摘 要:簡(jiǎn)述了無(wú)線局域網(wǎng)(WLAN)的組成、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和安全性,并分析了WLAN的關(guān)鍵技術(shù)、WLAN技術(shù)的優(yōu)劣和WLAN的實(shí)際應(yīng)用,以及中國(guó)移動(dòng)開(kāi)展WLAN業(yè)務(wù)的市場(chǎng)前景和盈利模式。
關(guān)鍵詞:WLAN ,網(wǎng)絡(luò)拓?fù)洌踩瑧?yīng)用,市場(chǎng)前景
無(wú)線局域網(wǎng)(WLAN)經(jīng)過(guò)幾年的發(fā)展,在技術(shù)上已經(jīng)日漸成熟,應(yīng)用也日漸廣泛。無(wú)線局域網(wǎng)不僅可以實(shí)現(xiàn)許多新的應(yīng)用,還可以克服線纜限制引起的不便性,解決某些特殊區(qū)域無(wú)法布線的問(wèn)題。目前,無(wú)線局域網(wǎng)已逐漸被廣大用戶作為一般的網(wǎng)絡(luò)連接來(lái)使用。
一、無(wú)線局域網(wǎng)的組成
無(wú)線局域網(wǎng)由無(wú)線網(wǎng)卡、無(wú)線接入點(diǎn)(AP)、計(jì)算機(jī)和有關(guān)設(shè)備組成,采用單元結(jié)構(gòu),每個(gè)單元稱為一個(gè)基本服務(wù)組(BSS),BSS的組成有三種方式:
·集中控制方式:每個(gè)單元由一個(gè)中心站控制,終端在該中心站的控制下相互通信。這種方式中BSS區(qū)域較大,中心站建設(shè)費(fèi)用較昂貴。
·分布對(duì)等式:BSS中任意兩個(gè)終端可直接通信,無(wú)需中心站轉(zhuǎn)接。這種方式中BSS區(qū)域較小,但結(jié)構(gòu)簡(jiǎn)單,使用方便。
·集中控制方式與分布對(duì)等式相結(jié)合的方式。
一個(gè)無(wú)線局域網(wǎng)可由一個(gè)基本服務(wù)區(qū)(BSA)組成,一個(gè)BSA通常包含若干個(gè)單元,這些單元通過(guò)接入點(diǎn)與骨干網(wǎng)相連。骨干網(wǎng)可以是有線網(wǎng),也可以是無(wú)線網(wǎng)。
二、無(wú)線局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)
無(wú)線局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)可分為兩類:無(wú)中心(或?qū)Φ仁剑┩負(fù)浜陀兄行耐負(fù)洹o(wú)中心拓?fù)涞木W(wǎng)絡(luò)要求網(wǎng)中任意兩點(diǎn)均可直接通信,采用這種結(jié)構(gòu)的網(wǎng)絡(luò)一般使用公用廣播信道,而媒體接入控制(MAC)協(xié)議多采用載波監(jiān)測(cè)多址接入(CSMA)類型的多址接入?yún)f(xié)議。 在有中心拓?fù)浣Y(jié)構(gòu)中,要求一個(gè)無(wú)線站點(diǎn)充當(dāng)中心站,所有站點(diǎn)對(duì)網(wǎng)絡(luò)的訪問(wèn)均由中心站控制。
無(wú)線局域網(wǎng)可獨(dú)立使用,也可與有線局域網(wǎng)互連使用。IEEE802.11可支持自組無(wú)線局域網(wǎng)(由一個(gè)BBS構(gòu)成,不與其他網(wǎng)絡(luò)發(fā)生聯(lián)系)和多區(qū)無(wú)線局域網(wǎng)(用接入點(diǎn)和骨干網(wǎng)使多個(gè)BBS互連,形成多區(qū)局域網(wǎng))。
三、無(wú)線局域網(wǎng)的關(guān)鍵技術(shù)
實(shí)現(xiàn)無(wú)線局域網(wǎng)的關(guān)鍵技術(shù)有三種:紅外線、跳頻擴(kuò)頻(FHSS)和直接序列擴(kuò)頻(DSSS)。
紅外線局域網(wǎng)采用波長(zhǎng)小于1μm的紅外線作為傳輸媒體,有較強(qiáng)的方向性,受陽(yáng)光干擾大。它支持1~2Mbit/s數(shù)據(jù)速率,適于近距離通信。
DSSS局域網(wǎng)可在很寬的頻率范圍內(nèi)進(jìn)行通信,支持1~2Mbit/s數(shù)據(jù)速率,在發(fā)送和接收端都以窄帶方式進(jìn)行,而以寬帶方式傳輸。
FHSS局域網(wǎng)支持1Mbit/s數(shù)據(jù)速率,共22組跳頻圖案,包括79個(gè)信道,輸出的同步載波經(jīng)解調(diào)后,可獲得發(fā)送端送來(lái)的信息。
DSSS和FHSS無(wú)線局域網(wǎng)都使用無(wú)線電波作為媒體,覆蓋范圍大,發(fā)射功率較自然背景的噪聲低,基本避免了信號(hào)的偷聽(tīng)和竊取,通信安全性高。同時(shí),無(wú)線局域網(wǎng)中的電波不會(huì)對(duì)人體健康造成損害,具有抗干擾、抗噪聲、抗衰減和保密性好等優(yōu)點(diǎn)。
四、無(wú)線局域網(wǎng)的安全問(wèn)題
當(dāng)有關(guān)IEEE802.11的連線對(duì)等保密(WEP)協(xié)議安全系統(tǒng)易于受到攻擊的報(bào)告發(fā)表時(shí),無(wú)線局域網(wǎng)市場(chǎng)因?yàn)榘踩珕?wèn)題而開(kāi)始降溫。應(yīng)該說(shuō),無(wú)線局域網(wǎng)的性能、互操作性和易管理性在不斷改善,而安全性已經(jīng)成為一個(gè)迫切需要解決的問(wèn)題。無(wú)線局域網(wǎng)的安全性問(wèn)題表現(xiàn)如下:
1.傳輸介質(zhì)的脆弱性
傳統(tǒng)的有線局域網(wǎng)采用單一傳輸媒體——銅線與無(wú)源集線器(hub)或集中器,這些集線器端口和線纜接頭差不多都連接到具備一定程度物理安全性的設(shè)備中,因而攻擊者很難進(jìn)入這類傳輸介質(zhì)。許多有線局域網(wǎng)為每個(gè)用戶配備專門(mén)交換端口,即使是經(jīng)認(rèn)證的內(nèi)部用戶,也無(wú)法越權(quán)訪問(wèn),更不用說(shuō)外部攻擊者了。與此對(duì)照,無(wú)線局域網(wǎng)的傳輸媒體——大氣空間則要脆弱得多,很多空間都在無(wú)線局域網(wǎng)的物理控制范圍之外,如公司停車(chē)場(chǎng)、無(wú)線網(wǎng)絡(luò)設(shè)備的安裝位置以及鄰近高大建筑物等。網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的這些差別,導(dǎo)致無(wú)線局域網(wǎng)與有線網(wǎng)的安全性不在一個(gè)水準(zhǔn)。
2.WEP存在不足
802.11委員會(huì)由于意識(shí)到無(wú)線局域網(wǎng)固有的安全缺陷而引入了WEP。但WEP也不能完全保證加密傳輸?shù)挠行裕痪邆湔J(rèn)證、訪問(wèn)控制和完整性校驗(yàn)功能。而無(wú)線局域網(wǎng)的安全機(jī)制是建立在WEP基礎(chǔ)之上的,一旦WEP遭到破壞,這類機(jī)制的安全也就不復(fù)存在。
WEP協(xié)議本身存在漏洞,它采用RC4序列密碼算法,即運(yùn)用共享密鑰將來(lái)自偽隨機(jī)數(shù)據(jù)產(chǎn)生器的數(shù)據(jù)生成任意字節(jié)長(zhǎng)序列,然后將數(shù)據(jù)序列與明文進(jìn)行異或處理,生成加密文本。
早期的802.11b網(wǎng)絡(luò)都采用40 bit密鑰,現(xiàn)行方案大多采用128 bit密鑰。使用窮舉法,一個(gè)黑客在數(shù)小時(shí)內(nèi)即可將40 bit密鑰攻破;而若采用128位密鑰則不太可能被攻破(時(shí)間太長(zhǎng))。
但若采用單一密鑰方案(密鑰串重復(fù)使用),即使是104 bit密鑰,也容易受到攻擊。為此,在WEP中嵌入了24 bit初始向量(IV),IV值隨每次傳輸?shù)?a class="channel_keylink" href="/search.asp">信息包變更,并附加在原始共享密鑰后面,以最大程度減小密鑰相同的概率,進(jìn)而降低密鑰被攻破的危險(xiǎn)。
認(rèn)證失敗也會(huì)導(dǎo)致非法用戶進(jìn)入網(wǎng)絡(luò)。802.11分兩個(gè)步驟對(duì)用戶進(jìn)行認(rèn)證。首先,接入點(diǎn)必須正確應(yīng)答潛在通信基站的密碼質(zhì)詢(認(rèn)證步驟),隨后通過(guò)提交接入點(diǎn)的服務(wù)集標(biāo)識(shí)符(SSID)與基站建立聯(lián)系(稱為客戶端關(guān)聯(lián))。這種聯(lián)合處理步驟為系統(tǒng)增加了一定的安全性。一些開(kāi)發(fā)商還為客戶端提供可選擇的SSID序列,但都是以明文形式公布,因而帶無(wú)線卡的協(xié)議分析器能夠在數(shù)秒內(nèi)識(shí)別這些數(shù)據(jù)。
與實(shí)現(xiàn)WEP加密一樣,認(rèn)證步驟依賴于RC4加密算法。這里的問(wèn)題不在于WEP不安全,或RC4本身的缺陷,而是執(zhí)行過(guò)程中的問(wèn)題:接入點(diǎn)采用RC4算法,運(yùn)用共享密鑰對(duì)隨機(jī)序列進(jìn)行加密,生成質(zhì)詢密碼;請(qǐng)求用戶必須對(duì)質(zhì)詢密碼進(jìn)行解密,并以明文形式發(fā)回接入點(diǎn);接入點(diǎn)將解密明文與原始隨機(jī)序列進(jìn)行對(duì)照,如果匹配,則用戶獲得認(rèn)證。
這樣只需獲取兩類數(shù)據(jù)幀——質(zhì)詢幀和成功響應(yīng)幀,攻擊者便可輕易推導(dǎo)出用于解密質(zhì)詢密碼的密鑰串。WEP系統(tǒng)有完整性校驗(yàn)功能,能部分防止這類采用重放法進(jìn)行的攻擊。但完整性校驗(yàn)是基于循環(huán)冗余校驗(yàn)(CRC)機(jī)制進(jìn)行的,很多數(shù)據(jù)鏈接協(xié)議都使用CRC,它不依賴于加密密鑰,因而很容易繞過(guò)加密驗(yàn)證過(guò)程。
另外,攻擊者還可能運(yùn)用一些常見(jiàn)的方法對(duì)信息進(jìn)行更改,這不僅意味著攻擊者能夠修改任何內(nèi)容(如金融文檔數(shù)據(jù)中的十進(jìn)制小數(shù)點(diǎn)的位置),而且攻擊者能夠借助校驗(yàn)過(guò)程推斷解密方式的正確性。
一旦經(jīng)過(guò)適當(dāng)認(rèn)證和客戶端關(guān)聯(lián),用戶便能完全進(jìn)入無(wú)線網(wǎng)。即使不攻擊WEP加密,攻擊者也能進(jìn)入連接到無(wú)線網(wǎng)的有線網(wǎng)絡(luò),執(zhí)行非法操作或擾亂網(wǎng)絡(luò)主管的正常管理,甚至向網(wǎng)絡(luò)擴(kuò)散病毒、植入“木馬”程序進(jìn)行攻擊等。
802.11以及WEP機(jī)制很少提及增強(qiáng)訪問(wèn)控制問(wèn)題。一些開(kāi)發(fā)商在接入點(diǎn)中建有MAC地址表用作訪問(wèn)控制列表,接入點(diǎn)只接受MAC地址表中的客戶端的通信。但MAC地址必須以明文形式傳輸,因而無(wú)線協(xié)議分析器很容易拾取這類數(shù)據(jù)。通常情況下,可為不同無(wú)線網(wǎng)絡(luò)接口卡(NIC)配置不同的MAC地址,因而運(yùn)用仿真方法進(jìn)行攻擊對(duì)訪問(wèn)控制的影響較小。
五、無(wú)線局域網(wǎng)的優(yōu)劣勢(shì)
無(wú)線局域網(wǎng)的網(wǎng)絡(luò)速度與以太網(wǎng)相當(dāng),一個(gè)接入點(diǎn)最多可支持100多個(gè)用戶的接入,最大傳輸范圍可達(dá)到幾十公里。
無(wú)線局域網(wǎng)的優(yōu)勢(shì)在于①速率較高,可滿足高速無(wú)線上網(wǎng)需求;②設(shè)備價(jià)格低廉,節(jié)省投資;③技術(shù)較成熟在國(guó)外已有豐富的應(yīng)用。
無(wú)線局域網(wǎng)的劣勢(shì)主要有:①功率受限覆蓋范圍較小移動(dòng)性較差;②一般工作在自由頻段容易受到干擾;③屬于第二層技術(shù)規(guī)范,上層業(yè)務(wù)體系不夠完善。
3GPP已經(jīng)把無(wú)線局域網(wǎng)作為熱點(diǎn)地區(qū)的一種3G接入技術(shù)與WCDMA接入互補(bǔ),并且目前已經(jīng)把無(wú)線局域網(wǎng)列入R6協(xié)議進(jìn)行研究。而中國(guó)移動(dòng)將無(wú)線局域網(wǎng)作為GPRS接入的補(bǔ)充,滿足用戶在無(wú)GPRS信號(hào)地區(qū)和一些熱點(diǎn)地區(qū)無(wú)線高速上網(wǎng)的需求。
六、無(wú)線局域網(wǎng)的實(shí)際應(yīng)用
在無(wú)線局域網(wǎng)的實(shí)際建設(shè)中,應(yīng)充分考慮無(wú)線局域網(wǎng)與GPRS的互補(bǔ)關(guān)系,充分利用GSM/GPRS網(wǎng)絡(luò)資源彌補(bǔ)無(wú)線局域網(wǎng)中認(rèn)證、安全和計(jì)費(fèi)等方面的不足。無(wú)線局域網(wǎng)的組網(wǎng)可采用基于短消息(用戶名加密碼)和基于SIM卡兩種模式下面分別討論。
1.基于短消息的組網(wǎng)模式
基于短消息的無(wú)線局域網(wǎng)組網(wǎng)模式具有如下特點(diǎn):
·使用手機(jī)號(hào)加短消息的組網(wǎng);
·基本上網(wǎng)業(yè)務(wù)由IP承載;
·使用手機(jī)號(hào)加短消息實(shí)施密碼方案;
·計(jì)費(fèi)系統(tǒng)與現(xiàn)有GSM計(jì)費(fèi)系統(tǒng)統(tǒng)一。
無(wú)線局域網(wǎng)網(wǎng)絡(luò)分為兩個(gè)層次:①無(wú)線局域網(wǎng)接入控制(AC)設(shè)備,實(shí)現(xiàn)接入服務(wù)器功能;②無(wú)線局域網(wǎng) 認(rèn)證服務(wù)器(AS),功能相當(dāng)于RADIUS+SGSN信令部分。接入控制設(shè)備與認(rèn)證服務(wù)器之間的接口為標(biāo)準(zhǔn)RADIUS接口。
基于短消息的無(wú)線局域網(wǎng)組網(wǎng)模式基本原理如下:
·用戶在無(wú)線局域網(wǎng)網(wǎng)絡(luò)中如果需要進(jìn)入Internet,門(mén)戶服務(wù)器(portal server)會(huì)推出一個(gè)頁(yè)面,要求用戶輸入手機(jī)號(hào);
·用戶輸入手機(jī)號(hào)后,門(mén)戶服務(wù)器觸發(fā)認(rèn)證服務(wù)器為這個(gè)用戶生成一個(gè)動(dòng)態(tài)用戶信息,并用手機(jī)號(hào)作為用戶名,再生成一個(gè)隨機(jī)密碼;
·門(mén)戶服務(wù)器再向用戶推下一個(gè)網(wǎng)頁(yè),要求用戶輸入密碼,同時(shí)認(rèn)證服務(wù)器通過(guò)短消息網(wǎng)關(guān)向用戶發(fā)出隨機(jī)密碼;
·用戶將手機(jī)收到的隨機(jī)密碼輸入網(wǎng)絡(luò),即可啟動(dòng)RADIUS認(rèn)證,在認(rèn)證服務(wù)器鑒權(quán)通過(guò)后,完成用戶接入,用戶即可以通過(guò)無(wú)線局域網(wǎng)+WEB方式上網(wǎng),類似于普通的寬帶上網(wǎng);
·認(rèn)證服務(wù)器將用戶的計(jì)費(fèi)信息轉(zhuǎn)化成GPRS計(jì)費(fèi)信息送給計(jì)費(fèi)網(wǎng)關(guān)(CG);
·當(dāng)用戶退出網(wǎng)絡(luò)時(shí),AS將用戶的隨機(jī)信息刪除。
該方案的特色是用戶可以通過(guò)短消息或WAP&WEB頁(yè)面隨時(shí)修改密碼;由于使用短消息的方式與移動(dòng)運(yùn)營(yíng)商有較強(qiáng)的捆綁,使用方便,容易實(shí)現(xiàn)漫游。存在的問(wèn)題是雖然使用了短消息發(fā)送注冊(cè)密碼,但是仍然存在安全性不足和短消息時(shí)延問(wèn)題;由于該接入方式是通過(guò)用戶自開(kāi)戶的方式獲得賬號(hào),所以用戶信息很少,不利于后續(xù)業(yè)務(wù)的開(kāi)展。
2.基于SIM卡的組網(wǎng)模式
基于SIM卡的無(wú)線局域網(wǎng)組網(wǎng)模式的特點(diǎn)有:
·鑒權(quán)、計(jì)費(fèi)與GSM/GPRS統(tǒng)一;
·支持位置、短消息和多媒體消息業(yè)務(wù);
·業(yè)務(wù)由IP承載。
基于SIM卡的無(wú)線局域網(wǎng)模式中,在終端設(shè)備上安裝定制的軟件,外接SIM卡讀卡器。所涉及設(shè)備包括:終端設(shè)備、AC、AS、歸屬位置寄存器(HLR)、CG/BS(Base Station)等。
其基本原理是:無(wú)線局域網(wǎng)用戶使用便攜機(jī)或PDA上網(wǎng),通過(guò)外接讀卡器讀取SIM卡中的信息;在終端設(shè)備安裝定制的軟件通過(guò)GSM/GPRS網(wǎng)絡(luò)鑒權(quán);在GSM核心網(wǎng)內(nèi)部采用GSM用戶管理機(jī)制管理無(wú)線局域網(wǎng)用戶,使無(wú)線局域網(wǎng)用戶擁有與GSM手機(jī)用戶相同的漫游能力和業(yè)務(wù)能力;無(wú)線局域網(wǎng)計(jì)費(fèi)采用GPRS網(wǎng)絡(luò)計(jì)費(fèi)機(jī)制,統(tǒng)一話單;兼容手機(jī)號(hào)加短消息密碼實(shí)現(xiàn)用戶接入。
七、中國(guó)移動(dòng)開(kāi)展無(wú)線局域網(wǎng)業(yè)務(wù)的市場(chǎng)前景
1.優(yōu)劣勢(shì)分析
中國(guó)移動(dòng)具有GSM/GPRS網(wǎng)絡(luò)和集中式的Radius控制,建設(shè)了目前中國(guó)最大的可漫游GSM/GPRS網(wǎng)絡(luò),如果實(shí)現(xiàn)GSM,GPRS網(wǎng)絡(luò)與無(wú)線局域網(wǎng)相融合,就可以統(tǒng)一用戶管理、計(jì)費(fèi)和業(yè)務(wù)。利用與短消息的結(jié)合,可以迅速開(kāi)展無(wú)線局域網(wǎng)業(yè)務(wù)。
中國(guó)移動(dòng)已經(jīng)有一億多用戶,這些用戶包含了開(kāi)展無(wú)線局域網(wǎng)業(yè)務(wù)最合適的用戶群,而且中國(guó)移動(dòng)的SIM卡相當(dāng)于中國(guó)電信入戶的電話線,具有不可替代的先天優(yōu)勢(shì)。
利用SIM卡可實(shí)現(xiàn)客戶端加密,提供比其他運(yùn)營(yíng)商更高的用戶安全性,有利于中國(guó)移動(dòng)向擁有無(wú)線局域網(wǎng)的高端用戶開(kāi)展高附加值業(yè)務(wù)。現(xiàn)有的GSM用戶可以自動(dòng)獲得無(wú)線局域網(wǎng)帳號(hào),無(wú)需重新開(kāi)戶。
另外,中國(guó)移動(dòng)能夠提供無(wú)線局域網(wǎng)/GPRS雙網(wǎng)漫游,促進(jìn)GPRS業(yè)務(wù)的發(fā)展。
中國(guó)移動(dòng)開(kāi)展無(wú)線局域網(wǎng)業(yè)務(wù)的劣勢(shì)在于:缺乏寬帶城域網(wǎng)和最后一公里資源;無(wú)線數(shù)據(jù)業(yè)務(wù)市場(chǎng)尚未成熟等。
2.客戶定位
無(wú)線局域網(wǎng)使用人員以商旅人士為主,這些人流動(dòng)性大,有迫切的上網(wǎng)需求(例如移動(dòng)辦公等),而且對(duì)上網(wǎng)安全性有一定要求。
另一部分用戶是普通的白領(lǐng)階層,他們出差時(shí)在機(jī)場(chǎng)、賓館和會(huì)展中心都可能要上網(wǎng),但不一定使用非常頻繁,此時(shí)他們可以使用自己的用戶名密碼或者SIM卡上網(wǎng)。他們對(duì)安全性的要求不太高。
此外,個(gè)人用戶經(jīng)常會(huì)在咖啡廳、會(huì)所上網(wǎng)瀏覽網(wǎng)上信息,對(duì)安全性要求也不高,但數(shù)據(jù)量較大。
3.盈利模式
利用中國(guó)移動(dòng)的客戶群開(kāi)展無(wú)線局域網(wǎng)業(yè)務(wù),可發(fā)揮短消息和SIM卡的優(yōu)勢(shì),提供移動(dòng)特色業(yè)務(wù),吸引用戶。對(duì)機(jī)場(chǎng)、會(huì)所、展廳、酒店等熱點(diǎn)地區(qū)進(jìn)行廣域覆蓋,以吸引商旅人士加入。
在業(yè)務(wù)開(kāi)展初期可利用全球通業(yè)務(wù)帶動(dòng)無(wú)線局域網(wǎng)業(yè)務(wù)的開(kāi)展,然后通過(guò)無(wú)線局域網(wǎng)帶動(dòng)無(wú)線局域網(wǎng)/GPRS雙模業(yè)務(wù),實(shí)現(xiàn)用戶升值。
4.移動(dòng)受益
通過(guò)提供無(wú)線局域網(wǎng)業(yè)務(wù)可以吸引高端用戶,提高客戶忠誠(chéng)度,進(jìn)而培育移動(dòng)數(shù)據(jù)業(yè)務(wù)模式,為GPRS和WCDMA的開(kāi)展打下基礎(chǔ)。還可以培育移動(dòng)數(shù)據(jù)業(yè)務(wù)品牌,樹(shù)立移動(dòng)夢(mèng)網(wǎng)的門(mén)戶概念。