前言:中文期刊网精心挑选了局域网技术论文范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
局域网技术论文范文1
(1)面向业务操作者的业务工具。工作人员可以借助、使用应用局域网络管理软件平台进行器具收集、器具发放、证书制作、证书审核、证书打印、财务收费和证书领取等操作。(2)面向客户的器具送检工具。应用局域网络管理软件平台实现了局域网上送检业务受理功能,可以及时了解送检客户计量仪器检定情况。(3)高效的证书制作流程。应用局域网络管理软件平台充分考虑了制作证书环节各要素间的逻辑关系,通过关联匹配关系的设置,最大化减少了人为操作,提高了检定员制作证书的工作效率,同时可根据用户的要求合并多个器具到一张证书。(4)完整的财务管理。应用局域网络管理软件平台有到账确认、证书领取、发票关联等财务模块,成功地解决了证书领取不规范、到账确认不严谨、收费统计不准确等问题,实现了规范和灵活的高度统一。(5)方便的内检委托单生成功能。对于内检计量器具,应用局域网络管理软件平台可以自动生成相关的单据,规范和简化了工作流程。(6)有效的监管功能。通过建立和计量监督机构的数据共享,应用局域网络管理软件平台可以实现监督、检定(校准)的联动,提高了监督部门的工作效率,降低了工作强度,加强了计量技术机构的工作针对性。(7)资料的规范化管理。通过对计量标准、计量仪器信息及时补充,实现了业务管理部门对各种考核、认证资料电子化管理和自动生成、更新,从而降低了业务人员的工作强度。(8)高效方便的操作体验。批量录入送检仪器、检定任务自动分配、鼠标滚轮滚动加减数字输入,系统尽最大可能减少了用户操作键盘的输入强度。
2应用局域网络管理软件功能
应用局域网络管理软件由九大模块构成,分别为:基础信息、计量标准、标准器、仪器收发、检定业务、证书制作、统计查询、系统管理和消息平台。
2.1基础信息
基础信息模块包括专业类别信息、人员管理信息、格式模板管理信息、数据模板管理信息、规程规范管理、开展项目信息、授权签字人权限、客户管理、个性化设置等,为系统的运营提供了基本的数据支持。(1)专业类别信息。对检定专业以及对应的证书序号进行管理。(2)人员管理信息。对工作人员进行管理,对人员所使用的规程、设备、模板、开展项目和专业类别进行管理,并且可以设置人员是否为登录用户。(3)格式模板管理、数据模板管理信息。对证书的首页模板和续页模板文件进行管理。其中首页模板文件根据国家对检定证书的统一要求来管理。续页模板是指输出检定数据的模板,是采用Word文件形式制作的模板,方便用户自己设置模板文件。(4)规程规范管理。对计量标准考核规范信息进行管理,可以保证使用的是现行有效规程规范。(5)开展项目信息。对机构可以开展的检定项目进行管理,并对其相关联的规范、设备和模板进行维护。(6)授权签字人权限。对科室中规定时间段内具有审核权限的人员进行管理。
2.2计量标准
计量标准模块包括计量标准名称分类、计量器具名称与分类代码、计量标准三个部分,主要是为制作证书提供必要的计量标准数据。根据JJF1022—1991《计量标准命名技术规范》,JJF1051—2009《计量器具命名与分类编码》对命名进行规范。计量标准主要对所建的考核标准进行管理,并对标准的重复性、稳定性和考核复查信息进行记录。建标时对其中所规定的标准器、配套设备、配套设施和规程都建立了对应关系。
2.3标准器
标准器模块包括标准器分类、标准器管理、标准器维护、上级溯源单位和制造厂商五个部分。(1)标准器分类。对标准器分类信息进行管理。(2)标准器管理。对标准器的基本信息、标准器对应的参数、附件和附件的参数信息进行管理。(3)标准器维护。对标准器的动态信息,包括对过期或报废的标准器进行更换、修理记录、量值溯源信息、期间考核计划、使用记录进行管理。
2.4仪器收发
仪器收发包括委托单管理、器具分发、退检管理、器具返回、证书打印、发放证书和报价单管理等。(1)委托单管理是指对客户送检器具所填写的委托协议书相关信息进行管理,主要包括客户器具信息的管理、客户单位的添加、送检器具的信息一览表,实现了对送检过的器具的管理,方便快速录入和查询相关信息。委托单中的“流水号管理”指的是仪器收发室的手写单上的流水号;信息“是否连续”指的是手写单上的流水号是否连续没有断号。在手写单多页的情况下能自动生成相应的流水号,不需要录入人员输入每个流水号。用户可以通过流水号对送检器具信息进行查询。委托单中,将计量器具分到相应科室的一系列信息,如“检定科室”、“到样日期”、“客户要求”,“附件”、“备注”自动变为可编辑状态。系统可以对多条信息的列(如“检定科室”、“客户要求”、“备注”等)设置相同内容,方便用户录入。根据客户实际要求在“客户要求”中选择相应的选项,“附件”用于记录客户送检器具的附带物品。(2)器具分发是指对客户的送检器具指定相应的检定科室,系统会根据委托单的信息进行自动分发。(3)证书打印、发放证书是指证书的打印以及给用户发放的记录。(4)报价单管理是指打印用户送检器具的报价单信息。
2.5检定业务
检定业务包括分配任务、个人任务管理、领取器具、规程规范领用记录、报价管理和证书费用修改。(1)分配任务是指科室负责人把科室任务分配给相应的检定人员。(2)个人任务管理是指检定员对分配给自己的任务进行查看和管理。(3)领取器具是指检定人员从仪器收发室领取个人任务中的客户送检器具。(4)证书费用修改是指对没有生成缴费单的证书,检定员自己修改证书的费用。
2.6证书制作
证书制作包括证书管理信息,制作证书信息,证书的核验、审核和审批,证书废弃审核,这些均应符合质量管理体系要求。
3结束语
局域网技术论文范文2
[论文摘要]对无线局域网的安全研究进行分析,首先对安全性的问题作出简介,并在接下来的内容中描述其研究的进展和研究的必要性。最后给对无线局域网的安全缺陷和相应的保障策略进行分析。
一、简介
无线局域网[1]是在有线网络上发展起来的,是无线传输技术在局域网技术上的运用,而其大部分应用也是有线局域网的体现。由于无线局域网在诸多领域体现出的巨大优势,因此对无线局域网络技术的研究成为了广大学者研究的热点。无线局域网具有组网灵活、接入简便和适用范围广泛的特点,但由于其基于无线路径进行传播,因此传播方式的开放性特性给无线局域网的安全设计和实现带来了很大的问题。目前无线局域网的主流标准为IEEE802.11,但其存在设计缺陷,缺少密钥管理,存在很多安全漏洞。本文针对IEEE802.11的安全性缺陷问题进行分析,并在此基础上对无线局域网的安全研究做出分析。
二、无线局域网安全研究的发展与研究必要性
无线局域网在带来巨大应用便利的同时,也存在许多安全上的问题。由于局域网通过开放性的无线传输线路传输高速数据,很多有线网络中的安全策略在无线方式下不再适用,在无线发射装置功率覆盖的范围内任何接入用户均可接收到数据信息,而将发射功率对准某一特定用户在实际中难以实现。这种开放性的数据传输方式在带来灵便的同时也带来了安全性方面的新的挑战[3]。
IEEE标准化组织在802.11标准之后,也已经意识到其固有的安全性缺陷,并针对性的提出了加密协议(如WEP)来实现对数据的加密和完整性保护。通过此协议保证数据的保密性、完整性和提供对无线局域网的接入控制。但随后的研究表明,WEP协议同样存在致命性的弱点。为了解决802.11中安全机制存在的严重缺陷,IEEE802.11工作组提出了新的安全体系,并开发了新的安全标准IEEE802.11i,其针对WEP机密机制的各种缺陷作了多方面的改进,并定义了RSN(RobustSecurityNetwork)的概念,增强了无线局域网的数据加密和认证性能。IEEE802.11i建立了新的认证机制,重新规定了基于802.1x的认证机制,主要包括TKIP(TemporalKeyIntegri
tyProtoco1),CCMP(CounterCBCMACProtoco1)和WRAP(WirelessRobustAuthenticatedProtoco1)等3种加密机制,同时引入了新的密钥管理机制,也提供了密钥缓存、预认证机制来支持用户的漫游功能,从而大幅度提升了网络的安全性。
三、无线局域网的安全现状及安全性缺陷
由于无线局域网采用公共的电磁波作为载体,传输信息的覆盖范围不好控制,因此对越权存取和窃听的行为也更不容易防备。具体分析,无线局域网存在如下两种主要的安全性缺陷[3]:
(一)静态密钥的缺陷
静态分配的WEP密钥一般保存在适配卡的非易失性存储器中,因此当适配卡丢失或者被盗用后,非法用户都可以利用此卡非法访问网络。除非用户及时告知管理员,否则将产生严重的安全问题。及时的更新共同使用的密钥并重新新的密钥可以避免此问题,但当用户少时,管理员可以定期更新这个静态配置的密钥,而且工作量也不大。但是在用户数量可观时,即便可以通过某些方法对所有AP(接入点)上的密钥一起更新以减轻管理员的配置任务,管理员及时更新这些密钥的工作量也是难以想像的。
(二)访问控制机制的安全缺陷
1.封闭网络访问控制机制:几个管理消息中都包括网络名称或SSID,并且这些消息被接入点和用户在网络中广播,并不受到任何阻碍。结果是攻击者可以很容易地嗅探到网络名称,获得共享密钥,从而连接到“受保护”的网络上。
2.以太网MAC地址访问控制表:MAC地址很容易的就会被攻击者嗅探到,如激活了WEP,MAC地址也必须暴露在外;而且大多数的无线网卡可以用软件来改变MAC地址。因此,攻击者可以窃听到有效的MAC地址,然后进行编程将有效地址写到无线网卡中,从而伪装一个有效地址,越过访问控制。
四、无线局域网安全保障策略
(一)SSID访问控制
通过对多个无线接人点AP设置不同的SSID,并要求无线工作站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接人,并对资源访问的权限进行区别限制。
(二)MAC地址过滤
每个无线客户端网卡都有唯一的一个物理地址,因此可以通过手工的方式在在AP中设置一组允许访问的MAC地址列表,实现物理地址过滤。
(三)使用移动管理器
使用移动管理器可以用来增强无线局域网的安全性能,实现接入点的安全特性。移动管理器可以提高无线网络的清晰度,当网络出现问题时,它能产生告警信号通知网络管理员,使其能迅速确定受到攻击的接入点的位置。而且其降低接入点受到DOS攻击和窃听的危险,网络管理员设置一个网络行为的门限,这个门限在很大程度上减小了DOS攻击的影响。通过控制接入点的配置,可以防止入侵者通过改变接入点配置而连接到网络上。
(四)运用VPN技术
VPN技术的运用可以为无线网络的安全性能提供保障。VPN技术通过三级安全保障:用户认证、加密和数据认证来实现无线网络的安全性保证。用户认证确保只有已被授权的用户才能够进行无线网络连接、发送和接收数据。加密确保即使攻击者拦截窃听到传输信号,没有充足的时间和精力他也不能将这些信息解密。数据认证确保在无线网络上传输的数据的完整性,保证所有业务流都是来自已经得到认证的设备。
五、结论
从本文的分析来看,在无线局域网的未来发展中,安全问题仍将是一个最重要的、迫切需要解决的问题。但这并不能限制无线局域网的迅猛发展。针对无线局域网的安全性研究仍将是一个热点。我们有理由相信,随着技术的成熟和无线网络应用商业化进程的加快,工业界和研究者都将对无线局域网安全投入更多的关注,为用户提供速率更快、安全性更高、应用更方便的无线局域网技术标准。
参考文献:
[1]王慕东、宋承志,无线局域网的发展现状及应用[J].中国现代教育装备,2002,(12).
[2]陈鹤、曹科,无线局域网技术研究与安全管理[J].现代机械,2006,(04).
[3]万泉、冉春玉、祁明龙、陈建军,无线局域网技术[J].国外建材科技,2002,(03).
局域网技术论文范文3
论文关键词:WLAN,LAN,混合组网,SSID,CMCC
一、概述
当前中国移动已成为全业务运营商,全业务接入的高带宽需求,势必要求一个丰富的网络资源作为支持。在移动全业务发展初期,现有的光纤网络覆盖范围、分布特点与终端业务用户相去甚远,WLAN作为一种技术成熟,用户认知度较高的无线技术,为固定宽带接入和移动数据业务形成一种有效的补充,一方面可以为固定宽带接入业务提供最后一百米的无线延伸,使固定宽带移动化,另一方面,可以有效缓解3G网络在热点区域的带宽压力。在接入具体全业务点的同时如何利用WLAN优势,在实际组网过程中与用户LAN进行混合组网,形成一个完整的解决方案也是值得我们研究的。
二、WLAN技术
无线局域网WLAN (Wireless Local Area Network):以无线多址信道作为传输媒介,实现传统有线局域网的功能。WLAN 定位为无线局域网技术,提供慢速和游牧移动状态宽带接入;WLAN既能弥补固定网络的移动性不足计算机毕业论文,也能弥补移动网络的宽带性不足,其作为固定和移动网络数据业务的补充,已得到全球广大运营商的认可;同时WLAN能有效分流2G/3G 网络数据流,降低2G/3G 网络投资。具体实施过程中WLAN一般只要安装一个或多个接入点设备。就可建立覆盖整个建筑或地区的局域网络,包括临时组网与移动通信。不仅解决了有线LAN的大量有关组网与接入的难题,而且也方便地拓展了网络信息服务的能力,对于“把信息资源贴近最终用户”具有深远的影响。
目前在全业务竞争中不仅要发展有线LAN的综合接入,同时很多场合需要见缝插针的将WLAN网络也建设进去。WLAN与LAN混合组网的优势如下:
1.扩展了CMCC网络覆盖
目前CMCC的有线LAN接入,受到五类线传输距离、交换机布放位置、用户要求上网信息点不固定的限制,网络覆盖范围局限性较大。如在LAN建设中部分特殊区域的LAN交换机下挂数台AP设备,就能很好的解决客户的需求,扩展CMCC网络的覆盖范围。
2.安装便捷
一般在网络建设中,施工周期最长、对周边环境影响最大的,就是综合布线施工工程。在施工过程中,往往需要破墙掘地、穿线架管毕业论文格式范文。而WLAN最大的优势就是免去或减少了网络布线的工作量,一般只要安装一个或多个接入点 (AP) 设备,就可建立覆盖整个建筑或地区的局域网络。
3.全业务建设朝综合接入方面发展
目前中国移动全业务的开展主要是安装客户的需求来进行的,客户有宽带或固话的需求,移动就为其提供相应的设备。这对于驻地网、本地网及设备的投资来说利用率均不高,移动以后在接入全业务客户时,可考虑融合固话、有线宽带、WLAN、以及今后的3G来给用户综合组网。这样网络建设能一次到位,各类资源的利用率也较高,且用户认知度高,不易被其他运营商抢过去。
4.充分贯彻集团的TD+WLAN的方针
随着移动3G业务的不断开展,TD终端打破了传统单一品种而出现了数据卡、上网本、无线固话与手机3+1的多个品种。当中移动将上网本作为3G网络的主推业务,但是由于TD-HSDPA小区下载峰值速率和小区极限流量要赶超WCDMA和CDMA2000EV-DO的可能性是微乎其微,且TD类似于GSM的时分复用技术除了给TD带来了频谱利用率高的优点外,也让TD留下了穿透性能差的终身烙印。测试过TD信号的人都有这样的感觉,如果不做室内覆盖的话,TD的室内信号很微弱。
因此计算机毕业论文,让TD+WLAN双层网络来保证热点区域,甚至用成本较低的WLAN为一般室内提供无线宽带也是可取。在进行重要用户覆盖时,将TD-HSDPA网络作为主体网络,以WLAN网络覆盖方式对于部分室内热点地区进行辅助补充,会取得较好的效果。
5.有效抢占频率空间
WLAN频点有限,在当前竞争异常激烈的电信市场,可能有许多地方WLAN的频点早已被其他运营商占领,这确实是制约TD+WLAN发展的一大难题。本人认为可以通过以下的方式解决:TD主要特点是频谱利用率高和穿透性能差,我们可以利用这两大特点。频谱利用率高,我国给TD预留的频段达155M,TD频率资源丰富;穿透性不强,不进行室内覆盖的在楼内TD信号十分微弱,因此是否可以考虑在部分室内覆盖定制TD频段的WLAN设备呢?这里给WLAN的频点完全可是TD的A或C频段中的少许频点,总之不要与现网B频段的TD同邻频即可,或者也可以采用目前使用较少的5.8G频段。
但是,WLAN产品比较昂贵,传输速度也比较慢。以太网可实现1Gbit/s的传输速度,而WLAN的传输速度被限制在1OMbit/s左右,市场上一般的无线网络带宽还达不到2Mbit/s。 因此,在开展WLAN+LAN混合组网业务时,也需注意创新WLAN的市场运营模式和WLAN的布放场景。
目前中国移动WLAN覆盖建设原则为:
1.公共事业单位或者人口流动较多场所建议覆盖
2.便携机较多的企业单位建议覆盖
3.用户过小的场所不予覆盖
WLAN接入的传输速度、带宽及QoS都比不上有线的LAN接入,WLAN只是做为LAN接入的补充和延伸。因此目前全业务接入中采用GPON技术的LAN接入仍是主要接入方式。
三、WLAN+LAN混合组网案例分析
2010年8月,某县卫生院的业务申请,客户要求在其大院内开通局域网WLAN业务。客户需使用该WLAN网络组建自己的内部网络,且要求通过该WLAN上外网。移动公司在接到用户申请后,在其新楼3F安装GPONONU设备1台、WLAN局域网交换机1台,在1F-3F的卫生间墙壁上各安装AP设备1台。在其旧楼2F安装GPONONU设备1台、WLAN局域网交换机1台,在2F、3F各安装AP设备1台。AP设备通过五类线上联到局域网交换机,再上联到ONU,通过ONU汇聚到汇聚机房OLT上计算机毕业论文,最后上联到互联网。办公楼内提供10M带宽,同时使用WLAN进行了全覆盖。
图1 卫生院组网结构图
为了提高WLAN使用效率,计划将该医院内部WLAN网络对外开放,使普通移动用户到卫生院附近时也能通过CMCC WLAN信号接入至公网,增加业务增长点。
但是普通用户的接入会影响到卫生院内部网络的上网速率、带宽及影响内部网络安全,因此需将普通用户和卫生院内部用户进行区分。通过采用了划分不同SSID的方法来解决了这个问题毕业论文格式范文。
SSID(Service Set Identifier)也可以写为ESSID,用来区分不同的网络,最多可以有32个字符,无线网卡设置了不同的SSID就可以进入不同网络,SSID通常由AP广播出来,通过XP自带的扫描功能可以相看当前区域内的SSID。出于安全考虑可以不广播SSID,此时用户就要手工设置SSID才能进入相应的网络。简单说,SSID就是一个局域网的名称,只有设置为名称相同SSID的值的电脑才能互相通信。
SSID技术可以将一个无线局域网分为几个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网络。
因此,在遇到如卫生院此类用户时,也可采用SSID技术来区分不同用户。可将大桥卫生院自身无线宽带用户划分到一个SSID内,另外再设置一个用于接入普通用户的SSID(CMCC)。
为保证用户自身无线宽带用户的网络安全及用户带宽,可在AP上将前一个SSID设置为禁止广播方式,且将用户带宽设置较高;将后一个SSID设置为广播方式,将用户带宽设置较低。
卫生院单位内部用户,使用SSID1接入,该SSID设置为禁止广播方式,该用户到CMNET用户认证服务器认证;普通用户使用SSID,该SSID设置为广播方式,该用户到WLAN用户认证服务器认证。如图二所示:
图2 各种用户认证及上网方式
四、WLAN+LAN混合组网业务的开展
随着中国移动全业务的开展,以后像卫生院此类用户需求会不断增加。部分已采用移动LAN接入宽带业务的用户,如果该地区使用便携机的流动人口较多(如医院、宾馆等)计算机毕业论文,也可考虑在该地区新增移动的WLAN设备,该WLAN可采用原有的移动LAN上联到CMNET,这样从合理利用设备资源和减少设备投资的方面考虑都有一定好处。
对原有LAN企业用户加装WLAN设备改造,可在建设时将该WLAN网络设计成既能满足该单位自身用户的上网需求,又能兼顾普通用户的漫游接入。原客户自身WLAN用户可采用个人用户认证方式,提供给该单位一个隐藏的SSID及配套密码,使用该SSID和密码的用户上联到个人用户认证服务器上进行认证和计费(企业SSID不考虑使用企业自身使用的固定公有IP地址是因为SSID的密码存在被外来人员获取的可能性,一旦SSID密码被泄露,加上WLAN用户的可移动性,对于追查用户源有很大的不便,因此在这里考虑使用个人宽带用户认证方式,确保使用者的可追溯性);而普通用户则会通过无线网卡自动检测到一个公开的SSID(CMCC),通过用户的手机号码及密码来登录。为保证普通用户的接入不影响原单位用户的网络安全和带宽,可限制公开的SSID的安全等级、接入数量和接入用户带宽。
另外,该单位的隐藏SSID及密码需和该单位内建设的AP设备绑定,防止该SSID和密码在其他WLAN地区也能接入。
参考文献:
1.基于IEEE802.11b无线局域网支持QoS的盲检测算法 《电路与系统学报》2009年2期赵忠伟;
2.应用于802.11e无线局域网QoS区分的新机制 《西安电子科技大学学报(自然科学版)》 2009年4期 张国鹏,赵力强,张海林;
3.一种新的WLAN接人安全性问题的解决方案 《江苏通信技术》2005年1期 蒋鹏,刘尚东;
4.基于cdma2000网络的FemtoCell组网测试分析 《电信科学》2009年4期 王思伟,刘源,董斌,周峰;
5.无线局域网协议分析系统的设计与实现《计算机工程》2008年22期吴亚军,胡爱群,宋宇波。
局域网技术论文范文4
关键词:图书馆网络建设,安全维护
随着高校图书馆数字化,自动化的发展,网络系统已经成为图书馆业务运行的命脉,建设好、维护好图书馆的网络关系到图书馆的发展和业务运行,同时也关系到信息资源的利用。
1、高校图书馆管理与服务对网络的需求:
1.1、自动化管理业务对网络的需求:现代高校图书馆斗已经实现了图书采、编、流通的自动化管理,它需要网络连接图书馆的各个业务终端,通过自动化管理软件进行业务运行,如ilas系统 ,汇文系统等。除此之外还有无纸化公文传出系统,学校资产管理系统,电子阅览室管理系统,一卡通系统等,这些自动化管理系统都需要网络的支持。这些网络为了安全,有些都需要建成内部局域网,与互联网进行物理隔断。许多高校建设了新校区,多个校区图书馆网络的互联与安全问题也是自动化管理网路需要考虑的问题。
1.2 电子阅览室网络:电子阅览室有大量的读者用计算机,这些计算机需要连接图书馆的数据库、学校校园网和校外的互联网,通过网络为读者提供数据库查阅,电子图书阅读,浏览网络信息等服务。
1.3 数字图书馆对网络的需求:数字图书馆的建设使读者查可以通过网络查阅图书馆的数字资源。数字图书馆服务是现代图书馆的新兴业务,是图书馆业务的拓展。目前,高校图书馆都建立图书馆的门户网站,作为数字图书馆的信息资源平台。读者可通过门户网站查阅馆藏书目信息,借阅记录,网上续借;还可以查阅电子图书,中外文数据库,进行视频点播,进行网上咨询等。这就需要图书馆的相关设备和系统如数据库服务器,WEB服务器,存储系统等既连接内部网络又连接校园网和互联网。同时由于数据库的知识产权保护,数据库的访问权限都限定在校园网内。为了使读者在回家或出差(校园网外)也能查阅图书馆的电子资源,需要图书馆网络具备专用VPN(虚拟专用网)通道,这样读者可以随时随地在网上查阅图书馆信息资源,享受数字图书馆提供的网络服务。
2、图书馆网络规划
2.1更具用途和安全需求把网络分成内外网(局域网)和不同的VLAN(虚拟局域网)
在图书馆网络中,不同的系统对用户身份、安全性认证和使用权限的要求都是不同的。为了防止数据信息遭到破坏、病毒扩散和黑客恶意攻击,必须将多个应用系统划分到不同的网段中隔离开来。不同网段间的访问要遵循严格的限制。校园网及图书馆内部的访问控制也是极重要的一个方面。划分VLAN和IP子网,在IP子网间设置访问控制表是解决内部安全问题的一个重要方法。免费论文参考网。例如:把图书管理系统,一卡通系统这些图书馆内部使用的系统网路建成内部网络与外部网络物理隔离可以有效的防止攻击和病毒。把电子阅览室内网络和办公网络,图书馆服务器所在的网络划分成不同的LAN限制不同LAN之间的通讯。
对于图书馆电子阅览室这样拥有几百台以上电脑的地方,划分出不同的VLAN( VLAN即虚拟局域网,是个逻辑上的子网,它的划分不受地域位置的限制)可以有效的防止广播风暴造成网络速度下降。同时也提高了网络的安全性,增加了网络链接的灵活性和集中化的管理控制。划分VLAN的方式有基于交换端口的VLAN、基于MAC地址的VLAN、基于网络层的VLAN等。免费论文参考网。图书馆用户计算机的位置是固定的,局域网中路由协议比较单一,而且第一种基于交换端口的VLAN比较容易实现和管理,因此这种方式比较适合图书馆网络。
2.2更具应用需求合理进行设备选择
在整个图书馆网络规划布局中楼层之间、楼宇之间和校区之间的主干网络要使用光纤连接,以保障可靠性和传输速度。其他的连接使用6类线,可以节约成本。考虑到可靠性和可扩充性以及光缆不易抽头的特点,目前图书馆网络都选用星型结构。从核心交换机到汇聚层交换机、集线器,最后到用户机整个局域网串联的级数不宜过多,因此交换机和集线器的位置应选在比较适中的地方,以免与用户机距离太远而增加串联级数。
交换机是交换网络不可缺少的设备,它的选择,也要根据具体情况。学校图书馆一般有几百台以上的用户机,局域网内的数据流量非常大,通常核心交换机应该选择三层交换机。三层交换机同时具有三层路由和二层交换功能,与二层交换机相比,还具有QoS(服务质量)的控制功能、访问列表功能、组播功能、计费功能等。三层交换机还支持冗余通道,其背板带宽决定了它有很高的数据处理能力, VLAN间的通信需要路由支持,路由器的数据交换能力差,不能满足图书馆大数据流量的需要,而且开销太大。三层交换机既有强大的数据交换能力,又具备三层路由功能,是局域网划分VLAN的理想选择。在选择交换机时,最好核心交换机和二级交换机选用同一品牌的产品,这样便于管理。关于交换机和防火墙的选型,要根据学校的投资预算,如果资金充足,选择国外一些大公司像思科这类产品性能要好一些,否则选择国内的某些品牌也不错,价格要低很多。
图书馆局域网实际上是校园网的一个子网,因此可以通过防火墙、入侵检测设备和校园网相连,用以防止外来黑客攻击。对于图书馆来说,采用硬件防火墙可大大增加局域网的安全性。
服务器在网络中承担传输和处理大量数据的任务,要具备高可伸缩性、高可靠性、高可用性和高可管理性。就一般局域网而言,需要有自己的网站甚至邮件系统等等,这就需要web服务器和邮件服务器。作为高校图书馆的局域网,其最大特点就是拥有庞大的数据库,因此数据库服务器对图书馆是非常重要的。
2.3 VPN设备已经成为数字图书馆的重要设备
VPN的英文全称是“Virtual Private Network”,翻译过来就是“虚拟专用网络”。免费论文参考网。顾名思义,虚拟专用网络我们可以把它理解成是虚拟出来的内部专线。由于图书馆的数据库受版权限制,只能在校园网内查阅,离开校园就无法查阅,给读者带来了极大的不便。目前解决这个问题主要有三种方式:服务器,远程访问软件系统和硬件VPN设备。服务器和远程访问软件速度较慢,兼容性也有待提高,而通过硬件VPN设备建立远程访问虚拟网,是一个比较理想的方式。
2.4 网络存储
网络存储系统对于具有庞大数据存储的图书馆网络来说是关键的。目前网络存储技术主要有DAS(DirectAttachedStorage)、NAS(Networks Attached Storage)、SAN(Storage AreaNetworks)和最新的IP网络存储技术。IP网络存储技术将是今后网络存储体系新的发展方向。与DAS和NAS相比,SAN的优势在于它的高速度和可扩展性,对于数据增长快、对系统可用性、扩展性、数据访问速度等要求较高的局域网,可以考虑选择SAN。SAN(存储区域网),即多个服务器通过光纤连接到光纤交换机,光纤交换机又通过光纤与多个光纤接口的磁盘设备相连。这种存储网络,主机系统和存储设备均可以双向灵活扩展,整个系统可以形成存储共享的有机整体。同时,光纤的通道又为数据访问提供了最高4GB的访问带宽,大大高于传统的SCSI技术所提供的通道能力。
3、网络安全与维护
实现图书馆网络安全,包括以下几方面:
3.1设备安全
在图书馆网络规划阶段应该充分考虑到网络设备的安全问题,根据网络拓扑结构和网络应用功能来配置服务器、选择服务器的档次及操作系统。为确保安全,图书馆网络必须采用服务系统容错机制,如服务器双工、服务器群集、磁盘双工、磁盘镜像、RAID磁盘阵列等。
3.2口令安全管理
包括口令的选取、保存、更改周期、定期检查及保密等内容。
3.3加密
保护信息系统的一个主要工具就是给系统加密或给数据加密,但仍保持其可恢复的形式。利用加密软件,一个图书馆可以对电子邮件信息、文件和其他数据加密或编码,这样会使未经授权的用户难以查看数据。为了进一步减少侵扰的风险,也可以对系统所有传输的内容加密,包括登录名和口令等。
3.4身份鉴别
身份鉴别是指系统核实信息用户是否合法身份的过程。对不同的用户设置不同的权限,当一个用户需求某项信息服务时,必须输入自己的合法口令,然后在系统所规定的使用权限内,得到系统有效服务。设置身份鉴别是防止非法入侵者最基本的一种保护措施。
3.5防火墙
“防火墙”是一种形象的说法,它是一种由计算机硬件和软件组成的一个或一组系统,用于增强内部网络和Internet或其它外部网络之间的访问控制。具体地说,防火墙是设在被保护网络和外部网络之间的一道屏障,在外部网与内部网之间建立起一个安全网关,从而防止发生不可预测的、潜在破坏性的侵入,它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
3.6 网络监控、管理
对网络进行监控与管理是保障网络正常运行的必要。监控管理内容包括:病毒,攻击,流量,IP地址,访问控制等。
可以购买网络版杀毒软件安装在图书馆的计算机上,网络版杀毒软件功能强大,除了防病毒外,它具备对整个网络的病毒监控能力。
通过入侵检测设备或软件监控外界对图书馆服务器的攻击。
通过一些专用的软件来监控管理网络访问。目前,市场上有许多收费和免费的管理软件,它们都具备流量监控,访问网址管理,流量限制,IP/MAC绑定等功能,合理的设置参数可以保障网络的正常运行。
图书馆网络建设是一个循序渐进的过程,在应用中不断出现问题、解决问题,总结经验,才能把图书馆网络建设成一个高速、安全、稳定的局域网。
参考文献:
[1]陈新健:校园网络安全技术策略[J].电脑知识与技术,2007。.
[2] 周玉陶:中小型馆局域网总线拓扑结构设计存在问题及改造方案.大学图书馆学报,1997(1)。
[3] 靳添博:高校校园网络的安全管理研究[J].科技与管理,2005(5)。
[4]李圣良:基于校园网的网络安全策略[J].网络安全技术与应用,2005(10)。
[5]晓燕,刘彦保,李军利:防火墙技术与校园网络安全[J].延安大学学报,2004,23(4)。
[6]]沈建东:城域网设计中的一些问题.电信科学,1994(9)。
[7]姚作宾等:基于高速以太网技术的应用探讨.东南大学学报(自然科学版),2003(9)。
局域网技术论文范文5
关键词:校园无线网络;802.11标准;网络安全
一、概述
随着信息技术的发展和教育信息化进程的推进,无线局域网技术在高校校园网中的应用也逐渐普及。校园无线局域网表现出方便、灵活的组网方式和广泛的适用环境等优点,由于无线局域网技术其传输介质的开放性,使得数据在通信传播过程中,极有可能被一些非法的接收设备所接收,这就给入侵者有了可乘之机。加之校园无线网络自身的特殊性,无线局域网更易遭受黑客攻击和泄密;此外由于高校网络本身所具有的应用范围广、使用群体复杂、管理难度大等众多特点,致使网络本身更具脆弱性,致使网络本身更具脆弱性,因此如何保障高校校园无线局域网通信的安全,成为使用高校校园无线局域网过程中必须解决的问题。
二、无线网络存在的安全威胁
无线网络一般受到的攻击可分为两大类:
一类是关于网络访问控制、数据机密性保护以及数据完整性保护而进行的攻击;一类是无线通信网络的设计、部署以及维护的独特方式而进行的攻击。
对于第一类攻击在有线网络的环境下也会发生。可见,无线网络的安全性是在传统有线网络的基础上增加了新的安全性威胁。
(一)保密机制的弱点
1、过于简单的加密算法
WEP中的IV向量由于位数太短和初始化复位的设计,经常出现重复使用现象,从而轻易的被他人所破解。而对于其中的加密的RC4算法,在其头256个字节数据中的密钥存在弱点,容易被黑客攻破。而且,对明文完整性校验的CRC循环冗余校验码只能确保数据正确传输,并不能保证其是否被修改,因而也会出现安全的问题。
2、密钥管理复杂性
在WEP使用的密钥的过程中需要接受一个外部密钥管理系统的控制。网络的安全管理员可以通过外部管理系统控制方式减少IV的冲突数量,使无线网络难以被攻破。但由于这种方式的过程非常复杂,且需要手工进行操作,所以很多网络的部署者为了方便,使用缺省的WEP密钥,从而使黑客对破解密钥的难度大大减少。
3、用户安全意识不强
许多用户安全意识淡薄,没有改变缺省的配置选项,而缺省的加密设置都是比较简单或脆弱的,经不起黑客的攻击。
(二)类型繁多的网络攻击
1、探测式攻击实际上是信息采集活动,黑客们通过这种攻击搜集网络数据,用于以后进一步攻击网络。通常,软件工具(例如探测器和扫描器)被用于了解网络资源情况,寻找目标网络、主机和应用中的潜在漏洞。例如,有一种专门用于破解密码的软件。这种软件是为网络管理员而设计的,管理员可以利用它们来帮助那些忘记密码的员工,或者发现那些没有告诉任何人自己的密码就离开了公司的员工的密码。但是,这种软件如果被错误的人使用,就将成为一种非常危险的武器。
2、访问攻击用于发现身份认证服务、文件传输协议(FTP)功能等网络领域的漏洞,以访问电子邮件帐号、数据库和其他保密信息。
(三)拒绝服务攻击
1、信息泄露威胁与网络欺骗
泄露威胁包括窃听、截取和监听。窃听是指偷听流经网络的计算机通信的电子形式,它是以被动和无法觉察的方式入侵检测设备的。即使网络不对外广播网络信息,只要能够发现任何明文信息,攻击者仍然可以使用一些网络工具来监听和分析通信量,从而识别出可以破解的信息。欺骗这种攻击手段是通过骗过网络设备,使得它们错误地认为来自它们的连接是网络中一个合法的和经过同意的机器发出的。达到欺骗的目的,最简单的方法是重新定义无线网络或网卡的MAC地址。
2、用户设备安全威胁
由于IEEE802.11标准规定WEP加密给用户分配是一个静态密钥,因此只要得到了一块无线网网卡,攻击者就可以拥有一个无线网使用的合法MAC地址。也就是说,如果终端用户的笔记本电脑被盗或丢失,其丢失的不仅仅是电脑本身,还包括设备上的身份验证信息,如网络的SSID及密钥。[3]
三、无线校园网络安全解决方案
(一)身份认证:对于无线网络的认证可以是基于设备的,通过共享的WEP密钥来实现
上文中提到的 MAC 地址认证和共享密钥认证都还有一定的安全隐患。在无线网络进入校园以后, MAC地址认证需要进行维护和数据管理的问题。例如EAP-TLS、EAP-TTLS、LEAP和PEAP。[4]在无线网络中,设备认证和用户认证都应该实施,以确保最有效的无线网络安全性。用户认证信息应该通过安全隧道传输,从而保证用户认证信息交换是加密的。因此,对于所有的网络环境,如果设备支持,最好使用EAP-TTLS或PEAP。针对校园多用户群体的特点,可以对不同用户使用不同的认证方法,以此来确保无线校园网络的安全性。
(二)访问控制:网络用户的访问控制主要通过AAA服务器来实现
这种方式可以提供更好的可扩展性,有些访问控制服务器在802.1x的各安全端口上提供了机器认证,在这种环境下,只有当用户成功通过802.1x规定端口的识别后才能进行端口访问。
一般来说,无线校园网络可分为境内网和境外(下转第122页)(上接第120页)网两大类。境内网是指学校内部访问数据和资源的过程,教师和学生可根据需要随时在校园内访问网络。例如研究成果、研究资料以及论文等都要求有较好的安全性。这些用户可以采用802.1x 进行认证。也就是先由用户向认证服务器发出接入申请,在未通过认证的情况下,用户无法访问网络,也无法获取IP 地址。设立证书服务器,以数字证书的形式达到双向认证的目的,能够有效避免用户接入非法 AP 以及非法用户使用网络,只有在通过双向认证之后,用户方可访问网络,保证校园网资源的安全性。境外网指从学校外部访问数据和资源的过程,主要是针对来学校进行学术交流、培训等用户,这些用户关注的是能够方便、快捷的接入网络,已进行相关的文件传输、浏览网站等工作。因此,他们不能访问校园网内部如学校公共数据库、图书馆期刊全文数据库以及一些学校内部资源的一些受限资源。如果用户是境外网需要访问校园网以外的数据,要先通过强制 Portal 认证之后方可访问网络。[5]根据不同网络区分的需要采用不同的认证方法,将 802.1x 认证和强制 Portal 认证这两种认证方式相结合是解决目前无线校园网络安全问题的有效途径,并有极强的现实意义。
(三)可用性:无线网络有着与其它网络相同的需要,这就是要求最少的停机时间
不管是由于DOS攻击还是设备故障,无线基础设施中的关键部分仍然要能够提供无线客户端的访问。保证这项功能所花费资源的多少主要取决于保证无线网络访问正常运行的重要性。在校园的操场、食堂等场合,如不能给用户提供无线访问只会给用户带来不便而已。当一个客户端试图与某个特定的AP通讯,而认证服务器不能提供服务时也会产生可用性问题。这可能是由于拥塞的连接阻碍了认证交换的数据包,建议赋予该数据包更高的优先级以提供更好的QOS。另外应该设置本地认证作为备用,可以在AAA服务器不能提供服务时对无线客户端进行认证。
(四)审计:审计工作是确定无线网络配置是否适当的必要步骤
保护WLAN的第一步就是完成网络审计,实现对内部网络的所有访问节点都做审计,确定欺骗访问节点,建立规章制度来约束它们,或者完全从网络上剥离掉它们。从短期来看,校园网络中心管理员应该使用一些能检测WLAN网络流量(以及WLAN访问节点)的网络监控产品或工具,例如SnifferTechnologies和WildPackets厂家的产品。不过,采取的这些措施能达到的安全程度毕竟还是有限的,因为它要求网络管理员要根据WLAN的信号来检测网络流量,知道网络内部的数据流量情况。现在,WLAN的提供商们(例如3Com,Avaya,Cisco,Enterasys和Symbol)将会开发出新的能够检测远程访问节点的网络管理工具。校园网络中心管理者应该形成一个管理政策,保证网络审计成为一个规范化的行为(至少每三个月检测一次),来限制具有欺骗访问行为的站点恣意进入WLAN。
局域网技术论文范文6
关键词:无线局域网;标准;安全;趋势
前言无线局域网本质上是一种网络互连技术。无线局域网使用无线电波代替双绞线、同轴电缆等设备,省去了布线的麻烦,组网灵活。无线局域网(WLAN)是计算机网络与无线通信技术相结合的产物。它既可满足各类便携机的入网要求,也可实现计算机局域网远端接入、图文传真、电子邮件等功能。无线局域网技术作为一种网络接入手段,能迅速地应用于需要在移动中联网和在网间漫游的场合,并在不易架设有线的地力和远冲离的数据处理节点提供强大的网络支持。因此,WLAN已在军队、石化、医护管理、工厂车间、库存控制、展览和会议、金融服务、旅游服务、移动办公系统等行业中得到了应用,受到了广泛的青睐,已成为无线通信与Internet技术相结合的新兴发展力向之一。WLAN的最大优点就是实现了网络互连的可移动性,它能大幅提高用户访问信息的及时性和有效性,还可以克服线缆限制引起的不便性。但由于无线局域网应用具有很大的开放性,数据传播范围很难控制,因此无线局域网将面临着更严峻的安全问题。
1.无线局域网安全发展概况
无线局域网802.11b公布之后,迅速成为事实标准。遗憾的是,从它的诞生开始,其安全协议WEP就受到人们的质疑。美国加州大学伯克利分校的Borisov,Goldberg和Wagner最早指出了WEP协议中存在的设计失误,接下来信息安全研究人员发表了大量论文详细讨论了WEP协议中的安全缺陷,并与工程技术人员协作,在实验中破译了经WEP协议加密的无线传输数据。现在,能够截获无线传输数据的硬件设备己经能够在市场上买到,能够对所截获数据进行解密的黑客软件也已经能够在因特网上下载。WEP不安全己经成一个广为人知的事情,人们期待WEP在安全性方面有质的变化,新的增强的无线局域网安全标准应运而生[1]。
我国从2001年开始着手制定无线局域网安全标准,经过西安电子科技大学、西安邮电学院、西电捷通无线网络通信有限公司等院校和企业的联合攻关,历时两年多制定了无线认证和保密基础设施WAPI,并成为国家标准,于2003年12月执行。WAPI使用公钥技术,在可信第三方存在的条件下,由其验证移动终端和接入点是否持有合法的证书,以期完成双向认证、接入控制、会话密钥生成等目标,达到安全通信的目的。WAPI在基本结构上由移动终端、接入点和认证服务单元三部分组成,类似于802.11工作组制定的安全草案中的基本认证结构。同时我国的密码算法一般是不公开的,WAPI标准虽然是公开的,然而对其安全性的讨论在学术界和工程界目前还没有展开[2]。
增强的安全草案也是历经两年多时间定下了基本的安全框架。其间每个月至少召开一次会议,会议的文档可以从互联网上下载,从中可以看到一些有趣的现象,例如AES-OCB算法,开始工作组决定使用该算法作为无线局域网未来的安全算法,一年后提议另外一种算法CCMP作为候选,AES-OSB作为缺省,半年后又提议CCMP作为缺省,AES-OCB作为候选,又过了几个月,干脆把AES-OCB算法完全删除,只使用CCMP算法作为缺省的未来无线局域网的算法。其它的例子还有很多。从这样的发展过程中,我们能够更加清楚地认识到无线局域网安全标准的方方面面,有利于无线局域网安全的研究[3][4]。
2.无线局域网的安全必要性
WLAN在为用户带来巨大便利的同时,也存在着许多安全上的问题。由于WLAN通过无线电波在空中传输数据,不能采用类似有线网络那样的通过保护通信线路的方式来保护通信安全,所以在数据发射机覆盖区域内的几乎任何一个WLAN用户都能接触到这些数据,要将WLAN发射的数据仅仅传送给一名目标接收者是不可能的。而防火墙对通过无线电波进行的网络通讯起不了作用,任何人在视距范围之内都可以截获和插入数据。因此,虽然无线网络和WLAN的应用扩展了网络用户的自由,它安装时间短,增加用户或更改网络结构时灵活、经济,可提供无线覆盖范围内的全功能漫游服务。然而,这种自由也同时带来了新的挑战,这些挑战其中就包括安全性。WLAN必须考虑的安全要素有三个:信息保密、身份验证和访问控制。如果这三个要素都没有问题了,就不仅能保护传输中的信息免受危害,还能保护网络和移动设备免受危害。难就难在如何使用一个简单易用的解决方案,同时获得这三个安全要素。国外一些最新的技术研究报告指出,针对目前应用最广泛的802.11bWLAN标准的攻击和窃听事件正越来越频繁[5],故对WLAN安全性研究,特别是广泛使用的IEEE802.11WLAN的安全性研究,发现其可能存在的安全缺陷,研究相应的改进措施,提出新的改进方案,对WLAN技术的使用、研究和发展都有着深远的影响。
同有线网络相比,无线局域网无线传输的天然特性使得其物理安全脆弱得多,所以首先要加强这一方面的安全性。
无线局域网中的设备在实际通信时是逐跳的方式,要么是用户设备发数据给接入设备,饭由接入设备转发,要么是两台用户设备直接通信,每一种通信方式都可以用链路层加密的方法来实现至少与有线连接同等的安全性。无线信号可能被侦听,但是,如果把无线信号承载的数据变成密文,并且,如果加密强度够高的话,侦听者获得有用数据的可能性很小。另外,无线信号可能被修改或者伪造,但是,如果对无线信号承载的数据增加一部分由该数据和用户掌握的某种秘密生成的冗余数据,以使得接收方可以检测到数据是杏被更改,那么,对于无线信号的更改将会徒劳无功。而秘密的独有性也将使得伪造数据被误认为是合法数据的可能性极小。
这样,通过数据加密和数据完整性校验就可以为无线局域网提供一个类似有线网的物理安全的保护。对于无线局域网中的主机,面临病毒威胁时,可以用最先进的防毒措施和最新的杀毒工具来给系统增加安全外壳,比如安装硬件形式的病毒卡预防病毒,或者安装软件用来时实检测系统异常。PC机和笔记本电脑等设备己经和病毒进行了若千年的对抗,接下来的无线设备如何与病毒对抗还是一个待开发领域。
对于DOS攻击或者DDOS攻击,可以增加一个网关,使用数据包过滤或其它路由设置,将恶意数据拦截在网络外部;通过对外部网络隐藏接入设备的IP地址,可以减小风险。对于内部的恶意用户,则要通过审计分析,网络安全检测等手段找出恶意用户,并辅以其它管理手段来杜绝来自内部的攻击。硬件丢失的威胁要求必须能通过某种秘密或者生物特征等方式来绑定硬件设备和用户,并且对于用户的认证也必须基于用户的身份而不是硬件来完成。例如,用MAC地址来认证用户是不适当的[5]。
除了以上的可能需求之外,根据不同的使用者,还会有不同的安全需求,对于安全性要求很高的用户,可能对于传输的数据要求有不可抵赖性,对于进出无线局域网的数据要求有防泄密措施,要求无线局域网瘫痪后能够迅速恢复等等。所以,无线局域网的安全系统不可能提供所有的安全保证,只能结合用户的具体需求,结合其它的安全系统来一起提供安全服务,构建安全的网络。
当考虑与其它安全系统的合作时,无线局域网的安全将限于提供数据的机密,数据的完整,提供身份识别框架和接入控制框架,完成用户的认证授权,信息的传输安全等安全业务。对于防病毒,防泄密,数据传输的不可抵赖,降低DoS攻击的风险等都将在具体的网络配置中与其它安全系统合作来实现。
3.无线局域网安全风险
安全风险是指无线局域网中的资源面临的威胁。无线局域网的资源,包括了在无线信道上传输的数据和无线局域网中的主机。
3.1无线信道上传输的数据所面临的威胁
由于无线电波可以绕过障碍物向外传播,因此,无线局域网中的信号是可以在一定覆盖范围内接听到而不被察觉的。这如用收音机收听广播的情况一样,人们在电台发射塔的覆盖范围内总可以用收音机收听广播,如果收音机的灵敏度高一些,就可以收听到远一些的发射台发出的信号。当然,无线局域网的无线信号的接收并不像收音机那么简单,但只要有相应的设备,总是可以接收到无线局域网的信号,并可以按照信号的封装格式打开数据包,读取数据的内容[6]。
另外,只要按照无线局域网规定的格式封装数据包,把数据放到网络上发送时也可以被其它的设备读取,并且,如果使用一些信号截获技术,还可以把某个数据包拦截、修改,然后重新发送,而数据包的接收者并不能察觉。
因此,无线信道上传输的数据可能会被侦听、修改、伪造,对无线网络的正常通信产生了极大的干扰,并有可能造成经济损失。
3.2无线局域网中主机面临的威胁
无线局域网是用无线技术把多台主机联系在一起构成的网络。对于主机的攻击可能会以病毒的形式出现,除了目前有线网络上流行的病毒之外,还可能会出现专门针对无线局域网移动设备,比如手机或者PDA的无线病毒。当无线局域网与无线广域网或者有线的国际互联网连接之后,无线病毒的威胁可能会加剧。
对于无线局域网中的接入设备,可能会遭受来自外部网或者内部网的拒绝服务攻击。当无线局域网和外部网接通后,如果把IP地址直接暴露给外部网,那么针对该IP的Dog或者DDoS会使得接入设备无法完成正常服务,造成网络瘫痪。当某个恶意用户接入网络后,通过持续的发送垃圾数据或者利用IP层协议的一些漏洞会造成接入设备工作缓慢或者因资源耗尽而崩溃,造成系统混乱。无线局域网中的用户设备具有一定的可移动性和通常比较高的价值,这造成的一个负面影响是用户设备容易丢失。硬件设备的丢失会使得基于硬件的身份识别失效,同时硬件设备中的所有数据都可能会泄漏。
这样,无线局域网中主机的操作系统面临着病毒的挑战,接入设备面临着拒绝服务攻击的威胁,用户设备则要考虑丢失的后果。
4.无线局域网安全性
无线局域网与有线局域网紧密地结合在一起,并且己经成为市场的主流产品。在无线局域网上,数据传输是通过无线电波在空中广播的,因此在发射机覆盖范围内数据可以被任何无线局域网终端接收。安装一套无线局域网就好象在任何地方都放置了以太网接口。因此,无线局域网的用户主要关心的是网络的安全性,主要包括接入控制和加密两个方面。除非无线局域网能够提供等同于有线局域网的安全性和管理能力,否则人们还是对使用无线局域网存在顾虑。
4.1IEEE802.11b标准的安全性
IEEE802.11b标准定义了两种方法实现无线局域网的接入控制和加密:系统ID(SSID)和有线对等加密(WEP)[7][8]。
4.1.1认证
当一个站点与另一个站点建立网络连接之前,必须首先通过认证。执行认证的站点发送一个管理认证帧到一个相应的站点。IEEE802.11b标准详细定义了两种认证服务:一开放系统认证(OpenSystemAuthentication):是802.11b默认的认证方式。这种认证方式非常简单,分为两步:首先,想认证另一站点的站点发送一个含有发送站点身份的认证管理帧;然后,接收站发回一个提醒它是否识别认证站点身份的帧。一共享密钥认证(SharedKeyAuthentication):这种认证先假定每个站点通过一个独立于802.11网络的安全信道,已经接收到一个秘密共享密钥,然后这些站点通过共享密钥的加密认证,加密算法是有线等价加密(WEP)。
4.1.2WEP
IEEE802.11b规定了一个可选择的加密称为有线对等加密,即WEP。WEP提供一种无线局域网数据流的安全方法。WEP是一种对称加密,加密和解密的密钥及算法相同。WEP的目标是:接入控制:防止未授权用户接入网络,他们没有正确的WEP密钥。
加密:通过加密和只允许有正确WEP密钥的用户解密来保护数据流。
IEEE802.11b标准提供了两种用于无线局域网的WEP加密方案。第一种方案可提供四个缺省密钥以供所有的终端共享一包括一个子系统内的所有接入点和客户适配器。当用户得到缺省密钥以后,就可以与子系统内所有用户安全地通信。缺省密钥存在的问题是当它被广泛分配时可能会危及安全。第二种方案中是在每一个客户适配器建立一个与其它用户联系的密钥表。该方案比第一种方案更加安全,但随着终端数量的增加给每一个终端分配密钥很困难。
4.2影响安全的因素[9][10]
4.2.1硬件设备
在现有的WLAN产品中,常用的加密方法是给用户静态分配一个密钥,该密钥或者存储在磁盘上或者存储在无线局域网客户适配器的存储器上。这样,拥有客户适配器就有了MAC地址和WEP密钥并可用它接入到接入点。如果多个用户共享一个客户适配器,这些用户有效地共享MAC地址和WEP密钥。
当一个客户适配器丢失或被窃的时候,合法用户没有MAC地址和WEP密钥不能接入,但非法用户可以。网络管理系统不可能检测到这种问题,因此用户必须立即通知网络管理员。接到通知后,网络管理员必须改变接入到MAC地址的安全表和WEP密钥,并给与丢失或被窃的客户适配器使用相同密钥的客户适配器重新编码静态加密密钥。客户端越多,重新编码WEP密钥的数量越大。
4.2.2虚假接入点
IEEE802.11b共享密钥认证表采用单向认证,而不是互相认证。接入点鉴别用户,但用户不能鉴别接入点。如果一个虚假接入点放在无线局域网内,它可以通过劫持合法用户的客户适配器进行拒绝服务或攻击。
因此在用户和认证服务器之间进行相互认证是需要的,每一方在合理的时间内证明自己是合法的。因为用户和认证服务器是通过接入点进行通信的,接入点必须支持相互认证。相互认证使检测和隔离虚假接入点成为可能。
4.2.3其它安全问题
标准WEP支持对每一组加密但不支持对每一组认证。从响应和传送的数据包中一个黑客可以重建一个数据流,组成欺骗性数据包。减轻这种安全威胁的方法是经常更换WEP密钥。通过监测工EEE802.11b控制信道和数据信道,黑客可以得到如下信息:客户端和接入点MAC地址,内部主机MAC地址,上网时间。黑客可以利用这些信息研究提供给用户或设备的详细资料。为减少这种黑客活动,一个终端应该使用每一个时期的WEP密钥。
4.3完整的安全解决方案
无线局域网完整的安全方案以IEEE802.11b比为基础,是一个标准的开放式的安全方案,它能为用户提供最强的安全保障,确保从控制中心进行有效的集中管理。它的核心部分是:
扩展认证协议(ExtensibleAuthenticationProtocol,EAP),是远程认证拨入用户服务(RADIUS)的扩展。可以使无线客户适配器与RADIUS服务器通信。
当无线局域网执行安全保密方案时,在一个BSS范围内的站点只有通过认证以后才能与接入点结合。当站点在网络登录对话框或类似的东西内输入用户名和密码时,客户端和RADIUS服务器(或其它认证服务器)进行双向认证,客户通过提供用户名和密码来认证。然后RADIUS服务器和用户服务器确定客户端在当前登录期内使用的WEP密钥。所有的敏感信息,如密码,都要加密使免于攻击。
这种方案认证的过程是:一个站点要与一个接入点连接。除非站点成功登录到网络,否则接入点将禁止站点使用网络资源。用户在网络登录对话框和类似的结构中输入用户名和密码。用IEEE802.lx协议,站点和RADIUS服务器在有线局域网上通过接入点进行双向认证。可以使用几个认证方法中的一个。
相互认证成功完成后,RADIUS服务器和用户确定一个WEP密钥来区分用户并提供给用户适当等级的网络接入。以此给每一个用户提供与有线交换几乎相同的安全性。用户加载这个密钥并在该登录期内使用。
RADIUS服务器发送给用户的WEP密钥,称为时期密钥。接入点用时期密钥加密它的广播密钥并把加密密钥发送给用户,用户用时期密钥来解密。用户和接入点激活WEP,在这时期剩余的时间内用时期密钥和广播密钥通信。
网络安全性指的是防止信息和资源的丢失、破坏和不适当的使用。无论有线络还是无线网络都必须防止物理上的损害、窃听、非法接入和各种内部(合法用户)的攻击。
无线网络传播数据所覆盖的区域可能会超出一个组织物理上控制的区域,这样就存在电子破坏(或干扰)的可能性。无线网络具有各种内在的安全机制,其代码清理和模式跳跃是随机的。在整个传输过程中,频率波段和调制不断变化,计时和解码采用不规则技术。
正是可选择的加密运算法则和IEEE802.11的规定要求无线网络至少要和有线网络(不使用加密技术)一样安全。其中,认证提供接入控制,减少网络的非法使用,加密则可以减少破坏和窃听。目前,在基本的WEP安全机制之外,更多的安全机制正在出现和发展之中[12]。
5.无线局域网安全技术的发展趋势
目前无线局域网的发展势头十分强劲,但是起真正的应用前景还不是十分的明朗。主要表现在:一是真正的安全保障;二个是将来的技术发展方向;三是WLAN有什么比较好的应用模式;四是WLAN的终端除PCMCIA卡、PDA有没有其他更好的形式;五是WLAN的市场规模。看来无线局域网真正的腾飞并非一己之事[13]。
无线局域网同样需要与其他已经成熟的网络进行互动,达到互利互惠的目的。欧洲是GSM网的天下,而WLAN的崛起使得他们开始考虑WLAN和3G的互通,两者之间的优势互补性必将使得WLAN与广域网的融合迅速发展。现在国内中兴通讯己经实现了WLAN和CI}IVIA系统的互通,而对于使用中兴设备的WLAN与GSM/GPRS系统的互通也提出了解决方案,这条路必定越走越宽。
互通中的安全问题也必然首当其冲,IEEE的无线局域网工作组己经决定将EAP-SIIVI纳入无线局域网安全标准系列里面,并且与3G互通的认证标准EAP-AID也成为讨论的焦点。
无线网络的互通,现在是一个趋势。802.11工作组新成立了WIG(WirelesslnterworkingGrouq),该工作组的目的在于使现存的符合ETSI,IEEE,MMAC所制订的标准的无线域网之间实现互通。另外3GPP也给出了无线局域网和3G互通的两个草案,定义了互通的基本需求,基本模型和基本框架。还有就是爱立信公司的一份文档给出了在现有的网络基础上,实现无线局域网和G1VIS/GPRS的互通。
不同类型无线局域网互通标准的制定,使得用户可以使用同一设备接入无线局域网。3G和无线局域网的互通者可以使用户在一个运营商那里注册,就可以在各地接入。当然,用户享用上述方便的同时,必然会使运营商或制造商获得利润,而利润的驱动,则是这个互通风潮的根本动力。为了达到互通的安全,有以下需求:支持传统的无线局域网设备,对用户端设备,比如客户端软件,影响要最小,对经营者管理和维护客户端SW的要求要尽量少,应该支持现存的UICC卡,不应该要求该卡有任何改动,敏感数据,比如存在UICC卡中的长期密钥不能传输。对于UICC卡的认证接口应该是基于该密钥的Challenge-,Response模式。用户对无线局域网接入的安全级别应该和3GPP接入一样,应该支持双向认证,所选的认证方案应该顾及到授权服务,应该支持无线局域网接入NW的密钥分配方法,无线局域网与3GPP互通所选择的认证机制至少要提供3GPP系统认证的安全级别,无线局域网的重连接不应该危及3GPP系统重连接的安全,所选择的无线局域网认证机制应该支持会话密钥素材的协商,所选择的无线局域网密钥协商和密钥分配机制应该能防止中间人攻击。也就是说中间人不能得到会话密钥素材,无线局域网技术应当保证无线局域网UE和无线局域网AN的特定的认证后建立的连接可以使用生成的密钥素材来保证完整性。所有的用于用户和网络进行认证的长期的安全要素应该可以在一张UICC卡中存下[14]。
对于非漫游情况的互通时,这种情况是指当用户接入的热点地区是在3GPP的归属网络范围内。简单地说,就是用户在运营商那里注册,然后在该运营商的本地网络范围内的热点地区接入时的一种情况。无线局域网与3G网络安全单元功能如下:UE(用户设备)、3G-AAA(移动网络的认证、授权和计帐服务器)、HSS(归属业务服务器)、CG/CCF(支付网关/支付采集功能)、OCS(在线计帐系统)。
对于漫游的互通情况时,3G网络是个全域性网络借助3G网络的全域性也可以实现无线局域网的漫游。在漫游情况下,一种常用的方法是将归属网络和访问网络分开,归属网络AAA服务作为认证的找到用户所注册的归属网络。
在无线局域网与3G互通中有如下认证要求:该认证流程从用户设备到无线局域网连接开始。使用EAP方法,顺次封装基于USIM的用户ID,AKA-Challenge消息。具体的认证在用户设备和3GPAAA服务器之间展开。走的是AKA过程,有一点不同在于在认证服务器要检查用户是否有接入无线局域网的权限。
上述互通方案要求客户端有能够接入无线局域网的网卡,同时还要实现USIM或者SIM的功能。服务网络要求修改用户权限表,增加对于无线局域网的接入权限的判断。
无线局域网的崛起使得人们开始考虑无线局域网和3G的互通,两者之间的优势互补性必将使得无线局域网与广域网的融合迅速发展。现在国内中兴通讯已经实现了无线局域网和CDMA系统的互通,而对于使用中兴设备的无线局域网与GSM/GPRS系统的互通也提出了解决方案,这条路必定越走越宽。
参考文献:
[1]郭峰,曾兴雯,刘乃安,《无线局域网》,电子工业出版杜,1997
[2]冯锡生,朱荣,《无线数据通信》1997
[3]你震亚,《现代计算机网络教程》,电子工业出版社,1999
[4]刘元安,《宽带无线接入和无线局域网》,北京邮电大学出版社,2000
[5]吴伟陵,《移动通信中的关键技术》,北京邮电大学出版社,2000
[6]张公忠,陈锦章,《当代组网技术》,清华大学出版社,2000
[7]牛伟,郭世泽,吴志军等,《无线局域网》,人民邮电出版社,2003
[8]JeffreyWheat,《无线网络设计》,莫蓉蓉等译,机械工业出版社,2002
[9]GilHeld,《构建无线局域网》,沈金龙等泽,人民邮电出版社,2002
[10]ChristianBarnes等,《无线网络安全防护》,林生等译,机械工业出版社.2003
[11]JuhaHeiskala等,《OFDM无线局域网》,畅晓春等译,电子工业出版社,2003
[12]EricOuellet等,《构建Cisco无线局域网》,张颖译,科学出版社,2003
[13]MarkCiampa,《无线周域网设计一与实现》,王顺满译,科学出版社.2003