发布时间:2023-03-23 15:12:58
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的无线网络技术论文样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
一、无线网络概述
无线网络技术涵盖的范围很广,既包括允许用户建立远距离无线连接的全球语音和数据网络,也包括为近距离无线连接进行优化的红外线技术及射频技术。通常用于无线网络的设备包括便携式计算机、台式计算机、手持计算机、个人数字助理(PDA)、移动电话、笔式计算机和寻呼机。无线技术用于多种实际用途。例如,手机用户可以使用移动电话查看电子邮件。使用便携式计算机的旅客可以通过安装在机场、火车站和其他公共场所的基站连接到Internet。在家中,用户可以连接桌面设备来同步数据和发送文件。
二、无线网络的标准
为了解决各种无线网络设备互连的问题,美国电机电子工程师协会(IEEE)推出了IEEE802.11无线协议标注。目前802.11主要有802.11b、802.11a、802.11g三个标准。最开始推出的是802,11b,它的传输速度为lIMB/s,最大距离室外300米,室内约50米。因为它的连接速度比较低,随后推出了802.11a标准,它的连接速度可达54MB/s。但由于两者不互相兼容,致使一些早已购买802.11b标准的无线网络设备在新的802,11a网络中不能用,所以IEEE又正式推出了完全兼容802.11b标准且与802.11a速率上兼容的802.11g标准,这样通过802.11g,原有的802.11b和802.11a两种标准的设备就可以在同一网络中使用。IEEE802.11g同802.11b一样,也工作在2.4GHz频段内,比现在通用的802.11b速度要快出5倍,并且与802,11完全兼容,在选购设备时建议弄清是否支持该协议标准。选择适合自己的,802.11g标准现在已经开始普及。
三、无线网络类型
(一)无线广域网(WWAN)。无限广域网技术可使用户通过远程公用网络或专用网络建立无线网络连接。通过使用由无线服务提供商负责维护的若干天线基站或卫星系统,这些连接可以覆盖广大的地理区域,例如若干城市或者国家(地区)。目前的WWAN技术被称为第二代(2G)系统。2G系统主要包括移动通信全球系统(GSM)、蜂窝式数字分组数据(CDPD)和码分多址(CDMA)。现在正努力从2G网络向第三代(3G)技术过渡。一些2G网络限制了漫游功能并且相互不兼容;而第三代(3G)技术将执行全球标准,并提供全球漫游功能。ITU正积极促进3G全球标准的指定。
(二)无线局域网(WLAN)。无线局域网技术可以使用户在本地创建无线连接(例如,在公司或校园的大楼里,或在某个公共场所,如机场)。WLAN可用于临时办公室或其他无法大范围布线的场所,或者用于增强现有的LAN,使用户可以在不同时间、在办公楼的不同地方工作。WLAN以两种不同方式运行。在基础结构WLAN中,无线站(具有无线电网卡或外置调制解调器的设备)连接到无线接入点,后者在无线站与现有网络中枢之间起桥梁作用。在点对点(临时)WLAN中,有限区域(例如会议室)内的几个用户可以在不需要访问网络资源时建立临时网络,而无需使用接入点。
(三)无线个人网(WPAN)。无线个人网技术使用户能够为个人操作空间(POS)设备(如PDA、移动电话和笔记本电脑等)创建临时无线通讯。POS指的是以个人为中心,最大距离为10米的一个空间范围。目前,两个主要的胛AN技术是“Bluetooth”和红外线。“Bluetooth”是一种电缆替代技术,可以在30英尺以内使用无线电波传送数据。Bluetooth数据可以穿过墙壁、口袋和公文包进行传输。“Bluetooth专门利益组(SIG)”推动着“Bluetooth”技术的发展,于1999年了Bluetooth版本1.0规范。作为替代方案,要近距离(一米以内)连接设备,用户还可以创建红外链接。
为了规范无线个人网技术的发展,IEEE已为无线个人网成立了802.15工作组。该工作组正在发展基于Bluetooth版本1.0规范的WPAN标准。该标准草案的主要目标是低复杂性、低能耗、交互性强并且能与802.11网络共存。
无线个人网和无线局域网并不一样。无线个人网是以个人为中心来使用的无线个人区域网,它实际上就是一个低功率、小范围、低速度和低价格的电缆替代技术。但无线局域网却是同时为许多用户服务的无线网络,它是一个大功率、中等范围、高速率的局域网。
最早使用的WPAN是1994年爱立信公司推出的蓝牙系统,其标准是[EEE802.15.1[w-BLUE]。蓝牙的数据率为720kb/s,通信范围在10米左右。为了适应不同用户的需求,无线个人网还定义了另外两种低速WPAN和高速WPAN。
(四)无线城域网(WMAN)。无线城域网技术使用户可以在城区的多个场所之间创建无线连接(例如,在一个城市或大学校园的多个办公楼之间),而不必花费高昂的费用铺设光缆、铜质电缆和租用线路。此外,当有线网络的主要租赁线路不能使用时,WWAN还可以作备用网络使用。WWAN使用无线电波或红外光波传送数据。为用户提供高速Internet接入的宽带无线接入网络的需求量正日益增长。尽管目前正在使用各种不同技术,例如多路多点分布服务(MMDS)和本地多点分布服务(LMDS),但负责制定宽带无线访问标准的IEEE802.16工作组仍在开发规范以便实现这些技术的标准化。
无线城域网服务范围可覆盖一个城市的部分区域,通信的距离变化较大(远的可达50公里),因此接收到的信号功率和信噪比等也会有很大的差别。这就要求有多种的调制方法。因此工作在毫米波段的802.16必须有不同的物理层。802.16的基站可能需要多个定向天线,各指向对应的接收点。由于天气条件(雨、雪、雹、雾等)对毫米波的传输的影响较大,因此与室内工作的无线局域网相比较时,802.16对差错的处理也更为重要。
1.1网络技术的理论抽象,学生兴趣有待激发
电子商务专业是一个综合性很强的专业,同时互联网技术也在飞速发展,它们之间的交叉度更是日新月异。教师在讲授教材内容时必须时刻面对技术的淘汰和更新,调整把握对专业学习所需要的知识广度和深度。在教学过程中,如果受教材影响较大,顾及教材的完整性,会导致抽象理论讲解过多,而与学生的生活距离甚远,影响他们的学习兴趣。
1.2学生计算机基础知识和能力薄弱,缺乏信心
现代网络技术是一门实践性很强的课程,需要学生亲自动手完成许多具体细节性的操作步骤。前期的计算机基础课程相关知识和技能如果没有熟练掌握,在课堂上就很难跟上老师的思路和集体性指导。这时部分学生往往会因为缺乏信心而放弃部分内容的训练,并直接影响后面更进一步的相关内容的掌握。另外,学生主动学习的能力比较差,在缺乏教师指导的情况下,为迎接考试,学习形式主要以记忆相关内容,做练习题为主,不能进行自主性的实践探索。
1.3电子商务专业课程体系交叉深浅度较难把握
电子商务专业课程体系所包含的多门计算机类课程,它们或多或少都与网络技术有着深浅不同的交叉联系。如果不注重和其他课程的衔接,往往会出现重复讲授和跨域基础的深度跳跃讲授,不利于学生的接受和知识体系的完善。
2现代网络技术课程的教学改革思路
2.1提升学生的认识水平,激发学生的学习兴趣
学生对网络的认识只停留在自身上网的感性认识的水平,对网络没有深入的专业性理性认识。在教学内容的组织上可以在原来教材的基础上,加入教师自身收集整理计算机网络发展过程中的重大事件以及相关背景人物的资料,可以让学生在全面了解互联网发展的历史脉络的同时提高文化修养。教师有条件应该去国外或国内发达地区进修,把自身所见所闻的最新技术产品成果和最新应用在课堂上介绍传播给学生,从而可以扩大学生的视野,减少学生对相对枯燥的知识理论产生的消极情绪,让学生能够紧跟时代的步伐,为激发学生的创造力积累资本。
2.2加强学生的实际动手能力,解决学生实际问题
首先要强化基础的综合型实验,把最新实验设备,如网络打印机、网络交换机等设备搬进学生实验课堂,耐心细心的指导学生遇到的每一处问题,尤其对于基础较差又不愿意开口的学生,教师应该主动多加关心。另外,教师可以通过到实习基地等用人单位实地考察,了解学生未来工作岗位中需要的基本能力,同时结合课程的实际情况,消化整理后添加与就业密切相关的新内容。还要尽量关心学生面临的生活实际问题,如课下学生在宿舍共享上网,局域网联机,旧电脑升级,外接设备驱动等。这样可以拉近教师与学生的心里距离,无形中支持鼓励学生的信心。
2.3以专业整体的高度,帮助学生理解所学知识
主讲教师应该利用教研室会议等集会时间主动和本专业相关课程的负责教师进行交流,讨论相关知识的讲授,确立合适的教学内容,避免和其他课程教学内容的重复,并做好衔接铺垫,从而让学生全面系统地把握网络知识。比如,前期的《计算机基础》课程里讲授的相关知识在这门课的某些部分得到深化,后续的《数据库原理与应用》、《电子商务网站建设》、《电子商务网络安全》等课程的相关知识需要在这门课里做引导和铺垫。
2.4改革考核方案,提高实践能力考核的比重
以往的考核形式主要笔试卷面为主,平时上机实验为辅。学生在准备考试时主要靠背诵相关专业名词,理解相关理论步骤,大量突击相关习题来应付考试。另外教师在准备考题时也很难全面把握专业的需要度,这样就会偏离课程开设的目的。为了把实践能力的考核地位提升,可以让学生以宿舍为单位分组,将自行完成有线、无线局域网连接,配置简单服务器软件的步骤,以及共享上网,划分子网等试验综合成总结报告,提交作为考核的主要内容。
3结束语
一、计算机无线网络的特点
计算机网络具有非常大的优势,以至于现在人们应用的越来越普遍。首先就是它的安装成本比较低,不会像有线网络那样需要进行大面积的铺设,能够很大程度的降低安装的经济成本,具有很强的便捷性与实惠性。其次计算机无线网络的移动性较强,无线网络的连接主要是依靠一些无线路由设备,将网络转化成信号的形式散发到空中,然后再由相应的设备进行接收,人们只要通过密码等方式的连接就能够应用此网络。除此之外,还能够连接没有线路及电缆的设备,也可以多个设备连接同一个网络。
二、现今状况下无线网络面临的主要问题
(1)非法用户的接入 现在的人们大多数都应用上了计算机无线网络,大部分家庭在配备了无线设备之后只是简单的进行了设置就开始投入使用,完全没有意识到其中潜在的安全隐患,这样就很可能会引起非法用户接入的问题,从而使计算机网络安全受到影响[1]。没有将计算机无线网络设置好很容易引起以下三个问题,第一就是网络宽带抢占的问题,网络宽带抢占就会造成网速减慢,原有的带宽减小。第二就是容易使软件侵入到计算机中,形成网络中毒。第三就是路由器的配置遭到更改,导致没有办法正常使用。
(2)无线窃听问题 无线网络技术的数据传输主要是通过无线网通道进行的,这种方法也极大的提高了无线网络的便捷性,但是这种技术在应用中也存在着很大的安全隐患,会为网络的安全带来很大的威胁。因为计算机无线网络的信息都是通过无线信道来交换,全世界仅有这一条无线信道,这个信道是公开的,也就意味着一旦拥有相关设备就可以对信息进行窃听。所以国家的一些重要部门都会对计算机无线网络加以防护,若是没有进行全面的防护就极有可能会导致一些部门的信息遭到泄露,造成巨大的损失。
(3)假冒攻击 所谓假冒攻击其实就是指某一个实体伪装成另一个实体进行无线网络的访问。这种方法是最常用的突破某个安全防线的方法,在无线网络的传输中,移动站与网络控制中心之间存在着很多的不固定的物理连接,移动站要通过无线网络传输身份信息,这时攻击者就能够从中截取合法用户的身份信息,一旦截取成功,就会利用该用户的身份入侵网络。当然,在不同的网络中身份假冒攻击的目标也是有所不同的,在移动通信无线网络中,因为它的工作频带是收费的,因此攻击者的主要目的就是为了逃避付费[2]。而在无线区域中,工作频带是免费的,但是资源与信息是收费且不公开的,因此攻击者的目的主要是非法访问网络资源。
(4)信息的篡改 信息篡改是比较常见的计算机无线网络安全隐患,这种隐患对计算机无线网络的应用深度有着很大的阻碍。其产生的原因主要是很多人都应用计算机进行信息传输,一旦出现信息篡改的安全隐患就会造成人员的信息泄露或资金损失。信息篡改的内容主要是攻击者将自己得到的信息进行一定的修改与修剪,然后将改后的信息发送给接收人员,这时接收人员就会收到黑洞攻击。除此之外,攻击者也会将篡改的信息进行恶意修改,使得用户之间的通信被破坏掉,影响了通信人员之间的正常通信连接。
三、加强计算机网络安全技术的措施
(一)防范机制
首先就是加密机制的完善。确保计算机的无线网络信息安全就要对其进行严格的加密,计算机网络的加密技术是一种常见的安全技术,其具有较强的可操作性[3]。在加密机制中,非对称密码是一种常见的加密机制,在各个领域的计算机无线网络中都具有很强的安全保障。在非对称密码保护的计算机系统下用户都会拥有两个秘钥,一个是公开的,一个是私密的,用户可以根据信息的保密性进行秘钥的选择,让信息在秘钥的保护下安全的输送。公开的秘钥采用的算法是较复杂的,私密的秘钥则是用户个人进行解密的秘钥设置,然而不论是公钥还是私钥能够使计算机无线网络避免无线设备的物理访问。 其次就是不可否认机制,不可否认机制实际上就是利用数字签名进行保护的一种方式,这种数字签名应用的基础就是公钥密码技术,应用这种设置后,用户只能通过个人设置的唯一秘钥进行签名,然后将消息与签名一同传递给验证方,让验证方根据公开秘钥来判定签名的真伪。这种保护方式相较于其它的保护方式来说,可靠性较高。因为签名具有唯一性,并且被伪造的概率较低,因此能够有效保护计算机无线网络的安全。
(二)加强身份验证
身份验证就是指双方相互确认彼此是否已经知道了某一个特定的秘密,例如二者之间共享的秘钥。因此,在计算机网络技术安全中若是想要减少身份假冒的安全隐患就要利用身份认证对双方进行检验,保证双方具有合法的身份。在实际操作中,只要双方输入简单的密码钥匙后就能够对无线网络的使用者进行身份验证。与无线加密机制相比较,身份认证机制更能够增加一层保障,让计算机无线网络的有效性与机密性得到进一步的提升。在如今的计算机无线网络应用中身份认证已经得到了广泛的使用,身份假冒带来的问题也在逐渐变少。
(三)默认设置的更改、安全意识的加强
在计算机无线网络的实际应用中,大部分的人在设置时都会选择默认设置,这种做法虽然在一定程度上为网络使用者提供了便利,但是同时埋下了一些安全隐患,尤其是长期使用无线网络但还是默认设置的用户。因此计算机无线网络的使用者应该定期更新计算机无线网络的默认设置,也就是说要对安全口令与AP设置进行修改,为计算机无线网络安全给予一个保障。同时,计算机无线网络发生故障时很容易导致重要的信息丢失或者泄露,不论是计算机使用者的错误操作或者微弱的安全意识都有可能是导致故障发生的原因。所以用户在使用计算机无线网络时一定要加强自身的安全意识,保证自己的操作符合正确的要求,让计算机无线网络能够安全、有效的运行。
(四)无线路由的隐藏
很多用户在使用计算机无线网络时都会将SSID打开,使得它与客户机之间的连接效率变得更高,这种方式虽然体现出了极大的便捷性但是同时也存在了一定的安全隐患,很容易将非法设备接到无线网络里。所以,计算机无线网络用户应该将网络设置成为隐身状态,然后关闭SSID广播,如果需要对客户端进行连接,只要手动输入SSID名称即可,这样能够极大程度的避免非法入侵的现象发生,能够有效确保计算机无线网络的安全。除此之外,还可以采用加密手段进行防护,例如采用加密系数高的WPA方式对无线网络进行保密。
四、计算机无线网络安全技术的发展
首先就是智能化方向的发展。现阶段智能化发展已经成为了一种趋势,因此计算机无线网络安全技术也要向着智能化进一步发展。这就需要技术人员对计算机无线网络在实际运行中出现的问题进行总结,然后再整改优化。根据现阶段的发展情况制定出合理的发展计划,让计算机无线网络安全技术能够稳步向着智能化方向发展。 其次就是网络安全产业链向生态环境的转变。如今生态环境的变化速度已经超出了预期的环境变化速度,所以网络安全技术已经不能用价值链条进行描述,它要向生态环境的方向发展。基于此研究人员应该总结现状,制定方案,让计算机网络安全技术向着更加高效的方向发展。
论文摘要:在信息化浪潮的推动下,院校校园网飞速建设,但信息技术的发展和更新却远远超出我们预见,它使得传统有线校园网络的建设和应用的片面性逐渐呈现。新时期,如何对校园网进行升级、拓展应用成为当前校园网建设和改造要考虑的重要问题。
近几年来,有线网络建设、运行和维护的实践表明,由于目前网络是“有线”的,所以在应用中有相当多的问题不可避免。诸如,很多学校只在部分区域接入网络,而无法顾及所有区域;那么,在不宜进行网络布线的场馆该如何联网呢?在教室、实验室等场合如何突破网络节点限制,实现多人同时上网呢?这些传统有线校园网的“网络盲点”问题,与教员、学员“随时随地获取信息”的新需求之间的矛盾如今将可以通过无线技术轻松解决。
1“无线”的优势所在
1.1全覆盖:以高速无线的方式覆盖整个校园,主要包括教学楼办公室、礼堂、公寓、图书馆、廊道绿地等,强大的无缝漫游功能,确保了网络通信的流畅性,让学校师生随时随地可以接人网络,享受无线校园带来的乐趣。
1.2可管理:由于校园有线网络已经建成,统一的网络管理已经投人使用,本次建成的无线网络,将可以很好的融合进现有校园管理系统中,便于统一管理和维护。
1.3可扩充性:在校园网络规模不断发展的情况下,无线网络可满足在不改变主体架构与大部分设备的前提下,平滑实现升级和扩充,降低原有网络的硬件投资,并保证扩展后的系统可用性与稳定性。
1.4多种服务的支持:基于校园级网络的未来可持续发展,采用的无线产品均具备可适应未来发展校园级无线宽带应用(如无线语音应用、无线视频会议应用、无线多媒体通信应用等)的需要,并提供低成本的无缝升级和前后兼容。
2“无线”的设计方案
无线网络技术具有无缝覆盖、可移动通信等优点,可与有线网络互为补充,但就目前无线技术的发展状况,无线最大的优势仍在于对现有有线网络的补充。在高等网络中,完善的解决方案将开辟无线网络在高等教育的应用,进而引发深刻的整个高等网络变革。
根据校园网络实际应用环境的特点,无线网络解决方案大体分为两套:室内和室外。
2.1室内无线局域网主要针对不方便进行大规模布线或不宜布设太多信息点的建筑,如:图书馆、办公大楼、教学楼、网络教室、会议室、学员宿舍和报告大厅等。在室内实现全方位的无线上网,这将成为无线应用的新趋势。
2.2室外无线解决方案主要针对分布较远的校区之间、布线不甚方便的校园建筑物之间以及适合学习的室外场所,如草坪、操场空地等。
3“无线”的安全性能
长期以来,安全性能制约着无线网络的发展。随着802. l国际标准和wapi国内标准的相继出台,无线网络安全性得到了全面提升。国内的wapi国家标准,具有支持双向鉴别、数字证书鉴别等优势,实现设备的身份认证、证书鉴别、访问控制和用户信息在无线传输状态下的加密保护,为无线终端接人提供更高等级的安全保障。
无线网络提供的比较常用的安全机制有如下三种:
3.1基于mac地址的认证:基于mac地址的认证就是mac地址过滤,每一个无线接人点可以使用mac地址列表来限制网络中的用户访问。实施mac地址访问控制后,如果mac列表中包含某个用户的mac地址,则这个用户可以访问网络,否则,如果列表中不包含某个用户的mac地址,则该用户不能访问网络。
3.2共享密钥认证:共享密钥认证方法要求在无线设备和接入点上都使用有线对等保密算法。如果用户有正确的共享密钥,那么就授予该用户对无线网络的访问权。
论文摘要:随着高校信息化建设水平的不断提高,无线网络逐渐成为校园网解决方案的一个重要组成部分。该文对校园无线网接入进行研究,并对校园无线网络的安全进行了分析,最后给出了一种适合校园网无线网络的安全解决方案。
1 引言
在过去的很多年,计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。但有线网络在实施过程中工程量大,破坏性强,网中的各节点移动性不强。为了解决这些问题,无线网络作为有线网络的补充和扩展,逐渐得到的普及和发展。
在校园内,教师与学生的流动性很强,很容易在一些地方人员聚集,形成“公共场所”。而且随着笔记本电脑的普及和Intemet接入需求的增长,无论是教师还是学生都迫切要求在这些场所上网并进行网上教学互动活动。移动性与频繁交替性,使有线网络无法灵活满足他们对网络的需求,造成网络互联和Intemet接入瓶颈。
将无线网络的技术引入校园网,在某些场所,如网络教室,会议室,报告厅、图书馆等区域,可以率先覆盖无线网络,让用户能真正做到无线漫游,给工作和生活带来巨大的便利。随后,慢慢把无线的覆盖范围扩大,最后做到全校无线的覆盖。
2 校园网无线网络安全现状
在无线网络技术成熟的今天,无线网络解决方案能够很好满足校园网的种种特殊的要求,并且拥有传统网络所不能比拟的易扩容性和自由移动性,它已经逐渐成为一种潮流,成为众多校园网解决方案的重要选择之一。随着校园网无线网络的建成,在学校的教室、办公室、会议室、甚至是校园草坪上,都有不少的教师和学生手持笔记本电脑通过无线上网,这都源于无线局域网拓展了现有的有线网络的覆盖范围,使随时随地的网络接入成为可能。但在使用无线网络的同时,无线接入的安全性也面临的严峻的考验。目前无线网络提供的比较常用的安全机制有如下三种:① 基于MAC地址的认证。基于 MAC地址的认证就是MAC地址过滤,每一个无线接入点可以使用 MAC地址列表来限制网络中的用户访问。实施 MAC地址访问控制后,如果MAC列表中包含某个用户的MAC地址,则这个用户可以访问网络,否则如果列表中不包含某个用户的MAC地址,则该用户不能访问网络。② 共享密钥认证。共享密钥认证方法要求在无线设备和接入点上都使用有线对等保密算法。如果用户有正确的共享密钥,那么就授予该用户对无线网络的访问权。③ 802.1x认证。802.1x协议称为基于端口的访问控制协议,它是个二层协议,需要通过 802.1x客户端软件发起请求,通过认证后打开逻辑端口,然后发起 DHCP请求获得IP以及获得对网络的访问。
可以说 ,校园网的不少无线接入点都没有很好地考虑无线接入的安全问题,就连最基本的安全,如基于MAC地址的认证或共享密钥认证也没有设置,更不用说像 802.1 x这样相对来说比较难设置的认证方法了。如果我们提着笔记本电脑在某个校园内走动,会搜索到很多无线接入点,这些接入点几乎没有任何的安全防范措施,可以非常方便地接入。试想,如果让不明身份的人进入无线网络,进而进入校园网,就会对我们的校园网络构成威胁。
3 校园网无线网络安全解决方案
校园网内无线网络建成后,怎样才能有效地保障无线网络的安全?前面提到的基于 MAC地址的认证存在两个问题,一是数据管理的问题,要维护 MAC数据库,二是 MAC可嗅探,也可修改;如果采用共享密钥认证,攻击者可以轻易地搞到共享认证密钥;802.1x定义了三种身份:申请者(用户无线终端)、认证者(AP)和认证服务器。整个认证的过程发生在申请者与认证服务器之间,认证者只起到了桥接的作用。申请者向认证服务器表明自己的身份,然后认证服务器对申请者进行认证,认证通过后将通信所需要的密钥加密再发给申请者。申请者用这个密钥就可以与AP进行通信。
虽然 802.1x仍旧存在一定的缺陷,但较共享密钥认证方式已经有了很大的改善,IEEE 802.11i和 WAPI都参考了802.1x的机制。802.1x选用EAP来提供请求方和认证服务器两者之间的认证服务。最常用的EAP认证方法有EAP-MD5、EAP-TLS和PEAP等。Microsoft为多种使用802.1x的身份验证协议提供了本地支持。在大多数情况下,选择无线客户端身份验证的依据是基于密码凭据验证,或基于证书验证。建议在执行基于证书的客户端身份验证时使用EAP-TLS;在执行基于密码的客户端身份验证时使用EAP-Microsoft质询握手身份验证协议版本2(MSCHAPv2),该协议在PEAP(Protected Extensible Authentication Protoco1)协议中,也称作PEAP-EAP-MSCHAPv2。
转贴于
考虑到校园群体的特殊性,为了保障校园无线网络的安全,可对不同的群体采取不同的认证方法。在校园网内,主要分成两类不同的用户,一类是校内用户,一类是来访用户。校内用户主要是学校的师生。由于工作和学习的需要,他们要求能够随时接入无线网络,访问校园网内资源以及访问Internet。这些用户的数据,如工资、科研成果 、研究资料和论文等的安全性要求比较高。对于此类用户,可使用 802.1x认证方式对用户进行认证。来访用户主要是来校参观、培训或进行学术交流的一些用户。这类用户对网络安全的需求不是特别高,对他们来说最重要的就是能够非常方便而且快速地接入Intemet,以浏览相关网站和收发邮件等。针对这类用户,可采用DHCP+强制Portal认证的方式接入校园无线网络。
如图所示,开机后,来访用户先通过DHCP服务器获得IP地址。当来访用户打开浏览器访问Intemet网站时,强制Porta控制单元首先将用户访问的Intemet定向到Portal服务器中定制的网站,用户只能访问该网站中提供的服务,无法访问校园网内部的其他受限资源,比如学校公共数据库、图书馆期刊全文数据库等。如果要访问校园网以外的资源,必须通过强制Portal认证.认证通过就可以访问Intemet。对于校内用户,先由无线用户终端发起认证请求,没通过认证之前,不能访问任何地方,并且不能获得IP地址。可通过数字证书(需要设立证书服务器)实现双向认证,既可以防止非法用户使用网络,也可以防止用户连入非法AP。双向认证通过后,无线用户终端从DHCP服务器获得IP地址。无线用户终端获得IP地址后,就可以利用双方约定的密钥,运用所协商的加密算法进行通信,并且可以重新生成新的密钥,这样就很好地保证了数据的安全传输。
使用强制 Portal+802.1x这两种认证方式相结合的方法能有效地解决校园网无线网络的安全,具有一定的现实意义。来访用户所关心的是方便和快捷,对安全性的要求不高。强制 Portal认证方式在用户端不需要安装额外的客户端软件,用户直接使用Web浏览器认证后即可上网。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。虽然用户名和密码可以通过 SSL加密,但传输的数据没有任何加密,任何人都可以监听。当然,必须通过相应的权限来限制和隔离此类用户,确保来访用户无法访问校园网内部资料,从而保证校园网络的高安全性。校内用户所关心的主要是其信息的安全,安全性要求比较高。802.1x认证方式安装设置比较麻烦,设置步骤也比较多,且要有专门的802.1x客户端,但拥有极好的安全性,因此针对校内用户可使用802.1x认证方式,以保障传输数据的安全。
4 结束语
校园网各区域分别覆盖无线局域网络以后,用户只需简单的设置就可以连接到校园网,从而实现上网功能。特别是随着迅驰技术的发展,将进一步促进校园网内无线网络的建设。 现在,不少高校都已经实现了整个校园的无线覆盖。但在建设无线网络的同时,由于对无线网络的安全不够重视,对校园网无线网络的安全考虑不够。在这点上,学校信息化办公室和网管中心应该牵头,做好无线网络的安全管理工作,并完成全校无线网络的统一身份验证,做到无线网络与现有有线网络的无缝对接,确保无线网络的高安全性。
参考文献
近几年来,为了加快学校教育信息化的进一步发展,作为对有线局域网的补充和扩充,校园无线网络得到了快速发展。校园有线网由于是“有线”的,所以在应用中存在相当多的问题。例如,很多学校只在部分区域接入网络,而无法顾及所有区域;拥有多个校区的学校在校区间联网成本较高;布置网线的教室、图书馆、会议室节点数量受到限制,无法实现多人同时上网,这些传统有线校园网的“网络盲点”问题,都可以通过发展无线网络得到解决。无线局域网络(WirelessLocalAreaNetworks;简称WLAN),它利用射频(RadioFrequency;RF)技术,使用电磁波,在空中进行通信连接,使得无线局域网络能利用简单的存取架构让用户透过它,达到“信息随身化、便利走天下”的理想境界。WLAN无线覆盖已经成为信息化校园建设一种必不可少的接入方式。无线网络技术具有无缝覆盖、可移动通信等优点,可与有线网络互为补充。在校园网络中,完善的解决方案将开辟无线网络在教育行业的应用,进而引发深刻的网络教育变革。此处以我校无线网络解决方案为例,分析如何有效地缓解校园网建设中存在的传统有线网络无法解决的难题,推进信息化建设的发展。
二、无线网络建设方案
以我校无线网络建设为例,在本次建设方案中,采用最为专业的、具有优秀的可扩展性和可管理型的“FIT-AP+AC”(AP+无线控制器)的无线组网模式。这种组网模式具备以下优势: 集中管理FITAP的配置保存在无线控制器中,FITAP启动时会自动从无线控制器下载合适的设备配置信息。 统一安全策略因为无线数据转发通过集中的AC处理,便于在AC上进行集中的安全策略部署。 有线无线一体化管理目前学校的有线基础架构已经较为成熟,本次在有线基础上进行无线部署,可形成统一的拓扑呈现、性能监视等,简化管理压力。 保护已有投资学校图书馆核心交换机S7506R已经配置无线控制器插卡,本次建设可以直接利用AC插卡实现控制器功能,实现投资保护。校园无线网络的开通,可以突破有线网络节点限制,大大扩展了用户使用网络的空间,方便了我校师生通过网络获取信息,进一步提升了我校的信息化水平。我校无线网络建设项目,一期工程包括了1-2号教学楼、图书馆、南餐厅、北餐厅、体育馆、行政楼、室外广场、室外体育场以及老校区教学楼、餐厅等场所。共安装120个室内AP,6个室外AP以实现以上场所的无线信号覆盖。无线网络环境的引入,为崭新的无线多媒体提供了应用平台,从而将我校教育信息化带入一个新的天地。
三、项目实施
3.1综合布线
室内区域:鉴于节约成本及避免浪费的原则,本项目室内布线部分信号的传输、设备的供电全部采用超5类非屏蔽双绞线。室外区域:室外环境的恶劣,及复杂多变决定了室外区域的布线不能采用普通的非屏蔽双绞线,而应采用室外屏蔽型,抗拉伸超5类双绞线。设备的级联:项目中涉及到交换机之间需要级联的部分,应当采用传输质量更高的6类双绞线。布线应注意以下事项: 双绞线在走廊和室内走线应在电缆槽内,应平直走线; 交换机到AP的双绞线最长距离为100米,超过100米的可用双绞线连结器连结加长; 双绞线在机房内走线要捆成线札,走线要有一定的规则,不可乱放; 双绞线两端要标明编号,便于了解结点与AP接口的对应关系; 双绞线应牢靠地插入交换机、配线架和AP的网卡上; 结点不用时,不必拔下双绞线,它不影响其它结点工作; 选用八芯双绞线,自己安装接头时,八根线都应安装好,不要只安装四根线、剪断另外四根线。
3.2AP安装
AP在无线网络中扮演着集线器的角色,它其实就是无线网络信号的发射“基站”,因此它的安装位置必须选择好,才能不影响整个无线网络信号的传输稳定。由于无线通信信号是按直线方向传播的,要是在传输的过程中,遇到有障碍物的话,无线通信信号的强度就会受到削弱,特别是遇到金属障碍物时,无线信号的衰减幅度更是巨大。为了避免无线信号遭受到外来障碍物的干扰,在安装无线AP时,将AP尽量安装到高处。在安装无线AP时,将每个AP的覆盖范围进行少量的交叉覆盖,确保每一个无线子网之间能够实现无缝连接在对无线AP进行信道划分时交叉使用信道1、6、11,使重叠区域不受干扰。在无线AP安装完成后,对AP的配置进行优化。对无线信号的场强和信噪比进行测试,并调整AP的频点和AP的发射功率来细微的对该区域无线局域网的整体性能进行调节。在安装室外AP时应当注意恶劣气候的防护,如大风天气、雨雪天气、雷雨天气都应考虑在内,做好防护措施。室外AP的供电采用POE供电模块,在布设网线时使用两根网线,一根用来供电,一根用来传输数据,供电电源线长度不超过70米。AP安装时应当紧密固定,可使用膨胀螺丝加扁铁对AP进行固定。由于室外比较空旷,且室外AP的安装位置比较高,雷雨天气容易遭到雷击,在安装时应做好避雷设施,以确保设备的安全。
四、无线网络的应用
无线校园网具有很多优点,得到了迅速发展,加快了高等教育信息化进程。无线网络为高校进一步实现教育教学改革、图书馆数字资源的充分利用、形成移动学习环境打下基础。
4.1在教育教学中的应用
首先,无线校园网具有便携、移动、宽带等特点,学生和教师人手一台无线终端(笔记本电脑、PDA、手机等),教师可以通过无线网络进行教学,并且可以最大限度地加强教与学之间的沟通和互动,使教学模式发生根本性的改变:其次,在无线校园网的环境下,所有教学过程通过教学管理平台进行,可以方便地对教学过程进行检查、监督和调整,便于教学管理。无线校园网还带来了整个教育资源的重新整合,包含了教师、教学资料、教学设备、教学模式和教学理念,这必然推动着校园消息化的发展。
4.2图书馆数字资源得到最大应用
图书馆无线网络的铺设,解决了学术报告厅、电子阅览室、检索大厅、阅览区、书库、自习室、读者休息区等信息点少、难于布线的问题。这些地方充分发挥无线网络易于扩展、移动灵活的优势,扩大图书馆网络覆盖范围,形成无死角区域的上网可能,随时随地查阅图书馆数字资源,给学生撰写论文、学习提供最大方便,使图书馆的数字资源得到充分利用。
五、结束语
突破传统局域网的呼声
北京大学无线局域网于2002年5月开始建设,同年6月底,主体工程基本完成。学校师生以及来访人员可以随时随地借助笔记本电脑、PDA等无线终端方便高效地使用网络,从而促进了北京大学教学、科研和管理水平的进一步提高,为创建世界一流大学的宏伟目标提供了更好的基础设施。
北京大学无线局域网的建设有其背景原因。当时,北京大学的校园网建设已经具备相当规模,但随着211工程和985创建世界一流大学项目的实施与深入,教学科研水平不断提高,学术交流日趋频繁,在会议中心、阶梯教室、图书馆阅览室、自习区等空旷场所提供网络服务的呼声越来越高。这些需求对现有的校园网提出了技术挑战。
传统的局域网存在铺设费用高、施工周期长、移动困难、维护成本高、覆盖面积小等问题,严重地限制了网络部署和扩展的灵活性。在一些公共场所,很多时候几乎无法或者很难提供足够的网络设施满足移动用户的使用要求。这种困惑在多空旷场所的校园里显得尤为突出。
分步建设的无线网络思路
无线局域网技术(Wireless Local Area Network, WLAN)的出现和发展,帮助我们摆脱了有线传输介质的束缚。WLAN是计算机网络与无线通信技术结合的产物。它不受电缆限制,可移动,满足各类便携设备入网要求,能实现计算机局域联网、远端接入、图文传真、电子邮件等多种功能。WLAN安装简单,具备可贵的灵活性和高度的弹性。网络上的各个节点可以根据需求而轻易地进入或脱离网络,使得网络各节点的变动不会受线缆的制约,满足了我们在一定区域内实现不间断移动办公的需求。
这一技术尤其适用于会议中心、图书馆、阅览室、阶梯教室、教学区周边等空间大、移动用户多、不宜铺设有线介质的场所,不仅经济有效,便于安装,而且要求的配置和维护最少。随着需求不断增加,学校可以迅速、方便地部署更多的节点,并且在需要的时间和地点经济有效地拓展连接能力,弥补了传统有线局域网在提供完善数据服务方面的不足,为校园网的建设,特别是解决校园内公共区域的局域网建设,提供了新的思路和解决方案。
北京大学无线局域网络定位为校园网基础设施的一个组成部分,其最大任务是对现存校园网作重要补充。鉴于无线网络技术处于快速发展的阶段,本着采用先进成熟技术、满足基本应用需求、追求高品质的性能和价格、观望最新技术发展的原则,我们采用了先解决有无,后解决温饱,逐步向小康过渡的分期建设思路。我们首先在急需使用的场所优先按空间覆盖完整的方式配置设备,这样较好地控制了经费的预算。由于无线网络有良好的可扩充性,当网络带宽无法满足实际需求时,可随时根据使用情况增加无线接入设备的配置。
250个AP覆盖每个角落
北京大学无线局域网络(Wireless PKU)是依靠在原有的有线局域网络(PUnet)基础上设计的,设计目标是作为有线局域网络的重要补充,和有线局域网络共同为北京大学的广大师生提供更完善和方便的网络接入服务。总体建设目标是以现有校园内有线局域网络为依托,利用无线网络技术,将校园网延伸到校内移动用户较多的主要公共教学科研办公区域之中,实现这些区域与校园网及Internet的高速联网。通过项目的建设,改善学校信息网络建设基础设施的环境,解决公共区域铺设网络电缆难的问题,进一步扩大校园网的使用范围,使全校师生在任何时间、任何地点都能方便高效地使用信息网络,促进北京大学的教学、科研和管理水平的提高。
无线网络通过接入点AP (Access Point) 和有线网络无缝连接,使有线网络得到延伸扩展。北京大学无线局域网络第一期工程一共使用了250个AP,灵活运用多种覆盖方式,基本上全面覆盖了北京大学的校园。从理科楼群、公共教室、会议中心,到校园内部的学生和教工宿舍,甚至是未名湖畔,几乎在北京大学的任何一个角落里,只要拥有一块无线网卡,任何计算机都可以通过无线网络接入到校园网,进而连接到CERNET和Internet。
北京大学无线局域网络初期主要采用IEEE 802.11b协议,最大连接速率可以达到11 Mbps,部分地区的AP具有升级为IEEE 802.11a的能力。这是因为当时多数厂家的AP还仅支持IEEE 802.11b及IEEE 802.11a协议,而802.11b是当时应用最广泛的无线局域网协议。同时,考虑到在未来的无线网络的发展中,IEEE 802.11g因为采用了与IEEE 802.11b相同的2.4G频段,同时最大速率可以达到54Mbps,向下兼容IEEE 802.11b,所以是IEEE 802.11b的理想升级换代技术。
为了方便学校师生和来访人员使用网络,北京大学无线网络中大部分的AP采用不加密方式,在一些重点部门根据实际需要,采用64 bit或者128 bit数据加密。IP地址分配使用DHCP动态地址分配,目前已经开放了4个C的国内地址空间,能够提供近1000台计算机同时上网的要求。
树荫和爬山虎成无线杀手
无线局域网络的实现与所处的环境紧密联系。在很多情况下,由于无线局域网络采用微波频段,信号传输的绕射和穿透能力比较弱,因此必须实地测量之后才能够真正定下具体实施的方案。比如在学校行政办公楼群(未名湖畔,红一楼到红四楼),原计划是采用室外天线覆盖室内空间的设计,但是由于这一楼群是一个具有悠久历史的建筑组合,大部分建筑物的外墙一般厚0.5米左右,最厚可达1米,加上外侧铁质和铜质纱窗的屏蔽效应,所以无线微波信号几乎无法穿透,因此只能修改计划,全部采用室内覆盖方式实现。
北京大学校园是一个园林式风格的校园,学校在绿化建设上很有特色,但是因为水分子对无线微波信号的吸收效应,因此大量的树木也成为设计和实施工程中最需要考虑的因素。很多在地图上看似很普通的结构,在设计阶段的考察过程中就发现有大量树木存在,导致设计因此而发生变化。另外在夏天的实施阶段也发现,虽然已经考虑到了树木的影响程度,但是由于夏天树木的实际生长情况,又会影响到原先的设计效果,曾经被我们引以为自豪的树荫和可爱的爬山虎又一次成为我们施工中最棘手的问题。
北大校园网通过多年的努力,已经初见规模,已经拥有超过24000个有线网络端口。但是在实际施工过程中,在选择好无线网络的AP和天线位置后仍然发现很多地方还是需要有线网络的布线配合,另外如何解决AP的供电问题又是一个很大的难题。有时候不得不因为无法供电而改变原先的设计,在一些必要的地点只能对设备采用网络供电方式。在无线网络的施工中,我们深切体会到,无线局域网络的实施其实很大程度上依赖于有线局域网络的规模和布局。在一些新建的楼群中,布线系统遍及所有角落,这个时候实现无线局域网络和有线局域网络的连接就很简单。相反,在一些尚未进行布线系统改造的楼群,这样的布线工作占据了大部分的施工时间。
无线局域网络是有线局域网络的必要补充,在现在新楼的布线系统设计和老楼布线系统的改造中,我们已经适当修改了原先的方案,在设计中添加了对未来无线局域网络的布局和实施的考虑,这样,无线网络的实施实际上也对我们的有线局域网络的设计有了更深层和更广泛的思考。
不断增加的应用
根据北京大学校园网建设的总体规划,我们于2005年9月对无线网络进行了较大规模的升级,包括增加AP的布署密度,部分区域采用IEEE 802.11g协议,使接入速率达到54Mb/s。同时,在校园内安装了多个无线室外单元,进一步扩展了室外区域的覆盖范围,提高了校园内室外区域的信号强度和质量。
北京大学校园无线网络自建成以来,基于无线网络的应用日益丰富。在北京大学主校区的教室、办公室、运动场,甚至是校园草坪上,教师和学生都可以使用笔记本电脑和PDA,或查阅资料,或在电脑上完成论文并递交到导师信箱,或上网访问。据介绍,利用这一无线网将能够达到2~10兆的传输速度。
从2003年开始连续3年,学校的迎新工作都在无线网络环境下进行,学校各部门和院系集中在校园内,利用无线网络完成新生的报到、交费、宿舍安排等工作,为新生提供了很大的方便,也得到了学校各部门和院系的肯定。2005年9月开始,北京大学计算中心与网通宽带合作,以北京大学校园无线网络为依托,开展了基于无线网络的VoIP业务实验,学校的师生可以使用Wi-Fi手机在校园无线网的覆盖范围内拨打全国各地的市话和移动电话,实验进展顺利。
北大网络中心主任黄达武说:“北京大学在移动教育方面,正在研制开发基于有线网(互联网、电话网、光纤等)和无线网(卫星网络、移动通信网、 无线局域网、蓝牙等)的移动虚拟校园系统(MVC)。该系统为校园内的用户和校园外的用户提供了大规模的移动计算环境,可在任何时间、任何地点不间断访问LDPM的信息。已开发完成的系统有移动办公系统、移动BBS讨论系统、移动答疑系统、移动新闻系统、移动教室管理系统,其中移动教室管理系统正在试用。”
我们相信,随着技术的不断发展及接入设备成本的不断降低,基于无线网络的应用会越来越多,人们对无线网络的信赖程度也会越来越强,这同样会促进无线网络的进一步发展。
链接
移动教育系统的基本构架
移动教育(Mobile Education)是指依托目前比较成熟的无线移动网络、国际互联网以及多媒体技术,学生和教师通过使用移动设备(如手机等)来更为方便灵活地实现交互式教学活动。移动教育系统主要由四部分组成:国际互联网、移动教育网、移动台和教学服务器。
移动教育网:该网络是整个移动网络的一部分,由多个基站组成,用来发射或接收来自移动台以及互联网的信息,并通过空中接口将移动台与互联网实现无缝连接。
国际互联网:该网络即我们通常说的Internet,该网络是教育资源的有效载体。目前互联网技术已经非常成熟,与互联网连接的客户可方便地进行信息交换,并可访问互联网上的丰富资源。
教学服务器:该服务器与互联网相连,存放丰富的教学资源以及相应的服务程序。
论文关键词:无线网络,网络安全,安全防范
1 引言
随着信息技术的飞速发展,人们对网络通信的需求不断提高,对Internet访问的持续性、移动性和适应性等方面取得很大进展,近年来无线网络已经成为一种较为普及的网络访问方式,并且在一些领域已经占据了主流的地位。这表明无线网络有着传统网络不能比拟的优势,但是将无线网络接入传统的Internet 中存在许多技术问题和安全问题。
2 无线局域网的结构及其运行方式
无线局域网所涉及的主要设备包括:无线AP、无线路由器、无线网桥等。无线AP即无线接入点,相当于一个无线集线器,接在有线交换机或路由器上,为跟它连接的无线网卡从路由器那里分得IP。它主要是提供无线工作站对有线局域网的访问和从有线局域网对无线工作站的访问,在访问接入点覆盖范围内的无线工作站可以通过它进行相互通信;无线路由器:无线路由器就是AP、路由功能和集线器的集合体,支持有线无线组成同一子网;无线网桥又叫桥接器,它是一种在链路层实现局域网互连的存储转发设备。网桥有在不同网段之间再生信号的功能,它可以有效地连接两个LAN(局域网),使本地通信限制在本网段内,并转发相应的信号至另一网段。
无线局域网一般采取以下的几种网络结构来实现互联。以适应不同的需要:
(1)基站接入型:当采用移动蜂窝通信网接入方式组建无线局域网时,各站点之间的通信是通过基站接入、数据交换方式来实现互联的。各移动站不仅可以通过交换中心自行组网,还可以通过广域网与远地站点组建自己的工作网络。如图1。
(2)网桥连接型:不同的局域网之间互联时,如果不便采取有线方式,则可利用无线网桥的方式实现二者的点对点连接,比如距离比较远的两栋或更多建筑物之间的互联互通。无线网桥不仅提供二者之间的物理与数据链路层的连接,还为两个网的用户提供较高层的路由与协议转换。
(3)无中心结构(Ad-hoc):即不通过AP,各计算机通过无线网卡自行进行通讯。网络管理分散到各个计算机中。是一种点对点的应用方式。要求网中任意两个站点均可直接通信。此结构的无线局域网一般使用公用广播信道,MAC层采用CSMA类型的多址接入协议。
3 无线局域网络主要的安全威胁
由于无线网络的传输方式和物理结构等原因,导致其在安全问题上较有线网络更容易受到威胁,主要表现在:
(1)容易泄漏,无线局域网络主要采用无线通信方式,其数据包更容易被截获,由于不能在物理空间上的严格界定,所以传输的信息很容易被泄漏,任何能接受到信号的人,都可进入并解码破译。而事实上很多无线局域网络在默认状态下是没有加密的。
(2)易受干扰,由于目前802. 1lb 协议规定的工作频段的开放性,广泛用于很多电子产品,因此容易互相干扰,造成无法通信或者通信中断,如果恶意用户通过干扰器对特定无线网络进行拒绝服务攻击或者干扰,那么这个干扰源不是很容易就能查出来的。
(3)入侵容易,无线网络的接入点在设计上要求其具有公开、易获取的特性,以方便合法接入者,但这也为入侵者提供了必要的信息,利用这些信息,入侵者可以在能够接受信号的任何地方进入网络或发起攻击,即使被入侵检测系统发现也很难定位,在不改变原有安全配置的情况下,难以阻止入侵的继续。虽然,802. 11 在安全方面规定了WEP 加密,但是WEP 加密是不安全的,WEP 的脆弱可能使整个网络受到更大的威胁。
(4)地址欺骗与会话拦截,由于802. 11 无线局域网对数据帧不进行认证操作,通过非常简单的方法就可以获得网络中站点的MAC 地址,然后通过欺骗帧改变ARP 表,进行地址欺骗攻击。同时,攻击者还可以通过截获会话帧发现AP 中存在的认证缺陷,装扮成AP 进入网络,进一步获取认证身份信息从而进入网络。
4 无线局域网中主要的安全防范技术
(1)服务集标识符(SSID):Service Set Identifier相当于一个局域网的简单标志或口令,它设置于无线接入点AP(Access Point)上,无线工作站要与AP连接必须要有一个和AP一致的SSID,无线工作站可以籍此来选择想要来连接的网络,从安全的角度来看,SSID提供一个较低级别的安全认证。
(2)物理地址过滤(MAC):在小规模的网络中,每一个被允许访问AP无线工作站的网卡的物理地址被登记下来,设置在AP中作为允许访问的过滤条件,在AP中没有登记的网卡无法访问AP。
(3)连线对等保密(WEP):WEP是Wired Equivalent Privacy的简称,是802.11b标准里定义的一个用于无线局域网(WLAN)的安全性协议。WEP被用来提供和有线LAN同级的安全性。WEP的目标就是通过对无线电波里的数据加密提供安全性,如同端对端发送一样。由于在WLAN 中,无需物理连接就可以连接到网络,因此IEEE 选择在数据链路层使用加密,采用RC4对称加密技术,用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。
(4)Wi-Fi保护接入(WPA):WPA(Wi-Fi Protected Access)继承了WEP的基本原理,通过使用一种名为TKIP(暂时密钥完整性协议)的新协议,使用的密钥与网络上每台设备的MAC地址及一个更大的初始化向量合并,来确保每一节点均使用一个不同的密钥流对其数据进行加密。随后TKIP会使用RC4加密算法对数据进行加密,由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析也几乎无法计算出通用密钥,解决了WEP的缺陷, WPA还包含了认证、加密和数据完整性校验三个组成部分,是一个完整的安全性方案。
5 无线局域网安全防范措施
(1)在有条件的情况下,可以采用支持WPA规范的设备,WPA标准作为一种可替代WEP的无线安全技术,考虑到了不同的用户和不同的应用安全需要,在企业模式下,通过使用认证服务器和复杂的安全认证机制来保护无线网络通信安全。家庭模式(包括小型办公室)下,在AP(或者无线路由器)以及连接无线网络的无线终端上输入共享密钥来保护无线链路的通信安全。
(2)如果只能选择WEP加密技术,则最好采用128位WEP加密,并不要使用设备自带的WEP密钥。
(3)禁止AP向外广播其SSID,并设置复杂的SSID,由于一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。而且目前有的客户端跳过SSID安全功能,自动连接到AP。所以这些措施是比较脆弱的,但如果配置AP向外广播其SSID,那么安全程度还将下降。
(4)设置MAC过滤,在AP 中可以设定哪些MAC 地址不能与AP 通信,这样可防止非法网卡登录到AP 上,也可以防止非法客户机访问AP 下的无线网客户机。
但应该知道,实际上MAC是很容易被假冒的。
(5)注意对AP的管理,修改缺省的AP密码,各种主流AP产品的默认管理密码已为人们熟知,应修改缺省的密码,以防非法闯入。
7 结束语
无线网络在很大程度上突破了统有线网络的限制,使用户获得了可移动性和方便性,但正因如此无线网络也面临更大的安全威胁,要求我们有更高一级的安全防范意识和防范措施,不可掉以轻心。当然也没有必要“谈无线而色变”,因为其安全上的风险而不敢采用,事实上,根据不同的安全需要,对无线网络的固有物理特性和组网结构进行透彻的分析,在不同的层面采取恰当的措施,保障无线网络的安全可用是完全可行的。
参考文献
[1]蔡一郎. Windows 2000 Server 网络技术与构架管理[M]北京:清华大学出版社,2002 :302 - 378
[2]何军.无线通信与网络.北京:清华大学出版社,2004,6
[3]孙利民,李建中.无线局域网络.北京:清华大学出版社,2005:4~22
[4] Aspinwall J . Installing, Troubleshooting and Repairing Wireless Networks[M].北京:电子工业出版社,2004
[5]湛成伟.网络安全技术发展趋势浅析[J ].重庆工学院学报,2006,20(8):119 - 121