【正文】 案和 Nortel的方案。 （ 4）由于無線路由器得不到很好的物理保護(hù)，攻擊者可以潛入網(wǎng)絡(luò)偽裝成合法的節(jié)點，發(fā)布錯誤的路由信息。所以無線路由器得不到很好的物理保護(hù)。然而對公平性 的保護(hù)也帶來了新的挑戰(zhàn)。但是由于 網(wǎng)是一個多跳網(wǎng)絡(luò)，所以將所有的安全管理都集中一端的無線網(wǎng)關(guān)將延緩網(wǎng)絡(luò)對攻擊的檢測和應(yīng)對，這將無疑會給攻擊者帶來好處。而這些安全隱患在多跳的 mesh 網(wǎng)中將被進(jìn)一步放大。 網(wǎng)的安全挑戰(zhàn) Mesh 網(wǎng)和 無線局域網(wǎng)相比多跳通信是一個主要的安全挑戰(zhàn)。在這個意義上，傳統(tǒng)的有線路由 協(xié)議 并不適合于無線 mesh 路由，因為它通常無法考慮一條無線鏈路上包錯誤概率。在無線網(wǎng)絡(luò)中，網(wǎng)絡(luò)性能同發(fā)送成功概率息息相關(guān)。 而在路由算法上，沿用有線網(wǎng)絡(luò)路 由協(xié)議 還是開發(fā)專用的無線 mesh 路由 協(xié)議 也是兩種截然不同的技術(shù)路線。如果用戶接入和無線中繼工作于同一頻段，如使用工作于 的 作為用戶接入，同時使用同樣 工作于 的 作無線中繼，就是一種 SingleBand、SingleRadio方式。 認(rèn)證過程如下： 1） 無線終端向 AP發(fā)出請求，試圖與 AP 進(jìn)行通訊； 2） AP 將加密的數(shù)據(jù)發(fā)送給驗證服務(wù)器進(jìn)行用戶身份認(rèn)證； 3） 驗證服務(wù)器確認(rèn)用戶身份后， AP 允許該用戶接入； 4） 建立網(wǎng)絡(luò)連接后授權(quán)用戶通過 AP訪問網(wǎng)絡(luò)資源； 網(wǎng)的關(guān)鍵技術(shù) 當(dāng)前，業(yè)界的 網(wǎng)體系結(jié)構(gòu)不盡相同，主要區(qū)別在于無線中繼的方式和無線中繼鏈路路由選擇的方法。當(dāng)無線工作站與無線 AP關(guān)聯(lián)后，是否可以使用 AP 的受控端口要取決于 的認(rèn)證結(jié)果，如果通過非受控端口發(fā)送的認(rèn)證請求通過了驗證，則 AP 為無線工作站打開受控端口，否則一直關(guān)閉受控端口，用戶將不能上網(wǎng)。 EAP 允許無線終端使用不同的認(rèn)證類型，與后臺的認(rèn)證服務(wù)器進(jìn)行通訊，如遠(yuǎn)程認(rèn)證撥號用戶服務(wù)器 (RADIUS)交互。 IEEE 提供了一個可靠的用戶認(rèn)證和密鑰分發(fā)的框架，可以控制用戶只有在認(rèn)證通過以后才能連接到網(wǎng)絡(luò)。 本身并不提供實際的認(rèn)證機(jī)制，需要和上層認(rèn)證協(xié)議（ EAP）配合來實現(xiàn)用戶認(rèn)證和密鑰分發(fā)。 端口訪問控制技術(shù)（ ）和可擴(kuò)展認(rèn)證協(xié)議（ EAP） 是一種基于端口的網(wǎng)絡(luò)接入控制技術(shù)，在網(wǎng)絡(luò)設(shè)備的物理接入級對接入設(shè)備進(jìn)行認(rèn)證和控制。 IEEE 中還定義了一種基于 “ 高級加密標(biāo)準(zhǔn) ”AE S的全新加密算法，以實施更強大的加密和信息完整性檢查。 （ 4）密鑰重新獲取和分發(fā)機(jī)制。 表 上層認(rèn)證機(jī)制 (EAP) TKIP CCMP （ 2）每包密鑰構(gòu)建機(jī)制 (perpacket key construction)。 TKIP 與當(dāng)前 WiFiTM 產(chǎn)品向后兼容，而且可以通過軟件進(jìn)行升級， AboveCable 無線產(chǎn)品完全支持 WiFiTM 標(biāo)準(zhǔn)，只需要簡單的軟件升級就可以實現(xiàn)對 TKIP 的支持。在 IEEE 標(biāo)準(zhǔn)最終確定前， WPA技術(shù)將成為代替 WEP的無線安全標(biāo)準(zhǔn)協(xié)議。WPA 是 的一個子集， 其核心就是 和 TKIP。 IEEE 標(biāo)準(zhǔn)草案中主要包含加密技術(shù)： TKIP (Temporal Key Integrity Protocol) 和 AES（ Advanced Encryption Standard），以及認(rèn)證協(xié)議： 。 在某些場合，如大型企業(yè)、銀行、證券行業(yè)，其現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜且對網(wǎng)絡(luò)的安全性要求很高，僅使用基本的安全措施并不能完全達(dá)到其安全需求。CCMP 機(jī)制基于 AES(Advanced Encryption Standard) 加密算法和CCM(Counter2Mode/CBC2MAC)認(rèn)證方式，使得 WLAN 的安全程度大大提高，是實現(xiàn) RSN的強 制性要求。 IEEE 規(guī)范了 認(rèn)證和密鑰管理方式，在數(shù)據(jù)加密方面，定義了TKIP(Temporal Key Integrity Protocol)、 CCMP(CounterMode/CBC2 MAC Protocol)和 WRAP(Wireless Ro2bust Authenticated Protocol)三種加密機(jī)制。 IEEE 標(biāo)準(zhǔn)主要包含的加密技術(shù)級本 科畢業(yè)設(shè)計論文 第 13 頁 共 26 頁 是 TKIP(Temporal Key Integrity Protocol)和 AES(Advanced Encryption Standard)，以及認(rèn)證協(xié)議 IEEE 。物理地址過濾的方法要求 AP中的 MAC 地址列表必須及時更新，因此此方法維護(hù)不便、可擴(kuò)展性差；而且 MAC 地址還可以通過工具軟件或修改注冊表偽造，因此這也是較低級別的訪問控制方法。 物理地址 (MAC， Media Access Control)過濾 由于每個無線工作站的網(wǎng)卡都有唯一的類似于以太網(wǎng)的 48 位的物理地址，因此可以在 AP 中手工維護(hù)一組允許訪問的 MAC 地址列表，實現(xiàn)基于物理地址的過濾。但是 SSID 只是一個簡單的字符串，所有使用該無線網(wǎng)絡(luò)的人都知道該 SSID，很容易泄漏；而且如果配置 AP 向外廣播其 SSID，那么安全程度還將下降，因為任何人都可以通過工具或 Windows XP 自帶的無線網(wǎng)卡掃描功能就可以得到當(dāng)前區(qū)域內(nèi)廣播的 SSID。無線局域網(wǎng)相對于有線局域網(wǎng)所增加的安全問題主要是由于其采用了電磁波作為載體來傳輸數(shù)據(jù)信號，其他方面的安全問題兩者是相同的。 無線局域網(wǎng)絡(luò)產(chǎn)品的 IEEE 系列標(biāo)準(zhǔn)主要有 (5GHz1999 年獲得通過 )、 (11Mbps 年獲得通過 )、 (額外的規(guī)章制度 )、(服務(wù)質(zhì)量 )、 (接入點間協(xié)議 IAPP)、 (率 20Mbps2020 年 5 月獲得通過 )、 (靈活的頻率選擇與傳輸電源控制機(jī)制 )、(驗證與安全性 2020 年 6 月獲得通過 )、 (基于端口的網(wǎng)絡(luò)接入控制EAP2020 年 6月獲得通過 )，下面將標(biāo)準(zhǔn)中涉及的安全技術(shù)加以闡述。而無線網(wǎng)絡(luò)的數(shù)據(jù)傳輸是利用電磁波在空氣中輻射傳播，只要在接入點 (AP， Access Point)覆蓋的范圍內(nèi)，所有的無線終端都可以接收到無線信號。 關(guān)鍵安全技術(shù) 有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)有著不同的傳輸方式。無線網(wǎng)絡(luò)可以通過簡單配置就可快速地接入網(wǎng)絡(luò)主干，但這樣會使網(wǎng)絡(luò)暴露在攻擊者面前。 (7)高級入侵 一旦攻擊者進(jìn)入無線網(wǎng)絡(luò)，它將成為進(jìn)一步入侵其他系統(tǒng)的起點。作為防護(hù)功能的擴(kuò)展，最新的無線局域網(wǎng)產(chǎn)品的防護(hù)功能更進(jìn)了一步，利用密鑰管理協(xié)議實現(xiàn)每 15 分鐘更換一次 WEP 密鑰。目前， WEP 有 漏洞 可以被攻擊者利用，它僅能保護(hù)用戶和網(wǎng)絡(luò)通信的初始數(shù)據(jù)，并且管理和控制幀是不能被 WEP 加密和認(rèn)證的，這樣就給攻擊者以欺騙幀中止網(wǎng)絡(luò)通信提供了機(jī)會。在沒有采用 對每一個 MAC 幀進(jìn)行認(rèn)證的技術(shù)前，通過會話攔截實現(xiàn)的網(wǎng)絡(luò)入侵是無法避免的。 除攻擊者通過欺騙幀進(jìn)行攻擊外，攻擊者還可以通過截獲會話幀發(fā)現(xiàn) AP 中存在的認(rèn)證缺陷，通過監(jiān)測 AP 發(fā)出的廣播幀發(fā) 現(xiàn) AP 的存在。 無線帶寬可以被幾種方式吞噬：來自有線網(wǎng)絡(luò)遠(yuǎn)遠(yuǎn)超過無線網(wǎng)絡(luò)帶寬的網(wǎng)絡(luò)流量，如果攻擊者從快速以太網(wǎng)發(fā)送大量的 Ping 流量，就會輕易地吞噬 AP 有限的帶寬；如果發(fā)送廣播流量，就會同時阻塞多個 AP；攻擊者可以在同無線網(wǎng)絡(luò)相同的無線信道內(nèi)發(fā)送信號， 這樣被攻擊的網(wǎng)絡(luò)就會通過 CSMA/CA 機(jī)制進(jìn)行自動適應(yīng)，同樣影響無線網(wǎng)絡(luò)的傳輸；另外，傳輸較大的數(shù)據(jù)文件或者復(fù)雜的 client/server 系統(tǒng)都會產(chǎn)生很大的網(wǎng)絡(luò)流量。而且未經(jīng)授權(quán)的用戶沒有遵守服務(wù)提供商提出的服務(wù)條款，可能會導(dǎo)致 ISP 中斷服務(wù)。幾乎所有的 AP 都按照默認(rèn)配置來開啟 WEP 進(jìn)行加密或者使用原廠提供的默認(rèn)密鑰。很多部門 未通過公司 IT中心授權(quán)就自建無線局域網(wǎng)，用戶通過非法 AP接入給網(wǎng)絡(luò)帶來很大 安全隱患。 (2)非法的 AP 無線局域網(wǎng)易于訪問和配置簡單的特性，使網(wǎng)絡(luò)管理員和安全官員非常頭痛。下面，我們就向大家介紹一些無線局域網(wǎng)所面臨的危險，知道了解危險如何存在，那么我們再去解決也就相對容易一些： (1)容易侵入 無線局域網(wǎng)非常容易被發(fā)現(xiàn)，為了能夠使用戶發(fā)現(xiàn)無線網(wǎng)絡(luò)的存在，網(wǎng)絡(luò)必須發(fā)送有特定參數(shù)的信標(biāo)幀，這樣就給攻擊者提供了必要的網(wǎng)絡(luò)信息。由于傳送的數(shù)據(jù)是利用無線電波在空中輻射傳播，無線電波可以穿透天花板、地板和墻壁，發(fā)射的數(shù)據(jù)可能到達(dá)預(yù)期之外的、安裝在不同樓層、甚至是發(fā)射機(jī)所 在的大樓之外的接收設(shè)備，任何人都有條級本 科畢業(yè)設(shè)計論文 第 10 頁 共 26 頁 件竊聽或干擾信息，數(shù)據(jù)安全也就成為最重要的問題。以前電影中經(jīng)常出現(xiàn)的在智能大廈里任意地方移動辦公，隨時隨地下載資料、打印文件的片斷，都出現(xiàn)在我們的現(xiàn)實生活當(dāng)中。特別是當(dāng)要把相離較遠(yuǎn)的節(jié)點聯(lián)接起來時，架設(shè)專用通信線路的布線施工難度大、費用高、耗時長 ,對正在迅速擴(kuò)大的連網(wǎng)需求形成了嚴(yán)重的瓶頸阻塞。 4 無線安全技術(shù) 無線局域網(wǎng)的 安全 問題與危險 有線網(wǎng)絡(luò)一直以來都是家庭、企業(yè)用戶經(jīng)常使用的網(wǎng)絡(luò)方式 。擴(kuò)展服務(wù)區(qū)只包含物理層和數(shù)據(jù)鏈路層，網(wǎng)絡(luò)結(jié)構(gòu)不包含網(wǎng)絡(luò)層及其以上各層。 擴(kuò)展服務(wù)區(qū) ESS 是指由多個 AP 以及連接它們的分布式系統(tǒng)組成的結(jié)構(gòu)化網(wǎng)絡(luò)，所有 AP必需共享同一個 ESSID，也可以說 擴(kuò)展服務(wù)區(qū) ESS 中包含多個 BSS。換句話說，一個無線訪問點所覆蓋的微蜂窩區(qū)域就是基本服務(wù)區(qū)。無線 AP 通常能夠覆蓋幾十至幾百用戶，覆蓋半徑達(dá)上百米。它由無線 AP、無線工作站（ STA）以及 DSS 構(gòu)成，覆蓋的區(qū)域分 BSS 和 ESS。 對等網(wǎng)絡(luò)中的一個節(jié)點必需能同時 看 到網(wǎng)絡(luò)中的其他節(jié)點，否則就認(rèn)為網(wǎng)絡(luò)中級本 科畢業(yè)設(shè)計論文 第 9 頁 共 26 頁 斷，因此對等網(wǎng)絡(luò)只能用于少數(shù)用戶的組網(wǎng)環(huán)境，比如 4至 8個用戶，并且他們離得足夠近。 對等網(wǎng)絡(luò)組網(wǎng)靈活，任何時間，只要兩個或更多的無線接口互相都在彼此的范圍之內(nèi)，它們就可以建立一個獨立的網(wǎng)絡(luò)。(如圖 )一個對等網(wǎng)絡(luò)由一組有無線接口的計算機(jī)組成。對等網(wǎng)絡(luò)用于一臺無線工作站（ STA, Station）和另一臺或多臺其他無線工作站的直接通訊，該網(wǎng)絡(luò)無法接入有線網(wǎng)絡(luò)中，只能獨立使用。 WLAN 的網(wǎng)絡(luò)結(jié)構(gòu)主要有兩種類型：無中心網(wǎng)絡(luò)和有中心網(wǎng)絡(luò)。例如，數(shù)十公里遠(yuǎn)的兩個局域網(wǎng)相聯(lián)：其間或有河流、湖泊相隔，拉線困難且線纜安全難保障，或在城市中敷設(shè)專線要涉及審批復(fù)雜，周期很長的市政施工問題， WLAN 能以比線纜低幾倍的費用在幾天內(nèi)實現(xiàn)，WLAN 也可方便地實現(xiàn)不經(jīng)過大的施工改建而使舊式建筑具有智能大廈的功能。支持AP 和客戶端之間的傳輸速度為 108Mbps，客戶端不支持該技術(shù)時 客 戶端的情況 ，通信速度為 54Mbps。一個多發(fā)射天線的 OFDM 系統(tǒng)。 在 OFDM 系統(tǒng)中采用多發(fā)射天線實際上就是根據(jù)需要在各個子信道上應(yīng)用多發(fā)射天線技術(shù)。而采用MIMO 結(jié)構(gòu)不需要增 加發(fā)射功率就能獲得很高的系統(tǒng)容量。我們知道，多徑衰落是影響通信質(zhì)量的主要因素，但 MIMO 系統(tǒng)卻能有效地利用多徑的影響來提高系統(tǒng)容量。研究表明，在瑞利衰落信道環(huán)境下， OFDM 系統(tǒng)非常適合使用 MIMO 技術(shù)來提信 源 信 宿 空 時 編 碼 空 時 編 碼 天線陣 . . . . . . . . S(k) Ci(k) Ri(k) 級本 科畢業(yè)設(shè)計論文 第 8 頁 共 26 頁 高容量。 現(xiàn)代信息論表明：對于發(fā)射天線數(shù)為 N，接收天線數(shù)為 M 的多入多