開篇:寫作不僅是一種記錄,更是一種創(chuàng)造��,它讓我們能夠捕捉那些稍縱即逝的靈感��,將它們永久地定格在紙上。下面是小編精心整理的12篇互連技術(shù)論文��,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友�,陪伴您不斷探索和進步。
第1篇
關(guān)鍵詞:異構(gòu)數(shù)據(jù)庫���;數(shù)據(jù)訪問;Hibernate
中圖分類號:TP311文獻標識碼:A文章編號:1009-3044(2011)08-1713-03
The Application of Hibernate in System of Heterogeneous Databases
YAO Xiao-hui, WANG Hui, ZHANG Ya-jun
(Information and Control Institute, Xi'an University of Architecture & Technology, Xi'an 710055, China)
Abstract: In recent years, there is a lot of data storing in different databases during development of enterprise, therefore, many isolated subsystem of data formed in each department. And it is obstacle to application of data. At present, database middleware is one of important technology in integration of data in heterogeneous databases and be used in this paper to realize access to heterogeneous data in internal of enterprise.
Key words: Heterogeneous databases; access of data; Hibernate
近年來��,隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展�,網(wǎng)絡(luò)資源信息共享在人們生活學(xué)習(xí)中起到了重要作用。然而由于各種原因�����,計算機網(wǎng)絡(luò)信息的數(shù)據(jù)存在于不同的數(shù)據(jù)庫管理系統(tǒng)�。如何消除異構(gòu)數(shù)據(jù)的差異,將各個孤立的數(shù)據(jù)系統(tǒng)有機地聯(lián)系起來�,為用戶提供統(tǒng)一透明的訪問成為計算機網(wǎng)絡(luò)研究的重要方向�����。本文基于Hibernate數(shù)據(jù)庫中間件技術(shù)實現(xiàn)對異構(gòu)數(shù)據(jù)庫的透明訪問����。而當(dāng)前的異構(gòu)數(shù)據(jù)庫系統(tǒng)中主要存在以下幾個問題:
1) 數(shù)據(jù)信息的數(shù)據(jù)庫管理系統(tǒng)不同�,如:MySQL、HSQL�����、SQL Server等數(shù)據(jù)庫管理系統(tǒng)�����;
2) 不同數(shù)據(jù)庫管理系統(tǒng)數(shù)據(jù)類型的異構(gòu),如:整型數(shù)據(jù)的長度���、布爾類型的支持等;
3) 數(shù)據(jù)庫所在的操作系統(tǒng)的異構(gòu)�,如:Windows��、Linux等;
4) 數(shù)據(jù)庫所在的網(wǎng)絡(luò)環(huán)境的異構(gòu)����,如:Internet和各種局域網(wǎng)����。
1 異構(gòu)數(shù)據(jù)訪問技術(shù)簡介
目前國內(nèi)外針對異構(gòu)數(shù)據(jù)庫技術(shù)的研究已經(jīng)取得了一定的成績�����。對于異構(gòu)數(shù)據(jù)庫的集成和互聯(lián)問題的解決方法主要有����,基于XML的異構(gòu)數(shù)據(jù)庫訪問中間件技術(shù)��,基于Web Service的異構(gòu)數(shù)據(jù)庫技術(shù)���,Java RMI(Remote Method Invocation)��、DCOM(Distributed Component Object Model)和CORBA(Common Object Request Broker Architecture)分布式對象模型技術(shù)等。在這些技術(shù)的研究過程中�����,都會涉及到異構(gòu)數(shù)據(jù)庫中數(shù)據(jù)訪問技術(shù)���,主要包括CGI(Common Gateway Interface)�、CDG(Common Database Gateway)��、CPI(Common Programing Interface)技術(shù)等����。
1.1 主要異構(gòu)數(shù)據(jù)訪問技術(shù)
1.1.1 基于CGI的數(shù)據(jù)訪問技術(shù)
CGI是Web服務(wù)器與CGI應(yīng)用程序之間進行信息傳遞的一種標準�����,是目前訪問數(shù)據(jù)庫最常用的方法之一�,它移植性好�,幾乎所有的web服務(wù)器都支持CGI標準。但是,CGI有一個致命的弱點����,那就是CGI程序不能被多個客戶請求共享��。每當(dāng)接到一個請求后,即創(chuàng)建一個并發(fā)進程,并發(fā)請求越多,創(chuàng)建的并發(fā)進程越多�����,占用的內(nèi)存空間越大���,這樣就限制了應(yīng)用程序自身所用的內(nèi)存資源���。
1.1.2 基于CPI的數(shù)據(jù)訪問技術(shù)
通用編程接口是將各數(shù)據(jù)庫的連接驅(qū)動進行封裝���,以一種的編程形式為開發(fā)者提供統(tǒng)一的接口。當(dāng)前通用數(shù)據(jù)庫編程接口主要有微軟公司的開放式數(shù)據(jù)庫互連技術(shù)ODBC(Open Database Connectivity)和Sun公司的Java數(shù)據(jù)庫互連技術(shù)JDBC(Java Database Connectivity)。
JDBC是第一個支持Java語言的數(shù)據(jù)庫應(yīng)用程序接口�����,功能上與ODBC相仿��,定義了連接數(shù)據(jù)庫的操作規(guī)范,實現(xiàn)對查詢語言的支持�,并提供對不同數(shù)據(jù)庫管理平臺的驅(qū)動支持���。另外�,Java語言實現(xiàn)的API����,JDBC可以實現(xiàn)跨平臺的應(yīng)用。
1.2 基于Hibernate的異構(gòu)數(shù)據(jù)訪問技術(shù)
Hibernate框架技術(shù),是一個開源的對象關(guān)系映射框架技術(shù)����,它實現(xiàn)了對JDBC的輕量級封裝���,使得Java程序員可以使用面向?qū)ο缶幊趟季S來實現(xiàn)對數(shù)據(jù)庫管理操作�����。Hibernate可以代替JDBC應(yīng)用的任何場合,既可以在Java的客戶端程序使用�����,也可以在Servlet/JSP的Web應(yīng)用中使用���,更重要的是���,Hibernate可以在應(yīng)用企業(yè)級架構(gòu)中取代CMP��,完成數(shù)據(jù)持久化的重任�����。Hibernate是一種數(shù)據(jù)庫中間件技術(shù)����,其存在于應(yīng)用與數(shù)據(jù)庫之間,如圖1所示���。
Hibernate O/R映射是數(shù)據(jù)庫開發(fā)最關(guān)鍵的組成部分。Hibernate采用XML文件來定義對象和關(guān)系數(shù)據(jù)庫之間的映射���,具體的實體映射關(guān)系包括:類名與表名的映射、主鍵映射�、屬性與字段的映射��。另外,Hibernate同時為開發(fā)者提供數(shù)據(jù)表間關(guān)系的映射�����,即持久化對象之間的關(guān)聯(lián)關(guān)系包括:持久化對象的一對一關(guān)聯(lián)�、一對多關(guān)聯(lián)和多對多關(guān)聯(lián),這些關(guān)聯(lián)都可以在配置文件中以關(guān)鍵字進行表示���。
2 基于Hibernate的異構(gòu)數(shù)據(jù)庫訪問的設(shè)計
結(jié)合異構(gòu)數(shù)據(jù)庫應(yīng)用的特點,其主要的應(yīng)用流程如圖2所示���,用戶通過應(yīng)用程序向服務(wù)器發(fā)送查詢數(shù)據(jù)請求,當(dāng)服務(wù)器接收到查詢請求時進行請求分析���,并依據(jù)系統(tǒng)所提供的全局數(shù)據(jù)字典,將查詢請求劃分為對各個數(shù)據(jù)子系統(tǒng)的分查詢���,由數(shù)據(jù)連接管理模塊進行具體數(shù)據(jù)庫的查詢操作,操作完成后將結(jié)果進行整合返回到用戶界面����。該設(shè)計主要考慮的是存在于服務(wù)器端的數(shù)據(jù)的分解查詢與查詢結(jié)果整合�����,圖2是對各個模塊的設(shè)計。
2.1 全局數(shù)據(jù)字典
全局數(shù)據(jù)字典�,是用于描述整個系統(tǒng)中各數(shù)據(jù)庫的基本信息�����,各數(shù)據(jù)庫與全局數(shù)據(jù)庫模式之間的映射關(guān)系,其詳細內(nèi)容包括:各個局部數(shù)據(jù)庫的名稱�����、類型����、驅(qū)動、節(jié)點地址�、用戶名和密碼�����;全局數(shù)據(jù)表與局部數(shù)據(jù)表的映射關(guān)系;全局表字段與局部表字段的映射關(guān)系�����;字段類型的映射關(guān)系��。
1) 全局數(shù)據(jù)庫信息
其中描述了整個系統(tǒng)內(nèi)各個局部數(shù)據(jù)庫的基本情況���,包括:數(shù)據(jù)庫名稱�����、數(shù)據(jù)庫類型、節(jié)點地址���、用戶名和密碼�,從而提供JDBC連接的基本內(nèi)容,如表1所示。
表1
在Hibernate中,采用Java提供的Properties實現(xiàn)全局數(shù)據(jù)庫表�,其配置文件名稱為hibernate.properties���,內(nèi)容如下:
hibernate.dialect=net.sf.hibernate.dialect.MySQLDialect
hibernate.connection.driver_class=com.mysql.jdbc.Driver
hibernate.connection.url= jdbc:mysql://host:3306/mybook
hibernate.connection.username=Book1user
hibernate.connection.password=****
hibernate.show_sql=true
針對于多個數(shù)據(jù)源連接時���,可以通過Configuration實現(xiàn)不同數(shù)據(jù)源Session的創(chuàng)建如下:
SessionFactory mysqlSessionFactory =
new Configuration().configure("/mysql.cfg.xml").buildSessionFactory();
2) 全局數(shù)據(jù)表與局部數(shù)據(jù)表映射
全局數(shù)據(jù)表是對類型相同的位于不同數(shù)據(jù)庫管理系統(tǒng)的數(shù)據(jù)表的一種抽象的統(tǒng)一���,為用戶層提供一個一致的訪問接口和顯示界面�,如表2所示���,以圖書館圖書表結(jié)構(gòu)為例��。
表2
在表2中��,數(shù)據(jù)表Book_table1和數(shù)據(jù)表Book_table2屬于不同的數(shù)據(jù)庫,但是通過該關(guān)系映射表����,它們都屬于全局表Book_table的子表��。在處理全局表字段與局部表字段映射時,應(yīng)注意到全局字段所在全局表對應(yīng)于局部字段所在的局部表�����,即在整個系統(tǒng)中�����,全局字段有其全局字段的唯一表示�����,局部字段有其在系統(tǒng)中的唯一表示�����。
在應(yīng)用Hibernate實現(xiàn)異構(gòu)數(shù)據(jù)訪問時�����,通過ORM可以實現(xiàn)Java類到關(guān)系數(shù)據(jù)庫的映射,這是不再贅述��。在實現(xiàn)全局數(shù)據(jù)表到局部數(shù)據(jù)表的映射時,可以通過局部數(shù)據(jù)表類實現(xiàn)全局數(shù)據(jù)表接口的形式完成��。
interface book{
…//book對應(yīng)于book全局數(shù)據(jù)表
}
class book1 implements book{
…//book1對應(yīng)于book1局部數(shù)據(jù)表
}
class book2 implements book{
…//book2對應(yīng)于book2局部數(shù)據(jù)表
}
2.2 請求接收分析模塊
該模塊負責(zé)接收從用戶應(yīng)用的客戶端接收發(fā)送過來的查詢請求并進行分析��,對應(yīng)全局字典將全局的查詢語句翻譯成對各個局部數(shù)據(jù)庫的子查詢�����,并將其遞交到數(shù)據(jù)連接管理模塊。當(dāng)接收到SQL請求“select * from book where isbn=1”,在HQL(Hibernate Query Language)中是對book類集合的操作,首先對各個局部數(shù)據(jù)庫進行SELECT操作獲得數(shù)據(jù)庫的Java Bean備份,通過查找與其條件匹配的結(jié)果返回到用戶界面���。
2.3 數(shù)據(jù)連接管理模塊
數(shù)據(jù)連接管理模塊負責(zé)對局部數(shù)據(jù)庫進行子查詢操作,并將結(jié)果提交到結(jié)果整合模塊。在該模塊中主要是對各個局部數(shù)據(jù)庫連接驅(qū)動和數(shù)據(jù)庫連接池的管理���,底層的操作由JDBC實現(xiàn)。對于所需數(shù)據(jù)庫連接驅(qū)動的描述在上文的全局數(shù)據(jù)字典已經(jīng)給出,而對于各個局部數(shù)據(jù)庫查詢語言仍可以采用HQL��,局部數(shù)據(jù)庫查詢操作如下:
Session session = SessionFactory.openSession();
Transaction tx;
tx=session.beginTransaction();
session.delete("from book1 as c");
mit();
2.4 結(jié)果整合模塊
該模塊負責(zé)將數(shù)據(jù)連接管理模塊遞交的查詢結(jié)果進行整合�。局部數(shù)據(jù)庫所提交的結(jié)果是以Java Bean形式進行存儲的,在整合的過程中����,采用身上轉(zhuǎn)型將各個結(jié)果轉(zhuǎn)化為其接口的形式����,實現(xiàn)其格式的統(tǒng)一�。最后�,數(shù)據(jù)結(jié)果以HTML或JSP的形式顯示到應(yīng)用客戶端。
3 結(jié)束語
論文采用Hibernate數(shù)據(jù)庫中間件技術(shù)實現(xiàn)了對異構(gòu)數(shù)據(jù)庫的數(shù)據(jù)訪問���,在一定程度上解決了操作系統(tǒng)異構(gòu)性,數(shù)據(jù)庫管理系統(tǒng)異構(gòu)性�����,數(shù)據(jù)表結(jié)構(gòu)的異構(gòu)性����,在實際的應(yīng)用中也起到了用戶透明訪問的作用。但是�,從整個異構(gòu)數(shù)據(jù)庫中依舊存在的問題來看���,論文中的設(shè)計在局部數(shù)據(jù)庫安全控制沒有過多考慮�����,在深層次的異構(gòu)情況中,表現(xiàn)不足�����。未來異構(gòu)數(shù)據(jù)庫技術(shù)必將在B/S模式下取得長足的發(fā)展�����,而由此帶來的各方面技術(shù)的進步又將完善整個異構(gòu)數(shù)據(jù)庫系統(tǒng)�。
參考文獻:
[1] Elliott J.Hibernate程序高手秘笈[M].O'Reilly Taiwan公司,譯.南京:東南大學(xué)出版社,2007.
[2] 孫衛(wèi)琴.精通Hibernate:Java對象持久化詳解[M].北京:電子工業(yè)出版社,2005.
[3] 吳其慶.Eclipse程序設(shè)計實例教程[M].北京:冶金工業(yè)出版社,2007.
[4] 徐斌,于微微,于志濤.基于Web服務(wù)的異構(gòu)數(shù)據(jù)庫集成技術(shù)研究[J].中國科技資源導(dǎo)刊,2008,40(5):19-24.
[5] 羅華雯,趙敬中.利用Java實現(xiàn)基于Web的異構(gòu)數(shù)據(jù)庫的聯(lián)合使用[J].計算機應(yīng)用研究,2000,7:104-106.
第2篇
論文關(guān)鍵詞:隨著電信技術(shù)的不斷發(fā)展,電信主干網(wǎng)絡(luò)的功能越來越完善,功能也越來越強,所提供的業(yè)務(wù)種類也不斷增加�。但是作為整個電信網(wǎng)絡(luò)組成之一的用戶(終端)接入系統(tǒng)卻因其技術(shù)和裝備的相對落后而成為電信事業(yè)發(fā)展的“瓶頸”。為解決這一問題,近年在電信領(lǐng)域里出現(xiàn)了一種新的技術(shù)概念——光纖接入網(wǎng)
電信網(wǎng):眾多傳輸系統(tǒng)通過交換系統(tǒng)按一定拓撲模式組合在一起才構(gòu)成電信網(wǎng)�����。
電信網(wǎng)的構(gòu)成:用戶終端設(shè)備�����,傳輸鏈路及轉(zhuǎn)接交換設(shè)備。
接入網(wǎng):由業(yè)務(wù)節(jié)點接口(SNI)和用戶入網(wǎng)接口(UNI)之間的一系列傳送實體(例如線路設(shè)施和傳輸設(shè)施)組成,為供給電信業(yè)務(wù)而提供所需傳送承載能力的實施系統(tǒng),可經(jīng)由Q3接口配置和管理�����。
Q3
UNI
SNI
接入網(wǎng)的定界
二��、 接入技術(shù)
1. 有線接入技術(shù)���。
包括銅線接入��,光纖接入���,光纖/同軸混合接入HFC等�����,近幾年發(fā)展起來的XDSL(數(shù)字用戶線技術(shù))技術(shù)通過將數(shù)字信號直接調(diào)制到模擬的電話線上傳輸,可以獲得較高的寬帶和傳輸速率��,其主要的技術(shù)包括HDSL,ADSL,VDSL等���。
2.無線接入技術(shù)�。
其中,光纖技術(shù)的發(fā)展和應(yīng)用使接入網(wǎng)能夠全面改進傳統(tǒng)的傳輸媒介���,具有寬頻帶,傳輸距離遠���,傳輸質(zhì)量高,損耗低等優(yōu)點,提高了接入網(wǎng)的投資效益,使接入網(wǎng)朝著更高效�����,更安全的方向發(fā)展�。
3.OAN(Optical Access Network)光纖接入網(wǎng)���,就是指從業(yè)務(wù)節(jié)點(如交換機)到用戶節(jié)點之間得饋線段����,配線段及引入線段的部分或全部使用光纖實現(xiàn)接入的系統(tǒng)。基于光纖介質(zhì)采用數(shù)據(jù)傳輸技術(shù),用以提供寬,窄帶雙向交互式業(yè)務(wù)(語音�����,數(shù)據(jù)�����,Internet等)的用戶接入系統(tǒng)與設(shè)備體系�����。
三、 光接入網(wǎng)網(wǎng)管
目前的接入網(wǎng)中大多是光接入網(wǎng)�����,光接入網(wǎng)的操作管理維護功能應(yīng)遵守上述TMN的通用功能����,同時又必須與一些針對光接入網(wǎng)的特有功能要求。
OAN的功能子系統(tǒng)有4類,即設(shè)備����,傳輸,光的子系統(tǒng)和業(yè)務(wù)子系統(tǒng)�����,主要用來完成OAM要求�����。
設(shè)備子系統(tǒng)包含OLT和ONU的機箱��,機柜,機架��,也包含不在插板上的指示燈和鈴以及光纖配線盤或配線架����。設(shè)備子系統(tǒng)還包含OLT和ONU的機架機柜的供電以及光分路器的機殼�����。
傳輸子系統(tǒng)由OLT和ONU的收發(fā)設(shè)備電路和光/電電路組成。光配線盤和配線機架屬于設(shè)備子系統(tǒng)���,但光元件本身屬于光的子系統(tǒng)范疇。
光的子系統(tǒng)由各種形成的光纖��,光分路器����,光濾波器和任何光時域反射儀(OTDR)或線夾式光功率機組成。
業(yè)務(wù)子系統(tǒng)有那些為了支持不同業(yè)務(wù)而需要專門將該業(yè)務(wù)與OAN的一般核心功能相適配的子系統(tǒng)組成���,例如PSTN和ISDN。
從功能類別的角度看����,則OAN的功能必須具備TMN所規(guī)定的4類功能類別:
——配置管理
——性能管理
——故障管理
——安全管理
以寧夏電信銀川地區(qū)ADSL五期擴容工程為例,主要的節(jié)點設(shè)備在選型上應(yīng)盡可能考慮性能價格比最優(yōu)����、與其它設(shè)備的兼容性�、并便于網(wǎng)絡(luò)管理���;在網(wǎng)絡(luò)技術(shù)上應(yīng)提供完全的網(wǎng)絡(luò)安全控制����,遠程信息點的接入技術(shù)。
寧夏電信IP寬帶網(wǎng)采用三層結(jié)構(gòu)����,分別為核心層���、匯聚層�、接入層���。
(1)核心層
核心層為下兩層(分布層�����、訪問層)提供優(yōu)化的數(shù)據(jù)輸運功能����,它是一個高速的交換骨干�,其作用是盡可能快地交換數(shù)據(jù)包而不應(yīng)卷入到具體的數(shù)據(jù)包的運算中,否則會降低數(shù)據(jù)包的交換速度。
寧夏電信ADSL寬帶網(wǎng)銀川地區(qū)通過西城核心交換機Catalyst6509接入骨干網(wǎng)���。
(2)匯聚層
匯聚層提供基于統(tǒng)一策略的互連性,它是核心層和接入層的分界點,定義了網(wǎng)絡(luò)的邊界�,對數(shù)據(jù)包進行復(fù)雜的運算����。
寧夏電信ADSL寬帶網(wǎng)銀川地區(qū)匯聚節(jié)點東城���、西城��、同心路通過交換機S8016接入骨干網(wǎng)。
(3)接入層
接入層的主要功能是為最終用戶提供對寬帶網(wǎng)絡(luò)訪問的途徑。
貝爾網(wǎng)管系統(tǒng)
目前銀川市老城區(qū)的各個ADSL設(shè)備接入節(jié)點利用帶內(nèi)網(wǎng)管通道與網(wǎng)管系統(tǒng)相連�,網(wǎng)管系統(tǒng)為上海貝爾提供的網(wǎng)管軟件AWS��。主要提供故障管理(告警報告、故障記錄、告警過濾、通過專家(Expert)系統(tǒng)進行告警分析�����、測試)�����、配置管理(傳輸配置����、設(shè)備配置��、傳送配置���、軟件配置)�、性能管理、計費管理和安全管理功能。強大的網(wǎng)絡(luò)管理功能�����,可以最多同時管理200萬個用戶和或4000個節(jié)點�����,支持快速的業(yè)務(wù)部署、快速的發(fā)現(xiàn)節(jié)點或鏈路故障并進行故障定位和自動配置功能,使網(wǎng)絡(luò)運維簡便����,節(jié)約了運維成本���。該系統(tǒng)支持SNMP協(xié)議�����,每個ASAM都具有一個通往ADSL網(wǎng)管系統(tǒng)永久虛連接(PVC),從而實現(xiàn)對每個ASAM的管理��。7300 ASAM提供ATM/IP網(wǎng)管連接方式�,支持本地網(wǎng)管和遠程TELNET方式和web方式管理。
華為網(wǎng)管系統(tǒng)
華為公司各DALAM設(shè)備均利用帶內(nèi)網(wǎng)管通道與原有銀川信息大廈iManager N2000網(wǎng)管系統(tǒng)相連���,進行集中管理。iManager N2000可以支持多客戶端���、分域管理的方式,即全網(wǎng)提供一個綜合網(wǎng)管系統(tǒng)�,管理全網(wǎng)的設(shè)備�、網(wǎng)絡(luò)和業(yè)務(wù)��,利用網(wǎng)管系統(tǒng)本身提供的分域管理能力�,為特定的區(qū)域提供相應(yīng)管理權(quán)限的客戶端���。
港灣網(wǎng)管系統(tǒng)
銀川已經(jīng)有港灣公司一套HammerView網(wǎng)管系統(tǒng)�����,通過10/100M口連接到IP骨干網(wǎng)����。
參考文獻
[1] 用戶接入網(wǎng)/顧群 -北京:人民郵電出版社���,1996年
[2] 網(wǎng)絡(luò)管理原理與實現(xiàn)技術(shù)/楊家?�!。本呵迦A大學(xué)出版社��,2000年
[3] 網(wǎng)絡(luò)管理標準教程/劉曉輝?�。本喝嗣襦]電出版社��,2002年
[4] SDH網(wǎng)絡(luò)管理及其應(yīng)用/李興明 -北京:人民郵電出版社
[5] 現(xiàn)代網(wǎng)絡(luò)管理技術(shù)/孟洛明?��。本罕本┼]電大學(xué)出版社,1999年
[6] 計算機通信網(wǎng)絡(luò)技術(shù)及應(yīng)用/李道華?����。本喝嗣襦]電出版社
[7] 網(wǎng)絡(luò)與互連技術(shù)/顧紅勛?���。本喝嗣襦]電出版社
[8] 互聯(lián)網(wǎng)接入——基礎(chǔ)與技術(shù)/劉云 -北京:人民郵電出版社
[9] 通信與網(wǎng)絡(luò)技術(shù)概述/智少游?。本褐袊F道出版社���,年
[10] 現(xiàn)代網(wǎng)絡(luò)管理/ R.S.Blicg北京博彥科技發(fā)展責(zé)任有限公司;吳錫根等譯.--北京 電子科技大學(xué)出版社�����,1997年
第3篇
【關(guān)鍵詞】隧道技術(shù),應(yīng)用����,研究
中圖分類號:U45文獻標識碼: A
一�����、前言
由于網(wǎng)絡(luò)的發(fā)展和完善以及速度的不斷提高,越來越多的公司逐步進行運用隧道技能����。大規(guī)模的組建VPN網(wǎng)絡(luò)已經(jīng)成為一種趨勢��,這種技術(shù)越來越多地遭到用戶的廣泛重視。
二�����、VPN的隧道技術(shù)
VPN技術(shù)比較復(fù)雜����,它涉及到通信技術(shù)、密碼技術(shù)和現(xiàn)代認證技術(shù)�,是一項交叉科學(xué)�����。具體來講,目前VPN主要采用下列四項技術(shù)來保證其安全,這四項技術(shù)分別是隧道技術(shù)(Tunneling)�、加解密技術(shù)(Encryption&Decryption)�����、密鑰管理技術(shù)、使用者與設(shè)備身份認證技術(shù)(Authentication)����。隧道技術(shù)是VPN的基本技術(shù)��,類似于點對點連接技術(shù),它在公用網(wǎng)中建立一條數(shù)據(jù)通道(隧道)�����,讓數(shù)據(jù)包通過這條隧道傳輸�。隧道技術(shù)的基本工作原理是在源局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)作為負載封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式之中����,在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝,取出負載。被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時所經(jīng)過的邏輯路徑被稱為“隧道”���。
三、隧道技術(shù)
1�����、第二層隧道協(xié)議
第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中�,再把整個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進行傳輸��。創(chuàng)建隧道的過程類似于在雙方之間建立會話�����;隧道的兩個端點必須同意創(chuàng)建隧道并協(xié)商隧道各種配置變量��,如地址分配,加密或壓縮等參數(shù)。第二層隧道協(xié)議有L2F���、PPTP、L2TP等。
(一)、點對點隧道協(xié)議(PPTP)
PPTP將PPP數(shù)據(jù)楨封裝在IP數(shù)據(jù)報內(nèi)通過IP網(wǎng)絡(luò)�����,如Internet傳送����。PPTP還可用于專用局域網(wǎng)絡(luò)之間的連接。PPTP使用一個TCP連接對隧道進行維護,使用通用路由封裝(GRE)技術(shù)把數(shù)據(jù)封裝成PPP數(shù)據(jù)楨通過隧道傳送�����?��?梢詫Ψ庋bPPP楨中的負載數(shù)據(jù)進行加密或壓縮�。
(二)、第2層轉(zhuǎn)發(fā)(L2F)
L2F是Cisco公司提出的隧道技術(shù)����,作為一種傳輸協(xié)議L2F支持撥號接入服務(wù)器將撥號數(shù)據(jù)流封裝在PPP楨內(nèi)通過廣域網(wǎng)鏈路傳送到L2F服務(wù)器(路由器)�����。L2F服務(wù)器把數(shù)據(jù)包解包之后重新注入(inject)網(wǎng)絡(luò)。與PPTP和L2TP不同����,L2F沒有確定的客戶方�����。應(yīng)當(dāng)注意L2F只在強制隧道中有效。
(三)、第2層隧道協(xié)議(L2TP)
L2TP結(jié)合了PPTP和L2F協(xié)議���。設(shè)計者希望L2TP能夠綜合PPTP和L2F的優(yōu)勢。L2TP是一種網(wǎng)絡(luò)層協(xié)議�,支持封裝的PPP楨在IP�,X.25���,楨中繼或ATM等的網(wǎng)絡(luò)上進行傳送���。當(dāng)使用IP作為L2TP的數(shù)據(jù)報傳輸協(xié)議時���,可以使用L2TP作為Internet網(wǎng)絡(luò)上的隧道協(xié)議�����。L2TP還可以直接在各種WAN媒介上使用而不需要使用IP傳輸層。
2�、第三層隧道協(xié)議
IPSec是指IETF(因特網(wǎng)工程任務(wù)組)以RFC形式公布的一組安全IP協(xié)議集����,是為IP及其以上協(xié)議(TCP和UDP等)提供安全保護的安全協(xié)議標準����。其目標是把安全機制引入IP協(xié)議,通過使用密碼學(xué)方法支持機密性和認證服務(wù)等安全服務(wù)�。IPSec通過在IP協(xié)議中增加兩個基于密碼的安全機制―認證頭(AH)和封裝安全載荷(ESP)來支持IP數(shù)據(jù)報的認證�����、完整性和機密性。IPSec協(xié)議族包括:IP安全架構(gòu)��、認證頭AH�、封閉安全載荷ESP和Internet密鑰交換(IKE)等協(xié)議。IP安全架構(gòu)協(xié)議指定了IPSec的整個框架�����,是IP層安全的標準協(xié)議�。AH協(xié)議定義了數(shù)據(jù)源認證和完整性驗證的應(yīng)用方法。ESP為IP數(shù)據(jù)報文提供數(shù)據(jù)源驗證�、數(shù)據(jù)完整性校驗�����、抗重播和數(shù)據(jù)加密服務(wù)。IKE為AH和ESP提供密鑰交換機制����,在實際進行IP通信
時�����,可以根據(jù)實際安全需求����,同時使用AH和ESP協(xié)議,或選擇使用其中的一種�����。
3、新興的隧道協(xié)議
SSL是Netscape公司設(shè)計的主要用于web的安全傳輸協(xié)議�。SSL被設(shè)計為使TCP提供一個可靠的端到端的安全服務(wù)����,它不是一個單一的協(xié)議��,而是由多個協(xié)議組成記錄協(xié)議定義了要傳輸數(shù)據(jù)的格式��,它位于可靠的傳輸協(xié)議TCP之上,用于各種更高層協(xié)議的封裝�。記錄協(xié)議主要完成分組和組合��,壓縮和解壓縮,以及消息認證和加密等功能��。所有傳輸數(shù)據(jù)包括握手消息和應(yīng)用數(shù)據(jù)都被封裝在記錄中�����。握手協(xié)議允許服務(wù)器與客戶機在應(yīng)用程序傳輸和接收數(shù)據(jù)之前互相認證����、協(xié)商加密算法和密鑰�����。通信雙方首先通過SSL握手協(xié)議建立客戶端與服務(wù)器之間的安全通道,SSL記錄協(xié)議通過分段���、壓縮、添加MAC以及加密等操作步驟把應(yīng)用數(shù)據(jù)封裝成多條記錄�����,最后再進行傳輸����。
四、隧道技術(shù)的應(yīng)用模型
1、端到端安全應(yīng)用
IPSec存在于一個主機或終端系統(tǒng)時��,每一個離開和進入的PI數(shù)據(jù)包都可得到安全保護�����。PI包的安全保護可以從數(shù)據(jù)源一直到數(shù)據(jù)被接收����。制定相應(yīng)的安全策略����,一對獨立的SA可以保護兩個端點之間的全部通信―Tenlet、SMTP����、WEB和FTP等���?�;蛘撸鶕?jù)兩個端點之間通信的協(xié)議的不同(TCP和UDP)和端口的不同�����,分別用不同的SA保護兩個端點之間的不同的通信���。在這種模式下����,通信的端點同時也是PISec的端點���。所以�,端到端安全可以在傳送模式下,
利用PISec來完成�����;也可以在隧道模式下,利用額外IP頭的新增來提供端到端的安全保護�����。
2��、虛擬專用網(wǎng)
IPSec存在于路山器等網(wǎng)絡(luò)互連設(shè)備時�����,司一以構(gòu)建虛擬專用網(wǎng)VPN。VPN是“虛擬的”����,因為它不是一個物理的��、明顯存在的網(wǎng)絡(luò)。兩個不同的物理網(wǎng)絡(luò)通過一條穿越公共網(wǎng)絡(luò)的安全隧道連接起來��,形成一個新的網(wǎng)絡(luò)VPN��。VPN是“專川的”,因為被加密的隧道可以提供數(shù)據(jù)的機密性�。而今��,人們從傳統(tǒng)的專線網(wǎng)絡(luò)轉(zhuǎn)移到利用公共網(wǎng)絡(luò)的網(wǎng)絡(luò),逐漸意識到節(jié)省費用的VPN重耍性�。通過在路山器上配置PISec�,就可以構(gòu)建一個VPN��。在路山器的一端�,連接著一個受保護的私有網(wǎng)絡(luò)��,對這個網(wǎng)絡(luò)的訪問要受到嚴格的擰制��。在另一端連技的是一個不安全的網(wǎng)絡(luò)帳Internet。在兩個路山器之間的公共網(wǎng)絡(luò)上建立一條安全隧道��,通信就可以從一個受保護的本地子網(wǎng)安全地傳送到另一個受保護的遠程子網(wǎng)�。這就是VPN,在VPN中���,母一個具有IPSec的路由器都是一個網(wǎng)絡(luò)聚合點。在兩個PISec的路山器之間通常使用隧道模式�����,可以采用多種安全策略�����,建立一對或多對SA�����,試圖對VPN進布J屯通信分析將是非常困難的。如果在一個本地私有網(wǎng)絡(luò)中的數(shù)據(jù)包的目的地是VPN的遠程網(wǎng)絡(luò)―它是從一個路由器發(fā)送到另一個路山器的、加密的數(shù)據(jù)包。
3�、移動IP
在端到端安IP全中���,數(shù)據(jù)包由產(chǎn)生和l或接收通信的那個主機進行加密和解密.在VPN中���,
網(wǎng)絡(luò)中的一個路由器對一個受安全保護的網(wǎng)絡(luò)中的主機(或多個)的數(shù)據(jù)包進行加密和解密。這兩個組合一般稱為移動IP。移動IP一般是獨立的�,它要求計問受安全保護的網(wǎng)絡(luò)��,它是一個移動的客戶,不停留在某個固定的地方。他必須通過旅店、或任何一個可以進行internetPOP的地方,安全地訪問公司資源。在移動IP的方案中��,移動主機和路由器都支持PISec���,它們之間可以建立一條安個隧道���。它們能夠在外出數(shù)據(jù)包抵達通信線路之前對它進行安全保護:能夠在對進入包進行IP處理之前���,驗證它們的安全保護�����。具有PISec的路山器保護的是移動主機想要訪問的那個網(wǎng)絡(luò)���,它也可以是支持V戶N的路山器��,允許其它的移動主機進行安全的遠程訪問����。在這種方案中��,一方是移動主機���,它既是通信方����。另一方將PISec當(dāng)作一項服務(wù)提供給另一個網(wǎng)絡(luò)實體��。
4、嵌套式隧道
有時,需要支持多級網(wǎng)絡(luò)安全保護�����。比如下面一個例子:一個企業(yè)有一個安全網(wǎng)關(guān)��,以防止其網(wǎng)絡(luò)受到競爭者或黑客的侵犯和攻擊����,而企業(yè)內(nèi)部另有一個安全網(wǎng)關(guān)���,防止某些內(nèi)部員工進入敏感的子網(wǎng)���。比如銀行系統(tǒng)的企業(yè)網(wǎng)����。這種情況下,如果某人希望對網(wǎng)絡(luò)內(nèi)部的保護子網(wǎng)進行訪問��,就必須使用嵌套式隧道�����。
5��、鏈式隧道
一種常見的網(wǎng)絡(luò)安全配置是Hub-and-spoke。從一個網(wǎng)絡(luò)橫過Hub-and-spoke網(wǎng)絡(luò),到達另一個網(wǎng)絡(luò)的數(shù)據(jù)包都由一個安全網(wǎng)關(guān)加密,由中心路由器解密,再加密,并由保護遠程網(wǎng)絡(luò)的另一個安全網(wǎng)關(guān)解密。
6�����、隧道交換模型
如果從交換的角度來看�����,它也可以稱為隧道交換模型。在中心路由器所連接的四個網(wǎng)絡(luò)可以是不同類型的網(wǎng)絡(luò)����,隧道的實現(xiàn)方式也可以不同�,但是�����,不同網(wǎng)絡(luò)的兩個節(jié)點在進行數(shù)據(jù)傳輸時����,并不關(guān)心隧道的實現(xiàn)媒體�,隧道可以接力的方式進行數(shù)據(jù)的傳遞。從安全的角度���,假設(shè)每一個隧道是安全的,且中心路由器也是安全的�,那么任何兩個節(jié)點之間的通信也應(yīng)該是安全的�����。假設(shè)隧道間彼此不能信任,那么可以只將隧道的連接看作是一條數(shù)據(jù)的傳輸通道�����,再使用前面所論述的隧道模型實現(xiàn)安全保護,如點到點的隧道安全模式���。
五、結(jié)束語
由于Internet基礎(chǔ)設(shè)施的完善��,隧道技能必將將在網(wǎng)建等各范疇��,發(fā)揮著越來越重要的效果。實現(xiàn)隧道技能的多種多樣�����,它們各有各的優(yōu)勢�����,如今����,市場上大多數(shù)都在使用VPN這類技能�。
參考文獻
[1]毛小兵,VPN演進之隧道交換.《計算機世界》2000
[2]沈鑫剡.IP交換網(wǎng)原理、技術(shù)及實現(xiàn)[M].北京:人民郵電出版社,2003.
第4篇
論文摘要:以管理技術(shù)和計算機技術(shù)為基礎(chǔ)的信息管理系統(tǒng)已經(jīng)步入中國工業(yè)企業(yè)的經(jīng)營生產(chǎn)活動中�����。因此����,我們有必要探討現(xiàn)代信息管理系統(tǒng)在現(xiàn)代信息社會中的作用,從而使其更好的為中國社會主義市場經(jīng)濟的有序發(fā)展做出突出貢獻���。
一、研究背景
二十世紀末��,人類文明的發(fā)展進入信息時代���,計算機技術(shù)��、現(xiàn)代通信技術(shù)�����、網(wǎng)絡(luò)互連技術(shù)��、數(shù)據(jù)庫技術(shù)���、信息技術(shù)�、智能信息處理技術(shù)���、信息安全技術(shù)等關(guān)鍵技術(shù)都日趨成熟����,為信息技術(shù)的發(fā)展、為信息系統(tǒng)的大規(guī)模建設(shè)和應(yīng)用提供了堅實的技術(shù)理論基礎(chǔ)�����。信息己成為社會生產(chǎn)力的一個重要因素���。信息技術(shù)的發(fā)展使我們社會發(fā)生著一場變革����,隨著網(wǎng)絡(luò)技術(shù),尤其是INTERNET技術(shù)的成熟與發(fā)展,管理信息化已成為一種趨勢。信息化是“社會經(jīng)濟的發(fā)展從以物質(zhì)和能量為經(jīng)濟結(jié)構(gòu)的重心向以信息與知識為經(jīng)濟結(jié)構(gòu)的重心轉(zhuǎn)變的過程”,數(shù)字化�����、網(wǎng)絡(luò)化是其主要內(nèi)容�,信息化管理則是利用數(shù)字網(wǎng)絡(luò)信息技術(shù)系統(tǒng)所進行的管理。西方發(fā)達國家的LIMS(實驗室信息管理系統(tǒng))市場在九十年代就已經(jīng)完全打開,現(xiàn)在LIMS已經(jīng)成為一個標準詞匯為大家廣為接受�,在美國每年要召開一次LIMS大會�,討論LMIS的有關(guān)問題�。在國內(nèi),LIMS在九十年代開始為人們所知道��,并在石油化工等行業(yè)得到了一些初步推廣,但總的來說還遠沒有達到普及的程度。這當(dāng)然也受到了各種條件的制約:體制����、觀念、經(jīng)費等等�,但其中起根本作用的是硬件基礎(chǔ)條件和人們的觀念[1]��。
二、信息管理系統(tǒng)的起源�����、定義及發(fā)展
(一)信息管理系統(tǒng)的起源
信息管理系統(tǒng)的概念起源很早�����。早在30年代����,柏納德就寫書強調(diào)了決策在組織管理中的作用���;50年代�,西蒙提出了管理依賴于信息和決策的概念;同一時代維納發(fā)表了控制論和管理,他把管理過程當(dāng)作一個控制過程�����。50年代計算機已用于會計工作���。1958年蓋爾寫到“管理將以較低的成本得到及時準確的信息�����,做到較好的控制”這時數(shù)據(jù)處理一詞已經(jīng)出現(xiàn)�����。
信息管理系統(tǒng)一詞最早正式出現(xiàn)在1970年��,由Walert.TKeunvena定義為:“以口頭或書面的形式��,在合適的時間向經(jīng)理、職員以及外界人員提供過去的�����、現(xiàn)在的���、預(yù)測未來的有關(guān)企業(yè)內(nèi)部及其環(huán)境的信息����,以幫助他們進行決策”。很明顯這個定義是出自管理而不是計算機����。他雖強調(diào)了用信息支持決策���,但沒有強調(diào)應(yīng)用模型��,也沒有強調(diào)一定要用計算機。所有這些均顯示了這個定義的初始性�。直到1985年�,出現(xiàn)信息管理系統(tǒng)的一個比較完整的定義:“它是一個利用計算機硬件和軟件�����,手工作業(yè)���、分析�����、計劃����、控制和決策的模型���,以及數(shù)據(jù)庫的用戶一一機器系統(tǒng)���。它能提供信息支持企業(yè)或組織的運行�、管理和決策功能”����。這個定義全面說明了信息管理系統(tǒng)的目標、功能和組成����,而且反映了信息管理系統(tǒng)當(dāng)時達到的水平�����。它說明了信息管理系統(tǒng)在高、中�����、基三個檔次上支持管理活動�����。但
人們對信息管理系統(tǒng)的理解尚未完全統(tǒng)一��,一般認為:“信息管理系統(tǒng)是一個由人、計算機等組成的能進行信息的收集、傳送、存儲��、加工���、維護和使用的系統(tǒng)�����。它利用信息技術(shù),通過對企業(yè)(或部門)過去和當(dāng)前運行數(shù)據(jù)的分析處理來獲得所需信息,從而達到控制企業(yè)行為并對企業(yè)的未來狀況提供預(yù)測資料,從整體上輔助企業(yè)的領(lǐng)導(dǎo)進行決策的目的[3]”。
隨著信息技術(shù)�、網(wǎng)絡(luò)技術(shù)和通信技術(shù)的發(fā)展���,人類已全面進入信息社會�。信息社會對企業(yè)管理的理念����、方法帶來了革命性的變化,企業(yè)管理信息化是當(dāng)今世界企業(yè)發(fā)展的一個大趨勢,是企業(yè)在競爭中處于不敗地位的有效手段之一���。企業(yè)獲取信息是否及時、信息能否得到充分利用已越來越成為衡量一個企業(yè)市場競爭能力的重要因素����。
近幾年來�,許多企業(yè)都建立了自己的Intranet網(wǎng)絡(luò)���,并且利用Internet/Intranet實現(xiàn)企業(yè)信息的快速采集���、��、存儲��、處理和交流,從而有效的管理企業(yè)����。人員和設(shè)備的管理是企業(yè)管理的重要內(nèi)容,當(dāng)今社會�,企業(yè)人員流動頻繁���,設(shè)備更新速度快�,人員和設(shè)備管理工作也變得越來越復(fù)雜�����,實現(xiàn)人員��、設(shè)備管理的信息化��,無疑將給企業(yè)管理部門帶來很大的方便。
(二)信息管理系統(tǒng)的發(fā)展
信息管理系統(tǒng)在80年代即在英美等發(fā)達資本主義國家得以廣泛的開發(fā)與應(yīng)用�����,以美國公司為代表�����,管理信息系統(tǒng)軟件已大量應(yīng)用于生產(chǎn)�����、生活、通訊�、交通�����、運輸、商業(yè)�、建筑等各個行業(yè)�,通常被稱為無紙化�、無筆化管理工程。由于我國計算機硬件發(fā)展相對于英美等發(fā)達國家來說比較落后�,經(jīng)濟發(fā)展過程相對滯后�,計算機軟件開發(fā)市場疲軟�,缺乏安全性�,再加上軟件開發(fā)人才稀缺,嚴重制約了我國管理信息系統(tǒng)的開發(fā)與應(yīng)用��;目前我國信息管理系統(tǒng)主要是引進消化國外產(chǎn)品�,對國外一些產(chǎn)品加以漢化、改造��,但這些產(chǎn)品適應(yīng)性差�,針對性不強,不能很好的應(yīng)用于我國各行業(yè)生產(chǎn)的要求����。還有相當(dāng)一部分企業(yè)通過對MIS系統(tǒng)的開發(fā)來探索企業(yè)現(xiàn)代化管理的思路�����。
三、信息管理系統(tǒng)的作用
(一)輔助分析
企業(yè)等對生產(chǎn)經(jīng)營等活動進行決策的時候���,需要以各種數(shù)據(jù)作為依據(jù)。在人工的數(shù)據(jù)處理方式下�,只能提供定期的報表�����,難以根據(jù)需要提供各種綜合分析的數(shù)據(jù),使得企業(yè)的決策活動只能是依靠經(jīng)驗,往往帶有盲目性�����。這種經(jīng)營方式是一種低水平的運作�,會造成大量的浪費,而通過計算機系統(tǒng)將數(shù)據(jù)組織起來,可以隨時提供各種所需的數(shù)據(jù)����,能保證決策的準確���、及時。
(二)規(guī)范化管理
企業(yè)等組織中的許多數(shù)據(jù)管理并不像財務(wù)管理那樣有嚴格的制度,常常帶有較大的隨意性,數(shù)據(jù)采集的時間�����、格式和計算方式等往往是根據(jù)經(jīng)驗和公式完成的����,而且又不便于審核,容易引起混亂和錯誤。計算機系統(tǒng)則能為數(shù)據(jù)處理提供明確的尺度使之標準化�����、規(guī)范化[6]���。 轉(zhuǎn)貼于
(三)節(jié)省人力
不僅大量的重復(fù)計算能由計算機處理,可以減輕勞動強度,更重要的是在輸入數(shù)據(jù)以后,所有的處理都由計算機系統(tǒng)來完成����,可以免去人工方式下許多中問的處理環(huán)節(jié)�����,達到減員的效果。
(四)信息管理系統(tǒng)可促進組織管理職能、結(jié)構(gòu)優(yōu)化
信息管理系統(tǒng)本身是一項復(fù)雜的系統(tǒng)工程�,加之我國一般組織的管理基礎(chǔ)比較薄弱�����,因此在研究這一問題時,必然會涉及到企業(yè)或各種組織原有管理職能分配�、工程程序等是否科學(xué)�、合理�����,組織機構(gòu)的設(shè)置是否恰當(dāng)?shù)葐栴},因而需要進行管理職能、工程程序,乃至組織結(jié)構(gòu)的調(diào)整、優(yōu)化�����。
(五)信息管理系統(tǒng)能大大的減輕管理人員的工作強度
企業(yè)等各種組織的管理的工作量很大每天都會產(chǎn)生大量的信息���,但以往由于缺乏有效的手段�,造成管理人員的時間與精力都只能放在大量的分類、登記和計算機等工作中�,因而在很多場合只能簡化管理�����。但是通過信息管理系統(tǒng),可以調(diào)用計算機的強大功能�����,使工作人員有更多的精力去研究�����、細化管理內(nèi)容����,擴大管理的深度和廣度���。這有利于各層次管理者全面�����、深入地把握各種信息��,進行科學(xué)的決策�,進一步提管理水平。
(六)信息管理系統(tǒng)可促進管理制度的完善
在建立信息管理系統(tǒng)的過程中�����,隨著職能���、組織結(jié)構(gòu)的調(diào)整���、優(yōu)化和管理深度的提高�,各機構(gòu)之間的聯(lián)系也隨之越來越復(fù)雜,要使各機構(gòu)有機的聯(lián)系起來�����,依靠的是以責(zé)任制為基礎(chǔ)建立起來的一整套完整的管理制度����。完善的管理制度為信息的采集、加工整理、傳遞等提供了可靠的保證,可使信息這一重要的資源在管理中充分發(fā)揮作用��。
(七)信息管理系統(tǒng)能提高工作效率
計算機進行數(shù)據(jù)的處理.其速度是人的幾百倍、幾千倍�,將使管理信息的提供更加及時��。管理內(nèi)部網(wǎng)絡(luò)的建立,使部門之間的工作銜接更加緊密�,大大加快了業(yè)務(wù)辦理的程度�����,從而為提高工作效率奠定了良好的基礎(chǔ)。
(八)建設(shè)促進管理人員素質(zhì)提高
在目前的信息管理系統(tǒng)建設(shè)中����,一個突出問題是計算機專業(yè)人員數(shù)量少��,而且既懂計算機技術(shù)又懂管理的復(fù)合型人才奇缺�����;而信息管理系統(tǒng)建設(shè)的主力軍是管理人員��,管理人員不了解信息管理系統(tǒng)的基礎(chǔ)知識,就不能建成信息管理系統(tǒng)����。因此����、在信息管理系統(tǒng)的建設(shè)中��,要保證建設(shè)工作的順利進行��,人才培養(yǎng)必須同步進行,進一步提高管理人員的素質(zhì)�。
四��、結(jié)論
通過以上分析,我們可以清楚地看到建立信息管理系統(tǒng)的必要性以及其作用��、意義�����,建立信息管理系統(tǒng)不僅僅是企業(yè)安全管理的一項重大變革���,而且是時代的需要����,是順應(yīng)時代潮流的體現(xiàn)���。隨著應(yīng)用的不斷推廣和深人�,信息管理系統(tǒng)在現(xiàn)代信息社會中的作用必將越來越大����,計算機必將促進企業(yè)安全管理向科學(xué)化和現(xiàn)代化邁進,促進社會的和諧�,有序��,健康發(fā)展[7]。
參考文獻
[1]周先濤.有狀態(tài)的Web Services的研究與實現(xiàn)[D].成都:四川大學(xué)計算機學(xué)院�����,2006
[2]楊靜.基于NET平臺的XML Web Services研究與實現(xiàn)[D].蘭州:蘭州理工大學(xué)����,2005
[3]洪應(yīng).基于NET平臺Web服務(wù)的實現(xiàn)[J].荊門職業(yè)技術(shù)學(xué)院報,2004,5:48-51
[4]萬亮.基于SOA與EDA的綜合架構(gòu)應(yīng)用研究[D].武漢:武漢理工大學(xué)計算機科學(xué)與技術(shù)學(xué)院,2006
[5]朱明磊�����,黃磊.基于SOA模式的企業(yè)級應(yīng)用程序的架構(gòu)設(shè)計[J].電腦知識與技術(shù)���,2005(17):71-74
第5篇
關(guān)鍵詞:無線局域網(wǎng);標準;安全;趨勢
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)34-1891-03
1 引言
無線局域網(wǎng)本質(zhì)上是一種網(wǎng)絡(luò)互連技術(shù),它是計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物�����。其作為一種網(wǎng)絡(luò)接入手段,能迅速地應(yīng)用于需要在移動中聯(lián)網(wǎng)和在網(wǎng)間漫游的場合,并在不易架設(shè)有線的地力和遠沖離的數(shù)據(jù)處理節(jié)點提供強大的網(wǎng)絡(luò)支持�����。因此,WLAN得到了廣泛的應(yīng)用,已成為無線通信與Internet技術(shù)相結(jié)合的新興發(fā)展力向之一�。WLAN的最大優(yōu)點就是實現(xiàn)了網(wǎng)絡(luò)互連的可移動性,但由于無線局域網(wǎng)應(yīng)用具有很大的開放性,很難控制數(shù)據(jù)傳播范圍,因此無線局域網(wǎng)將面臨著嚴峻的安全問題��。
2 無線局域網(wǎng)安全發(fā)展概況
無線局域網(wǎng)802.11b公布之后,迅速成為事實標準,但其安全協(xié)議WEP始終受到人們的質(zhì)疑����。美國加州大學(xué)伯克利分校的Borisov,Goldberg和Wagner最早指出了WEP協(xié)議中存在的設(shè)計失誤,接下來信息安全研究人員發(fā)表了大量論文詳細討論了WEP協(xié)議中的安全缺陷,并與工程技術(shù)人員協(xié)作,在實驗中破譯了經(jīng)WEP協(xié)議加密的無線傳輸數(shù)據(jù)?���,F(xiàn)在,能夠截獲無線傳輸數(shù)據(jù)的硬件設(shè)備己經(jīng)能夠在市場上買到,能夠?qū)λ孬@數(shù)據(jù)進行解密的黑客軟件也已經(jīng)能夠在因特網(wǎng)上下載�。WEP不安全己經(jīng)成一個廣為人知的事情,人們期待WEP在安全性方面有質(zhì)的變化。
3 無線局域網(wǎng)安全風(fēng)險
安全風(fēng)險是指無線局域網(wǎng)中的資源面臨的威脅����。無線局域網(wǎng)的資源,包括了在無線信道上傳輸?shù)臄?shù)據(jù)和無線局域網(wǎng)中的主機���。
3.1 無線信道上傳輸?shù)臄?shù)據(jù)所面臨的威脅
由于無線電波可以繞過障礙物向外傳播,因此,無線局域網(wǎng)中的信號是可以在一定覆蓋范圍內(nèi)接聽到而不被察覺的 �����。另外,只要按照無線局域網(wǎng)規(guī)定的格式封裝數(shù)據(jù)包,把數(shù)據(jù)放到網(wǎng)絡(luò)上發(fā)送時也可以被其它的設(shè)備讀取,并且,如果使用一些信號截獲技術(shù),還可以把某個數(shù)據(jù)包攔截、修改,然后重新發(fā)送,而數(shù)據(jù)包的接收者并不能察覺��。
因此,無線信道上傳輸?shù)臄?shù)據(jù)可能會被偵聽��、修改�����、偽造,對無線網(wǎng)絡(luò)的正常通信產(chǎn)生了極大的干擾,并有可能造成經(jīng)濟損失。
3.2 無線局域網(wǎng)中主機面臨的威脅
無線局域網(wǎng)是用無線技術(shù)把多臺主機聯(lián)系在一起構(gòu)成的網(wǎng)絡(luò)�����。對于主機的攻擊可能會以病毒的形式出現(xiàn),除了目前有線網(wǎng)絡(luò)上流行的病毒之外,還可能會出現(xiàn)專門針對無線局域網(wǎng)移動設(shè)備,比如手機或者PDA的無線病毒����。當(dāng)無線局域網(wǎng)與無線廣域網(wǎng)或者有線的國際互聯(lián)網(wǎng)連接之后,無線病毒的威脅可能會加劇。
對于無線局域網(wǎng)中的接入設(shè)備,可能會遭受來自外部網(wǎng)或者內(nèi)部網(wǎng)的拒絕服務(wù)攻擊��。當(dāng)無線局域網(wǎng)和外部網(wǎng)接通后,如果把IP地址直接暴露給外部網(wǎng),那么針對該IP的Dog或者DoS會使得接入設(shè)備無法完成正常服務(wù),造成網(wǎng)絡(luò)癱瘓���。當(dāng)某個惡意用戶接入網(wǎng)絡(luò)后,通過持續(xù)的發(fā)送垃圾數(shù)據(jù)或者利用IP層協(xié)議的一些漏洞會造成接入設(shè)備工作緩慢或者因資源耗盡而崩潰,造成系統(tǒng)混亂�����。無線局域網(wǎng)中的用戶設(shè)備具有一定的可移動性和通常比較高的價值,這造成的一個負面影響是用戶設(shè)備容易丟失。硬件設(shè)備的丟失會使得基于硬件的身份識別失效,同時硬件設(shè)備中的所有數(shù)據(jù)都可能會泄漏��。
這樣,無線局域網(wǎng)中主機的操作系統(tǒng)面臨著病毒的挑戰(zhàn),接入設(shè)備面臨著拒絕服務(wù)攻擊的威脅,用戶設(shè)備則要考慮丟失的后果�。
4 無線局域網(wǎng)安全性
無線局域網(wǎng)與有線局域網(wǎng)緊密地結(jié)合在一起,并且己經(jīng)成為市場的主流產(chǎn)品。在無線局域網(wǎng)上,數(shù)據(jù)傳輸是通過無線電波在空中廣播的,因此在發(fā)射機覆蓋范圍內(nèi)數(shù)據(jù)可以被任何無線局域網(wǎng)終端接收���。安裝一套無線局域網(wǎng)就好象在任何地方都放置了以太網(wǎng)接口。因此,無線局域網(wǎng)的用戶主要關(guān)心的是網(wǎng)絡(luò)的安全性,主要包括接入控制和加密兩個方面��。除非無線局域網(wǎng)能夠提供等同于有線局域網(wǎng)的安全性和管理能力,否則人們還是對使用無線局域網(wǎng)存在顧慮�����。
4.1 IEEE802.11b標準的安全性
IEEE 802.11b標準定義了兩種方法實現(xiàn)無線局域網(wǎng)的接入控制和加密:系統(tǒng)ID(SSID)和有線對等加密(WEP)��。
4.1.1 認證
當(dāng)一個站點與另一個站點建立網(wǎng)絡(luò)連接之前,必須首先通過認證。執(zhí)行認證的站點發(fā)送一個管理認證幀到一個相應(yīng)的站點�����。IEEE 802.11b標準詳細定義了兩種認證服務(wù):一�、開放系統(tǒng)認證(Open System Authentication):是802.11b默認的認證方式。這種認證方式非常簡單,分為兩步:首先,想認證另一站點的站點發(fā)送一個含有發(fā)送站點身份的認證管理幀;然后,接收站發(fā)回一個提醒它是否識別認證站點身份的幀;二���、共享密鑰認證(Shared Key Authentication ):這種認證先假定每個站點通過一個獨立于802.11網(wǎng)絡(luò)的安全信道,已經(jīng)接收到一個秘密共享密鑰,然后這些站點通過共享密鑰的加密認證,加密算法是有線等價加密(WEP)。
4.1.2 WEP
IEEE 802.11b規(guī)定了一個可選擇的加密稱為有線對等加密,即WEP�����。WEP提供一種無線局域網(wǎng)數(shù)據(jù)流的安全方法���。WEP是一種對稱加密,加密和解密的密鑰及算法相同����。WEP的目標是接入控制,防止未授權(quán)用戶接入網(wǎng)絡(luò),沒有正確的WEP密鑰。
加密:通過加密和只允許有正確WEP密鑰的用戶解密來保護數(shù)據(jù)流�。
IEEE 802.11b標準提供了兩種用于無線局域網(wǎng)的WEP加密方案����。第一種方案可提供四個缺省密鑰以供所有的終端共享一包括一個子系統(tǒng)內(nèi)的所有接入點和客戶適配器��。當(dāng)用戶得到缺省密鑰以后,就可以與子系統(tǒng)內(nèi)所有用戶安全地通信��。缺省密鑰存在的問題是當(dāng)它被廣泛分配時可能會危及安全。第二種方案中是在每一個客戶適配器建立一個與其它用戶聯(lián)系的密鑰表����。該方案比第一種方案更加安全,但隨著終端數(shù)量的增加給每一個終端分配密鑰很困難��。
4.2 影響安全的因素
4.2.1 硬件設(shè)備
在現(xiàn)有的WLAN產(chǎn)品中,常用的加密方法是給用戶靜態(tài)分配一個密鑰,該密鑰或者存儲在磁盤上或者存儲在無線局域網(wǎng)客戶適配器的存儲器上。這樣,擁有客戶適配器就有了MAC地址和WEP密鑰并可用它接入到接入點����。如果多個用戶共享一個客戶適配器,這些用戶有效地共享MAC地址和WEP密鑰�。
當(dāng)一個客戶適配器丟失或被竊的時候,合法用戶沒有MAC地址和WEP密鑰不能接入,但非法用戶可以�。網(wǎng)絡(luò)管理系統(tǒng)不可能檢測到這種問題,因此用戶必須立即通知網(wǎng)絡(luò)管理員。接到通知后,網(wǎng)絡(luò)管理員必須改變接入到MAC地址的安全表和WEP密鑰,并給與丟失或被竊的客戶適配器使用相同密鑰的客戶適配器重新編碼靜態(tài)加密密鑰。客戶端越多,重新編碼WEP密鑰的數(shù)量越大����。
4.2.2 虛假接入點
IEEE802.11b共享密鑰認證表采用單向認證,而不是互相認證��。接入點鑒別用戶,但用戶不能鑒別接入點。如果一個虛假接入點放在無線局域網(wǎng)內(nèi),它可以通過劫持合法用戶的客戶適配器進行拒絕服務(wù)或攻擊。
因此在用戶和認證服務(wù)器之間進行相互認證是需要的,每一方在合理的時間內(nèi)證明自己是合法的。因為用戶和認證服務(wù)器是通過接入點進行通信的,接入點必須支持相互認證���。相互認證使檢測和隔離虛假接入點成為可能。
4.2.3 其它安全問題
標準WEP支持對每一組加密但不支持對每一組認證。從響應(yīng)和傳送的數(shù)據(jù)包中一個黑客可以重建一個數(shù)據(jù)流,組成欺騙性數(shù)據(jù)包��。減輕這種安全威脅的方法是經(jīng)常更換WEP密鑰����。通過監(jiān)測工EEE802.11b控制信道和數(shù)據(jù)信道,黑客可以得到如下信息:客戶端和接入點MAC地址,內(nèi)部主機MAC地址,上網(wǎng)時間����。黑客可以利用這些信息研究提供給用戶或設(shè)備的詳細資料。為減少這種黑客活動,一個終端應(yīng)該使用每一個時期的WEP密鑰。
4.3 完整的安全解決方案
無線局域網(wǎng)完整的安全方案以IEEE802.11b比為基礎(chǔ),是一個標準的開放式的安全方案,它能為用戶提供最強的安全保障,確保從控制中心進行有效的集中管理�����。它的核心部分是:
擴展認證協(xié)議(Extensible Authentication Protocol,EAP),是遠程認證撥入用戶服務(wù)(RADIUS)的擴展�。可以使無線客戶適配器與RADIUS服務(wù)器通信。
當(dāng)無線局域網(wǎng)執(zhí)行安全保密方案時,在一個BSS范圍內(nèi)的站點只有通過認證以后才能與接入點結(jié)合�。當(dāng)站點在網(wǎng)絡(luò)登錄對話框或類似的東西內(nèi)輸入用戶名和密碼時,客戶端和RADIUS服務(wù)器(或其它認證服務(wù)器)進行雙向認證,客戶通過提供用戶名和密碼來認證����。然后RADIUS服務(wù)器和用戶服務(wù)器確定客戶端在當(dāng)前登錄期內(nèi)使用的WEP密鑰��。所有的敏感信息,如密碼,都要加密使免于攻擊�����。
這種方案認證的過程是:一個站點要與一個接入點連接。除非站點成功登錄到網(wǎng)絡(luò),否則接入點將禁止站點使用網(wǎng)絡(luò)資源��。用戶在網(wǎng)絡(luò)登錄對話框和類似的結(jié)構(gòu)中輸入用戶名和密碼�。用IEEE802.lx協(xié)議,站點和RADIUS服務(wù)器在有線局域網(wǎng)上通過接入點進行雙向認證?���?梢允褂脦讉€認證方法中的一個���。
相互認證成功完成后,RADIUS服務(wù)器和用戶確定一個WEP密鑰來區(qū)分用戶并提供給用戶適當(dāng)?shù)燃壍木W(wǎng)絡(luò)接入�����。以此給每一個用戶提供與有線交換幾乎相同的安全性。用戶加載這個密鑰并在該登錄期內(nèi)使用。
RADIUS服務(wù)器發(fā)送給用戶的WEP密鑰,稱為時期密鑰�。接入點用時期密鑰加密它的廣播密鑰并把加密密鑰發(fā)送給用戶,用戶用時期密鑰來解密。用戶和接入點激活WEP,在這時期剩余的時間內(nèi)用時期密鑰和廣播密鑰通信����。
網(wǎng)絡(luò)安全性指的是防止信息和資源的丟失��、破壞和不適當(dāng)?shù)氖褂?�。無論有線絡(luò)還是無線網(wǎng)絡(luò)都必須防止物理上的損害、竊聽�、非法接入和各種內(nèi)部(合法用戶)的攻擊����。
無線網(wǎng)絡(luò)傳播數(shù)據(jù)所覆蓋的區(qū)域可能會超出一個組織物理上控制的區(qū)域,這樣就存在電子破壞(或干擾)的可能性���。無線網(wǎng)絡(luò)具有各種內(nèi)在的安全機制,其代碼清理和模式跳躍是隨機的���。在整個傳輸過程中,頻率波段和調(diào)制不斷變化,計時和解碼采用不規(guī)則技術(shù)��。
正是可選擇的加密運算法則和IEEE 802.11的規(guī)定要求無線網(wǎng)絡(luò)至少要和有線網(wǎng)絡(luò)(不使用加密技術(shù))一樣安全���。其中,認證提供接入控制,減少網(wǎng)絡(luò)的非法使用,加密則可以減少破壞和竊聽���。目前,在基本的WEP安全機制之外,更多的安全機制正在出現(xiàn)和發(fā)展之中�。
5 無線局域網(wǎng)安全技術(shù)的發(fā)展趨勢
目前無線局域網(wǎng)的發(fā)展勢頭十分強勁,但是起真正的應(yīng)用前景還不是十分的明朗����。主要表現(xiàn)在:1) 是真正的安全保障;2)將來的技術(shù)發(fā)展方向;3) WLAN有什么比較好的應(yīng)用模式;4) WLAN的終端除PCMCIA卡、PDA有沒有其他更好的形式;5) WLAN的市場規(guī)模�����?��?磥頍o線局域網(wǎng)真正的騰飛并非一己之事��。
無線局域網(wǎng)同樣需要與其他已經(jīng)成熟的網(wǎng)絡(luò)進行互動,達到互利互惠的目的。歐洲是GSM網(wǎng)的天下,而WLAN的崛起使得他們開始考慮WLAN和3G的互通,兩者之間的優(yōu)勢互補性必將使得WLAN與廣域網(wǎng)的融合迅速發(fā)展?����,F(xiàn)在國內(nèi)中興通訊己經(jīng)實現(xiàn)了WLAN和CI}IVIA系統(tǒng)的互通,而對于使用中興設(shè)備的WLAN與GSM/GPRS系統(tǒng)的互通也提出了解決方案,這條路必定越走越寬�����。
互通中的安全問題也必然首當(dāng)其沖,IEEE的無線局域網(wǎng)工作組己經(jīng)決定將EAP-SIIVI納入無線局域網(wǎng)安全標準系列里面,并且與3G互通的認證標準EAP-AID也成為討論的焦點��。
無線網(wǎng)絡(luò)的互通,現(xiàn)在是一個趨勢。802.11工作組新成立了WIG(Wireless lnterworking Grouq),該工作組的目的在于使現(xiàn)存的符合ETSI,IEEE,MMAC所制訂的標準的無線域網(wǎng)之間實現(xiàn)互通���。另外3GPP也給出了無線局域網(wǎng)和3G互通的兩個草案,定義了互通的基本需求,基本模型和基本框架。還有就是愛立信公司的一份文檔給出了在現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)上,實現(xiàn)無線局域網(wǎng)和G1VIS/GPRS的互通���。
不同類型無線局域網(wǎng)互通標準的制定,使得用戶可以使用同一設(shè)備接入無線局域網(wǎng)。3G和無線局域網(wǎng)的互通者可以使用戶在一個運營商那里注冊,就可以在各地接入。當(dāng)然,用戶享用上述方便的同時,必然會使運營商或制造商獲得利潤,而利潤的驅(qū)動,則是這個互通風(fēng)潮的根本動力����。為了達到互通的安全,有以下需求:支持傳統(tǒng)的無線局域網(wǎng)設(shè)備,對用戶端設(shè)備,比如客戶端軟件,影響要最小,對經(jīng)營者管理和維護客戶端SW的要求要盡量少,應(yīng)該支持現(xiàn)存的UICC卡,不應(yīng)該要求該卡有任何改動,敏感數(shù)據(jù),比如存在UICC卡中的長期密鑰不能傳輸�。對于UICC卡的認證接口應(yīng)該是基于該密鑰的Challenge, Response模式���。用戶對無線局域網(wǎng)接入的安全級別應(yīng)該和3GPP接入一樣,應(yīng)該支持雙向認證,所選的認證方案應(yīng)該顧及到授權(quán)服務(wù),應(yīng)該支持無線局域網(wǎng)接入NW的密鑰分配方法,無線局域網(wǎng)與3GPP互通所選擇的認證機制至少要提供3GPP系統(tǒng)認證的安全級別,無線局域網(wǎng)的重連接不應(yīng)該危及3GPP系統(tǒng)重連接的安全,所選擇的無線局域網(wǎng)認證機制應(yīng)該支持會話密鑰素材的協(xié)商,所選擇的無線局域網(wǎng)密鑰協(xié)商和密鑰分配機制應(yīng)該能防止中間人攻擊����。也就是說中間人不能得到會話密鑰素材,無線局域網(wǎng)技術(shù)應(yīng)當(dāng)保證無線局域網(wǎng)UE和無線局域網(wǎng)AN的特定的認證后建立的連接可以使用生成的密鑰素材來保證完整性。所有的用于用戶和網(wǎng)絡(luò)進行認證的長期的安全要素應(yīng)該可以在一張UICC卡中存下����。
對于非漫游情況的互通時,這種情況是指當(dāng)用戶接入的熱點地區(qū)是在3GPP的歸屬網(wǎng)絡(luò)范圍內(nèi)�。簡單地說,就是用戶在運營商那里注冊,然后在該運營商的本地網(wǎng)絡(luò)范圍內(nèi)的熱點地區(qū)接入時的一種情況�。無線局域網(wǎng)與3G網(wǎng)絡(luò)安全單元功能如下:UE(用戶設(shè)備)�、3G-AAA(移動網(wǎng)絡(luò)的認證、授權(quán)和計帳服務(wù)器)、HSS(歸屬業(yè)務(wù)服務(wù)器)、CG/CCF(支付網(wǎng)關(guān)/支付采集功能)����、OCS(在線計帳系統(tǒng))��。
對于漫游的互通情況時,3G網(wǎng)絡(luò)是個全域性網(wǎng)絡(luò)借助3G網(wǎng)絡(luò)的全域性也可以實現(xiàn)無線局域網(wǎng)的漫游。在漫游情況下,一種常用的方法是將歸屬網(wǎng)絡(luò)和訪問網(wǎng)絡(luò)分開,歸屬網(wǎng)絡(luò)AAA服務(wù)作為認證的找到用戶所注冊的歸屬網(wǎng)絡(luò)。
在無線局域網(wǎng)與3G互通中有如下認證要求:該認證流程從用戶設(shè)備到無線局域網(wǎng)連接開始。使用EAP方法,順次封裝基于USIM的用戶ID,AKA-Challenge消息�����。具體的認證在用戶設(shè)備和3GP-AAA服務(wù)器之間展開�����。走的是AKA過程,有一點不同在于在認證服務(wù)器要檢查用戶是否有接入無線局域網(wǎng)的權(quán)限���。
上述互通方案要求客戶端有能夠接入無線局域網(wǎng)的網(wǎng)卡,同時還要實現(xiàn)USIM或者SIM的功能���。服務(wù)網(wǎng)絡(luò)要求修改用戶權(quán)限表,增加對于無線局域網(wǎng)的接入權(quán)限的判斷�����。
無線局域網(wǎng)的崛起使得人們開始考慮無線局域網(wǎng)和3G的互通,兩者之間的優(yōu)勢互補性必將使得無線局域網(wǎng)與廣域網(wǎng)的融合迅速發(fā)展?��,F(xiàn)在國內(nèi)中興通訊已經(jīng)實現(xiàn)了無線局域網(wǎng)和CDMA系統(tǒng)的互通,而對于使用中興設(shè)備的無線局域網(wǎng)與GSM/GPRS系統(tǒng)的互通也提出了解決方案,這條路必定越走越寬�����。
參考文獻:
[1] 郭峰,曾興雯,劉乃安.無線局域網(wǎng)[M].北京:電子工業(yè)出版杜,1997.
[2] 馮錫生,朱榮.無線數(shù)據(jù)通信[M].北京:中國鐵道出版社,1997.
[3] 你震亞.現(xiàn)代計算機網(wǎng)絡(luò)教程[M].北京:電子工業(yè)出版社,1999.
[4] 劉元安.寬帶無線接入和無線局域網(wǎng)[M].北京:北京郵電大學(xué)出版社,2000.
[5] 吳偉陵.移動通信中的關(guān)鍵技術(shù)[M].北京:北京郵電大學(xué)出版社,2000.
[6] 張公忠,陳錦章.當(dāng)代組網(wǎng)技術(shù)[M].北京:清華大學(xué)出版社,2000.
[7] 牛偉,郭世澤,吳志軍,等.無線局域網(wǎng)[M].北京:人民郵電出版社,2003.
[8] Wheat J.無線網(wǎng)絡(luò)設(shè)計[M].莫蓉蓉,譯.北京:機械工業(yè)出版社,2002.
[9] Held G.構(gòu)建無線局域網(wǎng)[M].沈金龍,澤.北京:人民郵電出版社,2002.
[10] Barnes C.無線網(wǎng)絡(luò)安全防護[M].林生,譯.北京:機械工業(yè)出版社,2003.
[11] Heiskala J.OFDM無線局域網(wǎng)[M].暢曉春,譯.北京:電子工業(yè)出版社,2003.
[12] Ouellet E.構(gòu)建Cisco無線局域網(wǎng)[M].張穎,譯.北京:科學(xué)出版社,2003.
[13] Ciampa M.無線周域網(wǎng)設(shè)計一與實現(xiàn)[M].王順滿,譯.北京:科學(xué)出版社,2003 .
第6篇
關(guān)鍵詞:無線局域網(wǎng);標準�����;安全���;趨勢
前言 無線局域網(wǎng)本質(zhì)上是一種網(wǎng)絡(luò)互連技術(shù)����。無線局域網(wǎng)使用無線電波代替雙絞線�、同軸電纜等設(shè)備,省去了布線的麻煩�,組網(wǎng)靈活�。無線局域網(wǎng)(WLAN)是計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物�����。它既可滿足各類便攜機的入網(wǎng)要求�����,也可實現(xiàn)計算機局域網(wǎng)遠端接入、圖文傳真�����、電子郵件等功能���。無線局域網(wǎng)技術(shù)作為一種網(wǎng)絡(luò)接入手段�,能迅速地應(yīng)用于需要在移動中聯(lián)網(wǎng)和在網(wǎng)間漫游的場合,并在不易架設(shè)有線的地力和遠沖離的數(shù)據(jù)處理節(jié)點提供強大的網(wǎng)絡(luò)支持�。因此���,WLAN已在軍隊�、石化����、醫(yī)護管理�����、工廠車間�����、庫存控制、展覽和會議���、金融服務(wù)、旅游服務(wù)����、移動辦公系統(tǒng)等行業(yè)中得到了應(yīng)用���,受到了廣泛的青睞����,已成為無線通信與Internet技術(shù)相結(jié)合的新興發(fā)展力向之一。WLAN的最大優(yōu)點就是實現(xiàn)了網(wǎng)絡(luò)互連的可移動性�����,它能大幅提高用戶訪問信息的及時性和有效性���,還可以克服線纜限制引起的不便性����。但由于無線局域網(wǎng)應(yīng)用具有很大的開放性,數(shù)據(jù)傳播范圍很難控制�,因此無線局域網(wǎng)將面臨著更嚴峻的安全問題��。
1. 無線局域網(wǎng)安全發(fā)展概況
無線局域網(wǎng)802.11b公布之后���,迅速成為事實標準�。遺憾的是,從它的誕生開始�,其安全協(xié)議WEP就受到人們的質(zhì)疑����。美國加州大學(xué)伯克利分校的Borisov�����,Goldberg和Wagner最早指出了WEP協(xié)議中存在的設(shè)計失誤��,接下來信息安全研究人員發(fā)表了大量論文詳細討論了WEP協(xié)議中的安全缺陷,并與工程技術(shù)人員協(xié)作���,在實驗中破譯了經(jīng)WEP協(xié)議加密的無線傳輸數(shù)據(jù)。現(xiàn)在��,能夠截獲無線傳輸數(shù)據(jù)的硬件設(shè)備己經(jīng)能夠在市場上買到�����,能夠?qū)λ孬@數(shù)據(jù)進行解密的黑客軟件也已經(jīng)能夠在因特網(wǎng)上下載�����。WEP不安全己經(jīng)成一個廣為人知的事情,人們期待WEP在安全性方面有質(zhì)的變化���,新的增強的無線局域網(wǎng)安全標準應(yīng)運而生[1]。
我國從2001年開始著手制定無線局域網(wǎng)安全標準,經(jīng)過西安電子科技大學(xué)�����、西安郵電學(xué)院�����、西電捷通無線網(wǎng)絡(luò)通信有限公司等院校和企業(yè)的聯(lián)合攻關(guān),歷時兩年多制定了無線認證和保密基礎(chǔ)設(shè)施WAPI��,并成為國家標準�����,于2003年12月執(zhí)行�����。WAPI使用公鑰技術(shù),在可信第三方存在的條件下,由其驗證移動終端和接入點是否持有合法的證書��,以期完成雙向認證�����、接入控制��、會話密鑰生成等目標�,達到安全通信的目的�����。WAPI在基本結(jié)構(gòu)上由移動終端���、接入點和認證服務(wù)單元三部分組成�,類似于802.11工作組制定的安全草案中的基本認證結(jié)構(gòu)�����。同時我國的密碼算法一般是不公開的,WAPI標準雖然是公開的�,然而對其安全性的討論在學(xué)術(shù)界和工程界目前還沒有展開[2]��。
增強的安全草案也是歷經(jīng)兩年多時間定下了基本的安全框架。其間每個月至少召開一次會議����,會議的文檔可以從互聯(lián)網(wǎng)上下載���,從中可以看到一些有趣的現(xiàn)象�,例如AES-OCB算法�,開始工作組決定使用該算法作為無線局域網(wǎng)未來的安全算法,一年后提議另外一種算法CCMP作為候選���,AES-OSB作為缺省,半年后又提議CCMP作為缺省���,AES-OCB作為候選,又過了幾個月����,干脆把AES-OCB算法完全刪除�����,只使用CCMP算法作為缺省的未來無線局域網(wǎng)的算法。其它的例子還有很多��。從這樣的發(fā)展過程中��,我們能夠更加清楚地認識到無線局域網(wǎng)安全標準的方方面面�����,有利于無線局域網(wǎng)安全的研究[3][4]。
2.無線局域網(wǎng)的安全必要性
WLAN在為用戶帶來巨大便利的同時����,也存在著許多安全上的問題。由于WLAN 通過無線電波在空中傳輸數(shù)據(jù),不能采用類似有線網(wǎng)絡(luò)那樣的通過保護通信線路的方式來保護通信安全��,所以在數(shù)據(jù)發(fā)射機覆蓋區(qū)域內(nèi)的幾乎任何一個WLAN用戶都能接觸到這些數(shù)據(jù)�,要將WLAN發(fā)射的數(shù)據(jù)僅僅傳送給一名目標接收者是不可能的。而防火墻對通過無線電波進行的網(wǎng)絡(luò)通訊起不了作用���,任何人在視距范圍之內(nèi)都可以截獲和插入數(shù)據(jù)。因此�����,雖然無線網(wǎng)絡(luò)和WLAN的應(yīng)用擴展了網(wǎng)絡(luò)用戶的自由�����,它安裝時間短�����,增加用戶或更改網(wǎng)絡(luò)結(jié)構(gòu)時靈活、經(jīng)濟�����,可提供無線覆蓋范圍內(nèi)的全功能漫游服務(wù)���。然而����,這種自由也同時帶來了新的挑戰(zhàn)��,這些挑戰(zhàn)其中就包括安全性。WLAN 必須考慮的安全要素有三個:信息保密��、身份驗證和訪問控制��。如果這三個要素都沒有問題了,就不僅能保護傳輸中的信息免受危害�,還能保護網(wǎng)絡(luò)和移動設(shè)備免受危害���。難就難在如何使用一個簡單易用的解決方案�����,同時獲得這三個安全要素。國外一些最新的技術(shù)研究報告指出�,針對目前應(yīng)用最廣泛的802.11bWLAN 標準的攻擊和竊聽事件正越來越頻繁[5]��,故對WLAN安全性研究,特別是廣泛使用的IEEE802.11WLAN的安全性研究�����,發(fā)現(xiàn)其可能存在的安全缺陷���,研究相應(yīng)的改進措施����,提出新的改進方案,對 WLAN 技術(shù)的使用、研究和發(fā)展都有著深遠的影響。
同有線網(wǎng)絡(luò)相比,無線局域網(wǎng)無線傳輸?shù)奶烊惶匦允沟闷湮锢戆踩嗳醯枚?����,所以首先要加強這一方面的安全性�。
無線局域網(wǎng)中的設(shè)備在實際通信時是逐跳的方式,要么是用戶設(shè)備發(fā)數(shù)據(jù)給接入設(shè)備,飯由接入設(shè)備轉(zhuǎn)發(fā)��,要么是兩臺用戶設(shè)備直接通信���,每一種通信方式都可以用鏈路層加密的方法來實現(xiàn)至少與有線連接同等的安全性�����。無線信號可能被偵聽,但是,如果把無線信號承載的數(shù)據(jù)變成密文,并且,如果加密強度夠高的話��,偵聽者獲得有用數(shù)據(jù)的可能性很小����。另外,無線信號可能被修改或者偽造�,但是�����,如果對無線信號承載的數(shù)據(jù)增加一部分由該數(shù)據(jù)和用戶掌握的某種秘密生成的冗余數(shù)據(jù),以使得接收方可以檢測到數(shù)據(jù)是杏被更改���,那么,對于無線信號的更改將會徒勞無功�。而秘密的獨有性也將使得偽造數(shù)據(jù)被誤認為是合法數(shù)據(jù)的可能性極小���。
這樣����,通過數(shù)據(jù)加密和數(shù)據(jù)完整性校驗就可以為無線局域網(wǎng)提供一個類似有線網(wǎng)的物理安全的保護���。對于無線局域網(wǎng)中的主機��,面臨病毒威脅時�,可以用最先進的防毒措施和最新的殺毒工具來給系統(tǒng)增加安全外殼�,比如安裝硬件形式的病毒卡預(yù)防病毒,或者安裝軟件用來時實檢測系統(tǒng)異常。PC機和筆記本電腦等設(shè)備己經(jīng)和病毒進行了若千年的對抗���,接下來的無線設(shè)備如何與病毒對抗還是一個待開發(fā)領(lǐng)域。
對于DOS攻擊或者DDOS攻擊,可以增加一個網(wǎng)關(guān)�,使用數(shù)據(jù)包過濾或其它路由設(shè)置���,將惡意數(shù)據(jù)攔截在網(wǎng)絡(luò)外部;通過對外部網(wǎng)絡(luò)隱藏接入設(shè)備的IP地址���,可以減小風(fēng)險�。對于內(nèi)部的惡意用戶��,則要通過審計分析���,網(wǎng)絡(luò)安全檢測等手段找出惡意用戶���,并輔以其它管理手段來杜絕來自內(nèi)部的攻擊�。硬件丟失的威脅要求必須能通過某種秘密或者生物特征等方式來綁定硬件設(shè)備和用戶����,并且對于用戶的認證也必須基于用戶的身份而不是硬件來完成。例如���,用MAC地址來認證用戶是不適當(dāng)?shù)腫5]。
除了以上的可能需求之外��,根據(jù)不同的使用者��,還會有不同的安全需求�����,對于安全性要求很高的用戶,可能對于傳輸?shù)臄?shù)據(jù)要求有不可抵賴性�,對于進出無線局域網(wǎng)的數(shù)據(jù)要求有防泄密措施��,要求無線局域網(wǎng)癱瘓后能夠迅速恢復(fù)等等。所以�,無線局域網(wǎng)的安全系統(tǒng)不可能提供所有的安全保證���,只能結(jié)合用戶的具體需求�,結(jié)合其它的安全系統(tǒng)來一起提供安全服務(wù)�����,構(gòu)建安全的網(wǎng)絡(luò)。
當(dāng)考慮與其它安全系統(tǒng)的合作時�����,無線局域網(wǎng)的安全將限于提供數(shù)據(jù)的機密����,數(shù)據(jù)的完整,提供身份識別框架和接入控制框架�,完成用戶的認證授權(quán)���,信息的傳輸安全等安全業(yè)務(wù)���。對于防病毒�,防泄密�,數(shù)據(jù)傳輸?shù)牟豢傻仲嚕档虳oS攻擊的風(fēng)險等都將在具體的網(wǎng)絡(luò)配置中與其它安全系統(tǒng)合作來實現(xiàn)。
3.無線局域網(wǎng)安全風(fēng)險
安全風(fēng)險是指無線局域網(wǎng)中的資源面臨的威脅�����。無線局域網(wǎng)的資源���,包括了在無線信道上傳輸?shù)臄?shù)據(jù)和無線局域網(wǎng)中的主機���。
3.1 無線信道上傳輸?shù)臄?shù)據(jù)所面臨的威脅
由于無線電波可以繞過障礙物向外傳播��,因此��,無線局域網(wǎng)中的信號是可以在一定覆蓋范圍內(nèi)接聽到而不被察覺的。這如用收音機收聽廣播的情況一樣�����,人們在電臺發(fā)射塔的覆蓋范圍內(nèi)總可以用收音機收聽廣播��,如果收音機的靈敏度高一些,就可以收聽到遠一些的發(fā)射臺發(fā)出的信號。當(dāng)然�,無線局域網(wǎng)的無線信號的接收并不像收音機那么簡單����,但只要有相應(yīng)的設(shè)備,總是可以接收到無線局域網(wǎng)的信號,并可以按照信號的封裝格式打開數(shù)據(jù)包�����,讀取數(shù)據(jù)的內(nèi)容[6]���。
另外�����,只要按照無線局域網(wǎng)規(guī)定的格式封裝數(shù)據(jù)包����,把數(shù)據(jù)放到網(wǎng)絡(luò)上發(fā)送時也可以被其它的設(shè)備讀取�,并且,如果使用一些信號截獲技術(shù)��,還可以把某個數(shù)據(jù)包攔截��、修改�����,然后重新發(fā)送,而數(shù)據(jù)包的接收者并不能察覺。
因此�,無線信道上傳輸?shù)臄?shù)據(jù)可能會被偵聽����、修改�、偽造��,對無線網(wǎng)絡(luò)的正常通信產(chǎn)生了極大的干擾���,并有可能造成經(jīng)濟損失�����。
3.2 無線局域網(wǎng)中主機面臨的威脅
無線局域網(wǎng)是用無線技術(shù)把多臺主機聯(lián)系在一起構(gòu)成的網(wǎng)絡(luò)。對于主機的攻擊可能會以病毒的形式出現(xiàn)�����,除了目前有線網(wǎng)絡(luò)上流行的病毒之外�,還可能會出現(xiàn)專門針對無線局域網(wǎng)移動設(shè)備,比如手機或者PDA的無線病毒。當(dāng)無線局域網(wǎng)與無線廣域網(wǎng)或者有線的國際互聯(lián)網(wǎng)連接之后,無線病毒的威脅可能會加劇�����。
對于無線局域網(wǎng)中的接入設(shè)備����,可能會遭受來自外部網(wǎng)或者內(nèi)部網(wǎng)的拒絕服務(wù)攻擊。當(dāng)無線局域網(wǎng)和外部網(wǎng)接通后����,如果把IP地址直接暴露給外部網(wǎng)�����,那么針對該IP的Dog或者DDoS會使得接入設(shè)備無法完成正常服務(wù),造成網(wǎng)絡(luò)癱瘓�。當(dāng)某個惡意用戶接入網(wǎng)絡(luò)后�,通過持續(xù)的發(fā)送垃圾數(shù)據(jù)或者利用IP層協(xié)議的一些漏洞會造成接入設(shè)備工作緩慢或者因資源耗盡而崩潰�,造成系統(tǒng)混亂���。無線局域網(wǎng)中的用戶設(shè)備具有一定的可移動性和通常比較高的價值�����,這造成的一個負面影響是用戶設(shè)備容易丟失�����。硬件設(shè)備的丟失會使得基于硬件的身份識別失效,同時硬件設(shè)備中的所有數(shù)據(jù)都可能會泄漏。
這樣�,無線局域網(wǎng)中主機的操作系統(tǒng)面臨著病毒的挑戰(zhàn)�,接入設(shè)備面臨著拒絕服務(wù)攻擊的威脅,用戶設(shè)備則要考慮丟失的后果����。
4.無線局域網(wǎng)安全性
無線局域網(wǎng)與有線局域網(wǎng)緊密地結(jié)合在一起�����,并且己經(jīng)成為市場的主流產(chǎn)品。在無線局域網(wǎng)上�����,數(shù)據(jù)傳輸是通過無線電波在空中廣播的�����,因此在發(fā)射機覆蓋范圍內(nèi)數(shù)據(jù)可以被任何無線局域網(wǎng)終端接收�����。安裝一套無線局域網(wǎng)就好象在任何地方都放置了以太網(wǎng)接口����。因此,無線局域網(wǎng)的用戶主要關(guān)心的是網(wǎng)絡(luò)的安全性,主要包括接入控制和加密兩個方面����。除非無線局域網(wǎng)能夠提供等同于有線局域網(wǎng)的安全性和管理能力���,否則人們還是對使用無線局域網(wǎng)存在顧慮�。
4.1 IEEE802. 11 b標準的安全性
IEEE 802.11b標準定義了兩種方法實現(xiàn)無線局域網(wǎng)的接入控制和加密:系統(tǒng)ID(SSID)和有線對等加密(WEP)[7][8]�����。
4.1.1認證
當(dāng)一個站點與另一個站點建立網(wǎng)絡(luò)連接之前���,必須首先通過認證����。執(zhí)行認證的站點發(fā)送一個管理認證幀到一個相應(yīng)的站點��。IEEE 802.11b標準詳細定義了兩種認證服務(wù):一開放系統(tǒng)認證(Open System Authentication):是802.11b默認的認證方式����。這種認證方式非常簡單��,分為兩步:首先���,想認證另一站點的站點發(fā)送一個含有發(fā)送站點身份的認證管理幀��;然后,接收站發(fā)回一個提醒它是否識別認證站點身份的幀。一共享密鑰認證(Shared Key Authentication ):這種認證先假定每個站點通過一個獨立于802.11網(wǎng)絡(luò)的安全信道����,已經(jīng)接收到一個秘密共享密鑰,然后這些站點通過共享密鑰的加密認證�����,加密算法是有線等價加密(WEP )�����。
4. 1 .2 WEP
IEEE 802.11b規(guī)定了一個可選擇的加密稱為有線對等加密��,即WEP。WEP提供一種無線局域網(wǎng)數(shù)據(jù)流的安全方法。WEP是一種對稱加密���,加密和解密的密鑰及算法相同。WEP的目標是:接入控制:防止未授權(quán)用戶接入網(wǎng)絡(luò),他們沒有正確的WEP密鑰。
加密:通過加密和只允許有正確WEP密鑰的用戶解密來保護數(shù)據(jù)流���。
IEEE 802.11b標準提供了兩種用于無線局域網(wǎng)的WEP加密方案。第一種方案可提供四個缺省密鑰以供所有的終端共享一包括一個子系統(tǒng)內(nèi)的所有接入點和客戶適配器�。當(dāng)用戶得到缺省密鑰以后�����,就可以與子系統(tǒng)內(nèi)所有用戶安全地通信�����。缺省密鑰存在的問題是當(dāng)它被廣泛分配時可能會危及安全。第二種方案中是在每一個客戶適配器建立一個與其它用戶聯(lián)系的密鑰表。該方案比第一種方案更加安全���,但隨著終端數(shù)量的增加給每一個終端分配密鑰很困難。
4.2 影響安全的因素[9][10]
4. 2. 1硬件設(shè)備
在現(xiàn)有的WLAN產(chǎn)品中,常用的加密方法是給用戶靜態(tài)分配一個密鑰,該密鑰或者存儲在磁盤上或者存儲在無線局域網(wǎng)客戶適配器的存儲器上�。這樣���,擁有客戶適配器就有了MAC地址和WEP密鑰并可用它接入到接入點。如果多個用戶共享一個客戶適配器��,這些用戶有效地共享MAC地址和WEP密鑰��。
當(dāng)一個客戶適配器丟失或被竊的時候�����,合法用戶沒有MAC地址和WEP密鑰不能接入,但非法用戶可以�����。網(wǎng)絡(luò)管理系統(tǒng)不可能檢測到這種問題���,因此用戶必須立即通知網(wǎng)絡(luò)管理員����。接到通知后,網(wǎng)絡(luò)管理員必須改變接入到MAC地址的安全表和WEP密鑰�,并給與丟失或被竊的客戶適配器使用相同密鑰的客戶適配器重新編碼靜態(tài)加密密鑰��。客戶端越多���,重新編碼WEP密鑰的數(shù)量越大。
4.2.2虛假接入點
IEEE802. 1 1b共享密鑰認證表采用單向認證����,而不是互相認證�。接入點鑒別用戶�,但用戶不能鑒別接入點。如果一個虛假接入點放在無線局域網(wǎng)內(nèi)�����,它可以通過劫持合法用戶的客戶適配器進行拒絕服務(wù)或攻擊��。
因此在用戶和認證服務(wù)器之間進行相互認證是需要的,每一方在合理的時間內(nèi)證明自己是合法的����。因為用戶和認證服務(wù)器是通過接入點進行通信的�����,接入點必須支持相互認證。相互認證使檢測和隔離虛假接入點成為可能��。
4.2.3其它安全問題
標準WEP支持對每一組加密但不支持對每一組認證����。從響應(yīng)和傳送的數(shù)據(jù)包中一個黑客可以重建一個數(shù)據(jù)流,組成欺騙性數(shù)據(jù)包����。減輕這種安全威脅的方法是經(jīng)常更換WEP密鑰����。通過監(jiān)測工EEE802. 11 b控制信道和數(shù)據(jù)信道�,黑客可以得到如下信息:客戶端和接入點MAC地址,內(nèi)部主機MAC地址�,上網(wǎng)時間�。黑客可以利用這些信息研究提供給用戶或設(shè)備的詳細資料����。為減少這種黑客活動���,一個終端應(yīng)該使用每一個時期的WEP密鑰�����。
4.3 完整的安全解決方案
無線局域網(wǎng)完整的安全方案以IEEE802.11b比為基礎(chǔ),是一個標準的開放式的安全方案�����,它能為用戶提供最強的安全保障�,確保從控制中心進行有效的集中管理�����。它的核心部分是:
擴展認證協(xié)議(Extensible Authentication Protocol���,EAP)��,是遠程認證撥入用戶服務(wù)(RADIUS)的擴展。可以使無線客戶適配器與RADIUS服務(wù)器通信。
當(dāng)無線局域網(wǎng)執(zhí)行安全保密方案時�����,在一個BSS范圍內(nèi)的站點只有通過認證以后才能與接入點結(jié)合����。當(dāng)站點在網(wǎng)絡(luò)登錄對話框或類似的東西內(nèi)輸入用戶名和密碼時,客戶端和RADIUS服務(wù)器(或其它認證服務(wù)器)進行雙向認證,客戶通過提供用戶名和密碼來認證��。然后RADIUS服務(wù)器和用戶服務(wù)器確定客戶端在當(dāng)前登錄期內(nèi)使用的WEP密鑰����。所有的敏感信息,如密碼,都要加密使免于攻擊����。
這種方案認證的過程是:一個站點要與一個接入點連接���。除非站點成功登錄到網(wǎng)絡(luò)�����,否則接入點將禁止站點使用網(wǎng)絡(luò)資源��。用戶在網(wǎng)絡(luò)登錄對話框和類似的結(jié)構(gòu)中輸入用戶名和密碼����。用IEEE802. lx協(xié)議���,站點和RADIUS服務(wù)器在有線局域網(wǎng)上通過接入點進行雙向認證����。可以使用幾個認證方法中的一個����。
相互認證成功完成后�����,RADIUS服務(wù)器和用戶確定一個WEP密鑰來區(qū)分用戶并提供給用戶適當(dāng)?shù)燃壍木W(wǎng)絡(luò)接入。以此給每一個用戶提供與有線交換幾乎相同的安全性�。用戶加載這個密鑰并在該登錄期內(nèi)使用���。
RADIUS服務(wù)器發(fā)送給用戶的WEP密鑰���,稱為時期密鑰��。接入點用時期密鑰加密它的廣播密鑰并把加密密鑰發(fā)送給用戶,用戶用時期密鑰來解密���。用戶和接入點激活WEP�,在這時期剩余的時間內(nèi)用時期密鑰和廣播密鑰通信�。
網(wǎng)絡(luò)安全性指的是防止信息和資源的丟失�����、破壞和不適當(dāng)?shù)氖褂?�。無論有線絡(luò)還是無線網(wǎng)絡(luò)都必須防止物理上的損害、竊聽�����、非法接入和各種內(nèi)部(合法用戶)的攻擊��。
無線網(wǎng)絡(luò)傳播數(shù)據(jù)所覆蓋的區(qū)域可能會超出一個組織物理上控制的區(qū)域�����,這樣就存在電子破壞(或干擾)的可能性。無線網(wǎng)絡(luò)具有各種內(nèi)在的安全機制��,其代碼清理和模式跳躍是隨機的����。在整個傳輸過程中,頻率波段和調(diào)制不斷變化�,計時和解碼采用不規(guī)則技術(shù)��。
正是可選擇的加密運算法則和IEEE 802.11的規(guī)定要求無線網(wǎng)絡(luò)至少要和有線網(wǎng)絡(luò)(不使用加密技術(shù))一樣安全。其中����,認證提供接入控制���,減少網(wǎng)絡(luò)的非法使用�,加密則可以減少破壞和竊聽���。目前�����,在基本的WEP安全機制之外,更多的安全機制正在出現(xiàn)和發(fā)展之中[12]�。
5.無線局域網(wǎng)安全技術(shù)的發(fā)展趨勢
目前無線局域網(wǎng)的發(fā)展勢頭十分強勁�,但是起真正的應(yīng)用前景還不是十分的明朗�����。主要表現(xiàn)在:一是真正的安全保障���;二個是將來的技術(shù)發(fā)展方向���;三是WLAN有什么比較好的應(yīng)用模式���;四是WLAN的終端除PCMCIA卡��、PDA有沒有其他更好的形式;五是WLAN的市場規(guī)模����?���?磥頍o線局域網(wǎng)真正的騰飛并非一己之事[13]�����。
無線局域網(wǎng)同樣需要與其他已經(jīng)成熟的網(wǎng)絡(luò)進行互動�,達到互利互惠的目的��。歐洲是GSM網(wǎng)的天下,而WLAN的崛起使得他們開始考慮WLAN和3G的互通,兩者之間的優(yōu)勢互補性必將使得WLAN與廣域網(wǎng)的融合迅速發(fā)展?�,F(xiàn)在國內(nèi)中興通訊己經(jīng)實現(xiàn)了WLAN和CI}IVIA系統(tǒng)的互通�����,而對于使用中興設(shè)備的WLAN與GSM/GPRS系統(tǒng)的互通也提出了解決方案���,這條路必定越走越寬���。
互通中的安全問題也必然首當(dāng)其沖���,IEEE的無線局域網(wǎng)工作組己經(jīng)決定將EAP-SIIVI納入無線局域網(wǎng)安全標準系列里面���,并且與3G互通的認證標準EAP-AID也成為討論的焦點���。
無線網(wǎng)絡(luò)的互通�,現(xiàn)在是一個趨勢。802.11工作組新成立了WIG(Wireless lnterworking Grouq)���,該工作組的目的在于使現(xiàn)存的符合ETSI,IEEE�����,MMAC所制訂的標準的無線域網(wǎng)之間實現(xiàn)互通�。另外3GPP也給出了無線局域網(wǎng)和3G互通的兩個草案,定義了互通的基本需求,基本模型和基本框架�����。還有就是愛立信公司的一份文檔給出了在現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)上��,實現(xiàn)無線局域網(wǎng)和G1VIS/GPRS的互通。
不同類型無線局域網(wǎng)互通標準的制定�����,使得用戶可以使用同一設(shè)備接入無線局域網(wǎng)��。3G和無線局域網(wǎng)的互通者可以使用戶在一個運營商那里注冊�����,就可以在各地接入。當(dāng)然�,用戶享用上述方便的同時����,必然會使運營商或制造商獲得利潤�����,而利潤的驅(qū)動���,則是這個互通風(fēng)潮的根本動力�。為了達到互通的安全��,有以下需求:支持傳統(tǒng)的無線局域網(wǎng)設(shè)備�,對用戶端設(shè)備���,比如客戶端軟件���,影響要最小����,對經(jīng)營者管理和維護客戶端SW的要求要盡量少,應(yīng)該支持現(xiàn)存的UICC卡����,不應(yīng)該要求該卡有任何改動,敏感數(shù)據(jù)��,比如存在UICC卡中的長期密鑰不能傳輸�����。對于UICC卡的認證接口應(yīng)該是基于該密鑰的Challenge-�, Response模式。用戶對無線局域網(wǎng)接入的安全級別應(yīng)該和3GPP接入一樣�����,應(yīng)該支持雙向認證���,所選的認證方案應(yīng)該顧及到授權(quán)服務(wù)�����,應(yīng)該支持無線局域網(wǎng)接入NW的密鑰分配方法�����,無線局域網(wǎng)與3GPP互通所選擇的認證機制至少要提供3 GPP系統(tǒng)認證的安全級別,無線局域網(wǎng)的重連接不應(yīng)該危及3GPP系統(tǒng)重連接的安全��,所選擇的無線局域網(wǎng)認證機制應(yīng)該支持會話密鑰素材的協(xié)商�����,所選擇的無線局域網(wǎng)密鑰協(xié)商和密鑰分配機制應(yīng)該能防止中間人攻擊�����。也就是說中間人不能得到會話密鑰素材����,無線局域網(wǎng)技術(shù)應(yīng)當(dāng)保證無線局域網(wǎng)UE和無線局域網(wǎng)AN的特定的認證后建立的連接可以使用生成的密鑰素材來保證完整性。所有的用于用戶和網(wǎng)絡(luò)進行認證的長期的安全要素應(yīng)該可以在一張UICC卡中存下[14]。
對于非漫游情況的互通時,這種情況是指當(dāng)用戶接入的熱點地區(qū)是在3GPP的歸屬網(wǎng)絡(luò)范圍內(nèi)��。簡單地說�����,就是用戶在運營商那里注冊��,然后在該運營商的本地網(wǎng)絡(luò)范圍內(nèi)的熱點地區(qū)接入時的一種情況。無線局域網(wǎng)與3G網(wǎng)絡(luò)安全單元功能如下:UE(用戶設(shè)備)��、3G-AAA(移動網(wǎng)絡(luò)的認證�、授權(quán)和計帳服務(wù)器)、HSS(歸屬業(yè)務(wù)服務(wù)器)����、CG/CCF(支付網(wǎng)關(guān)/支付采集功能)�����、OCS(在線計帳系統(tǒng))。
對于漫游的互通情況時,3G網(wǎng)絡(luò)是個全域性網(wǎng)絡(luò)借助3G網(wǎng)絡(luò)的全域性也可以實現(xiàn)無線局域網(wǎng)的漫游�。在漫游情況下�����,一種常用的方法是將歸屬網(wǎng)絡(luò)和訪問網(wǎng)絡(luò)分開,歸屬網(wǎng)絡(luò)AAA服務(wù)作為認證的找到用戶所注冊的歸屬網(wǎng)絡(luò)。
在無線局域網(wǎng)與3G互通中有如下認證要求:該認證流程從用戶設(shè)備到無線局域網(wǎng)連接開始��。使用EAP方法���,順次封裝基于USIM的用戶ID����,AKA-Challenge消息����。具體的認證在用戶設(shè)備和3GPAAA服務(wù)器之間展開。走的是AKA過程,有一點不同在于在認證服務(wù)器要檢查用戶是否有接入無線局域網(wǎng)的權(quán)限。
上述互通方案要求客戶端有能夠接入無線局域網(wǎng)的網(wǎng)卡,同時還要實現(xiàn)USIM或者SIM的功能。服務(wù)網(wǎng)絡(luò)要求修改用戶權(quán)限表�����,增加對于無線局域網(wǎng)的接入權(quán)限的判斷����。
無線局域網(wǎng)的崛起使得人們開始考慮無線局域網(wǎng)和3G的互通,兩者之間的優(yōu)勢互補性必將使得無線局域網(wǎng)與廣域網(wǎng)的融合迅速發(fā)展?,F(xiàn)在國內(nèi)中興通訊已經(jīng)實現(xiàn)了無線局域網(wǎng)和CDMA系統(tǒng)的互通�,而對于使用中興設(shè)備的無線局域網(wǎng)與GSM/GPRS系統(tǒng)的互通也提出了解決方案,這條路必定越走越寬。
參考文獻
[1] 郭峰,曾興雯�,劉乃安��,《無線局域網(wǎng)》,電子工業(yè)出版杜,1997
[2] 馮錫生��,朱榮���,《無線數(shù)據(jù)通信》1997
[3] 你震亞�����,《現(xiàn)代計算機網(wǎng)絡(luò)教程》���,電子工業(yè)出版社�����,1999
[4] 劉元安���,《寬帶無線接入和無線局域網(wǎng)》�,北京郵電大學(xué)出版社,2000
[5] 吳偉陵��,《移動通信中的關(guān)鍵技術(shù)》���,北京郵電大學(xué)出版社���,2000
[6] 張公忠���,陳錦章��,《當(dāng)代組網(wǎng)技術(shù)》��,清華大學(xué)出版社,2000
[7] 牛偉�����,郭世澤���,吳志軍等�����,《無線局域網(wǎng)》���,人民郵電出版社��,2003
[8] Jeffrey Wheat,《無線網(wǎng)絡(luò)設(shè)計》�����,莫蓉蓉等譯���,機械工業(yè)出版社�����,2002
[9] Gil Held,《構(gòu)建無線局域網(wǎng)》�����,沈金龍等澤���,人民郵電出版社���,2002
[10] Christian Barnes等��,《無線網(wǎng)絡(luò)安全防護》���,林生等譯��,機械工業(yè)出版社.2003
[11] Juha Heiskala等��,《OFDM無線局域網(wǎng)》,暢曉春等譯�,電子工業(yè)出版社����,2003
[12] Eric Ouellet等���,《構(gòu)建Cisco無線局域網(wǎng)》��,張穎譯,科學(xué)出版社��,2003
[13] Mark Ciampa��,《無線周域網(wǎng)設(shè)計一與實現(xiàn)》�����,王順滿譯,科學(xué)出版社.2003
