无线网络中的信息传输方式和安全保护

无线网络中的信息传输方式和安全保护

王仁生1张玩珊2

（中国移动通信集团广东有限公司汕头分公司515000）

摘要：随着网络技术的发展，促使随时随地能通信的无线网络应运而生，在介绍无线网络的同时，试图从网络各分层协议的角度，系统地归纳和比较了一些常见的适用于无线网络数据传输的优化技术。还针对各层协议，描述了无线网络中现有的安全机制，提出了一个比较全面的信息安全保护解决方案。采用RADIUS和ESSID认证、MAC地址过滤、WEP加密等机制来保护用户数据的私密性。

关键词：无线网络；数据传输；信息安全；有线等价安全

一、无线网络中的数据传输

由于大部分无线网络优化的技术都是针对蜂窝通讯系统的，这种通信系统的特点是：在整个数据传输中，有且仅有最后一个链路是无线传输的。这里介绍的大部分方法都是针对这种通信模式设计的。

1.1基于数据链路层的技术

（1）自动重复请求ARQ、前向纠错技术FEC以及混合ARQ等

自动重复请求（ARQ：AutomaticRepeatRequest）就是在接收的数据发生错误时自动请求发送方重传错误数据的一种方法。为了在接收方能够检测出错误，数据在发送时以某种编码形式发送，如奇偶校验码、循环冗余校验码等。当接收方收到错误数据时，向发送方发ARQ消息，发送方则根据ARQ消息重传数据，直至数据被正确的收到或重传次数达到预先规定的为止。

前向纠错技术（FEC：ForwardErrorCorrection）是为了减少数据重发的次数而进行的一种纠错编码。其优点为可提高分组传输可靠性；缺点是它引入了冗余，降低了一次传输的效率，特别是固定的FEC编码，在网络传输质量很好、分组丢失率很低的情况下，FEC提高可靠性的作用减小，但是仍然产生相同的冗余。

在实际运用中为了进一步提高数据传输的可靠性，经常会将FEC和ARQ两种技术结合起来一起使用，这就是混合ARQ（HybridARQ）技术。

另外，为了分散传输失败的风险，在数据传输中经常采用数据交错传输的技术，将相邻的数据帧按一定的顺序交错的发送出去。这样，当一个数据帧丢失时，损失的数据空隙较小，便于具有一定容错能力的连续媒体数据的恢复。这种方法不仅用于数据链路层的数据传输，还可用于应用层的多媒体数据传输。它不需要占用额外的带宽，但是存在传输延迟。

（2）点对点协议的改进以及相应链路层的修改

通过GSM手机拨号上网是目前比较流行的无线接入Internet的手段。R.Ludwig等人在文献[1]中指出，除了接入速度较慢这一问题之外，GSM拨号上网还存在时延长的缺陷，这种时延甚至和卫星链路的时延在同一个数量级。造成这种情况除了无线链路本身的高时延特性外，拨号上网用的点对点协议是重要原因。由于在每个数据帧的传送之前，PPP协议要严格按照顺序交换一系列冗长的“握手”信息。

为了解决这一问题，Ludwig提出了Quickstart-PPP[1]，即传统PPP协议的改进。Quickstart-PPP打破了握手的顺序，使握手信号的交换顺序由串行改为并行，这样就提高了握手协商的速度，缩短了上层数据的传输时延。为了保证这种并行的正确性，需要在数据接收端设置缓存。同时，Quickstart-PPP还能和传统的PPP进行交互，保证了新老协议的互操作性。

（3）链路层信道中的包调度

一个好的调度算法应该能够兼顾公平和效率，即在保证各个用户的响应时间足够的同时提高整个吞吐率。文献[2]提出了一种优化无线信道的总利用率，提高系统吞吐率的调度算法———CSDP（Chan-nelStateDependentPacketscheduling）。该算法通过记录各个无线数据时赋予那些“表现好”的链路高优先权，从而避免了传输质量差的“坏”链路传送数据造成浪费，从而提高了系统总吞吐率。

1.2网络层的改进

（1）最大传输单元的选择

在网络通信中，传送一个数据包需要多少时间取决于最大传输单元（MTU：MaximumTransmissionU-nit）的大小。在无线网络中选择最大传输单元的大小是一个需要仔细考虑的问题，选得太大则数据包有效数据的比值太大，浪费本已十分有限的带宽；反之则传一个IP包的时间就增加了，而且由于无线传输的高位出错率也会使得丢包率升高。

（2）数据压缩

很显然，在相同的位出错率下，传输的数据量越小出错的概率越小。如果能将信息压缩成尽量少的数据传送出去，则在节省带宽的同时也能减少传输出错率。数据压缩包括数据包头的压缩和数据包有效负载的压缩。

（3）主动队列管理

通常无线链路的带宽远小于有线链路，这样在有线和无线链路的交界处很容易发生堵塞。主动队列管理通过主动的丢弃某些数据包的方法来控制路由器的队列长度，缓解了这一矛盾。

1.3对传输控制协议的优化

在无线环境下，数据包的丢失不仅是由于网络堵塞造成的，在很多情况下，TCP错误的启动了拥塞控制机制，降低传输率造成性能下降。另外，在蜂窝通讯发生越区切换时也有可能错误触发TCP的拥塞控制。基于现有的无线网络应用模式，针对TCP的改进方案大体上可以分为从端到端的角度和将一个TCP连接分成为两端的思想来考虑这两类思路。

（1）端到端解决方案

此方案主要包括对快速重传算法进行改进、选择性确认技术和TCP-Decoupling。其中：改进后的快速重传机制是让移动主机在越区成功立即发送几个重复确认包，让发送方立即降低速率，重传输据，从而消除了越区结束后的长时间等待。选择确认技术是在返回的选择性确认包中显示的标明已经接收到了哪些数据包，这样发送方就知道哪些数据已经丢失，从而避免了不必要的数据重传。TCP-Decou-pling技术是将TCP的拥塞控制和差错控制分开，仅在必要时候进行拥塞控制。在进行数据传输时，TCP-Decoupling同时建立两个连接。一个连接负责控制数据传输的速率—即进行拥塞控制（称为拥塞控制连接），另一个连接按照拥塞控制连接确定的速率传送数据并进行差错控制。拥塞控制连接不发送真正数据，只交换数据包头，拥塞控制只有在这些数据包头丢失时才会启动。需要指出的是，TCP-Decoupling技术不仅可用于可靠的数据传输，也可用于UDP。实际上保留了TCP拥塞控制而不用TCP的差错控制机制。

（2）两端式的改进

蜂窝无线通信模式在整个数据传输过程中仅有最后一段是无线链路，如果将整个数据传输从基站分为两段（前一端为有线部分，后一端则为无线部分），可得到两个好处：第一，从数据在哪一段丢失的可以判断出是传输错误造成的，还是拥塞造成的；第二，有利于在无线链路应用各种本地数据重传技术（从基站到移动主机之间），不需要从TCP发送方重传数据。因此，很多方案都采用了这种思想，如Indi-rect-TCP，Snoop及其衍生方案，TULIP，M-TCP等。

1.4用户数据报协议的改进

UDP协议没有传输差错控制机制，其拥塞控制也使用上层应用决定的，是一种“不可靠”的协议。在有些情况下，无线环境下的UDP丢包率甚至会超过50%，这主要是由于无线链路的高BER和信号衰减现象造成的。

（1）M-UDP

为了解决无线链路的信号衰减现象，M-UDP将所有发往移动主机的数据同时复制一份缓存在监控主机（一般放在靠近基站的地方）。当信号衰减现象结束时，移动主机通知监控主机重传丢失的数据。在数据重传期间任何新发出的数据都将被缓存在监控主机上。

（2）UDP-Lite

UDP-Lite协议用一种“部分校验”（PartialChecksum）技术来改进UDP协议。这种技术的思想是只对UDP数据包中的一部分（比如包头）进行校验、检查其正确性，而其他部分的数据是否可用则留给上层应用程序解决。为了防止数据在链路层被丢弃，UDP-Lite修改了网络驱动程序以绕过链路层的纠错机制。

二、无线网络中的数据安全保护

2.1通用的无线网络保密措施

无线网络在不同层次采取相应的措施来保证通信的安全性。具体做法有如下几种：

（1）在物理层采用适当的传输措施，如采用直接序列扩频DSSS、跳频扩频FHSS、直接序列跳频扩频FH/DS等扩频技术。扩频技术具有很强的抗干扰性，因此要截获、窃听或侦察经过扩频技术处理的信号非常困难。

（2）采取网络隔离和设置网络认证措施可以防止不同网络之间的干扰和数据泄漏。

（3）在同一网络中，设置严密的用户口令及认证措施，可防止非法用户入网。802.11b定义了两种类型的认证服务：开放系统认证和共享密钥认证。开放系统认证是一种最简单认证方案，用户只需要使用网络所分配的口令就可以进入网络。共享密钥认证只有在使用WEP加密算法时才有效，且在使用WEP保密算法时，必须实现共享密钥认证，这大大提高了数据传送的可靠性。

2.2已有的无线网络安全机制中存在的问题

当前常用的几种保护无线网络安全的措施存在如下一些问题：

（1）对于服务集标识符（SSID）或ESSID，这是较低级别的安全认证，因为任何人只要知道SSID或ESSID就可以接入网络。

（2）对于MAC地址限制，即通过在AP上设置被授权的客户端无线网卡MAC地址表来杜绝非授权访问。但是，无线网卡的MAC地址并不难获得，并且在理论上可以伪造，因此这也是较低级别的授权认证。而且以上两种方式都不能防止网络监听。

2.3全面的无线网络信息安全保护解决方案

从以上分析来看，无线技术中物理层的加密机制已经比较完善，而MAC层上的加密机制存在一些问题。为了保护无线网络信息安全，针对无线技术的MAC层提出了一种比较全面的信息安全的解决方案，采用RADIUS和ESSID认证、MAC地址过滤、WEP加密并动态生成WEP密钥等机制，来保护用户数据的私密性。

（1）访问控制

为了进行访问控制，ESSID被放置在到每个无线访问接入点AP中，它是无线客户端与无线访问接入点联系所必不可少的。对于任何一个可能的无线访问接入点的适配器来说，无线设备首先决定这个适配器是否属于该网络或扩展服务集。无线设备判断适配器的32位字符的标识（ESSID）是否与它自己的相符，只有与自己ESSID完全相同的网卡才能与其通信。由于有了32位字符的ESSID和3位字符的跳频序列，对于那些试图经由局域网的无线网段进入局域网的人来讲，想推断出确切的ESSID和跳频序列是很困难的。另外，每个无线访问接入点中还包括一个有关MAC地址的访问控制列表，只有那些MAC地址在这个列表中的客户端才能对无线访问接入点进行访问。

（2）MAC地址过滤

在AP中可以设定哪些MAC地址不能与AP通信，这样可防止非法网卡登录到AP上，也可以防止非法客户机访问AP下的无线网客户机。

（3）用户认证（口令控制）

采用RADIUS对用户进行身份识别和认证，确认是否为合法用户。可以通过专用监控电缆设置用户权限，不同访问权限使用不同口令，仅有只读权限的人不能读到或修改设备关键参数。

在WEP中对明文的加密由两层含义：明文数据的加密；保护未经认证的数据。另外在WEP中，将64位WEP密钥（40位共享密钥加24位初始向量IV）或128位WEP密钥（104位共享密钥加24位初始向量IV）输入到WEP伪随机数产生器中，产生一个伪随机的密钥序列。这个伪随机密钥序列和完整性校验值（ICV）进行异或，然后与初始向量构成密文消息

结束语

随着现代科学信息技术和无线网络的出现及广泛使用，无线网的发展以及全球互连网的高速增长，无线技术中的信息传输和安全保护成为了一个越来越重要的课题。多数无线协议和无线技术还不能进行高效率和可靠的传输，也没有一个成熟的安全机制来充分保证用户信息的私密性，无线信息安全机制目前仍处于制订标准阶段，这些都要求还要进行不懈的努力和探讨，只有构建一套完整的长效机制，信息传输才能得到有效的发展以及信息安全才有可能实现。

参考文献：

[1]邓春燕.浅谈无线局域网的安全性.长沙民政职业技术学院学报.2013.09

[2]高胜波，马煦洋.无线通信网中的安全技术.北京：人民邮电出版社.2015.01

[3]曾春媚，无线网络技术及应用研究..科技信息.2014.12