无线网络安全论文合集12篇
无线网络安全论文篇1
一、引言
无线通信采用无线电波传输,具有保密性强、移动性高、抗干扰性好、架设与维护容易等特点,还能支持移动计算,越来越成为室外通信的最佳方案。目前无线通信可以实现计算机局域网、无线接入、网际互联、图文传真、电子邮件、互联网浏览、数据采集和遥测遥控等,已经成为现代通信手段的重要组成部分。因此,无线网络的安全通信技术成为业界的研究热点。
二、无线网络的安全通信措施
(一)WLAN的安全保障
虽然目前广泛使用的跳频扩频技术可以让人难于截取,但也只是对普通人难而已,随着通信技术的飞速发展,相信很快就会普及起来。
IEEE802.11标准制定了如下3种方法来为WLAN的数据通信提供安全保障:
1.使用802.11的服务群标识符SSID。但是,在一个中等规模的WLAN上,即使每年只进行两次基本群标识符的人工修改,也足以证明这是一个低效的不可靠的安全措施。
2.使用设备的MAC地址来提供安全防范,显然这也是一个低水平的防护手段。
3.安全机制相比前两种效果要好得多,即WEP(WiredEquivalentPrivacy)。它是采用RC4算法来加密传输的网络分组,通过WEP协议来保护进入无线网的身份验证过程。但从有线网连接到无线网是通过使用某些网络设备进行连接(即网络适配器验证,而不是利用网络资源进行加密的),还有其他的一些不可靠问题,人们在重要点的加密场合,都不使用WEP安全协议。
(二)VPN与IPSec的作用
VPN首先是用于在Internet上扩展一个公司的网络当然公司的部门或子公司在地理上位于不同的地域,甚至在不同的国家。VPN是一个加密了的隧道,在隧道中它对IP中的所有数据进行封装。在VPN中最常用的两种隧道协议是,点对点隧道协议PPTP和第二层隧道化协议LTP,它们分别是由微软和Cisco公司开发的。还有一种现在也在VPN中广泛使用的有隧道功能的协议即IPSec,它还是一个IETF建议IP层安全标准。IPSec首先是作为IPv4的附加系统实现的,而IPv6则将该协议功能作为强制配置了。
(三)IPSec协议及其实施
IPSec协议包括如下:验证头AH(Authentication),封装安全载荷ESP(EncapsulationSecurityPayload),Internet密钥交换IKE(InternetKeyExchange),Internet安全关联和密钥管理协议ISAKMP(InternetSecurityAssociationandKeyManagementProtocol)及转码。IPSec体系定义了主机和网关应该提供的各科能力,讨论了协议的语义,以及牵涉到IPSec协议同TCP/IP协议套件剩余部分如何进行沟通的问题。封装安全载荷和验证头文档定义了协议、载荷头的格式以及它们提供的服务,还定义了包的处理规则。转码方式定义了如何对数据进行转换,以保证其安全。这些内容包括:算法、密钥大小、转码程序和算法专用信息。IKE可以为IPSec协议生成密钥。还有一个安全策略的问题,它决定了两个实体间是否能够通信,采取哪一种转码方式等。
IPSec的工作模式有如下2种:
1.通道模式:这种模式特点是数据包的最终目的地不是安全终点。路由器为自己转发的数据包提供安全服务时,也要选用通道模式。在通道模式中,IPSec模块在一个正常的普通IP数据包内封装了IPSec头,并增加了一个外部IP头。
2.传送模式:在传送模式中,AH和ESP保护的是传送头,在这种模式中,AH和ESP会拦截从传送层到网络层的数据包,并根据具体情况提供保护。例如:A、B是两个已配置好的主机,它们之间流通的数据包均应予以加密。在这种情况采用的是封装安全载荷(ESP)的传送模式。若只是为了对传送层数据包进行验证,则应采用“验证头(AH)”传送模式。IPSec可以在终端主机、网关/路由器或两者之间进行实施和配置。
(四)一个实现无线通信加密的方法
在给出下面加密方案之前,首先确定加密的位置:综前所述,选择在TCP/IP协议的IP层进行加密(当然也含了解密功能,下同)处理,可以达到既便利又满足尽可能与上下游平台无关性。为了叙述方便,笔者定义一个抽象实体:加密模块,当它是一台PC或工控机时,它就是具备基本网络协议解析与转换功能的安全(加密)网关;当它是一个DSP或FPGA芯片时,它就是一个具备网络协议功能的加密芯片;当它是一个与操作系统内核集成的软件模块时,它就是一个加密模块。至此,就形成如下加密方案的雏形:
1.在无线网络的桥路器或是无线Hub与有线LAN间置一加密模块,这时可用一台功能强劲的PC或是工控机(方便户外携带使用),最好是双CPU的,具备强大的数学运算能力,实现网络层到链路层之间的功能和IP数据包的加解密功能。
2.BlackBox:对FPGA(FieldProgrammableGateArray)进行集群,初定为由3块FPGA芯片构成,1块加密,1块解密,1块进行协议处理。之所以要求集群,是基于这样一个事实:由独立的一块100-1000MIPS的FPGA芯片完成协议处理和加解密这样超强度的运算处理,缺乏可行性。
3.在购买第三方厂商的无线HUB及桥路器时,与厂商进行技术合作,要求他们在设备上提供FPGA的接口,逻辑上FPGA只完成IP包数据的加解密功能,不涉及协议处理(由厂商的软硬件平成)。但这涉及知识产权归属的问题,对厂商来说,由他们来实现这一点是非常容易的。
三、小结
网络协议是数据传输安全的基础,加密技术是数据传输完全的核心技术,通讯传输机制是数据传输安全的实现方式,网络管理是数据传输安全的保障,网络数据的安全传输是在多方面机制的共同作用下实现的。因此,研究网络安全机制也应从网络协议、网络管理、网络传输、数据加密及安全认证机制等多方面进行探讨,网络的安全性应当在网络运行机制中的各个环节中得到保障。
参考文献:
[1]赵冬梅、徐宁、马建峰,无线网络安全的风险评估[J].网络安全技术与应用,2006.(03).
无线网络安全论文篇2
随着信息化技术的飞速发展,很多网络都开始实现无线网络的覆盖以此来实现信息电子化交换和资源共享。无线网络和无线局域网的出现大大提升了信息交换的速度和质量,为很多的用户提供了便捷和子偶的网络服务,但同时也由于无线网络本身的特点造成了安全上的隐患。具体的说来,就是无线介质信号由于其传播的开放性设计,使得其在传输的过程中很难对传输介质实施有效的保护从而造成传输信号有可能被他人截获,被不法之徒利用其漏洞来攻击网络。因此,如何在组网和网络设计的时候为无线网络信号和无线局域网实施有效的安全保护机制就成为了当前无线网络面临的重大课题。
一、无线网络的安全隐患分析
无线局域网的基本原理就是在企业或者组织内部通过无线通讯技术来连接单个的计算机终端,以此来组成可以相互连接和通讯的资源共享系统。无线局域网区别于有线局域网的特点就是通过空间电磁波来取代传统的有限电缆来实施信息传输和联系。对比传统的有线局域网,无线网络的构建增强了电脑终端的移动能力,同时它安装简单,不受地理位置和空间的限制大大提高了信息传输的效率,但同时,也正是由于无线局域网的特性,使得其很难采取和有线局域网一样的网络安全机制来保护信息传输的安全,换句话无线网络的安全保护措施难度原因大于有线网络。
IT技术人员在规划和建设无线网络中面临两大问题:首先,市面上的标准与安全解决方案太多,到底选什么好,无所适从;第二,如何避免网络遭到入侵或攻击?在有线网络阶段,技术人员可以通过部署防火墙硬件安全设备来构建一个防范外部攻击的防线,但是,“兼顾的防线往往从内部被攻破”。由于无线网络具有接入方便的特点,使得我们原先耗资部署的有线网络防范设备轻易地就被绕过,成为形同虚设的“马奇诺防线”。
针对无线网络的主要安全威胁有如下一些:
1.数据窃听。窃听网络传输可导致机密敏感数据泄漏、未加保护的用户凭据曝光,引发身份盗用。它还允许有经验的入侵者手机有关用户的IT环境信息,然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据。甚至为攻击者提供进行社会工程学攻击的一系列商信息。
2.截取和篡改传输数据。如果攻击者能够连接到内部网络,则他可以使用恶意计算机通过伪造网关等途径来截获甚至修改两个合法方之剑正常传输的网络数据。
二、常见的无线网络安全措施
综合上述针对无线网络的各种安全威胁,我们不难发现,把好“接入关”是我们保障企业无线网络安全性的最直接的举措。目前的无线网络安全措施基本都是在接入关对入侵者设防,常见的安全措施有以下各种。
1.MAC地址过滤
MAC地址过滤在有线网络安全措施中是一种常见的安全防范手段,因此其操作方法也和在有线网络中操作交换机的方式一致。通过无线控制器将指定的无线网卡的物理地址(MAC地址)下发到各个AP中,或者直接存储在无线控制器中,或者在AP交换机端进行设置。
2.隐藏SSID
SSID(ServiceSetIdentifier,服务标识符)是用来区分不同的网络,其作用类似于有线网络中的VLAN,计算机接入某一个SSID的网络后就不能直接与另一个SSID的网络进行通信了,SSID经常被用来作为不同网络服务的标识。一个SSID最多有32个字符构成,无线终端接入无线网路时必须提供有效的SIID,只有匹配的SSID才可接入。一般来说,无线AP会广播SSID,这样,接入终端可以通过扫描获知附近存在哪些可用的无线网络,例如WINDOWSXP自带扫描功能,可以将能联系到的所有无线网络的SSID罗列出来。因此,出于安全考虑,可以设置AP不广播SSID,并将SSID的名字构造成一个不容易猜解的长字符串。这样,由于SSID被隐藏起来了,接入端就不能通过系统自带的功能扫描到这个实际存在的无线网络,即便他知道有一个无线网络存在,但猜不出SSID全名也是无法接入到这个网络中去的。
三、无线网络安全措施的选择
应用的方便性与安全性之间永远是一对矛盾。安全性越高,则一定是以丧失方便性为代价的。但是在实际的无线网络的应用中,我们不能不考虑应用的方便性。因此,我们在对无线网路安全措施的选择中应该均衡考虑方便性和安全性。
在接入无线AP时采用WAP加密模式,又因为不论SSID是否隐藏攻击者都能通过专用软件探测到SSID,因此不隐藏SSID,以提高接入的方便性。这样在接入时只要第一次需要输入接入密码,以后就可以不用输入接入密码了。
使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决无线网络的安全,具有一定的现实意义。来访用户所关心的是方便和快捷,对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件,用户直接使用Web浏览器认证后即可上网。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。
此外,如果在资金可以保证的前提下,在无线网络中使用无线网络入侵检测设备进行主动防御,也是进一步加强无线网络安全性的有效手段。
最后,任何的网络安全技术都是在人的使用下发挥作用的,因此,最后一道防线就是使用者,只有每一个使用者加强无线网络安全意识,才能真正实现无线网络的安全。否则,黑客或攻击者的一次简单的社会工程学攻击就可以在2分钟内使网络管理人员配置的各种安全措施变得形同虚设。
现在,不少企业和组织都已经实现了整个的无线覆盖。但在建设无线网络的同时,因为对无线网络的安全不够重视,对局域网无线网络的安全考虑不及时,也造成了一定的影响和破坏。做好无线网络的安全管理工作,并完成全校无线网络的统一身份验证,是当前组建无线网必须要考虑的事情。只有这样才能做到无线网络与现有有线网络的无缝对接,确保无线网络的高安全性,提高企业的信息化的水平。
参考文献:
无线网络安全论文篇3
1无线网络安全问题的表现
1.1插入攻击插入攻击以部署非授权的设备或创建新的无线网络为基础,这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置,要求客户端接入时输入口令。如果没有口令,入侵者就可以通过启用一个无线客户端与接入点通信,从而连接到内部网络。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。
1.2漫游攻击者攻击者没有必要在物理上位于企业建筑物内部,他们可以使用网络扫描器,如Netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线网络,这种活动称为“wardriving”;走在大街上或通过企业网站执行同样的任务,这称为“warwalking”。
1.3欺诈性接入点所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下,就设置或存在的接入点。一些雇员有时安装欺诈性接入点,其目的是为了避开已安装的安全手段,创建隐蔽的无线网络。这种秘密网络虽然基本上无害,但它却可以构造出一个无保护措施的网络,并进而充当了入侵者进入企业网络的开放门户。
1.4双面恶魔攻击这种攻击有时也被称为“无线钓鱼”,双面恶魔其实就是一个以邻近的网络名称隐藏起来的欺诈性接入点。双面恶魔等待着一些盲目信任的用户进入错误的接入点,然后窃取个别网络的数据或攻击计算机。
1.5窃取网络资源有些用户喜欢从邻近的无线网络访问互联网,即使他们没有什么恶意企图,但仍会占用大量的网络带宽,严重影响网络性能。而更多的不速之客会利用这种连接从公司范围内发送邮件,或下载盗版内容,这会产生一些法律问题。
1.6对无线通信的劫持和监视正如在有线网络中一样,劫持和监视通过无线网络的网络通信是完全可能的。它包括两种情况,一是无线数据包分析,即熟练的攻击者用类似于有线网络的技术捕获无线通信。其中有许多工具可以捕获连接会话的最初部分,而其数据一般会包含用户名和口令。攻击者然后就可以用所捕获的信息来冒称一个合法用户,并劫持用户会话和执行一些非授权的命令等。第二种情况是广播包监视,这种监视依赖于集线器,所以很少见。
2保障无线网络安全的技术方法
2.1隐藏SSIDSSID,即ServiceSetIdentifier的简称,让无线客户端对不同无线网络的识别,类似我们的手机识别不同的移动运营商的机制。参数在设备缺省设定中是被AP无线接入点广播出去的,客户端只有收到这个参数或者手动设定与AP相同的SSID才能连接到无线网络。而我们如果把这个广播禁止,一般的漫游用户在无法找到SSID的情况下是无法连接到网络的。需要注意的是,如果黑客利用其他手段获取相应参数,仍可接入目标网络,因此,隐藏SSID适用于一般SOHO环境当作简单口令安全方式。
2.2MAC地址过滤顾名思义,这种方式就是通过对AP的设定,将指定的无线网卡的物理地址(MAC地址)输入到AP中。而AP对收到的每个数据包都会做出判断,只有符合设定标准的才能被转发,否则将会被丢弃。这种方式比较麻烦,而且不能支持大量的移动客户端。另外,如果黑客盗取合法的MAC地址信息,仍可以通过各种方法适用假冒的MAC地址登陆网络,一般SOHO,小型企业工作室可以采用该安全手段。
2.3WEP加密WEP是WiredEquivalentPrivacy的简称,所有经过WIFI认证的设备都支持该安全协定。采用64位或128位加密密钥的RC4加密算法,保证传输数据不会以明文方式被截获。该方法需要在每套移动设备和AP上配置密码,部署比较麻烦;使用静态非交换式密钥,安全性也受到了业界的质疑,但是它仍然可以阻挡一般的数据截获攻击,一般用于SOHO、中小型企业的安全加密。
2.4AP隔离类似于有线网络的VLAN,将所有的无线客户端设备完全隔离,使之只能访问AP连接的固定网络。该方法用于对酒店和机场等公共热点HotSpot的架设,让接入的无线客户端保持隔离,提供安全的Internet接入。
2.5802.1x协议802.1x协议由IEEE定义,用于以太网和无线局域网中的端口访问与控制。802.1x引入了PPP协议定义的扩展认证协议EAP。作为扩展认证协议,EAP可以采用MD5,一次性口令,智能卡,公共密钥等等更多的认证机制,从而提供更高级别的安全。
2.6WPAWPA即Wi-Fiprotectedaccess的简称,下一代无线规格802.11i之前的过渡方案,也是该标准内的一小部分。WPA率先使用802.11i中的加密技术-TKIP(TemporalKeyIntegrityProtocol),这项技术可大幅解决802.11原先使用WEP所隐藏的安全问题。很多客户端和AP并不支持WPA协议,而且TKIP加密仍不能满足高端企业和政府的加密需求,该方法多用于企业无线网络部署。:
2.7WPA2WPA2与WPA后向兼容,支持更高级的AES加密,能够更好地解决无线
网络的安全问题。由于部分AP和大多数移动客户端不支持此协议,尽管微软已经提供最新的WPA2补丁,但是仍需要对客户端逐一部署。该方法适用于企业、政府及SOHO用户。
2.802.11iIEEE正在开发的新一代的无线规格,致力于彻底解决无线网络的安全问题,草案中包含加密技术AES(AdvancedEncryptionStandard)与TKIP,以及认证协议IEEE802.1x。尽管理论上讲此协议可以彻底解决无线网络安全问题,适用于所有企业网络的无线部署,但是目前为止尚未有支持此协议的产品问世。
无线网络安全论文篇4
无线网络是采用无线通信技术实现的网络,它既包括允许用户建立远距离无线连接的语音和数据网络,也包括为近距离无线连接进行优化的红外线技术及射频技术,与有线网络的用途十分类似,最大的不同在于传输媒介的不同,利用无线电技术取代网线,可以和有线网络互为备份。伴随着临床信息化,医院正逐步地实现无纸化、无胶片化和无线化,医院无线网络技术的不断成熟和普及。利用PDA、平板无线电脑和移动手推车随时随地进行生命体征数据采集、医护数据的查询与录入、医生查房、床边护理、呼叫通信、护理监控、药物配送、病人标识码识别等,充分发挥医疗信息系统的效能,突出数字化医院的技术优势,但同时医院无线网络也面临有较大的安全威胁。因此,全面实现医院无线网络安全建设是医院网络建设中较为重要的一个环节。
1无线网络安全建设措施
1.1安全策略集中控制
构建智能化无线网络构架,将无线网络安全控制策略全部集中到网络控制器上进行统一的控制和,包含有:无线电频率管理、无线入侵检测、病毒库、安全加密、入网行为控制等。将无线网络安全策略使用到网络管理上,防止由于无线网络数据被盗而产生的安全信息泄露。
1.2接入点零配置
在日常使用的普通无线网络中,黑客能够通过窃取无线网络接入点的方式获得密码从而进入到无线网络中。在无线网络控制器上对无线接入点进行智能控制,保证本地不保存无线网络接入点的任何数据,并将全部的数据存储到无线网络控制器,在无线网络接入点上实现零配置,这在很大程度上能够提升无线网络运行的安全性,较大程度的降低了黑客窃取无线网络信息的可能性,本地的接入工作量也得到了较大的简化。
1.3病毒入侵防护
首先是准入检查,当无线网络接收器尝试进入到无线网络时,在进行用户认证之前对无线网络系统中防病毒定义、防病毒软件、操作系统补丁等进行全面的检查,若检查未通过则其则禁止进入到无线网络中,也可以将无线网络用户重定到具体的某一台升级服务器上,只有其安装指定的防病毒软件、系统补丁之后才能接入到无线网络中。其次是数据检查,通过了第一步的准入检查之后,通过数据检查才能实现对无线网络数据的有效监控与检查,通过设置对应的策略,将所有用户的数据,进行全面的防病毒数据检查,若通过检查,则进行数据的传输,若不能通过检查,则将数据丢弃,从而全面的实现对无线网络终端的病毒防护。
1.4非法入侵检测
无线网络的访问接入点和有线网络集线器较为类似,为整个网络的中心,其为移动客户端接入到网络的中心节点,可以将其简洁方便的安装到墙壁或者天花板上,仅需要对无线AP能够覆盖的区域进行针对性的设置,就能够连接到无线网络中,这就导致非法的AP可通过设置进入到无线网络中,给无线网络造成较大的安全隐患,出现网络宽带安全和数据安全等相关的问题。例如,当非法的AP用户对合法的无线网络接入点进行侵扰时,常常被误认为AP运行不稳定或者无线电波信号不稳定等相关的情况,严重时会出现无线网络连接中断,而网络管理人员不能在第一时间内收到报警。通过在无线网络中设置非法入侵检测,利用无线网络架构技术,可以在无线网络中设置无线网络入侵模式库,可以将异常的无线网络数据检测出来,显示并记录无线网络入侵格式,自动的开启对应的警报和保护响应。
1.5安全准入控制
首先为身份认证,对无线网络的身份进行行为授权,避免非法授权终端的进入,通过无线网络用户硬盘ID的绑定及无线网络身份权限的授权,从而实现和无线网络安全设备的联动,拒绝未授权用户的访问。其次为设置安全策略,应对无线网络设置统一的安全策略。当无线网络终端接入到无线网络后,立刻进行多策略安全检查,例如进行注册表、进程检查,防病毒软件、补丁监测等。动态策略管理提供可定制、可扩展的安全策略,可分组织和角色灵活实施;提供多种安装策略并基于系统环境选择安装,及时、主动消除各种安全缺口;提供上网行为审计、USB移动存储设备、系统进程监控等安全策略,对用户违规行为进行审计和取证,帮助提高用户安全意识,保障IT资源的合理使用。系统自动收集终端软、硬件资产信息,跟踪资产变更,实现资产管理IT化,保障信息资产可控可管。
2医院无线网络安全建设应用实践
2.1无线网络拓扑结构
某三级甲等医院在医院内建设了无线网络,从而保证医院内无线网络的全覆盖,为医院内网络用户提供一个便捷安全的网络环境。
2.2无线网络设计与部署
无线网络控制采用有源以太网作为交换机,采用了大容量的无线AP,接入点采用智能零漫游无线接入。POE网络交换机采用了1000M以太网网络连接,数据传输采用了大容量无线AP,利用专用的超柔性馈线实现对功率分配器的连接,智能单元通过穿墙进入室内,从而实现医院内无线信号的全覆盖,室内的大容量无线AP可通过放装的方式较好的达到了医院开放式区域内部对无线信号覆盖的需求。
2.3无线控制器冗余备份
在进行无线网络控制器设置时,采用了N+1冗余集群备份技术,将其中的一台控制器作为中心控制器,剩下的N台控制器作为辅助控制器。当进行无线网络的初始化时,仅仅主控制器能够进行AP注册请求,在主控制器内实现无线网络的协议配置和接入点控制,并将无线网络备份控制信息传输给每一个AP,然后每一个AP可以通过备份构建一条虚拟的WAP网络,当无线网络出现网络切换时,网络切换均在50mm之内,保证用户体验良好不会出现掉线情况。
2.4非法信号监测
无线网络利用智能无线AP,设置2种模式实现对非法电磁信号的监测,其一为对AP每隔一定的时间进行在线安全扫描;其二为将AP设置为连续监控的无线网络安全监控扫描模式。通过设置上述2种方式,智能无线AP按照预先的设置实现对周边环境中所有的MAC地址的检测,可实现对无线网络服务集标示、通道信息的全面安全检查。对未经授权的AP可实现自动识别和警告,从而更好的防止非法信号的侵扰。
2.5认证鉴别机制
为了更好的保证无线网络数据的安全性,需对无线网络的接入点进行准入认证设置,本次无线网络构建采用了Mac和Web认证方式,因为操作系统差异化,对不同类型的移动终端,采用了不同种类的操作系统,另外针对Web认证系统兼容性较为局限的特点,在进行Web认证鉴别时,通过将MAC地址绑定的方式进行了双重认证鉴别,从而在医院内实现了网络安全全部鉴别,当移动终端被授权之后,只有获得CA安全证书,并保证和MAC地址一致后才能进入到无线网络内,并通过设置双重认证鉴别的方式,来实现对无线网络安全身份的识别,拦阻了外来非法无线终端的接入。
3结论
综上分析,在医院内部增强自身的无线网络安全建设对于保证自身无线网络的正常使用有着非常重要的作用。因此,医院网络维护人员,应结合本院无线网络使用方式与特点,建立针对性的无线网络安全保护措施,使无线网络更好的为医院服务。
作者:柯传琪 单位:福建中医药大学附属第二人民医院
参考文献:
[1]黄波.无线网络技术在医院信息化建设中的应用分析[J].电脑知识与技术,2015(9):43-45.
无线网络安全论文篇5
2长距离无线网络安全问题
目前IEEE802.16的安全协议设计了两个版本:一个是为固定无线场景设计的PKMv1[2];另一个是为移动场景设计的PKMv2。而后者又是在PKMv1版本的基础上经过改进后规定的安全机制。PKMv1的安全机制优点是:携带的消息报文较少、效率较高、安全算法比较易于工程实现。PKMv1的安全机制主要缺陷[3]如下:(1)只提供了单向认证,没有实现真正的双向认证:协议提供了基站(BS,BaseStation)对用户站(SS,SubscriberStation)的单向认证,并没有提供SS对BS的认证,导致的后果是SS无法确认其连接的BS是否为预定的BS,从而仿冒合法的BS欺瞒SS就变得相对容易。(2)密钥质量相对较低:授权密钥(AK,AuthorizationKey)和会话密钥(TEK,TrafficEncryptionKey)都是由BS一侧产生,在单向认证的场景下,SS难以信任TEK的质量。PKMv2对在PKMv1存在的不足进行了部分完善,但仍存在以下安全方面的问题:(1)引入了EAP认证:EAP认证要求由可信任的第三方提供支持;另外,授权密钥由可信任的第三方和SS共同产生后传递给BS,这就需要可信任的第三方和BS之间预先建立一个安全通道;EAP认证其实只实现了SS和可信任第三方之间的直接双向认证,而不是SS和BS之间的直接双向认证,这样导致的后果就是假冒BS可以发动攻击。(2)RSA认证密钥质量不高:预授权密钥(PAK)是由BS一方产生的,且在PKMv2中也没有对密钥进行明确规定,没有说明密钥须由较高质量的伪随机数发生器产生,假如密钥的生成不随机,将面临非常严重的安全问题。
3长距离无线网络安全接入技术
3.1基于TePA(三元对等鉴别)的访问控制方法
国内目前解决网络安全接入问题主要采用拥有自主知识产权的虎符TePA(三元对等鉴别)技术[4]。TePA机制提供了一种安全接入方法,用来阻止接入请求者对鉴别访问控制器系统的资源进行未授权的访问,也阻止请求者误访问未授权的鉴别访问控制器系统。例如,基于三元结构和对等鉴别的访问控制可以用来限制用户只能访问公共端口,或者在一个组织内,限制组织内资源只能被组织内用户访问。它还提供了一种方法,接入请求者可以用来阻止来自未授权鉴别访问控制器系统的连接。访问控制是通过对连接在受控端口上的系统进行鉴别来实现的,根据鉴别的结果,接入请求者系统或鉴别访问控制器系统决定是否给予对方授权,允许对方通过受控端口访问自己的资源。如果对方没有获得授权,根据受控端口的状态控制参数限制在请求者系统和鉴别访问控制器系统间未授权的数据流动。基于三元对等鉴别的访问控制可以被一个系统用来鉴别其他任何连接在它受控端口上的系统,系统可以是路由器、终端设备、交换机、无线接入节点、无线基站、网关、应用程序等。
3.2长距离无线网络安全接入协议
借鉴TePA机制的解决思路,本文设计了适用于长距离无线网络安全接入协议(以下简称LRWM-SA),由以下2部分协议组成:(1)接入认证,提供了从BS到SS上密钥数据的安全分发,BS还利用该协议加强了对网络业务的有条件访问。(2)将网络传输的包数据进行安全加密的封装方法和协议,定义[5]:密码组件,即认证算法和数据加密方法;密码组件应用于报文数据载荷的规则。LRWM-SA协议出现的实体包括SS、BS和AS,其中AS(AuthenticaionServer)为认证服务器。从设备的表现形式看,AS可以是一台服务器,也可以是一台专用的网络设备,甚至可以是一个逻辑的单元驻留于BS的内部,用于实现安全子层的认证、证书管理和密钥管理等功能。接入认证过程完成SS和BS之间的双向身份鉴别,身份鉴别成功后,在BS和SS之间协商授权密钥(AK);同时,BS为SS授权一系列SA。随后紧接着进行会话密钥(TEK)协商过程。在进行接入过程前,AS需要为BS和SS分别颁发AS使用自己证书私钥签名的证书,BS和SS端均需安装AS证书,具体可以参考相关PKI(公钥基础设施)的文献和技术规范。具体步骤如下:(1)BS向SS发送接入鉴别激活消息,消息内容包含:安全接入标志、BS支持的密码算法组件、BS信任的AS身份和BS证书。(2)SS收到接入鉴别激活消息,检查是否兼容BS支持的密码算法组件,如相容则验证BS证书签名的有效性,根据接入鉴别激活消息中的BS信任的AS身份选择证书,构造接入鉴别请求消息并发送至BS,消息内容包含:安全接入标志、BS和SS均支持的密码算法组件、SS挑战、SS第一证书、SS第二证书、SS信任的AS列表、BS身份和SS的消息签名。(3)BS收到接入鉴别请求消息,利用SS签名证书的公钥验证SS的消息签名,检查BS身份字段是否与本地的身份一致,若一致则构造证书鉴别请求消息,消息内容包含:安全接入标志、BS的MAC地址、SS的MAC地址、BS挑战、SS挑战、SS第一证书、SS第二证书、BS证书、SS信任的AS列表和BS的消息签名。(4)AS收到证书鉴别请求消息,利用BS证书的公钥验证BS的消息签名,则验证BS证书、SS第一证书和SS第二证书,然后构造证书鉴别响应消息发送至BS,消息内容包含:安全接入标志、BS的MAC地址、SS的MAC地址、BS挑战、SS挑战、BS证书验证结果、SS第一证书验证结果、SS第二证书验证结果、BS身份、SS身份和AS的消息签名。(5)BS收到证书鉴别响应消息,根据BS的MAC地址、SS的MAC地址查找对应的证书鉴别请求消息,确定证书鉴别响应消息中的BS挑战字段的值与本地证书鉴别请求消息中对应的BS挑战字段是否相同,如果相同则使用AS证书公钥来验证证书鉴别响应消息签名;验证后,根据证书鉴别响应消息判断SS的合法性,若SS合法则生成授权密钥材料,利用授权密钥材料、BS挑战和SS挑战推导出新的授权密钥,使用SS第二证书的公钥加密授权密钥材料,然后构造接入鉴别响应消息发送至SS,消息内容包含:安全接入标志、BS的MAC地址、SS的MAC地址、BS挑战、SS挑战、BS证书验证结果、SS第一证书验证结果、SS第二证书验证结果、BS身份、SS身份、AS对消息进行的签名、更新后的授权密钥安全关联、加密后的授权密钥材料和BS对消息进行的签名。(6)SS收到接入鉴别响应消息后,比较SS挑战与本地先前在接入鉴别请求消息中包含的SS挑战是否相同,利用BS证书公钥验证BS的消息签名,利用AS证书公钥验证接入鉴别响应消息签名;验证后,根据接入鉴别响应消息判断BS的合法性,使用SS第二证书的私钥解密授权密钥材料,利用授权密钥材料、BS挑战和SS挑战推导出新的授权密钥,启用新的鉴别密钥,将接收到的更新的授权密钥安全关联和此授权密钥相关联,并使用鉴别密钥推导出密钥加密密钥和消息鉴别密钥,然后构造接入鉴别确认消息发送至BS,消息内容包含:安全接入标志、BS挑战、BS身份、更新的授权密钥安全关联和消息鉴别码。(7)BS收到接入鉴别确认消息,比较BS挑战与本地在证书鉴别请求消息中发送的BS挑战是否相同,检查BS身份,比较更新的授权密钥安全关联与接入鉴别响应消息中授权密钥安全关联的标识、密钥索引、安全组件是否一致,密钥有效期是否较短,使用本地推导出的授权密钥进一步推导出密钥加密密钥和消息鉴别密钥,根据消息鉴别码校验数据完整性后,使更新的授权密钥材料生效,否则解除BS与SS的连接。在会话密钥协商过程完成后,可以进行会话业务的保密通信。这里需要注意的是,所有密码(包括AK和TEK)都需要进行周期性的更新,以保证不被穷尽法破解。LRWM-SA协议与PKMv1和PKMv2协议相比,具有以下优点:(1)对长距离无线网络中的认证和会话密钥协商过程做了替换性的更改,其他内容保留了原长距离无线网络的协议定义。因此,更改后的安全协议也可以符合原长距离无线网络对于无线接入的功能和性能要求。(2)在接入认证过程中,采用SS和BS的直接双向认证替代原有的单向认证,使得BS和SS都能确认与预先确定的对方进行通信,入侵者无法冒充合法BS来骗取SS的信任,从而降低了中间人攻击所带来的安全威胁。(3)密钥协商过程中,授权密钥由BS和SS共同产生,避免了由BS单方面产生和分配,提高了密钥的质量,进一步增强长距离无线网络的安全性。
3.3安全性分析
安全协议的形式化分析方法分为两类:一类是基于数学分析的方法,建立数学模型,然后逐步通过定理证明来推论协议的有效性,通常用于学术界;另一类是基于符号变换的方法,把协议执行看作符号重写,分析协议的可达状态,匹配协议的安全目标,一般有自动化工具支持,适用于工业界。本文采用AVISPA工具中的OFMC方法对LRWM-SA协议的安全性进行分析。OFMC使用状态、规则和攻击规则来描述协议,AVISPA通过HLPSL来明确地描述协议和协议希望达到的安全目标,然后使用OFMC等分析工具给出分析结果。通过对众多已存在的协议和IETF正在标准化的一些协议进行安全分析,AVISPA找出了以前没有发现的缺陷,显示了其优越性。通过协议安全性分析,验证了LRWM-SA协议可满足认证性和秘密性的设计目标。
无线网络安全论文篇6
二、4G无线通信系统所存在的安全问题
4G无线通信系统当中所存在的安全问题集中体现在移动终端、无线网络、无线业务三个方面,具体如下:
2.1移动终端方面
①移动终端的硬件平台不具备完整而全面的验证保护机制,各个模块遭受攻击者随意篡改的风险非常高,再加上移动终端内部的各个通行接口没有机密性的保护措施,用户所传递的信息容易被窃听,访问控制机制有待完善。②移动终端的操作系统多种多样,各种操作系统多存在不同程度的安全隐患,在使用的过程当中,其所存在的安全漏洞会被无限放大。③伴随病毒种类的不断增加与更新,传统的防病毒软件的体积也在随之增大。但是,移动终端的计算能力、电池容量、数据储存能力均是有限的,难以长时间地支撑起大体积的防病毒软件的运行需求,两者的矛盾性非常明显。④移动终端所支持的无线应用非常多,包括电子邮件、电子商务等,其均是通过无线网络而实现的。大部分的无线应用其自身均存在固有的安全隐患,再加上相应的程序的安全漏洞,严重威胁着无线终端的网络安全。此外,木马、蠕虫等移动终端比较常见的感染性病毒也可通过这些无线应用而进入到移动终端当中,损坏或是窃取数据资源。
2.2无线网络方面
①无线网络的具体结构不同,非常容易导致相应的差错,所以要求无线网络必须要具备良好的容错性。②不同的无线网络,其安全机制、安全体系、安全协议也必定不同,导致4G无线通信系统容易受到来自各个方面的安全威胁。③一般而言,4G无线通信系统必须要与异构形式的非IP网络进行连接,同时依靠QoS实现高速网络速率传递。但是,在实际的操作过程当中,4G无线通信系统与异构形式的非IP网络连接,同样存在安全威胁。④无线网络用户习惯在各个不同的系统当中随意切换与漫游,这就对4G无线通信系统的移动性管理性能提出可更高的要求。但是,目前我国的4G无线通信系统尚不具备良好的移动性管理性能,容易出现各种安全问题。
2.3无线业务方面
①无线业务与衍生的增值业务均以电子商务为主,整体呈现持续增长的趋势。但是,目前的4G无线通信系统的安全机制很难适应高级别的安全需求。②目前的无线通信市场,利益争端因为多计费系统的参与而愈演愈烈,运营商欺诈以及用户抵赖等现象不乏存在。但是,目前的4G无线通信系统的安全方案无法出示绝对肯定性质的相关凭证。③4G无线通信业务支持用户的全球移动性,这是其优点,也是其安全隐患之一。因为一次无线业务无可避免会涉及到多个业务提供商以及网络运营商,容易出现安全问题。
三、提升4G无线通信系统网络安全性能的策略
提升4G无线通信系统网络安全性能,主要在于安全策略、效率策略、以及其他的一些策略,具体如下:
3.1安全策略
①加固操作系统。建议所采用的操作系统必须要满足TMP的实际需求。确保混合式访问控制、域隔离、远程验证等具备良好的兼容性能,以提高4G无线通信系统网络的安全性能。②加固硬件平台。应用“可信移动”的方案,添加可信启动的程序,对移动终端的数据储存实现有效的保护,提高检验机制的完整性。③加固应用程序。在进行应用程序下载的过程当中,必须要进行合法性与安全性检验才能进行安装,避免其受到攻击者的恶意篡改,同时降低可供用户选择的不安全配置选项的比例。④防护硬件物理。有针对性地提高移动平台硬件的集成程度,对遭受攻击的硬件接口的电压与电流,避免再次遭受物理性质的攻击。在必要的时候,允许将USIN以及TPM当中所储存的数据自动进行销毁,销毁的程度视安全级别而定。
3.2效率策略
①尽可能减少安全协议当中所要求的交互性消息的数量,同时尽量缩短单条消息的长度,要求简洁明了。②在进行预计算以及预认证的过程当中,要求在移动终端处于空闲状态之下进行,以期充分利用移动终端的空闲时间。③针对在较短的时间之内无法进行实质获取的无线业务,一般而言,可延缓提供服务的时间,采取滞后认证的措施,如果其可以顺利地通过认证,便向其按时提供服务,否则中止服务。④对称性是移动终端计算的必备特征,针对比较庞大的计算负担而言,建议促使其在服务网络端完成,以起到缓解移动终端负担的作用,同时注意密码算法的选用,在选用密码算法之时,需要遵循资源少、效率高两大基本原则,摒弃临时身份机制以及缓存机制的使用。
3.3其他策略
①多策略机制。为不同的场景提供具有针对性的安全策略,以先验知识节约开销,保证效率,确保切换认证的效率高于接入认证。②多安全级别策略。使用场合以及使用需求的不同,其安全级别也是不同的,因此需要实施多安全级别策略,在电子商务以及普通通话之间划分鲜明的安全级别界限。此外,无线网络切换也需要赋予其不同的安全级别,例如4G用户切换至3G网络,那么安全级别也应当随之下调,并不是固定不变的。
无线网络安全论文篇7
当前互联网中,无线传感器网络组成形式主要为大量廉价、精密的节点组成的一种自组织网络系统,这种网络的主要功能是对被检测区域内的参数进行监测和感知,并感知所在环境内的温度、湿度以及红外线等信息,在此基础上利用无线传输功能将信息发送给检测人员实施信息检测,完整对整个区域内的检测。很多类似微型传感器共同构成无线传感器网络。由于无线传感器网络节点具有无线通信能力与微处理能力,所以无线传感器的应用前景极为广阔,具体表现在环境监测、军事监测、智能建筑以及医疗等领域。
1无线传感器网络安全问题分析
彻底、有效解决网络中所存在的节点认证、完整性、可用性等问题,此为无线传感器网络安全的一个关键目标,基于无线传感器网络特性,对其安全目标予以早期实现,往往不同于普通网络,在对不同安全技术进行研究与移植过程中,应重视一下约束条件:①功能限制。部署节点结束后,通常不容易替换和充电。在这种情况下,低能耗就成为无线传感器自身安全算法设计的关键因素之一。②相对有限的运行空间、存储以及计算能力。从根本上说,传感器节点用于运行、存储代码进空间极为有限,其CPU运算功能也无法和普通计算机相比[1];③通信缺乏可靠性。基于无线信道通信存在不稳定特性。而且与节点也存在通信冲突的情况,所以在对安全算法进行设计过程中一定要对容错问题予以选择,对节点通信进行合理协调;④无线网络系统存在漏洞。随着近些年我国经济的迅猛发展,使得无线互联网逐渐提升了自身更新速度,无线互联网应用与发展在目前呈现普及状态,而且在实际应用期间通常受到技术缺陷的制约与影响,由此就直接损害到互联网的可靠性与安全性。基于国内技术制约,很多技术必须从国外进购,这就很容易出现不可预知的安全患,主要表现为错误的操作方法导致病毒与隐性通道的出现,且能够恢复密钥密码,对计算机无线网安全运行产生很大程度的影响[2]。
2攻击方法与防御手段
传感器网络在未来互联网中发挥着非常重要的作用。因为物理方面极易被捕获与应用无线通信,及受到能源、计算以及内存等因素的限制,所以传感器互联网安全性能极为重要。对无线传感器网络进行部署,其规模必须在不同安全举措中认真判断与均衡。现阶段,在互联网协议栈不同层次内部,传感器网络所受攻击与防御方法见表1。该章节主要分析与介绍代表性比较强的供给与防御方法。
3热点安全技术研究
3.1有效发挥安全路由器技术的功能
无线互联网中,应用主体互联网优势比较明显,存在较多路由器种类。比方说,各个科室间有效连接无线网络,还能实现实时监控流量等优点,这就对互联网信息可靠性与安全性提出更大保障与更高要求[3]。以此为前提,无线互联网还可以对外来未知信息进行有效阻断,以将其安全作用充分发挥出来。
3.2对无线数据加密技术作用进行充分发挥
在实际应用期间,校园无线网络必须对很多保密性资料进行传输,在实际传输期间,必须对病毒气侵入进行有效防范,所以,在选择无线互联网环节,应该对加密技术进行选择,以加密重要的资料,研究隐藏信息技术,采用这一加密技术对无线数据可靠性与安全性进行不断提升。除此之外,在加密数据期间,数据信息收发主体还应该隐藏资料,保证其数据可靠性与安全性得以实现。
3.3对安全MAC协议合理应用
无线传感器网络的形成和发展与传统网络形式有一定的差异和区别,它有自身发展优势和特点,比如传统网络形式一般是利用动态路由技术和移动网络技术为客户提供更好网络的服务。随着近些年无线通信技术与电子器件技术的迅猛发展,使多功能、低成本与低功耗的无线传感器应用与开发变成可能。这些微型传感器一般由数据处理部件、传感部件以及通信部件共同组成[4]。就当前情况而言,仅仅考虑有效、公平应用信道是多数无线传感器互联网的通病,该现象极易攻击到无线传感器互联网链路层,基于该现状,无线传感器网络MAC安全体制可以对该问题进行有效解决,从而在很大程度上提升无线传感器互联网本身的安全性能,确保其能够更高效的运行及应用[5]。
3.4不断加强网络安全管理力度
实际应用环节,首先应该不断加强互联网安全管理的思想教育,同时严格遵循该制度。因此应该选择互联网使用体制和控制方式,不断提高技术维护人员的综合素质,从而是无线互联网实际安全应用水平得到不断提升[6]。除此之外,为对其技术防御意识进行不断提升,还必须培训相关技术工作者,对其防范意识予以不断提升;其次是应该对网络信息安全人才进行全面培养,在对校园无线网络进行应用过程中,安全运行互联网非常关键[7]。所以,应该不断提升无线互联网技术工作者的技术能力,以此使互联网信息安全运行得到不断提升。
4结束语
无线传感器网络技术是一种应用比较广泛的新型网络技术,比传统网络技术就有较多优势,不但对使用主体内部资料的保存和传输带来了方便,而且也大大提升了国内无线互联网技术的迅猛发展。从目前使用情况来看,依旧存在问题,负面影响较大,特别是无线传感器网络的安全防御方面。网络信息化是二十一世纪的显著特征,也就是说,国家与国家间的竞争就是信息化的竞争,而无线网络信息化可将我国信息实力直接反映与体现出来,若无线传感网络系统遭到破坏,那么就会导致一些机密文件与资料信息的泄露,引发不必要的经济损失与人身安全,私自截获或篡改互联网机密信息,往往会造成互联网系统出现瘫痪现象。因此,应该进一步强化无线传感器互联网信息安全性。
作者:杨波 单位:常州大学怀德学院
参考文献:
[1]周贤伟,覃伯平.基于能量优化的无线传感器网络安全路由算法[J].电子学报,2007,35(1):54-57.
[2]罗常.基于RC5加密算法的无线传感器网络安全通信协议实现技术[J].电工程技术,2014(3):15-18.
[3]试析生物免疫原理的新型无线传感器网络安全算法研究[J].科技创新导报,2015(3):33-33.
[4]滕少华,洪源,李日贵,等.自适应多趟聚类在检测无线传感器网络安全中的应用[J].传感器与微系统,2015(2):150-153.
无线网络安全论文篇8
一、需求分析
网络对于企业的重要性日益增强,在办公室、会议室等办公场所也需要方便的接入网络,这需要借助于无线网络实现。论文大全,无线接入点。中小企业对于网络的要求,除了实用性之外更加注重稳定性和安全性,要想组建一个企业用的无线网络,必须了解企业对无线网络的需求。论文大全,无线接入点。
1、稳定和安全性
无线网络的性能容易受到障碍物等外部因素的影响,而企业对网络的基本要求就是稳定。无线网络的主要标称速率为54Mbps,和有线网络相比存在一定差距,加上综合环境的影响,企业组建无线网络时,稳定性是企业必须考虑的问题。
开放性是无线网络另一特点,拥有无线网卡的计算机或终端可以登录到企业的无线网络,这对企业来说是一种潜在的威胁,所以,企业无线网络必须重视安全性。
2、可扩充性
对于发展中的企业来说,发展过程中可能会扩充企业范围或公共区域,其网络也需要预留出扩充空间。论文大全,无线接入点。论文大全,无线接入点。因为无线网络同时也需要有线网络的支持,如果不预留发展位置,无线网络则不易扩充。为了企业的发展需要,组建无线网络时,也需要考虑扩充性以满足企业发展的需要。
二、设备选择和使用
目前存在802.11b、802.11a、802.11g等多种无线网络标准,选择支持一种或多种标准的设备是一个重要的方面,同时还要使多种网络标准协调工作。用户在无线组网时要优先选择经过国际权威认证的无线产品,一方面有利于获得最佳的整体性能,另一方面能够有效保护投资以及未来网络扩充。
无线路由器的选择是最重要的一部分。其理论速率可以达到300Mbps,不过需要发送和接收的设备都支持IEEE802.11n标准,目前支持这种标准的计算机和移动终端较少,相应的无线网卡价格较高高;其次,无线路由器的信号在受到外界干扰的时候会有较大的损耗,所以,相比部署有线网络而言,部署无线网络的费用会多出一部分。但是从发展的角度考虑,选择最高性价比的设备是最为合理的。
除了无线路由器的选择,组建无线局域网还需要相关的传输介质,如双绞线、光纤线缆等,此外,还需要其他的布线设备,如RJ45插头、信息插座、配线架、光纤连接器、网线模块等。
三、组网
在无线网络的使用中存在这样一个误区,即无线网络只是有线网络的补充网络,其性能不会很高。实际上,只要有合理的组网方案,无线局域网可以具有很高的带宽和稳定的性能。需要注意这样的几个问题:
1、避免拥挤的频段
目前主流的标准是802.11b和802.11g,IEEE802.11b/g工作在2.4~2.4835GHz频段,这些频段被分为11或13个频段。在无线AP无线信号覆盖范围内有两个或以上的AP时,就需要为每个AP设定不同的频段,以避免共用无线信道发生冲突。论文大全,无线接入点。但很多用户使用的无线网卡的默认值都将频段设置为1,而不是随机调整。当两个或以上的这样的无线设备相邻时就需要分配合理的频段以避免冲突。
2、安装足够的接入点AP
公司需要在内部安装足够的接入点AP,以达到提高可靠性、网络容量和吞吐率的目的。很多企业的做法是让AP覆盖尽可能大的范围以节约投资,这是一种错误的做法,不但会引起网络性能下降,而其不利于企业网络的扩充。现在接入点的价格相对便宜,所以应当使用足够接入点AP来提高性能。
3 采用集中式网络架构
集中式架构是层次化的架构,包括一个负责配置、管理和控制多个无线接入点的无线网络控制器。无线网络控制器也被称为接入控制器。和集中式网络架构不同的是分布式架构要求各接入点单独管理。
企业用户在部署室内无线网络还需要注意的一个问题是:尽可能采用支持以太网网线供电(POE)的以太网交换机,以有线交换机的有线以太网络作为整体的分布系统来连接各个位于在不同位置的无线接入点,使无线接入点融入到企业网络的用户控制和设备管理的控制体系中,为多种不同的无线终端提供方便地接入,为各种不同的应用提供支持。
四、安全管理
网络设备安装之后,企业的无线网络可以进行正常的运行,但是无线网络中会存在很多安全隐患。为保障企业无线网络的安全运行,必须给企业的无线网络进行安全管理和配置。
1、使用加密网络
主流的无线加密协议(WEP)是对无线网络中的数据传输进行加密的一种方法。现在大多数简单的无线设备只具备WEP加密,以及安全性更强的WPA加密。
无线接入点的密钥类型一般分为两种。无线接入点可以使用64位或128位的加密密钥,密钥位数越长,安全性越强。
2、关闭DHCP
无线设备在连接无线网络,需要获取一个可用的IP地址。如果开启了DHCP服务,无线接入点自动为进入无线网络的无线设备分配 IP地址、网关、DNS服务器等信息,则网络处于一种开放状态。论文大全,无线接入点。所以禁用DHCP服务也能够在一定程度上保证网络的安全性,因为无线终端即使获取了SSID,也无法使用无线网络,这样可以避免匿名无线设备侵入企业网络。
3、关闭SSID广播
无线网络是一种开放式的网络,安装无线网卡的设备在覆盖范围内就可以连接无线网络,无线网络的这种开放性也容易成为安全隐患。入侵者只要在无线网络覆盖范围内就可以登录企业的无线网络,这样会使企业网络的安全受到威胁。所以,要关闭无线网络的 SSID广播,并修改无线接入点的SSID,以防止匿名无线设备的入侵。
参考文献:
[1]帕勒万等著刘剑译.无线网络通信原理与应用[M].清华大学出版社,2002.11
[2]朱坤华,李长江.企业无线局域网的设计及组建研究[J].河南科技学院学报2008.2:120-123
无线网络安全论文篇9
[6]Li J, Gan L and Du F F. Research on encryption algorithm conforming to AES in WLAN [C]. Advanced Materials Research, 2012: 1517-1521.
[7]刘佳. 基于密码学的无线局域网认证协议设计与实现[J]. 价值工程, 2012, 31(277): 223-228.
[8]Lu Y, O'Neill M P and McCanny J V. Differential power analysis resistance of Camellia and countermeasure strategy on FPGAs[C]. International Conference on Field-Programmable Technology, 2009: 183-189.
[9]Kitsos P and Skodras A N. An FPGA implementation and performance evaluation of the seed block cipher[C]. 17th International Conference on Digital Signal Processing (DSP), 2011: 1-5.
[10]温巧燕,钮心忻,杨义先.现代密码学中的布尔函数[M].北京:科学出版社,2000.
[11]Jakobsen T and Kundsen L R. The Interpolation Attack on Block Ciphers[C]. Fast Software Encryption: 4th International Workshop, 1997: 28-40.
无线网络安全论文篇10
中图分类号:TP393.03 文献标识码:A 文章编号:1007-3973(2012)012-153-03
1引言
2011年9月20日,国务院《关于加快培育和发展战略性新兴产业的决定》,明确将新一代信息技术产业列为“十二五”规划的新兴产业首位,未来发展空间值得期待。信息安全是国家安全战略的重要组成部分,设置面向市场需求的新兴技术和保障政府、军队、银行、电网、信息服务平台的网络安全技术必修课程,符合高新产业技术的市场需求和教育法规,以其为高新产业迅速发展和控制网络空间安全培养更多的高素质技能型人才。
信息安全学科是数学、物理、生物、通信、电子、计算机、法律、教育和管理等学科交叉融合而形成的一门新型学科。它与这些学科既有紧密的联系,又有本质的不同。信息安全学科已经形成了自己的内涵、理论、技术和应用,并服务于信息社会,从而构成一个独立的学科。本文从认识论的角度,探索信息安全学科的一个重要分支网络安全的课程体系内涵。
认识论,认识是实践基础上主体对客体的能动反映;人作为认识的主体,首先在于人是实践的主体;知识、技术作为认识的客体,首先在于它们是主体能动的实践活动的客体,应该从主体的感性的实践活动去理解,从主体的主观能动方面去理解;实践是认识的直接来源,认识只有在实践的基础上才能发展。人类认识事物的一般规律是从简单到复杂、从具体到抽象、从特殊到一般。
认识信息安全学科,必须遵循认识规律、专业规律。到目前为止,有关信息安全的学科体系和人才培养缤纷凌乱。在此,笔者以武汉大学空天信息安全与可信计算教育部重点实验室研究体系为基础,探讨网络安全的课程体系,以其为课程建设抛砖引玉。
2信息安全的学科体系
信息安全学科是研究信息获取、信息存储、信息传输和信息处理领域中信息安全保障问题的一门新兴学科。
2.1信息安全的理论基础
信息安全学科所涉及的主要研究内容包括:新型密码体制研究、密码编码与密码分析、信息安全风险评估、信息安全管理、入侵检测、灾难备份和应急响应、操作系统安全、数据库安全、身份认证与访问控制、协议安全、可信网络连接、信息隐藏与检测、内容识别与过滤、信息对抗理论、信息对抗技术,以及信息安全工程等。
网络安全以控制论和系统论为其理论基础,通过入侵检测、数据加密等技术实现安全威胁的识别和数据的安全传输,防止非法篡改和泄露保密信息。网络安全的基本思想是在网络的各个范围和层次内采取防护措施,以便检测和发现各种网络攻击威胁,并采取相应的响应措施,确保网络环境的数据安全。网络安全研究网络攻击威胁、网络防御理论、网络安全理论和网络安全工程等。
2.2信息安全的方法论基础
信息安全学科有自己的方法论,既包含分而治之的传统方法论,又包含综合治理的系统工程方法论,而且将这两者有机地融合为一体。具体概括为,理论分析、实验验证、技术实现、逆向分析四个核心内容,这四者既可以独立运用,也可以相互结合,指导解决信息安全问题,推动信息安全学科发展。其中的逆向分析是信息安全学科所特有的方法论。
3现代通信网的技术体系
现代通信网是一个多种异构网络技术融合的综合体系,本文只讨论计算机网络、移动互联网、射频识别网络、无线传感器网络。
3.1计算机网络
以Internet为代表的计算机网络实现了物理世界与信息世界的互联,指明了下一代网络应用的发展趋势。Cisco研究表明,下一代网络(Next Generation Network)基于IP,支持语音、数据、视频和多媒体的统一通信,充分整合面向行业的垂直应用,亦称为IP-NGN。具体地说,就是把社区、企业、机关、医院、交通、航空等元素互联起来,形成一个休闲、工作、学习、娱乐的虚拟社区。计算机网络是一种由多种异构平台组成的多样化技术结构体系,在这个平台中,设备构成主要体现在感知网络、交换路由、服务提供和信息安全等四个方面。
3.2移动互联网
移动互联网是将移动通信和互联网结合起来,以宽带IP为技术核心的,可同时提供话音、传真、数据、图像、多媒体等高品质电信服务的新一代开放的电信基础网络,短消息是移动互联网最早提供的服务。第三代移动通信技术简称3G,是指支持高速数据传输的蜂窝移动通信技术;3G能够在全球范围内更好地实现无线漫游,提供网页浏览、电话会议、电子商务、音乐、视频等多种信息服务,3G必须支持不同的数据传输速度,可根据室内、室外和移动环境中不同应用的需求,分别支持不同的速率。
3.3射频识别网络
RFID系统包括三部分:标签(RFID tags)、阅读器(tag reader)和企业系统。标签是一个微芯片附属于天线系统,芯片包含存储器和逻辑电路,接受和发送阅读器的数据;天线接受和回射阅读器的同频信号;标签作为专用鉴别器,可以应用到一定区域内任何对象(人、动物和物体等),代表对象的电子身份。阅读器发送同频信号触发标签通信,标签发送身份信息给阅读器,完成一次查询操作。企业系统是阅读器连接的计算机信息系统,阅读器提交身份信息由企业系统存储。RFID系统通常用于实时监控对象,可以实现物理世界到虚拟世界的映像。
3.4无线传感器网络
无线传感器网络是由大量静止或移动的传感器节点,以多跳路由和自组织方式构成的无线感知通信网络,其目的是同步地感知、采集、处理和传输网络覆盖地理区域内感知对象的监测信息,并报告给用户。每一个节点具有感知、计算、路由三种功能,某节点感知监测对象的数据,通过其它节点路由到汇聚节点,经其它网络发送给用户。RFID系统和无线传感器网络合作,可以很好的记录物体的状态(位置、温度、位移),加深对环境的认知,扮演物理世界与数字世界的桥梁。
4网络安全的课程体系
4.1计算机网络安全
计算机网络安全主要依靠防火墙技术、虚拟专用网(VPN)技术和公钥基础设施(PKI)。
(1)防火墙技术。防火墙技术原型采用了包过滤技术,通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态或它们的组合来确定是否允许该数据包通过。在网络层上,防火墙根据IP地址和端口号过滤进出的数据包;在应用层上检查数据包的内容,查看这些内容是否能符合企业网络的安全规则,并且允许受信任的客户机和不受信任的主机建立直接连接,依靠某种算法来识别进出的应用层数据。
(2)虚拟专用网。虚拟专用网是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性。VPN是一种以可靠加密方法来保证传输安全的技术。在智能电网中使用VPN技术,可以在不可信网络上提供一条安全、专用的通道或隧道。各种隧道协议,包括网络协议安全(IPSec)、点对点隧道协议(PPTP)和二层隧道协议(L2TP)都可以与认证协议一起使用。
(3)公钥基础设施。公钥基础设施能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。PKI可以为不同的用户按不同安全需求提供多种安全服务,主要包括认证、数据完整性、数据保密性、不可否认性、公正和时间戳等服务。
4.2移动互联网安全
在移动互联网环境下,由TCP/IP协议族脆弱性、终端操作系统安全漏洞、攻击技术普及等缺陷所导致的传统互联网环境中的安全问题依然存在。
(1)手机病毒。手机病毒是具有攻击性、破坏性的恶意软件代码,一般利用短信、微博、微信、@mail、WAP网站等方式在无线通信网络内传播;同时可利用蓝牙、wifi等方式在智能手机间传播。随着移动智能终端的普及和统一的操作系统平台,手机病毒的传播和爆发会泄露用户空间隐私、时间隐私等危害,并对移动通信网络的安全运行、维护管理和支撑业务造成一定威胁。
(2)隐私信息泄露。移动设备的隐私信息防泄露主要包括三类技术:控制类技术,设置用户的管理权限,集中控制和管理数据中心,实现对关键数据的加密保护和保密传输,并定期审计和检查权限日志,防止隐私数据的非法外泄。加密类技术,操作系统的文件系统加密技术,磁盘设备加密技术,安全芯片加密技术和通信网络的密钥预分发管理技术。过滤类技术,在内网和外网的边界出口,安装协议数据包过滤设备,可以分析通信网络协议HTTP、POP3、FTP、即时通讯的数据包,并对数据包内容分析和过滤隐私信息。
(3)无线局域网安全。无线局域网安全标准主要是IEEE制定的802.11n标准和西安电子科技大学制定的WAPI标准。802.11n采用基于密钥共享的双向身份认证,定义了WPA2/TKIP加密算法;WAPI采用基于数字证书的双向身份认证,定义了我国的首个商用SMS4加密算法。两项标准都要解决用户到AP无线接入的认证和加密问题,中国电信无线局域网是在用户接入AP后进行Web认证,验证用户实体身份。两项标准已在现有的无线局域网和移动智能互联网终端得到实施,并且应用广泛。
4.3射频识别网络安全
由于RFID的成本有严格的限制,因此对安全算法运行的效率要求比较高。目前有效的RFID的认证方式之一是由Hopper和Blum提出的HB协议以及与其相关的一系列改进的协议。HB协议需要RFID和标签进行多轮挑战——应答交互,最终以正确概率判断RFID的合法性,所以这一协议还不能商用。
4.4无线传感器网络安全
无线传感器网络中最常用到的是ZigBee技术。ZigBee技术的物理层和媒体访问控制层(MAC)基于IEEE 802.15.4,网络层和应用层则由ZigBee联盟定义。ZigBee协议在MAC层、网络层和应用层都有安全措施。MAC层使用ABE算法和完整性验证码确保单跳帧的机密性和完整性;而网络层使用帧计数器防止重放攻击,并处理多跳帧;应用层则负责建立安全连接和密钥管理。ZigBee协议在密钥预分发管理中有3种基本密钥,分别是主密钥、链接密钥和网络密钥。主密钥在设备出厂时由公司缺省安装。链接密钥在个域网络(PAN)中被两个设备直接共享,可以通过主密钥建立,也可以在出厂时由公司缺省安装。网络密钥通过CA信任中心配置,也可以在出厂时缺省安装。链接密钥、网络密钥需要循环更新。
5结束语
网络安全技术是一个与时代科技发展同步的新兴领域,这就决定了其课程体系必须嵌入一些无线局域网安全、无线传感器网络安全、射频标签网络安全、云计算安全等新兴技术。因此,在规划其教学内容时,要以学生掌握网络安全技能目标为基础,以当代大学生的认识规律为起点,以现代多媒体教学方法为手段,设计出符合市场需求的、青少年认识规律的、与时代同步的课程体系,才能培养出面向新兴产业发展所需的高素质技能型专门人才。
参考文献:
[1] 陈先达.马克思哲学原理[M].北京:中国人民大学出版社,2010.
[2] 张焕国,赵波,等.可信计算[M].武汉:武汉大学出版社,2011.
[3] Luigi Atzori,Antonio Iera,Giacomo Morabito.The Internet of Things:A survey[J].Computer Networks 54 (2010):2787-2805.
[4] Debasis Bandyopadhyay,Jaydip Sen.Internet of Things:Applications and Challenges in Technology and Standardization[J].Wireless Pers Commun(2011)58:49-69.
无线网络安全论文篇11
【关键词】混沌加密 无线传感器网络 安全技术
随着计算机、移动智能终端应用的普及,人们对网络的依赖程度日益加深,随时随地连接网络成为人们的生活常态,在此背景下,无线传感器网络得到迅猛发展。但是,因为无线传感器本身存在的各种不足,比如通信距离有限、计算能力较差等,降低了其应用过程中数据安全性,是无线传感器网络面临的一个重要问题,研究可靠的安全技术有着重要现实意义。
1 无线传感器网络的概述
无线传感器网络的中心是数据,其目标是提高能源应用效率,与无线自组网络间有着较大差异,其特点如下:一是不存在中心节点,无线传感器网络各个节点在地位上是没有差别的,构成对等性网络,不存在控制中心;二是节点能力较低,各个节点使用的无线传感器本身硬件水平较低,导致其在电池容量、通信和计算能力等方面受到一定影响,进而降低了节点的能力;三是强动态性,依据网络分层协议、拓扑控制机制,在某个或某些节点出现问题时,可以按照要求对剩余节点进行适时调整。
2 基于混沌加密无线传感器网络安全技术分析
2.1 基于混沌S盒的加解密算法
在无线传感器网络的分组密码中,S盒是主要非线性部件,与无线传感器网络安全有着密切关系,本文基于混沌理论的Tent帐篷映射、Henon映射,形成基于双混沌映射的S盒,其加密算法如下:
首先是加密算法基础的轮密钥生成算法,根据混沌映射变换来实现S盒的非线性变换,可以节省S盒的存储空间,其设计思路为流密码,通过循环位移的方法来减少非线性运算量,得到轮密钥,其具体生成过程为:在寄存器中储存80长度的主密钥K(K0,K2……K79),其中j轮子密钥最多只有32位K,提取完j轮密钥后,寄存器中K通过左移循环29位、混沌映射变换最左端8位以及轮计数器异或5位主密钥(K50-K46)过程,更新成下一轮新的密钥(最左边32位)。其中,混沌映射实现基础为Logistic混沌方程:
,其中,Zk取值范围是[1,2a-1],a=2L-1,L取8(计算机字长)。
然后是加密算法,在混沌S盒中,采取的是Feistel加密构件,最为核心的内容是F函数,对加密效果的良好与否起着决定性作用,Feistel加密构件的最佳加密论数取r=15,实现较好的加密效率和安全性。整个加密过程为:输入16bits信息后,会平均分成左、右两部分,左部分进行子密钥异或后,得到信息参与到右部分的模28加法运算中,并分别经过S盒非线性变换后,分别对其异或、模28加法运算,组合处理后信息得到16bits信息,最后通过16bits置换输出,得到下一轮输入,提高加密算法整体扩散性。在此加密过程中,F函数采取的是8位运算,可以保证理想的运算速度,同时确保足够混淆特性,解决了无线传感器网络资源有限问题。
2.2 WSN混沌分组加解密算法
WSN混沌分组的理论基础是整型化的Cubic混沌映射,其密钥是以复合混沌序列而生成的,针对单一整型化Cubic混沌映射混沌序列周期较短的问题,通过结合整型化Logistic混沌方程的方式,然后进行异或操作来延长序列周期,此方法生成的新复合序列优点包括随机性强、周期较长、安全性高。
在复合混沌序列基础上,密钥生成的具体算法是选取序列中不重复的4个32bits数组(从低位到高位依次为Z4、Z3、Z2、Z1),输入128bits主密钥K,经整型化Cubic混沌映射迭代变换、异或、异或后再次混淆整型化Cubic混沌映射、P盒置换变换结果过程,得到128bits数组,最后将循环进行5位左移,得到的就是新的128bits主密钥。
在以Cubic混沌映射为基础的无线传感器网络加密CWSN中,采取的也是Feistel结构,其与基于混沌S盒加密结构的差异表现在F函数、加密论数不同,其中,F函数设计如图1,最佳加密论数为r=12。
在CWSN加密算法中,通过Cubic混沌映射来实现非线性操作,可以减少对传感器节点存储空间的使用,根据Cubic混沌映射的多轮迭代,能够提升加密的混淆效果,且迭代次数与混淆特性间成正比例关系,但为控制过多迭代轮数导致的加密速度降低,适宜选取13轮最为最大加密轮数。
最后,与基于混沌S盒的解密过程相同,CWSN的解密也是通过反向使用加密密钥来实现的。
3 结语
混沌密码学作为一种新的加密学科,在其理论基础上设计无线传感器网络加密算法,可以有效提高无线传感器网络的安全性,对无线传感器网络发展有着极大帮助。
参考文献
[1]卢山群.无线传感器网络安全技术分析[J].硅谷,2014(03):47-48.
[2]何远,田四梅.基于混沌S盒的无线传感器网络分组加密算法[J].计算机应用,2013(04):1081-1084.
作者简介
无线网络安全论文篇12
中图分类号 TP 文献标识码 A 文章编号 1673-9671-(2012)031-0114-02
21世纪是我国信息化建设高速发展的时期,中国的网民数量年年递增,网络的普及率也逐年增长。从2008年底我国网民人数2.98亿(其中宽带用户2.7亿),网络普及率为22.60%,首次超过世界平均水平,到2011年底,网民数量为5.13亿,网络普及率达到38.3%,中国的网民数量在迅速增长,网络的普及率也越来越高,网络在我们的生活中也扮演着越来越重要的角色。
随着科技的进步,除了传统的台式电脑以外,笔记本电脑、平板电脑、智能手机以及IPTV电视已经成了家庭中常见的需要使用网络的设备。网络设备增加,人们对家庭网络的需求也随之增加,网络搭建也出现了几种可选择的技术。
1 几种家庭常见组网技术
1.1 快速以太网
家庭中使用的以太网为快速以太网,一般为100BASE-TX,它是一种类似星型结构的100BAST-T双绞线标准,使用5类电缆中的2对线缆,理论速度可达到100Mbps,最远距离是100米,是目前家庭局域网组网技术中最为稳定与普遍的一种,其遵循的是IEEE(国际电气和电子工程师协会)制定的IEEE 802.3标准。
1.2 无线Wi-Fi局域网
Wi-Fi的全称为wireless fidelity,意为无线保真,是Wi-Fi联盟所持有的一个无线网络通信技术品牌,应用在建立于IEEE 802.11标准的无线局域网络(WLAN)设备,目的是为了改善基于802.11标准的无线网络设备之间的互通性。由于两套系统的密切联系,常常有人把Wi-Fi作为802.11标准的同义词术语,但这并不是说所有符合802.11标准的设备都要申请Wi-Fi认证,也不意味着没有Wi-Fi认证的产品就与Wi-Fi设备不兼容。 通俗来讲Wi-Fi网络即是把手机、电脑、PAD等无线终端络通过Wi-Fi技术连接到一起的无线电磁波的网络。
1.3 电力线组网
电力线组网是指通过使用 “电力猫”(即“电力调制解调器”、电力线以太网传输适配器)利用现有的传输电流的电力线作为通信载体进行组网的一种新兴组网技术。其基本的工作原理是利用电力猫将带宽为1.6 MHz~30 MHz的载波信号通过民用电力线传输进行通讯,从而达到组网的目的。电力猫本身不会产生网络,它是一个延长、拓展、延伸网络范围的产品。目前主要生产电力猫的品牌有ZINWELL、TP-LINK、LechenTek等,功能上有普通电力猫、带无线AP功能电力猫、带路由拨号功能电力猫等。电力猫产品支持HomePlug系列协定,另外带有无线网络功能的电力猫还同时支持802.11系列协议。电力线组网技术作为一种新兴技术,是传统有线以太网和Wi-Fi无线网络的补充和延伸。
2 家庭组网主要涉及的通信协议和工业标准
2.1 IEEE标准
前面介绍几种组网方式的时候,我们常会提到一些802开头的通信协议和工业标准,这些协议和标准是由国际电子和电气工程师协会(英文缩写为IEEE)制定的,主要规定了各协议中网络的频率带宽、传输距离、传输速率以及数据链路层等。
1)802.3协议:一种网络协议。描述物理层和数据链路层的MAC子层的实现方法,在多种物理媒体上以多种速率采用CSMA/CD访问方式,对于快速以太网该标准说明的实现方法有所扩展。家庭组网中使用的百兆网线支持100BASE-TX协议,最大传输速率100 Mbps,传输距离
100米。
2)802.11协议及扩展:
802.11,1997年,原始标准(2Mbit/s,2.4GHz频道)。
802.11a,1999年,物理层补充(54Mbit/s,5GHz频道)。
802.11b,1999年,物理层补充(11Mbit/s,2.4GHz频道)。
802.11c,符合802.1D的媒体接入控制层(MAC)桥接(MAC Layer Bridging)。
802.11d,根据各国无线电规定做的调整。
802.11e,对服务等级(Quality of Service, QoS)的支持。
802.11f,基站的互连性(Interoperability)。
802.11g,物理层补充(54Mbit/s,2.4GHz频道)。
802.11h,无线覆盖半径的调整,室内(indoor)和室外(outdoor)信道(5GHz频段)。
802.11i,安全和鉴权(Authentification)方面的补充。
802.11n,导入多重输入输出(MIMO)和40Mbit信道宽度(HT40)技术,基本上是802.11a/g的延伸版。802.11n在20MHz带宽时理论速度可以达到300Mbps,比802.11b快50倍,比802.11g快10倍左右,传输距离也更远。当带宽为40MHz时,理论速度更可高达600Mbps。
除了上述的扩展之外,802.11家族还有k/p/ac/b+等新的扩展,并且还会随着网络需求的变化不断更新拓展。目前主流的家庭无线路由器主要支持的是802.11b/g/n协议,设置时选择b/g/n混合模式可以更好的兼容老版本的无线网卡,但是如果网络中同时有802.11b和802.11n的无线网卡时,网络的传输速度会自动匹配到速度较低的802.11b模式下。
2.2 HomePlug协定
这是由家用电力线网络联盟(HomePlug Powerline Alliance,缩写为HPA)制定的一系列协定,应用于家用电力线通讯。主要有HomePlug 1.0、HomePlug turbo、HomePlug、UPA、HD-PLC几种。HomePlug1.0速率为80Mbps,HomePlugAV 为 200Mbps。HomePlug 1.0与HomePlug turbo可以互通,其他规格的HomePlug设备无法互通。也就是说,市面上的不同厂商的电力猫,85Mbps的可以和85Mbps的混合搭配使用,200Mbps的可以和200Mbps的混合搭配使用,但85Mbps的和200Mbps的即使是同一厂商的也无法搭配使用。
以目前主要应用的 HomePlugAV 为例,主要设计标准:
1)接口:Powerline;10/100 Base-TX Ethernet Port。
2)电源网络调变技术:OFDM(QAM 8/16/64/256/1024,QPSK,BPSK,ROBO)。
3)电源网络传输频率:1.6 MHz~ 30 MHz。
4)资料传输速率(实体层传输):电源网络200 Mbps;以太网路 10/100 Mbps。
5)QoS:智慧型QoS网络优先机制。
6)安全机制:128bit AES资料加密。
3 几种组网技术的对比
3.1 灵活性
快速以太网使用双绞线,需要在家庭装修时预先在墙壁内埋线并预留接口,这样就限制了终端设备使用的地点。如果需要增加一个接口,或者想换个舒服点的位置使用,就必须另外拉一条网线,这样一来,既不美观又麻烦。
无线Wi-Fi网络则不同,理论上,只要在信号的覆盖范围内的任意位置,都可以方便的上网,使用起来非常的灵活。
电力线组网由于依赖电力线网络,只要在有插座的地方插上适配器,就可以方便的使用网络,虽然不如无线网络那样自由,但相对于以太网来说,使用的灵活性和方便性也增加了很多。
3.2 安全性
快速以太网以进户的网络端口为起点,在局域网络范围内,只有连接了网线的设备才可以使用网络,从物理上隔断了其他人盗用网络的可能,网络的安全性很高。
无线网络则不同,由于是用电磁波作为载体,只要在覆盖范围内,所有能搜索到信号的设备理论上都可以连接并使用到该无线网络,网络资源被盗用的风险很大。因此,Wi-Fi联盟制定了一系列的安全标准来对符合802.11标准的设备进行认证。这些标准包括:WPA/WPA2、WMM、WMM Power Save、WPS、ASD、CWG以及EAP等。目前家庭所使用的路由设备主要使用的是WPA/WPA2-EAP认证方式,用户在连接Wi-Fi网络时,必须输入对应的密钥,通过认证后才可以使用对应的无线网络,从而大大的增加了网络的安全性。
电力线组网由于是新生事物,很多人对它还很陌生,有人就怀疑这种技术组网是否安全?实际上,根据HomePlug协定的规定,在电力线中传递的信号是工作在一定的带宽内的,我们家庭中的电表和带有滤波功能的插座都能过滤掉这个频段内的信号,也就是说,利用电力线组网的网络信息是无法穿越家庭电表的,因此,不在同一电表内的用户也无法使用到这个电力线网络的资源。理论上来讲,电力线网络和快速以太网是同样安全的。
对于一些特殊情况,比如集体宿舍或与他人合租使用公用电表的用户,我们可以通过以下方法来增加网络安全性:一是安装电力猫产品的应用程序,将自己的网络设置私有化,并将对应的电力猫添加到自己的网络中来。二是将自己的电力猫进行配对加密。在电力猫上有相应的配对按键,按住一台电力猫的配对键几秒,当指示灯闪烁时,再按住另一台的配对键几秒,指示灯闪烁几下,然后两台电力猫的指示灯会熄灭然后变成常亮,重启之后两台电力猫之间就通过128位的AES加密配对成功了。如果还有其他的电力猫需要加入,只要按照上面的方法和第一台电力猫进行配对,就可以了,十分方便。通过这两种方法,即使公用电表的电力线组网也变得安全可靠。
3.3 上网速率
前面提到过,每种组网方式遵循的协议都定义了其网络传输速率,但那只是在理想状态下的理论速率最大值,实际应用中,网络传输的速率是否如此呢?实际测试中我们发现,使用百兆网线的快速以太网络的传输速率能达到90 Mbps(如图1),损耗约10%。
图1 百兆网线单 pair下行速率平均值90.305 Mbps
而标称速率为200Mbps的电力猫表现又如何呢?以TP-LINK公司生产的200M速率电力猫实验,测得的结果让我们大跌眼镜,居然只有不到45Mbps(如图2),损耗高达77.5%。
图2 TL-PA201单pair下行速率 平均值 44.237Mbps
(以上图表数据均来自)
造成这样的结果有两个原因:
1)电力猫的200 Mbps传输速率指的是信息在电力线上的理论传输速率,但是电力猫采用的接口为10/100 Mbps的RJ45接口,这说明,电力猫和电力猫之间的理论传输速率最大值为200 Mbps,但电力猫和网络设备之间的传输速率理论最大值只有100 Mbps。
2)电力线网络中的信息是在电力线上传输的,电力线上同时还负载了很多家用电器,比如冰箱、空调、微波炉、电饭锅等等,这些电器会对网络信号造成干扰,从而影响网络的传输速率。目前最新型的电力猫产品的理论传输速率已经达到了500 Mbps。
Wi-Fi网络兼容的协议较多,隔一堵墙时,在802.11b协议下,其实际速率约为3 Mbps-6 Mbps,802.11g协议下为16 Mbps-30 Mbps,802.11n协议下为50 Mbps-90 Mbps,但无线网络抗干扰能力差,如果设备性能不稳定或者相隔的墙多几堵,拐角多一点,无线信号会迅速衰减,网络速度也就大幅下降。
无线网络适用于对网速和网络延迟要求不高的网页浏览、即时通讯等,而对网络延迟要求较高的IPTV、网络游戏等则适合使用快速以太网或者电力线组网的网络。
3.4 组网成本
1)路由器:无论选择哪种组网方式,现代家庭局域网都少不了使用路由器,一个路由器的价格从几十到一百多元不等,带有无线功能的路由器要比不带无线功能的贵几十元。
2)快速以太网:因为需要专门布线,所以材料加上人工费一条线路的费用大约是90元。
3)无线Wi-Fi网络:如果家里的路由带有无线功能,而上网设备比如笔记本电脑或者手机又自带无线网卡,则所需的组网费用为0。否则也只是多了几十元的无线路由差价和一块无线网卡的价格,加起来100元以内。
4)电力线组网:不计算电力线的铺设费用,一个电力猫的市场售价在150元左右,如果带有无线AP功能的大约200元左右。由于电力猫是要配对使用的,因此至少需要2个,最低也要在300元左右。
由此看来,电力线组网的成本还是相对较高的。
4 结束语
通过本文,我们了解到目前适用于家庭组网的网络技术以及他们各自的优缺点。快速以太网的网络质量相对最好,但灵活性不高;灵活性最高的无线上网方式抗干扰能力差,网络延迟严重;电力线组网的网络质量好于无线Wi-Fi网络,灵活性也高于快速以太网,但成本又比较高。因此,在现代家庭组网中,仅仅选择一种组网技术已经不能满足我们对网络的需求,我们可以根据家庭的网络实际需求,多种组网技术相互补充,搭建最经济、实用与灵活的现代家庭网络。
参考文献
[1]中国互联网络信息中心.中国互联网络发展状况统计报告.第23次,2009,第29次,2012.
[2]日本电气学会高速电力线通信系统和EMC调查专门委员会 编,吴国良 译.高速电力线通信系统(PLC)和EMC[M]..中国电力出版社,2011.
