無線網絡管理方案范文
時間:2024-03-05 18:07:15
導語:如何才能寫好一篇無線網絡管理方案,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
關鍵詞:無線傳感器網絡;密鑰管理;安全
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2011)10-2261-03
Key Management Scheme for Wireless Sensor Network
LIU Ning1,2
(1.School of Computer Science and Engineering, Guilin University of Electronic Technology, Guilin 541004, China; 2.Department of Information & engineering, Liuzhou Vocational & Technical College, Liuzhou 545006, China)
Abstract: Wireless sensor networks used for military target tracking, environmental monitoring, tracking and other aspects of patient condition, when its deployment in a hostile environment, subject to different types of malicious attacks, protect their safety is extremely important. Strictly limited resources of sensor nodes, traditional network security mechanisms do not apply to wireless sensor networks. Protect the security of wireless sensor network is used to encrypt the transmission of data, the article presents and analyzes the type of network for a typical key management scheme.
Key words: wireless sensor network(WSN); key management; security
隨著傳感器技術、嵌入式技術、無線通信技術和微機電系統(Micro Electro-Mechanical System,簡稱MEMS)技術的進步,極大地推動了集信息采集、數據處理、無線傳輸等功能于一體的無線傳感器網絡(Wireless Sensor Networks,WSN)的發展。WSN以其低成本、低功耗的特點,在軍事、環境監測、醫療健康等領域有著廣泛的應用,并逐漸深入到人類生活的各個領域。
當無線傳感器網絡部署在一個敵對的環境中,安全性就顯得極為重要,因為它們容易產生不同類型的惡意攻擊。例如,敵人可以冒充合法節點竊取網絡中的通信數據,或者發送錯誤的信息給其它節點。為了確保從網絡中收集到的數據正確可靠,節點間的數據通信必須進行加密和驗證。針對無線傳感器網絡安全問題的研究有很多方面,但其中最核心、最基本的問題就是密鑰管理問題。
1 密鑰管理方案的評估指標
無線傳感器網絡一般受限于計算、通信和存儲能力,節點隨機部署,以及網絡拓撲結構的動態變化,從而使得傳感器網絡比傳統的網絡更難抵抗各種攻擊。在傳統網絡中,往往通過分析密鑰管理方案所能夠提供的安全性來評估一個密鑰管理方案的優劣。但是,這在無線傳感器網絡中都是遠遠不夠的。所以,結合自身的特點和限制,無線傳感器網絡的密鑰管理方案需要具備以下特性[1-2]。
1) 安全性。對于無線傳感器網絡密鑰管理方案,其安全性主要體現在對外部攻擊的抵抗能力上,主要指抵抗俘獲攻擊和復制節點攻擊的能力。利用該算法生成的密鑰應具備一定的安全強度,不能被網絡攻擊者輕易破解或者花很小的代價破解。也即是加密后保障數據包的機密性。
2) 連通性。指相鄰節點之間直接建立通信密鑰的概率。保持足夠高的密鑰連通概率是無線傳感器網絡發揮其應有功能的必要條件。密鑰信息生成和分發之后,除了孤立節點(無法與網絡中其它任何節點進行通信)之外,要保證密鑰的全連通或者部分連通。
3) 有效性。對于節點電源能量來說,密鑰管理方案必須具有很小的耗電量。對于節點的計算能力來說,傳統網絡中廣泛采用的復雜的加密算法、簽名算法都不能很好的應用于無線傳感器網絡中,需要設計計算更簡單的密鑰管理方案。對于節點的存儲能力來說,不可能在密鑰分配時保存過多的密鑰信息,那么設計的密鑰管理方案必須使每個節點預分配信息盡可能的少。確保傳感器節點有足夠的存儲空間去存儲建立安全密鑰管理所需要的信息,具有建立共享密鑰的處理能力以及在密鑰建立階段所需要的通信能力。
4) 輕量級和低開銷。傳感器節點主要有三個消耗能量的模塊:傳感器模塊,處理器模塊和無線通信模塊。其中,通信能耗遠遠大于計算能耗,數據傳輸所消耗的能量約占總能耗的97%,有20%消耗在共享密鑰發現階段和會話密鑰建立過程中。通常1比特信息傳輸100m距離耗費的能量相當于執行3000條安全算法(如計算Hash函數,比較密鑰ID等)計算指令所消耗的能量。因此,要求密鑰管理方案中的節點間通信盡量小,要求節點在傳輸之前對數據進行預處理,以降低通信量。
5) 可擴展性。無線傳感器網絡的規模通常達到成千上萬個,但由于存儲空間受限,密鑰管理方案所支持的網絡規模通常都有一個門限值,在設計無線傳感器網絡密鑰管理方案時必須允許大量新加入的節點,保障網絡是可擴展的。而且,在增強網絡的擴展性的同時要盡可能地降低存儲開銷。
通常情況下,評估WSN密鑰管理方案的好壞,主要看此方案所能支持的網絡規模、傳感器節點的能耗、整個網絡的可建立安全通信的連通概率、整個網絡的抗攻擊能力等。
2 典型密鑰管理方案分析
通過總結和調研國內外的文獻,本文將現有的無線傳感器網絡密鑰管理方案進行了適當的分類。根據依據不同,主要可以分為四大類:一是按照密鑰管理方案所依托的密碼基礎不同,可分為對稱密鑰管理和非對稱密鑰管理;二是按照網絡的邏輯結構不同,可分為分布式密鑰管理和層次式密鑰管理;三是按照網絡運行后密鑰是否更新,可分為靜態密鑰管理和動態密鑰管理;四是按照網絡密鑰的鏈接性情況不同,可分為隨機密鑰管理與確定密鑰管理。這四種分類方法并不是唯一的,也并非將所有的方案都依此劃清界限而彼此之間沒有交集,同一種密鑰管理方案完全可能在不同的分類中重復出現。下面介紹一些典型的密鑰管理方案。
2.1 預共享密鑰分配方案
SPINS協議[3]是預共享密鑰分配方案之一,它由安全網絡加密協議SNEP(Security Network Encryption protocol)和廣播認證協議μTESLA(micro Timed Efficient Streaming Loss-tolerant Authentication protocol)組成。
SNEP是一個低通信開銷的簡單高效的安全通信協議,實現了數據認證、數據機密性、完整性、新鮮性保證等功能。它只描述了協議的工作過程,并未規定實際采用的算法,具體算法在實現時可根據需要選擇。SNEP采用預共享主密鑰的安全引導模型,讓每個節點都和基站之間共享一對主密鑰,其他密鑰從該主密鑰派生出來。新鮮性的認證是通信雙方共享一個計數器來實現,數據完整性認證通過使用消息認證碼來提供。
μTESLA協議是一個高效的廣播認證協議,用于實現點到多點的廣播認證,其核心思想是推遲公布廣播包的加密密鑰。基站先廣播一個經過密鑰Kmac加密的數據包,一段時間后再公布Kmac,這就保證了Kmac公布之前,無人能夠得到密鑰的任何信息,也無法在廣播包得到認證之前偽造正確的廣播包。該協議要求基站和節點之間擁有松散的時間同步,即接收者應該知道基站公布密鑰的時刻表。μTESLA協議由基站安全初始化、節點加入安全體系和完成數據包的廣播認證三個過程組成。
SPINS使用預共享密鑰的方式來建立安全連接。其主要通過兩種方式建立安全連接:節點之間共享和每個節點與基站之間共享。使用每個節點之間共享一個主密鑰,可以在任何一對節點之間建立安全通信,但其抗俘獲能力、擴展性都很低,適用于小型網絡。在每個節點和基站之間共享一個主密鑰,需要節點的存儲空間大大降低,但計算和通信都集中在基站,容易成為網絡的瓶頸。
2.2 隨機密鑰預分配方案
目前最常用的隨機密鑰管理方式是在網絡節點布置到目標區域之前,給每個節點預置一部分信息,節點之間采用這些預置信息協商共享密鑰。
E-G方案[4]是由Eschenauer和Gligor提出的一種基于概率論和隨機圖論的密鑰預分配方案。其基本思想是:有一個大的密鑰池,所有節點都從中隨機選取若干密鑰構成密鑰鏈,只有密鑰鏈間擁有一對相同密鑰的相鄰節點才能建立安全通道。該方案包括三個階段:密鑰預分配、共享密鑰的發現和路徑密鑰的建立。
1) 密鑰預分配。由密鑰生成者生成一個大的密鑰池S,密鑰池中的每二個密鑰都有一個惟一可以識別它的身份ID。在散布節點之前,從密鑰池S中隨機選出m個密鑰分發給每個節點。
2) 共享密鑰的發現。節點被布置到目標區域以后,廣播自己的身份ID以及所存儲的密鑰的ID。節點通過共享密鑰發現階段來發現可以建立起安全通信的節點。
3) 路徑密鑰的建立。經過第2步建立起通信的無線傳感器節點已經形成了一個安全連通網絡,任意兩個節點之間都可以找到一條安全連通路徑到達對方,不存在共享密鑰的節點間可以通過安全路徑上的中間節點協商安全通信密鑰。
Q-composite方案[4]是E-G方案的一種增強方案。在E-G方案中,任意兩個鄰居節點之間只需要有一個共享密鑰,這樣雖然減少了節點的開銷,但是節點抵御外部攻擊的能力卻大大減弱。為了增加節點的抗攻擊能力, Chan等人對E-G方案進行擴展,提出Q-composite隨機密鑰預分布方案。
Q-composite方案要求兩個節點之間至少擁有q個公共密鑰才能直接協商建立共享密鑰。q值越大網絡的抵抗力越強,攻擊難度與q呈指數關系。該方案使用兩個節點的所有公共密鑰的哈希值作為共享密鑰。假設兩個鄰居節點有t個公共密鑰(t>q),則共享密鑰Kshare=Hash(K1||K2||…||Kt),其中Hash代表某個公開的散列函數。
2.3 層次型LEAP密鑰管理方案
2003年,Sencun Zhu等人提出的LEAP[5](Localized encryption and authentication protocol)是一個適用于層次網絡的密鑰管理協議,為了確保網絡的安全總共需要四種類型密鑰:每個傳感器節點與基站共享的個體密鑰(Individual Key),與某一跳鄰居節點共享的對密鑰(Pairwise Key),多個鄰居節點共享的簇密鑰(Cluster Key),以及網絡中所有節點共享的組密鑰(Group Key)。
1) 個體密鑰
個體密鑰是基站與每個節點之間共享的一個唯一的密鑰。節點使用這個密鑰來計算發往基站的消息的MAC值,例如在發現異常情況后向基站發送的警告消息。同樣地,基站也可以使用該密鑰來給網絡中的某個節點發送敏感消息。
個體密鑰用于保證單個傳感器節點與基站的安全通信,這個密鑰是在節點布置之前,預置到節點中的。節點u的個體密鑰 可用一個偽隨機函數f來生成 ,K是密鑰生成者用于生成個體密鑰的主密鑰,密鑰生成者只需要存儲K,在需要與節點u通信的時候再用偽隨機函數計算出它們之間的通信密鑰。
2) 對密鑰
對密鑰是節點與它的一跳鄰居節點共享的密鑰,可以通過交換其標識符及使用預分配的組密鑰和單項散列函數計算得到。對密鑰用來建立安全通信,例如節點可以使用對密鑰加密它的簇密鑰發送給鄰居,或者將其采集的數據加密后發送給匯聚節點。對密鑰用于加密需要保密的通信信息或者用于源認證,即可以在節點布置之前預置,也可以采用節點布置以后通過相互通信進行協商。
3) 簇密鑰
簇密鑰是一個節點和其所有鄰居共享的密鑰,用來加密本簇內的廣播信息。例如,路由控制信息,采集的機密數據等。先由簇頭產生一個隨機密鑰作為簇密鑰,然后使用與鄰居節點的對密鑰逐一地對簇密鑰加密后發送給對應節點,只有同一簇內的鄰居節點才能擁有并用于通信。
網內的數據處理,例如數據融合對于能量的節省十分重要。一個節點在接收到鄰居節點發送來的數據后,如果發現與自己采集的數據一樣,則可以選擇不發送該數據,從而減少了網絡的能量消耗。但是這就要求這些消息被一個局部共享的密鑰進行加密和認證。因此,LEAP協議給每個節點提供了一個與鄰居節點共享的唯一密鑰來保證消息的安全性,鄰居節點使用同樣的密鑰來解密和認證消息,該密鑰就是簇密鑰。
4) 組密鑰
組密鑰是當基站需要向全網廣播消息時使用的,例如,基站廣播查詢消息、命令等。由于網絡中的所有節點共享一個組密鑰,從安全的角度出發,當有節點被撤銷時必須更新這個密鑰,以防被撤銷節點還能監聽基站與每個節點的廣播通信,可采用μTESLA(mieroTimed Effieient Streaming Loss-tolerant Authentication protocol)協議更新網絡的組密鑰。
2.4 各種方案的優缺點
上述的各種密鑰管理方案都在某種程度上解決了一些WSN的安全問題,但是每個方案也都存在著不足之處。
SPINS協議實現了點對點消息的保密性、可認證性、完整性和新鮮性,實現了廣播消息的可認證性,但是,該協議節點必須通過基站才能建立安全通信密鑰,使得基站成為網絡中的瓶頸,可擴展性差,只適合小型網絡使用,且不能抵御DOS攻擊。
E-G方案是一種隨機密鑰預分配方案,它使得節點只需存儲密鑰池中的部分密鑰,降低了節點的存儲開銷,點到點的安全通信信道可以通過共享密鑰獨立建立,從而減少了對基站的依賴,適用于規模大的網絡。但是,該方案基于概率模型,不能保證所有節點是安全連通的。它的安全連通性受到密鑰鏈的長度L和密鑰池的大小S等因素的影響。
Q-composite方案要求兩個相鄰節點至少共享q個密鑰才能建立配對密鑰,隨著共享密鑰閥值的增大,攻擊者破壞網絡安全鏈路的難度呈指數增大,但是對節點的存儲空間的要求也增大。
LEAP協議對網絡中不同的消息包使用不同類型的密鑰,在密鑰的建立過程中有效地減少了通信和能量的消耗,弱化了基站的作用,但是該協議的主要缺陷是對節點的多次部署支持的不是很好,并且網絡中的HELLO消息是采用明文的形式發送的,沒有進行認證,可能導致節點對無效消息做出回應而浪費節點資源[6]。
3 結論
近幾年,無線傳感器網絡安全已經引起了的廣泛關注。本文介紹一些密鑰管理方案,在某種程度上,它們能滿足無線傳感器網絡安全的需要。但是,這些密鑰管理方案有比較嚴重的限制,對無線傳感器網絡的部署環境有一定要求。由于沒有任何一種安全組件可以成為攻擊點,因此,為了實現系統安全,安全功能必須集成到每一個組件中。下一步的研究工作是如何確保安全功能集成到傳感器節點的每一個組件中。
參考文獻:
[1] Perrig A, Szewczyk R, Wen V, et al. SPINS: Security Protocol for Sensor Networks[J]. Wireless Networks, 2002,8(5):521-534.
[2] 楊青.無線傳感器網絡密鑰管理方案的研究[D].長沙:湖南大學碩士學位論文,2009.
[3] Perrig A, Szewczyk R, Wen V, et al. Tygar. SPINS: Security Protocol for Sensor Networks[C]. ACM MobiCom, July 2001,189-199.
[4] Chan H, Perrig A, and Song D, Random key Predistribution Schemes for Sensor Networks[C]. In Proceeding of the IEEE Computer Society Symposium on Security and Privacy. Piscataway, USA: IEEE, 2003: 197-213.
[5] Sencun Zhu,Sanjeev,Sushil Jajodia. LEAP: Efficient Security Mechanisms for Large-scale Distributed Sensor Networks [C],Proc. 10th ACM Conf. Computer and Commun.
篇2
關鍵詞:計算機網絡 無線網絡 網絡安全 計費管理
中圖分類號: 文獻標識碼:A文章編號:1007-9416(2010)01-0000-00
1 引言
無線網絡在很大程度上突破了傳統有線網絡的限制,使用戶獲得了可移動性和方便性。為了彌補有線網的不具備移動功能上的不足,在校園內建設無線網絡,能使全校范圍內的任何地方,全校師生都能隨時隨地,方便高效的使用無線網絡,并能使建成的無線網具有認證計費功能。
2無線網絡的特點分析
與有線網絡相比較,無線網絡的優點有:靈活性和移動性,便于移動用戶隨時隨地的網絡接入;簡易性,在辦公地點、網絡拓撲改變時不用重新布線;故障定位容易,網絡出現故障時排除故障較有線網更簡便;其它優點,如易擴展,節約建網成本以及充分利用網絡資源等。無線網絡的缺點有: 抗干擾性差,易受各種障礙特的阻擋和氣候環境影響,傳輸速率不及有線網,安全保密性較差等。在無線網的建設中應充分利用無線網的優點,注重克服其缺點,使建成的無線校園網真正起到有線網的有力補充。
3 無線網絡的設計過程
作為一個正常運行的有線校園網,其功能和性能應該較為完善。作為有線網絡的補充,無線網絡的建設應該以有線網絡作為基礎。
3.1 現場勘查
無線網絡設計的第一個階段是勘查現場,了解建筑物和周圍各種物質的材質,確定WLAN設備的安裝位置,在這個過程中,需要熟悉了全校的建筑布局,實地考查所有需要布設無線網絡的環境,然后分別對室內和室外需要無線覆蓋的地方進行確定:室外需要無線信號覆蓋的區域大小,區域地理條件等;室內需要無線服務的地方一般是室內公共場所,如圖書館閱覽室、會議室、大型教室等。
3.2 無線標準與設備的選用
現階段處于主流的應用技術是IEEE802.11g標準,其傳輸速度最高為54Mbit/s,并且還向下兼容802.11a和802.11b兩種標準,因此可以選用了IEEE802.11g標準作為本校園網的實施標準。由于室外和室內的履蓋范圍以及氣候變化有著較大的不同,在進行無線AP的選用時,應該對室內和室外分別選用不同的無線AP。比如,室外AP可以選H3C的室外型大功率WA1208-AGP-AC,室內AP可選用H3C室內大容量WA1208E-DG-AC,這兩種AP具有抗干擾能力強、碼分多址能力強、高速且可擴展能力強等典型特點,并適用于802.11g和802.11a、802.11b用戶共存的環境,這樣既可以解決新老無線終端設備兼容性的問題,同時也有足夠的擴展空間。
3.3 AP的布置
由于校園無線網絡建設一般都是在有線網絡的基礎上實施的,因此應該采用與有線網的就近接入原則,在每個AP接入點的樓宇內就近布線到設備間,然后通過樓宇內匯聚交換機和核心交換機相連,從而實現和校園網的無縫對接,這樣既充分利用了原有線網的資源,又節省了建設基站或購置無線網橋的費用。但針對室外區域,一般都是空間大,地域廣,不可能通過一個AP完全覆蓋,應該在這些區域布置多個AP接入點構成一套微蜂窩系統,微蜂窩系統應用移動IP技術,使一個用戶在多個子網內均可使用同一IP地址,實現不同的AP覆蓋區域內任意漫游而網絡連接不致中斷。并且在AP配置時,為了保證各AP信道所覆蓋頻段不重疊,防止各AP所發出的信號相互干擾和沖突,應該要求在一個半徑為60米以內的區域中,只允許有3個AP,并分別選用1、6、11三個頻段不重疊的信道。
3.4 安全設計
由于無線網絡的傳輸方式和物理結構等原因,導致其在安全問題上比有線網絡更容易受到威脅,主要表現在信息更容易泄漏、信號更易受到干擾、系統更容易受到入侵以及地址欺騙和會話攔截等等,針對這些不安全因素,在對無線網絡進行規劃和實施時可以采用了這樣一些技術:a、為防止非授權用戶的監聽和非法訪問,可采用128位的WEP加密;b、禁止AP向外廣播其SSID,這有利于提高無線網的安全性;c、修改缺省AP密碼,由于主流AP的缺省密碼己為公眾所知,通過修改后可以防上非法用戶的闖入;d、針對會議室等一些特定環境,應該設計了更加安全的無線接入方案如設置MAC過濾,以及使用比WEP更安全的加密方式Wi-Fi保護接入(WAP)等。
3.5 認證與計費策略
無線校園網絡主要服務于學校的老師和學生,為了防止不合法用戶的使用而浪費帶寬資源,可采用了基于CAMS的Portal認證方式,在校園有線網的核心骨干層的交換機上掛接MA5200F服務器和Portal認證服務器,在Portal服務器的“IP地址組”組件中增加需要進行認證的無線終端IP地址范圍,并在“設備信息”組件中增加Portal接入設備MA5200F的上行接口地址,所有訪問外網的報文都重定向至MA5200F服務器,通過MA5200F服務器向Portal 服務器發起認證請求。所有無線上網用戶在連入AP時,通過MA5200F服務器中內置的DHCP獲得IP地址,然后通過IE訪問web/portal server,輸入用戶名和密碼進行認證;認證成功后,開始計時。在計費策略的選擇上,考慮到無線網絡使用的流動性和不確定性,制定了按時長收費的標準并精確到分鐘計費,當通過了CAMS的Portal Server認證服務器認證之后,計費開始,用戶下線后停止計費。
3.6 無線網絡管理
根據無線網絡系統中主要采用的無線設備來選擇無線網絡管理軟件,例如,你所設計的無線網絡主要采用了華為公司的無線網絡產品,就首先應該考慮了管理的兼容性和針對性,選用華為的QuidView為網絡管理系統,這是一個全面基于Web的網絡管理解決方案,可以通過自動或手工創建網絡拓撲結構圖管理整個企業內部網絡,支持監視多個設備,利用SNMP協議實現WLAN所有網元的實時監控和管理,包括網絡搜索,拓撲發現,批量配置,性能監測、警報追蹤和歷史數據記錄的功能,從而實現一個安全,可靠的無線網絡。在采用軟件管理的同時,也需要對網絡管理人員進行管理知識的培訓,加深學校管理人員的安全意識。
4 結語
大學原有的有線校園網建設大多較為完善,各種主要的網絡設備,通信線路以及重要的服務器,一般都具有良好的性能。作為有線網絡的有力補充,無線網絡建設是在有線網絡的基礎上為進行的。無線校園的建設與使用,己使無線校園網成為未來校園信息化發展的方向。無線校園網絡的快速發展與應用,對學校的教學模式、教學理念及教學管理將產生深遠的影響。
參考文獻
[1] 張俊平.無線網絡在校園建設網絡中的應用.學術研究.
篇3
關鍵詞:網絡設備;SSID;AP;無線網絡控制器;VLAN
一無線網絡技術簡介
無線網絡的飛速發展給人們的工作和生活帶來了極大的便利。(一)靈活以及廉價。(二)沒線纜約束。
二無線網絡安全隱患分析
非授權的用戶若獲得了無線網絡的訪問權限,將會破壞系統數據,消耗網絡帶寬,降低網絡的性能。
三無線網絡安全措施分析
(一)轉向企業級加密用戶們使用PSK模式進行登錄,對每一個用戶和會話都是唯一的。(二)確保物理上的安全性一定要保證你的接入點AP遠離公眾可以接觸的地方,最起碼應該將其掛到墻上或天花板上。(三)裝入侵檢測和入侵防御系統這兩種系統通常靠一個軟件來工作,并且使用戶的無線網卡來嗅探無線信號并查找問題。(四)構建無線使用策略正如需要其它網絡設備的使用指南一樣,你也應當有一套針對無線訪問的使用策略。
四東莞市某職業院校無線網絡安全技術應用方案
學校對無線網絡的需求特征分析上,安全因素被放在了首位。(一)校園無線網絡安全問題的提出在當今使用中,大多數校園的無線局域網主要是依靠WEP方式對數據進行加密。其次,如果AP不做任何安全設定,則任何一個符合Wi-Fi的網卡都可以接入網絡。另外,黑客還可能會使用MAC欺騙技術入侵網絡。下面根據東莞市某職業院校無線網絡應用的需求和要達到的目標,整體規劃設計出一套適用于東莞市某職業院校的無線安全應用方案。(二)東莞市某職業院校無線網絡安全技術應用方案概述該解決方案采用了WPA安全架構的設計,還應用了基于英特爾架構的無線網絡控制器和支持多SSID的AP。(三)東莞市某職業院校無線網絡安全技術應用方案實施下面以東莞市某職業院校的校園無線網項目為例,詳細地闡述應用方案。(1)無線網絡呈現的問題分析與應用解決方案由于存在不同地點的校區,學校的教職員工不得不在不同的校區來回,同時教學場所也經常在各校區之間變換,這讓校園網絡出現了難題:①如何讓校園網絡覆蓋兩個不同位置的校區?②如何提供無縫的網絡連接?③如何保證網絡安全通暢?④如何提高教學和學習效率?針對學校面臨的以上難題,對無線網絡應用方案確定如下:⑤無線網絡信號覆蓋兩個不同的校區。⑥提供無縫的網絡漫游。⑦保障無線網絡安全性。⑧提供不同的接入認證方式。(2)無線網絡技術應用方案的確定為了構建一個統一的、易接入的、穩定安全的校園無線網絡環境,現決定采用以下解決方案:①全面采用筆記本電腦作為無線終端。②采用符合802.11標準的產品,架構采用WPA標準。③采用具有多SSID和VLAN特性的AP進行基礎覆蓋。④采用無線網絡接入控制器。⑤采用無線網絡管理系統。(3)無線網絡安全技術應用的實施該方案使得整個校園無線網絡具有高度可擴展性和可升級性,提出了校園無線網絡的整體應用方案。如圖4.1所示:在無線網絡方案中,各無線覆蓋區域的AP就近接到接入層交換機上。因為存在校內教師、學生和校外來訪用戶等不同的無線用戶群,出于不同用戶群對安全性、易用性要求不同的考慮,采取802.1x和WEB認證相結合的方式來提供用戶身份認證。為了區分這兩種接入方式并將其分別關聯到一個對應的VLAN,采用了支持多SSID(Multi-SSID)和802.1qVLAN特性的CiscoAironet1200系列AP。①對于在校內的學生和教師用戶,將采用符合WPA安全架構的802.1x標準認證的接入方式,通過的用戶將獲得一個唯一的主密鑰,通過該主密鑰客戶端和負責接入的AP將根據TKIP方法動態生成唯一的加密密鑰。在校園有線網L3分布層交換機上配置VLAN的子接口,利用該子接口作為這個SSID所代表的VLAN的網關,對其進行路由轉發,從而使通過認證的內部用戶訪問整個網絡,但是由于對無線通信進行了動態加密,保證了校園的敏感數據在空中傳輸的安全。②對于用WEB方式認證的校外來訪用戶,連接上無線接入點后,可以通過AC設備的DHCP服務或企業的專用DHCP服務器獲得IP地址、網關和DNS信息,無須安裝客戶端軟件,直接利用瀏覽器就可以通過充當RNC設備進行WEB方式認證,認證通過后就可以接入到Internet。為保證整個園區網絡的安全性,對于該SSID接入的用戶必須以無線網絡控制器(RNC)作為其網關設備,L3分布層交換機無須對該SSID所代表的VLAN進行路由轉發。如果這些用戶需要訪問校園內部網絡,可以通過在這一無線網絡控制器(RNC)設備上啟用用戶級的策略路由來實現。(四)校園無線網絡安全技術應用方案總結(1)安全性高這套無線局域網系統支持符合WPA安全架構的802.1x認證方式,借助TKIP技術動態生成的數據加密密鑰使空中無線數據通信如同在一條加密隧道中傳輸,保證了信息傳輸的高安全性。(2)支持多SSID和VLAN劃分CiscoAironet1200系列AP支持多SSID,每個都可以映射到有線網絡的一個VLAN,將符合802.1q標準的VLAN延伸到無線網絡上。(3)利用策略路由進行訪問控制在方案中,將校園無線用戶分成兩類,一是教師用戶,一是學生用戶。為了讓學生能通過網絡與其它院校的師生進行交流,但同時又不想Internet上的垃圾信息和不良網站干擾學生的生活,那么可以設置學生用戶的下一跳路由到CERNET,而教師用戶的下一跳則是路由到Internet出口,從而實現了不同無線用戶群體的訪問需求。(4)流量控制保證用戶帶寬通過RNC的流量控制功能將不同用戶的帶寬按不同需要進行管理,保證某些重要用戶的帶寬暢通,有效防止了帶寬過量占用的拒絕服務攻擊。(5)AP管理和用戶管理通過RNC的AP管理功能,可以把其所連的AP作為一個網絡單元進行管理,結合網管系統還可以將RNC作為SNMP(簡單網絡管理協議),對這些AP進行管理。無線網絡管理員可以通過“Web3.教學管理制度與考核制度教學管理工作由院校雙方共同承擔,遵照共同制定的人才培養方案和教學計劃開展教學,學徒制工作小組定期巡視現場教學,了解教學基本情況,收集意見和建議。考核制度上實行理論課程考核、專業核心課程考核和畢業考核。理論課程的教學主要在學校完成,由學校組織筆試+實踐考核;專業核心課程主要在合作醫院完成,由現代學徒制工作小組組織臨床實踐+技能考核;畢業考核采用綜合專業理論筆試+專業核心能力鑒定+病案報告考核,由現代學徒制工作小組組織實施。學生只有通過以上考核才能獲取康復治療技術專業專科畢業證。4.現代學徒制實施存在的問題現代學徒制教育是高職院校發展的基本趨勢,是推動我國職業教育發展的有力武器,但目前我國現代學徒制成功應用到衛生職業教育的模式還很少,離醫教結合、工學交替模式還有很大的差距,主要表現在以下幾個問題:(1)法律體制不健全。合理、完善、有效的職業教育法律法規是保障學徒制推行的基本前提,衛計委和教育行政部門應當充分發揮宏觀調控和管理功能,修訂和完善相關法律法規,在政策、經費上給予充足的保障,充分調動醫院、衛生行業的積極性,使醫院在人才培養意識上具有社會責任感和使命感。(2)行業學會支持力度不夠。行業協會應對職業教育充分發揮其引導和管理作用,一方面積極鼓勵醫院參與到職業教育中來,在科研、繼續教育、職稱晉升等方面給予醫院兼職教師相關優惠政策。另一方面在人才培養規格上引導學校和醫院結合康復治療師的崗位需求與國際標準接軌,不斷更新修訂康復治療技術專業標準、教學內容和執業資格考試標準。(3)雙導師師資力量薄弱。學校導師應定期到醫院臨床實踐予以相關的考核和激勵機制,提高學校導師實踐教學能力;醫院導師應有計劃的進行職業教育教學理念的學習、教學方法執教能力的培訓,使其具備先進的職業教育教學理念和教育教學方法。現代學徒制能讓康復治療技術專業實現符合現代職業教育理念的產教融合,是目前所提倡的工學結合教學模式的載體和有效實現形式,更是當前發達國家職業教育的主導模式。高等院校和相關醫院深度合作、雙導師聯合傳授技能,符合行業發展規律,有利于加速衛生事業的發展、服務當地區域經濟轉型升級。
參考文獻
[1]趙蕾.現代學徒制對高職高專院校人才培養模式的影響及應用研究[J].職業教育,2015(9):37.
[2]關晶,石偉平.西方現代學徒制的特征及啟示[J].職業技術教育,2011(31)32:77-79.
篇4
[關鍵詞]無線網絡;需求分析;總體設計
doi:10.3969/j.issn.1673 - 0194.2015.12.186
[中圖分類號]TP393.18 [文獻標識碼]A [文章編號]1673-0194(2015)12-0-01
目前許多高職院校的有線網絡已經基本覆蓋全校,但是一些公共場合比如閱覽室、風雨操場等由于人員密集和活動較多,不適用固定的有線網絡。無線網絡不受布線的限制,用戶接入方便,可以自由移動,同時隨著大量支持WiFi設備的出現,在特定的場合需要移動上網。相比而言,無線網絡有著有線網絡不可比擬的優勢,無線校園網絡的建設非常有必要。
1 X高職院校無線網絡需求分析
校區全覆蓋的無線校園網項目需要大量的資金投入。本文以X高職院校為例,根據學院已有的有線網絡布局,制定出合理的、有效的無線網絡規劃方案。學院應以有線為主,無線為輔,充分利用現有的有線網絡,在一些公共場所或需要移動上網的地方建設無線網絡。對無線網絡的建設有以下幾個方面的要求。第一,無線網絡要在高校投入使用,必須要確保其網絡系統能夠穩定、安全、可靠地運行;第二,對于用戶來說,無線網還應該使用簡單;第三,對于學院網絡部來說,無線網的組建應該容易管理、容易擴展、有明顯的性價比,技術先進。通過以上措施,使校園無線網不僅為師生提供便捷的網絡平臺,同時方便有效地管理用戶及網絡。
2 X高職院校校園無線網絡總體設計
2.1 設計思路
結合X高職院校的實際情況,采用經過國內多所高校實踐證明的、技術可靠且成熟度較高的方案。無線組網方式采用智能無線交換機+智能AP的結構。
智能無線交換機可以對無線接入點進行集中管理。智能無線交換機可以通過發送AP映像文件的方法監視AP的運行狀態,發送AP配置;AP向智能無線交換機發送各種狀態和認證信息,實現集中管理無線AP。隨著網絡用戶數量的不斷增加,為了解決這一問題,可以對設備進行冗余,在核心上增加交換機數量,形成可靠架構,保證無線管理器更穩定運行。
升級接入層交換機為全千兆支持POE供電模塊的交換機,這樣就不需要考慮對AP提供額外的電路架設,消除了為連接無線接入點等設備所必須花費的電源布線成本,實現無線接入點的靈活部署。只要保證AP與交換機的距離在100米以內,就可利用雙絞線將AP接入到接入層交換機POE端口上,AP從接入層交換機的POE端口獲取電能供應。
學院搭建的無線網絡應該與有線網絡結合起來,可接入有線網絡的認證計費系統和網絡管理系統進行統一管理,實現有線網絡和無線網絡的兼容和互補。
在無線入侵防御系統(WIPS)中,無線頻譜為無線網絡正常工作奠定了基礎,確保無線設備正常運行,保證無線信道通暢無阻,順利發送用戶上網需求的大量數據。與得到網絡訪問權限相比,解決無線網絡安全問題更加困難與復雜。比如,黑客攻擊網絡時,一般采取拒絕服務和虛假接入點兩種方式。所以,需要利用無線入侵防御系統積極檢查和防御這些病毒攻擊。基于經濟實用方面考慮,選擇Snort開源軟件解決問題,利用Snort系統檢測黑客的惡意攻擊,防止虛假接入點的建立,從而盡可能阻止黑客攻擊,并發出警報信號,保障無線系統正常工作,不影響用戶上網的需求。
2.2 核心模塊設計
如圖1所示便是核心模塊設計,在原有校園主干網絡基礎上,增加兩個功能模塊,而其他的連接不改動。首先,增加智能無線交換機設備一臺,連接到核心交換機上,通過有線網絡進行通信,管理無線網絡中的智能AP,包括配置智能AP、相關配置參數的修改、射頻智能管理等。其次,在接入層,當有交換機需要部署無線AP時,選擇的端口必須要具有POE功能,通過雙絞線將AP連接到POE端口,這樣,不需要為AP加裝電源,AP從POE端口獲取電能并實現網絡通信。校園網無線用戶的身份認證,采用現有的認證服務器,將無線用戶整合到與有線用戶統一的認證系統中。
3 辦公樓WLAN設計
辦公樓擬采用無線漫游方案,即在保證固定網絡接入的基礎上,在每個樓層分別安裝2個或3個無線AP,保證移動用戶在任何辦公區域都能接入校園網絡,且即使在所有辦公區域隨意移動也不會脫離校園網絡。
所有的無線AP通過雙絞線接入到有線骨干網絡,增加的無線AP使無線信號實現交叉覆蓋,無縫連接了各覆蓋區域。所有無線設備使用同一個SSID,接入到同一無線網絡中,在可用的11個頻道中,選擇3個完全不覆蓋的頻道1、頻道6和頻道11。無線漫游方案的設計,一方面增加了無線覆蓋范圍,實現整個樓宇的全方位覆蓋,使用戶無論走到哪里,都處于無線網絡的覆蓋區域;另一方面,實現眾多無線用戶的負載平衡,確保每個用戶都能順利接入辦公網絡,不會由于個別無線AP的接入數量太多而造成擁塞。
主要參考文獻
篇5
兼顧接入安全與穩定性
為滿足高校學生對無線網絡的使用需求,校園在宿舍、教室、圖書館及食堂等區域都應布設無線網絡,做到無死角、無盲區,同時保證覆蓋區域內信號穩定,數據業務在不同AP間切換無掉線,無明顯延遲。
此外,學校在確保網絡覆蓋率和穩定性的同時,也要致力于為師生提供安全、智能的移動教學網絡,并實現對教師、學生、訪客三類不同群體的接入控制。目前,很多學校都采取了利用現有系統對訪問校內網的終端免費,訪問互聯網的終端收費的方式。并希望實現用戶可在按時長或包月兩種計費方式中的自主選擇。據了解,如Aruba等企業移動網絡供應商可實現基于用戶身份、設備類型等多因素結合的網絡接入策略控制。具體來說,這種策略對于內部教職工,系統可以協助其自動配置無線客戶端而連接無線網絡,無需網管人員人為干預;對于學生,可以自動識別其智能終端,并根據不同的智能終端提供不同的認證頁面并下發不同的訪問控制策略;對于參觀學習的外來訪客,系統可以通過自注冊方式讓訪客自助激活無線網絡賬號,通過自動安全審批流程或者已經授權許可的識別碼后自助服務,全面保證接入安全性。
合理分配帶寬
校園網用戶經常抱怨課堂上網速慢。針對這一問題,應考慮分時段劃分網絡需求,既要滿足白天上課時段的帶寬,又要確保晚間和假日宿舍區的上網需求。這就統一成一個問題:規模龐大、網絡部署密集時,為達到帶寬,如何合情合理進行分配?以人民大學為例,人大通過采用Aruba高性能移動控制器,來實現對所有控制器及其所有AP的統一監測、查看和管理,同時也為制定策略及合理分配流量提供了有效數據支撐。Aruba的控制器采取集群模式部署,也就是兩臺控制器同時工作,主控制器用于對整個無線網絡進行統一配置,并向本地控制器自動同步配置參數。此外,兩個控制器還互作冗余熱備份。即在任何一臺機器發生故障時,另外一臺自動接管所有受到該事件影響的無線接入點。
降低網絡管理成本
篇6
關鍵詞:無線局域網;瘦AP;移動醫護平臺
Abstract:Mhealth becomes popular in hospitals due to the development of WLAN technologies.Mhealth platform can improve the efficiency of daily rounds and nursing, and monitor the patients' physiological index.The Affliated Hospital of SouthWest Medical University chooses a wireless solution based on fit AP.On the basis of existing network frames, a wireless network is designed and built.besides, a management scheme is proposed to manage the wireless network.The wireless network has been test and optimized.It is safe and reliable according to medical staff.
Key words:Wireless LAN; Thin AP; Mobile healthcare platform
隨著醫院信息化的發展,移動醫護平臺在醫院越來越普及。通過移動醫療平臺,醫生可以在床旁查閱患者病歷記錄,并實時更新醫囑,護理人員可以在床旁完成護理操作,或者采集患者生理指標,并實時更新到系統,有效地提高了醫護人員的工作效率[1]。移動醫護平臺將成為醫院信息系統的重要組成部分。無線局域網(WLAN)技術,適合在高數據業務的熱點區域,提供高速接入率、低QoS的接入服務[2]。隨著WLAN空中接口協議從802.11a發展到802.11n,無線覆蓋的范圍和傳輸速率顯著提高,為移動醫療的實現提供了有效的解決方案。本文基于WLAN技術,選取了瘦AP的無線解決方案,完成了無線網絡的設計與部署,形成了完整的管理方案,搭建測試環境測試無線網絡并優化,最后在該解決方案的基礎上測試了移動醫護平臺,并收集整理使用情況。
1 無線網絡的設計與部署
我院醫護人員在使用移動醫護平臺時,主要功能包括床旁電子病歷查閱,醫囑查詢與下達,PACS影像查看,輸液與用藥管理,床旁心電監護等。無線網絡要求達到零漫游,零丟包,低延遲,高速率以滿足上述功能。結合實際使用需求,選取的解決方案參數,見表1。
1.1無線網絡的設計 我院的無線網絡的部署,是在現有網絡的基礎上完成。在需要部署無線網絡的外科樓,內科樓,腫瘤科,傳染科以及綜合樓等建筑中,垂直子系統采用兩路4芯光纜,分別連接建筑底層的兩臺匯聚交換機,水平子系統使用五類雙絞線,接入到各樓層弱電間交換機。無線網絡基于802.11n協議,選取了無線接入POE供電交換機,瘦AP以及超柔饋線。接入無線網絡之后的網絡拓撲圖,見圖1。
1.2無線網絡的部署 POE供電交換機作為接入交換機,連接到樓層的交換機。瘦AP通過超柔饋線,連接到接入交換機上。瘦AP作為無線漫游的基站,下聯多個智分單元,以片區為單位,分布在樓層的各個位置。智分單元再通過超柔饋線,將美化天線延伸到各個房間。部署的方案,見圖2。
智分單元可認為是瘦AP的延伸,美化天線是智分單元的延伸。故整個科室的信號都是由瘦AP發出。醫護人員在科室內部移動時,不會出現漫游的情況。每個病室和走廊上都部署有美化天線,保證信號全覆蓋。
為方便無線網絡管理,為每棟樓劃分一個VLAN,每個VLAN關聯一個SSID,用于移動醫護平臺業務。考慮到擴展不同的業務,瘦AP可根據實際需求,多個SSID,分別對應不同的業務。我院目前在醫護人員使用的基礎上,還劃分了單獨的VLAN,用于監護儀器的使用。
2 無線網絡的管理方案
在設計和部署無線網絡的同時,我院也形成了一套無線管理的方案,主要包含安全性能管理、信號強度檢測、流量監測、故障查找及排除、報表統計。
安全性能管理通過主動防御和被動防御完成。被動防御即給不同樓棟的設置不同SSID,同時設置不同的密碼[3],保證患者的移動終端不能連入無線網絡。由于密碼比較容易泄露,因此安全性較低。主動防御,即給醫護人員使用的移動終端設備,安裝監控軟件,通過后臺服務器檢測連入無線網絡的設備,禁止非內網用戶接入。同時禁止終端設備修改接入的SSID和密碼,保證設備只能在特定的科室環境中使用。主動防御的安全性較高。
信號強度的檢測和流量檢測,主要通過引入管理軟件來完成。管理軟件基于SNMP協議,通過無線接入控制器(AC),x取POE接入交換機以及瘦AP的MIB信息庫,獲取當前連入的無線設備數目,數據流量以及相應的信號強度。并且可以根據科室的實際環境,制作無線熱圖,實時查看科室各個位置的信號質量。
通過AC,可以遠程批量配置上線的瘦AP,根據不同的使用科室,將瘦AP命名。通過監控軟件可以實時監控瘦AP的在線狀態,在瘦AP退服時發出告警,并記錄日志。還可以通過AC查看瘦AP天線的在線情況,以便在病室出現信號不穩定,但瘦AP正常工作時,迅速查找到工作狀態異常的天線并進行處理。
最后,通過管理軟件,可以記錄瘦AP在一段時間內的退服時間,退服率,內存使用率,CPU使用率,流量使用情況等數據,并形成相應的報表,作為無線網絡后續調整和維護的參數依據。
3 無線網絡的測試與優化
在部署完成之后,需要對無線網絡進行測試,保證移動醫護平臺上線之后正常的使用。測試的項目包括了ping包測試、信號強度測試、FTP上傳和下載測試等。
Ping包測試,通過選取支持802.11n協議的PDA,在無線網絡中進行ping包測試,記錄丟包率以及平均ping包延遲。信號強度測試,是通過安裝信號測試軟件,在實際環境中測試信號強度并記錄,同時對比管理軟件讀取的信號強度。FTP上傳和下載測試,是通過搭建FTP服務器,在終端設備上傳輸文件,記錄上傳和下載的平均速度。以我院外科樓肝膽外科為例,測試結果,見表2。
在測試結果的基礎上,可通過瘦AP的信道調整,功率調整,取消其他無線信號源等手段,對科室無線網絡環境進行優化。
4 結論
我院無線網絡部署和測試完成之后,已投入試用階段。基于無線網絡開展了相應的移動醫護業務,可滿足醫護人員的實際使用需求,有效地提高了醫護人員的工作效率。
參考文獻:
[1]楊宏橋,吳元立,李學斯,等.移動醫療技術的研究與應用[J].中國數字醫學,2011 6(11):49-51.
篇7
關鍵詞:網絡安全;無線網絡;云平臺
DOI:10.16640/ki.37-1222/t.2015.24.108
無線局域網是一種利用無線電波、紅外線、激光燈無線技術實現主機等終端設備靈活接入以太網的技術,是互聯網技術和通訊技術結合的產物。無線網絡已經悄悄走進各大高校并投入使用,校園網絡安全是伴隨著無線校園網絡使用的產物。因此如何保證網絡安全的問題也隨之提上日程。
無線網絡是建立在傳統的有線網絡和無線設備的基礎上用來擴展網絡的傳輸方式,無線網絡一般分為三大類WLAN、WWAN、WPN,這些網絡的共同點都是利用電磁波接收和發送網絡傳輸數據。無線網絡在快捷方便的同時也帶來了安全問題,由于無線網絡并不是通過某種介質來傳遞信息,因此獲取到數據的方式可以通過能夠獲取電磁波的設備,這就為入侵者提供了開發的環境,因此安全問題在無線網絡中顯得尤其重要。
高校是新技術和高科技體驗的前沿,由于使用者是學生特點是數量大、知識程度相對高、對新的事物好奇等特點,使得被網絡攻擊的頻率增加,在校園無線網絡的建設和運營時充分考慮到從使用用戶的特點出發的安全因素和策略,以保障校園無線網絡安全、可靠、穩定的運行,真正的方便廣大教師和學生的工作、學習和生活。
1 高校無線網絡安全存在的問題
1.1 網絡管理的問題
高校無線網絡最大的用戶就是學生,建設無線網絡的目的是方便老師和學生使用智能手機、筆記本電腦等設備隨時訪問網絡進行學習、工作和交流,但是由此對于學習也帶來了負面問題,在課堂上很多同學使用智能手機上網看電影、聽音樂、購物,使課堂變成了游樂場所,學生變成“低頭一族”,在宿舍很多同學使用筆記本電腦看電影、打游戲等,而且不注意作息時間嚴重的影響了自己和他人休息,違反了學校的規定,另外有的學生由于社會閱歷淺、沖動,利用網絡發表個人的不滿和負面情緒影響和諧和團結。
1.2 用戶竊聽
高校無線網絡處于一個開放環境,很容易通過無線電波截取網絡數據包,并進行分析獲得用戶名、密碼、賬號等個人信息。
1.3 設備安全性
構建無線校園網絡的主要設備有AP、交換機、路由器,天氣或者人為原因都可能對設備造成損失,因此設備的安裝位置和備份顯得尤為重要。另外不法分子也可能使用增加基站的方式入侵網絡,帶來網路安全隱患。利用平臺技術管理和分析設備使用情況可以提高網絡安全級別。
1.4 DoS攻擊
無線校園網絡和有線校園網一樣都會受到病毒攻擊,在無線網絡中攻擊的目標一般是AP,當黑客一旦發現AP的IP地址就會發起DoS攻擊,造成無線網絡下AP癱瘓。
針對以上問題在解決高校無線網絡的安全問題上采取在不同層次采取不同的安全策略,提出以下幾種方法:
(1)訪問控制。主要使用的技術有MAC物理地址過濾,SSID服務區標識匹配。
MAC地址即網卡的ID號,每個網卡都一個全世界唯一的ID號,是一個12位的16進制號碼,其中前4位是網卡廠家的代碼,是世界標準化組織統一分配的,后面是網卡代碼。MAC地址過濾是在路由器中有一個過濾表,凡是表中登記的網卡,就可以通過路由器上網(或禁止上網)。在登錄校園無線網時如果某個網卡的ID號碼沒有在路由器中登記,就不能連上,如果有登記記錄既可以使用校園無線網絡。這就是MAC地址過濾,在路由器設置中有這樣一項。這一策略在一定程度上防止網絡被盜用,用讓用戶體驗到移動上網的優勢。另外也可以在不同的地方比如教室、會議室、食堂等固定的區域對上網進行設置。
SSID (service set identifier)也就是“服務區標識符匹配”、“業務組標識符”的簡稱,最多可以有32個字符,通俗的說,它就可以比作有線局域網中的“工作組”標識一樣或是無線客戶端與無線路由器之間的一道口令一樣,只有在完全相同的前提下才能讓無線網卡訪問無線路由器,在校園無線網絡中就可以將校園網劃分為多個WLAN,按照用戶的身份進行管理,這也是保證校園網絡安全的有效措施。
(2)身份驗證。目前網絡比較流行的驗證方式是Portal驗證,這種驗證方式操作簡單,通過搜索運營商的AP,打開用戶的瀏覽器會直接彈出登錄頁面,輸入用戶名和密碼后即可使用無線網絡,但直接使用Portal會給用戶帶來安全風險,因此現在主流的使用采取portal加web方式,這種驗證方式主要利用了安全性較強的CHAP式加密認證。
(3)監控與跟蹤。傳統的網絡采用ACL技術動態分配網址,缺點是對用戶不能實現精確的跟蹤。校園應用要求識別并將網絡行為更加詳細地進行記錄,以滿足網絡安全和審查需要。既能夠針對每用戶、每設備的應用識別和跟蹤記錄,也可以監控某些關鍵業務的性能。BYOD(Bring Your Own Device)方案提供了基于用戶的狀態防火墻,能夠識別每個用戶在每個設備上各種會話狀態。
無線網絡技術積極推動了教學效果、方便了教師和學生學習和生活,這也是無線技術走進校園的重要原因,為了更加有效的利用無線網絡技術,無線網絡的安全問題顯得尤為重要,首先從技術上探索無線網絡的安全問題,另外無線校園網絡安全是一個長期的、系統工程,在實現過程中僅僅依靠先進的設備和技術不能完全解決問題,還需要合理的設計、維護和運營以及各個階段的無縫式配合來保證校園無線網絡安全、無障礙的運行。
參考文獻:
[1]堯有平.校園無線網絡安全威脅與安全策略研究[J].輕工科技,2013.
[2]李文.高校網絡安全現存問題及解決對策[J].無線互聯科技,2013.
篇8
關鍵詞:無線校園網;可擴展性;可管理型;安全性
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2016)29-0036-02
智慧校園作為目前高校信息化發展的目標借助了互聯網、物聯網、云計算等技術,將教學、科研、管理、生活學習環境進行深度融合,讓管理者、教師、學生能以更加精細和動態的方式管理學習工作和生活的狀態,最終提升管理、教學、科研、服務質量。因此如何設計建設一個穩定、高性能、安全的無線校園網則顯得尤為重要。
1無線方案需求分析
1.1無線覆蓋需求
無線信號應該在覆蓋范圍內無處不在,但是更多的覆蓋范圍,需要更多的設備和投資,因此覆蓋范圍和覆蓋程度和實際需求相關,同時也和無線AP的部署方式相關。不同場所建筑由于用途不同,結構千差萬別,采用合適的AP部署方式將可以得到最優的信號覆蓋。
1.2穩定可靠的需求
無線網絡的傳輸方式和原理導致其穩定性和可靠性有天生不足,電磁波非常容易受到各種障礙物、其他同頻率電磁波、相鄰AP甚至天氣的影響,正是如此無線網絡的設計重點要考慮如何保障無線網絡的穩定可靠。
1.3無線性能及容量的需求
無線網絡性能包括了AP吞吐量和用戶的吞吐量兩個方面的因素,AP吞吐量與AP、K端支持的協議標準和空間流數量有關,而用戶吞吐量還和AP接人用戶數量有關,設計無線校園網時不能僅僅考慮信號覆蓋,還要考慮如何保證無線用戶的應用能夠流暢運行,無線網絡不成為性能瓶頸,特別高密度用戶環境中能夠確保所有并發用戶的無線性能。
1.4無縫漫游需求
無線用戶通常都會在移動過程中使用網絡,當終端從一個位置移動到另外一個位置,為了提升用戶的上網體驗,漫游過程中信號不能中斷、網絡不能中斷。達到無縫漫游、無感知漫游的目的。
1.5易管理需求
無線網絡的管理除具備有線網絡管理的部分特征外,還有自己的管理需求,如終端定位需求,怎樣直觀的查看無線信號覆蓋效果進行無線規劃也成為無線網絡管理的必備需求。
2無線校園網設計原則
2.1穩定可靠原則
無線網絡相比有線網絡在可靠性方面有先天不足,電磁波傳輸更容易受到各種干擾導致網絡的不可靠,而隨著移動應用的發展,無線網絡對用戶的重要性越來越高,因此無線網絡穩定可靠更為重要。在設計無線網絡時首要考慮盡量減少無線干擾、信號補償、關鍵部件冗余等措施。
2.2安全性原則
無線網絡的便利性也導致了其安全風險更高,而移動應用和智能終端的普及,用戶越來越依賴于無線網絡,無線網絡上可以傳輸普通的數據,也有用戶的身份信息神州銀行等隱秘性要求很高的數據,因此無需網絡必須具有良好的安全防范措施和密碼保護技術,靈活方便的權限設定和控制機制,使系統具有多種有效手段,防范各種形式對網絡的非法入侵和內部攻擊,以保證網絡的實體安全、網絡安全、系統安全和信息安全,有效地保障正常的業務活動和防止內部信息數據不被非法竊取、篡改或泄漏。
2.3高性能原則
無線網絡是一個競爭性的共享網絡,用戶數量越多,單用戶性能越低,而移動應用的普及帶來了無線帶寬性能需求的提升,網絡鏈路和設備具備足夠高的數據轉發能力,保證各種信息的高質量無阻塞傳輸;交換系統具有很高的交換容量與多服務支持的能力,保證網絡服務的質量。
2.4可擴展性原則
在網絡規模不斷發展的情況下,無線網絡應滿足在不改變主體架構與大部分設備的前提下,平滑實現升級和擴充,降低原有網絡的硬件投資,并保證擴展后的系統可用性與穩定性。預留AC、AP可升級的能力,為未來無線校園網擴容提供基礎。
3整體方案設計拓撲
在校園網網絡中心部署1臺或多臺AC無線控制器,對全校所有無線AP進行統一管理控制,多臺無線控制器可以實現1+1或N+I冗余。在網絡中心部署有線無線網管系統(現有DCLM網管系統)對全網有線無線設備進行統一管理。部署統一認證網關(現有CS16809核心交換機和城市熱點認證計費網關)來實現有線無線接人用戶統一認證計費與運營管理。所有AP接入到POE交換機或通過POE模塊接入到接入交換機,實現POE遠程供電。在高性能、高密度區域選擇支持802.11ac協議的AP產品,可以得到更高的帶寬。
我院校園網采用了經典的三層架構,即核心層、匯聚層和接入層。校園不同區域劃分了不同的VLAN和子網。這種架構的校園網,AC部署在網絡中心,各AP在不同區域有不同的管理地址和用戶地址段,屬于不同的VLAN。AC與AP之間三層連接。這種架構有線用戶和無線用戶按同樣的區域來劃分不同的VLAN和子網。在網絡中心部署DHCP服務器和AC控制器為AP和無線用戶分配IP地址,為了實現準入控制,利用AC實現BAS功能,配合DCN DCSM或其他RAIDUS實現POR-TAL認證。
篇9
無線網絡對于我們已經不再陌生了,WiFi、藍牙、WiMax、紅外、3G等各式各樣的無線網絡信號已經無時無刻地環繞在我們身邊。然而,不論是在企業網絡還是在家庭網絡中,有線仍然是我們日常網絡最重要的組成部分。我們以企業網絡為例,此前,曾有很多分析報告提出全無線辦公(All Wireless Office)的概念,然而,真正實現全無線辦公的企業可謂鳳毛麟角。現在,隨著無線技術的不斷成熟、無線單位成本的不斷下降,以及無線網絡能夠帶來的諸多便利,這一現象有望在今后得以徹底改變。
All Wireless Off]ce(全無線辦公)
根據IDC的分析報告顯示,在未來12個月中,企業采購的IT設備中,安全防御設備仍然將以接近30%的比例占據榜首,但之后的排名出現了很大的變化,無線設備占用企業預算的比例大幅攀升,以接近25%的比例,占據了榜單的第二位。從研究報告中,我們不難發現,企業越來越多地采購無線設備,其比例甚至大幅超過了有線的基礎設備,企業對于無線的需求正在激增。在這種背景下,全無線網絡辦公成為了企業想要去實現的。
全無線辦公,顧名思義,就是在企業環境中,利用無線網絡最大程度地替代有線網絡,甚至徹底將企業內部網進化為無線網絡。如果實現了這一點,對于企業而言,將意味著擁有眾多好處。從最直觀的網線的減少到管理維護、安全維護更加方便和可靠,再到可以精確定位每一個無線設備的位置,這都將為企業帶來巨大的效率提升。而另一方面,通過無線技術與統一通信的結合,企業的通訊聯絡成本也將大幅下降,既能提高效率又能降低成本,怪不得企業的IT投資大幅傾向于無線設備。有了這種需求背景,加上不斷成熟的無線設備和無線安全解決方案,全無線辦公似乎已經離我們很近了。
如何組建
無線網絡相比于有線網絡,在組建和維護上必然有著很大的不同,企業向無線遷移的過程中,如何最好地解決這些問題,同時高效平穩地組建全無線辦公網絡?帶著這些問題,我們采訪了Aruba亞太區技術顧問吳章銘,Aruba作為全球領先的無線解決方案廠商,我們相信他們對于全無線網絡的可行性與組建都有獨到的見解。
對于企業而言,組建全無線辦公網絡首先會想到的問題就是帶寬問題,很多企業IT管理人員擔心,相比于有線網絡,無線網絡的帶寬問題將影響企業的網絡運營。在談到這個問題時,吳章銘表示,從數據上來看,在大部分企業網絡中,每一位員工的帶寬占用大約是這樣分配的:VolP大約占到了300Kbps帶寬,視頻帶寬占用大約將近400Kbps,電子郵件、在線文檔和企業網絡應用程序各占用1Mbps帶寬,也就是說,平均每位員工占用了4Mbps左右的企業網絡帶寬。而一個雙頻802.11g無線AP就將提供理論54Mbps,實際也要超過40Mbps的帶寬,也就是1個802.11g的AP就可以保障10位企業員工的網絡需求,而這僅僅是802.11g,在去年9月正式的802.11n規范提供了理論300Mbps,實際超過240Mbps的帶寬。一個AP足以供應60位以上員工的辦公需求,不論是在帶寬上,還是在單位端口的接入成本上,相比有線網絡都有驚人的優勢。
在消除了帶寬這個最大的障礙之后,如何實際地部署無線網絡呢?我們這里以Aruba在臺灣的一家典型企業客戶為例。企業可以全面地部署無線網絡,由于無線網絡無須部署網線,也不需要端口,因此,企業的單位終端網絡成本將大幅下降。
除了這些基礎的應用,在談到這個案例時,吳章銘向我們展示了兩個很有趣的概念――手機狗和雙槍俠。所謂“手機狗”,指的是現在的企業員工需要大量地通過手機來開展企業業務,聽到手機鈴聲就會立即拿起手機應答或者拒接,正如同“狗”這種動物,對食物進行的條件反射,手機狗的出現正說明了企業員工對于手機的依賴性。而“雙槍俠”則是比喻在企業環境中,擁有多個手機終端的員工,他們為了工作和私人生活以及其他方面的原因,使用了多個手機和手機號碼。手機狗和雙槍俠在企業中的大規模出現意味著,在企業網絡中,每一個員工都可能擁有多重門號,比如企業手機號、私人手機號、辦公座機號等等。通過無線網絡和統一通信系統,這個問題將得到解決。
例如:企業可以通過整體的無線統一通信解決方案,將手機等終端納入無線統一通信的管理之中,實現在企業中,每個人有且只有一個單一門號,通過WiFi、手機、座機呼叫固定的號碼,即可與固定的用戶實現交流,而后者也可以以任何一種接入終端來進行應答。這樣大大降低企業的溝通復雜度與溝通成本。再進一步在更大范圍內,企業可以部署更大規模的無線網絡,以實現總部與分支機構之間的互聯互通。可以說,除了全無線辦公網絡帶來的基礎便捷之外,這些利用無線網絡構建的企業解決方案也將能夠實現有線網絡平臺下無法實現的問題。
安全的思考
如果要說無線網絡相比有線網絡有何最致命的問題,那毫無疑問就是安全問題。由于無線網絡的信息載體是電磁波,而電磁波具有明顯的溢波現象,同時,無線網絡的去除網線也為偽造無線AP提供了便捷,相比于有線網絡更為復雜的安全威脅成為企業組建全無線辦公不得不考慮的問題。
吳章銘表示,瘦AP將是解決安全問題的基礎條件。所謂瘦AP是相對于胖AP而言,胖AP指的是集成了全部功能的AP,這些功能包括了加密解密、過濾防護等等,而瘦AP與之對應,就是只有無線功能的設備。在瘦AP環境下,加密解密以及防火墻等安全措施可以通過一個單獨的安全設備來實現,除了顯而易見的成本降低之外,提升了AP的性能,還提升了安全性能與安全管理的方便性。在瘦AP環境下,用戶訪問網絡的需求通過AP傳遞到AP之后的防火墻上,由防火墻進行統一的身份驗證,并且賦予用戶不同的權限,這種良好的身份認證以及其他的統一安全管理將有效地規避大量的安全問題。
當然,無線網絡也具有有線網絡無法比擬的一點安全優勢,這點體現在對于終端的精確定位上,這個定位是基于物理位置的定位。而不是IP地址。正是由于無線網絡的數據載體為電磁波,因此,在理論上,只要企業環境中存在三臺以上不在同一點的無線AP,即可通過三角定位精確地找到終端的位置。而實際上,理論上最小的三臺AP顯然無法滿足要求,越多的AP將能夠越精準地定位到終端的物理位置。考慮到一般的有定位需求的企業中,都有大量的AP設備。因此,實現它技術上并不困難。有了物理位置的精確定位,在企業網絡遭遇安全問題的時候,能更容易找到出現問題的位置,也能夠進行更快的響應。
全無線辦公成為可能
篇10
關鍵詞:無線網絡;安全威脅;安全技術;安全措施
無線網絡的應用擴展了網絡用戶的自由,然而,這種自由同時也帶來了安全性問題。無線網絡存在哪些安全威脅?采取什么安全對策?我們對上述問題作一簡要論述。
1無線網絡存在的安全威脅
無線網絡一般受到的攻擊可分為兩類:一類是關于網絡訪問控制、數據機密性保護和數據完整性保護而進行的攻擊;另一類是基于無線通信網絡設計、部署和維護的獨特方式而進行的攻擊。對于第一類攻擊在有線網絡的環境下也會發生。可見,無線網絡的安全性是在傳統有線網絡的基礎上增加了新的安全性威脅。
1.1有線等價保密機制的弱點
IEEE(InstituteofElectricalandElectronicsEngineers,電氣與電子工程師學會)制定的802.11標準中,引入WEP(WiredEquivalentPrivacy,有線保密)機制,目的是提供與有線網絡中功能等效的安全措施,防止出現無線網絡用戶偶然竊聽的情況出現。然而,WEP最終還是被發現了存在許多的弱點。
(1)加密算法過于簡單。WEP中的IV(InitializationVector,初始化向量)由于位數太短和初始化復位設計,常常出現重復使用現象,易于被他人破解密鑰。而對用于進行流加密的RC4算法,在其頭256個字節數據中的密鑰存在弱點,容易被黑客攻破。此外,用于對明文進行完整性校驗的CRC(CyclicRedundancyCheck,循環冗余校驗)只能確保數據正確傳輸,并不能保證其是否被修改,因而也不是安全的校驗碼。
(2)密鑰管理復雜。802.11標準指出,WEP使用的密鑰需要接受一個外部密鑰管理系統的控制。網絡的部署者可以通過外部管理系統控制方式減少IV的沖突數量,使無線網絡難以被攻破。但由于這種方式的過程非常復雜,且需要手工進行操作,所以很多網絡的部署者為了方便,使用缺省的WEP密鑰,從而使黑客對破解密鑰的難度大大減少。
(3)用戶安全意識不強。許多用戶安全意識淡薄,沒有改變缺省的配置選項,而缺省的加密設置都是比較簡單或脆弱的,經不起黑客的攻擊。
1.2進行搜索攻擊
進行搜索也是攻擊無線網絡的一種方法,現在有很多針對無線網絡識別與攻擊的技術和軟件。NetStumbler軟件是第一個被廣泛用來發現無線網絡的軟件。很多無線網絡是不使用加密功能的,或即使加密功能是處于活動狀態,如果沒有關閉AP(wirelessAccessPoint,無線基站)廣播信息功能,AP廣播信息中仍然包括許多可以用來推斷出WEP密鑰的明文信息,如網絡名稱、SSID(SecureSetIdentifier,安全集標識符)等可給黑客提供入侵的條件。
1.3信息泄露威脅
泄露威脅包括竊聽、截取和監聽。竊聽是指偷聽流經網絡的計算機通信的電子形式,它是以被動和無法覺察的方式入侵檢測設備的。即使網絡不對外廣播網絡信息,只要能夠發現任何明文信息,攻擊者仍然可以使用一些網絡工具,如AiroPeek和TCPDump來監聽和分析通信量,從而識別出可以破解的信息。
1.4無線網絡身份驗證欺騙
欺騙這種攻擊手段是通過騙過網絡設備,使得它們錯誤地認為來自它們的連接是網絡中一個合法的和經過同意的機器發出的。達到欺騙的目的,最簡單的方法是重新定義無線網絡或網卡的MAC地址。
由于TCP/IP(TransmissionControlProtocol/InternetProtocol,傳輸控制協議/網際協議)的設計原因,幾乎無法防止MAC/IP地址欺騙。只有通過靜態定義MAC地址表才能防止這種類型的攻擊。但是,因為巨大的管理負擔,這種方案很少被采用。只有通過智能事件記錄和監控日志才可以對付已經出現過的欺騙。當試圖連接到網絡上的時候,簡單地通過讓另外一個節點重新向AP提交身份驗證請求就可以很容易地欺騙無線網身份驗證。
1.5網絡接管與篡改
同樣因為TCP/IP設計的原因,某些欺騙技術可供攻擊者接管為無線網上其他資源建立的網絡連接。如果攻擊者接管了某個AP,那么所有來自無線網的通信量都會傳到攻擊者的機器上,包括其他用戶試圖訪問合法網絡主機時需要使用的密碼和其他信息。欺詐AP可以讓攻擊者從有線網或無線網進行遠程訪問,而且這種攻擊通常不會引起用戶的懷疑,用戶通常是在毫無防范的情況下輸人自己的身份驗證信息,甚至在接到許多SSL錯誤或其他密鑰錯誤的通知之后,仍像是看待自己機器上的錯誤一樣看待它們,這讓攻擊者可以繼續接管連接,而不容易被別人發現。
1.6拒絕服務攻擊
無線信號傳輸的特性和專門使用擴頻技術,使得無線網絡特別容易受到DoS(DenialofService,拒絕服務)攻擊的威脅。拒絕服務是指攻擊者惡意占用主機或網絡幾乎所有的資源,使得合法用戶無法獲得這些資源。黑客要造成這類的攻擊:①通過讓不同的設備使用相同的頻率,從而造成無線頻譜內出現沖突;②攻擊者發送大量非法(或合法)的身份驗證請求;③如果攻擊者接管AP,并且不把通信量傳遞到恰當的目的地,那么所有的網絡用戶都將無法使用網絡。無線攻擊者可以利用高性能的方向性天線,從很遠的地方攻擊無線網。已經獲得有線網訪問權的攻擊者,可以通過發送多達無線AP無法處理的通信量進行攻擊。
1.7用戶設備安全威脅
由于IEEE802.11標準規定WEP加密給用戶分配是一個靜態密鑰,因此只要得到了一塊無線網網卡,攻擊者就可以擁有一個無線網使用的合法MAC地址。也就是說,如果終端用戶的筆記本電腦被盜或丟失,其丟失的不僅僅是電腦本身,還包括設備上的身份驗證信息,如網絡的SSID及密鑰。
2無線網絡采用的安全技術
采用安全技術是消除無線網絡安全威脅的一種有效對策。無線網絡的安全技術主要有七種。
2.1擴展頻譜技術
擴頻技術是用來進行數據保密傳輸,提供通訊安全的一種技術。擴展頻譜發送器用一個非常弱的功率信號在一個很寬的頻率范圍內發射出去,與窄帶射頻相反,它將所有的能量集中到一個單一的頻點。
一些無線局域網產品在ISM波段為2.4~2.483GHz范圍內傳輸信號,在這個范圍內可以得到79個隔離的不同通道,無線信號被發送到成為隨機序列排列的每一個通道上(例如通道1、18、47、22……)。無線電波每秒鐘變換頻率許多次,將無線信號按順序發送到每一個通道上,并在每一通道上停留固定的時間,在轉換前要覆蓋所有通道。如果不知道在每一通道上停留的時間和跳頻圖案,系統外的站點要接收和譯碼數據幾乎是不可能的。使用不同的跳頻圖案、駐留時間和通道數量可以使相鄰的不相交的幾個無線網絡之間沒有相互干擾,因而不用擔心網絡上的數據被其他用戶截獲。
2.2用戶密碼驗證
為了安全,用戶可以在無線網絡的適配器端使用網絡密碼控制。這與WindowsNT提供的密碼管理功能類似。由于無線網絡支持使用筆記本或其他移動設備的漫游用戶,所以嚴格的密碼策略等于增加一個安全級別,這有助于確保工作站只被授權用戶使用。
2.3數據加密
數據加密技術的核心是借助于硬件或軟件,在數據包被發送之前就加密,只有擁有正確密鑰的工作站才能解密并讀出數據。此技術常用在對數據的安全性要求較高的系統中,例如商業用或軍用的網絡,能有效地起到保密作用。
此外,如果要求整體的安全保障,比較好的解決辦法也是加密。這種解決方案通常包括在有線網絡操作系統中或無線局域網設備的硬件或軟件的可選件中,由制造商提供,另外還可選擇低價格的第三方產品,為用戶提供最好的性能、服務質量和技術支持。
2.4WEP配置
WEP是IEEE802.11b協議中最基本的無線安全加密措施,其主要用途包括提供接入控制及防止未授權用戶訪問網絡;對數據進行加密,防止數據被攻擊者竊聽;防止數據被攻擊者中途惡意篡改或偽造。此外,WEP還提供認證功能。2.5防止入侵者訪問網絡資源
這是用一個驗證算法來實現的。在這種算法中,適配器需要證明自己知道當前的密鑰。這和有線網絡的加密很相似。在這種情況下,入侵者為了將他的工作站和有線LAN連接也必須達到這個前提。
2.6端口訪問控制技術
端口訪問控制技術(802.1x)是用于無線局域網的一種增強性網絡安全解決方案。當無線工作站與AP關聯后,是否可以使用AP的服務要取決于802.1x的認證結果。如果認證通過,則AP為用戶打開這個邏輯端口,否則不允許用戶上網。802.1x除提供端口訪問控制能力之外,還提供基于用戶的認證系統及計費,特別適合于公司的無線接入解決方案。
2.7使用VPN技術
VPN(VirtualPrivateNetwork,虛擬專用網)是指在一個公共IP網絡平臺上通過隧道以及加密技術保證專用數據的網絡安全性,它不屬于802.11標準定義;但是用戶可以借助VPN來抵抗無線網絡的不安全因素,同時還可以提供基于RADIUS的用戶認證以及計費。因此,在合適的位置使用VPN服務是一種能確保安全的遠程訪問方法。
3無線網絡采取的安全措施
要排除無線網絡的安全威脅,另一種對策是采取如下八項安全措施。
3.1網絡整體安全分析
網絡整體安全分析是要對網絡可能存的安全威脅進行全面分析。當確定有潛在入侵威脅時,要納入網絡的規劃計劃,及時采取措施,排除無線網絡的安全威脅。
3.2網絡設計和結構部署
選擇比較有安全保證的產品來部署網絡和設置適合的網絡結構是確保網絡安全的前提條件,同時還要做到如下幾點:修改設備的默認值;把基站看作RAS(RemoteAccessServer,遠程訪問服務器);指定專用于無線網絡的IP協議;在AP上使用速度最快的、能夠支持的安全功能;考慮天線對授權用戶和入侵者的影響;在網絡上,針對全部用戶使用一致的授權規則;在不會被輕易損壞的位置部署硬件。
3.3啟用WEP機制
要正確全面使用WEP機制來實現保密目標與共享密鑰認證功能,必須做到五點。一是通過在每幀中加入一個校驗和的做法來保證數據的完整性,防止有的攻擊在數據流中插入已知文本來試圖破解密鑰流;二是必須在每個客戶端和每個AP上實現WEP才能起作用;三是不使用預先定義的WEP密鑰,避免使用缺省選項;四是密鑰由用戶來設定,并且能夠經常更改;五是要使用最堅固的WEP版本,并與標準的最新更新版本保持同步。
3.4MAC地址過濾
MAC(MediaAccessController,物理地址)過濾可以降低大量攻擊威脅,對于較大規模的無線網絡也是非常可行的選項。一是把MAC過濾器作為第一層保護措施;二是應該記錄無線網絡上使用的每個MAC地址,并配置在AP上,只允許這些地址訪問網絡,阻止非信任的MAC訪問網絡;三是可以使用日志記錄產生的錯誤,并定期檢查,判斷是否有人企圖突破安全措施。
3.5進行協議過濾
協議過濾是一種降低網絡安全風險的方式,在協議過濾器上設置正確適當的協議過濾會給無線網絡提供一種安全保障。過濾協議是個相當有效的方法,能夠限制那些企圖通過SNMP(SimpleNetworkManagementProtocol,簡單網絡管理協議)訪問無線設備來修改配置的網絡用戶,還可以防止使用較大的ICMP協議(InternetControlMessageProtocol,網際控制報文協議)數據包和其他會用作拒絕服務攻擊的協議。
3.6屏蔽SSID廣播
盡管可以很輕易地捕獲RF(RadioFrequency,無線頻率)通信,但是通過防止SSID從AP向外界廣播,就可以克服這個缺點。封閉整個網絡,避免隨時可能發生的無效連接。把必要的客戶端配置信息安全地分發給無線網絡用戶。
3.7有效管理IP分配方式
分配IP地址有靜態地址和動態地址兩種方式,判斷無線網絡使用哪一個分配IP的方法最適合自己的機構,對網絡的安全至關重要。靜態地址可以避免黑客自動獲得IP地址,限制在網絡上傳遞對設備的第三層的訪問;而動態地址可以簡化WLAN的使用,可以降低那些繁重的管理工作。
3.8加強員工管理
加強單位內部員工的管理,禁止員工私自安裝AP;規定員工不得把網絡設置信息告訴單位外部人員;禁止設置P2P的Adhoc網絡結構;加強員工的學習和技術培訓,特別是對網絡管理人員的業務培訓。
此外,在布置AP的時候要在單位辦公區域以外進行檢查,通過調節AP天線的角度和發射功率防止AP的覆蓋范圍超出辦公區域,同時要加強對單位附近的巡查工作,防止外部人員在單位附近接入網絡。
參考文獻
[1]鐘章隊.無線局域網[M].北京:科學出版社,2004.
