无线局域网关键技术研究

一、WLAN的安全机制

2004年 WLAN 产品市场将面临严峻挑战；低端市场趋向于同质化竞争及价格战；若未能成功拓展至企业级高端市场，则可能引发 WLAN 投资泡沫最先显现；与此同时, 越来越多的企业决策者普遍认为安全问题成为影响其实施 WLAN 部署的主要考量因素

1.基本的WLAN安全

业务组标识符（SSID）：无线客户端必须正确展示SSID方能接入无线接入点AP。通过使用SSID能够有效地实现对用户的分组管理，并且这种管理方法能够有效地防止潜在的漫游问题并保障网络性能。然而这种方法却降低了整体的安全性水平。另外一种情况是这种配置方式使得非法用户能够轻易获取该服务；而且某些设备制造商提供的解决方案允许客户端无需手动设置即可连接到AP

物理地址(MAC)过滤：每个无线客户端网卡都由惟一的物理地址标识，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。物理地址过滤属于硬件认证，而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新，目前都是手工操作；如果用户增加，则扩展能力很差，因此只适合于小型网络规模。另外，非法用户利用网络侦听手段很容易窃取合法的MAC地址，而且MAC地址并不难修改，因此非法用户完全可以盗用合法的MAC地址进行非法接入。

2、IEEE 802.11的安全技术

(1)认证

在无线客户端与中心设备进行数据交换之前，则需完成一次对话。IEEE在其制定的802.11b标准中引入了一项功能，在完成与一个设备的对话后立即启动认证流程；只有在成功完成认证前，则该设备无法执行其他关键通信。这一功能可配置为共享密钥认证（shared key authentication）或开放密钥认证（open authentication），默认采用后者。所有具备此默认配置的装置均可自由连接至中心网络区域；但若选择共享密钥认证模式，则需依次执行连接请求与响应过程：客户端向中心发送连接请求，则需由后者返回一段字符序列并要求客户端使用WEP钥匙返回密码。唯有正确输入上述信息后，则可实现客户端与中心间的正常通信路径。

采用认证机制存在不足之处：当中心设备发送回的数据为明文形式时。攻击者通过监控通信过程，在认证公式中可获取两个未知数：即来自中心设备的明文字符以及客户端返回的信息。借助RC4加密算法进行计算机通信时，攻击者能够轻易地获得共享认证密钥。这样一来，在未授权的情况下，攻击者即可利用中心设备接入其他客户端系统。然而这项安全功能通常都应该设为"open authentication"使得任何人都可以与中心设备通信。尽管不启用这项安全功能似乎与提升网络安全的整体目标相悖这一缺陷所带来的潜在危害远超其实现的功能。

(2)保密

有线等效保密(WEP)：WEP虽然通过加密提供网络的安全性，但存在许多缺陷：

该系统缺乏有效的密钥管理机制，在WEP标准下各区域间的加密钥匙需由人工手动完成配置并维持统一的安全接(key)策略；鉴于更换多把不同秘密接(key)头容易耗时费力,因此建议采用长时间稳定使用的默认钥匙方案；若出现单个设备丢失钥匙的情况,将会影响整个网络的安全性

采用ICV方案并不明智。WEP结合CRC-32算法旨在检测传输过程中的噪声干扰以及常见错误。由于CRC-32是信息的一个线性函数,因此攻击者即可轻易地通过对加密数据包的操作来实施多种简单的攻击策略。这样一来,攻击者即可轻易地通过对加密数据包的操作来实施多种简单的攻击策略.

该算法具有一定的漏洞。研究者发现了一类特殊的密钥称为"weak keys"这些特殊类型的密钥与其系统输出之间具有显著的相关性特性。实验数据显示在24位初始向量空间内发现了大约9000个这样的特殊关键码当 attacker 收集足够多的数据包后能够进行统计分析通过尝试少量候选密钥就能轻松破解系统这种安全缺陷使得WEP 密码可以在短时间内被获取并加以利用

3、IEEE 802.11i标准

(1)认证-端口访问控制技术(IEEE 802.1x)

基于802.1X标准, 当一个终端设备试图连接到中心交换机时, 中央管理单元会要求终端设备提供一组认证数据. 终端设备将获取的认证信息发送至网络服务器进行验证, 该网络服务器即为RADIUS服务器, 通常用于实现拨号用户的身份验证, 该术语代表... 该流程属于...协议的一部分.EAP作为一种身份验证方案集合, 可以帮助开发者以多种方式进行证书分发, EAP方案是802.1X中最关键的安全机制之一. 目前主要采用的EAP方案共有四种类型

然而IEEE 802.1x主要实现的是无线终端设备与RADIUS服务系统之间的身份验证机制而非客户端直接连接至接入点AP进行验证；其中所采用的用户认证信息通常仅限于用户名和密码，在存储、使用以及传输过程中都可能面临泄露或丢失的风险；在无线接入点AP与其所属的RADIUS服务器之间建立的身份验证对话中所使用的共享密钥是静态类型的，并且该共享密钥由双方人工进行管理。

(2)保密

有线等效保密的改进方案-TKIP。

注意

目前正处在制定阶段中的IEEE 802.11i标准所确定的理想加密方案是依据IEEE 802.1x认证下的CCMP（CBC-MAC协议）技术实现。其中心思想是以AES（Advanced Encryption Standard）作为基础核心算法，并结合CBC-MAC模式来进行数据处理；其特别之处在于每个数据块都带有分组初始化向量。该方案采用了128位分组长度，在安全性方面相较于之前提到的各种方案而言有着显著提升。

4、VPN技术

作为一种高效可靠的网络安全技术方案，VPN被广泛应用于企业有线网络环境中。然而，在很大程度上受限于无线网络的特性，在实际应用场景中其推广效果并不十分理想。主要体现在以下几个方面：

运行中的脆弱性问题：众所周知

通用性问题：目前来看，在国内以及国际范围内都缺乏针对VPN技术的统一开发规范。各个企业基于自身的技术优势及需求研发出各自定制化的解决方案以应对这一挑战。这种做法导致了国内 VPN 技术体系的混乱，并未形成统一的技术架构。这与追求网络互联性的无线局域网（WLAN）系统应用存在明显矛盾

尽管VPN技术提供了网络安全保障，在实际应用中却严重影响了其可扩展性这一关键性能特征

成本问题：这些问题实际在不同程度上直接推高了用户的网络架设成本。此外，VPN产品的高昂价格也是一个重要原因，在中小型网络用户中甚至高于WLAN设备的成本。

二 WLAN的切换与漫游

1、切换与漫游

WLAN的转换是指在同一网络段（AP）间，在线断开原有的接入关系后完成移动终端与其新接入点的新连接建立；而漫游过程则是通过动态手段实现移动终端在其所属网络段内与其现有接入点之间的脱机状态下的动态迁移。

现有服务区可采用两种方式加入：主动探测与被动采集。主动模式下，服务站点需通过探测接口获取接入点列表，并接收同步数据；被动模式则通过捕获信标帧周期性发送的数据完成初始连接。定位成功后，在双方设备间需进行身份验证交互：各端设备将提供预设的认证参数以完成身份确认。确认无误后进入关联流程，在此阶段双方将交换位置坐标及相关服务配置数据。当服务站点处于当前接入点覆盖范围内但发生移区时（即漫游触发条件），系统会自动启动位置更新流程：首先监测链路信号强度下降；随后触发服务端的探测功能（若未完成上一次定位），并根据历史记录结果重新寻找潜在候选节点；最终将新发现的候选节点返回给客户端发起新的连接请求，并等待服务器端的响应反馈

2、移动IP

在无线网络环境中,当终端设备同时激活局域网接入服务与漫游功能时,一旦移动终端脱离当前子网的覆盖范围,就会导致无法成功接收相关的IP数据包。为此,在20世纪90年代末至2000年间,IETF发布了多项关于扩展IP网络覆盖范围的技术规范。这种动态地址管理方案通过配置本地代理（Home Agent）和外地代理（Foreign Agent）来协调不同子网之间的通信关系,从而实现了在同一台设备上能够使用多个不同的固定IP地址这一目标。在这样的体系下,无论终端设备处于何种位置状态,都能够持续地保持固定的IPv4地址连接至核心互联网,确保TCP/IP连接的安全性和稳定性而不会发生中断现象。特别是在无线局域网系统中,通过灵活应用移动IP技术,不仅突破了传统固定模式下的地域限制,还能够有效解决基于动态主机配置协议(DHCP)方式可能引发的通信中断和权限转换过程中的各种问题

3、切换与漫游存在的问题

在未启用加密协议的情况下，在同一信道组（SSID）下的业务连接经由无线接入控制器（AC）管理，并且该接入点（AP）仅负责数据层的传输功能。当不同信道组（SSID）之间的IP地址发生变化时，则会导致通信中断并需重新建立连接以完成认证和计费流程。

若要实现信息的安全传输，则需要考虑多种因素和复杂的配置流程

三、WLAN的覆盖与天线技术

802.11的工作频段涵盖2400至2483.5兆赫兹，并支持多达十四个独立子频道。该频段总频带宽达到二十二兆赫兹。系统设计能同时运行三个互不干扰的频道（例如：第₁、第₆及第₁₁个频道），从而实现高达三十三兆比特每秒的数据传输能力。

1、室外覆盖

室外覆盖的主要采用的技术包括宏蜂窝技术和微蜂窝技术。在一些特定条件下如低功耗环境下（如农村地区、野战场景以及大型运动场等），可以通过优化基站发送功率与接收灵敏度，并适当提升基站天线高度来扩大单个基站的覆盖区域。

(1)宏蜂窝

当基站部署于开阔地带时

(2)微蜂窝

微蜂窝网络可在城市区域及城郊地带部署实现。通常设置于建筑屋顶位置或专门建造的发射站点上。此外还可以利用现有的公共设施如路灯站或标牌等布设AP装置。通过链路规划计算 确定能够保证接收设备灵敏度的最远传输距离 并根据覆盖区域的形状和面积需求 同时需选择合适的天线类型以确保重点区域信号质量 最终实现全面覆盖目标。

2、室内覆盖

相比之下，在室内外传播环境中存在显著差异。相比于在室外传播时仅受雨雪云等恶劣天气的影响较小，在室内传播中同样无法避免这些问题。相比而言，在建筑物的尺寸形状结构以及房间布局和室内装饰等方面也存在显著差异。其中最为关键的因素是建筑材料的作用。这些因素不仅限于砖墙还涵盖了木材玻璃金属和其他材料等多种类型。从而使得室内传播环境远比室外更为复杂

室内常采用微蜂窝、室内分布式天线以及泄漏电缆的各种组合方式来解决盲区问题。

3、天线技术

当发射功率达到上限时，则依赖于天线技术来提升覆盖范围。在开放空间中建议采用高增益全向天线，在封闭环境则更适合使用指向性更强的定向天线；此外还应结合分集接收技术和智能天线系统来进一步优化覆盖效果。同时必须尽量减少频率干涉以及电磁辐射带来的干扰影响。

在发射机与接收机之间设置了多个独立信道以实现分集接收。当这些独立通道本质上作为空间分布时，从而实现天线分集以及极化间的区别识别。这意味着在接收端与发射端的天线单元之间设置了足够的间距。各信号之间几乎或完全没有自相关性。

天线分集技术可以化为两大类，即发射和接收分集。

(1)接收分集

在接收机架构中采用多根天线进行接收到的信号行为被称为接收分集操作，在实际应用中其实现相对简便。该过程主要通过捕获并存储来自不同方向传入的独立信号副本，并通过有效的信号融合技术将这些独立副本整合成一个统一的信息源。当引入更多数量的天线时，在理想条件下几乎可以完全消除接续中断的可能性，在实际通信系统中则可使信道容量趋近于理想情况下的加性高斯噪声信道模型特性。其中最为常见的两种方案分别是最大比值检测技术和最大似然检测法等基本实现手段。

(2)发射分集

多单元的发射机天线阵列在新兴的无线局域网网络中扮演着越来越关键的角色。
当与经过精心设计的信号处理算法协同工作时，
显著提升性能水平。

四、结束语

WLAN技术正快速发展的同时也在不断变革中，在无线局域网领域中目前广泛采用的是基于802.1lb的标准产品，在未来必须加快向传输速率更高的802.1la和802.llg标准演进，并且其中最有可能成为主流的就是802.llg标准。运营商以及产品制造商应该抓住这一难得的机会共同努力缩短技术演进的时间进程。就安全性而言，在已经大量部署的应用环境下可以通过软件更新升级至WPA协议，并建议使用集成多种功能模块的接入点(AP)设备以降低使用成本。尽管采取安全加密措施会对现有802.1b标准带来性能上的一定影响并会带来使用上的不便但这是商用无线网络发展所必需的因为这是持续盈利的关键前提条件之一还需逐步升级至与现有802.1lb设备兼容的802.1la标准在这样的混合型环境中由于不同制式标准采用不同的调制方式因此会影响实际的数据传输效率此外必须认识到无线局域网的设计与实施具有较高的复杂性因此应在正式部署前进行充分的勘察与测试工作并制定切实可行的组网方案

如果无线局域网是一只渴望翱翔于天际的小鸟，则也意味着它此刻仍需更加稳固而有力的翅膀。为了帮助人类在任意时刻、任意地点都能轻松地连接到全球互联网。