王军明 伏海文
摘 要:简述了无线局域网(WLAN)的组成、网络拓扑结构和安全性,并分析了WLAN的关键技术、WLAN技术的优劣和WLAN的实际应用,以及中国移动开展WLAN业务的市场前景和盈利模式。
关键词:WLAN ,网络拓扑,安全,应用,市场前景
无线局域网(WLAN)经过几年的发展,在技术上已经日渐成熟,应用也日渐广泛。无线局域网不仅可以实现许多新的应用,还可以克服线缆限制引起的不便性,解决某些特殊区域无法布线的问题。目前,无线局域网已逐渐被广大用户作为一般的网络连接来使用。
一、无线局域网的组成
无线局域网由无线网卡、无线接入点(AP)、计算机和有关设备组成,采用单元结构,每个单元称为一个基本服务组(BSS),BSS的组成有三种方式:
·集中控制方式:每个单元由一个中心站控制,终端在该中心站的控制下相互通信。这种方式中BSS区域较大,中心站建设费用较昂贵。
·分布对等式:BSS中任意两个终端可直接通信,无需中心站转接。这种方式中BSS区域较小,但结构简单,使用方便。
·集中控制方式与分布对等式相结合的方式。
一个无线局域网可由一个基本服务区(BSA)组成,一个BSA通常包含若干个单元,这些单元通过接入点与骨干网相连。骨干网可以是有线网,也可以是无线网。
二、无线局域网的拓扑结构
无线局域网的拓扑结构可分为两类:无中心(或对等式)拓扑和有中心拓扑。无中心拓扑的网络要求网中任意两点均可直接通信,采用这种结构的网络一般使用公用广播信道,而媒体接入控制(MAC)协议多采用载波监测多址接入(CSMA)类型的多址接入协议。 在有中心拓扑结构中,要求一个无线站点充当中心站,所有站点对网络的访问均由中心站控制。
无线局域网可独立使用,也可与有线局域网互连使用。IEEE802.11可支持自组无线局域网(由一个BBS构成,不与其他网络发生联系)和多区无线局域网(用接入点和骨干网使多个BBS互连,形成多区局域网)。
三、无线局域网的关键技术
实现无线局域网的关键技术有三种:红外线、跳频扩频(FHSS)和直接序列扩频(DSSS)。
红外线局域网采用波长小于1μm的红外线作为传输媒体,有较强的方向性,受阳光干扰大。它支持1~2Mbit/s数据速率,适于近距离通信。
DSSS局域网可在很宽的频率范围内进行通信,支持1~2Mbit/s数据速率,在发送和接收端都以窄带方式进行,而以宽带方式传输。
FHSS局域网支持1Mbit/s数据速率,共22组跳频图案,包括79个信道,输出的同步载波经解调后,可获得发送端送来的信息。
DSSS和FHSS无线局域网都使用无线电波作为媒体,覆盖范围大,发射功率较自然背景的噪声低,基本避免了信号的偷听和窃取,通信安全性高。同时,无线局域网中的电波不会对人体健康造成损害,具有抗干扰、抗噪声、抗衰减和保密性好等优点。
四、无线局域网的安全问题
当有关IEEE802.11的连线对等保密(WEP)协议安全系统易于受到攻击的报告发表时,无线局域网市场因为安全问题而开始降温。应该说,无线局域网的性能、互操作性和易管理性在不断改善,而安全性已经成为一个迫切需要解决的问题。无线局域网的安全性问题表现如下:
1.传输介质的脆弱性
传统的有线局域网采用单一传输媒体——铜线与无源集线器(hub)或集中器,这些集线器端口和线缆接头差不多都连接到具备一定程度物理安全性的设备中,因而攻击者很难进入这类传输介质。许多有线局域网为每个用户配备专门交换端口,即使是经认证的内部用户,也无法越权访问,更不用说外部攻击者了。与此对照,无线局域网的传输媒体——大气空间则要脆弱得多,很多空间都在无线局域网的物理控制范围之外,如公司停车场、无线网络设备的安装位置以及邻近高大建筑物等。网络基础架构的这些差别,导致无线局域网与有线网的安全性不在一个水准。
2.WEP存在不足
802.11委员会由于意识到无线局域网固有的安全缺陷而引入了WEP。但WEP也不能完全保证加密传输的有效性,它不具备认证、访问控制和完整性校验功能。而无线局域网的安全机制是建立在WEP基础之上的,一旦WEP遭到破坏,这类机制的安全也就不复存在。
WEP协议本身存在漏洞,它采用RC4序列密码算法,即运用共享密钥将来自伪随机数据产生器的数据生成任意字节长序列,然后将数据序列与明文进行异或处理,生成加密文本。
早期的802.11b网络都采用40 bit密钥,现行方案大多采用128 bit密钥。使用穷举法,一个黑客在数小时内即可将40 bit密钥攻破;而若采用128位密钥则不太可能被攻破(时间太长)。
但若采用单一密钥方案(密钥串重复使用),即使是104 bit密钥,也容易受到攻击。为此,在WEP中嵌入了24 bit初始向量(IV),IV值随每次传输的信息包变更,并附加在原始共享密钥后面,以最大程度减小密钥相同的概率,进而降低密钥被攻破的危险。
认证失败也会导致非法用户进入网络。802.11分两个步骤对用户进行认证。首先,接入点必须正确应答潜在通信基站的密码质询(认证步骤),随后通过提交接入点的服务集标识符(SSID)与基站建立联系(称为客户端关联)。这种联合处理步骤为系统增加了一定的安全性。一些开发商还为客户端提供可选择的SSID序列,但都是以明文形式公布,因而带无线卡的协议分析器能够在数秒内识别这些数据。
与实现WEP加密一样,认证步骤依赖于RC4加密算法。这里的问题不在于WEP不安全,或RC4本身的缺陷,而是执行过程中的问题:接入点采用RC4算法,运用共享密钥对随机序列进行加密,生成质询密码;请求用户必须对质询密码进行解密,并以明文形式发回接入点;接入点将解密明文与原始随机序列进行对照,如果匹配,则用户获得认证。
这样只需获取两类数据帧——质询帧和成功响应帧,攻击者便可轻易推导出用于解密质询密码的密钥串。WEP系统有完整性校验功能,能部分防止这类采用重放法进行的攻击。但完整性校验是基于循环冗余校验(CRC)机制进行的,很多数据链接协议都使用CRC,它不依赖于加密密钥,因而很容易绕过加密验证过程。
另外,攻击者还可能运用一些常见的方法对信息进行更改,这不仅意味着攻击者能够修改任何内容(如金融文档数据中的十进制小数点的位置),而且攻击者能够借助校验过程推断解密方式的正确性。
一旦经过适当认证和客户端关联,用户便能完全进入无线网。即使不攻击WEP加密,攻击者也能进入连接到无线网的有线网络,执行非法操作或扰乱网络主管的正常管理,甚至向网络扩散病毒、植入“木马”程序进行攻击等。
802.11以及WEP机制很少提及增强访问控制问题。一些开发商在接入点中建有MAC地址表用作访问控制列表,接入点只接受MAC地址表中的客户端的通信。但MAC地址必须以明文形式传输,因而无线协议分析器很容易拾取这类数据。通常情况下,可为不同无线网络接口卡(NIC)配置不同的MAC地址,因而运用仿真方法进行攻击对访问控制的影响较小。
五、无线局域网的优劣势
无线局域网的网络速度与以太网相当,一个接入点最多可支持100多个用户的接入,最大传输范围可达到几十公里。
无线局域网的优势在于①速率较高,可满足高速无线上网需求;②设备价格低廉,节省投资;③技术较成熟在国外已有丰富的应用。
无线局域网的劣势主要有:①功率受限覆盖范围较小移动性较差;②一般工作在自由频段容易受到干扰;③属于第二层技术规范,上层业务体系不够完善。
3GPP已经把无线局域网作为热点地区的一种3G接入技术与WCDMA接入互补,并且目前已经把无线局域网列入R6协议进行研究。而中国移动将无线局域网作为GPRS接入的补充,满足用户在无GPRS信号地区和一些热点地区无线高速上网的需求。
六、无线局域网的实际应用
在无线局域网的实际建设中,应充分考虑无线局域网与GPRS的互补关系,充分利用GSM/GPRS网络资源弥补无线局域网中认证、安全和计费等方面的不足。无线局域网的组网可采用基于短消息(用户名加密码)和基于SIM卡两种模式下面分别讨论。
1.基于短消息的组网模式
基于短消息的无线局域网组网模式具有如下特点:
·使用手机号加短消息的组网;
·基本上网业务由IP承载;
·使用手机号加短消息实施密码方案;
·计费系统与现有GSM计费系统统一。
无线局域网网络分为两个层次:①无线局域网接入控制(AC)设备,实现接入服务器功能;②无线局域网 认证服务器(AS),功能相当于RADIUS+SGSN信令部分。接入控制设备与认证服务器之间的接口为标准RADIUS接口。
基于短消息的无线局域网组网模式基本原理如下:
·用户在无线局域网网络中如果需要进入Internet,门户服务器(portal server)会推出一个页面,要求用户输入手机号;
·用户输入手机号后,门户服务器触发认证服务器为这个用户生成一个动态用户信息,并用手机号作为用户名,再生成一个随机密码;
·门户服务器再向用户推下一个网页,要求用户输入密码,同时认证服务器通过短消息网关向用户发出随机密码;
·用户将手机收到的随机密码输入网络,即可启动RADIUS认证,在认证服务器鉴权通过后,完成用户接入,用户即可以通过无线局域网+WEB方式上网,类似于普通的宽带上网;
·认证服务器将用户的计费信息转化成GPRS计费信息送给计费网关(CG);
·当用户退出网络时,AS将用户的随机信息删除。
该方案的特色是用户可以通过短消息或WAP&WEB页面随时修改密码;由于使用短消息的方式与移动运营商有较强的捆绑,使用方便,容易实现漫游。存在的问题是虽然使用了短消息发送注册密码,但是仍然存在安全性不足和短消息时延问题;由于该接入方式是通过用户自开户的方式获得账号,所以用户信息很少,不利于后续业务的开展。
2.基于SIM卡的组网模式
基于SIM卡的无线局域网组网模式的特点有:
·鉴权、计费与GSM/GPRS统一;
·支持位置、短消息和多媒体消息业务;
·业务由IP承载。
基于SIM卡的无线局域网模式中,在终端设备上安装定制的软件,外接SIM卡读卡器。所涉及设备包括:终端设备、AC、AS、归属位置寄存器(HLR)、CG/BS(Base Station)等。
其基本原理是:无线局域网用户使用便携机或PDA上网,通过外接读卡器读取SIM卡中的信息;在终端设备安装定制的软件通过GSM/GPRS网络鉴权;在GSM核心网内部采用GSM用户管理机制管理无线局域网用户,使无线局域网用户拥有与GSM手机用户相同的漫游能力和业务能力;无线局域网计费采用GPRS网络计费机制,统一话单;兼容手机号加短消息密码实现用户接入。
七、中国移动开展无线局域网业务的市场前景
1.优劣势分析
中国移动具有GSM/GPRS网络和集中式的Radius控制,建设了目前中国最大的可漫游GSM/GPRS网络,如果实现GSM,GPRS网络与无线局域网相融合,就可以统一用户管理、计费和业务。利用与短消息的结合,可以迅速开展无线局域网业务。
中国移动已经有一亿多用户,这些用户包含了开展无线局域网业务最合适的用户群,而且中国移动的SIM卡相当于中国电信入户的电话线,具有不可替代的先天优势。
利用SIM卡可实现客户端加密,提供比其他运营商更高的用户安全性,有利于中国移动向拥有无线局域网的高端用户开展高附加值业务。现有的GSM用户可以自动获得无线局域网帐号,无需重新开户。
另外,中国移动能够提供无线局域网/GPRS双网漫游,促进GPRS业务的发展。
中国移动开展无线局域网业务的劣势在于:缺乏宽带城域网和最后一公里资源;无线数据业务市场尚未成熟等。
2.客户定位
无线局域网使用人员以商旅人士为主,这些人流动性大,有迫切的上网需求(例如移动办公等),而且对上网安全性有一定要求。
另一部分用户是普通的白领阶层,他们出差时在机场、宾馆和会展中心都可能要上网,但不一定使用非常频繁,此时他们可以使用自己的用户名密码或者SIM卡上网。他们对安全性的要求不太高。
此外,个人用户经常会在咖啡厅、会所上网浏览网上信息,对安全性要求也不高,但数据量较大。
3.盈利模式
利用中国移动的客户群开展无线局域网业务,可发挥短消息和SIM卡的优势,提供移动特色业务,吸引用户。对机场、会所、展厅、酒店等热点地区进行广域覆盖,以吸引商旅人士加入。
在业务开展初期可利用全球通业务带动无线局域网业务的开展,然后通过无线局域网带动无线局域网/GPRS双模业务,实现用户升值。
4.移动受益
通过提供无线局域网业务可以吸引高端用户,提高客户忠诚度,进而培育移动数据业务模式,为GPRS和WCDMA的开展打下基础。还可以培育移动数据业务品牌,树立移动梦网的门户概念。
摘自《现代电信科技》
|