广东汉恒电通
摘要:随着网络技术的发展,促使随时随地能通信的无线网络应运而生,在介绍无线网络的同时,试图从网络各分层协议的角度, 系统地归纳和比较了一些常见的适用于无线网络数据传输的优化技术。还针对各层协议,描述了无线网络中现有的安全机制,提出了一个比较全面的信息安全保护解决方案。采用 RADIUS 和 ESSID 认证 、 MAC 地址过滤 、WEP 加密等机制来保护用户数据的私密性。
关键词:无线网络;数据传输;信息安全;有线等价安全
引言
随着笔记本计算机的普及和信息技术的飞速发展,人们对网络通信的需求不断提高,希望不论在何时、何地、与任何人都能够进行包括数据 、语音 、图像等内容的通信。无线网络是实现移动计算机网络的关键技术之一。将无线网络接入传统的 Internet 中存在许多技术问题,最基本的是:运行于现有 Internet 上的 TCP/IP协议仅适用于有线链路,在无线链路上的性能不佳。这主要是无线链路的一些特性造成的。首先,在无线链路上传送数据的误码率(BER)比有线链路上高的多。一般在有线链路上的位出错率在 10 -12 以下, 而无线链路上的 BER 一般在 10 -6 到 10 -3 之间。其次,由于电磁干扰或者障碍物的阻挡,无线链路还经常面临传输过程中信号衰减,在衰减期间接收到的信号都是错误的或者根本收不到信号。最后,在蜂窝通讯技术中由于有些用户大范围的移动导致在通信时需要在不同的“蜂窝”中切换 。由于这些问题,TCP/UDP 协议在无线链路上表现的也很差。另一个方面 ,由于无线网络的传输媒体是辐射到空中的电磁波,它无所不在并且没有固定的路由 ,因此在一定的范围内, 由它所传送的信息可被任何人截获。因此, 无线网络中的安全保密也是一个不可忽视的问题。
为了更好的解决无线网络中数据传输所存在的问题及其安全传送, 简要介绍一些常见的适用于无线网络数据的优化技术和相应的安全保密技术。
一、无线网络中的数据传输
由于大部分无线网络优化的技术都是针对蜂窝通讯系统的 ,这种通信系统的特点是 :在整个数据传输中 ,有且仅有最后一个链路是无线传输的(如图 1所示)。这里介绍的大部分方法都是针对这种通信模式设计的。
图1 蜂窝通讯模式
1.1基于数据链路层的技术
(1)自动重复请求 ARQ 、前向纠错技术 FEC 以及混合ARQ 等
自动重复请求(ARQ :Automatic Repeat Request)就是在接收的数据发生错误时自动请求发送方重传错误数据的一种方法 。为了在接收方能够检测出错误,数据在发送时以某种编码形式发送 ,如奇偶校验码、循环冗余校验码等。当接收方收到错误数据时 ,向发送方发 ARQ 消息 , 发送方则根据 ARQ 消息重传数据 ,直至数据被正确的收到或重传次数达到预先规定的为止。
前向纠错技术(FEC :Forward Error Correction)是为了减少数据重发的次数而进行的一种纠错编码 。其优点为可提高分组传输可靠性 ;缺点是它引入了冗余, 降低了一次传输的效率, 特别是固定的 FEC编码 ,在网络传输质量很好、分组丢失率很低的情况下,FEC 提高可靠性的作用减小,但是仍然产生相同的冗余。
在实际运用中为了进一步提高数据传输的可靠性,经常会将FEC 和ARQ 两种技术结合起来一起使用,这就是混合 ARQ(Hybrid ARQ)技术。
另外,为了分散传输失败的风险, 在数据传输中经常采用数据交错传输的技术,将相邻的数据帧按一定的顺序交错的发送出去 。这样,当一个数据帧丢失时,损失的数据空隙较小,便于具有一定容错能力的连续媒体数据的恢复 。这种方法不仅用于数据链路层的数据传输,还可用于应用层的多媒体数据传输。它不需要占用额外的带宽 ,但是存在传输延迟。
(2)点对点协议的改进以及相应链路层的修改
通过GSM 手机拨号上网是目前比较流行的无线接入 Internet 的手段。R.Ludwig 等人在文献[1] 中指出, 除了接入速度较慢这一问题之外,GSM 拨号上网还存在时延长的缺陷, 这种时延甚至和卫星链路的时延在同一个数量级 。造成这种情况除了无线链路本身的高时延特性外, 拨号上网用的点对点协议是重要原因。 由于在每个数据帧的传送之前,PPP 协议要严格按照顺序交换一系列冗长的“握手”信息。
为了解决这一问题, Ludwig 提出了 Quickstart -PPP [ 1] ,即传统 PPP 协议的改进 。Quickstart -PPP 打破了握手的顺序, 使握手信号的交换顺序由串行改为并行 ,这样就提高了握手协商的速度,缩短了上层数据的传输时延 。为了保证这种并行的正确性, 需要在数据接收端设置缓存 。同时, Quickstart -PPP还能和传统的 PPP 进行交互 ,保证了新老协议的互操作性 。
(3)链路层信道中的包调度
一个好的调度算法应该能够兼顾公平和效率,即在保证各个用户的响应时间足够的同时提高整个吞吐率。文献[ 2] 提出了一种优化无线信道的总利用率 ,提高系统吞吐率的调度算法 ———CSDP(Chan-nel State Dependent Packet scheduling)。该算法通过记录各个无线数据时赋予那些“表现好”的链路高优先权 ,从而避免了传输质量差的“坏”链路传送数据造成浪费 ,从而提高了系统总吞吐率。
1.2网络层的改进
(1)最大传输单元的选择
在网络通信中, 传送一个数据包需要多少时间取决于最大传输单元(MTU:Maximum Transmission U-nit)的大小 。在无线网络中选择最大传输单元的大小是一个需要仔细考虑的问题, 选得太大则数据包有效数据的比值太大, 浪费本已十分有限的带宽 ;反之则传一个 IP 包的时间就增加了 ,而且由于无线传输的高位出错率也会使得丢包率升高 。
(2)数据压缩
很显然 ,在相同的位出错率下,传输的数据量越小出错的概率越小 。如果能将信息压缩成尽量少的数据传送出去 ,则在节省带宽的同时也能减少传输出错率 。数据压缩包括数据包头的压缩和数据包有效负载的压缩。
(3)主动队列管理
通常无线链路的带宽远小于有线链路, 这样在有线和无线链路的交界处很容易发生堵塞 。主动队列管理通过主动的丢弃某些数据包的方法来控制路由器的队列长度, 缓解了这一矛盾。
1.3对传输控制协议的优化
在无线环境下, 数据包的丢失不仅是由于网络堵塞造成的, 在很多情况下 ,TCP 错误的启动了拥塞控制机制,降低传输率造成性能下降 。另外,在蜂窝通讯发生越区切换时也有可能错误触发 TCP 的拥塞控制 。基于现有的无线网络应用模式 , 针对 TCP的改进方案大体上可以分为从端到端的角度和将一个TCP 连接分成为两端的思想来考虑这两类思路。
(1)端到端解决方案
此方案主要包括对快速重传算法进行改进、选择性确认技术和 TCP -Decoupling 。其中 :改进后的快速重传机制是让移动主机在越区成功立即发送几个重复确认包, 让发送方立即降低速率, 重传输据 ,从而消除了越区结束后的长时间等待。选择确认技术是在返回的选择性确认包中显示的标明已经接收到了哪些数据包 ,这样发送方就知道哪些数据已经丢失 ,从而避免了不必要的数据重传。TCP -Decou-pling 技术是将TCP 的拥塞控制和差错控制分开, 仅在必要时候进行拥塞控制。在进行数据传输时 ,TCP-Decoupling 同时建立两个连接 。一个连接负责控制数据传输的速率—即进行拥塞控制(称为拥塞控制连接),另一个连接按照拥塞控制连接确定的速率传送数据并进行差错控制。拥塞控制连接不发送真正数据, 只交换数据包头,拥塞控制只有在这些数据包头丢失时才会启动 。需要指出的是,TCP -Decoupling 技术不仅可用于可靠的数据传输 ,也可用于UDP 。实际上保留了 TCP 拥塞控制而不用 TCP的差错控制机制 。
(2)两端式的改进
蜂窝无线通信模式在整个数据传输过程中仅有最后一段是无线链路, 如果将整个数据传输从基站分为两段(前一端为有线部分 , 后一端则为无线部分), 可得到两个好处 :第一,从数据在哪一段丢失的可以判断出是传输错误造成的 ,还是拥塞造成的;第二,有利于在无线链路应用各种本地数据重传技术(从基站到移动主机之间), 不需要从 TCP 发送方重传数据 。因此, 很多方案都采用了这种思想,如 Indi-rect -TCP,Snoop 及其衍生方案,TULIP ,M -TCP 等。
1.4 用户数据报协议的改进
UDP 协议没有传输差错控制机制, 其拥塞控制也使用上层应用决定的 , 是一种“不可靠”的协议 。在有些情况下, 无线环境下的 UDP 丢包率甚至会超过50%,这主要是由于无线链路的高 BER 和信号衰减现象造成的。
(1)M -UDP
为了解决无线链路的信号衰减现象 ,M -UDP将所有发往移动主机的数据同时复制一份缓存在监控主机(一般放在靠近基站的地方)。当信号衰减现象结束时,移动主机通知监控主机重传丢失的数据。在数据重传期间任何新发出的数据都将被缓存在监控主机上。
(2)UDP -Lite
UDP -Lite 协 议用一 种“部 分校验” (PartialChecksum)技术来改进 UDP 协议。这种技术的思想是只对 UDP 数据包中的一部分(比如包头)进行校验 、检查其正确性 ,而其他部分的数据是否可用则留给上层应用程序解决。为了防止数据在链路层被丢弃 ,UDP -Lite 修改了网络驱动程序以绕过链路层的纠错机制。
二、无线网络中的数据安全保护
2.1 通用的无线网络保密措施
无线网络在不同层次采取相应的措施来保证通信的安全性 。具体做法有如下几种:
(1)在物理层采用适当的传输措施 ,如采用直接序列扩频 DSSS 、跳频扩频 FHSS 、直接序列跳频扩频FH/DS 等扩频技术。扩频技术具有很强的抗干扰性 ,因此要截获、窃听或侦察经过扩频技术处理的信号非常困难 。
(2)采取网络隔离和设置网络认证措施可以防止不同网络之间的干扰和数据泄漏。
(3)在同一网络中, 设置严密的用户口令及认证措施, 可防止非法用户入网。802.11b 定义了两种类型的认证服务 :开放系统认证和共享密钥认证。开放系统认证是一种最简单认证方案, 用户只需要使用网络所分配的口令就可以进入网络。共享密钥认证只有在使用WEP 加密算法时才有效 ,且在使用WEP 保密算法时, 必须实现共享密钥认证, 这大大提高了数据传送的可靠性。
2.2 已有的无线网络安全机制中存在的问题
当前常用的几种保护无线网络安全的措施存在如下一些问题:
(1)对于服务集标识符(SSID)或 ESSID,这是较低级别的安全认证 , 因为任何人只要知道 SSID 或ESSID就可以接入网络 。
(2)对于MAC 地址限制 ,即通过在AP 上设置被授权的客户端无线网卡 MAC 地址表来杜绝非授权访问。但是 ,无线网卡的 MAC 地址并不难获得, 并且在理论上可以伪造 , 因此这也是较低级别的授权认证。而且以上两种方式都不能防止网络监听 。
2.3 全面的无线网络信息安全保护解决方案
从以上分析来看, 无线技术中物理层的加密机制已经比较完善, 而MAC 层上的加密机制存在一些问题。为了保护无线网络信息安全 ,针对无线技术的MAC 层提出了一种比较全面的信息安全的解决方案, 采用 RADIUS 和 ESSID 认证 、MAC 地址过滤 、WEP 加密并动态生成 WEP 密钥等机制, 来保护用户数据的私密性 。
(1)访问控制
为了进行访问控制 , ESSID 被放置在到每个无线访问接入点 AP 中 , 它是无线客户端与无线访问接入点联系所必不可少的 。对于任何一个可能的无线访问接入点的适配器来说, 无线设备首先决定这个适配器是否属于该网络或扩展服务集 。无线设备判断适配器的 32位字符的标识(ESSID)是否与它自己的相符 ,只有与自己 ESSID 完全相同的网卡才能与其通信 。由于有了 32 位字符的 ESSID 和 3 位字符的跳频序列, 对于那些试图经由局域网的无线网段进入局域网的人来讲 , 想推断出确切的 ESSID 和跳频序列是很困难的 。另外 ,每个无线访问接入点中还包括一个有关MAC 地址的访问控制列表, 只有那些 MAC 地址在这个列表中的客户端才能对无线访问接入点进行访问。
(2)MAC 地址过滤
在AP 中可以设定哪些 MAC 地址不能与 AP 通信,这样可防止非法网卡登录到AP 上, 也可以防止非法客户机访问 AP 下的无线网客户机。
(3)用户认证(口令控制)
采用 RADIUS 对用户进行身份识别和认证 , 确认是否为合法用户。可以通过专用监控电缆设置用户权限,不同访问权限使用不同口令,仅有只读权限的人不能读到或修改设备关键参数 。
(4)数据加密采用 WEP
静态 WEP 加密过程如图 2 所示 :
图2 加密数据帧的过程图
从图 2 可知,在 WEP 中对明文的加密由两层含义 :明文数据的加密;保护未经认证的数据 。另外在WEP 中,将 64 位WEP 密钥(40 位共享密钥加 24 位初始向量IV)或 128 位WEP 密钥(104 位共享密钥加24位初始向量 IV)输入到WEP 伪随机数产生器中,产生一个伪随机的密钥序列 。这个伪随机密钥序列和完整性校验值(ICV)进行异或 ,然后与初始向量构成密文消息
结束语
随着现代科学信息技术和无线网络的出现及广泛使用,无线网的发展以及全球互连网的高速增长,无线技术中的信息传输和安全保护成为了一个越来越重要的课题。多数无线协议和无线技术还不能进行高效率和可靠的传输, 也没有一个成熟的安全机制来充分保证用户信息的私密性,无线信息安全机制目前仍处于制订标准阶段,这些都要求还要进行不懈的努力和探讨,只有构建一套完整的长效机制,信息传输才能得到有效的发展以及信息安全才有可能实现。
参考文献:
[1]邓春燕.浅谈无线局域网的安全性.长沙民政职业技术学院学报.2013.09
[2]高胜波,马煦洋.无线通信网中的安全技术.北京:人民邮电出版社.2015.01
[3]曾春媚,无线网络技术及应用研究..科技信息.2014.12
[4]张昊宇.浅析无线网络新技术在数据通信中的应用.信息系统工程.2013.11
[5]高宇锡.王媚.无线网络安全性威胁及应对措施.现代电子技术.2012.09
论文作者:钟国雄
论文发表刊物:《基层建设》2017年第33期
论文发表时间:2018/2/26
标签:数据论文; 无线网络论文; 链路论文; 技术论文; 数据传输论文; 密钥论文; 协议论文; 《基层建设》2017年第33期论文;