时间:2022-10-10 01:20:48
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇互连技术论文,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:异构数据库;数据访问;Hibernate
中图分类号:TP311文献标识码:A文章编号:1009-3044(2011)08-1713-03
The Application of Hibernate in System of Heterogeneous Databases
YAO Xiao-hui, WANG Hui, ZHANG Ya-jun
(Information and Control Institute, Xi'an University of Architecture & Technology, Xi'an 710055, China)
Abstract: In recent years, there is a lot of data storing in different databases during development of enterprise, therefore, many isolated subsystem of data formed in each department. And it is obstacle to application of data. At present, database middleware is one of important technology in integration of data in heterogeneous databases and be used in this paper to realize access to heterogeneous data in internal of enterprise.
Key words: Heterogeneous databases; access of data; Hibernate
近年来,随着计算机网络技术的发展,网络资源信息共享在人们生活学习中起到了重要作用。然而由于各种原因,计算机网络信息的数据存在于不同的数据库管理系统。如何消除异构数据的差异,将各个孤立的数据系统有机地联系起来,为用户提供统一透明的访问成为计算机网络研究的重要方向。本文基于Hibernate数据库中间件技术实现对异构数据库的透明访问。而当前的异构数据库系统中主要存在以下几个问题:
1) 数据信息的数据库管理系统不同,如:MySQL、HSQL、SQL Server等数据库管理系统;
2) 不同数据库管理系统数据类型的异构,如:整型数据的长度、布尔类型的支持等;
3) 数据库所在的操作系统的异构,如:Windows、Linux等;
4) 数据库所在的网络环境的异构,如:Internet和各种局域网。
1 异构数据访问技术简介
目前国内外针对异构数据库技术的研究已经取得了一定的成绩。对于异构数据库的集成和互联问题的解决方法主要有,基于XML的异构数据库访问中间件技术,基于Web Service的异构数据库技术,Java RMI(Remote Method Invocation)、DCOM(Distributed Component Object Model)和CORBA(Common Object Request Broker Architecture)分布式对象模型技术等。在这些技术的研究过程中,都会涉及到异构数据库中数据访问技术,主要包括CGI(Common Gateway Interface)、CDG(Common Database Gateway)、CPI(Common Programing Interface)技术等。
1.1 主要异构数据访问技术
1.1.1 基于CGI的数据访问技术
CGI是Web服务器与CGI应用程序之间进行信息传递的一种标准,是目前访问数据库最常用的方法之一,它移植性好,几乎所有的web服务器都支持CGI标准。但是,CGI有一个致命的弱点,那就是CGI程序不能被多个客户请求共享。每当接到一个请求后,即创建一个并发进程,并发请求越多,创建的并发进程越多,占用的内存空间越大,这样就限制了应用程序自身所用的内存资源。
1.1.2 基于CPI的数据访问技术
通用编程接口是将各数据库的连接驱动进行封装,以一种的编程形式为开发者提供统一的接口。当前通用数据库编程接口主要有微软公司的开放式数据库互连技术ODBC(Open Database Connectivity)和Sun公司的Java数据库互连技术JDBC(Java Database Connectivity)。
JDBC是第一个支持Java语言的数据库应用程序接口,功能上与ODBC相仿,定义了连接数据库的操作规范,实现对查询语言的支持,并提供对不同数据库管理平台的驱动支持。另外,Java语言实现的API,JDBC可以实现跨平台的应用。
1.2 基于Hibernate的异构数据访问技术
Hibernate框架技术,是一个开源的对象关系映射框架技术,它实现了对JDBC的轻量级封装,使得Java程序员可以使用面向对象编程思维来实现对数据库管理操作。Hibernate可以代替JDBC应用的任何场合,既可以在Java的客户端程序使用,也可以在Servlet/JSP的Web应用中使用,更重要的是,Hibernate可以在应用企业级架构中取代CMP,完成数据持久化的重任。Hibernate是一种数据库中间件技术,其存在于应用与数据库之间,如图1所示。
Hibernate O/R映射是数据库开发最关键的组成部分。Hibernate采用XML文件来定义对象和关系数据库之间的映射,具体的实体映射关系包括:类名与表名的映射、主键映射、属性与字段的映射。另外,Hibernate同时为开发者提供数据表间关系的映射,即持久化对象之间的关联关系包括:持久化对象的一对一关联、一对多关联和多对多关联,这些关联都可以在配置文件中以关键字进行表示。
2 基于Hibernate的异构数据库访问的设计
结合异构数据库应用的特点,其主要的应用流程如图2所示,用户通过应用程序向服务器发送查询数据请求,当服务器接收到查询请求时进行请求分析,并依据系统所提供的全局数据字典,将查询请求划分为对各个数据子系统的分查询,由数据连接管理模块进行具体数据库的查询操作,操作完成后将结果进行整合返回到用户界面。该设计主要考虑的是存在于服务器端的数据的分解查询与查询结果整合,图2是对各个模块的设计。
2.1 全局数据字典
全局数据字典,是用于描述整个系统中各数据库的基本信息,各数据库与全局数据库模式之间的映射关系,其详细内容包括:各个局部数据库的名称、类型、驱动、节点地址、用户名和密码;全局数据表与局部数据表的映射关系;全局表字段与局部表字段的映射关系;字段类型的映射关系。
1) 全局数据库信息
其中描述了整个系统内各个局部数据库的基本情况,包括:数据库名称、数据库类型、节点地址、用户名和密码,从而提供JDBC连接的基本内容,如表1所示。
表1
在Hibernate中,采用Java提供的Properties实现全局数据库表,其配置文件名称为hibernate.properties,内容如下:
hibernate.dialect=net.sf.hibernate.dialect.MySQLDialect
hibernate.connection.driver_class=com.mysql.jdbc.Driver
hibernate.connection.url= jdbc:mysql://host:3306/mybook
hibernate.connection.username=Book1user
hibernate.connection.password=****
hibernate.show_sql=true
针对于多个数据源连接时,可以通过Configuration实现不同数据源Session的创建如下:
SessionFactory mysqlSessionFactory =
new Configuration().configure("/mysql.cfg.xml").buildSessionFactory();
2) 全局数据表与局部数据表映射
全局数据表是对类型相同的位于不同数据库管理系统的数据表的一种抽象的统一,为用户层提供一个一致的访问接口和显示界面,如表2所示,以图书馆图书表结构为例。
表2
在表2中,数据表Book_table1和数据表Book_table2属于不同的数据库,但是通过该关系映射表,它们都属于全局表Book_table的子表。在处理全局表字段与局部表字段映射时,应注意到全局字段所在全局表对应于局部字段所在的局部表,即在整个系统中,全局字段有其全局字段的唯一表示,局部字段有其在系统中的唯一表示。
在应用Hibernate实现异构数据访问时,通过ORM可以实现Java类到关系数据库的映射,这是不再赘述。在实现全局数据表到局部数据表的映射时,可以通过局部数据表类实现全局数据表接口的形式完成。
interface book{
…//book对应于book全局数据表
}
class book1 implements book{
…//book1对应于book1局部数据表
}
class book2 implements book{
…//book2对应于book2局部数据表
}
2.2 请求接收分析模块
该模块负责接收从用户应用的客户端接收发送过来的查询请求并进行分析,对应全局字典将全局的查询语句翻译成对各个局部数据库的子查询,并将其递交到数据连接管理模块。当接收到SQL请求“select * from book where isbn=1”,在HQL(Hibernate Query Language)中是对book类集合的操作,首先对各个局部数据库进行SELECT操作获得数据库的Java Bean备份,通过查找与其条件匹配的结果返回到用户界面。
2.3 数据连接管理模块
数据连接管理模块负责对局部数据库进行子查询操作,并将结果提交到结果整合模块。在该模块中主要是对各个局部数据库连接驱动和数据库连接池的管理,底层的操作由JDBC实现。对于所需数据库连接驱动的描述在上文的全局数据字典已经给出,而对于各个局部数据库查询语言仍可以采用HQL,局部数据库查询操作如下:
Session session = SessionFactory.openSession();
Transaction tx;
tx=session.beginTransaction();
session.delete("from book1 as c");
mit();
2.4 结果整合模块
该模块负责将数据连接管理模块递交的查询结果进行整合。局部数据库所提交的结果是以Java Bean形式进行存储的,在整合的过程中,采用身上转型将各个结果转化为其接口的形式,实现其格式的统一。最后,数据结果以HTML或JSP的形式显示到应用客户端。
3 结束语
论文采用Hibernate数据库中间件技术实现了对异构数据库的数据访问,在一定程度上解决了操作系统异构性,数据库管理系统异构性,数据表结构的异构性,在实际的应用中也起到了用户透明访问的作用。但是,从整个异构数据库中依旧存在的问题来看,论文中的设计在局部数据库安全控制没有过多考虑,在深层次的异构情况中,表现不足。未来异构数据库技术必将在B/S模式下取得长足的发展,而由此带来的各方面技术的进步又将完善整个异构数据库系统。
参考文献:
[1] Elliott J.Hibernate程序高手秘笈[M].O'Reilly Taiwan公司,译.南京:东南大学出版社,2007.
[2] 孙卫琴.精通Hibernate:Java对象持久化详解[M].北京:电子工业出版社,2005.
[3] 吴其庆.Eclipse程序设计实例教程[M].北京:冶金工业出版社,2007.
[4] 徐斌,于微微,于志涛.基于Web服务的异构数据库集成技术研究[J].中国科技资源导刊,2008,40(5):19-24.
[5] 罗华雯,赵敬中.利用Java实现基于Web的异构数据库的联合使用[J].计算机应用研究,2000,7:104-106.
论文关键词:随着电信技术的不断发展,电信主干网络的功能越来越完善,功能也越来越强,所提供的业务种类也不断增加。但是作为整个电信网络组成之一的用户(终端)接入系统却因其技术和装备的相对落后而成为电信事业发展的“瓶颈”。为解决这一问题,近年在电信领域里出现了一种新的技术概念——光纤接入网
电信网:众多传输系统通过交换系统按一定拓扑模式组合在一起才构成电信网。
电信网的构成:用户终端设备,传输链路及转接交换设备。
接入网:由业务节点接口(SNI)和用户入网接口(UNI)之间的一系列传送实体(例如线路设施和传输设施)组成,为供给电信业务而提供所需传送承载能力的实施系统,可经由Q3接口配置和管理。
Q3
UNI
SNI
接入网的定界
二、 接入技术
1. 有线接入技术。
包括铜线接入,光纤接入,光纤/同轴混合接入HFC等,近几年发展起来的XDSL(数字用户线技术)技术通过将数字信号直接调制到模拟的电话线上传输,可以获得较高的宽带和传输速率,其主要的技术包括HDSL,ADSL,VDSL等。
2.无线接入技术。
其中,光纤技术的发展和应用使接入网能够全面改进传统的传输媒介,具有宽频带,传输距离远,传输质量高,损耗低等优点,提高了接入网的投资效益,使接入网朝着更高效,更安全的方向发展。
3.OAN(Optical Access Network)光纤接入网,就是指从业务节点(如交换机)到用户节点之间得馈线段,配线段及引入线段的部分或全部使用光纤实现接入的系统。基于光纤介质采用数据传输技术,用以提供宽,窄带双向交互式业务(语音,数据,Internet等)的用户接入系统与设备体系。
三、 光接入网网管
目前的接入网中大多是光接入网,光接入网的操作管理维护功能应遵守上述TMN的通用功能,同时又必须与一些针对光接入网的特有功能要求。
OAN的功能子系统有4类,即设备,传输,光的子系统和业务子系统,主要用来完成OAM要求。
设备子系统包含OLT和ONU的机箱,机柜,机架,也包含不在插板上的指示灯和铃以及光纤配线盘或配线架。设备子系统还包含OLT和ONU的机架机柜的供电以及光分路器的机壳。
传输子系统由OLT和ONU的收发设备电路和光/电电路组成。光配线盘和配线机架属于设备子系统,但光元件本身属于光的子系统范畴。
光的子系统由各种形成的光纤,光分路器,光滤波器和任何光时域反射仪(OTDR)或线夹式光功率机组成。
业务子系统有那些为了支持不同业务而需要专门将该业务与OAN的一般核心功能相适配的子系统组成,例如PSTN和ISDN。
从功能类别的角度看,则OAN的功能必须具备TMN所规定的4类功能类别:
——配置管理
——性能管理
——故障管理
——安全管理
以宁夏电信银川地区ADSL五期扩容工程为例,主要的节点设备在选型上应尽可能考虑性能价格比最优、与其它设备的兼容性、并便于网络管理;在网络技术上应提供完全的网络安全控制,远程信息点的接入技术。
宁夏电信IP宽带网采用三层结构,分别为核心层、汇聚层、接入层。
(1)核心层
核心层为下两层(分布层、访问层)提供优化的数据输运功能,它是一个高速的交换骨干,其作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中,否则会降低数据包的交换速度。
宁夏电信ADSL宽带网银川地区通过西城核心交换机Catalyst6509接入骨干网。
(2)汇聚层
汇聚层提供基于统一策略的互连性,它是核心层和接入层的分界点,定义了网络的边界,对数据包进行复杂的运算。
宁夏电信ADSL宽带网银川地区汇聚节点东城、西城、同心路通过交换机S8016接入骨干网。
(3)接入层
接入层的主要功能是为最终用户提供对宽带网络访问的途径。
贝尔网管系统
目前银川市老城区的各个ADSL设备接入节点利用带内网管通道与网管系统相连,网管系统为上海贝尔提供的网管软件AWS。主要提供故障管理(告警报告、故障记录、告警过滤、通过专家(Expert)系统进行告警分析、测试)、配置管理(传输配置、设备配置、传送配置、软件配置)、性能管理、计费管理和安全管理功能。强大的网络管理功能,可以最多同时管理200万个用户和或4000个节点,支持快速的业务部署、快速的发现节点或链路故障并进行故障定位和自动配置功能,使网络运维简便,节约了运维成本。该系统支持SNMP协议,每个ASAM都具有一个通往ADSL网管系统永久虚连接(PVC),从而实现对每个ASAM的管理。7300 ASAM提供ATM/IP网管连接方式,支持本地网管和远程TELNET方式和web方式管理。
华为网管系统
华为公司各DALAM设备均利用带内网管通道与原有银川信息大厦iManager N2000网管系统相连,进行集中管理。iManager N2000可以支持多客户端、分域管理的方式,即全网提供一个综合网管系统,管理全网的设备、网络和业务,利用网管系统本身提供的分域管理能力,为特定的区域提供相应管理权限的客户端。
港湾网管系统
银川已经有港湾公司一套HammerView网管系统,通过10/100M口连接到IP骨干网。
参考文献
[1] 用户接入网/顾群 -北京:人民邮电出版社,1996年
[2] 网络管理原理与实现技术/杨家海 -北京:清华大学出版社,2000年
[3] 网络管理标准教程/刘晓辉 -北京:人民邮电出版社,2002年
[4] SDH网络管理及其应用/李兴明 -北京:人民邮电出版社
[5] 现代网络管理技术/孟洛明 -北京:北京邮电大学出版社,1999年
[6] 计算机通信网络技术及应用/李道华 -北京:人民邮电出版社
[7] 网络与互连技术/顾红勋 -北京:人民邮电出版社
[8] 互联网接入——基础与技术/刘云 -北京:人民邮电出版社
[9] 通信与网络技术概述/智少游 -北京:中国铁道出版社,年
[10] 现代网络管理/ R.S.Blicg北京博彦科技发展责任有限公司;吴锡根等译.--北京 电子科技大学出版社,1997年
【关键词】隧道技术,应用,研究
中图分类号:U45文献标识码: A
一、前言
由于网络的发展和完善以及速度的不断提高,越来越多的公司逐步进行运用隧道技能。大规模的组建VPN网络已经成为一种趋势,这种技术越来越多地遭到用户的广泛重视。
二、VPN的隧道技术
VPN技术比较复杂,它涉及到通信技术、密码技术和现代认证技术,是一项交叉科学。具体来讲,目前VPN主要采用下列四项技术来保证其安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术、使用者与设备身份认证技术(Authentication)。隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网中建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道技术的基本工作原理是在源局域网与公网的接口处将数据作为负载封装在一种可以在公网上传输的数据格式之中,在目的局域网与公网的接口处将数据解封装,取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。
三、隧道技术
1、第二层隧道协议
第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。创建隧道的过程类似于在双方之间建立会话;隧道的两个端点必须同意创建隧道并协商隧道各种配置变量,如地址分配,加密或压缩等参数。第二层隧道协议有L2F、PPTP、L2TP等。
(一)、点对点隧道协议(PPTP)
PPTP将PPP数据桢封装在IP数据报内通过IP网络,如Internet传送。PPTP还可用于专用局域网络之间的连接。PPTP使用一个TCP连接对隧道进行维护,使用通用路由封装(GRE)技术把数据封装成PPP数据桢通过隧道传送。可以对封装PPP桢中的负载数据进行加密或压缩。
(二)、第2层转发(L2F)
L2F是Cisco公司提出的隧道技术,作为一种传输协议L2F支持拨号接入服务器将拨号数据流封装在PPP桢内通过广域网链路传送到L2F服务器(路由器)。L2F服务器把数据包解包之后重新注入(inject)网络。与PPTP和L2TP不同,L2F没有确定的客户方。应当注意L2F只在强制隧道中有效。
(三)、第2层隧道协议(L2TP)
L2TP结合了PPTP和L2F协议。设计者希望L2TP能够综合PPTP和L2F的优势。L2TP是一种网络层协议,支持封装的PPP桢在IP,X.25,桢中继或ATM等的网络上进行传送。当使用IP作为L2TP的数据报传输协议时,可以使用L2TP作为Internet网络上的隧道协议。L2TP还可以直接在各种WAN媒介上使用而不需要使用IP传输层。
2、第三层隧道协议
IPSec是指IETF(因特网工程任务组)以RFC形式公布的一组安全IP协议集,是为IP及其以上协议(TCP和UDP等)提供安全保护的安全协议标准。其目标是把安全机制引入IP协议,通过使用密码学方法支持机密性和认证服务等安全服务。IPSec通过在IP协议中增加两个基于密码的安全机制―认证头(AH)和封装安全载荷(ESP)来支持IP数据报的认证、完整性和机密性。IPSec协议族包括:IP安全架构、认证头AH、封闭安全载荷ESP和Internet密钥交换(IKE)等协议。IP安全架构协议指定了IPSec的整个框架,是IP层安全的标准协议。AH协议定义了数据源认证和完整性验证的应用方法。ESP为IP数据报文提供数据源验证、数据完整性校验、抗重播和数据加密服务。IKE为AH和ESP提供密钥交换机制,在实际进行IP通信
时,可以根据实际安全需求,同时使用AH和ESP协议,或选择使用其中的一种。
3、新兴的隧道协议
SSL是Netscape公司设计的主要用于web的安全传输协议。SSL被设计为使TCP提供一个可靠的端到端的安全服务,它不是一个单一的协议,而是由多个协议组成记录协议定义了要传输数据的格式,它位于可靠的传输协议TCP之上,用于各种更高层协议的封装。记录协议主要完成分组和组合,压缩和解压缩,以及消息认证和加密等功能。所有传输数据包括握手消息和应用数据都被封装在记录中。握手协议允许服务器与客户机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。通信双方首先通过SSL握手协议建立客户端与服务器之间的安全通道,SSL记录协议通过分段、压缩、添加MAC以及加密等操作步骤把应用数据封装成多条记录,最后再进行传输。
四、隧道技术的应用模型
1、端到端安全应用
IPSec存在于一个主机或终端系统时,每一个离开和进入的PI数据包都可得到安全保护。PI包的安全保护可以从数据源一直到数据被接收。制定相应的安全策略,一对独立的SA可以保护两个端点之间的全部通信―Tenlet、SMTP、WEB和FTP等。或者,根据两个端点之间通信的协议的不同(TCP和UDP)和端口的不同,分别用不同的SA保护两个端点之间的不同的通信。在这种模式下,通信的端点同时也是PISec的端点。所以,端到端安全可以在传送模式下,
利用PISec来完成;也可以在隧道模式下,利用额外IP头的新增来提供端到端的安全保护。
2、虚拟专用网
IPSec存在于路山器等网络互连设备时,司一以构建虚拟专用网VPN。VPN是“虚拟的”,因为它不是一个物理的、明显存在的网络。两个不同的物理网络通过一条穿越公共网络的安全隧道连接起来,形成一个新的网络VPN。VPN是“专川的”,因为被加密的隧道可以提供数据的机密性。而今,人们从传统的专线网络转移到利用公共网络的网络,逐渐意识到节省费用的VPN重耍性。通过在路山器上配置PISec,就可以构建一个VPN。在路山器的一端,连接着一个受保护的私有网络,对这个网络的访问要受到严格的拧制。在另一端连技的是一个不安全的网络帐Internet。在两个路山器之间的公共网络上建立一条安全隧道,通信就可以从一个受保护的本地子网安全地传送到另一个受保护的远程子网。这就是VPN,在VPN中,母一个具有IPSec的路由器都是一个网络聚合点。在两个PISec的路山器之间通常使用隧道模式,可以采用多种安全策略,建立一对或多对SA,试图对VPN进布J屯通信分析将是非常困难的。如果在一个本地私有网络中的数据包的目的地是VPN的远程网络―它是从一个路由器发送到另一个路山器的、加密的数据包。
3、移动IP
在端到端安IP全中,数据包由产生和l或接收通信的那个主机进行加密和解密.在VPN中,
网络中的一个路由器对一个受安全保护的网络中的主机(或多个)的数据包进行加密和解密。这两个组合一般称为移动IP。移动IP一般是独立的,它要求计问受安全保护的网络,它是一个移动的客户,不停留在某个固定的地方。他必须通过旅店、或任何一个可以进行internetPOP的地方,安全地访问公司资源。在移动IP的方案中,移动主机和路由器都支持PISec,它们之间可以建立一条安个隧道。它们能够在外出数据包抵达通信线路之前对它进行安全保护:能够在对进入包进行IP处理之前,验证它们的安全保护。具有PISec的路山器保护的是移动主机想要访问的那个网络,它也可以是支持V户N的路山器,允许其它的移动主机进行安全的远程访问。在这种方案中,一方是移动主机,它既是通信方。另一方将PISec当作一项服务提供给另一个网络实体。
4、嵌套式隧道
有时,需要支持多级网络安全保护。比如下面一个例子:一个企业有一个安全网关,以防止其网络受到竞争者或黑客的侵犯和攻击,而企业内部另有一个安全网关,防止某些内部员工进入敏感的子网。比如银行系统的企业网。这种情况下,如果某人希望对网络内部的保护子网进行访问,就必须使用嵌套式隧道。
5、链式隧道
一种常见的网络安全配置是Hub-and-spoke。从一个网络横过Hub-and-spoke网络,到达另一个网络的数据包都由一个安全网关加密,由中心路由器解密,再加密,并由保护远程网络的另一个安全网关解密。
6、隧道交换模型
如果从交换的角度来看,它也可以称为隧道交换模型。在中心路由器所连接的四个网络可以是不同类型的网络,隧道的实现方式也可以不同,但是,不同网络的两个节点在进行数据传输时,并不关心隧道的实现媒体,隧道可以接力的方式进行数据的传递。从安全的角度,假设每一个隧道是安全的,且中心路由器也是安全的,那么任何两个节点之间的通信也应该是安全的。假设隧道间彼此不能信任,那么可以只将隧道的连接看作是一条数据的传输通道,再使用前面所论述的隧道模型实现安全保护,如点到点的隧道安全模式。
五、结束语
由于Internet基础设施的完善,隧道技能必将将在网建等各范畴,发挥着越来越重要的效果。实现隧道技能的多种多样,它们各有各的优势,如今,市场上大多数都在使用VPN这类技能。
参考文献
[1]毛小兵,VPN演进之隧道交换.《计算机世界》2000
[2]沈鑫剡.IP交换网原理、技术及实现[M].北京:人民邮电出版社,2003.
论文摘要:以管理技术和计算机技术为基础的信息管理系统已经步入中国工业企业的经营生产活动中。因此,我们有必要探讨现代信息管理系统在现代信息社会中的作用,从而使其更好的为中国社会主义市场经济的有序发展做出突出贡献。
一、研究背景
二十世纪末,人类文明的发展进入信息时代,计算机技术、现代通信技术、网络互连技术、数据库技术、信息技术、智能信息处理技术、信息安全技术等关键技术都日趋成熟,为信息技术的发展、为信息系统的大规模建设和应用提供了坚实的技术理论基础。信息己成为社会生产力的一个重要因素。信息技术的发展使我们社会发生着一场变革,随着网络技术,尤其是INTERNET技术的成熟与发展,管理信息化已成为一种趋势。信息化是“社会经济的发展从以物质和能量为经济结构的重心向以信息与知识为经济结构的重心转变的过程”,数字化、网络化是其主要内容,信息化管理则是利用数字网络信息技术系统所进行的管理。西方发达国家的LIMS(实验室信息管理系统)市场在九十年代就已经完全打开,现在LIMS已经成为一个标准词汇为大家广为接受,在美国每年要召开一次LIMS大会,讨论LMIS的有关问题。在国内,LIMS在九十年代开始为人们所知道,并在石油化工等行业得到了一些初步推广,但总的来说还远没有达到普及的程度。这当然也受到了各种条件的制约:体制、观念、经费等等,但其中起根本作用的是硬件基础条件和人们的观念[1]。
二、信息管理系统的起源、定义及发展
(一)信息管理系统的起源
信息管理系统的概念起源很早。早在30年代,柏纳德就写书强调了决策在组织管理中的作用;50年代,西蒙提出了管理依赖于信息和决策的概念;同一时代维纳发表了控制论和管理,他把管理过程当作一个控制过程。50年代计算机已用于会计工作。1958年盖尔写到“管理将以较低的成本得到及时准确的信息,做到较好的控制”这时数据处理一词已经出现。
信息管理系统一词最早正式出现在1970年,由Walert.TKeunvena定义为:“以口头或书面的形式,在合适的时间向经理、职员以及外界人员提供过去的、现在的、预测未来的有关企业内部及其环境的信息,以帮助他们进行决策”。很明显这个定义是出自管理而不是计算机。他虽强调了用信息支持决策,但没有强调应用模型,也没有强调一定要用计算机。所有这些均显示了这个定义的初始性。直到1985年,出现信息管理系统的一个比较完整的定义:“它是一个利用计算机硬件和软件,手工作业、分析、计划、控制和决策的模型,以及数据库的用户一一机器系统。它能提供信息支持企业或组织的运行、管理和决策功能”。这个定义全面说明了信息管理系统的目标、功能和组成,而且反映了信息管理系统当时达到的水平。它说明了信息管理系统在高、中、基三个档次上支持管理活动。但
人们对信息管理系统的理解尚未完全统一,一般认为:“信息管理系统是一个由人、计算机等组成的能进行信息的收集、传送、存储、加工、维护和使用的系统。它利用信息技术,通过对企业(或部门)过去和当前运行数据的分析处理来获得所需信息,从而达到控制企业行为并对企业的未来状况提供预测资料,从整体上辅助企业的领导进行决策的目的[3]”。
随着信息技术、网络技术和通信技术的发展,人类已全面进入信息社会。信息社会对企业管理的理念、方法带来了革命性的变化,企业管理信息化是当今世界企业发展的一个大趋势,是企业在竞争中处于不败地位的有效手段之一。企业获取信息是否及时、信息能否得到充分利用已越来越成为衡量一个企业市场竞争能力的重要因素。
近几年来,许多企业都建立了自己的Intranet网络,并且利用Internet/Intranet实现企业信息的快速采集、、存储、处理和交流,从而有效的管理企业。人员和设备的管理是企业管理的重要内容,当今社会,企业人员流动频繁,设备更新速度快,人员和设备管理工作也变得越来越复杂,实现人员、设备管理的信息化,无疑将给企业管理部门带来很大的方便。
(二)信息管理系统的发展
信息管理系统在80年代即在英美等发达资本主义国家得以广泛的开发与应用,以美国公司为代表,管理信息系统软件已大量应用于生产、生活、通讯、交通、运输、商业、建筑等各个行业,通常被称为无纸化、无笔化管理工程。由于我国计算机硬件发展相对于英美等发达国家来说比较落后,经济发展过程相对滞后,计算机软件开发市场疲软,缺乏安全性,再加上软件开发人才稀缺,严重制约了我国管理信息系统的开发与应用;目前我国信息管理系统主要是引进消化国外产品,对国外一些产品加以汉化、改造,但这些产品适应性差,针对性不强,不能很好的应用于我国各行业生产的要求。还有相当一部分企业通过对MIS系统的开发来探索企业现代化管理的思路。
三、信息管理系统的作用
(一)辅助分析
企业等对生产经营等活动进行决策的时候,需要以各种数据作为依据。在人工的数据处理方式下,只能提供定期的报表,难以根据需要提供各种综合分析的数据,使得企业的决策活动只能是依靠经验,往往带有盲目性。这种经营方式是一种低水平的运作,会造成大量的浪费,而通过计算机系统将数据组织起来,可以随时提供各种所需的数据,能保证决策的准确、及时。
(二)规范化管理
企业等组织中的许多数据管理并不像财务管理那样有严格的制度,常常带有较大的随意性,数据采集的时间、格式和计算方式等往往是根据经验和公式完成的,而且又不便于审核,容易引起混乱和错误。计算机系统则能为数据处理提供明确的尺度使之标准化、规范化[6]。 转贴于
(三)节省人力
不仅大量的重复计算能由计算机处理,可以减轻劳动强度,更重要的是在输入数据以后,所有的处理都由计算机系统来完成,可以免去人工方式下许多中问的处理环节,达到减员的效果。
(四)信息管理系统可促进组织管理职能、结构优化
信息管理系统本身是一项复杂的系统工程,加之我国一般组织的管理基础比较薄弱,因此在研究这一问题时,必然会涉及到企业或各种组织原有管理职能分配、工程程序等是否科学、合理,组织机构的设置是否恰当等问题,因而需要进行管理职能、工程程序,乃至组织结构的调整、优化。
(五)信息管理系统能大大的减轻管理人员的工作强度
企业等各种组织的管理的工作量很大每天都会产生大量的信息,但以往由于缺乏有效的手段,造成管理人员的时间与精力都只能放在大量的分类、登记和计算机等工作中,因而在很多场合只能简化管理。但是通过信息管理系统,可以调用计算机的强大功能,使工作人员有更多的精力去研究、细化管理内容,扩大管理的深度和广度。这有利于各层次管理者全面、深入地把握各种信息,进行科学的决策,进一步提管理水平。
(六)信息管理系统可促进管理制度的完善
在建立信息管理系统的过程中,随着职能、组织结构的调整、优化和管理深度的提高,各机构之间的联系也随之越来越复杂,要使各机构有机的联系起来,依靠的是以责任制为基础建立起来的一整套完整的管理制度。完善的管理制度为信息的采集、加工整理、传递等提供了可靠的保证,可使信息这一重要的资源在管理中充分发挥作用。
(七)信息管理系统能提高工作效率
计算机进行数据的处理.其速度是人的几百倍、几千倍,将使管理信息的提供更加及时。管理内部网络的建立,使部门之间的工作衔接更加紧密,大大加快了业务办理的程度,从而为提高工作效率奠定了良好的基础。
(八)建设促进管理人员素质提高
在目前的信息管理系统建设中,一个突出问题是计算机专业人员数量少,而且既懂计算机技术又懂管理的复合型人才奇缺;而信息管理系统建设的主力军是管理人员,管理人员不了解信息管理系统的基础知识,就不能建成信息管理系统。因此、在信息管理系统的建设中,要保证建设工作的顺利进行,人才培养必须同步进行,进一步提高管理人员的素质。
四、结论
通过以上分析,我们可以清楚地看到建立信息管理系统的必要性以及其作用、意义,建立信息管理系统不仅仅是企业安全管理的一项重大变革,而且是时代的需要,是顺应时代潮流的体现。随着应用的不断推广和深人,信息管理系统在现代信息社会中的作用必将越来越大,计算机必将促进企业安全管理向科学化和现代化迈进,促进社会的和谐,有序,健康发展[7]。
参考文献
[1]周先涛.有状态的Web Services的研究与实现[D].成都:四川大学计算机学院,2006
[2]杨静.基于NET平台的XML Web Services研究与实现[D].兰州:兰州理工大学,2005
[3]洪应.基于NET平台Web服务的实现[J].荆门职业技术学院报,2004,5:48-51
[4]万亮.基于SOA与EDA的综合架构应用研究[D].武汉:武汉理工大学计算机科学与技术学院,2006
[5]朱明磊,黄磊.基于SOA模式的企业级应用程序的架构设计[J].电脑知识与技术,2005(17):71-74
关键词:无线局域网;标准;安全;趋势
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)34-1891-03
1 引言
无线局域网本质上是一种网络互连技术,它是计算机网络与无线通信技术相结合的产物。其作为一种网络接入手段,能迅速地应用于需要在移动中联网和在网间漫游的场合,并在不易架设有线的地力和远冲离的数据处理节点提供强大的网络支持。因此,WLAN得到了广泛的应用,已成为无线通信与Internet技术相结合的新兴发展力向之一。WLAN的最大优点就是实现了网络互连的可移动性,但由于无线局域网应用具有很大的开放性,很难控制数据传播范围,因此无线局域网将面临着严峻的安全问题。
2 无线局域网安全发展概况
无线局域网802.11b公布之后,迅速成为事实标准,但其安全协议WEP始终受到人们的质疑。美国加州大学伯克利分校的Borisov,Goldberg和Wagner最早指出了WEP协议中存在的设计失误,接下来信息安全研究人员发表了大量论文详细讨论了WEP协议中的安全缺陷,并与工程技术人员协作,在实验中破译了经WEP协议加密的无线传输数据。现在,能够截获无线传输数据的硬件设备己经能够在市场上买到,能够对所截获数据进行解密的黑客软件也已经能够在因特网上下载。WEP不安全己经成一个广为人知的事情,人们期待WEP在安全性方面有质的变化。
3 无线局域网安全风险
安全风险是指无线局域网中的资源面临的威胁。无线局域网的资源,包括了在无线信道上传输的数据和无线局域网中的主机。
3.1 无线信道上传输的数据所面临的威胁
由于无线电波可以绕过障碍物向外传播,因此,无线局域网中的信号是可以在一定覆盖范围内接听到而不被察觉的 。另外,只要按照无线局域网规定的格式封装数据包,把数据放到网络上发送时也可以被其它的设备读取,并且,如果使用一些信号截获技术,还可以把某个数据包拦截、修改,然后重新发送,而数据包的接收者并不能察觉。
因此,无线信道上传输的数据可能会被侦听、修改、伪造,对无线网络的正常通信产生了极大的干扰,并有可能造成经济损失。
3.2 无线局域网中主机面临的威胁
无线局域网是用无线技术把多台主机联系在一起构成的网络。对于主机的攻击可能会以病毒的形式出现,除了目前有线网络上流行的病毒之外,还可能会出现专门针对无线局域网移动设备,比如手机或者PDA的无线病毒。当无线局域网与无线广域网或者有线的国际互联网连接之后,无线病毒的威胁可能会加剧。
对于无线局域网中的接入设备,可能会遭受来自外部网或者内部网的拒绝服务攻击。当无线局域网和外部网接通后,如果把IP地址直接暴露给外部网,那么针对该IP的Dog或者DoS会使得接入设备无法完成正常服务,造成网络瘫痪。当某个恶意用户接入网络后,通过持续的发送垃圾数据或者利用IP层协议的一些漏洞会造成接入设备工作缓慢或者因资源耗尽而崩溃,造成系统混乱。无线局域网中的用户设备具有一定的可移动性和通常比较高的价值,这造成的一个负面影响是用户设备容易丢失。硬件设备的丢失会使得基于硬件的身份识别失效,同时硬件设备中的所有数据都可能会泄漏。
这样,无线局域网中主机的操作系统面临着病毒的挑战,接入设备面临着拒绝服务攻击的威胁,用户设备则要考虑丢失的后果。
4 无线局域网安全性
无线局域网与有线局域网紧密地结合在一起,并且己经成为市场的主流产品。在无线局域网上,数据传输是通过无线电波在空中广播的,因此在发射机覆盖范围内数据可以被任何无线局域网终端接收。安装一套无线局域网就好象在任何地方都放置了以太网接口。因此,无线局域网的用户主要关心的是网络的安全性,主要包括接入控制和加密两个方面。除非无线局域网能够提供等同于有线局域网的安全性和管理能力,否则人们还是对使用无线局域网存在顾虑。
4.1 IEEE802.11b标准的安全性
IEEE 802.11b标准定义了两种方法实现无线局域网的接入控制和加密:系统ID(SSID)和有线对等加密(WEP)。
4.1.1 认证
当一个站点与另一个站点建立网络连接之前,必须首先通过认证。执行认证的站点发送一个管理认证帧到一个相应的站点。IEEE 802.11b标准详细定义了两种认证服务:一、开放系统认证(Open System Authentication):是802.11b默认的认证方式。这种认证方式非常简单,分为两步:首先,想认证另一站点的站点发送一个含有发送站点身份的认证管理帧;然后,接收站发回一个提醒它是否识别认证站点身份的帧;二、共享密钥认证(Shared Key Authentication ):这种认证先假定每个站点通过一个独立于802.11网络的安全信道,已经接收到一个秘密共享密钥,然后这些站点通过共享密钥的加密认证,加密算法是有线等价加密(WEP)。
4.1.2 WEP
IEEE 802.11b规定了一个可选择的加密称为有线对等加密,即WEP。WEP提供一种无线局域网数据流的安全方法。WEP是一种对称加密,加密和解密的密钥及算法相同。WEP的目标是接入控制,防止未授权用户接入网络,没有正确的WEP密钥。
加密:通过加密和只允许有正确WEP密钥的用户解密来保护数据流。
IEEE 802.11b标准提供了两种用于无线局域网的WEP加密方案。第一种方案可提供四个缺省密钥以供所有的终端共享一包括一个子系统内的所有接入点和客户适配器。当用户得到缺省密钥以后,就可以与子系统内所有用户安全地通信。缺省密钥存在的问题是当它被广泛分配时可能会危及安全。第二种方案中是在每一个客户适配器建立一个与其它用户联系的密钥表。该方案比第一种方案更加安全,但随着终端数量的增加给每一个终端分配密钥很困难。
4.2 影响安全的因素
4.2.1 硬件设备
在现有的WLAN产品中,常用的加密方法是给用户静态分配一个密钥,该密钥或者存储在磁盘上或者存储在无线局域网客户适配器的存储器上。这样,拥有客户适配器就有了MAC地址和WEP密钥并可用它接入到接入点。如果多个用户共享一个客户适配器,这些用户有效地共享MAC地址和WEP密钥。
当一个客户适配器丢失或被窃的时候,合法用户没有MAC地址和WEP密钥不能接入,但非法用户可以。网络管理系统不可能检测到这种问题,因此用户必须立即通知网络管理员。接到通知后,网络管理员必须改变接入到MAC地址的安全表和WEP密钥,并给与丢失或被窃的客户适配器使用相同密钥的客户适配器重新编码静态加密密钥。客户端越多,重新编码WEP密钥的数量越大。
4.2.2 虚假接入点
IEEE802.11b共享密钥认证表采用单向认证,而不是互相认证。接入点鉴别用户,但用户不能鉴别接入点。如果一个虚假接入点放在无线局域网内,它可以通过劫持合法用户的客户适配器进行拒绝服务或攻击。
因此在用户和认证服务器之间进行相互认证是需要的,每一方在合理的时间内证明自己是合法的。因为用户和认证服务器是通过接入点进行通信的,接入点必须支持相互认证。相互认证使检测和隔离虚假接入点成为可能。
4.2.3 其它安全问题
标准WEP支持对每一组加密但不支持对每一组认证。从响应和传送的数据包中一个黑客可以重建一个数据流,组成欺骗性数据包。减轻这种安全威胁的方法是经常更换WEP密钥。通过监测工EEE802.11b控制信道和数据信道,黑客可以得到如下信息:客户端和接入点MAC地址,内部主机MAC地址,上网时间。黑客可以利用这些信息研究提供给用户或设备的详细资料。为减少这种黑客活动,一个终端应该使用每一个时期的WEP密钥。
4.3 完整的安全解决方案
无线局域网完整的安全方案以IEEE802.11b比为基础,是一个标准的开放式的安全方案,它能为用户提供最强的安全保障,确保从控制中心进行有效的集中管理。它的核心部分是:
扩展认证协议(Extensible Authentication Protocol,EAP),是远程认证拨入用户服务(RADIUS)的扩展。可以使无线客户适配器与RADIUS服务器通信。
当无线局域网执行安全保密方案时,在一个BSS范围内的站点只有通过认证以后才能与接入点结合。当站点在网络登录对话框或类似的东西内输入用户名和密码时,客户端和RADIUS服务器(或其它认证服务器)进行双向认证,客户通过提供用户名和密码来认证。然后RADIUS服务器和用户服务器确定客户端在当前登录期内使用的WEP密钥。所有的敏感信息,如密码,都要加密使免于攻击。
这种方案认证的过程是:一个站点要与一个接入点连接。除非站点成功登录到网络,否则接入点将禁止站点使用网络资源。用户在网络登录对话框和类似的结构中输入用户名和密码。用IEEE802.lx协议,站点和RADIUS服务器在有线局域网上通过接入点进行双向认证。可以使用几个认证方法中的一个。
相互认证成功完成后,RADIUS服务器和用户确定一个WEP密钥来区分用户并提供给用户适当等级的网络接入。以此给每一个用户提供与有线交换几乎相同的安全性。用户加载这个密钥并在该登录期内使用。
RADIUS服务器发送给用户的WEP密钥,称为时期密钥。接入点用时期密钥加密它的广播密钥并把加密密钥发送给用户,用户用时期密钥来解密。用户和接入点激活WEP,在这时期剩余的时间内用时期密钥和广播密钥通信。
网络安全性指的是防止信息和资源的丢失、破坏和不适当的使用。无论有线络还是无线网络都必须防止物理上的损害、窃听、非法接入和各种内部(合法用户)的攻击。
无线网络传播数据所覆盖的区域可能会超出一个组织物理上控制的区域,这样就存在电子破坏(或干扰)的可能性。无线网络具有各种内在的安全机制,其代码清理和模式跳跃是随机的。在整个传输过程中,频率波段和调制不断变化,计时和解码采用不规则技术。
正是可选择的加密运算法则和IEEE 802.11的规定要求无线网络至少要和有线网络(不使用加密技术)一样安全。其中,认证提供接入控制,减少网络的非法使用,加密则可以减少破坏和窃听。目前,在基本的WEP安全机制之外,更多的安全机制正在出现和发展之中。
5 无线局域网安全技术的发展趋势
目前无线局域网的发展势头十分强劲,但是起真正的应用前景还不是十分的明朗。主要表现在:1) 是真正的安全保障;2)将来的技术发展方向;3) WLAN有什么比较好的应用模式;4) WLAN的终端除PCMCIA卡、PDA有没有其他更好的形式;5) WLAN的市场规模。看来无线局域网真正的腾飞并非一己之事。
无线局域网同样需要与其他已经成熟的网络进行互动,达到互利互惠的目的。欧洲是GSM网的天下,而WLAN的崛起使得他们开始考虑WLAN和3G的互通,两者之间的优势互补性必将使得WLAN与广域网的融合迅速发展。现在国内中兴通讯己经实现了WLAN和CI}IVIA系统的互通,而对于使用中兴设备的WLAN与GSM/GPRS系统的互通也提出了解决方案,这条路必定越走越宽。
互通中的安全问题也必然首当其冲,IEEE的无线局域网工作组己经决定将EAP-SIIVI纳入无线局域网安全标准系列里面,并且与3G互通的认证标准EAP-AID也成为讨论的焦点。
无线网络的互通,现在是一个趋势。802.11工作组新成立了WIG(Wireless lnterworking Grouq),该工作组的目的在于使现存的符合ETSI,IEEE,MMAC所制订的标准的无线域网之间实现互通。另外3GPP也给出了无线局域网和3G互通的两个草案,定义了互通的基本需求,基本模型和基本框架。还有就是爱立信公司的一份文档给出了在现有的网络基础上,实现无线局域网和G1VIS/GPRS的互通。
不同类型无线局域网互通标准的制定,使得用户可以使用同一设备接入无线局域网。3G和无线局域网的互通者可以使用户在一个运营商那里注册,就可以在各地接入。当然,用户享用上述方便的同时,必然会使运营商或制造商获得利润,而利润的驱动,则是这个互通风潮的根本动力。为了达到互通的安全,有以下需求:支持传统的无线局域网设备,对用户端设备,比如客户端软件,影响要最小,对经营者管理和维护客户端SW的要求要尽量少,应该支持现存的UICC卡,不应该要求该卡有任何改动,敏感数据,比如存在UICC卡中的长期密钥不能传输。对于UICC卡的认证接口应该是基于该密钥的Challenge, Response模式。用户对无线局域网接入的安全级别应该和3GPP接入一样,应该支持双向认证,所选的认证方案应该顾及到授权服务,应该支持无线局域网接入NW的密钥分配方法,无线局域网与3GPP互通所选择的认证机制至少要提供3GPP系统认证的安全级别,无线局域网的重连接不应该危及3GPP系统重连接的安全,所选择的无线局域网认证机制应该支持会话密钥素材的协商,所选择的无线局域网密钥协商和密钥分配机制应该能防止中间人攻击。也就是说中间人不能得到会话密钥素材,无线局域网技术应当保证无线局域网UE和无线局域网AN的特定的认证后建立的连接可以使用生成的密钥素材来保证完整性。所有的用于用户和网络进行认证的长期的安全要素应该可以在一张UICC卡中存下。
对于非漫游情况的互通时,这种情况是指当用户接入的热点地区是在3GPP的归属网络范围内。简单地说,就是用户在运营商那里注册,然后在该运营商的本地网络范围内的热点地区接入时的一种情况。无线局域网与3G网络安全单元功能如下:UE(用户设备)、3G-AAA(移动网络的认证、授权和计帐服务器)、HSS(归属业务服务器)、CG/CCF(支付网关/支付采集功能)、OCS(在线计帐系统)。
对于漫游的互通情况时,3G网络是个全域性网络借助3G网络的全域性也可以实现无线局域网的漫游。在漫游情况下,一种常用的方法是将归属网络和访问网络分开,归属网络AAA服务作为认证的找到用户所注册的归属网络。
在无线局域网与3G互通中有如下认证要求:该认证流程从用户设备到无线局域网连接开始。使用EAP方法,顺次封装基于USIM的用户ID,AKA-Challenge消息。具体的认证在用户设备和3GP-AAA服务器之间展开。走的是AKA过程,有一点不同在于在认证服务器要检查用户是否有接入无线局域网的权限。
上述互通方案要求客户端有能够接入无线局域网的网卡,同时还要实现USIM或者SIM的功能。服务网络要求修改用户权限表,增加对于无线局域网的接入权限的判断。
无线局域网的崛起使得人们开始考虑无线局域网和3G的互通,两者之间的优势互补性必将使得无线局域网与广域网的融合迅速发展。现在国内中兴通讯已经实现了无线局域网和CDMA系统的互通,而对于使用中兴设备的无线局域网与GSM/GPRS系统的互通也提出了解决方案,这条路必定越走越宽。
参考文献:
[1] 郭峰,曾兴雯,刘乃安.无线局域网[M].北京:电子工业出版杜,1997.
[2] 冯锡生,朱荣.无线数据通信[M].北京:中国铁道出版社,1997.
[3] 你震亚.现代计算机网络教程[M].北京:电子工业出版社,1999.
[4] 刘元安.宽带无线接入和无线局域网[M].北京:北京邮电大学出版社,2000.
[5] 吴伟陵.移动通信中的关键技术[M].北京:北京邮电大学出版社,2000.
[6] 张公忠,陈锦章.当代组网技术[M].北京:清华大学出版社,2000.
[7] 牛伟,郭世泽,吴志军,等.无线局域网[M].北京:人民邮电出版社,2003.
[8] Wheat J.无线网络设计[M].莫蓉蓉,译.北京:机械工业出版社,2002.
[9] Held G.构建无线局域网[M].沈金龙,泽.北京:人民邮电出版社,2002.
[10] Barnes C.无线网络安全防护[M].林生,译.北京:机械工业出版社,2003.
[11] Heiskala J.OFDM无线局域网[M].畅晓春,译.北京:电子工业出版社,2003.
[12] Ouellet E.构建Cisco无线局域网[M].张颖,译.北京:科学出版社,2003.
[13] Ciampa M.无线周域网设计一与实现[M].王顺满,译.北京:科学出版社,2003 .
关键词:无线局域网;标准;安全;趋势
前言 无线局域网本质上是一种网络互连技术。无线局域网使用无线电波代替双绞线、同轴电缆等设备,省去了布线的麻烦,组网灵活。无线局域网(WLAN)是计算机网络与无线通信技术相结合的产物。它既可满足各类便携机的入网要求,也可实现计算机局域网远端接入、图文传真、电子邮件等功能。无线局域网技术作为一种网络接入手段,能迅速地应用于需要在移动中联网和在网间漫游的场合,并在不易架设有线的地力和远冲离的数据处理节点提供强大的网络支持。因此,WLAN已在军队、石化、医护管理、工厂车间、库存控制、展览和会议、金融服务、旅游服务、移动办公系统等行业中得到了应用,受到了广泛的青睐,已成为无线通信与Internet技术相结合的新兴发展力向之一。WLAN的最大优点就是实现了网络互连的可移动性,它能大幅提高用户访问信息的及时性和有效性,还可以克服线缆限制引起的不便性。但由于无线局域网应用具有很大的开放性,数据传播范围很难控制,因此无线局域网将面临着更严峻的安全问题。
1. 无线局域网安全发展概况
无线局域网802.11b公布之后,迅速成为事实标准。遗憾的是,从它的诞生开始,其安全协议WEP就受到人们的质疑。美国加州大学伯克利分校的Borisov,Goldberg和Wagner最早指出了WEP协议中存在的设计失误,接下来信息安全研究人员发表了大量论文详细讨论了WEP协议中的安全缺陷,并与工程技术人员协作,在实验中破译了经WEP协议加密的无线传输数据。现在,能够截获无线传输数据的硬件设备己经能够在市场上买到,能够对所截获数据进行解密的黑客软件也已经能够在因特网上下载。WEP不安全己经成一个广为人知的事情,人们期待WEP在安全性方面有质的变化,新的增强的无线局域网安全标准应运而生[1]。
我国从2001年开始着手制定无线局域网安全标准,经过西安电子科技大学、西安邮电学院、西电捷通无线网络通信有限公司等院校和企业的联合攻关,历时两年多制定了无线认证和保密基础设施WAPI,并成为国家标准,于2003年12月执行。WAPI使用公钥技术,在可信第三方存在的条件下,由其验证移动终端和接入点是否持有合法的证书,以期完成双向认证、接入控制、会话密钥生成等目标,达到安全通信的目的。WAPI在基本结构上由移动终端、接入点和认证服务单元三部分组成,类似于802.11工作组制定的安全草案中的基本认证结构。同时我国的密码算法一般是不公开的,WAPI标准虽然是公开的,然而对其安全性的讨论在学术界和工程界目前还没有展开[2]。
增强的安全草案也是历经两年多时间定下了基本的安全框架。其间每个月至少召开一次会议,会议的文档可以从互联网上下载,从中可以看到一些有趣的现象,例如AES-OCB算法,开始工作组决定使用该算法作为无线局域网未来的安全算法,一年后提议另外一种算法CCMP作为候选,AES-OSB作为缺省,半年后又提议CCMP作为缺省,AES-OCB作为候选,又过了几个月,干脆把AES-OCB算法完全删除,只使用CCMP算法作为缺省的未来无线局域网的算法。其它的例子还有很多。从这样的发展过程中,我们能够更加清楚地认识到无线局域网安全标准的方方面面,有利于无线局域网安全的研究[3][4]。
2.无线局域网的安全必要性
WLAN在为用户带来巨大便利的同时,也存在着许多安全上的问题。由于WLAN 通过无线电波在空中传输数据,不能采用类似有线网络那样的通过保护通信线路的方式来保护通信安全,所以在数据发射机覆盖区域内的几乎任何一个WLAN用户都能接触到这些数据,要将WLAN发射的数据仅仅传送给一名目标接收者是不可能的。而防火墙对通过无线电波进行的网络通讯起不了作用,任何人在视距范围之内都可以截获和插入数据。因此,虽然无线网络和WLAN的应用扩展了网络用户的自由,它安装时间短,增加用户或更改网络结构时灵活、经济,可提供无线覆盖范围内的全功能漫游服务。然而,这种自由也同时带来了新的挑战,这些挑战其中就包括安全性。WLAN 必须考虑的安全要素有三个:信息保密、身份验证和访问控制。如果这三个要素都没有问题了,就不仅能保护传输中的信息免受危害,还能保护网络和移动设备免受危害。难就难在如何使用一个简单易用的解决方案,同时获得这三个安全要素。国外一些最新的技术研究报告指出,针对目前应用最广泛的802.11bWLAN 标准的攻击和窃听事件正越来越频繁[5],故对WLAN安全性研究,特别是广泛使用的IEEE802.11WLAN的安全性研究,发现其可能存在的安全缺陷,研究相应的改进措施,提出新的改进方案,对 WLAN 技术的使用、研究和发展都有着深远的影响。
同有线网络相比,无线局域网无线传输的天然特性使得其物理安全脆弱得多,所以首先要加强这一方面的安全性。
无线局域网中的设备在实际通信时是逐跳的方式,要么是用户设备发数据给接入设备,饭由接入设备转发,要么是两台用户设备直接通信,每一种通信方式都可以用链路层加密的方法来实现至少与有线连接同等的安全性。无线信号可能被侦听,但是,如果把无线信号承载的数据变成密文,并且,如果加密强度够高的话,侦听者获得有用数据的可能性很小。另外,无线信号可能被修改或者伪造,但是,如果对无线信号承载的数据增加一部分由该数据和用户掌握的某种秘密生成的冗余数据,以使得接收方可以检测到数据是杏被更改,那么,对于无线信号的更改将会徒劳无功。而秘密的独有性也将使得伪造数据被误认为是合法数据的可能性极小。
这样,通过数据加密和数据完整性校验就可以为无线局域网提供一个类似有线网的物理安全的保护。对于无线局域网中的主机,面临病毒威胁时,可以用最先进的防毒措施和最新的杀毒工具来给系统增加安全外壳,比如安装硬件形式的病毒卡预防病毒,或者安装软件用来时实检测系统异常。PC机和笔记本电脑等设备己经和病毒进行了若千年的对抗,接下来的无线设备如何与病毒对抗还是一个待开发领域。
对于DOS攻击或者DDOS攻击,可以增加一个网关,使用数据包过滤或其它路由设置,将恶意数据拦截在网络外部;通过对外部网络隐藏接入设备的IP地址,可以减小风险。对于内部的恶意用户,则要通过审计分析,网络安全检测等手段找出恶意用户,并辅以其它管理手段来杜绝来自内部的攻击。硬件丢失的威胁要求必须能通过某种秘密或者生物特征等方式来绑定硬件设备和用户,并且对于用户的认证也必须基于用户的身份而不是硬件来完成。例如,用MAC地址来认证用户是不适当的[5]。
除了以上的可能需求之外,根据不同的使用者,还会有不同的安全需求,对于安全性要求很高的用户,可能对于传输的数据要求有不可抵赖性,对于进出无线局域网的数据要求有防泄密措施,要求无线局域网瘫痪后能够迅速恢复等等。所以,无线局域网的安全系统不可能提供所有的安全保证,只能结合用户的具体需求,结合其它的安全系统来一起提供安全服务,构建安全的网络。
当考虑与其它安全系统的合作时,无线局域网的安全将限于提供数据的机密,数据的完整,提供身份识别框架和接入控制框架,完成用户的认证授权,信息的传输安全等安全业务。对于防病毒,防泄密,数据传输的不可抵赖,降低DoS攻击的风险等都将在具体的网络配置中与其它安全系统合作来实现。
3.无线局域网安全风险
安全风险是指无线局域网中的资源面临的威胁。无线局域网的资源,包括了在无线信道上传输的数据和无线局域网中的主机。
3.1 无线信道上传输的数据所面临的威胁
由于无线电波可以绕过障碍物向外传播,因此,无线局域网中的信号是可以在一定覆盖范围内接听到而不被察觉的。这如用收音机收听广播的情况一样,人们在电台发射塔的覆盖范围内总可以用收音机收听广播,如果收音机的灵敏度高一些,就可以收听到远一些的发射台发出的信号。当然,无线局域网的无线信号的接收并不像收音机那么简单,但只要有相应的设备,总是可以接收到无线局域网的信号,并可以按照信号的封装格式打开数据包,读取数据的内容[6]。
另外,只要按照无线局域网规定的格式封装数据包,把数据放到网络上发送时也可以被其它的设备读取,并且,如果使用一些信号截获技术,还可以把某个数据包拦截、修改,然后重新发送,而数据包的接收者并不能察觉。
因此,无线信道上传输的数据可能会被侦听、修改、伪造,对无线网络的正常通信产生了极大的干扰,并有可能造成经济损失。
3.2 无线局域网中主机面临的威胁
无线局域网是用无线技术把多台主机联系在一起构成的网络。对于主机的攻击可能会以病毒的形式出现,除了目前有线网络上流行的病毒之外,还可能会出现专门针对无线局域网移动设备,比如手机或者PDA的无线病毒。当无线局域网与无线广域网或者有线的国际互联网连接之后,无线病毒的威胁可能会加剧。
对于无线局域网中的接入设备,可能会遭受来自外部网或者内部网的拒绝服务攻击。当无线局域网和外部网接通后,如果把IP地址直接暴露给外部网,那么针对该IP的Dog或者DDoS会使得接入设备无法完成正常服务,造成网络瘫痪。当某个恶意用户接入网络后,通过持续的发送垃圾数据或者利用IP层协议的一些漏洞会造成接入设备工作缓慢或者因资源耗尽而崩溃,造成系统混乱。无线局域网中的用户设备具有一定的可移动性和通常比较高的价值,这造成的一个负面影响是用户设备容易丢失。硬件设备的丢失会使得基于硬件的身份识别失效,同时硬件设备中的所有数据都可能会泄漏。
这样,无线局域网中主机的操作系统面临着病毒的挑战,接入设备面临着拒绝服务攻击的威胁,用户设备则要考虑丢失的后果。
4.无线局域网安全性
无线局域网与有线局域网紧密地结合在一起,并且己经成为市场的主流产品。在无线局域网上,数据传输是通过无线电波在空中广播的,因此在发射机覆盖范围内数据可以被任何无线局域网终端接收。安装一套无线局域网就好象在任何地方都放置了以太网接口。因此,无线局域网的用户主要关心的是网络的安全性,主要包括接入控制和加密两个方面。除非无线局域网能够提供等同于有线局域网的安全性和管理能力,否则人们还是对使用无线局域网存在顾虑。
4.1 IEEE802. 11 b标准的安全性
IEEE 802.11b标准定义了两种方法实现无线局域网的接入控制和加密:系统ID(SSID)和有线对等加密(WEP)[7][8]。
4.1.1认证
当一个站点与另一个站点建立网络连接之前,必须首先通过认证。执行认证的站点发送一个管理认证帧到一个相应的站点。IEEE 802.11b标准详细定义了两种认证服务:一开放系统认证(Open System Authentication):是802.11b默认的认证方式。这种认证方式非常简单,分为两步:首先,想认证另一站点的站点发送一个含有发送站点身份的认证管理帧;然后,接收站发回一个提醒它是否识别认证站点身份的帧。一共享密钥认证(Shared Key Authentication ):这种认证先假定每个站点通过一个独立于802.11网络的安全信道,已经接收到一个秘密共享密钥,然后这些站点通过共享密钥的加密认证,加密算法是有线等价加密(WEP )。
4. 1 .2 WEP
IEEE 802.11b规定了一个可选择的加密称为有线对等加密,即WEP。WEP提供一种无线局域网数据流的安全方法。WEP是一种对称加密,加密和解密的密钥及算法相同。WEP的目标是:接入控制:防止未授权用户接入网络,他们没有正确的WEP密钥。
加密:通过加密和只允许有正确WEP密钥的用户解密来保护数据流。
IEEE 802.11b标准提供了两种用于无线局域网的WEP加密方案。第一种方案可提供四个缺省密钥以供所有的终端共享一包括一个子系统内的所有接入点和客户适配器。当用户得到缺省密钥以后,就可以与子系统内所有用户安全地通信。缺省密钥存在的问题是当它被广泛分配时可能会危及安全。第二种方案中是在每一个客户适配器建立一个与其它用户联系的密钥表。该方案比第一种方案更加安全,但随着终端数量的增加给每一个终端分配密钥很困难。
4.2 影响安全的因素[9][10]
4. 2. 1硬件设备
在现有的WLAN产品中,常用的加密方法是给用户静态分配一个密钥,该密钥或者存储在磁盘上或者存储在无线局域网客户适配器的存储器上。这样,拥有客户适配器就有了MAC地址和WEP密钥并可用它接入到接入点。如果多个用户共享一个客户适配器,这些用户有效地共享MAC地址和WEP密钥。
当一个客户适配器丢失或被窃的时候,合法用户没有MAC地址和WEP密钥不能接入,但非法用户可以。网络管理系统不可能检测到这种问题,因此用户必须立即通知网络管理员。接到通知后,网络管理员必须改变接入到MAC地址的安全表和WEP密钥,并给与丢失或被窃的客户适配器使用相同密钥的客户适配器重新编码静态加密密钥。客户端越多,重新编码WEP密钥的数量越大。
4.2.2虚假接入点
IEEE802. 1 1b共享密钥认证表采用单向认证,而不是互相认证。接入点鉴别用户,但用户不能鉴别接入点。如果一个虚假接入点放在无线局域网内,它可以通过劫持合法用户的客户适配器进行拒绝服务或攻击。
因此在用户和认证服务器之间进行相互认证是需要的,每一方在合理的时间内证明自己是合法的。因为用户和认证服务器是通过接入点进行通信的,接入点必须支持相互认证。相互认证使检测和隔离虚假接入点成为可能。
4.2.3其它安全问题
标准WEP支持对每一组加密但不支持对每一组认证。从响应和传送的数据包中一个黑客可以重建一个数据流,组成欺骗性数据包。减轻这种安全威胁的方法是经常更换WEP密钥。通过监测工EEE802. 11 b控制信道和数据信道,黑客可以得到如下信息:客户端和接入点MAC地址,内部主机MAC地址,上网时间。黑客可以利用这些信息研究提供给用户或设备的详细资料。为减少这种黑客活动,一个终端应该使用每一个时期的WEP密钥。
4.3 完整的安全解决方案
无线局域网完整的安全方案以IEEE802.11b比为基础,是一个标准的开放式的安全方案,它能为用户提供最强的安全保障,确保从控制中心进行有效的集中管理。它的核心部分是:
扩展认证协议(Extensible Authentication Protocol,EAP),是远程认证拨入用户服务(RADIUS)的扩展。可以使无线客户适配器与RADIUS服务器通信。
当无线局域网执行安全保密方案时,在一个BSS范围内的站点只有通过认证以后才能与接入点结合。当站点在网络登录对话框或类似的东西内输入用户名和密码时,客户端和RADIUS服务器(或其它认证服务器)进行双向认证,客户通过提供用户名和密码来认证。然后RADIUS服务器和用户服务器确定客户端在当前登录期内使用的WEP密钥。所有的敏感信息,如密码,都要加密使免于攻击。
这种方案认证的过程是:一个站点要与一个接入点连接。除非站点成功登录到网络,否则接入点将禁止站点使用网络资源。用户在网络登录对话框和类似的结构中输入用户名和密码。用IEEE802. lx协议,站点和RADIUS服务器在有线局域网上通过接入点进行双向认证。可以使用几个认证方法中的一个。
相互认证成功完成后,RADIUS服务器和用户确定一个WEP密钥来区分用户并提供给用户适当等级的网络接入。以此给每一个用户提供与有线交换几乎相同的安全性。用户加载这个密钥并在该登录期内使用。
RADIUS服务器发送给用户的WEP密钥,称为时期密钥。接入点用时期密钥加密它的广播密钥并把加密密钥发送给用户,用户用时期密钥来解密。用户和接入点激活WEP,在这时期剩余的时间内用时期密钥和广播密钥通信。
网络安全性指的是防止信息和资源的丢失、破坏和不适当的使用。无论有线络还是无线网络都必须防止物理上的损害、窃听、非法接入和各种内部(合法用户)的攻击。
无线网络传播数据所覆盖的区域可能会超出一个组织物理上控制的区域,这样就存在电子破坏(或干扰)的可能性。无线网络具有各种内在的安全机制,其代码清理和模式跳跃是随机的。在整个传输过程中,频率波段和调制不断变化,计时和解码采用不规则技术。
正是可选择的加密运算法则和IEEE 802.11的规定要求无线网络至少要和有线网络(不使用加密技术)一样安全。其中,认证提供接入控制,减少网络的非法使用,加密则可以减少破坏和窃听。目前,在基本的WEP安全机制之外,更多的安全机制正在出现和发展之中[12]。
5.无线局域网安全技术的发展趋势
目前无线局域网的发展势头十分强劲,但是起真正的应用前景还不是十分的明朗。主要表现在:一是真正的安全保障;二个是将来的技术发展方向;三是WLAN有什么比较好的应用模式;四是WLAN的终端除PCMCIA卡、PDA有没有其他更好的形式;五是WLAN的市场规模。看来无线局域网真正的腾飞并非一己之事[13]。
无线局域网同样需要与其他已经成熟的网络进行互动,达到互利互惠的目的。欧洲是GSM网的天下,而WLAN的崛起使得他们开始考虑WLAN和3G的互通,两者之间的优势互补性必将使得WLAN与广域网的融合迅速发展。现在国内中兴通讯己经实现了WLAN和CI}IVIA系统的互通,而对于使用中兴设备的WLAN与GSM/GPRS系统的互通也提出了解决方案,这条路必定越走越宽。
互通中的安全问题也必然首当其冲,IEEE的无线局域网工作组己经决定将EAP-SIIVI纳入无线局域网安全标准系列里面,并且与3G互通的认证标准EAP-AID也成为讨论的焦点。
无线网络的互通,现在是一个趋势。802.11工作组新成立了WIG(Wireless lnterworking Grouq),该工作组的目的在于使现存的符合ETSI,IEEE,MMAC所制订的标准的无线域网之间实现互通。另外3GPP也给出了无线局域网和3G互通的两个草案,定义了互通的基本需求,基本模型和基本框架。还有就是爱立信公司的一份文档给出了在现有的网络基础上,实现无线局域网和G1VIS/GPRS的互通。
不同类型无线局域网互通标准的制定,使得用户可以使用同一设备接入无线局域网。3G和无线局域网的互通者可以使用户在一个运营商那里注册,就可以在各地接入。当然,用户享用上述方便的同时,必然会使运营商或制造商获得利润,而利润的驱动,则是这个互通风潮的根本动力。为了达到互通的安全,有以下需求:支持传统的无线局域网设备,对用户端设备,比如客户端软件,影响要最小,对经营者管理和维护客户端SW的要求要尽量少,应该支持现存的UICC卡,不应该要求该卡有任何改动,敏感数据,比如存在UICC卡中的长期密钥不能传输。对于UICC卡的认证接口应该是基于该密钥的Challenge-, Response模式。用户对无线局域网接入的安全级别应该和3GPP接入一样,应该支持双向认证,所选的认证方案应该顾及到授权服务,应该支持无线局域网接入NW的密钥分配方法,无线局域网与3GPP互通所选择的认证机制至少要提供3 GPP系统认证的安全级别,无线局域网的重连接不应该危及3GPP系统重连接的安全,所选择的无线局域网认证机制应该支持会话密钥素材的协商,所选择的无线局域网密钥协商和密钥分配机制应该能防止中间人攻击。也就是说中间人不能得到会话密钥素材,无线局域网技术应当保证无线局域网UE和无线局域网AN的特定的认证后建立的连接可以使用生成的密钥素材来保证完整性。所有的用于用户和网络进行认证的长期的安全要素应该可以在一张UICC卡中存下[14]。
对于非漫游情况的互通时,这种情况是指当用户接入的热点地区是在3GPP的归属网络范围内。简单地说,就是用户在运营商那里注册,然后在该运营商的本地网络范围内的热点地区接入时的一种情况。无线局域网与3G网络安全单元功能如下:UE(用户设备)、3G-AAA(移动网络的认证、授权和计帐服务器)、HSS(归属业务服务器)、CG/CCF(支付网关/支付采集功能)、OCS(在线计帐系统)。
对于漫游的互通情况时,3G网络是个全域性网络借助3G网络的全域性也可以实现无线局域网的漫游。在漫游情况下,一种常用的方法是将归属网络和访问网络分开,归属网络AAA服务作为认证的找到用户所注册的归属网络。
在无线局域网与3G互通中有如下认证要求:该认证流程从用户设备到无线局域网连接开始。使用EAP方法,顺次封装基于USIM的用户ID,AKA-Challenge消息。具体的认证在用户设备和3GPAAA服务器之间展开。走的是AKA过程,有一点不同在于在认证服务器要检查用户是否有接入无线局域网的权限。
上述互通方案要求客户端有能够接入无线局域网的网卡,同时还要实现USIM或者SIM的功能。服务网络要求修改用户权限表,增加对于无线局域网的接入权限的判断。
无线局域网的崛起使得人们开始考虑无线局域网和3G的互通,两者之间的优势互补性必将使得无线局域网与广域网的融合迅速发展。现在国内中兴通讯已经实现了无线局域网和CDMA系统的互通,而对于使用中兴设备的无线局域网与GSM/GPRS系统的互通也提出了解决方案,这条路必定越走越宽。
参考文献
[1] 郭峰,曾兴雯,刘乃安,《无线局域网》,电子工业出版杜,1997
[2] 冯锡生,朱荣,《无线数据通信》1997
[3] 你震亚,《现代计算机网络教程》,电子工业出版社,1999
[4] 刘元安,《宽带无线接入和无线局域网》,北京邮电大学出版社,2000
[5] 吴伟陵,《移动通信中的关键技术》,北京邮电大学出版社,2000
[6] 张公忠,陈锦章,《当代组网技术》,清华大学出版社,2000
[7] 牛伟,郭世泽,吴志军等,《无线局域网》,人民邮电出版社,2003
[8] Jeffrey Wheat,《无线网络设计》,莫蓉蓉等译,机械工业出版社,2002
[9] Gil Held,《构建无线局域网》,沈金龙等泽,人民邮电出版社,2002
[10] Christian Barnes等,《无线网络安全防护》,林生等译,机械工业出版社.2003
[11] Juha Heiskala等,《OFDM无线局域网》,畅晓春等译,电子工业出版社,2003
[12] Eric Ouellet等,《构建Cisco无线局域网》,张颖译,科学出版社,2003
[13] Mark Ciampa,《无线周域网设计一与实现》,王顺满译,科学出版社.2003