无线网络管理方案范文
时间:2024-03-05 18:07:15
导语:如何才能写好一篇无线网络管理方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
关键词:无线传感器网络;密钥管理;安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)10-2261-03
Key Management Scheme for Wireless Sensor Network
LIU Ning1,2
(1.School of Computer Science and Engineering, Guilin University of Electronic Technology, Guilin 541004, China; 2.Department of Information & engineering, Liuzhou Vocational & Technical College, Liuzhou 545006, China)
Abstract: Wireless sensor networks used for military target tracking, environmental monitoring, tracking and other aspects of patient condition, when its deployment in a hostile environment, subject to different types of malicious attacks, protect their safety is extremely important. Strictly limited resources of sensor nodes, traditional network security mechanisms do not apply to wireless sensor networks. Protect the security of wireless sensor network is used to encrypt the transmission of data, the article presents and analyzes the type of network for a typical key management scheme.
Key words: wireless sensor network(WSN); key management; security
随着传感器技术、嵌入式技术、无线通信技术和微机电系统(Micro Electro-Mechanical System,简称MEMS)技术的进步,极大地推动了集信息采集、数据处理、无线传输等功能于一体的无线传感器网络(Wireless Sensor Networks,WSN)的发展。WSN以其低成本、低功耗的特点,在军事、环境监测、医疗健康等领域有着广泛的应用,并逐渐深入到人类生活的各个领域。
当无线传感器网络部署在一个敌对的环境中,安全性就显得极为重要,因为它们容易产生不同类型的恶意攻击。例如,敌人可以冒充合法节点窃取网络中的通信数据,或者发送错误的信息给其它节点。为了确保从网络中收集到的数据正确可靠,节点间的数据通信必须进行加密和验证。针对无线传感器网络安全问题的研究有很多方面,但其中最核心、最基本的问题就是密钥管理问题。
1 密钥管理方案的评估指标
无线传感器网络一般受限于计算、通信和存储能力,节点随机部署,以及网络拓扑结构的动态变化,从而使得传感器网络比传统的网络更难抵抗各种攻击。在传统网络中,往往通过分析密钥管理方案所能够提供的安全性来评估一个密钥管理方案的优劣。但是,这在无线传感器网络中都是远远不够的。所以,结合自身的特点和限制,无线传感器网络的密钥管理方案需要具备以下特性[1-2]。
1) 安全性。对于无线传感器网络密钥管理方案,其安全性主要体现在对外部攻击的抵抗能力上,主要指抵抗俘获攻击和复制节点攻击的能力。利用该算法生成的密钥应具备一定的安全强度,不能被网络攻击者轻易破解或者花很小的代价破解。也即是加密后保障数据包的机密性。
2) 连通性。指相邻节点之间直接建立通信密钥的概率。保持足够高的密钥连通概率是无线传感器网络发挥其应有功能的必要条件。密钥信息生成和分发之后,除了孤立节点(无法与网络中其它任何节点进行通信)之外,要保证密钥的全连通或者部分连通。
3) 有效性。对于节点电源能量来说,密钥管理方案必须具有很小的耗电量。对于节点的计算能力来说,传统网络中广泛采用的复杂的加密算法、签名算法都不能很好的应用于无线传感器网络中,需要设计计算更简单的密钥管理方案。对于节点的存储能力来说,不可能在密钥分配时保存过多的密钥信息,那么设计的密钥管理方案必须使每个节点预分配信息尽可能的少。确保传感器节点有足够的存储空间去存储建立安全密钥管理所需要的信息,具有建立共享密钥的处理能力以及在密钥建立阶段所需要的通信能力。
4) 轻量级和低开销。传感器节点主要有三个消耗能量的模块:传感器模块,处理器模块和无线通信模块。其中,通信能耗远远大于计算能耗,数据传输所消耗的能量约占总能耗的97%,有20%消耗在共享密钥发现阶段和会话密钥建立过程中。通常1比特信息传输100m距离耗费的能量相当于执行3000条安全算法(如计算Hash函数,比较密钥ID等)计算指令所消耗的能量。因此,要求密钥管理方案中的节点间通信尽量小,要求节点在传输之前对数据进行预处理,以降低通信量。
5) 可扩展性。无线传感器网络的规模通常达到成千上万个,但由于存储空间受限,密钥管理方案所支持的网络规模通常都有一个门限值,在设计无线传感器网络密钥管理方案时必须允许大量新加入的节点,保障网络是可扩展的。而且,在增强网络的扩展性的同时要尽可能地降低存储开销。
通常情况下,评估WSN密钥管理方案的好坏,主要看此方案所能支持的网络规模、传感器节点的能耗、整个网络的可建立安全通信的连通概率、整个网络的抗攻击能力等。
2 典型密钥管理方案分析
通过总结和调研国内外的文献,本文将现有的无线传感器网络密钥管理方案进行了适当的分类。根据依据不同,主要可以分为四大类:一是按照密钥管理方案所依托的密码基础不同,可分为对称密钥管理和非对称密钥管理;二是按照网络的逻辑结构不同,可分为分布式密钥管理和层次式密钥管理;三是按照网络运行后密钥是否更新,可分为静态密钥管理和动态密钥管理;四是按照网络密钥的链接性情况不同,可分为随机密钥管理与确定密钥管理。这四种分类方法并不是唯一的,也并非将所有的方案都依此划清界限而彼此之间没有交集,同一种密钥管理方案完全可能在不同的分类中重复出现。下面介绍一些典型的密钥管理方案。
2.1 预共享密钥分配方案
SPINS协议[3]是预共享密钥分配方案之一,它由安全网络加密协议SNEP(Security Network Encryption protocol)和广播认证协议μTESLA(micro Timed Efficient Streaming Loss-tolerant Authentication protocol)组成。
SNEP是一个低通信开销的简单高效的安全通信协议,实现了数据认证、数据机密性、完整性、新鲜性保证等功能。它只描述了协议的工作过程,并未规定实际采用的算法,具体算法在实现时可根据需要选择。SNEP采用预共享主密钥的安全引导模型,让每个节点都和基站之间共享一对主密钥,其他密钥从该主密钥派生出来。新鲜性的认证是通信双方共享一个计数器来实现,数据完整性认证通过使用消息认证码来提供。
μTESLA协议是一个高效的广播认证协议,用于实现点到多点的广播认证,其核心思想是推迟公布广播包的加密密钥。基站先广播一个经过密钥Kmac加密的数据包,一段时间后再公布Kmac,这就保证了Kmac公布之前,无人能够得到密钥的任何信息,也无法在广播包得到认证之前伪造正确的广播包。该协议要求基站和节点之间拥有松散的时间同步,即接收者应该知道基站公布密钥的时刻表。μTESLA协议由基站安全初始化、节点加入安全体系和完成数据包的广播认证三个过程组成。
SPINS使用预共享密钥的方式来建立安全连接。其主要通过两种方式建立安全连接:节点之间共享和每个节点与基站之间共享。使用每个节点之间共享一个主密钥,可以在任何一对节点之间建立安全通信,但其抗俘获能力、扩展性都很低,适用于小型网络。在每个节点和基站之间共享一个主密钥,需要节点的存储空间大大降低,但计算和通信都集中在基站,容易成为网络的瓶颈。
2.2 随机密钥预分配方案
目前最常用的随机密钥管理方式是在网络节点布置到目标区域之前,给每个节点预置一部分信息,节点之间采用这些预置信息协商共享密钥。
E-G方案[4]是由Eschenauer和Gligor提出的一种基于概率论和随机图论的密钥预分配方案。其基本思想是:有一个大的密钥池,所有节点都从中随机选取若干密钥构成密钥链,只有密钥链间拥有一对相同密钥的相邻节点才能建立安全通道。该方案包括三个阶段:密钥预分配、共享密钥的发现和路径密钥的建立。
1) 密钥预分配。由密钥生成者生成一个大的密钥池S,密钥池中的每二个密钥都有一个惟一可以识别它的身份ID。在散布节点之前,从密钥池S中随机选出m个密钥分发给每个节点。
2) 共享密钥的发现。节点被布置到目标区域以后,广播自己的身份ID以及所存储的密钥的ID。节点通过共享密钥发现阶段来发现可以建立起安全通信的节点。
3) 路径密钥的建立。经过第2步建立起通信的无线传感器节点已经形成了一个安全连通网络,任意两个节点之间都可以找到一条安全连通路径到达对方,不存在共享密钥的节点间可以通过安全路径上的中间节点协商安全通信密钥。
Q-composite方案[4]是E-G方案的一种增强方案。在E-G方案中,任意两个邻居节点之间只需要有一个共享密钥,这样虽然减少了节点的开销,但是节点抵御外部攻击的能力却大大减弱。为了增加节点的抗攻击能力, Chan等人对E-G方案进行扩展,提出Q-composite随机密钥预分布方案。
Q-composite方案要求两个节点之间至少拥有q个公共密钥才能直接协商建立共享密钥。q值越大网络的抵抗力越强,攻击难度与q呈指数关系。该方案使用两个节点的所有公共密钥的哈希值作为共享密钥。假设两个邻居节点有t个公共密钥(t>q),则共享密钥Kshare=Hash(K1||K2||…||Kt),其中Hash代表某个公开的散列函数。
2.3 层次型LEAP密钥管理方案
2003年,Sencun Zhu等人提出的LEAP[5](Localized encryption and authentication protocol)是一个适用于层次网络的密钥管理协议,为了确保网络的安全总共需要四种类型密钥:每个传感器节点与基站共享的个体密钥(Individual Key),与某一跳邻居节点共享的对密钥(Pairwise Key),多个邻居节点共享的簇密钥(Cluster Key),以及网络中所有节点共享的组密钥(Group Key)。
1) 个体密钥
个体密钥是基站与每个节点之间共享的一个唯一的密钥。节点使用这个密钥来计算发往基站的消息的MAC值,例如在发现异常情况后向基站发送的警告消息。同样地,基站也可以使用该密钥来给网络中的某个节点发送敏感消息。
个体密钥用于保证单个传感器节点与基站的安全通信,这个密钥是在节点布置之前,预置到节点中的。节点u的个体密钥 可用一个伪随机函数f来生成 ,K是密钥生成者用于生成个体密钥的主密钥,密钥生成者只需要存储K,在需要与节点u通信的时候再用伪随机函数计算出它们之间的通信密钥。
2) 对密钥
对密钥是节点与它的一跳邻居节点共享的密钥,可以通过交换其标识符及使用预分配的组密钥和单项散列函数计算得到。对密钥用来建立安全通信,例如节点可以使用对密钥加密它的簇密钥发送给邻居,或者将其采集的数据加密后发送给汇聚节点。对密钥用于加密需要保密的通信信息或者用于源认证,即可以在节点布置之前预置,也可以采用节点布置以后通过相互通信进行协商。
3) 簇密钥
簇密钥是一个节点和其所有邻居共享的密钥,用来加密本簇内的广播信息。例如,路由控制信息,采集的机密数据等。先由簇头产生一个随机密钥作为簇密钥,然后使用与邻居节点的对密钥逐一地对簇密钥加密后发送给对应节点,只有同一簇内的邻居节点才能拥有并用于通信。
网内的数据处理,例如数据融合对于能量的节省十分重要。一个节点在接收到邻居节点发送来的数据后,如果发现与自己采集的数据一样,则可以选择不发送该数据,从而减少了网络的能量消耗。但是这就要求这些消息被一个局部共享的密钥进行加密和认证。因此,LEAP协议给每个节点提供了一个与邻居节点共享的唯一密钥来保证消息的安全性,邻居节点使用同样的密钥来解密和认证消息,该密钥就是簇密钥。
4) 组密钥
组密钥是当基站需要向全网广播消息时使用的,例如,基站广播查询消息、命令等。由于网络中的所有节点共享一个组密钥,从安全的角度出发,当有节点被撤销时必须更新这个密钥,以防被撤销节点还能监听基站与每个节点的广播通信,可采用μTESLA(mieroTimed Effieient Streaming Loss-tolerant Authentication protocol)协议更新网络的组密钥。
2.4 各种方案的优缺点
上述的各种密钥管理方案都在某种程度上解决了一些WSN的安全问题,但是每个方案也都存在着不足之处。
SPINS协议实现了点对点消息的保密性、可认证性、完整性和新鲜性,实现了广播消息的可认证性,但是,该协议节点必须通过基站才能建立安全通信密钥,使得基站成为网络中的瓶颈,可扩展性差,只适合小型网络使用,且不能抵御DOS攻击。
E-G方案是一种随机密钥预分配方案,它使得节点只需存储密钥池中的部分密钥,降低了节点的存储开销,点到点的安全通信信道可以通过共享密钥独立建立,从而减少了对基站的依赖,适用于规模大的网络。但是,该方案基于概率模型,不能保证所有节点是安全连通的。它的安全连通性受到密钥链的长度L和密钥池的大小S等因素的影响。
Q-composite方案要求两个相邻节点至少共享q个密钥才能建立配对密钥,随着共享密钥阀值的增大,攻击者破坏网络安全链路的难度呈指数增大,但是对节点的存储空间的要求也增大。
LEAP协议对网络中不同的消息包使用不同类型的密钥,在密钥的建立过程中有效地减少了通信和能量的消耗,弱化了基站的作用,但是该协议的主要缺陷是对节点的多次部署支持的不是很好,并且网络中的HELLO消息是采用明文的形式发送的,没有进行认证,可能导致节点对无效消息做出回应而浪费节点资源[6]。
3 结论
近几年,无线传感器网络安全已经引起了的广泛关注。本文介绍一些密钥管理方案,在某种程度上,它们能满足无线传感器网络安全的需要。但是,这些密钥管理方案有比较严重的限制,对无线传感器网络的部署环境有一定要求。由于没有任何一种安全组件可以成为攻击点,因此,为了实现系统安全,安全功能必须集成到每一个组件中。下一步的研究工作是如何确保安全功能集成到传感器节点的每一个组件中。
参考文献:
[1] Perrig A, Szewczyk R, Wen V, et al. SPINS: Security Protocol for Sensor Networks[J]. Wireless Networks, 2002,8(5):521-534.
[2] 杨青.无线传感器网络密钥管理方案的研究[D].长沙:湖南大学硕士学位论文,2009.
[3] Perrig A, Szewczyk R, Wen V, et al. Tygar. SPINS: Security Protocol for Sensor Networks[C]. ACM MobiCom, July 2001,189-199.
[4] Chan H, Perrig A, and Song D, Random key Predistribution Schemes for Sensor Networks[C]. In Proceeding of the IEEE Computer Society Symposium on Security and Privacy. Piscataway, USA: IEEE, 2003: 197-213.
[5] Sencun Zhu,Sanjeev,Sushil Jajodia. LEAP: Efficient Security Mechanisms for Large-scale Distributed Sensor Networks [C],Proc. 10th ACM Conf. Computer and Commun.
篇2
关键词:计算机网络 无线网络 网络安全 计费管理
中图分类号: 文献标识码:A文章编号:1007-9416(2010)01-0000-00
1 引言
无线网络在很大程度上突破了传统有线网络的限制,使用户获得了可移动性和方便性。为了弥补有线网的不具备移动功能上的不足,在校园内建设无线网络,能使全校范围内的任何地方,全校师生都能随时随地,方便高效的使用无线网络,并能使建成的无线网具有认证计费功能。
2无线网络的特点分析
与有线网络相比较,无线网络的优点有:灵活性和移动性,便于移动用户随时随地的网络接入;简易性,在办公地点、网络拓扑改变时不用重新布线;故障定位容易,网络出现故障时排除故障较有线网更简便;其它优点,如易扩展,节约建网成本以及充分利用网络资源等。无线网络的缺点有: 抗干扰性差,易受各种障碍特的阻挡和气候环境影响,传输速率不及有线网,安全保密性较差等。在无线网的建设中应充分利用无线网的优点,注重克服其缺点,使建成的无线校园网真正起到有线网的有力补充。
3 无线网络的设计过程
作为一个正常运行的有线校园网,其功能和性能应该较为完善。作为有线网络的补充,无线网络的建设应该以有线网络作为基础。
3.1 现场勘查
无线网络设计的第一个阶段是勘查现场,了解建筑物和周围各种物质的材质,确定WLAN设备的安装位置,在这个过程中,需要熟悉了全校的建筑布局,实地考查所有需要布设无线网络的环境,然后分别对室内和室外需要无线覆盖的地方进行确定:室外需要无线信号覆盖的区域大小,区域地理条件等;室内需要无线服务的地方一般是室内公共场所,如图书馆阅览室、会议室、大型教室等。
3.2 无线标准与设备的选用
现阶段处于主流的应用技术是IEEE802.11g标准,其传输速度最高为54Mbit/s,并且还向下兼容802.11a和802.11b两种标准,因此可以选用了IEEE802.11g标准作为本校园网的实施标准。由于室外和室内的履盖范围以及气候变化有着较大的不同,在进行无线AP的选用时,应该对室内和室外分别选用不同的无线AP。比如,室外AP可以选H3C的室外型大功率WA1208-AGP-AC,室内AP可选用H3C室内大容量WA1208E-DG-AC,这两种AP具有抗干扰能力强、码分多址能力强、高速且可扩展能力强等典型特点,并适用于802.11g和802.11a、802.11b用户共存的环境,这样既可以解决新老无线终端设备兼容性的问题,同时也有足够的扩展空间。
3.3 AP的布置
由于校园无线网络建设一般都是在有线网络的基础上实施的,因此应该采用与有线网的就近接入原则,在每个AP接入点的楼宇内就近布线到设备间,然后通过楼宇内汇聚交换机和核心交换机相连,从而实现和校园网的无缝对接,这样既充分利用了原有线网的资源,又节省了建设基站或购置无线网桥的费用。但针对室外区域,一般都是空间大,地域广,不可能通过一个AP完全覆盖,应该在这些区域布置多个AP接入点构成一套微蜂窝系统,微蜂窝系统应用移动IP技术,使一个用户在多个子网内均可使用同一IP地址,实现不同的AP覆盖区域内任意漫游而网络连接不致中断。并且在AP配置时,为了保证各AP信道所覆盖频段不重叠,防止各AP所发出的信号相互干扰和冲突,应该要求在一个半径为60米以内的区域中,只允许有3个AP,并分别选用1、6、11三个频段不重叠的信道。
3.4 安全设计
由于无线网络的传输方式和物理结构等原因,导致其在安全问题上比有线网络更容易受到威胁,主要表现在信息更容易泄漏、信号更易受到干扰、系统更容易受到入侵以及地址欺骗和会话拦截等等,针对这些不安全因素,在对无线网络进行规划和实施时可以采用了这样一些技术:a、为防止非授权用户的监听和非法访问,可采用128位的WEP加密;b、禁止AP向外广播其SSID,这有利于提高无线网的安全性;c、修改缺省AP密码,由于主流AP的缺省密码己为公众所知,通过修改后可以防上非法用户的闯入;d、针对会议室等一些特定环境,应该设计了更加安全的无线接入方案如设置MAC过滤,以及使用比WEP更安全的加密方式Wi-Fi保护接入(WAP)等。
3.5 认证与计费策略
无线校园网络主要服务于学校的老师和学生,为了防止不合法用户的使用而浪费带宽资源,可采用了基于CAMS的Portal认证方式,在校园有线网的核心骨干层的交换机上挂接MA5200F服务器和Portal认证服务器,在Portal服务器的“IP地址组”组件中增加需要进行认证的无线终端IP地址范围,并在“设备信息”组件中增加Portal接入设备MA5200F的上行接口地址,所有访问外网的报文都重定向至MA5200F服务器,通过MA5200F服务器向Portal 服务器发起认证请求。所有无线上网用户在连入AP时,通过MA5200F服务器中内置的DHCP获得IP地址,然后通过IE访问web/portal server,输入用户名和密码进行认证;认证成功后,开始计时。在计费策略的选择上,考虑到无线网络使用的流动性和不确定性,制定了按时长收费的标准并精确到分钟计费,当通过了CAMS的Portal Server认证服务器认证之后,计费开始,用户下线后停止计费。
3.6 无线网络管理
根据无线网络系统中主要采用的无线设备来选择无线网络管理软件,例如,你所设计的无线网络主要采用了华为公司的无线网络产品,就首先应该考虑了管理的兼容性和针对性,选用华为的QuidView为网络管理系统,这是一个全面基于Web的网络管理解决方案,可以通过自动或手工创建网络拓扑结构图管理整个企业内部网络,支持监视多个设备,利用SNMP协议实现WLAN所有网元的实时监控和管理,包括网络搜索,拓扑发现,批量配置,性能监测、警报追踪和历史数据记录的功能,从而实现一个安全,可靠的无线网络。在采用软件管理的同时,也需要对网络管理人员进行管理知识的培训,加深学校管理人员的安全意识。
4 结语
大学原有的有线校园网建设大多较为完善,各种主要的网络设备,通信线路以及重要的服务器,一般都具有良好的性能。作为有线网络的有力补充,无线网络建设是在有线网络的基础上为进行的。无线校园的建设与使用,己使无线校园网成为未来校园信息化发展的方向。无线校园网络的快速发展与应用,对学校的教学模式、教学理念及教学管理将产生深远的影响。
参考文献
[1] 张俊平.无线网络在校园建设网络中的应用.学术研究.
篇3
关键词:网络设备;SSID;AP;无线网络控制器;VLAN
一无线网络技术简介
无线网络的飞速发展给人们的工作和生活带来了极大的便利。(一)灵活以及廉价。(二)没线缆约束。
二无线网络安全隐患分析
非授权的用户若获得了无线网络的访问权限,将会破坏系统数据,消耗网络带宽,降低网络的性能。
三无线网络安全措施分析
(一)转向企业级加密用户们使用PSK模式进行登录,对每一个用户和会话都是唯一的。(二)确保物理上的安全性一定要保证你的接入点AP远离公众可以接触的地方,最起码应该将其挂到墙上或天花板上。(三)装入侵检测和入侵防御系统这两种系统通常靠一个软件来工作,并且使用户的无线网卡来嗅探无线信号并查找问题。(四)构建无线使用策略正如需要其它网络设备的使用指南一样,你也应当有一套针对无线访问的使用策略。
四东莞市某职业院校无线网络安全技术应用方案
学校对无线网络的需求特征分析上,安全因素被放在了首位。(一)校园无线网络安全问题的提出在当今使用中,大多数校园的无线局域网主要是依靠WEP方式对数据进行加密。其次,如果AP不做任何安全设定,则任何一个符合Wi-Fi的网卡都可以接入网络。另外,黑客还可能会使用MAC欺骗技术入侵网络。下面根据东莞市某职业院校无线网络应用的需求和要达到的目标,整体规划设计出一套适用于东莞市某职业院校的无线安全应用方案。(二)东莞市某职业院校无线网络安全技术应用方案概述该解决方案采用了WPA安全架构的设计,还应用了基于英特尔架构的无线网络控制器和支持多SSID的AP。(三)东莞市某职业院校无线网络安全技术应用方案实施下面以东莞市某职业院校的校园无线网项目为例,详细地阐述应用方案。(1)无线网络呈现的问题分析与应用解决方案由于存在不同地点的校区,学校的教职员工不得不在不同的校区来回,同时教学场所也经常在各校区之间变换,这让校园网络出现了难题:①如何让校园网络覆盖两个不同位置的校区?②如何提供无缝的网络连接?③如何保证网络安全通畅?④如何提高教学和学习效率?针对学校面临的以上难题,对无线网络应用方案确定如下:⑤无线网络信号覆盖两个不同的校区。⑥提供无缝的网络漫游。⑦保障无线网络安全性。⑧提供不同的接入认证方式。(2)无线网络技术应用方案的确定为了构建一个统一的、易接入的、稳定安全的校园无线网络环境,现决定采用以下解决方案:①全面采用笔记本电脑作为无线终端。②采用符合802.11标准的产品,架构采用WPA标准。③采用具有多SSID和VLAN特性的AP进行基础覆盖。④采用无线网络接入控制器。⑤采用无线网络管理系统。(3)无线网络安全技术应用的实施该方案使得整个校园无线网络具有高度可扩展性和可升级性,提出了校园无线网络的整体应用方案。如图4.1所示:在无线网络方案中,各无线覆盖区域的AP就近接到接入层交换机上。因为存在校内教师、学生和校外来访用户等不同的无线用户群,出于不同用户群对安全性、易用性要求不同的考虑,采取802.1x和WEB认证相结合的方式来提供用户身份认证。为了区分这两种接入方式并将其分别关联到一个对应的VLAN,采用了支持多SSID(Multi-SSID)和802.1qVLAN特性的CiscoAironet1200系列AP。①对于在校内的学生和教师用户,将采用符合WPA安全架构的802.1x标准认证的接入方式,通过的用户将获得一个唯一的主密钥,通过该主密钥客户端和负责接入的AP将根据TKIP方法动态生成唯一的加密密钥。在校园有线网L3分布层交换机上配置VLAN的子接口,利用该子接口作为这个SSID所代表的VLAN的网关,对其进行路由转发,从而使通过认证的内部用户访问整个网络,但是由于对无线通信进行了动态加密,保证了校园的敏感数据在空中传输的安全。②对于用WEB方式认证的校外来访用户,连接上无线接入点后,可以通过AC设备的DHCP服务或企业的专用DHCP服务器获得IP地址、网关和DNS信息,无须安装客户端软件,直接利用浏览器就可以通过充当RNC设备进行WEB方式认证,认证通过后就可以接入到Internet。为保证整个园区网络的安全性,对于该SSID接入的用户必须以无线网络控制器(RNC)作为其网关设备,L3分布层交换机无须对该SSID所代表的VLAN进行路由转发。如果这些用户需要访问校园内部网络,可以通过在这一无线网络控制器(RNC)设备上启用用户级的策略路由来实现。(四)校园无线网络安全技术应用方案总结(1)安全性高这套无线局域网系统支持符合WPA安全架构的802.1x认证方式,借助TKIP技术动态生成的数据加密密钥使空中无线数据通信如同在一条加密隧道中传输,保证了信息传输的高安全性。(2)支持多SSID和VLAN划分CiscoAironet1200系列AP支持多SSID,每个都可以映射到有线网络的一个VLAN,将符合802.1q标准的VLAN延伸到无线网络上。(3)利用策略路由进行访问控制在方案中,将校园无线用户分成两类,一是教师用户,一是学生用户。为了让学生能通过网络与其它院校的师生进行交流,但同时又不想Internet上的垃圾信息和不良网站干扰学生的生活,那么可以设置学生用户的下一跳路由到CERNET,而教师用户的下一跳则是路由到Internet出口,从而实现了不同无线用户群体的访问需求。(4)流量控制保证用户带宽通过RNC的流量控制功能将不同用户的带宽按不同需要进行管理,保证某些重要用户的带宽畅通,有效防止了带宽过量占用的拒绝服务攻击。(5)AP管理和用户管理通过RNC的AP管理功能,可以把其所连的AP作为一个网络单元进行管理,结合网管系统还可以将RNC作为SNMP(简单网络管理协议),对这些AP进行管理。无线网络管理员可以通过“Web3.教学管理制度与考核制度教学管理工作由院校双方共同承担,遵照共同制定的人才培养方案和教学计划开展教学,学徒制工作小组定期巡视现场教学,了解教学基本情况,收集意见和建议。考核制度上实行理论课程考核、专业核心课程考核和毕业考核。理论课程的教学主要在学校完成,由学校组织笔试+实践考核;专业核心课程主要在合作医院完成,由现代学徒制工作小组组织临床实践+技能考核;毕业考核采用综合专业理论笔试+专业核心能力鉴定+病案报告考核,由现代学徒制工作小组组织实施。学生只有通过以上考核才能获取康复治疗技术专业专科毕业证。4.现代学徒制实施存在的问题现代学徒制教育是高职院校发展的基本趋势,是推动我国职业教育发展的有力武器,但目前我国现代学徒制成功应用到卫生职业教育的模式还很少,离医教结合、工学交替模式还有很大的差距,主要表现在以下几个问题:(1)法律体制不健全。合理、完善、有效的职业教育法律法规是保障学徒制推行的基本前提,卫计委和教育行政部门应当充分发挥宏观调控和管理功能,修订和完善相关法律法规,在政策、经费上给予充足的保障,充分调动医院、卫生行业的积极性,使医院在人才培养意识上具有社会责任感和使命感。(2)行业学会支持力度不够。行业协会应对职业教育充分发挥其引导和管理作用,一方面积极鼓励医院参与到职业教育中来,在科研、继续教育、职称晋升等方面给予医院兼职教师相关优惠政策。另一方面在人才培养规格上引导学校和医院结合康复治疗师的岗位需求与国际标准接轨,不断更新修订康复治疗技术专业标准、教学内容和执业资格考试标准。(3)双导师师资力量薄弱。学校导师应定期到医院临床实践予以相关的考核和激励机制,提高学校导师实践教学能力;医院导师应有计划的进行职业教育教学理念的学习、教学方法执教能力的培训,使其具备先进的职业教育教学理念和教育教学方法。现代学徒制能让康复治疗技术专业实现符合现代职业教育理念的产教融合,是目前所提倡的工学结合教学模式的载体和有效实现形式,更是当前发达国家职业教育的主导模式。高等院校和相关医院深度合作、双导师联合传授技能,符合行业发展规律,有利于加速卫生事业的发展、服务当地区域经济转型升级。
参考文献
[1]赵蕾.现代学徒制对高职高专院校人才培养模式的影响及应用研究[J].职业教育,2015(9):37.
[2]关晶,石伟平.西方现代学徒制的特征及启示[J].职业技术教育,2011(31)32:77-79.
篇4
[关键词]无线网络;需求分析;总体设计
doi:10.3969/j.issn.1673 - 0194.2015.12.186
[中图分类号]TP393.18 [文献标识码]A [文章编号]1673-0194(2015)12-0-01
目前许多高职院校的有线网络已经基本覆盖全校,但是一些公共场合比如阅览室、风雨操场等由于人员密集和活动较多,不适用固定的有线网络。无线网络不受布线的限制,用户接入方便,可以自由移动,同时随着大量支持WiFi设备的出现,在特定的场合需要移动上网。相比而言,无线网络有着有线网络不可比拟的优势,无线校园网络的建设非常有必要。
1 X高职院校无线网络需求分析
校区全覆盖的无线校园网项目需要大量的资金投入。本文以X高职院校为例,根据学院已有的有线网络布局,制定出合理的、有效的无线网络规划方案。学院应以有线为主,无线为辅,充分利用现有的有线网络,在一些公共场所或需要移动上网的地方建设无线网络。对无线网络的建设有以下几个方面的要求。第一,无线网络要在高校投入使用,必须要确保其网络系统能够稳定、安全、可靠地运行;第二,对于用户来说,无线网还应该使用简单;第三,对于学院网络部来说,无线网的组建应该容易管理、容易扩展、有明显的性价比,技术先进。通过以上措施,使校园无线网不仅为师生提供便捷的网络平台,同时方便有效地管理用户及网络。
2 X高职院校校园无线网络总体设计
2.1 设计思路
结合X高职院校的实际情况,采用经过国内多所高校实践证明的、技术可靠且成熟度较高的方案。无线组网方式采用智能无线交换机+智能AP的结构。
智能无线交换机可以对无线接入点进行集中管理。智能无线交换机可以通过发送AP映像文件的方法监视AP的运行状态,发送AP配置;AP向智能无线交换机发送各种状态和认证信息,实现集中管理无线AP。随着网络用户数量的不断增加,为了解决这一问题,可以对设备进行冗余,在核心上增加交换机数量,形成可靠架构,保证无线管理器更稳定运行。
升级接入层交换机为全千兆支持POE供电模块的交换机,这样就不需要考虑对AP提供额外的电路架设,消除了为连接无线接入点等设备所必须花费的电源布线成本,实现无线接入点的灵活部署。只要保证AP与交换机的距离在100米以内,就可利用双绞线将AP接入到接入层交换机POE端口上,AP从接入层交换机的POE端口获取电能供应。
学院搭建的无线网络应该与有线网络结合起来,可接入有线网络的认证计费系统和网络管理系统进行统一管理,实现有线网络和无线网络的兼容和互补。
在无线入侵防御系统(WIPS)中,无线频谱为无线网络正常工作奠定了基础,确保无线设备正常运行,保证无线信道通畅无阻,顺利发送用户上网需求的大量数据。与得到网络访问权限相比,解决无线网络安全问题更加困难与复杂。比如,黑客攻击网络时,一般采取拒绝服务和虚假接入点两种方式。所以,需要利用无线入侵防御系统积极检查和防御这些病毒攻击。基于经济实用方面考虑,选择Snort开源软件解决问题,利用Snort系统检测黑客的恶意攻击,防止虚假接入点的建立,从而尽可能阻止黑客攻击,并发出警报信号,保障无线系统正常工作,不影响用户上网的需求。
2.2 核心模块设计
如图1所示便是核心模块设计,在原有校园主干网络基础上,增加两个功能模块,而其他的连接不改动。首先,增加智能无线交换机设备一台,连接到核心交换机上,通过有线网络进行通信,管理无线网络中的智能AP,包括配置智能AP、相关配置参数的修改、射频智能管理等。其次,在接入层,当有交换机需要部署无线AP时,选择的端口必须要具有POE功能,通过双绞线将AP连接到POE端口,这样,不需要为AP加装电源,AP从POE端口获取电能并实现网络通信。校园网无线用户的身份认证,采用现有的认证服务器,将无线用户整合到与有线用户统一的认证系统中。
3 办公楼WLAN设计
办公楼拟采用无线漫游方案,即在保证固定网络接入的基础上,在每个楼层分别安装2个或3个无线AP,保证移动用户在任何办公区域都能接入校园网络,且即使在所有办公区域随意移动也不会脱离校园网络。
所有的无线AP通过双绞线接入到有线骨干网络,增加的无线AP使无线信号实现交叉覆盖,无缝连接了各覆盖区域。所有无线设备使用同一个SSID,接入到同一无线网络中,在可用的11个频道中,选择3个完全不覆盖的频道1、频道6和频道11。无线漫游方案的设计,一方面增加了无线覆盖范围,实现整个楼宇的全方位覆盖,使用户无论走到哪里,都处于无线网络的覆盖区域;另一方面,实现众多无线用户的负载平衡,确保每个用户都能顺利接入办公网络,不会由于个别无线AP的接入数量太多而造成拥塞。
主要参考文献
篇5
兼顾接入安全与稳定性
为满足高校学生对无线网络的使用需求,校园在宿舍、教室、图书馆及食堂等区域都应布设无线网络,做到无死角、无盲区,同时保证覆盖区域内信号稳定,数据业务在不同AP间切换无掉线,无明显延迟。
此外,学校在确保网络覆盖率和稳定性的同时,也要致力于为师生提供安全、智能的移动教学网络,并实现对教师、学生、访客三类不同群体的接入控制。目前,很多学校都采取了利用现有系统对访问校内网的终端免费,访问互联网的终端收费的方式。并希望实现用户可在按时长或包月两种计费方式中的自主选择。据了解,如Aruba等企业移动网络供应商可实现基于用户身份、设备类型等多因素结合的网络接入策略控制。具体来说,这种策略对于内部教职工,系统可以协助其自动配置无线客户端而连接无线网络,无需网管人员人为干预;对于学生,可以自动识别其智能终端,并根据不同的智能终端提供不同的认证页面并下发不同的访问控制策略;对于参观学习的外来访客,系统可以通过自注册方式让访客自助激活无线网络账号,通过自动安全审批流程或者已经授权许可的识别码后自助服务,全面保证接入安全性。
合理分配带宽
校园网用户经常抱怨课堂上网速慢。针对这一问题,应考虑分时段划分网络需求,既要满足白天上课时段的带宽,又要确保晚间和假日宿舍区的上网需求。这就统一成一个问题:规模庞大、网络部署密集时,为达到带宽,如何合情合理进行分配?以人民大学为例,人大通过采用Aruba高性能移动控制器,来实现对所有控制器及其所有AP的统一监测、查看和管理,同时也为制定策略及合理分配流量提供了有效数据支撑。Aruba的控制器采取集群模式部署,也就是两台控制器同时工作,主控制器用于对整个无线网络进行统一配置,并向本地控制器自动同步配置参数。此外,两个控制器还互作冗余热备份。即在任何一台机器发生故障时,另外一台自动接管所有受到该事件影响的无线接入点。
降低网络管理成本
篇6
关键词:无线局域网;瘦AP;移动医护平台
Abstract:Mhealth becomes popular in hospitals due to the development of WLAN technologies.Mhealth platform can improve the efficiency of daily rounds and nursing, and monitor the patients' physiological index.The Affliated Hospital of SouthWest Medical University chooses a wireless solution based on fit AP.On the basis of existing network frames, a wireless network is designed and built.besides, a management scheme is proposed to manage the wireless network.The wireless network has been test and optimized.It is safe and reliable according to medical staff.
Key words:Wireless LAN; Thin AP; Mobile healthcare platform
随着医院信息化的发展,移动医护平台在医院越来越普及。通过移动医疗平台,医生可以在床旁查阅患者病历记录,并实时更新医嘱,护理人员可以在床旁完成护理操作,或者采集患者生理指标,并实时更新到系统,有效地提高了医护人员的工作效率[1]。移动医护平台将成为医院信息系统的重要组成部分。无线局域网(WLAN)技术,适合在高数据业务的热点区域,提供高速接入率、低QoS的接入服务[2]。随着WLAN空中接口协议从802.11a发展到802.11n,无线覆盖的范围和传输速率显著提高,为移动医疗的实现提供了有效的解决方案。本文基于WLAN技术,选取了瘦AP的无线解决方案,完成了无线网络的设计与部署,形成了完整的管理方案,搭建测试环境测试无线网络并优化,最后在该解决方案的基础上测试了移动医护平台,并收集整理使用情况。
1 无线网络的设计与部署
我院医护人员在使用移动医护平台时,主要功能包括床旁电子病历查阅,医嘱查询与下达,PACS影像查看,输液与用药管理,床旁心电监护等。无线网络要求达到零漫游,零丢包,低延迟,高速率以满足上述功能。结合实际使用需求,选取的解决方案参数,见表1。
1.1无线网络的设计 我院的无线网络的部署,是在现有网络的基础上完成。在需要部署无线网络的外科楼,内科楼,肿瘤科,传染科以及综合楼等建筑中,垂直子系统采用两路4芯光缆,分别连接建筑底层的两台汇聚交换机,水平子系统使用五类双绞线,接入到各楼层弱电间交换机。无线网络基于802.11n协议,选取了无线接入POE供电交换机,瘦AP以及超柔馈线。接入无线网络之后的网络拓扑图,见图1。
1.2无线网络的部署 POE供电交换机作为接入交换机,连接到楼层的交换机。瘦AP通过超柔馈线,连接到接入交换机上。瘦AP作为无线漫游的基站,下联多个智分单元,以片区为单位,分布在楼层的各个位置。智分单元再通过超柔馈线,将美化天线延伸到各个房间。部署的方案,见图2。
智分单元可认为是瘦AP的延伸,美化天线是智分单元的延伸。故整个科室的信号都是由瘦AP发出。医护人员在科室内部移动时,不会出现漫游的情况。每个病室和走廊上都部署有美化天线,保证信号全覆盖。
为方便无线网络管理,为每栋楼划分一个VLAN,每个VLAN关联一个SSID,用于移动医护平台业务。考虑到扩展不同的业务,瘦AP可根据实际需求,多个SSID,分别对应不同的业务。我院目前在医护人员使用的基础上,还划分了单独的VLAN,用于监护仪器的使用。
2 无线网络的管理方案
在设计和部署无线网络的同时,我院也形成了一套无线管理的方案,主要包含安全性能管理、信号强度检测、流量监测、故障查找及排除、报表统计。
安全性能管理通过主动防御和被动防御完成。被动防御即给不同楼栋的设置不同SSID,同时设置不同的密码[3],保证患者的移动终端不能连入无线网络。由于密码比较容易泄露,因此安全性较低。主动防御,即给医护人员使用的移动终端设备,安装监控软件,通过后台服务器检测连入无线网络的设备,禁止非内网用户接入。同时禁止终端设备修改接入的SSID和密码,保证设备只能在特定的科室环境中使用。主动防御的安全性较高。
信号强度的检测和流量检测,主要通过引入管理软件来完成。管理软件基于SNMP协议,通过无线接入控制器(AC),x取POE接入交换机以及瘦AP的MIB信息库,获取当前连入的无线设备数目,数据流量以及相应的信号强度。并且可以根据科室的实际环境,制作无线热图,实时查看科室各个位置的信号质量。
通过AC,可以远程批量配置上线的瘦AP,根据不同的使用科室,将瘦AP命名。通过监控软件可以实时监控瘦AP的在线状态,在瘦AP退服时发出告警,并记录日志。还可以通过AC查看瘦AP天线的在线情况,以便在病室出现信号不稳定,但瘦AP正常工作时,迅速查找到工作状态异常的天线并进行处理。
最后,通过管理软件,可以记录瘦AP在一段时间内的退服时间,退服率,内存使用率,CPU使用率,流量使用情况等数据,并形成相应的报表,作为无线网络后续调整和维护的参数依据。
3 无线网络的测试与优化
在部署完成之后,需要对无线网络进行测试,保证移动医护平台上线之后正常的使用。测试的项目包括了ping包测试、信号强度测试、FTP上传和下载测试等。
Ping包测试,通过选取支持802.11n协议的PDA,在无线网络中进行ping包测试,记录丢包率以及平均ping包延迟。信号强度测试,是通过安装信号测试软件,在实际环境中测试信号强度并记录,同时对比管理软件读取的信号强度。FTP上传和下载测试,是通过搭建FTP服务器,在终端设备上传输文件,记录上传和下载的平均速度。以我院外科楼肝胆外科为例,测试结果,见表2。
在测试结果的基础上,可通过瘦AP的信道调整,功率调整,取消其他无线信号源等手段,对科室无线网络环境进行优化。
4 结论
我院无线网络部署和测试完成之后,已投入试用阶段。基于无线网络开展了相应的移动医护业务,可满足医护人员的实际使用需求,有效地提高了医护人员的工作效率。
参考文献:
[1]杨宏桥,吴元立,李学斯,等.移动医疗技术的研究与应用[J].中国数字医学,2011 6(11):49-51.
篇7
关键词:网络安全;无线网络;云平台
DOI:10.16640/ki.37-1222/t.2015.24.108
无线局域网是一种利用无线电波、红外线、激光灯无线技术实现主机等终端设备灵活接入以太网的技术,是互联网技术和通讯技术结合的产物。无线网络已经悄悄走进各大高校并投入使用,校园网络安全是伴随着无线校园网络使用的产物。因此如何保证网络安全的问题也随之提上日程。
无线网络是建立在传统的有线网络和无线设备的基础上用来扩展网络的传输方式,无线网络一般分为三大类WLAN、WWAN、WPN,这些网络的共同点都是利用电磁波接收和发送网络传输数据。无线网络在快捷方便的同时也带来了安全问题,由于无线网络并不是通过某种介质来传递信息,因此获取到数据的方式可以通过能够获取电磁波的设备,这就为入侵者提供了开发的环境,因此安全问题在无线网络中显得尤其重要。
高校是新技术和高科技体验的前沿,由于使用者是学生特点是数量大、知识程度相对高、对新的事物好奇等特点,使得被网络攻击的频率增加,在校园无线网络的建设和运营时充分考虑到从使用用户的特点出发的安全因素和策略,以保障校园无线网络安全、可靠、稳定的运行,真正的方便广大教师和学生的工作、学习和生活。
1 高校无线网络安全存在的问题
1.1 网络管理的问题
高校无线网络最大的用户就是学生,建设无线网络的目的是方便老师和学生使用智能手机、笔记本电脑等设备随时访问网络进行学习、工作和交流,但是由此对于学习也带来了负面问题,在课堂上很多同学使用智能手机上网看电影、听音乐、购物,使课堂变成了游乐场所,学生变成“低头一族”,在宿舍很多同学使用笔记本电脑看电影、打游戏等,而且不注意作息时间严重的影响了自己和他人休息,违反了学校的规定,另外有的学生由于社会阅历浅、冲动,利用网络发表个人的不满和负面情绪影响和谐和团结。
1.2 用户窃听
高校无线网络处于一个开放环境,很容易通过无线电波截取网络数据包,并进行分析获得用户名、密码、账号等个人信息。
1.3 设备安全性
构建无线校园网络的主要设备有AP、交换机、路由器,天气或者人为原因都可能对设备造成损失,因此设备的安装位置和备份显得尤为重要。另外不法分子也可能使用增加基站的方式入侵网络,带来网路安全隐患。利用平台技术管理和分析设备使用情况可以提高网络安全级别。
1.4 DoS攻击
无线校园网络和有线校园网一样都会受到病毒攻击,在无线网络中攻击的目标一般是AP,当黑客一旦发现AP的IP地址就会发起DoS攻击,造成无线网络下AP瘫痪。
针对以上问题在解决高校无线网络的安全问题上采取在不同层次采取不同的安全策略,提出以下几种方法:
(1)访问控制。主要使用的技术有MAC物理地址过滤,SSID服务区标识匹配。
MAC地址即网卡的ID号,每个网卡都一个全世界唯一的ID号,是一个12位的16进制号码,其中前4位是网卡厂家的代码,是世界标准化组织统一分配的,后面是网卡代码。MAC地址过滤是在路由器中有一个过滤表,凡是表中登记的网卡,就可以通过路由器上网(或禁止上网)。在登录校园无线网时如果某个网卡的ID号码没有在路由器中登记,就不能连上,如果有登记记录既可以使用校园无线网络。这就是MAC地址过滤,在路由器设置中有这样一项。这一策略在一定程度上防止网络被盗用,用让用户体验到移动上网的优势。另外也可以在不同的地方比如教室、会议室、食堂等固定的区域对上网进行设置。
SSID (service set identifier)也就是“服务区标识符匹配”、“业务组标识符”的简称,最多可以有32个字符,通俗的说,它就可以比作有线局域网中的“工作组”标识一样或是无线客户端与无线路由器之间的一道口令一样,只有在完全相同的前提下才能让无线网卡访问无线路由器,在校园无线网络中就可以将校园网划分为多个WLAN,按照用户的身份进行管理,这也是保证校园网络安全的有效措施。
(2)身份验证。目前网络比较流行的验证方式是Portal验证,这种验证方式操作简单,通过搜索运营商的AP,打开用户的浏览器会直接弹出登录页面,输入用户名和密码后即可使用无线网络,但直接使用Portal会给用户带来安全风险,因此现在主流的使用采取portal加web方式,这种验证方式主要利用了安全性较强的CHAP式加密认证。
(3)监控与跟踪。传统的网络采用ACL技术动态分配网址,缺点是对用户不能实现精确的跟踪。校园应用要求识别并将网络行为更加详细地进行记录,以满足网络安全和审查需要。既能够针对每用户、每设备的应用识别和跟踪记录,也可以监控某些关键业务的性能。BYOD(Bring Your Own Device)方案提供了基于用户的状态防火墙,能够识别每个用户在每个设备上各种会话状态。
无线网络技术积极推动了教学效果、方便了教师和学生学习和生活,这也是无线技术走进校园的重要原因,为了更加有效的利用无线网络技术,无线网络的安全问题显得尤为重要,首先从技术上探索无线网络的安全问题,另外无线校园网络安全是一个长期的、系统工程,在实现过程中仅仅依靠先进的设备和技术不能完全解决问题,还需要合理的设计、维护和运营以及各个阶段的无缝式配合来保证校园无线网络安全、无障碍的运行。
参考文献:
[1]尧有平.校园无线网络安全威胁与安全策略研究[J].轻工科技,2013.
[2]李文.高校网络安全现存问题及解决对策[J].无线互联科技,2013.
篇8
关键词:无线校园网;可扩展性;可管理型;安全性
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)29-0036-02
智慧校园作为目前高校信息化发展的目标借助了互联网、物联网、云计算等技术,将教学、科研、管理、生活学习环境进行深度融合,让管理者、教师、学生能以更加精细和动态的方式管理学习工作和生活的状态,最终提升管理、教学、科研、服务质量。因此如何设计建设一个稳定、高性能、安全的无线校园网则显得尤为重要。
1无线方案需求分析
1.1无线覆盖需求
无线信号应该在覆盖范围内无处不在,但是更多的覆盖范围,需要更多的设备和投资,因此覆盖范围和覆盖程度和实际需求相关,同时也和无线AP的部署方式相关。不同场所建筑由于用途不同,结构千差万别,采用合适的AP部署方式将可以得到最优的信号覆盖。
1.2稳定可靠的需求
无线网络的传输方式和原理导致其稳定性和可靠性有天生不足,电磁波非常容易受到各种障碍物、其他同频率电磁波、相邻AP甚至天气的影响,正是如此无线网络的设计重点要考虑如何保障无线网络的稳定可靠。
1.3无线性能及容量的需求
无线网络性能包括了AP吞吐量和用户的吞吐量两个方面的因素,AP吞吐量与AP、K端支持的协议标准和空间流数量有关,而用户吞吐量还和AP接人用户数量有关,设计无线校园网时不能仅仅考虑信号覆盖,还要考虑如何保证无线用户的应用能够流畅运行,无线网络不成为性能瓶颈,特别高密度用户环境中能够确保所有并发用户的无线性能。
1.4无缝漫游需求
无线用户通常都会在移动过程中使用网络,当终端从一个位置移动到另外一个位置,为了提升用户的上网体验,漫游过程中信号不能中断、网络不能中断。达到无缝漫游、无感知漫游的目的。
1.5易管理需求
无线网络的管理除具备有线网络管理的部分特征外,还有自己的管理需求,如终端定位需求,怎样直观的查看无线信号覆盖效果进行无线规划也成为无线网络管理的必备需求。
2无线校园网设计原则
2.1稳定可靠原则
无线网络相比有线网络在可靠性方面有先天不足,电磁波传输更容易受到各种干扰导致网络的不可靠,而随着移动应用的发展,无线网络对用户的重要性越来越高,因此无线网络稳定可靠更为重要。在设计无线网络时首要考虑尽量减少无线干扰、信号补偿、关键部件冗余等措施。
2.2安全性原则
无线网络的便利性也导致了其安全风险更高,而移动应用和智能终端的普及,用户越来越依赖于无线网络,无线网络上可以传输普通的数据,也有用户的身份信息神州银行等隐秘性要求很高的数据,因此无需网络必须具有良好的安全防范措施和密码保护技术,灵活方便的权限设定和控制机制,使系统具有多种有效手段,防范各种形式对网络的非法入侵和内部攻击,以保证网络的实体安全、网络安全、系统安全和信息安全,有效地保障正常的业务活动和防止内部信息数据不被非法窃取、篡改或泄漏。
2.3高性能原则
无线网络是一个竞争性的共享网络,用户数量越多,单用户性能越低,而移动应用的普及带来了无线带宽性能需求的提升,网络链路和设备具备足够高的数据转发能力,保证各种信息的高质量无阻塞传输;交换系统具有很高的交换容量与多服务支持的能力,保证网络服务的质量。
2.4可扩展性原则
在网络规模不断发展的情况下,无线网络应满足在不改变主体架构与大部分设备的前提下,平滑实现升级和扩充,降低原有网络的硬件投资,并保证扩展后的系统可用性与稳定性。预留AC、AP可升级的能力,为未来无线校园网扩容提供基础。
3整体方案设计拓扑
在校园网网络中心部署1台或多台AC无线控制器,对全校所有无线AP进行统一管理控制,多台无线控制器可以实现1+1或N+I冗余。在网络中心部署有线无线网管系统(现有DCLM网管系统)对全网有线无线设备进行统一管理。部署统一认证网关(现有CS16809核心交换机和城市热点认证计费网关)来实现有线无线接人用户统一认证计费与运营管理。所有AP接入到POE交换机或通过POE模块接入到接入交换机,实现POE远程供电。在高性能、高密度区域选择支持802.11ac协议的AP产品,可以得到更高的带宽。
我院校园网采用了经典的三层架构,即核心层、汇聚层和接入层。校园不同区域划分了不同的VLAN和子网。这种架构的校园网,AC部署在网络中心,各AP在不同区域有不同的管理地址和用户地址段,属于不同的VLAN。AC与AP之间三层连接。这种架构有线用户和无线用户按同样的区域来划分不同的VLAN和子网。在网络中心部署DHCP服务器和AC控制器为AP和无线用户分配IP地址,为了实现准入控制,利用AC实现BAS功能,配合DCN DCSM或其他RAIDUS实现POR-TAL认证。
篇9
无线网络对于我们已经不再陌生了,WiFi、蓝牙、WiMax、红外、3G等各式各样的无线网络信号已经无时无刻地环绕在我们身边。然而,不论是在企业网络还是在家庭网络中,有线仍然是我们日常网络最重要的组成部分。我们以企业网络为例,此前,曾有很多分析报告提出全无线办公(All Wireless Office)的概念,然而,真正实现全无线办公的企业可谓凤毛麟角。现在,随着无线技术的不断成熟、无线单位成本的不断下降,以及无线网络能够带来的诸多便利,这一现象有望在今后得以彻底改变。
All Wireless Off]ce(全无线办公)
根据IDC的分析报告显示,在未来12个月中,企业采购的IT设备中,安全防御设备仍然将以接近30%的比例占据榜首,但之后的排名出现了很大的变化,无线设备占用企业预算的比例大幅攀升,以接近25%的比例,占据了榜单的第二位。从研究报告中,我们不难发现,企业越来越多地采购无线设备,其比例甚至大幅超过了有线的基础设备,企业对于无线的需求正在激增。在这种背景下,全无线网络办公成为了企业想要去实现的。
全无线办公,顾名思义,就是在企业环境中,利用无线网络最大程度地替代有线网络,甚至彻底将企业内部网进化为无线网络。如果实现了这一点,对于企业而言,将意味着拥有众多好处。从最直观的网线的减少到管理维护、安全维护更加方便和可靠,再到可以精确定位每一个无线设备的位置,这都将为企业带来巨大的效率提升。而另一方面,通过无线技术与统一通信的结合,企业的通讯联络成本也将大幅下降,既能提高效率又能降低成本,怪不得企业的IT投资大幅倾向于无线设备。有了这种需求背景,加上不断成熟的无线设备和无线安全解决方案,全无线办公似乎已经离我们很近了。
如何组建
无线网络相比于有线网络,在组建和维护上必然有着很大的不同,企业向无线迁移的过程中,如何最好地解决这些问题,同时高效平稳地组建全无线办公网络?带着这些问题,我们采访了Aruba亚太区技术顾问吴章铭,Aruba作为全球领先的无线解决方案厂商,我们相信他们对于全无线网络的可行性与组建都有独到的见解。
对于企业而言,组建全无线办公网络首先会想到的问题就是带宽问题,很多企业IT管理人员担心,相比于有线网络,无线网络的带宽问题将影响企业的网络运营。在谈到这个问题时,吴章铭表示,从数据上来看,在大部分企业网络中,每一位员工的带宽占用大约是这样分配的:VolP大约占到了300Kbps带宽,视频带宽占用大约将近400Kbps,电子邮件、在线文档和企业网络应用程序各占用1Mbps带宽,也就是说,平均每位员工占用了4Mbps左右的企业网络带宽。而一个双频802.11g无线AP就将提供理论54Mbps,实际也要超过40Mbps的带宽,也就是1个802.11g的AP就可以保障10位企业员工的网络需求,而这仅仅是802.11g,在去年9月正式的802.11n规范提供了理论300Mbps,实际超过240Mbps的带宽。一个AP足以供应60位以上员工的办公需求,不论是在带宽上,还是在单位端口的接入成本上,相比有线网络都有惊人的优势。
在消除了带宽这个最大的障碍之后,如何实际地部署无线网络呢?我们这里以Aruba在台湾的一家典型企业客户为例。企业可以全面地部署无线网络,由于无线网络无须部署网线,也不需要端口,因此,企业的单位终端网络成本将大幅下降。
除了这些基础的应用,在谈到这个案例时,吴章铭向我们展示了两个很有趣的概念――手机狗和双枪侠。所谓“手机狗”,指的是现在的企业员工需要大量地通过手机来开展企业业务,听到手机铃声就会立即拿起手机应答或者拒接,正如同“狗”这种动物,对食物进行的条件反射,手机狗的出现正说明了企业员工对于手机的依赖性。而“双枪侠”则是比喻在企业环境中,拥有多个手机终端的员工,他们为了工作和私人生活以及其他方面的原因,使用了多个手机和手机号码。手机狗和双枪侠在企业中的大规模出现意味着,在企业网络中,每一个员工都可能拥有多重门号,比如企业手机号、私人手机号、办公座机号等等。通过无线网络和统一通信系统,这个问题将得到解决。
例如:企业可以通过整体的无线统一通信解决方案,将手机等终端纳入无线统一通信的管理之中,实现在企业中,每个人有且只有一个单一门号,通过WiFi、手机、座机呼叫固定的号码,即可与固定的用户实现交流,而后者也可以以任何一种接入终端来进行应答。这样大大降低企业的沟通复杂度与沟通成本。再进一步在更大范围内,企业可以部署更大规模的无线网络,以实现总部与分支机构之间的互联互通。可以说,除了全无线办公网络带来的基础便捷之外,这些利用无线网络构建的企业解决方案也将能够实现有线网络平台下无法实现的问题。
安全的思考
如果要说无线网络相比有线网络有何最致命的问题,那毫无疑问就是安全问题。由于无线网络的信息载体是电磁波,而电磁波具有明显的溢波现象,同时,无线网络的去除网线也为伪造无线AP提供了便捷,相比于有线网络更为复杂的安全威胁成为企业组建全无线办公不得不考虑的问题。
吴章铭表示,瘦AP将是解决安全问题的基础条件。所谓瘦AP是相对于胖AP而言,胖AP指的是集成了全部功能的AP,这些功能包括了加密解密、过滤防护等等,而瘦AP与之对应,就是只有无线功能的设备。在瘦AP环境下,加密解密以及防火墙等安全措施可以通过一个单独的安全设备来实现,除了显而易见的成本降低之外,提升了AP的性能,还提升了安全性能与安全管理的方便性。在瘦AP环境下,用户访问网络的需求通过AP传递到AP之后的防火墙上,由防火墙进行统一的身份验证,并且赋予用户不同的权限,这种良好的身份认证以及其他的统一安全管理将有效地规避大量的安全问题。
当然,无线网络也具有有线网络无法比拟的一点安全优势,这点体现在对于终端的精确定位上,这个定位是基于物理位置的定位。而不是IP地址。正是由于无线网络的数据载体为电磁波,因此,在理论上,只要企业环境中存在三台以上不在同一点的无线AP,即可通过三角定位精确地找到终端的位置。而实际上,理论上最小的三台AP显然无法满足要求,越多的AP将能够越精准地定位到终端的物理位置。考虑到一般的有定位需求的企业中,都有大量的AP设备。因此,实现它技术上并不困难。有了物理位置的精确定位,在企业网络遭遇安全问题的时候,能更容易找到出现问题的位置,也能够进行更快的响应。
全无线办公成为可能
篇10
关键词:无线网络;安全威胁;安全技术;安全措施
无线网络的应用扩展了网络用户的自由,然而,这种自由同时也带来了安全性问题。无线网络存在哪些安全威胁?采取什么安全对策?我们对上述问题作一简要论述。
1无线网络存在的安全威胁
无线网络一般受到的攻击可分为两类:一类是关于网络访问控制、数据机密性保护和数据完整性保护而进行的攻击;另一类是基于无线通信网络设计、部署和维护的独特方式而进行的攻击。对于第一类攻击在有线网络的环境下也会发生。可见,无线网络的安全性是在传统有线网络的基础上增加了新的安全性威胁。
1.1有线等价保密机制的弱点
IEEE(InstituteofElectricalandElectronicsEngineers,电气与电子工程师学会)制定的802.11标准中,引入WEP(WiredEquivalentPrivacy,有线保密)机制,目的是提供与有线网络中功能等效的安全措施,防止出现无线网络用户偶然窃听的情况出现。然而,WEP最终还是被发现了存在许多的弱点。
(1)加密算法过于简单。WEP中的IV(InitializationVector,初始化向量)由于位数太短和初始化复位设计,常常出现重复使用现象,易于被他人破解密钥。而对用于进行流加密的RC4算法,在其头256个字节数据中的密钥存在弱点,容易被黑客攻破。此外,用于对明文进行完整性校验的CRC(CyclicRedundancyCheck,循环冗余校验)只能确保数据正确传输,并不能保证其是否被修改,因而也不是安全的校验码。
(2)密钥管理复杂。802.11标准指出,WEP使用的密钥需要接受一个外部密钥管理系统的控制。网络的部署者可以通过外部管理系统控制方式减少IV的冲突数量,使无线网络难以被攻破。但由于这种方式的过程非常复杂,且需要手工进行操作,所以很多网络的部署者为了方便,使用缺省的WEP密钥,从而使黑客对破解密钥的难度大大减少。
(3)用户安全意识不强。许多用户安全意识淡薄,没有改变缺省的配置选项,而缺省的加密设置都是比较简单或脆弱的,经不起黑客的攻击。
1.2进行搜索攻击
进行搜索也是攻击无线网络的一种方法,现在有很多针对无线网络识别与攻击的技术和软件。NetStumbler软件是第一个被广泛用来发现无线网络的软件。很多无线网络是不使用加密功能的,或即使加密功能是处于活动状态,如果没有关闭AP(wirelessAccessPoint,无线基站)广播信息功能,AP广播信息中仍然包括许多可以用来推断出WEP密钥的明文信息,如网络名称、SSID(SecureSetIdentifier,安全集标识符)等可给黑客提供入侵的条件。
1.3信息泄露威胁
泄露威胁包括窃听、截取和监听。窃听是指偷听流经网络的计算机通信的电子形式,它是以被动和无法觉察的方式入侵检测设备的。即使网络不对外广播网络信息,只要能够发现任何明文信息,攻击者仍然可以使用一些网络工具,如AiroPeek和TCPDump来监听和分析通信量,从而识别出可以破解的信息。
1.4无线网络身份验证欺骗
欺骗这种攻击手段是通过骗过网络设备,使得它们错误地认为来自它们的连接是网络中一个合法的和经过同意的机器发出的。达到欺骗的目的,最简单的方法是重新定义无线网络或网卡的MAC地址。
由于TCP/IP(TransmissionControlProtocol/InternetProtocol,传输控制协议/网际协议)的设计原因,几乎无法防止MAC/IP地址欺骗。只有通过静态定义MAC地址表才能防止这种类型的攻击。但是,因为巨大的管理负担,这种方案很少被采用。只有通过智能事件记录和监控日志才可以对付已经出现过的欺骗。当试图连接到网络上的时候,简单地通过让另外一个节点重新向AP提交身份验证请求就可以很容易地欺骗无线网身份验证。
1.5网络接管与篡改
同样因为TCP/IP设计的原因,某些欺骗技术可供攻击者接管为无线网上其他资源建立的网络连接。如果攻击者接管了某个AP,那么所有来自无线网的通信量都会传到攻击者的机器上,包括其他用户试图访问合法网络主机时需要使用的密码和其他信息。欺诈AP可以让攻击者从有线网或无线网进行远程访问,而且这种攻击通常不会引起用户的怀疑,用户通常是在毫无防范的情况下输人自己的身份验证信息,甚至在接到许多SSL错误或其他密钥错误的通知之后,仍像是看待自己机器上的错误一样看待它们,这让攻击者可以继续接管连接,而不容易被别人发现。
1.6拒绝服务攻击
无线信号传输的特性和专门使用扩频技术,使得无线网络特别容易受到DoS(DenialofService,拒绝服务)攻击的威胁。拒绝服务是指攻击者恶意占用主机或网络几乎所有的资源,使得合法用户无法获得这些资源。黑客要造成这类的攻击:①通过让不同的设备使用相同的频率,从而造成无线频谱内出现冲突;②攻击者发送大量非法(或合法)的身份验证请求;③如果攻击者接管AP,并且不把通信量传递到恰当的目的地,那么所有的网络用户都将无法使用网络。无线攻击者可以利用高性能的方向性天线,从很远的地方攻击无线网。已经获得有线网访问权的攻击者,可以通过发送多达无线AP无法处理的通信量进行攻击。
1.7用户设备安全威胁
由于IEEE802.11标准规定WEP加密给用户分配是一个静态密钥,因此只要得到了一块无线网网卡,攻击者就可以拥有一个无线网使用的合法MAC地址。也就是说,如果终端用户的笔记本电脑被盗或丢失,其丢失的不仅仅是电脑本身,还包括设备上的身份验证信息,如网络的SSID及密钥。
2无线网络采用的安全技术
采用安全技术是消除无线网络安全威胁的一种有效对策。无线网络的安全技术主要有七种。
2.1扩展频谱技术
扩频技术是用来进行数据保密传输,提供通讯安全的一种技术。扩展频谱发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去,与窄带射频相反,它将所有的能量集中到一个单一的频点。
一些无线局域网产品在ISM波段为2.4~2.483GHz范围内传输信号,在这个范围内可以得到79个隔离的不同通道,无线信号被发送到成为随机序列排列的每一个通道上(例如通道1、18、47、22……)。无线电波每秒钟变换频率许多次,将无线信号按顺序发送到每一个通道上,并在每一通道上停留固定的时间,在转换前要覆盖所有通道。如果不知道在每一通道上停留的时间和跳频图案,系统外的站点要接收和译码数据几乎是不可能的。使用不同的跳频图案、驻留时间和通道数量可以使相邻的不相交的几个无线网络之间没有相互干扰,因而不用担心网络上的数据被其他用户截获。
2.2用户密码验证
为了安全,用户可以在无线网络的适配器端使用网络密码控制。这与WindowsNT提供的密码管理功能类似。由于无线网络支持使用笔记本或其他移动设备的漫游用户,所以严格的密码策略等于增加一个安全级别,这有助于确保工作站只被授权用户使用。
2.3数据加密
数据加密技术的核心是借助于硬件或软件,在数据包被发送之前就加密,只有拥有正确密钥的工作站才能解密并读出数据。此技术常用在对数据的安全性要求较高的系统中,例如商业用或军用的网络,能有效地起到保密作用。
此外,如果要求整体的安全保障,比较好的解决办法也是加密。这种解决方案通常包括在有线网络操作系统中或无线局域网设备的硬件或软件的可选件中,由制造商提供,另外还可选择低价格的第三方产品,为用户提供最好的性能、服务质量和技术支持。
2.4WEP配置
WEP是IEEE802.11b协议中最基本的无线安全加密措施,其主要用途包括提供接入控制及防止未授权用户访问网络;对数据进行加密,防止数据被攻击者窃听;防止数据被攻击者中途恶意篡改或伪造。此外,WEP还提供认证功能。2.5防止入侵者访问网络资源
这是用一个验证算法来实现的。在这种算法中,适配器需要证明自己知道当前的密钥。这和有线网络的加密很相似。在这种情况下,入侵者为了将他的工作站和有线LAN连接也必须达到这个前提。
2.6端口访问控制技术
端口访问控制技术(802.1x)是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为用户打开这个逻辑端口,否则不允许用户上网。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公司的无线接入解决方案。
2.7使用VPN技术
VPN(VirtualPrivateNetwork,虚拟专用网)是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,它不属于802.11标准定义;但是用户可以借助VPN来抵抗无线网络的不安全因素,同时还可以提供基于RADIUS的用户认证以及计费。因此,在合适的位置使用VPN服务是一种能确保安全的远程访问方法。
3无线网络采取的安全措施
要排除无线网络的安全威胁,另一种对策是采取如下八项安全措施。
3.1网络整体安全分析
网络整体安全分析是要对网络可能存的安全威胁进行全面分析。当确定有潜在入侵威胁时,要纳入网络的规划计划,及时采取措施,排除无线网络的安全威胁。
3.2网络设计和结构部署
选择比较有安全保证的产品来部署网络和设置适合的网络结构是确保网络安全的前提条件,同时还要做到如下几点:修改设备的默认值;把基站看作RAS(RemoteAccessServer,远程访问服务器);指定专用于无线网络的IP协议;在AP上使用速度最快的、能够支持的安全功能;考虑天线对授权用户和入侵者的影响;在网络上,针对全部用户使用一致的授权规则;在不会被轻易损坏的位置部署硬件。
3.3启用WEP机制
要正确全面使用WEP机制来实现保密目标与共享密钥认证功能,必须做到五点。一是通过在每帧中加入一个校验和的做法来保证数据的完整性,防止有的攻击在数据流中插入已知文本来试图破解密钥流;二是必须在每个客户端和每个AP上实现WEP才能起作用;三是不使用预先定义的WEP密钥,避免使用缺省选项;四是密钥由用户来设定,并且能够经常更改;五是要使用最坚固的WEP版本,并与标准的最新更新版本保持同步。
3.4MAC地址过滤
MAC(MediaAccessController,物理地址)过滤可以降低大量攻击威胁,对于较大规模的无线网络也是非常可行的选项。一是把MAC过滤器作为第一层保护措施;二是应该记录无线网络上使用的每个MAC地址,并配置在AP上,只允许这些地址访问网络,阻止非信任的MAC访问网络;三是可以使用日志记录产生的错误,并定期检查,判断是否有人企图突破安全措施。
3.5进行协议过滤
协议过滤是一种降低网络安全风险的方式,在协议过滤器上设置正确适当的协议过滤会给无线网络提供一种安全保障。过滤协议是个相当有效的方法,能够限制那些企图通过SNMP(SimpleNetworkManagementProtocol,简单网络管理协议)访问无线设备来修改配置的网络用户,还可以防止使用较大的ICMP协议(InternetControlMessageProtocol,网际控制报文协议)数据包和其他会用作拒绝服务攻击的协议。
3.6屏蔽SSID广播
尽管可以很轻易地捕获RF(RadioFrequency,无线频率)通信,但是通过防止SSID从AP向外界广播,就可以克服这个缺点。封闭整个网络,避免随时可能发生的无效连接。把必要的客户端配置信息安全地分发给无线网络用户。
3.7有效管理IP分配方式
分配IP地址有静态地址和动态地址两种方式,判断无线网络使用哪一个分配IP的方法最适合自己的机构,对网络的安全至关重要。静态地址可以避免黑客自动获得IP地址,限制在网络上传递对设备的第三层的访问;而动态地址可以简化WLAN的使用,可以降低那些繁重的管理工作。
3.8加强员工管理
加强单位内部员工的管理,禁止员工私自安装AP;规定员工不得把网络设置信息告诉单位外部人员;禁止设置P2P的Adhoc网络结构;加强员工的学习和技术培训,特别是对网络管理人员的业务培训。
此外,在布置AP的时候要在单位办公区域以外进行检查,通过调节AP天线的角度和发射功率防止AP的覆盖范围超出办公区域,同时要加强对单位附近的巡查工作,防止外部人员在单位附近接入网络。
参考文献
[1]钟章队.无线局域网[M].北京:科学出版社,2004.
