【正文】 置感知能力”而降低客戶的總擁有成本和增強現(xiàn)有 WLAN 基礎(chǔ)設(shè)施的價值和安全性。而且，智博通無線控制系統(tǒng)（ WCS）的集中 WLAN 管理功 能和簡單明了的 GUI 可用于管理和設(shè)置智博通無線定位設(shè)備，從而讓安裝過程變得非常迅速和直觀。這些接入點可以從所有 WiFi設(shè)備采集接收信號強度指示（ RSSI）信息，其中包括支持 WiFi 的筆記本電腦、手機、 WiFi 標(biāo)簽、惡意（未經(jīng)授權(quán)的）設(shè)備和惡意接入點。然后，智博 通無線局域網(wǎng)控制將匯總 RSSI 信息，通過簡單網(wǎng)絡(luò)管理協(xié)議（ SNMP）發(fā)送到智博通無線定位設(shè)備。搜集 RSSI 信息的智博通無線局域網(wǎng)控制器必須與智博通無線定位設(shè)備建立關(guān)聯(lián)（如圖 23 所示）。智博通 WCS 可以直觀顯示它的位置信息，從而及時地為那些希望加強 RF 容量管理 、采用基于位置的安全措施和加強 WLAN 設(shè)備的可見度的客戶提供位置應(yīng)用。 智博通無線定位設(shè)備 ：同時對數(shù)千個用戶、設(shè)備和接入點進(jìn)行實時跟蹤。該 GUI 可以提供集中的管理和配置。智博通 WCS 視圖過濾器和靈 活的搜索標(biāo)準(zhǔn)使得用戶可以方便地根據(jù)自己的需要查看特定的位置數(shù)據(jù)。用戶可以針對多種選擇創(chuàng)建這種有針對性的視圖，包括設(shè)備種類、邏輯名稱、檢測時間和物理位置（例如某個樓層）。惡意接入點可能會創(chuàng)建潛在的安全漏洞和不安全的 WLAN 連接，導(dǎo)致整個網(wǎng)絡(luò)受到嚴(yán)重的威脅。通過更加準(zhǔn)確地定位這些設(shè)備， IT 經(jīng)理可以迅速地隔離安全威脅和未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問嘗試。另外， IT 經(jīng)理還可以利用智博通無線定位設(shè)備，為基于位置的安全措施建立框架――從而進(jìn)一步加強 WLAN 的安全。例如，可以在客戶端上找到有效的安全數(shù)據(jù)，包括關(guān)于用戶最近、過去在什么時間到過哪里的物理位置信息，客戶端流量分析，以及 IP 地 址、用戶名、 MAC 地址、服務(wù)集標(biāo)識符（ SSID）和接入點關(guān)聯(lián)細(xì)節(jié)等。 IT 人員可以利用便于輸出的日志文件，將其存檔和使用 30 天或者更長的時間。這些信息可能建立在下列因素的基礎(chǔ)上：位置趨勢――即用戶在什么時間到過哪里，例如客戶端 /標(biāo)簽在某一層中的分布；統(tǒng)計位置信息― ―即用戶曾經(jīng)到過哪里和相關(guān)流量分析；覆蓋區(qū)域――熱點所在的位置。 智博通無線定位設(shè)備位置趨勢分析 特定地點搜索 通過多個針對特定的用戶興趣而定制的靈活參數(shù)，可以方便地進(jìn)行有針對性的搜索。例如，圖 7 顯示的是一個旨在列出某個特定資產(chǎn)群 組內(nèi)的所有標(biāo)簽的搜索操作。 智博通無線定位設(shè)備標(biāo)簽搜索參數(shù) 與基于位置的應(yīng)用的集成 為了促進(jìn)基于位置的應(yīng)用在企業(yè)中的部署，智博通無線定位設(shè)備配備了一個功能豐富的、開放的、基于 SOAP/XML 的 API。其他一些有效的數(shù)據(jù)也可以被導(dǎo)入，例如最近和過去的位置和統(tǒng)計設(shè)備信息。所有這些功能使得智博通無線定位設(shè)備 API 可與使用位置信息的外部軟件應(yīng)用（例如資產(chǎn)管理、企業(yè)資源計劃[ERP]工具和工作流程自動化系統(tǒng)）建立緊密、透明的集成。 智博通無線定位設(shè)備的特性和優(yōu)點綜述 特性 優(yōu)點 可擴展的位置跟蹤和資產(chǎn)管理 利用先進(jìn)的 RF 指紋技術(shù)和直觀的網(wǎng)絡(luò)拓?fù)鋱D，同時跟蹤數(shù)千個用戶和設(shè)備（結(jié)果準(zhǔn)確到幾米之內(nèi)）。 集成化的、經(jīng)濟(jì)有效的位置跟蹤 提供 WiFi 流量的智博通輕型接入點也可以定位無線設(shè)備。 增強的 WLAN 安全性 迅速、準(zhǔn)確地定位惡意設(shè)備和惡意接入點，讓 IT 經(jīng)理可以迅速地制止安全威脅和未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問嘗試。 直觀的集中管理 只需經(jīng)過少量培訓(xùn)， IT 人員就可以利用直觀的智博通 WCS GUI，集中、方便地添加、配置、管理和升級一個或者多個定位設(shè)備。智博通 WCS 還支持訪問控制設(shè)置；內(nèi)容和輪詢頻率的定義；存檔參數(shù)的配置。 層次化拓?fù)鋱D 從智博通 WCS 將網(wǎng)絡(luò)設(shè)計、拓?fù)鋱D和接入點分布導(dǎo)入到智博通無線定位設(shè)備，迅速、方便地以瀏覽器的方式查看不同地點、園區(qū)、樓宇、樓層和區(qū)域的設(shè)備。智博通 WCS 和智博通無線定位設(shè)備之間存在 一種雙向智能同步機制，有助于確保雙方都具有最新的信息。通過支持為資產(chǎn)種類使用邏輯性強、便于理解的定義，有助于改進(jìn)直觀查看功能。 靈活、方便的部署 利用“現(xiàn)成的” RF 模型和預(yù)測技術(shù)，可以實現(xiàn)迅速的部署。加強的部署靈活性是通過基于模板的RF 模型提供的。 審查索引和數(shù)據(jù)庫維護(hù) 可以存檔和使用長達(dá) 30 天的位置和統(tǒng)計無線設(shè)備信息。為了保持最優(yōu)的位置數(shù)據(jù)庫性能，內(nèi)置了可設(shè)置的自動刪除和碎片整理間隔。 位置跟蹤已經(jīng)成 為今天的 WLAN 的一個重要組成部分。位置跟蹤還提高了無線空間的 可見度 和控制，幫助 IT 人員以與部署傳統(tǒng)有線網(wǎng)絡(luò)一樣的便于管理、高效的方式部署無線網(wǎng)絡(luò)。受中華人民共和國衛(wèi)生部醫(yī)院管理研究所和中國醫(yī)院協(xié)會信息管理專業(yè)委員會的委托，由中日友好醫(yī)院和智博通系統(tǒng) (中國 )網(wǎng)絡(luò)技術(shù)有限公司聯(lián)合組成了無線局域網(wǎng)對醫(yī)療設(shè)備潛在干擾測試研究。根據(jù)測試過程和結(jié)果，制定了《醫(yī)院無線局域網(wǎng)部署規(guī)程（草案）》。 根據(jù)中國國家無線電管理委員會的規(guī)定，在部署無線網(wǎng)絡(luò)信號輻射不得超過100mw，以避免 和 5GHz 對人體的影響。無線接入點即 AP 隨著終端和 AP 之間的信號的強弱， AP 和終端會自動協(xié)商根據(jù)信號的衰減程度，自動降低傳輸速率和增大傳輸功率。 智博通最低 無線發(fā)射功率可以調(diào)到 1mw。 方便部署的無線信道和功率自動調(diào)整 RRM 技術(shù) 對于 系統(tǒng)，我們知道可用的不重疊的信道只有 3 個，分別是 11，見下圖 如果只有 頻點進(jìn)行部署，那么建議信道規(guī)劃形式如下圖所示，蜂窩間的重疊不得小于 20% 對于 5G 頻段范圍，有多達(dá) 20 多個可用頻點，其規(guī)劃方法可以類似于 進(jìn)行蜂窩 系統(tǒng)的規(guī)劃方法，當(dāng)然同時我們也需要考慮 3 維的設(shè)計覆蓋，如下圖所示 在中國只有 5 個不重疊信道可用，分別是 Channel 14 15 15 16165，但對于大多無線設(shè)備廠商來說，在 的信道上只支持前 4 個信道。 智博通的無線網(wǎng)絡(luò)通過 RRM( Radio Resource Management)自動調(diào)整 AP的工作信道和功率 , 這樣省掉了手工配置 AP 信道和功率的繁瑣步驟 , 大大簡化了無線網(wǎng)絡(luò)的實施。 高安全的智博通無線網(wǎng)絡(luò) 由于無線信號的空間泄漏特性，以及 技術(shù)的普及，隨之而來的無線網(wǎng)絡(luò)安全問題也被廣大用戶普遍關(guān)注。 智博通在無線局域網(wǎng)安全技術(shù)和標(biāo)準(zhǔn)制定方面，扮演了極 為重要的角色，是 ，并在無線安全標(biāo)準(zhǔn)工作組中占據(jù)領(lǐng)導(dǎo)地位。健全的WLAN 訪問控制――也被稱為身份驗證――可以防止未經(jīng)授權(quán)的用戶通過接入點收發(fā)信息。 WLAN 隱私保護(hù)有助于確保只有預(yù)定的接收者才能了解所傳輸?shù)臄?shù)據(jù)。數(shù)據(jù)加密有助于確保數(shù)據(jù)在收發(fā)傳輸過程中不會遭到破壞。無線接入設(shè)備 AP 的物理安全性， AP 連接到有線網(wǎng)絡(luò)交換機的安全認(rèn)證，基于無線訪問位置的物理防護(hù)手段，如何避免攻擊，如何快速發(fā)現(xiàn)非法 /假冒 AP，對一個網(wǎng)絡(luò)系統(tǒng)來講也是十分重要的。 在部署 Mesh 網(wǎng)絡(luò)的時候，由于所有信令和數(shù)據(jù)的傳輸都是通過 的Backhaul 進(jìn)行回傳，那么對于 11a 上的數(shù)據(jù)加密也是我們需要關(guān)心的安全問題。將訪客和無線網(wǎng)絡(luò)完全邏輯隔離，在允許訪客跨地區(qū)無線網(wǎng)絡(luò)漫游訪問互聯(lián)網(wǎng)的同時保證內(nèi)部無線用戶的安全 ? 網(wǎng)絡(luò)的安全管理 所以，智博通提供了基于有線無線集成的統(tǒng)一的端到端的安全架構(gòu)，系統(tǒng)構(gòu)架如下 Secure W irele ss S olu tio n A r chi tect ureW C SCS MA R SA S A 5 5 0 0 w / I PS Mo d u l eIn t e r n e tEn te r p r i s eG u e s t A n c h o r C o n tr o l l e rNAC A p p l i a n c eNAC Ma n a g e rG u e s tSSCW PA 28 0 2 . 1 X MF PC SA Se r v e rC i s c o Se c u r i ty A g e n tTrustedUntrustedWirelessWiredPublic? Host in t r u sio n p r e ve n tio n? E n d p o i n t m a l w a r e m itiga tio nEn d p o i n t Pr o te c ti o n? Device p o stu r e a sse ssm e n t ? D y n a m ic, r o l e b a se d n e t wor k a cce s s a n d m a n a g e d co n n e ctivit y? W L A N th r e a t m itiga tio n w ith IP S / I DST ra ff i c a n d Ac c e s s C o n tro l? S tr o n g u se r a u t h e n ti ca tio n? S tr o n g t r a n sp o r t e n cr y p ti o n? RF M o n ito r ing? S e cu r e G u e st A cc e ssW L AN S e c u ri ty F u n d a m e n ta l s 下面我們詳細(xì)討論智博通無線安全系統(tǒng)在各方面的實現(xiàn)情況， 用戶的認(rèn)證和加密 WLAN可能會遭受多種類型的攻擊。如下表所示： 新的安全技術(shù)有助于制止網(wǎng)絡(luò)攻擊 攻擊類型 安全改進(jìn) 身份驗證： 開放 身份驗證： 智博通 LEAP，EAPFAST， EAPTLS 或身份驗證： 智博通 LEAP，EAPFAST， EAPTLS 或者加密： 靜態(tài)WEP 者 PEAP 加密： 動態(tài) WEP PEAP 加密： TKIP/MIC， AES 中間人 不安全 不安全 安全 身份偽裝 不安全 安全 安全 薄弱 IV攻擊（ AirSnort） 不安全 不安全 安全 分組偽裝（重復(fù)攻擊） 不安全 不安全 安全 暴力攻擊 不安全 安全 安全 字典攻擊 不安全 安全 安全 在現(xiàn)有的無線網(wǎng)絡(luò)數(shù)據(jù)加密技術(shù)中，除了要考慮加密算法外，還應(yīng)當(dāng)考慮傳輸密鑰的管理。 TKIP 主要包括兩個關(guān)鍵的對 WEP 的增強部分： 1，在所有 WEP 加密的數(shù)據(jù)包上采用報文完整性檢測 (MIC) 功能，以更有效的保證數(shù)據(jù)幀的完整性； 2，針對所有的 WEP 加密的包實行 基于每個數(shù)據(jù)包密匙的方式。 有很多報告顯示 WEP 密匙方式的弱點，報告了 WEP 在數(shù)據(jù)私密和加密上的很低功效性。 的標(biāo)準(zhǔn)中 WEP 增強機制已經(jīng)采納了針對每個分組的 WEP 密匙。 AES 是一種旨在替代 TKIP 和 WEP 中使用的 RC4 加密的加密機制。 AES 是一種極為安全的密碼算法，目前的分析表明，需要 2 的 120 次方次計算才能破解一個 AES 密鑰――還沒有人真正做到這一點。這是一種對稱性加密方法，加密和解密都使用同一個密鑰，而且使用一組固定長度的比特――即所謂的“區(qū)塊”。 AES 標(biāo)準(zhǔn)規(guī)定了三種可 選的密碼長度（ 12 192 和 256 比特），每個AES 區(qū)塊的大小為 128 比特。一輪WAP2/ AES 加密包括四個階段。 為了保護(hù)數(shù)據(jù)的保密性和真實性， AES 采用了一種名為CounterMode/CBCMac (CCM)的新型結(jié)構(gòu)模式。這種對兩種模式（ CTR 和 CBCMAC）使用同一個 密鑰的新型結(jié)構(gòu)模式已經(jīng)被 NIST（特殊聲明 80038C）和標(biāo)準(zhǔn)化組織（ IETF RFC3610）所采用。與 TKIP 一樣， AES 使用 IV 的方式與 WEP 加密模式有所不同。而且，因為 IV 空間被擴展到 48 比特，發(fā)生一次 IV 沖突所需的時間會以指數(shù)形式增長。 由于 WEP 與 TKIP 均采用統(tǒng)一加密算法 RC4 算法實現(xiàn)，可不幸的是， RC4 算法已經(jīng)被破解，雖然 TKIP 依然采用了動態(tài)密鑰交換技術(shù)，但是 由于算法的破解，TKIP 還是可以破解，只是相對 WEP 破解難度稍大。由于 AES 算法的嚴(yán)密性和強壯性，他對設(shè)備的消耗極大，所以我們也必須考慮到 AES 對于設(shè)備和系統(tǒng)的消耗，在設(shè)備選用時，需要完全考慮 AES 加密后的轉(zhuǎn)發(fā)性能。 如上面的圖例所示，智博通無線控制器和無線接入點系統(tǒng) 中，都內(nèi)嵌了 證書，通過證書，無線控制器和無線接入點之間可以互相認(rèn)證對方的合法性，保證網(wǎng)絡(luò)中的設(shè)備的合法性。如上圖所示，無論是最終用戶或者是智博通的輕量級 AP 都可以通過 的方式進(jìn)行認(rèn)證接入，智博通的輕量級 AP 設(shè)備可做為 的被認(rèn)證點，通過在后臺 AAA 服務(wù)器內(nèi)用戶名和密碼的比對，有線交換機決定允不允許開放連接 AP 的交換