有无线网卡、无线接入点、无线网桥、无线网关/路由器、无线控制器、天线等。
1.4.1无线网卡(Wireless Card)是用于接收和发送无线电波的接口卡。现市面上常用的无线网卡及其对应各自的协议:11Mbps(802.11b),22Mbps(802.11Super b),54Mbps(802.11g/802.11a),108Mbps(802.11 Super G),125Mbps(802.11 High Speed-G),300Mbps(802.11n)[13][12]。 。根据接口不同,无线网卡有如下几种类型:PCI 接口无线网卡:用于连接台式电脑,插在主板的 PCI 插槽上,有些是 PCI 转换卡,有些是完全集成的无线 PCI 卡;没有太多的兼容问题,安装简单;缺点是信号容易受机箱本身的阻挡,对信号接收方向影响比较明显。
1.4.2 USB 接口无线网卡:同时适用于连接笔记本电脑或台式电脑,优点是支持热插拔,临时使用方便;缺点是插在电脑上容易脱落,且部分 USB 网卡对电源要求较高,部分 USB 供电不足的主板可能无法使用。
1.4.3 PCMCIA 接口无线网卡:是个人电脑存储卡国际协会的缩写,主要在早期的笔记本电脑比较常见,支持热插拔,造价较低,需具备 PCMCIA 接口才能使用,现已很少使用。
1.4.4 SD/CF 接口无线网卡:SD/CF 接口无线网卡拥有 SD/CF 卡的外观,但内置了 Wi-Fi 无线网卡的储存卡,各种具备 SD/CF 接口的设备都使用,例如笔记本电脑、照相机、手机、掌上 PDA 等;其同时具备存储和 WIFI 功能,但常用场合较少使用。
1.4.5内置无线网卡:内置无线网卡主要有两种,MINI-PCI 和 PCI-E 接口,从时间来划分,INTEL 855 和 915 系统芯片组以及同时代的 SIS 和 ATI 芯片组用的都是 MINI-PCI 接口标准,从迅驰三代开始,也就是 INTEL945系统、INTEL965 系统都是 PCI-E 接口,后者是前者的替代接口。
无线 AP
1.4.6无线接入点(AP),也叫无线访问点,简称无线 AP,它提供从有线网络对无线终端和无线终端对有线网络的访问,在 AP 覆盖范围内的无线终端可以通过它进行相互通信,是无线网络和有线网络之间沟通的桥梁;无线 AP 与有线交换机或路由器进行连接,并帮助下连的无线终端获取 DHCP 分配的 IP 地址。主要用于小范围区域,典型距离可覆盖几十米
至上百米。
1)目前,无线 AP 的类型:
企业经济型AP:可以保证在较大范围内为无线终端用户提供稳定的连接速率,多用户使用时可以在不同信道间自动漫游,有严密的管理措施,发射功率 100mW,价格较高。
经济型AP:只提供简单的接入功能,管理由嵌入式系统来实现,发射功率低于 100mW,价格低廉,能够为数十人提供无线接入服务。
经济型带路由功能AP:这是一款加装了功率放大器的经济 AP,且带有路
由功能,可以满足更大范围内的使用,产品定位在前两者之间。
2)无线 AP 的几种工作模式:
Access Point(纯 AP 模式):纯 AP 接入点模式,就是将我们的有线网络转换成无线网络,再连接各种无线终端,比如具备有无线网卡的台式机、笔记本、PAD、带 WIFI 的手机等。
Wireless Client(网桥模式):与 AP 进行桥接的模式。通过 Site Survey(信号搜索)功能把对方 AP 或无线路由的 SSID 搜索出来,然后连接上去。适用手机、PAD 等设备接入无线网络或当免驱动无线网卡给台式机使用。
Wireless Bridge(AP 到 AP 无线桥接):使用两个 AP 连通两个不同的局域网的一种无线桥接模式,适合两栋建筑物之间无线通讯使用。此模式是将对方 AP 的 MAC 地址填进自己 AP 的。Wireless Bridge。项就能实现两个 AP 间的互连。
Multi-point Bridge(多 AP 桥接):这是一个扩大无线网络范围的应用,同时支持两个以上的 AP 进行无线桥接,适合多栋建筑物之间无线通讯使用。此模式是将放在中心位置的 AP 选 。Multiple Bridge。项,其他AP 将中心位置的 AP 的 MAC 地址填进自己的。Wireless Bridge。项就能实现各 AP 间的互连。
Repeater(万能无线信号中继):为了增大无线距离,就可使用 Repeater模式,只要其他 AP 或无线路由接上宽带,它就可以接收无线信号再把减弱了的无线信号再放大发送出去,适合远距离传输。该模式可使两台 AP之间无线信号中继放大,可以支持各种速率的信号中继,经过测试各品牌 AP 间中继的兼容非常好。只要将 AP 置成 Repeater 模式,然后用Wireless Client 项的 Site Survey(信号搜索)搜索附近的 AP 或其他无线路由的 SSID 连接上去,然后把对方 AP 或无线路由的 MAC 地址复制到这台 AP 的 Repeater Remote AP MAC 栏就能实现 AP 间的互连。
1.4.7 无线网桥
无线网桥就是两个或多个网络之间通信的桥梁;它是两个无线网段间信号的中继器,可实现扩展两边网络的功能。无线网桥广泛应用在不同建筑物之间的互联,覆盖范围在几百米到几十公里。
无线网桥的几种架设方案:
1)点对点方式:点对点型(PTP),即。直接传输。。使分别位于不同建筑物中两个固定的网络无线通过网桥设备来连接。该方式一般在两端放置两个天线进行信号收发,再通过馈线将天线与网桥进行连接,网桥再通过物理连接方式与网络互连。
2)中继方式:即。间接传输。。例如:AB 两点之间不可视,但两者之间可以通过中间一座 C 楼间接可视。并且 AC 两点,BC 两点之间满足网桥设备通讯的要求。可采用中继方式,C 楼作为中继点。AB 各放置网桥和天线。C 点有 3 种可选方式:(1)放置一台网桥和一面全向天线,这种方式适合对传输带宽要求不高,距离较近的情况;(2)如果 C 点采用的是单点对多点型无线网桥可在中心点 C 的无线网桥上插两块无线网卡,分别通过馈线连接到两个天线,再分别与 A 网和 B 网进行网络连接;(3)放置两台网桥和两面定向天线。
3)点对多点传输:点对多点型,即通过中间建筑物为中心点分别与周围的建筑物进行无线网络互连。该方式一般在中间建筑物放置一台网桥和一面增强型的全向天线,使在无线信号覆盖范围内的建筑物能通过中间建筑物进行网络连接。
1.4.8 无线网关/无线路由器
网关是指一个网络与另一个网络互联的接口,可以在不同协议之间进行转换,使不同无线网关协议在网络之间进行互联。无线网关是指具备简单路由功能的无线接入点,可以直接连接外部网络,实现多用户的 Internet 共享接入的硬件设备。
路由器是局域网、广域网连接到因特网的结点设备,它通过路由决定数据的转发,选择最佳路径,将数据按先后顺序发送的设备。无线路由器是指集成 AP与路由器功能的一种设备,通过它可在覆盖范围内划分出一个子网,使这个范围内所有无线终端能实现网络的正常访问。无线路由器可用于完成计算机网络互连和不同协议的转换、网络地址的过滤。网关是网络的接口,而路由器是一个设备,实质上路由器的功能中已经包含了网关接口,现在一般来说网关和路由器都是指一个设备。
现时,无线网络产品都发展得很快,把很多功能集成到一台设备上,既可以是具有路由器功能的设备,又可以是具有网桥功能的功能,甚至是充当无线 AP设备,还可以是网关、防火墙等功能的设备,对于网络要求不高的环境,这种设备非常具有人性化,很受人们的欢迎。
无线网络的资源管理
周围环境容易影响无线信号的传播,比如多径、电磁干扰等问题会导致无线信号在不同的方向上传输存在复杂的衰减现象,因此需对 WLAN 的实施进行周密的网络规划。成功部署无线网络后,仍要在应用阶段根据无线环境的不断变化进行相应的参数调整;移动过程中的障碍物、正在工作的空调或微波炉等都会对无线信号的传播带来干扰的影响,所以发射功率、信道、频率等射频资源必须能根据用户环境的变化进行动态地调整。这种复杂的调整过程是需要丰富技术经验的人员进行定期的检测,这无疑使管理成本增大。
无线资源管理(WLAN RRM)是一种射频管理的解决方案,通过采集、分析、决
策、执行的方法,为无线资源管理提供一套实时智能射频管理方案,确保无线网络在不同的无线环境变化过程中都保持最优的状态。
1.5 信道调整
在一定无线覆盖范围内合理地使用非重叠信道用于每个 AP 上,对于无线网络管理来讲是非常重要的。例如在 2.4G 网络上,非重叠信道只有 3 个,为 AP实现智能信道分配是无线得以应用的关键。同时,大量可能的干扰源,如雷达、微波炉等在无线网络工作的频段上存在,AP 的正常工作将被它们所干扰[14]。为了保证最优的信道能被每个 AP 所分配,使相邻信道干扰尽可能地减少或避免,可以通过信道调整功能来实现;同时,为了使 AP 可以实时避开雷达、微波炉等干扰源,则可以通过实时信道检测来实现。通过动态信道调整来实现持续进行的通信,为网络提供可靠的传输。
1.6 功率调整
传统的射频功率控制方法只是为了单纯地追求信号覆盖范围而静态地将发射功率设置为最大值,但是由于功率过大可能导致造成不必要的干扰而影响其他无线设备。因此,选择最佳功率用以平衡覆盖范围和系统容量是有需要的。
功率调整就是根据实时的无线环境情况,在整个无线网络的运行过程中对功率进行动态合理分配。当 AP 初次开始运行时,它使用的是最大传输功率;而当它探测其到他邻居AP(邻居指被该AP探测到的且是由同一AC管理的另一个AP),并得到其他邻居 AP 发来的报告时,功率会根据环境的实际情况有所增减。功率增加或减少最终取决于探测的结论。
1.7 无线网络的漫游
无线漫游是指无线用户想在整个 WLAN 覆盖区内移动使用无线网络,这个无线网络环境必须存在多个 AP,且它们有一定范围互相重合的微单元,当附近信号强度最大的 AP 被无线网卡自动发现,并进行连接,通过这个 AP 保持不间断的网络连接和数据传输。当一个终
端第一次关联到漫游组内的任何一个无线控制器(该控制器即为他的家乡代理 Home-AC,HA)时,它们之间会采用 11Key 密钥协商。在漫游组内跨AC 漫游之前会在漫游组内的无线控制器之间(新关联的控制器为为他的外地代理 Foreign-AC,FA)进行终端信息的同步。如果一个终端可以采用 802.1x(RSN)认证方式,那么 FA 可以快速认证无线终端的信息,只需执行 11key 即可在漫游组内实现方便地无缝漫游。
2.公司企业无线网络的构建和应用
2.1 公司企业网建设的现状
目前,企业局域网为企业职工的学习、生活和工作带来了极大的方便,数字化办公已不足为奇。
目前企业是以有线网络为主,但有线网络有如下不足之处:网络规划复杂;安装和维护难度大;电缆系统的故障率高;网络连接点难以移动,由于组织结构重组、办公地点变更等原因所引起的网络重建时间过长,建设费用高;难以给公共场所提供网络服务。而无线网络具有易于安装、便于维护、移动性好、成本低、扩展性强等优点,因此,在企业很多场合可作为有线网络有效的替代或补充。现时各公司已开始加快无线网络建设的步伐,不断地完善有线网络和无线网络无缝结合的建设工作,创造一个高效、实用、安全的企业网络环境。
企业无线网络现已成为公司企业网的重要组成部分,而不仅仅是作为有线网络的一种补充和延伸,还具备以下功能:它与现存的有线网络无缝结合,互为补充,扩展了网络使用范围;它提供情移动平台给移动多媒体教学应用方面;它便于笔记本电脑及具有 Wi-Fi 功能手持设备的用户随时随地的访问网络;它使企业网能灵活地为外来的使用者提供便捷的网络服务。同时,不同需求的用户和复杂的企业地理环境,对用户的安全认证服务、无线网络信号的无缝覆盖、非法用户的监测等提出更高的要求。现时,企业无线网络只是初级建设阶段,远远不能达到无线网络的无缝覆盖,在企业内还是存在很多网络盲点;同时,对无线网络安全的不够重视,企业网络用户一般都采用 WEP 等加密方式,其不安全的架构的缺陷给无线网络安全留下的潜在威胁是巨大的,甚至部分用户无线网络直接采用开放式认证方式的接入,再加上无线网络自身的特点,使无线网络容易被攻击者入侵及非法用户的接入;再则,无线网络的建设没有做到统一规划和有序建设,且组网模式多采取 Fat AP 模式,给网络管理和维护造成了非常大的困难。所以,如何建设一个统一、高效、稳定、安全、全覆盖的无线网络,成为了无线网络建设必须高度重视的问题。
采用的 CSMA/CD 这两种标准都是有 IEEE 组织认证的,从标准制定方面两者的结合是
具有先天优势的。此外,无线网络技术所采用 CSMA/CA 在载波侦听、多路访问,冲突避免协议等功能与有线网络技术所采用的 CSMA/CD 功能是类似。所有这些都从技术角度为无线网络和现有有线网络的无缝应用提供了广泛的可能。其次,从实际应用角度进行分析,经过多年的数字信息化建设,在企业里有线网络已经得到了广泛的构建和深入的应用,虽然有线网络存在建设费用较高,信息点固定,不便移动接入,维护困难等客观问题,但其在稳定性、带宽、速率、安全等方面的优势十分明显,因此不可能对有线网络弃置不用,而最佳企业网络解决方案就是对现有有线网络进行升级和改造,在提升和完善有线网络的主干核心作用外,加快无线网络的建设步伐,从而构建一个高速、便捷、覆盖广泛的公司企业网络系统。
对于大多数企业来说,企业网络的基本准则包括实用性、先进性、经济性、可靠性、安全性、成熟性、开放性、标准性、可扩充性等;为了实现这个目标,单纯的有线网络构建和单纯的无线网络构建都是不可取的,而且企业内环境比较复杂、实际需求也不尽相同,因此为了达到上述要求可充分利用两种网络组建技术综合网络进行优势互补。
2.2 有线网络和无线网络综合构建网络的总体思路
2.2.1 利用有线网络建设企业骨干网络
由于公司企业用户多,因此对网络的流量有较高的要求;另外,由于有些实验室和办公室等地方的资料是需保密的,对网络安全性有较高的要求,而以上这些要求无线网络暂时是无法达到的。所以,采用有线网络作为企业骨干网络是最合适的选择。
2.2.2利用无线网络对现有网络进行扩容改造
现有有线网络已在企业普及,但由于受建筑物线缆布设的限制,在部分区域会存在网络的盲点或者无法布线的情况;同时,随着笔记本的普及应用,在企业内空旷区域开展的活动、室内召开的学术研讨和会议等对移动网络信息点要求越来越多;无线网络的最主要优势就是移动性,在这些区域采用无线网络技术对WLAN 进行构建将能很好地解决这些问题,充分发挥无线网络作为有线网络和无线网络综合构建网络的可行性分析。有线网络和无线网络各有各的特点,只有将两者有效地结合起来,进行无缝的实施才能更好发挥网络的作用。
3.企业无线网络的构建和应用
用户何时使用网络?用户在何处使用网络?用户为什么要使用网络?分析现时实施环境通过对现有的网络、系统、用户之间的相互应用关系的充分理解是此阶段的主要任务,采取切实可行的解决方案,解决它们之间发现的问题。
3.1制定设计的初步方案
在此阶段,需要将解决方案进行书面正式化,包括初步设计资料、设计目标、
网络拓扑图、数据流图等。
深化设计,确定详细设计方案
在深化设计阶段,充分考虑在初步设计评审中提到的所有变化,把所有变化内容综合到详细设计中,确保整体方案不会因初步设计评审中所制定的所有功能
改变而受到影响。
3.2执行实施方案
实施阶段是对设计方案以实际行动来实现,按照详细设计方案对人力、物力、资源进行最优化,确保设计方案得到有效的实施,使整个项目达到所确定的目标和要求,实现利益的最大化。
3.3项目资料的整理
项目实施完成后,对整个项目期间的所有文档资料进行事理,其主要目的收集记录整个项目的设计、实施和验收等过程的信息,以便于项目后续的工作维护及升级改造。
无线网络组网模式的选择
随着信息技术的发展,无线网络的技术和产品都更新换代了很多次,而根据无线技术和产品的变化,无线网络组网模式也有了很多改进,其中比较有代表性的就是 Fat AP(胖 AP)模式和 Fit AP(瘦 AP)模式。
Fat AP 虽然初期投入少见效快,但 AP 将无线网络的用户认证、数据加密、网络管理等功能集于一身,每台 AP 都需要单独进行配置,难于集中管理,比较耗费人力和物力,增加了成本。工作于 Fat AP 模式的 AP 满足小规模组网需求,主要在无线网络建设的初期
3.4网络管理的需求
企业网络的信息点多,用户密集,设备数量多且复杂,对网络进行高效管理需要充分利用有限的人力物力,多关注业务管理、用户管理和设备管理等三个方面。企业网络建设不仅支撑管理系统,而且也要支撑业务系统;同时,现时的网络也能够支撑未来新业务的发展及新技术的平滑升级。网络技术日新月异,在企业网要对网络的协议标准性、兼容性以及管理规范性进行充分的考虑。对企业网络建设进行合理规划,降低整体建设成本,是网络建设的当务之急。
3.5 无线网络的规划和设计原则
遵循实效至上,应用为先,急用先上,逐步完善的原则;保护已有投资,以实用性的原则为依据,建设具有最高性价比的无线网络。网络必须能可靠地运行,应有关键设备的冗余,
确保系统出现故障进,能及时恢复正常运行,并且没有造成损失。采用既能反映当今先进水平,又可能给未来留有扩展空间的无线网络方法、技术与设备。
网络具有很好的维护性,具备良好的网络监控、网络管理、故障分析和处理能力。网络必须具有灵活方便的控制机制和权限设定,以及高度的保密机制,使系统对各种形式的非法侵入可以通过多种手段来防备,并确保机密信息的安全传输。对于网络的应用环境,为了充分保护原有资源,在各方面必须具有升级换代的可能及最好的性价比。
4.无线网络安全问题
4.1无线网络安全与有线网络安全的区别
4.1.1无线网络的开放性使得网络更容易受到被动窃听或主动干扰等各种攻击。有线网络的网络连接是相对固定的,具有确定的边界,攻击者必须物理地接入网络或经过物理边界,如防火墙和网关,才能进入到有线网络。通过对接入端口的管理可以有效地控制非法用户的接入。而无线网络则没有一个明确的防御边界。无线网络的开放性带来了信息截取、未授权使用服务、恶意注入信息等一系列信息安全问题,如无线网络中普遍存在的DDoS 攻击问题。
4.1.2无线网络的移动性使得安全管理难度更大。有线网络的用户终端与接入设备之间通过线缆连接,终端不能在大范围内移动,对用户的管理比较容易。而无线网络终端不仅可以在较大范围内移动,而且还可以跨区域漫游,这增大了对接入节点的认证难度,如移动通信网络中的接入认证问题。而且,移动节点没有足够的物理防护,从而易被窃听、破坏和劫持。攻击者可能在任何位置通过移动设备实施攻击,而在较大范围内跟踪一个特定的移动节点是不容易的;另一方面,通过网络内部已经被入侵的节点实施内部攻击造成的破坏更大,更
难以检测,且要求密码安全算法能抗密钥泄露,抗节点妥协。移动性在VANET 中会产生位置隐私保护问题。
4.1.3无线网络动态变化的拓扑结构使得安全方案的实施难度更大。有线网络具有固定的拓扑结构,安全技术和方案容易部署;而在无线网络环境中,动态的、变化的拓扑结构缺乏集中管理机制,使得安全技术(如密钥管理、信任管理等)更加复杂(可能是无中心控制节点、自治的)。例如,WSN 中的密钥管理问题,MANET 中的信任管理问题。另一方面,无线网络环境中做出的许多决策是分散的,许多网络算法(如路由算法、定位算法等)必须依赖大量节点的共同参与和协作来完成。例如MANET 中的安全路由问题。攻击者可能实施新的攻击来破坏协作机制(于是基于博弈论的方法在无线网络安全中成为一个热点)。
4.1.4无线网络传输信号的不稳定性带来无线通信网络及其安全机制的鲁棒性(健壮性)问题。有线网络的传输环境是确定的,信号质量稳定,而无线网络随着用户的移动其信道特性是变化的,会受到干扰、衰落、多径、多普勒频移等多方面的影响,造成信号质量波动较大,甚至无法进行通信。无线信道的竞争共享访问机制也可能导致数据丢失。因此,这对无线通信网络安全机制的鲁棒性(健壮性、高可靠性、高可用性)提出了更高的要求。
4.1.5无线网络终端设备具有与有线网络终端设备不同的特点。有线网络的网络实体设备,如路由器、防火墙等一般都不能被攻击者物理地接触到,而无线网络的网络实体设备,如
访问点(AP)可能被攻击者物理地接触到,因而可能存在假的AP。无线网络终端设备与有线网络的终端(如PC)相比,具有计算、通信、存储等资源受限的特点,以及对耗电量、价格、体积等的要求。一般在对无线网络进行安全威胁分析和安全方案设计时,需要考虑网络节点(终端)设备的这些特点。目前,网络终端设备按计算、通信和存储性能可分为智能手机、平板电脑(笔记本电脑)、PDA、车载电脑、无线传感器节点、RFID 标签和读卡器等。这些网络节点设备通常具有以下特点:(1)网络终端设备的计算能力通常较弱(可能跟设备价格相关);(2)网络终端设备的存储空间可能是有限的;(3)网络终端设备的能源是由电池提供的,持续时间短;(4)无线网络终端设备与有线网络设备相比更容易被窃、丢失、损坏等。
(1)无线 AC
无线控制器(AC)是一个无线网络的核心设备,负责对无线网络中的 AP 进行管理,包括:参数配置、下发配置、RF 智能管理、接入安全控制等。在传统的无线网络中,每个 AP 独立完成无线信号收发、数据交换、认证授权、数据加密等工作,各自为政,没有统一集中控制管理的设备,效率非常低。而采用 AC 的新型无线网络解决方案后,所有的 AP 只负责无线信号收发和数据交换等工作,而认证授权、数据加密、安全控制等高层次的工作由 AC 负责,且 AC对其范围内的所有 AP 进行集中控制和管理,效率得到大大的提高。现时,这种Fit AP+AC 组网方式广泛应用于大中型无线网络。
(2)天线
每一个无线设备上都有一个天线。天线是一种用来发射和接收电磁波的设备,主要有全向天线和定向天线两种,前者主要用于近距离、大范围覆盖的场所,而后者主要用于远距离、小范围覆盖的场所。
天线的选购:如果需要满足多个站点,并且这些站点是分布在 AP 的不同方向时,需要
采用全向天线;如果点与点之间互相通信,建议采用定向天线;另外还要考虑天线的接头形式是否和 AP 相应的接口匹配、天线的增益大小等是否符合您的需求。
天线的安装:对于室外天线,天线与无线 AP 之间需要增加防雷设备;定向天线要注意天线的正面朝向远端站点的方向;天线应该安装在尽可能高的位置,天线和站点之间尽可能满足视距传输的要求(肉眼可见,中间避开障碍)。
4.2解决无线网络问题的一般思路
在具体分析无线网络的安全问题时,一般的思路如下:
1)分析对系统的假设和约定。这主要指对网络终端、网络中间实体等网络节点系统的假设与约定,通常包括对网络中各相关节点的计算、通信、存储、电源等能力的假设。相同的安全问题,对于不同的假设和约定条件下,通常导致不同的解决方法。例如,网络终端节点的计算能力是否有限制,如RFID 和传感器节点在计算能力上是有区别的,能够部署和执行的安全算法是有差异的,传感器节点上一般采用轻量级的密码算法,如NTRU、TinyECC 等,RFID上能够采用的加密算法多为轻量级分组算法,如LBLock 等。
2)分析网络的体系结构,明确网络的拓扑结构(星形、网状、分层树状、单跳还是多跳网络、拓扑结构是否变化、节点是否移动、节点移动的速度范围)、通信类型(单播、组播、广播等)、链路特征参数(带宽、吞吐率、延迟)、网络规模(点数量、网络覆盖面积)、业务数据类型(语音、数据、多媒体、控制指令)等,以及网络的异构性(多种形态网络的融合,有线网络和无线网络的融合),网络的时效性(是临时存在的还是长期存在的)。它和上一条一起构成了设计安全方案时的客观约束条件,例如,网络拓扑结构往往会影响路由安全,节点移动性会影响身份认证,网络规模会影响密钥管理,业务数据类型会影响加密方式等。这些条件也会影响到后面对信任模型和敌手模型的建模。例如,临时动态的网络通常没有
可信第三方,异构网络中的有线核心网部分是否存在敌手。
3)分析网络的业务构成(工作流程、操作过程),涉及的实体(角色)、业务通信的基本内容等,思考这些实体和通信内容可能面临的安全威胁。例如,网络的业务构成过程中可能
遭受的安全威胁,业务的工作流程决定了需要安全保护的具体通信内容,涉及的实体决定了协议设计中的交互方以及访问控制对象。这一部分的分析将帮助确定具体的安全威胁,并
最终帮助确定对应的安全需求。
4)分析网络和系统中的信任模型,明确方案涉及的相关实体和通信链路的信任程度,即通信链路或者实体是可信、半可信还是不可信的,思考并确定安全的边界。信任模型中半可
信的一个例子是指能够按照协议执行相关操作,但会泄露或者篡改协议通信的内容。某些不可信的敌手可能不按照所期望网络协议的方式操作,如无线传感器网络中的Blackhole 攻
击、Greyhole 攻击等,这时需要借助非密码学的方法,如入侵
检测、基于信任的管理等机制等。
5)分析攻击网络和系统的敌手模型:是内部还是外部攻击,是主动还是被动攻击,思考对敌手能力的设定(固定敌手还是移动敌手),给出一些典型的攻击场景,以及对这些攻击可能导致的后果。例如,在无线传感器网络中特殊的攻击方式(如Sybil攻击、虫洞攻击),RFID 网络中的隐私破坏问题,针对网络编码的Pollution 攻击等等。如果对敌手模型的假设越强,则安全性越高。根据网络的特征来分析,便于发现该网络中存在的特有的安全威胁或攻击模式,防御这些威胁时,通用的网络安全措施可能不能奏效,这便需要根据该网络的业务特点以及相关系统和体系结构的假设与约定进行安全方案设计。发现新的攻击方法是无线网络安全研究中的一个基本创新点,其创新之处在于发现并提出了一个新的安全问题。如果进而给出对新的攻击方法的安全方案则构成了一个完整的创新点。
6)从存在的威胁中归纳出共性的安全需求。通常的思路是从信息安全基本安全需求的角度来分析,包括保密性、认证性、完整性、可用性、健壮性(鲁棒性、容侵、容错、抗节点妥协、可靠性)、隐私保护、信任管理。无线网络的移动性特点和设备的不可靠性特点,使得隐私保护和健壮性这两种安全需求更加受到重视。安全需求一般是与具体的安全威胁相对应,也可能是将安全威胁进行归纳后的涵盖安全威胁的最小集合。根据现代密码学的要求,安全需要通过形式化的方法进行严格的定义,这种定义往往会用到可忽略函数,概率多项式图灵机,概率不可区分性等基本概念。
7)根据前面步骤中归纳的安全需求、网络体系结构、系统假设确定设计需要达到的安全目标,以及实现该目标时要满足的特性,例如安全算法需要满足的计算量上限,存储空间上限,安全方案对容侵、容错的健壮性等。思考在满足网络体系结构和系统假想条件下如何满足完全需求。思考安全防御的总体思路,例如是采用密码学的方法,还是采用与通信网络和计算机安全相关的方法,如人工智能的方法、概率统计的方法、信任评价和管理的方法、博弈论的方法等等。
8)根据安全目标和特性、网络体系结构、系统假设等最后确定安全体系或方案。如果有成熟的密码学机制(如安全标准、安全算法和安全协议),则通常是一种根据实际应用背景的工程设计。根据实际应用背景对相关密码学机制进行修改和应用,这一设计的需要考虑的要点是:对安全标准技术的工程应用选择、信息安全技术应用在实际场合的合理性、必要性、完备性,以及对历史遗留系统的兼容性,部署安全方案的成本代价。安全策略和机制则更多地从网络管理和安全管理的角度考虑实际中安全方案的性能和可用性。
9)实际应用的需要可能需要构造新的组合工具。根据现有密码学原语构造适用于应用环境的组合工具(也被称为复杂系统),其特点是利用现有的(抽象)基本密码学原语或者基本工具,如伪随机生成器、伪随机函数、抗碰撞单向函数、陷门置换函数等构造复杂的组合工具、协议、安全方案等。这种设计往往根据设计者的个人经验,有高度的创造性,甚至具有一定的偶然性。因此,如何根据安全目标进行逻辑推理,进而构造自动的安全方案设计工具,乃至进行自动的安全性证明,笔者认为这将是一个非常有前途的研究方向。
10)在某些特殊的应用场景中,现有密码学原语及其组合工具可能不能满足安全需求,这时可以思考是否需要提出新的密码学原语(或者是密码学构造的新需求),例如签密以及某种新的特殊数字签名方案(不可否认签名、聚集签名、在线离线签名、批量验证签名等)、具有特殊属性的公钥加密机制(代理重加密、基于属性的加密、完全同态加密等)、轻量级对称密钥加密机制、轻量级安全协议等。实践证明,新的密码学原语(或者构造方法)往往是来自于实际中的需求。虽然可能只是给出抽象的构造方法,没有给出实际的构造方案,但提出原语本身就具有一定创新性。无线网络安全研究中不断地丰富和完善实际构造方案是非常常见的。
4.2无线网络安全问题的未来思路
移动通信和internet的飞速发展,产生了在任何时间、任何地点都可以享用internet业务的需求。移动设备可以通过无线链路接入internet,能够随时随地访问Internet资源。因此,研究新一代无线通信技术和Internet技术的有机结合是当前国际上重要的研究课题。internet本身的安全机制较为脆弱,再加上无线网络传输媒体的开放性和移动设备存储资源和计算资源的有限性,使得在无线网络环境下,不仅会受到有线网络中存在的所有安全威胁,而且许多有线网络中潜在的安全威胁在无线网络环境下更加明显,许多难以实现的攻击在无线环境中容易实现。例如,l)中断(insinuation):对可用性进行攻击,破坏系统中的硬件、硬盘、线路、文件系统等,使系统不能正常工作。高能量电磁脉冲发射设备可以摧毁附近建筑物中的电子器件,正在研究中的电子生物可以吞噬电子器件。2)窃听
(interception):通过搭线和电磁泄漏等对机密性进行攻击,造成泄密,或对业务流量进行分析,获取有用情报。侦察卫星、监视卫星、预警卫星、间谍飞机、隐身飞机、预警飞机、装有大型综合孔径雷达的高空气球、无数微型传感器,都用于截获和跟踪信息。3)篡改(modification):对完整性进行攻击,窜改系统中数据内容,修正消息次序、时间(延时和重放)。4)伪造(affrication):对真实性(authenticity)进行攻击,将伪造消息注入系统、假冒合法用户接入系统、重放截获的合法消息实现不法目的、向系统中注入蛀虫、特洛尹木马、陷门、逻辑炸弹等来破坏系统正常工作,否认消息的接收或发送等。因此,在设计实现一个无线网络系统时除了在无线传输信道上提供完善的移动环境下的多业务平台,还必须考虑其安全方案的设计,这包括用户接入控制设计、用户身份认证方案设计、用户证书管理系统的设计、密钥协商及密钥管理方案的设计等等。但是由于无线网络传输媒体的开放性、无线终端的移动性和网络拓扑结构的动态性,以及无线终端计算能力和存储能力的局限性,使得有线网络环境下的许多安全方案和技术不能直接应用于无线网络环境。因此,需要研究适用于无线网络环境的安全理论与技术。近年来,有关无线Internet技术及其规范草案相继出现,主要代表有EITF的MobileIP、IEEE的802.11系列、P体系、以3G技术为基础的MwFI、DCom的i-mode技术、JvaaMZE等等。但是至今还没有统一的标准,而且在各自的标准中都存在一定程度的安全缺陷,更没有统一的安全标准和策略。但是随着移动电子商务的发展和应用,需要一个安全可靠的运行环境。因此,需要研究有关移动电子商务中的安全技术。
总之,无线网络安全理论与技术的研究是当前非常重要的一个研究课题。在本文中,我们只对无线网络安全理论与技术中的几个具体问题进行了研究,还有很多问题没有很好地解决,需要进一步深入研究。
参考文献:
[1]Lotz, Amanda D. The Promotional Role of the Network Upfront Presentations in the Production of Culture[J].Television&New Media,2009,(02):3-24.
[2]Robinson,Laura. The cyber self:the self-ing project goes online, symbolic interaction in the digital age[J]. New Media&Society,2009,(02):93-110.
[3]Klastrup,Lisbeth. Book Review:Media,Technology and Everyday Life in Europe:From Information to Communication[J]. New Media&Society,2007,(02):177-180.
[4]Laffont J and Tirole J. Competition in Telecommunications[M].MIT Press,2000.
[5]Rolf H. Weber ,Internet of things-Need for a new legal environment?[J].Computer
law & security review,2009,25:522-529.
[6] Evans.D,Schmalensee. The Industrial Organization of Markets with Twosided Platforms[J]. Competition Policy International,2007.3(01):150-179.
[7] Eisenmann T, Parker, Alstyne. Platform Envelopment[EB/OL].Harvard Business School Working Paper, 2011-12-01.
[8]Global information Infrastructure terminology: Terms and definitions.ITU-TY. 2000,3.
[9]Anthony Willis. Corporate Governance and Management of Information and Records[J].Records Management Journal,2005,15(02):86-97.
[10] 罗明胜, 黄联芬, 姚彦. 无线网络跨层设计的研究现状及展望[ J] . 技术探讨, 2005, 33(7):95-98.
[11] Colandairaj J, Scanlon W,Irwin G.Understanding wireless networked control systems through simulation [J].IEE Computing & Control Eng ineering, 2006, 16( 2) : 26-31.
[12]Andersson M, Henriksson D, Cervin A, et al. Simulation of wireless networked control systems [ C] . Seville Spain: 44 IEEE Conference on Decision and Control and European Control Conference, 2005.
[13]魏娟丽,翟社平.局域网通信协议的作用及配置[J].控制工程,2003,10(2): 110- 112.
[14]刘春瑞,刘克,刘灿,等.一种新型网络化数字视频实时监控系统[J].控制工程,2003,10(6):526-528. th
企业无线网络的架设与安全技术
摘要:目前,随着无线网络的发展以及企业内部的发展需求,越来越多的企业选择进行内部无线网络建设。企业内进行无线网络建设具有无线网络安装方便、不需要大规模布线、能快速重建、网络扩展相对简单、无线灵活性高等特点。相比传统网络,无线网络的实用效应更加轻便。无线网络如何架设和管理,包括场地、器材的选择,具有探讨价值,特别是其安全性得到前所未有的重视。
关键词:无线网络、企业、网络架设、安全技术
随着信息技术的不断发展,人们对网络技术的要求也不断地提高,希望在任何时间、任何地点,都能够与任何人进行包括数据、语音、图像等任何内容进行通信,使无线用户对网络的使用实现移动和漫游。无线网络,就是指用无线信道来代替传统有线传输介质所构成的网络,可实现无线设备可移动的网络,数据传输系统。无线网络作为有线网络的有效补充,有效地解决了有线网络环境下不适合布线场所的上网问题,是利用无线网络技术实现无线网络应用的一种新技术。因此,无线网络的构建和应用既可以实现计算机网络建设的目的,又可以
让无线设备自由地移动、便捷地部署,同时易于扩展和推广。
无线网络的最早应用是在第二次世界大战期间,当时美国采用相当高强度的加密技术,研发了一套把无线电信号作为数据传输方式的无线电传输技术,这项技术被当时的美军和盟军广泛使用。1971 年,第一个无线电通信网络由夏威夷大学的研究人员所建立,称为AlohaNet 的网络。它使用 7 台计算机,中心计算机放置在瓦胡岛,采用双向星型拓扑,横跨四座夏威夷的岛屿,构成了一个简单的无线局域网;至此,无线网络开始正式诞生,并开始了其蓬勃发展的历程。
近年来,无线网络技术的日益成熟和笔记本电脑的不断普及,以及无线网络产品的价格不断走低,无线网络已在一些领域占据了主流的地位,并成为一种普及性很高的网络访问方式。特别是无线网络建设速度快、运营成本低、灵活性高、扩展能力强,越来越多的企业、政府机构、事业单位等将无线网络作为有线网络的重要补充,特别是公司和科研机构对无线网络技术的使用更为热衷。 [2][1]
目前,企业有线网络已发挥着重要的作用。作为服务综合一体化的企业网络,在学习、生活、工作和交流等方面极大的方便了广大职工。
1.无线网络概述
无线网络是指用无线信道来代替传统有线传输介质所构成的网络,可实现无线设备可移动的网络数据传输系统。无线网络在有线网络的基础上发展起来的,是有线网络的一种有效的补充;两者形成一种很好的互补,给各公司提供一个稳定、高速、便利的企业网络环境。
1.1 无线网络的优点
可移动性,是指无需线缆就可以接入网络的移动自由性,是无线网络的主要
优势。其他优势还包括安装更迅捷、费用更低、网络可靠性更高以及能够快速支 持灾后重建等。
1.2 无线网络的缺点
无线网络存在着一些不足,这些不足包括:射频信号干扰、安全性、不同供应商产品的互操作性问题以及对健康的潜在危害等,这些都是无线网络技术的缺点。
1.2 无线网络的传输介质
能常用于无线网络数据传输的主要有红外线(IR)和无线电波两种方式;在采用无线电波传输时,通常采用扩频(Spread Spectrum)技术,把发射频谱限制在一定的带宽之内,发射功率被限制在 1W 的范围之内,主要采用直接序列扩频(DSSS)和跳频扩频(FHSS)两种形式实现,新一代的无线局域网如 802.11a/g 等,则采用频带利用率更为高效的 OFDM 方式。如果用微波特指定向无线传输的方式,用射频表示其他一般的无线传输方。
1.3无线网络的分类
根据网络覆盖范围、传输速率和用途的差异,无线网络大体可分为无线广域网、无线城域网、无线局域网、无线个域网和无线体域网。
1)无线广域网(Wireless Wide Area Network,WWAN):主要通过通信卫星进行数据通信,覆盖范围最大。代表技术是3G 以及4G 等,数据传输速率一般在2Mb/s 以上。由于3GPP2 的标准化工作日趋成熟,一些国际标准化组织(如国际电信联盟ITU)已开始考虑能提供更大传输速率和灵活统一的全IP 网络的下一代移动通信系统,也称为超3G、IMT-Advanced、LTE Advanced、或4G。
2)无线城域网(Wireless Metropolitan Area Network,WMAN):主要通过移动电话或车载装置进行移动数据通信,可覆盖城市中的大部分地区。代表技术是IEEE802.20 标准,[5][4][3]
主要针对移动宽带无线接入(Mobile Broadband Wireless Access,MBWA)。
该标准强调移动性(支持速度可高达时速250 公里),由IEEE 802.16 宽带无线接入(Broadband Wireless Access,BWA)发展而来。
另一个代表技术是IEEE 802.16 标准体系,主要有802.16、802.16a、802.16e 等。其中802.16 针对一点对多点,802.16a 是它的补充,增加了对非视距(NLOS, None Line of Sight)和网状结构(Mesh Mode)的支持,802.16e 是对802.16d 的增强,支持在2-11GHz频段下的固定和车速移动业务,并支持基站和扇区间的切换。802.16a/e 也称为WiMAX。802.16m 是目前正在制定的最新版本(静止接收1Gb/s,移动接收100Mb/s)。
3)无线局域网(Wireless Local Area Network,WLAN):覆盖范围较小。数据传输速率为11~56Mb/s 之间(甚至更高)。无线连接距离在50 ~100 米。代表技术是IEEE802.11 系列,以及HomeRF 技术。IEEE802.11 标准系列包含802.11b/a /g3 个WLAN标准,主要用于解决办公室局域网和校园网中用户终端的无线接入。其中,802.11b 的工作频段为
2.4~2.4835GHz,数据传输速率达到11Mb/s,传输距离100~300m。802.11a 的工作频段为
5.15~5.825GHz,数据传输速率达到54Mb/s,传输距离10-100 米,但由于技术成本过高,因此,该技术缺乏价格优势。802.11g 标准拥有802.11a 的传输速率,安全性较802.11b 好,且与802.11a 和802.11b 兼容。
4)无线个域网(Wireless Personal Area Network,WPAN):通常指个人计算(Personal Computing)中无线设备间的网络。无线传输距离一般在10 米左右,代表技术是IEEE 802.15、Bluetooth、ZigBee 技术,数据传输速率在10Mb/s 以上。例如Bluetooth 工作在2.4GHz 频段,可实现低成本、短距离无线通信,在10 米范围内可提供721Kb/s 的异步最大通信速率,并可最多同时和7 个其他蓝牙设备进行通信。IEEE802.15 还可用于无线传感器网络(Wireless Sensor Networks)中传感器节点间的通信[10][9][8][7][6]。
5)无线体域网(Wireless Body Area Network,WBAN):以无线医疗监控和娱乐、军事应用为代表,主要指附着在人体体表或植入人体内的传感器之间的无线通信。从名称上来看,WBAN 和WPAN 有很大关系,但它的通信距离更短,通常来说为小于2 米[11]。因此传输距离非常短是无线体域网的物理层特征。从传输距离角度给出各种网络间的比较。从网络拓扑结构角度,无线网络又可分为有中心网络和无中心、自组织网络。有中心网络以蜂窝移动通信为代表,基站作为一个中央基础设施,网络中所有的终端要通信时,都要通过中央基础设施进行转发;无中心网络以移动自组织网络(Moblie Ad Hoc Networks)、无线传感器网络、移动车载自组织网络(Vehicular Ad Hoc Networks,VANET)为代表,采用分布式、自组织
的思想形成网络,网络中每个节点都兼具路由功能,可以随时为其他节点的数据传输提供路由和中继服务,而不仅仅依赖单独的中心节点。这种网络具有一些通用特征,如无中心基础设施、自组织、动态拓扑变化、有限的传输带宽等
1.4 无线网络的常用设备
在企业无线网络中,常用的设备有无线网卡、无线接入点、无线网桥、无线网关/路由器、无线控制器、天线等。
1.4.1无线网卡(Wireless Card)是用于接收和发送无线电波的接口卡。现市面上常用的无线网卡及其对应各自的协议:11Mbps(802.11b),22Mbps(802.11Super b),54Mbps(802.11g/802.11a),108Mbps(802.11 Super G),125Mbps(802.11 High Speed-G),300Mbps(802.11n)[13][12]。 。根据接口不同,无线网卡有如下几种类型:PCI 接口无线网卡:用于连接台式电脑,插在主板的 PCI 插槽上,有些是 PCI 转换卡,有些是完全集成的无线 PCI 卡;没有太多的兼容问题,安装简单;缺点是信号容易受机箱本身的阻挡,对信号接收方向影响比较明显。
1.4.2 USB 接口无线网卡:同时适用于连接笔记本电脑或台式电脑,优点是支持热插拔,临时使用方便;缺点是插在电脑上容易脱落,且部分 USB 网卡对电源要求较高,部分 USB 供电不足的主板可能无法使用。
1.4.3 PCMCIA 接口无线网卡:是个人电脑存储卡国际协会的缩写,主要在早期的笔记本电脑比较常见,支持热插拔,造价较低,需具备 PCMCIA 接口才能使用,现已很少使用。
1.4.4 SD/CF 接口无线网卡:SD/CF 接口无线网卡拥有 SD/CF 卡的外观,但内置了 Wi-Fi 无线网卡的储存卡,各种具备 SD/CF 接口的设备都使用,例如笔记本电脑、照相机、手机、掌上 PDA 等;其同时具备存储和 WIFI 功能,但常用场合较少使用。
1.4.5内置无线网卡:内置无线网卡主要有两种,MINI-PCI 和 PCI-E 接口,从时间来划分,INTEL 855 和 915 系统芯片组以及同时代的 SIS 和 ATI 芯片组用的都是 MINI-PCI 接口标准,从迅驰三代开始,也就是 INTEL945系统、INTEL965 系统都是 PCI-E 接口,后者是前者的替代接口。
无线 AP
1.4.6无线接入点(AP),也叫无线访问点,简称无线 AP,它提供从有线网络对无线终端和无线终端对有线网络的访问,在 AP 覆盖范围内的无线终端可以通过它进行相互通信,是无线网络和有线网络之间沟通的桥梁;无线 AP 与有线交换机或路由器进行连接,并帮助下连的无线终端获取 DHCP 分配的 IP 地址。主要用于小范围区域,典型距离可覆盖几十米
至上百米。
1)目前,无线 AP 的类型:
企业经济型AP:可以保证在较大范围内为无线终端用户提供稳定的连接速率,多用户使用时可以在不同信道间自动漫游,有严密的管理措施,发射功率 100mW,价格较高。
经济型AP:只提供简单的接入功能,管理由嵌入式系统来实现,发射功率低于 100mW,价格低廉,能够为数十人提供无线接入服务。
经济型带路由功能AP:这是一款加装了功率放大器的经济 AP,且带有路
由功能,可以满足更大范围内的使用,产品定位在前两者之间。
2)无线 AP 的几种工作模式:
Access Point(纯 AP 模式):纯 AP 接入点模式,就是将我们的有线网络转换成无线网络,再连接各种无线终端,比如具备有无线网卡的台式机、笔记本、PAD、带 WIFI 的手机等。
Wireless Client(网桥模式):与 AP 进行桥接的模式。通过 Site Survey(信号搜索)功能把对方 AP 或无线路由的 SSID 搜索出来,然后连接上去。适用手机、PAD 等设备接入无线网络或当免驱动无线网卡给台式机使用。
Wireless Bridge(AP 到 AP 无线桥接):使用两个 AP 连通两个不同的局域网的一种无线桥接模式,适合两栋建筑物之间无线通讯使用。此模式是将对方 AP 的 MAC 地址填进自己 AP 的。Wireless Bridge。项就能实现两个 AP 间的互连。
Multi-point Bridge(多 AP 桥接):这是一个扩大无线网络范围的应用,同时支持两个以上的 AP 进行无线桥接,适合多栋建筑物之间无线通讯使用。此模式是将放在中心位置的 AP 选 。Multiple Bridge。项,其他AP 将中心位置的 AP 的 MAC 地址填进自己的。Wireless Bridge。项就能实现各 AP 间的互连。
Repeater(万能无线信号中继):为了增大无线距离,就可使用 Repeater模式,只要其他 AP 或无线路由接上宽带,它就可以接收无线信号再把减弱了的无线信号再放大发送出去,适合远距离传输。该模式可使两台 AP之间无线信号中继放大,可以支持各种速率的信号中继,经过测试各品牌 AP 间中继的兼容非常好。只要将 AP 置成 Repeater 模式,然后用Wireless Client 项的 Site Survey(信号搜索)搜索附近的 AP 或其他无线路由的 SSID 连接上去,然后把对方 AP 或无线路由的 MAC 地址复制到这台 AP 的 Repeater Remote AP MAC 栏就能实现 AP 间的互连。
1.4.7 无线网桥
无线网桥就是两个或多个网络之间通信的桥梁;它是两个无线网段间信号的中继器,可实现扩展两边网络的功能。无线网桥广泛应用在不同建筑物之间的互联,覆盖范围在几百米到几十公里。
无线网桥的几种架设方案:
1)点对点方式:点对点型(PTP),即。直接传输。。使分别位于不同建筑物中两个固定的网络无线通过网桥设备来连接。该方式一般在两端放置两个天线进行信号收发,再通过馈线将天线与网桥进行连接,网桥再通过物理连接方式与网络互连。
2)中继方式:即。间接传输。。例如:AB 两点之间不可视,但两者之间可以通过中间一座 C 楼间接可视。并且 AC 两点,BC 两点之间满足网桥设备通讯的要求。可采用中继方式,C 楼作为中继点。AB 各放置网桥和天线。C 点有 3 种可选方式:(1)放置一台网桥和一面全向天线,这种方式适合对传输带宽要求不高,距离较近的情况;(2)如果 C 点采用的是单点对多点型无线网桥可在中心点 C 的无线网桥上插两块无线网卡,分别通过馈线连接到两个天线,再分别与 A 网和 B 网进行网络连接;(3)放置两台网桥和两面定向天线。
3)点对多点传输:点对多点型,即通过中间建筑物为中心点分别与周围的建筑物进行无线网络互连。该方式一般在中间建筑物放置一台网桥和一面增强型的全向天线,使在无线信号覆盖范围内的建筑物能通过中间建筑物进行网络连接。
1.4.8 无线网关/无线路由器
网关是指一个网络与另一个网络互联的接口,可以在不同协议之间进行转换,使不同无线网关协议在网络之间进行互联。无线网关是指具备简单路由功能的无线接入点,可以直接连接外部网络,实现多用户的 Internet 共享接入的硬件设备。
路由器是局域网、广域网连接到因特网的结点设备,它通过路由决定数据的转发,选择最佳路径,将数据按先后顺序发送的设备。无线路由器是指集成 AP与路由器功能的一种设备,通过它可在覆盖范围内划分出一个子网,使这个范围内所有无线终端能实现网络的正常访问。无线路由器可用于完成计算机网络互连和不同协议的转换、网络地址的过滤。网关是网络的接口,而路由器是一个设备,实质上路由器的功能中已经包含了网关接口,现在一般来说网关和路由器都是指一个设备。
现时,无线网络产品都发展得很快,把很多功能集成到一台设备上,既可以是具有路由器功能的设备,又可以是具有网桥功能的功能,甚至是充当无线 AP设备,还可以是网关、防火墙等功能的设备,对于网络要求不高的环境,这种设备非常具有人性化,很受人们的欢迎。
无线网络的资源管理
周围环境容易影响无线信号的传播,比如多径、电磁干扰等问题会导致无线信号在不同的方向上传输存在复杂的衰减现象,因此需对 WLAN 的实施进行周密的网络规划。成功部署无线网络后,仍要在应用阶段根据无线环境的不断变化进行相应的参数调整;移动过程中的障碍物、正在工作的空调或微波炉等都会对无线信号的传播带来干扰的影响,所以发射功率、信道、频率等射频资源必须能根据用户环境的变化进行动态地调整。这种复杂的调整过程是需要丰富技术经验的人员进行定期的检测,这无疑使管理成本增大。
无线资源管理(WLAN RRM)是一种射频管理的解决方案,通过采集、分析、决
策、执行的方法,为无线资源管理提供一套实时智能射频管理方案,确保无线网络在不同的无线环境变化过程中都保持最优的状态。
1.5 信道调整
在一定无线覆盖范围内合理地使用非重叠信道用于每个 AP 上,对于无线网络管理来讲是非常重要的。例如在 2.4G 网络上,非重叠信道只有 3 个,为 AP实现智能信道分配是无线得以应用的关键。同时,大量可能的干扰源,如雷达、微波炉等在无线网络工作的频段上存在,AP 的正常工作将被它们所干扰[14]。为了保证最优的信道能被每个 AP 所分配,使相邻信道干扰尽可能地减少或避免,可以通过信道调整功能来实现;同时,为了使 AP 可以实时避开雷达、微波炉等干扰源,则可以通过实时信道检测来实现。通过动态信道调整来实现持续进行的通信,为网络提供可靠的传输。
1.6 功率调整
传统的射频功率控制方法只是为了单纯地追求信号覆盖范围而静态地将发射功率设置为最大值,但是由于功率过大可能导致造成不必要的干扰而影响其他无线设备。因此,选择最佳功率用以平衡覆盖范围和系统容量是有需要的。
功率调整就是根据实时的无线环境情况,在整个无线网络的运行过程中对功率进行动态合理分配。当 AP 初次开始运行时,它使用的是最大传输功率;而当它探测其到他邻居AP(邻居指被该AP探测到的且是由同一AC管理的另一个AP),并得到其他邻居 AP 发来的报告时,功率会根据环境的实际情况有所增减。功率增加或减少最终取决于探测的结论。
1.7 无线网络的漫游
无线漫游是指无线用户想在整个 WLAN 覆盖区内移动使用无线网络,这个无线网络环境必须存在多个 AP,且它们有一定范围互相重合的微单元,当附近信号强度最大的 AP 被无线网卡自动发现,并进行连接,通过这个 AP 保持不间断的网络连接和数据传输。当一个终
端第一次关联到漫游组内的任何一个无线控制器(该控制器即为他的家乡代理 Home-AC,HA)时,它们之间会采用 11Key 密钥协商。在漫游组内跨AC 漫游之前会在漫游组内的无线控制器之间(新关联的控制器为为他的外地代理 Foreign-AC,FA)进行终端信息的同步。如果一个终端可以采用 802.1x(RSN)认证方式,那么 FA 可以快速认证无线终端的信息,只需执行 11key 即可在漫游组内实现方便地无缝漫游。
2.公司企业无线网络的构建和应用
2.1 公司企业网建设的现状
目前,企业局域网为企业职工的学习、生活和工作带来了极大的方便,数字化办公已不足为奇。
目前企业是以有线网络为主,但有线网络有如下不足之处:网络规划复杂;安装和维护难度大;电缆系统的故障率高;网络连接点难以移动,由于组织结构重组、办公地点变更等原因所引起的网络重建时间过长,建设费用高;难以给公共场所提供网络服务。而无线网络具有易于安装、便于维护、移动性好、成本低、扩展性强等优点,因此,在企业很多场合可作为有线网络有效的替代或补充。现时各公司已开始加快无线网络建设的步伐,不断地完善有线网络和无线网络无缝结合的建设工作,创造一个高效、实用、安全的企业网络环境。
企业无线网络现已成为公司企业网的重要组成部分,而不仅仅是作为有线网络的一种补充和延伸,还具备以下功能:它与现存的有线网络无缝结合,互为补充,扩展了网络使用范围;它提供情移动平台给移动多媒体教学应用方面;它便于笔记本电脑及具有 Wi-Fi 功能手持设备的用户随时随地的访问网络;它使企业网能灵活地为外来的使用者提供便捷的网络服务。同时,不同需求的用户和复杂的企业地理环境,对用户的安全认证服务、无线网络信号的无缝覆盖、非法用户的监测等提出更高的要求。现时,企业无线网络只是初级建设阶段,远远不能达到无线网络的无缝覆盖,在企业内还是存在很多网络盲点;同时,对无线网络安全的不够重视,企业网络用户一般都采用 WEP 等加密方式,其不安全的架构的缺陷给无线网络安全留下的潜在威胁是巨大的,甚至部分用户无线网络直接采用开放式认证方式的接入,再加上无线网络自身的特点,使无线网络容易被攻击者入侵及非法用户的接入;再则,无线网络的建设没有做到统一规划和有序建设,且组网模式多采取 Fat AP 模式,给网络管理和维护造成了非常大的困难。所以,如何建设一个统一、高效、稳定、安全、全覆盖的无线网络,成为了无线网络建设必须高度重视的问题。
采用的 CSMA/CD 这两种标准都是有 IEEE 组织认证的,从标准制定方面两者的结合是
具有先天优势的。此外,无线网络技术所采用 CSMA/CA 在载波侦听、多路访问,冲突避免协议等功能与有线网络技术所采用的 CSMA/CD 功能是类似。所有这些都从技术角度为无线网络和现有有线网络的无缝应用提供了广泛的可能。其次,从实际应用角度进行分析,经过多年的数字信息化建设,在企业里有线网络已经得到了广泛的构建和深入的应用,虽然有线网络存在建设费用较高,信息点固定,不便移动接入,维护困难等客观问题,但其在稳定性、带宽、速率、安全等方面的优势十分明显,因此不可能对有线网络弃置不用,而最佳企业网络解决方案就是对现有有线网络进行升级和改造,在提升和完善有线网络的主干核心作用外,加快无线网络的建设步伐,从而构建一个高速、便捷、覆盖广泛的公司企业网络系统。
对于大多数企业来说,企业网络的基本准则包括实用性、先进性、经济性、可靠性、安全性、成熟性、开放性、标准性、可扩充性等;为了实现这个目标,单纯的有线网络构建和单纯的无线网络构建都是不可取的,而且企业内环境比较复杂、实际需求也不尽相同,因此为了达到上述要求可充分利用两种网络组建技术综合网络进行优势互补。
2.2 有线网络和无线网络综合构建网络的总体思路
2.2.1 利用有线网络建设企业骨干网络
由于公司企业用户多,因此对网络的流量有较高的要求;另外,由于有些实验室和办公室等地方的资料是需保密的,对网络安全性有较高的要求,而以上这些要求无线网络暂时是无法达到的。所以,采用有线网络作为企业骨干网络是最合适的选择。
2.2.2利用无线网络对现有网络进行扩容改造
现有有线网络已在企业普及,但由于受建筑物线缆布设的限制,在部分区域会存在网络的盲点或者无法布线的情况;同时,随着笔记本的普及应用,在企业内空旷区域开展的活动、室内召开的学术研讨和会议等对移动网络信息点要求越来越多;无线网络的最主要优势就是移动性,在这些区域采用无线网络技术对WLAN 进行构建将能很好地解决这些问题,充分发挥无线网络作为有线网络和无线网络综合构建网络的可行性分析。有线网络和无线网络各有各的特点,只有将两者有效地结合起来,进行无缝的实施才能更好发挥网络的作用。
3.企业无线网络的构建和应用
用户何时使用网络?用户在何处使用网络?用户为什么要使用网络?分析现时实施环境通过对现有的网络、系统、用户之间的相互应用关系的充分理解是此阶段的主要任务,采取切实可行的解决方案,解决它们之间发现的问题。
3.1制定设计的初步方案
在此阶段,需要将解决方案进行书面正式化,包括初步设计资料、设计目标、
网络拓扑图、数据流图等。
深化设计,确定详细设计方案
在深化设计阶段,充分考虑在初步设计评审中提到的所有变化,把所有变化内容综合到详细设计中,确保整体方案不会因初步设计评审中所制定的所有功能
改变而受到影响。
3.2执行实施方案
实施阶段是对设计方案以实际行动来实现,按照详细设计方案对人力、物力、资源进行最优化,确保设计方案得到有效的实施,使整个项目达到所确定的目标和要求,实现利益的最大化。
3.3项目资料的整理
项目实施完成后,对整个项目期间的所有文档资料进行事理,其主要目的收集记录整个项目的设计、实施和验收等过程的信息,以便于项目后续的工作维护及升级改造。
无线网络组网模式的选择
随着信息技术的发展,无线网络的技术和产品都更新换代了很多次,而根据无线技术和产品的变化,无线网络组网模式也有了很多改进,其中比较有代表性的就是 Fat AP(胖 AP)模式和 Fit AP(瘦 AP)模式。
Fat AP 虽然初期投入少见效快,但 AP 将无线网络的用户认证、数据加密、网络管理等功能集于一身,每台 AP 都需要单独进行配置,难于集中管理,比较耗费人力和物力,增加了成本。工作于 Fat AP 模式的 AP 满足小规模组网需求,主要在无线网络建设的初期
3.4网络管理的需求
企业网络的信息点多,用户密集,设备数量多且复杂,对网络进行高效管理需要充分利用有限的人力物力,多关注业务管理、用户管理和设备管理等三个方面。企业网络建设不仅支撑管理系统,而且也要支撑业务系统;同时,现时的网络也能够支撑未来新业务的发展及新技术的平滑升级。网络技术日新月异,在企业网要对网络的协议标准性、兼容性以及管理规范性进行充分的考虑。对企业网络建设进行合理规划,降低整体建设成本,是网络建设的当务之急。
3.5 无线网络的规划和设计原则
遵循实效至上,应用为先,急用先上,逐步完善的原则;保护已有投资,以实用性的原则为依据,建设具有最高性价比的无线网络。网络必须能可靠地运行,应有关键设备的冗余,
确保系统出现故障进,能及时恢复正常运行,并且没有造成损失。采用既能反映当今先进水平,又可能给未来留有扩展空间的无线网络方法、技术与设备。
网络具有很好的维护性,具备良好的网络监控、网络管理、故障分析和处理能力。网络必须具有灵活方便的控制机制和权限设定,以及高度的保密机制,使系统对各种形式的非法侵入可以通过多种手段来防备,并确保机密信息的安全传输。对于网络的应用环境,为了充分保护原有资源,在各方面必须具有升级换代的可能及最好的性价比。
4.无线网络安全问题
4.1无线网络安全与有线网络安全的区别
4.1.1无线网络的开放性使得网络更容易受到被动窃听或主动干扰等各种攻击。有线网络的网络连接是相对固定的,具有确定的边界,攻击者必须物理地接入网络或经过物理边界,如防火墙和网关,才能进入到有线网络。通过对接入端口的管理可以有效地控制非法用户的接入。而无线网络则没有一个明确的防御边界。无线网络的开放性带来了信息截取、未授权使用服务、恶意注入信息等一系列信息安全问题,如无线网络中普遍存在的DDoS 攻击问题。
4.1.2无线网络的移动性使得安全管理难度更大。有线网络的用户终端与接入设备之间通过线缆连接,终端不能在大范围内移动,对用户的管理比较容易。而无线网络终端不仅可以在较大范围内移动,而且还可以跨区域漫游,这增大了对接入节点的认证难度,如移动通信网络中的接入认证问题。而且,移动节点没有足够的物理防护,从而易被窃听、破坏和劫持。攻击者可能在任何位置通过移动设备实施攻击,而在较大范围内跟踪一个特定的移动节点是不容易的;另一方面,通过网络内部已经被入侵的节点实施内部攻击造成的破坏更大,更
难以检测,且要求密码安全算法能抗密钥泄露,抗节点妥协。移动性在VANET 中会产生位置隐私保护问题。
4.1.3无线网络动态变化的拓扑结构使得安全方案的实施难度更大。有线网络具有固定的拓扑结构,安全技术和方案容易部署;而在无线网络环境中,动态的、变化的拓扑结构缺乏集中管理机制,使得安全技术(如密钥管理、信任管理等)更加复杂(可能是无中心控制节点、自治的)。例如,WSN 中的密钥管理问题,MANET 中的信任管理问题。另一方面,无线网络环境中做出的许多决策是分散的,许多网络算法(如路由算法、定位算法等)必须依赖大量节点的共同参与和协作来完成。例如MANET 中的安全路由问题。攻击者可能实施新的攻击来破坏协作机制(于是基于博弈论的方法在无线网络安全中成为一个热点)。
4.1.4无线网络传输信号的不稳定性带来无线通信网络及其安全机制的鲁棒性(健壮性)问题。有线网络的传输环境是确定的,信号质量稳定,而无线网络随着用户的移动其信道特性是变化的,会受到干扰、衰落、多径、多普勒频移等多方面的影响,造成信号质量波动较大,甚至无法进行通信。无线信道的竞争共享访问机制也可能导致数据丢失。因此,这对无线通信网络安全机制的鲁棒性(健壮性、高可靠性、高可用性)提出了更高的要求。
4.1.5无线网络终端设备具有与有线网络终端设备不同的特点。有线网络的网络实体设备,如路由器、防火墙等一般都不能被攻击者物理地接触到,而无线网络的网络实体设备,如
访问点(AP)可能被攻击者物理地接触到,因而可能存在假的AP。无线网络终端设备与有线网络的终端(如PC)相比,具有计算、通信、存储等资源受限的特点,以及对耗电量、价格、体积等的要求。一般在对无线网络进行安全威胁分析和安全方案设计时,需要考虑网络节点(终端)设备的这些特点。目前,网络终端设备按计算、通信和存储性能可分为智能手机、平板电脑(笔记本电脑)、PDA、车载电脑、无线传感器节点、RFID 标签和读卡器等。这些网络节点设备通常具有以下特点:(1)网络终端设备的计算能力通常较弱(可能跟设备价格相关);(2)网络终端设备的存储空间可能是有限的;(3)网络终端设备的能源是由电池提供的,持续时间短;(4)无线网络终端设备与有线网络设备相比更容易被窃、丢失、损坏等。
(1)无线 AC
无线控制器(AC)是一个无线网络的核心设备,负责对无线网络中的 AP 进行管理,包括:参数配置、下发配置、RF 智能管理、接入安全控制等。在传统的无线网络中,每个 AP 独立完成无线信号收发、数据交换、认证授权、数据加密等工作,各自为政,没有统一集中控制管理的设备,效率非常低。而采用 AC 的新型无线网络解决方案后,所有的 AP 只负责无线信号收发和数据交换等工作,而认证授权、数据加密、安全控制等高层次的工作由 AC 负责,且 AC对其范围内的所有 AP 进行集中控制和管理,效率得到大大的提高。现时,这种Fit AP+AC 组网方式广泛应用于大中型无线网络。
(2)天线
每一个无线设备上都有一个天线。天线是一种用来发射和接收电磁波的设备,主要有全向天线和定向天线两种,前者主要用于近距离、大范围覆盖的场所,而后者主要用于远距离、小范围覆盖的场所。
天线的选购:如果需要满足多个站点,并且这些站点是分布在 AP 的不同方向时,需要
采用全向天线;如果点与点之间互相通信,建议采用定向天线;另外还要考虑天线的接头形式是否和 AP 相应的接口匹配、天线的增益大小等是否符合您的需求。
天线的安装:对于室外天线,天线与无线 AP 之间需要增加防雷设备;定向天线要注意天线的正面朝向远端站点的方向;天线应该安装在尽可能高的位置,天线和站点之间尽可能满足视距传输的要求(肉眼可见,中间避开障碍)。
4.2解决无线网络问题的一般思路
在具体分析无线网络的安全问题时,一般的思路如下:
1)分析对系统的假设和约定。这主要指对网络终端、网络中间实体等网络节点系统的假设与约定,通常包括对网络中各相关节点的计算、通信、存储、电源等能力的假设。相同的安全问题,对于不同的假设和约定条件下,通常导致不同的解决方法。例如,网络终端节点的计算能力是否有限制,如RFID 和传感器节点在计算能力上是有区别的,能够部署和执行的安全算法是有差异的,传感器节点上一般采用轻量级的密码算法,如NTRU、TinyECC 等,RFID上能够采用的加密算法多为轻量级分组算法,如LBLock 等。
2)分析网络的体系结构,明确网络的拓扑结构(星形、网状、分层树状、单跳还是多跳网络、拓扑结构是否变化、节点是否移动、节点移动的速度范围)、通信类型(单播、组播、广播等)、链路特征参数(带宽、吞吐率、延迟)、网络规模(点数量、网络覆盖面积)、业务数据类型(语音、数据、多媒体、控制指令)等,以及网络的异构性(多种形态网络的融合,有线网络和无线网络的融合),网络的时效性(是临时存在的还是长期存在的)。它和上一条一起构成了设计安全方案时的客观约束条件,例如,网络拓扑结构往往会影响路由安全,节点移动性会影响身份认证,网络规模会影响密钥管理,业务数据类型会影响加密方式等。这些条件也会影响到后面对信任模型和敌手模型的建模。例如,临时动态的网络通常没有
可信第三方,异构网络中的有线核心网部分是否存在敌手。
3)分析网络的业务构成(工作流程、操作过程),涉及的实体(角色)、业务通信的基本内容等,思考这些实体和通信内容可能面临的安全威胁。例如,网络的业务构成过程中可能
遭受的安全威胁,业务的工作流程决定了需要安全保护的具体通信内容,涉及的实体决定了协议设计中的交互方以及访问控制对象。这一部分的分析将帮助确定具体的安全威胁,并
最终帮助确定对应的安全需求。
4)分析网络和系统中的信任模型,明确方案涉及的相关实体和通信链路的信任程度,即通信链路或者实体是可信、半可信还是不可信的,思考并确定安全的边界。信任模型中半可
信的一个例子是指能够按照协议执行相关操作,但会泄露或者篡改协议通信的内容。某些不可信的敌手可能不按照所期望网络协议的方式操作,如无线传感器网络中的Blackhole 攻
击、Greyhole 攻击等,这时需要借助非密码学的方法,如入侵
检测、基于信任的管理等机制等。
5)分析攻击网络和系统的敌手模型:是内部还是外部攻击,是主动还是被动攻击,思考对敌手能力的设定(固定敌手还是移动敌手),给出一些典型的攻击场景,以及对这些攻击可能导致的后果。例如,在无线传感器网络中特殊的攻击方式(如Sybil攻击、虫洞攻击),RFID 网络中的隐私破坏问题,针对网络编码的Pollution 攻击等等。如果对敌手模型的假设越强,则安全性越高。根据网络的特征来分析,便于发现该网络中存在的特有的安全威胁或攻击模式,防御这些威胁时,通用的网络安全措施可能不能奏效,这便需要根据该网络的业务特点以及相关系统和体系结构的假设与约定进行安全方案设计。发现新的攻击方法是无线网络安全研究中的一个基本创新点,其创新之处在于发现并提出了一个新的安全问题。如果进而给出对新的攻击方法的安全方案则构成了一个完整的创新点。
6)从存在的威胁中归纳出共性的安全需求。通常的思路是从信息安全基本安全需求的角度来分析,包括保密性、认证性、完整性、可用性、健壮性(鲁棒性、容侵、容错、抗节点妥协、可靠性)、隐私保护、信任管理。无线网络的移动性特点和设备的不可靠性特点,使得隐私保护和健壮性这两种安全需求更加受到重视。安全需求一般是与具体的安全威胁相对应,也可能是将安全威胁进行归纳后的涵盖安全威胁的最小集合。根据现代密码学的要求,安全需要通过形式化的方法进行严格的定义,这种定义往往会用到可忽略函数,概率多项式图灵机,概率不可区分性等基本概念。
7)根据前面步骤中归纳的安全需求、网络体系结构、系统假设确定设计需要达到的安全目标,以及实现该目标时要满足的特性,例如安全算法需要满足的计算量上限,存储空间上限,安全方案对容侵、容错的健壮性等。思考在满足网络体系结构和系统假想条件下如何满足完全需求。思考安全防御的总体思路,例如是采用密码学的方法,还是采用与通信网络和计算机安全相关的方法,如人工智能的方法、概率统计的方法、信任评价和管理的方法、博弈论的方法等等。
8)根据安全目标和特性、网络体系结构、系统假设等最后确定安全体系或方案。如果有成熟的密码学机制(如安全标准、安全算法和安全协议),则通常是一种根据实际应用背景的工程设计。根据实际应用背景对相关密码学机制进行修改和应用,这一设计的需要考虑的要点是:对安全标准技术的工程应用选择、信息安全技术应用在实际场合的合理性、必要性、完备性,以及对历史遗留系统的兼容性,部署安全方案的成本代价。安全策略和机制则更多地从网络管理和安全管理的角度考虑实际中安全方案的性能和可用性。
9)实际应用的需要可能需要构造新的组合工具。根据现有密码学原语构造适用于应用环境的组合工具(也被称为复杂系统),其特点是利用现有的(抽象)基本密码学原语或者基本工具,如伪随机生成器、伪随机函数、抗碰撞单向函数、陷门置换函数等构造复杂的组合工具、协议、安全方案等。这种设计往往根据设计者的个人经验,有高度的创造性,甚至具有一定的偶然性。因此,如何根据安全目标进行逻辑推理,进而构造自动的安全方案设计工具,乃至进行自动的安全性证明,笔者认为这将是一个非常有前途的研究方向。
10)在某些特殊的应用场景中,现有密码学原语及其组合工具可能不能满足安全需求,这时可以思考是否需要提出新的密码学原语(或者是密码学构造的新需求),例如签密以及某种新的特殊数字签名方案(不可否认签名、聚集签名、在线离线签名、批量验证签名等)、具有特殊属性的公钥加密机制(代理重加密、基于属性的加密、完全同态加密等)、轻量级对称密钥加密机制、轻量级安全协议等。实践证明,新的密码学原语(或者构造方法)往往是来自于实际中的需求。虽然可能只是给出抽象的构造方法,没有给出实际的构造方案,但提出原语本身就具有一定创新性。无线网络安全研究中不断地丰富和完善实际构造方案是非常常见的。
4.2无线网络安全问题的未来思路
移动通信和internet的飞速发展,产生了在任何时间、任何地点都可以享用internet业务的需求。移动设备可以通过无线链路接入internet,能够随时随地访问Internet资源。因此,研究新一代无线通信技术和Internet技术的有机结合是当前国际上重要的研究课题。internet本身的安全机制较为脆弱,再加上无线网络传输媒体的开放性和移动设备存储资源和计算资源的有限性,使得在无线网络环境下,不仅会受到有线网络中存在的所有安全威胁,而且许多有线网络中潜在的安全威胁在无线网络环境下更加明显,许多难以实现的攻击在无线环境中容易实现。例如,l)中断(insinuation):对可用性进行攻击,破坏系统中的硬件、硬盘、线路、文件系统等,使系统不能正常工作。高能量电磁脉冲发射设备可以摧毁附近建筑物中的电子器件,正在研究中的电子生物可以吞噬电子器件。2)窃听
(interception):通过搭线和电磁泄漏等对机密性进行攻击,造成泄密,或对业务流量进行分析,获取有用情报。侦察卫星、监视卫星、预警卫星、间谍飞机、隐身飞机、预警飞机、装有大型综合孔径雷达的高空气球、无数微型传感器,都用于截获和跟踪信息。3)篡改(modification):对完整性进行攻击,窜改系统中数据内容,修正消息次序、时间(延时和重放)。4)伪造(affrication):对真实性(authenticity)进行攻击,将伪造消息注入系统、假冒合法用户接入系统、重放截获的合法消息实现不法目的、向系统中注入蛀虫、特洛尹木马、陷门、逻辑炸弹等来破坏系统正常工作,否认消息的接收或发送等。因此,在设计实现一个无线网络系统时除了在无线传输信道上提供完善的移动环境下的多业务平台,还必须考虑其安全方案的设计,这包括用户接入控制设计、用户身份认证方案设计、用户证书管理系统的设计、密钥协商及密钥管理方案的设计等等。但是由于无线网络传输媒体的开放性、无线终端的移动性和网络拓扑结构的动态性,以及无线终端计算能力和存储能力的局限性,使得有线网络环境下的许多安全方案和技术不能直接应用于无线网络环境。因此,需要研究适用于无线网络环境的安全理论与技术。近年来,有关无线Internet技术及其规范草案相继出现,主要代表有EITF的MobileIP、IEEE的802.11系列、P体系、以3G技术为基础的MwFI、DCom的i-mode技术、JvaaMZE等等。但是至今还没有统一的标准,而且在各自的标准中都存在一定程度的安全缺陷,更没有统一的安全标准和策略。但是随着移动电子商务的发展和应用,需要一个安全可靠的运行环境。因此,需要研究有关移动电子商务中的安全技术。
总之,无线网络安全理论与技术的研究是当前非常重要的一个研究课题。在本文中,我们只对无线网络安全理论与技术中的几个具体问题进行了研究,还有很多问题没有很好地解决,需要进一步深入研究。
参考文献:
[1]Lotz, Amanda D. The Promotional Role of the Network Upfront Presentations in the Production of Culture[J].Television&New Media,2009,(02):3-24.
[2]Robinson,Laura. The cyber self:the self-ing project goes online, symbolic interaction in the digital age[J]. New Media&Society,2009,(02):93-110.
[3]Klastrup,Lisbeth. Book Review:Media,Technology and Everyday Life in Europe:From Information to Communication[J]. New Media&Society,2007,(02):177-180.
[4]Laffont J and Tirole J. Competition in Telecommunications[M].MIT Press,2000.
[5]Rolf H. Weber ,Internet of things-Need for a new legal environment?[J].Computer
law & security review,2009,25:522-529.
[6] Evans.D,Schmalensee. The Industrial Organization of Markets with Twosided Platforms[J]. Competition Policy International,2007.3(01):150-179.
[7] Eisenmann T, Parker, Alstyne. Platform Envelopment[EB/OL].Harvard Business School Working Paper, 2011-12-01.
[8]Global information Infrastructure terminology: Terms and definitions.ITU-TY. 2000,3.
[9]Anthony Willis. Corporate Governance and Management of Information and Records[J].Records Management Journal,2005,15(02):86-97.
[10] 罗明胜, 黄联芬, 姚彦. 无线网络跨层设计的研究现状及展望[ J] . 技术探讨, 2005, 33(7):95-98.
[11] Colandairaj J, Scanlon W,Irwin G.Understanding wireless networked control systems through simulation [J].IEE Computing & Control Eng ineering, 2006, 16( 2) : 26-31.
[12]Andersson M, Henriksson D, Cervin A, et al. Simulation of wireless networked control systems [ C] . Seville Spain: 44 IEEE Conference on Decision and Control and European Control Conference, 2005.
[13]魏娟丽,翟社平.局域网通信协议的作用及配置[J].控制工程,2003,10(2): 110- 112.
[14]刘春瑞,刘克,刘灿,等.一种新型网络化数字视频实时监控系统[J].控制工程,2003,10(6):526-528. th