Wi-Fi通信

Wi-Fi通信（精选3篇）

Wi-Fi通信 篇1

一、绪论

由于煤矿生产环境的特殊性, 井下作业对生产管理有非常高的实时性要求, 作为生产管理人员、电机车司机、绞车司机、瓦检员、皮带维护工等流动人员应能够与生产调度室及时取得联系, 将生产一线的各种情况上报, 实现统一指挥统一调度。煤矿事故的发生是不确定性的, 事故发生后必须依据当时情况, 采取果断的措施进行处理, 对井下人员进行紧急抢救, 但对井下人员的监控由于受各种条件的限制还很不完善, 对于井下人员的情况不能及时反映, 导致事故发生时不能及时、准确的得到井下人员的信息, 无法做出正确的决策, 以致会造成抢险不及时, 有可能贻误对生命的抢救。目前井下的有线通信远远不能适应井下大量流动作业人员及其管理上的需要, 因此研究应用一套完善、可靠的井下无线通信系统对于煤矿提高效率和实现安全生产至关重要。

二、国内外研究现状

由于煤矿井下的特殊性, 制约了井下无线通信系统的发展, 我国井下无线通信系统一直主要靠引进吸收国外的相关技术, 但随着近年来地面无线技术的快速发展, 新型的无线技术越来越多的服务于煤矿井下。目前可用于煤矿井下的无线系统主要有:漏泄通信技术、透地通信技术、井下小灵通技术、WI-FI技术。

2.1 WI-FI技术

WI-FI (Wireless Fidelity) , 是一种无线局域网数据传输的技术与规格, 也就是IEEE定义的无线通信标准IEEE802.11。无线局域网是有线局域网的扩展和替换, 是在有线局域网的基础上通过无线HUB、无线访问节点 (AP) 、无线网桥、无线网卡等设备使无线通信得以实现。WI-FI属于短距离无线技术, 覆盖范围可达几百米, 使用的是2.4GHz附近的频段。其整个系统以WI-FI无线网络和TCP/IP协议为基本架构, 以矿井工业以太环网为整个系统的主干传输平台, 形成有线主干与无线终端相结合的方式, 覆盖矿井部分或全部巷道及地面相关区域, 最终实现煤矿宽带无线通讯。

2.2 Wi-Fi与相关技术比较

漏泄通信系统存在着抗灾变能力差、大量的串联中继设备导致可靠性差、系统不具备冗余功能等问题, 通信终端存在功能单一、信道容量小的缺陷。感应通信系统存在着体积大、重量重、信道容量小、通信距离短等问题。透地通信系统存在着设备体积大、重量重、信道容量小、地面设备功率大、地面天线布置困难、单向通信 (地面向井下) 等问题。PHS (小灵通) 通信系统与3G (大灵通) 通信系统存在着基站控制器和基站非本质安全型防爆、系统不具备冗余功能、抗灾变能力差、井下基站至地面最大通信距离不满足井下通信10公里的要求等问题, 通信终端存在功能单一、信道容量小的缺陷。考虑到矿井下的特殊性和经济性, 还是选用Wi-Fi更适合井下局域网的环境。

三、系统设计要求

煤矿井下是一个特殊的工作环境, 有潮湿、易燃、易爆和腐蚀性气体, 无线传输衰耗大 (例如, 在地面通信距离可达数几千米的对讲机, 在井下通信距离仅有百米) 等特点。对于煤矿矿井这一特殊环境, 徐庄煤矿井下无线通信系统不同于一般的地面无线通信系统, 它应有以下特殊的要求:

⑴无线通信的传输技术应适应煤矿井下的工作环境, 设备还应有防尘、防水、防潮、防腐、耐机械冲击等防护性能。

⑵无线通信设备应具有较强的抗干扰能力, 应采用安全性能好的本质安全型。

⑷无线通信系统的体积不能很大, 通信设备发射功率符合国标。

⑹无线通信设备的电源电压波动适应能力强, 备用电源应维持不小于2小时的正常工作。

⑺无线通信系统应有较强的抗故障能力。

⑻系统应具有较大的信道容量。能满足矿井生产调度的需要, 且可以与煤矿行政、调度通信系统联网, 形成一个统一的、资源共享的通信平台。

四、工作原理

徐庄煤矿所设计的矿井无线通信系统应由地面监控系统、井下分站和移动通信终端组成。地面监控系统负责整个系统的管理与控制, 通过地面监控系统可以对井下人员以及相应设备进行实时的监控。地面监控系统任务可由服务器并配有相应数据库管理软件完成。井下分站为整个系统的关键部分并负责多项功能。

系统工作原理:位于地面的管理主机通过交换机为进入到无线信号覆盖区域的每一台手持机分配一个IP地址, 并自动为其在管理软件中注册, 将数据存入数据库。注册后的手持机即可正常通话。呼叫时节点收到手持机发出的无线信号, 并将其调制打包后通过矿用网络交换机送到地面管理主机, 经软件处理后又经矿用网络交换机送到覆盖被呼叫手持机所在区域的节点, 呼叫目标手持机接收信号后经过振铃提示并调制成语音给与持机者, 完成一次通话。

4.1系统组成

系统由IP交换机、地面环网接入器、矿用环网接入器、矿用本安型光网络终端、矿用本安型基站、矿用本安型WIFI手机及其它配套设备所组成。系统按实际使用要求, 通过增加或减少基站的数量, 改变无线覆盖范围, 可实现全矿井、大区域或小区域的无线通信。

4.2 IP调度交换机

调度交换机是系统的软交换中心, 采用IP语音通信, 同时支持语音通信, 实现在一个网络上传递语音和数据。集成全套的语音、数据、互联网服务和多种整合通信功能, 满足矿方的调度通信要求, 并能适应未来的发展。

4.3环网接入器

为系统网络提供中继和接口, 为矿井信息化提供百兆以太网, 实现数据、信息交换。矿用环网接入器与基站连接的接口, 传输光信号或电信号。

4.4矿用本安基站

无线网络的接入点, 是无线收发单元, 它是从用户到网络以及从网络到用户之间的通信传输站。通过双绞线与矿用DSL接口连接或通过光缆与矿用环网接入器连接, 或直接与矿用环网接入器连接。根据不同的使用环境, 可配置不同增益值及方向的天线。井下分站作为矿井移动通信系统的关键部分, 应具有多项重要功能。因为考虑到分站的体积重量以及分站内部包括多个功能模块, 不适宜做成本质安全型, 因此将分站做成隔爆兼本质安全型。

4.5矿用本安WIFI手机

本安手机是无线通信系统的终端设备。完成话音或数据信号与无线信号之间的转换, 与基站间构成无线链路, 实现无线移动通信。每一台进入无线AP覆盖范围的合法WIFI手机, 均通过地面管理服务器分配一个IP地址, 并进行注册。呼叫时, 基站将收到的手机无线信号处理后通过以太网交换机送到地面管理服务器, 地面管理服务器根据手机的相关信息, 处理后再通过以太网交换机送到目标手机所在区域的基站, 呼叫手机完成相互通话。

五、设计方案

徐庄煤矿无线通信系统设计方案:将徐庄矿井上的办公区域采用地面无线基站进行覆盖, 在井上系统信号覆盖区域, 手提电脑和智能手机终端均可自由上网;井下采用防爆无线基站对主要巷道进行覆盖, 井上井下基站通过线缆接入基站控制器, 井下防爆基站控制器通过光缆与交换设备连接。设备拥有丰富的中继接口, 可以通过语音交换机与矿上现有的行政交换机以及局端交换设备对接, 系统采用模块化设计, 方便后期的扩容。同时该系统遵循信息产业部相关标准, 综合应用智能天线、帧同步等高新技术, 通过标准化、开放的接口实现与其他交换设备的对接等, 实现终端井上井下以及公网的通话功能;通过调度台的接入, 可以实现井上井下无线终端的一体化调度, 极大地提高煤矿安全生产管理效率。

5.1系统架构

系统分为井下设备和井上设备。井上设备包括:地面通信与监测中心控制计算机、IP调度台、数据服务器和交换机;井下设备由井下基站、连接光缆、井下手机、识别卡等组成。

无线通信终端通过无线网络与矿用多媒体通信接入网关互联;IP调度台通过以太网与网关连接;多媒体通信接入网关之间通过光纤互连组成千兆多环型、环型、链型或星型的任意组合网络;识别卡通过无线网络与矿用多媒体通信接入网关互联。数据服务器模块包括网络管理服务器、人员定位服务器和视频管理平台服务器, 所有管理平台服务器均通过以太网与矿用多媒体通信接入网关连接。

IP调度台内置有SIP服务器, 用以实现Vo IP通话;IP调度台通过话音中继接口与公网市话系统或企业内部电话系统互联, 从而实现井下人员间、井下到矿区、井下到公网的全面通话。井上、下设备均安装有不间断后备电源系统, 在停电环境中系统可以正常工作。系统满足井下爆炸性气体环境用电气设备安全技术要求。

5.2无线网络组网设计

徐庄煤矿井下巷道长、复杂, 井下基站量偏多, 考虑无线网络的可管理性和将来的扩充性, 采用中央控制的无线交换机和基站接入架构。所有的管理都由位于网络核心的无线交换机来实现, 大大简化了对无线接入点设备的配置管理和维护工作, 因此突破了传统无线网络的管理和维护瓶颈, 实现了“零配置”管理和维护。

无线网络组网设计如下图1所示:

5.3基站的无线信号覆盖设计

5.3.1地面设备配置

地面设备主要由IP/PBX网络语音交换机、无线交换机、数据处理交换机、大基站、全向大功率天线组成;IP/PBX网络语音交换机、无线交换机、大基站、维护台与数据处理交换机通过网线连接;无线交换机通过光缆与井下基站控制器连接。地面用大功率基站进行覆盖, 小基站进行室内补盲。

(1) 大基站:在空旷无格挡的情况下, 覆盖半径约600米, 同时信号可以覆盖所处楼层下面一层。

(2) 小基站:覆盖半径约100米, 大基站覆盖不到的楼层, 可以视情况架设小基站, 以实现信号的全覆盖。

5.3.2井下设备配置

井下设备主要由基站控制器、基站、电源、手机、标识卡组成;井下的骨干网由基站控制器之间通过光缆铺设而成;基站与基站控制器之间可以通过矿用通信电缆或光缆连接, 手机、标识卡与基站通过空中接口进行通信, 每一个基站和基站控制器都有一个单独的电源供电。也可根据现场使控制器与某一台基站共用一台电源。

一个基站配有两根高频的全向或定向天线和4根低频的全向或定向天线;每一根天线都有主、副天线之分, 主天线既可以发射信号也可以接收信号, 而副天线只可以接收信号。用有线连接时, 基站与基站之间相距400米左右;用无线网桥技术时, 基站与基站之间相距300米左右。基站的信号在经过弯道以后, 衰减非常厉害, 在做全覆盖时, 巷道的每一个拐角都要装基站。

六、应用情况

根据要求, 我矿对主副井、-400井底车场、-750井底车场、-400轨道大巷、II1猴车道、-400皮带大巷、-750轨道大巷、东九猴车道、II3猴车道、西翼猴车道、II3轨道下山、-750皮带大巷、皮带暗斜井、采煤工作面及地面工业广场等主要人员通过区域地点安装了无线通信基站。目前系统已安装无线基站约130台, 并为班组长及管理人员配备了210台本安型手机。系统自2014年5月初在徐庄矿安装调试并运行以来, 已经达到了预期的目的, 整体运行情况稳定。

七、结束语

煤矿提高安全生产管理效率, 不仅要有正确的决策机制和决策机构, 还要有高效实时的通信手段, 特别是日常安全生产管理、紧急事故时的指令能实时传达到矿井的各个工作地点, 确保安全生产, 提高生产效率。建立井下无线通信系统, 实现对井下工作人员进行实时通信与监测, 便于指挥调度中心和其他管理人员与井上下人员之间实时便捷通信, 实时调度生产和动态跟踪, 对于提高安全生产管理水平、促进煤矿安全预警体系的建立和完善, 使煤矿安全监察由被动式变为预防式具有重要的意义。

本文研究设计的矿井移动通信系统, 利用了WI-FI无线局域网技术, 系统结构简单有效, 便于部署与运维, 符合和满足矿用特定的使用环境与安全要求, 可承载目前井下环境主要的通信业务, 必将有广阔的前景。

Wi-Fi通信 篇2

随着城市化不断扩大以及建筑物更新改造, 市、县电力公司的老城区用电客户越来越复杂, 比较容易发生窃电事件。为了做好反窃电工作, 电力企业往往把电表安装在离地面较高的位置上, 有效减少了窃电事件的发生, 但同时也增加了抄表员抄表的工作难度;随着住宅商品化的发展以及“一户一表”工程的开展, 用电表计数量大幅增加, 传统的抄表管理方式带有一定的时代特征和历史局限性, 在工作繁忙时就出现了人为估抄的现象, 这直接影响了线损分析的精度, 无线小范围 (片区) 抄表的集中抄表采集终端有效地解决了上述问题。

1 系统总体设计

1.1 营销系统接口

无线抄表机与电力公司的营销系统的接口采用USB接口进行数据交换, 营销系统中导出的*.DBF数据库文件通过计算机的USB接口导入抄表机。

1.2 无线抄表机硬件

其硬件设计为:

1.3 无线抄表终端硬件

其终端硬件设计为:

1.4 软件设计

1.4.1 无线抄表机整体框架

抄表机采用Vivi (启动引导程序) +Linux (内核) +Yaffs (文件系统) +驱动程序+应用程序, 对系统所需要的资源进行配置, 并在此平台上开发外设的驱动程序, 以及抄表用户程序。

1.4.2 无线抄表机驱动程序挂载

抄表机外设驱动程序包含LCD、LCD背光控制、键盘驱动、无线射频驱动、ADC电池采样驱动等, 各模块在Linux启动完后进行挂载, 并对其进行初始化 (见图3) 。

1.4.3 无线抄表机应用程序

抄表用户程序包含人机界面, 键盘操作、抄表、数据处理、数据库读取/存储等。

1.4.4 无线抄表终端程序模块

其程序包括程序初始化;RS485初始化;无线模块初始化;等待抄机命令;RS485发送;RS485接收;RF发送。

2 技术特点

(1) 无线抄表终端采用无线WiFi模块组成网状网络结构, 具有自组网、自愈能力, 每台无线终端下挂最多32只485电能表;抄表机可与工作站中央管理计算机连接实现数据导入导出功能, 并可在抄表现场与无线终端组成的网络连接实现实时抄收;电表采用DL465规约的RS485电能表, 电表与采集终端采用485接口连接。

(2) Wi-Fi无线通信模块采用的前向纠错算法是一种被广泛应用于通信系统中的纠错技术, 前向纠错主要被用于纠正信号在传输过程中出现的误码而减少重发占用的信道带宽, 根据应用需求对其RS码 (里德-所罗门码) 进行了改进。

(3) Wi-Fi无线通信模块采用多信道传输技术, 在接收端如果默认接收信道接收到一个正确的包就认为一次接收已经完成, 如果默认接收信道接收到的包发生错误则使用其他信道的信息对其进行校正, 避免重发, 节省了时间。同时, 多个信道同时传输使信号得到加强, 传输距离更远。

(4) 对Wi-Fi的干扰主要来自于ZigBee和蓝牙的同频干扰, 正确选择信道, 增大频偏以及和干扰源保持一定距离可以保证Wi-Fi系统和ZigBee及蓝牙系的共存。

3 结语

无线抄表系统投入运行之后, 与原来的手工抄表和红外抄表相比具有如下优势:

(1) 抄收员在较远的距离内即可抄收电表, 避免了人工爬梯子的危险和红外抄表需要对准电表的缺点;抄收数据准确, 避免了人为估抄、错抄的现象, 提高了线损分析精度;

(2) 与电力公司电脑管理系统接口, 所抄数据可直接导入电力公司数据库使用, 避免人为输入时产生的错误, 同时也节省了大量的时间;抄表员可以根据现场情况对出现异常的电能表 (如表烧毁、卡盘、倒走、窃电等) 进行现场处理, 减少损失;

(3) 一键抄表功能可一次性抄收片区范围内的所有电表, 真正实现了片区抄表;由于抄收速度快, 在一段时间内可以多次抄收数据来监控用户的用电情况, 绘制片区用电曲线。

目前初步建立了基于Wi-Fi无线通信技术无线抄表系统的初步平台, 运行稳定可靠, 对电力公司现场实施抄表的工作有重大意义。

摘要：Wi-Fi无线智能抄表装置包括电能量采集终端和无线抄表机2种设备。电能量采集终端安装在电表附近, 它按预设参数的要求通过485接口采集、计量并存储若干个电表 (安装位置相对集中) 的电能数据, 抄表员在抄表时可用无线抄表机通过Wi-Fi无线接口与电能量采集终端通信, 一次性采集多个电表的电能数据, 从而大大减少了抄表工作量, 而且在抄表的同时, 电能量采集终端进行抄表登记, 其结果可作为抄表员抄表到位考核的依据。

Wi-Fi安全研究 篇3

Wi-Fi是Wireless Fidelity的缩写,意为无线高保真,是一种无线联网技术。为了能满足人们随时随地上网的需求,近年来有不少城市开始Wi-Fi建设,增加城市内Wi-Fi热点数目,真正实现城市处处可上网。

1 攻击的类型及其防范

网络将众多计算机连接成一张大网,其中任意两点可以进行通信。相对于有线网络,无线网络存在的不安全因素更多[3]。因为网络中总是存在漏洞,所以攻击者才能有机可乘。一般攻击有三个步骤:收集信息并探测系统的安全弱点、实施攻击和擦除攻击证据。

对网络进行攻击,目的有三种:盗取链接信息、盗取数据信息和使网络服务不可用。盗取链接信息的目的是为了获取与其他网络节点相连及访问的权限;盗取数据信息是获得指本不应

该获得的信息,并且滥用这些信息;使网络服务不可用是指合法用户不能使用网络服务,达到这一目的可能采用的手法包括ARP攻击等。图1中列出了一些常见的网络攻击及其解决方法。

窃听。窃听是指截取通信时的信息。对于有线连接中,攻击者可以对网络的基带同轴电缆或双绞线进行搭线接听;对于进行广播的无线网络,只要在合适的传输范围内,就能接收到信息。加密是解决信息泄漏的最好办法。目前存在的加密算法有DES算法、AES算法、RSA算法、RC2/RC4算法等。加密意味着大量计算,复杂的加密可能对性能造成影响。

冒认。冒认是指一个非授权节点冒充一个授权的节点,从而获取授权节点的相应权限。

篡改。篡改是指修改报文内容。这种攻击属于破坏数据完整性,可能造成传递的指令改变,导致意想不到的动作。

重播。重播是指将一份报文或报文的一部分进行重复。重播可以产生被授权的效果。

服务抵赖。这类风险主要是在发现攻击,遭受损失后进行排查时无法追踪攻击者。

拒绝服务。这种攻击属于破坏可用性。拒绝服务可能引起用户因得不到网络服务而蒙受巨大损失,如战争时破坏指挥部的网络,使得命令无法及时准确地传达。通过流量分析和控制,发现网络流量的异常,就能够解决因为恶意流量造成信道无法使用。

数字签名可以防止信息被篡改,也可以防止通信中出现抵赖现象,并能用来进行身份认证。为了保证数据安全和实现身份验证,一般数据都通过一定的加密算法加密后进行传输,接收方只有具有合适的密钥才能解读收到的信息。因此密钥的产生、传递和保存是网络安全的最重要的部分。

流量控制、审计和公证属于管理范畴内对于安全的考虑,不在网络实施的考虑范围内。

2 Wi-Fi安全措施

为了保障Wi-Fi网络安全,现行使用由Wi-Fi联盟提出的WPA2(Wi-Fi Protected Access2)安全标准。在此之前,无线网络安全使用WEP(Wired Equipment Privacy)协议来确保安全。但因为WEP协议的缺陷,无线网络安全得不到保障,所以有了WPA的出现。WEP出现在802.11i标准尚未制定完成,而WPA是在802.11i标准制定完成之后。WEP是根据802.11b标准来制定,而WPA实现802.11i标准中大部分条款。

Wi-Fi网络的安全措施,主要是接入认证和数据加密两方面。加密必然涉及到密钥,所以密钥管理也是网络实施需要的。

2.1 WEP

WEP[2]对于接入网络的控制有两种形式:开放式接入和共享密钥接入。开放式接入顾名思义,无需任何认证就可以接入网络。共享密钥接入只需要提供预留的验证密码就可以接入网络。

WEP对于传输加密采取用一个初始向量(IV,Initial Vector)和密钥生成一个中间密钥,然后采用RC4加密方式,用该中间密钥加密信息。RC4[5,21]是一种流式加密技术,对于包的顺序没有要求,不同顺序的包加密后不能辨识出包的原顺序,因此不能防止重播。WEP加密采用的密钥长度为40bit,IV的长度为24bit,达不到美国国家标准。RC4加密的方式如图4所示。由于WEP并不是安全专家设计的,很快就被发现存在很多的漏洞。表1中列举了WEP的一些安全漏洞。

WEP没有采取任何防止重播的手段。假如你在家搭建了一个Wi-Fi网络,采用WEP共享密钥接入方式。如果在你连入该网络时,攻击者窃听你的信息,就可以获取包含共享的登录密钥的信息。当你断开连接后,攻击者可以重播该消息,AP(Access Point)会把攻击者当作合法的用户而让其登录。从安全的角度来说,这是一件危险的事件。

2.2 WPA

随着IEEE802.11i标准的制定完成,2003年WPA被提出,用来替代WEP对Wi-Fi网络进行保护。

对于接入验证,WPA[1,20]根据用户应用的场合不同可以分为企业版(WPA-Enterprise)和个人版(WPA-Personal)两种类型。WPA企业版支持区分每个用户,对每个用户进行单独验证。因此,企业版需要一个验证服务器,一般是一个远程用户拨号认证系统(RADIUS,Remote Authentication Dial In User Service)。WPA个人版适用于家庭或小型办公网络环境,这种模式不需要设置验证服务器,但是需要用到一个预共享密钥(PSK,Pre-Shared Key)。使用个人版的验证不能区分每个用户。

在无线网络安全中,服务数据单元(MSDU,MAC Service Data Unit)经过添加完整性校验MIC、分帧、添加IV、加密、添加MAC头部后,成为协议数据单元(MPDU,MAC Protocol Data Unit,MAC)。在这个过程中使用TKIP加密,并使用Michael算法进行校验。

为了加强数据安全,WPA采用RC4方式对报文进行加密,但是将密钥长度增加到128bit,且IV长度增加到48bit。此外,为了增加密钥的安全性,采用临时密钥完整性协议(TKIP,Temporal Key Integrity Protocol)随着会话的不同产生动态密钥;为了增加数据完整性保护,WPA在每一个报文末尾增加一个消息完整性检查(MIC,Message Integration Check)字段,对报文进行检查。

2.2.1扩展认证协议EAP

扩展认证协议(E A P[8,17,18,19],E x t e n s i b l e Authentication Protocol)在某种程度上相当于认证的中介,完成接入者和验证方初始认证工作和验证结束后的收尾工作,中间协商过程可以由上层验证协议决定。

EAP支持接入方和验证方根据自己的需要和基础设施部署情况,选择验证协议。这个过程是用户识别和用户授权的阶段,该阶段结束后,验证方确认介入方身份,并且双方有共同的主密钥(PMK,Pairwise Master Key),该主密钥是认证方的主密钥(MK,Master Key)根据协商变化生成[4,6]。在数据传输过程中,PMK可以衍生出三种类型的密钥:密钥确认密钥(KCK,Key Confirmation Key,用来检查EAP帧的完整性)、密钥加密密钥(KEK,Key Encryption Key,用来加密组密钥)和临时密钥(TK,Temporal Key,用来加密数据)。其中TK就是MIC和TKIP中需要用到的密钥。

EAP之所以被称之为具有扩展性,是因为EAP支持封装不同的上层验证协议。到目前为止,EAP[7,9]提供7种类型的验证方式,包括EAP-TLS、EAP-TTLS/MSCHAPv2、PEAPv0/EAP-MSCHAPv2、PEAPv1/EAP-GTC、EAP-FAST、EAP-SIM和EPA-AKA。

EAP-TLS(Transport Layer Security[10])是一种基于传输层安全协议的认证方式。该协议要求双方都有公钥证书,双方通过公钥证书进行双向认证。EAP-TLS是IETF制定的标准协议。

EAP-TTLS/MSCHAPv2中,TTLS表示隧道传输层安全(Tunneled Transport Layer Security[11]),MSCHAPv2表示微软挑战-握手认证协议第二版(Microsoft version of Challenge-Handshake Authentication Protocol[12])。该协议是对TLS的扩展,它只要求认证服务器提供可信证书,接入用户可以使用密码进行验证。密码通过由认证服务器证书保证安全的通道进行传输,服务器验证成功后,将证书发送给用户。TTLS与TLS最大的区别是TTLS不需要客户端认证的协议。

PEAP表示受保护的EAP(Protected EAP),也是一种是使用输层安全隧道的方法,它在设计上和EAP-TTLS相似,只需要一份服务器端的PKI证书来建立一个安全的传输层安全通道(TLS)以保护用户认证。它有两种形式PEAPv0/EAP-MSCHAPv2和PEAPv1/EAP-GTC。PEAPv0/EAP-MSCHAPv2是微软参与提出的,属于使用比较广泛的协议,现有的微软、苹果和Cisco系统中都支持这一协议。PEAPv1/EAP-GTC中GTC表示通用标记卡(Generic Token Card),是由Cisco参与提出的,使用范围相对比较狭窄。

EAP-FAST(Flexible Authentication via Secure Tu n n eli n g[13]),是由思科提出的使用保护访问凭证(Protected Access Credential,PAC)来建立TLS隧道,并通过该隧道对客户端证书进行验证的方法。该方法支持EAP-GTC、EAP-MSCHAPv2和EAP-TLS三种验证方法。

EAP-SIM[14]是一种采用蜂窝电话SIM(Subscriber Identity Model)认证的方法,是手机网络和因特网技术结合的产物。SIM卡中含有身份认证信息,可以用来接入网络,并且可以进行用户计费。

EAP-AKA(Authentication and Key Agreement[15])是用来在使用全球用户识别卡(USIM,Universal Subscriber Identity Module)接入USTM(即全球3G网络)进行用户认证和密钥协商的方案。

2.2.2 MIC

MIC[16,17,18,19]方法是通过一个不可逆的过程,生成一个校验码,生成的过程中结合一个密钥。因此,不知道密钥的攻击者是无法伪造这一校验值的。但是,一般算法需要大量的计算,不适合Wi-Fi网络。Wi-Fi网络采用Michael方法计算MIC。

Michael算法是对明文数据和原宿地址进行处理,获得一个64位的校验码,称这部分内容为需要验证的内容。将需要验证的内容进行填充,使得每个数据包也是64位的。将报文划分为32位一组,记为M1,M2,…,Mn-1,将64位的密钥也分成两份,每份32位,记为K1和K2。具体的计算过程如下:

其中,函数XSWAP接收一个32位的参数,将其低16位和高16位进行交换;“<<<”表示循环左移;“>>>”表示循环右移。最后l和r连接后就是64位的校验值。

2.2.3 TKIP

TKIP[1,16,17,18]的提出是为了让WEP系统升级后能更加安全,所以一切改进都是在WEP的基础上。所以TKIP必须在现有硬件上运行,因此不能使用计算复杂的加密算法。因此,TKIP实际上是采用一系列的手段来弥补WEP中存在的缺陷,就像是Windows系统发布后会打补丁一样,TKIP就是给WEP系统的补丁。

实际上,使用RC4作为加密算法并不会导致不安全,但是WEP中使用的密钥不够安全。TKIP生成密钥的方式,使得TKIP足够安全。图5为TKIP生成RC4密钥的过程。

首先,为了防止重播,TKIP在生成密钥的时候,使用包序列号TSC作为影响密钥的因子。TSC就是一个计数器,当共享密钥初始化或更新时初始值为0,随着包的发送,该值逐渐增加。可以保证在使用同一个Session Key时,不同的包使用的RC4密钥不同,并且可以检测出是否小于已发送的包的序号,如果小于,则属于重播,丢弃该包。

其次,WEP中使用的密钥存在弱密钥。TKIP采用MAC地址、包序列号和初始密钥相混合的方式,产生128位的密钥。另外,第5比特强制置为1,第4比特强制置为0。这样可以避免生成弱密钥,达到增强安全性的目的。

2.3 WPA2

2004年,Wi-Fi联盟提出WPA2。WPA2是对WPA的改进版,实际上WPA2只是加强了加密的强度,以及增加了对接入者移动的接入改进。

WPA2采用AES[4,16,17,18,19]加密,并使用密码分组链接(Cipher Block Chaining,CBC)模式,加密过程如图6所示。

随着移动上网需求的进一步扩大,WPA2针对移动接入提出了不少改进措施。2012年1月,WPA2新增了对EAP-AKA的支持。并且,WPA2支持预认证和PMK缓存,使得当已经接入AP的接入点在移动过程中,不需要再次进行认证,而且能保持与该AP的连接。

3 总结

随着移动技术的发展,组网方式也变得多种多样。不管怎么改变,网络安全都离不开加密技术和认证协议。认证阶段所使用的证书等技术也是以加密技术为基础的。随着计算能力的发展,密钥的长度也会随之增加以确保加密强度,而密钥的产生、分配、更新和销毁等需要一系列的协议制度来保证密钥的保密性。不论密钥本身是多么安全,多次使用同一密钥会导致密钥信息的泄漏。使用动态一次性密钥可以保证密钥保密性。

Wi-Fi作为目前使用最广泛的无线联网技术,其设计的目的就在于开放式的网络连接,因此Wi-Fi面临着严峻的安全挑战。Wi-Fi采用WPA技术来保证网络通信中的安全。WPA采用的加密技术是目前美国国家安全标准认可的AES加密算法,使用TKIP来负责密钥的产生。接入认证时采用EPA,可以通过双方协定,采用不同的认证协议。