应用技术 I■ 无线局域网的应用与发展 蔡翔宇 (河南省信阳供电公司464000) [摘 要]无线局域网的覆盖范围为几百米,在这样一个范围内,无线设备可以自由移动,其适合于低移动性的应用环境。而且无线局域网的载频为公用频 段,无需另外付费,因而使用无线局域网的成本很低。无线局域网带宽更会发展到上百兆的带宽,能够满足绝大多数用户的带宽要求 基于以上原因,无线局域 网在市场赢得热烈的反响,并迅速发展成为一种重要的无线接入互联网的技术。但由于无线局域网应用具有很大的开放性,数据传播范围很难控制,因此无线局 域网将面临着更严峻的安个问题。本文在阐述无线局域网安全发展概况的基础上,分析了无线局域网的安全必要性,并从不同方面总结了无线局域网遇到的安全 风险,同时重点分析了IEEE802.11b标准的安全性、影响因素及其解决方案,最后对无线局域网的安全技术发展趋势进行了展望。 [关键词]无线局域网标准中图分类号:TN925.93 安全趋势 文献标识码:A 文章编号:1009—914X(2010)33—0578—02 1无线局域网安全发展概况 无线局域网802.11b公布之后,迅速成为事实标准。遗憾的是,从它的诞 生开始,其安全协议WEP就受到人们的质疑。美国加州大学伯克利分校的 Borisov.Goldberg和Wagner最早发表论文指出了WEP协议中存在的设计失 误,按下来信息安全研究人员发表了大量论文详细讨论了wEP协议中的安全缺 陷,并与工程技术人员协作,在实验中破译了经WEP协议加密的无线传输数据。 现在,能够截获无线传输数据的硬件设备已经能够在市场上买到,能够对所截 获数据进行解密的黑客软件也已经能够在因特网上下载。WEP不安全己经成 个广为人知的事情,人们期待WEP在安全性方面有质的变化,新的增强的无 线局域网安全标准应运而生。从这样的发展过程中,我们能够更加清楚地认识 到无线局域网安全标准的方方面面,有利于无线局域网安全的研究。 一应用扩展了网络用户的自由,它安装时间短,增加用户或更改网络结构时灵 活、经济,可提供无线覆盖范围内的全功能漫游服务。然而,这种自由也同 时带来了新的挑战,这些挑战其中就包括安全性。WLAN必须考虑的安全要 素有三个:信息保密、身份验证和访问控制。针对目前应用最广泛的802. 11bWLAN标准的攻击和窃听事件正越来越频繁,故对wLAN安全性研究,特别 是广泛使用的IEEE802.1 IWLAN的安全性研究,发现其可能存在的安全缺陷,研 究相应的改进措施,提出新的改进方案,对WLAN技术的使用、研究和发展 都有着深远的影响。 2无线局域网的安全必要性 WLAN在为用户带来巨大便利的同时,也存在着许多安全上的问题。由于 WLAN通过无线电波在空中传输数据,不能采用类似有线网络那样的通过保护 通信线路的方式来保护通信安全,所以在数据发射机覆盖区域内的几乎任何一 个wLAN用户都能接触到这些数据,要将WLAN发射的数据仅仅传送给一名目标 接收者是不可能的。而防火墙对通过无线电波进行的网络通讯起不了作用 任 何人在视距范围之内都可以截获和插入数据。因此,虽然无线网络和wLAN的 当考虑与其它安全系统的合作时,无线局域网的安全将限于提供数据的机 密性服务,数据的完整性服务,提供身份识别框架和接入控制框架,完成用户的 认证授权,信息的传输安全等安全业务。对于防病毒,防泄密,数据传输的不可 抵赖,降低Dos攻击的风险等都将在具体的网络配置中与其它安全系统合作来 实现。 3无线局域网安全风险 安全风险是指无线局域网中的资源面临的威胁。无线局域网的资源,包 括了在无线信道上传输的数据和无线局域网中的主机。 3 1无线信道上传输的数据所面临的威胁 由于无线电波可以绕过障碍物向外传播,因此,无线局域网中的信号是可 现场实旌分工管理、逐级监督,从岗位工人到厂主管科室各负其责,发现问题 逐级汇报,层层落实。 岗位工人:负责施工中现场交接,监督环保情况: 采油队技术员:全程跟踪施工过程,主要监督施工中违章现象,监督起下管 柱: 因有两方面:一是聚合物溶液的粘度高、携砂能力强:二是聚合物注入井的注 入压力较高,接近破裂压力,注入压力稍有波动,裂缝就会张开,高携砂能力的 聚合物将把支撑剂带入地层深部,造成井筒附近裂缝闭合,压裂失效。 2003年以来开展了树脂砂压裂增注技术研究。树脂涂层砂是在压裂石 英砂颗粒表面涂敷一层薄而有一定韧性的树脂层,该涂层可以将原支撑剂改变 采油矿负责人:负责监督药品质量 地质大队:监督重点步骤,监督增注旌工中药剂用量、施工压力、扩散 为具有一定面积的接触。当该支撑剂进入裂缝以后,由于温度的影响J树脂层 首先软化,然后在固化剂的作用下发生聚合反应而固化。从而使颗粒之间由 于树脂的聚合而固结在一起,将原来颗粒之间的点与点接触变成小面积接触, 降低了作用在砂砾上的负荷,增加了砂粒的抗破碎能力。而且,固结在一起的 砂砾形成带有渗透率的网状滤段,阻止压裂砂的运移。从现场应用来看效果 较好。 (反应)时间、措施后总结分析等: 工技大队:跟踪监督重点步骤,监督与工艺设计不符程序: 厂科室:随机跟踪监督,同时负责监督检查各级负责人的工作。 2 4开展聚驱增注工艺技术研究延长措施有效期 聚驱注入困难井的成因与水驱有所不同,而且由于注入体系的关系,措施 有效期相对较短。因此针对聚驱增注工艺的主要问题,开展了聚驱增注措施 工艺的研究,并改进了部分工艺,延长了聚驱增注的措施有效期。 进行解堵工艺的改进,聚合物溶液对油层的吸附滞留比较严重,这是注聚 井注入压力上升的主要原因之一。2004年以来,针对注聚后期注入困难井逐 渐增多,开展了注聚井化学解堵与油层保护相结合技术研究,通过现场实践,取 得了较好的效果。 主要原理:通过对注聚井的油层物性、连通情况、注聚动态变化曲线, 以及现场施工中井底取样分析,确定注入压力高的注聚井欠注的主要原因,对 结语 建立了增注质量管理体系,完善了聚驱增注工作程序可提高增注措施的有 效率。但在科学的确定增注井的实际执行中需要操作人员有高度的岗位责任 心、丰富的经验以及清晰的分辨能力。这就要求现场岗位工人加强技术学 注聚堵塞井采取化学解堵与油层保护综合措旌来提高油层的导流能力。即首 先向油层中注入化学解堵剂,用于解除近井地带的堵塞:然后注入油层保护剂, 习,丰富管理经验,熟悉工艺流程:采油队技术人员要有准确的判断力,熟悉井 下工艺:动态分析人员能够收集丰富的资料,准确的应用各种动静态资料,运用 动态分析的能力,得出正确的分析结果。在确定合理的增注措施和措施现场 施工监督中会遇到这样或那样的客观问题和困扰,这就需要出方案人员和管理 人员不断的总结经验,克服困难,以正确的态度,高度的责任心去对待问题。 从而保证增注措施的合理选择和正常实旋。 参考文献 该保护剂既能通过竞争吸附解除聚合物吸附滞留堵塞,又能防止聚合物再吸 附,从而达到延缓注聚压力上升速度,延长注聚井解堵有效期的目的。 表1注入井解堵效果统计表 鲥蛔 2004年 2005l芷 12 并数 (口) 措施前实注 压力 游箍 fMPa) (1丑1) 措施届初期 压力 镕渡 (MPa) 平均单井增值 压力 溶液 有效期 (跚’a) < ) (胄) f ) 10 4 l3 4 483 605 1l 6 l2.1 588 761 一1.8 15 0 13 0 e l 9 2 [1]王德民,程杰成,杨清彦.粘弹性聚合物溶液能够提高岩心的微观驱 油效率.石油学报,2000. [2]夏惠芬,王德 刘中春,杨清彦.粘弹性聚合物溶液提高微观驱油效 率的机理研究.石油学报,2001. [33夏惠芬.粘弹性聚合物溶液在油藏中的流动及提高微观驱油效率的 机理.博士论文.安达.大庆石油学院.2001. [4]王德民等.粘弹性流体平行于界面的力可以提高驱油效率.石油学报. [5]程杰成,王德民,等.驱油用聚合物的分子量优选[J].石油学报,2000, (01). 实施压裂工艺的改进,进入含水低值期以后,注入井注入压力逐渐升高,部 分注入井出现问注现象,严重影响周围采油井的聚驱效果。从长垣北部聚驱 区块早期注入井压裂效果看,有效期平均不超过3个月,压裂效果较差,分析原 578 i科技博览 应用技术 ●I 以在一定覆盖范围内接听到而不被察觉的。这如用收音机收听广播的情况一 样,人们在电台发射塔的覆盖范围内总可以用收音机收听广播,如果收音机的 灵敏度高一些,就可以收听到远一些的发射台发出的信号。当然,无线局域网 的无线信号的接收并不像收音机那么简单,但只要有相应的设备,总是可以接 收到无线局域网的信号,并可以按照信号的封装格式打开数据包,读取数据的 内容。 另外,只要按照无线局域网规定的格式封装数据包,把数据放到网络上发 送时也可以被其它的设备读取,并且,如果使用一些信号截获技术,还可以把某 个数据包拦截、修改,然后重新发送,而数据包的接收者并不能察觉。 因此,无线信道上传输的数据可能会被侦听、修改、伪造,对无线网络 的正常通信产生了极大的干扰,并有可能造成经济损失。 3 2无线局域网中主机面临的威胁 无线局域网是用无线技术把多台主机联系在一起构成的网络。对于主机 的攻击可能会以病毒的形式出现,除了目前有线网络上流行的病毒之外,还可 配器重新编码静态加密密钥。客户端越多,重新编码WEP密钥的数量越大。 (2)虚假接入点 IEEE802.1 lb共享密钥认证表采用单向认证,而不是互相认证。接入 点鉴别用户,但用户不能鉴别接入点。如果一个虚假接入点放在无线局域网 内,它可以通过劫持合法用户的客户适配器进行拒绝服务或攻击。 因此在用户和认证服务器之间进行相互认证是需要的,每一方在合理的时 间内证明自己是合法的。因为用户和认证服务器是通过接入点进行通信的 接 入点必须支持相互认证。相互认证使检测和隔离虚假接入点成为可能。 (3)其它安全问题 标准WEP支持对每一组加密但不支持对每一组认证。从响应和传送的数 据包中一个黑客可以重建一个数据流,组成欺骗性数据包。减轻这种安全威胁 的方法是经常更换WEP密钥。通过监测工EEE802.1 1 b控制信道和数据信 道,黑客可以得到如下信息:客户端和接入点MAC地址,内部主机MAC地址,上 网时间。黑客可以利用这些信息研究提供给用户或设备的详细资料。为减少 能会出现专门针对无线局域网移动设备,比如手机或者PDA的无线病毒。当无 线局域网与无线广域网或者有线的国际互联网连接之后,无线病毒的威胁可能 会加剧。 对于无线局域网中的接入设备,可能会遭受来自外部网或者内部网的拒绝 服务攻击。当无线局域网和外部网接通后,如果把IP地址直接暴露给外部 网,那么针对该IP的Dog或者DDoS会使得接入设备无法完成正常服务,造成 网络瘫痪。当某个恶意用户接入网络后,通过持续的发送垃圾数据或者利用 IP层协议的一些漏洞会造成接入设备工作缓慢或者因资源耗尽而崩溃,造成 系统混乱。无线局域网中的用户设备具有一定的可移动性和通常比较高的价 值,这造成的一个负面影响是用户设备容易丢失。硬件设备的丢失会使得基 于硬件的身份识别失效,同时硬件设备中的所有数据都可能会泄漏。 4无线局域阿安全性 无线局域网与有线局域网紧密地结合在一起,并且己经成为市场的主流产 品。在无线局域网上,数据传输是通过无线电波在空中广播的,因此在发射机 覆盖范围内数据可以被任何无线局域网终端接收。安装一套无线局域网就好 象在任何地方都放置了以太网接口。因此,无线局域网的用户主要关心的是网 络的安全性,主要包括接入控制和加密两个方面。除非无线局域网能够提供等 同于有线局域网的安全性和管理能力,否则人们还是对使用无线局域网存在顾 虑。 4.1 IEEE802.1 1 b标准的安全性 IEEE 802.1lb标准定义了两种方法实现无线局域网的接入控制和加密: 系统ID(SSID)和有线对等加密(WEP)。 (1)认证 当一个站点与另一个站点建立网络连接之前,必须首先通过认证。执行 认证的站点发送一个管理认证帧到一个相应的站点。IEEE 802.11b标准详细 定义了两种认证服务:一开放系统认证(Open System Authentication):是802. 1 Ib默认的认证方式。这种认证方式非常简单,分为两步:首先,想认证另一 站点的站点发送一个含有发送站点身份的认证管理帧:然后,接收站发回一个 提醒它是否识别认证站点身份的帧。一共享密钥认证(Shared Key Authen— tication):这种认证先假定每个站点通过一个独立于802.u网络的安全信 道,已经接收到一个秘密共享密钥,然后这些站点通过共享密钥的加密认证,加 密算法是有线等价加密(WEP)。 (2)WEP IEEE 802.1 lb规定了一个可选择的加密称为有线对等加密,即WEP。WEP 提供一种无线局域网数据流的安全方法。WEP是一种对称加密,加密和解密的 密钥及算法相同。WEP的目标是:接入控制:防止未授权用户接入网络,他们没 有正确的WEP密钥。 加密:通过加密和只允许有正确WEP密钥的用户解密来保护数据流。 IEEE 802.Iib标准提供了两种用于无线局域网的WEP加密方案。第一 种方案可提供四个缺省密钥以供所有的终端共享一包括一个子系统内的所有 接入点和客户适配器。当用户得到缺省密钥以后,就可以与子系统内所有用 户安全地通信。缺省密钥存在的问题是当它被广泛分配时可能会危及安全。 第二种方案中是在每一个客户适配器建立一个与其它用户联系的密钥表。该 方案比第一种方案更加安全,但随着终端数量的增加给每一个终端分配密钥很 周难。 4 2影响安全的因素 (1)硬件设备 在现有的WLAN产品中,常用的加密方法是给用户静态分配一个密钥,该密 钥或者存储在磁盘上或者存储在无线局域网客户适配器的存储器上。这样,拥 有客户适配器就有了MAC地址和WEP密钥并可用它接入到接入点。如果多个 用户共享一个客户适配器,这些用户有效地共享MAC地址和WEP密钥。 当一个客户适配器丢失或被窃的时候,合法用户没有MAC地址和WEP密钥 不能接入,但非法用户可以。网络管理系统不可能检测到这种问题,因此用户 必须立即通知网络管理员。接到通知后,网络管理员必须改变接入到MAc地址 的安全表和WEP密钥,并给与丢失或被窃的客户适配器使用相同密钥的客户适 这种黑客活动,一个终端应该使用每一个时期的WEP密钥。 4 3完整的安全解决方案 无线局域网完整的安全方案以IEEE802.1lb比为基础,是一个标准的开放 式的安全方案,它能为用户提供最强的安全保障,确保从控制中心进行有效的 集中管理。它的核心部分是: 扩展认证协议(Extensible Authentication Protocol,EAP),是远程认 证拨入用户服务(RADIus)的扩展。可以使无线客户适配器与RADIUSB ̄务器通 信。 当无线局域网执行安全保密方案时,在一个BSS范围内的站点只有通过认 证以后才能与接入点结合。当站点在网络登录对话框或类似的东西内输入用 户名和密码时,客户端和RADIUS ̄务器(或其它认证服务器)进行双向认证,客 户通过提供用户名和密码来认证。然后RADIUS服务器和用户服务器确定客 户端在当前登录期内使用的WEP密钥。所有的敏感信息,如密码,都要加密使 免于攻击。 无线网络传播数据所覆盖的区域可能会超出一个组织物理上控制曩二三裘, 这样就存在电子破坏(或干扰)的可能性。无线网络具有各种内在的安全机制, 其代码清理和模式跳跃是随机的 在整个传输过程中,频率波段和调制不断变 化,计时和解码采用不规则技术。 正是可选择的加密运算法则和IEEE 802.1l的规定要求无线网络至少要 和有线网络(不使用加密技术)一样安全。其中,认证提供接入控制,减少网络 的非法使用,加密则可以减少破坏和窃听。目前,在基本的WEP安全机制之外, 更多的安全机制正在出现和发展之中。 5无线局域圈安全技术的发展趋势 目前无线局域网的发展势头十分强劲,但是起真正的应用前景还不是叶分 的明朗。主要表现在:一是真正的安全保障:二个是将来的技术发展方向 三是 WLAN有什么比较好的应用模式:四是WLAN的终端除PCMCIA卡、PDA有没有其 他更好的形式:五是WLAN的市场规模。 无线局域网同样需要与其他已经成熟的网络进行互动,达到互利互惠的目 的。欧洲是GSM网的天下,而WLAN的崛起使得他们开始考虑wI AN和3G的互 通,两者之间的优势互补性必将使得WLAN与广域网的融合迅速发展。现在国 内中兴通讯己经实现了WLAN和cI)IVIA系统的互通,而对于使用中兴设备的 WLAN与GSM/GPRS系统的互通也提出了解决方案,这条路必定越走越宽。 无线网络的互通,现在是一个趋势。8 0 2.1 l工作组新成立了w I G (Wireless]nterworking Grouq),该工作组的目的在于使现存的符合ETSI, IEEE,MMAC所制订的标准的无线域网之间实现互通。另外3GPP也给出了无线 局域网和3G互通的两个草案,定义了互通的基本需求,基本模型和基本框架。 还有就是爱立信公司的一份文档给出了在现有的网络基础上,实现无线局域网 和G1VIS/GPRS的互通。 上述互通方案要求客户端有能够接入无线局域网的网卡.同时还要实现 USIM或者SIM的功能。服务网络要求修改用户权限表,增加对于无线局域网的 接入权限的判断。 无线局域网的崛起使得人们开始考虑无线局域网和3G的互通.两者之问 的优势互补性必将使得无线局域网与广域网的融合迅速发展。现在国内中兴 通讯已经实现了无线局域网和CDMA系统的互通,而对于使用中兴设各的无线 局域网与GSM/GPRS系统的互通也提出了解决方案,这条路必定越走越宽。 参考文献 [1]郭峰,曾兴雯,刘乃安,《无线局域网》,电子工业出版杜,1997. [2]冯锡生,朱荣,《无线数据通信》1997. [3]Jeffrey Wheat,《无线网络设计》,莫蓉蓉等译,机械工业出版社, 2002. [4]Gil Held,《构建无线局域网》,沈金龙等泽,人民邮电出版社,2002 科技博览l 579