導(dǎo)語：如何才能寫好一篇無線網(wǎng)絡(luò)管理方案，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：無線傳感器網(wǎng)絡(luò)；密鑰管理；安全

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2011)10-2261-03

Key Management Scheme for Wireless Sensor Network

LIU Ning1,2

(1.School of Computer Science and Engineering, Guilin University of Electronic Technology, Guilin 541004, China; 2.Department of Information & engineering, Liuzhou Vocational & Technical College, Liuzhou 545006, China)

Abstract: Wireless sensor networks used for military target tracking, environmental monitoring, tracking and other aspects of patient condition, when its deployment in a hostile environment, subject to different types of malicious attacks, protect their safety is extremely important. Strictly limited resources of sensor nodes, traditional network security mechanisms do not apply to wireless sensor networks. Protect the security of wireless sensor network is used to encrypt the transmission of data, the article presents and analyzes the type of network for a typical key management scheme.

Key words: wireless sensor network(WSN); key management; security

隨著傳感器技術(shù)、嵌入式技術(shù)、無線通信技術(shù)和微機電系統(tǒng)（Micro Electro-Mechanical System，簡稱MEMS）技術(shù)的進步，極大地推動了集信息采集、數(shù)據(jù)處理、無線傳輸?shù)裙δ苡谝惑w的無線傳感器網(wǎng)絡(luò)（Wireless Sensor Networks，WSN）的發(fā)展。WSN以其低成本、低功耗的特點，在軍事、環(huán)境監(jiān)測、醫(yī)療健康等領(lǐng)域有著廣泛的應(yīng)用，并逐漸深入到人類生活的各個領(lǐng)域。

當無線傳感器網(wǎng)絡(luò)部署在一個敵對的環(huán)境中，安全性就顯得極為重要，因為它們?nèi)菀桩a(chǎn)生不同類型的惡意攻擊。例如，敵人可以冒充合法節(jié)點竊取網(wǎng)絡(luò)中的通信數(shù)據(jù)，或者發(fā)送錯誤的信息給其它節(jié)點。為了確保從網(wǎng)絡(luò)中收集到的數(shù)據(jù)正確可靠，節(jié)點間的數(shù)據(jù)通信必須進行加密和驗證。針對無線傳感器網(wǎng)絡(luò)安全問題的研究有很多方面，但其中最核心、最基本的問題就是密鑰管理問題。

1 密鑰管理方案的評估指標

無線傳感器網(wǎng)絡(luò)一般受限于計算、通信和存儲能力，節(jié)點隨機部署，以及網(wǎng)絡(luò)拓撲結(jié)構(gòu)的動態(tài)變化，從而使得傳感器網(wǎng)絡(luò)比傳統(tǒng)的網(wǎng)絡(luò)更難抵抗各種攻擊。在傳統(tǒng)網(wǎng)絡(luò)中，往往通過分析密鑰管理方案所能夠提供的安全性來評估一個密鑰管理方案的優(yōu)劣。但是，這在無線傳感器網(wǎng)絡(luò)中都是遠遠不夠的。所以，結(jié)合自身的特點和限制，無線傳感器網(wǎng)絡(luò)的密鑰管理方案需要具備以下特性[1-2]。

1) 安全性。對于無線傳感器網(wǎng)絡(luò)密鑰管理方案，其安全性主要體現(xiàn)在對外部攻擊的抵抗能力上，主要指抵抗俘獲攻擊和復(fù)制節(jié)點攻擊的能力。利用該算法生成的密鑰應(yīng)具備一定的安全強度，不能被網(wǎng)絡(luò)攻擊者輕易破解或者花很小的代價破解。也即是加密后保障數(shù)據(jù)包的機密性。

2) 連通性。指相鄰節(jié)點之間直接建立通信密鑰的概率。保持足夠高的密鑰連通概率是無線傳感器網(wǎng)絡(luò)發(fā)揮其應(yīng)有功能的必要條件。密鑰信息生成和分發(fā)之后，除了孤立節(jié)點（無法與網(wǎng)絡(luò)中其它任何節(jié)點進行通信）之外，要保證密鑰的全連通或者部分連通。

3) 有效性。對于節(jié)點電源能量來說，密鑰管理方案必須具有很小的耗電量。對于節(jié)點的計算能力來說，傳統(tǒng)網(wǎng)絡(luò)中廣泛采用的復(fù)雜的加密算法、簽名算法都不能很好的應(yīng)用于無線傳感器網(wǎng)絡(luò)中，需要設(shè)計計算更簡單的密鑰管理方案。對于節(jié)點的存儲能力來說，不可能在密鑰分配時保存過多的密鑰信息，那么設(shè)計的密鑰管理方案必須使每個節(jié)點預(yù)分配信息盡可能的少。確保傳感器節(jié)點有足夠的存儲空間去存儲建立安全密鑰管理所需要的信息，具有建立共享密鑰的處理能力以及在密鑰建立階段所需要的通信能力。

4) 輕量級和低開銷。傳感器節(jié)點主要有三個消耗能量的模塊：傳感器模塊，處理器模塊和無線通信模塊。其中，通信能耗遠遠大于計算能耗，數(shù)據(jù)傳輸所消耗的能量約占總能耗的97％，有20％消耗在共享密鑰發(fā)現(xiàn)階段和會話密鑰建立過程中。通常1比特信息傳輸100m距離耗費的能量相當于執(zhí)行3000條安全算法（如計算Hash函數(shù)，比較密鑰ID等）計算指令所消耗的能量。因此，要求密鑰管理方案中的節(jié)點間通信盡量小，要求節(jié)點在傳輸之前對數(shù)據(jù)進行預(yù)處理，以降低通信量。

5) 可擴展性。無線傳感器網(wǎng)絡(luò)的規(guī)模通常達到成千上萬個，但由于存儲空間受限，密鑰管理方案所支持的網(wǎng)絡(luò)規(guī)模通常都有一個門限值，在設(shè)計無線傳感器網(wǎng)絡(luò)密鑰管理方案時必須允許大量新加入的節(jié)點，保障網(wǎng)絡(luò)是可擴展的。而且，在增強網(wǎng)絡(luò)的擴展性的同時要盡可能地降低存儲開銷。

通常情況下，評估WSN密鑰管理方案的好壞，主要看此方案所能支持的網(wǎng)絡(luò)規(guī)模、傳感器節(jié)點的能耗、整個網(wǎng)絡(luò)的可建立安全通信的連通概率、整個網(wǎng)絡(luò)的抗攻擊能力等。

2 典型密鑰管理方案分析

通過總結(jié)和調(diào)研國內(nèi)外的文獻，本文將現(xiàn)有的無線傳感器網(wǎng)絡(luò)密鑰管理方案進行了適當?shù)姆诸?。根?jù)依據(jù)不同，主要可以分為四大類：一是按照密鑰管理方案所依托的密碼基礎(chǔ)不同，可分為對稱密鑰管理和非對稱密鑰管理；二是按照網(wǎng)絡(luò)的邏輯結(jié)構(gòu)不同，可分為分布式密鑰管理和層次式密鑰管理；三是按照網(wǎng)絡(luò)運行后密鑰是否更新，可分為靜態(tài)密鑰管理和動態(tài)密鑰管理；四是按照網(wǎng)絡(luò)密鑰的鏈接性情況不同，可分為隨機密鑰管理與確定密鑰管理。這四種分類方法并不是唯一的，也并非將所有的方案都依此劃清界限而彼此之間沒有交集，同一種密鑰管理方案完全可能在不同的分類中重復(fù)出現(xiàn)。下面介紹一些典型的密鑰管理方案。

2.1 預(yù)共享密鑰分配方案

SPINS協(xié)議[3]是預(yù)共享密鑰分配方案之一，它由安全網(wǎng)絡(luò)加密協(xié)議SNEP(Security Network Encryption protocol)和廣播認證協(xié)議μTESLA(micro Timed Efficient Streaming Loss-tolerant Authentication protocol)組成。

SNEP是一個低通信開銷的簡單高效的安全通信協(xié)議，實現(xiàn)了數(shù)據(jù)認證、數(shù)據(jù)機密性、完整性、新鮮性保證等功能。它只描述了協(xié)議的工作過程，并未規(guī)定實際采用的算法，具體算法在實現(xiàn)時可根據(jù)需要選擇。SNEP采用預(yù)共享主密鑰的安全引導(dǎo)模型，讓每個節(jié)點都和基站之間共享一對主密鑰，其他密鑰從該主密鑰派生出來。新鮮性的認證是通信雙方共享一個計數(shù)器來實現(xiàn)，數(shù)據(jù)完整性認證通過使用消息認證碼來提供。

μTESLA協(xié)議是一個高效的廣播認證協(xié)議，用于實現(xiàn)點到多點的廣播認證，其核心思想是推遲公布廣播包的加密密鑰。基站先廣播一個經(jīng)過密鑰Kmac加密的數(shù)據(jù)包，一段時間后再公布Kmac，這就保證了Kmac公布之前，無人能夠得到密鑰的任何信息，也無法在廣播包得到認證之前偽造正確的廣播包。該協(xié)議要求基站和節(jié)點之間擁有松散的時間同步，即接收者應(yīng)該知道基站公布密鑰的時刻表。μTESLA協(xié)議由基站安全初始化、節(jié)點加入安全體系和完成數(shù)據(jù)包的廣播認證三個過程組成。

SPINS使用預(yù)共享密鑰的方式來建立安全連接。其主要通過兩種方式建立安全連接：節(jié)點之間共享和每個節(jié)點與基站之間共享。使用每個節(jié)點之間共享一個主密鑰，可以在任何一對節(jié)點之間建立安全通信，但其抗俘獲能力、擴展性都很低，適用于小型網(wǎng)絡(luò)。在每個節(jié)點和基站之間共享一個主密鑰，需要節(jié)點的存儲空間大大降低，但計算和通信都集中在基站，容易成為網(wǎng)絡(luò)的瓶頸。

2.2 隨機密鑰預(yù)分配方案

目前最常用的隨機密鑰管理方式是在網(wǎng)絡(luò)節(jié)點布置到目標區(qū)域之前，給每個節(jié)點預(yù)置一部分信息，節(jié)點之間采用這些預(yù)置信息協(xié)商共享密鑰。

E-G方案[4]是由Eschenauer和Gligor提出的一種基于概率論和隨機圖論的密鑰預(yù)分配方案。其基本思想是：有一個大的密鑰池，所有節(jié)點都從中隨機選取若干密鑰構(gòu)成密鑰鏈，只有密鑰鏈間擁有一對相同密鑰的相鄰節(jié)點才能建立安全通道。該方案包括三個階段：密鑰預(yù)分配、共享密鑰的發(fā)現(xiàn)和路徑密鑰的建立。

1) 密鑰預(yù)分配。由密鑰生成者生成一個大的密鑰池S，密鑰池中的每二個密鑰都有一個惟一可以識別它的身份ID。在散布節(jié)點之前，從密鑰池S中隨機選出m個密鑰分發(fā)給每個節(jié)點。

2) 共享密鑰的發(fā)現(xiàn)。節(jié)點被布置到目標區(qū)域以后，廣播自己的身份ID以及所存儲的密鑰的ID。節(jié)點通過共享密鑰發(fā)現(xiàn)階段來發(fā)現(xiàn)可以建立起安全通信的節(jié)點。

3) 路徑密鑰的建立。經(jīng)過第2步建立起通信的無線傳感器節(jié)點已經(jīng)形成了一個安全連通網(wǎng)絡(luò)，任意兩個節(jié)點之間都可以找到一條安全連通路徑到達對方，不存在共享密鑰的節(jié)點間可以通過安全路徑上的中間節(jié)點協(xié)商安全通信密鑰。

Q-composite方案[4]是E-G方案的一種增強方案。在E-G方案中，任意兩個鄰居節(jié)點之間只需要有一個共享密鑰，這樣雖然減少了節(jié)點的開銷，但是節(jié)點抵御外部攻擊的能力卻大大減弱。為了增加節(jié)點的抗攻擊能力， Chan等人對E-G方案進行擴展，提出Q-composite隨機密鑰預(yù)分布方案。

Q-composite方案要求兩個節(jié)點之間至少擁有q個公共密鑰才能直接協(xié)商建立共享密鑰。q值越大網(wǎng)絡(luò)的抵抗力越強，攻擊難度與q呈指數(shù)關(guān)系。該方案使用兩個節(jié)點的所有公共密鑰的哈希值作為共享密鑰。假設(shè)兩個鄰居節(jié)點有t個公共密鑰(t>q)，則共享密鑰Kshare=Hash(K1||K2||…||Kt)，其中Hash代表某個公開的散列函數(shù)。

2.3 層次型LEAP密鑰管理方案

2003年，Sencun Zhu等人提出的LEAP[5](Localized encryption and authentication protocol)是一個適用于層次網(wǎng)絡(luò)的密鑰管理協(xié)議，為了確保網(wǎng)絡(luò)的安全總共需要四種類型密鑰：每個傳感器節(jié)點與基站共享的個體密鑰(Individual Key)，與某一跳鄰居節(jié)點共享的對密鑰(Pairwise Key)，多個鄰居節(jié)點共享的簇密鑰(Cluster Key)，以及網(wǎng)絡(luò)中所有節(jié)點共享的組密鑰(Group Key)。

1) 個體密鑰

個體密鑰是基站與每個節(jié)點之間共享的一個唯一的密鑰。節(jié)點使用這個密鑰來計算發(fā)往基站的消息的MAC值，例如在發(fā)現(xiàn)異常情況后向基站發(fā)送的警告消息。同樣地，基站也可以使用該密鑰來給網(wǎng)絡(luò)中的某個節(jié)點發(fā)送敏感消息。

個體密鑰用于保證單個傳感器節(jié)點與基站的安全通信，這個密鑰是在節(jié)點布置之前，預(yù)置到節(jié)點中的。節(jié)點u的個體密鑰 可用一個偽隨機函數(shù)f來生成 ，K是密鑰生成者用于生成個體密鑰的主密鑰，密鑰生成者只需要存儲K，在需要與節(jié)點u通信的時候再用偽隨機函數(shù)計算出它們之間的通信密鑰。

2) 對密鑰

對密鑰是節(jié)點與它的一跳鄰居節(jié)點共享的密鑰，可以通過交換其標識符及使用預(yù)分配的組密鑰和單項散列函數(shù)計算得到。對密鑰用來建立安全通信，例如節(jié)點可以使用對密鑰加密它的簇密鑰發(fā)送給鄰居，或者將其采集的數(shù)據(jù)加密后發(fā)送給匯聚節(jié)點。對密鑰用于加密需要保密的通信信息或者用于源認證，即可以在節(jié)點布置之前預(yù)置，也可以采用節(jié)點布置以后通過相互通信進行協(xié)商。

3) 簇密鑰

簇密鑰是一個節(jié)點和其所有鄰居共享的密鑰，用來加密本簇內(nèi)的廣播信息。例如，路由控制信息，采集的機密數(shù)據(jù)等。先由簇頭產(chǎn)生一個隨機密鑰作為簇密鑰，然后使用與鄰居節(jié)點的對密鑰逐一地對簇密鑰加密后發(fā)送給對應(yīng)節(jié)點，只有同一簇內(nèi)的鄰居節(jié)點才能擁有并用于通信。

網(wǎng)內(nèi)的數(shù)據(jù)處理，例如數(shù)據(jù)融合對于能量的節(jié)省十分重要。一個節(jié)點在接收到鄰居節(jié)點發(fā)送來的數(shù)據(jù)后，如果發(fā)現(xiàn)與自己采集的數(shù)據(jù)一樣，則可以選擇不發(fā)送該數(shù)據(jù)，從而減少了網(wǎng)絡(luò)的能量消耗。但是這就要求這些消息被一個局部共享的密鑰進行加密和認證。因此，LEAP協(xié)議給每個節(jié)點提供了一個與鄰居節(jié)點共享的唯一密鑰來保證消息的安全性，鄰居節(jié)點使用同樣的密鑰來解密和認證消息，該密鑰就是簇密鑰。

4) 組密鑰

組密鑰是當基站需要向全網(wǎng)廣播消息時使用的，例如，基站廣播查詢消息、命令等。由于網(wǎng)絡(luò)中的所有節(jié)點共享一個組密鑰，從安全的角度出發(fā)，當有節(jié)點被撤銷時必須更新這個密鑰，以防被撤銷節(jié)點還能監(jiān)聽基站與每個節(jié)點的廣播通信，可采用μTESLA(mieroTimed Effieient Streaming Loss-tolerant Authentication protocol)協(xié)議更新網(wǎng)絡(luò)的組密鑰。

2.4 各種方案的優(yōu)缺點

上述的各種密鑰管理方案都在某種程度上解決了一些WSN的安全問題，但是每個方案也都存在著不足之處。

SPINS協(xié)議實現(xiàn)了點對點消息的保密性、可認證性、完整性和新鮮性，實現(xiàn)了廣播消息的可認證性，但是，該協(xié)議節(jié)點必須通過基站才能建立安全通信密鑰，使得基站成為網(wǎng)絡(luò)中的瓶頸，可擴展性差，只適合小型網(wǎng)絡(luò)使用，且不能抵御DOS攻擊。

E-G方案是一種隨機密鑰預(yù)分配方案，它使得節(jié)點只需存儲密鑰池中的部分密鑰，降低了節(jié)點的存儲開銷，點到點的安全通信信道可以通過共享密鑰獨立建立，從而減少了對基站的依賴，適用于規(guī)模大的網(wǎng)絡(luò)。但是，該方案基于概率模型，不能保證所有節(jié)點是安全連通的。它的安全連通性受到密鑰鏈的長度L和密鑰池的大小S等因素的影響。

Q-composite方案要求兩個相鄰節(jié)點至少共享q個密鑰才能建立配對密鑰，隨著共享密鑰閥值的增大，攻擊者破壞網(wǎng)絡(luò)安全鏈路的難度呈指數(shù)增大，但是對節(jié)點的存儲空間的要求也增大。

LEAP協(xié)議對網(wǎng)絡(luò)中不同的消息包使用不同類型的密鑰，在密鑰的建立過程中有效地減少了通信和能量的消耗，弱化了基站的作用，但是該協(xié)議的主要缺陷是對節(jié)點的多次部署支持的不是很好，并且網(wǎng)絡(luò)中的HELLO消息是采用明文的形式發(fā)送的，沒有進行認證，可能導(dǎo)致節(jié)點對無效消息做出回應(yīng)而浪費節(jié)點資源[6]。

3 結(jié)論

近幾年，無線傳感器網(wǎng)絡(luò)安全已經(jīng)引起了的廣泛關(guān)注。本文介紹一些密鑰管理方案，在某種程度上，它們能滿足無線傳感器網(wǎng)絡(luò)安全的需要。但是，這些密鑰管理方案有比較嚴重的限制，對無線傳感器網(wǎng)絡(luò)的部署環(huán)境有一定要求。由于沒有任何一種安全組件可以成為攻擊點，因此，為了實現(xiàn)系統(tǒng)安全，安全功能必須集成到每一個組件中。下一步的研究工作是如何確保安全功能集成到傳感器節(jié)點的每一個組件中。

參考文獻：

[1] Perrig A, Szewczyk R, Wen V, et al. SPINS: Security Protocol for Sensor Networks[J]. Wireless Networks, 2002,8(5):521-534.

[2] 楊青.無線傳感器網(wǎng)絡(luò)密鑰管理方案的研究[D].長沙:湖南大學(xué)碩士學(xué)位論文,2009.

[3] Perrig A, Szewczyk R, Wen V, et al. Tygar. SPINS: Security Protocol for Sensor Networks[C]. ACM MobiCom, July 2001,189-199.

[4] Chan H, Perrig A, and Song D, Random key Predistribution Schemes for Sensor Networks[C]. In Proceeding of the IEEE Computer Society Symposium on Security and Privacy. Piscataway, USA: IEEE, 2003: 197-213.

[5] Sencun Zhu,Sanjeev,Sushil Jajodia. LEAP: Efficient Security Mechanisms for Large-scale Distributed Sensor Networks [C],Proc. 10th ACM Conf. Computer and Commun.

篇2

關(guān)鍵詞:計算機網(wǎng)絡(luò) 無線網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 計費管理

中圖分類號: 文獻標識碼:A文章編號:1007-9416(2010)01-0000-00

1 引言

無線網(wǎng)絡(luò)在很大程度上突破了傳統(tǒng)有線網(wǎng)絡(luò)的限制,使用戶獲得了可移動性和方便性。為了彌補有線網(wǎng)的不具備移動功能上的不足,在校園內(nèi)建設(shè)無線網(wǎng)絡(luò),能使全校范圍內(nèi)的任何地方,全校師生都能隨時隨地,方便高效的使用無線網(wǎng)絡(luò),并能使建成的無線網(wǎng)具有認證計費功能。

2無線網(wǎng)絡(luò)的特點分析

與有線網(wǎng)絡(luò)相比較,無線網(wǎng)絡(luò)的優(yōu)點有:靈活性和移動性,便于移動用戶隨時隨地的網(wǎng)絡(luò)接入;簡易性,在辦公地點、網(wǎng)絡(luò)拓撲改變時不用重新布線;故障定位容易,網(wǎng)絡(luò)出現(xiàn)故障時排除故障較有線網(wǎng)更簡便;其它優(yōu)點,如易擴展,節(jié)約建網(wǎng)成本以及充分利用網(wǎng)絡(luò)資源等。無線網(wǎng)絡(luò)的缺點有: 抗干擾性差,易受各種障礙特的阻擋和氣候環(huán)境影響,傳輸速率不及有線網(wǎng),安全保密性較差等。在無線網(wǎng)的建設(shè)中應(yīng)充分利用無線網(wǎng)的優(yōu)點,注重克服其缺點,使建成的無線校園網(wǎng)真正起到有線網(wǎng)的有力補充。

3 無線網(wǎng)絡(luò)的設(shè)計過程

作為一個正常運行的有線校園網(wǎng),其功能和性能應(yīng)該較為完善。作為有線網(wǎng)絡(luò)的補充,無線網(wǎng)絡(luò)的建設(shè)應(yīng)該以有線網(wǎng)絡(luò)作為基礎(chǔ)。

3.1 現(xiàn)場勘查

無線網(wǎng)絡(luò)設(shè)計的第一個階段是勘查現(xiàn)場,了解建筑物和周圍各種物質(zhì)的材質(zhì),確定WLAN設(shè)備的安裝位置,在這個過程中,需要熟悉了全校的建筑布局,實地考查所有需要布設(shè)無線網(wǎng)絡(luò)的環(huán)境,然后分別對室內(nèi)和室外需要無線覆蓋的地方進行確定:室外需要無線信號覆蓋的區(qū)域大小,區(qū)域地理條件等;室內(nèi)需要無線服務(wù)的地方一般是室內(nèi)公共場所,如圖書館閱覽室、會議室、大型教室等。

3.2 無線標準與設(shè)備的選用

現(xiàn)階段處于主流的應(yīng)用技術(shù)是IEEE802.11g標準,其傳輸速度最高為54Mbit/s,并且還向下兼容802.11a和802.11b兩種標準,因此可以選用了IEEE802.11g標準作為本校園網(wǎng)的實施標準。由于室外和室內(nèi)的履蓋范圍以及氣候變化有著較大的不同,在進行無線AP的選用時,應(yīng)該對室內(nèi)和室外分別選用不同的無線AP。比如,室外AP可以選H3C的室外型大功率WA1208-AGP-AC,室內(nèi)AP可選用H3C室內(nèi)大容量WA1208E-DG-AC,這兩種AP具有抗干擾能力強、碼分多址能力強、高速且可擴展能力強等典型特點,并適用于802.11g和802.11a、802.11b用戶共存的環(huán)境,這樣既可以解決新老無線終端設(shè)備兼容性的問題,同時也有足夠的擴展空間。

3.3 AP的布置

由于校園無線網(wǎng)絡(luò)建設(shè)一般都是在有線網(wǎng)絡(luò)的基礎(chǔ)上實施的,因此應(yīng)該采用與有線網(wǎng)的就近接入原則,在每個AP接入點的樓宇內(nèi)就近布線到設(shè)備間,然后通過樓宇內(nèi)匯聚交換機和核心交換機相連,從而實現(xiàn)和校園網(wǎng)的無縫對接,這樣既充分利用了原有線網(wǎng)的資源,又節(jié)省了建設(shè)基站或購置無線網(wǎng)橋的費用。但針對室外區(qū)域,一般都是空間大,地域廣,不可能通過一個AP完全覆蓋,應(yīng)該在這些區(qū)域布置多個AP接入點構(gòu)成一套微蜂窩系統(tǒng),微蜂窩系統(tǒng)應(yīng)用移動IP技術(shù),使一個用戶在多個子網(wǎng)內(nèi)均可使用同一IP地址,實現(xiàn)不同的AP覆蓋區(qū)域內(nèi)任意漫游而網(wǎng)絡(luò)連接不致中斷。并且在AP配置時,為了保證各AP信道所覆蓋頻段不重疊,防止各AP所發(fā)出的信號相互干擾和沖突,應(yīng)該要求在一個半徑為60米以內(nèi)的區(qū)域中,只允許有3個AP,并分別選用1、6、11三個頻段不重疊的信道。

3.4 安全設(shè)計

由于無線網(wǎng)絡(luò)的傳輸方式和物理結(jié)構(gòu)等原因,導(dǎo)致其在安全問題上比有線網(wǎng)絡(luò)更容易受到威脅,主要表現(xiàn)在信息更容易泄漏、信號更易受到干擾、系統(tǒng)更容易受到入侵以及地址欺騙和會話攔截等等,針對這些不安全因素,在對無線網(wǎng)絡(luò)進行規(guī)劃和實施時可以采用了這樣一些技術(shù):a、為防止非授權(quán)用戶的監(jiān)聽和非法訪問,可采用128位的WEP加密;b、禁止AP向外廣播其SSID,這有利于提高無線網(wǎng)的安全性;c、修改缺省AP密碼,由于主流AP的缺省密碼己為公眾所知,通過修改后可以防上非法用戶的闖入;d、針對會議室等一些特定環(huán)境,應(yīng)該設(shè)計了更加安全的無線接入方案如設(shè)置MAC過濾,以及使用比WEP更安全的加密方式Wi-Fi保護接入(WAP)等。

3.5 認證與計費策略

無線校園網(wǎng)絡(luò)主要服務(wù)于學(xué)校的老師和學(xué)生,為了防止不合法用戶的使用而浪費帶寬資源,可采用了基于CAMS的Portal認證方式,在校園有線網(wǎng)的核心骨干層的交換機上掛接MA5200F服務(wù)器和Portal認證服務(wù)器,在Portal服務(wù)器的“IP地址組”組件中增加需要進行認證的無線終端IP地址范圍,并在“設(shè)備信息”組件中增加Portal接入設(shè)備MA5200F的上行接口地址,所有訪問外網(wǎng)的報文都重定向至MA5200F服務(wù)器,通過MA5200F服務(wù)器向Portal 服務(wù)器發(fā)起認證請求。所有無線上網(wǎng)用戶在連入AP時,通過MA5200F服務(wù)器中內(nèi)置的DHCP獲得IP地址,然后通過IE訪問web/portal server,輸入用戶名和密碼進行認證;認證成功后,開始計時。在計費策略的選擇上,考慮到無線網(wǎng)絡(luò)使用的流動性和不確定性,制定了按時長收費的標準并精確到分鐘計費,當通過了CAMS的Portal Server認證服務(wù)器認證之后,計費開始,用戶下線后停止計費。

3.6 無線網(wǎng)絡(luò)管理

根據(jù)無線網(wǎng)絡(luò)系統(tǒng)中主要采用的無線設(shè)備來選擇無線網(wǎng)絡(luò)管理軟件,例如,你所設(shè)計的無線網(wǎng)絡(luò)主要采用了華為公司的無線網(wǎng)絡(luò)產(chǎn)品,就首先應(yīng)該考慮了管理的兼容性和針對性,選用華為的QuidView為網(wǎng)絡(luò)管理系統(tǒng),這是一個全面基于Web的網(wǎng)絡(luò)管理解決方案,可以通過自動或手工創(chuàng)建網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖管理整個企業(yè)內(nèi)部網(wǎng)絡(luò),支持監(jiān)視多個設(shè)備,利用SNMP協(xié)議實現(xiàn)WLAN所有網(wǎng)元的實時監(jiān)控和管理,包括網(wǎng)絡(luò)搜索,拓撲發(fā)現(xiàn),批量配置,性能監(jiān)測、警報追蹤和歷史數(shù)據(jù)記錄的功能,從而實現(xiàn)一個安全,可靠的無線網(wǎng)絡(luò)。在采用軟件管理的同時,也需要對網(wǎng)絡(luò)管理人員進行管理知識的培訓(xùn),加深學(xué)校管理人員的安全意識。

4 結(jié)語

大學(xué)原有的有線校園網(wǎng)建設(shè)大多較為完善,各種主要的網(wǎng)絡(luò)設(shè)備,通信線路以及重要的服務(wù)器,一般都具有良好的性能。作為有線網(wǎng)絡(luò)的有力補充,無線網(wǎng)絡(luò)建設(shè)是在有線網(wǎng)絡(luò)的基礎(chǔ)上為進行的。無線校園的建設(shè)與使用,己使無線校園網(wǎng)成為未來校園信息化發(fā)展的方向。無線校園網(wǎng)絡(luò)的快速發(fā)展與應(yīng)用,對學(xué)校的教學(xué)模式、教學(xué)理念及教學(xué)管理將產(chǎn)生深遠的影響。

參考文獻

[1] 張俊平.無線網(wǎng)絡(luò)在校園建設(shè)網(wǎng)絡(luò)中的應(yīng)用.學(xué)術(shù)研究.

篇3

關(guān)鍵詞：網(wǎng)絡(luò)設(shè)備；SSID；AP；無線網(wǎng)絡(luò)控制器；VLAN

一無線網(wǎng)絡(luò)技術(shù)簡介

無線網(wǎng)絡(luò)的飛速發(fā)展給人們的工作和生活帶來了極大的便利。（一）靈活以及廉價。（二）沒線纜約束。

二無線網(wǎng)絡(luò)安全隱患分析

非授權(quán)的用戶若獲得了無線網(wǎng)絡(luò)的訪問權(quán)限，將會破壞系統(tǒng)數(shù)據(jù)，消耗網(wǎng)絡(luò)帶寬，降低網(wǎng)絡(luò)的性能。

三無線網(wǎng)絡(luò)安全措施分析

（一）轉(zhuǎn)向企業(yè)級加密用戶們使用PSK模式進行登錄，對每一個用戶和會話都是唯一的。（二）確保物理上的安全性一定要保證你的接入點AP遠離公眾可以接觸的地方，最起碼應(yīng)該將其掛到墻上或天花板上。（三）裝入侵檢測和入侵防御系統(tǒng)這兩種系統(tǒng)通?？恳粋€軟件來工作，并且使用戶的無線網(wǎng)卡來嗅探無線信號并查找問題。（四）構(gòu)建無線使用策略正如需要其它網(wǎng)絡(luò)設(shè)備的使用指南一樣，你也應(yīng)當有一套針對無線訪問的使用策略。

四東莞市某職業(yè)院校無線網(wǎng)絡(luò)安全技術(shù)應(yīng)用方案

學(xué)校對無線網(wǎng)絡(luò)的需求特征分析上，安全因素被放在了首位。（一）校園無線網(wǎng)絡(luò)安全問題的提出在當今使用中，大多數(shù)校園的無線局域網(wǎng)主要是依靠WEP方式對數(shù)據(jù)進行加密。其次，如果AP不做任何安全設(shè)定，則任何一個符合Wi-Fi的網(wǎng)卡都可以接入網(wǎng)絡(luò)。另外，黑客還可能會使用MAC欺騙技術(shù)入侵網(wǎng)絡(luò)。下面根據(jù)東莞市某職業(yè)院校無線網(wǎng)絡(luò)應(yīng)用的需求和要達到的目標，整體規(guī)劃設(shè)計出一套適用于東莞市某職業(yè)院校的無線安全應(yīng)用方案。（二）東莞市某職業(yè)院校無線網(wǎng)絡(luò)安全技術(shù)應(yīng)用方案概述該解決方案采用了WPA安全架構(gòu)的設(shè)計，還應(yīng)用了基于英特爾架構(gòu)的無線網(wǎng)絡(luò)控制器和支持多SSID的AP。（三）東莞市某職業(yè)院校無線網(wǎng)絡(luò)安全技術(shù)應(yīng)用方案實施下面以東莞市某職業(yè)院校的校園無線網(wǎng)項目為例，詳細地闡述應(yīng)用方案。（1）無線網(wǎng)絡(luò)呈現(xiàn)的問題分析與應(yīng)用解決方案由于存在不同地點的校區(qū)，學(xué)校的教職員工不得不在不同的校區(qū)來回，同時教學(xué)場所也經(jīng)常在各校區(qū)之間變換，這讓校園網(wǎng)絡(luò)出現(xiàn)了難題：①如何讓校園網(wǎng)絡(luò)覆蓋兩個不同位置的校區(qū)？②如何提供無縫的網(wǎng)絡(luò)連接？③如何保證網(wǎng)絡(luò)安全通暢？④如何提高教學(xué)和學(xué)習(xí)效率？針對學(xué)校面臨的以上難題，對無線網(wǎng)絡(luò)應(yīng)用方案確定如下：⑤無線網(wǎng)絡(luò)信號覆蓋兩個不同的校區(qū)。⑥提供無縫的網(wǎng)絡(luò)漫游。⑦保障無線網(wǎng)絡(luò)安全性。⑧提供不同的接入認證方式。（2）無線網(wǎng)絡(luò)技術(shù)應(yīng)用方案的確定為了構(gòu)建一個統(tǒng)一的、易接入的、穩(wěn)定安全的校園無線網(wǎng)絡(luò)環(huán)境，現(xiàn)決定采用以下解決方案：①全面采用筆記本電腦作為無線終端。②采用符合802.11標準的產(chǎn)品，架構(gòu)采用WPA標準。③采用具有多SSID和VLAN特性的AP進行基礎(chǔ)覆蓋。④采用無線網(wǎng)絡(luò)接入控制器。⑤采用無線網(wǎng)絡(luò)管理系統(tǒng)。（3）無線網(wǎng)絡(luò)安全技術(shù)應(yīng)用的實施該方案使得整個校園無線網(wǎng)絡(luò)具有高度可擴展性和可升級性，提出了校園無線網(wǎng)絡(luò)的整體應(yīng)用方案。如圖4.1所示：在無線網(wǎng)絡(luò)方案中，各無線覆蓋區(qū)域的AP就近接到接入層交換機上。因為存在校內(nèi)教師、學(xué)生和校外來訪用戶等不同的無線用戶群，出于不同用戶群對安全性、易用性要求不同的考慮，采取802.1x和WEB認證相結(jié)合的方式來提供用戶身份認證。為了區(qū)分這兩種接入方式并將其分別關(guān)聯(lián)到一個對應(yīng)的VLAN，采用了支持多SSID（Multi-SSID）和802.1qVLAN特性的CiscoAironet1200系列AP。①對于在校內(nèi)的學(xué)生和教師用戶，將采用符合WPA安全架構(gòu)的802.1x標準認證的接入方式，通過的用戶將獲得一個唯一的主密鑰，通過該主密鑰客戶端和負責(zé)接入的AP將根據(jù)TKIP方法動態(tài)生成唯一的加密密鑰。在校園有線網(wǎng)L3分布層交換機上配置VLAN的子接口，利用該子接口作為這個SSID所代表的VLAN的網(wǎng)關(guān)，對其進行路由轉(zhuǎn)發(fā),從而使通過認證的內(nèi)部用戶訪問整個網(wǎng)絡(luò)，但是由于對無線通信進行了動態(tài)加密，保證了校園的敏感數(shù)據(jù)在空中傳輸?shù)陌踩?。②對于用WEB方式認證的校外來訪用戶，連接上無線接入點后，可以通過AC設(shè)備的DHCP服務(wù)或企業(yè)的專用DHCP服務(wù)器獲得IP地址、網(wǎng)關(guān)和DNS信息，無須安裝客戶端軟件，直接利用瀏覽器就可以通過充當RNC設(shè)備進行WEB方式認證，認證通過后就可以接入到Internet。為保證整個園區(qū)網(wǎng)絡(luò)的安全性，對于該SSID接入的用戶必須以無線網(wǎng)絡(luò)控制器（RNC）作為其網(wǎng)關(guān)設(shè)備，L3分布層交換機無須對該SSID所代表的VLAN進行路由轉(zhuǎn)發(fā)。如果這些用戶需要訪問校園內(nèi)部網(wǎng)絡(luò)，可以通過在這一無線網(wǎng)絡(luò)控制器（RNC）設(shè)備上啟用用戶級的策略路由來實現(xiàn)。（四）校園無線網(wǎng)絡(luò)安全技術(shù)應(yīng)用方案總結(jié)（1）安全性高這套無線局域網(wǎng)系統(tǒng)支持符合WPA安全架構(gòu)的802.1x認證方式，借助TKIP技術(shù)動態(tài)生成的數(shù)據(jù)加密密鑰使空中無線數(shù)據(jù)通信如同在一條加密隧道中傳輸，保證了信息傳輸?shù)母甙踩?。?）支持多SSID和VLAN劃分CiscoAironet1200系列AP支持多SSID,每個都可以映射到有線網(wǎng)絡(luò)的一個VLAN,將符合802.1q標準的VLAN延伸到無線網(wǎng)絡(luò)上。（3）利用策略路由進行訪問控制在方案中，將校園無線用戶分成兩類，一是教師用戶，一是學(xué)生用戶。為了讓學(xué)生能通過網(wǎng)絡(luò)與其它院校的師生進行交流，但同時又不想Internet上的垃圾信息和不良網(wǎng)站干擾學(xué)生的生活，那么可以設(shè)置學(xué)生用戶的下一跳路由到CERNET，而教師用戶的下一跳則是路由到Internet出口，從而實現(xiàn)了不同無線用戶群體的訪問需求。（4）流量控制保證用戶帶寬通過RNC的流量控制功能將不同用戶的帶寬按不同需要進行管理，保證某些重要用戶的帶寬暢通，有效防止了帶寬過量占用的拒絕服務(wù)攻擊。（5）AP管理和用戶管理通過RNC的AP管理功能，可以把其所連的AP作為一個網(wǎng)絡(luò)單元進行管理，結(jié)合網(wǎng)管系統(tǒng)還可以將RNC作為SNMP（簡單網(wǎng)絡(luò)管理協(xié)議），對這些AP進行管理。無線網(wǎng)絡(luò)管理員可以通過“Web3.教學(xué)管理制度與考核制度教學(xué)管理工作由院校雙方共同承擔(dān)，遵照共同制定的人才培養(yǎng)方案和教學(xué)計劃開展教學(xué)，學(xué)徒制工作小組定期巡視現(xiàn)場教學(xué)，了解教學(xué)基本情況，收集意見和建議?？己酥贫壬蠈嵭欣碚撜n程考核、專業(yè)核心課程考核和畢業(yè)考核。理論課程的教學(xué)主要在學(xué)校完成，由學(xué)校組織筆試+實踐考核；專業(yè)核心課程主要在合作醫(yī)院完成，由現(xiàn)代學(xué)徒制工作小組組織臨床實踐+技能考核；畢業(yè)考核采用綜合專業(yè)理論筆試+專業(yè)核心能力鑒定+病案報告考核，由現(xiàn)代學(xué)徒制工作小組組織實施。學(xué)生只有通過以上考核才能獲取康復(fù)治療技術(shù)專業(yè)?？飘厴I(yè)證。4.現(xiàn)代學(xué)徒制實施存在的問題現(xiàn)代學(xué)徒制教育是高職院校發(fā)展的基本趨勢，是推動我國職業(yè)教育發(fā)展的有力武器，但目前我國現(xiàn)代學(xué)徒制成功應(yīng)用到衛(wèi)生職業(yè)教育的模式還很少，離醫(yī)教結(jié)合、工學(xué)交替模式還有很大的差距，主要表現(xiàn)在以下幾個問題：（1）法律體制不健全。合理、完善、有效的職業(yè)教育法律法規(guī)是保障學(xué)徒制推行的基本前提，衛(wèi)計委和教育行政部門應(yīng)當充分發(fā)揮宏觀調(diào)控和管理功能，修訂和完善相關(guān)法律法規(guī)，在政策、經(jīng)費上給予充足的保障，充分調(diào)動醫(yī)院、衛(wèi)生行業(yè)的積極性，使醫(yī)院在人才培養(yǎng)意識上具有社會責(zé)任感和使命感。（2）行業(yè)學(xué)會支持力度不夠。行業(yè)協(xié)會應(yīng)對職業(yè)教育充分發(fā)揮其引導(dǎo)和管理作用，一方面積極鼓勵醫(yī)院參與到職業(yè)教育中來，在科研、繼續(xù)教育、職稱晉升等方面給予醫(yī)院兼職教師相關(guān)優(yōu)惠政策。另一方面在人才培養(yǎng)規(guī)格上引導(dǎo)學(xué)校和醫(yī)院結(jié)合康復(fù)治療師的崗位需求與國際標準接軌，不斷更新修訂康復(fù)治療技術(shù)專業(yè)標準、教學(xué)內(nèi)容和執(zhí)業(yè)資格考試標準。（3）雙導(dǎo)師師資力量薄弱。學(xué)校導(dǎo)師應(yīng)定期到醫(yī)院臨床實踐予以相關(guān)的考核和激勵機制，提高學(xué)校導(dǎo)師實踐教學(xué)能力；醫(yī)院導(dǎo)師應(yīng)有計劃的進行職業(yè)教育教學(xué)理念的學(xué)習(xí)、教學(xué)方法執(zhí)教能力的培訓(xùn)，使其具備先進的職業(yè)教育教學(xué)理念和教育教學(xué)方法?，F(xiàn)代學(xué)徒制能讓康復(fù)治療技術(shù)專業(yè)實現(xiàn)符合現(xiàn)代職業(yè)教育理念的產(chǎn)教融合，是目前所提倡的工學(xué)結(jié)合教學(xué)模式的載體和有效實現(xiàn)形式，更是當前發(fā)達國家職業(yè)教育的主導(dǎo)模式。高等院校和相關(guān)醫(yī)院深度合作、雙導(dǎo)師聯(lián)合傳授技能，符合行業(yè)發(fā)展規(guī)律，有利于加速衛(wèi)生事業(yè)的發(fā)展、服務(wù)當?shù)貐^(qū)域經(jīng)濟轉(zhuǎn)型升級。

參考文獻

[1]趙蕾.現(xiàn)代學(xué)徒制對高職高專院校人才培養(yǎng)模式的影響及應(yīng)用研究[J].職業(yè)教育，2015(9):37.

[2]關(guān)晶，石偉平.西方現(xiàn)代學(xué)徒制的特征及啟示[J].職業(yè)技術(shù)教育，2011(31)32:77-79.

篇4

[關(guān)鍵詞]無線網(wǎng)絡(luò)；需求分析；總體設(shè)計

doi：10.3969/j.issn.1673 - 0194.2015.12.186

[中圖分類號]TP393.18 [文獻標識碼]A [文章編號]1673-0194（2015）12-0-01

目前許多高職院校的有線網(wǎng)絡(luò)已經(jīng)基本覆蓋全校，但是一些公共場合比如閱覽室、風(fēng)雨操場等由于人員密集和活動較多，不適用固定的有線網(wǎng)絡(luò)。無線網(wǎng)絡(luò)不受布線的限制，用戶接入方便，可以自由移動，同時隨著大量支持WiFi設(shè)備的出現(xiàn)，在特定的場合需要移動上網(wǎng)。相比而言，無線網(wǎng)絡(luò)有著有線網(wǎng)絡(luò)不可比擬的優(yōu)勢，無線校園網(wǎng)絡(luò)的建設(shè)非常有必要。

1 X高職院校無線網(wǎng)絡(luò)需求分析

校區(qū)全覆蓋的無線校園網(wǎng)項目需要大量的資金投入。本文以X高職院校為例，根據(jù)學(xué)院已有的有線網(wǎng)絡(luò)布局，制定出合理的、有效的無線網(wǎng)絡(luò)規(guī)劃方案。學(xué)院應(yīng)以有線為主，無線為輔，充分利用現(xiàn)有的有線網(wǎng)絡(luò)，在一些公共場所或需要移動上網(wǎng)的地方建設(shè)無線網(wǎng)絡(luò)。對無線網(wǎng)絡(luò)的建設(shè)有以下幾個方面的要求。第一，無線網(wǎng)絡(luò)要在高校投入使用，必須要確保其網(wǎng)絡(luò)系統(tǒng)能夠穩(wěn)定、安全、可靠地運行；第二，對于用戶來說，無線網(wǎng)還應(yīng)該使用簡單；第三，對于學(xué)院網(wǎng)絡(luò)部來說，無線網(wǎng)的組建應(yīng)該容易管理、容易擴展、有明顯的性價比，技術(shù)先進。通過以上措施，使校園無線網(wǎng)不僅為師生提供便捷的網(wǎng)絡(luò)平臺，同時方便有效地管理用戶及網(wǎng)絡(luò)。

2 X高職院校校園無線網(wǎng)絡(luò)總體設(shè)計

2.1 設(shè)計思路

結(jié)合X高職院校的實際情況，采用經(jīng)過國內(nèi)多所高校實踐證明的、技術(shù)可靠且成熟度較高的方案。無線組網(wǎng)方式采用智能無線交換機+智能AP的結(jié)構(gòu)。

智能無線交換機可以對無線接入點進行集中管理。智能無線交換機可以通過發(fā)送AP映像文件的方法監(jiān)視AP的運行狀態(tài)，發(fā)送AP配置；AP向智能無線交換機發(fā)送各種狀態(tài)和認證信息，實現(xiàn)集中管理無線AP。隨著網(wǎng)絡(luò)用戶數(shù)量的不斷增加，為了解決這一問題，可以對設(shè)備進行冗余，在核心上增加交換機數(shù)量，形成可靠架構(gòu)，保證無線管理器更穩(wěn)定運行。

升級接入層交換機為全千兆支持POE供電模塊的交換機，這樣就不需要考慮對AP提供額外的電路架設(shè)，消除了為連接無線接入點等設(shè)備所必須花費的電源布線成本，實現(xiàn)無線接入點的靈活部署。只要保證AP與交換機的距離在100米以內(nèi)，就可利用雙絞線將AP接入到接入層交換機POE端口上，AP從接入層交換機的POE端口獲取電能供應(yīng)。

學(xué)院搭建的無線網(wǎng)絡(luò)應(yīng)該與有線網(wǎng)絡(luò)結(jié)合起來，可接入有線網(wǎng)絡(luò)的認證計費系統(tǒng)和網(wǎng)絡(luò)管理系統(tǒng)進行統(tǒng)一管理，實現(xiàn)有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的兼容和互補。

在無線入侵防御系統(tǒng)（WIPS）中，無線頻譜為無線網(wǎng)絡(luò)正常工作奠定了基礎(chǔ)，確保無線設(shè)備正常運行，保證無線信道通暢無阻，順利發(fā)送用戶上網(wǎng)需求的大量數(shù)據(jù)。與得到網(wǎng)絡(luò)訪問權(quán)限相比，解決無線網(wǎng)絡(luò)安全問題更加困難與復(fù)雜。比如，黑客攻擊網(wǎng)絡(luò)時，一般采取拒絕服務(wù)和虛假接入點兩種方式。所以，需要利用無線入侵防御系統(tǒng)積極檢查和防御這些病毒攻擊?；诮?jīng)濟實用方面考慮，選擇Snort開源軟件解決問題，利用Snort系統(tǒng)檢測黑客的惡意攻擊，防止虛假接入點的建立，從而盡可能阻止黑客攻擊，并發(fā)出警報信號，保障無線系統(tǒng)正常工作，不影響用戶上網(wǎng)的需求。

2.2 核心模塊設(shè)計

如圖1所示便是核心模塊設(shè)計，在原有校園主干網(wǎng)絡(luò)基礎(chǔ)上，增加兩個功能模塊，而其他的連接不改動。首先，增加智能無線交換機設(shè)備一臺，連接到核心交換機上，通過有線網(wǎng)絡(luò)進行通信，管理無線網(wǎng)絡(luò)中的智能AP，包括配置智能AP、相關(guān)配置參數(shù)的修改、射頻智能管理等。其次，在接入層，當有交換機需要部署無線AP時，選擇的端口必須要具有POE功能，通過雙絞線將AP連接到POE端口，這樣，不需要為AP加裝電源，AP從POE端口獲取電能并實現(xiàn)網(wǎng)絡(luò)通信。校園網(wǎng)無線用戶的身份認證，采用現(xiàn)有的認證服務(wù)器，將無線用戶整合到與有線用戶統(tǒng)一的認證系統(tǒng)中。

3 辦公樓WLAN設(shè)計

辦公樓擬采用無線漫游方案，即在保證固定網(wǎng)絡(luò)接入的基礎(chǔ)上，在每個樓層分別安裝2個或3個無線AP，保證移動用戶在任何辦公區(qū)域都能接入校園網(wǎng)絡(luò)，且即使在所有辦公區(qū)域隨意移動也不會脫離校園網(wǎng)絡(luò)。

所有的無線AP通過雙絞線接入到有線骨干網(wǎng)絡(luò)，增加的無線AP使無線信號實現(xiàn)交叉覆蓋，無縫連接了各覆蓋區(qū)域。所有無線設(shè)備使用同一個SSID，接入到同一無線網(wǎng)絡(luò)中，在可用的11個頻道中，選擇3個完全不覆蓋的頻道1、頻道6和頻道11。無線漫游方案的設(shè)計，一方面增加了無線覆蓋范圍，實現(xiàn)整個樓宇的全方位覆蓋，使用戶無論走到哪里，都處于無線網(wǎng)絡(luò)的覆蓋區(qū)域；另一方面，實現(xiàn)眾多無線用戶的負載平衡，確保每個用戶都能順利接入辦公網(wǎng)絡(luò)，不會由于個別無線AP的接入數(shù)量太多而造成擁塞。

主要參考文獻

篇5

兼顧接入安全與穩(wěn)定性

為滿足高校學(xué)生對無線網(wǎng)絡(luò)的使用需求，校園在宿舍、教室、圖書館及食堂等區(qū)域都應(yīng)布設(shè)無線網(wǎng)絡(luò)，做到無死角、無盲區(qū)，同時保證覆蓋區(qū)域內(nèi)信號穩(wěn)定，數(shù)據(jù)業(yè)務(wù)在不同AP間切換無掉線，無明顯延遲。

此外，學(xué)校在確保網(wǎng)絡(luò)覆蓋率和穩(wěn)定性的同時，也要致力于為師生提供安全、智能的移動教學(xué)網(wǎng)絡(luò)，并實現(xiàn)對教師、學(xué)生、訪客三類不同群體的接入控制。目前，很多學(xué)校都采取了利用現(xiàn)有系統(tǒng)對訪問校內(nèi)網(wǎng)的終端免費，訪問互聯(lián)網(wǎng)的終端收費的方式。并希望實現(xiàn)用戶可在按時長或包月兩種計費方式中的自主選擇。據(jù)了解，如Aruba等企業(yè)移動網(wǎng)絡(luò)供應(yīng)商可實現(xiàn)基于用戶身份、設(shè)備類型等多因素結(jié)合的網(wǎng)絡(luò)接入策略控制。具體來說，這種策略對于內(nèi)部教職工，系統(tǒng)可以協(xié)助其自動配置無線客戶端而連接無線網(wǎng)絡(luò)，無需網(wǎng)管人員人為干預(yù)；對于學(xué)生，可以自動識別其智能終端，并根據(jù)不同的智能終端提供不同的認證頁面并下發(fā)不同的訪問控制策略；對于參觀學(xué)習(xí)的外來訪客，系統(tǒng)可以通過自注冊方式讓訪客自助激活無線網(wǎng)絡(luò)賬號，通過自動安全審批流程或者已經(jīng)授權(quán)許可的識別碼后自助服務(wù)，全面保證接入安全性。

合理分配帶寬

校園網(wǎng)用戶經(jīng)常抱怨課堂上網(wǎng)速慢。針對這一問題，應(yīng)考慮分時段劃分網(wǎng)絡(luò)需求，既要滿足白天上課時段的帶寬，又要確保晚間和假日宿舍區(qū)的上網(wǎng)需求。這就統(tǒng)一成一個問題：規(guī)模龐大、網(wǎng)絡(luò)部署密集時，為達到帶寬，如何合情合理進行分配？以人民大學(xué)為例，人大通過采用Aruba高性能移動控制器，來實現(xiàn)對所有控制器及其所有AP的統(tǒng)一監(jiān)測、查看和管理，同時也為制定策略及合理分配流量提供了有效數(shù)據(jù)支撐。Aruba的控制器采取集群模式部署，也就是兩臺控制器同時工作，主控制器用于對整個無線網(wǎng)絡(luò)進行統(tǒng)一配置，并向本地控制器自動同步配置參數(shù)。此外，兩個控制器還互作冗余熱備份。即在任何一臺機器發(fā)生故障時，另外一臺自動接管所有受到該事件影響的無線接入點。

降低網(wǎng)絡(luò)管理成本

篇6

關(guān)鍵詞：無線局域網(wǎng)；瘦AP；移動醫(yī)護平臺

Abstract：Mhealth becomes popular in hospitals due to the development of WLAN technologies.Mhealth platform can improve the efficiency of daily rounds and nursing， and monitor the patients' physiological index.The Affliated Hospital of SouthWest Medical University chooses a wireless solution based on fit AP.On the basis of existing network frames， a wireless network is designed and built.besides， a management scheme is proposed to manage the wireless network.The wireless network has been test and optimized.It is safe and reliable according to medical staff.

Key words：Wireless LAN； Thin AP； Mobile healthcare platform

隨著醫(yī)院信息化的發(fā)展，移動醫(yī)護平臺在醫(yī)院越來越普及。通過移動醫(yī)療平臺，醫(yī)生可以在床旁查閱患者病歷記錄，并實時更新醫(yī)囑，護理人員可以在床旁完成護理操作，或者采集患者生理指標，并實時更新到系統(tǒng)，有效地提高了醫(yī)護人員的工作效率[1]。移動醫(yī)護平臺將成為醫(yī)院信息系統(tǒng)的重要組成部分。無線局域網(wǎng)（WLAN）技術(shù)，適合在高數(shù)據(jù)業(yè)務(wù)的熱點區(qū)域，提供高速接入率、低QoS的接入服務(wù)[2]。隨著WLAN空中接口協(xié)議從802.11a發(fā)展到802.11n，無線覆蓋的范圍和傳輸速率顯著提高，為移動醫(yī)療的實現(xiàn)提供了有效的解決方案。本文基于WLAN技術(shù)，選取了瘦AP的無線解決方案，完成了無線網(wǎng)絡(luò)的設(shè)計與部署，形成了完整的管理方案，搭建測試環(huán)境測試無線網(wǎng)絡(luò)并優(yōu)化，最后在該解決方案的基礎(chǔ)上測試了移動醫(yī)護平臺，并收集整理使用情況。

1 無線網(wǎng)絡(luò)的設(shè)計與部署

我院醫(yī)護人員在使用移動醫(yī)護平臺時，主要功能包括床旁電子病歷查閱，醫(yī)囑查詢與下達，PACS影像查看，輸液與用藥管理，床旁心電監(jiān)護等。無線網(wǎng)絡(luò)要求達到零漫游，零丟包，低延遲，高速率以滿足上述功能。結(jié)合實際使用需求，選取的解決方案參數(shù)，見表1。

1.1無線網(wǎng)絡(luò)的設(shè)計 我院的無線網(wǎng)絡(luò)的部署，是在現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)上完成。在需要部署無線網(wǎng)絡(luò)的外科樓，內(nèi)科樓，腫瘤科，傳染科以及綜合樓等建筑中，垂直子系統(tǒng)采用兩路4芯光纜，分別連接建筑底層的兩臺匯聚交換機，水平子系統(tǒng)使用五類雙絞線，接入到各樓層弱電間交換機。無線網(wǎng)絡(luò)基于802.11n協(xié)議，選取了無線接入POE供電交換機，瘦AP以及超柔饋線。接入無線網(wǎng)絡(luò)之后的網(wǎng)絡(luò)拓撲圖，見圖1。

1.2無線網(wǎng)絡(luò)的部署 POE供電交換機作為接入交換機，連接到樓層的交換機。瘦AP通過超柔饋線，連接到接入交換機上。瘦AP作為無線漫游的基站，下聯(lián)多個智分單元，以片區(qū)為單位，分布在樓層的各個位置。智分單元再通過超柔饋線，將美化天線延伸到各個房間。部署的方案，見圖2。

智分單元可認為是瘦AP的延伸，美化天線是智分單元的延伸。故整個科室的信號都是由瘦AP發(fā)出。醫(yī)護人員在科室內(nèi)部移動時，不會出現(xiàn)漫游的情況。每個病室和走廊上都部署有美化天線，保證信號全覆蓋。

為方便無線網(wǎng)絡(luò)管理，為每棟樓劃分一個VLAN，每個VLAN關(guān)聯(lián)一個SSID，用于移動醫(yī)護平臺業(yè)務(wù)。考慮到擴展不同的業(yè)務(wù)，瘦AP可根據(jù)實際需求，多個SSID，分別對應(yīng)不同的業(yè)務(wù)。我院目前在醫(yī)護人員使用的基礎(chǔ)上，還劃分了單獨的VLAN，用于監(jiān)護儀器的使用。

2 無線網(wǎng)絡(luò)的管理方案

在設(shè)計和部署無線網(wǎng)絡(luò)的同時，我院也形成了一套無線管理的方案，主要包含安全性能管理、信號強度檢測、流量監(jiān)測、故障查找及排除、報表統(tǒng)計。

安全性能管理通過主動防御和被動防御完成。被動防御即給不同樓棟的設(shè)置不同SSID，同時設(shè)置不同的密碼[3]，保證患者的移動終端不能連入無線網(wǎng)絡(luò)。由于密碼比較容易泄露，因此安全性較低。主動防御，即給醫(yī)護人員使用的移動終端設(shè)備，安裝監(jiān)控軟件，通過后臺服務(wù)器檢測連入無線網(wǎng)絡(luò)的設(shè)備，禁止非內(nèi)網(wǎng)用戶接入。同時禁止終端設(shè)備修改接入的SSID和密碼，保證設(shè)備只能在特定的科室環(huán)境中使用。主動防御的安全性較高。

信號強度的檢測和流量檢測，主要通過引入管理軟件來完成。管理軟件基于SNMP協(xié)議，通過無線接入控制器（AC），x取POE接入交換機以及瘦AP的MIB信息庫，獲取當前連入的無線設(shè)備數(shù)目，數(shù)據(jù)流量以及相應(yīng)的信號強度。并且可以根據(jù)科室的實際環(huán)境，制作無線熱圖，實時查看科室各個位置的信號質(zhì)量。

通過AC，可以遠程批量配置上線的瘦AP，根據(jù)不同的使用科室，將瘦AP命名。通過監(jiān)控軟件可以實時監(jiān)控瘦AP的在線狀態(tài)，在瘦AP退服時發(fā)出告警，并記錄日志。還可以通過AC查看瘦AP天線的在線情況，以便在病室出現(xiàn)信號不穩(wěn)定，但瘦AP正常工作時，迅速查找到工作狀態(tài)異常的天線并進行處理。

最后，通過管理軟件，可以記錄瘦AP在一段時間內(nèi)的退服時間，退服率，內(nèi)存使用率，CPU使用率，流量使用情況等數(shù)據(jù)，并形成相應(yīng)的報表，作為無線網(wǎng)絡(luò)后續(xù)調(diào)整和維護的參數(shù)依據(jù)。

3 無線網(wǎng)絡(luò)的測試與優(yōu)化

在部署完成之后，需要對無線網(wǎng)絡(luò)進行測試，保證移動醫(yī)護平臺上線之后正常的使用。測試的項目包括了ping包測試、信號強度測試、FTP上傳和下載測試等。

Ping包測試，通過選取支持802.11n協(xié)議的PDA，在無線網(wǎng)絡(luò)中進行ping包測試，記錄丟包率以及平均ping包延遲。信號強度測試，是通過安裝信號測試軟件，在實際環(huán)境中測試信號強度并記錄，同時對比管理軟件讀取的信號強度。FTP上傳和下載測試，是通過搭建FTP服務(wù)器，在終端設(shè)備上傳輸文件，記錄上傳和下載的平均速度。以我院外科樓肝膽外科為例，測試結(jié)果，見表2。

在測試結(jié)果的基礎(chǔ)上，可通過瘦AP的信道調(diào)整，功率調(diào)整，取消其他無線信號源等手段，對科室無線網(wǎng)絡(luò)環(huán)境進行優(yōu)化。

4 結(jié)論

我院無線網(wǎng)絡(luò)部署和測試完成之后，已投入試用階段?；跓o線網(wǎng)絡(luò)開展了相應(yīng)的移動醫(yī)護業(yè)務(wù)，可滿足醫(yī)護人員的實際使用需求，有效地提高了醫(yī)護人員的工作效率。

參考文獻：

[1]楊宏橋，吳元立，李學(xué)斯，等.移動醫(yī)療技術(shù)的研究與應(yīng)用[J].中國數(shù)字醫(yī)學(xué)，2011 6（11）：49-51.

篇7

關(guān)鍵詞：網(wǎng)絡(luò)安全；無線網(wǎng)絡(luò)；云平臺

DOI：10.16640/ki.37-1222/t.2015.24.108

無線局域網(wǎng)是一種利用無線電波、紅外線、激光燈無線技術(shù)實現(xiàn)主機等終端設(shè)備靈活接入以太網(wǎng)的技術(shù)，是互聯(lián)網(wǎng)技術(shù)和通訊技術(shù)結(jié)合的產(chǎn)物。無線網(wǎng)絡(luò)已經(jīng)悄悄走進各大高校并投入使用，校園網(wǎng)絡(luò)安全是伴隨著無線校園網(wǎng)絡(luò)使用的產(chǎn)物。因此如何保證網(wǎng)絡(luò)安全的問題也隨之提上日程。

無線網(wǎng)絡(luò)是建立在傳統(tǒng)的有線網(wǎng)絡(luò)和無線設(shè)備的基礎(chǔ)上用來擴展網(wǎng)絡(luò)的傳輸方式，無線網(wǎng)絡(luò)一般分為三大類WLAN、WWAN、WPN，這些網(wǎng)絡(luò)的共同點都是利用電磁波接收和發(fā)送網(wǎng)絡(luò)傳輸數(shù)據(jù)。無線網(wǎng)絡(luò)在快捷方便的同時也帶來了安全問題，由于無線網(wǎng)絡(luò)并不是通過某種介質(zhì)來傳遞信息，因此獲取到數(shù)據(jù)的方式可以通過能夠獲取電磁波的設(shè)備，這就為入侵者提供了開發(fā)的環(huán)境，因此安全問題在無線網(wǎng)絡(luò)中顯得尤其重要。

高校是新技術(shù)和高科技體驗的前沿，由于使用者是學(xué)生特點是數(shù)量大、知識程度相對高、對新的事物好奇等特點，使得被網(wǎng)絡(luò)攻擊的頻率增加，在校園無線網(wǎng)絡(luò)的建設(shè)和運營時充分考慮到從使用用戶的特點出發(fā)的安全因素和策略，以保障校園無線網(wǎng)絡(luò)安全、可靠、穩(wěn)定的運行，真正的方便廣大教師和學(xué)生的工作、學(xué)習(xí)和生活。

1 高校無線網(wǎng)絡(luò)安全存在的問題

1.1 網(wǎng)絡(luò)管理的問題

高校無線網(wǎng)絡(luò)最大的用戶就是學(xué)生，建設(shè)無線網(wǎng)絡(luò)的目的是方便老師和學(xué)生使用智能手機、筆記本電腦等設(shè)備隨時訪問網(wǎng)絡(luò)進行學(xué)習(xí)、工作和交流，但是由此對于學(xué)習(xí)也帶來了負面問題，在課堂上很多同學(xué)使用智能手機上網(wǎng)看電影、聽音樂、購物，使課堂變成了游樂場所，學(xué)生變成“低頭一族”，在宿舍很多同學(xué)使用筆記本電腦看電影、打游戲等，而且不注意作息時間嚴重的影響了自己和他人休息，違反了學(xué)校的規(guī)定，另外有的學(xué)生由于社會閱歷淺、沖動，利用網(wǎng)絡(luò)發(fā)表個人的不滿和負面情緒影響和諧和團結(jié)。

1.2 用戶竊聽

高校無線網(wǎng)絡(luò)處于一個開放環(huán)境，很容易通過無線電波截取網(wǎng)絡(luò)數(shù)據(jù)包，并進行分析獲得用戶名、密碼、賬號等個人信息。

1.3 設(shè)備安全性

構(gòu)建無線校園網(wǎng)絡(luò)的主要設(shè)備有AP、交換機、路由器，天氣或者人為原因都可能對設(shè)備造成損失，因此設(shè)備的安裝位置和備份顯得尤為重要。另外不法分子也可能使用增加基站的方式入侵網(wǎng)絡(luò)，帶來網(wǎng)路安全隱患。利用平臺技術(shù)管理和分析設(shè)備使用情況可以提高網(wǎng)絡(luò)安全級別。

1.4 DoS攻擊

無線校園網(wǎng)絡(luò)和有線校園網(wǎng)一樣都會受到病毒攻擊，在無線網(wǎng)絡(luò)中攻擊的目標一般是AP，當黑客一旦發(fā)現(xiàn)AP的IP地址就會發(fā)起DoS攻擊，造成無線網(wǎng)絡(luò)下AP癱瘓。

針對以上問題在解決高校無線網(wǎng)絡(luò)的安全問題上采取在不同層次采取不同的安全策略，提出以下幾種方法：

（1）訪問控制。主要使用的技術(shù)有MAC物理地址過濾，SSID服務(wù)區(qū)標識匹配。

MAC地址即網(wǎng)卡的ID號，每個網(wǎng)卡都一個全世界唯一的ID號，是一個12位的16進制號碼，其中前4位是網(wǎng)卡廠家的代碼，是世界標準化組織統(tǒng)一分配的，后面是網(wǎng)卡代碼。MAC地址過濾是在路由器中有一個過濾表，凡是表中登記的網(wǎng)卡，就可以通過路由器上網(wǎng)（或禁止上網(wǎng)）。在登錄校園無線網(wǎng)時如果某個網(wǎng)卡的ID號碼沒有在路由器中登記，就不能連上，如果有登記記錄既可以使用校園無線網(wǎng)絡(luò)。這就是MAC地址過濾，在路由器設(shè)置中有這樣一項。這一策略在一定程度上防止網(wǎng)絡(luò)被盜用，用讓用戶體驗到移動上網(wǎng)的優(yōu)勢。另外也可以在不同的地方比如教室、會議室、食堂等固定的區(qū)域?qū)ι暇W(wǎng)進行設(shè)置。

SSID （service set identifier）也就是“服務(wù)區(qū)標識符匹配”、“業(yè)務(wù)組標識符”的簡稱，最多可以有32個字符，通俗的說，它就可以比作有線局域網(wǎng)中的“工作組”標識一樣或是無線客戶端與無線路由器之間的一道口令一樣，只有在完全相同的前提下才能讓無線網(wǎng)卡訪問無線路由器，在校園無線網(wǎng)絡(luò)中就可以將校園網(wǎng)劃分為多個WLAN，按照用戶的身份進行管理，這也是保證校園網(wǎng)絡(luò)安全的有效措施。

（2）身份驗證。目前網(wǎng)絡(luò)比較流行的驗證方式是Portal驗證，這種驗證方式操作簡單，通過搜索運營商的AP，打開用戶的瀏覽器會直接彈出登錄頁面，輸入用戶名和密碼后即可使用無線網(wǎng)絡(luò)，但直接使用Portal會給用戶帶來安全風(fēng)險，因此現(xiàn)在主流的使用采取portal加web方式，這種驗證方式主要利用了安全性較強的CHAP式加密認證。

（3）監(jiān)控與跟蹤。傳統(tǒng)的網(wǎng)絡(luò)采用ACL技術(shù)動態(tài)分配網(wǎng)址，缺點是對用戶不能實現(xiàn)精確的跟蹤。校園應(yīng)用要求識別并將網(wǎng)絡(luò)行為更加詳細地進行記錄，以滿足網(wǎng)絡(luò)安全和審查需要。既能夠針對每用戶、每設(shè)備的應(yīng)用識別和跟蹤記錄，也可以監(jiān)控某些關(guān)鍵業(yè)務(wù)的性能。BYOD（Bring Your Own Device）方案提供了基于用戶的狀態(tài)防火墻，能夠識別每個用戶在每個設(shè)備上各種會話狀態(tài)。

無線網(wǎng)絡(luò)技術(shù)積極推動了教學(xué)效果、方便了教師和學(xué)生學(xué)習(xí)和生活，這也是無線技術(shù)走進校園的重要原因，為了更加有效的利用無線網(wǎng)絡(luò)技術(shù)，無線網(wǎng)絡(luò)的安全問題顯得尤為重要，首先從技術(shù)上探索無線網(wǎng)絡(luò)的安全問題，另外無線校園網(wǎng)絡(luò)安全是一個長期的、系統(tǒng)工程，在實現(xiàn)過程中僅僅依靠先進的設(shè)備和技術(shù)不能完全解決問題，還需要合理的設(shè)計、維護和運營以及各個階段的無縫式配合來保證校園無線網(wǎng)絡(luò)安全、無障礙的運行。

參考文獻：

[1]堯有平.校園無線網(wǎng)絡(luò)安全威脅與安全策略研究[J].輕工科技，2013.

[2]李文.高校網(wǎng)絡(luò)安全現(xiàn)存問題及解決對策[J].無線互聯(lián)科技，2013.

篇8

關(guān)鍵詞：無線校園網(wǎng)；可擴展性；可管理型；安全性

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2016）29-0036-02

智慧校園作為目前高校信息化發(fā)展的目標借助了互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算等技術(shù)，將教學(xué)、科研、管理、生活學(xué)習(xí)環(huán)境進行深度融合，讓管理者、教師、學(xué)生能以更加精細和動態(tài)的方式管理學(xué)習(xí)工作和生活的狀態(tài)，最終提升管理、教學(xué)、科研、服務(wù)質(zhì)量。因此如何設(shè)計建設(shè)一個穩(wěn)定、高性能、安全的無線校園網(wǎng)則顯得尤為重要。

1無線方案需求分析

1.1無線覆蓋需求

無線信號應(yīng)該在覆蓋范圍內(nèi)無處不在，但是更多的覆蓋范圍，需要更多的設(shè)備和投資，因此覆蓋范圍和覆蓋程度和實際需求相關(guān)，同時也和無線AP的部署方式相關(guān)。不同場所建筑由于用途不同，結(jié)構(gòu)千差萬別，采用合適的AP部署方式將可以得到最優(yōu)的信號覆蓋。

1.2穩(wěn)定可靠的需求

無線網(wǎng)絡(luò)的傳輸方式和原理導(dǎo)致其穩(wěn)定性和可靠性有天生不足，電磁波非常容易受到各種障礙物、其他同頻率電磁波、相鄰AP甚至天氣的影響，正是如此無線網(wǎng)絡(luò)的設(shè)計重點要考慮如何保障無線網(wǎng)絡(luò)的穩(wěn)定可靠。

1.3無線性能及容量的需求

無線網(wǎng)絡(luò)性能包括了AP吞吐量和用戶的吞吐量兩個方面的因素，AP吞吐量與AP、K端支持的協(xié)議標準和空間流數(shù)量有關(guān)，而用戶吞吐量還和AP接人用戶數(shù)量有關(guān)，設(shè)計無線校園網(wǎng)時不能僅僅考慮信號覆蓋，還要考慮如何保證無線用戶的應(yīng)用能夠流暢運行，無線網(wǎng)絡(luò)不成為性能瓶頸，特別高密度用戶環(huán)境中能夠確保所有并發(fā)用戶的無線性能。

1.4無縫漫游需求

無線用戶通常都會在移動過程中使用網(wǎng)絡(luò)，當終端從一個位置移動到另外一個位置，為了提升用戶的上網(wǎng)體驗，漫游過程中信號不能中斷、網(wǎng)絡(luò)不能中斷。達到無縫漫游、無感知漫游的目的。

1.5易管理需求

無線網(wǎng)絡(luò)的管理除具備有線網(wǎng)絡(luò)管理的部分特征外，還有自己的管理需求，如終端定位需求，怎樣直觀的查看無線信號覆蓋效果進行無線規(guī)劃也成為無線網(wǎng)絡(luò)管理的必備需求。

2無線校園網(wǎng)設(shè)計原則

2.1穩(wěn)定可靠原則

無線網(wǎng)絡(luò)相比有線網(wǎng)絡(luò)在可靠性方面有先天不足，電磁波傳輸更容易受到各種干擾導(dǎo)致網(wǎng)絡(luò)的不可靠，而隨著移動應(yīng)用的發(fā)展，無線網(wǎng)絡(luò)對用戶的重要性越來越高，因此無線網(wǎng)絡(luò)穩(wěn)定可靠更為重要。在設(shè)計無線網(wǎng)絡(luò)時首要考慮盡量減少無線干擾、信號補償、關(guān)鍵部件冗余等措施。

2.2安全性原則

無線網(wǎng)絡(luò)的便利性也導(dǎo)致了其安全風(fēng)險更高，而移動應(yīng)用和智能終端的普及，用戶越來越依賴于無線網(wǎng)絡(luò)，無線網(wǎng)絡(luò)上可以傳輸普通的數(shù)據(jù)，也有用戶的身份信息神州銀行等隱秘性要求很高的數(shù)據(jù)，因此無需網(wǎng)絡(luò)必須具有良好的安全防范措施和密碼保護技術(shù)，靈活方便的權(quán)限設(shè)定和控制機制，使系統(tǒng)具有多種有效手段，防范各種形式對網(wǎng)絡(luò)的非法入侵和內(nèi)部攻擊，以保證網(wǎng)絡(luò)的實體安全、網(wǎng)絡(luò)安全、系統(tǒng)安全和信息安全，有效地保障正常的業(yè)務(wù)活動和防止內(nèi)部信息數(shù)據(jù)不被非法竊取、篡改或泄漏。

2.3高性能原則

無線網(wǎng)絡(luò)是一個競爭性的共享網(wǎng)絡(luò)，用戶數(shù)量越多，單用戶性能越低，而移動應(yīng)用的普及帶來了無線帶寬性能需求的提升，網(wǎng)絡(luò)鏈路和設(shè)備具備足夠高的數(shù)據(jù)轉(zhuǎn)發(fā)能力，保證各種信息的高質(zhì)量無阻塞傳輸；交換系統(tǒng)具有很高的交換容量與多服務(wù)支持的能力，保證網(wǎng)絡(luò)服務(wù)的質(zhì)量。

2.4可擴展性原則

在網(wǎng)絡(luò)規(guī)模不斷發(fā)展的情況下，無線網(wǎng)絡(luò)應(yīng)滿足在不改變主體架構(gòu)與大部分設(shè)備的前提下，平滑實現(xiàn)升級和擴充，降低原有網(wǎng)絡(luò)的硬件投資，并保證擴展后的系統(tǒng)可用性與穩(wěn)定性。預(yù)留AC、AP可升級的能力，為未來無線校園網(wǎng)擴容提供基礎(chǔ)。

3整體方案設(shè)計拓撲

在校園網(wǎng)網(wǎng)絡(luò)中心部署1臺或多臺AC無線控制器，對全校所有無線AP進行統(tǒng)一管理控制，多臺無線控制器可以實現(xiàn)1+1或N+I冗余。在網(wǎng)絡(luò)中心部署有線無線網(wǎng)管系統(tǒng)（現(xiàn)有DCLM網(wǎng)管系統(tǒng)）對全網(wǎng)有線無線設(shè)備進行統(tǒng)一管理。部署統(tǒng)一認證網(wǎng)關(guān)（現(xiàn)有CS16809核心交換機和城市熱點認證計費網(wǎng)關(guān)）來實現(xiàn)有線無線接人用戶統(tǒng)一認證計費與運營管理。所有AP接入到POE交換機或通過POE模塊接入到接入交換機，實現(xiàn)POE遠程供電。在高性能、高密度區(qū)域選擇支持802.11ac協(xié)議的AP產(chǎn)品，可以得到更高的帶寬。

我院校園網(wǎng)采用了經(jīng)典的三層架構(gòu)，即核心層、匯聚層和接入層。校園不同區(qū)域劃分了不同的VLAN和子網(wǎng)。這種架構(gòu)的校園網(wǎng)，AC部署在網(wǎng)絡(luò)中心，各AP在不同區(qū)域有不同的管理地址和用戶地址段，屬于不同的VLAN。AC與AP之間三層連接。這種架構(gòu)有線用戶和無線用戶按同樣的區(qū)域來劃分不同的VLAN和子網(wǎng)。在網(wǎng)絡(luò)中心部署DHCP服務(wù)器和AC控制器為AP和無線用戶分配IP地址，為了實現(xiàn)準入控制，利用AC實現(xiàn)BAS功能，配合DCN DCSM或其他RAIDUS實現(xiàn)POR-TAL認證。

篇9

無線網(wǎng)絡(luò)對于我們已經(jīng)不再陌生了，WiFi、藍牙、WiMax、紅外、3G等各式各樣的無線網(wǎng)絡(luò)信號已經(jīng)無時無刻地環(huán)繞在我們身邊。然而，不論是在企業(yè)網(wǎng)絡(luò)還是在家庭網(wǎng)絡(luò)中，有線仍然是我們?nèi)粘＞W(wǎng)絡(luò)最重要的組成部分。我們以企業(yè)網(wǎng)絡(luò)為例，此前，曾有很多分析報告提出全無線辦公(All Wireless Office)的概念，然而，真正實現(xiàn)全無線辦公的企業(yè)可謂鳳毛麟角。現(xiàn)在，隨著無線技術(shù)的不斷成熟、無線單位成本的不斷下降，以及無線網(wǎng)絡(luò)能夠帶來的諸多便利，這一現(xiàn)象有望在今后得以徹底改變。

All Wireless Off]ce(全無線辦公)

根據(jù)IDC的分析報告顯示，在未來12個月中，企業(yè)采購的IT設(shè)備中，安全防御設(shè)備仍然將以接近30％的比例占據(jù)榜首，但之后的排名出現(xiàn)了很大的變化，無線設(shè)備占用企業(yè)預(yù)算的比例大幅攀升，以接近25％的比例，占據(jù)了榜單的第二位。從研究報告中，我們不難發(fā)現(xiàn)，企業(yè)越來越多地采購無線設(shè)備，其比例甚至大幅超過了有線的基礎(chǔ)設(shè)備，企業(yè)對于無線的需求正在激增。在這種背景下，全無線網(wǎng)絡(luò)辦公成為了企業(yè)想要去實現(xiàn)的。

全無線辦公，顧名思義，就是在企業(yè)環(huán)境中，利用無線網(wǎng)絡(luò)最大程度地替代有線網(wǎng)絡(luò)，甚至徹底將企業(yè)內(nèi)部網(wǎng)進化為無線網(wǎng)絡(luò)。如果實現(xiàn)了這一點，對于企業(yè)而言，將意味著擁有眾多好處。從最直觀的網(wǎng)線的減少到管理維護、安全維護更加方便和可靠，再到可以精確定位每一個無線設(shè)備的位置，這都將為企業(yè)帶來巨大的效率提升。而另一方面，通過無線技術(shù)與統(tǒng)一通信的結(jié)合，企業(yè)的通訊聯(lián)絡(luò)成本也將大幅下降，既能提高效率又能降低成本，怪不得企業(yè)的IT投資大幅傾向于無線設(shè)備。有了這種需求背景，加上不斷成熟的無線設(shè)備和無線安全解決方案，全無線辦公似乎已經(jīng)離我們很近了。

如何組建

無線網(wǎng)絡(luò)相比于有線網(wǎng)絡(luò)，在組建和維護上必然有著很大的不同，企業(yè)向無線遷移的過程中，如何最好地解決這些問題，同時高效平穩(wěn)地組建全無線辦公網(wǎng)絡(luò)?帶著這些問題，我們采訪了Aruba亞太區(qū)技術(shù)顧問吳章銘，Aruba作為全球領(lǐng)先的無線解決方案廠商，我們相信他們對于全無線網(wǎng)絡(luò)的可行性與組建都有獨到的見解。

對于企業(yè)而言，組建全無線辦公網(wǎng)絡(luò)首先會想到的問題就是帶寬問題，很多企業(yè)IT管理人員擔(dān)心，相比于有線網(wǎng)絡(luò)，無線網(wǎng)絡(luò)的帶寬問題將影響企業(yè)的網(wǎng)絡(luò)運營。在談到這個問題時，吳章銘表示，從數(shù)據(jù)上來看，在大部分企業(yè)網(wǎng)絡(luò)中，每一位員工的帶寬占用大約是這樣分配的：VolP大約占到了300Kbps帶寬，視頻帶寬占用大約將近400Kbps，電子郵件、在線文檔和企業(yè)網(wǎng)絡(luò)應(yīng)用程序各占用1Mbps帶寬，也就是說，平均每位員工占用了4Mbps左右的企業(yè)網(wǎng)絡(luò)帶寬。而一個雙頻802.11g無線AP就將提供理論54Mbps，實際也要超過40Mbps的帶寬，也就是1個802.11g的AP就可以保障10位企業(yè)員工的網(wǎng)絡(luò)需求，而這僅僅是802.11g，在去年9月正式的802.11n規(guī)范提供了理論300Mbps，實際超過240Mbps的帶寬。一個AP足以供應(yīng)60位以上員工的辦公需求，不論是在帶寬上，還是在單位端口的接入成本上，相比有線網(wǎng)絡(luò)都有驚人的優(yōu)勢。

在消除了帶寬這個最大的障礙之后，如何實際地部署無線網(wǎng)絡(luò)呢?我們這里以Aruba在臺灣的一家典型企業(yè)客戶為例。企業(yè)可以全面地部署無線網(wǎng)絡(luò)，由于無線網(wǎng)絡(luò)無須部署網(wǎng)線，也不需要端口，因此，企業(yè)的單位終端網(wǎng)絡(luò)成本將大幅下降。

除了這些基礎(chǔ)的應(yīng)用，在談到這個案例時，吳章銘向我們展示了兩個很有趣的概念――手機狗和雙槍俠。所謂“手機狗”，指的是現(xiàn)在的企業(yè)員工需要大量地通過手機來開展企業(yè)業(yè)務(wù)，聽到手機鈴聲就會立即拿起手機應(yīng)答或者拒接，正如同“狗”這種動物，對食物進行的條件反射，手機狗的出現(xiàn)正說明了企業(yè)員工對于手機的依賴性。而“雙槍俠”則是比喻在企業(yè)環(huán)境中，擁有多個手機終端的員工，他們?yōu)榱斯ぷ骱退饺松钜约捌渌矫娴脑颍褂昧硕鄠€手機和手機號碼。手機狗和雙槍俠在企業(yè)中的大規(guī)模出現(xiàn)意味著，在企業(yè)網(wǎng)絡(luò)中，每一個員工都可能擁有多重門號，比如企業(yè)手機號、私人手機號、辦公座機號等等。通過無線網(wǎng)絡(luò)和統(tǒng)一通信系統(tǒng)，這個問題將得到解決。

例如：企業(yè)可以通過整體的無線統(tǒng)一通信解決方案，將手機等終端納入無線統(tǒng)一通信的管理之中，實現(xiàn)在企業(yè)中，每個人有且只有一個單一門號，通過WiFi、手機、座機呼叫固定的號碼，即可與固定的用戶實現(xiàn)交流，而后者也可以以任何一種接入終端來進行應(yīng)答。這樣大大降低企業(yè)的溝通復(fù)雜度與溝通成本。再進一步在更大范圍內(nèi)，企業(yè)可以部署更大規(guī)模的無線網(wǎng)絡(luò)，以實現(xiàn)總部與分支機構(gòu)之間的互聯(lián)互通?？梢哉f，除了全無線辦公網(wǎng)絡(luò)帶來的基礎(chǔ)便捷之外，這些利用無線網(wǎng)絡(luò)構(gòu)建的企業(yè)解決方案也將能夠?qū)崿F(xiàn)有線網(wǎng)絡(luò)平臺下無法實現(xiàn)的問題。

安全的思考

如果要說無線網(wǎng)絡(luò)相比有線網(wǎng)絡(luò)有何最致命的問題，那毫無疑問就是安全問題。由于無線網(wǎng)絡(luò)的信息載體是電磁波，而電磁波具有明顯的溢波現(xiàn)象，同時，無線網(wǎng)絡(luò)的去除網(wǎng)線也為偽造無線AP提供了便捷，相比于有線網(wǎng)絡(luò)更為復(fù)雜的安全威脅成為企業(yè)組建全無線辦公不得不考慮的問題。

吳章銘表示，瘦AP將是解決安全問題的基礎(chǔ)條件。所謂瘦AP是相對于胖AP而言，胖AP指的是集成了全部功能的AP，這些功能包括了加密解密、過濾防護等等，而瘦AP與之對應(yīng)，就是只有無線功能的設(shè)備。在瘦AP環(huán)境下，加密解密以及防火墻等安全措施可以通過一個單獨的安全設(shè)備來實現(xiàn)，除了顯而易見的成本降低之外，提升了AP的性能，還提升了安全性能與安全管理的方便性。在瘦AP環(huán)境下，用戶訪問網(wǎng)絡(luò)的需求通過AP傳遞到AP之后的防火墻上，由防火墻進行統(tǒng)一的身份驗證，并且賦予用戶不同的權(quán)限，這種良好的身份認證以及其他的統(tǒng)一安全管理將有效地規(guī)避大量的安全問題。

當然，無線網(wǎng)絡(luò)也具有有線網(wǎng)絡(luò)無法比擬的一點安全優(yōu)勢，這點體現(xiàn)在對于終端的精確定位上，這個定位是基于物理位置的定位。而不是IP地址。正是由于無線網(wǎng)絡(luò)的數(shù)據(jù)載體為電磁波，因此，在理論上，只要企業(yè)環(huán)境中存在三臺以上不在同一點的無線AP，即可通過三角定位精確地找到終端的位置。而實際上，理論上最小的三臺AP顯然無法滿足要求，越多的AP將能夠越精準地定位到終端的物理位置?？紤]到一般的有定位需求的企業(yè)中，都有大量的AP設(shè)備。因此，實現(xiàn)它技術(shù)上并不困難。有了物理位置的精確定位，在企業(yè)網(wǎng)絡(luò)遭遇安全問題的時候，能更容易找到出現(xiàn)問題的位置，也能夠進行更快的響應(yīng)。

全無線辦公成為可能

篇10

關(guān)鍵詞：無線網(wǎng)絡(luò)；安全威脅；安全技術(shù)；安全措施

無線網(wǎng)絡(luò)的應(yīng)用擴展了網(wǎng)絡(luò)用戶的自由，然而，這種自由同時也帶來了安全性問題。無線網(wǎng)絡(luò)存在哪些安全威脅?采取什么安全對策?我們對上述問題作一簡要論述。

1無線網(wǎng)絡(luò)存在的安全威脅

無線網(wǎng)絡(luò)一般受到的攻擊可分為兩類：一類是關(guān)于網(wǎng)絡(luò)訪問控制、數(shù)據(jù)機密性保護和數(shù)據(jù)完整性保護而進行的攻擊；另一類是基于無線通信網(wǎng)絡(luò)設(shè)計、部署和維護的獨特方式而進行的攻擊。對于第一類攻擊在有線網(wǎng)絡(luò)的環(huán)境下也會發(fā)生?？梢姡瑹o線網(wǎng)絡(luò)的安全性是在傳統(tǒng)有線網(wǎng)絡(luò)的基礎(chǔ)上增加了新的安全性威脅。

1.1有線等價保密機制的弱點

IEEE(InstituteofElectricalandElectronicsEngineers，電氣與電子工程師學(xué)會)制定的802.11標準中，引入WEP(WiredEquivalentPrivacy，有線保密)機制，目的是提供與有線網(wǎng)絡(luò)中功能等效的安全措施，防止出現(xiàn)無線網(wǎng)絡(luò)用戶偶然竊聽的情況出現(xiàn)。然而，WEP最終還是被發(fā)現(xiàn)了存在許多的弱點。

(1)加密算法過于簡單。WEP中的IV(InitializationVector，初始化向量)由于位數(shù)太短和初始化復(fù)位設(shè)計，常常出現(xiàn)重復(fù)使用現(xiàn)象，易于被他人破解密鑰。而對用于進行流加密的RC4算法，在其頭256個字節(jié)數(shù)據(jù)中的密鑰存在弱點，容易被黑客攻破。此外，用于對明文進行完整性校驗的CRC(CyclicRedundancyCheck，循環(huán)冗余校驗)只能確保數(shù)據(jù)正確傳輸，并不能保證其是否被修改，因而也不是安全的校驗碼。

(2)密鑰管理復(fù)雜。802.11標準指出，WEP使用的密鑰需要接受一個外部密鑰管理系統(tǒng)的控制。網(wǎng)絡(luò)的部署者可以通過外部管理系統(tǒng)控制方式減少IV的沖突數(shù)量，使無線網(wǎng)絡(luò)難以被攻破。但由于這種方式的過程非常復(fù)雜，且需要手工進行操作，所以很多網(wǎng)絡(luò)的部署者為了方便，使用缺省的WEP密鑰，從而使黑客對破解密鑰的難度大大減少。

(3)用戶安全意識不強。許多用戶安全意識淡薄，沒有改變?nèi)笔〉呐渲眠x項，而缺省的加密設(shè)置都是比較簡單或脆弱的，經(jīng)不起黑客的攻擊。

1.2進行搜索攻擊

進行搜索也是攻擊無線網(wǎng)絡(luò)的一種方法，現(xiàn)在有很多針對無線網(wǎng)絡(luò)識別與攻擊的技術(shù)和軟件。NetStumbler軟件是第一個被廣泛用來發(fā)現(xiàn)無線網(wǎng)絡(luò)的軟件。很多無線網(wǎng)絡(luò)是不使用加密功能的，或即使加密功能是處于活動狀態(tài)，如果沒有關(guān)閉AP(wirelessAccessPoint，無線基站)廣播信息功能，AP廣播信息中仍然包括許多可以用來推斷出WEP密鑰的明文信息，如網(wǎng)絡(luò)名稱、SSID(SecureSetIdentifier，安全集標識符)等可給黑客提供入侵的條件。

1.3信息泄露威脅

泄露威脅包括竊聽、截取和監(jiān)聽。竊聽是指偷聽流經(jīng)網(wǎng)絡(luò)的計算機通信的電子形式，它是以被動和無法覺察的方式入侵檢測設(shè)備的。即使網(wǎng)絡(luò)不對外廣播網(wǎng)絡(luò)信息，只要能夠發(fā)現(xiàn)任何明文信息，攻擊者仍然可以使用一些網(wǎng)絡(luò)工具，如AiroPeek和TCPDump來監(jiān)聽和分析通信量，從而識別出可以破解的信息。

1.4無線網(wǎng)絡(luò)身份驗證欺騙

欺騙這種攻擊手段是通過騙過網(wǎng)絡(luò)設(shè)備，使得它們錯誤地認為來自它們的連接是網(wǎng)絡(luò)中一個合法的和經(jīng)過同意的機器發(fā)出的。達到欺騙的目的，最簡單的方法是重新定義無線網(wǎng)絡(luò)或網(wǎng)卡的MAC地址。

由于TCP/IP(TransmissionControlProtocol/InternetProtocol，傳輸控制協(xié)議/網(wǎng)際協(xié)議)的設(shè)計原因，幾乎無法防止MAC/IP地址欺騙。只有通過靜態(tài)定義MAC地址表才能防止這種類型的攻擊。但是，因為巨大的管理負擔(dān)，這種方案很少被采用。只有通過智能事件記錄和監(jiān)控日志才可以對付已經(jīng)出現(xiàn)過的欺騙。當試圖連接到網(wǎng)絡(luò)上的時候，簡單地通過讓另外一個節(jié)點重新向AP提交身份驗證請求就可以很容易地欺騙無線網(wǎng)身份驗證。

1.5網(wǎng)絡(luò)接管與篡改

同樣因為TCP/IP設(shè)計的原因，某些欺騙技術(shù)可供攻擊者接管為無線網(wǎng)上其他資源建立的網(wǎng)絡(luò)連接。如果攻擊者接管了某個AP，那么所有來自無線網(wǎng)的通信量都會傳到攻擊者的機器上，包括其他用戶試圖訪問合法網(wǎng)絡(luò)主機時需要使用的密碼和其他信息。欺詐AP可以讓攻擊者從有線網(wǎng)或無線網(wǎng)進行遠程訪問，而且這種攻擊通常不會引起用戶的懷疑，用戶通常是在毫無防范的情況下輸人自己的身份驗證信息，甚至在接到許多SSL錯誤或其他密鑰錯誤的通知之后，仍像是看待自己機器上的錯誤一樣看待它們，這讓攻擊者可以繼續(xù)接管連接，而不容易被別人發(fā)現(xiàn)。

1.6拒絕服務(wù)攻擊

無線信號傳輸?shù)奶匦院蛯ｉT使用擴頻技術(shù)，使得無線網(wǎng)絡(luò)特別容易受到DoS(DenialofService，拒絕服務(wù))攻擊的威脅。拒絕服務(wù)是指攻擊者惡意占用主機或網(wǎng)絡(luò)幾乎所有的資源，使得合法用戶無法獲得這些資源。黑客要造成這類的攻擊：①通過讓不同的設(shè)備使用相同的頻率，從而造成無線頻譜內(nèi)出現(xiàn)沖突；②攻擊者發(fā)送大量非法(或合法)的身份驗證請求；③如果攻擊者接管AP，并且不把通信量傳遞到恰當?shù)哪康牡兀敲此械木W(wǎng)絡(luò)用戶都將無法使用網(wǎng)絡(luò)。無線攻擊者可以利用高性能的方向性天線，從很遠的地方攻擊無線網(wǎng)。已經(jīng)獲得有線網(wǎng)訪問權(quán)的攻擊者，可以通過發(fā)送多達無線AP無法處理的通信量進行攻擊。

1.7用戶設(shè)備安全威脅

由于IEEE802.11標準規(guī)定WEP加密給用戶分配是一個靜態(tài)密鑰，因此只要得到了一塊無線網(wǎng)網(wǎng)卡，攻擊者就可以擁有一個無線網(wǎng)使用的合法MAC地址。也就是說，如果終端用戶的筆記本電腦被盜或丟失，其丟失的不僅僅是電腦本身，還包括設(shè)備上的身份驗證信息，如網(wǎng)絡(luò)的SSID及密鑰。

2無線網(wǎng)絡(luò)采用的安全技術(shù)

采用安全技術(shù)是消除無線網(wǎng)絡(luò)安全威脅的一種有效對策。無線網(wǎng)絡(luò)的安全技術(shù)主要有七種。

2.1擴展頻譜技術(shù)

擴頻技術(shù)是用來進行數(shù)據(jù)保密傳輸，提供通訊安全的一種技術(shù)。擴展頻譜發(fā)送器用一個非常弱的功率信號在一個很寬的頻率范圍內(nèi)發(fā)射出去，與窄帶射頻相反，它將所有的能量集中到一個單一的頻點。

一些無線局域網(wǎng)產(chǎn)品在ISM波段為2.4～2.483GHz范圍內(nèi)傳輸信號，在這個范圍內(nèi)可以得到79個隔離的不同通道，無線信號被發(fā)送到成為隨機序列排列的每一個通道上(例如通道1、18、47、22……)。無線電波每秒鐘變換頻率許多次，將無線信號按順序發(fā)送到每一個通道上，并在每一通道上停留固定的時間，在轉(zhuǎn)換前要覆蓋所有通道。如果不知道在每一通道上停留的時間和跳頻圖案，系統(tǒng)外的站點要接收和譯碼數(shù)據(jù)幾乎是不可能的。使用不同的跳頻圖案、駐留時間和通道數(shù)量可以使相鄰的不相交的幾個無線網(wǎng)絡(luò)之間沒有相互干擾，因而不用擔(dān)心網(wǎng)絡(luò)上的數(shù)據(jù)被其他用戶截獲。

2.2用戶密碼驗證

為了安全，用戶可以在無線網(wǎng)絡(luò)的適配器端使用網(wǎng)絡(luò)密碼控制。這與WindowsNT提供的密碼管理功能類似。由于無線網(wǎng)絡(luò)支持使用筆記本或其他移動設(shè)備的漫游用戶，所以嚴格的密碼策略等于增加一個安全級別，這有助于確保工作站只被授權(quán)用戶使用。

2.3數(shù)據(jù)加密

數(shù)據(jù)加密技術(shù)的核心是借助于硬件或軟件，在數(shù)據(jù)包被發(fā)送之前就加密，只有擁有正確密鑰的工作站才能解密并讀出數(shù)據(jù)。此技術(shù)常用在對數(shù)據(jù)的安全性要求較高的系統(tǒng)中，例如商業(yè)用或軍用的網(wǎng)絡(luò)，能有效地起到保密作用。

此外，如果要求整體的安全保障，比較好的解決辦法也是加密。這種解決方案通常包括在有線網(wǎng)絡(luò)操作系統(tǒng)中或無線局域網(wǎng)設(shè)備的硬件或軟件的可選件中，由制造商提供，另外還可選擇低價格的第三方產(chǎn)品，為用戶提供最好的性能、服務(wù)質(zhì)量和技術(shù)支持。

2.4WEP配置

WEP是IEEE802.11b協(xié)議中最基本的無線安全加密措施，其主要用途包括提供接入控制及防止未授權(quán)用戶訪問網(wǎng)絡(luò)；對數(shù)據(jù)進行加密，防止數(shù)據(jù)被攻擊者竊聽；防止數(shù)據(jù)被攻擊者中途惡意篡改或偽造。此外，WEP還提供認證功能。2.5防止入侵者訪問網(wǎng)絡(luò)資源

這是用一個驗證算法來實現(xiàn)的。在這種算法中，適配器需要證明自己知道當前的密鑰。這和有線網(wǎng)絡(luò)的加密很相似。在這種情況下，入侵者為了將他的工作站和有線LAN連接也必須達到這個前提。

2.6端口訪問控制技術(shù)

端口訪問控制技術(shù)(802.1x)是用于無線局域網(wǎng)的一種增強性網(wǎng)絡(luò)安全解決方案。當無線工作站與AP關(guān)聯(lián)后，是否可以使用AP的服務(wù)要取決于802.1x的認證結(jié)果。如果認證通過，則AP為用戶打開這個邏輯端口，否則不允許用戶上網(wǎng)。802.1x除提供端口訪問控制能力之外，還提供基于用戶的認證系統(tǒng)及計費，特別適合于公司的無線接入解決方案。

2.7使用VPN技術(shù)

VPN(VirtualPrivateNetwork，虛擬專用網(wǎng))是指在一個公共IP網(wǎng)絡(luò)平臺上通過隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性，它不屬于802.11標準定義；但是用戶可以借助VPN來抵抗無線網(wǎng)絡(luò)的不安全因素，同時還可以提供基于RADIUS的用戶認證以及計費。因此，在合適的位置使用VPN服務(wù)是一種能確保安全的遠程訪問方法。

3無線網(wǎng)絡(luò)采取的安全措施

要排除無線網(wǎng)絡(luò)的安全威脅，另一種對策是采取如下八項安全措施。

3.1網(wǎng)絡(luò)整體安全分析

網(wǎng)絡(luò)整體安全分析是要對網(wǎng)絡(luò)可能存的安全威脅進行全面分析。當確定有潛在入侵威脅時，要納入網(wǎng)絡(luò)的規(guī)劃計劃，及時采取措施，排除無線網(wǎng)絡(luò)的安全威脅。

3.2網(wǎng)絡(luò)設(shè)計和結(jié)構(gòu)部署

選擇比較有安全保證的產(chǎn)品來部署網(wǎng)絡(luò)和設(shè)置適合的網(wǎng)絡(luò)結(jié)構(gòu)是確保網(wǎng)絡(luò)安全的前提條件，同時還要做到如下幾點：修改設(shè)備的默認值；把基站看作RAS(RemoteAccessServer，遠程訪問服務(wù)器)；指定專用于無線網(wǎng)絡(luò)的IP協(xié)議；在AP上使用速度最快的、能夠支持的安全功能；考慮天線對授權(quán)用戶和入侵者的影響；在網(wǎng)絡(luò)上，針對全部用戶使用一致的授權(quán)規(guī)則；在不會被輕易損壞的位置部署硬件。

3.3啟用WEP機制

要正確全面使用WEP機制來實現(xiàn)保密目標與共享密鑰認證功能，必須做到五點。一是通過在每幀中加入一個校驗和的做法來保證數(shù)據(jù)的完整性，防止有的攻擊在數(shù)據(jù)流中插入已知文本來試圖破解密鑰流；二是必須在每個客戶端和每個AP上實現(xiàn)WEP才能起作用；三是不使用預(yù)先定義的WEP密鑰，避免使用缺省選項；四是密鑰由用戶來設(shè)定，并且能夠經(jīng)常更改；五是要使用最堅固的WEP版本，并與標準的最新更新版本保持同步。

3.4MAC地址過濾

MAC(MediaAccessController，物理地址)過濾可以降低大量攻擊威脅，對于較大規(guī)模的無線網(wǎng)絡(luò)也是非?？尚械倪x項。一是把MAC過濾器作為第一層保護措施；二是應(yīng)該記錄無線網(wǎng)絡(luò)上使用的每個MAC地址，并配置在AP上，只允許這些地址訪問網(wǎng)絡(luò)，阻止非信任的MAC訪問網(wǎng)絡(luò)；三是可以使用日志記錄產(chǎn)生的錯誤，并定期檢查，判斷是否有人企圖突破安全措施。

3.5進行協(xié)議過濾

協(xié)議過濾是一種降低網(wǎng)絡(luò)安全風(fēng)險的方式，在協(xié)議過濾器上設(shè)置正確適當?shù)膮f(xié)議過濾會給無線網(wǎng)絡(luò)提供一種安全保障。過濾協(xié)議是個相當有效的方法，能夠限制那些企圖通過SNMP(SimpleNetworkManagementProtocol，簡單網(wǎng)絡(luò)管理協(xié)議)訪問無線設(shè)備來修改配置的網(wǎng)絡(luò)用戶，還可以防止使用較大的ICMP協(xié)議(InternetControlMessageProtocol，網(wǎng)際控制報文協(xié)議)數(shù)據(jù)包和其他會用作拒絕服務(wù)攻擊的協(xié)議。

3.6屏蔽SSID廣播

盡管可以很輕易地捕獲RF(RadioFrequency，無線頻率)通信，但是通過防止SSID從AP向外界廣播，就可以克服這個缺點。封閉整個網(wǎng)絡(luò)，避免隨時可能發(fā)生的無效連接。把必要的客戶端配置信息安全地分發(fā)給無線網(wǎng)絡(luò)用戶。

3.7有效管理IP分配方式

分配IP地址有靜態(tài)地址和動態(tài)地址兩種方式，判斷無線網(wǎng)絡(luò)使用哪一個分配IP的方法最適合自己的機構(gòu)，對網(wǎng)絡(luò)的安全至關(guān)重要。靜態(tài)地址可以避免黑客自動獲得IP地址，限制在網(wǎng)絡(luò)上傳遞對設(shè)備的第三層的訪問；而動態(tài)地址可以簡化WLAN的使用，可以降低那些繁重的管理工作。

3.8加強員工管理

加強單位內(nèi)部員工的管理，禁止員工私自安裝AP；規(guī)定員工不得把網(wǎng)絡(luò)設(shè)置信息告訴單位外部人員；禁止設(shè)置P2P的Adhoc網(wǎng)絡(luò)結(jié)構(gòu)；加強員工的學(xué)習(xí)和技術(shù)培訓(xùn)，特別是對網(wǎng)絡(luò)管理人員的業(yè)務(wù)培訓(xùn)。

此外，在布置AP的時候要在單位辦公區(qū)域以外進行檢查，通過調(diào)節(jié)AP天線的角度和發(fā)射功率防止AP的覆蓋范圍超出辦公區(qū)域，同時要加強對單位附近的巡查工作，防止外部人員在單位附近接入網(wǎng)絡(luò)。

參考文獻

[1]鐘章隊.無線局域網(wǎng)[M].北京：科學(xué)出版社，2004.