无线局域网热点智能安全监护系统

左向中， 林 婷

(国家信息网络产品质量监督检验中心，江苏 苏州 215104)

0 引言

WLAN可以为 3G网络有效卸载数据流量，满足用户数据业务逐年增长的需求，但是随之而来的维护工作量也不断的增加，尤其对一些VIP热点，因为技术维护人员不足等因素，服务响应比较慢，严重影响了用户的体验和满意度，为了改善服务质量，亟需一种有效的维护方式，来提高维护的效率，改善WLAN的性能以及用户的体验和满意度。

1 WLAN维护面临的问题

WLAN维护面临的问题有：①在一个较大的地理范围内，派遣技术人员至每个故障热点比较不切实际；②无线局域网故障特点是间歇性和随机性较强，故障可能随时出现或消失；③需要实时的监控VIP热点区是否有非法的设备接入，以及不安全的状态；④需要巡检的无线局域网热点每次均需要派人前往，时间和人力成本高昂；⑤无线局域网性能和安全问题没有存档和备案，出问题难以进行取证分析。

2 无线局域网热点智能安全监护系统

2.1 方案特点

1）软件和硬件智能探针结合的方式，实现远程客户性能感知测试，性能和安全监护。

2）无线层面上三家运营商的比较性测试和分析结果的展现。

3）从运营商WLAN全网管的高度，将实时测试、分析结果从全网到单终端的展现结构。

2.2 系统组件与拓扑结构

（1）后台服务器软件与数据库

服务器与数据库软件可以安装在数据中心机房。

（2）控制台软件

只要与服务器网络上可达，控制台软件可以安装在任何一台管理员电脑上。

（3）探针（Sensor）

每个VIP热点部署至少3个硬件探针，具体数量视AP数量，热点覆盖面积和现场环境而定。

在代维人员电脑上安装部署软件智能探针，实现对代维人员的有效管控和必要的远程协助。

无线局域网热点只能安全监护系统的拓扑结构如图1所示。

图1 无线局域网热点只能安全监护系统的拓扑结构

2.3 方案优势

①实时的监控整个无线环境，为管理部门提供WLAN整体运行状况实时统计结果；②预先捕捉故障，对无线局域网当中存在的故障问题进行主动告警，防患于未然；③在进行问题分析和故障处理时，管理员无需赴现场就能够进行远程处理和判断；④按需针对远程站点和工作区进行远程故障分析；⑤非常适用于部署大量AP的运营商；⑥取证功能避免安全和性能事件遗漏；⑦自动探测和消除所有无线威胁[4]；⑧跟踪，定位，绘制和捕获任何WLAN或射频事件的证据[6]；⑨对 802.11n网络进行全面的安全和性能分析[5]。

2.4 主要功能

2.4.1 设备性能分析

分析支持从最大AP负载、最大流量产生者、最高信道占用、最多性能和安全告警灯角度对设备和事件进行排名，使得管理人员非常方便的就可以找到故障点，并允许以图表的形式查看和分析数据。

2.4.2 Wi-Fi设备查看

①查看所有802.11a/b/g/n 设备；②对虚拟AP进行自动识别和分组；③在非标准信道中检测设备；④检测4.9 GHz 频段的设备；⑤在5 GHz频段可扫描超过200个信道。

2.4.3 抓包解码[2]

为了分析更深层次的Wi-Fi问题，或者排除设备故障，有时会需要对空口数据进行抓包解码分析，智能探针支持远程抓包解码分析。

2.4.4 无线IDS/IPS功能

智能探针，除了满足用户远程性能监护和排障需求以外，还具备强大的WLAN安全监护功能，对针对热点的无线攻击、黑客入侵、非法设备接入等行为具备完善的监控功能，一旦发现此类行为，即可实时告警，以多种方式通知相关人员，并可实现自动防护。

3 WASM部署建议

3.1 基本概念

智能探针的监测范围(FOV)

FOV是指WLAN网络的智能探针所能监测到的物理范围。智能探针FOV与AP的覆盖范围类似。

（1）可信设备

可信设备（trusted device）是指为了提供WLAN服务，授权的网络部署组织在网络中所置放的AP。

（2）未授权的WLAN设备

它们可能是WLAN网络中在2.4 GHz或 5 GHz频段发射或接收802.11信号的设备(AP 或STA) ，在可信的物理区域内都能够观察到它们。有几类未授权设备，例如：“友好的”非法AP，该AP是其他单位网络的一个组成部分，但是恰好辐射进可信区域内。

（3）无线接收机灵敏度/链路预算

WASM智能探针可以接收多种制式（802.11b,11g和11a）的无线帧，智能探针有一个接收机灵敏度配置文件，它明确规定了各种802.11模式下不同数据速率所对应的接收接灵敏度。与智能探针的天线特性结合，该配置文件定义了各种802.11模式下的无线链路预算门限值。

（4）802.11 射频媒体类型

WASM智能探针捕获了工作在2.4 GHz或 5 GHz频段的802.11b 或11g模式的数据包。由于与2.4 GHz相比，5 GHz频段具有不同的射频传输特性和无线性能参数，因此智能探针的 FOV 会不同于11a 设备。需要注意的是，设计智能探针网络时，虽然大多数现有的WLAN 设备使用2.4 GHz的802.11b/g 制式，但是智能探针网络也需要精确地检测出未授权的11a 设备。

（5）WLAN 设备检测理论[2]

智能探针只需捕获一个信标帧，就能确定AP是否存在于网络中。 这个信标帧几乎包含了关于AP自身的所有重要信息和WLAN周围的环境状况，因此它如同WLAN DNA的一部分。信标帧通常以BSS支持的最低基本速率（802.11b中为1 Mb/s）在网络中广播发送。默认的帧 间间隔(BI) 通常是100 ms，所以一个AP在每秒内通常发送10个信标帧。

（6）WLAN 设备检测理论[3]

此处引入了WLAN 监测的一个重要概念“可靠检测”。对于智能探针的给定配置，每一个智能探针所创建FOV的完整信息会包含其中。在这些所有的FOV边界之内，这个系统应该发现参考未授权设备的存在，该设备持续加电 Ton秒且统计置信度为P%。当条件满足一个给定元组(Ton, P)值时，监控系统就会提供“可靠检测”。由于一个随机未授权设备的数据包传输速率是未知的，所以选择具有100 ms BI且没有关联站点的AP作为参考未授权设备。建议值是(60, 99.999)，但是最佳值随着环境的变化而变化，并将其作为整体智能探针网络操作规范过程的一部分。

3.2 智能探针的FOV类型

智能探针可以指定为三种不同的FOV类型,需要评估整体WLAN监控目标，然后选择合适的FOV类型。

（1）A类型: 监控所有可信设备的流量

A类型的智能探针FOV是指智能探针采用一个最低信号电平或链路速率来监控所有可信设备(AP或站点)的流量，该链路速率至少不低于设计中所指定的最低速率。例如，指定一个11b WLAN设备为所有站点提供不低于5.5 Mb/s的链路速率服务，那么在A类型的监控边界， 智能探针就需要捕获所有站点与AP通信速率不低于 5.5 Mb/s的业务流量。系统是以该设备支持的最大速率来捕获边界内的大部分可信流量。在大多数情况下，C类型边界包含的区域面积最大，B类型边界包含的区域面积偏小，而 A类型边界包含的区域面积最小。

（2）B类型:监控可信AP的流量

B类型的智能探针FOV是指智能探针以一个信号电平监控可信AP，该信号电平至少不低于设计中所定义的最小电平值。

（3）C类型:检测未授权设备

C类型的智能探针FOV边界是指智能探针检测室内区域的非法AP设备，以及智能探针检测室外开阔区域AP设备。

3.3 实际测量示例

表1总结了一些WASM智能探针设计的实际测量示例。

表1 WASM智能探针设计的实际测量示例

4 结语

WASM远程性能监护和排障功能可以节约人力和时间成本，使其能够以最小的人员和资本投入，迅速及时的解决以往需要花费大量人力物力才能解决的热点维护遇见的问题，系统可以从这里方面实现这一目标：①减少因宕机导致的损失：持续监视热点的工作状态，在设备发生故障之前即可启动报警；问题一旦发生，WASM可以提供维护人员完备的排障工具，使其能够迅速定位和解决问题；②改善用户的体验，提高用户的满意度和忠诚度：主动实时的健康检查，得出用户网络性能趋势报告；定位问题出现的时间段和问题原因，给用户合理解释；③提高维护人员的工作效率，节省问题解决时间和人力投入：专家系统自动发现问题，并且给出问题的解决方案；④减少现场支持次数：WASM远程分析和排障工具，使得足不出户即可定位并解决大部分问题。

[1]全国信息技术标准化技术委员会.GBT21671-2008[S].北京:中国标准出版社,2008.

[2]谭荆.无线局域网通信安全问题探讨[J].通信技术,2010,43(11):84-85.

[3]张磊,王辉.无线局域网安全协议研究[J].通信技术,2011,44(09):117-119.

[4]翁亮,孟桂娥,杨宇航.现代通信网络的安全问题分析[J].通信技术,2010,43(11):11-14.

[5]厉剑.无线局域网安全标准及技术浅析[J].信息安全与通信保密,2008(10):71-74.

[6]何秋萍,宁建创.局域网和无线局域网的差异及安全研究[J].信息安全与通信保密,2011(10):89-92.