局域網與網絡安全技術

摘要：通過對目前常見的IEEE802.11、HiperLAN局域網技術的介紹，分析了它們各自的特點、優勢所在以及局限性，并對無線局域網絡安全技術作了一些分析。

關鍵詞：局域網；IEEE802.11； HiperLAN；網絡安全

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)36-2619-02

Local Area Network and Network Security Technology

ZHANG Wu-bin

(China Coal International Engineering Group， Wuhan Institute of Design Information Center files，Wuhan 430064，China)

Abstract: The current common IEEE802.11， HiperLAN local area network technology， an analysis of their characteristics， as well as the advantages of limitations， and wireless local area network security technology made by some analysts.

Key words: local area network; IEEE802.11; hiperLAN;network security

在應用需求的推動下，近年來網絡技術取得了巨大的進步。傳統的有線局域網由于受到布線的限制，給移動辦公用戶帶來了很大的不便。因此，高效快捷、組網靈活的無線局域網(Wireless LAN簡稱WLAN)應運而生。它所提供的“一點對多點接入”、“點對點中繼”等工作模式為用戶提供了一種替代有線的高效高速的解決方案。無線局域網分為兩大陣營：IEEE802.11系列標準和歐洲的HiperLAN。

1 IEEE802.11系列標準

1997年6月，IEEE（電氣電子工程師協會）出臺了802.11標準，它主要用于解決辦公室局域網和校園網中用戶終端的無線接入問題，數據速率最高可達2Mbps。802.11標準在速率和傳輸距離上無法滿足日益發展的業務需求，IEEE相繼推出802.11b和802.11a兩個標準。目前802.11共有九種擴展名，從a到i。下面簡要介紹一下其中的幾種標準：

1) 802.11a標準是應用802.11b無線局域網標準的后續標準。802.11a工作于5GHz頻帶，它采用的調制方式為正交頻分復用（OFDM）。802.11a標準的傳輸速度可達25 Mbps，完全能滿足語音、數據、圖像等傳輸的需要。通過對標準物理層進行擴充，802.11a支持的數據速率最高可達54Mbps。

2) 802.11e標準對WLAN MAC層協議提出改進，以支持多媒體傳輸，以支持所有WLAN無線廣播接口的服務質量（QOS），保證QOS機制。

3) 802.11f，定義訪問節點之間的通訊，支持802.11的接入點互操作協議（IAPP）。

4) 802.11i標準是結合IEEE802.1x中的用戶端口身份驗證和設備驗證，對WLANMAC層進行修改與整合，定義了嚴格的加密格式和鑒權機制，以改善WLAN的安全性。802.11i新修訂標準主要包括兩項內容：“Wi-Fi保護訪問”(Wi-Fi Protected Access：WPA)技術和“強健安全網絡”(RSN)。

2 HiperLAN

IEEE在美國及世界其他地區主推802.11x系列標準，而在歐洲，ETSI（歐洲電信標準學會）則主打另一無線局域網系列標準HiperLAN（高性能無線局域網），其地位相當于802.11b，但二者互不兼容，已推出HiperLAN l和HiperLAN2兩個版本。

1) HiperLAN1

1996年發布的HiperLAN1工作于5GHz頻帶，采用的調制方式是高斯濾波最小移頻鍵控(GMSK)，GMSK廣泛應用于GSM系統和蜂窩數字分組數據網絡(CDPD)，HiperLAN1提供的數據速率最高可達25Mbps。

2) HiperLAN2

HiperLAN2是HiperLAN1的第二代版本，于2000年底通過ETSI批準成為標準。它對應于IEEE的802.11a，工作在5GHz頻帶，采用的調制技術也是正交頻分復用，和802.11a在物理層兼容。

HiperLAN2在物理層使用了全新的MAC協議，為了高效地利用無線資源，它使用一種動態時分雙工技術，使數據速率可高達54Mbps，并且還能在高吞吐率下支持QoS，從而為視頻流、話音等實時應用提供支持。

3 無線局域網絡安全性問題

無線網絡是利用空氣當作資料傳輸的媒介，因此無線局域網的安全問題顯得尤為突出。為了保證安全通信，無線局域網中應采取必要的安全技術，包括訪問控制、認證、加密、數據完整性及不可否認性等。

3.1 訪問控制

訪問控制的目標是防止任何資源進行非授權的訪問。用戶通過認證，只是完成了接入無線局域網的第一步，還要獲得授權，才能開始訪問權限范圍內的網絡資源，授權主要是通過訪問控制機制來實現。它通過訪問BSSID(業務組標識符)、MAC地址過濾、控制列表(ACL)等技術實現對用戶訪問網絡資源的限制。要想實現對無線網絡的控制，所有的機器上僅能使用授權的SSID(服務設置身份器)。同時，為了自動斷開不安全的連接，在每一臺客戶端上安全基于主機的無線網絡入侵防御系統。主機無線網絡入侵系統可以監視無線局域網，采取必要的措施執行已定義的無線網絡安全政策。同時要規定哪些人可以使用無線局域網，哪些人既能使用企業內部網，也能使用互聯網。無線局域網通常并不會限制對整個網絡和互聯網的訪問。需要考慮有的局域網是為客戶提供服務的，就需要禁止自己的雇員使用這一部分的網絡。有的公司甚至會阻斷企業內部網和互聯網之間的無線子網。因此，無論是否選擇允許訪問，確定訪問的范圍都是至關重要的。

3.2 認證

認證提供了關于用戶的身份的保證，這意味著當用戶聲稱具有一個特別的身份時，認證將提供某種方法來證實這一聲明是正確的。用戶在訪問無線局域網之前，首先需要經過認證驗證身份以決定其是否具有相關權限，再對用戶進行授權，允許用戶接入網絡，訪問權限內的資源。目前無線局域網中采用的認證方式主要有PPPoE認證、WEB認證和802.1X認證。

PPPoE認證是出現最早也是最為成熟的一種接入認證機制，現有的寬帶接入技術多數采用這種接入認證方式。在無線局域網中，采用PPPoE認證，只需對原有的后臺系統增加相關的軟件模塊，就可以到達認證的目的，從而大大節省投資，因此使用較為廣泛。

WEB認證相比于PPPoE認證，一個非常重要的特點就是客戶端除了IE瀏覽器外不需要安裝認證客戶端軟件，給用戶免去了安裝、配置與管理客戶端軟件的煩惱，也給運營維護人員減少了很多相關的維護壓力。同時，WEB認證配合Portal服務器，還可在認證過程中向用戶推送門戶網站，有助于開展新的增值業務。

802.1X認證是采用IEEE802.1X協議的認證方式的總稱。在一個802.1X的無線局域網認證系統中，認證不是由接入點AP完成，而是由一個專門的中心服務器完成。如果服務器使用Radius(遠程用戶撥號認證系統)協議時，則稱為Radius服務器。用戶可以通過任何一臺PC登陸到網絡上，而且很多AP可以共享一個單獨的Radius服務器來完成認證，這使得網絡管理者能更容易地控制網絡接入。

3.3 加密

加密就是保護信息不泄露或不暴露給那些未授權掌握這一信息的實體。加密又可細分為兩種類型：數據保密業務和業務流保密業務。根據密碼算法所使用的加密密鑰和解密是否相同，由加密過程能否推導出解密過程（或是由解密過程推導出加密過程），可將密碼體制分為單鑰密碼體制和雙鑰密碼體制。當然，在無線局域網中，打開無線加密，強制使用WPA協議或者WPA-AES，也就是WAP2協議。這兩種加密機制都采用了強悍的加密模型。而AES因為使用了Rijindal加密則更為可靠，并被公認為是可用于機密數據系統的安全標準。一旦開始部署無線網絡，就應當料到有人會丟失無線設備。當這些無法避免的丟失現象發生時，必須立刻改變網絡中所有的安全設置（包括SSID以及加密密鑰），安全策略必須要涵蓋這點。應當將任何設備丟失事件都看作是對網絡安全的威脅，在策略中定義各個步驟來規避未來可能出現的損害。

3.4 數據完整性

所謂數據完整性，是使接收方能夠確切地判斷所接收到的消息有沒有在傳輸過程中遭到插入、篡改、重排序等形式的破壞。完善的數據完整性業務不僅能發現完整性是否遭到破壞，還能采取某種措施從完整性中恢復出來。與有線網絡相比，無線網絡更加缺乏實體保護。在無線網絡數據傳輸的時候，我們需要新的防御方法防止網絡詐騙?，F在WPA應用在無線局域網很多產品中。WPA(無線網絡保護連接)使用TKIP(臨時密鑰整合協議)防范網絡竊聽、欺詐及網絡數據的復制。這一協議填補了以前WEP協議的一些缺陷，但是速度比WPA2慢。WPA版本2(WPA2)，從2004年以來，所有的無線網絡產品都支持這一協議。使用802.11i和AES(高級加密標準)保證數據更加安全地傳輸。

總之，只要在實際應用中，合理組合安全機制，用戶就可以回避無線網絡的風險而享受到無線接入的便捷。

參考文獻：

[1] 張新剛，劉妍.防火墻技術及其在局域網絡安全中的應用[J].網絡安全技術與應用，2006(5).

[2] 張志華.局域網的安全策略及其實現[J].肇慶學院學報，2006(2).

[3] 王竹林.局域網組建與管理[M].北京:清華大學出版社，2005.