网络新技术

一、无线局域网的标准
1．IEEE的802.11标准系列
   802.11是IEEE最初制定的一个无线局域网标准，主要用于解决办公室局域网和校园网中用户与用户终端的无线接入，业务主要限于数据存取，速率最高只能达到2Mbps。目前，3Com等公司都有基于该标准的无线网卡由于802.11在速率和传输距离上都不能满足人们的需要，因此，IEEE小组又相继推出了802.11b和802.11a两个新标准。3者之间技术上的主要差别在于MAC子层和物理层。802.11b物理层支持5.5Mpbs和11Mpbs两个新速率。802.11标准在扩频时是一个11位调制芯片，而802.11b标准采用一种新的调制技术CCK完成。802.11b使用动态速率漂移，可因环境变化，在11Mbps、5.5Mbps、2Mbps、1Mbps之间切换，且在2Mbps、1Mbps速率时与802.11兼容。802.11b的产品普及率最高，在众多的标准中处于先导地位。802.11a在802.11协议组中是第一个出台的标准，802.11a工作在5GHzU－NII频带，物理层速率可达54Mb／s，传输层可达25Mbps。采用正交频分复用（OFDM）的独特扩频技术；可提供25Mbps的无线ATM接口和10Mbps的以太网无线帧结构接口，以及TDD／TDMA的空中接口；支持语音、数据、图像业务；一个扇区可接入多个用户，每个用户可带多个用户终端。但是，芯片没有进入市场、设备昂贵、空中接力不好、点对点连接很不经济、不适合小型设备。值得庆幸的是，Radiata的低成本COMS无线引擎芯片装置可支持802.11a。
802.11a最明显的缺点就是兼容性，802.11a使用的是较高的频率，在物理层上采用不同于802.11b的OFDM技术，所以802.11a产品和现在已经安装的802.11b不能互通，解决这个问题的唯一方法就是使用双模设备，使两种系统都可以支持。
蓝牙（IEEE 802.15）是一项最新标准，对于802.11来说，它的出现不是为了竞争而是相互补充。蓝牙802.11更具移动性，比如，802.11限制在办公室和校园内，蓝牙能把1个设备连接到LAN到WAN，甚至支持全球漫游。此外，蓝牙成本低、体积小，可用于更多的设备。但是，蓝牙主要是点对点的短距离无线发送技术，本质上要么是RF要么是红外线。而且，蓝牙被设计居低功耗、短距离、低带宽的应用，严格来讲，不算是真正的局域网技术。
2．ETSI的HiperLan2
   HiperLan是欧盟在1992年提出的一个WLAN标准，HiperLan2是它的后续版本，HiperLan2部分建立在GSM基础上，使用频段为5GHz。在物理层上HiperLan2和802.11a几乎完全相同：它采用OFDM技术，最大数据速率为54Mbps。它和802.11a最大的不同是HiperLan2不是建立在以太网基础上的，而是采用的TDMA结构，形成是一个面向连接的网络，HiperLan2的面向连接的特性使它很容易满足QoS要求，可以为每个连接分配一个指定的QoS，确定这个连接在带宽、延迟、拥塞、比特错误率等方面的要求。这种QoS支持与高传输速率一起保证了不同的数据序列（如视频、话音和数据等）可以同时进行高速传输。HiperLan2虽然在技术上有优势，然而它在开发过程中却落在802.11a的后面，不过因为它是欧洲的标准，所以一直得到欧洲政府的支持，尤其在频率规划上，因为它使用的波段和802.11a相同，许多投资商一直在游说欧洲政府，希望802.11a也能在HiperLan2波段使用，IEEE也正在开发一个可以将两种5GHz系统统一起来的标准。
3．HomeRF
   顾名思义，HomeRF是为家庭网络设计的（RF意思是射频），是一种将家中的PC和用户电子设备之间实现无线数字通信的开放性工业标准，所用波段为2.4GHz。它是基于原始的802.11的FHSS版本，但其推广一直不力，目前已基本退出历史舞台。　
二、无线5网络安全新技术及应用案例
1．WEP协议
   IEEE802.11标准中的WEP（Wired Equivalent Privacy）协议是IEEE802.11b协议中最基本的无线安全加密措施，其主要用途包括提供接入控制，防止未授权用户访问网络；对数据进行加密，防止数据被攻击者窃听；防止数据被攻击者中途恶意纂改或伪造。此外，WEP也提供认证功能，当加密机制功能启用，客户端要尝试连接上AP时，AP会发出一个Challenge Packet给客户端，客户端再利用共享密钥将此值加密后送回存取点以进行认证比对，如果正确无误，才能获准存取网络的资源。AboveCable所有型号的AP都支持64位或（与）128位的静态WEP加密，有效地防止数据被窃听盗用。
该技术适合一些小型企业　、家庭用户等小型环境的无线网络应用，无需额外的设备支出，配置方便。但在无线行业应用中，基于WEP加密技术的安全缺陷饱受非议，因针对WEP数据包加密已有破译的方法，且使用这一方法破解WEP密钥的工具可以在互联网上免费下载。相应的，替代WEP的WPA标准已于2002年下半年出台了，通过暂时密钥集成协议（TKIP）增强了数据加密，提高无线网络的安全特性。
2．IEEE 802.11i安全标准IEEE 802.11的i工作组致力于制订被称为IEEE 802.11i的新一代安全标准，这种安全标准为了增强WLAN的数据加密和认证性能，定义了RSN（Robust Security Network）的概念，并且针对WEP加密机制的各种缺陷做了多方面的改进。
IEEE 802.11i规定使用802.1x认证和密钥管理方式，在数据加密方面，定义了TKIP（Temporal Key Integrity Protocol）、CCMP（Counter－Mode／CBC－MAC Protocol）和WRAP（Wireless Robust Authenticated Protocol）三种加密机制。其中TKIP采用WEP机制里的RC4作为核心加密算法，可以通过在现有的设备上升级固件和驱动程序的方法达到提高WLAN安全的目的。CCMP机制基于AES（Advanced Encryption Standard）加密算法和CCM（Counter－Mode／CBC－MAC）认证方式，使得WLAN的安全程度大大提高，是实现RSN的强制性要求。由于AES对硬件要求比较高，因此CCMP无法通过在现有设备的基础上进行升级实现。
3．WAPI协议
   我国早在2003年5月份就提出了无线局域网国家标准 GB15629.11 ，这是目前我国在这一领域惟一获得批准的协议。标准中包含了全新的WAPI（WLAN Authentication and Privacy Infrastructure）安全机制，这种安全机制由 WAI（WLAN Authentication Infrastructure）和WPI（WLAN Privacy Infrastruc－ture）两部分组成，WAI和WPI分别实现对用户身份的鉴别和对传输的数据加密。WAPI能为用户的WLAN系统提供全面的安全保护。WAPI安全机制包括两个组成部分。
   WAI采用公开密钥密码体制，利用证书来对WLAN系统中的STA和AP进行认证。WAI定义了一种名为ASU（Authentication Service Unit）的实体，用于管理参与信息交换各方所需要的证书（包括证书的产生、颁发、吊销和更新）。证书里面包含有证书颁发者（ASU）的公钥和签名以及证书持有者的公钥和签名（这里的签名采用的是WAPI特有的椭圆曲线数字签名算法），是网络设备的数字身份凭证。
在具体实现中，STA在关联到AP之后，必须相互进行身份鉴别。先由STA将自己的证书和当前时间提交给AP，然后AP将STA的证书、提交时间和自己的证书一起用自己的私钥形成签名，并将这个签名连同这三部分一起发给ASU。
所有的证书鉴别都由ASU来完成，当其收到AP提交来的鉴别请求之后，会先验证AP的签名和证书。当鉴别成功之后，进一步验证STA的证书。最后，ASU将STA的鉴别结果信息和AP的鉴别结果信息用自己的私钥进行签名，并将这个签名连同这两个结果发回给AP。
AP对收到的结果进行签名验证，并得到对STA的鉴别结果，根据这一结果来决定是否允许该STA接入。同时AP需要将ASU的验证结果转发给STA，STA也要对ASU的签名进行验证，并得到AP的鉴别结果，根据这一结果来决定是否接入AP。
由于WAI中对STA和AP进行了双向认证，因此对于采用“假”AP的攻击方式具有很强的抵御能力。
在STA和AP的证书都鉴别成功之后，双方将会进行密钥协商。首先双方进行密钥算法协商。随后，STA和AP各自会产生一个随机数，用自己的私钥加密之后传输给对方。最后通信的两端会采用对方的公钥将对方所产生的随机数还原，再将这两个随机数模运算的结果作为会话密钥，并依据之前协商的算法采用这个密钥对通信的数据加密。
   三 有那些宽带网络接入技术？其主要内容？

   为了解决这个日益突出的问题，Microsoft IT 研究了许多的技术以帮助保证公司网络远程访问的安全，并决定将数种新的和现有的技术结合在“安全远程用户”倡议中。SRU 包括：
• 用于双因素身份验证的智能卡
• 智能卡管理软件，包括 Microsoft 加密服务提供程序 (CSP) 软件
• 反病毒软件
• 连接管理器
• 适用于使用 Microsoft Windows® XP Professional 的客户端计算机的 Internet 连接防火墙
• 用于配置检查的自定义脚本
• Microsoft Internet 验证服务 (IAS) 服务器，远程身份验证拨号接入用户服务 (RADIUS) 的 Microsoft 实现，适用于通过 Active Directory® 管理的远程访问策略
• VPN 服务器，它利用了 Windows Server TM 2003 Resource Kit 工具
威胁可粗略分为两大类，来自于恶意用户（例如未经授权的用户）的危险和来自于恶意软件（例如病毒）的危险。
确定的三种方法：
1. 要解决来自于恶意用户的威胁，可使用智能卡实施强（双因素）用户身份验证。
2. 要解决来自于恶意软件的威胁，可实施计算机配置检查。
3. 对于最常用到的员工个人业务数据提供其他访问方式（通过 OWA 和 RPC over HTTP 协议）。