中国移动WLAN简介

中国移动WLANWLAN是WirelessLocalAreaNetwork（无线局域网）的缩写，指应用无线通信技术将计算机设备互联起来，客户可通过笔记本电脑、PDA等终端以WLAN随时随地接入互联网和企业网，获取信息、娱乐或进行办公。支持多媒体功能，上传下载，随时欣赏网上影片或音乐。提供极速而稳定的无线连接。在中国移动WLAN网络覆盖地区，客户可以通过笔记本电脑、PDA等移动终端，在配备WLAN上网卡时以无线方式高速接入互联网/企业网，获取信息、移动办公或者娱乐。在中国移动WLAN网络覆盖地区，共享接入速率最高可达11Mb/s。实现方式类似于局域网，需要通过手机号码和密码验证后方可打开网页，用户名为客户的手机号码，而密码则在申请WLAN业务时系统自动生成，客户可以把该密码修改成容易记忆的密码。中国移动在全国31个省省会城市、首府、直辖市及经济发达和重点城市的机场、高级酒店、会议中心、展览馆等热点地区都进行了WLAN网络覆盖，并且会继续扩大。WLAN可提供高达54Mbps的速率(某些小城市可能为11Mbps，但大部分为54M），可以进行WWW浏览、收发EMAIL、欣赏网上电影、下载文件和进行办公。在配备WLAN上网卡时以无线方式高速接入互联网/企业网，获取信息、移动办公或者娱乐，共享接入速率最高可达54Mbps（现在大部分地区限速在1Mb/s~2Mb/s）,实现方式类似于局域网.无线局域网（WLAN）主流技术WLAN工作在2.5GHz或者5GHz802.11，1997年，原始标准(2Mbit/s工作在2.4GHz)。802.11a，1999年，物理层补充(54Mbit/s工作在5GHz)。802.11b，1999年，物理层补充(11Mbit/s工作在2.4GHz)。802.11c，符合802.1D的媒体接入控制层(MAC)桥接(MACLayerBridging)。802.11d，根据各国无线电规定做的调整。802.11e，对服务等级(QualityofService,QS)的支持。802.11f，基站的互连性(Interoperability)。802.11g，物理层补充(54Mbit/s工作在2.4GHz)。802.11h，无线覆盖半径的调整，室内(indoor)和室外(outdoor)信道(5GHz频段)。802.11i，安全和鉴权(Authentification)方面的补充。802.11n，可以将WLAN的传输速率由目前802.11a及802.11g提供的54Mbps，提供到300Mbps甚至高达600Mbps。无线网络的设备类型在无线局域网里，常见的设备有无线网卡、无线网桥、无线天线等。1、无线网卡无线网卡的作用类似于以太网中的网卡，作为无线局域网的接口，实现与无线局域网的连接。无线网卡根据接口类型的不同，主要分为三种类型，即PCMCIA无线网卡、PCI无线网卡和USB无线网卡。PCMCIA无线网卡仅适用于笔记本电脑，支持热插拔，可以非常方便地实现移动无线接入。PCI无线网卡适用于普通的台式计算机使用。其实PCI无线网卡只是在PCI转接卡上插入一块普通的PCMCIA卡。USB接口无线网卡适用于笔记本和台式机，支持热插拔，如果网卡外置有无线天线，那么，USB接口就是一个比较好的选择。2、无线网桥从作用上来理解无线网桥，它可以用于连接两个或多个独立的网络段，这些独立的网络段通常位于不同的建筑内，相距几百米到几十公里。所以说它可以广泛应用在不同建筑物间的互联。同时，根据协议不同，无线网桥又可以分为2.4GHz频段的802.11b或802.11G以及采用5.8GHz频段的802.11a无线网桥。无线网桥有三种工作方式，点对点，点对多点，中继连接。特别适用于城市中的远距离通讯．在无高大障碍（山峰或建筑）的条件下，一对速组网和野外作业的临时组网。其作用距离取决于环境和天线，现7km的点对点微波互连。一对27dbi的定向天线可以实现10km的点对点微波互连。12dbi的定向天线可以实现2km的点对点微波互连；一对只实现到链路层功能的无线网桥是透明网桥，而具有路由等网络层功能、在网络24dbi的定向天线可以实层实现异种网络互联的设备叫无线路由器，也可作为第三层网桥使用。无线网桥通常是用于室外，主要用于连接两个网络，使用无线网桥不可能只使用一个，必需两个以上，而AP可以单独使用。无线网桥功率大，传输距离远（最大可达约50km），抗干扰能力强等，不自带天线，一般配备抛物面天线实现长距离的点对点连接。3、无线天线当计算机与无线AP或其他计算机相距较远时，随着信号的减弱，或者传输速率明显下降，或者根本无法实现与AP或其他计算机之间通讯，此时，就必须借助于无线天线对所接收或发送的信号进行增益（放大）。无线天线有多种类型，不过常见的有两种，一种是室内天线，优点是方便灵活，缺点是增益小，传输距离短；一种是室外天线。室外天线的类型比较多，一种是锅状的定向天线，一种是棒状的全向天线。室外天线的优点是传输距离远。比较适合远距离传输。无线网络的辐射很微弱辐射的大小主要取决于发射功率的大小，我国无线电管理委员会的规定：无线局域网产品的发射功率不能大于10mW，而其他国家的标准相对宽松，比如：日本的无线局域网产品的发射功率的上限是100mW，欧美一些国家是50mW左右。目前市面上所销售的产品一般都符合欧美国家的标准。手机在功率大的时候可以到1W多，绝大多数无线路由器的发射功率也就在50mW~100mW之间，而无线网卡的功率一般在10mW以下。更换高增益的天线不会增加辐射目前市场上的无线网络产品，天线的增益一般为2dBi和3dBi，为了无线信号的扩展，一些用户喜欢更换高增益的天线。由于天线是无源器件，并不会增加功率，不管加多大增益的天线，它发射的功率都不会比50mw更高，发射功率主要取决于发射热点，即无线路由器、无线AP本身，只要它们的功率符合安全标准，大家就可以放心更换高增益的天线。辐射危害人体的机理热效应：人体70%以上是水，水分子受到电磁波辐射后相互摩擦，引起机体升温，从而影响到体内器官的正常工作。非热效应：人体的器官和组织都存在微弱的电磁场，它们是稳定和有序的，一旦受到外界电磁场的干扰，处于平衡状态的微弱电磁场即将遭到破坏，人体也会遭受损伤。累积效应：热效应和非热效应作用于人体后，对人体的伤害尚未来得及自我修复之前（通常所说的人体承受力---内抗力），再次受到电磁波辐射的话，其伤害程度就会发生累积，久之会成为永久性病态，危及生命。对于长期接触电磁波辐射的群体，即使功率很小，频率很低，也可能会诱发想不到的病变，应引起警惕。如何避免无线辐射带来的伤害无线网络的辐射主要取决于发射功率，离无线发射点越近的地方辐射就越强，所以应该把无线路由、无线AP摆放在离人远一些的地方，离卧室也要远一些，尽量避免老人、儿童和孕妇近距离的、长时间的接触无线路由器等设备，晚上睡觉前应该关掉电源。另外还要注意避免无线产品过分靠近音响、电视等电子设备，防止互相的干扰产生其它辐射。只要大家保持较远的距离，避免长时间生活在无线网络环境中所造成的累积效应，养成良好的使用习惯，就应该没有问题。无线网络信息安全与对策一、概述随着科技的发展，无线网络技术以其便利的安装、使用，高速的接入速度，可移动的接入方式赢得了众多公司、政府、个人以及电信运营商的青睐。但由于无线网络传送的数据是利用无线电波在空中辐射传播，无线电波可以穿透天花板、地板和墙壁，发射的数据可能到达预期之外的、安装在不同楼层甚至是发射机所在的大楼之外的接收设备，数据安全也就成为最重要的问题。以常见的手机为例，其通信过程就是使用手机把语言信号传输到移动通信网络中，再由移动通信网络将语言信号变成电磁频谱，通过通信卫星辐射漫游传送到受话人的电信网络中，受话人的通信设备接收到无线电磁波，转换成语言信号接通通信网络。因此，手机通信是一个开放的电子通信系统，只要有相应的接收设备，就能够截获任何时间、任何地点，接收任何人的通话信息。在俄罗斯的车臣战争期间，俄军利用电子侦察手段，截获了杜达耶夫的手机通信，在全球定位系统的帮助下准确地测出了杜达耶夫所在位置的坐标，用两枚反辐射导弹循着电磁波方向击中了杜达耶夫正在通话的小楼。这个例子充分表明了无线通讯技术的脆弱性，也说明了无线网络技术安全的重要性。二、无线网络主要信息安全技术（一）扩频技术扩频技术是军方为了通讯安全而首先提出的。它从一开始就被设计成为驻留在噪声中，一直干扰和越权接收的。扩频传输是将非常低的能量在一系列的频率范围中发送，明显地区别于窄带的无线电技术的集中所有能量在一个信号频率中的方式进行传输。通常有几种方法来实现扩频传输，最常用的是直序扩频和跳频扩频。一些无线局域网产品在ISM波段的2.4～2.4835GHz范围内传输信号，在这个范围内可以得到79个隔离的不同通道，无线信号被发送到成为随机序列排列的每一个通道上（例如通道1、32、67、42……）。无线电波每秒钟变换频率许多次，将无线信号按顺序发送到每一个通道上，并在每一通道上停留固定的时间，在转换前要覆盖所有通道。如果不知道在每一通道上停留的时间和跳频图案，系统外的站点要接收和译码数据几乎是不可能的。使用不同的跳频图案、驻留时间和通道数量可以使相邻的不相交的几个无线网络之间没有相互干扰，也不用担心网络上的数据被其他用户截获。（二）用户验证:密码控制建议在无线网络的适配器端使用网络密码控制。这与NovellNetWare和MicrosoftWindowsNT提供的密码管理功能类似。由于无线网络支持使用笔记本或其他移动设备的漫游用户，所以精确的密码策略是增加一个安全级别，这可以确保工作站只被授权人使用。（三）数据加密对数据的安全要求极高的系统，例如金融或军队的网络，需要一些特别的安全措施，这就要用到数据加密的技术。借助于硬件或软件，数据包在被发送之前被加密，只有拥有正确密钥的工作站才能解密并读出数据。如果要求整体的安全性，加密是最好的解决办法。这种解决方案通常包括在有线网络操作系统中或无线局域网设备的硬件或软件的可选件中，由制造商提供，另外还选择低价格的第三方产品。（四）WEP（WiredEquivalentPrivacy）加密配置WEP加密配置是确保经过授权的WLAN用户不被窃听的验证算法，是IEEE协会为了解决无线网络的安全性而在802.11中提出的解决办法。（五）防止入侵者访问网络资源这是用一个验证算法来实现的。在这种算法中，适配器需要证明自己知道当前的密钥。这和有线LAN的加密很相似。在这种情况下，入侵者为了将他的工作站和有线LAN连接也必须达到这个前提。三、无线网络的主要安全缺陷（一）容易侵入无线局域网非常容易被发现，为了能够使用户发现无线网络的存在，网络必须发送有特定参数的信标帧，这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。因为任何人的计算机都可以通过自己购买的AP，不经过授权而连入网络。很多部门未通过公司IT中心授权就自建无线局域网，用户通过非法AP接入给网络带来很大安全隐患。如果你能买到Yagi外置天线和3-dB磁性HyperGain漫射天线硬盘，拿着它到各大写字楼里走一圈，你也许就能进入那些大公司的无线局域网络里，做你想要做的一切。或者再简单一点，对于那些防范手段差的公司来说，用一块802.11b无线网卡也可以进入他们的网络——这种事时常在美国发生。

还有的部分设备、技术不完善，导致网络安全性受到挑战。如Cisco于2002年12月才发布的AironetAP1100无线设备，最近被发现存在安全漏洞，当该设备受到暴力破解行为攻击时很可能导致用户信息的泄露。（二）根据RSASecurity在英国的调查发现，67%的WLAN都没有采取安全措施。而要保护无线网络，必须要做到三点：信息加密、身份验证和访问控制。WEP存在的问题由两个方面造成：一个是接入点和客户端使用相同的加密密钥。如果在家庭或者小企业内部，一个访问节点只连接几台PC的话还可以，但如果在不确定的客户环境下则无法使用。让全部客户都知道密钥的做法，无疑在宣告WLAN根本没有加密。二是基于WEP的加密信息容易被破译。美国某些大学甚至已经公开了解密WEP的论文，这些都是WEP在设计上存在问题，是人们在使用IEEE802.11b时心头无法抹去的阴影。802.11无法防止攻击者采用被动方式监听网络流量，而任何无线网络分析仪都可以不受阻碍地截获未进行加密的网络流量。目前，WEP有漏洞可以被攻击者利用，它仅能保护用户和网络通信的初始数据，并且管理和控制帧是不能被WEP加密和认证的，这样就给攻击者以欺骗帧中止网络通信提供了机会。不同的制造商提供了两种WEP级别，一种建立在40位密钥和24位初始向量基础上，被称作64位密码；另一种是建立在104位密码加上24位初始向量基础上的，被称作128位密码。高水平的黑客，要窃取通过40位密钥加密的传输资料并非难事，40位的长度就拥有2的40次方的排列组合，而RSA的破解速度，每秒就能列出2.45×109种排列组合，几分钟之内就可以破解出来。所以128位的密钥是以后采用的标准。虽然WEP有着种种的不安全，但是很多情况下，许多访问节点甚至在没有激活WEP的情况下就开始使用网络了，这好像在敞开大门迎接敌人一样。用NetStumbler等工具扫描一下网络就能轻易记下MAC地址、网络名、服务设置标识符、制造商、信道、信号强度、信噪比的情况。作为防护功能的扩展，最新的无线局域网产品的防护功能更进了一步，利用密钥管理协议实现每15分钟更换一次WEP密钥，即使最繁忙的网络也不会在这么短的时间内产生足够的数据证实攻击者破获密钥。然而，一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改，几乎所有的AP都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密钥。（三）由于802.11无线局域网对数据帧不进行认证操作，攻击者可以通过非常简单的方法轻易获得网络中站点的MAC地址，这些地址可以被用来恶意攻击时使用。除通过欺骗帧进行攻击外，攻击者还可以通过截获会话帧发现AP中存在的认证缺陷，通过监测AP发出的广播帧发现AP的存在。然而，由于802.11没有要求AP必须证明自己真是一个AP，攻击者很容易装扮成AP进入网络，通过这样的AP，攻击者可以进一步获取认证身份信息从而进入网络。在没有采用802.11i对每一个802.11MAC帧进行认证的技术前，通过会话拦截实现的网络入侵是无法避免的。四、改进方法及措施（一）正确放置网络的接入点设备从基础做起：在网络配置中，要确保无线接入点放置在防火墙范围之外。（二）利用MAC阻止黑客攻击利用基于MAC地址的ACLs（访问控制表）确保只有经过注册的设备才能进入网络。MAC过滤技术就如同给系统的前门再加一把锁，设置的障碍越多，越会使黑客知难而退，不得不转而寻求其他低安全性的网络。（三）WEP协议的重要性WEP是802.11b无线局域网的标准网络安全协议。在传输信息时，WEP可以通过加密无线传输数据来提供类似有线传输的保护。在简便的安装和启动之后，应立即更改WEP密钥的缺省值。最理想的方式是WEP的密钥能够在用户登录后进行动态改变，这样，黑客想要获得无线网络的数据就需要不断跟踪这种变化。基于会话和用户的WEP密钥管理技术能够实现最优保护，为网络增加另外一层防范。（四）WEP协议不是万能的不能将加密保障都寄希望于WEP协议。WEP只是多层网络安全措施中的一层，虽然这项技术在数据加密中具有相当重要的作用，但整个网络的安全不应只依赖这一层的安全性能。而且，如前所述，由于WEP协议加密机制的缺陷，会导致加密信息被破解。也正是由于认识到了这一点，中国国家质检总局、国家标准委于2003年11月26日发布了《关于无限局域网强制性国家标准实施的公告》，要求强制执行中国Wi-Fi的国家标准WAPI（WLANAuthenticationandPrivacyInfrastructure，无限局域网鉴别和保密基础结构），即国家标准GB15629.11－2003，采用有别于IEEE（美国电子与电气工程师协会）的802.11无线网络标准的公开密钥体制，用于实现WLAN设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护等。（五）简化网络安全管理：集成无线和有线网络安全策略无线网络安全不是单独的网络架构，它需要各种不同的程序和协议。制定结合有线和无线网络安全的策略能够提高管理水平，降低管理成本。例如，不论用户是通过有线还是无线方式进入网络时，都采用集成化的单一用户ID和密码。所有无线局域网都有一个缺省的SSID（服务标识符）或网络名，立即更改这个名字，用文字和数字符号来表示。如果企业具有网络管理能力，应该定期更改SSID：即取消SSID自动播放功能。（六）不能让非专业人员构建无线网络尽管现在无线局域网的构建已经相当方便，非专业人员可以在自己的办公室安装无线路由器和接入点设备，但是，他们在安装过程中很少考虑到网络的安全性，只要通过网络探测工具扫描就能够给黑客留下攻击的后门。因而，在没有专业系统管理员同意和参与的情况下，要限制无线网络的构建，这样才能保证无线网络的安全。

设备概述

HM-API01-EB2-N2-F室外回传型无线接入点采用2x2MIMO-OFDM调制技术，具有传输速率高、接收灵敏度高等特点，功能丰富的室内型无线接入点提供不同的接入模式（a/b/g/n），能够通过单一设备的单独部署，实现无线接入网络的快速搭建。针对运营网络而特别设计的网管及调试功能，板载LAN/Console连接，采用业界最先进的高性能硬件架构，模块化的设计可以在单、双无线网卡间自由切换，扩展网络接入能力及覆盖范围HM-API01-EB2-N2-F无线接入点产品应用场景HM-API01-EB2-N2-F针对运营商的热点区域覆盖校园覆盖及增值服务应用无线城市无线网络接入集成化的安全无线支持集成化无线增值解决方案主要特性和优点卓越的处理性能采用高性能专用网络处理器，可实现优异的802.11n系统性能；采用先进的网络算法，这些算法能够为运营商提供高质量服务(QoS)；具有高呑吐量和高负载能力，信号强度、质量的输出稳定，为用户提供最优的业务处理能力；采用了业界最新的硬件加解密技术，大大提高了加解密处理能力；优异的核心运算能力，始终保持极低的系统占用率。运营级产品设计支持交流和POE供电方式，可实现远程电源管理；在提供无线网络接入服务的同时，可支持用户分级管理、QoS、负载均衡、访问控制、日志报表、记费管理，降低总拥有成本TCO；支持多种网络管理方式，设备维护便捷、高效，使得运营和维护灵活性提高；专业级三防认证，符合IP55标准。智能化的FITAP模式根据应用需求通过软件配置为瘦AP模式与无线控制器协同工作。当工作在瘦AP模式时，还可以根据用户需求来决策数据的转发策略，为用户数据提供优化的转发路径。完备的投资保障模块化双冗余射频结构，方便扩展，向下完全兼容802.11a/b/g标准设备；VPN和安全配置可以在整个网络中提供安全连接和周边安全；逐步或者全面地从传统基础设施移植到安全高速的无线网络；通过对基于用户管理、带宽管理和安全机制的全面支持，实现了端到端无缝的解决方案。规格简介HM-API01-EB2-N2-F无线接入设备项目规格参数所支持的数据传输速率

-11a/g:54/48/36/24/18/12/9/6Mbps自动恢复-11b:11/5.5/2/1Mbps自动恢复EWC/11n:6,6.5,13,13.5,19.5,26,27,39,40.5,53,54,58.5,65,78,81,104,108,117,121.5,130,135,162,216,243,270,300Mbps网络标准802.11a/b/g/n，WAPI上行链路802.3/u10/100/1000Bas