局域網技術論文范例6篇

前言：中文期刊網精心挑選了局域網技術論文范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

局域網技術論文范文1

在計算機網絡設計活動中，關系數據庫技術是一種輔助手段，為計算機網絡設計活動提供數據支持。在計算機網絡設計活動中，關系數據庫的巨大容量和包含數據信息種類的多元性，為計算機網絡設計活動提供了充分的數據資源支持。在關系數據庫的運用活動中，使用者只需要在關系數據庫中進行數據的賦值就可以進行關系數據的存取和調用活動，讓網絡設計活動中遇到的數據和數值問題能夠得到及時、有效的解決。而在傳統的數據庫運行活動中，數據庫的錄入和調用需要借助人工操作來完成，這種數據庫運行模式不僅極大的浪費了人力資源，而且在數據運行的效率和質量上也有很大的缺陷，經常會導致數據的輸入、輸出環節出現錯誤，甚至會極大的拖延網絡設計活動的進程。當采用關系數據庫以后，數據庫以網絡設計活動為服務對象，對內部的數據信息內容進行了關聯化的處理，讓數據庫由過去的數據堆積體衍變成為一種數據的有機管理主體，內部的網絡設計數據與常用的數據關系連接起來，并采用基于可擴展語言設計了數據庫與使用者之間的信息交互界面，讓關系數據庫可以與使用者進行數據關系形式的交流，并根據使用者的數據要求對內部數據信息進行整理、關聯。實現了計算機網絡設計活動數據管理的智能化。

2關系數據庫技術在計算機網絡設計中的基本原理

在計算機網絡技術發展的過程中，數據庫技術存在著眾多的種類，其中根據數據庫模型的運行模式可以分為：網狀模型數據庫技術、層次模型數據庫技術以及關系數據模型數據庫技術。這些數據庫技術在不同的計算機網絡設計活動中有各自的優勢，其中關系數據模型數據庫技術，以其完美的數據連結技術和高度的數據模型適應性，成為計算機網絡設計活動中通用的一種數據庫技術。其在運行過程中展示出的完善的數據連結性，能夠在計算機網絡設計活動中，對任何相關的計算機網絡數據進行關聯，并能夠在一定數據基礎上對多種數據進行綜合性的關系鏈接。這種數據信息服務的全面性和數據鏈接服務形式的多樣性，能夠極大的滿足計算機網絡設計活動中多樣化的數據信息需求，所以在具體的計算機網絡設計活動中成為使用者首選的數據庫類型，被廣泛的應用于計算機網絡設計中。計算機網絡設計活動是一個復雜、系統的工程性活動，在其運行活動中要求下屬的各個模塊都要最大程度上的兼具數據信息服務的全面性和便捷性。在關系數據庫中這一系統要求被很好的體現了出來，關系數據庫擁有自己管理信息交互平臺，能夠基于C語言等網絡編程語言與使用者進行數據庫信息的交流，提高了數據庫使用的便捷性和全面性。在計算機數據庫軟件系統結構中包含著兩個數據庫訪問系統，一個是開放數據庫連接性（ODBC），一個是數據訪問對象（DAO），這兩個數據庫訪問系統相互獨立，能夠單獨向用戶提供數據信息服務。其中ODBC不僅能夠基于SQL語言與使用者進行數據信息交互，而且對C語言和SQL數據庫之間的訪問機制進行了定義，讓使用者可以通過C語言這樣一種計算機網絡設計活動中常見的語言形式與數據庫進行信息交互，保證了關系數據庫對計算機網絡設計活動數據信息交互，讓計算機網絡設計人員能夠通過其最常用的信息交互方式與關系數據庫進行交流，保證了關系數據庫與計算機網絡設計活動積極、有效的互動。DAO為計算機網絡設計提供了數據庫機制，這一機制是從關系數據庫的整體出發對關系數據庫內部組成部分和內容的一種規范。當一個關系數據庫體系結構由多個DAO構成時，DAO自身的數據庫管理機制就會發揮作用，從DAO自身的數據資源特點出發，對關系數據庫整體進行協同管理，保證整個關系數據庫的數據信息服務的高效進行。DAO的這種自我管理機制和其自身的數據訪問對象本質是相互分離的，在具體的管理活動中自我管理機制和數據訪問對象能夠進行各自獨立的管理，讓每一個DAO都可以在保證自身數據訪問對象性質的基礎上，同時實現自身和DAO群體的管理，這種各自獨立的數據訪問對象管理和運行管理，在保證DAO數據服務對象專業性的同時，也方便了自身的升級改造。而且在關系數據庫運行活動中，DAO可以鏈接相應的網絡數據庫，實現數據資源的網絡化共享和管理。

3關系數據庫在計算機網絡設計中的優勢

關系數據庫在計算機網絡設計中具有強大的數據存儲功能，以及簡便的數據轉換功能等強大的優勢，以下將對關系數據庫在計算機網絡設計中的優勢進行詳細的闡述。

3.1強大的數據存儲功能

強大的數據存儲功能，是關系數據庫在計算機網絡設計活動中運用的主要優勢。隨著計算機網絡設計應用范圍的不斷擴大，計算機網絡設計活動的內容含量越來越大，內容的組成形式也變得越來越復雜，面對計算機網絡設計活動這樣一種發展趨勢，相應的關系數據庫的數據儲存能力和數據管理能力變得極為重要。關系數據庫的應用，不僅能夠對計算機網絡設計活動中需求和產生的大量計算機網絡設計數據進行及時的存儲，而且能夠借助內部管理機制的幫助，對這些數據進行有效、準確的規劃和管理。關系數據庫的應用讓計算機網絡設計活動的數據管理環節，成為計算機網絡設計環節的一個效率增長點。在具體的操作活動中計算機網絡設計人員，可以利用數據庫強大的數據存儲功能將設備參數輸入到網絡拓撲結構中，進而借助網絡拓撲結構對關系數據庫進行高效、快捷的操作。如果不能有效的利用關系數據庫的輔助作用，有效管理復雜的數據信息，那么計算機網絡設計勢必會陷入困境中。

3.2簡便的數據轉換功能

關系數據庫在計算機網絡設計活動中的優勢，還體現在不同數據之間的轉換功能。在計算機網絡設計活動中，因為設計活動本身可能會涉及到社會經濟的各個領域，自身的設計形式也會因為網絡設計目標的不同而大相徑庭，在計算機網絡設計活動中，計算機網絡設計的數據從呈現形式和傳遞方式上都是有本質上的不同的，所以在對計算機網絡設計數據進行管理的時候，不同數據之間的轉換是一個關鍵性的問題，只有解決了計算機網絡設計活動中的數據轉換和數據轉換效率的問題，才能促進計算機網絡設計活動高效進行。關系數據庫在計算機網絡設計活動中的應用在一定程度上解決了這一關鍵性問題，因為關系數據庫本身存在的關聯性，就是要從兩組不同數據中尋找共同點，并基于這些共同點建立二者之間的普遍聯系，關系數據庫的這種工作機制，在不同形式的數據之間的轉換活動中也有積極的作用。數據的兩種不同呈現形式本質上也是兩種不同數據之間聯系的一種體現，二者之間本質內容和內在邏輯的聯系是普遍存在的。關系數據庫可以根據這一特點，結合自身的工作機制，對二者進行本質上的聯系，這樣一種在計算機網絡設計活動中復雜無比的問題，在關系數據庫的參與下立刻變得可實現、可操作。關系數據庫的存在只是解決了計算機網絡設計活動數據轉化能力的有無問題，只有強化計算機網絡設計活動中數據轉化能力的效率和便捷性，才能在網絡設計的實際工作中起到更加積極的效果。所以在關系數據庫的建立健全活動中，對其自身的數據轉換能力的強化，是關系數據庫發展完善的未來方向。這一改進必須要將關系數據庫的數據轉化能力與關系數據庫的信息交互系統結合起來，保證使用者對關系數據庫的數據轉換能力有更加直接的參與和應用，同時要結合計算機網絡設計活動發展的實際，對網絡設計活動中可能會涉及到的數據呈現形式進行系統、詳細的統計，并在關系數據庫中對這些數據的呈現形式進行廣泛的應用。具體而言，就是要在關系數據庫中，對計算機網絡設計活動中可能會涉及到的數據呈現形式進行定義，并設置相應的數據轉化機制，在對數據信息進行存儲時，盡量選擇應用范圍最廣的數據呈現形式進行存儲，以最大限度的保證計算機網絡設計活動的數據需求，同時也要定義好各種數據呈現形式的轉化機制，在使用者產生特殊的數據呈現形式需求時，能夠運用相應的數據轉換機制，進行數據呈現形式的轉換，以保證計算機網絡設計活動的高效進行。

4結束

局域網技術論文范文2

[論文摘要]對無線局域網的安全研究進行分析，首先對安全性的問題作出簡介，并在接下來的內容中描述其研究的進展和研究的必要性。最后給對無線局域網的安全缺陷和相應的保障策略進行分析。

一、簡介

無線局域網[1]是在有線網絡上發展起來的，是無線傳輸技術在局域網技術上的運用，而其大部分應用也是有線局域網的體現。由于無線局域網在諸多領域體現出的巨大優勢，因此對無線局域網絡技術的研究成為了廣大學者研究的熱點。無線局域網具有組網靈活、接入簡便和適用范圍廣泛的特點，但由于其基于無線路徑進行傳播，因此傳播方式的開放性特性給無線局域網的安全設計和實現帶來了很大的問題。目前無線局域網的主流標準為IEEE802.11，但其存在設計缺陷，缺少密鑰管理，存在很多安全漏洞。本文針對IEEE802.11的安全性缺陷問題進行分析，并在此基礎上對無線局域網的安全研究做出分析。

二、無線局域網安全研究的發展與研究必要性

無線局域網在帶來巨大應用便利的同時，也存在許多安全上的問題。由于局域網通過開放性的無線傳輸線路傳輸高速數據，很多有線網絡中的安全策略在無線方式下不再適用，在無線發射裝置功率覆蓋的范圍內任何接入用戶均可接收到數據信息，而將發射功率對準某一特定用戶在實際中難以實現。這種開放性的數據傳輸方式在帶來靈便的同時也帶來了安全性方面的新的挑戰[3]。

IEEE標準化組織在802.11標準之后，也已經意識到其固有的安全性缺陷，并針對性的提出了加密協議（如WEP）來實現對數據的加密和完整性保護。通過此協議保證數據的保密性、完整性和提供對無線局域網的接入控制。但隨后的研究表明，WEP協議同樣存在致命性的弱點。為了解決802.11中安全機制存在的嚴重缺陷，IEEE802.11工作組提出了新的安全體系，并開發了新的安全標準IEEE802.11i，其針對WEP機密機制的各種缺陷作了多方面的改進，并定義了RSN（RobustSecurityNetwork）的概念，增強了無線局域網的數據加密和認證性能。IEEE802.11i建立了新的認證機制，重新規定了基于802.1x的認證機制，主要包括TKIP（TemporalKeyIntegri

tyProtoco1），CCMP（CounterCBCMACProtoco1）和WRAP（WirelessRobustAuthenticatedProtoco1）等3種加密機制，同時引入了新的密鑰管理機制，也提供了密鑰緩存、預認證機制來支持用戶的漫游功能，從而大幅度提升了網絡的安全性。

三、無線局域網的安全現狀及安全性缺陷

由于無線局域網采用公共的電磁波作為載體，傳輸信息的覆蓋范圍不好控制，因此對越權存取和竊聽的行為也更不容易防備。具體分析，無線局域網存在如下兩種主要的安全性缺陷[3]：

（一）靜態密鑰的缺陷

靜態分配的WEP密鑰一般保存在適配卡的非易失性存儲器中，因此當適配卡丟失或者被盜用后，非法用戶都可以利用此卡非法訪問網絡。除非用戶及時告知管理員，否則將產生嚴重的安全問題。及時的更新共同使用的密鑰并重新新的密鑰可以避免此問題，但當用戶少時，管理員可以定期更新這個靜態配置的密鑰，而且工作量也不大。但是在用戶數量可觀時，即便可以通過某些方法對所有AP（接入點）上的密鑰一起更新以減輕管理員的配置任務，管理員及時更新這些密鑰的工作量也是難以想像的。

（二）訪問控制機制的安全缺陷

1．封閉網絡訪問控制機制：幾個管理消息中都包括網絡名稱或SSID，并且這些消息被接入點和用戶在網絡中廣播，并不受到任何阻礙。結果是攻擊者可以很容易地嗅探到網絡名稱，獲得共享密鑰，從而連接到“受保護”的網絡上。

2．以太網MAC地址訪問控制表：MAC地址很容易的就會被攻擊者嗅探到，如激活了WEP，MAC地址也必須暴露在外；而且大多數的無線網卡可以用軟件來改變MAC地址。因此，攻擊者可以竊聽到有效的MAC地址，然后進行編程將有效地址寫到無線網卡中，從而偽裝一個有效地址，越過訪問控制。

四、無線局域網安全保障策略

（一）SSID訪問控制

通過對多個無線接人點AP設置不同的SSID，并要求無線工作站出示正確的SSID才能訪問AP，這樣就可以允許不同群組的用戶接人，并對資源訪問的權限進行區別限制。

（二）MAC地址過濾

每個無線客戶端網卡都有唯一的一個物理地址，因此可以通過手工的方式在在AP中設置一組允許訪問的MAC地址列表，實現物理地址過濾。

（三）使用移動管理器

使用移動管理器可以用來增強無線局域網的安全性能，實現接入點的安全特性。移動管理器可以提高無線網絡的清晰度，當網絡出現問題時，它能產生告警信號通知網絡管理員，使其能迅速確定受到攻擊的接入點的位置。而且其降低接入點受到DOS攻擊和竊聽的危險，網絡管理員設置一個網絡行為的門限，這個門限在很大程度上減小了DOS攻擊的影響。通過控制接入點的配置，可以防止入侵者通過改變接入點配置而連接到網絡上。

（四）運用VPN技術

VPN技術的運用可以為無線網絡的安全性能提供保障。VPN技術通過三級安全保障：用戶認證、加密和數據認證來實現無線網絡的安全性保證。用戶認證確保只有已被授權的用戶才能夠進行無線網絡連接、發送和接收數據。加密確保即使攻擊者攔截竊聽到傳輸信號，沒有充足的時間和精力他也不能將這些信息解密。數據認證確保在無線網絡上傳輸的數據的完整性，保證所有業務流都是來自已經得到認證的設備。

五、結論

從本文的分析來看，在無線局域網的未來發展中，安全問題仍將是一個最重要的、迫切需要解決的問題。但這并不能限制無線局域網的迅猛發展。針對無線局域網的安全性研究仍將是一個熱點。我們有理由相信，隨著技術的成熟和無線網絡應用商業化進程的加快，工業界和研究者都將對無線局域網安全投入更多的關注，為用戶提供速率更快、安全性更高、應用更方便的無線局域網技術標準。

參考文獻：

[1]王慕東、宋承志,無線局域網的發展現狀及應用[J].中國現代教育裝備,2002,(12).

[2]陳鶴、曹科,無線局域網技術研究與安全管理[J].現代機械,2006,(04).

[3]萬泉、冉春玉、祁明龍、陳建軍,無線局域網技術[J].國外建材科技,2002,(03).

局域網技術論文范文3

論文關鍵詞：WLAN，LAN，混合組網，SSID，CMCC

 

一、概述

當前中國移動已成為全業務運營商，全業務接入的高帶寬需求，勢必要求一個豐富的網絡資源作為支持。在移動全業務發展初期，現有的光纖網絡覆蓋范圍、分布特點與終端業務用戶相去甚遠，WLAN作為一種技術成熟，用戶認知度較高的無線技術，為固定寬帶接入和移動數據業務形成一種有效的補充，一方面可以為固定寬帶接入業務提供最后一百米的無線延伸，使固定寬帶移動化，另一方面，可以有效緩解3G網絡在熱點區域的帶寬壓力。在接入具體全業務點的同時如何利用WLAN優勢，在實際組網過程中與用戶LAN進行混合組網，形成一個完整的解決方案也是值得我們研究的。

二、WLAN技術

無線局域網WLAN (Wireless Local Area Network)：以無線多址信道作為傳輸媒介，實現傳統有線局域網的功能。WLAN 定位為無線局域網技術，提供慢速和游牧移動狀態寬帶接入；WLAN既能彌補固定網絡的移動性不足計算機畢業論文，也能彌補移動網絡的寬帶性不足，其作為固定和移動網絡數據業務的補充，已得到全球廣大運營商的認可；同時WLAN能有效分流2G/3G 網絡數據流，降低2G/3G 網絡投資。具體實施過程中WLAN一般只要安裝一個或多個接入點設備。就可建立覆蓋整個建筑或地區的局域網絡，包括臨時組網與移動通信。不僅解決了有線LAN的大量有關組網與接入的難題，而且也方便地拓展了網絡信息服務的能力，對于“把信息資源貼近最終用戶”具有深遠的影響。

目前在全業務競爭中不僅要發展有線LAN的綜合接入，同時很多場合需要見縫插針的將WLAN網絡也建設進去。WLAN與LAN混合組網的優勢如下：

1．擴展了CMCC網絡覆蓋

目前CMCC的有線LAN接入，受到五類線傳輸距離、交換機布放位置、用戶要求上網信息點不固定的限制，網絡覆蓋范圍局限性較大。如在LAN建設中部分特殊區域的LAN交換機下掛數臺AP設備，就能很好的解決客戶的需求，擴展CMCC網絡的覆蓋范圍。

2．安裝便捷

一般在網絡建設中，施工周期最長、對周邊環境影響最大的，就是綜合布線施工工程。在施工過程中，往往需要破墻掘地、穿線架管畢業論文格式范文。而WLAN最大的優勢就是免去或減少了網絡布線的工作量，一般只要安裝一個或多個接入點 (AP) 設備，就可建立覆蓋整個建筑或地區的局域網絡。

3．全業務建設朝綜合接入方面發展

目前中國移動全業務的開展主要是安裝客戶的需求來進行的，客戶有寬帶或固話的需求，移動就為其提供相應的設備。這對于駐地網、本地網及設備的投資來說利用率均不高，移動以后在接入全業務客戶時，可考慮融合固話、有線寬帶、WLAN、以及今后的3G來給用戶綜合組網。這樣網絡建設能一次到位，各類資源的利用率也較高，且用戶認知度高，不易被其他運營商搶過去。

4．充分貫徹集團的TD+WLAN的方針

隨著移動3G業務的不斷開展，TD終端打破了傳統單一品種而出現了數據卡、上網本、無線固話與手機3+1的多個品種。當中移動將上網本作為3G網絡的主推業務，但是由于TD-HSDPA小區下載峰值速率和小區極限流量要趕超WCDMA和CDMA2000EV-DO的可能性是微乎其微，且TD類似于GSM的時分復用技術除了給TD帶來了頻譜利用率高的優點外，也讓TD留下了穿透性能差的終身烙印。測試過TD信號的人都有這樣的感覺，如果不做室內覆蓋的話，TD的室內信號很微弱。

因此計算機畢業論文，讓TD+WLAN雙層網絡來保證熱點區域，甚至用成本較低的WLAN為一般室內提供無線寬帶也是可取。在進行重要用戶覆蓋時，將TD-HSDPA網絡作為主體網絡，以WLAN網絡覆蓋方式對于部分室內熱點地區進行輔助補充，會取得較好的效果。

5．有效搶占頻率空間

WLAN頻點有限，在當前競爭異常激烈的電信市場，可能有許多地方WLAN的頻點早已被其他運營商占領，這確實是制約TD+WLAN發展的一大難題。本人認為可以通過以下的方式解決：TD主要特點是頻譜利用率高和穿透性能差，我們可以利用這兩大特點。頻譜利用率高，我國給TD預留的頻段達155M，TD頻率資源豐富；穿透性不強，不進行室內覆蓋的在樓內TD信號十分微弱，因此是否可以考慮在部分室內覆蓋定制TD頻段的WLAN設備呢？這里給WLAN的頻點完全可是TD的A或C頻段中的少許頻點，總之不要與現網B頻段的TD同鄰頻即可，或者也可以采用目前使用較少的5.8G頻段。

但是，WLAN產品比較昂貴，傳輸速度也比較慢。以太網可實現1Gbit/s的傳輸速度，而WLAN的傳輸速度被限制在1OMbit/s左右，市場上一般的無線網絡帶寬還達不到2Mbit/s。 因此，在開展WLAN+LAN混合組網業務時，也需注意創新WLAN的市場運營模式和WLAN的布放場景。

目前中國移動WLAN覆蓋建設原則為：

1．公共事業單位或者人口流動較多場所建議覆蓋

2．便攜機較多的企業單位建議覆蓋

3．用戶過小的場所不予覆蓋

WLAN接入的傳輸速度、帶寬及QoS都比不上有線的LAN接入，WLAN只是做為LAN接入的補充和延伸。因此目前全業務接入中采用GPON技術的LAN接入仍是主要接入方式。

三、WLAN+LAN混合組網案例分析

2010年8月，某縣衛生院的業務申請，客戶要求在其大院內開通局域網WLAN業務?？蛻粜枋褂迷揥LAN網絡組建自己的內部網絡，且要求通過該WLAN上外網。移動公司在接到用戶申請后，在其新樓3F安裝GPONONU設備1臺、WLAN局域網交換機1臺，在1F-3F的衛生間墻壁上各安裝AP設備1臺。在其舊樓2F安裝GPONONU設備1臺、WLAN局域網交換機1臺，在2F、3F各安裝AP設備1臺。AP設備通過五類線上聯到局域網交換機，再上聯到ONU，通過ONU匯聚到匯聚機房OLT上計算機畢業論文，最后上聯到互聯網。辦公樓內提供10M帶寬，同時使用WLAN進行了全覆蓋。

圖1 衛生院組網結構圖

為了提高WLAN使用效率，計劃將該醫院內部WLAN網絡對外開放，使普通移動用戶到衛生院附近時也能通過CMCC WLAN信號接入至公網，增加業務增長點。

但是普通用戶的接入會影響到衛生院內部網絡的上網速率、帶寬及影響內部網絡安全，因此需將普通用戶和衛生院內部用戶進行區分。通過采用了劃分不同SSID的方法來解決了這個問題畢業論文格式范文。

SSID（Service Set Identifier）也可以寫為ESSID，用來區分不同的網絡，最多可以有32個字符，無線網卡設置了不同的SSID就可以進入不同網絡，SSID通常由AP廣播出來，通過XP自帶的掃描功能可以相看當前區域內的SSID。出于安全考慮可以不廣播SSID，此時用戶就要手工設置SSID才能進入相應的網絡。簡單說，SSID就是一個局域網的名稱，只有設置為名稱相同SSID的值的電腦才能互相通信。

SSID技術可以將一個無線局域網分為幾個需要不同身份驗證的子網絡，每一個子網絡都需要獨立的身份驗證，只有通過身份驗證的用戶才可以進入相應的子網絡，防止未被授權的用戶進入本網絡。

因此，在遇到如衛生院此類用戶時，也可采用SSID技術來區分不同用戶。可將大橋衛生院自身無線寬帶用戶劃分到一個SSID內，另外再設置一個用于接入普通用戶的SSID（CMCC）。

為保證用戶自身無線寬帶用戶的網絡安全及用戶帶寬，可在AP上將前一個SSID設置為禁止廣播方式，且將用戶帶寬設置較高；將后一個SSID設置為廣播方式，將用戶帶寬設置較低。

衛生院單位內部用戶，使用SSID1接入，該SSID設置為禁止廣播方式，該用戶到CMNET用戶認證服務器認證；普通用戶使用SSID，該SSID設置為廣播方式，該用戶到WLAN用戶認證服務器認證。如圖二所示：

圖2 各種用戶認證及上網方式

四、WLAN+LAN混合組網業務的開展

隨著中國移動全業務的開展，以后像衛生院此類用戶需求會不斷增加。部分已采用移動LAN接入寬帶業務的用戶，如果該地區使用便攜機的流動人口較多(如醫院、賓館等)計算機畢業論文，也可考慮在該地區新增移動的WLAN設備，該WLAN可采用原有的移動LAN上聯到CMNET，這樣從合理利用設備資源和減少設備投資的方面考慮都有一定好處。

對原有LAN企業用戶加裝WLAN設備改造，可在建設時將該WLAN網絡設計成既能滿足該單位自身用戶的上網需求，又能兼顧普通用戶的漫游接入。原客戶自身WLAN用戶可采用個人用戶認證方式，提供給該單位一個隱藏的SSID及配套密碼，使用該SSID和密碼的用戶上聯到個人用戶認證服務器上進行認證和計費（企業SSID不考慮使用企業自身使用的固定公有IP地址是因為SSID的密碼存在被外來人員獲取的可能性，一旦SSID密碼被泄露，加上WLAN用戶的可移動性，對于追查用戶源有很大的不便，因此在這里考慮使用個人寬帶用戶認證方式，確保使用者的可追溯性）；而普通用戶則會通過無線網卡自動檢測到一個公開的SSID（CMCC），通過用戶的手機號碼及密碼來登錄。為保證普通用戶的接入不影響原單位用戶的網絡安全和帶寬，可限制公開的SSID的安全等級、接入數量和接入用戶帶寬。

另外，該單位的隱藏SSID及密碼需和該單位內建設的AP設備綁定，防止該SSID和密碼在其他WLAN地區也能接入。

參考文獻：

1.基于IEEE802.11b無線局域網支持QoS的盲檢測算法 《電路與系統學報》2009年2期趙忠偉；

2.應用于802.11e無線局域網QoS區分的新機制 《西安電子科技大學學報（自然科學版）》 2009年4期 張國鵬，趙力強，張海林；

3.一種新的WLAN接人安全性問題的解決方案 《江蘇通信技術》2005年1期 蔣鵬，劉尚東；

4.基于cdma2000網絡的FemtoCell組網測試分析 《電信科學》2009年4期 王思偉，劉源，董斌，周峰；

5.無線局域網協議分析系統的設計與實現《計算機工程》2008年22期吳亞軍，胡愛群，宋宇波。

局域網技術論文范文4

關鍵詞：圖書館網絡建設，安全維護

 

隨著高校圖書館數字化，自動化的發展，網絡系統已經成為圖書館業務運行的命脈，建設好、維護好圖書館的網絡關系到圖書館的發展和業務運行，同時也關系到信息資源的利用。

1、高校圖書館管理與服務對網絡的需求：

1.1、自動化管理業務對網絡的需求：現代高校圖書館斗已經實現了圖書采、編、流通的自動化管理，它需要網絡連接圖書館的各個業務終端，通過自動化管理軟件進行業務運行，如ilas系統 ,匯文系統等。除此之外還有無紙化公文傳出系統，學校資產管理系統，電子閱覽室管理系統，一卡通系統等，這些自動化管理系統都需要網絡的支持。這些網絡為了安全，有些都需要建成內部局域網，與互聯網進行物理隔斷。許多高校建設了新校區，多個校區圖書館網絡的互聯與安全問題也是自動化管理網路需要考慮的問題。

1.2 電子閱覽室網絡：電子閱覽室有大量的讀者用計算機，這些計算機需要連接圖書館的數據庫、學校校園網和校外的互聯網，通過網絡為讀者提供數據庫查閱，電子圖書閱讀，瀏覽網絡信息等服務。

1.3 數字圖書館對網絡的需求：數字圖書館的建設使讀者查可以通過網絡查閱圖書館的數字資源。數字圖書館服務是現代圖書館的新興業務，是圖書館業務的拓展。目前，高校圖書館都建立圖書館的門戶網站，作為數字圖書館的信息資源平臺。讀者可通過門戶網站查閱館藏書目信息，借閱記錄，網上續借；還可以查閱電子圖書，中外文數據庫，進行視頻點播，進行網上咨詢等。這就需要圖書館的相關設備和系統如數據庫服務器，WEB服務器，存儲系統等既連接內部網絡又連接校園網和互聯網。同時由于數據庫的知識產權保護，數據庫的訪問權限都限定在校園網內。為了使讀者在回家或出差（校園網外）也能查閱圖書館的電子資源，需要圖書館網絡具備專用VPN（虛擬專用網）通道，這樣讀者可以隨時隨地在網上查閱圖書館信息資源，享受數字圖書館提供的網絡服務。

2、圖書館網絡規劃

2.1更具用途和安全需求把網絡分成內外網（局域網）和不同的VLAN（虛擬局域網）

在圖書館網絡中,不同的系統對用戶身份、安全性認證和使用權限的要求都是不同的。為了防止數據信息遭到破壞、病毒擴散和黑客惡意攻擊,必須將多個應用系統劃分到不同的網段中隔離開來。不同網段間的訪問要遵循嚴格的限制。校園網及圖書館內部的訪問控制也是極重要的一個方面。劃分VLAN和IP子網,在IP子網間設置訪問控制表是解決內部安全問題的一個重要方法。免費論文參考網。例如：把圖書管理系統，一卡通系統這些圖書館內部使用的系統網路建成內部網絡與外部網絡物理隔離可以有效的防止攻擊和病毒。把電子閱覽室內網絡和辦公網絡，圖書館服務器所在的網絡劃分成不同的LAN限制不同LAN之間的通訊。

對于圖書館電子閱覽室這樣擁有幾百臺以上電腦的地方,劃分出不同的VLAN( VLAN即虛擬局域網,是個邏輯上的子網,它的劃分不受地域位置的限制)可以有效的防止廣播風暴造成網絡速度下降。同時也提高了網絡的安全性,增加了網絡鏈接的靈活性和集中化的管理控制。劃分VLAN的方式有基于交換端口的VLAN、基于MAC地址的VLAN、基于網絡層的VLAN等。免費論文參考網。圖書館用戶計算機的位置是固定的,局域網中路由協議比較單一,而且第一種基于交換端口的VLAN比較容易實現和管理,因此這種方式比較適合圖書館網絡。

2.2更具應用需求合理進行設備選擇

在整個圖書館網絡規劃布局中樓層之間、樓宇之間和校區之間的主干網絡要使用光纖連接，以保障可靠性和傳輸速度。其他的連接使用6類線，可以節約成本?？紤]到可靠性和可擴充性以及光纜不易抽頭的特點,目前圖書館網絡都選用星型結構。從核心交換機到匯聚層交換機、集線器,最后到用戶機整個局域網串聯的級數不宜過多,因此交換機和集線器的位置應選在比較適中的地方,以免與用戶機距離太遠而增加串聯級數。

交換機是交換網絡不可缺少的設備,它的選擇,也要根據具體情況。學校圖書館一般有幾百臺以上的用戶機,局域網內的數據流量非常大,通常核心交換機應該選擇三層交換機。三層交換機同時具有三層路由和二層交換功能,與二層交換機相比,還具有QoS(服務質量)的控制功能、訪問列表功能、組播功能、計費功能等。三層交換機還支持冗余通道,其背板帶寬決定了它有很高的數據處理能力, VLAN間的通信需要路由支持,路由器的數據交換能力差,不能滿足圖書館大數據流量的需要,而且開銷太大。三層交換機既有強大的數據交換能力,又具備三層路由功能,是局域網劃分VLAN的理想選擇。在選擇交換機時,最好核心交換機和二級交換機選用同一品牌的產品,這樣便于管理。關于交換機和防火墻的選型,要根據學校的投資預算,如果資金充足,選擇國外一些大公司像思科這類產品性能要好一些,否則選擇國內的某些品牌也不錯,價格要低很多。

圖書館局域網實際上是校園網的一個子網,因此可以通過防火墻、入侵檢測設備和校園網相連，用以防止外來黑客攻擊。對于圖書館來說,采用硬件防火墻可大大增加局域網的安全性。

服務器在網絡中承擔傳輸和處理大量數據的任務,要具備高可伸縮性、高可靠性、高可用性和高可管理性。就一般局域網而言,需要有自己的網站甚至郵件系統等等,這就需要web服務器和郵件服務器。作為高校圖書館的局域網,其最大特點就是擁有龐大的數據庫,因此數據庫服務器對圖書館是非常重要的。

2.3 VPN設備已經成為數字圖書館的重要設備

VPN的英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網絡”。免費論文參考網。顧名思義，虛擬專用網絡我們可以把它理解成是虛擬出來的內部專線。由于圖書館的數據庫受版權限制，只能在校園網內查閱，離開校園就無法查閱，給讀者帶來了極大的不便。目前解決這個問題主要有三種方式：服務器，遠程訪問軟件系統和硬件VPN設備。服務器和遠程訪問軟件速度較慢，兼容性也有待提高，而通過硬件VPN設備建立遠程訪問虛擬網，是一個比較理想的方式。

2.4 網絡存儲

網絡存儲系統對于具有龐大數據存儲的圖書館網絡來說是關鍵的。目前網絡存儲技術主要有DAS(DirectAttachedStorage)、NAS(Networks Attached Storage)、SAN(Storage AreaNetworks)和最新的IP網絡存儲技術。IP網絡存儲技術將是今后網絡存儲體系新的發展方向。與DAS和NAS相比,SAN的優勢在于它的高速度和可擴展性,對于數據增長快、對系統可用性、擴展性、數據訪問速度等要求較高的局域網,可以考慮選擇SAN。SAN(存儲區域網),即多個服務器通過光纖連接到光纖交換機,光纖交換機又通過光纖與多個光纖接口的磁盤設備相連。這種存儲網絡,主機系統和存儲設備均可以雙向靈活擴展,整個系統可以形成存儲共享的有機整體。同時,光纖的通道又為數據訪問提供了最高4GB的訪問帶寬,大大高于傳統的SCSI技術所提供的通道能力。

3、網絡安全與維護

實現圖書館網絡安全,包括以下幾方面：

3.1設備安全

在圖書館網絡規劃階段應該充分考慮到網絡設備的安全問題,根據網絡拓撲結構和網絡應用功能來配置服務器、選擇服務器的檔次及操作系統。為確保安全,圖書館網絡必須采用服務系統容錯機制,如服務器雙工、服務器群集、磁盤雙工、磁盤鏡像、RAID磁盤陣列等。

3.2口令安全管理

包括口令的選取、保存、更改周期、定期檢查及保密等內容。

3.3加密

保護信息系統的一個主要工具就是給系統加密或給數據加密,但仍保持其可恢復的形式。利用加密軟件,一個圖書館可以對電子郵件信息、文件和其他數據加密或編碼,這樣會使未經授權的用戶難以查看數據。為了進一步減少侵擾的風險,也可以對系統所有傳輸的內容加密,包括登錄名和口令等。

3.4身份鑒別

身份鑒別是指系統核實信息用戶是否合法身份的過程。對不同的用戶設置不同的權限，當一個用戶需求某項信息服務時,必須輸入自己的合法口令,然后在系統所規定的使用權限內,得到系統有效服務。設置身份鑒別是防止非法入侵者最基本的一種保護措施。

3.5防火墻

“防火墻”是一種形象的說法,它是一種由計算機硬件和軟件組成的一個或一組系統,用于增強內部網絡和Internet或其它外部網絡之間的訪問控制。具體地說,防火墻是設在被保護網絡和外部網絡之間的一道屏障,在外部網與內部網之間建立起一個安全網關,從而防止發生不可預測的、潛在破壞性的侵入,它可通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況,以此來實現網絡的安全保護。

3.6 網絡監控、管理

對網絡進行監控與管理是保障網絡正常運行的必要。監控管理內容包括：病毒，攻擊，流量，IP地址，訪問控制等。

可以購買網絡版殺毒軟件安裝在圖書館的計算機上，網絡版殺毒軟件功能強大，除了防病毒外，它具備對整個網絡的病毒監控能力。

通過入侵檢測設備或軟件監控外界對圖書館服務器的攻擊。

通過一些專用的軟件來監控管理網絡訪問。目前，市場上有許多收費和免費的管理軟件，它們都具備流量監控，訪問網址管理，流量限制，IP/MAC綁定等功能，合理的設置參數可以保障網絡的正常運行。

圖書館網絡建設是一個循序漸進的過程,在應用中不斷出現問題、解決問題,總結經驗,才能把圖書館網絡建設成一個高速、安全、穩定的局域網。

參考文獻:

[1]陳新健：校園網絡安全技術策略[J].電腦知識與技術,2007。.

[2] 周玉陶：中小型館局域網總線拓撲結構設計存在問題及改造方案.大學圖書館學報,1997(1)。

[3] 靳添博：高校校園網絡的安全管理研究[J].科技與管理,2005(5)。

[4]李圣良：基于校園網的網絡安全策略[J].網絡安全技術與應用,2005(10)。

[5]曉燕,劉彥保,李軍利：防火墻技術與校園網絡安全[J].延安大學學報,2004,23(4)。

[6]]沈建東：城域網設計中的一些問題.電信科學,1994(9)。

[7]姚作賓等：基于高速以太網技術的應用探討.東南大學學報(自然科學版),2003(9)。

局域網技術論文范文5

關鍵詞：校園無線網絡；802.11標準；網絡安全

一、概述

隨著信息技術的發展和教育信息化進程的推進，無線局域網技術在高校校園網中的應用也逐漸普及。校園無線局域網表現出方便、靈活的組網方式和廣泛的適用環境等優點，由于無線局域網技術其傳輸介質的開放性，使得數據在通信傳播過程中，極有可能被一些非法的接收設備所接收，這就給入侵者有了可乘之機。加之校園無線網絡自身的特殊性，無線局域網更易遭受黑客攻擊和泄密；此外由于高校網絡本身所具有的應用范圍廣、使用群體復雜、管理難度大等眾多特點，致使網絡本身更具脆弱性，致使網絡本身更具脆弱性，因此如何保障高校校園無線局域網通信的安全，成為使用高校校園無線局域網過程中必須解決的問題。

二、無線網絡存在的安全威脅

無線網絡一般受到的攻擊可分為兩大類：

一類是關于網絡訪問控制、數據機密性保護以及數據完整性保護而進行的攻擊；一類是無線通信網絡的設計、部署以及維護的獨特方式而進行的攻擊。

對于第一類攻擊在有線網絡的環境下也會發生?？梢?，無線網絡的安全性是在傳統有線網絡的基礎上增加了新的安全性威脅。

（一）保密機制的弱點

1、過于簡單的加密算法

WEP中的IV向量由于位數太短和初始化復位的設計，經常出現重復使用現象，從而輕易的被他人所破解。而對于其中的加密的RC4算法，在其頭256個字節數據中的密鑰存在弱點，容易被黑客攻破。而且，對明文完整性校驗的CRC循環冗余校驗碼只能確保數據正確傳輸，并不能保證其是否被修改，因而也會出現安全的問題。

2、密鑰管理復雜性

在WEP使用的密鑰的過程中需要接受一個外部密鑰管理系統的控制。網絡的安全管理員可以通過外部管理系統控制方式減少IV的沖突數量，使無線網絡難以被攻破。但由于這種方式的過程非常復雜，且需要手工進行操作，所以很多網絡的部署者為了方便，使用缺省的WEP密鑰，從而使黑客對破解密鑰的難度大大減少。

3、用戶安全意識不強

許多用戶安全意識淡薄，沒有改變缺省的配置選項，而缺省的加密設置都是比較簡單或脆弱的，經不起黑客的攻擊。

（二）類型繁多的網絡攻擊

1、探測式攻擊實際上是信息采集活動，黑客們通過這種攻擊搜集網絡數據，用于以后進一步攻擊網絡。通常，軟件工具（例如探測器和掃描器）被用于了解網絡資源情況，尋找目標網絡、主機和應用中的潛在漏洞。例如，有一種專門用于破解密碼的軟件。這種軟件是為網絡管理員而設計的，管理員可以利用它們來幫助那些忘記密碼的員工，或者發現那些沒有告訴任何人自己的密碼就離開了公司的員工的密碼。但是，這種軟件如果被錯誤的人使用，就將成為一種非常危險的武器。

2、訪問攻擊用于發現身份認證服務、文件傳輸協議(FTP)功能等網絡領域的漏洞，以訪問電子郵件帳號、數據庫和其他保密信息。

（三）拒絕服務攻擊

1、信息泄露威脅與網絡欺騙

泄露威脅包括竊聽、截取和監聽。竊聽是指偷聽流經網絡的計算機通信的電子形式，它是以被動和無法覺察的方式入侵檢測設備的。即使網絡不對外廣播網絡信息，只要能夠發現任何明文信息，攻擊者仍然可以使用一些網絡工具來監聽和分析通信量，從而識別出可以破解的信息。欺騙這種攻擊手段是通過騙過網絡設備，使得它們錯誤地認為來自它們的連接是網絡中一個合法的和經過同意的機器發出的。達到欺騙的目的，最簡單的方法是重新定義無線網絡或網卡的MAC地址。

2、用戶設備安全威脅

由于IEEE802.11標準規定WEP加密給用戶分配是一個靜態密鑰，因此只要得到了一塊無線網網卡，攻擊者就可以擁有一個無線網使用的合法MAC地址。也就是說，如果終端用戶的筆記本電腦被盜或丟失，其丟失的不僅僅是電腦本身，還包括設備上的身份驗證信息，如網絡的SSID及密鑰。[3]

三、無線校園網絡安全解決方案

（一）身份認證：對于無線網絡的認證可以是基于設備的，通過共享的WEP密鑰來實現

上文中提到的 MAC 地址認證和共享密鑰認證都還有一定的安全隱患。在無線網絡進入校園以后， MAC地址認證需要進行維護和數據管理的問題。例如EAP-TLS、EAP-TTLS、LEAP和PEAP。[4]在無線網絡中，設備認證和用戶認證都應該實施，以確保最有效的無線網絡安全性。用戶認證信息應該通過安全隧道傳輸，從而保證用戶認證信息交換是加密的。因此，對于所有的網絡環境，如果設備支持，最好使用EAP-TTLS或PEAP。針對校園多用戶群體的特點，可以對不同用戶使用不同的認證方法，以此來確保無線校園網絡的安全性。

（二）訪問控制：網絡用戶的訪問控制主要通過AAA服務器來實現

這種方式可以提供更好的可擴展性，有些訪問控制服務器在802.1x的各安全端口上提供了機器認證，在這種環境下，只有當用戶成功通過802.1x規定端口的識別后才能進行端口訪問。

一般來說，無線校園網絡可分為境內網和境外（下轉第122頁）（上接第120頁）網兩大類。境內網是指學校內部訪問數據和資源的過程，教師和學生可根據需要隨時在校園內訪問網絡。例如研究成果、研究資料以及論文等都要求有較好的安全性。這些用戶可以采用802.1x 進行認證。也就是先由用戶向認證服務器發出接入申請，在未通過認證的情況下，用戶無法訪問網絡，也無法獲取IP 地址。設立證書服務器，以數字證書的形式達到雙向認證的目的，能夠有效避免用戶接入非法 AP 以及非法用戶使用網絡，只有在通過雙向認證之后，用戶方可訪問網絡，保證校園網資源的安全性。境外網指從學校外部訪問數據和資源的過程，主要是針對來學校進行學術交流、培訓等用戶，這些用戶關注的是能夠方便、快捷的接入網絡，已進行相關的文件傳輸、瀏覽網站等工作。因此，他們不能訪問校園網內部如學校公共數據庫、圖書館期刊全文數據庫以及一些學校內部資源的一些受限資源。如果用戶是境外網需要訪問校園網以外的數據，要先通過強制 Portal 認證之后方可訪問網絡。[5]根據不同網絡區分的需要采用不同的認證方法，將 802.1x 認證和強制 Portal 認證這兩種認證方式相結合是解決目前無線校園網絡安全問題的有效途徑，并有極強的現實意義。

（三）可用性：無線網絡有著與其它網絡相同的需要，這就是要求最少的停機時間

不管是由于DOS攻擊還是設備故障，無線基礎設施中的關鍵部分仍然要能夠提供無線客戶端的訪問。保證這項功能所花費資源的多少主要取決于保證無線網絡訪問正常運行的重要性。在校園的操場、食堂等場合，如不能給用戶提供無線訪問只會給用戶帶來不便而已。當一個客戶端試圖與某個特定的AP通訊，而認證服務器不能提供服務時也會產生可用性問題。這可能是由于擁塞的連接阻礙了認證交換的數據包，建議賦予該數據包更高的優先級以提供更好的QOS。另外應該設置本地認證作為備用，可以在AAA服務器不能提供服務時對無線客戶端進行認證。

（四）審計：審計工作是確定無線網絡配置是否適當的必要步驟

保護WLAN的第一步就是完成網絡審計，實現對內部網絡的所有訪問節點都做審計，確定欺騙訪問節點，建立規章制度來約束它們，或者完全從網絡上剝離掉它們。從短期來看，校園網絡中心管理員應該使用一些能檢測WLAN網絡流量（以及WLAN訪問節點）的網絡監控產品或工具，例如SnifferTechnologies和WildPackets廠家的產品。不過，采取的這些措施能達到的安全程度畢竟還是有限的，因為它要求網絡管理員要根據WLAN的信號來檢測網絡流量，知道網絡內部的數據流量情況?，F在，WLAN的提供商們（例如3Com，Avaya，Cisco，Enterasys和Symbol）將會開發出新的能夠檢測遠程訪問節點的網絡管理工具。校園網絡中心管理者應該形成一個管理政策，保證網絡審計成為一個規范化的行為（至少每三個月檢測一次），來限制具有欺騙訪問行為的站點恣意進入WLAN。

局域網技術論文范文6

關鍵詞：無線局域網；標準；安全；趨勢

前言無線局域網本質上是一種網絡互連技術。無線局域網使用無線電波代替雙絞線、同軸電纜等設備，省去了布線的麻煩，組網靈活。無線局域網（WLAN)是計算機網絡與無線通信技術相結合的產物。它既可滿足各類便攜機的入網要求，也可實現計算機局域網遠端接入、圖文傳真、電子郵件等功能。無線局域網技術作為一種網絡接入手段，能迅速地應用于需要在移動中聯網和在網間漫游的場合，并在不易架設有線的地力和遠沖離的數據處理節點提供強大的網絡支持。因此，WLAN已在軍隊、石化、醫護管理、工廠車間、庫存控制、展覽和會議、金融服務、旅游服務、移動辦公系統等行業中得到了應用，受到了廣泛的青睞，已成為無線通信與Internet技術相結合的新興發展力向之一。WLAN的最大優點就是實現了網絡互連的可移動性，它能大幅提高用戶訪問信息的及時性和有效性，還可以克服線纜限制引起的不便性。但由于無線局域網應用具有很大的開放性，數據傳播范圍很難控制，因此無線局域網將面臨著更嚴峻的安全問題。

1．無線局域網安全發展概況

無線局域網802.11b公布之后，迅速成為事實標準。遺憾的是，從它的誕生開始，其安全協議WEP就受到人們的質疑。美國加州大學伯克利分校的Borisov，Goldberg和Wagner最早指出了WEP協議中存在的設計失誤，接下來信息安全研究人員發表了大量論文詳細討論了WEP協議中的安全缺陷，并與工程技術人員協作，在實驗中破譯了經WEP協議加密的無線傳輸數據?，F在，能夠截獲無線傳輸數據的硬件設備己經能夠在市場上買到，能夠對所截獲數據進行解密的黑客軟件也已經能夠在因特網上下載。WEP不安全己經成一個廣為人知的事情，人們期待WEP在安全性方面有質的變化，新的增強的無線局域網安全標準應運而生[1]。

我國從2001年開始著手制定無線局域網安全標準，經過西安電子科技大學、西安郵電學院、西電捷通無線網絡通信有限公司等院校和企業的聯合攻關，歷時兩年多制定了無線認證和保密基礎設施WAPI，并成為國家標準，于2003年12月執行。WAPI使用公鑰技術，在可信第三方存在的條件下，由其驗證移動終端和接入點是否持有合法的證書，以期完成雙向認證、接入控制、會話密鑰生成等目標，達到安全通信的目的。WAPI在基本結構上由移動終端、接入點和認證服務單元三部分組成，類似于802.11工作組制定的安全草案中的基本認證結構。同時我國的密碼算法一般是不公開的，WAPI標準雖然是公開的，然而對其安全性的討論在學術界和工程界目前還沒有展開[2]。

增強的安全草案也是歷經兩年多時間定下了基本的安全框架。其間每個月至少召開一次會議，會議的文檔可以從互聯網上下載，從中可以看到一些有趣的現象，例如AES-OCB算法，開始工作組決定使用該算法作為無線局域網未來的安全算法，一年后提議另外一種算法CCMP作為候選，AES-OSB作為缺省，半年后又提議CCMP作為缺省，AES-OCB作為候選，又過了幾個月，干脆把AES-OCB算法完全刪除，只使用CCMP算法作為缺省的未來無線局域網的算法。其它的例子還有很多。從這樣的發展過程中，我們能夠更加清楚地認識到無線局域網安全標準的方方面面，有利于無線局域網安全的研究[3][4]。

2．無線局域網的安全必要性

WLAN在為用戶帶來巨大便利的同時，也存在著許多安全上的問題。由于WLAN通過無線電波在空中傳輸數據，不能采用類似有線網絡那樣的通過保護通信線路的方式來保護通信安全，所以在數據發射機覆蓋區域內的幾乎任何一個WLAN用戶都能接觸到這些數據，要將WLAN發射的數據僅僅傳送給一名目標接收者是不可能的。而防火墻對通過無線電波進行的網絡通訊起不了作用，任何人在視距范圍之內都可以截獲和插入數據。因此，雖然無線網絡和WLAN的應用擴展了網絡用戶的自由，它安裝時間短，增加用戶或更改網絡結構時靈活、經濟，可提供無線覆蓋范圍內的全功能漫游服務。然而，這種自由也同時帶來了新的挑戰，這些挑戰其中就包括安全性。WLAN必須考慮的安全要素有三個：信息保密、身份驗證和訪問控制。如果這三個要素都沒有問題了，就不僅能保護傳輸中的信息免受危害，還能保護網絡和移動設備免受危害。難就難在如何使用一個簡單易用的解決方案，同時獲得這三個安全要素。國外一些最新的技術研究報告指出，針對目前應用最廣泛的802.11bWLAN標準的攻擊和竊聽事件正越來越頻繁[5]，故對WLAN安全性研究，特別是廣泛使用的IEEE802.11WLAN的安全性研究，發現其可能存在的安全缺陷，研究相應的改進措施，提出新的改進方案，對WLAN技術的使用、研究和發展都有著深遠的影響。

同有線網絡相比，無線局域網無線傳輸的天然特性使得其物理安全脆弱得多，所以首先要加強這一方面的安全性。

無線局域網中的設備在實際通信時是逐跳的方式，要么是用戶設備發數據給接入設備，飯由接入設備轉發，要么是兩臺用戶設備直接通信，每一種通信方式都可以用鏈路層加密的方法來實現至少與有線連接同等的安全性。無線信號可能被偵聽，但是，如果把無線信號承載的數據變成密文，并且，如果加密強度夠高的話，偵聽者獲得有用數據的可能性很小。另外，無線信號可能被修改或者偽造，但是，如果對無線信號承載的數據增加一部分由該數據和用戶掌握的某種秘密生成的冗余數據，以使得接收方可以檢測到數據是杏被更改，那么，對于無線信號的更改將會徒勞無功。而秘密的獨有性也將使得偽造數據被誤認為是合法數據的可能性極小。

這樣，通過數據加密和數據完整性校驗就可以為無線局域網提供一個類似有線網的物理安全的保護。對于無線局域網中的主機，面臨病毒威脅時，可以用最先進的防毒措施和最新的殺毒工具來給系統增加安全外殼，比如安裝硬件形式的病毒卡預防病毒，或者安裝軟件用來時實檢測系統異常。PC機和筆記本電腦等設備己經和病毒進行了若千年的對抗，接下來的無線設備如何與病毒對抗還是一個待開發領域。

對于DOS攻擊或者DDOS攻擊，可以增加一個網關，使用數據包過濾或其它路由設置，將惡意數據攔截在網絡外部;通過對外部網絡隱藏接入設備的IP地址，可以減小風險。對于內部的惡意用戶，則要通過審計分析，網絡安全檢測等手段找出惡意用戶，并輔以其它管理手段來杜絕來自內部的攻擊。硬件丟失的威脅要求必須能通過某種秘密或者生物特征等方式來綁定硬件設備和用戶，并且對于用戶的認證也必須基于用戶的身份而不是硬件來完成。例如，用MAC地址來認證用戶是不適當的[5]。

除了以上的可能需求之外，根據不同的使用者，還會有不同的安全需求，對于安全性要求很高的用戶，可能對于傳輸的數據要求有不可抵賴性，對于進出無線局域網的數據要求有防泄密措施，要求無線局域網癱瘓后能夠迅速恢復等等。所以，無線局域網的安全系統不可能提供所有的安全保證，只能結合用戶的具體需求，結合其它的安全系統來一起提供安全服務，構建安全的網絡。

當考慮與其它安全系統的合作時，無線局域網的安全將限于提供數據的機密，數據的完整，提供身份識別框架和接入控制框架，完成用戶的認證授權，信息的傳輸安全等安全業務。對于防病毒，防泄密，數據傳輸的不可抵賴，降低DoS攻擊的風險等都將在具體的網絡配置中與其它安全系統合作來實現。

3．無線局域網安全風險

安全風險是指無線局域網中的資源面臨的威脅。無線局域網的資源，包括了在無線信道上傳輸的數據和無線局域網中的主機。

3．1無線信道上傳輸的數據所面臨的威脅

由于無線電波可以繞過障礙物向外傳播，因此，無線局域網中的信號是可以在一定覆蓋范圍內接聽到而不被察覺的。這如用收音機收聽廣播的情況一樣，人們在電臺發射塔的覆蓋范圍內總可以用收音機收聽廣播，如果收音機的靈敏度高一些，就可以收聽到遠一些的發射臺發出的信號。當然，無線局域網的無線信號的接收并不像收音機那么簡單，但只要有相應的設備，總是可以接收到無線局域網的信號，并可以按照信號的封裝格式打開數據包，讀取數據的內容[6]。

另外，只要按照無線局域網規定的格式封裝數據包，把數據放到網絡上發送時也可以被其它的設備讀取，并且，如果使用一些信號截獲技術，還可以把某個數據包攔截、修改，然后重新發送，而數據包的接收者并不能察覺。

因此，無線信道上傳輸的數據可能會被偵聽、修改、偽造，對無線網絡的正常通信產生了極大的干擾，并有可能造成經濟損失。

3．2無線局域網中主機面臨的威脅

無線局域網是用無線技術把多臺主機聯系在一起構成的網絡。對于主機的攻擊可能會以病毒的形式出現，除了目前有線網絡上流行的病毒之外，還可能會出現專門針對無線局域網移動設備，比如手機或者PDA的無線病毒。當無線局域網與無線廣域網或者有線的國際互聯網連接之后，無線病毒的威脅可能會加劇。

對于無線局域網中的接入設備，可能會遭受來自外部網或者內部網的拒絕服務攻擊。當無線局域網和外部網接通后，如果把IP地址直接暴露給外部網，那么針對該IP的Dog或者DDoS會使得接入設備無法完成正常服務，造成網絡癱瘓。當某個惡意用戶接入網絡后，通過持續的發送垃圾數據或者利用IP層協議的一些漏洞會造成接入設備工作緩慢或者因資源耗盡而崩潰，造成系統混亂。無線局域網中的用戶設備具有一定的可移動性和通常比較高的價值，這造成的一個負面影響是用戶設備容易丟失。硬件設備的丟失會使得基于硬件的身份識別失效，同時硬件設備中的所有數據都可能會泄漏。

這樣，無線局域網中主機的操作系統面臨著病毒的挑戰，接入設備面臨著拒絕服務攻擊的威脅，用戶設備則要考慮丟失的后果。

4．無線局域網安全性

無線局域網與有線局域網緊密地結合在一起，并且己經成為市場的主流產品。在無線局域網上，數據傳輸是通過無線電波在空中廣播的，因此在發射機覆蓋范圍內數據可以被任何無線局域網終端接收。安裝一套無線局域網就好象在任何地方都放置了以太網接口。因此，無線局域網的用戶主要關心的是網絡的安全性，主要包括接入控制和加密兩個方面。除非無線局域網能夠提供等同于有線局域網的安全性和管理能力，否則人們還是對使用無線局域網存在顧慮。

4．1IEEE802.11b標準的安全性

IEEE802.11b標準定義了兩種方法實現無線局域網的接入控制和加密：系統ID（SSID）和有線對等加密（WEP）[7][8]。

4.1.1認證

當一個站點與另一個站點建立網絡連接之前，必須首先通過認證。執行認證的站點發送一個管理認證幀到一個相應的站點。IEEE802.11b標準詳細定義了兩種認證服務：一開放系統認證（OpenSystemAuthentication）：是802.11b默認的認證方式。這種認證方式非常簡單，分為兩步：首先，想認證另一站點的站點發送一個含有發送站點身份的認證管理幀；然后，接收站發回一個提醒它是否識別認證站點身份的幀。一共享密鑰認證（SharedKeyAuthentication）：這種認證先假定每個站點通過一個獨立于802.11網絡的安全信道，已經接收到一個秘密共享密鑰，然后這些站點通過共享密鑰的加密認證，加密算法是有線等價加密（WEP）。

4.1.2WEP

IEEE802.11b規定了一個可選擇的加密稱為有線對等加密，即WEP。WEP提供一種無線局域網數據流的安全方法。WEP是一種對稱加密，加密和解密的密鑰及算法相同。WEP的目標是:接入控制:防止未授權用戶接入網絡，他們沒有正確的WEP密鑰。

加密：通過加密和只允許有正確WEP密鑰的用戶解密來保護數據流。

IEEE802.11b標準提供了兩種用于無線局域網的WEP加密方案。第一種方案可提供四個缺省密鑰以供所有的終端共享一包括一個子系統內的所有接入點和客戶適配器。當用戶得到缺省密鑰以后，就可以與子系統內所有用戶安全地通信。缺省密鑰存在的問題是當它被廣泛分配時可能會危及安全。第二種方案中是在每一個客戶適配器建立一個與其它用戶聯系的密鑰表。該方案比第一種方案更加安全，但隨著終端數量的增加給每一個終端分配密鑰很困難。

4．2影響安全的因素[9][10]

4.2.1硬件設備

在現有的WLAN產品中，常用的加密方法是給用戶靜態分配一個密鑰，該密鑰或者存儲在磁盤上或者存儲在無線局域網客戶適配器的存儲器上。這樣，擁有客戶適配器就有了MAC地址和WEP密鑰并可用它接入到接入點。如果多個用戶共享一個客戶適配器，這些用戶有效地共享MAC地址和WEP密鑰。

當一個客戶適配器丟失或被竊的時候，合法用戶沒有MAC地址和WEP密鑰不能接入，但非法用戶可以。網絡管理系統不可能檢測到這種問題，因此用戶必須立即通知網絡管理員。接到通知后，網絡管理員必須改變接入到MAC地址的安全表和WEP密鑰，并給與丟失或被竊的客戶適配器使用相同密鑰的客戶適配器重新編碼靜態加密密鑰?？蛻舳嗽蕉?，重新編碼WEP密鑰的數量越大。

4.2.2虛假接入點

IEEE802.11b共享密鑰認證表采用單向認證，而不是互相認證。接入點鑒別用戶，但用戶不能鑒別接入點。如果一個虛假接入點放在無線局域網內，它可以通過劫持合法用戶的客戶適配器進行拒絕服務或攻擊。

因此在用戶和認證服務器之間進行相互認證是需要的，每一方在合理的時間內證明自己是合法的。因為用戶和認證服務器是通過接入點進行通信的，接入點必須支持相互認證。相互認證使檢測和隔離虛假接入點成為可能。

4.2.3其它安全問題

標準WEP支持對每一組加密但不支持對每一組認證。從響應和傳送的數據包中一個黑客可以重建一個數據流，組成欺騙性數據包。減輕這種安全威脅的方法是經常更換WEP密鑰。通過監測工EEE802.11b控制信道和數據信道，黑客可以得到如下信息：客戶端和接入點MAC地址，內部主機MAC地址，上網時間。黑客可以利用這些信息研究提供給用戶或設備的詳細資料。為減少這種黑客活動，一個終端應該使用每一個時期的WEP密鑰。

4．3完整的安全解決方案

無線局域網完整的安全方案以IEEE802.11b比為基礎，是一個標準的開放式的安全方案，它能為用戶提供最強的安全保障，確保從控制中心進行有效的集中管理。它的核心部分是：

擴展認證協議（ExtensibleAuthenticationProtocol，EAP），是遠程認證撥入用戶服務（RADIUS）的擴展?？梢允篃o線客戶適配器與RADIUS服務器通信。

當無線局域網執行安全保密方案時，在一個BSS范圍內的站點只有通過認證以后才能與接入點結合。當站點在網絡登錄對話框或類似的東西內輸入用戶名和密碼時，客戶端和RADIUS服務器（或其它認證服務器）進行雙向認證，客戶通過提供用戶名和密碼來認證。然后RADIUS服務器和用戶服務器確定客戶端在當前登錄期內使用的WEP密鑰。所有的敏感信息，如密碼，都要加密使免于攻擊。

這種方案認證的過程是：一個站點要與一個接入點連接。除非站點成功登錄到網絡，否則接入點將禁止站點使用網絡資源。用戶在網絡登錄對話框和類似的結構中輸入用戶名和密碼。用IEEE802.lx協議，站點和RADIUS服務器在有線局域網上通過接入點進行雙向認證?？梢允褂脦讉€認證方法中的一個。

相互認證成功完成后，RADIUS服務器和用戶確定一個WEP密鑰來區分用戶并提供給用戶適當等級的網絡接入。以此給每一個用戶提供與有線交換幾乎相同的安全性。用戶加載這個密鑰并在該登錄期內使用。

RADIUS服務器發送給用戶的WEP密鑰，稱為時期密鑰。接入點用時期密鑰加密它的廣播密鑰并把加密密鑰發送給用戶，用戶用時期密鑰來解密。用戶和接入點激活WEP，在這時期剩余的時間內用時期密鑰和廣播密鑰通信。

網絡安全性指的是防止信息和資源的丟失、破壞和不適當的使用。無論有線絡還是無線網絡都必須防止物理上的損害、竊聽、非法接入和各種內部（合法用戶）的攻擊。

無線網絡傳播數據所覆蓋的區域可能會超出一個組織物理上控制的區域，這樣就存在電子破壞（或干擾）的可能性。無線網絡具有各種內在的安全機制，其代碼清理和模式跳躍是隨機的。在整個傳輸過程中，頻率波段和調制不斷變化，計時和解碼采用不規則技術。

正是可選擇的加密運算法則和IEEE802.11的規定要求無線網絡至少要和有線網絡（不使用加密技術）一樣安全。其中，認證提供接入控制，減少網絡的非法使用，加密則可以減少破壞和竊聽。目前，在基本的WEP安全機制之外，更多的安全機制正在出現和發展之中[12]。

5．無線局域網安全技術的發展趨勢

目前無線局域網的發展勢頭十分強勁，但是起真正的應用前景還不是十分的明朗。主要表現在：一是真正的安全保障；二個是將來的技術發展方向；三是WLAN有什么比較好的應用模式；四是WLAN的終端除PCMCIA卡、PDA有沒有其他更好的形式；五是WLAN的市場規模?？磥頍o線局域網真正的騰飛并非一己之事[13]。

無線局域網同樣需要與其他已經成熟的網絡進行互動，達到互利互惠的目的。歐洲是GSM網的天下，而WLAN的崛起使得他們開始考慮WLAN和3G的互通，兩者之間的優勢互補性必將使得WLAN與廣域網的融合迅速發展?，F在國內中興通訊己經實現了WLAN和CI}IVIA系統的互通，而對于使用中興設備的WLAN與GSM/GPRS系統的互通也提出了解決方案，這條路必定越走越寬。

互通中的安全問題也必然首當其沖，IEEE的無線局域網工作組己經決定將EAP-SIIVI納入無線局域網安全標準系列里面，并且與3G互通的認證標準EAP-AID也成為討論的焦點。

無線網絡的互通，現在是一個趨勢。802.11工作組新成立了WIG（WirelesslnterworkingGrouq），該工作組的目的在于使現存的符合ETSI，IEEE，MMAC所制訂的標準的無線域網之間實現互通。另外3GPP也給出了無線局域網和3G互通的兩個草案，定義了互通的基本需求，基本模型和基本框架。還有就是愛立信公司的一份文檔給出了在現有的網絡基礎上，實現無線局域網和G1VIS/GPRS的互通。

不同類型無線局域網互通標準的制定，使得用戶可以使用同一設備接入無線局域網。3G和無線局域網的互通者可以使用戶在一個運營商那里注冊，就可以在各地接入。當然，用戶享用上述方便的同時，必然會使運營商或制造商獲得利潤，而利潤的驅動，則是這個互通風潮的根本動力。為了達到互通的安全，有以下需求：支持傳統的無線局域網設備，對用戶端設備，比如客戶端軟件，影響要最小，對經營者管理和維護客戶端SW的要求要盡量少，應該支持現存的UICC卡，不應該要求該卡有任何改動，敏感數據，比如存在UICC卡中的長期密鑰不能傳輸。對于UICC卡的認證接口應該是基于該密鑰的Challenge-,Response模式。用戶對無線局域網接入的安全級別應該和3GPP接入一樣，應該支持雙向認證，所選的認證方案應該顧及到授權服務，應該支持無線局域網接入NW的密鑰分配方法，無線局域網與3GPP互通所選擇的認證機制至少要提供3GPP系統認證的安全級別，無線局域網的重連接不應該危及3GPP系統重連接的安全，所選擇的無線局域網認證機制應該支持會話密鑰素材的協商，所選擇的無線局域網密鑰協商和密鑰分配機制應該能防止中間人攻擊。也就是說中間人不能得到會話密鑰素材，無線局域網技術應當保證無線局域網UE和無線局域網AN的特定的認證后建立的連接可以使用生成的密鑰素材來保證完整性。所有的用于用戶和網絡進行認證的長期的安全要素應該可以在一張UICC卡中存下[14]。

對于非漫游情況的互通時，這種情況是指當用戶接入的熱點地區是在3GPP的歸屬網絡范圍內。簡單地說，就是用戶在運營商那里注冊，然后在該運營商的本地網絡范圍內的熱點地區接入時的一種情況。無線局域網與3G網絡安全單元功能如下：UE（用戶設備）、3G-AAA（移動網絡的認證、授權和計帳服務器）、HSS（歸屬業務服務器）、CG/CCF（支付網關/支付采集功能）、OCS（在線計帳系統）。

對于漫游的互通情況時，3G網絡是個全域性網絡借助3G網絡的全域性也可以實現無線局域網的漫游。在漫游情況下，一種常用的方法是將歸屬網絡和訪問網絡分開，歸屬網絡AAA服務作為認證的找到用戶所注冊的歸屬網絡。

在無線局域網與3G互通中有如下認證要求：該認證流程從用戶設備到無線局域網連接開始。使用EAP方法，順次封裝基于USIM的用戶ID，AKA-Challenge消息。具體的認證在用戶設備和3GPAAA服務器之間展開。走的是AKA過程，有一點不同在于在認證服務器要檢查用戶是否有接入無線局域網的權限。

上述互通方案要求客戶端有能夠接入無線局域網的網卡，同時還要實現USIM或者SIM的功能。服務網絡要求修改用戶權限表，增加對于無線局域網的接入權限的判斷。

無線局域網的崛起使得人們開始考慮無線局域網和3G的互通，兩者之間的優勢互補性必將使得無線局域網與廣域網的融合迅速發展?，F在國內中興通訊已經實現了無線局域網和CDMA系統的互通，而對于使用中興設備的無線局域網與GSM/GPRS系統的互通也提出了解決方案，這條路必定越走越寬。

參考文獻：

[1]郭峰，曾興雯，劉乃安，《無線局域網》，電子工業出版杜，1997

[2]馮錫生，朱榮，《無線數據通信》1997

[3]你震亞，《現代計算機網絡教程》，電子工業出版社，1999

[4]劉元安，《寬帶無線接入和無線局域網》，北京郵電大學出版社，2000

[5]吳偉陵，《移動通信中的關鍵技術》，北京郵電大學出版社，2000

[6]張公忠，陳錦章，《當代組網技術》，清華大學出版社，2000

[7]牛偉，郭世澤，吳志軍等，《無線局域網》，人民郵電出版社，2003

[8]JeffreyWheat,《無線網絡設計》，莫蓉蓉等譯，機械工業出版社，2002

[9]GilHeld，《構建無線局域網》，沈金龍等澤，人民郵電出版社，2002

[10]ChristianBarnes等，《無線網絡安全防護》，林生等譯，機械工業出版社.2003

[11]JuhaHeiskala等，《OFDM無線局域網》，暢曉春等譯，電子工業出版社，2003

[12]EricOuellet等，《構建Cisco無線局域網》，張穎譯，科學出版社，2003

[13]MarkCiampa，《無線周域網設計一與實現》，王順滿譯，科學出版社.2003