無線網(wǎng)絡安全論文精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的無線網(wǎng)絡安全論文主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:無線網(wǎng)絡安全論文范文
關鍵詞:無線網(wǎng)絡安全防范措施
隨著信息化技術的飛速發(fā)展,很多網(wǎng)絡都開始實現(xiàn)無線網(wǎng)絡的覆蓋以此來實現(xiàn)信息電子化交換和資源共享。無線網(wǎng)絡和無線局域網(wǎng)的出現(xiàn)大大提升了信息交換的速度和質(zhì)量,為很多的用戶提供了便捷和子偶的網(wǎng)絡服務,但同時也由于無線網(wǎng)絡本身的特點造成了安全上的隱患。具體的說來,就是無線介質(zhì)信號由于其傳播的開放性設計,使得其在傳輸?shù)倪^程中很難對傳輸介質(zhì)實施有效的保護從而造成傳輸信號有可能被他人截獲,被不法之徒利用其漏洞來攻擊網(wǎng)絡。因此,如何在組網(wǎng)和網(wǎng)絡設計的時候為無線網(wǎng)絡信號和無線局域網(wǎng)實施有效的安全保護機制就成為了當前無線網(wǎng)絡面臨的重大課題。
一、無線網(wǎng)絡的安全隱患分析
無線局域網(wǎng)的基本原理就是在企業(yè)或者組織內(nèi)部通過無線通訊技術來連接單個的計算機終端,以此來組成可以相互連接和通訊的資源共享系統(tǒng)。無線局域網(wǎng)區(qū)別于有線局域網(wǎng)的特點就是通過空間電磁波來取代傳統(tǒng)的有限電纜來實施信息傳輸和聯(lián)系。對比傳統(tǒng)的有線局域網(wǎng),無線網(wǎng)絡的構建增強了電腦終端的移動能力,同時它安裝簡單,不受地理位置和空間的限制大大提高了信息傳輸?shù)男剩瑫r,也正是由于無線局域網(wǎng)的特性,使得其很難采取和有線局域網(wǎng)一樣的網(wǎng)絡安全機制來保護信息傳輸?shù)陌踩瑩Q句話無線網(wǎng)絡的安全保護措施難度原因大于有線網(wǎng)絡。
IT技術人員在規(guī)劃和建設無線網(wǎng)絡中面臨兩大問題:首先,市面上的標準與安全解決方案太多,到底選什么好,無所適從;第二,如何避免網(wǎng)絡遭到入侵或攻擊?在有線網(wǎng)絡階段,技術人員可以通過部署防火墻硬件安全設備來構建一個防范外部攻擊的防線,但是,“兼顧的防線往往從內(nèi)部被攻破”。由于無線網(wǎng)絡具有接入方便的特點,使得我們原先耗資部署的有線網(wǎng)絡防范設備輕易地就被繞過,成為形同虛設的“馬奇諾防線”。
針對無線網(wǎng)絡的主要安全威脅有如下一些:
1.數(shù)據(jù)竊聽。竊聽網(wǎng)絡傳輸可導致機密敏感數(shù)據(jù)泄漏、未加保護的用戶憑據(jù)曝光,引發(fā)身份盜用。它還允許有經(jīng)驗的入侵者手機有關用戶的IT環(huán)境信息,然后利用這些信息攻擊其他情況下不易遭到攻擊的系統(tǒng)或數(shù)據(jù)。甚至為攻擊者提供進行社會工程學攻擊的一系列商信息。
2.截取和篡改傳輸數(shù)據(jù)。如果攻擊者能夠連接到內(nèi)部網(wǎng)絡,則他可以使用惡意計算機通過偽造網(wǎng)關等途徑來截獲甚至修改兩個合法方之劍正常傳輸?shù)木W(wǎng)絡數(shù)據(jù)。
二、常見的無線網(wǎng)絡安全措施
綜合上述針對無線網(wǎng)絡的各種安全威脅,我們不難發(fā)現(xiàn),把好“接入關”是我們保障企業(yè)無線網(wǎng)絡安全性的最直接的舉措。目前的無線網(wǎng)絡安全措施基本都是在接入關對入侵者設防,常見的安全措施有以下各種。
1.MAC地址過濾
MAC地址過濾在有線網(wǎng)絡安全措施中是一種常見的安全防范手段,因此其操作方法也和在有線網(wǎng)絡中操作交換機的方式一致。通過無線控制器將指定的無線網(wǎng)卡的物理地址(MAC地址)下發(fā)到各個AP中,或者直接存儲在無線控制器中,或者在AP交換機端進行設置。
2.隱藏SSID
SSID(ServiceSetIdentifier,服務標識符)是用來區(qū)分不同的網(wǎng)絡,其作用類似于有線網(wǎng)絡中的VLAN,計算機接入某一個SSID的網(wǎng)絡后就不能直接與另一個SSID的網(wǎng)絡進行通信了,SSID經(jīng)常被用來作為不同網(wǎng)絡服務的標識。一個SSID最多有32個字符構成,無線終端接入無線網(wǎng)路時必須提供有效的SIID,只有匹配的SSID才可接入。一般來說,無線AP會廣播SSID,這樣,接入終端可以通過掃描獲知附近存在哪些可用的無線網(wǎng)絡,例如WINDOWSXP自帶掃描功能,可以將能聯(lián)系到的所有無線網(wǎng)絡的SSID羅列出來。因此,出于安全考慮,可以設置AP不廣播SSID,并將SSID的名字構造成一個不容易猜解的長字符串。這樣,由于SSID被隱藏起來了,接入端就不能通過系統(tǒng)自帶的功能掃描到這個實際存在的無線網(wǎng)絡,即便他知道有一個無線網(wǎng)絡存在,但猜不出SSID全名也是無法接入到這個網(wǎng)絡中去的。
三、無線網(wǎng)絡安全措施的選擇
應用的方便性與安全性之間永遠是一對矛盾。安全性越高,則一定是以喪失方便性為代價的。但是在實際的無線網(wǎng)絡的應用中,我們不能不考慮應用的方便性。因此,我們在對無線網(wǎng)路安全措施的選擇中應該均衡考慮方便性和安全性。
在接入無線AP時采用WAP加密模式,又因為不論SSID是否隱藏攻擊者都能通過專用軟件探測到SSID,因此不隱藏SSID,以提高接入的方便性。這樣在接入時只要第一次需要輸入接入密碼,以后就可以不用輸入接入密碼了。
使用強制Portal+802.1x這兩種認證方式相結合的方法能有效地解決無線網(wǎng)絡的安全,具有一定的現(xiàn)實意義。來訪用戶所關心的是方便和快捷,對安全性的要求不高。強制Portal認證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認證后即可上網(wǎng)。采用此種方式,對來訪用戶來說簡單、方便、快速,但安全性比較差。
此外,如果在資金可以保證的前提下,在無線網(wǎng)絡中使用無線網(wǎng)絡入侵檢測設備進行主動防御,也是進一步加強無線網(wǎng)絡安全性的有效手段。
最后,任何的網(wǎng)絡安全技術都是在人的使用下發(fā)揮作用的,因此,最后一道防線就是使用者,只有每一個使用者加強無線網(wǎng)絡安全意識,才能真正實現(xiàn)無線網(wǎng)絡的安全。否則,黑客或攻擊者的一次簡單的社會工程學攻擊就可以在2分鐘內(nèi)使網(wǎng)絡管理人員配置的各種安全措施變得形同虛設。
現(xiàn)在,不少企業(yè)和組織都已經(jīng)實現(xiàn)了整個的無線覆蓋。但在建設無線網(wǎng)絡的同時,因為對無線網(wǎng)絡的安全不夠重視,對局域網(wǎng)無線網(wǎng)絡的安全考慮不及時,也造成了一定的影響和破壞。做好無線網(wǎng)絡的安全管理工作,并完成全校無線網(wǎng)絡的統(tǒng)一身份驗證,是當前組建無線網(wǎng)必須要考慮的事情。只有這樣才能做到無線網(wǎng)絡與現(xiàn)有有線網(wǎng)絡的無縫對接,確保無線網(wǎng)絡的高安全性,提高企業(yè)的信息化的水平。
參考文獻:
[1]譚潤芳.無線網(wǎng)絡安全性探討[J].信息科技,2008,37(6):24-26.
第2篇:無線網(wǎng)絡安全論文范文
IEEE組織頒布的802.16標準,其頻段主要針對2—66GHz,無線覆蓋范圍可達50公里以上,因此IEEE802.16系統(tǒng)主要應用于長距離無線網(wǎng)絡(LRWN),快速地提供一種在長距離無線網(wǎng)絡點對多點的環(huán)境下有效進行互操作的寬帶無線接入手段,比固定的DSL更靈活。與所有的無線網(wǎng)絡一樣,消費者與企業(yè)所關注的層面必然首先就是無線網(wǎng)絡安全性問題。IEEE802.16對于安全性進行了充分的考慮,其中位于媒體訪問控制(MAC,MediaAccessControl)層的安全子層用來實現(xiàn)空中接口的安全功能。但是,由于IEEE802.16的安全體系設計時主要參考的是有線電纜數(shù)據(jù)服務接口規(guī)范(DOCSIS,DataOverCableServiceInterfaceSpecifications)和無線局域網(wǎng)IEEE802.11i的安全機制,給IEEE802.16帶來了一些安全隱患。
2長距離無線網(wǎng)絡安全問題
目前IEEE802.16的安全協(xié)議設計了兩個版本:一個是為固定無線場景設計的PKMv1[2];另一個是為移動場景設計的PKMv2。而后者又是在PKMv1版本的基礎上經(jīng)過改進后規(guī)定的安全機制。PKMv1的安全機制優(yōu)點是:攜帶的消息報文較少、效率較高、安全算法比較易于工程實現(xiàn)。PKMv1的安全機制主要缺陷[3]如下:(1)只提供了單向認證,沒有實現(xiàn)真正的雙向認證:協(xié)議提供了基站(BS,BaseStation)對用戶站(SS,SubscriberStation)的單向認證,并沒有提供SS對BS的認證,導致的后果是SS無法確認其連接的BS是否為預定的BS,從而仿冒合法的BS欺瞞SS就變得相對容易。(2)密鑰質(zhì)量相對較低:授權密鑰(AK,AuthorizationKey)和會話密鑰(TEK,TrafficEncryptionKey)都是由BS一側產(chǎn)生,在單向認證的場景下,SS難以信任TEK的質(zhì)量。PKMv2對在PKMv1存在的不足進行了部分完善,但仍存在以下安全方面的問題:(1)引入了EAP認證:EAP認證要求由可信任的第三方提供支持;另外,授權密鑰由可信任的第三方和SS共同產(chǎn)生后傳遞給BS,這就需要可信任的第三方和BS之間預先建立一個安全通道;EAP認證其實只實現(xiàn)了SS和可信任第三方之間的直接雙向認證,而不是SS和BS之間的直接雙向認證,這樣導致的后果就是假冒BS可以發(fā)動攻擊。(2)RSA認證密鑰質(zhì)量不高:預授權密鑰(PAK)是由BS一方產(chǎn)生的,且在PKMv2中也沒有對密鑰進行明確規(guī)定,沒有說明密鑰須由較高質(zhì)量的偽隨機數(shù)發(fā)生器產(chǎn)生,假如密鑰的生成不隨機,將面臨非常嚴重的安全問題。
3長距離無線網(wǎng)絡安全接入技術
3.1基于TePA(三元對等鑒別)的訪問控制方法
國內(nèi)目前解決網(wǎng)絡安全接入問題主要采用擁有自主知識產(chǎn)權的虎符TePA(三元對等鑒別)技術[4]。TePA機制提供了一種安全接入方法,用來阻止接入請求者對鑒別訪問控制器系統(tǒng)的資源進行未授權的訪問,也阻止請求者誤訪問未授權的鑒別訪問控制器系統(tǒng)。例如,基于三元結構和對等鑒別的訪問控制可以用來限制用戶只能訪問公共端口,或者在一個組織內(nèi),限制組織內(nèi)資源只能被組織內(nèi)用戶訪問。它還提供了一種方法,接入請求者可以用來阻止來自未授權鑒別訪問控制器系統(tǒng)的連接。訪問控制是通過對連接在受控端口上的系統(tǒng)進行鑒別來實現(xiàn)的,根據(jù)鑒別的結果,接入請求者系統(tǒng)或鑒別訪問控制器系統(tǒng)決定是否給予對方授權,允許對方通過受控端口訪問自己的資源。如果對方?jīng)]有獲得授權,根據(jù)受控端口的狀態(tài)控制參數(shù)限制在請求者系統(tǒng)和鑒別訪問控制器系統(tǒng)間未授權的數(shù)據(jù)流動。基于三元對等鑒別的訪問控制可以被一個系統(tǒng)用來鑒別其他任何連接在它受控端口上的系統(tǒng),系統(tǒng)可以是路由器、終端設備、交換機、無線接入節(jié)點、無線基站、網(wǎng)關、應用程序等。
3.2長距離無線網(wǎng)絡安全接入?yún)f(xié)議
借鑒TePA機制的解決思路,本文設計了適用于長距離無線網(wǎng)絡安全接入?yún)f(xié)議(以下簡稱LRWM-SA),由以下2部分協(xié)議組成:(1)接入認證,提供了從BS到SS上密鑰數(shù)據(jù)的安全分發(fā),BS還利用該協(xié)議加強了對網(wǎng)絡業(yè)務的有條件訪問。(2)將網(wǎng)絡傳輸?shù)陌鼣?shù)據(jù)進行安全加密的封裝方法和協(xié)議,定義[5]:密碼組件,即認證算法和數(shù)據(jù)加密方法;密碼組件應用于報文數(shù)據(jù)載荷的規(guī)則。LRWM-SA協(xié)議出現(xiàn)的實體包括SS、BS和AS,其中AS(AuthenticaionServer)為認證服務器。從設備的表現(xiàn)形式看,AS可以是一臺服務器,也可以是一臺專用的網(wǎng)絡設備,甚至可以是一個邏輯的單元駐留于BS的內(nèi)部,用于實現(xiàn)安全子層的認證、證書管理和密鑰管理等功能。接入認證過程完成SS和BS之間的雙向身份鑒別,身份鑒別成功后,在BS和SS之間協(xié)商授權密鑰(AK);同時,BS為SS授權一系列SA。隨后緊接著進行會話密鑰(TEK)協(xié)商過程。在進行接入過程前,AS需要為BS和SS分別頒發(fā)AS使用自己證書私鑰簽名的證書,BS和SS端均需安裝AS證書,具體可以參考相關PKI(公鑰基礎設施)的文獻和技術規(guī)范。具體步驟如下:(1)BS向SS發(fā)送接入鑒別激活消息,消息內(nèi)容包含:安全接入標志、BS支持的密碼算法組件、BS信任的AS身份和BS證書。(2)SS收到接入鑒別激活消息,檢查是否兼容BS支持的密碼算法組件,如相容則驗證BS證書簽名的有效性,根據(jù)接入鑒別激活消息中的BS信任的AS身份選擇證書,構造接入鑒別請求消息并發(fā)送至BS,消息內(nèi)容包含:安全接入標志、BS和SS均支持的密碼算法組件、SS挑戰(zhàn)、SS第一證書、SS第二證書、SS信任的AS列表、BS身份和SS的消息簽名。(3)BS收到接入鑒別請求消息,利用SS簽名證書的公鑰驗證SS的消息簽名,檢查BS身份字段是否與本地的身份一致,若一致則構造證書鑒別請求消息,消息內(nèi)容包含:安全接入標志、BS的MAC地址、SS的MAC地址、BS挑戰(zhàn)、SS挑戰(zhàn)、SS第一證書、SS第二證書、BS證書、SS信任的AS列表和BS的消息簽名。(4)AS收到證書鑒別請求消息,利用BS證書的公鑰驗證BS的消息簽名,則驗證BS證書、SS第一證書和SS第二證書,然后構造證書鑒別響應消息發(fā)送至BS,消息內(nèi)容包含:安全接入標志、BS的MAC地址、SS的MAC地址、BS挑戰(zhàn)、SS挑戰(zhàn)、BS證書驗證結果、SS第一證書驗證結果、SS第二證書驗證結果、BS身份、SS身份和AS的消息簽名。(5)BS收到證書鑒別響應消息,根據(jù)BS的MAC地址、SS的MAC地址查找對應的證書鑒別請求消息,確定證書鑒別響應消息中的BS挑戰(zhàn)字段的值與本地證書鑒別請求消息中對應的BS挑戰(zhàn)字段是否相同,如果相同則使用AS證書公鑰來驗證證書鑒別響應消息簽名;驗證后,根據(jù)證書鑒別響應消息判斷SS的合法性,若SS合法則生成授權密鑰材料,利用授權密鑰材料、BS挑戰(zhàn)和SS挑戰(zhàn)推導出新的授權密鑰,使用SS第二證書的公鑰加密授權密鑰材料,然后構造接入鑒別響應消息發(fā)送至SS,消息內(nèi)容包含:安全接入標志、BS的MAC地址、SS的MAC地址、BS挑戰(zhàn)、SS挑戰(zhàn)、BS證書驗證結果、SS第一證書驗證結果、SS第二證書驗證結果、BS身份、SS身份、AS對消息進行的簽名、更新后的授權密鑰安全關聯(lián)、加密后的授權密鑰材料和BS對消息進行的簽名。(6)SS收到接入鑒別響應消息后,比較SS挑戰(zhàn)與本地先前在接入鑒別請求消息中包含的SS挑戰(zhàn)是否相同,利用BS證書公鑰驗證BS的消息簽名,利用AS證書公鑰驗證接入鑒別響應消息簽名;驗證后,根據(jù)接入鑒別響應消息判斷BS的合法性,使用SS第二證書的私鑰解密授權密鑰材料,利用授權密鑰材料、BS挑戰(zhàn)和SS挑戰(zhàn)推導出新的授權密鑰,啟用新的鑒別密鑰,將接收到的更新的授權密鑰安全關聯(lián)和此授權密鑰相關聯(lián),并使用鑒別密鑰推導出密鑰加密密鑰和消息鑒別密鑰,然后構造接入鑒別確認消息發(fā)送至BS,消息內(nèi)容包含:安全接入標志、BS挑戰(zhàn)、BS身份、更新的授權密鑰安全關聯(lián)和消息鑒別碼。(7)BS收到接入鑒別確認消息,比較BS挑戰(zhàn)與本地在證書鑒別請求消息中發(fā)送的BS挑戰(zhàn)是否相同,檢查BS身份,比較更新的授權密鑰安全關聯(lián)與接入鑒別響應消息中授權密鑰安全關聯(lián)的標識、密鑰索引、安全組件是否一致,密鑰有效期是否較短,使用本地推導出的授權密鑰進一步推導出密鑰加密密鑰和消息鑒別密鑰,根據(jù)消息鑒別碼校驗數(shù)據(jù)完整性后,使更新的授權密鑰材料生效,否則解除BS與SS的連接。在會話密鑰協(xié)商過程完成后,可以進行會話業(yè)務的保密通信。這里需要注意的是,所有密碼(包括AK和TEK)都需要進行周期性的更新,以保證不被窮盡法破解。LRWM-SA協(xié)議與PKMv1和PKMv2協(xié)議相比,具有以下優(yōu)點:(1)對長距離無線網(wǎng)絡中的認證和會話密鑰協(xié)商過程做了替換性的更改,其他內(nèi)容保留了原長距離無線網(wǎng)絡的協(xié)議定義。因此,更改后的安全協(xié)議也可以符合原長距離無線網(wǎng)絡對于無線接入的功能和性能要求。(2)在接入認證過程中,采用SS和BS的直接雙向認證替代原有的單向認證,使得BS和SS都能確認與預先確定的對方進行通信,入侵者無法冒充合法BS來騙取SS的信任,從而降低了中間人攻擊所帶來的安全威脅。(3)密鑰協(xié)商過程中,授權密鑰由BS和SS共同產(chǎn)生,避免了由BS單方面產(chǎn)生和分配,提高了密鑰的質(zhì)量,進一步增強長距離無線網(wǎng)絡的安全性。
3.3安全性分析
安全協(xié)議的形式化分析方法分為兩類:一類是基于數(shù)學分析的方法,建立數(shù)學模型,然后逐步通過定理證明來推論協(xié)議的有效性,通常用于學術界;另一類是基于符號變換的方法,把協(xié)議執(zhí)行看作符號重寫,分析協(xié)議的可達狀態(tài),匹配協(xié)議的安全目標,一般有自動化工具支持,適用于工業(yè)界。本文采用AVISPA工具中的OFMC方法對LRWM-SA協(xié)議的安全性進行分析。OFMC使用狀態(tài)、規(guī)則和攻擊規(guī)則來描述協(xié)議,AVISPA通過HLPSL來明確地描述協(xié)議和協(xié)議希望達到的安全目標,然后使用OFMC等分析工具給出分析結果。通過對眾多已存在的協(xié)議和IETF正在標準化的一些協(xié)議進行安全分析,AVISPA找出了以前沒有發(fā)現(xiàn)的缺陷,顯示了其優(yōu)越性。通過協(xié)議安全性分析,驗證了LRWM-SA協(xié)議可滿足認證性和秘密性的設計目標。
4結束語
第3篇:無線網(wǎng)絡安全論文范文
一、計算機無線網(wǎng)絡的特點
計算機網(wǎng)絡具有非常大的優(yōu)勢,以至于現(xiàn)在人們應用的越來越普遍。首先就是它的安裝成本比較低,不會像有線網(wǎng)絡那樣需要進行大面積的鋪設,能夠很大程度的降低安裝的經(jīng)濟成本,具有很強的便捷性與實惠性。其次計算機無線網(wǎng)絡的移動性較強,無線網(wǎng)絡的連接主要是依靠一些無線路由設備,將網(wǎng)絡轉(zhuǎn)化成信號的形式散發(fā)到空中,然后再由相應的設備進行接收,人們只要通過密碼等方式的連接就能夠應用此網(wǎng)絡。除此之外,還能夠連接沒有線路及電纜的設備,也可以多個設備連接同一個網(wǎng)絡。
二、現(xiàn)今狀況下無線網(wǎng)絡面臨的主要問題
(1)非法用戶的接入 現(xiàn)在的人們大多數(shù)都應用上了計算機無線網(wǎng)絡,大部分家庭在配備了無線設備之后只是簡單的進行了設置就開始投入使用,完全沒有意識到其中潛在的安全隱患,這樣就很可能會引起非法用戶接入的問題,從而使計算機網(wǎng)絡安全受到影響[1]。沒有將計算機無線網(wǎng)絡設置好很容易引起以下三個問題,第一就是網(wǎng)絡寬帶搶占的問題,網(wǎng)絡寬帶搶占就會造成網(wǎng)速減慢,原有的帶寬減小。第二就是容易使軟件侵入到計算機中,形成網(wǎng)絡中毒。第三就是路由器的配置遭到更改,導致沒有辦法正常使用。
(2)無線竊聽問題 無線網(wǎng)絡技術的數(shù)據(jù)傳輸主要是通過無線網(wǎng)通道進行的,這種方法也極大的提高了無線網(wǎng)絡的便捷性,但是這種技術在應用中也存在著很大的安全隱患,會為網(wǎng)絡的安全帶來很大的威脅。因為計算機無線網(wǎng)絡的信息都是通過無線信道來交換,全世界僅有這一條無線信道,這個信道是公開的,也就意味著一旦擁有相關設備就可以對信息進行竊聽。所以國家的一些重要部門都會對計算機無線網(wǎng)絡加以防護,若是沒有進行全面的防護就極有可能會導致一些部門的信息遭到泄露,造成巨大的損失。
(3)假冒攻擊 所謂假冒攻擊其實就是指某一個實體偽裝成另一個實體進行無線網(wǎng)絡的訪問。這種方法是最常用的突破某個安全防線的方法,在無線網(wǎng)絡的傳輸中,移動站與網(wǎng)絡控制中心之間存在著很多的不固定的物理連接,移動站要通過無線網(wǎng)絡傳輸身份信息,這時攻擊者就能夠從中截取合法用戶的身份信息,一旦截取成功,就會利用該用戶的身份入侵網(wǎng)絡。當然,在不同的網(wǎng)絡中身份假冒攻擊的目標也是有所不同的,在移動通信無線網(wǎng)絡中,因為它的工作頻帶是收費的,因此攻擊者的主要目的就是為了逃避付費[2]。而在無線區(qū)域中,工作頻帶是免費的,但是資源與信息是收費且不公開的,因此攻擊者的目的主要是非法訪問網(wǎng)絡資源。
(4)信息的篡改 信息篡改是比較常見的計算機無線網(wǎng)絡安全隱患,這種隱患對計算機無線網(wǎng)絡的應用深度有著很大的阻礙。其產(chǎn)生的原因主要是很多人都應用計算機進行信息傳輸,一旦出現(xiàn)信息篡改的安全隱患就會造成人員的信息泄露或資金損失。信息篡改的內(nèi)容主要是攻擊者將自己得到的信息進行一定的修改與修剪,然后將改后的信息發(fā)送給接收人員,這時接收人員就會收到黑洞攻擊。除此之外,攻擊者也會將篡改的信息進行惡意修改,使得用戶之間的通信被破壞掉,影響了通信人員之間的正常通信連接。
三、加強計算機網(wǎng)絡安全技術的措施
(一)防范機制
首先就是加密機制的完善。確保計算機的無線網(wǎng)絡信息安全就要對其進行嚴格的加密,計算機網(wǎng)絡的加密技術是一種常見的安全技術,其具有較強的可操作性[3]。在加密機制中,非對稱密碼是一種常見的加密機制,在各個領域的計算機無線網(wǎng)絡中都具有很強的安全保障。在非對稱密碼保護的計算機系統(tǒng)下用戶都會擁有兩個秘鑰,一個是公開的,一個是私密的,用戶可以根據(jù)信息的保密性進行秘鑰的選擇,讓信息在秘鑰的保護下安全的輸送。公開的秘鑰采用的算法是較復雜的,私密的秘鑰則是用戶個人進行解密的秘鑰設置,然而不論是公鑰還是私鑰能夠使計算機無線網(wǎng)絡避免無線設備的物理訪問。 其次就是不可否認機制,不可否認機制實際上就是利用數(shù)字簽名進行保護的一種方式,這種數(shù)字簽名應用的基礎就是公鑰密碼技術,應用這種設置后,用戶只能通過個人設置的唯一秘鑰進行簽名,然后將消息與簽名一同傳遞給驗證方,讓驗證方根據(jù)公開秘鑰來判定簽名的真?zhèn)巍_@種保護方式相較于其它的保護方式來說,可靠性較高。因為簽名具有唯一性,并且被偽造的概率較低,因此能夠有效保護計算機無線網(wǎng)絡的安全。
(二)加強身份驗證
身份驗證就是指雙方相互確認彼此是否已經(jīng)知道了某一個特定的秘密,例如二者之間共享的秘鑰。因此,在計算機網(wǎng)絡技術安全中若是想要減少身份假冒的安全隱患就要利用身份認證對雙方進行檢驗,保證雙方具有合法的身份。在實際操作中,只要雙方輸入簡單的密碼鑰匙后就能夠?qū)o線網(wǎng)絡的使用者進行身份驗證。與無線加密機制相比較,身份認證機制更能夠增加一層保障,讓計算機無線網(wǎng)絡的有效性與機密性得到進一步的提升。在如今的計算機無線網(wǎng)絡應用中身份認證已經(jīng)得到了廣泛的使用,身份假冒帶來的問題也在逐漸變少。
(三)默認設置的更改、安全意識的加強
在計算機無線網(wǎng)絡的實際應用中,大部分的人在設置時都會選擇默認設置,這種做法雖然在一定程度上為網(wǎng)絡使用者提供了便利,但是同時埋下了一些安全隱患,尤其是長期使用無線網(wǎng)絡但還是默認設置的用戶。因此計算機無線網(wǎng)絡的使用者應該定期更新計算機無線網(wǎng)絡的默認設置,也就是說要對安全口令與AP設置進行修改,為計算機無線網(wǎng)絡安全給予一個保障。同時,計算機無線網(wǎng)絡發(fā)生故障時很容易導致重要的信息丟失或者泄露,不論是計算機使用者的錯誤操作或者微弱的安全意識都有可能是導致故障發(fā)生的原因。所以用戶在使用計算機無線網(wǎng)絡時一定要加強自身的安全意識,保證自己的操作符合正確的要求,讓計算機無線網(wǎng)絡能夠安全、有效的運行。
(四)無線路由的隱藏
很多用戶在使用計算機無線網(wǎng)絡時都會將SSID打開,使得它與客戶機之間的連接效率變得更高,這種方式雖然體現(xiàn)出了極大的便捷性但是同時也存在了一定的安全隱患,很容易將非法設備接到無線網(wǎng)絡里。所以,計算機無線網(wǎng)絡用戶應該將網(wǎng)絡設置成為隱身狀態(tài),然后關閉SSID廣播,如果需要對客戶端進行連接,只要手動輸入SSID名稱即可,這樣能夠極大程度的避免非法入侵的現(xiàn)象發(fā)生,能夠有效確保計算機無線網(wǎng)絡的安全。除此之外,還可以采用加密手段進行防護,例如采用加密系數(shù)高的WPA方式對無線網(wǎng)絡進行保密。
四、計算機無線網(wǎng)絡安全技術的發(fā)展
首先就是智能化方向的發(fā)展。現(xiàn)階段智能化發(fā)展已經(jīng)成為了一種趨勢,因此計算機無線網(wǎng)絡安全技術也要向著智能化進一步發(fā)展。這就需要技術人員對計算機無線網(wǎng)絡在實際運行中出現(xiàn)的問題進行總結,然后再整改優(yōu)化。根據(jù)現(xiàn)階段的發(fā)展情況制定出合理的發(fā)展計劃,讓計算機無線網(wǎng)絡安全技術能夠穩(wěn)步向著智能化方向發(fā)展。 其次就是網(wǎng)絡安全產(chǎn)業(yè)鏈向生態(tài)環(huán)境的轉(zhuǎn)變。如今生態(tài)環(huán)境的變化速度已經(jīng)超出了預期的環(huán)境變化速度,所以網(wǎng)絡安全技術已經(jīng)不能用價值鏈條進行描述,它要向生態(tài)環(huán)境的方向發(fā)展。基于此研究人員應該總結現(xiàn)狀,制定方案,讓計算機網(wǎng)絡安全技術向著更加高效的方向發(fā)展。
第4篇:無線網(wǎng)絡安全論文范文
論文摘要:隨著高校信息化建設水平的不斷提高,無線網(wǎng)絡逐漸成為校園網(wǎng)解決方案的一個重要組成部分。該文對校園無線網(wǎng)接入進行研究,并對校園無線網(wǎng)絡的安全進行了分析,最后給出了一種適合校園網(wǎng)無線網(wǎng)絡的安全解決方案。
1 引言
在過去的很多年,計算機組網(wǎng)的傳輸媒介主要依賴銅纜或光纜,構成有線局域網(wǎng)。但有線網(wǎng)絡在實施過程中工程量大,破壞性強,網(wǎng)中的各節(jié)點移動性不強。為了解決這些問題,無線網(wǎng)絡作為有線網(wǎng)絡的補充和擴展,逐漸得到的普及和發(fā)展。
在校園內(nèi),教師與學生的流動性很強,很容易在一些地方人員聚集,形成“公共場所”。而且隨著筆記本電腦的普及和Intemet接入需求的增長,無論是教師還是學生都迫切要求在這些場所上網(wǎng)并進行網(wǎng)上教學互動活動。移動性與頻繁交替性,使有線網(wǎng)絡無法靈活滿足他們對網(wǎng)絡的需求,造成網(wǎng)絡互聯(lián)和Intemet接入瓶頸。
將無線網(wǎng)絡的技術引入校園網(wǎng),在某些場所,如網(wǎng)絡教室,會議室,報告廳、圖書館等區(qū)域,可以率先覆蓋無線網(wǎng)絡,讓用戶能真正做到無線漫游,給工作和生活帶來巨大的便利。隨后,慢慢把無線的覆蓋范圍擴大,最后做到全校無線的覆蓋。
2 校園網(wǎng)無線網(wǎng)絡安全現(xiàn)狀
在無線網(wǎng)絡技術成熟的今天,無線網(wǎng)絡解決方案能夠很好滿足校園網(wǎng)的種種特殊的要求,并且擁有傳統(tǒng)網(wǎng)絡所不能比擬的易擴容性和自由移動性,它已經(jīng)逐漸成為一種潮流,成為眾多校園網(wǎng)解決方案的重要選擇之一。隨著校園網(wǎng)無線網(wǎng)絡的建成,在學校的教室、辦公室、會議室、甚至是校園草坪上,都有不少的教師和學生手持筆記本電腦通過無線上網(wǎng),這都源于無線局域網(wǎng)拓展了現(xiàn)有的有線網(wǎng)絡的覆蓋范圍,使隨時隨地的網(wǎng)絡接入成為可能。但在使用無線網(wǎng)絡的同時,無線接入的安全性也面臨的嚴峻的考驗。目前無線網(wǎng)絡提供的比較常用的安全機制有如下三種:① 基于MAC地址的認證。基于 MAC地址的認證就是MAC地址過濾,每一個無線接入點可以使用 MAC地址列表來限制網(wǎng)絡中的用戶訪問。實施 MAC地址訪問控制后,如果MAC列表中包含某個用戶的MAC地址,則這個用戶可以訪問網(wǎng)絡,否則如果列表中不包含某個用戶的MAC地址,則該用戶不能訪問網(wǎng)絡。② 共享密鑰認證。共享密鑰認證方法要求在無線設備和接入點上都使用有線對等保密算法。如果用戶有正確的共享密鑰,那么就授予該用戶對無線網(wǎng)絡的訪問權。③ 802.1x認證。802.1x協(xié)議稱為基于端口的訪問控制協(xié)議,它是個二層協(xié)議,需要通過 802.1x客戶端軟件發(fā)起請求,通過認證后打開邏輯端口,然后發(fā)起 DHCP請求獲得IP以及獲得對網(wǎng)絡的訪問。
可以說 ,校園網(wǎng)的不少無線接入點都沒有很好地考慮無線接入的安全問題,就連最基本的安全,如基于MAC地址的認證或共享密鑰認證也沒有設置,更不用說像 802.1 x這樣相對來說比較難設置的認證方法了。如果我們提著筆記本電腦在某個校園內(nèi)走動,會搜索到很多無線接入點,這些接入點幾乎沒有任何的安全防范措施,可以非常方便地接入。試想,如果讓不明身份的人進入無線網(wǎng)絡,進而進入校園網(wǎng),就會對我們的校園網(wǎng)絡構成威脅。
3 校園網(wǎng)無線網(wǎng)絡安全解決方案
校園網(wǎng)內(nèi)無線網(wǎng)絡建成后,怎樣才能有效地保障無線網(wǎng)絡的安全?前面提到的基于 MAC地址的認證存在兩個問題,一是數(shù)據(jù)管理的問題,要維護 MAC數(shù)據(jù)庫,二是 MAC可嗅探,也可修改;如果采用共享密鑰認證,攻擊者可以輕易地搞到共享認證密鑰;802.1x定義了三種身份:申請者(用戶無線終端)、認證者(AP)和認證服務器。整個認證的過程發(fā)生在申請者與認證服務器之間,認證者只起到了橋接的作用。申請者向認證服務器表明自己的身份,然后認證服務器對申請者進行認證,認證通過后將通信所需要的密鑰加密再發(fā)給申請者。申請者用這個密鑰就可以與AP進行通信。
雖然 802.1x仍舊存在一定的缺陷,但較共享密鑰認證方式已經(jīng)有了很大的改善,IEEE 802.11i和 WAPI都參考了802.1x的機制。802.1x選用EAP來提供請求方和認證服務器兩者之間的認證服務。最常用的EAP認證方法有EAP-MD5、EAP-TLS和PEAP等。Microsoft為多種使用802.1x的身份驗證協(xié)議提供了本地支持。在大多數(shù)情況下,選擇無線客戶端身份驗證的依據(jù)是基于密碼憑據(jù)驗證,或基于證書驗證。建議在執(zhí)行基于證書的客戶端身份驗證時使用EAP-TLS;在執(zhí)行基于密碼的客戶端身份驗證時使用EAP-Microsoft質(zhì)詢握手身份驗證協(xié)議版本2(MSCHAPv2),該協(xié)議在PEAP(Protected Extensible Authentication Protoco1)協(xié)議中,也稱作PEAP-EAP-MSCHAPv2。
轉(zhuǎn)貼于
考慮到校園群體的特殊性,為了保障校園無線網(wǎng)絡的安全,可對不同的群體采取不同的認證方法。在校園網(wǎng)內(nèi),主要分成兩類不同的用戶,一類是校內(nèi)用戶,一類是來訪用戶。校內(nèi)用戶主要是學校的師生。由于工作和學習的需要,他們要求能夠隨時接入無線網(wǎng)絡,訪問校園網(wǎng)內(nèi)資源以及訪問Internet。這些用戶的數(shù)據(jù),如工資、科研成果 、研究資料和論文等的安全性要求比較高。對于此類用戶,可使用 802.1x認證方式對用戶進行認證。來訪用戶主要是來校參觀、培訓或進行學術交流的一些用戶。這類用戶對網(wǎng)絡安全的需求不是特別高,對他們來說最重要的就是能夠非常方便而且快速地接入Intemet,以瀏覽相關網(wǎng)站和收發(fā)郵件等。針對這類用戶,可采用DHCP+強制Portal認證的方式接入校園無線網(wǎng)絡。
如圖所示,開機后,來訪用戶先通過DHCP服務器獲得IP地址。當來訪用戶打開瀏覽器訪問Intemet網(wǎng)站時,強制Porta控制單元首先將用戶訪問的Intemet定向到Portal服務器中定制的網(wǎng)站,用戶只能訪問該網(wǎng)站中提供的服務,無法訪問校園網(wǎng)內(nèi)部的其他受限資源,比如學校公共數(shù)據(jù)庫、圖書館期刊全文數(shù)據(jù)庫等。如果要訪問校園網(wǎng)以外的資源,必須通過強制Portal認證.認證通過就可以訪問Intemet。對于校內(nèi)用戶,先由無線用戶終端發(fā)起認證請求,沒通過認證之前,不能訪問任何地方,并且不能獲得IP地址。可通過數(shù)字證書(需要設立證書服務器)實現(xiàn)雙向認證,既可以防止非法用戶使用網(wǎng)絡,也可以防止用戶連入非法AP。雙向認證通過后,無線用戶終端從DHCP服務器獲得IP地址。無線用戶終端獲得IP地址后,就可以利用雙方約定的密鑰,運用所協(xié)商的加密算法進行通信,并且可以重新生成新的密鑰,這樣就很好地保證了數(shù)據(jù)的安全傳輸。
使用強制 Portal+802.1x這兩種認證方式相結合的方法能有效地解決校園網(wǎng)無線網(wǎng)絡的安全,具有一定的現(xiàn)實意義。來訪用戶所關心的是方便和快捷,對安全性的要求不高。強制 Portal認證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認證后即可上網(wǎng)。采用此種方式,對來訪用戶來說簡單、方便、快速,但安全性比較差。雖然用戶名和密碼可以通過 SSL加密,但傳輸?shù)臄?shù)據(jù)沒有任何加密,任何人都可以監(jiān)聽。當然,必須通過相應的權限來限制和隔離此類用戶,確保來訪用戶無法訪問校園網(wǎng)內(nèi)部資料,從而保證校園網(wǎng)絡的高安全性。校內(nèi)用戶所關心的主要是其信息的安全,安全性要求比較高。802.1x認證方式安裝設置比較麻煩,設置步驟也比較多,且要有專門的802.1x客戶端,但擁有極好的安全性,因此針對校內(nèi)用戶可使用802.1x認證方式,以保障傳輸數(shù)據(jù)的安全。
4 結束語
校園網(wǎng)各區(qū)域分別覆蓋無線局域網(wǎng)絡以后,用戶只需簡單的設置就可以連接到校園網(wǎng),從而實現(xiàn)上網(wǎng)功能。特別是隨著迅馳技術的發(fā)展,將進一步促進校園網(wǎng)內(nèi)無線網(wǎng)絡的建設。 現(xiàn)在,不少高校都已經(jīng)實現(xiàn)了整個校園的無線覆蓋。但在建設無線網(wǎng)絡的同時,由于對無線網(wǎng)絡的安全不夠重視,對校園網(wǎng)無線網(wǎng)絡的安全考慮不夠。在這點上,學校信息化辦公室和網(wǎng)管中心應該牽頭,做好無線網(wǎng)絡的安全管理工作,并完成全校無線網(wǎng)絡的統(tǒng)一身份驗證,做到無線網(wǎng)絡與現(xiàn)有有線網(wǎng)絡的無縫對接,確保無線網(wǎng)絡的高安全性。
參考文獻
第5篇:無線網(wǎng)絡安全論文范文
1.無線網(wǎng)絡技術
無線網(wǎng)絡,目前采用的技術主要是802.11a/b/g/n系列。WLAN利用無線技術在空中傳輸數(shù)據(jù)、話音和視頻信號,作為傳統(tǒng)布線網(wǎng)絡的一種替代方案或延伸。
無線醫(yī)療中發(fā)展與應用
無線醫(yī)療系統(tǒng)建立了從醫(yī)護士站到病人床邊之間的信息化應用和服務,將信息高速公路延伸到病人床邊,解決了“最后幾十米”的問題。無線醫(yī)療系統(tǒng)的應用使病人診療信息鏈條完整地串聯(lián)起來,實現(xiàn)了流程和數(shù)據(jù)的全程信息化管理,提升醫(yī)院信息化應用水平。
無線網(wǎng)絡方案的選擇
1.1傳統(tǒng)無線網(wǎng)絡的解決方案
一般以覆蓋區(qū)內(nèi)原來的有線局域網(wǎng)為基礎,再配以無線接入點、網(wǎng)橋、無線適配器、AAA服務器的設備組成。無線接入點都分散在覆蓋區(qū)域里,提供RF信號和用戶安全管理和接入訪問策略;無線適配器安裝在用戶不同終端里,在整個覆蓋區(qū)指定的范圍內(nèi)通過臨近AP制定安全策略連接到無線網(wǎng)絡。AAA服務器則一般安裝在無線網(wǎng)絡的出口處或在整個有線局域網(wǎng)絡旁路,負責所有用戶帳號的統(tǒng)一管理和基于網(wǎng)關形式的策略控制。
1.2基于無線網(wǎng)絡控制器的解決方案
包括:無線網(wǎng)絡控制器、瘦無線接入點(FitAP)、無線傳感器、AAA服務器等。所有這些設備聯(lián)在一起,在有線局域網(wǎng)絡的基礎上以瘦AP和傳感器為邊界,無線控制器為核心的無線網(wǎng)絡。
1.2.1無線信號發(fā)射裝置的選擇
由于無線發(fā)射設備對敏感性醫(yī)療器械和其他醫(yī)療設備是否存在不良干擾的問題上沒有權威的測試和定論,故在選擇無線產(chǎn)品時,務必選擇已通過國家無線電發(fā)射設備型號核準認證及CCC認證的產(chǎn)品,以確保其無線發(fā)射裝置的可靠性、穩(wěn)定性及安全性均符合要求。
1.2.2無線部署原則
無線網(wǎng)絡部署時,以信號范圍最大化為原則,兼顧重點區(qū)域及重點應用,同時充分考慮實際應用效果、網(wǎng)絡安全、信號干擾、易于管理維護等方面,在保證網(wǎng)絡穩(wěn)定性、兼容性、安全性、保密性的同時,兼顧考慮網(wǎng)絡擴容,為今后網(wǎng)絡擴容做好預留。
無線信號發(fā)射裝置的安裝
(1)安裝前提供地勘報告;
(2)無線AP設備的安裝位置應考慮實用、易操作、易維護及相對安全的位置;
(3)饋線不能承重,防止斷裂或損壞;
(4)室內(nèi)無線AP安裝環(huán)境:溫度0℃40℃,濕度10%-90%;
(5)室外無線AP安裝環(huán)境:溫度-20℃55℃,濕度0到100%,同時考慮雷擊、雨淋、高溫和低溫等自然災害的防護。
(6)部分特殊醫(yī)療檢查、治療區(qū)域內(nèi)不設置無線設備,防止信號干擾,可采用有線網(wǎng)絡;圍的天線部署方式,最好選擇發(fā)射功率可調(diào)可控的AP:
(8)無線部署實施前因詳細進行實地勘察,減少無線信號干擾風險;
(9)無線信道應避免對同頻醫(yī)療設備的干擾,可采用信道優(yōu)化等措施,減少與無線醫(yī)療設備的同頻干擾;
(10)選擇射頻可定時開啟和關閉的設備,根據(jù)一些特殊醫(yī)療設備的使用時間控制開關無線射頻。
1.2.3安全防范
安全問題是無線局域網(wǎng)部署必須首要考慮的因素,也是制約無線網(wǎng)絡技術推廣的關鍵因素之一,應考慮如下安全防范措施。
1.2.4安全認證
(1)用戶
接入身份認證:支持802.1x、WAPI等多種安全認證手段,確保合法的用戶接入網(wǎng)絡;
訪問權限控制:只能訪問自身權限允許的區(qū)域。
(2)終端:
MAC地址認證:只允許指定MAC地址的終端接入網(wǎng)絡,防止非法接入。
入侵檢測:非法終端接入時,向管理員發(fā)出警報
(3)接入AP
AP接入認證、非法AP檢測、AP隱藏及信道自動調(diào)整功能等。
2.加密技術
應支持WPA(TKIP)、WPA2(AE8)、WPAPSK、WEP等多種數(shù)據(jù)加密方式。
3.安全策略
針對各自無線網(wǎng)絡特點,采用適當?shù)陌踩呗裕WC網(wǎng)絡的安全性和保密性。常用的安全策略有:管理策略、操作策略、技術策略、隔離策略、防病毒策略、防攻擊策略、密碼策略等。
4.小結
隨著無線網(wǎng)絡技術和無線產(chǎn)品的日趨成熟,無線網(wǎng)絡在醫(yī)療行業(yè)的運用更加廣泛,如能根據(jù)自身實際情況,綜合考量,明確需求,做好規(guī)劃和部署,無線醫(yī)療將成為提升醫(yī)院信息化水平的亮點,開創(chuàng)醫(yī)院信息化管理的新局面。
參考文獻
[1]仲曉偉醫(yī)院構建無線網(wǎng)絡方案的探討[期刊論文] 中國醫(yī)療設備,2013(2)
第6篇:無線網(wǎng)絡安全論文范文
論文關鍵詞:無線局域網(wǎng);校園網(wǎng);IEEE802.11;AP;子網(wǎng)設計
隨著網(wǎng)絡應用日益豐富,傳統(tǒng)局域網(wǎng)絡已經(jīng)不能滿足師生對移動網(wǎng)絡的要求,無線局域網(wǎng)作為有線網(wǎng)絡的補充手段,被更多的師生所認同和接受。眾多師生開始在無線局域網(wǎng)中開展各種應用業(yè)務,教學、科研、管理、生活正在悄悄地改變。雖然如今無線局域網(wǎng)還不能完全脫離有線網(wǎng)絡,但近年來,隨著無線局域網(wǎng)技術業(yè)趨向成熟,無線局域網(wǎng)與有線網(wǎng)絡的無縫連接,無線局域網(wǎng)正在以它的較高傳輸能力和很好的靈活性在高校各項應用中發(fā)揮日益重要的作用。
1 無線局域網(wǎng)基礎知識與架構
1.1 無線局域網(wǎng)
無線局域網(wǎng)(Wireless Local Area Network,WLAN)是指以無線信道作為傳輸媒介的計算機局域網(wǎng)絡,是計算機網(wǎng)絡與無線通信技術相結合的產(chǎn)物,它以無線多址信道作為傳輸媒介,提供傳統(tǒng)有線局域網(wǎng)的功能,能夠使用戶真正實現(xiàn)隨時、隨地、隨意的寬帶網(wǎng)絡接入。
1.2 無線局域網(wǎng)的技術標準
無線局域網(wǎng)是利用射頻技術實現(xiàn)無線通信的局域網(wǎng)絡。該技術產(chǎn)生于20世紀80年代,WLAN主要是作為傳統(tǒng)布線LAN的延展和替代,它能支持較高數(shù)據(jù)速率(1~300Mbit/s)、采用微蜂窩、微微蜂窩結構的,自主管理的計算機局部網(wǎng)絡。還可以采用無線電或紅外線作為傳輸媒質(zhì),采用擴展頻譜技術,移動的終端可通過無線接人點來實現(xiàn)對Internet的訪問。無線局域網(wǎng)有以下常用標準:
1)IEEE802.11b
802.11b(通常又稱Wireless Fidelity,WI-FI),是現(xiàn)在最普及的無線標準之一。設備工作在2.4GHz的范圍內(nèi),帶寬可以達到11Mbps。
2)IEEE802.11a
802.11a標準是一個獲得正式批準的無線以太網(wǎng)標準。它工作在5GHz頻段上,使用正交頻分復用技術,將5GHz分為多個重疊的頻率,在每個子信道上進行窄帶調(diào)制和傳輸,以減少信道之間的相互干擾,使帶寬可以達到54Mbps。
3)IEEE802.11g
802.11g是一種混合標準,能向下兼容傳統(tǒng)的802.11b標準。IEEE802.11g的54Mbps高數(shù)據(jù)吞吐量比802.11b快出5倍,將改善已有的應用性能,使高帶寬數(shù)據(jù)應用成為可能。802.11品可以在同一個網(wǎng)絡中與802.11b產(chǎn)品結合使用。
4)IEEE802.11n
IEEE802.11n將WLAN的傳輸速率從802.11a和802.11g的54Mbps增加至108Mbps以上,最高速率可達320Mbps。與以往的802.11標準不同,802.11n協(xié)議為雙頻工作模式(包含2.4GHz和5GHz兩個工作頻段)。這樣11n保障了以往的802.11a、b、g標準兼容。另外,天線技術及傳輸技術使無線局域網(wǎng)的傳輸距離大大增加,可以達到幾公里(并且能夠保障100Mbps的傳輸速度)。
2 校園無線網(wǎng)絡應用與優(yōu)勢
無線局域網(wǎng)以其靈活布設、高帶寬和無線接人的優(yōu)勢,可以突破有線網(wǎng)絡節(jié)點限制、實現(xiàn)多人同時上網(wǎng)的問題,大大地增加了校園網(wǎng)絡信息點,方便在校師生獲取信息,進一步提升學校的信息化水平。
2.1 無線局域網(wǎng)的優(yōu)點
1) 安裝維護方便無線局域網(wǎng)的安裝簡單,無需破墻、掘地、穿線架管,這樣避免對建筑物及周邊環(huán)境影響,減少網(wǎng)絡布線工作量,一般只要安裝一個或多個接入點AP設備,就可建成覆蓋整個建筑或地區(qū)的局域網(wǎng)絡。一旦發(fā)生事故,不必尋找損壞路線,只要檢查信號發(fā)送端與接收端的信號是否正常即可。
2) 易于擴展
無線局域網(wǎng)技術有對等模式、中心模式、中繼組網(wǎng)模式等多種配置方式,能夠根據(jù)需要靈活選擇。
3) 經(jīng)濟節(jié)約
由于有線網(wǎng)絡缺少靈活性,這就要求網(wǎng)絡規(guī)劃者盡可能地考慮未來發(fā)展的需要,這就往往導致預設大量利用律較低的信息點。而一旦網(wǎng)絡的發(fā)展超出了設計規(guī)劃,又要花費較多費用進行網(wǎng)絡改造。而無線局域網(wǎng)可以避免或減少以上情況的發(fā)生。
4) 使用靈活在有線網(wǎng)絡中,網(wǎng)絡設備的安放位置受網(wǎng)絡信息點位置的限制。而一旦無線局域網(wǎng)建成后,在無線網(wǎng)的信號覆蓋區(qū)域內(nèi)任何一個位置都可以接入網(wǎng)絡。
5) 傳輸速率高
無線局域網(wǎng)技術能夠提供高速數(shù)據(jù)帶寬,其中IEEE802.11g能提供的數(shù)據(jù)傳輸速率現(xiàn)在已經(jīng)能夠達到54Mbit/s。可以滿足用戶上網(wǎng)的實際需要。
2.2 無線校園網(wǎng)的網(wǎng)絡應用
1)電子網(wǎng)絡課堂教學。可以通過無線網(wǎng)絡進行教學,拓展了知識空間。
2)移動教學。上課不用再聚集于教室,打破了空間的限制,拓展了地域空間。
3)隨時互動輔導。師生不必在課堂上直接對話,拓展了教學空間。
4)科研與教學。校園師生可以隨時、隨地地從網(wǎng)上獲取學術信息,獲取無限的網(wǎng)絡資源。
5)無線多媒體業(yè)務。無線活動教室;虛擬現(xiàn)實的學習環(huán)境;無線視頻監(jiān)控;校園語音電話及網(wǎng)上視頻點播。
3 校園無線網(wǎng)絡的規(guī)劃與設計
3.1 網(wǎng)絡需求分析
本文所討論的無線校園網(wǎng)的規(guī)劃是以江陰職業(yè)技術學院為對象,本學院地處江陰市南郊,占地500畝。校園內(nèi)共有大小建筑27幢,師生員工9000余人,地理環(huán)境簡單,考慮滿足以下幾個方面的需求:
1)建設一個滿足教學和工作需要的安全可靠的無線校園網(wǎng)絡;
2)無線與有線的統(tǒng)一:高校網(wǎng)絡一般已經(jīng)建設了有線網(wǎng)絡,無線網(wǎng)絡建設必須在原有的有線網(wǎng)絡上進行,并實現(xiàn)網(wǎng)絡互聯(lián)、認證計費、安全防御等方面與有線網(wǎng)絡進行良好的兼容和互補。這就要求校園有線網(wǎng)絡的架構不需要任何改變,只需用原有的網(wǎng)管、認證、計費系統(tǒng)就可以對無線網(wǎng)絡進行管理和統(tǒng)一認證。
3)所有教學樓及實訓實驗大樓:各層走廊和教室均要求信號覆蓋;所有學生宿舍樓:鑒于各宿舍都有有線接通,盡量覆蓋各宿舍(不做要求);籃球場及足球場:信號要求完全覆蓋;室內(nèi)體育館:信號要求完全覆蓋;各建筑周圍的草坪和場所:信號要求完全覆蓋;行政樓:要求信號完全覆蓋;學生食堂:要求信號完全覆蓋;教師宿舍樓:要求信號完全覆蓋;要求能提供1000并發(fā)用戶能力;
4)各信號輸出點信號強度10-15dbm;將按照2.4G工作頻段2.412~2.462GHz(FCC)分為channel1、channel6、channel11三個完全不干擾頻段設計;要求室內(nèi)容許最大覆蓋距離為35—100米,室外容許最大距離100—400米。
5)校園無線網(wǎng)絡在支持數(shù)據(jù)轉(zhuǎn)發(fā)的同時支持數(shù)據(jù)、語音等多種業(yè)務,網(wǎng)絡應該具有其它智能業(yè)務擴展的能力,滿足學院的多功能發(fā)展需求;
6)現(xiàn)在建設高校無線網(wǎng)絡,除了要考慮對現(xiàn)有IPv4網(wǎng)絡終端的無線接入,還要支持高性能的IPv6的用戶接入,以適應網(wǎng)絡發(fā)展趨勢,并保護網(wǎng)絡投資。
3.2 無線校園網(wǎng)的設計
3.2.1 校園無線網(wǎng)絡拓撲結構設計
對于局部無線網(wǎng)絡,主要采用的是以AP或者無線交換機等為中心結點的星型結構,其目的是為了滿足多用戶的需求。而如果建設全局無線校園網(wǎng),可將網(wǎng)絡劃分為核心層、分布層、接入層進行設計,在整體上一般采用以樹型和星型混合的拓撲結構。
3.2.2 校園無線網(wǎng)絡物理結構設計
本校已經(jīng)建成了“千兆主干,百兆交換到桌面”,信息點覆蓋教學、辦公、圖書和實驗等大樓主要部分的校園網(wǎng),在目前的校園網(wǎng)環(huán)境下,借助于輕型AP模式架構,可以在現(xiàn)有校園有線網(wǎng)絡的基礎上建立邏輯獨立的無線網(wǎng)絡。
通常模式下所有無線數(shù)據(jù)及控制流量均交由無線控制器來處理,所以我們采用現(xiàn)有校園網(wǎng)的交換機/路由器組成集中控制管理的“覆蓋式”(Overlay)無線網(wǎng)絡設計,如圖1所示。
修改現(xiàn)有校園網(wǎng)交換機的VLAN參數(shù)設置、路由設置,使得AP盡量不與一般有線網(wǎng)絡設備混合在同一個VLAN中,避免有線設備的異常流量阻斷AP和無線控制器之間的通訊;將連接在同一交換機端口下的所有AP放置在一個受保護的VLAN中,設計時統(tǒng)一分配給這些AP靜態(tài)IP地址,以便于管理;采用核心交換機搭配無線控制模塊的方式,進一步減小AP和無線控制器的AP-Manager之間端到端環(huán)回延遲,保證AP能夠順利連接在現(xiàn)有的校園網(wǎng)接入交換機上。
3.2.3 無線校園網(wǎng)的構建方法
校園無線網(wǎng)絡構建的兩種方法。第一,閥值法。通過調(diào)整AP的閥值設置,控制AP接入覆蓋范圍,從而在相同覆蓋面積條件下,通過增加AP數(shù)量,提高系統(tǒng)容量。第二種,頻率復用。學校人群主要由管理人員、教師、科研人員和大量學生構成,以上人群工作和學習生活分布在以下區(qū)域:圖書館、教學樓、辦公樓、實驗研究樓、學生宿舍、運動場以及各類休閑場地(草坪廣場等)。
因此,在同一覆蓋范圍內(nèi)的多個AP利用802.11g規(guī)定的13個可用信道中相互干擾最小信道1、6、11三個信道進行設計,客戶端無線網(wǎng)卡根據(jù)各AP信號強度,選擇不同信道工作,從而提高系統(tǒng)容量。
3.2.4 室內(nèi)網(wǎng)絡組建
室內(nèi)的范圍主要包括所有的教室、實驗室、辦公室等,在這些場合中主要需要解決兩大問題,即AP的覆蓋范圍和AP的容量問題。由于AP是通過微波來進行數(shù)據(jù)傳輸?shù)模覂?nèi)要考慮的首要問題就是信號覆蓋的問題。由于辦公室、教室、實驗室被各種墻面分割,這對信號的衰減影響很大,因此在室內(nèi)構建無線局域網(wǎng)時必須對建筑物的信號強度進行詳細測試。在合理地分析各個AP的容量與覆蓋面后,還需考慮信號衰減因素,適當?shù)卦黾覣P個數(shù)來減少數(shù)據(jù)盲區(qū)。室內(nèi)組建簡圖見圖2。
兩個AP的放置要保證AP覆蓋區(qū)域無間隙并且AP重疊區(qū)域最小。相鄰AP工作在不同頻道,以1、6、11三個頻道實現(xiàn)全方位的覆蓋。根據(jù)經(jīng)驗值,當相鄰AP設定相同頻點時,要求間隔25米以上;當相鄰AP設定相鄰頻點時,要求AP間隔16米以上;當AP設定相隔頻點時,要求間隔12米以上。
對于房間多、用戶數(shù)量不多但分布較分散的樓宇,如教學樓等,用戶主要為學生、教師,因此應用肯定會比較頻繁,由于樓長、墻體結構厚、房間多等特點,所以在該環(huán)境下覆蓋AP安裝在樓道內(nèi),通過內(nèi)置天線覆蓋樓道兩側房間,微波通過房間的門窗傳輸?shù)绞覂?nèi),實現(xiàn)了比較細膩的覆蓋環(huán)境,AP通過有線接入到樓層交換機。
3.2.5 室外無線網(wǎng)絡組建
室外設備的AP使用數(shù)量基本也遵循室內(nèi)的條件,但室外AP的放置和設計又有它自己的特點。由于室外環(huán)境的特殊性和不確定性,我們放置的設備必須是在密封盒內(nèi)的,天線布置應該增加避雷器防止雷擊,不提供本地供電的場所選用遠程供電設備。我們通過室外無線接入點外接增益天線的方式覆蓋室外區(qū)域,體現(xiàn)覆蓋范圍最大化的覆蓋原則來保證無線用戶需求。
從整體上對學院室外部分進行規(guī)劃,通過室外建設WLAN射頻基站對室外和室內(nèi)用戶進行無線覆蓋。室外射頻基站由室外型AP、外接天線(全向、扇區(qū))以及配套避雷設備組成。根據(jù)復雜的室外建筑結構,外接天線的選擇更加尤為重要。選擇天線型號時應根據(jù)現(xiàn)場環(huán)境考慮增益、水平波束寬度、垂直波束寬度、極化方式、視覺效果(尺寸、外形、重量)等因素。
學校體育場、足球場、教學樓宇間公共區(qū)域等,一般是學校需要實現(xiàn)無線覆蓋的室外公共區(qū)域。根據(jù)需覆蓋的室外區(qū)域的實際情況,可以設計建立多個無線覆蓋基站,采用重疊交叉無線覆蓋的方式,完成區(qū)域的無縫無線覆蓋。選用室外型無線路由器,在空曠地方,信號傳輸距可以達到300M~600M左右,視空間大小可以使用多個,或者使用室外無線AP,配合室外大夾角定向天線,成功實現(xiàn)系統(tǒng)設計目標。簡單設計如圖3所示。
4 無線校園網(wǎng)的網(wǎng)絡安全設計
當一個無線局域網(wǎng)組建成功后,用戶最關心的是無線局域網(wǎng)的安全問題。為了保證網(wǎng)絡安全,我們可以從以下幾個方面考慮:
1)用戶接入認證控制:原有線校園網(wǎng)絡已經(jīng)部署了用戶認證系統(tǒng),建成后的無線網(wǎng)絡必須完全融合進該認證系統(tǒng)中。
2)基于用戶的訪問策略:不同的用戶可能有不同的上網(wǎng)行為,包括HTTP、FTP、語音等,針對不同的應用,應加以配置不同的行為控制權限,保障不同用戶的網(wǎng)絡互訪的安全性。
3)受保護的無線數(shù)據(jù)傳輸:無線網(wǎng)絡安全事件往往會發(fā)生在數(shù)據(jù)傳輸階段。因此,建成的無線網(wǎng)絡必須能夠滿足合法的無線用戶與無線接入點數(shù)據(jù)傳輸?shù)陌踩裕约盁o線接入點與上行網(wǎng)絡之間數(shù)據(jù)傳輸?shù)陌踩浴?/p>
第7篇:無線網(wǎng)絡安全論文范文
關鍵詞:無線局域網(wǎng)絡,無線漫游,無線接入
1. 前言
計算機的發(fā)展日新月異,其應用已經(jīng)滲透到社會上各個領域。在高等院校,計算機機房為計算機專業(yè)學生提供了理論學習和動手操作的重要場所,在日常教學中扮演著重要的角色。我院軟件學院成立至今,機房從原有的9個迅速增加到現(xiàn)有24個,足見機房在日常教學中不可或缺的地位。然而,隨著舊機房電腦日益老化且配置相對較低,現(xiàn)已難以滿足日常教學的要求,如何建設一批靈活高效的現(xiàn)代化網(wǎng)絡機房成為我們機房工作人員急需思考的問題。
2. 機房現(xiàn)狀以及機房建設方案設定
目前,我院計算機機房的使用率高,大部分機房一天需排課12節(jié),承擔著艱巨的教學任務。本人經(jīng)過調(diào)查研究,就機房現(xiàn)存問題與建設方案分析如下:
(1)教學軟件更新快,對硬件的要求越來越高。例如:運行網(wǎng)絡虛擬機(VMware)、oracle數(shù)據(jù)庫、SQL2005等軟件機器根本運行不了,運行這些軟件至少需要提供1G以上的內(nèi)存,但我院有一半機房電腦內(nèi)存只有512M,有些還是從256M升級來的。
(2)機房電腦反應慢。機房除了安裝一些常用軟件還要安裝專業(yè)教學軟件,由于機房資源緊張,往往幾個不同專業(yè)的學生需要共用一個機房,為了提供不同專業(yè)的學生學習,需要安裝各類專業(yè)教學軟件,從而增加了機器的負擔,導致系統(tǒng)反應過慢。另外,還有病毒、系統(tǒng)漏洞等引起。
(3)設備故障率高,直接影響教學效果,同時給機房工作人員增加很大的工作量。原因一方面是設備使用頻率高,時間長,會自己出現(xiàn)各種故障;另外,學生上機操作不當是引起設備故障的重要原因之一。畢業(yè)論文,無線漫游。。
(4)學生攜帶筆記本電腦進入機房,對機房網(wǎng)絡提出了新的要求。目前,隨著筆記本電腦的普及,越來越多的學生上課時攜帶筆記本電腦進入機房,然而現(xiàn)機房里的電源插座、網(wǎng)線接口都是按信息接入點分配固定好的,筆記本電腦進入機房就需要為它們另外提供電源插座,網(wǎng)線接口。網(wǎng)線也都是機房建設時預埋好的,沒有多余的接口,學生就只有從原來的信息點上把網(wǎng)線接口撥下插到自己的筆記本上來使用,這樣來回插撥,容易引起網(wǎng)線頭松動令網(wǎng)絡不通暢。有時也不失有個別學生蓄意破壞機房網(wǎng)線,這也對機房的網(wǎng)絡提出了更新更高的要求。
針對我院機房的現(xiàn)狀,提出組建筆記本無線局域網(wǎng)機房,利用無線局域網(wǎng)技術(WirelessLocal-Area Network,WLAN),再結合筆記本電腦組建靈活高效的現(xiàn)代化網(wǎng)絡機房,為我院教育信息化建設做好鋪墊。本文將詳細介紹組建無線局域網(wǎng)的全過程。
3.無線局域網(wǎng)機房的優(yōu)勢和特點
隨著網(wǎng)絡技術與無線通信技術的蓬勃發(fā)展,網(wǎng)絡組建技術從傳統(tǒng)有線網(wǎng)絡發(fā)展到無線網(wǎng)絡,而作為無線網(wǎng)絡之一的無線局域網(wǎng)以其布線容易、組網(wǎng)靈活、移動性高等優(yōu)勢在網(wǎng)絡中發(fā)揮重要的作用。與有線局域網(wǎng)相比無線局域網(wǎng)具有以下特點:
(1)無線網(wǎng)絡建設更加便捷。相對于有線局域網(wǎng)來說,無線局域網(wǎng)免去或減少了大量布線工作,在建設時不需要挖地槽、穿墻。一般只需要安裝一個或多個無線訪問點(Access Point,AP)設備就可以覆蓋到整個建筑。
(2)無線局域網(wǎng)具有高移動性,可實現(xiàn)漫游功能。在無線局域網(wǎng)的信號覆蓋范圍內(nèi),無線終端可以任意移動,在不同AP之間可以實現(xiàn)無線漫游功能,總是與網(wǎng)絡保持連接狀態(tài),不受有線網(wǎng)絡束縛。
(3)無線局域網(wǎng)組網(wǎng)靈活,終端接入簡單。靈活組建臨時無線網(wǎng)絡,不需要布線,不會影響整個網(wǎng)絡拓撲結構,無線終端接入只需簡單的設置就可以接入網(wǎng)絡。
4. 組建筆記本無線局域網(wǎng)機房實施方案探討
4.1 設計原則
對機房內(nèi)部進行無線信號的完全覆蓋,以便無線終端在機房里能實現(xiàn)漫游。為給無線傳輸提供良好的質(zhì)量與可靠性,需要合理布置AP,以便每個AP達到最佳功效,基本保證每個AP至多接入20—30個無線用戶,在機房放置4個AP,最多可以接入80—120個用戶。另外還需要寬帶路由器,利用路由器的管理功能來控制流量、禁止學員訪問不健康網(wǎng)站。
4.2 設計方案
學校的有線網(wǎng)絡已有規(guī)模,因此可以利用原先的信息點,即路由器通過雙絞線與校園網(wǎng)相連,其它的無線設備(AP)利用雙絞線與路由器相連,無線用戶就通過AP接入網(wǎng)絡。其網(wǎng)絡拓撲圖如圖1所示:
圖1 機房網(wǎng)絡拓撲圖
4.3 無線網(wǎng)絡基本配置
硬件安裝完后,我們需要對路由器、AP和無線客戶端進行配置。
(1)路由器設置
下面我們以D-Link DI-604+ 路由器為例。先來做好前序工作,首先,用雙絞線一頭接到電腦,一頭接到路由器。設置電腦的IP地址為自動獲取,然后,打開IE瀏覽器,在地址欄輸入路由器的默認IP地址(請參閱你的產(chǎn)品說明書,一般都為192.168.1.1),接著會提示你輸入用戶名和密碼。
現(xiàn)在開始配置路由器:
第一步:設置廣域網(wǎng)IP地址即校園網(wǎng)內(nèi)部地址;
第二步:設置允許訪問路由器的局域網(wǎng)IP地址。本局域網(wǎng)需要為4個AP分配IP地址;
第三步:配置路由器包過濾、流量控制、網(wǎng)絡安全等問題。
(2)無線AP配置
由于用到多個AP,就會遇到問題,當移動的用戶在不同的無線AP之間切換時每次都要查找無線網(wǎng)絡,重新進行連接,非常麻煩。為了解決這個問題我們引入了無線漫游這一概念。要實現(xiàn)無線漫游,首先,我們必須給每個無線AP分配好IP地址,并且保證所有無線AP的IP地址都在同一網(wǎng)段;然后,把每個無線AP的工作模式都設置成AP模式,并且它們的SSID必須設置相同。畢業(yè)論文,無線漫游。。
下面我們以D-Link DWL-2100無線AP為例。它跟配置路由器的前序工作差不多(默認IP地址為:192.168.0.50)。
現(xiàn)在開始配置AP:
第一步:設置AP的Mode選擇為Access Point模式(即接入點模式),類似于有線網(wǎng)絡中的交換機。畢業(yè)論文,無線漫游。。在這種模式下,無線AP即可以和無線網(wǎng)卡建立無線連接,用LAN口與前端的路由器相連;
第二步: 配置“SSID”和“Channel”,同時開啟無線功能。4個AP的“SSID”必須相同,“Channel”選擇不同的信道值;
第三步:為4 個AP分配固定的IP地址,使它們IP地址都在同一網(wǎng)段,并啟動DHCP功能。
(3)設置無線客戶端
客戶端配置簡單只需要無線網(wǎng)卡,開啟無線網(wǎng)卡,它會自動搜索可用的無線網(wǎng)絡,選中自己的無線網(wǎng)絡點連接就OK。連接上后,會自動獲得一個IP地址。
5. 結語
通過精心的設計,無線漫游、無線接入等技術都得以實現(xiàn)。伴隨著人們對無線產(chǎn)品的需求俞來俞大,無線網(wǎng)絡將在金融、教育、醫(yī)療等領域得到廣泛的應用,技術的不斷創(chuàng)新將會使無線網(wǎng)絡的應用取得更好的效果。
參考文獻:
[1]楊軍,李瑛.無線局域網(wǎng)組建實戰(zhàn)[M].電子工業(yè)出版社,2006.
[2]張圣.基于WLAN技術的無線校園網(wǎng)組網(wǎng)研究[J].信息技術,2005.
[3]張善勇.淺析無線技術在校園網(wǎng)中的應用.內(nèi)蒙古民族大學學報,2007
第8篇:無線網(wǎng)絡安全論文范文
[論文摘要]安全問題是自無線局域網(wǎng)誕生以來一直困擾其發(fā)展的重要原因,本文研究了現(xiàn)階段無線局域網(wǎng)面臨的主要安全問題,并介紹了相應的解決辦法。
近年來,無線局域網(wǎng)以它接入速率高,組網(wǎng)靈活,在傳輸移動數(shù)據(jù)方面尤其具有得天獨厚的優(yōu)勢等特點得以迅速發(fā)展。但是,隨著無線局域網(wǎng)應用領域的不斷拓展,無線局域網(wǎng)受到越來越多的威脅,無線網(wǎng)絡不但因為基于傳統(tǒng)有線網(wǎng)絡TCP/IP架構而受到攻擊,還受到基于IEEE802.11標準本身的安全問題而受到威脅,其安全問題也越來越受到重視。
一、非法接入無線局域網(wǎng)
無線局域網(wǎng)采用公共的電磁波作為載體,而電磁波能夠穿越天花板、玻璃、墻等物體,因此在一個無線局域網(wǎng)接入點(AccessPoint,AP)的服務區(qū)域中,任何一個無線客戶端(包括未授權的客戶端)都可以接收到此接入點的電磁波信號。也就是說,由于采用電磁波來傳輸信號,未授權用戶在無線局域網(wǎng)(相對于有線局域網(wǎng))中竊聽或干擾信息就容易得多。所以為了阻止這些非授權用戶訪問無線局域網(wǎng)絡,必須在無線局域網(wǎng)引入全面的安全措施。
1.非法用戶的接入
(1)基于服務設置標識符(SSID)防止非法用戶接入
服務設置標識符SSID是用來標識一個網(wǎng)絡的名稱,以此來區(qū)分不同的網(wǎng)絡,最多可以有32個字符。無線工作站設置了不同的SSID就可以進入不同網(wǎng)絡。無線工作站必須提供正確的SSID,與無線訪問點AP的SSID相同,才能訪問AP;如果出示的SSID與AP的SSID不同,那么AP將拒絕它通過本服務區(qū)上網(wǎng)。因此可以認為SSID是一個簡單的口令,從而提供口令認證機制,阻止非法用戶的接入,保障無線局域網(wǎng)的安全。SSID通常由AP廣播出來,例如通過windowsXP自帶的掃描功能可以查看當前區(qū)域內(nèi)的SSID。出于安全考慮,可禁止AP廣播其SSID號,這樣無線工作站端就必須主動提供正確的SSID號才能與AP進行關聯(lián)。
(2)基于無線網(wǎng)卡物理地址過濾防止非法用戶接入
由于每個無線工作站的網(wǎng)卡都有惟一的物理地址,利用MAC地址阻止未經(jīng)授權的無限工作站接入。為AP設置基于MAC地址的AccessControl(訪問控制表),確保只有經(jīng)過注冊的設備才能進入網(wǎng)絡。因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現(xiàn)物理地址過濾。但是MAC地址在理論上可以偽造,因此這也是較低級別的授權認證。物理地址過濾屬于硬件認證,而不是用戶認證。這種方式要求AP中的MAC地址列表必需隨時更新,目前都是手工操作。如果用戶增加,則擴展能力很差,因此只適合于小型網(wǎng)絡規(guī)模。
如果網(wǎng)絡中的AP數(shù)量太多,可以使用802.1x端口認證技術配合后臺的RADIUS認證服務器,對所有接入用戶的身份進行嚴格認證,杜絕未經(jīng)授權的用戶接入網(wǎng)絡,盜用數(shù)據(jù)或進行破壞。
(3)基于802.1x防止非法用戶接入
802.1x技術也是用于無線局域網(wǎng)的一種增強性網(wǎng)絡安全解決方案。當無線工作站與無線訪問點AP關聯(lián)后,是否可以使用AP的服務要取決于802.1x的認證結果。
如果認證通過,則AP為無線工作站打開這個邏輯端口,否則不允許用戶上網(wǎng)。
2.非法AP的接入
無線局域網(wǎng)易于訪問和配置簡單的特性,增加了無線局域網(wǎng)管理的難度。因為任何人都可以通過自己購買的AP,不經(jīng)過授權而連入網(wǎng)絡,這就給無線局域網(wǎng)帶來很大的安全隱患。
(1)基于無線網(wǎng)絡的入侵檢測系統(tǒng)防止非法AP接入
使用入侵檢測系統(tǒng)IDS防止非法AP的接入主要有兩個步驟,即發(fā)現(xiàn)非法AP和清除非法AP。
發(fā)現(xiàn)非法AP是通過分布于網(wǎng)絡各處的探測器完成數(shù)據(jù)包的捕獲和解析,它們能迅速地發(fā)現(xiàn)所有無線設備的操作,并報告給管理員或IDS系統(tǒng)。當然通過網(wǎng)絡管理軟件,比如SNMP,也可以確定AP接入有線網(wǎng)絡的具體物理地址。發(fā)現(xiàn)AP后,可以根據(jù)合法AP認證列表(ACL)判斷該AP是否合法,如果列表中沒有列出該新檢測到的AP的相關參數(shù),那么就是RogueAP識別每個AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型以及信道。判斷新檢測到AP的MAC地址、SSID、Vendor(提供商)、無線媒介類型或者信道異常,就可以認為是非法AP。
當發(fā)現(xiàn)非法AP之后,應該立即采取的措施,阻斷該AP的連接,有以下三種方式可以阻斷AP連接:
①采用DoS攻擊的辦法,迫使其拒絕對所有客戶的無線服務;
②網(wǎng)絡管理員利用網(wǎng)絡管理軟件,確定該非法AP的物理連接位置,從物理上斷開。
(2)檢測出非法AP連接在交換機的端口,并禁止該端口
基于802.1x雙向驗證防止非法AP接入。利用對AP的合法性驗證以及定期進行站點審查,防止非法AP的接入。在無線AP接入有線交換設備時,可能會遇到非法AP的攻擊,非法安裝的AP會危害無線網(wǎng)絡的寶貴資源,因此必須對AP的合法性進行驗證。AP支持的IEEE802.1x技術提供了一個客戶機和網(wǎng)絡相互驗證的方法,在此驗證過程中不但AP需要確認無線用戶的合法性,無線終端設備也必須驗證AP是否為虛假的訪問點,然后才能進行通信。通過雙向認證,可以有效地防止非法AP的接入。
(3)基于檢測設備防止非法AP的接入
在入侵者使用網(wǎng)絡之前,通過接收天線找到未被授權的網(wǎng)絡。對物理站點的監(jiān)測,應當盡可能地頻繁進行。頻繁的監(jiān)測可增加發(fā)現(xiàn)非法配置站點的存在幾率。選擇小型的手持式檢測設備,管理員可以通過手持掃描設備隨時到網(wǎng)絡的任何位置進行檢測,清除非法接入的AP。
二、數(shù)據(jù)傳輸?shù)陌踩?/p>
在無線局域網(wǎng)中可以使用數(shù)據(jù)加密技術和數(shù)據(jù)訪問控制保障數(shù)據(jù)傳輸?shù)陌踩浴J褂孟冗M的加密技術,使得非法用戶即使截取無線鏈路中的數(shù)據(jù)也無法破譯;使用數(shù)據(jù)訪問控制能夠減少數(shù)據(jù)的泄露。
1.數(shù)據(jù)加密
(1)IEEE802.11中的WEP
有線對等保密協(xié)議(WEP)是由IEEE802.11標準定義的,用于在無線局域網(wǎng)中保護鏈路層數(shù)據(jù)。WEP使用40位鑰匙,采用RSA開發(fā)的RC4對稱加密算法,在鏈路層加密數(shù)據(jù)。
WEP加密是存在固有的缺陷的。由于它的密鑰固定,初始向量僅為24位,算法強度并不算高,于是有了安全漏洞。現(xiàn)在,已經(jīng)出現(xiàn)了專門的破解WEP加密的程序,其代表是WEPCrack和AirSnort。
(2)IEEE802.11i中的WPA
Wi-Fi保護接入(WPA)是由IEEE802.11i標準定義的,用來改進WEP所使用密鑰的安全性的協(xié)議和算法。它改變了密鑰生成方式,更頻繁地變換密鑰來獲得安全。它還增加了消息完整性檢查功能來防止數(shù)據(jù)包偽造。WPA是繼承了WEP基本原理而又解決了WEP缺點的一種新技術。由于加強了生成加密密鑰的算法,因此即便收集到分組信息并對其進行解析,也幾乎無法計算出通用密鑰。WPA還追加了防止數(shù)據(jù)中途被篡改的功能和認證功能。由于具備這些功能,WEP中的缺點得以解決。
2.數(shù)據(jù)的訪問控制
訪問控制的目標是防止任何資源(如計算資源、通信資源或信息資源)進行非授權的訪問,所謂非授權訪問包括未經(jīng)授權的使用、泄露、修改、銷毀以及指令等。用戶通過認證,只是完成了接入無線局域網(wǎng)的第一步,還要獲得授權,才能開始訪問權限范圍內(nèi)的網(wǎng)絡資源,授權主要是通過訪問控制機制來實現(xiàn)。
訪問控制也是一種安全機制,它通過訪問BSSID、MAC地址過濾、控制列表ACL等技術實現(xiàn)對用戶訪問網(wǎng)絡資源的限制。訪問控制可以基于下列屬性進行:源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、協(xié)議類型、用戶ID、用戶時長等。
3.其他安全性措施
許多安全問題都是由于AP沒有處在一個封閉的環(huán)境中造成的。所以,首先,應注意合理放置AP的天線。以便能夠限制信號在覆蓋區(qū)以外的傳輸距離。例如,將天線遠離窗戶附近,因為玻璃無法阻擋信號。最好將天線放在需要覆蓋的區(qū)域的中心,盡量減少信號泄露到墻外,必要時要增加屏蔽設備來限制無線局域網(wǎng)的覆蓋范圍。其次,由于很多無線設備是放置在室外的,因此需要做好防盜、防風、防雨、防雷等措施,保障這些無線設備的物理安全。
綜合使用無線和有線策略。無線網(wǎng)絡安全不是單獨的網(wǎng)絡架構,它需要各種不同的程序和協(xié)議配合。制定結合有線和無線網(wǎng)絡安全策略,能夠最大限度提高安全水平。
為了保障無線局域網(wǎng)的安全,除了通過技術手段進行保障之外,制定完善的管理和使用制度也是很有必要的。
參考文獻:
[1]趙偉艇:無線局域網(wǎng)的加密和訪問控制安全性分析.微計算機信息,2007年21期
第9篇:無線網(wǎng)絡安全論文范文
【關鍵詞】移動數(shù)字圖書館 醫(yī)學院校 IOS系統(tǒng) Andiord系統(tǒng) 功能設計
1 引言
近年來伴隨著移動計算機技術的發(fā)展,特別是智能手機和平板電腦的普及,移動數(shù)字圖書館也隨之孕育而生。目前關于移動數(shù)字圖書館的定義以及它在數(shù)字圖書館發(fā)展中的地位,多被歸納為移動計算機技術在數(shù)字化圖書館建設中的功能衍生。但就當前計算機技術發(fā)展現(xiàn)狀而言,微軟極其傳統(tǒng)PC端操作系統(tǒng)業(yè)務的衰落, IOS、Andiord兩大移動計算機操作系統(tǒng)及移動數(shù)字終端的迅速發(fā)展,可以看出移動計算機已經(jīng)成為數(shù)字技術發(fā)展的新平臺。姑且我們可以把基于PC端的數(shù)字圖書館技術定義為傳統(tǒng)數(shù)字圖書館。而移動數(shù)字圖書館較確切的定義應是:依托成熟的無線移動網(wǎng)絡,國際互聯(lián)網(wǎng)以及多媒體技術,使人們不受時間、地點和空間的限制,通過使用各種移動設備來方便靈活地進行圖書館信息查詢、瀏覽與獲取的一種圖書館信息服務技術。
移動數(shù)字圖書館技術在國內(nèi)最早于2005年被提出,發(fā)展之初多關注于研究移動數(shù)字圖書館的體系結構涉及的相關問題。早期研究從技術角度論證了移動數(shù)字圖書館建設的可行性。伴隨著無線網(wǎng)絡協(xié)議,無線通信、無線網(wǎng)絡構建技術的發(fā)展,移動數(shù)字圖書館的網(wǎng)絡接入技術成為了研究重點。較為代表性的研究成果有:基于WAP2.0協(xié)議下的移動數(shù)字設備,通過瀏覽WAP網(wǎng)頁實現(xiàn)了數(shù)字圖書館服務;通過3G移動通信網(wǎng)絡和wifi無線網(wǎng)絡實現(xiàn)移動數(shù)字設備與圖書館服務器的數(shù)據(jù)交換 。隨著IOS與Andiord等功能支撐性更優(yōu)秀的移動終端操作系統(tǒng)的普及,移動數(shù)字圖書館服務的功能空間有了質(zhì)變的擴展性。探討與論述由此可以帶來的新服務,是促使移動數(shù)圖發(fā)展變革的關鍵。
2 移動數(shù)字圖書館在醫(yī)學類院校中的服務功能研究
2.1 醫(yī)學院校文獻服務特點
醫(yī)學專業(yè)的學科劃分多達十余種,并且對數(shù)據(jù)的統(tǒng)計分析和文獻的支撐尤為依賴。但醫(yī)學院校的教學、科研工作又有別于其他普通高校。一般分為基礎醫(yī)學與臨床醫(yī)學,它們各采取集中與分散的管理模式。帶來的問題是讀者群流動性大,分布區(qū)域廣泛,所以給圖書文獻的服務供應帶來的嚴峻的考驗。
2.2 基礎醫(yī)學文獻服務特點
基礎醫(yī)學的教研工作場所相對固定,讀者群比較集中,有利于傳統(tǒng)數(shù)字圖書館功能的實現(xiàn)。但受課堂教學和實驗室研究場地的限制,PC終端體積較大,不便配備。而且醫(yī)學教學與科研無時無刻離不開眾多的實驗,實驗的順利進行往往需要大量的數(shù)據(jù)和參考文獻。相對PC,移動設備更方便讀者隨身攜帶查閱信息。擺脫PC終端的束縛,針對基礎醫(yī)學教研工作特點開發(fā)移動數(shù)字圖書館服務功能,為讀者供給一個“移動電子閱覽室”,是實現(xiàn)其功能的關鍵所在。
2.3 臨床醫(yī)學文獻服務特點
臨床醫(yī)學的教研工作環(huán)境相對分散,學生和教師分散在各個實習醫(yī)院中,地域跨度較大。集中了優(yōu)勢文獻資源的醫(yī)學院校圖書館因此無法為臨床教學醫(yī)院提供及時高效的服務。雖然傳統(tǒng)數(shù)字圖書館可以通過互聯(lián)網(wǎng)實現(xiàn)了預約借還、文獻傳遞、電子資源查閱等功能。但醫(yī)院為保證醫(yī)療數(shù)字化辦公系統(tǒng)的網(wǎng)絡安全,用于臨床一線辦公和教學的PC設備都無法訪問廣域網(wǎng)。再加上高校因知識產(chǎn)權保護的需要,臨床教學工作人員和實習學生必須在圖書館或?qū)W校網(wǎng)絡管理部門登記辦理身份核實手續(xù)后,才能在校局域網(wǎng)以外使用VPN服務器接入的方式訪問本校圖書館文獻數(shù)據(jù)庫。這樣的服務模式使臨床教學科研人員必須在脫離工作環(huán)境后才能獲得所需文獻信息。如此被動、滯后的服務違背了圖書館學對于讀者服務的平等性與及時性原則。
2.4 應對措施
移動數(shù)字圖書館可以以獨立的無線網(wǎng)絡環(huán)境、獨立的讀者客戶端管理系統(tǒng),采用無區(qū)域限制的實時在線方式,彌補傳統(tǒng)數(shù)字圖書館服務領域中的空白。
獨立的無線網(wǎng)絡環(huán)境:無線網(wǎng)絡信號接入方式主要有GPRS(通用無線服務技術)、3G(3rd-generation 第三代移動通信技術)、WLAN(wirdess LAN 無線局域網(wǎng))。其中GPRS與3G是由通信運營商提供的實時在線無線通訊信號。WLAN可由辦公區(qū)域環(huán)境內(nèi)的無線路由器提供加密無線網(wǎng)絡接入信號。以上獨立的無線網(wǎng)絡信號可以使臨床教研人員在非辦公網(wǎng)絡環(huán)境下通過移動數(shù)字計算機連接圖書館數(shù)據(jù)庫。不但保證了臨床醫(yī)療工作的網(wǎng)絡環(huán)境安全,更可以使讀者獲得實時的文獻資源服務。
獨立的讀者客戶端管理系統(tǒng):讀者客戶端管理系統(tǒng)由移動數(shù)字計算機客戶端和服務器客戶管理系統(tǒng)構成。它們之間直接連接,并直接與圖書館服務器進行數(shù)據(jù)交換和系統(tǒng)管理。系統(tǒng)可以通過在線登記方式采集并建立用戶信息數(shù)據(jù)庫,對讀者進行遠程識別與管理。當服務器的客戶管理系統(tǒng)核實讀者信息后,采取移動數(shù)字計算機客戶端登陸的方式,向讀者提供文獻查閱服務。
3 基于IOS與Andiord操作系統(tǒng)設計移動數(shù)字圖書館服務功能
3.1 WAP形式的移動數(shù)圖
目前移動數(shù)字圖書館技術的運用主要是OPACE系統(tǒng)的WAP網(wǎng)頁形式。OPACE系統(tǒng)是傳統(tǒng)數(shù)字圖書館服務的代表,用WAP網(wǎng)頁來實現(xiàn)移動數(shù)字的OPACE功能雖然可以直接把現(xiàn)有PC端數(shù)字圖書館的功能移植到移動計算機上,但也只是完成了一個硬件平臺的轉(zhuǎn)換。簡單點講就是WAP網(wǎng)頁形式的OPACE系統(tǒng)能夠?qū)崿F(xiàn)的依舊是傳統(tǒng)數(shù)字圖書館的功能,只是把它從電腦搬到了移動計算機上。正因如此,移動數(shù)字圖書館一直被業(yè)內(nèi)人士認為只是數(shù)字圖書館的一種衍生品。但要真正運用移動數(shù)字科技給人們帶來的革命性技術提升,必須依靠可以整合移動技術各種功能的客戶端軟件系統(tǒng)來實現(xiàn)。而支持軟件運行不僅需要性能良好的硬件終端,更需要穩(wěn)定高效的操作系統(tǒng)。
3.2 IOS與Andiord系統(tǒng)
IOS和Andiord是目前移動數(shù)字終端,特別是智能手機普遍使用的操作系統(tǒng)。IOS是由蘋果公司開發(fā)的手持設備操作系統(tǒng), 它也是以Darwin為內(nèi)核,系統(tǒng)結構分為以下四個層次:核心操作系統(tǒng)(the Core OS layer),核心服務層(the Core Services layer),媒體層(the Media layer),Cocoa 觸摸框架層(the Cocoa Touch layer)。支持WAP、PC Free無線傳輸、mali、iMessage、云處理等技術;Android由Google公司開發(fā),以Linux為基礎的開放源代碼操作系統(tǒng)。支持WAP、PC Free無線傳輸、mali、iMessage、多媒體等技術。并且開放而免費的源代碼模式為后期開發(fā)提供便利。
3.3 功能實現(xiàn)
IOS和Andiord操作系統(tǒng)都有著優(yōu)秀的系統(tǒng)穩(wěn)定性和良好的第三方軟件兼容性。支持移動數(shù)字圖書館系統(tǒng)功能構建所需要的wifi、RSS、WAP2.0、mali、PC Free無線傳輸、多維碼識別、云計算、GPS定位等技術。移動數(shù)字圖書館功能設計的主要是整合利用各項移動數(shù)字技術,實現(xiàn)以下4種文獻服務模式:
(1)無線文獻傳遞。通過無線網(wǎng)絡,讀者可以在任何時間、地點完成文獻檢索和數(shù)據(jù)庫訪問。
(2)個人文獻資料同步管理。利用移動數(shù)字技術中的PC Free無線傳輸、云存儲功能,可以把某一讀者在PC端和移動終端上查閱過的文獻資源同步管理。讀者只需通過移動計算機就能得到自己在各處查閱過的所有資料。并可對自己的文獻進行分類管理和云存儲。
(3)文獻信息推送。利用服務器客戶管理系統(tǒng)對每個讀者的信息進行建庫管理,抽取讀者相關信息資料,分析每個讀者的研究內(nèi)容和閱讀習慣。對以上信息源進行云計算處理,統(tǒng)計出每個讀者可能需要的文獻學科類型。再通過RSS(信息推送)技術把各個研究領域的最新動向或研究成果的發(fā)送給相應讀者。
(4)定位查閱。利用GPS定位、多維碼識別、PC Free無線傳輸技術,實現(xiàn)讀者無線借閱功能。讀者在移動數(shù)字圖書客服端進行檢索和預約后,可以通過GPS定位方式快捷的找到分布在各個閱覽室書架中的文獻資源。并可以通過PC Free無線傳輸、多維碼識別技術直接進行智能化的圖書借還工作。
5 結語
移動數(shù)字圖書館理論的形成和前期學者對移動數(shù)字圖書館服務系統(tǒng)架構、無線網(wǎng)絡通信技術的論證,為移動數(shù)字圖書館建設提供了完備的理論依據(jù)和技術保障。移動數(shù)字計算機技術的成熟發(fā)展和個人移動智能終端的普及,為移動數(shù)字圖書館的發(fā)展提供了良好的硬件環(huán)境和廣泛的讀者適用群。移動技術給人們帶來的靈活便捷也正是圖書館服務發(fā)展的迫切需求。
移動數(shù)字圖書館的核心業(yè)務就是利用無區(qū)域理念的服務模式,結合實時在線的靈活特征來打破時間對文獻傳遞的約束。通過分析醫(yī)學院校教學、科研的特點,結合移動數(shù)字技術帶來的科技變革,設計全新出的服務功能,可以在提高圖書館校內(nèi)工作水平的同時,更好的為附屬醫(yī)院的臨床教學、科研工作提供文獻服務。
參考文獻
[1]黨德鵬,周立柱,邢春曉.數(shù)字圖書館的移動服務[J].計算機科學,2005,32(4):4-5,15.
[2]江波,覃燕梅.掌上圖書館、手機圖書館與移動圖書館比較分析[J].圖書館論壇,2012,32(1):69-71,88.
[3]茆意宏,吳政,黃水清.手機圖書館的興起與發(fā)展[J].大學圖書館學報,2008(1):3-6,27.
[4]左聰.RSS推送技術與高校圖書館信息服務[J].重慶科技學院學報(社會科學版),2011(17):157-159.
[5]賴永波.從數(shù)字圖書館到移動數(shù)字圖書館:服務功能演進與實現(xiàn)途徑[J].情報雜志,2011,30(5):165-168.
[6]王嵐霞.高校圖書館RSS應用和服務現(xiàn)現(xiàn)狀分析[J].圖書館理論與實踐,2009(11):94-97.
[7]劉紅麗.國內(nèi)移動圖書館研究現(xiàn)狀與趨勢[J].國家圖書館學刊,2005.92-98,112.
[8]龍朝陽,王靈. 基于3G的圖書館信息服務模式初探[J].圖書館論壇,2008,28(3):8-11.
[9]李忠新.基于3G技術下的高校掌上數(shù)字圖書館的應用探索[J].改革與開放,2010:180-181.
[10]呂蘊紅.基于3G智能手機的移動圖書館發(fā)展探討[J].新世紀圖書館,2011(10):66-68.
[11]豐江帆,朱冠字. 基于TD—SCDMA的移動數(shù)字圖書館研究[J].圖書館學研究,2009:28-31.
[12]陳茫.基于WAP2.0的移動數(shù)字圖書館應用研究[J].情報雜志,2010,29:213-216.
[13]李小智.基于消息中間件的服務器推送技術的應用研究[J].湖南大學碩士學位論文,2010:
[14]楊九龍,何淼. 技術人員視角下移動數(shù)字圖書館建設的調(diào)查與分析[J].圖書館論壇,2011,31(5):59-62.
[15]向林芳.論DRM在數(shù)字圖書館中的應用——以方正Apabi為例[J].高校圖書館工作,2011,31(146):85-87.
[16]郁長祥,馬明慧,龍旭梅,等.試論移動數(shù)字圖書館的發(fā)展[J].科技信息,2011(33):102,136.
[17]蕭志華.試論移動數(shù)字圖書館現(xiàn)狀及其發(fā)展策略[J].2011,31(4):103-105.
[18]張維蓉,賈愛霞. 手機在移動數(shù)字圖書館的應用[J].科技情報開發(fā)與經(jīng)濟,2008,18(22):3-5.
[19]張素霞.“推送”技術與圖書館信息推送服務的實現(xiàn)[J].現(xiàn)代情報,2004(11):46-47.
[20]邱亞娜.信息抽取在圖書館信息推送服務中的應用研究[J].圖書館工作研究,2011(179):46-47,55.
