认证无线电网络

认证无线电网络（精选十篇）

认证无线电网络 篇1

关键词：无线Mesh网络,链路切换,CPK标识认证,IKEv2认证与密钥交换协议

0 引言

无线Mesh网络是从移动Ad Hoc网络中分离出来，并承袭了部分WLAN技术的一种新的网络技术，具有较高的可靠性和较低的投资成本。研究发现，无线Mesh网络是作为未来WMAN核心网最理想的方式之一，是迄今为止一种建立大规模移动Ad Hoc网络的可行性技术[1]。

无线Mesh网络呈网状网形状，按照最初预想，每一个Mesh节点都会与周围所能探测到的所有节点建立链路连接，这样就使得无线Mesh网络中两个节点之间具有多条路径可达，从而保证了无线Mesh网络较强的抗毁性与链路选择的灵活性。但是，在实际实现过程中，网状网链路会带来巨大的维护代价和管理代价，并且，会极大地降低整个Mesh网络的带宽。因此，比较常见的做法是将链路分为主链路与备份链路，正常情况下，路由计算与数据传输都基于主链路，当主链路链路质量变差或者链路断开的情况下，选择向链路质量最佳的备份链路进行切换，将备份链路启用为主链路。

切换过程的产生必然会带来新的安全隐患，所以，必须有相应的安全机制予以保障。然而，现有针对这部分切换安全性的研究很少，通常的做法是，在切换阶段重新完成一次接入认证过程，而未过多地考虑到切换的效率问题。然而，切换过程过长，会严重影响网络的通信质量，从而直接导致网络的可靠性大大降低。为了减少切换时长，本文设计了快速切换认证方案，通过预认证的方法，降低真正切换过程中切换认证的时延，保证切换过程的时效性和安全性。

1 无线Mesh网络的切换

用图1来描述切换过程，AP3维护着一条与AP2的活动链路（也称主链路），当AP3与AP2之间的链路断开或者链路质量变差的情况下，AP3就会断开与AP2节点的关联，重新选择与AP1或者AP4之间的最优链路进行切换。快速切换的目的是保障网络的鲁棒性，保持网络通畅的同时，尽可能的使网络获得大的带宽。

主/备份链路的切换需要经历三个阶段：信道信息搜集阶段，切换触发阶段和切换阶段。第一阶段信道信息搜集阶段，节点搜集周边可入网的节点的信息。为了降低切换时延，当节点正常加入网络后，就开始进行信道信息搜集，信道信息搜集阶段完成邻居节点的发现与维护过程。第二阶段切换触发阶段，节点切换产生的原因有两种：第一种情况为主链路的链路断开，节点需要寻找新的通信链路；第二种情况为发现了比主链路质量更优的链路，进行主动切换。第三阶段切换阶段，切换阶段完成节点从主链路切换到备份链路的动作。

主/备份链路的切换过程给无线Mesh网络安全提出了新的需求。首先，节点之间的邻居关系需要建立在节点相互了解与信任的基础之上，根据无线Mesh网络的链路形态，节点与邻居节点之间不存在通信链路，所以，节点与邻居节点之间的消息交互必须通过其他节点进行转发，为保证消息交互的私密性与认证的可靠性，需要进行端到端的认证与保护。其次，在切换来临之际，需要通过重认证机制来保证切换的正确性，避免网络链路变化给攻击者造成的可乘之机，同时，由于重认证机制发生在切换阶段，为缩短切换时延，在保证安全的情况下，需尽量降低重认证过程的时延。根据切换触发的情景不同，发生切换时有两种情况：链路断开时是节点向节点切换，当发现最优链路时，节点需要通过其他节点转发消息来进行切换，所以，重认证过程既要保证点到点的安全，也要保证端到端的安全。最后，在无线Mesh网络无中心、自组织的特点下实现快速切换认证，需要选择合适的基础设施，并尽量减少非对称加解密的使用，同时减少消息的传递。

2 基于预认证的无线Mesh网络快速切换认证方案设计

2.1 基于预认证的端到端的认证与加密方案

在信道信息搜集阶段完成正常入网节点与周围邻居节点的相互认证，通过在该阶段的预认证避免节点在真正切换中的身份认证，缩短切换时延，整个过程被称为邻居节点安全关联。邻居节点安全关联通过安全关联协议来实现，协议设计参照了IKEv2认证与密钥交换协议，具体的实现过程见图2。邻居节点安全关联的时机，可以选择节点成功入网之后，或者是发现新的邻居节点之时，将协议数据包的发送优先级置为最高，从而避免切换突发情况的发生。图2显示的是图1中AP3入网成功之后，与AP1建立安全关联的过程。其中(1)(2)(3)(4)为传送的协议数据包。

SA安全关联载荷，用于协商节点之间采用的认证方式、加密算法，Diffie-Hellman组等；ID是获取身份的惟一标识；N是传递的随机数用来防止重放攻击；KE传送的是Diffie-Hellman的参数值。keyT是在切换阶段用于开启切换过程的共享秘密；R是构成空口密钥的重要参数；keyid记录空口密钥的序列号；AUTH是签名载荷，是一端私钥对双方共享秘密的签名。PAP1（）表示使用AP1的公钥进行加密；KSK＿er（）表示使用SK＿er密钥进行对称加密。

第(1)(2)条消息主要完成参数与计算方式的协商，通过KE Diffie-Hellman参数的交互得到会话密钥K，通过会话密钥与随机数计算出一个主密钥SKEYSEED,SKEYSEED被进一步用来计算其他7个密钥材料：SK＿d为最终的加密密钥生成资料，SK＿ai和SK＿ar用于后两步的切换消息的认证，SK＿ei和SK＿er用于后两步消息的加解密，SK＿pi和SK＿pr用于后两步AUTH载荷的产生。计算公式如下：

其中，prf（）为散列函数或者位运算。Prf+为指定的散列算法，“|”是连接符号，SPI是数据包头中的安全索引。

第(3)(4)条消息完成身份的认证与秘密参数的传递。身份认证协议的设计以CPK标识认证为基础设施，利用对方标识获得对方身份，加密传给对方的秘密参数，利用本端的私钥加密信息形成AUTH载荷，用以证明自己的身份。CPK标识认证的使用避免了第三方的参与，减少证书的传递与验证，能很大程度上加快协议的执行速度。AUTH载荷的计算公式如下：

其中SAP3为AP3的私钥加密。H（）表示对括号里的内容进行散列计算。

当AP1接收到来自AP3的消息（3）之后，首先通过Diffie-Hellman交换计算出SK＿er，利用SK＿er解密消息内容，第二步利用本端私钥解密keyTAP3,RAP3，第三步利用AP3公钥对AUTH载荷进行解签记为H1，再通过本端存储的信息按照AUTH构成计算本端所认同的解签内容记为H2，对比H1与H2的值，若一致则AP1通过对AP3的身份认证，若不一致则AP3的身份认证失败。消息(4)的过程与消息(3)的处理过程一致，实现的是AP3对AP1身份的认证。

在消息(3)与消息(4)的交互中，分别使用了对称加密，公钥加密与私钥签名三种加密方式，对称加密使用的密钥是前一次DIffie-Hellman交换计算的结果，不仅使消息保持了前向一致性，还在消息破解上增加了破解Diffie-Hellman参数交换的难度。公钥加密的结果一方面能够保证消息内容的安全，另外一方面还能确保消息内容到达指定的接收方，保证了消息内容端到端的可靠性。另外，私钥签名是证明身份的最佳方式。

邻居节点安全关联成功，邻居节点双方计算出共享密钥：

其中，F（）表示哈希算法，“⊕”代表异或运算。

2.2 快速重认证方案

当节点之间链路断开或者发现更优链路时，意味着切换阶段的到来。在预认证的基础上，通过快速重认证，实现节点的安全快速切换。重认证方案通过重认证协议来实现。节点在与父节点链路断开或者发现更优链路的情况下都可能进行切换。图3显示了图1中节点AP3分别在链路断开与发现更优链路两种情况下的重认证过程。

链路断开情况下：

(1)链路建立数据包

(2)切换重认证请求数据包

(3)切换重认证回复数据包

发现更优链路：

(1)切换重认证请求数据包

(2)切换重认证回复数据包

(3)链路建立通知数据包

切换重认证请求数据包的构造如下：

切换重认证回复数据包的构造如下：

当AP3链路断开时，首先由AP3根据监测结果选择切换到的邻居节点为AP1，执行一系列链路协议后，AP1发送链路建立数据包，在AP3与AP1之间建立通信链路。链路建立完毕，AP3发送切换重认证请求数据包，切换重认证请求数据包内容包括由邻居节点安全关联过程中交换的切换参数keyT与Diffie-Hellman交换产生的SK＿a进行散列运算得到的切换“开关”，以及新的切换参数keyT′。当AP1切换重认证请求数据包时，首先，用共享密钥key解密数据包，之后，计算keyTAP3+1与SK＿ai的散列结果，与数据包中的该值做对比，若一致则切换认证通过，记录新的切换参数，发送切换回复数据包；若不一致，则认为切换重认证未通过，在一端断开与AP3的链路连接。同样，AP3收到AP1发送的切换重认证回复数据包后，通过验证切换“开关”决定是否通过重认证过程。

当AP3发现更优链路时，通过AP2与AP0的中转发送切换重认证请求数据包，过程与链路断开切换一致，当AP3与AP1互相重认证通过之后，由AP3发送链路建立通知数据包，建立AP3与AP1之间的直接链路。若重认证失败，则AP3重新选择切换对象。

在切换重认证协议设计中，为减少切换时延，遵循了几个原则，第一，将协议的交互次数降到最低。重认证协议交互次数为两次，这是设计协议的最少交互次数，交互次数的减少，必然会大大降低协议执行的时延。第二，避免对非对称加解密的使用。非对称加解密的速度远远低于对称加解密的速度，在认证过程中避免非对称加解密的使用能够大大缩短协议计算过程的时延。第三，安全性保障。切换重认证请求数据包与切换重认证回复数据包均使用邻居节点安全关联后计算得到的共享密钥key进行空口加密，共享密钥的生成建立在Diffie-Hellman交换与椭圆曲线加解密的安全之上，具有非常高的安全级别。另外，切换“开关”中，KeyT与SK＿a均来自于邻居节点安全关联，具有很好的前向关联性，keyT′的使用能够有效避免重放攻击。

3 方案性能与安全性分析

基于预认证的无线Mesh网络快速切换认证方案由基于预认证的端到端认证与加密方案及快速重认证方案两部分构成。其中，基于预认证的端到端认证与加密方案是进行快速重认证方案得以实现的基础，通过预认证减少真正切换到来时的在进行身份认证与参数协商和计算的时延是关键，根据对重认证的试验统计，切换认证的过程能够降低到100μs数量级，按照传统的切换方法这个值会达到毫秒级以上。针对无线Mesh网络网状网的特征，在基于预认证的端到端认证与加密方案建立在CPK标识认证基础设施之上，这对方案整体性能的提升具有很大的意义。

首先，CPK认证机制解决了规模化的密钥管理问题，它所使用的密钥产生与存储方式可以大大节省密钥存储空间，对于一个m×n的种子密钥矩阵来说，能够产生mn次方个公私钥对，因此，CPK只需要很小的存储空间就可形成一个很大的密钥空间。其次，CPK采用离线密钥集中分发的方式，密钥的安全性能够得到极大的保障。第三，CPK机制在认证过程中，避免了第三方权威机构的参与，也避免了证书的传递及验证过程，可以大大简化协议的设计过程，同时，避免通过证书泄露相关秘密信息。最后，CPK多采用椭圆曲线的加密算法，椭圆曲线最大的优点就是在密钥长度较小的情况下能够提供其他公钥加密算法在密钥长度较大时才能达到的加密强度。

除了使用CPK标识认证机制所带来的性能提升之外，基于预认证的无线Mesh网络快速切换认证方案中协议的设计参考的是IPSec中IKEv2密钥交换协议的设计方法，IKEv2是带认证的密钥交换协议，支持端到端的认证与加密保护，并且，IKEv2是在沿用原来协议的共享策略协商的基础上，进行了全面的优化和改革，从而具备了更高的性能、更好的安全性与更低的系统耗费[2]。

4 结语

无线Mesh网络呈网状网形状，为了保证链路质量，提高网络传输率，当节点之间链路断开或者质量变差的情况下就要考虑进行快速的链路切换。本文针对链路切换过程中面对的安全问题进行了分析，给出了基于预认证的无线Mesh网络快速切换认证方案，旨在既保证切换的安全，又能以最快的速度完成切换过程，导致链路最小时间的中断或者保证链路的最佳状态。方案建立在CPK标识认证基础设施之上，具有极小的密钥存储空间需求，无需第三方参与以及证书的使用，对整个方案性能具有很大的性能提升意义。另外，方案协议的设计参照了IKEv2的设计，能在一定程度上保证协议设计的科学性与安全性。同时，协议中身份认证与密钥协商的设计，也能够体现出协议设计的独特性与创新性。

参考文献

[1]方旭明.下一代无线因特网技术:无线Mesh网络[M].北京:人民邮电出版社,2006.

[2]杨亚涛.无线多跳网络的认证、密钥协商及信任机制研究[D].北京:北京邮电大学,2009.

[3]南相浩.CPK体制与网际安全[M].北京:国防工业出版社,2008.

[4]袁美雄.无线局域网中基于预先认证的快速切换方案[J].湖南人文科技学院学报,2011,10(5):134-137.

[5]杨卫东,马建峰,杨超.无线局域网中一种快速安全的切换方法[J].西安电子科技大学学报:自然科学版,2008,6(3):474-477.

[6]彭清泉.无线网络中密钥管理与认证方法及技术研究[D].西安:西安电子科技大学,2010.

[7]高杰,杨卫东.一种WLAN环境下新的快速安全切换方法[J].计算机与网络创新生活,2009,5(13):73-76.

[8]KAUFMAN C.RFC4306 Internet key exchange(IKEv2)protocol[M].[S.I.]:The Internet Society,2005.

[9]章宇春,李继国,王志坚.互联网密钥交换协议的安全性分析与改进[EB/OL].[2007-01-05].http://www.paper.edu.cn/html/releasepaper/2007/01/43/.

[10]曹宇,祝跃飞,李勤,等.IKEv2实现方案研究[J].计算机应用研究,2005(6):74-76.

认证无线电网络 篇2

一．现状分析.........................2

二．解决提案.........................2

三．解决方案.........................2

３．１不用安装客户端软件的Web认证具有以下优势：..............2

３．２先进的无线整体解决方案特点....................3

四.无线网络技术...........................3

4.1如火如荼的IEEE802．11系列..................3

4.2笑傲欧洲的HiperLAN..........................4

4.3独树一帜的红外系统....................5

4.4互为补充的蓝牙技术....................5

4.5力不从心的HomeRF.......................5一．现状分析

无线信息时代的来临，校园无线信息化的教学也成为学校等级的一个评判标准。而且随着带有无线上网功能笔记本的普及和Internet及内部局域网接入需求的增长，无论是教师还是学生都迫切要求移动性上网和进行网上教学互动活动。使得有线网络无法灵活满足他们对网络的需求。

二．解决提案

无线局域网（WLAN）因其具有不受环境的局限、灵活便捷、不影响原有装修布局、建网周期短等优点，与传统的有线接入方式相比，无线局域网还不仅可以实现许多新的应用，更可以克服线缆限制引起的不便性，成为各大城市大.中、小学最适合的组网方式之一。

三．解决方案

由于无线网络采用的是公共电磁波，任何人都有条件窃听或干扰信息，因此在无线局域网中，网络安全很重要。

无线认证管理安全网关系统是不用安装客户端软件的无线认证管理网络安全网关。做到了无线网络从安全到管理的整个解决方案。无线计费认证管理器可以提供全网的用户认证管理及计费等服务，并根据客户需要可实现对不同权限用户实现对上网流量、上网时间段、上网计费费用.上网范围、访问权限等等适合网络规划管理方面的要求，整个无线网络安全、管理策略可以在无线接入上网认证管理器上统一实现，扩展性以及安全保密的问题在这里得到了很好的解决。

方案选用的AirLive室内覆盖无线接入点，产品特点是Web管理口可让使用者设定在多个AP的会议室环境里.有着4个级别的 TX 功率调节，可调低功率以防AP间的讯号重叠干扰.此外,有着重新苏醒功能，假如去PING 使用者定义的IP地址失败，这看门狗的功能将重新启动 AP.此系列产品针对无线网络专业设计的无线接入点系列，设计轻巧外形美观，安装使用简便。为用户建立经济高效安全的无线基础设施，实现移动、灵活地访问网络资源提供了专业的方案。

选用的AirLive室外覆盖无线接入点，采用防水、防尘设计，基于以太网线供电，易于在室外安装使用。此系列产品是针对无线网络公共区域覆盖（HotSpot）专业设计的AirLive 系列室外无线接入点。

整个方案从无线信号的覆盖、无线接入点的维护管理、用户的管理、上网时间流量计费.无线网络安全管理以及无线网络如何和现有有线网络相结合等方面提出了全面的解决方案。对于有线网络来说一般只要控制有线信息点不让非法人员接触，就可以保障网络的安全，而无线网络是通过电磁波信号将网络扩展到整个三维空间中，实现了无线信号覆盖区域内用户的随时随地的接入需求。因此如果应用了一个没有控制的无线认证局域网将会更易受到攻击和入侵，所以无线局域网的用户安全认证、接入控制、数据加密更是尤为重要。因此本方案采用了OvisLink欧立科技AirLive的无线认证管理器IAS2000对无线用户采用不需要安装客户端软件的网页认证管理方式。

３．１不用安装客户端软件的Web认证具有以下优势：

1)强制跳转到指定的首页登录界面

2)输入用户名和密码认证基于数字证书的安全技术进行加密传输

3)可随意设计的用户认证界面，全中文化

4)无需安装客户端软件，经由浏览器页面认证，各种操作系统均可兼容

5）病毒阻挡.日志电子邮件功能

6）监控记录，1.流量监控，2.事件监控，3.连线记录，4.监控备份

7）有线无线互访：认证过后无线局域网用户和有线局域网络才能互访

8）上网计费：以时间或流量的上网计费

9）流量统计，1.外部网络流量，2.管制条例流量

10）系统状态，1.界面状态，2.认证状态，3.ARP表，4.DHCP用户表

11）内容管制，1.网站管制，2.一般管制，3.点对点软件管制，4.时实通讯管制，5.档案下载管制

３．２先进的无线整体解决方案特点

1)WEB+DHCP的认证方式，安全方便的便于用户使用

2)能够和现有基于域服务器对接，实现无线和现有网络用户账号统一管理

3)提供完整简易的用户管理界面，能够灵活地区分不同类型用户

4)能够对无线用户提供灵活的ACL策略控制，从而更有效地利用网络资源

5)能够记录用户详细的上网日志，便于网管人员查阅

6)进行用户监控，可以及时发现用户访问异常现象

7)600个同时上网并发用户数，全中文化的操作界面

8)系统具备强大的可扩容性

在有线网络的环境中，人员座位的调整、部门办公室的调整等都非常麻烦。网络扩容升级时，布线结束后重新装修办公环境的花销也是笔费用。

无线网络移动办公可以使人们在办公室的任何地方获得网络连接，特别适合于那些经常移动而又需要网络连接的教师。另外对下课到教师休息室临时休息的教师也相当方便，“活动办公桌”能使这些教学人员在他们所到的任何办公室建立临时网络连接。这样大大提高了办公网络的灵活性，节约了开支降低了成本，进而提高了工作效率。

很多学校现已经实现了有线的上网环境，学校教师已配备带无线上网功能的笔记本。采用需经过认证才能访问无线或有线局域网能很好地结合现有的校园网络组建成一个完整的无线+有线的认证网络环境，在全校任意教学、办公地点都能实现无线上网，使无线网络成为校园有线网络的必要补充和延伸。

四.无线网络技术

无线局域网（WLAN）是20世纪90年代计算机网络与无线通信技术相结合的产物，它使用无线信道来接入网络，为通信的移动化、个人化和多媒体应用提供了潜在的手段，并成为宽带无线接入的有效途径之一。

但长期以来，WLAN的发展一直在由不同厂商进行推动，因此出现了标准百舸争流、百花齐放的局面。各个标准的特点和优势是什么？谁更能在激烈的竞争中占得鳌头？下面将一一进行分析。

4.1如火如荼的IEEE802．11系列

1999年9月通过的IEEE802．11b工作在2．4－2．483GHz频段。802．11b数据速率为11Mbps。同时IEEE802．11b具有5．5Mbps、2Mbps、1Mbps三个低速档次，当工作站之间距离过长或干扰太大、信噪比低于某个门限时，传输速率能够从11Mbps自动降到5．5Mbps、2Mbps或者1Mbps，通过降低传输速度来改善误码率性能。802．11b使用带有防数据丢失特性的载波

检测多址连接（CSMA／CA）作为路径共享协议，物理层调制方式为CCK（补码键控）的DSSS（直接序列扩频）。目前802．11b已经成为WLAN市场上的主流技术，随着技术的成熟和产品的降价，它开始大显身手。

和802．11b相比，IEEE802．11a在整个覆盖范围内提供了更高的速度，其速率高达54Mbps。它工作在5GHz频段，目前该频段用得不多，干扰和信号争用情况较少。802．11a同样采用CSMA／CA协议。但在物理层，802．11a采用了正交频分复用（OFDM）技术。OFDM技术将一个无线信道分解成多个子载波同时传输数据，每个子载波的速率比总速率低许多，也就是每个传输符号的时长要长许多，这有利于克服无线信道的衰落，改善了信号质量，提升了整个网络的速度。一般分析认为，802．11a技术的普及仍需一段时间，但是由于互联网产业飞速发展，用户对宽带业务需求量猛增，802．11b在不少场合（尤其是信道噪声较大的场合）已不能满足用户宽带接入的要求；而802．11a则可凭借更高的速率和更好的质量实现这一需求，因此有望提前取代802．11b，让用户尽情享受宽带的无穷魅力。

IEEE802．11a与802．11b的产品因为频段与调制方式不同而无法互通，这使得已经拥有802．11b产品的消费者可能不会立即购买802．11a产品，阻碍了802．11a的应用步伐。2001年11月15日，IEEE试验性地批准一种新技术802．11g，其使命就是兼顾802．11a和802．11b，为802．11b过渡到802．11a铺路修桥。它既适应传统的802．11b标准，在2．4GHz频率下提供11Mbps的数据速率，也符合802．11a标准，在5GHz频率下提供54Mbps的数据速率。802．11g中规定的调制方式包括802．11a中采用的OFDM与802．11b中采用的CCK。通过规定两种调制方式，既达到了用2．4GHz频段实现IEEE802．11a54Mbps的数据传送速度，也确保了与装机数量超过1100万台的IEEE802．11b产品的兼容。此外，TI公司提案的可达22Mbps数据传送速度的CCK－PBCC与CCK－OFDM调制方式也可以选用。

4.2笑傲欧洲的HiperLAN

除了IEEE802．11家族，欧洲电信标准化协会（ETSI）的宽带无线电接入网络（BRAN）也制订出HiperLAN标准作为“宽带无线接入网”计划的组成部分，并在欧洲得到了广泛支持和应用。该系列包含4个标准：HiperLAN1、HiperLAN2、HiperLink和HiperAccess。HiperLAN1、HiperLAN2用于高速WLAN接入；HiperLink用于室内无线主干系统；HiperAccess则用于室外对有线通信设施提供固定接入。

HiperLAN1对应1EEE802．11b，它工作在5．3GHz，采用高斯滤波最小频移键控（GMSK）调制，速率最大23．5Mbps。HiperLAN2工作在5GHz频段，速率高达54Mbps。因为技术上的下列优点，它被一些人士看成目前最先进的WLAN技术：1．为了实现54Mbps高速数据传输，物理层采用OFDM调制，MAC子层则采用一种动态时分复用的技术来保证最有效地利用无线资源。2．为使系统同步，在数据编码方面采用了数据串行排序和多级前向纠错，每一级都能纠正一定比例的误码。3．数据通过移动终端和接入点之间事先建立的信令链接来进行传输，面向链接的特点使得HiperLAN2可以很容易地实现QoS支持。每个链接可以被指定一个特定的QoS，如带宽、时延、误码率等，还可以给每个链接预先指定一个优先级。4．自动进行频率分配。接入点监听周围的HiperLAN2无线信道，并自动选择空闲信道。这一功能消除了对频率规划的需求，使系统部署变得相对简便。5．为了加强无线接入的安全性，HiperLAN2网络支持鉴权和加密。通过鉴权，使得只有合法的用户可以接入网络，而且只能接入通过鉴权的有效网络。6．其协议栈具有很大的灵活性，可以适应多种固定网络类型。它既可以作为交换式以太网的无线接入子网，也可以作为第三代蜂窝网络的接入网，并且这种接入对于网络层以上的用户部分来说是完全透明的。当前在固定网络上的任何应用都可以在HiperLAN2网上运行。相比之下，IEEE802．11的一系列协议都只能由以太网作为支撑，不如HiperLAN2灵活。

4.3独树一帜的红外系统

红外局域网系统采用波长小于1微米的红外线作为传输媒体，该频谱在电磁光谱里仅次于可见光，不受无线电管理部门的限制。红外信号要求视距传输，方向性强，对邻近区域的类似系统也不会产生干扰，并且窃听困难。实际应用中由于红外线具有很高的背景噪声，受日光、环境照明等影响较大，一般要求的发射功率较高。尽管如此，红外无线LAN仍是目前“100Mbps以上、性能价格比高的网络”唯一可行的选择，主要用于设备的点对点通信。

4.4互为补充的蓝牙技术

蓝牙是一种使用2．45GHz的无线频带（ISM频带）的通用无线接口技术，提供不同设备间的双向短程通信。蓝牙的目标是最高数据传输速率1Mbps（有效传输速率为721Kbps）、传输距离为10厘米－10米（增加发射功率可达100米）。在一个微微网络中，蓝牙可使每台设备同时与多达7台的其它设备进行通信，而且每台设备可以同时属于几个微微网络。蓝牙面向的是移动设备间的小范围连接，因而本质上说它是一种代替线缆的技术。它用来在较短距离内取代目前多种线缆连接方案，并且克服了红外技术的缺陷可穿透墙壁等障碍，通过统一的短距离无线链路，在各种数字设备之间实现灵活、安全、低成本、小功耗的话音和数据通信。相对802．11和HiperLAN家族，蓝牙的作用不是为了竞争而是相互补充。

4.5力不从心的HomeRF

无线电发射设备型号核准认证 篇3

随着移动互联技术迅速发展，越来越多的终端设备具备了无线传输功能，其为人们带来便捷的同时，也引发了频谱资源紧张、电磁环境恶化等一系列问题。针对这类问题，只有自源头加强管理，才能有效规范频率使用，维护良好的电磁环境。而当前，我国如何对相关无线发射设备进行有效管理？

无线电发射设备的三大常规认证

目前，我国无线电发射产品通常涉及三个常规认证：CCC、进网许可、型号核准。

CCC认证（China Compulsory Certification）是国家认证认町监督管理委员会根据《强制性产品认证管理规定》（中华人民共和国国家质量监督检验检疫总局令第5号）制定的，是中国强制性产品认证制度的简称。

根据《中华人民共和国电信条例》，工业和信息化部制定了《电信设备进网管理办法》，其中明确规定了“国家对接入公用电信网使用的电信终端设备、无线电通信设备和涉及网间互联的电信设备实行进网许可制度”，即进网许可认证。

本文重点介绍的，是无线电发射设备型号核准认证。

型号核准的法律依据

1995年7月24日，国家无线电管理委员会发布的国无管【1995】15号文《进口无线电发射设备的管理规定》第四条明确规定：凡向我国出口的无线电发射设备，外商须持有我国国家无线电管理委员会办公室核发的《无线电发射设备型号核准证》，设备须标明无线电发射设备型号核准代码。

1997年10月7日，国家无线电管理委员会、国家技术临督局发布的国无管【1997】12号文《生产无线电发射设备的管理规定》第四条明确规定：生产无线电发射设备，均须经国国家无线电管理委员会办公室对其发射特性进行型号核准，核发“无线电发射设备型号核准证”和型号核准代码。出厂设备须标明型号核准代码。

哪些设备需做型号核准检测

无线电发射设备，即各种发射无线电波的终端设备，包括无线电通信、导航、定位、测向、雷达、遥控、遥测、广播、电视等各种发射无线电波的设备，但不包含可辐射电磁波的工业、科研、医疗设备、电气化运输系统、高压电力线及其他电器装置等。因此，凡是发射无线电波的设备，均需进行型号核准认证。

目前，认证主要包括十类设备：公众移动通信设备、无线接入设备、专网设备、微波设备、卫星设备、广电设备、2.4GHz/5.8 GHz无线接入设备、短距离无线电设备、雷达设备、其他无线电发射设备。

型号核准检测内容

型号核准检测主要针对无线电发射设备工作的频率、频段、发射功率、频率容限、占用带宽（或发射信号的频谱特性）、带外发射及杂散发射等频谱参数进行核定。这些频谱参数直接关系到有限的频谱资源能否得 到科学利用、空中电波秩序能否得到有效维护，无线电安全能否得到有力保障。

《无线电发射设备型号核准证》申请

首先，用户需在工业和信息化部国家无线电管理局认可的、具有型号核准检测资质的第三方实验室进行检测，并取得合格检测报告，然后提供必要的公司证明文件，包括企业法人营业执照、质量体系证书、产品技术说明书、原理图或方框图等，递交需要填写的表格及（<检测报告》，一同上传至无线电管理局指定网站，即可于20个工作日内申请到《无线电发射设备型号核准证》。

型号核准认证常见问题

在无线电发射设备型号核准和认证过程中，一些操作性问题，会影响设备核准检测，如企业送检样品数量少于国家要求，被测样品不符合测试要求，无法进行检测；测试过程中发现被测样品的实际参数和企业申请的参数不统一，样品的实际功能和企业描述不相符等，亦不能通过检测。

申请认证过程中亦存在若干问题，如未办理初审。国家无线电管理局规定国内企业每年第一次申请型号核准认证前，需先到申请单位所在的省市无线电管理机构办理初审手续。

又譬如《检测报告》有效期为半年，有些企业在拿到报告后，因某些原因没能及时提交申请，导致报告失效，需要重新检测；此外，企业申请的型号已被占用的，需要更改型号；申请表不按要求规范填写，也会影响认证。

型号核准检测机构

上海无委无线电检测实验室有限公司（以下简称“无委实验室”）是上海地区唯一具有无线电发射设备型号核准资质的检测实验室。

2010年9月，无委实验室和国家监测中心检测中心签署战略合作协议，共同成立国家监测中心检测中心上海工作站。2012年1月8日，在上海市经济和信息化委员会、工业和信息化部国家无线电管理局、国家无线电监测中心和上海市无线电管理局的指导下，上海市无线电检测中心正式成立。中心以无委实验室为主体，以国家无线电监测中心检测中心上海工作站、国家无线电产品质量监督检验中心上海工作站为支撑，提供面向国际国内的全业务测试能力，全面推动上海地区的无线电产业发展。

高校校园无线网络认证系统研究 篇4

随着科技的发展,网络在社会中的普及,从有线网络到随处可以上网的无线网络,上网人数在不断增加,尤其是在校园资源有限,人数增多的情况下,网络管理人员如何将提供给广大师生优质是网络信号进行服务,避免资源浪费,除了应用网络设备之外,必须建立全方位网络管理系统,促进管理者维护网络效能策略的提高。

在校园内部,由于每年学生人数的不断增加,学生上网需要不断加大,而且上网时间较长,对于目前校园内使用的IPv4网络已经出现不能满足校园网络的需求,因此,为了能够解决此问题,适度的使用网络资源,建立一个无线的网络系统并进行无线认证是迫在眉睫。

本文通过Web based认证系统来取代原有的MAC的方式, 全校的师生只要通过输入自己的账号和密码就能上网,这样操作简单,而且即使有外来人员,也可以单独开发一个账号进行上网[1],这样方便学校对账号进行管理,学生和教师进行认证必须通过学校提供的名单进行实名认证,这样不仅仅解决上网问题,还可以对网络信息和网络资源等进行跟踪,挖掘出上网者的上网时间和模式等情况。

2无线网络的研究

目前无线网络管理主要是通过网络监控锁MAC技术及采用的EAP等认证方式,大多数使用者都是采用的MAC模式,[2]网络管理人员对其管理比较繁琐,而EAP是目前IEEE802.1X

所制定的标准,是可以加密的协议,通过RADIUS服务器来对使用者进行集中管理,使用者必须通过认证方可上网。

EAP的优点是它可以和学校的账号密码相结合,并且还可以在分校区进行跨网合作,无论是哪个校区,都可以使用无线网络,网络的服务器可以是互相连通的[3]。但是目前EAP不是普遍使用的技术,有些网卡不能支持EAP的认证方式,所以需要购买无线网卡。

本文在两种无线认证的方式为基础开发了一套以web based为基础,利用linux IPTables及LDAP的网络环境认证管理系统,进行人性化、方便操作的认证系统。

3校园WLAN系统架构

本文结合校园WLAN的实际情况,将校园内部网络欲对外连线的封包全部挡下,并转向至linux server的80端口,如图1所。使用者需要通过认证后才能上网,在网页关了方面我们使用PHP +MYSQL,硬件方面需要安装两个网卡,一个需要连接虚拟IP,另一个网卡则连接到对外的Switch上,挡虚拟Ip的封包经过ethi进入linux时,系统会因为IPTables的PREROUTING Chain锁定,而将封包挡下并转向到本机的80端口,以Web based方式让使用者进行认证,通过PHP将使用者输入的账号密码与LDAP的信息进行对比[4]。当使用者通过认证之后,PHP会在MYSQL数据库中存储信息,并更改IPTables的设定,让使用者能够上网,最后经过Source NAT连接出去。

为了维护网络资源,我们使用了一个机制,系统会根据网络管理人员所设定的时间去侦测每位上网者的连线情况,并根据ICMP的回应来判断使用者是否还在线上,如果发现某位上网者已经连续两次没有回应,此时为了避免资源的浪费,我们会将使用者自MYSQL及IPTables的名单中删除,使用者以后再次上网时,必须通过认证才能上网。

这些使用者信息我们将进行保存在mysql里面,并在下面列出几个重要设置的说明:

1)id:记录使用者的学号;

2)login_ip:使用者上网所使用的ip;

):使用者开始上网的时间;

4)checked:判断使用者是否已通过认证;

5)idle_time:闲置次数,若使用者超过两次会被强制离线。

3.1 Open LDAP的相关设置

在建立LDAP的Entry时,我们利用cn及userpassword等相关属性,如下列所示:

由于LDAP Server存储了全校师生的相关信息,而在进行认证的时候,PHP会依据使用者所输入的账号密码与LDAP Server进行对比,并传回验证成功或者失败的信息,然后根据信息去处理相应的操作。

3.2 IPTables的相关设置

在PREROUTING Chain的设置部分如下所示:

Iptables-A RPEROUTING-t nat-p tcp-j

REDIRECT—to-port 80

Iptables-A PREROUTING –t nat-p udp-j

REDIRECT—to-port 80

由于PREROUTING Chain是内部网络封包最先进来的地方,所以我们在此将尚未通过认证的使用者拦下,并转向至本机的80端口,以便进行认证操作,而使用者通过认证时,系统便会再次更改PREROUTING Chain的规则,让使用者在后续上网的部分不会因锁定而无法上网。使用者通过认证在PRE-ROUTING Chain的部分命令如下所示:

Iptables-I PREROUTING - t nat-s使用者IP/32-j

ACCEPT

上述指令将置于PREROUTING Chain的最前面,所以通过认证的IP不会受到REDIRECT设定的影响,而使用者的IP会为虚拟IP时,则通过PREROUTING Chain的设定使其转化为合法IP。认证系统的流程图如图2所示。

4结束语

本文提出校园可行的无线网络认证方式,系统设计理念上完全使用开发原始码的软件,而对于使用者来说,仅需要在第一次上网使用浏览器时,认证系统会自动将其引导相关的认证网页界面上,来进行使用者账号确认的操作。而且我们还可以利用所取得的信息来进一步分析使用者的上网行为,为以后网络管理提供数据参考。

摘要：无线网络是目前各大高校骨干网络建设后的主要建设项目之一,因为无线上网具有比传统网络连接方式很大的便利性,但是在移动认证上具有一定的挑战,也是高校校园内规划网络时主要衡量的因素,该文提出了以web-based并以使用者身份认证基础的研究,采用Linux、PHP/MYSQL、IPTables等技术,避免权限设置问题,并运用到高校的校园网络环境,为今后其他高校使用无线网络提供了方案策略。

关键词：网络认证,无线网络,IPTables

参考文献

[1]杨秀梅,郑剑.校园无线网部署方案研究[J].华东师范大学学报,2015(S1).

[2]马帅营,魏金良,阿古达木.基于细粒度标签的校园无线网弹性qos优化[J].大连民族学院学报,2015,17(5).

[3]李玉平.浅谈高校校园无线网规划与建设[J].齐齐哈尔工程学院学报,2012,6(4).

无线督导认证试题 篇5

考生状态：

共有试题 60 道

第1题 单选题(2分)在无线工程中馈线入机房之前，应先做(2)? 1)“进水弯” 2)“滴水弯” 3)“转弯”

第2题 单选题(2分)在无线施工中室外接地铜排有专用的可靠通路引至地下接地网，线径要大于（1）mm2? 1)50mm2 2)60mm2 3)70mm2 4)80mm2 5)90mm2

第3题 单选题(2分)在无线施工中实际使用的（4）线的型号要与网络规划一致？ 1)地线

2)-48V电源线 3)馈线 4)天线

第4题 单选题(2分)在无线施工中室外接地铜排有专用的可靠通路引至（4）的接地网，线径要大于50mm2? 1)机房 2)机柜 3)地面上 4)地下

第5题 单选题(2分)在无线工程中主馈线的布放要有整体规划，机柜正面与馈线入室方向平行或机柜背面正对馈线入室方向时一个扇区排成（1）行，每行的排放次序应一致? 1)一行 2)二行 3)三行 4)四行 5)五行

第6题 单选题(2分)在无线施工中固定安装（3）的抱杆必须接地? 1)避雷器 2)信号电缆 3)天线 4)GPS

第7题 单选题(2分)工程合格优良的界定，对整个工程进行质量评估，取督导阶段、调测阶段、验收阶段等3个阶段的所有子项得分的最低分，该结果大于85而小于等于90，则该工程判定为合格工程，小于等于（2）分为不合格工程。1)60 2)85 3)80

第8题 单选题(2分)电缆在地面叠加不超过地板高度的（2）？ 1)二分之一 2)四分之三 3)五分之三

第9题 单选题(2分)行为规范和安全操作规范子项得分：该子项得分= 100 – 扣分总计，和标准中保证项目要求不符的，每次错误扣10分，和一般项目要求不符的，每次错误扣（）分，同类错误累加计算。1)2 2)5 3)1

第10题 单选题(2分)工程文档子项得分中所有单页报告文档，每份有效分为（1）份？ 1)2 2)5 3)10

第11题 单选题(2分)某分包商外包界面A＋B，项目工程硬件安装及机房环境评估91分，系统调试质量评估86分，安装、调试、验收阶段工程文档质量评估分别为95、92、70，无其他违约行为，该分包商工程质量评估得分为（1）----取工程中最低分数 1)86 2)91 3)93 4)95

第12题 单选题(2分)某无线基站工程A+B界面的价格为N，则单独外包督导界面B时 价格为：(2)1)N*20% 2)N*30% 3)N*40% 4)N*50%

第13题 单选题(2分)现场制作工程资料费用：工程结算费用的1%，最高（2）元每个工程，装订标准：胶印、加铜板纸封面，用户有特别要求的按照用户要求。1)250 2)500 3)800 4)1000 5)2000

第14题 单选题(2分)对于直接由项目经理管理的项目，开工前协调会由（1）组织。1)项目经理 2)监理工程师 3)局方工程师 4)外包工程师

第15题 单选题(2分)最新ZTE国内工程开通工作规程发布日期是：（1）1)2006-8-30 2)2008-9-30 3)2006-8-28 4)2006-11-1

第16题 单选题(2分)工程督导与工程项目经理联系，交接《工程设计文件》、《工程勘察报告》及（2）。1)设备到货清单 2)环境验收报告 3)合同信息 4)用户信息

第17题 单选题(2分)接收《工程勘察任务书》及合同复印件和技术协议书，进行勘察信息分析，对于扩容改造工程，需要查阅已有用户设备档案，确定是否需要现场勘察。（1）1)工程项目经理 2)外包工程师 3)外包经理 4)产品科长

第18题 单选题(2分)开箱验货资料中（2）以电子档方式保存在ECC系统中 1)补发货申请单 2)设备到货证明 3)装箱单

第19题 单选题(2分)是对工程过程进行有效的监控，并符合公司质量体系对文档控制的要求（2）1)工程竣工资料 2)工程过程文档 3)工程计划 4)周报

第20题 单选题(2分)用户线电缆或双绞线护套电缆，护套绝缘层破口（2）用绝缘胶布缠绕封扎。1)无需 2)必须 3)不得

第21题 多选题(2分)工程调测阶段质量计分办法,按照检查标准，对（1）、（2）、（5）三项进行检查？ 1)硬件安装及机房环境 2)调测阶段工程 3)督导工程文档

4)行为规范和安全操作规范 5)系统调测质量

第23题 多选题(2分)在填写工程验收阶段质量评估及工程质量总评表时，工程质量总评表包含哪几个部分？(1,3,4)1)督导阶段质量 2)工勘阶段 3)调测阶段 4)验收阶段

第24题 多选题(2分)在填写工程验收阶段质量评估及工程质量总评表时，验收阶段输出文档记录时以下哪个属于必须输出的？(1,2,3,4,5)1)设备、主材余料交接单 2)用户报告 3)工程总结报告

4)验收测试记录（初验）5)工程服务满意度调查表

第25题 多选题(2分)以下哪些属于严重错误？(1,2,3,4,5)1)各级电源未按产品规范要求进行常规测试

2)电路板上开关、跳线设置错误，内部线缆连接错误，单板状态显示错误 3)未进行数据备份、备份不正确或未及时更新 4)未经授权的人可进入网管系统

5)告警屏蔽和环境变量告警参数不能正常设置

第27题 多选题(2分)以下哪些资料需要用户盖章（2,3）1)开工报告 2)初验证书

3)开箱验货报告中的设备到货证明 4)工程备忘录

工程勘察计划 用户签字 工程设计文件审核表

工程准备反馈表 用户签字 工程计划 用户签字 开工报告 用户签字 停/复工报告 用户签章 开箱验货报告 用户签章 补发货申请单

工程周报

工程变更通知单 用户签字 初验申请报告

初验证书 用户签章 工程备忘录 用户签字 现场培训记录单 用户签字 运行记录 用户签字 终验申请报告

终验证书 用户签章 用户报告 用户签章 电话文件处理单

技术服务申请报告 用户签字 技术服务报告 用户签字 现场巡检申请报告 用户签字 现场巡检报告 用户签字

第28题 多选题(2分)除基站设备、部分数据设备外，硬件部分不区分产品类别，统一按照4种线缆（纤）类型计算硬件安装和督导费用。4种线缆（纤）类型指（1，2，4，5）。1)双绞线 2)中继线 3)网线 4)尾纤 5)电源线

第29题 多选题(2分)下列属于工程开通产品工程资料的有（2,3,4，5）1)工程勘查计划 2)环境验收报告 3)安装验收报告 4)通测试记录，5)验收测试记录

第30题 多选题(2分)开箱验货资料包括（3）和（1）1)补发货申请单 2)设备到货证明 3)开箱验货报告 4)货物问题反馈表

第31题 多选题(2分)设备安装完毕后，工程督导根据（2，3）进行设备安装的内部验收 1)工程开通规范 2)硬件安装质量标准

3)ZTE国内工程质量监督管理办法 4)工程自检表 5)局方要求

第32题 多选题(2分)设备调测阶段的主要工作内容是：（1，2，4）

1)系统调测工程师按照相应产品的《工程调试指导手册》、《测试指导手册》、《操作类、维护类手册》等资料进行设备调测，上电调测过程对产品正常运行十分重要，因此要求现场开局人员严格按操作规范进行工作。

2)根据工程周期情况，系统调测工程师每周必须填写《工程周报》，提交用户主管部门及工程项目经理。

3)根据《工程数据设定规范》、《工程勘察报告（数据调测信息部分）》，制定出《数据配置报告》。

4)上电调测期间，应严格按防静电操作规程操作，戴防静电手环，防止人为的、违反操作规范的因素造成电路板及其它设备的损坏。

5)在工程文档及调测质量通过内部验收后，系统调测工程师与验收测试工程师进行调测移交，由验收测试工程师负责下一步工作。

第33题 多选题(2分)（1，2，3）系统调测工程师按照相应产品的（）等资料进行设备调测，上电调测过程对产品正常运行十分重要，因此要求现场开局人员严格按操作规范进行工作。1)工程调试指导手册 2)测试指导手册

3)操作类、维护类手册 4)局方要求 5)使用手册

第34题 多选题(2分)硬件安装阶段输出的文档包括：（1，2，3，4，5）1)《工程周报》

2)《工程服务危险源识别登记表》 3)《工程准备反馈表》 4)《已安装工程量总表》

5)《已安装的设备、主材明细表》

第35题 多选题(2分)在无线工程中（1，2，3，4，5）的连接要求可靠牢固？ 1)天线支架 2)避雷器架 3)保护地线 4)铁塔 5)机柜

第36题 多选题(2分)（1，4）在无线工程中（）要一一对应? 1)各扇区主分集天线 2)双向天线 3)定向天线

4)机架的机顶跳线 5)双极化定向天线

第37题 多选题(2分)

在无线工程中安装GPS天线有（1，2，3,4，5）要求? 1)垂直 2)无遮挡 3)安全

4)位置尽可能低

5)GPS立体角大于90度

第38题 多选题(2分)(1,4)在无线施工中全向天线在屋顶上安装时，（）之间的水平间距应不小于2.5m? 1)定向天线 2)全向天线 3)射频避雷器 4)天线避雷针 5)单极化天线

第39题 多选题(2分)在无线施工中（1，2）避雷器，应悬挂在走线架的两个横挡之间，避雷器不能接触走线架，要求与走线架绝缘? 1)射频避雷器 2)GPS 3)GPRS 4)PCS 5)UPS

第40题 多选题(2分)在无线工程中天线安装在铁塔上，馈线在下塔拐弯前1.5米范围内接地；如果此接地点到馈线入机房的长度大于(1)米，在馈线拐弯进机房前1.5米范围内接地，塔高大于(4)米时，馈线每隔20米接地，接地线应顺着馈线下行方向；楼面布放长度超过(4)米时，馈线每隔20米接地? 1)20米 2)30米 3)40米 4)60米 5)80米

第41题 判断题(1分)有多个告警箱时未帖标签每告警箱为一处错误。对

第42题 判断题(1分)未佩带公司厂牌属于一般错误。对

第43题 判断题(1分)DDF、MDF、ODF端子板后的预留线弧度、长度一致，预留长度足够端子板翻转 对

第44题 判断题(1分)无故使用免提进行电话通话，声音过大属于一般错误。对

第45题 判断题(1分)由公司与工程项目相关部门组织的对工程项目进行现场巡回监督检查的工作过程 对

第46题 判断题(1分)工程竣工资料一般应该按本标准执行。如果用户有自己的模板并要求使用其模板，以用户模板为准

对

第47题 判断题(1分)工程竣工资料的重要意义在于结算

错

第48题 判断题(1分)硬件安装质量自检的目的是对硬件安装人员进行考核。

错

第49题 判断题(1分)工程督导根据《工程安装调试准备指导手册》的要求进行工程准备工作。

对

第50题 判断题(1分)用户维护培训结束后填写《现场培训记录单》。

对

第51题 判断题(1分)工程督导应准备好相应的工具和仪表，相关技术手册及工程中需要填写的各种表格。

对

第52题 判断题(1分)机框安装卡到位即可，固定不固定都无所谓 错

第53题 判断题(1分)在设备调试阶段，外包软调试人员不需要对用户技术人员做系统运转及维护现场培训和设备硬件结构基本知识培训，对用户的培训应由中兴相关调测人员完成 错

第54题 判断题(1分)开箱验货前发现货物箱体已损坏或货物有丢失应立即通知相关项目负责人并进行现场拍照。对

第55题 判断题(1分)在无线工程中双极化定向天线与机架的机顶跳线一一对应.（）对

第56题 判断题(1分)在无线施工中跳线与馈线的连接处，跳线要保持20cm和天线平直。（）对

第57题 判断题(1分)在无线施工中交流中性线在电力室不能单独接地.（）对

第58题 判断题(1分)在无线施工中直放站主机箱、各类天线或其它室外单元需要固定牢靠.（）对

第59题 判断题(1分)在无线工程中双极化天线不考虑分集距离.（）错

浅析高校信息网络数据库认证技术 篇6

关键词 高校 信息网络 数据库 认证技术

中图分类号：TP3 文献标识码：A

高等教育信息化是教育事业的必然趋势，也是信息科技在社会教育实践中的应用表现。为了改变早期落后的高等教育模式，高校开始借助信息网络实现多功能改造，为师生建立高科技的专业教学平台。数据库是高校信息网络的核心支撑，其存储了大量与校内教学活动相关的数据资源，可供给师生查阅资料及学习研讨等活动。

1校园网络应用现状

校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。首先，校园网应为学校教学、科研提供先进的信息化教学环境。随着社会信息科技快速发展，高校内部网络服务系统更加完善，校园网络应用也实现了多元化改进，网络运行各个方面都显现了功能特点。校园网是一个宽带，具有交互功能和专业性很强的局域网络，例如，多媒体教学软件开发平台、多媒体演示教室、教师备课系统、电子阅览室以及教学、考试资料库等，都可以在该网络上运行。其次，校园网应具有教务、行政和总务管理功能。

2校园网数据库存在的风险

基于信息科技快速发展，高校对通信网络服务质量要求越来越高，信息网在信号传输阶段的作用更加明显。为了进一步优化通信网络服务模式，必须对高校网络平台运行模式进行优化改造，但高校信息网络数据库应用依旧存在着风险隐患。首先，黑客通过B/S应用，以Web服务器为跳板，窃取数据库中数据；传统解决方案对应用访问和数据库访问协议没有任何控制能力，比如：SQL注入就是一个典型的数据库黑客攻击手段。其次，数据泄露常常发生在内部，大量的运维人员直接接触敏感数据，传统以防外为主的网络安全解决方案失去了用武之地。

3高校信息网络数据库认证技术

信息网络是现代通信科技研究的必然产物，采用高科技通信元器件组成服务网络，为广大师生建立了多功能传输平台。结合上述高校信息网数据库存在的安全隐患，应选用数据认证技术作为防护体系，严格控制数据库操作流程，把风险系数控制在最小范围。高校信息网络数据库认证技术包括：

（1）系统认证技术。数据库系统认证可及时发现潜在隐患，为校园网络控制提供科学的依据。主要技术包括：一是指系统运行安全，系统运行安全通常受到的威胁如下，一些网络不法分子通过网络，局域网等途径通过入侵电脑使系统无法正常启动，或超负荷让机子运行大量算法，并关闭cpu风扇，使cpu过热烧坏等破坏性活动；二是指系统信息安全，系统安全通常受到的威胁如下，黑客对数据库入侵，并盗取想要的资料。数据库系统的安全特性主要是针对数据而言的，包括数据独立性、数据安全性、数据完整性、并发控制、故障恢复等几个方面。

（2）身份认证技术。数据库安全认证技术作为信息网络研发的新数据资源模式，其在学校覆盖网络中依旧存在一些缺陷，影响了用户日常传输数据信号的工作效率。新时期数据库认证技术用于信息网安全防护的功能更加优越，促进了校内网络信号传递的快速升级，维持了高校信息网数据资源的最优化配置。数据库对用户身份进行认证，可避免非正常用户执行恶意操作指令，扰乱数据库系统运行的稳定性。常用身份认证技术包括：密码认证、短信认证、账号认证等，校园网可根据师生使用情况选择认证方式，核对身份无误之后允许其操控数据库资源。

（3）智能认证技术。局域网是校园网络覆盖常用技术之一，采用多功能信息服务平台完成信号传输，扩大了学校信息网服务范围。针对传统高校信息网应用存在的不足，必须要选择更加高效率的通信覆盖技术，维持数据信号传输的稳定性。智能认证技术是一种高科技方式，需要高效投入大量资金及技术条件才能建设成功。例如，指纹认证技术是比较先进的方法，对数据库设定专项服务客户群体，用户只需指纹扫描便可识别身份，这种智能技术提高了数据库的可调度性，并且在无人操作干涉下实现数据库的智能辨别，大大降低了传统数据库控制的难度。

4结论

随着校园网用户数量的大幅度增长，信息网络承受的安全風险越来越大，如何全面发挥数据库的功能特点，这是高校信息化建设急需解决的问题。对校园信息网数据库设定专业认证模式，可避免数据库违规操作产生的不利影响，提升了数据库内资源的综合利用率。

参考文献

[1] 岳淑玲.高职《网络数据库管理》课程建设方案探索与实践[J].才智，2012（20）.

[2] 洪年松.基于Web技术的校园网络数据库建设的探讨[J].浙江工贸职业技术学院学报，2002（02）.

[3] 牛龙平，张勇.高等院校网络数据库与Web技术的融合[J].管理信息系统，1999（02）.

[4] 李也白.3～+网网络数据库管理系统功能综合评述[J].北方工业大学学报，1988（02）.

认证无线电网络 篇7

安全认证系统经常用于远程登录服务器或无线网络中以防止资源的非法使用。移动用户的无缝跨网操作是移动通信中的重要需求,在这样的环境下实现包括移动终端认证在内的安全性是极具挑战性的工作。在移动终端MS离开本地网络后需要通过认证才能够访问漫游网络的服务。然而,对MS而言,当离开本地网络后一般没有可信的认证服务器AS。为此,文献[1,2]提出了Kerberos类型的移动认证方案,在MS和漫游地注册中心VLR之间实现双向认证。文献[3]使用盲签名技术设计了一个移动终端隐私保护方案。文献[4]基于信任授权方法设计了一个认证方案,该方案中MS在HLR注册并向VLR证明这一注册过程。但由于VLR是潜在不可信的,许多现有认证方案并不如宣称般安全[5,6]。

最近,文献[5,6]使用信任授权的方法设计了VLR认证MS的高效移动认证EMAS方案。EMAS的优势在于:一方面使用公钥密码技术获得了较强的安全性,另一方面使用对称密码技术获得了通信和计算上的效率。 EMAS 被证明能够抵抗包括DoS攻击、消息重定向攻击在内的所有已知攻击方式。本文在没有对HLR、VLR和MS施加额外负担的前提下加强了文献[5,6]方案的安全性:提供匿名性从而VLR即便与MS交互认证也无法获悉MS的身份;提供HOA阶段的密钥更新功能从而交互双方MS和VLR可以安全更新它们的会话密钥,即使HLR是离线的。 改进方案保持了原方案的性能和其它性质。

1 文献[5,6]的EMAS方案回顾

令F为一有限域,E为F上的椭圆曲线,T是E上的一个点,T的阶为大素数p或含有大素数因子p,∏(·):E/F→Zp*为一个点表示函数。令Y为HLR的公钥,x∈ Zp*为其私钥,Y=xT。公钥Y是被认证的且为VLR、MS所知。IDM为MS的身份信息,是Zp*中的数字,IDH为HLR的身份信息,IDV为VLR的身份信息,[m]k表示用k对m执行对称加密操作。

如图1所示,文献[5]中的方案EMAS包含三个协议:信任委托初始化协议TDI、高效移动认证协议EMA、HLR离线认证协议HOA。

1) TDI协议

在该协议中,HLR完成向MS授权操作。HLR的具体计算过程为:

● 生成关于IDM的密钥使用限制文件mw;

● 将IDM‖mw转换为Zp*中的元素,并计算h(IDM‖mw);

● 选择Zp*中的随机元素κ,计算:

Γ=h(IDM‖mw)T+κT

σ=-xh(∏(Γ))-κ

● 将(Γ, IDM, mw)公开,将(σ, mw)秘密交给MS。

这样,HLR就基于椭圆曲线离散对数问题完成了向MS的信任授权操作。

2) EMA协议

在本协议中,MS与VLR在HLR的帮助下完成双向认证,认证通过后两者可使用共享的秘密完成秘密通信。MS首先执行以下步骤:

● 选择两个随机数k, N∈ Zp*, 生成通信密钥ck,并计算:

R=kT s=σ-kh(∏(R)‖N)

● 使用σ对ck, ts, Texp, N执行加密操作以生成证书[ck, ts, Texp, N]σ,其中ts为时间戳,Texp为通信密钥过期时间;

MS向VLR发送以下消息(1):

mw, R, s, IDH, [ck, ts, Texp, N]σ, N (1)

● MS检查从VLR发来的IDH, [N, IDV, [N, IDV]σ]ck中一次性随机数N是否一致,以便由此判断VLR的真实性。

VLR执行以下步骤:

● 收到消息(1)后,VLR 检查mw的限制条件并验证下式是否成立:

sT+Γ+h(Π(Γ))Y+h(Π(R)‖N)R= h(IDM‖mw)T

● 如果验证通过,VLR将下述消息(2)发送给HLR以询问与MS的通信密钥:

IDM, [ck, ts, Texp, N]σ (2)

● 在收到HLR的回复消息(4)后,VLR将得到通信密钥ck,并检查过期时间和一次性随机数的一致性。如果通过,则使用通信密钥ck以加密的方式发送消息(3)给MS,MS可由此认证VLR的真实性:

IDH, [N, IDV, [N, IDV]σ]ck (3)

HLR执行以下步骤:

● 使用σ处理消息(2),验证mw上关于IDM的限制约束。

● 如果验证通过,HLR使用σ和它与VLR之间共享的会话密钥KV,H生成消息:

[IDM, Texp, ts, ck, N]KV,H, [N, IDV]σ (4)

● HLR将消息(4)发送给VLR。

3) HOA协议

在HLR在线参与认证过程的EMA协议第一次执行结束后,该VLR可以独立地完成对该MS的认证,只要HLR的公钥和HLR对MS的信任授权信息保持不变。在HLR离线情况下,VLR的认证过程为:

● MS检查与通信密钥ck相对应的时间戳ts和过期时间Texp后, 如果ck仍然有效,则选择两个随机数k’, N’∈ Zp*, 计算R’=k’T,s’=σ-k’h(∏(R’)‖N’)。

● MS发送消息O1=[mw‖R’‖s’‖IDH‖N’]给VLR。

● 收到消息O1后,VLR验证mw的限制和ck的过期时间,并检查:

s’T+Γ+ h(Π(Γ))Y+h(Π(R’)‖N’)R’= h(IDM‖mw)T

● 如果上述验证均通过,则VLR相信MS的真实性,并使用ck为通信密钥。

以上即为文献[5,6]的EMAS方案描述。与现有的相关工作[4,7,8,9]相比,EMAS有较多良好的性质和功能。比如EMAS能够抵抗包括DoS攻击、消息重定向攻击、虚假基站攻击等在内的所有已知攻击;移动终端在EMA阶段只需要处理两次消息;现实中使用面向应用的芯片或处理器(比如ARM SC200)的嵌入式设备能够很容易地在1秒以内完成MS的工作,等等。

2 对文献[5,6]的EMAS方案的分析

在许多多用户电子商务和工业工程应用环境下,匿名性正成为一个关注焦点[10]。匿名性服务也是无线通信中的重要需求之一,保证了移动终端的个人隐私不被恶意的VLR获得。在方案EMAS中,移动终端MS在与VLR相互认证的过程中会暴露自己的身份信息,这是由于其身份信息是显式地通过明文呈现给VLR的。换句话说,EMAS不提供匿名性。

我们注意到文献[6]对方案EMAS有后续工作,设计了一个加强方案,并声称该方案具有身份保护功能。 为免窃听者和VLR获得MS的身份信息,该方案使用了一次性假名的方法[1]。 文献[6]声称该方案能够在不牺牲认证效率的前提下提供身份保护功能。 然而,文献[6]中的方案仍有需要进一步思考的地方。

首先,为了指明同一个移动终端,文献[6]方法在HLR的注册表中存储了不同的公开信息(Γ′,IDMA,mw)。这样,每次MS与VLR在HLR的帮助下完成一次双向认证后,HLR都需要更新一次注册表,用MS新的假名取代旧的假名。相应的,HLR对假名的数字签名(Γ′, σ′)需要重新计算,并将σ′通过秘密信道发送给MS,同时也导致了额外的通信带宽。 另外,对HLR来说,为网络中的所有移动终端频繁更新和维护注册表也是很大的负担。

其次,给定同一个移动终端MS的三元组(Γ1, IDMA1, mw1) 和(Γ2, IDMA2, mw2) 以及MS的两个假名IDMA1、IDMA2,两个信任授权证书mw1、mw2是相同的。 在文献[6]中使用了一个很强的假设:即除了HLR外任何人都不能从证书mw推导出MS的身份。 这与传统代理签名的现实应用是矛盾的:代理授权证书指明了必要的代理细节,包括原始签名人的身份、代理签名人的身份、代理签名人的签名权限等。这也是MS不需要在图1的消息(b)、(f)中明确传递IDM的原因。即使代理授权证书不包含MS的明文身份信息,在mw中的其它描述也可能泄露部分信息,包括恶意VLR在内的攻击者可能利用这些部分信息破坏匿名性。

最后,一般认为,从安全通信的角度看,最好避免在不同的会话中使用相同的会话密钥。文献[5,6]中的方法都违背了此规则。我们更希望一种方法能够提供密钥更新功能,从而生成不同的会话密钥用于不同的通信会话。

上述分析表明,无线网络中的高效认证方案除提供双向认证、会话密钥协商和其它功能外还应该在不增加HLR、VLR、MS负担的前提下同时提供匿名性和安全密钥更新性质。尽管文献[5,6]中的体制EMAS及其加强方案不满足这一点,我们将在下一节给出其改进方案。

3 具有匿名性和密钥更新特征的改进方案

与文献[5,6]的方案一样,我们的改进方案也由信任委托初始化协议TDI、高效移动认证协议EMA、HLR离线认证协议HOA组成。假设e是HLR私钥,可用于HLR的对称密码中,本方案中所使用的其它记号和文献[5,6]中相同。

1) TDI协议

假设身份为IDM的移动终端MS要在HLR处注册。HLR首先生成授权证书mw,其中指明了MS的身份、签名能力和其它必要说明,然后计算对IDM‖mw的签名:

Γ=h(IDM‖mw)T+kT σ=-k-xh(∏(Γ))

其中k∈RZp*。最后,HLR在注册表中存储Γ, h(IDM‖mw) 、[Γ, IDM‖mw, σ]e。其中,二元组(Γ, h(IDM‖mw))公开。HLR将:

(σ, IDM‖mw) (5)

通过安全信道秘密发送MS。

如果mw过期,HLR可以通过将σ公开的方式撤销公共信息。 收到消息(5)后, MS检查下式以验证IDM‖mw的数字签名(Γ, σ):h(IDM‖mw)T=Γ+σ T+h(∏(Γ))Y。

如验证通过,MS接受σ为有效授权密钥。

注意到我们的方法与文献[5,6]中方法的主要区别是目前的公共信息为(Γ, h(IDM‖mw)),且HLR需要额外存储[Γ, IDM‖mw, σ]e。由于HLR和VLR一般不是资源受限的, 因此所需要的额外存储和对称密码加解密操作是可以接受的。 由于哈希函数的密码学性质,h(IDM‖mw)很好地隐藏了MS的身份信息IDM‖mw。 给定h(IDM‖mw),除了HLR和MS外的任何人不具备将IDM‖mw和随机串区分开来的能力。

2) EMA协议

在这一阶段,图1中的消息(b)-(e)将由消息(6)-(9)代替。更具体地,当MS要登录到VLR时,它选择随机数k, N, ck∈RZp*, 计算R=kT,s=σ-kh(∏(R)‖N),并将

h(IDM‖mw), R, s, IDH, [ck, ts, Texp, N]σ, N (6)

发送给VLR,其中ts是时间戳, Texp是ck的到期时间。

收到消息(6)后, VLR验证公共信息(Γ, h(IDM‖mw)) (即还未撤销),并通过下面的等式检查h(IDM‖mw), R, s, N的一致性:h(IDM‖mw)T=Γ+sT+h(∏(Γ))Y+h(∏(R)‖N)R。

如果正确,VLR 将:

h(IDM‖mw), [ck, ts, Texp,N]σ (7)

转发给HLR。

收到消息(7)后, HLR首先从[Γ, IDM‖mw, σ]e中导出IDM‖mw, σ,然后检查mw的限制条件,并对[ck, ts, Texp, N]σ执行解密操作恢复ck, ts, Texp, N,最后发出:

[h(IDM‖mw), ck, ts, Texp, N]KV,H, [IDV, N]σ (8)

作为回复。

VLR解密[h(IDM‖mw), ck, ts, Texp, N]KV,H,为向MS认证自己,VLR发出:

IDH, [IDV, h(ck, ts, Texp, N), [IDV, N]σ]sk (9)

这里sk=h(IDV, ck, ts, Texp, N)为会话密钥。与文献[5,6]中的通信密钥ck自身不同, 我们的方法中VLR和MS对最终的会话密钥sk均有自己的贡献。 由于知道ck, ts, Texp, N和σ,MS能够检查一次性随机数N的一致性。如果验证通过,则双向认证结束,MS与VLR之间的秘密信道就建立了。

3) HOA协议

在VLR和MS通过HLR的帮助建立双向认证之后,有一个可选的HOA阶段。在此阶段, HLR是离线的,MS一直逗留在VLR中。此时,通过公共信息和协议EMA中获得的值,VLR具有独立认证 MS 的能力。 假设MS想登录到VLR,它选择随机数k′, N′∈RZp*, 计算R′=k′T,s′=σ-k′h(∏(R′)‖N′), 并将

h(IDM‖mw), R′, s′, IDH, N′ (10)

发送给VLR。在验证了ck的过期时间后VLR利用等式

h(IDM‖mw)T=Γ+s′T+h(∏(Γ))Y+h(∏(R′)‖N′)R′

检查h(IDM‖mw), R′, s′, IDH, N′的一致性。如果通过, VLR相信MS是真实的。 随着认证的成功,一个新的会话密钥sk′在VLR和MS之间建立起来:sk′=h(IDV, ck, ts, Texp, N′),该密钥可用于将来的秘密通信。

以上即为对文献[5,6]方案的改进。显然我们的改进方案保持了EMAS的高效性,下一节将分析其安全性。

4 安全性分析

由于使用了与EMAS相似的结构, 可以类似于文献[5,6]中的分析,我们的改进方案也保持了在抵抗DoS 攻击、消息重定向攻击等方面的安全性。下面主要关注匿名性和安全密钥更新能力。

由于 VLR 只知道 MS身份的哈希值,基于哈希函数的密码性质它不会获得关于IDM或mw的信息。而信道上的窃听者不会比VLR有更多的能力, 它也不能恢复IDM或mw。因此,我们的改进方案能够提供MS身份保护功能。

此外,每次 VLR 认证 MS后, 它们之间共享的会话密钥就会更新,并且仅用于将要进行的通信。得到一次性随机数的任何窃听者无法获得新的会话密钥,因为它不知道秘密值ck。因此,改进方案也具有安全密钥更新功能。

事实上,我们的密钥更新机制具有后向保密性,也就是说,知道一段连续时间会话密钥的被动攻击者不会获得将来的会话密钥。比如,假设攻击者知道会话密钥ski-1和ski及一次性随机数Ni+1, 想要计算ski+1。由于知道ski-1和ski不会帮助它计算ck,因此攻击者还是无法获得将来的会话密钥。

5 结 语

本文提出了一个适用于移动通信环境下的认证机制,其优点包括:(1) 低计算量和通信带宽适合低计算能力的移动设备;(2) 基于一次性随机数的方案,不存在时间同步问题;(3) VLR 和MS 可以彼此认证;(4) MS的身份信息受到保护;(5) HLR不需要维护动态注册表;(6) HLR可以很容易地撤销过期授权证书;(7) 使用VLR和MS一起协商出来的会话密钥;(8) VLR和MS可以自由更新它们的会话密钥;(9) 提供后向保密性。

本文的方法延续了文献[5,6]的做法,即基于信任授权机制设计认证方案。以后的研究工作将关注如何基于信任授权机制设计适用于无线网络环境下的同时具有不可链接性和匿名性的高效认证方案。这里,匿名性要求只有 HLR知道MS的身份, 而任何其它第三方做不到这一点。不可链接性要求任何攻击者 (包括恶意的VLR) 都不能将MS链接到之前的会话脚本。换句话说,攻击者不能以不可忽略的概率区分它是否看过同一个MS两次。显然,不可区分性是对匿名性的有益补充。在不牺牲效率的前提下利用信任授权机制设计这样的认证方案是一个有挑战性的工作。

参考文献

[1] Molva R,Samfat D,Tsudik G.Authentication of mobile users[J].IEEE Network,1994,8(2):26-34.

[2] Samfat D,Molva R,Asokan N.Untraceability in mobile networks[C]//Proc. International Conference on Mobile Computing and Networking, 1995:26-36.

[3] He Q,Wu D,Khosla P.Quest for personal control over mobile location privacy[J]. IEEE Commun. Mag.,2004,42(5):130-136.

[4] Lee W,Yeh C.A new delegation-based authentication protocol for use in portable communication systems[J].IEEE Transactions on Wireless Communications,2005,4(1):57-64.

[5] Tang C,Wu D.An Efficient Mobile Authentication Scheme for Wireless Networks[J].IEEE Transactions on Wireless Communications,2008,7(4):1408-1416.

[6] Tang C,Wu D.Mobile Privacy in Wireless Networks-Revisited[J].IEEE Transactions on Wireless Communications,2008,7(3):1035-1042.

[7]Zhang M,Fang Y.Security analysis and enhancements of3GPP authen-tication and key agreement protocol[J].IEEE Transactions on Wireless Communications,2005,4(2):734-742.

[8] TS 33.102. Security architecture, version 4.2.0, release 4[S].Third Generation Partnership Project-Technical Specification Group, 2001.

[9]TR33.902.Formal analysis of the3G authentication protocol[S].Third Generation Partnership Project-Authentication and Key Agree-ment(AKA),2000.

适用于无线传感器网络安全认证方案 篇8

关键词：无线传感器,安全认证,方案

1 无线传感器网络安全问题分析

无线传感器网络安全是其工作的关键, 无线传感器网络的安全隐患主要包括:

(1) 恶意节点攻击问题。无线传感器中的传感器节点都处在一个开放的环境中, 并且以自组织的方式进行网络传输, 而且这些传感器节点是没有采取任何防护措施的, 而且为了提高传感器的灵活性, 我们还会在传感器的节点上设置一个编程接口, 这样物理层面的不安全性, 为外界通过传感器节点获取重要的信息或者进行信息内容篡改提供了可乘之机。根据对传感器节点攻击的方式, 我们将传感器恶意节点攻击分为外部恶意节点和内部恶意节点。外部恶意节点没有传感器其他网络节点建立信任关系。内部恶意节点就是在外界获取网络正常节点之后, 其通过获取的共享秘钥等信息, 对传感器网络进行攻击。

(2) 信道访问的公平性问题。传感器网络中的每个信道都具有平等的机会, 他们都具有传输信息的功能。因此为保证传感器网络信道的公平, 我们采取MAC协议来控制节点介入通道的能力, 一般我们会采取退避算法进行公平布置通道公平问题, 但是这样一来我们就需要面对这样一个现实问题:当每个通道节点都采取了退避算法之后, 每个节点的退避时间都减小到0, 那么一来就会造成各个通道又发生冲突的可能。因此采取何种退避算法是保证信道公平的最大问题。

(3) 节点移动的影响。节点是不断移动的, 节点的移动必然会造成网络拓扑结构的变化, 而这些变化需要网络路由协议作出相应的变化。同时移动节点也会对信道接入协议产生影响, 但是根据相关文献研究, 节点移动对无线传感器网络的影响是忽略不计的。

由上述可知, 由于无线传感器网络的特性, 使得它们面临的安全隐患不同, 因此本文从安全认证技术和网络体系结构入手, 针对已有的认证技术和MAC协议进行改进, 提出一种新的安全策略。

2 当前无线传感器网络安全认证方案的现状

安全认证是无线传感器网路运行的关键技术, 当前对无线传感器的安全认证主要是通过KDC的方案以及相邻传感器之间的密钥交换实现的。

2.1 基于对称密码体制的认证方案

由于在传感器网络中, 节点的能量是比较有限的, 因此采取对称密码体制的计算要远远小于非对称密码体制的计算, 因此从节约资源角度出发, 我们应该选择对称密码体制。对称密码体制认证方案主要有E—G方案。矩阵密钥预分配方案、基于多项式的密钥分配方案。这些方案基本上都具有相同的思路:都是通过某种方法, 使得相邻节点之前建立共享密钥, 在节点之间形成相互认证。

2.2 基于非对称密码体制的认证方案

随着网络技术的不断发展以及人们研究层次的加深, 人们已经逐渐的将非对称密码体制应用于无线传感器网络认证体系中, 之所以选择非对称密码体制认证主要是因为非对称密码体制的安全性要高, 对非对称密码体制认证的方案目前主要集中在:基于RSA算法的TinyPK实体认证方案、基于ECC加密的强用户认证方案以及基于身份标识的认证方案。

2.3 分布式安全认证方案

分布式安全认证方案是由Bauer在2005年首次提出来的, 其采取的主要是秘密共享和组群同意的密码学概念, 该方案的制定思路是:初始化。传感器网络被假设为每个节点都有一个前向节点和后续节点, 在节点被应用到具体的环境中之前, 系统会给每个节点一个唯一编号, 并且告知其相应的信息, 这个信息是该节点独自掌握的;密码分割。秘密分割主要是在节点需要认证时, 系统会将部分信息以分割的方式传递给需要认证的节点;身份认证。说的通俗点就是在节点需要认证时需要将系统进行身份认证, 如果系统信息与节点自身的信息向符合, 那么节点就会被认可。

综合上述的无线传感器网络安全认证方案, 其主要采取的基于密钥管理的模式来解决节点的身份认证问题, 这样的方案需要服务器进行集中、同步机制, 这样在进行运行时由于通信量比较大, 很容易造成安全问题, 而且这些认证方案只能对外部恶意节点攻击进行防范, 而不能处理内部节点的恶意攻击, 因此该方案中的某个节点一旦被外界所俘获, 那么这个节点的密钥也就被其所掌握的, 进而会对整个网络通信安全构成威胁。因此本文从传感器行为的空间相关性和时间相关性入手, 提出基于可信的WSN认证技术。

3 基于可信的无线传感器网络认证方案

3.1 网络可信技术

网络可信是当前计算机网络安全研究领域的热门话题, 网络可信技术是在原来网络安全技术的基础上增加行为可信安全的新方法。网络可信技术就是在网路在给网络运行设定目标时, 如果该行为是可以预期的, 那么该网络实体就是可信的。网络可信主要是从以下四个方面阐述的:一是对用户的身份进行唯一性认证;二是网络平台软件、硬件配置是正确的;三是应用程序的完整性和合法性;四是网络环境下平台之间的相互信任性。

3.2 节点行为信任模型的构建

信任模型就是无线传感器通过本身的节点与其它节点相互交往建立的量化的评价体系。信任模型本质上属于节点的实际物理属性和行为的一个综合能力的反映。在可信无线传感器网络认证方案中节点的可信度是整个方案的核心技术, 因此对节点的可信度的度量就显得格外的重要。我们可以采取以下度量方法:一是根据节点进行身份认证时获得的信息进行计算。二是通过预测节访问对象的序列来计算;三是根据节点在享受内网时表现出来的属性进行计算。

3.3 基于可信的无线传感器网络认证方案

由于无线传感器主要是通过传感器内的节点进行工作, 因此在某种意义上, 传感器节点之间存在很大的关联性, 因此我们可以借助该特点对当前的传感器节点进行信任度的计算。设无线传感器网络中参与认证的传感器集合为S= (51, S:, , , S″) , zi (k) 表示k时刻传感器51的输出″系统状态方程和输出方程如下:

这里Φ (k) 、G (k) 、H (k) 分别表示状态转移矩阵、过程噪声分布矩阵及输出矩阵;v (k) 和w (k) 分别表示具有零均值和正定协方差矩阵的高斯噪声向量。

根据上述公式, 传感器的算法主要体现在以下流程:将无线传感器网络安全认证与行为信任相结合, 强化对网络节点行为可信的动态处理。具体表现在传感器网络中的簇透对内部节点行为进行安全认证, 路由节点的下一跳节点对上一跳节点进行安全认证。首先是簇头对节点进行信任等级授权, 如果某节点的信任等级不信任, 那么系统就会丢弃该节点输出的信息或者将其断开与网络的连接, 以此保证无线传感器网络的安全。

基于行为可信的认证算法基本思想是:将现有认证机制与行为信任相结合, 强化对网络节点行为可信的动态处理。算法的具体实现过程主要分为:一是簇头首先对簇内的节点进行身份认证, 该身份认证主要是根据网络部署时所设置的密钥管理进行, 一旦密钥失效, 那么簇头就会将传感器设定为false, 传感器网络就会拒绝该节点的访问。二是进行安全认证的节点会与周围的节点进行信息交换, 并且根据交换的信息计算密钥认证通过节点的信任度, 如果计算出来的数值小于无线传感器网络安全值时, 那么无线传感器的状态就是false.就会被系统所拒绝访问, 相反, 则系统就允许其运行。

4 结束语

无线传感器网络是由一系列传感器节点组成的, 以无线Adhoc形式进行通信的网络由于无线传感器网络一般都应用在无人值守的恶劣环境区域中, 极易受到外界的干扰, 所以无线传感器网络的安全是主要关注的问题, 针对这种网络特性, 本文在现有的安全认证的基础上加入了可信计算的思想, 解决了已有的研究大多是基于密钥的身份认证, 不能处理节点错误行为的安全认证问题, 同时为了更好地实现这一机制, 还对WSN的MAC协议、S-MAC协议进行了研究, 并结合T-MAC协议对其进行了改进。

参考文献

[1]陈渊, 叶清.无线传感器网络安全认证方案综述[J].算机与数字工程, 2014, (02) .

认证无线电网络 篇9

随着物联网技术的飞速发展,无线传感器网络WSNs(Wireless Sensor Networks)已经成为热门研究领域,广泛应用于环境监控、智能家居和远程控制等场景。无线传感器由于其开放性、自组成网、节点资源有限等特点,易受到外界干扰和攻击者恶意攻击,如攻击者篡改节点数据,将错误数据发送给汇聚节点,会使得控制中心做出错误的决策。所以,无线传感器网络的安全问题引起了越来越多的研究者们重视[1,2,3]。针对传感器网络安全问题的研究主要集中在节点身份认证[4,5,6]和安全数据融合[7,8],前者研究节点在接入WSN时的可信身份认证,后者研究对传感器节点采集数据的完整性进行认证和融合,本文重点研究节点数据的完整性认证。

关于WSNs中的数据认证,研究者们提出两种方法:基于加密技术和基于数字水印方法[9]。基于加密方法具有代表性的如文献[10],提出了一种基于动态密码的传感器网络认证策略,策略具有较高的安全性,并且在安全性和节点可用资源上进行了较好的折中,但策略引入了较大的通信负载。由于传感器节点有限的计算能力、存储空间和能量、加密方法带来的密钥管理、耗时的加解密操作和额外的通信负载,使得并不适合于WSNs。另外一种行之有效的方法是采用数字水印技术进行数据认证[11,12,13,14],基于水印的认证方法将认证信息嵌入在资源有限的传感器节点采集的数据中,水印数据经中间节点传输到汇聚节点,由汇聚节点完成数据认证操作。相比加密技术,数字水印技术计算简单,并且不产生额外的通信负载。但传统的数字水印方法的一个最大弊端就是有损性,也就是说水印的嵌入会对传感器节点数据带来永久的失真,虽然这些失真不会影响如图像等高冗余数字载体的视觉质量,但对于医学和军事等关键应用领域,微小的数据变化都将是不可接受的。因此,研究者们提出利用无损数据水印技术进行数据认证,典型的方法如文献[15]提出了一种基于区域和无损数字水印的图像认证方法,首先将认证区域进行小尺寸的划分,得到每个区域数据的循环冗余检验码CRC作为认证水印,水印嵌入在互不重叠的其他区域中,方法证明了CRC码的计算效率高于Hash函数,减少了水印生成时间。文献[16]提出了一种基于像素对奇偶不变性的无损数字水印方法,方法利用像素对的奇偶不变特性和调整策略嵌入水印,在数据的嵌入和提取上具有计算简单和附加信息少的优点。

Shi等人[3]提出的基于可逆数字水印的认证方法采用数据组的hash认证码作为水印,另外采用基于预测的方法进行无损数字水印嵌入,存在的问题是hash认证码的计算效率偏低,另外基于预测的方法在水印嵌入前,需要引入预测函数对数据组进行计算,增大了计算开销。本文借鉴文献[15]和文献[16]的部分思想,对文献[3]方法进行了改进,采用CRC码代替hash认证码,改用奇偶不变性的嵌入方法实施水印嵌入。提出一种新的基于CRC和可逆数字水印的无线传感器网络认证算法,算法充分考虑对实时性要求较高的无线传感器网络应用场景下的数据认证需求,尽量减少传感节点自身的计算复杂度,提高认证效率。

1 基于奇偶不变性的无损数字水印算法

1.1 水印嵌入

基于奇偶不变性的无损数字水印算法的基本思想是在一个像素对中嵌入一位水印信息,设原始像素对为(x,y),嵌入水印后的像素对为(x',y'),嵌入的水印位为w,则通过式(1)嵌入水印信息:

其中,d=x-y,通过式(1)可推导出如下结论:x+y=x'+y',即嵌入水印前后的像素对的和不变。由d=x-y,将等式两边同时加上2y,推导出d+2y=x+y=x'+y',由于2y为偶数,所以d与x+y和x'+y'具有相同的奇偶性。设d'=x'-y',同理可推导出d'与x+y和x'+y'具有相同的奇偶性,d与d'也具有相同的奇偶性。

1.2 水印提取与恢复

在提取端,首先计算x'+y'的值,同时也就得到了x+y的值。根据式(1),计算d'如下:

即,将等式两边加上LSB(d),LSB(d)代表d的最低有效位,得到,由于,可推导出d'+LSB(d)=2d+2w,因为LSB(d)=LSB(d'),可推导得出下式:

因为x'和y'已知,那么d'和LSB(d')已知,d'的奇偶性已知,由于d'与d具有相同的奇偶性,那么d的奇偶性确定,在式(3)中,已知d的奇偶性,并且w∈{0,1},那么可以唯一得到d和w的值,完成水印提取。

在得知d的值后,也就是x-y值确定,同时由于x'和y'已知,也就是x'+y'已知,由于x+y=x'+y'得到x+y的值,当原始像素对的差和和都已知时,可以得到原始像素对的值。

2 本文方法介绍

2.1 认证模型

图1给出了一个简单的WSNs数据传输模型图,图中主要有三种类型的节点,分别为传感节点,负责采集原始数据;传输节点,仅负责对传感节点的数据经过单跳或多跳传输;汇聚节点,用来接收传输节点传输过来的数据。在本文方法中,传感节点负责水印的产生和嵌入,由于传感节点的计算资源和能量有限,水印的产生和嵌入操作必须尽量简单。汇聚节点作为WSNs的中心节点,具有极大的计算资源和能量,执行水印的提取和认证操作。

设传感节点采集的数据流为S,数据流中的数据元素为Si,其中i∈[1,Max],Max为数据流中数据元素的最大值。引入分组参数l,l<<Max,传感节点将数据流S进行固定长度的分组,一个典型的认证组如图2所示。

每个传感节点保留数据元素的当前值Si和先前值S'i,{s1,s2,…,sl}构成认证数据组中的当前数据组,{s'1,s'2,…,s'l}构成认证数据中的先前数据组,一个认证数据由当前数据组和先前数据组组成。本文方法提出的认证策略是计算当前数据组的CRC码作为水印,然后采用第1节介绍的无损数字水印方法将其嵌入在当前数据组和先前数据组的对应数据元素中,如(s1,s'1)嵌入一位水印信息。

2.2 水印嵌入

1)水印生成

根据2.1节中的认证模型,水印为当前数据组元素的CRC码,具体生成方式如下:

(1)将数据元素Si序列化,如转换成二进制形式BSi,采用多项式表示,如“11011”表示为x4+x3+x1+1;

(2)引入除数控制参数m,当m确定后,除数多项式取为xm+xm-1+x1+1;

(3)将BSi左移m-1位作为被除数;

(4)采用模2除法,求得被除数与除数多项式的m-1位余数作为Si的CRC码;

(5)水印W为所有数据元素CRC码的异或结果,表示为下式:

其中⊕表示异或操作。

2)嵌入算法

水印嵌入算法的伪码表示如下:

值得注意的是,为了保证认证码完全嵌入,一般情况下l≥m-1,当此条件不满足时执行重复嵌入确保水印嵌入完整。为了保证水印算法的安全,分组长度l和控制参数m的值作为密码安全传输给水印提取端,也就是汇聚节点。

2.3 水印提取与认证

水印提取与认证算法的伪码表示如下:

3 方法性能分析

3.1 理论分析

1)空间复杂度

本文方法需要每个传感节点保存数据组中的数据元素对(si,s'i),即传感节点采集的当前数据值和先前一次采集的数据值,从所需的存储空间上看,需要每个传感节点提供一倍以上的存储空间。但相比传统方法需要存储整个数据组的方法具有明显优势。为了节省存储空间,在本文提出的认证策略中,每组数据的当前采集值作为认证的对象,在认证结束后,传感节点中存储的数据进行了更新。另外,为了数据流传输的平稳性和可能存在的数据重传需求,让每个传感节点额外存储其上一次的采集值也是十分有必要的。在额外的传输代价方面,本文方法仅仅需要两个附加参数,即分组长度l和除数多项式的控制参数m。

2)时间复杂度

为了实施认证,传感器网络中的传感节点和汇聚节点会产生必然的计算开销,基于传感节点的计算资源和能量有限,本文方法在水印生成和嵌入上均采用了轻量级的算术和逻辑操作,包括数据流分组、CRC码计算、水印嵌入和提取操作。设数据流的总长度为N,那么数据流分组的时间复杂度是O(N)。CRC码计算复杂度与数据元素参数l和控制参数m直接相关,时间复杂度为O(l×m)。另外,根据2.2节和2.3节介绍的水印嵌入和提取算法的伪码,嵌入时间复杂度为O(l×N),水印提取和恢复算法的时间复杂度为O(l×m)+O(N)。所以,算法总的时间复杂度为O(l×N)。

3)检测效率

检测效率通常由正检率或负检率衡量,正检率指正确检测出数据元素是否发生篡改的概率,负检率是指错误检测出数据元素是否发生篡改的概率,包含错误肯定和错误否定,即没有发生篡改误认为有篡改发生和发生了篡改误认为无篡改发生。本文采用负检率衡量算法的检测效率,考虑三种情况下算法的负检率:增加数据元素、删除数据元素和修改数据元素。

(1)考虑在一个数据组中的增加一个数据元素,增加有可能发生在当前数据组或者先前数据组中,如果数据元素仅发生在一端,则会造成两个组中的数据元素个数不匹配,则会检测出篡改,如果数据元素的增加同时发生在两组中,每一端增加的位置概率是1/(l+1),假设增加数据元素后产生的CRC码刚好与之前一致,那么发生负检的概率为1/(l+1)2。

(2)同上,在一个数据组中删除一个数据元素的位置概率为1/l,发生负检的概率为1/l2。

(3)修改数据元素更为复杂,仅考虑最简单的情况,仅修改数据组中的一个元素,发生修改位置的概率是1/2l,而发生的概率是1/2,那么修改数据元素发生负检的概率为1/4l。

3.2 实验结果与分析

仿真实验环境如下:实验采用OMNET++仿真工具,OM-NET++是一个开源的网络仿真平台适用于大型网络的模拟仿真,广泛被学术界使用[17]。图3给出了网络的实验部署图,在100 m×100 m的正方形区域随机部署传感器节点,节点总数为100(传感节点20个,传输节点79个,汇聚节点1个)。图中白色节点为传感节点,黑色节点为传输节点,中心位置三角形节点为汇聚节点,传感节点每隔固定时间采集当前节点所处位置的温度信息。所有实验结果利用Matlab 7.0仿真得到,节点间的通信协议采取简单的RIP路由协议。为了收集平均数值,所有数据为在相同的条件下运行10次的结果。实验中随机对一个认证数据组中的数据进行分别插入、修改和删除操作。

图4给出了参数l对算法性能影响,m取4,参数l决定数据组中数据元素的个数,也直接决定了生成的水印。在进行水印生成时,首先将每个数据元素看成一个字节转换成8位二进制,也就是说l=2时,参与CRC计算的被除数为16位。参数l越大,参与CRC计算时的被除数位数越长,计算得到的CRC码越鲁棒,误检率越低,即以更大的概率能正确识别出数据元素是否篡改。从图4中数据可以得出如上结论。

图5给出了参数m对算法性能影响,其中l=4。从图5可以看出,随着参数m的增大,除数多项式位数越长,计算得到的水印位数越长,认证精度越高。在参数l确定情况下,算法的性能与CRC校验码的特性一致,除数多项式越复杂,得到的检验码越鲁棒。但值得注意的是参数m越大,CRC码计算量越大、并且需要重复嵌入的水印位越大,需要在计算开销和鲁棒性上取较好的折中。

本文方法实质是对文献[3]方法进行改进,为了证明本文方法在计算效率上的优越性,比较了本文方法与文献[3]提出方法在传感节点所需存储空间、额外传输负载和水印嵌入算法时间效率。实验中,设传感器节点存储数据的基本空间是Base字节,认证数据流长度为10 000,本文方法中取l=5,m=4,文献[3]中取m=30。实验结果如表1所示。从表1可以看出,除了在传感节点存储空间上本文方法是文献[3]方法的两倍外,在额外传输负载和水印嵌入时间上具有明显优势。本文方法的额外传输负载仅为两个参数l和m,文献[3]方法也只需要两个Key(计算hash值的密钥)和m参数,但明显参数Key比参数l大得多。另外,文献[3]的水印嵌入时间几乎是本文方法的3倍,原因在于一方面文献[3]需要对数据进行不定长的分组,另外计算hash值和水印嵌入方法均比本文方法复杂。在实时性要求较高的无线传感器网络应用场景,牺牲空间换取时间效率是可行的。

4 结语

本文提出了一种基于循环冗余校验码和无损数字水印的无线传感器网络认证算法,算法利用循环冗余校验计算方法得到传感器节点采集的原始数据的CRC码作为水印信息,然后利用基于奇偶不变性的无损数字水印方法将水印嵌入数据组中。算法改进了传统基于可逆水印认证方法的水印生成方法和嵌入方法,简化了计算复杂度,提高了认证效率。实验结果表明,本文算法具有较高的认证效率。另外,与相似方法的比较证明了本文方法在时间效率上的优势。该方法可用于在无线传感器网络中进行有效数据认证,减少数据在传输过程中受到篡改几率,提高无线传感器网络可靠性,具有较好的应用前景。

摘要：针对无线传感器网络中的数据完整性认证问题,提出了一种新的基于循环冗余校验CRC和可逆数字水印的认证算法。算法提出由传感节点负责对数据流进行分组和水印嵌入处理,由汇聚节点实施对收到的数据组进行验证和恢复。为了尽可能减小传感节点的计算复杂度,水印通过计算数据组的CRC码获得,同时,采用基于奇偶不变性的可逆数字水印方法嵌入。算法的安全性由计算CRC码时选取的除数多项式的参数决定,减小了额外的传输代价。实验结果证明了该算法具有较好的认证成功率、较低的传输负载和更高的时间效率,适合于在实时性要求较高的传感器网络中进行数据认证。

认证无线电网络 篇10

关键词：局域网,用户认证,预共享密钥802.1X,WEB认证

近些年, 随着国家对疾病预防控制工作的重视程度日益提高, 在疾病控制领域的投入也逐年增大。各级疾病预防控制机构的基础设施得到了很大的改善, 办公和业务工作条件有了很大改善。信息系统建设作为疾病预防控制机构基础设施建设的重要组成部分也有了长足的进步, 但信息安全问题也日益突出。作为基础办公条件的无线网络, 其安全问题理应得到高度的重视和有效的管理。本文以中国疾病预防控制中心 ( 南纬路) 无线网络用户认证管理系统的改造项目为例, 旨在提出适应疾病预防控制机构网路环境特点的无线网络用户认证机制。

1 内容与方法

1. 1 研究对象中国疾控中心 ( 南纬路) 于2013年开通了无线网络, 并利用无线管理系统进行用户认证, 使用SSID ( Service Set Identifier服务集标识) 为CDC - GUEST的基于共享密钥方式的认证方式〔1〕。

1. 2 研究方法通过现场调查、走访相关系统管理人员、专家访谈、历史故障数据分析等方法, 评价现有用户认证系统存在的问题, 结合用户认证最新的理论、技术与方法, 对现有用户认证系统提出优化改造方案。

2 结果

2. 1 现有用户认证系统问题分析因南纬路办公大楼位于市区地段, 且无线网络覆盖范围广, 因此大楼无线网络很容易被周边商户破解共享密钥“蹭网”, 对网络安全造成重大隐患; 无线网络SSID仅有一个, 未将用户群进行分类, 所有用户共用一个SSID进行无线上网; 且目前无线网络是基于预共享秘钥的认证方式, 网络安全问题仍层出不穷。在分析众多的网络攻击事件后, 发现绝大多数网络攻击并不是本地用户有意发出的, 而是在不知情的情况下被种植木马或病毒造成的, 若是部分网络用户不能够及时的更新系统补丁和升级病毒库, 则每一个网络用户均有可能成为网络攻击的受害者〔2〕。

2. 2 系统改造总体方案首先, 开启楼层无线网络交换机的802. 1X和WEB认证。无论是基于软件还是硬件, 如需最终控制到端口, 则应采用802. 1X技术。据统计, 目前国内高校中超过700 所高校采用了802. 1X技术进行准入认证, 很大程度上是缘于这种技术可以很好地做到“入网即认证”, 在用户接入的入口, 进行精细的控制。这样做可以将访问授权范围下移至网络的最边缘, 拒绝所有未经授权的流量。

其次, 调整无线网络的认证方式, 区分不同用户群的认证方式。中国疾控中心内部员工采用802. 1X或WEB认证, 访客用户采用二维码授权认证。二维码访客认证有两种模式: 一种是授权二维码认证方式, 一种是非授权二维码认证方式。授权二维码模式, 即给某些本地用户下放开通临时账号的权限, 这些用户即担保人, 赋予担保人相应的开通临时账号的级别, 临时账号可以从生效期、开通数量、上网时长等方面进行限定, 担保人开通二维码后提供给访客使用。此模式非常适合小型会议、工程项目人员、小型培训等场景。而非授权二维码模式是指管理员用公共账号创建一个二维码, 将该二维码提供给访客, 访客只需扫描该二维码即可上网。

无论何种局域网网络, 只有从终端入手才可以解决内部网络安全性问题。网络准入的核心问题就是从网络接入客户端的安全控制开始, 使用认证服务器, 安全策略服务器和网络设备, 以及第三方的软件系统, 综合完成接入客户端的强制认证和安全性检查, 以保证网络安全。拟通过此次调整, 解决无线网络共享密钥等带来的其他安全和管理风险。

2. 3 方案设计与实施无线网络使用两个SSID, 如表1 所示。

其中CDC - STAFF用于内部办公人员有上网账号的使用; CDC - GUEST是用于访客用户连接, 需由内部员工或服务员采用智能终端二维码扫描授权上网。

2. 3. 1WEB / MACBy Pass无感知认证在原有的WEB认证方案中, 用户普遍反映移动终端下使用WEB认证体验差, 用户行为是经常利用零散时间使用手机上网, 但每次都需要重新连接SSID, 打开浏览器, 输入用户名和密码, 操作步骤多, 而且掉线了还不能够自动登录。

Mac By Pass可以很好解决上述问题, 采用终端的MAC地址做radius认证, 只要在SAM服务器内记录该终端的MAC地址, 该终端即可接入网络, 这样WEB认证用户即可在首次WEB认证后就可以无感知接入网络, 不需要再次进行WEB认证的配置。

客户端配置, 此处以Win7 为例: 第一步: 选择无线网络SSID信号CDC - STAFF, 并点击链接; 第二步: 打开IE浏览器, 随意访问任一网址, 如www. baidu. com, AC将强推弹出WEB认证界面, 输入用户名密码, 点击登录; WEB认证成功后, 界面显示如图1。

当用户第一次WEB认证后, 用户下线。第二次系统检测到移动终端进入到CDC - STAFF的Wi Fi信号区时, 将自动连接到该SSID, AC通过MAC地址认证直接发送报文到SMP, SMP由于记录了该用户首次WEB认证的MAC地址, 发送ACCETP报文给AC, AC记录用户认证成功, 不再推送WEB界面给用户。用户无需任何操作, 即可上网, 故称为“客户端Mac By Pass无感知认证”。

2. 3. 2访客二维码认证二维码授权模式方案是指给单位内部员工下放开通临时账号的权限, 这些用户即担保人, 担保人被赋予相应的开通临时账号的级别, 临时账号会从生效期、开通数量、上网时长等方面进行了限定。担保人开通二维码后提供给访客使用, 安全、便捷。

访客二维码认证步骤如下: 第一步: 访客使用无线网络终端 ( 例如平板电脑、智能手机、笔记本电脑等, 本案例以笔记本电脑/Win7 系统进行测试) 连接访客对应的无线SSID: CDC - GUEST, 访客终端关联成功以后, 访客打开浏览器输入任意域名, 终端界面将显示二维码认证界面; 第二步: 内部员工使用已认证手机终端为访客进行二维码扫描, 扫描时可能出现两种情况: 内部员工使用手机上安装的二维码扫描软件, 扫描后手机终端显示一个访问链接, 内部员工需要点击该链接才可以完成对访客的授权, 授权成功后内部员工手机终端上显示“访客用户使用二维码认证成功”; 部分扫描软件扫描后自动连接通过二维码解析出的链接, 此时减少了内部员工点击访问链接的步骤, 内部员工扫描后直接显示“访客使用二维码认证成功”, 如图2 所示。访客终端将显示授权成功, 此时访客已经成功接入网络。

3 讨论

疾病预防控制机构的信息安全问题是一项复杂的系统工程, 涉及制度、设备、管理和技术等多方面的因素〔3〕, 必须做到管理和技术并重。安全技术必须结合安全措施, 而网络环境下的信息安全体系是保证信息安全的关键, 且国家疾控信息系统已纳入到信息安全等级保护项目当中, 因此信息安全对于疾病预防控制机构显得更加重要。

通过此次对无线网络认证机制的调整, 实现了疾控中心网络的边界准入认证, 保证了内网安全, 并解决无线网络共享密钥等带来的其他安全和管理风险。认证系统改造是出于整网安全性兼顾用户使用体验而设计的, 为每位用户授权一个账号访问网络, 通过账号与人对应关系建立实名制, 保证全网的安全; 同时构筑统一的、端到端的无线网络环境, 将有效保证应用、保护投资、降低部署的复杂性、减少管理维护工作量, 从而降低总体拥有成本〔4〕。本研究为复杂网络环境认证管理提供了一种切实可行的解决方案, 更加有效地保障了疾病预防控制机构局域网用户的上网安全。

参考文献

[1]曹炳健.利用多SSID的组网方式实现WIFI网络共建[J].计算机光盘软件与应用, 2012, 20:121-122.

[2]孙刚凝.基于EAD的校园网准入/准出统一认证方案的研究[J].计算机光盘软件与应用, 2012, 17:29-30.

[3]谢振坛.计算机网络信息安全管理与维护[J].计算机开发与应用, 2013, 26 (6) :11-12.