探讨军队无线网络接入应用

http://www.lengmo.net/post/1193/

作者: 陈小兵

在信息战争和战场中，由于地点不确定而无法在移动时访问局域网网络、增加新用户时原有的端口不够用等等诸如此类问题的困惑。随着无线网络技术的快速发展和成熟，以上问题将迎刃而解。本文在阐明无线网络技术特点的基础上，规划了五种常见无线网络的解决方案，并针对军用无线网络的保密与安全问题进行了探讨。

1、引言

　　随着我军信息化的不断推进，未来的战争就更多的依赖和依靠网络来进行数据传输和指挥作战等，从战争的多变和战场因素的不确定性来考虑，当有线网络出现故障或者遭到打击破坏后，可以考虑使用无线网络来替代有线网络。台湾以及美国等军方，就有军方网络受到破坏或者打击后，使用民用网络或者其它网络进行替代的实际方案。

　　无线网络(WLAN)，即以无线电波等来代替有线局域网(LAN)中的部分或全部传输媒介，它是有线网络的补充和延伸。在进行网络规划中，在适当的场合选用一些无线设备，并配置可行的网络方案，可以加强我军指挥或者作战网络的灵活性，可以作为紧急情况下的备用方案考虑，因此探讨使用无线网络在军队的使用具有一定的参考价值。

2、无线网络技术的主要特点

　　(1)灵活性

　　不需专用的线路，便于实现办公。

　　(2)投资少

　　相对长途专线和卫星线路和微波线路来说，只需一次性设备投资，而不需专门的申请和审批。

　　(3)应用范围广

　　可用于大楼局域网，也可用于建筑物之间(如运行中心和备份中心之间);能够在整个站点内或选定的区域内灵活且频繁地改变LAN布线;任何其地点因建筑物或预算的限制(如建筑物是老旧的、空间是租赁性的或地点是临时性的)而不适于使用LAN布线场合;任何需要视野内建筑物到建筑物桥接设备所能提供的灵活性和成本节省的场合。

　　(4)扩展性强

　　不需进行重新布线和专线的申请就可以实现网络的扩展。无线网络最远距离可达10公公里，因此对于部队作战演练可以快速部署作战，灵活转移，机动性强。

3、无线网络解决方案

　　3.1 室外点对点的连接(两个有线局域网之间)

　　室外点对点连接方案主要用于两个有线局域网之间，如图1所示，A网与B网分别为两个有线局域网，现通过两台无线网桥将两个有线网联在一起，可通过网桥上的RJ45口或BNC细缆接口与有线网相接。每台网桥上插有一块无线PC卡，通过PC卡来完成无线链路的联通。PC卡的射频输出端口，通过馈线接到天线。无线网桥连接完成后的效果类似于HUB级联。

　　3.2 室外中继的连接(两个有线局域网之间有障碍物)

　　当需要联接的两个有线局域之间有障碍物遮挡而不能可视时，可以考虑增加天线来解决。如图2所示，可以在水平或垂直方向寻找一个可以同时能看到A与B网的位置设置一个中继用的无线网桥，连接方式与上例一点对两点的大致相同，不同的只是中继点可以有也可以没有有线网。中继点的目的只是为绕过障碍物。

　　3.3室外点到两点连接(三个有线局域网之间)

　　如图3所示：A、B、C网分别为三个有线网，A网为中心点，外围有B网和C网。无线网桥的接法与上一例点到点的非常相似，只是中心点A网的无线网桥上需插有两块无线网卡，两块无线网卡分别通过馈线接两部天线，两部天线分别指向B网和C网。

3.4 室内无线网络

　　如图4所示：当室内布线不方便时，或有计算机的相对时，可以利用无线网卡插入计算机的方式解决，可以使插有无线网卡的客户共享有线网资源，实现有线无线的共享。

　　3.5 室外点对多点并有路由功能的连接

　　如图5所示，为一点对多点且有路由功能的无线连接方案。A有线网为中心点，B、C、D分别为外围的三个有线网，在本方案中，几个有线网可以为不同网段。在无线设备上的选用有所不同，在中心点需要采用全向天线，并且需要有关专用路由软件的支持，才能实现路由功能。

4、军用无线网络特殊要求

　　无线网络要在军队中应用，最先考虑无线环境的"安全性"，其中包含了两个最重要的因素"连接控制"与"数据保密"。连接控制在于确保机密资料只能由被授权的使用者存取;而数据保密则侧重透过无线网络传递的资料只能被特定使用者接收与解读。

　　4.1使用无线网络自带的安全手段

　　无线网路协议802.11标准在连接控制方面，制定了包含开放与共享密钥的两种无线网路客户端认证机制;除此之外还提供了服务识别码SSID (Service Set Identifier)和MAC地址认证机制。在802.11标准中采用WEP加密法来保护无线网络基站与客户端网络间的资料安全。其加密方式为利用40位或128位的密钥，透过RC4演算法对资料进行加密。 WEP密钥还可被视为一种控制存取的机制，当使用者缺少WEP密钥时，将无法从无线网络存取点接收或传送资料。

　　(1)开放式认证

　　开放式认证本身是一种无效的认证演算法，如果没有配合数据加密技术，无线网路基站将会准予任何来自客户端的认证要求，即任何知道基站SSID的客户端装置，都可以连线到此网络。但若基站使用了WEP数据加密，WEP密钥就成为了另一种存取控制机制。假设没有WEP密钥，客户端就算是通过了认证，也无法传送资料到基站，更不用说将基站传送出来的信息解码。

　　(2)共享密钥式认证

　　共享密钥式认证是802.11标准中的第二种认证模式，其要求客户端先设定一个静态的WEP密钥;客户端首先将共享密钥的认证要求(Authentication Request)传送给基站;基站再传送包含了认证字串的认证回应(Authentication Response);客户端使用其设定的WEP密钥将该认证字串加密编码之后再传送一个包含此加密信息的认证要求给基站;如果基站可以成功地解密该消息，且此数据能与原传送的认证字串相符合，则基站将传送连接回应(Association Response)并开放与该客户端的连接。

　　(3)服务识别码SSID

　　SSID主要是用来划分不同无线网络服务的区域，一般而言，客户端需要设定适当的服务识别码才能读取到无线网络。

　　(4)MAC地址认证

　　MAC地址认证并不包含于802.11标准中，但是有很多无线设备供应商，运作逻辑为基站可针对事先设定好的MAC地址名单，或是透过认证服器来对客户端进行认证;主要目的是加强开放式与共享密钥式的认证机制，进一步限制未经过授权的客户端装置对网络进行存取的动作。

　　以上四种安全机制在安全上都存在一定的缺陷，开放式认证如果不配合其它安全措施，极易被攻击;共享密钥式认证数据在被截获后，也可以进行解密;服务识别码SSID可以通过无线网络分析器，例如Sniffer Pro，即可从资料封包中找出基站的SSID。MAC地址认证中的MAC地址以不加密的方式传送，因此入侵者可直接经由监听无线网路，取得一个可用的MAC地址。

　　针对以上四种认证机制存在的缺陷，后面提供了网络层的加密技术IPSec、基于相互认证以及密钥发送方式的802.1x标准来加强无线网络数据传输和控制的安全。

　　(1)IPSec

　　IPSec是一种开放式的通讯协议，能确保私有资料在IP网络上传送时的安全性。在无线环境中使用IPSec，必须在每个无线网络的客户端上安装IPSec，并且在无线基站和有线网络中间架设VPN通道，而任何无线网络客户端要传送到有线网络的通讯，也都必须建立IPSec通道。IPSec使用3DES演算法，并利用3个不同的密钥将资料加密三次，借此确保资料的安全性。

　　(2)802.1x与EAP标准

　　IEEE 802.1x 与EAP(Extensible Authentication Protocol，可扩充式验证协议)是新一代的无线网路安全标准。让企业可采用符合标准且能集中管理的安全性架构，来部署数千个使用者的无线网路环境。EAP允许无线网路客户端使用多种不同的认证方式，来与后端的认证服务器沟通。

　　4.2开发针对无线数据加密模块

　　无线网路协议802.11以及IEEE 802.1x标准都提供了开发接口，用户可以根据自己的需要进行二次开发，针对军队安全保密的特殊要求，可以开发单独的数据加密模块，军用无线网络的所有客户端都使用加密模块，这样可以保证加密和安全的需求。

5、结论与探讨

　　本文讨论了五种无线网络接入方案，随着无线网络产品的发展和成熟，无线网络凭着投资省、施工周期短、连网方便、无运行成本等优点，定能与有线网络进行有机结合，从而使我军指挥和战场网络建设更趋完美。<!-- Added by RelatedTopic, plugin for Bo-Blog 2.0.0 -->