無線網絡管理方案范文
時間:2024-03-05 18:07:15
導語:如何才能寫好一篇無線網絡管理方案,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
關鍵詞:無線傳感器網絡;密鑰管理;安全
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2011)10-2261-03
Key Management Scheme for Wireless Sensor Network
LIU Ning1,2
(1.School of Computer Science and Engineering, Guilin University of Electronic Technology, Guilin 541004, China; 2.Department of Information & engineering, Liuzhou Vocational & Technical College, Liuzhou 545006, China)
Abstract: Wireless sensor networks used for military target tracking, environmental monitoring, tracking and other aspects of patient condition, when its deployment in a hostile environment, subject to different types of malicious attacks, protect their safety is extremely important. Strictly limited resources of sensor nodes, traditional network security mechanisms do not apply to wireless sensor networks. Protect the security of wireless sensor network is used to encrypt the transmission of data, the article presents and analyzes the type of network for a typical key management scheme.
Key words: wireless sensor network(WSN); key management; security
隨著傳感器技術、嵌入式技術、無線通信技術和微機電系統(tǒng)(Micro Electro-Mechanical System,簡稱MEMS)技術的進步,極大地推動了集信息采集、數(shù)據處理、無線傳輸?shù)裙δ苡谝惑w的無線傳感器網絡(Wireless Sensor Networks,WSN)的發(fā)展。WSN以其低成本、低功耗的特點,在軍事、環(huán)境監(jiān)測、醫(yī)療健康等領域有著廣泛的應用,并逐漸深入到人類生活的各個領域。
當無線傳感器網絡部署在一個敵對的環(huán)境中,安全性就顯得極為重要,因為它們容易產生不同類型的惡意攻擊。例如,敵人可以冒充合法節(jié)點竊取網絡中的通信數(shù)據,或者發(fā)送錯誤的信息給其它節(jié)點。為了確保從網絡中收集到的數(shù)據正確可靠,節(jié)點間的數(shù)據通信必須進行加密和驗證。針對無線傳感器網絡安全問題的研究有很多方面,但其中最核心、最基本的問題就是密鑰管理問題。
1 密鑰管理方案的評估指標
無線傳感器網絡一般受限于計算、通信和存儲能力,節(jié)點隨機部署,以及網絡拓撲結構的動態(tài)變化,從而使得傳感器網絡比傳統(tǒng)的網絡更難抵抗各種攻擊。在傳統(tǒng)網絡中,往往通過分析密鑰管理方案所能夠提供的安全性來評估一個密鑰管理方案的優(yōu)劣。但是,這在無線傳感器網絡中都是遠遠不夠的。所以,結合自身的特點和限制,無線傳感器網絡的密鑰管理方案需要具備以下特性[1-2]。
1) 安全性。對于無線傳感器網絡密鑰管理方案,其安全性主要體現(xiàn)在對外部攻擊的抵抗能力上,主要指抵抗俘獲攻擊和復制節(jié)點攻擊的能力。利用該算法生成的密鑰應具備一定的安全強度,不能被網絡攻擊者輕易破解或者花很小的代價破解。也即是加密后保障數(shù)據包的機密性。
2) 連通性。指相鄰節(jié)點之間直接建立通信密鑰的概率。保持足夠高的密鑰連通概率是無線傳感器網絡發(fā)揮其應有功能的必要條件。密鑰信息生成和分發(fā)之后,除了孤立節(jié)點(無法與網絡中其它任何節(jié)點進行通信)之外,要保證密鑰的全連通或者部分連通。
3) 有效性。對于節(jié)點電源能量來說,密鑰管理方案必須具有很小的耗電量。對于節(jié)點的計算能力來說,傳統(tǒng)網絡中廣泛采用的復雜的加密算法、簽名算法都不能很好的應用于無線傳感器網絡中,需要設計計算更簡單的密鑰管理方案。對于節(jié)點的存儲能力來說,不可能在密鑰分配時保存過多的密鑰信息,那么設計的密鑰管理方案必須使每個節(jié)點預分配信息盡可能的少。確保傳感器節(jié)點有足夠的存儲空間去存儲建立安全密鑰管理所需要的信息,具有建立共享密鑰的處理能力以及在密鑰建立階段所需要的通信能力。
4) 輕量級和低開銷。傳感器節(jié)點主要有三個消耗能量的模塊:傳感器模塊,處理器模塊和無線通信模塊。其中,通信能耗遠遠大于計算能耗,數(shù)據傳輸所消耗的能量約占總能耗的97%,有20%消耗在共享密鑰發(fā)現(xiàn)階段和會話密鑰建立過程中。通常1比特信息傳輸100m距離耗費的能量相當于執(zhí)行3000條安全算法(如計算Hash函數(shù),比較密鑰ID等)計算指令所消耗的能量。因此,要求密鑰管理方案中的節(jié)點間通信盡量小,要求節(jié)點在傳輸之前對數(shù)據進行預處理,以降低通信量。
5) 可擴展性。無線傳感器網絡的規(guī)模通常達到成千上萬個,但由于存儲空間受限,密鑰管理方案所支持的網絡規(guī)模通常都有一個門限值,在設計無線傳感器網絡密鑰管理方案時必須允許大量新加入的節(jié)點,保障網絡是可擴展的。而且,在增強網絡的擴展性的同時要盡可能地降低存儲開銷。
通常情況下,評估WSN密鑰管理方案的好壞,主要看此方案所能支持的網絡規(guī)模、傳感器節(jié)點的能耗、整個網絡的可建立安全通信的連通概率、整個網絡的抗攻擊能力等。
2 典型密鑰管理方案分析
通過總結和調研國內外的文獻,本文將現(xiàn)有的無線傳感器網絡密鑰管理方案進行了適當?shù)姆诸悺8鶕罁煌饕梢苑譃樗拇箢悾阂皇前凑彰荑€管理方案所依托的密碼基礎不同,可分為對稱密鑰管理和非對稱密鑰管理;二是按照網絡的邏輯結構不同,可分為分布式密鑰管理和層次式密鑰管理;三是按照網絡運行后密鑰是否更新,可分為靜態(tài)密鑰管理和動態(tài)密鑰管理;四是按照網絡密鑰的鏈接性情況不同,可分為隨機密鑰管理與確定密鑰管理。這四種分類方法并不是唯一的,也并非將所有的方案都依此劃清界限而彼此之間沒有交集,同一種密鑰管理方案完全可能在不同的分類中重復出現(xiàn)。下面介紹一些典型的密鑰管理方案。
2.1 預共享密鑰分配方案
SPINS協(xié)議[3]是預共享密鑰分配方案之一,它由安全網絡加密協(xié)議SNEP(Security Network Encryption protocol)和廣播認證協(xié)議μTESLA(micro Timed Efficient Streaming Loss-tolerant Authentication protocol)組成。
SNEP是一個低通信開銷的簡單高效的安全通信協(xié)議,實現(xiàn)了數(shù)據認證、數(shù)據機密性、完整性、新鮮性保證等功能。它只描述了協(xié)議的工作過程,并未規(guī)定實際采用的算法,具體算法在實現(xiàn)時可根據需要選擇。SNEP采用預共享主密鑰的安全引導模型,讓每個節(jié)點都和基站之間共享一對主密鑰,其他密鑰從該主密鑰派生出來。新鮮性的認證是通信雙方共享一個計數(shù)器來實現(xiàn),數(shù)據完整性認證通過使用消息認證碼來提供。
μTESLA協(xié)議是一個高效的廣播認證協(xié)議,用于實現(xiàn)點到多點的廣播認證,其核心思想是推遲公布廣播包的加密密鑰。基站先廣播一個經過密鑰Kmac加密的數(shù)據包,一段時間后再公布Kmac,這就保證了Kmac公布之前,無人能夠得到密鑰的任何信息,也無法在廣播包得到認證之前偽造正確的廣播包。該協(xié)議要求基站和節(jié)點之間擁有松散的時間同步,即接收者應該知道基站公布密鑰的時刻表。μTESLA協(xié)議由基站安全初始化、節(jié)點加入安全體系和完成數(shù)據包的廣播認證三個過程組成。
SPINS使用預共享密鑰的方式來建立安全連接。其主要通過兩種方式建立安全連接:節(jié)點之間共享和每個節(jié)點與基站之間共享。使用每個節(jié)點之間共享一個主密鑰,可以在任何一對節(jié)點之間建立安全通信,但其抗俘獲能力、擴展性都很低,適用于小型網絡。在每個節(jié)點和基站之間共享一個主密鑰,需要節(jié)點的存儲空間大大降低,但計算和通信都集中在基站,容易成為網絡的瓶頸。
2.2 隨機密鑰預分配方案
目前最常用的隨機密鑰管理方式是在網絡節(jié)點布置到目標區(qū)域之前,給每個節(jié)點預置一部分信息,節(jié)點之間采用這些預置信息協(xié)商共享密鑰。
E-G方案[4]是由Eschenauer和Gligor提出的一種基于概率論和隨機圖論的密鑰預分配方案。其基本思想是:有一個大的密鑰池,所有節(jié)點都從中隨機選取若干密鑰構成密鑰鏈,只有密鑰鏈間擁有一對相同密鑰的相鄰節(jié)點才能建立安全通道。該方案包括三個階段:密鑰預分配、共享密鑰的發(fā)現(xiàn)和路徑密鑰的建立。
1) 密鑰預分配。由密鑰生成者生成一個大的密鑰池S,密鑰池中的每二個密鑰都有一個惟一可以識別它的身份ID。在散布節(jié)點之前,從密鑰池S中隨機選出m個密鑰分發(fā)給每個節(jié)點。
2) 共享密鑰的發(fā)現(xiàn)。節(jié)點被布置到目標區(qū)域以后,廣播自己的身份ID以及所存儲的密鑰的ID。節(jié)點通過共享密鑰發(fā)現(xiàn)階段來發(fā)現(xiàn)可以建立起安全通信的節(jié)點。
3) 路徑密鑰的建立。經過第2步建立起通信的無線傳感器節(jié)點已經形成了一個安全連通網絡,任意兩個節(jié)點之間都可以找到一條安全連通路徑到達對方,不存在共享密鑰的節(jié)點間可以通過安全路徑上的中間節(jié)點協(xié)商安全通信密鑰。
Q-composite方案[4]是E-G方案的一種增強方案。在E-G方案中,任意兩個鄰居節(jié)點之間只需要有一個共享密鑰,這樣雖然減少了節(jié)點的開銷,但是節(jié)點抵御外部攻擊的能力卻大大減弱。為了增加節(jié)點的抗攻擊能力, Chan等人對E-G方案進行擴展,提出Q-composite隨機密鑰預分布方案。
Q-composite方案要求兩個節(jié)點之間至少擁有q個公共密鑰才能直接協(xié)商建立共享密鑰。q值越大網絡的抵抗力越強,攻擊難度與q呈指數(shù)關系。該方案使用兩個節(jié)點的所有公共密鑰的哈希值作為共享密鑰。假設兩個鄰居節(jié)點有t個公共密鑰(t>q),則共享密鑰Kshare=Hash(K1||K2||…||Kt),其中Hash代表某個公開的散列函數(shù)。
2.3 層次型LEAP密鑰管理方案
2003年,Sencun Zhu等人提出的LEAP[5](Localized encryption and authentication protocol)是一個適用于層次網絡的密鑰管理協(xié)議,為了確保網絡的安全總共需要四種類型密鑰:每個傳感器節(jié)點與基站共享的個體密鑰(Individual Key),與某一跳鄰居節(jié)點共享的對密鑰(Pairwise Key),多個鄰居節(jié)點共享的簇密鑰(Cluster Key),以及網絡中所有節(jié)點共享的組密鑰(Group Key)。
1) 個體密鑰
個體密鑰是基站與每個節(jié)點之間共享的一個唯一的密鑰。節(jié)點使用這個密鑰來計算發(fā)往基站的消息的MAC值,例如在發(fā)現(xiàn)異常情況后向基站發(fā)送的警告消息。同樣地,基站也可以使用該密鑰來給網絡中的某個節(jié)點發(fā)送敏感消息。
個體密鑰用于保證單個傳感器節(jié)點與基站的安全通信,這個密鑰是在節(jié)點布置之前,預置到節(jié)點中的。節(jié)點u的個體密鑰 可用一個偽隨機函數(shù)f來生成 ,K是密鑰生成者用于生成個體密鑰的主密鑰,密鑰生成者只需要存儲K,在需要與節(jié)點u通信的時候再用偽隨機函數(shù)計算出它們之間的通信密鑰。
2) 對密鑰
對密鑰是節(jié)點與它的一跳鄰居節(jié)點共享的密鑰,可以通過交換其標識符及使用預分配的組密鑰和單項散列函數(shù)計算得到。對密鑰用來建立安全通信,例如節(jié)點可以使用對密鑰加密它的簇密鑰發(fā)送給鄰居,或者將其采集的數(shù)據加密后發(fā)送給匯聚節(jié)點。對密鑰用于加密需要保密的通信信息或者用于源認證,即可以在節(jié)點布置之前預置,也可以采用節(jié)點布置以后通過相互通信進行協(xié)商。
3) 簇密鑰
簇密鑰是一個節(jié)點和其所有鄰居共享的密鑰,用來加密本簇內的廣播信息。例如,路由控制信息,采集的機密數(shù)據等。先由簇頭產生一個隨機密鑰作為簇密鑰,然后使用與鄰居節(jié)點的對密鑰逐一地對簇密鑰加密后發(fā)送給對應節(jié)點,只有同一簇內的鄰居節(jié)點才能擁有并用于通信。
網內的數(shù)據處理,例如數(shù)據融合對于能量的節(jié)省十分重要。一個節(jié)點在接收到鄰居節(jié)點發(fā)送來的數(shù)據后,如果發(fā)現(xiàn)與自己采集的數(shù)據一樣,則可以選擇不發(fā)送該數(shù)據,從而減少了網絡的能量消耗。但是這就要求這些消息被一個局部共享的密鑰進行加密和認證。因此,LEAP協(xié)議給每個節(jié)點提供了一個與鄰居節(jié)點共享的唯一密鑰來保證消息的安全性,鄰居節(jié)點使用同樣的密鑰來解密和認證消息,該密鑰就是簇密鑰。
4) 組密鑰
組密鑰是當基站需要向全網廣播消息時使用的,例如,基站廣播查詢消息、命令等。由于網絡中的所有節(jié)點共享一個組密鑰,從安全的角度出發(fā),當有節(jié)點被撤銷時必須更新這個密鑰,以防被撤銷節(jié)點還能監(jiān)聽基站與每個節(jié)點的廣播通信,可采用μTESLA(mieroTimed Effieient Streaming Loss-tolerant Authentication protocol)協(xié)議更新網絡的組密鑰。
2.4 各種方案的優(yōu)缺點
上述的各種密鑰管理方案都在某種程度上解決了一些WSN的安全問題,但是每個方案也都存在著不足之處。
SPINS協(xié)議實現(xiàn)了點對點消息的保密性、可認證性、完整性和新鮮性,實現(xiàn)了廣播消息的可認證性,但是,該協(xié)議節(jié)點必須通過基站才能建立安全通信密鑰,使得基站成為網絡中的瓶頸,可擴展性差,只適合小型網絡使用,且不能抵御DOS攻擊。
E-G方案是一種隨機密鑰預分配方案,它使得節(jié)點只需存儲密鑰池中的部分密鑰,降低了節(jié)點的存儲開銷,點到點的安全通信信道可以通過共享密鑰獨立建立,從而減少了對基站的依賴,適用于規(guī)模大的網絡。但是,該方案基于概率模型,不能保證所有節(jié)點是安全連通的。它的安全連通性受到密鑰鏈的長度L和密鑰池的大小S等因素的影響。
Q-composite方案要求兩個相鄰節(jié)點至少共享q個密鑰才能建立配對密鑰,隨著共享密鑰閥值的增大,攻擊者破壞網絡安全鏈路的難度呈指數(shù)增大,但是對節(jié)點的存儲空間的要求也增大。
LEAP協(xié)議對網絡中不同的消息包使用不同類型的密鑰,在密鑰的建立過程中有效地減少了通信和能量的消耗,弱化了基站的作用,但是該協(xié)議的主要缺陷是對節(jié)點的多次部署支持的不是很好,并且網絡中的HELLO消息是采用明文的形式發(fā)送的,沒有進行認證,可能導致節(jié)點對無效消息做出回應而浪費節(jié)點資源[6]。
3 結論
近幾年,無線傳感器網絡安全已經引起了的廣泛關注。本文介紹一些密鑰管理方案,在某種程度上,它們能滿足無線傳感器網絡安全的需要。但是,這些密鑰管理方案有比較嚴重的限制,對無線傳感器網絡的部署環(huán)境有一定要求。由于沒有任何一種安全組件可以成為攻擊點,因此,為了實現(xiàn)系統(tǒng)安全,安全功能必須集成到每一個組件中。下一步的研究工作是如何確保安全功能集成到傳感器節(jié)點的每一個組件中。
參考文獻:
[1] Perrig A, Szewczyk R, Wen V, et al. SPINS: Security Protocol for Sensor Networks[J]. Wireless Networks, 2002,8(5):521-534.
[2] 楊青.無線傳感器網絡密鑰管理方案的研究[D].長沙:湖南大學碩士學位論文,2009.
[3] Perrig A, Szewczyk R, Wen V, et al. Tygar. SPINS: Security Protocol for Sensor Networks[C]. ACM MobiCom, July 2001,189-199.
[4] Chan H, Perrig A, and Song D, Random key Predistribution Schemes for Sensor Networks[C]. In Proceeding of the IEEE Computer Society Symposium on Security and Privacy. Piscataway, USA: IEEE, 2003: 197-213.
[5] Sencun Zhu,Sanjeev,Sushil Jajodia. LEAP: Efficient Security Mechanisms for Large-scale Distributed Sensor Networks [C],Proc. 10th ACM Conf. Computer and Commun.
篇2
關鍵詞:計算機網絡 無線網絡 網絡安全 計費管理
中圖分類號: 文獻標識碼:A文章編號:1007-9416(2010)01-0000-00
1 引言
無線網絡在很大程度上突破了傳統(tǒng)有線網絡的限制,使用戶獲得了可移動性和方便性。為了彌補有線網的不具備移動功能上的不足,在校園內建設無線網絡,能使全校范圍內的任何地方,全校師生都能隨時隨地,方便高效的使用無線網絡,并能使建成的無線網具有認證計費功能。
2無線網絡的特點分析
與有線網絡相比較,無線網絡的優(yōu)點有:靈活性和移動性,便于移動用戶隨時隨地的網絡接入;簡易性,在辦公地點、網絡拓撲改變時不用重新布線;故障定位容易,網絡出現(xiàn)故障時排除故障較有線網更簡便;其它優(yōu)點,如易擴展,節(jié)約建網成本以及充分利用網絡資源等。無線網絡的缺點有: 抗干擾性差,易受各種障礙特的阻擋和氣候環(huán)境影響,傳輸速率不及有線網,安全保密性較差等。在無線網的建設中應充分利用無線網的優(yōu)點,注重克服其缺點,使建成的無線校園網真正起到有線網的有力補充。
3 無線網絡的設計過程
作為一個正常運行的有線校園網,其功能和性能應該較為完善。作為有線網絡的補充,無線網絡的建設應該以有線網絡作為基礎。
3.1 現(xiàn)場勘查
無線網絡設計的第一個階段是勘查現(xiàn)場,了解建筑物和周圍各種物質的材質,確定WLAN設備的安裝位置,在這個過程中,需要熟悉了全校的建筑布局,實地考查所有需要布設無線網絡的環(huán)境,然后分別對室內和室外需要無線覆蓋的地方進行確定:室外需要無線信號覆蓋的區(qū)域大小,區(qū)域地理條件等;室內需要無線服務的地方一般是室內公共場所,如圖書館閱覽室、會議室、大型教室等。
3.2 無線標準與設備的選用
現(xiàn)階段處于主流的應用技術是IEEE802.11g標準,其傳輸速度最高為54Mbit/s,并且還向下兼容802.11a和802.11b兩種標準,因此可以選用了IEEE802.11g標準作為本校園網的實施標準。由于室外和室內的履蓋范圍以及氣候變化有著較大的不同,在進行無線AP的選用時,應該對室內和室外分別選用不同的無線AP。比如,室外AP可以選H3C的室外型大功率WA1208-AGP-AC,室內AP可選用H3C室內大容量WA1208E-DG-AC,這兩種AP具有抗干擾能力強、碼分多址能力強、高速且可擴展能力強等典型特點,并適用于802.11g和802.11a、802.11b用戶共存的環(huán)境,這樣既可以解決新老無線終端設備兼容性的問題,同時也有足夠的擴展空間。
3.3 AP的布置
由于校園無線網絡建設一般都是在有線網絡的基礎上實施的,因此應該采用與有線網的就近接入原則,在每個AP接入點的樓宇內就近布線到設備間,然后通過樓宇內匯聚交換機和核心交換機相連,從而實現(xiàn)和校園網的無縫對接,這樣既充分利用了原有線網的資源,又節(jié)省了建設基站或購置無線網橋的費用。但針對室外區(qū)域,一般都是空間大,地域廣,不可能通過一個AP完全覆蓋,應該在這些區(qū)域布置多個AP接入點構成一套微蜂窩系統(tǒng),微蜂窩系統(tǒng)應用移動IP技術,使一個用戶在多個子網內均可使用同一IP地址,實現(xiàn)不同的AP覆蓋區(qū)域內任意漫游而網絡連接不致中斷。并且在AP配置時,為了保證各AP信道所覆蓋頻段不重疊,防止各AP所發(fā)出的信號相互干擾和沖突,應該要求在一個半徑為60米以內的區(qū)域中,只允許有3個AP,并分別選用1、6、11三個頻段不重疊的信道。
3.4 安全設計
由于無線網絡的傳輸方式和物理結構等原因,導致其在安全問題上比有線網絡更容易受到威脅,主要表現(xiàn)在信息更容易泄漏、信號更易受到干擾、系統(tǒng)更容易受到入侵以及地址欺騙和會話攔截等等,針對這些不安全因素,在對無線網絡進行規(guī)劃和實施時可以采用了這樣一些技術:a、為防止非授權用戶的監(jiān)聽和非法訪問,可采用128位的WEP加密;b、禁止AP向外廣播其SSID,這有利于提高無線網的安全性;c、修改缺省AP密碼,由于主流AP的缺省密碼己為公眾所知,通過修改后可以防上非法用戶的闖入;d、針對會議室等一些特定環(huán)境,應該設計了更加安全的無線接入方案如設置MAC過濾,以及使用比WEP更安全的加密方式Wi-Fi保護接入(WAP)等。
3.5 認證與計費策略
無線校園網絡主要服務于學校的老師和學生,為了防止不合法用戶的使用而浪費帶寬資源,可采用了基于CAMS的Portal認證方式,在校園有線網的核心骨干層的交換機上掛接MA5200F服務器和Portal認證服務器,在Portal服務器的“IP地址組”組件中增加需要進行認證的無線終端IP地址范圍,并在“設備信息”組件中增加Portal接入設備MA5200F的上行接口地址,所有訪問外網的報文都重定向至MA5200F服務器,通過MA5200F服務器向Portal 服務器發(fā)起認證請求。所有無線上網用戶在連入AP時,通過MA5200F服務器中內置的DHCP獲得IP地址,然后通過IE訪問web/portal server,輸入用戶名和密碼進行認證;認證成功后,開始計時。在計費策略的選擇上,考慮到無線網絡使用的流動性和不確定性,制定了按時長收費的標準并精確到分鐘計費,當通過了CAMS的Portal Server認證服務器認證之后,計費開始,用戶下線后停止計費。
3.6 無線網絡管理
根據無線網絡系統(tǒng)中主要采用的無線設備來選擇無線網絡管理軟件,例如,你所設計的無線網絡主要采用了華為公司的無線網絡產品,就首先應該考慮了管理的兼容性和針對性,選用華為的QuidView為網絡管理系統(tǒng),這是一個全面基于Web的網絡管理解決方案,可以通過自動或手工創(chuàng)建網絡拓撲結構圖管理整個企業(yè)內部網絡,支持監(jiān)視多個設備,利用SNMP協(xié)議實現(xiàn)WLAN所有網元的實時監(jiān)控和管理,包括網絡搜索,拓撲發(fā)現(xiàn),批量配置,性能監(jiān)測、警報追蹤和歷史數(shù)據記錄的功能,從而實現(xiàn)一個安全,可靠的無線網絡。在采用軟件管理的同時,也需要對網絡管理人員進行管理知識的培訓,加深學校管理人員的安全意識。
4 結語
大學原有的有線校園網建設大多較為完善,各種主要的網絡設備,通信線路以及重要的服務器,一般都具有良好的性能。作為有線網絡的有力補充,無線網絡建設是在有線網絡的基礎上為進行的。無線校園的建設與使用,己使無線校園網成為未來校園信息化發(fā)展的方向。無線校園網絡的快速發(fā)展與應用,對學校的教學模式、教學理念及教學管理將產生深遠的影響。
參考文獻
[1] 張俊平.無線網絡在校園建設網絡中的應用.學術研究.
篇3
關鍵詞:網絡設備;SSID;AP;無線網絡控制器;VLAN
一無線網絡技術簡介
無線網絡的飛速發(fā)展給人們的工作和生活帶來了極大的便利。(一)靈活以及廉價。(二)沒線纜約束。
二無線網絡安全隱患分析
非授權的用戶若獲得了無線網絡的訪問權限,將會破壞系統(tǒng)數(shù)據,消耗網絡帶寬,降低網絡的性能。
三無線網絡安全措施分析
(一)轉向企業(yè)級加密用戶們使用PSK模式進行登錄,對每一個用戶和會話都是唯一的。(二)確保物理上的安全性一定要保證你的接入點AP遠離公眾可以接觸的地方,最起碼應該將其掛到墻上或天花板上。(三)裝入侵檢測和入侵防御系統(tǒng)這兩種系統(tǒng)通常靠一個軟件來工作,并且使用戶的無線網卡來嗅探無線信號并查找問題。(四)構建無線使用策略正如需要其它網絡設備的使用指南一樣,你也應當有一套針對無線訪問的使用策略。
四東莞市某職業(yè)院校無線網絡安全技術應用方案
學校對無線網絡的需求特征分析上,安全因素被放在了首位。(一)校園無線網絡安全問題的提出在當今使用中,大多數(shù)校園的無線局域網主要是依靠WEP方式對數(shù)據進行加密。其次,如果AP不做任何安全設定,則任何一個符合Wi-Fi的網卡都可以接入網絡。另外,黑客還可能會使用MAC欺騙技術入侵網絡。下面根據東莞市某職業(yè)院校無線網絡應用的需求和要達到的目標,整體規(guī)劃設計出一套適用于東莞市某職業(yè)院校的無線安全應用方案。(二)東莞市某職業(yè)院校無線網絡安全技術應用方案概述該解決方案采用了WPA安全架構的設計,還應用了基于英特爾架構的無線網絡控制器和支持多SSID的AP。(三)東莞市某職業(yè)院校無線網絡安全技術應用方案實施下面以東莞市某職業(yè)院校的校園無線網項目為例,詳細地闡述應用方案。(1)無線網絡呈現(xiàn)的問題分析與應用解決方案由于存在不同地點的校區(qū),學校的教職員工不得不在不同的校區(qū)來回,同時教學場所也經常在各校區(qū)之間變換,這讓校園網絡出現(xiàn)了難題:①如何讓校園網絡覆蓋兩個不同位置的校區(qū)?②如何提供無縫的網絡連接?③如何保證網絡安全通暢?④如何提高教學和學習效率?針對學校面臨的以上難題,對無線網絡應用方案確定如下:⑤無線網絡信號覆蓋兩個不同的校區(qū)。⑥提供無縫的網絡漫游。⑦保障無線網絡安全性。⑧提供不同的接入認證方式。(2)無線網絡技術應用方案的確定為了構建一個統(tǒng)一的、易接入的、穩(wěn)定安全的校園無線網絡環(huán)境,現(xiàn)決定采用以下解決方案:①全面采用筆記本電腦作為無線終端。②采用符合802.11標準的產品,架構采用WPA標準。③采用具有多SSID和VLAN特性的AP進行基礎覆蓋。④采用無線網絡接入控制器。⑤采用無線網絡管理系統(tǒng)。(3)無線網絡安全技術應用的實施該方案使得整個校園無線網絡具有高度可擴展性和可升級性,提出了校園無線網絡的整體應用方案。如圖4.1所示:在無線網絡方案中,各無線覆蓋區(qū)域的AP就近接到接入層交換機上。因為存在校內教師、學生和校外來訪用戶等不同的無線用戶群,出于不同用戶群對安全性、易用性要求不同的考慮,采取802.1x和WEB認證相結合的方式來提供用戶身份認證。為了區(qū)分這兩種接入方式并將其分別關聯(lián)到一個對應的VLAN,采用了支持多SSID(Multi-SSID)和802.1qVLAN特性的CiscoAironet1200系列AP。①對于在校內的學生和教師用戶,將采用符合WPA安全架構的802.1x標準認證的接入方式,通過的用戶將獲得一個唯一的主密鑰,通過該主密鑰客戶端和負責接入的AP將根據TKIP方法動態(tài)生成唯一的加密密鑰。在校園有線網L3分布層交換機上配置VLAN的子接口,利用該子接口作為這個SSID所代表的VLAN的網關,對其進行路由轉發(fā),從而使通過認證的內部用戶訪問整個網絡,但是由于對無線通信進行了動態(tài)加密,保證了校園的敏感數(shù)據在空中傳輸?shù)陌踩"趯τ谟肳EB方式認證的校外來訪用戶,連接上無線接入點后,可以通過AC設備的DHCP服務或企業(yè)的專用DHCP服務器獲得IP地址、網關和DNS信息,無須安裝客戶端軟件,直接利用瀏覽器就可以通過充當RNC設備進行WEB方式認證,認證通過后就可以接入到Internet。為保證整個園區(qū)網絡的安全性,對于該SSID接入的用戶必須以無線網絡控制器(RNC)作為其網關設備,L3分布層交換機無須對該SSID所代表的VLAN進行路由轉發(fā)。如果這些用戶需要訪問校園內部網絡,可以通過在這一無線網絡控制器(RNC)設備上啟用用戶級的策略路由來實現(xiàn)。(四)校園無線網絡安全技術應用方案總結(1)安全性高這套無線局域網系統(tǒng)支持符合WPA安全架構的802.1x認證方式,借助TKIP技術動態(tài)生成的數(shù)據加密密鑰使空中無線數(shù)據通信如同在一條加密隧道中傳輸,保證了信息傳輸?shù)母甙踩浴#?)支持多SSID和VLAN劃分CiscoAironet1200系列AP支持多SSID,每個都可以映射到有線網絡的一個VLAN,將符合802.1q標準的VLAN延伸到無線網絡上。(3)利用策略路由進行訪問控制在方案中,將校園無線用戶分成兩類,一是教師用戶,一是學生用戶。為了讓學生能通過網絡與其它院校的師生進行交流,但同時又不想Internet上的垃圾信息和不良網站干擾學生的生活,那么可以設置學生用戶的下一跳路由到CERNET,而教師用戶的下一跳則是路由到Internet出口,從而實現(xiàn)了不同無線用戶群體的訪問需求。(4)流量控制保證用戶帶寬通過RNC的流量控制功能將不同用戶的帶寬按不同需要進行管理,保證某些重要用戶的帶寬暢通,有效防止了帶寬過量占用的拒絕服務攻擊。(5)AP管理和用戶管理通過RNC的AP管理功能,可以把其所連的AP作為一個網絡單元進行管理,結合網管系統(tǒng)還可以將RNC作為SNMP(簡單網絡管理協(xié)議),對這些AP進行管理。無線網絡管理員可以通過“Web3.教學管理制度與考核制度教學管理工作由院校雙方共同承擔,遵照共同制定的人才培養(yǎng)方案和教學計劃開展教學,學徒制工作小組定期巡視現(xiàn)場教學,了解教學基本情況,收集意見和建議。考核制度上實行理論課程考核、專業(yè)核心課程考核和畢業(yè)考核。理論課程的教學主要在學校完成,由學校組織筆試+實踐考核;專業(yè)核心課程主要在合作醫(yī)院完成,由現(xiàn)代學徒制工作小組組織臨床實踐+技能考核;畢業(yè)考核采用綜合專業(yè)理論筆試+專業(yè)核心能力鑒定+病案報告考核,由現(xiàn)代學徒制工作小組組織實施。學生只有通過以上考核才能獲取康復治療技術專業(yè)專科畢業(yè)證。4.現(xiàn)代學徒制實施存在的問題現(xiàn)代學徒制教育是高職院校發(fā)展的基本趨勢,是推動我國職業(yè)教育發(fā)展的有力武器,但目前我國現(xiàn)代學徒制成功應用到衛(wèi)生職業(yè)教育的模式還很少,離醫(yī)教結合、工學交替模式還有很大的差距,主要表現(xiàn)在以下幾個問題:(1)法律體制不健全。合理、完善、有效的職業(yè)教育法律法規(guī)是保障學徒制推行的基本前提,衛(wèi)計委和教育行政部門應當充分發(fā)揮宏觀調控和管理功能,修訂和完善相關法律法規(guī),在政策、經費上給予充足的保障,充分調動醫(yī)院、衛(wèi)生行業(yè)的積極性,使醫(yī)院在人才培養(yǎng)意識上具有社會責任感和使命感。(2)行業(yè)學會支持力度不夠。行業(yè)協(xié)會應對職業(yè)教育充分發(fā)揮其引導和管理作用,一方面積極鼓勵醫(yī)院參與到職業(yè)教育中來,在科研、繼續(xù)教育、職稱晉升等方面給予醫(yī)院兼職教師相關優(yōu)惠政策。另一方面在人才培養(yǎng)規(guī)格上引導學校和醫(yī)院結合康復治療師的崗位需求與國際標準接軌,不斷更新修訂康復治療技術專業(yè)標準、教學內容和執(zhí)業(yè)資格考試標準。(3)雙導師師資力量薄弱。學校導師應定期到醫(yī)院臨床實踐予以相關的考核和激勵機制,提高學校導師實踐教學能力;醫(yī)院導師應有計劃的進行職業(yè)教育教學理念的學習、教學方法執(zhí)教能力的培訓,使其具備先進的職業(yè)教育教學理念和教育教學方法。現(xiàn)代學徒制能讓康復治療技術專業(yè)實現(xiàn)符合現(xiàn)代職業(yè)教育理念的產教融合,是目前所提倡的工學結合教學模式的載體和有效實現(xiàn)形式,更是當前發(fā)達國家職業(yè)教育的主導模式。高等院校和相關醫(yī)院深度合作、雙導師聯(lián)合傳授技能,符合行業(yè)發(fā)展規(guī)律,有利于加速衛(wèi)生事業(yè)的發(fā)展、服務當?shù)貐^(qū)域經濟轉型升級。
參考文獻
[1]趙蕾.現(xiàn)代學徒制對高職高專院校人才培養(yǎng)模式的影響及應用研究[J].職業(yè)教育,2015(9):37.
[2]關晶,石偉平.西方現(xiàn)代學徒制的特征及啟示[J].職業(yè)技術教育,2011(31)32:77-79.
篇4
[關鍵詞]無線網絡;需求分析;總體設計
doi:10.3969/j.issn.1673 - 0194.2015.12.186
[中圖分類號]TP393.18 [文獻標識碼]A [文章編號]1673-0194(2015)12-0-01
目前許多高職院校的有線網絡已經基本覆蓋全校,但是一些公共場合比如閱覽室、風雨操場等由于人員密集和活動較多,不適用固定的有線網絡。無線網絡不受布線的限制,用戶接入方便,可以自由移動,同時隨著大量支持WiFi設備的出現(xiàn),在特定的場合需要移動上網。相比而言,無線網絡有著有線網絡不可比擬的優(yōu)勢,無線校園網絡的建設非常有必要。
1 X高職院校無線網絡需求分析
校區(qū)全覆蓋的無線校園網項目需要大量的資金投入。本文以X高職院校為例,根據學院已有的有線網絡布局,制定出合理的、有效的無線網絡規(guī)劃方案。學院應以有線為主,無線為輔,充分利用現(xiàn)有的有線網絡,在一些公共場所或需要移動上網的地方建設無線網絡。對無線網絡的建設有以下幾個方面的要求。第一,無線網絡要在高校投入使用,必須要確保其網絡系統(tǒng)能夠穩(wěn)定、安全、可靠地運行;第二,對于用戶來說,無線網還應該使用簡單;第三,對于學院網絡部來說,無線網的組建應該容易管理、容易擴展、有明顯的性價比,技術先進。通過以上措施,使校園無線網不僅為師生提供便捷的網絡平臺,同時方便有效地管理用戶及網絡。
2 X高職院校校園無線網絡總體設計
2.1 設計思路
結合X高職院校的實際情況,采用經過國內多所高校實踐證明的、技術可靠且成熟度較高的方案。無線組網方式采用智能無線交換機+智能AP的結構。
智能無線交換機可以對無線接入點進行集中管理。智能無線交換機可以通過發(fā)送AP映像文件的方法監(jiān)視AP的運行狀態(tài),發(fā)送AP配置;AP向智能無線交換機發(fā)送各種狀態(tài)和認證信息,實現(xiàn)集中管理無線AP。隨著網絡用戶數(shù)量的不斷增加,為了解決這一問題,可以對設備進行冗余,在核心上增加交換機數(shù)量,形成可靠架構,保證無線管理器更穩(wěn)定運行。
升級接入層交換機為全千兆支持POE供電模塊的交換機,這樣就不需要考慮對AP提供額外的電路架設,消除了為連接無線接入點等設備所必須花費的電源布線成本,實現(xiàn)無線接入點的靈活部署。只要保證AP與交換機的距離在100米以內,就可利用雙絞線將AP接入到接入層交換機POE端口上,AP從接入層交換機的POE端口獲取電能供應。
學院搭建的無線網絡應該與有線網絡結合起來,可接入有線網絡的認證計費系統(tǒng)和網絡管理系統(tǒng)進行統(tǒng)一管理,實現(xiàn)有線網絡和無線網絡的兼容和互補。
在無線入侵防御系統(tǒng)(WIPS)中,無線頻譜為無線網絡正常工作奠定了基礎,確保無線設備正常運行,保證無線信道通暢無阻,順利發(fā)送用戶上網需求的大量數(shù)據。與得到網絡訪問權限相比,解決無線網絡安全問題更加困難與復雜。比如,黑客攻擊網絡時,一般采取拒絕服務和虛假接入點兩種方式。所以,需要利用無線入侵防御系統(tǒng)積極檢查和防御這些病毒攻擊。基于經濟實用方面考慮,選擇Snort開源軟件解決問題,利用Snort系統(tǒng)檢測黑客的惡意攻擊,防止虛假接入點的建立,從而盡可能阻止黑客攻擊,并發(fā)出警報信號,保障無線系統(tǒng)正常工作,不影響用戶上網的需求。
2.2 核心模塊設計
如圖1所示便是核心模塊設計,在原有校園主干網絡基礎上,增加兩個功能模塊,而其他的連接不改動。首先,增加智能無線交換機設備一臺,連接到核心交換機上,通過有線網絡進行通信,管理無線網絡中的智能AP,包括配置智能AP、相關配置參數(shù)的修改、射頻智能管理等。其次,在接入層,當有交換機需要部署無線AP時,選擇的端口必須要具有POE功能,通過雙絞線將AP連接到POE端口,這樣,不需要為AP加裝電源,AP從POE端口獲取電能并實現(xiàn)網絡通信。校園網無線用戶的身份認證,采用現(xiàn)有的認證服務器,將無線用戶整合到與有線用戶統(tǒng)一的認證系統(tǒng)中。
3 辦公樓WLAN設計
辦公樓擬采用無線漫游方案,即在保證固定網絡接入的基礎上,在每個樓層分別安裝2個或3個無線AP,保證移動用戶在任何辦公區(qū)域都能接入校園網絡,且即使在所有辦公區(qū)域隨意移動也不會脫離校園網絡。
所有的無線AP通過雙絞線接入到有線骨干網絡,增加的無線AP使無線信號實現(xiàn)交叉覆蓋,無縫連接了各覆蓋區(qū)域。所有無線設備使用同一個SSID,接入到同一無線網絡中,在可用的11個頻道中,選擇3個完全不覆蓋的頻道1、頻道6和頻道11。無線漫游方案的設計,一方面增加了無線覆蓋范圍,實現(xiàn)整個樓宇的全方位覆蓋,使用戶無論走到哪里,都處于無線網絡的覆蓋區(qū)域;另一方面,實現(xiàn)眾多無線用戶的負載平衡,確保每個用戶都能順利接入辦公網絡,不會由于個別無線AP的接入數(shù)量太多而造成擁塞。
主要參考文獻
篇5
兼顧接入安全與穩(wěn)定性
為滿足高校學生對無線網絡的使用需求,校園在宿舍、教室、圖書館及食堂等區(qū)域都應布設無線網絡,做到無死角、無盲區(qū),同時保證覆蓋區(qū)域內信號穩(wěn)定,數(shù)據業(yè)務在不同AP間切換無掉線,無明顯延遲。
此外,學校在確保網絡覆蓋率和穩(wěn)定性的同時,也要致力于為師生提供安全、智能的移動教學網絡,并實現(xiàn)對教師、學生、訪客三類不同群體的接入控制。目前,很多學校都采取了利用現(xiàn)有系統(tǒng)對訪問校內網的終端免費,訪問互聯(lián)網的終端收費的方式。并希望實現(xiàn)用戶可在按時長或包月兩種計費方式中的自主選擇。據了解,如Aruba等企業(yè)移動網絡供應商可實現(xiàn)基于用戶身份、設備類型等多因素結合的網絡接入策略控制。具體來說,這種策略對于內部教職工,系統(tǒng)可以協(xié)助其自動配置無線客戶端而連接無線網絡,無需網管人員人為干預;對于學生,可以自動識別其智能終端,并根據不同的智能終端提供不同的認證頁面并下發(fā)不同的訪問控制策略;對于參觀學習的外來訪客,系統(tǒng)可以通過自注冊方式讓訪客自助激活無線網絡賬號,通過自動安全審批流程或者已經授權許可的識別碼后自助服務,全面保證接入安全性。
合理分配帶寬
校園網用戶經常抱怨課堂上網速慢。針對這一問題,應考慮分時段劃分網絡需求,既要滿足白天上課時段的帶寬,又要確保晚間和假日宿舍區(qū)的上網需求。這就統(tǒng)一成一個問題:規(guī)模龐大、網絡部署密集時,為達到帶寬,如何合情合理進行分配?以人民大學為例,人大通過采用Aruba高性能移動控制器,來實現(xiàn)對所有控制器及其所有AP的統(tǒng)一監(jiān)測、查看和管理,同時也為制定策略及合理分配流量提供了有效數(shù)據支撐。Aruba的控制器采取集群模式部署,也就是兩臺控制器同時工作,主控制器用于對整個無線網絡進行統(tǒng)一配置,并向本地控制器自動同步配置參數(shù)。此外,兩個控制器還互作冗余熱備份。即在任何一臺機器發(fā)生故障時,另外一臺自動接管所有受到該事件影響的無線接入點。
降低網絡管理成本
篇6
關鍵詞:無線局域網;瘦AP;移動醫(yī)護平臺
Abstract:Mhealth becomes popular in hospitals due to the development of WLAN technologies.Mhealth platform can improve the efficiency of daily rounds and nursing, and monitor the patients' physiological index.The Affliated Hospital of SouthWest Medical University chooses a wireless solution based on fit AP.On the basis of existing network frames, a wireless network is designed and built.besides, a management scheme is proposed to manage the wireless network.The wireless network has been test and optimized.It is safe and reliable according to medical staff.
Key words:Wireless LAN; Thin AP; Mobile healthcare platform
隨著醫(yī)院信息化的發(fā)展,移動醫(yī)護平臺在醫(yī)院越來越普及。通過移動醫(yī)療平臺,醫(yī)生可以在床旁查閱患者病歷記錄,并實時更新醫(yī)囑,護理人員可以在床旁完成護理操作,或者采集患者生理指標,并實時更新到系統(tǒng),有效地提高了醫(yī)護人員的工作效率[1]。移動醫(yī)護平臺將成為醫(yī)院信息系統(tǒng)的重要組成部分。無線局域網(WLAN)技術,適合在高數(shù)據業(yè)務的熱點區(qū)域,提供高速接入率、低QoS的接入服務[2]。隨著WLAN空中接口協(xié)議從802.11a發(fā)展到802.11n,無線覆蓋的范圍和傳輸速率顯著提高,為移動醫(yī)療的實現(xiàn)提供了有效的解決方案。本文基于WLAN技術,選取了瘦AP的無線解決方案,完成了無線網絡的設計與部署,形成了完整的管理方案,搭建測試環(huán)境測試無線網絡并優(yōu)化,最后在該解決方案的基礎上測試了移動醫(yī)護平臺,并收集整理使用情況。
1 無線網絡的設計與部署
我院醫(yī)護人員在使用移動醫(yī)護平臺時,主要功能包括床旁電子病歷查閱,醫(yī)囑查詢與下達,PACS影像查看,輸液與用藥管理,床旁心電監(jiān)護等。無線網絡要求達到零漫游,零丟包,低延遲,高速率以滿足上述功能。結合實際使用需求,選取的解決方案參數(shù),見表1。
1.1無線網絡的設計 我院的無線網絡的部署,是在現(xiàn)有網絡的基礎上完成。在需要部署無線網絡的外科樓,內科樓,腫瘤科,傳染科以及綜合樓等建筑中,垂直子系統(tǒng)采用兩路4芯光纜,分別連接建筑底層的兩臺匯聚交換機,水平子系統(tǒng)使用五類雙絞線,接入到各樓層弱電間交換機。無線網絡基于802.11n協(xié)議,選取了無線接入POE供電交換機,瘦AP以及超柔饋線。接入無線網絡之后的網絡拓撲圖,見圖1。
1.2無線網絡的部署 POE供電交換機作為接入交換機,連接到樓層的交換機。瘦AP通過超柔饋線,連接到接入交換機上。瘦AP作為無線漫游的基站,下聯(lián)多個智分單元,以片區(qū)為單位,分布在樓層的各個位置。智分單元再通過超柔饋線,將美化天線延伸到各個房間。部署的方案,見圖2。
智分單元可認為是瘦AP的延伸,美化天線是智分單元的延伸。故整個科室的信號都是由瘦AP發(fā)出。醫(yī)護人員在科室內部移動時,不會出現(xiàn)漫游的情況。每個病室和走廊上都部署有美化天線,保證信號全覆蓋。
為方便無線網絡管理,為每棟樓劃分一個VLAN,每個VLAN關聯(lián)一個SSID,用于移動醫(yī)護平臺業(yè)務。考慮到擴展不同的業(yè)務,瘦AP可根據實際需求,多個SSID,分別對應不同的業(yè)務。我院目前在醫(yī)護人員使用的基礎上,還劃分了單獨的VLAN,用于監(jiān)護儀器的使用。
2 無線網絡的管理方案
在設計和部署無線網絡的同時,我院也形成了一套無線管理的方案,主要包含安全性能管理、信號強度檢測、流量監(jiān)測、故障查找及排除、報表統(tǒng)計。
安全性能管理通過主動防御和被動防御完成。被動防御即給不同樓棟的設置不同SSID,同時設置不同的密碼[3],保證患者的移動終端不能連入無線網絡。由于密碼比較容易泄露,因此安全性較低。主動防御,即給醫(yī)護人員使用的移動終端設備,安裝監(jiān)控軟件,通過后臺服務器檢測連入無線網絡的設備,禁止非內網用戶接入。同時禁止終端設備修改接入的SSID和密碼,保證設備只能在特定的科室環(huán)境中使用。主動防御的安全性較高。
信號強度的檢測和流量檢測,主要通過引入管理軟件來完成。管理軟件基于SNMP協(xié)議,通過無線接入控制器(AC),x取POE接入交換機以及瘦AP的MIB信息庫,獲取當前連入的無線設備數(shù)目,數(shù)據流量以及相應的信號強度。并且可以根據科室的實際環(huán)境,制作無線熱圖,實時查看科室各個位置的信號質量。
通過AC,可以遠程批量配置上線的瘦AP,根據不同的使用科室,將瘦AP命名。通過監(jiān)控軟件可以實時監(jiān)控瘦AP的在線狀態(tài),在瘦AP退服時發(fā)出告警,并記錄日志。還可以通過AC查看瘦AP天線的在線情況,以便在病室出現(xiàn)信號不穩(wěn)定,但瘦AP正常工作時,迅速查找到工作狀態(tài)異常的天線并進行處理。
最后,通過管理軟件,可以記錄瘦AP在一段時間內的退服時間,退服率,內存使用率,CPU使用率,流量使用情況等數(shù)據,并形成相應的報表,作為無線網絡后續(xù)調整和維護的參數(shù)依據。
3 無線網絡的測試與優(yōu)化
在部署完成之后,需要對無線網絡進行測試,保證移動醫(yī)護平臺上線之后正常的使用。測試的項目包括了ping包測試、信號強度測試、FTP上傳和下載測試等。
Ping包測試,通過選取支持802.11n協(xié)議的PDA,在無線網絡中進行ping包測試,記錄丟包率以及平均ping包延遲。信號強度測試,是通過安裝信號測試軟件,在實際環(huán)境中測試信號強度并記錄,同時對比管理軟件讀取的信號強度。FTP上傳和下載測試,是通過搭建FTP服務器,在終端設備上傳輸文件,記錄上傳和下載的平均速度。以我院外科樓肝膽外科為例,測試結果,見表2。
在測試結果的基礎上,可通過瘦AP的信道調整,功率調整,取消其他無線信號源等手段,對科室無線網絡環(huán)境進行優(yōu)化。
4 結論
我院無線網絡部署和測試完成之后,已投入試用階段。基于無線網絡開展了相應的移動醫(yī)護業(yè)務,可滿足醫(yī)護人員的實際使用需求,有效地提高了醫(yī)護人員的工作效率。
參考文獻:
[1]楊宏橋,吳元立,李學斯,等.移動醫(yī)療技術的研究與應用[J].中國數(shù)字醫(yī)學,2011 6(11):49-51.
篇7
關鍵詞:網絡安全;無線網絡;云平臺
DOI:10.16640/ki.37-1222/t.2015.24.108
無線局域網是一種利用無線電波、紅外線、激光燈無線技術實現(xiàn)主機等終端設備靈活接入以太網的技術,是互聯(lián)網技術和通訊技術結合的產物。無線網絡已經悄悄走進各大高校并投入使用,校園網絡安全是伴隨著無線校園網絡使用的產物。因此如何保證網絡安全的問題也隨之提上日程。
無線網絡是建立在傳統(tǒng)的有線網絡和無線設備的基礎上用來擴展網絡的傳輸方式,無線網絡一般分為三大類WLAN、WWAN、WPN,這些網絡的共同點都是利用電磁波接收和發(fā)送網絡傳輸數(shù)據。無線網絡在快捷方便的同時也帶來了安全問題,由于無線網絡并不是通過某種介質來傳遞信息,因此獲取到數(shù)據的方式可以通過能夠獲取電磁波的設備,這就為入侵者提供了開發(fā)的環(huán)境,因此安全問題在無線網絡中顯得尤其重要。
高校是新技術和高科技體驗的前沿,由于使用者是學生特點是數(shù)量大、知識程度相對高、對新的事物好奇等特點,使得被網絡攻擊的頻率增加,在校園無線網絡的建設和運營時充分考慮到從使用用戶的特點出發(fā)的安全因素和策略,以保障校園無線網絡安全、可靠、穩(wěn)定的運行,真正的方便廣大教師和學生的工作、學習和生活。
1 高校無線網絡安全存在的問題
1.1 網絡管理的問題
高校無線網絡最大的用戶就是學生,建設無線網絡的目的是方便老師和學生使用智能手機、筆記本電腦等設備隨時訪問網絡進行學習、工作和交流,但是由此對于學習也帶來了負面問題,在課堂上很多同學使用智能手機上網看電影、聽音樂、購物,使課堂變成了游樂場所,學生變成“低頭一族”,在宿舍很多同學使用筆記本電腦看電影、打游戲等,而且不注意作息時間嚴重的影響了自己和他人休息,違反了學校的規(guī)定,另外有的學生由于社會閱歷淺、沖動,利用網絡發(fā)表個人的不滿和負面情緒影響和諧和團結。
1.2 用戶竊聽
高校無線網絡處于一個開放環(huán)境,很容易通過無線電波截取網絡數(shù)據包,并進行分析獲得用戶名、密碼、賬號等個人信息。
1.3 設備安全性
構建無線校園網絡的主要設備有AP、交換機、路由器,天氣或者人為原因都可能對設備造成損失,因此設備的安裝位置和備份顯得尤為重要。另外不法分子也可能使用增加基站的方式入侵網絡,帶來網路安全隱患。利用平臺技術管理和分析設備使用情況可以提高網絡安全級別。
1.4 DoS攻擊
無線校園網絡和有線校園網一樣都會受到病毒攻擊,在無線網絡中攻擊的目標一般是AP,當黑客一旦發(fā)現(xiàn)AP的IP地址就會發(fā)起DoS攻擊,造成無線網絡下AP癱瘓。
針對以上問題在解決高校無線網絡的安全問題上采取在不同層次采取不同的安全策略,提出以下幾種方法:
(1)訪問控制。主要使用的技術有MAC物理地址過濾,SSID服務區(qū)標識匹配。
MAC地址即網卡的ID號,每個網卡都一個全世界唯一的ID號,是一個12位的16進制號碼,其中前4位是網卡廠家的代碼,是世界標準化組織統(tǒng)一分配的,后面是網卡代碼。MAC地址過濾是在路由器中有一個過濾表,凡是表中登記的網卡,就可以通過路由器上網(或禁止上網)。在登錄校園無線網時如果某個網卡的ID號碼沒有在路由器中登記,就不能連上,如果有登記記錄既可以使用校園無線網絡。這就是MAC地址過濾,在路由器設置中有這樣一項。這一策略在一定程度上防止網絡被盜用,用讓用戶體驗到移動上網的優(yōu)勢。另外也可以在不同的地方比如教室、會議室、食堂等固定的區(qū)域對上網進行設置。
SSID (service set identifier)也就是“服務區(qū)標識符匹配”、“業(yè)務組標識符”的簡稱,最多可以有32個字符,通俗的說,它就可以比作有線局域網中的“工作組”標識一樣或是無線客戶端與無線路由器之間的一道口令一樣,只有在完全相同的前提下才能讓無線網卡訪問無線路由器,在校園無線網絡中就可以將校園網劃分為多個WLAN,按照用戶的身份進行管理,這也是保證校園網絡安全的有效措施。
(2)身份驗證。目前網絡比較流行的驗證方式是Portal驗證,這種驗證方式操作簡單,通過搜索運營商的AP,打開用戶的瀏覽器會直接彈出登錄頁面,輸入用戶名和密碼后即可使用無線網絡,但直接使用Portal會給用戶帶來安全風險,因此現(xiàn)在主流的使用采取portal加web方式,這種驗證方式主要利用了安全性較強的CHAP式加密認證。
(3)監(jiān)控與跟蹤。傳統(tǒng)的網絡采用ACL技術動態(tài)分配網址,缺點是對用戶不能實現(xiàn)精確的跟蹤。校園應用要求識別并將網絡行為更加詳細地進行記錄,以滿足網絡安全和審查需要。既能夠針對每用戶、每設備的應用識別和跟蹤記錄,也可以監(jiān)控某些關鍵業(yè)務的性能。BYOD(Bring Your Own Device)方案提供了基于用戶的狀態(tài)防火墻,能夠識別每個用戶在每個設備上各種會話狀態(tài)。
無線網絡技術積極推動了教學效果、方便了教師和學生學習和生活,這也是無線技術走進校園的重要原因,為了更加有效的利用無線網絡技術,無線網絡的安全問題顯得尤為重要,首先從技術上探索無線網絡的安全問題,另外無線校園網絡安全是一個長期的、系統(tǒng)工程,在實現(xiàn)過程中僅僅依靠先進的設備和技術不能完全解決問題,還需要合理的設計、維護和運營以及各個階段的無縫式配合來保證校園無線網絡安全、無障礙的運行。
參考文獻:
[1]堯有平.校園無線網絡安全威脅與安全策略研究[J].輕工科技,2013.
[2]李文.高校網絡安全現(xiàn)存問題及解決對策[J].無線互聯(lián)科技,2013.
篇8
關鍵詞:無線校園網;可擴展性;可管理型;安全性
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2016)29-0036-02
智慧校園作為目前高校信息化發(fā)展的目標借助了互聯(lián)網、物聯(lián)網、云計算等技術,將教學、科研、管理、生活學習環(huán)境進行深度融合,讓管理者、教師、學生能以更加精細和動態(tài)的方式管理學習工作和生活的狀態(tài),最終提升管理、教學、科研、服務質量。因此如何設計建設一個穩(wěn)定、高性能、安全的無線校園網則顯得尤為重要。
1無線方案需求分析
1.1無線覆蓋需求
無線信號應該在覆蓋范圍內無處不在,但是更多的覆蓋范圍,需要更多的設備和投資,因此覆蓋范圍和覆蓋程度和實際需求相關,同時也和無線AP的部署方式相關。不同場所建筑由于用途不同,結構千差萬別,采用合適的AP部署方式將可以得到最優(yōu)的信號覆蓋。
1.2穩(wěn)定可靠的需求
無線網絡的傳輸方式和原理導致其穩(wěn)定性和可靠性有天生不足,電磁波非常容易受到各種障礙物、其他同頻率電磁波、相鄰AP甚至天氣的影響,正是如此無線網絡的設計重點要考慮如何保障無線網絡的穩(wěn)定可靠。
1.3無線性能及容量的需求
無線網絡性能包括了AP吞吐量和用戶的吞吐量兩個方面的因素,AP吞吐量與AP、K端支持的協(xié)議標準和空間流數(shù)量有關,而用戶吞吐量還和AP接人用戶數(shù)量有關,設計無線校園網時不能僅僅考慮信號覆蓋,還要考慮如何保證無線用戶的應用能夠流暢運行,無線網絡不成為性能瓶頸,特別高密度用戶環(huán)境中能夠確保所有并發(fā)用戶的無線性能。
1.4無縫漫游需求
無線用戶通常都會在移動過程中使用網絡,當終端從一個位置移動到另外一個位置,為了提升用戶的上網體驗,漫游過程中信號不能中斷、網絡不能中斷。達到無縫漫游、無感知漫游的目的。
1.5易管理需求
無線網絡的管理除具備有線網絡管理的部分特征外,還有自己的管理需求,如終端定位需求,怎樣直觀的查看無線信號覆蓋效果進行無線規(guī)劃也成為無線網絡管理的必備需求。
2無線校園網設計原則
2.1穩(wěn)定可靠原則
無線網絡相比有線網絡在可靠性方面有先天不足,電磁波傳輸更容易受到各種干擾導致網絡的不可靠,而隨著移動應用的發(fā)展,無線網絡對用戶的重要性越來越高,因此無線網絡穩(wěn)定可靠更為重要。在設計無線網絡時首要考慮盡量減少無線干擾、信號補償、關鍵部件冗余等措施。
2.2安全性原則
無線網絡的便利性也導致了其安全風險更高,而移動應用和智能終端的普及,用戶越來越依賴于無線網絡,無線網絡上可以傳輸普通的數(shù)據,也有用戶的身份信息神州銀行等隱秘性要求很高的數(shù)據,因此無需網絡必須具有良好的安全防范措施和密碼保護技術,靈活方便的權限設定和控制機制,使系統(tǒng)具有多種有效手段,防范各種形式對網絡的非法入侵和內部攻擊,以保證網絡的實體安全、網絡安全、系統(tǒng)安全和信息安全,有效地保障正常的業(yè)務活動和防止內部信息數(shù)據不被非法竊取、篡改或泄漏。
2.3高性能原則
無線網絡是一個競爭性的共享網絡,用戶數(shù)量越多,單用戶性能越低,而移動應用的普及帶來了無線帶寬性能需求的提升,網絡鏈路和設備具備足夠高的數(shù)據轉發(fā)能力,保證各種信息的高質量無阻塞傳輸;交換系統(tǒng)具有很高的交換容量與多服務支持的能力,保證網絡服務的質量。
2.4可擴展性原則
在網絡規(guī)模不斷發(fā)展的情況下,無線網絡應滿足在不改變主體架構與大部分設備的前提下,平滑實現(xiàn)升級和擴充,降低原有網絡的硬件投資,并保證擴展后的系統(tǒng)可用性與穩(wěn)定性。預留AC、AP可升級的能力,為未來無線校園網擴容提供基礎。
3整體方案設計拓撲
在校園網網絡中心部署1臺或多臺AC無線控制器,對全校所有無線AP進行統(tǒng)一管理控制,多臺無線控制器可以實現(xiàn)1+1或N+I冗余。在網絡中心部署有線無線網管系統(tǒng)(現(xiàn)有DCLM網管系統(tǒng))對全網有線無線設備進行統(tǒng)一管理。部署統(tǒng)一認證網關(現(xiàn)有CS16809核心交換機和城市熱點認證計費網關)來實現(xiàn)有線無線接人用戶統(tǒng)一認證計費與運營管理。所有AP接入到POE交換機或通過POE模塊接入到接入交換機,實現(xiàn)POE遠程供電。在高性能、高密度區(qū)域選擇支持802.11ac協(xié)議的AP產品,可以得到更高的帶寬。
我院校園網采用了經典的三層架構,即核心層、匯聚層和接入層。校園不同區(qū)域劃分了不同的VLAN和子網。這種架構的校園網,AC部署在網絡中心,各AP在不同區(qū)域有不同的管理地址和用戶地址段,屬于不同的VLAN。AC與AP之間三層連接。這種架構有線用戶和無線用戶按同樣的區(qū)域來劃分不同的VLAN和子網。在網絡中心部署DHCP服務器和AC控制器為AP和無線用戶分配IP地址,為了實現(xiàn)準入控制,利用AC實現(xiàn)BAS功能,配合DCN DCSM或其他RAIDUS實現(xiàn)POR-TAL認證。
篇9
無線網絡對于我們已經不再陌生了,WiFi、藍牙、WiMax、紅外、3G等各式各樣的無線網絡信號已經無時無刻地環(huán)繞在我們身邊。然而,不論是在企業(yè)網絡還是在家庭網絡中,有線仍然是我們日常網絡最重要的組成部分。我們以企業(yè)網絡為例,此前,曾有很多分析報告提出全無線辦公(All Wireless Office)的概念,然而,真正實現(xiàn)全無線辦公的企業(yè)可謂鳳毛麟角。現(xiàn)在,隨著無線技術的不斷成熟、無線單位成本的不斷下降,以及無線網絡能夠帶來的諸多便利,這一現(xiàn)象有望在今后得以徹底改變。
All Wireless Off]ce(全無線辦公)
根據IDC的分析報告顯示,在未來12個月中,企業(yè)采購的IT設備中,安全防御設備仍然將以接近30%的比例占據榜首,但之后的排名出現(xiàn)了很大的變化,無線設備占用企業(yè)預算的比例大幅攀升,以接近25%的比例,占據了榜單的第二位。從研究報告中,我們不難發(fā)現(xiàn),企業(yè)越來越多地采購無線設備,其比例甚至大幅超過了有線的基礎設備,企業(yè)對于無線的需求正在激增。在這種背景下,全無線網絡辦公成為了企業(yè)想要去實現(xiàn)的。
全無線辦公,顧名思義,就是在企業(yè)環(huán)境中,利用無線網絡最大程度地替代有線網絡,甚至徹底將企業(yè)內部網進化為無線網絡。如果實現(xiàn)了這一點,對于企業(yè)而言,將意味著擁有眾多好處。從最直觀的網線的減少到管理維護、安全維護更加方便和可靠,再到可以精確定位每一個無線設備的位置,這都將為企業(yè)帶來巨大的效率提升。而另一方面,通過無線技術與統(tǒng)一通信的結合,企業(yè)的通訊聯(lián)絡成本也將大幅下降,既能提高效率又能降低成本,怪不得企業(yè)的IT投資大幅傾向于無線設備。有了這種需求背景,加上不斷成熟的無線設備和無線安全解決方案,全無線辦公似乎已經離我們很近了。
如何組建
無線網絡相比于有線網絡,在組建和維護上必然有著很大的不同,企業(yè)向無線遷移的過程中,如何最好地解決這些問題,同時高效平穩(wěn)地組建全無線辦公網絡?帶著這些問題,我們采訪了Aruba亞太區(qū)技術顧問吳章銘,Aruba作為全球領先的無線解決方案廠商,我們相信他們對于全無線網絡的可行性與組建都有獨到的見解。
對于企業(yè)而言,組建全無線辦公網絡首先會想到的問題就是帶寬問題,很多企業(yè)IT管理人員擔心,相比于有線網絡,無線網絡的帶寬問題將影響企業(yè)的網絡運營。在談到這個問題時,吳章銘表示,從數(shù)據上來看,在大部分企業(yè)網絡中,每一位員工的帶寬占用大約是這樣分配的:VolP大約占到了300Kbps帶寬,視頻帶寬占用大約將近400Kbps,電子郵件、在線文檔和企業(yè)網絡應用程序各占用1Mbps帶寬,也就是說,平均每位員工占用了4Mbps左右的企業(yè)網絡帶寬。而一個雙頻802.11g無線AP就將提供理論54Mbps,實際也要超過40Mbps的帶寬,也就是1個802.11g的AP就可以保障10位企業(yè)員工的網絡需求,而這僅僅是802.11g,在去年9月正式的802.11n規(guī)范提供了理論300Mbps,實際超過240Mbps的帶寬。一個AP足以供應60位以上員工的辦公需求,不論是在帶寬上,還是在單位端口的接入成本上,相比有線網絡都有驚人的優(yōu)勢。
在消除了帶寬這個最大的障礙之后,如何實際地部署無線網絡呢?我們這里以Aruba在臺灣的一家典型企業(yè)客戶為例。企業(yè)可以全面地部署無線網絡,由于無線網絡無須部署網線,也不需要端口,因此,企業(yè)的單位終端網絡成本將大幅下降。
除了這些基礎的應用,在談到這個案例時,吳章銘向我們展示了兩個很有趣的概念――手機狗和雙槍俠。所謂“手機狗”,指的是現(xiàn)在的企業(yè)員工需要大量地通過手機來開展企業(yè)業(yè)務,聽到手機鈴聲就會立即拿起手機應答或者拒接,正如同“狗”這種動物,對食物進行的條件反射,手機狗的出現(xiàn)正說明了企業(yè)員工對于手機的依賴性。而“雙槍俠”則是比喻在企業(yè)環(huán)境中,擁有多個手機終端的員工,他們?yōu)榱斯ぷ骱退饺松钜约捌渌矫娴脑颍褂昧硕鄠€手機和手機號碼。手機狗和雙槍俠在企業(yè)中的大規(guī)模出現(xiàn)意味著,在企業(yè)網絡中,每一個員工都可能擁有多重門號,比如企業(yè)手機號、私人手機號、辦公座機號等等。通過無線網絡和統(tǒng)一通信系統(tǒng),這個問題將得到解決。
例如:企業(yè)可以通過整體的無線統(tǒng)一通信解決方案,將手機等終端納入無線統(tǒng)一通信的管理之中,實現(xiàn)在企業(yè)中,每個人有且只有一個單一門號,通過WiFi、手機、座機呼叫固定的號碼,即可與固定的用戶實現(xiàn)交流,而后者也可以以任何一種接入終端來進行應答。這樣大大降低企業(yè)的溝通復雜度與溝通成本。再進一步在更大范圍內,企業(yè)可以部署更大規(guī)模的無線網絡,以實現(xiàn)總部與分支機構之間的互聯(lián)互通。可以說,除了全無線辦公網絡帶來的基礎便捷之外,這些利用無線網絡構建的企業(yè)解決方案也將能夠實現(xiàn)有線網絡平臺下無法實現(xiàn)的問題。
安全的思考
如果要說無線網絡相比有線網絡有何最致命的問題,那毫無疑問就是安全問題。由于無線網絡的信息載體是電磁波,而電磁波具有明顯的溢波現(xiàn)象,同時,無線網絡的去除網線也為偽造無線AP提供了便捷,相比于有線網絡更為復雜的安全威脅成為企業(yè)組建全無線辦公不得不考慮的問題。
吳章銘表示,瘦AP將是解決安全問題的基礎條件。所謂瘦AP是相對于胖AP而言,胖AP指的是集成了全部功能的AP,這些功能包括了加密解密、過濾防護等等,而瘦AP與之對應,就是只有無線功能的設備。在瘦AP環(huán)境下,加密解密以及防火墻等安全措施可以通過一個單獨的安全設備來實現(xiàn),除了顯而易見的成本降低之外,提升了AP的性能,還提升了安全性能與安全管理的方便性。在瘦AP環(huán)境下,用戶訪問網絡的需求通過AP傳遞到AP之后的防火墻上,由防火墻進行統(tǒng)一的身份驗證,并且賦予用戶不同的權限,這種良好的身份認證以及其他的統(tǒng)一安全管理將有效地規(guī)避大量的安全問題。
當然,無線網絡也具有有線網絡無法比擬的一點安全優(yōu)勢,這點體現(xiàn)在對于終端的精確定位上,這個定位是基于物理位置的定位。而不是IP地址。正是由于無線網絡的數(shù)據載體為電磁波,因此,在理論上,只要企業(yè)環(huán)境中存在三臺以上不在同一點的無線AP,即可通過三角定位精確地找到終端的位置。而實際上,理論上最小的三臺AP顯然無法滿足要求,越多的AP將能夠越精準地定位到終端的物理位置。考慮到一般的有定位需求的企業(yè)中,都有大量的AP設備。因此,實現(xiàn)它技術上并不困難。有了物理位置的精確定位,在企業(yè)網絡遭遇安全問題的時候,能更容易找到出現(xiàn)問題的位置,也能夠進行更快的響應。
全無線辦公成為可能
篇10
關鍵詞:無線網絡;安全威脅;安全技術;安全措施
無線網絡的應用擴展了網絡用戶的自由,然而,這種自由同時也帶來了安全性問題。無線網絡存在哪些安全威脅?采取什么安全對策?我們對上述問題作一簡要論述。
1無線網絡存在的安全威脅
無線網絡一般受到的攻擊可分為兩類:一類是關于網絡訪問控制、數(shù)據機密性保護和數(shù)據完整性保護而進行的攻擊;另一類是基于無線通信網絡設計、部署和維護的獨特方式而進行的攻擊。對于第一類攻擊在有線網絡的環(huán)境下也會發(fā)生。可見,無線網絡的安全性是在傳統(tǒng)有線網絡的基礎上增加了新的安全性威脅。
1.1有線等價保密機制的弱點
IEEE(InstituteofElectricalandElectronicsEngineers,電氣與電子工程師學會)制定的802.11標準中,引入WEP(WiredEquivalentPrivacy,有線保密)機制,目的是提供與有線網絡中功能等效的安全措施,防止出現(xiàn)無線網絡用戶偶然竊聽的情況出現(xiàn)。然而,WEP最終還是被發(fā)現(xiàn)了存在許多的弱點。
(1)加密算法過于簡單。WEP中的IV(InitializationVector,初始化向量)由于位數(shù)太短和初始化復位設計,常常出現(xiàn)重復使用現(xiàn)象,易于被他人破解密鑰。而對用于進行流加密的RC4算法,在其頭256個字節(jié)數(shù)據中的密鑰存在弱點,容易被黑客攻破。此外,用于對明文進行完整性校驗的CRC(CyclicRedundancyCheck,循環(huán)冗余校驗)只能確保數(shù)據正確傳輸,并不能保證其是否被修改,因而也不是安全的校驗碼。
(2)密鑰管理復雜。802.11標準指出,WEP使用的密鑰需要接受一個外部密鑰管理系統(tǒng)的控制。網絡的部署者可以通過外部管理系統(tǒng)控制方式減少IV的沖突數(shù)量,使無線網絡難以被攻破。但由于這種方式的過程非常復雜,且需要手工進行操作,所以很多網絡的部署者為了方便,使用缺省的WEP密鑰,從而使黑客對破解密鑰的難度大大減少。
(3)用戶安全意識不強。許多用戶安全意識淡薄,沒有改變缺省的配置選項,而缺省的加密設置都是比較簡單或脆弱的,經不起黑客的攻擊。
1.2進行搜索攻擊
進行搜索也是攻擊無線網絡的一種方法,現(xiàn)在有很多針對無線網絡識別與攻擊的技術和軟件。NetStumbler軟件是第一個被廣泛用來發(fā)現(xiàn)無線網絡的軟件。很多無線網絡是不使用加密功能的,或即使加密功能是處于活動狀態(tài),如果沒有關閉AP(wirelessAccessPoint,無線基站)廣播信息功能,AP廣播信息中仍然包括許多可以用來推斷出WEP密鑰的明文信息,如網絡名稱、SSID(SecureSetIdentifier,安全集標識符)等可給黑客提供入侵的條件。
1.3信息泄露威脅
泄露威脅包括竊聽、截取和監(jiān)聽。竊聽是指偷聽流經網絡的計算機通信的電子形式,它是以被動和無法覺察的方式入侵檢測設備的。即使網絡不對外廣播網絡信息,只要能夠發(fā)現(xiàn)任何明文信息,攻擊者仍然可以使用一些網絡工具,如AiroPeek和TCPDump來監(jiān)聽和分析通信量,從而識別出可以破解的信息。
1.4無線網絡身份驗證欺騙
欺騙這種攻擊手段是通過騙過網絡設備,使得它們錯誤地認為來自它們的連接是網絡中一個合法的和經過同意的機器發(fā)出的。達到欺騙的目的,最簡單的方法是重新定義無線網絡或網卡的MAC地址。
由于TCP/IP(TransmissionControlProtocol/InternetProtocol,傳輸控制協(xié)議/網際協(xié)議)的設計原因,幾乎無法防止MAC/IP地址欺騙。只有通過靜態(tài)定義MAC地址表才能防止這種類型的攻擊。但是,因為巨大的管理負擔,這種方案很少被采用。只有通過智能事件記錄和監(jiān)控日志才可以對付已經出現(xiàn)過的欺騙。當試圖連接到網絡上的時候,簡單地通過讓另外一個節(jié)點重新向AP提交身份驗證請求就可以很容易地欺騙無線網身份驗證。
1.5網絡接管與篡改
同樣因為TCP/IP設計的原因,某些欺騙技術可供攻擊者接管為無線網上其他資源建立的網絡連接。如果攻擊者接管了某個AP,那么所有來自無線網的通信量都會傳到攻擊者的機器上,包括其他用戶試圖訪問合法網絡主機時需要使用的密碼和其他信息。欺詐AP可以讓攻擊者從有線網或無線網進行遠程訪問,而且這種攻擊通常不會引起用戶的懷疑,用戶通常是在毫無防范的情況下輸人自己的身份驗證信息,甚至在接到許多SSL錯誤或其他密鑰錯誤的通知之后,仍像是看待自己機器上的錯誤一樣看待它們,這讓攻擊者可以繼續(xù)接管連接,而不容易被別人發(fā)現(xiàn)。
1.6拒絕服務攻擊
無線信號傳輸?shù)奶匦院蛯iT使用擴頻技術,使得無線網絡特別容易受到DoS(DenialofService,拒絕服務)攻擊的威脅。拒絕服務是指攻擊者惡意占用主機或網絡幾乎所有的資源,使得合法用戶無法獲得這些資源。黑客要造成這類的攻擊:①通過讓不同的設備使用相同的頻率,從而造成無線頻譜內出現(xiàn)沖突;②攻擊者發(fā)送大量非法(或合法)的身份驗證請求;③如果攻擊者接管AP,并且不把通信量傳遞到恰當?shù)哪康牡兀敲此械木W絡用戶都將無法使用網絡。無線攻擊者可以利用高性能的方向性天線,從很遠的地方攻擊無線網。已經獲得有線網訪問權的攻擊者,可以通過發(fā)送多達無線AP無法處理的通信量進行攻擊。
1.7用戶設備安全威脅
由于IEEE802.11標準規(guī)定WEP加密給用戶分配是一個靜態(tài)密鑰,因此只要得到了一塊無線網網卡,攻擊者就可以擁有一個無線網使用的合法MAC地址。也就是說,如果終端用戶的筆記本電腦被盜或丟失,其丟失的不僅僅是電腦本身,還包括設備上的身份驗證信息,如網絡的SSID及密鑰。
2無線網絡采用的安全技術
采用安全技術是消除無線網絡安全威脅的一種有效對策。無線網絡的安全技術主要有七種。
2.1擴展頻譜技術
擴頻技術是用來進行數(shù)據保密傳輸,提供通訊安全的一種技術。擴展頻譜發(fā)送器用一個非常弱的功率信號在一個很寬的頻率范圍內發(fā)射出去,與窄帶射頻相反,它將所有的能量集中到一個單一的頻點。
一些無線局域網產品在ISM波段為2.4~2.483GHz范圍內傳輸信號,在這個范圍內可以得到79個隔離的不同通道,無線信號被發(fā)送到成為隨機序列排列的每一個通道上(例如通道1、18、47、22……)。無線電波每秒鐘變換頻率許多次,將無線信號按順序發(fā)送到每一個通道上,并在每一通道上停留固定的時間,在轉換前要覆蓋所有通道。如果不知道在每一通道上停留的時間和跳頻圖案,系統(tǒng)外的站點要接收和譯碼數(shù)據幾乎是不可能的。使用不同的跳頻圖案、駐留時間和通道數(shù)量可以使相鄰的不相交的幾個無線網絡之間沒有相互干擾,因而不用擔心網絡上的數(shù)據被其他用戶截獲。
2.2用戶密碼驗證
為了安全,用戶可以在無線網絡的適配器端使用網絡密碼控制。這與WindowsNT提供的密碼管理功能類似。由于無線網絡支持使用筆記本或其他移動設備的漫游用戶,所以嚴格的密碼策略等于增加一個安全級別,這有助于確保工作站只被授權用戶使用。
2.3數(shù)據加密
數(shù)據加密技術的核心是借助于硬件或軟件,在數(shù)據包被發(fā)送之前就加密,只有擁有正確密鑰的工作站才能解密并讀出數(shù)據。此技術常用在對數(shù)據的安全性要求較高的系統(tǒng)中,例如商業(yè)用或軍用的網絡,能有效地起到保密作用。
此外,如果要求整體的安全保障,比較好的解決辦法也是加密。這種解決方案通常包括在有線網絡操作系統(tǒng)中或無線局域網設備的硬件或軟件的可選件中,由制造商提供,另外還可選擇低價格的第三方產品,為用戶提供最好的性能、服務質量和技術支持。
2.4WEP配置
WEP是IEEE802.11b協(xié)議中最基本的無線安全加密措施,其主要用途包括提供接入控制及防止未授權用戶訪問網絡;對數(shù)據進行加密,防止數(shù)據被攻擊者竊聽;防止數(shù)據被攻擊者中途惡意篡改或偽造。此外,WEP還提供認證功能。2.5防止入侵者訪問網絡資源
這是用一個驗證算法來實現(xiàn)的。在這種算法中,適配器需要證明自己知道當前的密鑰。這和有線網絡的加密很相似。在這種情況下,入侵者為了將他的工作站和有線LAN連接也必須達到這個前提。
2.6端口訪問控制技術
端口訪問控制技術(802.1x)是用于無線局域網的一種增強性網絡安全解決方案。當無線工作站與AP關聯(lián)后,是否可以使用AP的服務要取決于802.1x的認證結果。如果認證通過,則AP為用戶打開這個邏輯端口,否則不允許用戶上網。802.1x除提供端口訪問控制能力之外,還提供基于用戶的認證系統(tǒng)及計費,特別適合于公司的無線接入解決方案。
2.7使用VPN技術
VPN(VirtualPrivateNetwork,虛擬專用網)是指在一個公共IP網絡平臺上通過隧道以及加密技術保證專用數(shù)據的網絡安全性,它不屬于802.11標準定義;但是用戶可以借助VPN來抵抗無線網絡的不安全因素,同時還可以提供基于RADIUS的用戶認證以及計費。因此,在合適的位置使用VPN服務是一種能確保安全的遠程訪問方法。
3無線網絡采取的安全措施
要排除無線網絡的安全威脅,另一種對策是采取如下八項安全措施。
3.1網絡整體安全分析
網絡整體安全分析是要對網絡可能存的安全威脅進行全面分析。當確定有潛在入侵威脅時,要納入網絡的規(guī)劃計劃,及時采取措施,排除無線網絡的安全威脅。
3.2網絡設計和結構部署
選擇比較有安全保證的產品來部署網絡和設置適合的網絡結構是確保網絡安全的前提條件,同時還要做到如下幾點:修改設備的默認值;把基站看作RAS(RemoteAccessServer,遠程訪問服務器);指定專用于無線網絡的IP協(xié)議;在AP上使用速度最快的、能夠支持的安全功能;考慮天線對授權用戶和入侵者的影響;在網絡上,針對全部用戶使用一致的授權規(guī)則;在不會被輕易損壞的位置部署硬件。
3.3啟用WEP機制
要正確全面使用WEP機制來實現(xiàn)保密目標與共享密鑰認證功能,必須做到五點。一是通過在每幀中加入一個校驗和的做法來保證數(shù)據的完整性,防止有的攻擊在數(shù)據流中插入已知文本來試圖破解密鑰流;二是必須在每個客戶端和每個AP上實現(xiàn)WEP才能起作用;三是不使用預先定義的WEP密鑰,避免使用缺省選項;四是密鑰由用戶來設定,并且能夠經常更改;五是要使用最堅固的WEP版本,并與標準的最新更新版本保持同步。
3.4MAC地址過濾
MAC(MediaAccessController,物理地址)過濾可以降低大量攻擊威脅,對于較大規(guī)模的無線網絡也是非常可行的選項。一是把MAC過濾器作為第一層保護措施;二是應該記錄無線網絡上使用的每個MAC地址,并配置在AP上,只允許這些地址訪問網絡,阻止非信任的MAC訪問網絡;三是可以使用日志記錄產生的錯誤,并定期檢查,判斷是否有人企圖突破安全措施。
3.5進行協(xié)議過濾
協(xié)議過濾是一種降低網絡安全風險的方式,在協(xié)議過濾器上設置正確適當?shù)膮f(xié)議過濾會給無線網絡提供一種安全保障。過濾協(xié)議是個相當有效的方法,能夠限制那些企圖通過SNMP(SimpleNetworkManagementProtocol,簡單網絡管理協(xié)議)訪問無線設備來修改配置的網絡用戶,還可以防止使用較大的ICMP協(xié)議(InternetControlMessageProtocol,網際控制報文協(xié)議)數(shù)據包和其他會用作拒絕服務攻擊的協(xié)議。
3.6屏蔽SSID廣播
盡管可以很輕易地捕獲RF(RadioFrequency,無線頻率)通信,但是通過防止SSID從AP向外界廣播,就可以克服這個缺點。封閉整個網絡,避免隨時可能發(fā)生的無效連接。把必要的客戶端配置信息安全地分發(fā)給無線網絡用戶。
3.7有效管理IP分配方式
分配IP地址有靜態(tài)地址和動態(tài)地址兩種方式,判斷無線網絡使用哪一個分配IP的方法最適合自己的機構,對網絡的安全至關重要。靜態(tài)地址可以避免黑客自動獲得IP地址,限制在網絡上傳遞對設備的第三層的訪問;而動態(tài)地址可以簡化WLAN的使用,可以降低那些繁重的管理工作。
3.8加強員工管理
加強單位內部員工的管理,禁止員工私自安裝AP;規(guī)定員工不得把網絡設置信息告訴單位外部人員;禁止設置P2P的Adhoc網絡結構;加強員工的學習和技術培訓,特別是對網絡管理人員的業(yè)務培訓。
此外,在布置AP的時候要在單位辦公區(qū)域以外進行檢查,通過調節(jié)AP天線的角度和發(fā)射功率防止AP的覆蓋范圍超出辦公區(qū)域,同時要加強對單位附近的巡查工作,防止外部人員在單位附近接入網絡。
參考文獻
[1]鐘章隊.無線局域網[M].北京:科學出版社,2004.
