互連技術論文精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的互連技術論文主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:互連技術論文范文
隨著信息化、數字化時代的來臨,移動數碼產品、無線網絡已成為人們日常生活中不可缺少的組成部分,學習的概念與方式也在隨之改變,應運而來的移動學習、遠程學習、在線學習、“泛在學習”已得到越來越多學習者的認可和參與興趣。現代社會中,人們的工作、生活節奏日趨加快,學習的時間逐漸呈現碎片化的狀態,越來越少的學習時間,使得人們與傳統的學習模式不適應,微課的出現,在一定程度上正在改變著傳統的學習模式,其發展成長由其規律與特點決定,幫助并促進學生實際動手能力的迅速提高是核心要素。“微課”在高職院校中的推廣與應用更多體現在兩個方面:一是改變專業教師課堂知識傳授過程中,單一說教、理論過強、枯燥無味、不易接受等弊病。“微課”的時長一般為5-8分鐘左右,最長不超過15分鐘。據專家統計,人的注意力或興奮點主要就集中在這一黃金時間段。如果高職教師學會獨立運用現代技術手段,通過真實的、具體的、典型案例化的教與學情景方式展現所授內容,會很容易地吸引學生的注意力和興趣,輕松地達到預想的教學效果,從而提高學生的學習水平;二是“微課”教學可以大大地減少學生實踐觀摩課不足的困惑。眾所周知,實踐觀摩課在高職教學中占有一定的比重,也是突出高職教學特色、培養應用型人才的關鍵。近些年,高職學校通過校企合作等,紛紛邀請企業有關人員來校直接參與課堂教學或舉辦專題講座,但由于受到時間等種種因素所限,畢竟企業不同于學校,哪怕是短短一節課也要進行多方協調、反復論證,如協調到校授課人員的時間、協調學生聽課的時間、有時為了能最大限度地讓學生聽到企業專家的授課,學校不得不臨時調整教學時間或安排,采取合并班級、大班授課或是報告式授課等,這樣不但授課者因課時有限,不能盡情發揮,造成授課內容過于高度濃宿化、片段化,教學過程中無法實現互動,往往使得學生聽得渾渾噩噩、云里霧里、似懂非懂,效果非常不好。再有,苦于組織企業專家進課堂的種種操作層面的難處,一些學校的企業專家授課一學期只能安排一至兩次,甚至這樣都不一定做得到,往往流于形式。如果選用“微課”,不僅可以讓授課者提前設計,如利用業余時間充分準備、有的放矢,突出教學內容的針對性、實效性,還可以讓授課者反復模擬,將最好、最精彩的授課片段提供給學生。需要說明的是,“微課”的核心內容除了課堂教學視頻(課例片段)外,還包含與該教學主題相關的教學設計、素材課件、教學反思、練習測試及學生反饋、教師點評等輔教學資源,用專業的描述是“一個半結構化、主題式的資源單元應用‘小環境’”高度仿真地展現在學生面前,方便學生自主學習、交互式學習。在校期間,學生們可以組成小班分別學習、邊學邊討論,也可以反復觀摩,充分體會授課過程,逐步消化理解所學知識,努力做到理論聯系實際、學以致用。對于邀請名人名家經費有限的院校來說,通過分享名人名家的微課,可以說是一種既經濟實惠、又能解決教學需求的有效方法,無論從實際效果,還是從節省成本的角度來考慮,“微課”都是高職課堂與實踐教學的必備選擇。當然,“微課”絕不可能完全取代傳統的課堂授課形式,這是不爭的事實。因為高職教學過程中的一些實操課,除了正常授課輔導外,還離不開專業教師或師傅手把手的講解、傳授,學生必須直接進入實際崗位、現場觀摩、實習實訓,才能保證教學目標的順利落實,滿足市場或企業選拔人才的具體要求。延伸或補充應是給予“微課”在高職教學中的準確定位。
2微課的設計與制作應遵循一定的規律及特點
從未來的發展趨勢看,學生在校組織課堂教學將很可能會逐步減少,直接走進車間、實習場地參與實踐教學將會越來越多,有些課程甚至就應該直接搬到了實習現場或車間。眾所周知,現代職業人的塑造與培養決不能簡單、粗放,甚至放養,應遵循教育規律及特點,應采取科學合理的人才培養模式。“微課”的應用可以極大地填補課堂與實踐教學的空白,借助互聯網這一載體,方便快捷地解決相關問題,如重要知識點與難點、實操模擬、企業家講座、案例分析、求職技巧等,相對于較寬泛的傳統課堂,“微課”短小精悍,一個議題,一個重點,都是針對學生學習過程中的疑難問題而設計,非常適合學生自學。時間和地點的選擇上也有很大的自主空間,只要學生有學習的愿望即可實現。同時,還適應不同的學生,例如視頻播放快慢隨意可以調節,讓不同程度的學生根據自己的基礎和接受程度來控制視頻的快慢。由于視頻可以反復播放,使那些平時反應慢又羞于發問的學生能夠從容地反復觀看,方便記憶、便于理解。就高職教師而言,微課的設計與制作應遵循以下幾個特點:第一,便于課前復習。根據學生已有的知識基礎和新知識所需的銜接知識點,設計制作好微課,利于學生在課下提前觀看此微課,為課堂做好準備;第二,便于課程導入。教師根據課程知識點設計新穎的問題或作為工作在高職教學一線的專業教師,長期從事課堂與實踐教學業已成為習慣,再加上熟知學生的特點,轉變觀念、提升技術及制作能力成為當務之急,當然,“微課”是課堂與實踐教學的高度濃縮、提煉,需要講究制作技巧、及時更新、注重效果,所以,設計與制作精品微課必將是大勢所趨,滿足學生知識需求、能力提升是其精髓所在。首先,教師在所選題材上下大功夫,要根據學生的學習程度和容易出現的問題入手,通過典型例題和深入淺出的講解使學生迅速掌握本知識點。其次,在制作視頻時要注意動靜結合,圖文并茂,字體搭配,字號搭配,顏色搭配,錯落有致,使用的文字盡量少等,要使整個視頻簡潔清新流暢。再次,講解的時候心中要有學生,語言要用普通話,盡可能少地使用古板、枯燥的書面語,使講解通俗易懂,聲音響亮,節奏感強。當然,制作“微課”就是微研究的過程,教師在實際教學中要把發現問題、分析問題、解決問題作為教學反思的過程。通過精品微課可以有效地進行資源的積累、分享和交流,還可以有效提高教師的自信心和成就感,尤其是提高教師學科的教學與信息技術整合能力。精品微課通過互聯網和移動設備的傳播,能夠把檢驗高職教學效果放在更大的平臺上,既便于教師之間教學經驗和方法的交流,又便于有效促進教師的專業發展,真正提高教學效果。為此,制作精品微課需要從腳本編寫、教師講授、素材選取、后期剪輯、技術支持、市場運作等諸多方面給予充分考慮,需要組織專門的制作團隊,經過專家審核,方可以展現在學生面前,否則魚龍混珠、知識垃圾會直接影響高職教學的質量與聲譽。打造精品微課應成為高職教育教學的風向標,目的在于推動教育教學改革,突顯時代特色。教育是需要不斷求新求變的,當然,更要始終抓住育人這一根本,有效的學習支持服務應該體現在方方面面,精品微課將是不錯的選擇。
4結束語
第2篇:互連技術論文范文
1.1網絡技術對會展經濟的影響
隨著互聯網技術的不斷推廣應用,電子商務開始出現,并改變了人們傳統的商務模式和消費方式,成為推動經濟發展的重要力量。電子商務以較快的發展速度迅速占領了諸多行業和主要經濟領域。同時電子商務也對展覽行業產生了非常大的影響,會展經濟以其自身的特點和屬性能夠實現電子商務的發展模式。首先,多數的會展本身存在的重要意義就在于促進企業、行業間的信息交流,促進商品在新的市場環境和技術條件下的流通,從這個角度講,會展本身就是一種商務活動,網絡會展就是另一種形式下的電子商務。其次,展覽的最終目的是實現企業盈利,基本手段是傳播企業信息和商品信息,這與電子商務不謀而合,也是電子商務重要的特點和優點。因此,展覽業可以作為電子商務的另一種實現方式。會展經濟已經成為當前重要的經濟成分,網絡技術對會展經濟的重要影響就是提高信息傳播的速度和效率,提升會展經濟運營的效率和水平,網絡會展不斷結合電子商務的優勢、基礎平臺也成為今后網絡技術下會展經濟的重要發展方向。
1.2網絡會展的基本特點
會展的本質仍然是企業和商品信息的交流與傳播,技術條件的變化只會改變會展的功能實現,不會改變會展的本質特點。現在會展行業大的發展趨勢就是不斷加入信息技術的最新成果,重視信息在其中的價值和作用,新的經濟條件下和新的技術條件下,會展企業必須注意整體技術環境的變化,將新的技術資源與企業會展活動有效結合。首先,網絡會展的首要特點就是打破了傳統會展空間、時間限制。建立了企業與客戶長久的往來關系,使雙方在更深層次上增加了彼此的了解,提高了相互貿易和相互合作的概率。網絡會展通過建立系統化、流程化的運作平臺,改變了傳統的人為管理和人為操作的傳統模式,為企業提供了更加經濟、自由、安全的保證體系。其次,網絡會展在傳統商品流通和商業貿易基礎上締結和延伸了新的價值鏈,推動了國家和地區經濟的縱深化、多元化發展,為傳統的實物展覽方式增加了許多增值的、人性化的服務內容。也增加了人們參與會展的角度和元素,是傳統會展的重要補充,極大地提升了會展的影響力,為諸多企業增加商品交易和市場貨品利用活動提供了重要的機遇。隨著網絡技術在會展中應用水平的不斷成熟,以及電子商務發展模式的不斷完善,網絡會展產生的影響力會越來越大,對經濟增產的實效作用會越來越突出。
1.3網絡會展與傳統實物會展的關系
網絡會展與傳統實物會展在技術手段、展出場所、內容、時間期限、費用等方面各有特點。網絡會展相對于實物會展在成本、效率、市場空間、規模等方面具有無可比擬的優勢,但是在法規制定、信息完整性、信息統計等方面存在著一定的缺陷。網絡會展與傳統實物會展的關系體現在以下兩個方面。第一,網絡會展的興起和發展對傳統會展造成了一定的沖擊,傳統會展在新的市場環境下和新的技術條件下其規模有所萎縮,傳統的實物會展數量趨于下滑。第二,網絡會展雖然在發展前景上有非常美好的前途,但是并不會徹底替代實物會展,網絡會展和實物會展在不同方面各有優勢,沒有必須替代的必要。另外,由于網絡會展的一些缺陷以及消費者的心理特點、消費思維使得網絡會展也不可能替代實物會展。基于這個角度,網絡會展必須在發展過程中與實物會展尋找合作共存的結合點,實現共贏發展的良好局面,因為實物會展的重要影響仍然是網絡會展存在的基本前提,網絡會展在某些方面必須依靠實物會展形成的重要基礎,兩者在信息傳播、商務交流、發展空間、技術應用等方面有著合作共存的必要。
2網絡會展操作模式的相關分析
2.1網絡會展操作的計算機系統組成
網絡會展的實現必須借助于眾多的網絡技術,探討網絡會展操作的計算機組成對網絡會展發展具有重要的意義。目前,國內外各種大型的交易博覽會、產品展覽會都應用了許多的計算機技術、信息技術以及網絡技術,但大都停留在場面渲染和界面包裝的層面,還有的僅僅采用了一般的網頁構建,沒有應用發揮作用的虛擬現實技術,還有的雖然應用了虛擬現實技術,但是沒有和真實的展覽場景有機結合起來,其效果仍然有限。真正的網絡會展系統必須包含虛擬現實技術、超媒體技術、數據庫技術和網絡技術等,構架一個真正的網絡和軟件結合的應用平臺,為展覽的組織、位置導航等內容服務。目前比較成熟的網絡會展系統主要由用于展覽的網絡平臺、展覽的信息管理系統、會務的信息管理系統和商務信息系統等組成,各自發揮不同的作用,使整個系統形成一個完整、有效的功能集合體。
2.2網絡會展操作在會展經濟中的應用原則
網絡會展在進行操作時必須遵循以下幾種原則:第一,必須以用戶為工作核心,同時提供優質、個性化的服務。第二,充分利用企業的信息資源,提高資源的使用效益,提高用戶的經濟效益。第三,使用過程中能夠有效降低用戶的使用成本。綜合以上原則,用戶在使用網絡會展形式進行相關的業務操作時,必須從企業的實際出發,結合會展的實際需要,充分利用網絡技術的優勢和特點,將這兩點完美地結合在一起,實現網絡會展對企業發展和經濟效益提升的重要作用。
3互聯網技術下的會展經濟發展趨勢
網絡會展的興起和發展是信息技術的產物,是對傳統展覽模式的技術突破,給會展經濟的發展注入了新的活力和動力。盡管網絡會展的實際發展和應用水平不是很高,但是從長遠的角度來看,隨著信息技術和電子商務的進一步發展,仍然具有非常好的發展前景,尤其是對于一些規模比較小的企業來說,借助于電子商務平臺、網絡信息平臺,那些經營業績比較好、企業信用度良好、管理水平相對比較高的企業會獲得較大的優勢,可以開拓更為廣闊的市場空間,形成新的競爭潛力。為了與廣闊的發展前景相結合,本文在這里提出了自己的幾點建議。第一,在國家層面和企業層面上要重視網絡基礎設施的建設工作,為網絡會展經濟的進一步發展提供更加有力的市場環境和基礎條件,借此進一步降低企業網絡營銷的有關費用,提高網絡會展的實際效益和質量水平;加大相關核心技術的研發投入,重視企業利益的維護。第二,政府要加強網絡會展的監管力度,制定相關的法律措施保障企業的合法利益,建立完善的法律保障體系和相關的授權認證機構,維護網絡會展的正常秩序。第三,企業也要重視網絡營銷的發展和相關技術人才的引進,提高企業的經營管理水平,加強配套設施的建設,為網絡會展和會展經濟的進一步發展提供良好的人才保證。
4結語
第3篇:互連技術論文范文
關鍵詞:互聯網;專利;現有技術;界定
無論在專利侵權還是專利無效案件中,現有技術總是被用來衡量發明創造是否具有新穎性的客觀參照物。因為一項發明創造,不管它能夠帶來多大的利益,如果被認為是現有技術的一部分,則就沒有理由授予其專利權。專利的發展總是與科技同行,無論是在其具體內容上還是對其界定標準上,網絡的出現無疑也給專利法的適用帶來了一定的困惑,如網絡軟件是否可授權,網絡信息可否作為現有技術等等,對于上述問題,理論和實務界已基本上達成共識[1],本文也無意于此。但是,在將海量的互聯網信息納入現有技術時,如果仍然遵循傳統的現有技術界定條件,則會因為現有法律規定的缺失以及互聯網信息與傳統現有技術的區別而存在一定困難。因此,探討在網絡環境下如何將互聯網信息納入現有技術的范圍,也即如何將互聯網信息界定為現有技術就成了當前理論界和實務界的當務之急。
一、現有技術與互聯網信息
傳統上,對于現有技術,我國理論界和實務界有不同的觀點,我國理論界學者定義為“指那些已經被(已經能夠被)人們所得到的技術。”并且采取列舉的方式對現有技術進行概括。[2]247實務界則定義為“指申請日以前公眾能夠得知的技術內容,其與時間,地域和公開方式有關”[3,4]144-145,3
我國當前的《專利法實施細則》則作了更加細致的描述,在《專利法實施細則》中第三十條規定“……是指申請日(有優先權的,指優先權日)前在國內外出版物上公開發表、在國內公開使用或者以其他方式為公眾所知的技術,即現有技術”。
歐洲專利公約EPC第54條(2)將現有技術定義為“應當認為,現有技術包括在歐洲專利申請以前,以書面或者口頭描述的方法,依使用或者其他任何方式,可為公眾所得知的一切東西(信息)”。WIPO則將其定義為“是指一項發明在專利申請的申請日之前,或在申請優先權情況下的優先權日之前公眾所獲知的所有知識的總體。”[5]但是,上述所有的現有技術定義中似乎都不包括互聯網信息。
關于現有技術是否應該包含互聯網信息,有論者對此從互聯網信息作為現有技術符合專利法的原理、互聯網已成為信息獲取的主要手段以及互聯網信息具有現有技術的根本屬性三個方面進行了詳盡的論述,[1]還有論者從現有技術的三性方面論述了互聯網信息可作為現有技術。[6,7]日本特許廳則了《處理在互聯網上公開的技術信息作為現有技術審查指南》,在該指南中,更是明確了日本《專利法》中的“線路”指的是雙向傳送線路,一般包括發送和接受兩個通道,即我們所說的網絡線路。
實務中,各國審查員在進行現有技術檢索時,也會自然地將互聯網上的信息作為評價現有技術的間接或直接來源,這在各國專利審查中已是不爭的事實。盡管美國并沒在其《專利法》中明確規定互聯網信息可以作為現有技術,但在美國專利商標局編寫的《專利審查程序手冊》(ManualofPatentExamingProcedure即MEPE)第2128條中明確規定“電子公開物包括在線數據庫和互聯網公開物,如果此類公開可為任何與此技術相關的人所獲知”。
可見,將互聯網信息作為現有技術無論是理論上還是實務上都已經不存在問題。
二、作為現有技術的互聯網信息的特征
盡管將互聯網信息作為現有技術已成為必然的趨勢。但是,如果將互聯網上公開的所有信息作為現有技術卻存在許多問題,因為互聯網信息與傳統現有技術相比,存在以下明顯的特征:
1.信息內容的不穩定性。在互聯網中,許多網站特別是新聞網站,由于對信息的時效性要求,會頻繁地對其網站上的內容進行更新修改,經常會出現一小時甚至幾分鐘前后網站上的信息就大不一樣;其次,黑客技術的擴展也很容易使心懷不軌的人能夠輕易地修改互聯網上的信息內容和信息的公布時間。由于互聯網信息的不穩定性,帶來了該信息存在時間和內容的不確定性,最終影響到公眾對該信息的可獲取性,而如果公眾不可能有足夠的時間來得到該信息或者得到的是不正確的信息,則又如何能將該信息稱之為現有技術?
2.信息形式的多樣性。互聯網上的信息有加密和不加密信息,如有些網站要進行注冊登錄后才能進入,或者只有本站注冊并繳費的會員才能瀏覽;有即時信息和保留固定時間信息,如聊天工具QQ中發送的信息通常都不會被保留,而BBS和論壇欄目中的的信息則可能會有期限保留;有向單個人發送的信息和向多人發送的信息,如電子郵件E-mail發送給個人的郵件和QQ聊天中發送給聊天對象的內容,還有向所有會員發送的群發郵件或聊天群中向所有的群用戶發出的信息。這就使得,對于互聯網上的信息適用統一的標準來界定其是否可作為現有技術存在很大困難。
三、互聯網信息作為現有技術的界定
目前,無論是理論界還是實務界一般都認為,我國專利法對現有技術主要從以下四個方面來界定:一是時間上必須確定該現有技術出現于本專利申請日之前;二是地域上,采取混合性標準,即對出版物公開的現有技術采取世界公開標準,其他方式公開的現有技術則采取國內標準;三是公開的方式,有出版物公開、使用公開和其他方式;四是公眾的可獲取性,該公開的現有技術必須是能夠為公眾所得到。[8]也即通常所說的現有技術的三要素:時間要素、地域要素、公開要素加上公眾可獲得性,互聯網信息要作為現有技術也不能例外。接下來,筆者就從這四個方面來探討如何將互聯網信息界定為現有技術。
(一)確定互聯網信息的公開時間——時間要素
筆者前面已經論述過,由于黑客技術的擴展,互聯網信息時間如果簡單地依據信息文件所顯示的時間來確定肯定是不符合實際的。日本特許廳在《處理在互聯網上公開的技術信息作為現有技術審查指南》中指出,對信息是否在申請日之前公開這一問題的回答應基于引用的電子技術信息所載明的時間,公開的時間應按照將互聯網信息在各自網站公開的國家或者地區的時間轉化為日本標準時間來進行確定。從上述內容可得出:第一,日本特許廳不會采用未載明公開時間的互聯網信息為現有技術;第二,網站公開時間可以用來判斷該互聯網信息的公開時間,但該網站公開時間僅作為認定該信息公開時間的基礎,只有在對該時間“進行確定”的判斷后,才能確定其具體公開時間。[9]而美國《專利審查程序手冊》第2128條中也有類似的原則性規定:未包含公開時間的互聯網信息或在線數據庫不能作為現有技術。筆者認為上述日本特許廳的做法可取。原則上,未載明公開時間的互聯網信息不能作為現有技術;其次,已載有公開時間的互聯網信息是否可以作為現有技術應進行個案考察。
對于如何來確定互聯網上信息的具體公開時間,日本的上述《指南》列舉了一個“極少懷疑成分”信息的網站,并明確對于在上述網站公布的信息,其公布的時間就可以直接引用為該信息的公開時間。
而歐洲專利局則在2005年檢索與提供文件方法座談會的研究報告中給出了一些建議。該報告認為:
1.對于互聯網上相當數量的可得信息而言,沒有什么標記可用來確定信息初次為公眾可得到的時間,但為了對公眾可得性有個大概的指示,確定一下日期有時會有幫助:電子文件最后進行修改的日期;文件歸入服務器目錄的日期;搜素引擎在特定地址首次訪問的日期。
2.對于一些文件,比如某些期刊的論文或文章,人們可以早于書面出版物之前在互聯網上得到,這時互聯網上給出的日期就是EPC第54(2)條下公眾可得的有效日期。
3.對于PDF等類似格式的文件需格外注意,雖然在文件工具窗口可以獲得文件創作的日期、最后修改的日期,但應與公開日期相區別。
從上述國家或組織的有關規定可以看出,在確定互聯網上信息的具體公開時間時,首先,應根據該信息公開網站的性質來確定,對于一些信譽度高的網站信息,稱之為“豁免網站”,可以將該信息在網站公布的時間直接作為其具體公開的時間;否則,則將該信息的公開時間推定為其在網站上的時間、文件的最后修改時間或搜索引擎首次訪問的時間,但如果不同意該時間為該信息公開時間的一方有相反的證據,則該時間可能被,也即通過個案中的舉證責任分配來最終確定該信息的具體公開時間。
(二)互聯網信息應視為公開出版物還是屬于其他公開方式——地域要素和公開要素
互聯網信息作為現有技術,其究竟是屬于出版物公開還是屬于其他方式公開,學者們似乎無一致意見,一種觀點認為應重新解釋現有技術的定義,也即修改我國《專利法實施細則》第三十條關于現有技術定義,通過對其中的出版物的重新定義將互聯網上的信息包含到我國現行法律規定的出版物中,或者修改非出版物的地域限制為絕對標準,從而將互聯網上的信息納入到其他公開方式的現有技術中。[1]還有種觀點認為應劃分到出版物類,認為“解決這一問題的辦法很簡單,就是在審查指南中對出版物的定義再做具體改動即可,最穩妥的辦法就是直接修改概念……”,并提出了具體的修改。[5,7]筆者以為,基于互聯網信息與傳統出版物的明顯差異,其明顯的網絡虛擬特征以及人們長期習慣的出版物概念,不能簡單地通過擴大解釋我國專利法中出版物的概念來將互聯網信息納入出版物中;其次,由于其他公開方式中的地域限制問題,如果簡單地擴大地域的限制為絕對地域標準,則會對我國專利的審查工作,即實務帶來較大的沖擊和影響,同時也會帶來了舉證難等許多實踐中的問題,不利于糾紛的及時解決;還有,在我國,修改上述法律法規的程序比較漫長,修法成本也大。
其實,美國專利商標局對《專利審查程序手冊》的修改給了我們啟發。美國專利法和我國專利法一樣,對于現有技術的界定采取的是與我國相同的混合標準或稱相對標準。[7,8]但美國在將互聯網信息納入現有技術時并沒有修改其專利法,而是將其“視為”公開出版物,修改了其《專利審查程序手冊》。筆者以為,其根本的原因在于:美國認為,對于互聯網信息而言并不存在一個地域性問題;其次,互聯網信息與公開出版物具有相同的絕對公開、全世界公開的效果,但仍然不能稱之為出版物,類似于我國著作權法上法人或非法人組織可視為著作權作者,但其不可能是著作權的真正作者。事實上,任何地方上載或存放的信息,只要是進入了互聯網,“由于互聯網的無國界性,就意味著在全世界范圍內公開和使用,因此并不存在國內使用的可能。”[6]換句話說,互聯網信息應該是能夠在本國內通過互聯網來獲取的信息,否則的話,它還能叫互聯網信息嗎?因此,考慮到上述修法成本等原因,而我國《審查指南》的修改相對比較容易些,可以由國家專利局通過修改《審查指南》或審查指南補充規定的方式,將互聯網上的信息作為專利法實施細則中規定的現有技術的“其他方式”即可,而完全不必將互聯網信息視為出版物或對專利法及其細則作修改。
(三)如何來確定互聯網信息的公眾可獲取性
1.互聯網信息的公眾可獲取性。現有技術的公眾獲取性就是指技術信息處于這樣的狀態,它能夠被非特定的個人看到,并且無需暗示該信息已被實際使用,公眾可獲知性是貫穿整個現有技術的精髓。[7]傳統現有技術對公眾可獲取性考察的關鍵在于該信息或技術處于“能夠為公眾獲知的狀態,即所謂‘公眾想得知即可得知’的狀態……,至于是否確實有人得知,則在所不問”。[4]
在網絡環境下,對于普通公眾從互聯網上獲取信息來進行創新活動已不是問題,但是,正如我們前面已論述過的,由于互聯網信息的不確定性和多樣性,簡單地將將所有的互聯網信息作為現有技術肯定是存在問題的,因此,在考慮將互聯網信息作為現有技術的時候,我們必須另辟捷徑。
2.互聯網信息的公眾可獲取范圍。筆者認為,盡管我們不能將互聯網上的信息絕對地作為現有技術,但是可以考慮將互聯網信息根據其基本特征做某種劃分,從而對互聯網信息的公眾可獲取性進行區別對待。
第一,開放性無償信息與加密性有償信息。互聯網上的信息,根據其是否可以直接通過點擊鏈接而無需輸入交費獲取的密碼或口令可分為開放性無償信息與加密性有償信息,前者主要包括一些普通的新聞網站、個人網站、論壇或BBS等,該類網絡信息的共同特點就是用戶無需付費就可以通過直接訪問或注冊用戶而登錄瀏覽網絡上的信息,一般可以分為兩種:第一種為免登錄網站信息,如新浪網站等一些新聞網站信息,通過上網后輸入網址就可以充分瀏覽到其網站上的免費新聞信息;第二種為登錄訪問信息,如一些免費論壇、BBS網站上的信息,用戶必須根據該網站的要求先進行注冊,取得用戶名和口令后才可以據此登錄網站進行瀏覽其站內的免費信息。因上述兩種信息與我們普通的其他紙質信息如報刊新聞或出版物等一樣具有開放性,即只要你安裝并接通了互聯網絡,你就可以通過點擊或登錄來訪問瀏覽這些開放性的無償信息內容,因此,這些信息當然具有公眾可獲取性。后者主要有會員訪問信息,如有些網站要求進入者必須根據要求并付費后取得用戶名及密碼后才能登錄進入訪問瀏覽站內信息,對于該類網站信息,盡管有不同的意見,但學界基本達成一致的意見,即只要網站對付費用戶對象沒有特殊要求,如未附有某種先前注冊時約定的保密義務或行業習慣上的默示義務,并且完全符合一般公眾的條件,該類網站上的信息同樣可以歸入現有技術的范圍[5,10],具有公眾可獲取性。
第二,網絡保留信息與即時網絡信息。這是根據信息在網絡上保留時間長短來進行劃分的,網絡保留信息是指該信息在互聯網上保留了足夠長的時間,一般是指該保留的信息可以為一定數量的網絡瀏覽者——公眾所查看到,如新聞網站上的信息,論壇內、BBS上的信息。對于該類信息,即使其并不直接出現在所進入的網站上,但也可以通過一些搜索工具如站內搜索或搜索引擎Google等查找后間接找到。考慮到網絡技術的發達,任何技術領域的普通技術人員都會使用上述方法來查找信息,因此,該類信息通常也應屬于公眾可獲取的信息范圍。另一類是即時網絡信息,即該類信息在網絡上未能保留足夠長的時間,其短暫時間僅使當時在線的某些人瀏覽到,有時可能只是者和管理員看到而已,如某人上傳信息到某論壇上,因為該信息不符合論壇的要求而很快被管理員發現并刪除。日本特許廳的《處理在互聯網上公開的技術信息作為現有技術審查指南》認為,信息公布的時間并不足以使普通公眾有效訪問時,這樣的信息是不被公眾可得到的信息。學者維哈爾施特等在《現有技術在互聯網上的公開:歐洲的觀點》一文中也明確表示:短暫時間的公開并不能認為可以構成現有技術,盡管很難證明在互聯網上的公開事實僅是因為出現了短暫的時間和惡意行為。[7]筆者基本贊同上述觀點,因為,即時網絡信息由于存在網絡上的時間太短,以至于根本不可能被一般公眾所接觸到,當然也就不可能被本領域的技術人員利用,因此其不具有公眾可獲取性。
但上述觀點唯一難以解釋的是,被公眾所有效訪問的足夠長時間應如何解釋?足夠長時間可以采取主觀性標準和客觀性標準來解釋。如果采取客觀性標準,則法律上就應規定一個具體的信息保留時間,但這顯然是不符合現實的,比如我們規定3天的保留時間,也即確定互聯網上的信息只要在任何網站超過3天時間既可以作為現有技術。但現實中網站情況各不相同,有些網站如專業網站或會員網站由于訪問的人少,甚至可能從信息上載到申請日的很長一段時間內(超過3天)根本就沒有人來訪問過該網站,該信息也就不可能被相關公眾所得知,因此,客觀性標準是行不通的。筆者認為,可以參考前面有關互聯網信息公開時間的論述,對于被列入到“豁免網站”名單的網站信息,無論其公開的時間有多長,只要其在上述網站公開過就具有公眾可獲取性,即采用客觀性標準;而對于其他網站上的信息,則應在個案中通過雙方的舉證責任分配來確定具體的公開時間,也即采取主觀性標準。
第三,單向網絡信息和多向網絡信息。這是根據信息對象的多少來劃分的。單向網絡信息是指信息僅在單個的網絡用戶之間進行流通,而不泄露給第三者,如我們經常使用的普通電子郵箱、QQ之類的即時聊天工具以及聊天室內的私聊等信息,該類信息通常因為公開的對象有限,不可能被一般的公眾所獲知,所以也不具有公眾可獲取性。而多向網絡信息,是指該信息是面向多人傳遞的,從而有可能會被一般的公眾所獲知。該類信息又可以分為不特定對象的多向信息和特定對象的多向信息,前者由于信息可能被任何不特定的對象所獲得,所以構成現有技術的一部分。后者則應區別對待,對于那些只向特定的有某種保密性義務對象的信息,如某公司向本公司內部特定級別的管理層員工發送的郵件,顯然不足以為一般的公眾所了解,因此不具有公眾可獲取性,而對于那些向特定的但不存在保密性義務的對象的信息,如某網站僅向本站已注冊用戶的信息,或公司向普通員工的信息,則應具有公眾可獲取性。
參考文獻:
[1]何越峰,互聯網信息的現有技術效力問題初探[M]//國家知識產權局條法司.專利法研究(2003).北京:知識產權出版社,2003:201-202.
[2]鄭成思,知識產權法[M].北京:法律出版社,1997.
[3]吳觀樂,專利實務[M].北京:知識產權出版社,2007.
[4]國家知識產權局專利復審委員會.專利復審委員會案例詮釋——現有技術與新穎性[M].北京:知識產權出版社,2004:3
[5]劉華,趙靜.互聯網公開對現有技術的影響[J].世界科技研究與發展,2007,29(1):76.
[6]楊為國,戚昌文.互聯網信息對專利新穎性的影響[J].知識產權,2001(6):16-17.
[7]姜向偉,互聯網信息作為現有技術的有關法律問題研究[D].北京:中國政法大學碩士學位論文,2006.
[8]劉華,趙靜,萬小麗.現有技術的界定[M]//國家知識產權局條法司.專利法及專利法實施細則實施第三次修改專題研究報告(上).北京:知識產權出版社,2006:189-192.
第4篇:互連技術論文范文
關鍵詞:異構數據庫;數據訪問;Hibernate
中圖分類號:TP311文獻標識碼:A文章編號:1009-3044(2011)08-1713-03
The Application of Hibernate in System of Heterogeneous Databases
YAO Xiao-hui, WANG Hui, ZHANG Ya-jun
(Information and Control Institute, Xi'an University of Architecture & Technology, Xi'an 710055, China)
Abstract: In recent years, there is a lot of data storing in different databases during development of enterprise, therefore, many isolated subsystem of data formed in each department. And it is obstacle to application of data. At present, database middleware is one of important technology in integration of data in heterogeneous databases and be used in this paper to realize access to heterogeneous data in internal of enterprise.
Key words: Heterogeneous databases; access of data; Hibernate
近年來,隨著計算機網絡技術的發展,網絡資源信息共享在人們生活學習中起到了重要作用。然而由于各種原因,計算機網絡信息的數據存在于不同的數據庫管理系統。如何消除異構數據的差異,將各個孤立的數據系統有機地聯系起來,為用戶提供統一透明的訪問成為計算機網絡研究的重要方向。本文基于Hibernate數據庫中間件技術實現對異構數據庫的透明訪問。而當前的異構數據庫系統中主要存在以下幾個問題:
1) 數據信息的數據庫管理系統不同,如:MySQL、HSQL、SQL Server等數據庫管理系統;
2) 不同數據庫管理系統數據類型的異構,如:整型數據的長度、布爾類型的支持等;
3) 數據庫所在的操作系統的異構,如:Windows、Linux等;
4) 數據庫所在的網絡環境的異構,如:Internet和各種局域網。
1 異構數據訪問技術簡介
目前國內外針對異構數據庫技術的研究已經取得了一定的成績。對于異構數據庫的集成和互聯問題的解決方法主要有,基于XML的異構數據庫訪問中間件技術,基于Web Service的異構數據庫技術,Java RMI(Remote Method Invocation)、DCOM(Distributed Component Object Model)和CORBA(Common Object Request Broker Architecture)分布式對象模型技術等。在這些技術的研究過程中,都會涉及到異構數據庫中數據訪問技術,主要包括CGI(Common Gateway Interface)、CDG(Common Database Gateway)、CPI(Common Programing Interface)技術等。
1.1 主要異構數據訪問技術
1.1.1 基于CGI的數據訪問技術
CGI是Web服務器與CGI應用程序之間進行信息傳遞的一種標準,是目前訪問數據庫最常用的方法之一,它移植性好,幾乎所有的web服務器都支持CGI標準。但是,CGI有一個致命的弱點,那就是CGI程序不能被多個客戶請求共享。每當接到一個請求后,即創建一個并發進程,并發請求越多,創建的并發進程越多,占用的內存空間越大,這樣就限制了應用程序自身所用的內存資源。
1.1.2 基于CPI的數據訪問技術
通用編程接口是將各數據庫的連接驅動進行封裝,以一種的編程形式為開發者提供統一的接口。當前通用數據庫編程接口主要有微軟公司的開放式數據庫互連技術ODBC(Open Database Connectivity)和Sun公司的Java數據庫互連技術JDBC(Java Database Connectivity)。
JDBC是第一個支持Java語言的數據庫應用程序接口,功能上與ODBC相仿,定義了連接數據庫的操作規范,實現對查詢語言的支持,并提供對不同數據庫管理平臺的驅動支持。另外,Java語言實現的API,JDBC可以實現跨平臺的應用。
1.2 基于Hibernate的異構數據訪問技術
Hibernate框架技術,是一個開源的對象關系映射框架技術,它實現了對JDBC的輕量級封裝,使得Java程序員可以使用面向對象編程思維來實現對數據庫管理操作。Hibernate可以代替JDBC應用的任何場合,既可以在Java的客戶端程序使用,也可以在Servlet/JSP的Web應用中使用,更重要的是,Hibernate可以在應用企業級架構中取代CMP,完成數據持久化的重任。Hibernate是一種數據庫中間件技術,其存在于應用與數據庫之間,如圖1所示。
Hibernate O/R映射是數據庫開發最關鍵的組成部分。Hibernate采用XML文件來定義對象和關系數據庫之間的映射,具體的實體映射關系包括:類名與表名的映射、主鍵映射、屬性與字段的映射。另外,Hibernate同時為開發者提供數據表間關系的映射,即持久化對象之間的關聯關系包括:持久化對象的一對一關聯、一對多關聯和多對多關聯,這些關聯都可以在配置文件中以關鍵字進行表示。
2 基于Hibernate的異構數據庫訪問的設計
結合異構數據庫應用的特點,其主要的應用流程如圖2所示,用戶通過應用程序向服務器發送查詢數據請求,當服務器接收到查詢請求時進行請求分析,并依據系統所提供的全局數據字典,將查詢請求劃分為對各個數據子系統的分查詢,由數據連接管理模塊進行具體數據庫的查詢操作,操作完成后將結果進行整合返回到用戶界面。該設計主要考慮的是存在于服務器端的數據的分解查詢與查詢結果整合,圖2是對各個模塊的設計。
2.1 全局數據字典
全局數據字典,是用于描述整個系統中各數據庫的基本信息,各數據庫與全局數據庫模式之間的映射關系,其詳細內容包括:各個局部數據庫的名稱、類型、驅動、節點地址、用戶名和密碼;全局數據表與局部數據表的映射關系;全局表字段與局部表字段的映射關系;字段類型的映射關系。
1) 全局數據庫信息
其中描述了整個系統內各個局部數據庫的基本情況,包括:數據庫名稱、數據庫類型、節點地址、用戶名和密碼,從而提供JDBC連接的基本內容,如表1所示。
表1
在Hibernate中,采用Java提供的Properties實現全局數據庫表,其配置文件名稱為hibernate.properties,內容如下:
hibernate.dialect=net.sf.hibernate.dialect.MySQLDialect
hibernate.connection.driver_class=com.mysql.jdbc.Driver
hibernate.connection.url= jdbc:mysql://host:3306/mybook
hibernate.connection.username=Book1user
hibernate.connection.password=****
hibernate.show_sql=true
針對于多個數據源連接時,可以通過Configuration實現不同數據源Session的創建如下:
SessionFactory mysqlSessionFactory =
new Configuration().configure("/mysql.cfg.xml").buildSessionFactory();
2) 全局數據表與局部數據表映射
全局數據表是對類型相同的位于不同數據庫管理系統的數據表的一種抽象的統一,為用戶層提供一個一致的訪問接口和顯示界面,如表2所示,以圖書館圖書表結構為例。
表2
在表2中,數據表Book_table1和數據表Book_table2屬于不同的數據庫,但是通過該關系映射表,它們都屬于全局表Book_table的子表。在處理全局表字段與局部表字段映射時,應注意到全局字段所在全局表對應于局部字段所在的局部表,即在整個系統中,全局字段有其全局字段的唯一表示,局部字段有其在系統中的唯一表示。
在應用Hibernate實現異構數據訪問時,通過ORM可以實現Java類到關系數據庫的映射,這是不再贅述。在實現全局數據表到局部數據表的映射時,可以通過局部數據表類實現全局數據表接口的形式完成。
interface book{
…//book對應于book全局數據表
}
class book1 implements book{
…//book1對應于book1局部數據表
}
class book2 implements book{
…//book2對應于book2局部數據表
}
2.2 請求接收分析模塊
該模塊負責接收從用戶應用的客戶端接收發送過來的查詢請求并進行分析,對應全局字典將全局的查詢語句翻譯成對各個局部數據庫的子查詢,并將其遞交到數據連接管理模塊。當接收到SQL請求“select * from book where isbn=1”,在HQL(Hibernate Query Language)中是對book類集合的操作,首先對各個局部數據庫進行SELECT操作獲得數據庫的Java Bean備份,通過查找與其條件匹配的結果返回到用戶界面。
2.3 數據連接管理模塊
數據連接管理模塊負責對局部數據庫進行子查詢操作,并將結果提交到結果整合模塊。在該模塊中主要是對各個局部數據庫連接驅動和數據庫連接池的管理,底層的操作由JDBC實現。對于所需數據庫連接驅動的描述在上文的全局數據字典已經給出,而對于各個局部數據庫查詢語言仍可以采用HQL,局部數據庫查詢操作如下:
Session session = SessionFactory.openSession();
Transaction tx;
tx=session.beginTransaction();
session.delete("from book1 as c");
mit();
2.4 結果整合模塊
該模塊負責將數據連接管理模塊遞交的查詢結果進行整合。局部數據庫所提交的結果是以Java Bean形式進行存儲的,在整合的過程中,采用身上轉型將各個結果轉化為其接口的形式,實現其格式的統一。最后,數據結果以HTML或JSP的形式顯示到應用客戶端。
3 結束語
論文采用Hibernate數據庫中間件技術實現了對異構數據庫的數據訪問,在一定程度上解決了操作系統異構性,數據庫管理系統異構性,數據表結構的異構性,在實際的應用中也起到了用戶透明訪問的作用。但是,從整個異構數據庫中依舊存在的問題來看,論文中的設計在局部數據庫安全控制沒有過多考慮,在深層次的異構情況中,表現不足。未來異構數據庫技術必將在B/S模式下取得長足的發展,而由此帶來的各方面技術的進步又將完善整個異構數據庫系統。
參考文獻:
[1] Elliott J.Hibernate程序高手秘笈[M].O'Reilly Taiwan公司,譯.南京:東南大學出版社,2007.
[2] 孫衛琴.精通Hibernate:Java對象持久化詳解[M].北京:電子工業出版社,2005.
[3] 吳其慶.Eclipse程序設計實例教程[M].北京:冶金工業出版社,2007.
[4] 徐斌,于微微,于志濤.基于Web服務的異構數據庫集成技術研究[J].中國科技資源導刊,2008,40(5):19-24.
[5] 羅華雯,趙敬中.利用Java實現基于Web的異構數據庫的聯合使用[J].計算機應用研究,2000,7:104-106.
第5篇:互連技術論文范文
論文關鍵詞:隨著電信技術的不斷發展,電信主干網絡的功能越來越完善,功能也越來越強,所提供的業務種類也不斷增加。但是作為整個電信網絡組成之一的用戶(終端)接入系統卻因其技術和裝備的相對落后而成為電信事業發展的“瓶頸”。為解決這一問題,近年在電信領域里出現了一種新的技術概念——光纖接入網
電信網:眾多傳輸系統通過交換系統按一定拓撲模式組合在一起才構成電信網。
電信網的構成:用戶終端設備,傳輸鏈路及轉接交換設備。
接入網:由業務節點接口(SNI)和用戶入網接口(UNI)之間的一系列傳送實體(例如線路設施和傳輸設施)組成,為供給電信業務而提供所需傳送承載能力的實施系統,可經由Q3接口配置和管理。
Q3
UNI
SNI
接入網的定界
二、 接入技術
1. 有線接入技術。
包括銅線接入,光纖接入,光纖/同軸混合接入HFC等,近幾年發展起來的XDSL(數字用戶線技術)技術通過將數字信號直接調制到模擬的電話線上傳輸,可以獲得較高的寬帶和傳輸速率,其主要的技術包括HDSL,ADSL,VDSL等。
2.無線接入技術。
其中,光纖技術的發展和應用使接入網能夠全面改進傳統的傳輸媒介,具有寬頻帶,傳輸距離遠,傳輸質量高,損耗低等優點,提高了接入網的投資效益,使接入網朝著更高效,更安全的方向發展。
3.OAN(Optical Access Network)光纖接入網,就是指從業務節點(如交換機)到用戶節點之間得饋線段,配線段及引入線段的部分或全部使用光纖實現接入的系統。基于光纖介質采用數據傳輸技術,用以提供寬,窄帶雙向交互式業務(語音,數據,Internet等)的用戶接入系統與設備體系。
三、 光接入網網管
目前的接入網中大多是光接入網,光接入網的操作管理維護功能應遵守上述TMN的通用功能,同時又必須與一些針對光接入網的特有功能要求。
OAN的功能子系統有4類,即設備,傳輸,光的子系統和業務子系統,主要用來完成OAM要求。
設備子系統包含OLT和ONU的機箱,機柜,機架,也包含不在插板上的指示燈和鈴以及光纖配線盤或配線架。設備子系統還包含OLT和ONU的機架機柜的供電以及光分路器的機殼。
傳輸子系統由OLT和ONU的收發設備電路和光/電電路組成。光配線盤和配線機架屬于設備子系統,但光元件本身屬于光的子系統范疇。
光的子系統由各種形成的光纖,光分路器,光濾波器和任何光時域反射儀(OTDR)或線夾式光功率機組成。
業務子系統有那些為了支持不同業務而需要專門將該業務與OAN的一般核心功能相適配的子系統組成,例如PSTN和ISDN。
從功能類別的角度看,則OAN的功能必須具備TMN所規定的4類功能類別:
——配置管理
——性能管理
——故障管理
——安全管理
以寧夏電信銀川地區ADSL五期擴容工程為例,主要的節點設備在選型上應盡可能考慮性能價格比最優、與其它設備的兼容性、并便于網絡管理;在網絡技術上應提供完全的網絡安全控制,遠程信息點的接入技術。
寧夏電信IP寬帶網采用三層結構,分別為核心層、匯聚層、接入層。
(1)核心層
核心層為下兩層(分布層、訪問層)提供優化的數據輸運功能,它是一個高速的交換骨干,其作用是盡可能快地交換數據包而不應卷入到具體的數據包的運算中,否則會降低數據包的交換速度。
寧夏電信ADSL寬帶網銀川地區通過西城核心交換機Catalyst6509接入骨干網。
(2)匯聚層
匯聚層提供基于統一策略的互連性,它是核心層和接入層的分界點,定義了網絡的邊界,對數據包進行復雜的運算。
寧夏電信ADSL寬帶網銀川地區匯聚節點東城、西城、同心路通過交換機S8016接入骨干網。
(3)接入層
接入層的主要功能是為最終用戶提供對寬帶網絡訪問的途徑。
貝爾網管系統
目前銀川市老城區的各個ADSL設備接入節點利用帶內網管通道與網管系統相連,網管系統為上海貝爾提供的網管軟件AWS。主要提供故障管理(告警報告、故障記錄、告警過濾、通過專家(Expert)系統進行告警分析、測試)、配置管理(傳輸配置、設備配置、傳送配置、軟件配置)、性能管理、計費管理和安全管理功能。強大的網絡管理功能,可以最多同時管理200萬個用戶和或4000個節點,支持快速的業務部署、快速的發現節點或鏈路故障并進行故障定位和自動配置功能,使網絡運維簡便,節約了運維成本。該系統支持SNMP協議,每個ASAM都具有一個通往ADSL網管系統永久虛連接(PVC),從而實現對每個ASAM的管理。7300 ASAM提供ATM/IP網管連接方式,支持本地網管和遠程TELNET方式和web方式管理。
華為網管系統
華為公司各DALAM設備均利用帶內網管通道與原有銀川信息大廈iManager N2000網管系統相連,進行集中管理。iManager N2000可以支持多客戶端、分域管理的方式,即全網提供一個綜合網管系統,管理全網的設備、網絡和業務,利用網管系統本身提供的分域管理能力,為特定的區域提供相應管理權限的客戶端。
港灣網管系統
銀川已經有港灣公司一套HammerView網管系統,通過10/100M口連接到IP骨干網。
參考文獻
[1] 用戶接入網/顧群 -北京:人民郵電出版社,1996年
[2] 網絡管理原理與實現技術/楊家海 -北京:清華大學出版社,2000年
[3] 網絡管理標準教程/劉曉輝 -北京:人民郵電出版社,2002年
[4] SDH網絡管理及其應用/李興明 -北京:人民郵電出版社
[5] 現代網絡管理技術/孟洛明 -北京:北京郵電大學出版社,1999年
[6] 計算機通信網絡技術及應用/李道華 -北京:人民郵電出版社
[7] 網絡與互連技術/顧紅勛 -北京:人民郵電出版社
[8] 互聯網接入——基礎與技術/劉云 -北京:人民郵電出版社
[9] 通信與網絡技術概述/智少游 -北京:中國鐵道出版社,年
[10] 現代網絡管理/ R.S.Blicg北京博彥科技發展責任有限公司;吳錫根等譯.--北京 電子科技大學出版社,1997年
第6篇:互連技術論文范文
【關鍵詞】隧道技術,應用,研究
中圖分類號:U45文獻標識碼: A
一、前言
由于網絡的發展和完善以及速度的不斷提高,越來越多的公司逐步進行運用隧道技能。大規模的組建VPN網絡已經成為一種趨勢,這種技術越來越多地遭到用戶的廣泛重視。
二、VPN的隧道技術
VPN技術比較復雜,它涉及到通信技術、密碼技術和現代認證技術,是一項交叉科學。具體來講,目前VPN主要采用下列四項技術來保證其安全,這四項技術分別是隧道技術(Tunneling)、加解密技術(Encryption&Decryption)、密鑰管理技術、使用者與設備身份認證技術(Authentication)。隧道技術是VPN的基本技術,類似于點對點連接技術,它在公用網中建立一條數據通道(隧道),讓數據包通過這條隧道傳輸。隧道技術的基本工作原理是在源局域網與公網的接口處將數據作為負載封裝在一種可以在公網上傳輸的數據格式之中,在目的局域網與公網的接口處將數據解封裝,取出負載。被封裝的數據包在互聯網上傳遞時所經過的邏輯路徑被稱為“隧道”。
三、隧道技術
1、第二層隧道協議
第二層隧道協議是先把各種網絡協議封裝到PPP中,再把整個數據包裝入隧道協議中。這種雙層封裝方法形成的數據包靠第二層協議進行傳輸。創建隧道的過程類似于在雙方之間建立會話;隧道的兩個端點必須同意創建隧道并協商隧道各種配置變量,如地址分配,加密或壓縮等參數。第二層隧道協議有L2F、PPTP、L2TP等。
(一)、點對點隧道協議(PPTP)
PPTP將PPP數據楨封裝在IP數據報內通過IP網絡,如Internet傳送。PPTP還可用于專用局域網絡之間的連接。PPTP使用一個TCP連接對隧道進行維護,使用通用路由封裝(GRE)技術把數據封裝成PPP數據楨通過隧道傳送。可以對封裝PPP楨中的負載數據進行加密或壓縮。
(二)、第2層轉發(L2F)
L2F是Cisco公司提出的隧道技術,作為一種傳輸協議L2F支持撥號接入服務器將撥號數據流封裝在PPP楨內通過廣域網鏈路傳送到L2F服務器(路由器)。L2F服務器把數據包解包之后重新注入(inject)網絡。與PPTP和L2TP不同,L2F沒有確定的客戶方。應當注意L2F只在強制隧道中有效。
(三)、第2層隧道協議(L2TP)
L2TP結合了PPTP和L2F協議。設計者希望L2TP能夠綜合PPTP和L2F的優勢。L2TP是一種網絡層協議,支持封裝的PPP楨在IP,X.25,楨中繼或ATM等的網絡上進行傳送。當使用IP作為L2TP的數據報傳輸協議時,可以使用L2TP作為Internet網絡上的隧道協議。L2TP還可以直接在各種WAN媒介上使用而不需要使用IP傳輸層。
2、第三層隧道協議
IPSec是指IETF(因特網工程任務組)以RFC形式公布的一組安全IP協議集,是為IP及其以上協議(TCP和UDP等)提供安全保護的安全協議標準。其目標是把安全機制引入IP協議,通過使用密碼學方法支持機密性和認證服務等安全服務。IPSec通過在IP協議中增加兩個基于密碼的安全機制―認證頭(AH)和封裝安全載荷(ESP)來支持IP數據報的認證、完整性和機密性。IPSec協議族包括:IP安全架構、認證頭AH、封閉安全載荷ESP和Internet密鑰交換(IKE)等協議。IP安全架構協議指定了IPSec的整個框架,是IP層安全的標準協議。AH協議定義了數據源認證和完整性驗證的應用方法。ESP為IP數據報文提供數據源驗證、數據完整性校驗、抗重播和數據加密服務。IKE為AH和ESP提供密鑰交換機制,在實際進行IP通信
時,可以根據實際安全需求,同時使用AH和ESP協議,或選擇使用其中的一種。
3、新興的隧道協議
SSL是Netscape公司設計的主要用于web的安全傳輸協議。SSL被設計為使TCP提供一個可靠的端到端的安全服務,它不是一個單一的協議,而是由多個協議組成記錄協議定義了要傳輸數據的格式,它位于可靠的傳輸協議TCP之上,用于各種更高層協議的封裝。記錄協議主要完成分組和組合,壓縮和解壓縮,以及消息認證和加密等功能。所有傳輸數據包括握手消息和應用數據都被封裝在記錄中。握手協議允許服務器與客戶機在應用程序傳輸和接收數據之前互相認證、協商加密算法和密鑰。通信雙方首先通過SSL握手協議建立客戶端與服務器之間的安全通道,SSL記錄協議通過分段、壓縮、添加MAC以及加密等操作步驟把應用數據封裝成多條記錄,最后再進行傳輸。
四、隧道技術的應用模型
1、端到端安全應用
IPSec存在于一個主機或終端系統時,每一個離開和進入的PI數據包都可得到安全保護。PI包的安全保護可以從數據源一直到數據被接收。制定相應的安全策略,一對獨立的SA可以保護兩個端點之間的全部通信―Tenlet、SMTP、WEB和FTP等。或者,根據兩個端點之間通信的協議的不同(TCP和UDP)和端口的不同,分別用不同的SA保護兩個端點之間的不同的通信。在這種模式下,通信的端點同時也是PISec的端點。所以,端到端安全可以在傳送模式下,
利用PISec來完成;也可以在隧道模式下,利用額外IP頭的新增來提供端到端的安全保護。
2、虛擬專用網
IPSec存在于路山器等網絡互連設備時,司一以構建虛擬專用網VPN。VPN是“虛擬的”,因為它不是一個物理的、明顯存在的網絡。兩個不同的物理網絡通過一條穿越公共網絡的安全隧道連接起來,形成一個新的網絡VPN。VPN是“專川的”,因為被加密的隧道可以提供數據的機密性。而今,人們從傳統的專線網絡轉移到利用公共網絡的網絡,逐漸意識到節省費用的VPN重耍性。通過在路山器上配置PISec,就可以構建一個VPN。在路山器的一端,連接著一個受保護的私有網絡,對這個網絡的訪問要受到嚴格的擰制。在另一端連技的是一個不安全的網絡帳Internet。在兩個路山器之間的公共網絡上建立一條安全隧道,通信就可以從一個受保護的本地子網安全地傳送到另一個受保護的遠程子網。這就是VPN,在VPN中,母一個具有IPSec的路由器都是一個網絡聚合點。在兩個PISec的路山器之間通常使用隧道模式,可以采用多種安全策略,建立一對或多對SA,試圖對VPN進布J屯通信分析將是非常困難的。如果在一個本地私有網絡中的數據包的目的地是VPN的遠程網絡―它是從一個路由器發送到另一個路山器的、加密的數據包。
3、移動IP
在端到端安IP全中,數據包由產生和l或接收通信的那個主機進行加密和解密.在VPN中,
網絡中的一個路由器對一個受安全保護的網絡中的主機(或多個)的數據包進行加密和解密。這兩個組合一般稱為移動IP。移動IP一般是獨立的,它要求計問受安全保護的網絡,它是一個移動的客戶,不停留在某個固定的地方。他必須通過旅店、或任何一個可以進行internetPOP的地方,安全地訪問公司資源。在移動IP的方案中,移動主機和路由器都支持PISec,它們之間可以建立一條安個隧道。它們能夠在外出數據包抵達通信線路之前對它進行安全保護:能夠在對進入包進行IP處理之前,驗證它們的安全保護。具有PISec的路山器保護的是移動主機想要訪問的那個網絡,它也可以是支持V戶N的路山器,允許其它的移動主機進行安全的遠程訪問。在這種方案中,一方是移動主機,它既是通信方。另一方將PISec當作一項服務提供給另一個網絡實體。
4、嵌套式隧道
有時,需要支持多級網絡安全保護。比如下面一個例子:一個企業有一個安全網關,以防止其網絡受到競爭者或黑客的侵犯和攻擊,而企業內部另有一個安全網關,防止某些內部員工進入敏感的子網。比如銀行系統的企業網。這種情況下,如果某人希望對網絡內部的保護子網進行訪問,就必須使用嵌套式隧道。
5、鏈式隧道
一種常見的網絡安全配置是Hub-and-spoke。從一個網絡橫過Hub-and-spoke網絡,到達另一個網絡的數據包都由一個安全網關加密,由中心路由器解密,再加密,并由保護遠程網絡的另一個安全網關解密。
6、隧道交換模型
如果從交換的角度來看,它也可以稱為隧道交換模型。在中心路由器所連接的四個網絡可以是不同類型的網絡,隧道的實現方式也可以不同,但是,不同網絡的兩個節點在進行數據傳輸時,并不關心隧道的實現媒體,隧道可以接力的方式進行數據的傳遞。從安全的角度,假設每一個隧道是安全的,且中心路由器也是安全的,那么任何兩個節點之間的通信也應該是安全的。假設隧道間彼此不能信任,那么可以只將隧道的連接看作是一條數據的傳輸通道,再使用前面所論述的隧道模型實現安全保護,如點到點的隧道安全模式。
五、結束語
由于Internet基礎設施的完善,隧道技能必將將在網建等各范疇,發揮著越來越重要的效果。實現隧道技能的多種多樣,它們各有各的優勢,如今,市場上大多數都在使用VPN這類技能。
參考文獻
[1]毛小兵,VPN演進之隧道交換.《計算機世界》2000
[2]沈鑫剡.IP交換網原理、技術及實現[M].北京:人民郵電出版社,2003.
第7篇:互連技術論文范文
論文摘要:以管理技術和計算機技術為基礎的信息管理系統已經步入中國工業企業的經營生產活動中。因此,我們有必要探討現代信息管理系統在現代信息社會中的作用,從而使其更好的為中國社會主義市場經濟的有序發展做出突出貢獻。
一、研究背景
二十世紀末,人類文明的發展進入信息時代,計算機技術、現代通信技術、網絡互連技術、數據庫技術、信息技術、智能信息處理技術、信息安全技術等關鍵技術都日趨成熟,為信息技術的發展、為信息系統的大規模建設和應用提供了堅實的技術理論基礎。信息己成為社會生產力的一個重要因素。信息技術的發展使我們社會發生著一場變革,隨著網絡技術,尤其是INTERNET技術的成熟與發展,管理信息化已成為一種趨勢。信息化是“社會經濟的發展從以物質和能量為經濟結構的重心向以信息與知識為經濟結構的重心轉變的過程”,數字化、網絡化是其主要內容,信息化管理則是利用數字網絡信息技術系統所進行的管理。西方發達國家的LIMS(實驗室信息管理系統)市場在九十年代就已經完全打開,現在LIMS已經成為一個標準詞匯為大家廣為接受,在美國每年要召開一次LIMS大會,討論LMIS的有關問題。在國內,LIMS在九十年代開始為人們所知道,并在石油化工等行業得到了一些初步推廣,但總的來說還遠沒有達到普及的程度。這當然也受到了各種條件的制約:體制、觀念、經費等等,但其中起根本作用的是硬件基礎條件和人們的觀念[1]。
二、信息管理系統的起源、定義及發展
(一)信息管理系統的起源
信息管理系統的概念起源很早。早在30年代,柏納德就寫書強調了決策在組織管理中的作用;50年代,西蒙提出了管理依賴于信息和決策的概念;同一時代維納發表了控制論和管理,他把管理過程當作一個控制過程。50年代計算機已用于會計工作。1958年蓋爾寫到“管理將以較低的成本得到及時準確的信息,做到較好的控制”這時數據處理一詞已經出現。
信息管理系統一詞最早正式出現在1970年,由Walert.TKeunvena定義為:“以口頭或書面的形式,在合適的時間向經理、職員以及外界人員提供過去的、現在的、預測未來的有關企業內部及其環境的信息,以幫助他們進行決策”。很明顯這個定義是出自管理而不是計算機。他雖強調了用信息支持決策,但沒有強調應用模型,也沒有強調一定要用計算機。所有這些均顯示了這個定義的初始性。直到1985年,出現信息管理系統的一個比較完整的定義:“它是一個利用計算機硬件和軟件,手工作業、分析、計劃、控制和決策的模型,以及數據庫的用戶一一機器系統。它能提供信息支持企業或組織的運行、管理和決策功能”。這個定義全面說明了信息管理系統的目標、功能和組成,而且反映了信息管理系統當時達到的水平。它說明了信息管理系統在高、中、基三個檔次上支持管理活動。但
人們對信息管理系統的理解尚未完全統一,一般認為:“信息管理系統是一個由人、計算機等組成的能進行信息的收集、傳送、存儲、加工、維護和使用的系統。它利用信息技術,通過對企業(或部門)過去和當前運行數據的分析處理來獲得所需信息,從而達到控制企業行為并對企業的未來狀況提供預測資料,從整體上輔助企業的領導進行決策的目的[3]”。
隨著信息技術、網絡技術和通信技術的發展,人類已全面進入信息社會。信息社會對企業管理的理念、方法帶來了革命性的變化,企業管理信息化是當今世界企業發展的一個大趨勢,是企業在競爭中處于不敗地位的有效手段之一。企業獲取信息是否及時、信息能否得到充分利用已越來越成為衡量一個企業市場競爭能力的重要因素。
近幾年來,許多企業都建立了自己的Intranet網絡,并且利用Internet/Intranet實現企業信息的快速采集、、存儲、處理和交流,從而有效的管理企業。人員和設備的管理是企業管理的重要內容,當今社會,企業人員流動頻繁,設備更新速度快,人員和設備管理工作也變得越來越復雜,實現人員、設備管理的信息化,無疑將給企業管理部門帶來很大的方便。
(二)信息管理系統的發展
信息管理系統在80年代即在英美等發達資本主義國家得以廣泛的開發與應用,以美國公司為代表,管理信息系統軟件已大量應用于生產、生活、通訊、交通、運輸、商業、建筑等各個行業,通常被稱為無紙化、無筆化管理工程。由于我國計算機硬件發展相對于英美等發達國家來說比較落后,經濟發展過程相對滯后,計算機軟件開發市場疲軟,缺乏安全性,再加上軟件開發人才稀缺,嚴重制約了我國管理信息系統的開發與應用;目前我國信息管理系統主要是引進消化國外產品,對國外一些產品加以漢化、改造,但這些產品適應性差,針對性不強,不能很好的應用于我國各行業生產的要求。還有相當一部分企業通過對MIS系統的開發來探索企業現代化管理的思路。
三、信息管理系統的作用
(一)輔助分析
企業等對生產經營等活動進行決策的時候,需要以各種數據作為依據。在人工的數據處理方式下,只能提供定期的報表,難以根據需要提供各種綜合分析的數據,使得企業的決策活動只能是依靠經驗,往往帶有盲目性。這種經營方式是一種低水平的運作,會造成大量的浪費,而通過計算機系統將數據組織起來,可以隨時提供各種所需的數據,能保證決策的準確、及時。
(二)規范化管理
企業等組織中的許多數據管理并不像財務管理那樣有嚴格的制度,常常帶有較大的隨意性,數據采集的時間、格式和計算方式等往往是根據經驗和公式完成的,而且又不便于審核,容易引起混亂和錯誤。計算機系統則能為數據處理提供明確的尺度使之標準化、規范化[6]。 轉貼于
(三)節省人力
不僅大量的重復計算能由計算機處理,可以減輕勞動強度,更重要的是在輸入數據以后,所有的處理都由計算機系統來完成,可以免去人工方式下許多中問的處理環節,達到減員的效果。
(四)信息管理系統可促進組織管理職能、結構優化
信息管理系統本身是一項復雜的系統工程,加之我國一般組織的管理基礎比較薄弱,因此在研究這一問題時,必然會涉及到企業或各種組織原有管理職能分配、工程程序等是否科學、合理,組織機構的設置是否恰當等問題,因而需要進行管理職能、工程程序,乃至組織結構的調整、優化。
(五)信息管理系統能大大的減輕管理人員的工作強度
企業等各種組織的管理的工作量很大每天都會產生大量的信息,但以往由于缺乏有效的手段,造成管理人員的時間與精力都只能放在大量的分類、登記和計算機等工作中,因而在很多場合只能簡化管理。但是通過信息管理系統,可以調用計算機的強大功能,使工作人員有更多的精力去研究、細化管理內容,擴大管理的深度和廣度。這有利于各層次管理者全面、深入地把握各種信息,進行科學的決策,進一步提管理水平。
(六)信息管理系統可促進管理制度的完善
在建立信息管理系統的過程中,隨著職能、組織結構的調整、優化和管理深度的提高,各機構之間的聯系也隨之越來越復雜,要使各機構有機的聯系起來,依靠的是以責任制為基礎建立起來的一整套完整的管理制度。完善的管理制度為信息的采集、加工整理、傳遞等提供了可靠的保證,可使信息這一重要的資源在管理中充分發揮作用。
(七)信息管理系統能提高工作效率
計算機進行數據的處理.其速度是人的幾百倍、幾千倍,將使管理信息的提供更加及時。管理內部網絡的建立,使部門之間的工作銜接更加緊密,大大加快了業務辦理的程度,從而為提高工作效率奠定了良好的基礎。
(八)建設促進管理人員素質提高
在目前的信息管理系統建設中,一個突出問題是計算機專業人員數量少,而且既懂計算機技術又懂管理的復合型人才奇缺;而信息管理系統建設的主力軍是管理人員,管理人員不了解信息管理系統的基礎知識,就不能建成信息管理系統。因此、在信息管理系統的建設中,要保證建設工作的順利進行,人才培養必須同步進行,進一步提高管理人員的素質。
四、結論
通過以上分析,我們可以清楚地看到建立信息管理系統的必要性以及其作用、意義,建立信息管理系統不僅僅是企業安全管理的一項重大變革,而且是時代的需要,是順應時代潮流的體現。隨著應用的不斷推廣和深人,信息管理系統在現代信息社會中的作用必將越來越大,計算機必將促進企業安全管理向科學化和現代化邁進,促進社會的和諧,有序,健康發展[7]。
參考文獻
[1]周先濤.有狀態的Web Services的研究與實現[D].成都:四川大學計算機學院,2006
[2]楊靜.基于NET平臺的XML Web Services研究與實現[D].蘭州:蘭州理工大學,2005
[3]洪應.基于NET平臺Web服務的實現[J].荊門職業技術學院報,2004,5:48-51
[4]萬亮.基于SOA與EDA的綜合架構應用研究[D].武漢:武漢理工大學計算機科學與技術學院,2006
[5]朱明磊,黃磊.基于SOA模式的企業級應用程序的架構設計[J].電腦知識與技術,2005(17):71-74
第8篇:互連技術論文范文
關鍵詞:無線局域網;標準;安全;趨勢
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)34-1891-03
1 引言
無線局域網本質上是一種網絡互連技術,它是計算機網絡與無線通信技術相結合的產物。其作為一種網絡接入手段,能迅速地應用于需要在移動中聯網和在網間漫游的場合,并在不易架設有線的地力和遠沖離的數據處理節點提供強大的網絡支持。因此,WLAN得到了廣泛的應用,已成為無線通信與Internet技術相結合的新興發展力向之一。WLAN的最大優點就是實現了網絡互連的可移動性,但由于無線局域網應用具有很大的開放性,很難控制數據傳播范圍,因此無線局域網將面臨著嚴峻的安全問題。
2 無線局域網安全發展概況
無線局域網802.11b公布之后,迅速成為事實標準,但其安全協議WEP始終受到人們的質疑。美國加州大學伯克利分校的Borisov,Goldberg和Wagner最早指出了WEP協議中存在的設計失誤,接下來信息安全研究人員發表了大量論文詳細討論了WEP協議中的安全缺陷,并與工程技術人員協作,在實驗中破譯了經WEP協議加密的無線傳輸數據。現在,能夠截獲無線傳輸數據的硬件設備己經能夠在市場上買到,能夠對所截獲數據進行解密的黑客軟件也已經能夠在因特網上下載。WEP不安全己經成一個廣為人知的事情,人們期待WEP在安全性方面有質的變化。
3 無線局域網安全風險
安全風險是指無線局域網中的資源面臨的威脅。無線局域網的資源,包括了在無線信道上傳輸的數據和無線局域網中的主機。
3.1 無線信道上傳輸的數據所面臨的威脅
由于無線電波可以繞過障礙物向外傳播,因此,無線局域網中的信號是可以在一定覆蓋范圍內接聽到而不被察覺的 。另外,只要按照無線局域網規定的格式封裝數據包,把數據放到網絡上發送時也可以被其它的設備讀取,并且,如果使用一些信號截獲技術,還可以把某個數據包攔截、修改,然后重新發送,而數據包的接收者并不能察覺。
因此,無線信道上傳輸的數據可能會被偵聽、修改、偽造,對無線網絡的正常通信產生了極大的干擾,并有可能造成經濟損失。
3.2 無線局域網中主機面臨的威脅
無線局域網是用無線技術把多臺主機聯系在一起構成的網絡。對于主機的攻擊可能會以病毒的形式出現,除了目前有線網絡上流行的病毒之外,還可能會出現專門針對無線局域網移動設備,比如手機或者PDA的無線病毒。當無線局域網與無線廣域網或者有線的國際互聯網連接之后,無線病毒的威脅可能會加劇。
對于無線局域網中的接入設備,可能會遭受來自外部網或者內部網的拒絕服務攻擊。當無線局域網和外部網接通后,如果把IP地址直接暴露給外部網,那么針對該IP的Dog或者DoS會使得接入設備無法完成正常服務,造成網絡癱瘓。當某個惡意用戶接入網絡后,通過持續的發送垃圾數據或者利用IP層協議的一些漏洞會造成接入設備工作緩慢或者因資源耗盡而崩潰,造成系統混亂。無線局域網中的用戶設備具有一定的可移動性和通常比較高的價值,這造成的一個負面影響是用戶設備容易丟失。硬件設備的丟失會使得基于硬件的身份識別失效,同時硬件設備中的所有數據都可能會泄漏。
這樣,無線局域網中主機的操作系統面臨著病毒的挑戰,接入設備面臨著拒絕服務攻擊的威脅,用戶設備則要考慮丟失的后果。
4 無線局域網安全性
無線局域網與有線局域網緊密地結合在一起,并且己經成為市場的主流產品。在無線局域網上,數據傳輸是通過無線電波在空中廣播的,因此在發射機覆蓋范圍內數據可以被任何無線局域網終端接收。安裝一套無線局域網就好象在任何地方都放置了以太網接口。因此,無線局域網的用戶主要關心的是網絡的安全性,主要包括接入控制和加密兩個方面。除非無線局域網能夠提供等同于有線局域網的安全性和管理能力,否則人們還是對使用無線局域網存在顧慮。
4.1 IEEE802.11b標準的安全性
IEEE 802.11b標準定義了兩種方法實現無線局域網的接入控制和加密:系統ID(SSID)和有線對等加密(WEP)。
4.1.1 認證
當一個站點與另一個站點建立網絡連接之前,必須首先通過認證。執行認證的站點發送一個管理認證幀到一個相應的站點。IEEE 802.11b標準詳細定義了兩種認證服務:一、開放系統認證(Open System Authentication):是802.11b默認的認證方式。這種認證方式非常簡單,分為兩步:首先,想認證另一站點的站點發送一個含有發送站點身份的認證管理幀;然后,接收站發回一個提醒它是否識別認證站點身份的幀;二、共享密鑰認證(Shared Key Authentication ):這種認證先假定每個站點通過一個獨立于802.11網絡的安全信道,已經接收到一個秘密共享密鑰,然后這些站點通過共享密鑰的加密認證,加密算法是有線等價加密(WEP)。
4.1.2 WEP
IEEE 802.11b規定了一個可選擇的加密稱為有線對等加密,即WEP。WEP提供一種無線局域網數據流的安全方法。WEP是一種對稱加密,加密和解密的密鑰及算法相同。WEP的目標是接入控制,防止未授權用戶接入網絡,沒有正確的WEP密鑰。
加密:通過加密和只允許有正確WEP密鑰的用戶解密來保護數據流。
IEEE 802.11b標準提供了兩種用于無線局域網的WEP加密方案。第一種方案可提供四個缺省密鑰以供所有的終端共享一包括一個子系統內的所有接入點和客戶適配器。當用戶得到缺省密鑰以后,就可以與子系統內所有用戶安全地通信。缺省密鑰存在的問題是當它被廣泛分配時可能會危及安全。第二種方案中是在每一個客戶適配器建立一個與其它用戶聯系的密鑰表。該方案比第一種方案更加安全,但隨著終端數量的增加給每一個終端分配密鑰很困難。
4.2 影響安全的因素
4.2.1 硬件設備
在現有的WLAN產品中,常用的加密方法是給用戶靜態分配一個密鑰,該密鑰或者存儲在磁盤上或者存儲在無線局域網客戶適配器的存儲器上。這樣,擁有客戶適配器就有了MAC地址和WEP密鑰并可用它接入到接入點。如果多個用戶共享一個客戶適配器,這些用戶有效地共享MAC地址和WEP密鑰。
當一個客戶適配器丟失或被竊的時候,合法用戶沒有MAC地址和WEP密鑰不能接入,但非法用戶可以。網絡管理系統不可能檢測到這種問題,因此用戶必須立即通知網絡管理員。接到通知后,網絡管理員必須改變接入到MAC地址的安全表和WEP密鑰,并給與丟失或被竊的客戶適配器使用相同密鑰的客戶適配器重新編碼靜態加密密鑰。客戶端越多,重新編碼WEP密鑰的數量越大。
4.2.2 虛假接入點
IEEE802.11b共享密鑰認證表采用單向認證,而不是互相認證。接入點鑒別用戶,但用戶不能鑒別接入點。如果一個虛假接入點放在無線局域網內,它可以通過劫持合法用戶的客戶適配器進行拒絕服務或攻擊。
因此在用戶和認證服務器之間進行相互認證是需要的,每一方在合理的時間內證明自己是合法的。因為用戶和認證服務器是通過接入點進行通信的,接入點必須支持相互認證。相互認證使檢測和隔離虛假接入點成為可能。
4.2.3 其它安全問題
標準WEP支持對每一組加密但不支持對每一組認證。從響應和傳送的數據包中一個黑客可以重建一個數據流,組成欺騙性數據包。減輕這種安全威脅的方法是經常更換WEP密鑰。通過監測工EEE802.11b控制信道和數據信道,黑客可以得到如下信息:客戶端和接入點MAC地址,內部主機MAC地址,上網時間。黑客可以利用這些信息研究提供給用戶或設備的詳細資料。為減少這種黑客活動,一個終端應該使用每一個時期的WEP密鑰。
4.3 完整的安全解決方案
無線局域網完整的安全方案以IEEE802.11b比為基礎,是一個標準的開放式的安全方案,它能為用戶提供最強的安全保障,確保從控制中心進行有效的集中管理。它的核心部分是:
擴展認證協議(Extensible Authentication Protocol,EAP),是遠程認證撥入用戶服務(RADIUS)的擴展。可以使無線客戶適配器與RADIUS服務器通信。
當無線局域網執行安全保密方案時,在一個BSS范圍內的站點只有通過認證以后才能與接入點結合。當站點在網絡登錄對話框或類似的東西內輸入用戶名和密碼時,客戶端和RADIUS服務器(或其它認證服務器)進行雙向認證,客戶通過提供用戶名和密碼來認證。然后RADIUS服務器和用戶服務器確定客戶端在當前登錄期內使用的WEP密鑰。所有的敏感信息,如密碼,都要加密使免于攻擊。
這種方案認證的過程是:一個站點要與一個接入點連接。除非站點成功登錄到網絡,否則接入點將禁止站點使用網絡資源。用戶在網絡登錄對話框和類似的結構中輸入用戶名和密碼。用IEEE802.lx協議,站點和RADIUS服務器在有線局域網上通過接入點進行雙向認證。可以使用幾個認證方法中的一個。
相互認證成功完成后,RADIUS服務器和用戶確定一個WEP密鑰來區分用戶并提供給用戶適當等級的網絡接入。以此給每一個用戶提供與有線交換幾乎相同的安全性。用戶加載這個密鑰并在該登錄期內使用。
RADIUS服務器發送給用戶的WEP密鑰,稱為時期密鑰。接入點用時期密鑰加密它的廣播密鑰并把加密密鑰發送給用戶,用戶用時期密鑰來解密。用戶和接入點激活WEP,在這時期剩余的時間內用時期密鑰和廣播密鑰通信。
網絡安全性指的是防止信息和資源的丟失、破壞和不適當的使用。無論有線絡還是無線網絡都必須防止物理上的損害、竊聽、非法接入和各種內部(合法用戶)的攻擊。
無線網絡傳播數據所覆蓋的區域可能會超出一個組織物理上控制的區域,這樣就存在電子破壞(或干擾)的可能性。無線網絡具有各種內在的安全機制,其代碼清理和模式跳躍是隨機的。在整個傳輸過程中,頻率波段和調制不斷變化,計時和解碼采用不規則技術。
正是可選擇的加密運算法則和IEEE 802.11的規定要求無線網絡至少要和有線網絡(不使用加密技術)一樣安全。其中,認證提供接入控制,減少網絡的非法使用,加密則可以減少破壞和竊聽。目前,在基本的WEP安全機制之外,更多的安全機制正在出現和發展之中。
5 無線局域網安全技術的發展趨勢
目前無線局域網的發展勢頭十分強勁,但是起真正的應用前景還不是十分的明朗。主要表現在:1) 是真正的安全保障;2)將來的技術發展方向;3) WLAN有什么比較好的應用模式;4) WLAN的終端除PCMCIA卡、PDA有沒有其他更好的形式;5) WLAN的市場規模。看來無線局域網真正的騰飛并非一己之事。
無線局域網同樣需要與其他已經成熟的網絡進行互動,達到互利互惠的目的。歐洲是GSM網的天下,而WLAN的崛起使得他們開始考慮WLAN和3G的互通,兩者之間的優勢互補性必將使得WLAN與廣域網的融合迅速發展。現在國內中興通訊己經實現了WLAN和CI}IVIA系統的互通,而對于使用中興設備的WLAN與GSM/GPRS系統的互通也提出了解決方案,這條路必定越走越寬。
互通中的安全問題也必然首當其沖,IEEE的無線局域網工作組己經決定將EAP-SIIVI納入無線局域網安全標準系列里面,并且與3G互通的認證標準EAP-AID也成為討論的焦點。
無線網絡的互通,現在是一個趨勢。802.11工作組新成立了WIG(Wireless lnterworking Grouq),該工作組的目的在于使現存的符合ETSI,IEEE,MMAC所制訂的標準的無線域網之間實現互通。另外3GPP也給出了無線局域網和3G互通的兩個草案,定義了互通的基本需求,基本模型和基本框架。還有就是愛立信公司的一份文檔給出了在現有的網絡基礎上,實現無線局域網和G1VIS/GPRS的互通。
不同類型無線局域網互通標準的制定,使得用戶可以使用同一設備接入無線局域網。3G和無線局域網的互通者可以使用戶在一個運營商那里注冊,就可以在各地接入。當然,用戶享用上述方便的同時,必然會使運營商或制造商獲得利潤,而利潤的驅動,則是這個互通風潮的根本動力。為了達到互通的安全,有以下需求:支持傳統的無線局域網設備,對用戶端設備,比如客戶端軟件,影響要最小,對經營者管理和維護客戶端SW的要求要盡量少,應該支持現存的UICC卡,不應該要求該卡有任何改動,敏感數據,比如存在UICC卡中的長期密鑰不能傳輸。對于UICC卡的認證接口應該是基于該密鑰的Challenge, Response模式。用戶對無線局域網接入的安全級別應該和3GPP接入一樣,應該支持雙向認證,所選的認證方案應該顧及到授權服務,應該支持無線局域網接入NW的密鑰分配方法,無線局域網與3GPP互通所選擇的認證機制至少要提供3GPP系統認證的安全級別,無線局域網的重連接不應該危及3GPP系統重連接的安全,所選擇的無線局域網認證機制應該支持會話密鑰素材的協商,所選擇的無線局域網密鑰協商和密鑰分配機制應該能防止中間人攻擊。也就是說中間人不能得到會話密鑰素材,無線局域網技術應當保證無線局域網UE和無線局域網AN的特定的認證后建立的連接可以使用生成的密鑰素材來保證完整性。所有的用于用戶和網絡進行認證的長期的安全要素應該可以在一張UICC卡中存下。
對于非漫游情況的互通時,這種情況是指當用戶接入的熱點地區是在3GPP的歸屬網絡范圍內。簡單地說,就是用戶在運營商那里注冊,然后在該運營商的本地網絡范圍內的熱點地區接入時的一種情況。無線局域網與3G網絡安全單元功能如下:UE(用戶設備)、3G-AAA(移動網絡的認證、授權和計帳服務器)、HSS(歸屬業務服務器)、CG/CCF(支付網關/支付采集功能)、OCS(在線計帳系統)。
對于漫游的互通情況時,3G網絡是個全域性網絡借助3G網絡的全域性也可以實現無線局域網的漫游。在漫游情況下,一種常用的方法是將歸屬網絡和訪問網絡分開,歸屬網絡AAA服務作為認證的找到用戶所注冊的歸屬網絡。
在無線局域網與3G互通中有如下認證要求:該認證流程從用戶設備到無線局域網連接開始。使用EAP方法,順次封裝基于USIM的用戶ID,AKA-Challenge消息。具體的認證在用戶設備和3GP-AAA服務器之間展開。走的是AKA過程,有一點不同在于在認證服務器要檢查用戶是否有接入無線局域網的權限。
上述互通方案要求客戶端有能夠接入無線局域網的網卡,同時還要實現USIM或者SIM的功能。服務網絡要求修改用戶權限表,增加對于無線局域網的接入權限的判斷。
無線局域網的崛起使得人們開始考慮無線局域網和3G的互通,兩者之間的優勢互補性必將使得無線局域網與廣域網的融合迅速發展。現在國內中興通訊已經實現了無線局域網和CDMA系統的互通,而對于使用中興設備的無線局域網與GSM/GPRS系統的互通也提出了解決方案,這條路必定越走越寬。
參考文獻:
[1] 郭峰,曾興雯,劉乃安.無線局域網[M].北京:電子工業出版杜,1997.
[2] 馮錫生,朱榮.無線數據通信[M].北京:中國鐵道出版社,1997.
[3] 你震亞.現代計算機網絡教程[M].北京:電子工業出版社,1999.
[4] 劉元安.寬帶無線接入和無線局域網[M].北京:北京郵電大學出版社,2000.
[5] 吳偉陵.移動通信中的關鍵技術[M].北京:北京郵電大學出版社,2000.
[6] 張公忠,陳錦章.當代組網技術[M].北京:清華大學出版社,2000.
[7] 牛偉,郭世澤,吳志軍,等.無線局域網[M].北京:人民郵電出版社,2003.
[8] Wheat J.無線網絡設計[M].莫蓉蓉,譯.北京:機械工業出版社,2002.
[9] Held G.構建無線局域網[M].沈金龍,澤.北京:人民郵電出版社,2002.
[10] Barnes C.無線網絡安全防護[M].林生,譯.北京:機械工業出版社,2003.
[11] Heiskala J.OFDM無線局域網[M].暢曉春,譯.北京:電子工業出版社,2003.
[12] Ouellet E.構建Cisco無線局域網[M].張穎,譯.北京:科學出版社,2003.
[13] Ciampa M.無線周域網設計一與實現[M].王順滿,譯.北京:科學出版社,2003 .
第9篇:互連技術論文范文
關鍵詞:無線局域網;標準;安全;趨勢
前言 無線局域網本質上是一種網絡互連技術。無線局域網使用無線電波代替雙絞線、同軸電纜等設備,省去了布線的麻煩,組網靈活。無線局域網(WLAN)是計算機網絡與無線通信技術相結合的產物。它既可滿足各類便攜機的入網要求,也可實現計算機局域網遠端接入、圖文傳真、電子郵件等功能。無線局域網技術作為一種網絡接入手段,能迅速地應用于需要在移動中聯網和在網間漫游的場合,并在不易架設有線的地力和遠沖離的數據處理節點提供強大的網絡支持。因此,WLAN已在軍隊、石化、醫護管理、工廠車間、庫存控制、展覽和會議、金融服務、旅游服務、移動辦公系統等行業中得到了應用,受到了廣泛的青睞,已成為無線通信與Internet技術相結合的新興發展力向之一。WLAN的最大優點就是實現了網絡互連的可移動性,它能大幅提高用戶訪問信息的及時性和有效性,還可以克服線纜限制引起的不便性。但由于無線局域網應用具有很大的開放性,數據傳播范圍很難控制,因此無線局域網將面臨著更嚴峻的安全問題。
1. 無線局域網安全發展概況
無線局域網802.11b公布之后,迅速成為事實標準。遺憾的是,從它的誕生開始,其安全協議WEP就受到人們的質疑。美國加州大學伯克利分校的Borisov,Goldberg和Wagner最早指出了WEP協議中存在的設計失誤,接下來信息安全研究人員發表了大量論文詳細討論了WEP協議中的安全缺陷,并與工程技術人員協作,在實驗中破譯了經WEP協議加密的無線傳輸數據。現在,能夠截獲無線傳輸數據的硬件設備己經能夠在市場上買到,能夠對所截獲數據進行解密的黑客軟件也已經能夠在因特網上下載。WEP不安全己經成一個廣為人知的事情,人們期待WEP在安全性方面有質的變化,新的增強的無線局域網安全標準應運而生[1]。
我國從2001年開始著手制定無線局域網安全標準,經過西安電子科技大學、西安郵電學院、西電捷通無線網絡通信有限公司等院校和企業的聯合攻關,歷時兩年多制定了無線認證和保密基礎設施WAPI,并成為國家標準,于2003年12月執行。WAPI使用公鑰技術,在可信第三方存在的條件下,由其驗證移動終端和接入點是否持有合法的證書,以期完成雙向認證、接入控制、會話密鑰生成等目標,達到安全通信的目的。WAPI在基本結構上由移動終端、接入點和認證服務單元三部分組成,類似于802.11工作組制定的安全草案中的基本認證結構。同時我國的密碼算法一般是不公開的,WAPI標準雖然是公開的,然而對其安全性的討論在學術界和工程界目前還沒有展開[2]。
增強的安全草案也是歷經兩年多時間定下了基本的安全框架。其間每個月至少召開一次會議,會議的文檔可以從互聯網上下載,從中可以看到一些有趣的現象,例如AES-OCB算法,開始工作組決定使用該算法作為無線局域網未來的安全算法,一年后提議另外一種算法CCMP作為候選,AES-OSB作為缺省,半年后又提議CCMP作為缺省,AES-OCB作為候選,又過了幾個月,干脆把AES-OCB算法完全刪除,只使用CCMP算法作為缺省的未來無線局域網的算法。其它的例子還有很多。從這樣的發展過程中,我們能夠更加清楚地認識到無線局域網安全標準的方方面面,有利于無線局域網安全的研究[3][4]。
2.無線局域網的安全必要性
WLAN在為用戶帶來巨大便利的同時,也存在著許多安全上的問題。由于WLAN 通過無線電波在空中傳輸數據,不能采用類似有線網絡那樣的通過保護通信線路的方式來保護通信安全,所以在數據發射機覆蓋區域內的幾乎任何一個WLAN用戶都能接觸到這些數據,要將WLAN發射的數據僅僅傳送給一名目標接收者是不可能的。而防火墻對通過無線電波進行的網絡通訊起不了作用,任何人在視距范圍之內都可以截獲和插入數據。因此,雖然無線網絡和WLAN的應用擴展了網絡用戶的自由,它安裝時間短,增加用戶或更改網絡結構時靈活、經濟,可提供無線覆蓋范圍內的全功能漫游服務。然而,這種自由也同時帶來了新的挑戰,這些挑戰其中就包括安全性。WLAN 必須考慮的安全要素有三個:信息保密、身份驗證和訪問控制。如果這三個要素都沒有問題了,就不僅能保護傳輸中的信息免受危害,還能保護網絡和移動設備免受危害。難就難在如何使用一個簡單易用的解決方案,同時獲得這三個安全要素。國外一些最新的技術研究報告指出,針對目前應用最廣泛的802.11bWLAN 標準的攻擊和竊聽事件正越來越頻繁[5],故對WLAN安全性研究,特別是廣泛使用的IEEE802.11WLAN的安全性研究,發現其可能存在的安全缺陷,研究相應的改進措施,提出新的改進方案,對 WLAN 技術的使用、研究和發展都有著深遠的影響。
同有線網絡相比,無線局域網無線傳輸的天然特性使得其物理安全脆弱得多,所以首先要加強這一方面的安全性。
無線局域網中的設備在實際通信時是逐跳的方式,要么是用戶設備發數據給接入設備,飯由接入設備轉發,要么是兩臺用戶設備直接通信,每一種通信方式都可以用鏈路層加密的方法來實現至少與有線連接同等的安全性。無線信號可能被偵聽,但是,如果把無線信號承載的數據變成密文,并且,如果加密強度夠高的話,偵聽者獲得有用數據的可能性很小。另外,無線信號可能被修改或者偽造,但是,如果對無線信號承載的數據增加一部分由該數據和用戶掌握的某種秘密生成的冗余數據,以使得接收方可以檢測到數據是杏被更改,那么,對于無線信號的更改將會徒勞無功。而秘密的獨有性也將使得偽造數據被誤認為是合法數據的可能性極小。
這樣,通過數據加密和數據完整性校驗就可以為無線局域網提供一個類似有線網的物理安全的保護。對于無線局域網中的主機,面臨病毒威脅時,可以用最先進的防毒措施和最新的殺毒工具來給系統增加安全外殼,比如安裝硬件形式的病毒卡預防病毒,或者安裝軟件用來時實檢測系統異常。PC機和筆記本電腦等設備己經和病毒進行了若千年的對抗,接下來的無線設備如何與病毒對抗還是一個待開發領域。
對于DOS攻擊或者DDOS攻擊,可以增加一個網關,使用數據包過濾或其它路由設置,將惡意數據攔截在網絡外部;通過對外部網絡隱藏接入設備的IP地址,可以減小風險。對于內部的惡意用戶,則要通過審計分析,網絡安全檢測等手段找出惡意用戶,并輔以其它管理手段來杜絕來自內部的攻擊。硬件丟失的威脅要求必須能通過某種秘密或者生物特征等方式來綁定硬件設備和用戶,并且對于用戶的認證也必須基于用戶的身份而不是硬件來完成。例如,用MAC地址來認證用戶是不適當的[5]。
除了以上的可能需求之外,根據不同的使用者,還會有不同的安全需求,對于安全性要求很高的用戶,可能對于傳輸的數據要求有不可抵賴性,對于進出無線局域網的數據要求有防泄密措施,要求無線局域網癱瘓后能夠迅速恢復等等。所以,無線局域網的安全系統不可能提供所有的安全保證,只能結合用戶的具體需求,結合其它的安全系統來一起提供安全服務,構建安全的網絡。
當考慮與其它安全系統的合作時,無線局域網的安全將限于提供數據的機密,數據的完整,提供身份識別框架和接入控制框架,完成用戶的認證授權,信息的傳輸安全等安全業務。對于防病毒,防泄密,數據傳輸的不可抵賴,降低DoS攻擊的風險等都將在具體的網絡配置中與其它安全系統合作來實現。
3.無線局域網安全風險
安全風險是指無線局域網中的資源面臨的威脅。無線局域網的資源,包括了在無線信道上傳輸的數據和無線局域網中的主機。
3.1 無線信道上傳輸的數據所面臨的威脅
由于無線電波可以繞過障礙物向外傳播,因此,無線局域網中的信號是可以在一定覆蓋范圍內接聽到而不被察覺的。這如用收音機收聽廣播的情況一樣,人們在電臺發射塔的覆蓋范圍內總可以用收音機收聽廣播,如果收音機的靈敏度高一些,就可以收聽到遠一些的發射臺發出的信號。當然,無線局域網的無線信號的接收并不像收音機那么簡單,但只要有相應的設備,總是可以接收到無線局域網的信號,并可以按照信號的封裝格式打開數據包,讀取數據的內容[6]。
另外,只要按照無線局域網規定的格式封裝數據包,把數據放到網絡上發送時也可以被其它的設備讀取,并且,如果使用一些信號截獲技術,還可以把某個數據包攔截、修改,然后重新發送,而數據包的接收者并不能察覺。
因此,無線信道上傳輸的數據可能會被偵聽、修改、偽造,對無線網絡的正常通信產生了極大的干擾,并有可能造成經濟損失。
3.2 無線局域網中主機面臨的威脅
無線局域網是用無線技術把多臺主機聯系在一起構成的網絡。對于主機的攻擊可能會以病毒的形式出現,除了目前有線網絡上流行的病毒之外,還可能會出現專門針對無線局域網移動設備,比如手機或者PDA的無線病毒。當無線局域網與無線廣域網或者有線的國際互聯網連接之后,無線病毒的威脅可能會加劇。
對于無線局域網中的接入設備,可能會遭受來自外部網或者內部網的拒絕服務攻擊。當無線局域網和外部網接通后,如果把IP地址直接暴露給外部網,那么針對該IP的Dog或者DDoS會使得接入設備無法完成正常服務,造成網絡癱瘓。當某個惡意用戶接入網絡后,通過持續的發送垃圾數據或者利用IP層協議的一些漏洞會造成接入設備工作緩慢或者因資源耗盡而崩潰,造成系統混亂。無線局域網中的用戶設備具有一定的可移動性和通常比較高的價值,這造成的一個負面影響是用戶設備容易丟失。硬件設備的丟失會使得基于硬件的身份識別失效,同時硬件設備中的所有數據都可能會泄漏。
這樣,無線局域網中主機的操作系統面臨著病毒的挑戰,接入設備面臨著拒絕服務攻擊的威脅,用戶設備則要考慮丟失的后果。
4.無線局域網安全性
無線局域網與有線局域網緊密地結合在一起,并且己經成為市場的主流產品。在無線局域網上,數據傳輸是通過無線電波在空中廣播的,因此在發射機覆蓋范圍內數據可以被任何無線局域網終端接收。安裝一套無線局域網就好象在任何地方都放置了以太網接口。因此,無線局域網的用戶主要關心的是網絡的安全性,主要包括接入控制和加密兩個方面。除非無線局域網能夠提供等同于有線局域網的安全性和管理能力,否則人們還是對使用無線局域網存在顧慮。
4.1 IEEE802. 11 b標準的安全性
IEEE 802.11b標準定義了兩種方法實現無線局域網的接入控制和加密:系統ID(SSID)和有線對等加密(WEP)[7][8]。
4.1.1認證
當一個站點與另一個站點建立網絡連接之前,必須首先通過認證。執行認證的站點發送一個管理認證幀到一個相應的站點。IEEE 802.11b標準詳細定義了兩種認證服務:一開放系統認證(Open System Authentication):是802.11b默認的認證方式。這種認證方式非常簡單,分為兩步:首先,想認證另一站點的站點發送一個含有發送站點身份的認證管理幀;然后,接收站發回一個提醒它是否識別認證站點身份的幀。一共享密鑰認證(Shared Key Authentication ):這種認證先假定每個站點通過一個獨立于802.11網絡的安全信道,已經接收到一個秘密共享密鑰,然后這些站點通過共享密鑰的加密認證,加密算法是有線等價加密(WEP )。
4. 1 .2 WEP
IEEE 802.11b規定了一個可選擇的加密稱為有線對等加密,即WEP。WEP提供一種無線局域網數據流的安全方法。WEP是一種對稱加密,加密和解密的密鑰及算法相同。WEP的目標是:接入控制:防止未授權用戶接入網絡,他們沒有正確的WEP密鑰。
加密:通過加密和只允許有正確WEP密鑰的用戶解密來保護數據流。
IEEE 802.11b標準提供了兩種用于無線局域網的WEP加密方案。第一種方案可提供四個缺省密鑰以供所有的終端共享一包括一個子系統內的所有接入點和客戶適配器。當用戶得到缺省密鑰以后,就可以與子系統內所有用戶安全地通信。缺省密鑰存在的問題是當它被廣泛分配時可能會危及安全。第二種方案中是在每一個客戶適配器建立一個與其它用戶聯系的密鑰表。該方案比第一種方案更加安全,但隨著終端數量的增加給每一個終端分配密鑰很困難。
4.2 影響安全的因素[9][10]
4. 2. 1硬件設備
在現有的WLAN產品中,常用的加密方法是給用戶靜態分配一個密鑰,該密鑰或者存儲在磁盤上或者存儲在無線局域網客戶適配器的存儲器上。這樣,擁有客戶適配器就有了MAC地址和WEP密鑰并可用它接入到接入點。如果多個用戶共享一個客戶適配器,這些用戶有效地共享MAC地址和WEP密鑰。
當一個客戶適配器丟失或被竊的時候,合法用戶沒有MAC地址和WEP密鑰不能接入,但非法用戶可以。網絡管理系統不可能檢測到這種問題,因此用戶必須立即通知網絡管理員。接到通知后,網絡管理員必須改變接入到MAC地址的安全表和WEP密鑰,并給與丟失或被竊的客戶適配器使用相同密鑰的客戶適配器重新編碼靜態加密密鑰。客戶端越多,重新編碼WEP密鑰的數量越大。
4.2.2虛假接入點
IEEE802. 1 1b共享密鑰認證表采用單向認證,而不是互相認證。接入點鑒別用戶,但用戶不能鑒別接入點。如果一個虛假接入點放在無線局域網內,它可以通過劫持合法用戶的客戶適配器進行拒絕服務或攻擊。
因此在用戶和認證服務器之間進行相互認證是需要的,每一方在合理的時間內證明自己是合法的。因為用戶和認證服務器是通過接入點進行通信的,接入點必須支持相互認證。相互認證使檢測和隔離虛假接入點成為可能。
4.2.3其它安全問題
標準WEP支持對每一組加密但不支持對每一組認證。從響應和傳送的數據包中一個黑客可以重建一個數據流,組成欺騙性數據包。減輕這種安全威脅的方法是經常更換WEP密鑰。通過監測工EEE802. 11 b控制信道和數據信道,黑客可以得到如下信息:客戶端和接入點MAC地址,內部主機MAC地址,上網時間。黑客可以利用這些信息研究提供給用戶或設備的詳細資料。為減少這種黑客活動,一個終端應該使用每一個時期的WEP密鑰。
4.3 完整的安全解決方案
無線局域網完整的安全方案以IEEE802.11b比為基礎,是一個標準的開放式的安全方案,它能為用戶提供最強的安全保障,確保從控制中心進行有效的集中管理。它的核心部分是:
擴展認證協議(Extensible Authentication Protocol,EAP),是遠程認證撥入用戶服務(RADIUS)的擴展。可以使無線客戶適配器與RADIUS服務器通信。
當無線局域網執行安全保密方案時,在一個BSS范圍內的站點只有通過認證以后才能與接入點結合。當站點在網絡登錄對話框或類似的東西內輸入用戶名和密碼時,客戶端和RADIUS服務器(或其它認證服務器)進行雙向認證,客戶通過提供用戶名和密碼來認證。然后RADIUS服務器和用戶服務器確定客戶端在當前登錄期內使用的WEP密鑰。所有的敏感信息,如密碼,都要加密使免于攻擊。
這種方案認證的過程是:一個站點要與一個接入點連接。除非站點成功登錄到網絡,否則接入點將禁止站點使用網絡資源。用戶在網絡登錄對話框和類似的結構中輸入用戶名和密碼。用IEEE802. lx協議,站點和RADIUS服務器在有線局域網上通過接入點進行雙向認證。可以使用幾個認證方法中的一個。
相互認證成功完成后,RADIUS服務器和用戶確定一個WEP密鑰來區分用戶并提供給用戶適當等級的網絡接入。以此給每一個用戶提供與有線交換幾乎相同的安全性。用戶加載這個密鑰并在該登錄期內使用。
RADIUS服務器發送給用戶的WEP密鑰,稱為時期密鑰。接入點用時期密鑰加密它的廣播密鑰并把加密密鑰發送給用戶,用戶用時期密鑰來解密。用戶和接入點激活WEP,在這時期剩余的時間內用時期密鑰和廣播密鑰通信。
網絡安全性指的是防止信息和資源的丟失、破壞和不適當的使用。無論有線絡還是無線網絡都必須防止物理上的損害、竊聽、非法接入和各種內部(合法用戶)的攻擊。
無線網絡傳播數據所覆蓋的區域可能會超出一個組織物理上控制的區域,這樣就存在電子破壞(或干擾)的可能性。無線網絡具有各種內在的安全機制,其代碼清理和模式跳躍是隨機的。在整個傳輸過程中,頻率波段和調制不斷變化,計時和解碼采用不規則技術。
正是可選擇的加密運算法則和IEEE 802.11的規定要求無線網絡至少要和有線網絡(不使用加密技術)一樣安全。其中,認證提供接入控制,減少網絡的非法使用,加密則可以減少破壞和竊聽。目前,在基本的WEP安全機制之外,更多的安全機制正在出現和發展之中[12]。
5.無線局域網安全技術的發展趨勢
目前無線局域網的發展勢頭十分強勁,但是起真正的應用前景還不是十分的明朗。主要表現在:一是真正的安全保障;二個是將來的技術發展方向;三是WLAN有什么比較好的應用模式;四是WLAN的終端除PCMCIA卡、PDA有沒有其他更好的形式;五是WLAN的市場規模。看來無線局域網真正的騰飛并非一己之事[13]。
無線局域網同樣需要與其他已經成熟的網絡進行互動,達到互利互惠的目的。歐洲是GSM網的天下,而WLAN的崛起使得他們開始考慮WLAN和3G的互通,兩者之間的優勢互補性必將使得WLAN與廣域網的融合迅速發展。現在國內中興通訊己經實現了WLAN和CI}IVIA系統的互通,而對于使用中興設備的WLAN與GSM/GPRS系統的互通也提出了解決方案,這條路必定越走越寬。
互通中的安全問題也必然首當其沖,IEEE的無線局域網工作組己經決定將EAP-SIIVI納入無線局域網安全標準系列里面,并且與3G互通的認證標準EAP-AID也成為討論的焦點。
無線網絡的互通,現在是一個趨勢。802.11工作組新成立了WIG(Wireless lnterworking Grouq),該工作組的目的在于使現存的符合ETSI,IEEE,MMAC所制訂的標準的無線域網之間實現互通。另外3GPP也給出了無線局域網和3G互通的兩個草案,定義了互通的基本需求,基本模型和基本框架。還有就是愛立信公司的一份文檔給出了在現有的網絡基礎上,實現無線局域網和G1VIS/GPRS的互通。
不同類型無線局域網互通標準的制定,使得用戶可以使用同一設備接入無線局域網。3G和無線局域網的互通者可以使用戶在一個運營商那里注冊,就可以在各地接入。當然,用戶享用上述方便的同時,必然會使運營商或制造商獲得利潤,而利潤的驅動,則是這個互通風潮的根本動力。為了達到互通的安全,有以下需求:支持傳統的無線局域網設備,對用戶端設備,比如客戶端軟件,影響要最小,對經營者管理和維護客戶端SW的要求要盡量少,應該支持現存的UICC卡,不應該要求該卡有任何改動,敏感數據,比如存在UICC卡中的長期密鑰不能傳輸。對于UICC卡的認證接口應該是基于該密鑰的Challenge-, Response模式。用戶對無線局域網接入的安全級別應該和3GPP接入一樣,應該支持雙向認證,所選的認證方案應該顧及到授權服務,應該支持無線局域網接入NW的密鑰分配方法,無線局域網與3GPP互通所選擇的認證機制至少要提供3 GPP系統認證的安全級別,無線局域網的重連接不應該危及3GPP系統重連接的安全,所選擇的無線局域網認證機制應該支持會話密鑰素材的協商,所選擇的無線局域網密鑰協商和密鑰分配機制應該能防止中間人攻擊。也就是說中間人不能得到會話密鑰素材,無線局域網技術應當保證無線局域網UE和無線局域網AN的特定的認證后建立的連接可以使用生成的密鑰素材來保證完整性。所有的用于用戶和網絡進行認證的長期的安全要素應該可以在一張UICC卡中存下[14]。
對于非漫游情況的互通時,這種情況是指當用戶接入的熱點地區是在3GPP的歸屬網絡范圍內。簡單地說,就是用戶在運營商那里注冊,然后在該運營商的本地網絡范圍內的熱點地區接入時的一種情況。無線局域網與3G網絡安全單元功能如下:UE(用戶設備)、3G-AAA(移動網絡的認證、授權和計帳服務器)、HSS(歸屬業務服務器)、CG/CCF(支付網關/支付采集功能)、OCS(在線計帳系統)。
對于漫游的互通情況時,3G網絡是個全域性網絡借助3G網絡的全域性也可以實現無線局域網的漫游。在漫游情況下,一種常用的方法是將歸屬網絡和訪問網絡分開,歸屬網絡AAA服務作為認證的找到用戶所注冊的歸屬網絡。
在無線局域網與3G互通中有如下認證要求:該認證流程從用戶設備到無線局域網連接開始。使用EAP方法,順次封裝基于USIM的用戶ID,AKA-Challenge消息。具體的認證在用戶設備和3GPAAA服務器之間展開。走的是AKA過程,有一點不同在于在認證服務器要檢查用戶是否有接入無線局域網的權限。
上述互通方案要求客戶端有能夠接入無線局域網的網卡,同時還要實現USIM或者SIM的功能。服務網絡要求修改用戶權限表,增加對于無線局域網的接入權限的判斷。
無線局域網的崛起使得人們開始考慮無線局域網和3G的互通,兩者之間的優勢互補性必將使得無線局域網與廣域網的融合迅速發展。現在國內中興通訊已經實現了無線局域網和CDMA系統的互通,而對于使用中興設備的無線局域網與GSM/GPRS系統的互通也提出了解決方案,這條路必定越走越寬。
參考文獻
[1] 郭峰,曾興雯,劉乃安,《無線局域網》,電子工業出版杜,1997
[2] 馮錫生,朱榮,《無線數據通信》1997
[3] 你震亞,《現代計算機網絡教程》,電子工業出版社,1999
[4] 劉元安,《寬帶無線接入和無線局域網》,北京郵電大學出版社,2000
[5] 吳偉陵,《移動通信中的關鍵技術》,北京郵電大學出版社,2000
[6] 張公忠,陳錦章,《當代組網技術》,清華大學出版社,2000
[7] 牛偉,郭世澤,吳志軍等,《無線局域網》,人民郵電出版社,2003
[8] Jeffrey Wheat,《無線網絡設計》,莫蓉蓉等譯,機械工業出版社,2002
[9] Gil Held,《構建無線局域網》,沈金龍等澤,人民郵電出版社,2002
[10] Christian Barnes等,《無線網絡安全防護》,林生等譯,機械工業出版社.2003
[11] Juha Heiskala等,《OFDM無線局域網》,暢曉春等譯,電子工業出版社,2003
[12] Eric Ouellet等,《構建Cisco無線局域網》,張穎譯,科學出版社,2003
[13] Mark Ciampa,《無線周域網設計一與實現》,王順滿譯,科學出版社.2003
