中國移動WLAN簡介

中國移動WLANWLAN是WirelessLocalAreaNetwork（無線局域網）的縮寫，指應用無線通信技術將計算機設備互聯起來，客戶可通過筆記本電腦、PDA等終端以WLAN隨時隨地接入互聯網和企業(yè)網，獲取信息、娛樂或進行辦公。支持多媒體功能，上傳下載，隨時欣賞網上影片或音樂。提供極速而穩(wěn)定的無線連接。在中國移動WLAN網絡覆蓋地區(qū)，客戶可以通過筆記本電腦、PDA等移動終端，在配備WLAN上網卡時以無線方式高速接入互聯網/企業(yè)網，獲取信息、移動辦公或者娛樂。在中國移動WLAN網絡覆蓋地區(qū)，共享接入速率最高可達11Mb/s。實現方式類似于局域網，需要通過手機號碼和密碼驗證后方可打開網頁，用戶名為客戶的手機號碼，而密碼則在申請WLAN業(yè)務時系統自動生成，客戶可以把該密碼修改成容易記憶的密碼。中國移動在全國31個省省會城市、首府、直轄市及經濟發(fā)達和重點城市的機場、高級酒店、會議中心、展覽館等熱點地區(qū)都進行了WLAN網絡覆蓋，并且會繼續(xù)擴大。WLAN可提供高達54Mbps的速率(某些小城市可能為11Mbps，但大部分為54M），可以進行WWW瀏覽、收發(fā)EMAIL、欣賞網上電影、下載文件和進行辦公。在配備WLAN上網卡時以無線方式高速接入互聯網/企業(yè)網，獲取信息、移動辦公或者娛樂，共享接入速率最高可達54Mbps（現在大部分地區(qū)限速在1Mb/s~2Mb/s）,實現方式類似于局域網.無線局域網（WLAN）主流技術WLAN工作在2.5GHz或者5GHz802.11，1997年，原始標準(2Mbit/s工作在2.4GHz)。802.11a，1999年，物理層補充(54Mbit/s工作在5GHz)。802.11b，1999年，物理層補充(11Mbit/s工作在2.4GHz)。802.11c，符合802.1D的媒體接入控制層(MAC)橋接(MACLayerBridging)。802.11d，根據各國無線電規(guī)定做的調整。802.11e，對服務等級(QualityofService,QS)的支持。802.11f，基站的互連性(Interoperability)。802.11g，物理層補充(54Mbit/s工作在2.4GHz)。802.11h，無線覆蓋半徑的調整，室內(indoor)和室外(outdoor)信道(5GHz頻段)。802.11i，安全和鑒權(Authentification)方面的補充。802.11n，可以將WLAN的傳輸速率由目前802.11a及802.11g提供的54Mbps，提供到300Mbps甚至高達600Mbps。無線網絡的設備類型在無線局域網里，常見的設備有無線網卡、無線網橋、無線天線等。1、無線網卡無線網卡的作用類似于以太網中的網卡，作為無線局域網的接口，實現與無線局域網的連接。無線網卡根據接口類型的不同，主要分為三種類型，即PCMCIA無線網卡、PCI無線網卡和USB無線網卡。PCMCIA無線網卡僅適用于筆記本電腦，支持熱插拔，可以非常方便地實現移動無線接入。PCI無線網卡適用于普通的臺式計算機使用。其實PCI無線網卡只是在PCI轉接卡上插入一塊普通的PCMCIA卡。USB接口無線網卡適用于筆記本和臺式機，支持熱插拔，如果網卡外置有無線天線，那么，USB接口就是一個比較好的選擇。2、無線網橋從作用上來理解無線網橋，它可以用于連接兩個或多個獨立的網絡段，這些獨立的網絡段通常位于不同的建筑內，相距幾百米到幾十公里。所以說它可以廣泛應用在不同建筑物間的互聯。同時，根據協議不同，無線網橋又可以分為2.4GHz頻段的802.11b或802.11G以及采用5.8GHz頻段的802.11a無線網橋。無線網橋有三種工作方式，點對點，點對多點，中繼連接。特別適用于城市中的遠距離通訊．在無高大障礙（山峰或建筑）的條件下，一對速組網和野外作業(yè)的臨時組網。其作用距離取決于環(huán)境和天線，現7km的點對點微波互連。一對27dbi的定向天線可以實現10km的點對點微波互連。12dbi的定向天線可以實現2km的點對點微波互連；一對只實現到鏈路層功能的無線網橋是透明網橋，而具有路由等網絡層功能、在網絡24dbi的定向天線可以實層實現異種網絡互聯的設備叫無線路由器，也可作為第三層網橋使用。無線網橋通常是用于室外，主要用于連接兩個網絡，使用無線網橋不可能只使用一個，必需兩個以上，而AP可以單獨使用。無線網橋功率大，傳輸距離遠（最大可達約50km），抗干擾能力強等，不自帶天線，一般配備拋物面天線實現長距離的點對點連接。3、無線天線當計算機與無線AP或其他計算機相距較遠時，隨著信號的減弱，或者傳輸速率明顯下降，或者根本無法實現與AP或其他計算機之間通訊，此時，就必須借助于無線天線對所接收或發(fā)送的信號進行增益（放大）。無線天線有多種類型，不過常見的有兩種，一種是室內天線，優(yōu)點是方便靈活，缺點是增益小，傳輸距離短；一種是室外天線。室外天線的類型比較多，一種是鍋狀的定向天線，一種是棒狀的全向天線。室外天線的優(yōu)點是傳輸距離遠。比較適合遠距離傳輸。無線網絡的輻射很微弱輻射的大小主要取決于發(fā)射功率的大小，我國無線電管理委員會的規(guī)定：無線局域網產品的發(fā)射功率不能大于10mW，而其他國家的標準相對寬松，比如：日本的無線局域網產品的發(fā)射功率的上限是100mW，歐美一些國家是50mW左右。目前市面上所銷售的產品一般都符合歐美國家的標準。手機在功率大的時候可以到1W多，絕大多數無線路由器的發(fā)射功率也就在50mW~100mW之間，而無線網卡的功率一般在10mW以下。更換高增益的天線不會增加輻射目前市場上的無線網絡產品，天線的增益一般為2dBi和3dBi，為了無線信號的擴展，一些用戶喜歡更換高增益的天線。由于天線是無源器件，并不會增加功率，不管加多大增益的天線，它發(fā)射的功率都不會比50mw更高，發(fā)射功率主要取決于發(fā)射熱點，即無線路由器、無線AP本身，只要它們的功率符合安全標準，大家就可以放心更換高增益的天線。輻射危害人體的機理熱效應：人體70%以上是水，水分子受到電磁波輻射后相互摩擦，引起機體升溫，從而影響到體內器官的正常工作。非熱效應：人體的器官和組織都存在微弱的電磁場，它們是穩(wěn)定和有序的，一旦受到外界電磁場的干擾，處于平衡狀態(tài)的微弱電磁場即將遭到破壞，人體也會遭受損傷。累積效應：熱效應和非熱效應作用于人體后，對人體的傷害尚未來得及自我修復之前（通常所說的人體承受力---內抗力），再次受到電磁波輻射的話，其傷害程度就會發(fā)生累積，久之會成為永久性病態(tài)，危及生命。對于長期接觸電磁波輻射的群體，即使功率很小，頻率很低，也可能會誘發(fā)想不到的病變，應引起警惕。如何避免無線輻射帶來的傷害無線網絡的輻射主要取決于發(fā)射功率，離無線發(fā)射點越近的地方輻射就越強，所以應該把無線路由、無線AP擺放在離人遠一些的地方，離臥室也要遠一些，盡量避免老人、兒童和孕婦近距離的、長時間的接觸無線路由器等設備，晚上睡覺前應該關掉電源。另外還要注意避免無線產品過分靠近音響、電視等電子設備，防止互相的干擾產生其它輻射。只要大家保持較遠的距離，避免長時間生活在無線網絡環(huán)境中所造成的累積效應，養(yǎng)成良好的使用習慣，就應該沒有問題。無線網絡信息安全與對策一、概述隨著科技的發(fā)展，無線網絡技術以其便利的安裝、使用，高速的接入速度，可移動的接入方式贏得了眾多公司、政府、個人以及電信運營商的青睞。但由于無線網絡傳送的數據是利用無線電波在空中輻射傳播，無線電波可以穿透天花板、地板和墻壁，發(fā)射的數據可能到達預期之外的、安裝在不同樓層甚至是發(fā)射機所在的大樓之外的接收設備，數據安全也就成為最重要的問題。以常見的手機為例，其通信過程就是使用手機把語言信號傳輸到移動通信網絡中，再由移動通信網絡將語言信號變成電磁頻譜，通過通信衛(wèi)星輻射漫游傳送到受話人的電信網絡中，受話人的通信設備接收到無線電磁波，轉換成語言信號接通通信網絡。因此，手機通信是一個開放的電子通信系統，只要有相應的接收設備，就能夠截獲任何時間、任何地點，接收任何人的通話信息。在俄羅斯的車臣戰(zhàn)爭期間，俄軍利用電子偵察手段，截獲了杜達耶夫的手機通信，在全球定位系統的幫助下準確地測出了杜達耶夫所在位置的坐標，用兩枚反輻射導彈循著電磁波方向擊中了杜達耶夫正在通話的小樓。這個例子充分表明了無線通訊技術的脆弱性，也說明了無線網絡技術安全的重要性。二、無線網絡主要信息安全技術（一）擴頻技術擴頻技術是軍方為了通訊安全而首先提出的。它從一開始就被設計成為駐留在噪聲中，一直干擾和越權接收的。擴頻傳輸是將非常低的能量在一系列的頻率范圍中發(fā)送，明顯地區(qū)別于窄帶的無線電技術的集中所有能量在一個信號頻率中的方式進行傳輸。通常有幾種方法來實現擴頻傳輸，最常用的是直序擴頻和跳頻擴頻。一些無線局域網產品在ISM波段的2.4～2.4835GHz范圍內傳輸信號，在這個范圍內可以得到79個隔離的不同通道，無線信號被發(fā)送到成為隨機序列排列的每一個通道上（例如通道1、32、67、42……）。無線電波每秒鐘變換頻率許多次，將無線信號按順序發(fā)送到每一個通道上，并在每一通道上停留固定的時間，在轉換前要覆蓋所有通道。如果不知道在每一通道上停留的時間和跳頻圖案，系統外的站點要接收和譯碼數據幾乎是不可能的。使用不同的跳頻圖案、駐留時間和通道數量可以使相鄰的不相交的幾個無線網絡之間沒有相互干擾，也不用擔心網絡上的數據被其他用戶截獲。（二）用戶驗證:密碼控制建議在無線網絡的適配器端使用網絡密碼控制。這與NovellNetWare和MicrosoftWindowsNT提供的密碼管理功能類似。由于無線網絡支持使用筆記本或其他移動設備的漫游用戶，所以精確的密碼策略是增加一個安全級別，這可以確保工作站只被授權人使用。（三）數據加密對數據的安全要求極高的系統，例如金融或軍隊的網絡，需要一些特別的安全措施，這就要用到數據加密的技術。借助于硬件或軟件，數據包在被發(fā)送之前被加密，只有擁有正確密鑰的工作站才能解密并讀出數據。如果要求整體的安全性，加密是最好的解決辦法。這種解決方案通常包括在有線網絡操作系統中或無線局域網設備的硬件或軟件的可選件中，由制造商提供，另外還選擇低價格的第三方產品。（四）WEP（WiredEquivalentPrivacy）加密配置WEP加密配置是確保經過授權的WLAN用戶不被竊聽的驗證算法，是IEEE協會為了解決無線網絡的安全性而在802.11中提出的解決辦法。（五）防止入侵者訪問網絡資源這是用一個驗證算法來實現的。在這種算法中，適配器需要證明自己知道當前的密鑰。這和有線LAN的加密很相似。在這種情況下，入侵者為了將他的工作站和有線LAN連接也必須達到這個前提。三、無線網絡的主要安全缺陷（一）容易侵入無線局域網非常容易被發(fā)現，為了能夠使用戶發(fā)現無線網絡的存在，網絡必須發(fā)送有特定參數的信標幀，這樣就給攻擊者提供了必要的網絡信息。入侵者可以通過高靈敏度天線從公路邊、樓宇中以及其他任何地方對網絡發(fā)起攻擊而不需要任何物理方式的侵入。因為任何人的計算機都可以通過自己購買的AP，不經過授權而連入網絡。很多部門未通過公司IT中心授權就自建無線局域網，用戶通過非法AP接入給網絡帶來很大安全隱患。如果你能買到Yagi外置天線和3-dB磁性HyperGain漫射天線硬盤，拿著它到各大寫字樓里走一圈，你也許就能進入那些大公司的無線局域網絡里，做你想要做的一切?；蛘咴俸唵我稽c，對于那些防范手段差的公司來說，用一塊802.11b無線網卡也可以進入他們的網絡——這種事時常在美國發(fā)生。

還有的部分設備、技術不完善，導致網絡安全性受到挑戰(zhàn)。如Cisco于2002年12月才發(fā)布的AironetAP1100無線設備，最近被發(fā)現存在安全漏洞，當該設備受到暴力破解行為攻擊時很可能導致用戶信息的泄露。（二）根據RSASecurity在英國的調查發(fā)現，67%的WLAN都沒有采取安全措施。而要保護無線網絡，必須要做到三點：信息加密、身份驗證和訪問控制。WEP存在的問題由兩個方面造成：一個是接入點和客戶端使用相同的加密密鑰。如果在家庭或者小企業(yè)內部，一個訪問節(jié)點只連接幾臺PC的話還可以，但如果在不確定的客戶環(huán)境下則無法使用。讓全部客戶都知道密鑰的做法，無疑在宣告WLAN根本沒有加密。二是基于WEP的加密信息容易被破譯。美國某些大學甚至已經公開了解密WEP的論文，這些都是WEP在設計上存在問題，是人們在使用IEEE802.11b時心頭無法抹去的陰影。802.11無法防止攻擊者采用被動方式監(jiān)聽網絡流量，而任何無線網絡分析儀都可以不受阻礙地截獲未進行加密的網絡流量。目前，WEP有漏洞可以被攻擊者利用，它僅能保護用戶和網絡通信的初始數據，并且管理和控制幀是不能被WEP加密和認證的，這樣就給攻擊者以欺騙幀中止網絡通信提供了機會。不同的制造商提供了兩種WEP級別，一種建立在40位密鑰和24位初始向量基礎上，被稱作64位密碼；另一種是建立在104位密碼加上24位初始向量基礎上的，被稱作128位密碼。高水平的黑客，要竊取通過40位密鑰加密的傳輸資料并非難事，40位的長度就擁有2的40次方的排列組合，而RSA的破解速度，每秒就能列出2.45×109種排列組合，幾分鐘之內就可以破解出來。所以128位的密鑰是以后采用的標準。雖然WEP有著種種的不安全，但是很多情況下，許多訪問節(jié)點甚至在沒有激活WEP的情況下就開始使用網絡了，這好像在敞開大門迎接敵人一樣。用NetStumbler等工具掃描一下網絡就能輕易記下MAC地址、網絡名、服務設置標識符、制造商、信道、信號強度、信噪比的情況。作為防護功能的擴展，最新的無線局域網產品的防護功能更進了一步，利用密鑰管理協議實現每15分鐘更換一次WEP密鑰，即使最繁忙的網絡也不會在這么短的時間內產生足夠的數據證實攻擊者破獲密鑰。然而，一半以上的用戶在使用AP時只是在其默認的配置基礎上進行很少的修改，幾乎所有的AP都按照默認配置來開啟WEP進行加密或者使用原廠提供的默認密鑰。（三）由于802.11無線局域網對數據幀不進行認證操作，攻擊者可以通過非常簡單的方法輕易獲得網絡中站點的MAC地址，這些地址可以被用來惡意攻擊時使用。除通過欺騙幀進行攻擊外，攻擊者還可以通過截獲會話幀發(fā)現AP中存在的認證缺陷，通過監(jiān)測AP發(fā)出的廣播幀發(fā)現AP的存在。然而，由于802.11沒有要求AP必須證明自己真是一個AP，攻擊者很容易裝扮成AP進入網絡，通過這樣的AP，攻擊者可以進一步獲取認證身份信息從而進入網絡。在沒有采用802.11i對每一個802.11MAC幀進行認證的技術前，通過會話攔截實現的網絡入侵是無法避免的。四、改進方法及措施（一）正確放置網絡的接入點設備從基礎做起：在網絡配置中，要確保無線接入點放置在防火墻范圍之外。（二）利用MAC阻止黑客攻擊利用基于MAC地址的ACLs（訪問控制表）確保只有經過注冊的設備才能進入網絡。MAC過濾技術就如同給系統的前門再加一把鎖，設置的障礙越多，越會使黑客知難而退，不得不轉而尋求其他低安全性的網絡。（三）WEP協議的重要性WEP是802.11b無線局域網的標準網絡安全協議。在傳輸信息時，WEP可以通過加密無線傳輸數據來提供類似有線傳輸的保護。在簡便的安裝和啟動之后，應立即更改WEP密鑰的缺省值。最理想的方式是WEP的密鑰能夠在用戶登錄后進行動態(tài)改變，這樣，黑客想要獲得無線網絡的數據就需要不斷跟蹤這種變化。基于會話和用戶的WEP密鑰管理技術能夠實現最優(yōu)保護，為網絡增加另外一層防范。（四）WEP協議不是萬能的不能將加密保障都寄希望于WEP協議。WEP只是多層網絡安全措施中的一層，雖然這項技術在數據加密中具有相當重要的作用，但整個網絡的安全不應只依賴這一層的安全性能。而且，如前所述，由于WEP協議加密機制的缺陷，會導致加密信息被破解。也正是由于認識到了這一點，中國國家質檢總局、國家標準委于2003年11月26日發(fā)布了《關于無限局域網強制性國家標準實施的公告》，要求強制執(zhí)行中國Wi-Fi的國家標準WAPI（WLANAuthenticationandPrivacyInfrastructure，無限局域網鑒別和保密基礎結構），即國家標準GB15629.11－2003，采用有別于IEEE（美國電子與電氣工程師協會）的802.11無線網絡標準的公開密鑰體制，用于實現WLAN設備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護等。（五）簡化網絡安全管理：集成無線和有線網絡安全策略無線網絡安全不是單獨的網絡架構，它需要各種不同的程序和協議。制定結合有線和無線網絡安全的策略能夠提高管理水平，降低管理成本。例如，不論用戶是通過有線還是無線方式進入網絡時，都采用集成化的單一用戶ID和密碼。所有無線局域網都有一個缺省的SSID（服務標識符）或網絡名，立即更改這個名字，用文字和數字符號來表示。如果企業(yè)具有網絡管理能力，應該定期更改SSID：即取消SSID自動播放功能。（六）不能讓非專業(yè)人員構建無線網絡盡管現在無線局域網的構建已經相當方便，非專業(yè)人員可以在自己的辦公室安裝無線路由器和接入點設備，但是，他們在安裝過程中很少考慮到網絡的安全性，只要通過網絡探測工具掃描就能夠給黑客留下攻擊的后門。因而，在沒有專業(yè)系統管理員同意和參與的情況下，要限制無線網絡的構建，這樣才能保證無線網絡的安全。

設備概述

HM-API01-EB2-N2-F室外回傳型無線接入點采用2x2MIMO-OFDM調制技術，具有傳輸速率高、接收靈敏度高等特點，功能豐富的室內型無線接入點提供不同的接入模式（a/b/g/n），能夠通過單一設備的單獨部署，實現無線接入網絡的快速搭建。針對運營網絡而特別設計的網管及調試功能，板載LAN/Console連接，采用業(yè)界最先進的高性能硬件架構，模塊化的設計可以在單、雙無線網卡間自由切換，擴展網絡接入能力及覆蓋范圍HM-API01-EB2-N2-F無線接入點產品應用場景HM-API01-EB2-N2-F針對運營商的熱點區(qū)域覆蓋校園覆蓋及增值服務應用無線城市無線網絡接入集成化的安全無線支持集成化無線增值解決方案主要特性和優(yōu)點卓越的處理性能采用高性能專用網絡處理器，可實現優(yōu)異的802.11n系統性能；采用先進的網絡算法，這些算法能夠為運營商提供高質量服務(QoS)；具有高呑吐量和高負載能力，信號強度、質量的輸出穩(wěn)定，為用戶提供最優(yōu)的業(yè)務處理能力；采用了業(yè)界最新的硬件加解密技術，大大提高了加解密處理能力；優(yōu)異的核心運算能力，始終保持極低的系統占用率。運營級產品設計支持交流和POE供電方式，可實現遠程電源管理；在提供無線網絡接入服務的同時，可支持用戶分級管理、QoS、負載均衡、訪問控制、日志報表、記費管理，降低總擁有成本TCO；支持多種網絡管理方式，設備維護便捷、高效，使得運營和維護靈活性提高；專業(yè)級三防認證，符合IP55標準。智能化的FITAP模式根據應用需求通過軟件配置為瘦AP模式與無線控制器協同工作。當工作在瘦AP模式時，還可以根據用戶需求來決策數據的轉發(fā)策略，為用戶數據提供優(yōu)化的轉發(fā)路徑。完備的投資保障模塊化雙冗余射頻結構，方便擴展，向下完全兼容802.11a/b/g標準設備；VPN和安全配置可以在整個網絡中提供安全連接和周邊安全；逐步或者全面地從傳統基礎設施移植到安全高速的無線網絡；通過對基于用戶管理、帶寬管理和安全機制的全面支持，實現了端到端無縫的解決方案。規(guī)格簡介HM-API01-EB2-N2-F無線接入設備項目規(guī)格參數所支持的數據傳輸速率

-11a/g:54/48/36/24/18/12/9/6Mbps自動恢復-11b:11/5.5/2/1Mbps自動恢復EWC/11n:6,6.5,13,13.5,19.5,26,27,39,40.5,53,54,58.5,65,78,81,104,108,117,121.5,130,135,162,216,243,270,300Mbps網絡標準802.11a/b/g/n，WAPI上行鏈路802.3/u10/100/1000Bas