前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的局域網(wǎng)技術(shù)論文主題范文,僅供參考,歡迎閱讀并收藏。
“數(shù)據(jù)通信與計算機通信網(wǎng)”課程的內(nèi)容知識點有些零散,但可以圍繞計算機網(wǎng)絡(luò)分層體系結(jié)構(gòu)將其整合。民航系統(tǒng)中存在大量的地—空和地—地數(shù)據(jù)傳輸,擁有許多類型的通信網(wǎng)絡(luò)。如:X.25數(shù)據(jù)業(yè)務(wù)網(wǎng)、衛(wèi)星通信系統(tǒng)、飛機通信尋址報告系統(tǒng)(ACARS)以及航空電信網(wǎng)(ATN)等。如果將其引入課程教學(xué),抽象的理論知識就可以具體化、形象化,再結(jié)合實際科研項目將其實現(xiàn)方法與步驟展示給學(xué)生,就可以很好地實現(xiàn)理論教學(xué)與行業(yè)應(yīng)用的無縫銜接?;诖?,筆者設(shè)計的課程教學(xué)過程如圖1所示。
2課程教學(xué)實例
ACARS系統(tǒng)是目前國際民航廣泛應(yīng)用的地空數(shù)據(jù)鏈通信系統(tǒng),通常工作在甚高頻波段,用機與地面之間的實時雙向數(shù)據(jù)傳輸,可實現(xiàn)航空公司、空管部門等地面用戶對飛機的運行管理與控制。由于ACARS系統(tǒng)報文中含有許多重要的數(shù)據(jù)信息,所以該系統(tǒng)是當前民航領(lǐng)域在用的重要通信系統(tǒng)。這里以ACARS引入課堂教學(xué)為例,闡述課程教學(xué)的具體實施過程。(1)基本知識點的講述及分層歸納“數(shù)據(jù)通信與計算機通信網(wǎng)”課程包含數(shù)據(jù)通信基礎(chǔ)部分的教學(xué)內(nèi)容,具體包括信號傳輸特性、傳輸介質(zhì)、數(shù)據(jù)編碼、差錯檢測與控制、接口特性以及多路復(fù)用等。這些內(nèi)容分布在不同的章節(jié),比較分散,初學(xué)者不容易整體把控。如果我們將其與網(wǎng)絡(luò)層次體系相對應(yīng),就可實現(xiàn)知識點分層歸納和對比講解,如差錯控制屬于數(shù)據(jù)鏈路層實現(xiàn)的功能,而編碼與調(diào)制、接口特性屬于物理層實現(xiàn)的功能等。(2)引入ACARS系統(tǒng)學(xué)生有了數(shù)據(jù)通信基礎(chǔ)部分相關(guān)知識之后,教師立即將ACARS系統(tǒng)引入課堂教學(xué)。在簡單介紹ACARS系統(tǒng)功能及在民航中的應(yīng)用之后,重點說明ACARS系統(tǒng)中所包括的課程所學(xué)知識點。比如,ACARS數(shù)字信號采用MSK調(diào)制方式,上下行報文按照字符形式裝配,其中的接收地址與發(fā)送地址由飛機標識碼表示[5],差錯檢測方式為循環(huán)冗余校驗碼(CRC),多路訪問采用非堅持-載波偵聽多路訪問(CSMA)機制。為了實現(xiàn)數(shù)據(jù)的可靠傳輸,ACARS系統(tǒng)采用停等ARQ方式。表1給出了兩者部分知識點的對應(yīng)關(guān)系。結(jié)合實際民航數(shù)據(jù)通信系統(tǒng),學(xué)生對于所學(xué)的抽象的理論知識不再感到遙不可及,而是實實在在存在于應(yīng)用系統(tǒng)之中。(3)科研項目引入教學(xué)教師隨后可將相關(guān)的科研項目介紹給學(xué)生。筆者曾參與完成ACARS系統(tǒng)仿真項目,教學(xué)過程中除了通過圖片、圖形或者動畫等形式介紹項目背景,展示相關(guān)的研究成果外,還將部分實現(xiàn)方法和開發(fā)流程介紹給學(xué)生。比如,該項目仿真軟件編程語言采用C#,開發(fā)平臺為VisualStudio2008。模擬ACARS系統(tǒng)手動發(fā)送報文功能的流程以及相應(yīng)的功能函數(shù)說明如圖2所示。除了課堂教學(xué)外,部分小的功能模塊(如CRC碼的實現(xiàn))可直接讓學(xué)生參與實踐,課后再讓學(xué)生參觀實驗室和研究基地。通過了解科研項目,學(xué)生對知識點的理解會更加透徹,不僅明白所學(xué)知識用在哪里,如何重要,而且也知道在工程上如何實現(xiàn),這很容易激發(fā)他們對科研工作的興趣。
3結(jié)語
[論文摘要]對無線局域網(wǎng)的安全研究進行分析,首先對安全性的問題作出簡介,并在接下來的內(nèi)容中描述其研究的進展和研究的必要性。最后給對無線局域網(wǎng)的安全缺陷和相應(yīng)的保障策略進行分析。
一、簡介
無線局域網(wǎng)[1]是在有線網(wǎng)絡(luò)上發(fā)展起來的,是無線傳輸技術(shù)在局域網(wǎng)技術(shù)上的運用,而其大部分應(yīng)用也是有線局域網(wǎng)的體現(xiàn)。由于無線局域網(wǎng)在諸多領(lǐng)域體現(xiàn)出的巨大優(yōu)勢,因此對無線局域網(wǎng)絡(luò)技術(shù)的研究成為了廣大學(xué)者研究的熱點。無線局域網(wǎng)具有組網(wǎng)靈活、接入簡便和適用范圍廣泛的特點,但由于其基于無線路徑進行傳播,因此傳播方式的開放性特性給無線局域網(wǎng)的安全設(shè)計和實現(xiàn)帶來了很大的問題。目前無線局域網(wǎng)的主流標準為IEEE802.11,但其存在設(shè)計缺陷,缺少密鑰管理,存在很多安全漏洞。本文針對IEEE802.11的安全性缺陷問題進行分析,并在此基礎(chǔ)上對無線局域網(wǎng)的安全研究做出分析。
二、無線局域網(wǎng)安全研究的發(fā)展與研究必要性
無線局域網(wǎng)在帶來巨大應(yīng)用便利的同時,也存在許多安全上的問題。由于局域網(wǎng)通過開放性的無線傳輸線路傳輸高速數(shù)據(jù),很多有線網(wǎng)絡(luò)中的安全策略在無線方式下不再適用,在無線發(fā)射裝置功率覆蓋的范圍內(nèi)任何接入用戶均可接收到數(shù)據(jù)信息,而將發(fā)射功率對準某一特定用戶在實際中難以實現(xiàn)。這種開放性的數(shù)據(jù)傳輸方式在帶來靈便的同時也帶來了安全性方面的新的挑戰(zhàn)[3]。
IEEE標準化組織在802.11標準之后,也已經(jīng)意識到其固有的安全性缺陷,并針對性的提出了加密協(xié)議(如WEP)來實現(xiàn)對數(shù)據(jù)的加密和完整性保護。通過此協(xié)議保證數(shù)據(jù)的保密性、完整性和提供對無線局域網(wǎng)的接入控制。但隨后的研究表明,WEP協(xié)議同樣存在致命性的弱點。為了解決802.11中安全機制存在的嚴重缺陷,IEEE802.11工作組提出了新的安全體系,并開發(fā)了新的安全標準IEEE802.11i,其針對WEP機密機制的各種缺陷作了多方面的改進,并定義了RSN(Robust Security Network)的概念,增強了無線局域網(wǎng)的數(shù)據(jù)加密和認證性能。IEEE802.11i建立了新的認證機制,重新規(guī)定了基于802.1x的認證機制,主要包括TKIP(Temporal Key Integri
ty Protoco1),CCMP(Counter CBCMAC Protoco1)和WRAP(Wireless RobustAuthenticated Protoco1)等3種加密機制,同時引入了新的密鑰管理機制,也提供了密鑰緩存、預(yù)認證機制來支持用戶的漫游功能,從而大幅度提升了網(wǎng)絡(luò)的安全性。
三、無線局域網(wǎng)的安全現(xiàn)狀及安全性缺陷
由于無線局域網(wǎng)采用公共的電磁波作為載體,傳輸信息的覆蓋范圍不好控制,因此對越權(quán)存取和竊聽的行為也更不容易防備。具體分析,無線局域網(wǎng)存在如下兩種主要的安全性缺陷[3]:
(一)靜態(tài)密鑰的缺陷
靜態(tài)分配的WEP密鑰一般保存在適配卡的非易失性存儲器中,因此當適配卡丟失或者被盜用后,非法用戶都可以利用此卡非法訪問網(wǎng)絡(luò)。除非用戶及時告知管理員,否則將產(chǎn)生嚴重的安全問題。及時的更新共同使用的密鑰并重新新的密鑰可以避免此問題,但當用戶少時,管理員可以定期更新這個靜態(tài)配置的密鑰,而且工作量也不大。但是在用戶數(shù)量可觀時,即便可以通過某些方法對所有AP(接入點)上的密鑰一起更新以減輕管理員的配置任務(wù),管理員及時更新這些密鑰的工作量也是難以想像的。
(二)訪問控制機制的安全缺陷
1.封閉網(wǎng)絡(luò)訪問控制機制:幾個管理消息中都包括網(wǎng)絡(luò)名稱或SSID,并且這些消息被接入點和用戶在網(wǎng)絡(luò)中廣播,并不受到任何阻礙。結(jié)果是攻擊者可以很容易地嗅探到網(wǎng)絡(luò)名稱,獲得共享密鑰,從而連接到“受保護”的網(wǎng)絡(luò)上。
2.以太網(wǎng)MAC地址訪問控制表:MAC地址很容易的就會被攻擊者嗅探到,如激活了WEP,MAC地址也必須暴露在外;而且大多數(shù)的無線網(wǎng)卡可以用軟件來改變MAC地址。因此,攻擊者可以竊聽到有效的MAC地址,然后進行編程將有效地址寫到無線網(wǎng)卡中,從而偽裝一個有效地址,越過訪問控制。
四、無線局域網(wǎng)安全保障策略
(一)SSID訪問控制
通過對多個無線接人點AP設(shè)置不同的SSID,并要求無線工作站出示正確的SSID才能訪問AP,這樣就可以允許不同群組的用戶接人,并對資源訪問的權(quán)限進行區(qū)別限制。 轉(zhuǎn)貼于
(二)MAC地址過濾
每個無線客戶端網(wǎng)卡都有唯一的一個物理地址,因此可以通過手工的方式在在AP中設(shè)置一組允許訪問的MAC地址列表,實現(xiàn)物理地址過濾。
(三)使用移動管理器
使用移動管理器可以用來增強無線局域網(wǎng)的安全性能,實現(xiàn)接入點的安全特性。移動管理器可以提高無線網(wǎng)絡(luò)的清晰度,當網(wǎng)絡(luò)出現(xiàn)問題時,它能產(chǎn)生告警信號通知網(wǎng)絡(luò)管理員,使其能迅速確定受到攻擊的接入點的位置。而且其降低接入點受到DOS攻擊和竊聽的危險,網(wǎng)絡(luò)管理員設(shè)置一個網(wǎng)絡(luò)行為的門限,這個門限在很大程度上減小了DOS攻擊的影響。通過控制接入點的配置,可以防止入侵者通過改變接入點配置而連接到網(wǎng)絡(luò)上。
(四)運用VPN技術(shù)
VPN技術(shù)的運用可以為無線網(wǎng)絡(luò)的安全性能提供保障。VPN技術(shù)通過三級安全保障:用戶認證、加密和數(shù)據(jù)認證來實現(xiàn)無線網(wǎng)絡(luò)的安全性保證。用戶認證確保只有已被授權(quán)的用戶才能夠進行無線網(wǎng)絡(luò)連接、發(fā)送和接收數(shù)據(jù)。加密確保即使攻擊者攔截竊聽到傳輸信號,沒有充足的時間和精力他也不能將這些信息解密。數(shù)據(jù)認證確保在無線網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)的完整性,保證所有業(yè)務(wù)流都是來自已經(jīng)得到認證的設(shè)備。
五、結(jié)論
從本文的分析來看,在無線局域網(wǎng)的未來發(fā)展中,安全問題仍將是一個最重要的、迫切需要解決的問題。但這并不能限制無線局域網(wǎng)的迅猛發(fā)展。針對無線局域網(wǎng)的安全性研究仍將是一個熱點。我們有理由相信,隨著技術(shù)的成熟和無線網(wǎng)絡(luò)應(yīng)用商業(yè)化進程的加快,工業(yè)界和研究者都將對無線局域網(wǎng)安全投入更多的關(guān)注,為用戶提供速率更快、安全性更高、應(yīng)用更方便的無線局域網(wǎng)技術(shù)標準。
參考文獻:
[1]王慕東、宋承志,無線局域網(wǎng)的發(fā)展現(xiàn)狀及應(yīng)用[J].中國現(xiàn)代教育裝備,2002,(12).
[2]陳鶴、曹科,無線局域網(wǎng)技術(shù)研究與安全管理[J].現(xiàn)代機械, 2006,(04).
[3]萬泉、冉春玉、祁明龍、陳建軍,無線局域網(wǎng)技術(shù)[J].國外建材科技,2002,(03).
論文摘要:伴隨著Internet的日益普及,網(wǎng)絡(luò)技術(shù)的高速發(fā)展,網(wǎng)絡(luò)信息資源的安全備受各應(yīng)用行業(yè)的關(guān)注。人口計生網(wǎng)網(wǎng)絡(luò)中的主機可能會受到來自各方面非法入侵者的攻擊,網(wǎng)絡(luò)中的敏感數(shù)據(jù)有可能泄露或被修改。保證網(wǎng)絡(luò)系統(tǒng)的保密性、完整性、可用性、可控性、可審查性方面就具有其重要意義。通過網(wǎng)絡(luò)拓撲結(jié)構(gòu)和網(wǎng)組技術(shù)等方面對人口計生網(wǎng)網(wǎng)絡(luò)進行搭建,通過物理、數(shù)據(jù)等方面的設(shè)計對網(wǎng)絡(luò)安全進行完善是解決上述問題的有效措施。
以Internet廣域網(wǎng)為代表的信息化應(yīng)用的浪潮席卷全球,各類信息網(wǎng)絡(luò)技術(shù)的應(yīng)用日益普及和深入,伴隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展,各種各樣的安全問題也相繼出現(xiàn),人口計生網(wǎng)被“黑”或被病毒破壞的事件屢有發(fā)生,造成了極壞的社會影響和巨大的經(jīng)濟損失。維護人口計生網(wǎng)網(wǎng)絡(luò)安全需要從網(wǎng)絡(luò)的搭建及網(wǎng)絡(luò)安全設(shè)計方面著手。
一、基本網(wǎng)絡(luò)的搭建
由于人口計生網(wǎng)網(wǎng)絡(luò)特性(數(shù)據(jù)流量大,穩(wěn)定性強,經(jīng)濟性和擴充性)和各個部門的要求(統(tǒng)計部門和辦公部門間的訪問控制),我們采用下列方案:
(一)網(wǎng)絡(luò)拓撲結(jié)構(gòu)選擇:網(wǎng)絡(luò)采用星型拓撲結(jié)構(gòu)。它是目前使用最多,最為普遍的局域網(wǎng)拓撲結(jié)構(gòu)。節(jié)點具有高度的獨立性,并且適合在中央位置放置網(wǎng)絡(luò)診斷設(shè)備。
(二)組網(wǎng)技術(shù)選擇:目前,常用的主干網(wǎng)的組網(wǎng)技術(shù)有快速以太網(wǎng)(100Mbps)、FDDI、千兆以太網(wǎng)(1000Mbps)和ATM(155Mbps/622Mbps)??焖僖蕴W(wǎng)是一種非常成熟的組網(wǎng)技術(shù),它的造價很低,性能價格比很高;FDDI也是一種成熟的組網(wǎng)技術(shù),但技術(shù)復(fù)雜、造價高,難以升級;ATM技術(shù)成熟,是多媒體應(yīng)用系統(tǒng)的理想網(wǎng)絡(luò)平臺,但它的網(wǎng)絡(luò)帶寬的實際利用率很低;目前千兆以太網(wǎng)已成為一種成熟的組網(wǎng)技術(shù),造價低于ATM網(wǎng),它的有效帶寬比622Mbps的ATM還高??紤]的計生網(wǎng)絡(luò)系統(tǒng)的應(yīng)用特性,因此,個人推薦采用千兆以太網(wǎng)為骨干,快速以太網(wǎng)交換到桌面組建計算機播控網(wǎng)絡(luò)。
二、網(wǎng)絡(luò)安全設(shè)計
(一)物理安全設(shè)計。為保證人口計生網(wǎng)信息網(wǎng)絡(luò)系統(tǒng)的物理安全,除在網(wǎng)絡(luò)物理連接規(guī)劃和布置場地、地理環(huán)境等要求之外,還要防止系統(tǒng)信息在空間的擴散。計算機網(wǎng)絡(luò)系統(tǒng)通過電磁輻射可能使的信息、敏感數(shù)據(jù)被截獲而失密的案例已經(jīng)有很多了,在理論和技術(shù)支持下的驗證工作也證實這種截取距離在幾百甚至更遠的數(shù)據(jù)復(fù)原顯示技術(shù)給計算機網(wǎng)絡(luò)系統(tǒng)信息的保密工作帶來了極大的危害。為了防止系統(tǒng)中的信息在空間上的擴散,通常是在物理設(shè)計上采取進一步的防護措施,來避免或干擾擴散出去的空間信號。
(二)網(wǎng)絡(luò)共享資源和數(shù)據(jù)信息安全設(shè)計。針對這個問題,我們決定使用VLAN技術(shù)和計算機網(wǎng)絡(luò)物理隔離來實現(xiàn)。VLAN(Virtual Local Area Network)即虛擬局域網(wǎng),是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術(shù)。 轉(zhuǎn)貼于
VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的,它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭,用VLANID把用戶劃分為更小的工作組,限制不同工作組間的用戶二層互訪,每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍,并能夠形成虛擬工作組,動態(tài)管理網(wǎng)絡(luò)。從目前來看,根據(jù)端口來劃分VLAN的方式是最常用的一種方式。許多VLAN廠商都利用交換機的端口來劃分VLAN成員,被設(shè)定的端口都在同一個廣播域中。
(三)計算機病毒、黑客以及電子郵件應(yīng)用風(fēng)險防控設(shè)計。我們采用防病毒技術(shù),防火墻技術(shù)和入侵檢測技術(shù)來解決相關(guān)的問題。防火墻和入侵檢測還對信息的安全性、訪問控制方面起到很大的作用。
第一,防病毒技術(shù)。病毒伴隨著計算機信息系統(tǒng)一起發(fā)展了十幾年,目前其形態(tài)和入侵方式已經(jīng)發(fā)生了巨大的變化,幾乎每天都有新的病毒出現(xiàn)在INTERNET上,并且借助INTERNET上的信息往來,尤其是網(wǎng)絡(luò)、EMAIL進行傳播,傳播速度極其快。計算機黑客常用病毒夾帶惡意的程序進行攻擊。
第二,防火墻技術(shù)。企業(yè)級防火墻一般是軟硬件一體的網(wǎng)絡(luò)安全專用設(shè)備,專門用于TCP/IP體系的網(wǎng)絡(luò)層提供鑒別,訪問控制,安全審計,網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT),IDS,VPN,應(yīng)用等功能,保護內(nèi)部局域網(wǎng)安全接入INTERNET或者公共網(wǎng)絡(luò),解決內(nèi)部計算機信息網(wǎng)絡(luò)出入口的安全問題。
內(nèi)部各個安全子網(wǎng)是連接到整個內(nèi)部使用的工作站或個人計算機,包括整個VLAN及內(nèi)部服務(wù)器,該網(wǎng)段與外界是分開的,禁止外部非法入侵和攻擊,并控制合法的對外訪問,實現(xiàn)內(nèi)部各個子網(wǎng)的安全性。共享安全子網(wǎng)連接對外提供的WEB,電子郵箱(EMAIL),F(xiàn)TP等服務(wù)的計算機和服務(wù)器,通過映射達到端口級安全。外部用戶只能訪問安全規(guī)則允許的對外開放的服務(wù)器,隱藏服務(wù)器的其它服務(wù),減少系統(tǒng)漏洞。
參考文獻:
[1]Andrew S.Tanenbaum.計算機網(wǎng)絡(luò)(第4版)[M].北京:清華大學(xué)出版社,2008,8
關(guān)鍵詞:無線局域網(wǎng);標準;安全;趨勢
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)34-1891-03
1 引言
無線局域網(wǎng)本質(zhì)上是一種網(wǎng)絡(luò)互連技術(shù),它是計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。其作為一種網(wǎng)絡(luò)接入手段,能迅速地應(yīng)用于需要在移動中聯(lián)網(wǎng)和在網(wǎng)間漫游的場合,并在不易架設(shè)有線的地力和遠沖離的數(shù)據(jù)處理節(jié)點提供強大的網(wǎng)絡(luò)支持。因此,WLAN得到了廣泛的應(yīng)用,已成為無線通信與Internet技術(shù)相結(jié)合的新興發(fā)展力向之一。WLAN的最大優(yōu)點就是實現(xiàn)了網(wǎng)絡(luò)互連的可移動性,但由于無線局域網(wǎng)應(yīng)用具有很大的開放性,很難控制數(shù)據(jù)傳播范圍,因此無線局域網(wǎng)將面臨著嚴峻的安全問題。
2 無線局域網(wǎng)安全發(fā)展概況
無線局域網(wǎng)802.11b公布之后,迅速成為事實標準,但其安全協(xié)議WEP始終受到人們的質(zhì)疑。美國加州大學(xué)伯克利分校的Borisov,Goldberg和Wagner最早指出了WEP協(xié)議中存在的設(shè)計失誤,接下來信息安全研究人員發(fā)表了大量論文詳細討論了WEP協(xié)議中的安全缺陷,并與工程技術(shù)人員協(xié)作,在實驗中破譯了經(jīng)WEP協(xié)議加密的無線傳輸數(shù)據(jù)?,F(xiàn)在,能夠截獲無線傳輸數(shù)據(jù)的硬件設(shè)備己經(jīng)能夠在市場上買到,能夠?qū)λ孬@數(shù)據(jù)進行解密的黑客軟件也已經(jīng)能夠在因特網(wǎng)上下載。WEP不安全己經(jīng)成一個廣為人知的事情,人們期待WEP在安全性方面有質(zhì)的變化。
3 無線局域網(wǎng)安全風(fēng)險
安全風(fēng)險是指無線局域網(wǎng)中的資源面臨的威脅。無線局域網(wǎng)的資源,包括了在無線信道上傳輸?shù)臄?shù)據(jù)和無線局域網(wǎng)中的主機。
3.1 無線信道上傳輸?shù)臄?shù)據(jù)所面臨的威脅
由于無線電波可以繞過障礙物向外傳播,因此,無線局域網(wǎng)中的信號是可以在一定覆蓋范圍內(nèi)接聽到而不被察覺的 。另外,只要按照無線局域網(wǎng)規(guī)定的格式封裝數(shù)據(jù)包,把數(shù)據(jù)放到網(wǎng)絡(luò)上發(fā)送時也可以被其它的設(shè)備讀取,并且,如果使用一些信號截獲技術(shù),還可以把某個數(shù)據(jù)包攔截、修改,然后重新發(fā)送,而數(shù)據(jù)包的接收者并不能察覺。
因此,無線信道上傳輸?shù)臄?shù)據(jù)可能會被偵聽、修改、偽造,對無線網(wǎng)絡(luò)的正常通信產(chǎn)生了極大的干擾,并有可能造成經(jīng)濟損失。
3.2 無線局域網(wǎng)中主機面臨的威脅
無線局域網(wǎng)是用無線技術(shù)把多臺主機聯(lián)系在一起構(gòu)成的網(wǎng)絡(luò)。對于主機的攻擊可能會以病毒的形式出現(xiàn),除了目前有線網(wǎng)絡(luò)上流行的病毒之外,還可能會出現(xiàn)專門針對無線局域網(wǎng)移動設(shè)備,比如手機或者PDA的無線病毒。當無線局域網(wǎng)與無線廣域網(wǎng)或者有線的國際互聯(lián)網(wǎng)連接之后,無線病毒的威脅可能會加劇。
對于無線局域網(wǎng)中的接入設(shè)備,可能會遭受來自外部網(wǎng)或者內(nèi)部網(wǎng)的拒絕服務(wù)攻擊。當無線局域網(wǎng)和外部網(wǎng)接通后,如果把IP地址直接暴露給外部網(wǎng),那么針對該IP的Dog或者DoS會使得接入設(shè)備無法完成正常服務(wù),造成網(wǎng)絡(luò)癱瘓。當某個惡意用戶接入網(wǎng)絡(luò)后,通過持續(xù)的發(fā)送垃圾數(shù)據(jù)或者利用IP層協(xié)議的一些漏洞會造成接入設(shè)備工作緩慢或者因資源耗盡而崩潰,造成系統(tǒng)混亂。無線局域網(wǎng)中的用戶設(shè)備具有一定的可移動性和通常比較高的價值,這造成的一個負面影響是用戶設(shè)備容易丟失。硬件設(shè)備的丟失會使得基于硬件的身份識別失效,同時硬件設(shè)備中的所有數(shù)據(jù)都可能會泄漏。
這樣,無線局域網(wǎng)中主機的操作系統(tǒng)面臨著病毒的挑戰(zhàn),接入設(shè)備面臨著拒絕服務(wù)攻擊的威脅,用戶設(shè)備則要考慮丟失的后果。
4 無線局域網(wǎng)安全性
無線局域網(wǎng)與有線局域網(wǎng)緊密地結(jié)合在一起,并且己經(jīng)成為市場的主流產(chǎn)品。在無線局域網(wǎng)上,數(shù)據(jù)傳輸是通過無線電波在空中廣播的,因此在發(fā)射機覆蓋范圍內(nèi)數(shù)據(jù)可以被任何無線局域網(wǎng)終端接收。安裝一套無線局域網(wǎng)就好象在任何地方都放置了以太網(wǎng)接口。因此,無線局域網(wǎng)的用戶主要關(guān)心的是網(wǎng)絡(luò)的安全性,主要包括接入控制和加密兩個方面。除非無線局域網(wǎng)能夠提供等同于有線局域網(wǎng)的安全性和管理能力,否則人們還是對使用無線局域網(wǎng)存在顧慮。
4.1 IEEE802.11b標準的安全性
IEEE 802.11b標準定義了兩種方法實現(xiàn)無線局域網(wǎng)的接入控制和加密:系統(tǒng)ID(SSID)和有線對等加密(WEP)。
4.1.1 認證
當一個站點與另一個站點建立網(wǎng)絡(luò)連接之前,必須首先通過認證。執(zhí)行認證的站點發(fā)送一個管理認證幀到一個相應(yīng)的站點。IEEE 802.11b標準詳細定義了兩種認證服務(wù):一、開放系統(tǒng)認證(Open System Authentication):是802.11b默認的認證方式。這種認證方式非常簡單,分為兩步:首先,想認證另一站點的站點發(fā)送一個含有發(fā)送站點身份的認證管理幀;然后,接收站發(fā)回一個提醒它是否識別認證站點身份的幀;二、共享密鑰認證(Shared Key Authentication ):這種認證先假定每個站點通過一個獨立于802.11網(wǎng)絡(luò)的安全信道,已經(jīng)接收到一個秘密共享密鑰,然后這些站點通過共享密鑰的加密認證,加密算法是有線等價加密(WEP)。
4.1.2 WEP
IEEE 802.11b規(guī)定了一個可選擇的加密稱為有線對等加密,即WEP。WEP提供一種無線局域網(wǎng)數(shù)據(jù)流的安全方法。WEP是一種對稱加密,加密和解密的密鑰及算法相同。WEP的目標是接入控制,防止未授權(quán)用戶接入網(wǎng)絡(luò),沒有正確的WEP密鑰。
加密:通過加密和只允許有正確WEP密鑰的用戶解密來保護數(shù)據(jù)流。
IEEE 802.11b標準提供了兩種用于無線局域網(wǎng)的WEP加密方案。第一種方案可提供四個缺省密鑰以供所有的終端共享一包括一個子系統(tǒng)內(nèi)的所有接入點和客戶適配器。當用戶得到缺省密鑰以后,就可以與子系統(tǒng)內(nèi)所有用戶安全地通信。缺省密鑰存在的問題是當它被廣泛分配時可能會危及安全。第二種方案中是在每一個客戶適配器建立一個與其它用戶聯(lián)系的密鑰表。該方案比第一種方案更加安全,但隨著終端數(shù)量的增加給每一個終端分配密鑰很困難。
4.2 影響安全的因素
4.2.1 硬件設(shè)備
在現(xiàn)有的WLAN產(chǎn)品中,常用的加密方法是給用戶靜態(tài)分配一個密鑰,該密鑰或者存儲在磁盤上或者存儲在無線局域網(wǎng)客戶適配器的存儲器上。這樣,擁有客戶適配器就有了MAC地址和WEP密鑰并可用它接入到接入點。如果多個用戶共享一個客戶適配器,這些用戶有效地共享MAC地址和WEP密鑰。
當一個客戶適配器丟失或被竊的時候,合法用戶沒有MAC地址和WEP密鑰不能接入,但非法用戶可以。網(wǎng)絡(luò)管理系統(tǒng)不可能檢測到這種問題,因此用戶必須立即通知網(wǎng)絡(luò)管理員。接到通知后,網(wǎng)絡(luò)管理員必須改變接入到MAC地址的安全表和WEP密鑰,并給與丟失或被竊的客戶適配器使用相同密鑰的客戶適配器重新編碼靜態(tài)加密密鑰??蛻舳嗽蕉?重新編碼WEP密鑰的數(shù)量越大。
4.2.2 虛假接入點
IEEE802.11b共享密鑰認證表采用單向認證,而不是互相認證。接入點鑒別用戶,但用戶不能鑒別接入點。如果一個虛假接入點放在無線局域網(wǎng)內(nèi),它可以通過劫持合法用戶的客戶適配器進行拒絕服務(wù)或攻擊。
因此在用戶和認證服務(wù)器之間進行相互認證是需要的,每一方在合理的時間內(nèi)證明自己是合法的。因為用戶和認證服務(wù)器是通過接入點進行通信的,接入點必須支持相互認證。相互認證使檢測和隔離虛假接入點成為可能。
4.2.3 其它安全問題
標準WEP支持對每一組加密但不支持對每一組認證。從響應(yīng)和傳送的數(shù)據(jù)包中一個黑客可以重建一個數(shù)據(jù)流,組成欺騙性數(shù)據(jù)包。減輕這種安全威脅的方法是經(jīng)常更換WEP密鑰。通過監(jiān)測工EEE802.11b控制信道和數(shù)據(jù)信道,黑客可以得到如下信息:客戶端和接入點MAC地址,內(nèi)部主機MAC地址,上網(wǎng)時間。黑客可以利用這些信息研究提供給用戶或設(shè)備的詳細資料。為減少這種黑客活動,一個終端應(yīng)該使用每一個時期的WEP密鑰。
4.3 完整的安全解決方案
無線局域網(wǎng)完整的安全方案以IEEE802.11b比為基礎(chǔ),是一個標準的開放式的安全方案,它能為用戶提供最強的安全保障,確保從控制中心進行有效的集中管理。它的核心部分是:
擴展認證協(xié)議(Extensible Authentication Protocol,EAP),是遠程認證撥入用戶服務(wù)(RADIUS)的擴展??梢允篃o線客戶適配器與RADIUS服務(wù)器通信。
當無線局域網(wǎng)執(zhí)行安全保密方案時,在一個BSS范圍內(nèi)的站點只有通過認證以后才能與接入點結(jié)合。當站點在網(wǎng)絡(luò)登錄對話框或類似的東西內(nèi)輸入用戶名和密碼時,客戶端和RADIUS服務(wù)器(或其它認證服務(wù)器)進行雙向認證,客戶通過提供用戶名和密碼來認證。然后RADIUS服務(wù)器和用戶服務(wù)器確定客戶端在當前登錄期內(nèi)使用的WEP密鑰。所有的敏感信息,如密碼,都要加密使免于攻擊。
這種方案認證的過程是:一個站點要與一個接入點連接。除非站點成功登錄到網(wǎng)絡(luò),否則接入點將禁止站點使用網(wǎng)絡(luò)資源。用戶在網(wǎng)絡(luò)登錄對話框和類似的結(jié)構(gòu)中輸入用戶名和密碼。用IEEE802.lx協(xié)議,站點和RADIUS服務(wù)器在有線局域網(wǎng)上通過接入點進行雙向認證。可以使用幾個認證方法中的一個。
相互認證成功完成后,RADIUS服務(wù)器和用戶確定一個WEP密鑰來區(qū)分用戶并提供給用戶適當?shù)燃壍木W(wǎng)絡(luò)接入。以此給每一個用戶提供與有線交換幾乎相同的安全性。用戶加載這個密鑰并在該登錄期內(nèi)使用。
RADIUS服務(wù)器發(fā)送給用戶的WEP密鑰,稱為時期密鑰。接入點用時期密鑰加密它的廣播密鑰并把加密密鑰發(fā)送給用戶,用戶用時期密鑰來解密。用戶和接入點激活WEP,在這時期剩余的時間內(nèi)用時期密鑰和廣播密鑰通信。
網(wǎng)絡(luò)安全性指的是防止信息和資源的丟失、破壞和不適當?shù)氖褂?。無論有線絡(luò)還是無線網(wǎng)絡(luò)都必須防止物理上的損害、竊聽、非法接入和各種內(nèi)部(合法用戶)的攻擊。
無線網(wǎng)絡(luò)傳播數(shù)據(jù)所覆蓋的區(qū)域可能會超出一個組織物理上控制的區(qū)域,這樣就存在電子破壞(或干擾)的可能性。無線網(wǎng)絡(luò)具有各種內(nèi)在的安全機制,其代碼清理和模式跳躍是隨機的。在整個傳輸過程中,頻率波段和調(diào)制不斷變化,計時和解碼采用不規(guī)則技術(shù)。
正是可選擇的加密運算法則和IEEE 802.11的規(guī)定要求無線網(wǎng)絡(luò)至少要和有線網(wǎng)絡(luò)(不使用加密技術(shù))一樣安全。其中,認證提供接入控制,減少網(wǎng)絡(luò)的非法使用,加密則可以減少破壞和竊聽。目前,在基本的WEP安全機制之外,更多的安全機制正在出現(xiàn)和發(fā)展之中。
5 無線局域網(wǎng)安全技術(shù)的發(fā)展趨勢
目前無線局域網(wǎng)的發(fā)展勢頭十分強勁,但是起真正的應(yīng)用前景還不是十分的明朗。主要表現(xiàn)在:1) 是真正的安全保障;2)將來的技術(shù)發(fā)展方向;3) WLAN有什么比較好的應(yīng)用模式;4) WLAN的終端除PCMCIA卡、PDA有沒有其他更好的形式;5) WLAN的市場規(guī)模。看來無線局域網(wǎng)真正的騰飛并非一己之事。
無線局域網(wǎng)同樣需要與其他已經(jīng)成熟的網(wǎng)絡(luò)進行互動,達到互利互惠的目的。歐洲是GSM網(wǎng)的天下,而WLAN的崛起使得他們開始考慮WLAN和3G的互通,兩者之間的優(yōu)勢互補性必將使得WLAN與廣域網(wǎng)的融合迅速發(fā)展?,F(xiàn)在國內(nèi)中興通訊己經(jīng)實現(xiàn)了WLAN和CI}IVIA系統(tǒng)的互通,而對于使用中興設(shè)備的WLAN與GSM/GPRS系統(tǒng)的互通也提出了解決方案,這條路必定越走越寬。
互通中的安全問題也必然首當其沖,IEEE的無線局域網(wǎng)工作組己經(jīng)決定將EAP-SIIVI納入無線局域網(wǎng)安全標準系列里面,并且與3G互通的認證標準EAP-AID也成為討論的焦點。
無線網(wǎng)絡(luò)的互通,現(xiàn)在是一個趨勢。802.11工作組新成立了WIG(Wireless lnterworking Grouq),該工作組的目的在于使現(xiàn)存的符合ETSI,IEEE,MMAC所制訂的標準的無線域網(wǎng)之間實現(xiàn)互通。另外3GPP也給出了無線局域網(wǎng)和3G互通的兩個草案,定義了互通的基本需求,基本模型和基本框架。還有就是愛立信公司的一份文檔給出了在現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)上,實現(xiàn)無線局域網(wǎng)和G1VIS/GPRS的互通。
不同類型無線局域網(wǎng)互通標準的制定,使得用戶可以使用同一設(shè)備接入無線局域網(wǎng)。3G和無線局域網(wǎng)的互通者可以使用戶在一個運營商那里注冊,就可以在各地接入。當然,用戶享用上述方便的同時,必然會使運營商或制造商獲得利潤,而利潤的驅(qū)動,則是這個互通風(fēng)潮的根本動力。為了達到互通的安全,有以下需求:支持傳統(tǒng)的無線局域網(wǎng)設(shè)備,對用戶端設(shè)備,比如客戶端軟件,影響要最小,對經(jīng)營者管理和維護客戶端SW的要求要盡量少,應(yīng)該支持現(xiàn)存的UICC卡,不應(yīng)該要求該卡有任何改動,敏感數(shù)據(jù),比如存在UICC卡中的長期密鑰不能傳輸。對于UICC卡的認證接口應(yīng)該是基于該密鑰的Challenge, Response模式。用戶對無線局域網(wǎng)接入的安全級別應(yīng)該和3GPP接入一樣,應(yīng)該支持雙向認證,所選的認證方案應(yīng)該顧及到授權(quán)服務(wù),應(yīng)該支持無線局域網(wǎng)接入NW的密鑰分配方法,無線局域網(wǎng)與3GPP互通所選擇的認證機制至少要提供3GPP系統(tǒng)認證的安全級別,無線局域網(wǎng)的重連接不應(yīng)該危及3GPP系統(tǒng)重連接的安全,所選擇的無線局域網(wǎng)認證機制應(yīng)該支持會話密鑰素材的協(xié)商,所選擇的無線局域網(wǎng)密鑰協(xié)商和密鑰分配機制應(yīng)該能防止中間人攻擊。也就是說中間人不能得到會話密鑰素材,無線局域網(wǎng)技術(shù)應(yīng)當保證無線局域網(wǎng)UE和無線局域網(wǎng)AN的特定的認證后建立的連接可以使用生成的密鑰素材來保證完整性。所有的用于用戶和網(wǎng)絡(luò)進行認證的長期的安全要素應(yīng)該可以在一張UICC卡中存下。
對于非漫游情況的互通時,這種情況是指當用戶接入的熱點地區(qū)是在3GPP的歸屬網(wǎng)絡(luò)范圍內(nèi)。簡單地說,就是用戶在運營商那里注冊,然后在該運營商的本地網(wǎng)絡(luò)范圍內(nèi)的熱點地區(qū)接入時的一種情況。無線局域網(wǎng)與3G網(wǎng)絡(luò)安全單元功能如下:UE(用戶設(shè)備)、3G-AAA(移動網(wǎng)絡(luò)的認證、授權(quán)和計帳服務(wù)器)、HSS(歸屬業(yè)務(wù)服務(wù)器)、CG/CCF(支付網(wǎng)關(guān)/支付采集功能)、OCS(在線計帳系統(tǒng))。
對于漫游的互通情況時,3G網(wǎng)絡(luò)是個全域性網(wǎng)絡(luò)借助3G網(wǎng)絡(luò)的全域性也可以實現(xiàn)無線局域網(wǎng)的漫游。在漫游情況下,一種常用的方法是將歸屬網(wǎng)絡(luò)和訪問網(wǎng)絡(luò)分開,歸屬網(wǎng)絡(luò)AAA服務(wù)作為認證的找到用戶所注冊的歸屬網(wǎng)絡(luò)。
在無線局域網(wǎng)與3G互通中有如下認證要求:該認證流程從用戶設(shè)備到無線局域網(wǎng)連接開始。使用EAP方法,順次封裝基于USIM的用戶ID,AKA-Challenge消息。具體的認證在用戶設(shè)備和3GP-AAA服務(wù)器之間展開。走的是AKA過程,有一點不同在于在認證服務(wù)器要檢查用戶是否有接入無線局域網(wǎng)的權(quán)限。
上述互通方案要求客戶端有能夠接入無線局域網(wǎng)的網(wǎng)卡,同時還要實現(xiàn)USIM或者SIM的功能。服務(wù)網(wǎng)絡(luò)要求修改用戶權(quán)限表,增加對于無線局域網(wǎng)的接入權(quán)限的判斷。
無線局域網(wǎng)的崛起使得人們開始考慮無線局域網(wǎng)和3G的互通,兩者之間的優(yōu)勢互補性必將使得無線局域網(wǎng)與廣域網(wǎng)的融合迅速發(fā)展?,F(xiàn)在國內(nèi)中興通訊已經(jīng)實現(xiàn)了無線局域網(wǎng)和CDMA系統(tǒng)的互通,而對于使用中興設(shè)備的無線局域網(wǎng)與GSM/GPRS系統(tǒng)的互通也提出了解決方案,這條路必定越走越寬。
參考文獻:
[1] 郭峰,曾興雯,劉乃安.無線局域網(wǎng)[M].北京:電子工業(yè)出版杜,1997.
[2] 馮錫生,朱榮.無線數(shù)據(jù)通信[M].北京:中國鐵道出版社,1997.
[3] 你震亞.現(xiàn)代計算機網(wǎng)絡(luò)教程[M].北京:電子工業(yè)出版社,1999.
[4] 劉元安.寬帶無線接入和無線局域網(wǎng)[M].北京:北京郵電大學(xué)出版社,2000.
[5] 吳偉陵.移動通信中的關(guān)鍵技術(shù)[M].北京:北京郵電大學(xué)出版社,2000.
[6] 張公忠,陳錦章.當代組網(wǎng)技術(shù)[M].北京:清華大學(xué)出版社,2000.
[7] 牛偉,郭世澤,吳志軍,等.無線局域網(wǎng)[M].北京:人民郵電出版社,2003.
[8] Wheat J.無線網(wǎng)絡(luò)設(shè)計[M].莫蓉蓉,譯.北京:機械工業(yè)出版社,2002.
[9] Held G.構(gòu)建無線局域網(wǎng)[M].沈金龍,澤.北京:人民郵電出版社,2002.
[10] Barnes C.無線網(wǎng)絡(luò)安全防護[M].林生,譯.北京:機械工業(yè)出版社,2003.
[11] Heiskala J.OFDM無線局域網(wǎng)[M].暢曉春,譯.北京:電子工業(yè)出版社,2003.
[12] Ouellet E.構(gòu)建Cisco無線局域網(wǎng)[M].張穎,譯.北京:科學(xué)出版社,2003.
[13] Ciampa M.無線周域網(wǎng)設(shè)計一與實現(xiàn)[M].王順滿,譯.北京:科學(xué)出版社,2003 .
關(guān)鍵詞:無線局域網(wǎng);有線對等保密協(xié)議;RC4;漏洞;加密
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2011)15-3531-03
Analysis of the Vulnerability of WLAN Based on WEP
WANG Xiao-geng1, HAN Shao-jun2
(1.Xi'an Institute of Posts and Telecommunications, Xi'an 710121, China; 2. Agricultural Bank of Shaanxi Province, Xi'an 710068, China)
Abstract: WLAN has become a hot application in the field of telecommunication in both domestic and abroad. WLAN technique is becoming more and more well rounded. People are more and more aware of its security. This article makes a brief introduction to the principle of WEP and RC4. Discussion of several major vulnerability on WEP protocol. Current researches in the method of attacking WEP protocol including FMS attack and Korek attack are described. The attack principles are discussed respectively, and pointed out that the improvement measures.
Key words: WLAN; WEP; RC4; vulnerability; encryption
隨著計算機網(wǎng)絡(luò)在信息時代的迅猛發(fā)展,采用無線局域網(wǎng)技術(shù)也在許多領(lǐng)域中被廣泛采用,特別是近些年來隨著個人數(shù)據(jù)通信的發(fā)展,功能強大的便攜式數(shù)據(jù)終端以及多媒體終端得到了廣泛的應(yīng)用。為了實現(xiàn)使用戶能夠在任何時間、任何地點均能實現(xiàn)數(shù)據(jù)通信的目標,要求傳統(tǒng)的計算機網(wǎng)絡(luò)由有線向無線、由固定向移動、由單一業(yè)務(wù)向多媒體發(fā)展,由此無線局域網(wǎng)技術(shù)得到了快速的發(fā)展。 在互聯(lián)網(wǎng)高速發(fā)展的今天,可以認為無線局域網(wǎng)將是未來發(fā)展的趨勢。但是無線局域網(wǎng)的安全問題,成為當今一個非常重要的研究課題,無線網(wǎng)絡(luò)在未來將得到怎樣的應(yīng)用和發(fā)展,很大程度上取決于它的安全性。WEP協(xié)議作為無線網(wǎng)絡(luò)目前主要的安全協(xié)議,它的安全性備受關(guān)注。
1 WEP安全協(xié)議簡介
目前,隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,無線網(wǎng)絡(luò)由于其簡單方便、價格低廉的特性,使無線局域網(wǎng)技術(shù)在人們的生活中被越來越廣泛的采用。在城市中許多單位和小區(qū)都可以搜索到無線熱點AP(Access Point,無線接入點)發(fā)射出的信號,由于無線信道的開放特性,使得對無線信道的監(jiān)聽、入侵和篡改變得更容易,無線網(wǎng)絡(luò)的安全性是制約無線網(wǎng)絡(luò)發(fā)展的關(guān)鍵因素。目前在無線局域網(wǎng)中廣泛被采用的加密技術(shù)就是WEP協(xié)議和WPA協(xié)議(Wi-Fi Protected Access),WEP(Wired Equivalent Privacy)協(xié)議是IEEE 802.11無線局域網(wǎng)標準中的數(shù)據(jù)加密協(xié)議[1],WEP協(xié)議通過定義一系列的指令和操作規(guī)范來保障無線傳輸數(shù)據(jù)的保密性。在其誕生之初,許多人認為 WEP 是一種安全的加密算法能保證無線網(wǎng)絡(luò)的通信安全,隨著 WEP 技術(shù)被廣泛使用,一些專家學(xué)者研究發(fā)現(xiàn)了WEP協(xié)議在設(shè)計上存在的安全漏洞,并且發(fā)現(xiàn)了一系列針對WEP協(xié)議的攻擊方法。
1.1 WEP協(xié)議工作過程
1) WEP協(xié)議工作在MAC層,從上層獲得需要傳輸?shù)拿魑臄?shù)據(jù)后,首先利用CRC循環(huán)冗余校驗序列進行計算,利用CRC算法將生成32位的ICV完整性效驗值,將明文和ICV組合在一起,作為將要被加密的數(shù)據(jù)。使用CRC的目的是為了使接收方可以發(fā)現(xiàn)在傳輸?shù)倪^程中有沒有差錯產(chǎn)生。
2) WEP協(xié)議利用RC4的算法產(chǎn)生偽隨機序列流,用偽隨機序列流和要傳輸?shù)拿魑倪M行異或運算,產(chǎn)生密文。RC4加密密鑰分成兩部分,一部分是24位的初始化向量IV,另一部分就是用戶密鑰。由于相同的密鑰生成的偽隨機序列流是一樣的,所以使用不同的IV來確保生成的偽隨機序列流不同,從而可用于加密不同的需要被傳輸?shù)膸?/p>
3) 逐字節(jié)生成的偽隨機序列流和被加密內(nèi)容的進行異或運算,生成密文,將初始向量IV和密文一起傳輸給接收方。WEP協(xié)議加密的過程如圖1所示。
4) 解密的時候,接收方使用和發(fā)送方相反的過程,但使用的算法都是相同的。先進行幀的完整性效驗,然后從中取出IV和使用的密碼編號,將IV和對應(yīng)的密鑰組合成解密密鑰流,再通過RC4算法計算出偽隨機序列流,進行異或運算,計算出載荷以及ICV內(nèi)容。對解密出的內(nèi)容再用步驟1)的方法生成ICV' ,比較ICV' 和ICV,如果兩者相同,即認為數(shù)據(jù)正確。WEP協(xié)議解密的過程如圖2所示。[2]
1.2 RC4 算法
通信加密的歷史可以說是源遠流長,各種加密算法、各種加密方式也是層出不窮,從電子時代以來,基于移位寄存器的流密碼就被廣泛應(yīng)用于軍事密碼中。很多的流密碼算法都是基于線性反饋移位寄存器(LinearFeedbaekShiftRegister,LFSR)而設(shè)計的。但這種結(jié)構(gòu)相對復(fù)雜,不利于用軟件實現(xiàn),基于這種情況,RonRivest在 1987年設(shè)計了一種流密碼,在實際應(yīng)用中被廣泛采用,這種算法就是RC4算法,它克服了LFSR算法的不足,RC4 算法易于軟件實現(xiàn),內(nèi)部狀態(tài)比較大,每次狀態(tài)更新后輸出8 bit 作為密鑰流,它具有良好的隨機性和抵抗各種分析的能力。當時,RC4算法作為RSA公司的重要機密并沒有公開,在1994年9月,RC4算法才通過互聯(lián)網(wǎng)匿名地公開。在網(wǎng)絡(luò)安全中傳輸層重要的安全協(xié)議標準SSL/TLS(安全套接字協(xié)議/傳輸層安全協(xié)議)中,就是RC4算法保護互聯(lián)網(wǎng)傳輸中的保密性。在作為IEEE802.ll無線局域網(wǎng)標準的WEP協(xié)議中,利用RC4算法進行數(shù)據(jù)間的加密。自從 RC4 算法被公布以來,人們一直在對它進行安全性分析。[3]
RC4算法的原理很簡單,可以利用摸球模型來闡述 RC4 算法。設(shè)有口袋中放有 256 個一樣的球,依次從0,1,2到255進行編號,然后把它們充分混合后,隨機取出一個球并記下它的編號,再放回口袋,重復(fù)足夠多次后,每個球出現(xiàn)的概率應(yīng)該是相等的,這樣得到的序號系列應(yīng)該是由0,1,2,…,255 這些數(shù)字組成的隨機序列,并且,各個數(shù)出現(xiàn)的概率應(yīng)該是大致相同的。RC4 算法正是這一思想的具體實現(xiàn)。
RC4 算法可分為兩個階段,第一個階段是對一個擁有 256 個字節(jié)的狀態(tài)矢量S的初始化階段,相當于把編號后的球充分混合。第二個階段是密鑰流的生成階段,相當于從袋中重復(fù)隨機取球。[4]
RC4在實現(xiàn)時主要依靠兩個算法:密鑰安排算法KSA(Key Scheduling Algorithm)和偽隨機生成算法PRGA(Pseudo Random Generator Algorithm) 。KSA算法也叫初始化算法,它的主要目的是利用密鑰對S數(shù)組進行初始化,使0-255這256個數(shù)值在S數(shù)組里進行充分的混合,KSA 算法描述: 形成初始排列S[0]~S[255] ,S[i]=i(i=0,1,...,255);j=0;循環(huán)(i 從0 到255),每次循環(huán)計算j=j+S[i]+K[i mod len(K)] mod 256,然后交換S[i]和S[j];i、j置零。其中,K 為密鑰。PRGA 算法描述:i=i+1 mod 256,j=j+S[i] mod 256,交換S[i]和S[j],返回S[S[i]+S[j] mod 256]。[5]
2 WEP漏洞分析
2.1 密鑰流重用
在采用流密碼加密的系統(tǒng)中,始終面臨一個安全問題就是密鑰的重用,如果使用兩個相同的密鑰流加密兩個不同的明文,可以利用對兩個截獲的密文的異或,來抵消密鑰流,兩個密文異或后,得到的就是兩個明文的異或,其原理如下:
設(shè)有消息P1、P2,采用相同的IV(初始向量)進行加密,密文為C1、C2。有:
C1C2 = RC4(IV,K)< P1,CRC32(P1)>RC4(IV,K)< P2,CRC32(P2)>
= < P1,CRC32(P1)>< P2,CRC32(P2)>
= < P1P2,CRC32(P1)CRC32(P2)>
= < P1P2,CRC32(P1P2)>
由上面的推導(dǎo)我們可以看出,只要將兩個密文(C1C2 ) 做異或運算,就可以將密鑰流取消掉,得到兩個明文的異或(P1P2),而在無線網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)幀有固定的幀頭格式,也就是說有些明文的內(nèi)容是確定的,而且由于在RC4中密鑰是由兩部分構(gòu)成,一部分是用戶約定好的密鑰K,這個一般是輕易不會變化,除非用戶手動更改,另外一部分就是系統(tǒng)隨機分配的初始向量IV,IV是在明文的傳送,攻擊者也可以輕易獲取,RC4中密鑰流的不同,依靠于初始向量IV,IV的空間是有限的,在密鑰為64位的算法中,IV為24比特,很容易重復(fù),所以密鑰流重用會招致大量的攻擊: 當?shù)弥牡哪骋徊糠趾? 攻擊者就能很快得到全部的原文信息,攻擊者還可以有意向無線網(wǎng)絡(luò)中注入數(shù)據(jù),加快IV向量的重復(fù),使WEP加密系統(tǒng)在短時間內(nèi)就遭到破壞。[6]
2.2 信息修改攻擊
CRC-32校驗和作為一種完整性校驗方式,是一種非常有效的校驗方式,它主要的目的是檢查隨機錯誤,用它來發(fā)現(xiàn)數(shù)據(jù)在傳輸過程中的偶發(fā)錯誤是十分有用(如由于傳輸信道噪聲而導(dǎo)致的錯誤),CRC-32校驗和一般用于檢查非惡意的突發(fā)性錯誤,也就是說它的設(shè)計初衷并不是用于抵抗蓄謀惡意的攻擊。CRC-32的算法是線性的,即CRC32(xy)=CRC32(x)CRC32(y)。利用這個性質(zhì),惡意的攻擊者可篡改原文P的內(nèi)容。
若攻擊者知道明文P,密文C,要想將內(nèi)容篡改為S,作以下推導(dǎo):
RC4(IV,K)< P,CRC32(P)> = C
PS = T
PT = S
RC4(IV,K)< S,CRC32(S)> = RC4(IV,K)< PT, CRC32(PT)>
= RC4(IV,K)< P,CRC32(P)>
= C
C已知,P、S已知可求出T,CRC32(T)也就可求出。最后得到明文為S的加密好的消息。
3 WEP破解
3.1 FMS攻擊
WEP的攻擊中采用FMS攻擊的非常流行,它利用了RC4的密鑰排列算法和IV使用上的弱點。因為有弱IV值的存在,它會泄漏密鑰流的第一個字節(jié)中的密鑰信息。由于相同的密鑰與不同的IV一起被反復(fù)使用,所以如果收集到了足夠多的具有弱IV的數(shù)據(jù)包,且密鑰流的第一個字節(jié)是已知的,就可以確定密鑰。而在802.11b進行數(shù)據(jù)包封裝時,第一個字節(jié)是snap頭,它幾乎總是0xAA。這樣就可以通過用0xAA與密文中第一個加密字節(jié)進行異或,就會很輕松的得到密鑰流的第一個字節(jié)。下面的問題就是如何定位弱IV。WEP的IV采用24比特,對應(yīng)共3個字節(jié),也就是說弱IV是以(A+3,N-1,X)形式存在,A是被攻擊的密鑰的字節(jié),N是256,X可以是任意值。那么,若密鑰流的第0個字節(jié)被攻擊,將會有256個弱IV具有(3,255,X)的形式,這里X的范圍是0~255。必須順序攻擊密鑰流的字節(jié),所以在不知道第0個字節(jié)之前,不能攻擊第一個字節(jié)。算法思路如下:首先計算KSA算法的前A+3步。這可以在不知道密鑰的情況下完成,因為IV將占用K數(shù)組的前3個字節(jié),如果已知密鑰的第0個字節(jié),且A=1,那么KSA可以運算到第4步,因為會知道K數(shù)組的前4個字節(jié)。如果S[0]和S[1]已被最后一步打亂,應(yīng)當放棄整個嘗試。如果用足夠的弱IV完成該項工作,就可以確定正確的密鑰字節(jié)。[7]
3.2 Korek攻擊
FMS攻擊只利用一少部分的弱IV來生成的密鑰流,而后來的Korek Attack則用到了更多的弱IV, 并且在計算中不只用到了密鑰流的第一個字節(jié),他還是用第二個字節(jié),發(fā)現(xiàn)并總結(jié)了額外的16種RC4密鑰前i個字節(jié)、中間生產(chǎn)的密鑰流的前兩個字節(jié)和下一個密鑰K[i]之間的關(guān)系。Korek給這些攻擊命名為A_u15、A_s13等等。原始的FMS攻擊在這里被稱為A_s5_1。這樣就使捕獲包的利用率被大大提高了,攻擊效率也有了很大的提高。
4 結(jié)論
本文詳細分析了WEP協(xié)議的加密、解密原理,RC4算法的工作過程,探討了WEP協(xié)議所面臨的主要幾種安全漏洞,并針對WEP協(xié)議的FMS攻擊和Korek攻擊進行了分析研究,表明WEP協(xié)議在網(wǎng)絡(luò)攻擊中已經(jīng)變得十分脆弱,在使用無線網(wǎng)絡(luò)的時候應(yīng)該盡可能減少使用,而改用其他的安全協(xié)議。
參考文獻:
[1] 羅惜民.WEP協(xié)議安全性分析及改進研究[D].碩士學(xué)位論文,電子科技大學(xué),2010.
[2] 劉辛酉.WiFi通信的安全分析[J].信息網(wǎng)絡(luò),2009,4:50-55.
[3] 黃少青.RC4算法的安全性分析[D].碩士學(xué)位論文,北京郵電大學(xué),2009.
[4] 王昭.流密碼算法RC4的教學(xué)設(shè)計[J].教學(xué)培養(yǎng),2010,11:80-82.
[5] 劉永磊,金志剛.WEP協(xié)議攻擊方法研究[J].計算機工程,2010,11:153-157.
[6] 劉楊,李臘元.基于WEP協(xié)議的無線局域網(wǎng)安全性分析與測試[J].武漢理工大學(xué)學(xué)報,2006:60-62.
[7] Jon Erickson. 黑客之道-漏洞發(fā)掘的藝術(shù)[M].田玉敏,范書義,譯.北京:中國水利水電出版社,2005.
論文摘要:作為專業(yè)性及技術(shù)性很強的一門課程,如何開設(shè)能同步當前市場及網(wǎng)絡(luò)環(huán)境的課程內(nèi)容,給當前“計算機網(wǎng)絡(luò)”課程的教學(xué)提出了新的要求。在闡述了當前“計算機網(wǎng)絡(luò)”教學(xué)存在若干問題的基礎(chǔ)上,提出了一種基于市場導(dǎo)向的“計算機網(wǎng)絡(luò)”課程內(nèi)容規(guī)劃,并對課程實施提出了相關(guān)看法。
“計算機網(wǎng)絡(luò)”課程是高等學(xué)校計算機與信息技術(shù)相關(guān)專業(yè)的專業(yè)主干課程,該課程講解以較成熟的網(wǎng)絡(luò)技術(shù)為主,系統(tǒng)介紹了有關(guān)“計算機網(wǎng)絡(luò)”的概念、基本原理及其應(yīng)用技術(shù)。通過該課程的學(xué)習(xí)使學(xué)生系統(tǒng)了解“計算機網(wǎng)絡(luò)”的基本概念,掌握局域網(wǎng)技術(shù)和因特網(wǎng)技術(shù)、實用網(wǎng)絡(luò)技術(shù)與網(wǎng)絡(luò)安全等內(nèi)容,學(xué)會跟蹤目前成熟的網(wǎng)絡(luò)實用新技術(shù),了解網(wǎng)絡(luò)發(fā)展前沿,為日后繼續(xù)學(xué)習(xí)打下一定的基礎(chǔ)。
伴隨著當前教學(xué)以實用性、市場導(dǎo)向為目的的改革趨勢,對當前的“計算機網(wǎng)絡(luò)”課程教學(xué)提出了更高要求,為此“計算機網(wǎng)絡(luò)”課程的教學(xué)內(nèi)容創(chuàng)新構(gòu)建及規(guī)劃極其重要。
一、當前教學(xué)現(xiàn)狀問題分析
1.教學(xué)體系不完整
就目前說來,“計算機網(wǎng)絡(luò)”課程的教學(xué)體系不很完整,受到課程的限制,很多學(xué)校的“計算機網(wǎng)絡(luò)”課程僅僅作為一門72學(xué)時的理論課程開設(shè),部分學(xué)校開設(shè)了實驗課程,可是也非常短暫。部分學(xué)校僅僅以突出理論引導(dǎo)為中心,而部分學(xué)校淡化了理論教學(xué),“計算機網(wǎng)絡(luò)”課程的教學(xué)基本上就是簡單的路由和交換技術(shù),課程開設(shè)中對于無線網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)安全模塊、網(wǎng)絡(luò)維護和管理模塊、網(wǎng)絡(luò)編程模塊基本上很少問津,這樣的教學(xué)體系很難滿足當前“計算機網(wǎng)絡(luò)”教學(xué)的要求。
2.教材體系構(gòu)建存在問題
就目前說來,“計算機網(wǎng)絡(luò)”課程的教學(xué)用書層出不窮,然而作為一整套的教學(xué)體系教材,一方面,當前“計算機網(wǎng)絡(luò)”課程的教學(xué)課時具體規(guī)劃難以滿足,是開設(shè)1個學(xué)期,按照72學(xué)時走,還是按照128學(xué)時走?實驗教學(xué)的比例占多少?實驗和理論是同步開設(shè)還是分開?是否要開設(shè)2學(xué)期,是否按照通信原理-》“計算機網(wǎng)絡(luò)”-》“計算機網(wǎng)絡(luò)”技術(shù)-》“計算機網(wǎng)絡(luò)”安全和管理這個步驟開設(shè)?這樣做需要多少課時?這些都是問題。
3.實驗課程的教學(xué)平臺存在落后性
由于“計算機網(wǎng)絡(luò)”的時代性很強,開設(shè)的實驗課程要體現(xiàn)和新技術(shù)的同步,對“計算機網(wǎng)絡(luò)”實驗室的要求很高,比如路由器和交換機,可能要使用相對較新穎的設(shè)備型號,這樣才能同步教學(xué),過老的設(shè)備可能不支持新的技術(shù),另外學(xué)生也難以達到學(xué)以致用的目的。升級軟件系統(tǒng)可以做到一定的擴充,但是部分硬件系統(tǒng)用軟件還是難以替代的。所以這對“計算機網(wǎng)絡(luò)”實驗室的更新提出了要求。
4.相關(guān)網(wǎng)絡(luò)平臺及其軟件的選擇問題
由于存在學(xué)生的就業(yè)選擇及其就業(yè)導(dǎo)向問題,需要面對如下問題進行選擇:構(gòu)建的“計算機網(wǎng)絡(luò)”課程教學(xué)環(huán)境是基于微軟的.NET平臺作為網(wǎng)絡(luò)編程開發(fā)還是基于SUN的JAVA進行?基于UNIX構(gòu)建服務(wù)器還是Windows Server服務(wù)器來構(gòu)建平臺?數(shù)據(jù)庫服務(wù)器的構(gòu)建怎么做等等?
5.相關(guān)新技術(shù)的引入滯后和過時技術(shù)未能及時淘汰之間存在問題
“計算機網(wǎng)絡(luò)”實際教學(xué)上存在的問題是,新技術(shù)往往不能很快引入實際教學(xué)環(huán)境,而已經(jīng)過時的技術(shù)依然占用大量的篇幅,這樣對“計算機網(wǎng)絡(luò)”課程教學(xué)的導(dǎo)向性造成了障礙,目前本著以就業(yè)和市場需求為導(dǎo)向的教學(xué)要求,實際上沒有做到同步。
該課程設(shè)計的教學(xué)內(nèi)容基本上以TCP/IP網(wǎng)絡(luò)模型進行組織,涉及的內(nèi)容廣泛,部分知識點跟隨Internet上出現(xiàn)的新技術(shù)展開,如無線局域網(wǎng)等相關(guān)技術(shù)。另外,隨著硬件技術(shù)的飛速發(fā)展,很多網(wǎng)絡(luò)技術(shù)目前已不再使用,例如早期的共享式以太網(wǎng)、無盤工作站等在當前網(wǎng)絡(luò)環(huán)境下講述,基本上已經(jīng)沒有意義。組網(wǎng)模塊中的平臺問題也需要跟隨市場潮流進行更換。例如服務(wù)器操作系統(tǒng)不再以Windows 2000 Server或者Netware為中心,客戶機平臺如果再以Windows 98為核心進行闡述,明顯則跟不上時代潮流的要求。部分軟件在后續(xù)版本上也出現(xiàn)了較大變化,增加了更多先進的網(wǎng)絡(luò)和管理功能,例如數(shù)據(jù)庫服務(wù)器等。
二、“計算機網(wǎng)絡(luò)”課程的教學(xué)內(nèi)容規(guī)劃
為此,筆者認為重新規(guī)劃“計算機網(wǎng)絡(luò)”課程的教學(xué)內(nèi)容,使該課程的教學(xué)體現(xiàn)先進性和市場的同步性,體現(xiàn)結(jié)構(gòu)的完整性就尤為重要?!坝嬎銠C網(wǎng)絡(luò)”課程的教學(xué)內(nèi)容規(guī)劃中,基于TCP/IP模型為主線,以O(shè)SI模型為理論向?qū)?,重新?guī)劃的教學(xué)內(nèi)容從如下幾個模塊展開。
1.概論模塊
闡述網(wǎng)絡(luò)和計算機網(wǎng)絡(luò)的基本概念,計算機網(wǎng)絡(luò)的發(fā)展,計算機網(wǎng)絡(luò)的拓撲結(jié)構(gòu),計算機網(wǎng)絡(luò)的基本模型,相關(guān)體系結(jié)構(gòu)如OSI參考模型和TCP/IP模型,協(xié)議的基本概念,網(wǎng)絡(luò)的分類方式,網(wǎng)絡(luò)的現(xiàn)狀和展望,計算機網(wǎng)絡(luò)相關(guān)領(lǐng)域的權(quán)威組織機構(gòu)和論壇等。
本模塊附帶的實驗?zāi)K包括對相關(guān)網(wǎng)絡(luò)組織站點的查詢,掌握查詢相關(guān)資料的方式,如查詢RFC文檔,ITU-T相關(guān)技術(shù)標準,實際網(wǎng)絡(luò)的考察等。
2.物理層和數(shù)據(jù)鏈路層模塊
以TCP/IP模型的主機至互聯(lián)網(wǎng)層和OSI模型的物理層,數(shù)據(jù)鏈路層為核心實現(xiàn)展開,描述物理層的基本功能和數(shù)據(jù)鏈路層的基本功能,闡述IEEE802.3關(guān)于數(shù)據(jù)鏈路層劃分為MAC層和LLC的基本要求。闡述數(shù)據(jù)通信的基本模型和一般方式。常見的數(shù)字數(shù)據(jù)數(shù)據(jù)編碼方式,常見的頻帶傳輸技術(shù)及其編碼方式,差錯控制和流量控制技術(shù),多路復(fù)用技術(shù)如FDM、WDM、TDM等。
本模塊附帶的實驗?zāi)K包括數(shù)據(jù)幀的分析,差錯控制和流量控制的一般算法及其語言代碼實現(xiàn)。
3.局域網(wǎng)和以太網(wǎng)技術(shù)模塊
在闡述完物理層和數(shù)據(jù)鏈路層的基礎(chǔ)上,探討局域網(wǎng)的基本概念、局域網(wǎng)的特點、拓撲結(jié)構(gòu)等。闡述局域網(wǎng)的基本組網(wǎng)技術(shù),以太網(wǎng)的基本概念,以太網(wǎng)的發(fā)展歷史,常見的數(shù)據(jù)交換技術(shù)如電路交換、報文交換和分組交換等。以太網(wǎng)的常見技術(shù)標準,IEEE802模型及其相關(guān)標準。
實驗?zāi)K包括相關(guān)物理層設(shè)備概述,如網(wǎng)卡等,相關(guān)數(shù)據(jù)鏈路層設(shè)備功能描述,如交換機——交換機的基本配置,交換機的使用、分類,交換機的配置途徑及其方法。交換機構(gòu)建以太網(wǎng)的基本過程,虛擬局域網(wǎng)的基本劃分,Trunk技術(shù)的使用等。
常見的傳輸媒介及其分類:有線傳輸媒介,雙絞線,同軸電纜,光纖等。雙絞線的基本分類:UTP,STP等,雙絞線的制作方法:如交叉線,直通線,反轉(zhuǎn)線等。同軸電纜的基本結(jié)構(gòu),同軸電纜的分類,同軸電纜的制作方法及其測試等。
光纖的通信原理,光纖的分類,多模和單模光纖,光纖的基本認識,打磨和焊接等。無線傳輸媒介如紅外線,無線電波,激光等相關(guān)知識點的介紹。
4.網(wǎng)絡(luò)層模塊
闡述網(wǎng)絡(luò)層的基本概念,網(wǎng)絡(luò)層的基本數(shù)據(jù)單位,分組的基本概念,路由的基本概念,路由協(xié)議和被路由協(xié)議。常見的路由協(xié)議及其算法步驟,如OSPF,RIP等。網(wǎng)絡(luò)層的擁塞控制算法,如漏桶技術(shù)和令牌桶技術(shù)等。網(wǎng)絡(luò)層的核心協(xié)議如IP,ARP,icmp,RARP,IGMP等。IP地址的規(guī)劃方式,IPV4的地址構(gòu)成方式,位數(shù),IPV4地址的分類。IPV4地址的分配,子網(wǎng)劃分和超網(wǎng)聚合,相關(guān)的VLSM和CIDR技術(shù)。IP數(shù)據(jù)包的結(jié)構(gòu)及其特點分析。IPV6地址的構(gòu)成及其特點等。IPv4地址和IPv6地址的配置方式等。
實驗?zāi)K包括路由器的基本配置,如端口的IP配置,速率配置等,基本路由協(xié)議的配置,如靜態(tài)路由的配置,浮動靜態(tài)路由的配置,RIP路由協(xié)議的配置,OSPF路由協(xié)議的配置,IGRP、BGP、EIGRP等相關(guān)路由協(xié)議的配置等。
5.廣域網(wǎng)模塊
闡述廣域網(wǎng)的基本概念,廣域網(wǎng)的基本構(gòu)成,ATM異步傳輸模式及其特點,ATM的信元,PPP網(wǎng)絡(luò),F(xiàn)R幀中繼網(wǎng)絡(luò),X.25分組交換網(wǎng)絡(luò),基本的數(shù)據(jù)格式等。廣域網(wǎng)的構(gòu)造,廣域網(wǎng)的基本配置,廣域網(wǎng)交換機的基本配置,廣域網(wǎng)相關(guān)協(xié)議的配置,PPP協(xié)議的使用,ATM網(wǎng)絡(luò)的基本配置,X.25的基本配置,F(xiàn)R的基本配置等。 轉(zhuǎn)貼于
本模塊涉及的實驗部分應(yīng)該以相關(guān)的模擬器軟件進行演示,例如基于boson或者cisco的tracer或者華為的相關(guān)模擬器進行,實際模擬器的選擇以當前采用的實驗硬件系統(tǒng)為準進行。另外考慮到和當前市場流行技術(shù)和硬件產(chǎn)品同步的特征,采用的模擬器要體現(xiàn)先進性、真實性。另外實際的試驗系統(tǒng)能升級的考慮升級或者擴充。
6.網(wǎng)絡(luò)服務(wù)的配置模塊
作為網(wǎng)絡(luò)服務(wù)的終結(jié)點,服務(wù)的配置十分關(guān)鍵,作為應(yīng)用層服務(wù)的最高體現(xiàn),構(gòu)建相關(guān)的網(wǎng)絡(luò)服務(wù)對于“計算機網(wǎng)絡(luò)”課程教學(xué)是至關(guān)重要的,網(wǎng)絡(luò)服務(wù)的配置主要涉及相關(guān)服務(wù)器平臺的構(gòu)建。
實驗?zāi)K包括服務(wù)器操作系統(tǒng)平臺的基本構(gòu)件、安裝、基本的系統(tǒng)配置,如unix,windows server 2008等,系統(tǒng)平臺的服務(wù)使用,如web服務(wù)器,F(xiàn)TP服務(wù)器,E-MAIL服務(wù)器,數(shù)據(jù)庫服務(wù)器,遠程登錄和打印服務(wù)器,還有諸如域和活動目錄服務(wù),文件服務(wù)等相關(guān)服務(wù)的構(gòu)建,群集服務(wù)的構(gòu)建,相關(guān)的磁盤管理和文件管理服務(wù),視頻點播VOD,流媒體服務(wù)器的構(gòu)建等。由于涉及到的平臺不一,比如WEB服務(wù)器可能在不同版本下的服務(wù)特征不同,例如構(gòu)建iis6.0和IIS7.0搭建asp.net站點環(huán)境的配置,比如在linux平臺下,構(gòu)建apache服務(wù)器平臺,或者搭建相關(guān)的php,jsp等服務(wù)環(huán)境,這樣要根據(jù)實際情況對應(yīng)講授。
考慮到實際教學(xué)環(huán)境的要求,本模塊的構(gòu)建應(yīng)該在虛擬機平臺進行,這樣可以方便構(gòu)建,減少實際教學(xué)環(huán)境的投資和管理成本。目前采用vmware或者virtual pc均可方便進行。
7.無線網(wǎng)絡(luò)技術(shù)模塊
隨著網(wǎng)絡(luò)新技術(shù)的增加,無線網(wǎng)絡(luò)技術(shù)增加到“計算機網(wǎng)絡(luò)”課程中是大勢所趨。介紹無線網(wǎng)絡(luò)的基本概念,常見的無線通信技術(shù)。無線局域網(wǎng)的基本概念,無線局域網(wǎng)的相關(guān)協(xié)議標準,如IEEE802.11a,IEEE802.11b,IEEE802.11g,IEEE802.11n等。無線局域網(wǎng)的相關(guān)設(shè)備,如無線AP,無線路由器,天線等。實驗?zāi)K,包括無線網(wǎng)絡(luò)的組網(wǎng)技術(shù),常見的組網(wǎng)方案等。
8.網(wǎng)絡(luò)編程技術(shù)
編程是網(wǎng)絡(luò)教學(xué)的非常重要的一個模塊,隨著市場技術(shù)的發(fā)展變化,網(wǎng)絡(luò)編程的范圍在不斷產(chǎn)生變化,給學(xué)生一個清晰的編程方向和編程方式極其關(guān)鍵。本模塊應(yīng)該介紹網(wǎng)絡(luò)編程的基本概念,網(wǎng)絡(luò)軟件的基本模型,C/S和B/S的基本架構(gòu)。基于客戶端/服務(wù)器方式面向應(yīng)用的網(wǎng)絡(luò)編程,基于瀏覽器/服務(wù)器的面向應(yīng)用的網(wǎng)絡(luò)編程。編程語言的選擇,相關(guān)技術(shù)的選擇,如c,c++,java,c#,vb,delphi,python等,應(yīng)該以當前市場趨勢詳細闡述技術(shù)的選擇。一般說來當前c++,c#,java較為流行,另外關(guān)于面向手機等微終端平臺的開發(fā),一般選擇J2ME;面向游戲的開發(fā),選擇adobe的flex等;面向瀏覽器的站點類應(yīng)用開發(fā)格式就更多了,基本的HTML,xml,xhtml,p+css、javascript,vbscript必不可少,相關(guān)的數(shù)據(jù)庫語言SQL,數(shù)據(jù)庫概念及其數(shù)據(jù)庫軟件SQL SERVER、oracle、mysql等也在介紹的范圍內(nèi)。網(wǎng)頁類開發(fā)的asp,asp.net,jsp,php,cgi等也要適當介紹。
筆者認為,實際上本章節(jié)并不是雜亂無章,以市場流行平臺和語言出發(fā),以客戶端方式,瀏覽器方式,手機等微平臺方式,游戲等處理出發(fā)組織教學(xué)內(nèi)容,知識結(jié)構(gòu)容易理順。
網(wǎng)絡(luò)編程的模塊非常龐大,應(yīng)該作為計算機及信息技術(shù)相關(guān)專業(yè)的一門課程來介紹,相對說來,目前缺少一門概論式的網(wǎng)絡(luò)編程教材來介紹相關(guān)內(nèi)容,學(xué)生很難明白到底該選擇什么樣的編程平臺,什么是網(wǎng)絡(luò)編程,選擇什么平臺,該章節(jié)就是要起這樣一個拋磚引玉的功能。
9.網(wǎng)絡(luò)安全模塊
本模塊應(yīng)該以網(wǎng)絡(luò)安全基本概念出發(fā),涉及的內(nèi)容包括網(wǎng)絡(luò)安全的基本架構(gòu),相關(guān)安全框架,密碼學(xué)和數(shù)據(jù)加密技術(shù),訪問控制技術(shù)和防火墻,黑客,病毒及其處理技術(shù),攻擊及其防范技術(shù),vpn,數(shù)字證書,簽名,SSL,SSH等。涉及的硬件系統(tǒng)及其配置主要包括防火墻的基本配置,NAT地址轉(zhuǎn)換,ACL的配置,VPN及其配置等。實際上網(wǎng)絡(luò)安全已經(jīng)成為網(wǎng)絡(luò)課程的一個非常重要的方向,在后續(xù)課程中可能涉及,作為知識點的擴充和延伸,應(yīng)該附帶該模塊。
10.網(wǎng)絡(luò)維護和管理模塊
網(wǎng)絡(luò)維護和管理是網(wǎng)絡(luò)技術(shù)中非常關(guān)鍵的一個部分,涉及網(wǎng)絡(luò)維護和管理的內(nèi)容主要包括網(wǎng)絡(luò)管理和維護的基本概念,網(wǎng)絡(luò)管理的基本框架和基本模型,管理的基本內(nèi)容,SNMP網(wǎng)絡(luò)管理協(xié)議,網(wǎng)絡(luò)故障及其派出技術(shù),常見硬件和軟件故障,設(shè)備故障,相關(guān)的網(wǎng)絡(luò)管理軟件,路由器,交換機的網(wǎng)絡(luò)管理功能的配置等。
三、小結(jié)
綜上所述,當前“計算機網(wǎng)絡(luò)”課程的理論及其實驗教學(xué)應(yīng)該從如下幾個方面進行改進:規(guī)劃教學(xué)內(nèi)容,對“計算機網(wǎng)絡(luò)”課程的理論和實驗教學(xué)內(nèi)容進行系統(tǒng)規(guī)劃;規(guī)劃課時和課程設(shè)置安排,便于課程的詳細展開;完善該課程的實驗室整改,做到實驗教學(xué)和理論教學(xué)同步,做到新穎性、實用性、真實性、可操作性。
參考文獻
[1]王相林.分層次的計算機網(wǎng)絡(luò)課程體系建設(shè)[J].計算機教育,2011,(6).
[2]劉東梅.計算機網(wǎng)絡(luò)教學(xué)分析[J].科技創(chuàng)新導(dǎo)報,2011,(7).
[3]龐周.淺談計算機網(wǎng)絡(luò)教學(xué)[J].內(nèi)江科技,2010,(12).
[4]肖建良,敖磊.計算機網(wǎng)絡(luò)教學(xué)改革與實踐[J].中國電力教育,2010,(35).
論文摘要:在介紹網(wǎng)絡(luò)安全概念及其產(chǎn)生原因的基礎(chǔ)上,介紹了各種信息技術(shù)及其在局域網(wǎng)信息安全中的作用和地位。
論文關(guān)鍵詞:網(wǎng)絡(luò)安全信息技術(shù)信息安全局域網(wǎng)
隨著現(xiàn)代網(wǎng)絡(luò)通信技術(shù)的應(yīng)用和發(fā)展,互聯(lián)網(wǎng)迅速發(fā)展起來,國家逐步進入到網(wǎng)絡(luò)化、共享化,我國已經(jīng)進入到信息化的新世紀。在整個互聯(lián)網(wǎng)體系巾,局域網(wǎng)是其巾最重要的部分,公司網(wǎng)、企業(yè)網(wǎng)、銀行金融機構(gòu)網(wǎng)、政府、學(xué)校、社區(qū)網(wǎng)都屬于局域網(wǎng)的范疇。局域網(wǎng)實現(xiàn)了信息的傳輸和共享,為用戶方便訪問互聯(lián)網(wǎng)、提升業(yè)務(wù)效率和效益提供了有效途徑。但是由于網(wǎng)絡(luò)的開放性,黑客攻擊、病毒肆虐、木馬猖狂都給局域網(wǎng)的信息安全帶來了嚴重威脅。
信息技術(shù)是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論和信息論諸多學(xué)科的技術(shù)。信息技術(shù)的應(yīng)用就是確保信息安全,使網(wǎng)絡(luò)信息免遭黑客破壞、病毒入侵、數(shù)據(jù)被盜或更改。網(wǎng)絡(luò)已經(jīng)成為現(xiàn)代人生活的一部分,局域網(wǎng)的安全問題也閑此變得更為重要,信息技術(shù)的應(yīng)用必不可少。
1網(wǎng)絡(luò)安全的概念及產(chǎn)生的原因
1.1網(wǎng)絡(luò)安全的概念
計算機網(wǎng)絡(luò)安全是指保護計算機、網(wǎng)絡(luò)系統(tǒng)硬件、軟件以及系統(tǒng)中的數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改和泄密,確保系統(tǒng)能連續(xù)和可靠地運行,使網(wǎng)絡(luò)服務(wù)不巾斷。從本質(zhì)上來講,網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全。網(wǎng)絡(luò)系統(tǒng)的安全威脅主要表現(xiàn)在主機可能會受到非法入侵者的攻擊,網(wǎng)絡(luò)中的敏感信息有可能泄露或被修改。從內(nèi)部網(wǎng)向公共網(wǎng)傳送的信息可能被他人竊聽或篡改等等。典型的網(wǎng)絡(luò)安全威脅主要有竊聽、重傳、偽造、篡改、非授權(quán)訪問、拒絕服務(wù)攻擊、行為否認、旁路控制、電磁/射頻截獲、人員疏忽。
網(wǎng)絡(luò)安全包括安全的操作系統(tǒng)、應(yīng)用系統(tǒng)以及防病毒、防火墻、入侵檢測、網(wǎng)絡(luò)監(jiān)控、信息審計、通信加密、災(zāi)難恢復(fù)和完全掃描等。它涉及的領(lǐng)域相當廣泛,這是因為目前的各種通信網(wǎng)絡(luò)中存在著各種各樣的安全漏洞和威脅。從廣義上講,凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可性、真實性和可控性的相關(guān)技術(shù)和理論,都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。網(wǎng)絡(luò)安全歸納起來就是信息的存儲安全和傳輸安全。
1.2網(wǎng)絡(luò)安全產(chǎn)生的原因
1.2.1操作系統(tǒng)存在安全漏洞
任何操作系統(tǒng)都不是無法摧毀的“饅壘”。操作系統(tǒng)設(shè)計者留下的微小破綻都給網(wǎng)絡(luò)安全留下了許多隱患,網(wǎng)絡(luò)攻擊者以這些“后門”作為通道對網(wǎng)絡(luò)實施攻擊。局域網(wǎng)中使用的操作系統(tǒng)雖然都經(jīng)過大量的測試與改進,但仍有漏洞與缺陷存在,入侵者利用各種工具掃描網(wǎng)絡(luò)及系統(tǒng)巾的安全漏洞,通過一些攻擊程序?qū)W(wǎng)絡(luò)進行惡意攻擊,嚴重時造成網(wǎng)絡(luò)的癱瘓、系統(tǒng)的拒絕服務(wù)、信息的被竊取或篡改等。
1.2.2TCP/lP協(xié)議的脆弱性
當前特網(wǎng)部是基于TCP/IP協(xié)議,但是陔?yún)f(xié)議對于網(wǎng)絡(luò)的安全性考慮得并不多。且,南于TCtVIP協(xié)議在網(wǎng)絡(luò)上公布于眾,如果人們對TCP/IP很熟悉,就可以利川它的安全缺陷來實施網(wǎng)絡(luò)攻擊。
1.2.3網(wǎng)絡(luò)的開放性和廣域性設(shè)計
網(wǎng)絡(luò)的開放性和廣域性設(shè)計加大了信息的保密難度.這其巾還包括網(wǎng)絡(luò)身的布線以及通信質(zhì)量而引起的安全問題?;ヂ?lián)網(wǎng)的全開放性使網(wǎng)絡(luò)可能面臨來自物理傳輸線路或者對網(wǎng)絡(luò)通信協(xié)議以及對軟件和硬件實施的攻擊;互聯(lián)網(wǎng)的同際性給網(wǎng)絡(luò)攻擊者在世界上任何一個角落利州互聯(lián)網(wǎng)上的任何一個機器對網(wǎng)絡(luò)發(fā)起攻擊提供機會,這也使得網(wǎng)絡(luò)信息保護更加難。
1.2.4計算機病毒的存在
計算機病毒是編制或者存計箅機程序巾插入的一組旨在破壞計箅機功能或數(shù)據(jù),嚴重影響汁算機軟件、硬件的正常運行,并且能夠自我復(fù)制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性幾大特點。大量涌現(xiàn)的病毒在網(wǎng)上傳播極快,給全球地嗣的網(wǎng)絡(luò)安全帶來了巨大災(zāi)難。
1.2.5網(wǎng)絡(luò)結(jié)構(gòu)的不安全性
特網(wǎng)是一個南無數(shù)個局域網(wǎng)連成的大網(wǎng)絡(luò),它是一種網(wǎng)問網(wǎng)技術(shù)。當l主機與另一局域網(wǎng)的主機進行通信時,它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多機器重重轉(zhuǎn)發(fā),這樣攻擊者只要利用l臺處于用戶的數(shù)據(jù)流傳輸路徑上的主機就有可能劫持用戶的數(shù)據(jù)包。
2信息技術(shù)在互聯(lián)網(wǎng)中的應(yīng)用
2.1信息技術(shù)的發(fā)展現(xiàn)狀和研究背景
信息網(wǎng)絡(luò)安全研究在經(jīng)歷了通信保密、數(shù)據(jù)保護后進入網(wǎng)絡(luò)信息安全研究階段,當前已經(jīng)…現(xiàn)了一些比較成熟的軟件和技術(shù),如:防火墻、安全路由器、安全網(wǎng)關(guān)、黑客人侵檢測、系統(tǒng)脆弱性掃描軟件等。信息網(wǎng)絡(luò)安全是一個綜合、交叉的學(xué)科,應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)等方面綜合開展研究,使各部分相互協(xié)同,共同維護網(wǎng)絡(luò)安全。
國外的信息安全研究起步較早,早在20世紀70年代美國就在網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)理論研究成果“計算機保密模型(Beu&Lapaduh模型)”的基礎(chǔ)上,提出了“可信計箅機系統(tǒng)安全評估準則(TESEC)”以及后來的關(guān)于網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)庫方面的相關(guān)解釋,彤成了安全信息系統(tǒng)體系結(jié)構(gòu)的準則。安全協(xié)議作為信息安全的重要內(nèi)容,處于發(fā)展提高階段,仍存在局限性和漏洞。密碼學(xué)作為信息安全的關(guān)鍵技術(shù),近年來空前活躍,美、歐、亞各洲舉行的密碼學(xué)和信息安全學(xué)術(shù)會議頻繁。自從美國學(xué)者于1976年提出了公開密鑰密碼體制后,成為當前研究的熱點,克服了網(wǎng)絡(luò)信息系統(tǒng)密鑰管理的閑舴,同時解決了數(shù)字簽名問題。另外南于計箅機運算速度的不斷提高和網(wǎng)絡(luò)安全要求的不斷提升,各種安全技術(shù)不斷發(fā)展,網(wǎng)絡(luò)安全技術(shù)存21世紀將成為信息安全的關(guān)鍵技術(shù)。
2.2信息技術(shù)的應(yīng)用
2.2.1網(wǎng)絡(luò)防病毒軟件
存網(wǎng)絡(luò)環(huán)境下,病毒的傳播擴散越來越快,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。針對局域網(wǎng)的渚多特性,應(yīng)該有一個基于服務(wù)器操作系統(tǒng)平的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果局域網(wǎng)和互聯(lián)網(wǎng)相連,則川到網(wǎng)大防病毒軟件來加強上網(wǎng)計算機的安全。如果使用郵件存網(wǎng)絡(luò)內(nèi)部進行信息交換.則需要安裝基于郵件服務(wù)器平的郵件防病毒軟件,用于識別出隱藏在電子郵件和附件巾的病毒最好的策略是使川全方位的防病毒產(chǎn)品,針對網(wǎng)絡(luò)巾所有可能的病毒攻擊點設(shè)置對應(yīng)的防病毒軟件。通過全方位、多層次的防病毒系統(tǒng)的配置,定期或不定期地動升級,保護局域網(wǎng)免受病毒的侵襲。
2.2.2防火墻技術(shù)
防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ);上的應(yīng)用性安全技術(shù),越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境巾,尤其以接入lnlernel網(wǎng)絡(luò)的局域網(wǎng)為典型。防火墻是網(wǎng)絡(luò)安全的屏障:一個防火墻能檄大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,通過過濾不安全的服務(wù)而降低風(fēng)險。南于只有經(jīng)過精心選擇的應(yīng)州協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻可以強化網(wǎng)絡(luò)安全策略:通過以防火墻為中心的安全方案配置,能將所有安全軟件如口令、加密、身份認證、審計等配置在防火墻上。對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計:如果所有的訪問都經(jīng)過防火墻,那么防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。
防火墻技術(shù)是企業(yè)內(nèi)外部網(wǎng)絡(luò)問非常有效的一種實施訪問控制的手段,邏輯上處于內(nèi)外部網(wǎng)之問,確保內(nèi)部網(wǎng)絡(luò)正常安全運行的一組軟硬件的有機組合,川來提供存取控制和保密服務(wù)。存引人防火墻之后,局域網(wǎng)內(nèi)網(wǎng)和外部網(wǎng)之問的通信必須經(jīng)過防火墻進行,某局域網(wǎng)根據(jù)網(wǎng)絡(luò)決策者及網(wǎng)絡(luò)擘家共同決定的局域網(wǎng)的安全策略來設(shè)置防火墻,確定什么類型的信息可以通過防火墻??梢姺阑饓Φ穆氊熅褪歉鶕?jù)規(guī)定的安全策略,對通過外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的信息進行檢企,符合安全策略的予以放行,不符合的不予通過。
防火墻是一種有效的安全工具,它對外屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問。但是它仍有身的缺陷,對于內(nèi)部網(wǎng)絡(luò)之問的入侵行為和內(nèi)外勾結(jié)的入侵行為很難發(fā)覺和防范,對于內(nèi)部網(wǎng)絡(luò)之間的訪問和侵害,防火墻則得無能為力。
2.2.3漏洞掃描技術(shù)
漏洞掃描技術(shù)是要弄清楚網(wǎng)絡(luò)巾存在哪些安全隱患、脆弱點,解決網(wǎng)絡(luò)層安全問題。各種大型網(wǎng)絡(luò)不僅復(fù)雜而且不斷變化,僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗尋找安全漏洞、做出風(fēng)險評估得很不現(xiàn)實。要解決這一問題,必須尋找一種能金找網(wǎng)絡(luò)安全漏洞、評估并提…修改建議的網(wǎng)絡(luò)安全掃描工具,利刖優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。存網(wǎng)絡(luò)安全程度要水不高的情況下,可以利用各種黑客工具對網(wǎng)絡(luò)實施模擬攻擊,暴露出:網(wǎng)絡(luò)的漏洞,冉通過相關(guān)技術(shù)進行改善。
2.2.4密碼技術(shù)
密碼技術(shù)是信息安全的核心與關(guān)鍵。密碼體制按密鑰可以分為對稱密碼、非對稱密碼、混合密碼3種體制。另外采用加密技術(shù)的網(wǎng)絡(luò)系統(tǒng)不僅不需要特殊網(wǎng)絡(luò)拓撲結(jié)構(gòu)的支持,而且在數(shù)據(jù)傳輸過程巾也不會對所經(jīng)過網(wǎng)絡(luò)路徑的安全程度做出要求,真正實現(xiàn)了網(wǎng)絡(luò)通信過程端到端的安全保障。非對稱密碼和混合密碼是當前網(wǎng)絡(luò)信息加密使川的主要技術(shù)。
信息加密技術(shù)的功能主要是保護計算機網(wǎng)絡(luò)系統(tǒng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息等網(wǎng)絡(luò)資源的安全。信息加密的方法有3種,一是網(wǎng)絡(luò)鏈路加密方法:目的是保護網(wǎng)絡(luò)系統(tǒng)節(jié)點之間的鏈路信息安全;二是網(wǎng)絡(luò)端點加密方法:目的是保護網(wǎng)絡(luò)源端川戶到口的川戶的數(shù)據(jù)安全;二是網(wǎng)絡(luò)節(jié)點加密方法:目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護川戶可以根據(jù)實際要求采川不同的加密技術(shù)。
2.2.5入侵檢測技術(shù)。
入侵檢測系統(tǒng)對計算機和網(wǎng)絡(luò)資源上的惡意使川行為進行識別和響應(yīng)。入侵檢測技術(shù)同時監(jiān)測來自內(nèi)部和外部的人侵行為和內(nèi)部剛戶的未授權(quán)活動,并且對網(wǎng)絡(luò)入侵事件及其過程做fIj實時響應(yīng),是維護網(wǎng)絡(luò)動態(tài)安全的核心技術(shù)。入侵檢測技術(shù)根據(jù)不同的分類標準分為基于行為的入侵檢測和基于知識的人侵檢測兩類。根據(jù)使用者的行為或資源使狀況的正常程度來判斷是否發(fā)生入侵的稱為基于行為的入侵檢測,運用已知的攻擊方法通過分析入侵跡象來加以判斷是否發(fā)生入侵行為稱為基于知識的入侵檢測。通過對跡象的分析能對已發(fā)生的入侵行為有幫助,并對即將發(fā)生的入侵產(chǎn)生警戒作用
為了適應(yīng)網(wǎng)絡(luò)發(fā)展和傳輸流量提高的需求,傳輸系統(tǒng)供應(yīng)商都在技術(shù)開發(fā)上不懈努力。富士通公司在150km、1.3μm零色散光纖上進行了55x20Gbit/s傳輸?shù)难芯?,實現(xiàn)了1.1Tbit/s的傳輸。NEC公司進行了132x20Gbit/s、120km傳輸?shù)难芯浚瑢崿F(xiàn)了2.64Thit/s的傳輸。NTT公司實現(xiàn)了3Thit/s的傳輸。目前,以日本為代表的發(fā)達國家,在光纖傳輸方面實現(xiàn)了10.96Thit/s(274xGbit/s)的實驗系統(tǒng),對超長距離的傳輸已達到4000km無電中繼的技術(shù)水平。在光網(wǎng)絡(luò)方面,光網(wǎng)技術(shù)合作計劃(ONTC)、多波長光網(wǎng)絡(luò)(MONET)、泛歐光子傳送重疊網(wǎng)(PHOTON)、泛歐光網(wǎng)絡(luò)(OPEN)、光通信網(wǎng)管理(MOON)、光城域通信網(wǎng)(MTON)、波長捷變光傳送和接入網(wǎng)(WOTAN)等一系列研究項目的相繼啟動、實施與完成,為下一代寬帶信息網(wǎng)絡(luò),尤其為承載未來IP業(yè)務(wù)的下一代光通信網(wǎng)絡(luò)奠定了良好的基礎(chǔ)。
(一)復(fù)用技術(shù)
光傳輸系統(tǒng)中,要提高光纖帶寬的利用率,必須依靠多信道系統(tǒng)。常用的復(fù)用方式有:時分復(fù)用(TDM)、波分復(fù)用(WDM)、頻分復(fù)用(FDM)、空分復(fù)用(SDM)和碼分復(fù)用(CDM)。目前的光通信領(lǐng)域中,WDM技術(shù)比較成熟,它能幾十倍上百倍地提高傳輸容量。
(二)寬帶放大器技術(shù)
摻餌光纖放大器(EDFA)是WDM技術(shù)實用化的關(guān)鍵,它具有對偏振不敏感、無串擾、噪聲接近量子噪聲極限等優(yōu)點。但是普通的EDFA放大帶寬較窄,約有35nm(1530~1565nm),這就限制了能容納的波長信道數(shù)。進一步提高傳輸容量、增大光放大器帶寬的方法有:(1)摻餌氟化物光纖放大器(EDFFA),它可實現(xiàn)75nm的放大帶寬;(2)碲化物光纖放大器,它可實現(xiàn)76nm的放大帶寬;(3)控制摻餌光纖放大器與普通的EDFA組合起來,可放大帶寬約80nm;(4)拉曼光纖放大器(RFA),它可在任何波長處提供增益,將拉曼放大器與EDFA結(jié)合起來,可放大帶寬大于100nm。
(三)色散補償技術(shù)
對高速信道來說,在1550nm波段約18ps(mmokm)的色散將導(dǎo)致脈沖展寬而引起誤碼,限制高速信號長距離傳輸。對采用常規(guī)光纖的10Gbit/s系統(tǒng)來說,色散限制僅僅為50km。因此,長距離傳輸中必須采用色散補償技術(shù)。
(四)孤子WDM傳輸技術(shù)
超大容量傳輸系統(tǒng)中,色散是限制傳輸距離和容量的一個主要因素。在高速光纖通信系統(tǒng)中,使用孤子傳輸技術(shù)的好處是可以利用光纖本身的非線性來平衡光纖的色散,因而可以顯著增加無中繼傳輸距離。孤子還有抗干擾能力強、能抑制極化模色散等優(yōu)點。色散管理和孤子技術(shù)的結(jié)合,凸出了以往孤子只在長距離傳輸上具有的優(yōu)勢,繼而向高速、寬帶、長距離方向發(fā)展。
(五)光纖接入技術(shù)
隨著通信業(yè)務(wù)量的增加,業(yè)務(wù)種類更加豐富。人們不僅需要語音業(yè)務(wù),而且高速數(shù)據(jù)、高保真音樂、互動視頻等多媒體業(yè)務(wù)也已得到用戶青睞。這些業(yè)務(wù)不僅要有寬帶的主干傳輸網(wǎng)絡(luò),用戶接人部分更是關(guān)鍵。傳統(tǒng)的接入方式已經(jīng)滿足不了需求,只有帶寬能力強的光纖接人才能將瓶頸打開,核心網(wǎng)和城域網(wǎng)的容量潛力才能真正發(fā)揮出來。光纖接入中極有優(yōu)勢的PON技術(shù)早就出現(xiàn)了,它可與多種技術(shù)相結(jié)合,例如ATM、SDH、以太網(wǎng)等,分別產(chǎn)生APON、GPON和EPON。由于ATM技術(shù)受到IP技術(shù)的挑戰(zhàn)等問題,APON發(fā)展基本上停滯不前,甚至走下坡路。但有報道指出由于ATM交換在美國廣泛應(yīng)用,APON將用于實現(xiàn)FITH方案。GPON對電路交換性的業(yè)務(wù)支持最有優(yōu)勢,又可充分利用現(xiàn)有的SDH,但是技術(shù)比較復(fù)雜,成本偏高。EPON繼承了以太網(wǎng)的優(yōu)勢,成本相對較低,但對TDM類業(yè)務(wù)的支持難度相對較大。所謂EPON就是把全部數(shù)據(jù)裝在以太網(wǎng)幀內(nèi)傳送的網(wǎng)絡(luò)技術(shù)?,F(xiàn)今95%的局域網(wǎng)都使用以太網(wǎng),所以選擇以太網(wǎng)技術(shù)應(yīng)用于對IP數(shù)據(jù)最佳的接入網(wǎng)是很合乎邏輯的,并且原有的以太網(wǎng)只限于局域網(wǎng),而且MAC技術(shù)是點對點的連接,在和光傳輸技術(shù)相結(jié)合后的EPON不再只限于局域網(wǎng),還可擴展到城域網(wǎng),甚至廣域網(wǎng),EPON眾多的MAC技術(shù)是點對多點的連接。另外光纖到戶也采用EPON技術(shù)。
二、光纖通信技術(shù)的發(fā)展趨勢
對光纖通信而言,超高速度、超大容量、超長距離一直都是人們追求的目標,光纖到戶和全光網(wǎng)絡(luò)也是人們追求的夢想。
(一)光纖到戶
現(xiàn)在移動通信發(fā)展速度驚人,因其帶寬有限,終端體積不可能太大,顯示屏幕受限等因素,人們依然追求陸能相對占優(yōu)的固定終端,希望實現(xiàn)光纖到戶。光纖到戶的魅力在于它有極大的帶寬,它是解決從互聯(lián)網(wǎng)主干網(wǎng)到用戶桌面的“最后一公里”瓶頸現(xiàn)象的最佳方案。隨著技術(shù)的更新?lián)Q代,光纖到戶的成本大大降低,不久可降到與DSL和HFC網(wǎng)相當,這使FITH的實用化成為可能。據(jù)報道,1997年日本NTT公司就開始發(fā)展FTTH,2000年后由于成本降低而使用戶數(shù)量大增。美國在2002年前后的12個月中,F(xiàn)TTH的安裝數(shù)量增加了200%以上。在我國,光纖到戶也是勢在必行,光纖到戶的實驗網(wǎng)已在武漢、成都等市開展,預(yù)計2012年前后,我國從沿海到內(nèi)地將興起光纖到戶建設(shè)??梢哉f光纖到戶是光纖通信的一個亮點,伴隨著相應(yīng)技術(shù)的成熟與實用化,成本降低到能承受的水平時,F(xiàn)TTH的大趨勢是不可阻擋的。
(二)全光網(wǎng)絡(luò)
傳統(tǒng)的光網(wǎng)絡(luò)實現(xiàn)了節(jié)點間的全光化,但在網(wǎng)絡(luò)結(jié)點處仍用電器件,限制了目前通信網(wǎng)干線總?cè)萘康奶岣?,因此真正的全光網(wǎng)絡(luò)成為非常重要的課題。全光網(wǎng)絡(luò)以光節(jié)點代替電節(jié)點,節(jié)點之間也是全光化,信息始終以光的形式進行傳輸與交換,交換機對用戶信息的處理不再按比特進行,而是根據(jù)其波長來決定路由。全光網(wǎng)絡(luò)具有良好的透明性、開放性、兼容性、可靠性、可擴展性,并能提供巨大的帶寬、超大容量、極高的處理速度、較低的誤碼率,網(wǎng)絡(luò)結(jié)構(gòu)簡單,組網(wǎng)非常靈活,可以隨時增加新節(jié)點而不必安裝信號的交換和處理設(shè)備。當然全光網(wǎng)絡(luò)的發(fā)展并不可能獨立于眾多通信技術(shù),它必須要與因特網(wǎng)、ATM網(wǎng)、移動通信網(wǎng)等相融合。目前全光網(wǎng)絡(luò)的發(fā)展仍處于初期階段,但已顯示出良好的發(fā)展前景。從發(fā)展趨勢上看,形成一個真正的、以WDM技術(shù)與光交換技術(shù)為主的光網(wǎng)絡(luò)層,建立純粹的全光網(wǎng)絡(luò),消除電光瓶頸已成未來光通信發(fā)展的必然趨勢,更是未來信息網(wǎng)絡(luò)的核心,也是通信技術(shù)發(fā)展的最高級別,更是理想級別。
三、結(jié)語
一、課題目的和意義
計算機網(wǎng)絡(luò)課程是計算機科學(xué)與技術(shù)專業(yè)的重要實踐課程,是培養(yǎng)學(xué)生理論聯(lián)系實踐的重要課程。由于計算機發(fā)展迅速,本課程知識更新太快,要求在學(xué)習(xí)中以教材為藍本,增加新的內(nèi)容,以提高學(xué)生的適應(yīng)和應(yīng)變能力。精品課程的建設(shè)可以讓更優(yōu)質(zhì)的的教學(xué)在網(wǎng)絡(luò)中展示,本課題添加的動態(tài)題庫可以及時更新教學(xué)信息,適應(yīng)時代的發(fā)展,知識的更新為貫徹落實黨的十六大精神,實踐"三個代表"重要思想,切實推進教育創(chuàng)新,深化教學(xué)改革,促進現(xiàn)代信息技術(shù)在教學(xué)中的應(yīng)用,共享優(yōu)質(zhì)教學(xué)資源,進一步促進優(yōu)秀資源共享,全面提高教育教學(xué)質(zhì)量,造就數(shù)以千萬計的專門人才和一大批拔尖創(chuàng)新人才,提升我國高等教育的綜合實力和國際競爭能力。教育部規(guī)定精品課程是具有一流教師隊伍、一流教學(xué)內(nèi)容、一流教學(xué)方法、一流教材、一流教學(xué)管理等特點的示范性課程。精品課程建設(shè)是高等學(xué)校教學(xué)質(zhì)量與教學(xué)改革工程的重要組成部分。
精品課程建設(shè)是一項綜合系統(tǒng)工程,本課題其中包括以下十二方面內(nèi)容:師資力量教學(xué)視頻,教學(xué)大綱,習(xí)題選編,bbs論壇,負責人,課程信息,教學(xué)課件,教學(xué)參考,友情鏈接,動態(tài)試題,和實驗教學(xué)。
國家精品課程資源的共享服務(wù)和可持續(xù)發(fā)展問題的解決,可以使教學(xué)資源建設(shè)和應(yīng)用走向相互支持、相互促進的良性循環(huán),從而為高等教育信息化提供豐富的資源基礎(chǔ),促進高等教育在方法、模式等方面的改革和發(fā)展,提高高等教育質(zhì)量,為高等教育大眾化提供有力的支撐本課程主要目的是使學(xué)生了解計算機網(wǎng)絡(luò)的基本知識,掌握計算機網(wǎng)絡(luò)的基本概念和應(yīng)用技術(shù)。教學(xué)任務(wù)是通過學(xué)習(xí)能夠使學(xué)生對計算機網(wǎng)絡(luò)從整體上有一個全面、系統(tǒng)的了解,讓學(xué)生掌握計算機網(wǎng)絡(luò)的基礎(chǔ)知識。包括計算機網(wǎng)絡(luò)的組成分類,osi/iso模型、tc/ip模型,局域網(wǎng)標準及主流局域網(wǎng)技術(shù),windows 2017 server組網(wǎng)技術(shù)internet網(wǎng)絡(luò)技術(shù),廣域網(wǎng)技術(shù),網(wǎng)絡(luò)安全知識等技術(shù),初步培養(yǎng)學(xué)生對局域網(wǎng)的構(gòu)建、管理、維護及應(yīng)用的能力,并且了解網(wǎng)絡(luò)新技術(shù)的最新發(fā)展。
隨著教育信息化進程的加快,精品課程網(wǎng)站如雨后春筍般涌現(xiàn),構(gòu)成了網(wǎng)絡(luò)教育信息資源的重要組成部分。然而,作為一個相對嶄新的領(lǐng)域,目前的精品課程網(wǎng)站建設(shè)還處于起步階段,網(wǎng)站數(shù)量多、種類雜,質(zhì)量參差不齊,因此,對精品課程網(wǎng)站進行科學(xué)合理的評價就顯得尤為重要。本研究通過分析當前我國高校精品課程網(wǎng)站發(fā)展和評價的現(xiàn)狀,借鑒國內(nèi)外網(wǎng)站評價的模式和方法,嘗試提出一套適合我國國情的高校精品課程網(wǎng)站評價指標體系。本課題特別設(shè)立了動態(tài)題庫以供教學(xué)參考和同學(xué)們的自我測試以提高自我學(xué)習(xí)成績。bbs的加入可以讓同學(xué)零距離接觸優(yōu)秀教授,在論壇中可以交流經(jīng)驗,提出問題,回答問題。
總之,精品課程在今后社會的發(fā)展過程中不再僅僅是一個教學(xué)平臺,也不再是簡簡單單的教學(xué)演示,它將成為一種精神、一種生活融入到教學(xué)的各個領(lǐng)域。所以精品課程的開發(fā)將對教學(xué)有著重大的意義。
二、文獻綜述(課題的應(yīng)用背景和前景)
在國內(nèi)和國外有很多種的精品課程網(wǎng)站,大部分人都接觸到這種系統(tǒng),幾乎每個學(xué)校都有自己的精品課程網(wǎng)站[8]。尤其是在大學(xué)當中,華東師范大學(xué)的精品課程網(wǎng)站就做的比較好。很多的學(xué)校都很需要這樣的系統(tǒng)為他們的教學(xué)服務(wù),使他們的教育質(zhì)量和教學(xué)水平有一些改觀。在這些系統(tǒng)中不乏有很好的系統(tǒng),他們很多都是采用的最先進的技術(shù),功能也相對完善,可以說在這個領(lǐng)域國內(nèi)已經(jīng)和世界上的水平差不多了。
教育信息化是全世界范圍內(nèi)教育發(fā)展和改革的主題之一。我國政府非常重視教育信息化建設(shè),并將其列為教育部《2017~2017年教育振興行動計劃》中的六項重點工程之一,顯然也是國家信息化的重要組成部分。精品課程建設(shè)工程作為高等學(xué)校教學(xué)質(zhì)量與教學(xué)改革工程的重要組成部分,其適時的推出,不僅具有極強的針對性,而且還是一個具有戰(zhàn)略意義的重大舉措。教育部高教司張堯?qū)W司長指出,精品課程建設(shè)的目的就是要“推動優(yōu)質(zhì)教育資源的共享,使學(xué)生得到最好的教育,從而達到全面提高教育教學(xué)質(zhì)量的目的”。因此,精品課程建設(shè)工作不僅要做好申報、評選,更重要的是實現(xiàn)精品課程資源的共享。