暑假安全协议书

暑假安全协议书（精选8篇）

篇1：暑假安全协议书

甲方：

乙方：

为确保甲方暑假生活的有序进行，从而培养其生活上独立自主、学习上积极要求进步的优良品质，经甲乙双方友好协商，订立本协议。

第一条实施细则：

(一)暑假期间，甲方每周应于星期四前完成本周全部暑假作业;

(二)暑假期间，甲方每天至少要为家庭义务劳动一次;

(三)暑假期间，甲方每周至少要坚持3次以上体育锻炼;

(四)暑假期间，每天看电视和玩电脑时间总计不超过1.5小时，每次不超过30分钟;到时间应主动离开电视，不得生气发脾气。

第二条奖励细则：

(一)奖励细则：

1.每次主动、快乐写作业超过2小时，或者做到第四条，奖励一块雪糕或乙方喜欢的零食(金额不超过2元人民币);

2.每天主动、快乐为家庭义务劳动一次，乙方必须陪同甲方玩游戏一次，至少20分钟。

3.每周于星期四前完成本周全部暑假作业时，可从如下奖励中任选一项(金额不超过30元人民币)：

(1)市内公园或其他户外处游玩一次;

(2)课外书;

(3)麦当劳或肯德基快餐;

(4)零食(非垃圾食品)、玩具或其他乙方喜欢的东西;

(5)邀请朋友来集中做客;

(6)游泳;

(7)一个愿望。

(二)乙方按照上述奖励标准对甲方实施奖励时，若甲方不要实物奖励，乙方应按奖励物品同等价值支付给甲方相应的人民币金额，超过100元人民币时，应由乙方代为存储，待甲方长大后自由支配。

第三条

为确保公正、公平，乙方应以身作则，身体力行，为甲方在各方面做出榜样和表率，快乐生活和工作，若有违反，一次扣1分，每累计10分，为乙方提供奖励一次。

第四条

本协议未尽事宜，由甲乙双方协商解决。

第五条

凡因本协议引起的或与本协议有关的任何争议均应通过双方协商加以解决;协商不成的，暂按本协议执行，待协议到期后另行制定。

第六条

本协议一式两份，甲乙双方各持一份，具有同等效力。

篇2：暑假安全协议书

1、学生要自觉接受学校的安全教育，假期中要遵纪守法，不得干一些有损他人、集体、国家利益的事情。严禁参与社会上的帮、伙，打架斗殴。一言一行，体现文明，一举一动，保持风度。

2、严禁爬墙、攀树或其它高大建筑物等，不私自下水游泳;不擅自与他人结伴游泳;不在无家长或教师带领的情况下游泳;不到无安全设施、无救援人员的水域游泳;不到不熟悉的水域游泳;不熟悉水性的学生不擅自下水施救。

3、注意交通安全，遵守交通规则，不驾驶机动车辆，不乘坐拼装车、报废车、农用车、三轮车、超员车等，不骑英雄车，不在路上追逐打闹，靠右行走，注意避让车辆，按时回家;外出如实告知父母并保证安全，不在夜晚独自外出;严禁返校逗留玩耍。

4、遇高温、雷雨、大风等恶劣天气时不到高大建筑物、高大树木下躲避，也不到水沟、桥下避雨。

5、注意防火。不带火种进入校园和林区，不在野外进行野炊、玩火、燃放烟花炮竹等。不随意野外用火，不在地头、堰边点火。

6、注意劳动安全。在家劳动时，要正确使用劳动工具，严禁拿劳动工具戏耍。

7、讲究个人卫生和饮食卫生。要勤洗刷，防止病从口入;不吸烟，不喝酒;不吃“三无”食品和变质食物，以防中毒。预防“流感”等各种传染病。

8、安全用电，不随意触摸或修理开关、灯具、电线等，不靠近高压线;不玩或持有危险物品，如刀子、木棍、鞭炮、打火机、火柴等。

9、不进网吧或游戏厅，不看不健康书籍和碟片，不，不进不健康场所，不从事迷信活动，反对邪教;不参加其它一切有害健康的活动或游戏。

10、加强防盗防抢意识。警惕盗窃、抢劫等犯罪活动，遇上违法犯罪事件时，应沉着、冷静、灵活、机智，设法脱险，及时报警，增强自我保护意识。

11、掌握正确的应急方法和自救知识，善于处理一切突发事件，做好其它意外伤害事故的应急处理等。

12、在家中听从父母教导，树立高尚情操，保持健康的心态，遇到问题冷静思考，正确对待，不走极端;根据自己的假期学习计划，完成假期作业，做好功课的预习。

家长签字

初级中学

篇3：生成树协议安全

在图1所示的网络中, 可能产生如下的两种情况:

1. 广播环路 (Broadcast Loop) 当PC A发出一个DMAC为广播地址的数据帧时, 该广播会被无休止的转发。

2.MAC地址表震荡 (Bridge Table Flapping)

交换机SW1可以在端口B上学习到PC B的MAC地址, 也可能在端口A上学习到PC B的MAC地址, 如此SW1会不停的修改自己的MAC地址表。这样就引起了MAC地址表的抖动 (Flapping) 。

因此, 在局域网中通过生成树协议 (Spanning Tree Protocol) 来解决网络回环问题。

2. 生成树协议

STP (生成树协议) 是一个二层管理协议。在一个扩展的局域网中参与STP的所有交换机之间通过交换桥协议数据单元BPDU (Bridge Protocol Data Unit) 来实现;为稳定的生成树拓扑结构选择一个根桥;为每个交换网段选择一台指定交换机;将冗余路径上的交换机置为Blocking, 来消除网络中的环路。

IEEE 802.1d是最早关于STP的标准, 它提供了网络的动态冗余切换机制。STP使您能在网络设计中部署备份线路, 并且保证:在主线路正常工作时, 备份线路是关闭的;当主线路出现故障时自动使能备份线路, 切换数据流。

STP (Spanning Tree Protocol) 应用于环路网络, 通过一定的算法实现路径冗余, 同时将环路网络修剪成无环路的树型网络, 从而避免报文在环路网络中的增生和无限循环。

2.1 生成树协议原理:

STP的基本思想就是生成“一棵树”, 树的根是一个称为根桥的交换机, 根据设置不同, 不同的交换机会被选为根桥, 但任意时刻只能有一个根桥。由根桥开始, 逐级形成一棵树, 根桥定时发送配置报文, 非根桥接收配置报文并转发, 如果某台交换机能够从两个以上的端口接收到配置报文, 则说明从该交换机到根有不止一条路径, 便构成了循环回路, 此时交换机根据端口的配置选出一个端口并把其他的端口阻塞, 消除循环。当某个端口长时间不能接收到配置报文的时候, 交换机认为端口的配置超时, 网络拓扑可能已经改变, 此时重新计算网络拓扑, 重新生成一棵树。

2.2 生成树算法 (STA)

生成树算法很复杂, 但是其过程可以描述为以下三个部分。

1) 选择根网桥

选择根网桥的依据是交换机的网桥优先级, 网桥优先级是用来衡量网桥在生成树算法中优先级的十进制数, 取值范围是0~65535.默认值是32768, 网桥ID是由网桥优先级和网桥MAC地址组成的。共有8个字节。

2) 选择根端口.

选择根端口的依据是:

(1) 到跟网桥的最低路径成本。

根路径成本是两个网桥间的路径上所有链路的成本之和, 也就是某个网桥到达根网桥的中间所有链路的路径成本之和, 一条链路的带宽越大, 他的传输成本就越低。

(2) 直连的网桥ID最小

(3) 端口ID最小

3) 选择指定端口

3. 生成树协议攻击

3.1 Yersinia工具

Yersinia工具基本上覆盖了部署在当今网络上的所有常见的LAN协议:STP、VLAN Trunk协议、热备份路由器协议等。Yersinia提供有图形界面, 它提供了如下STP攻击:

1.发送裸配置BPDU

2.发送裸TCN BPDU

3.发送裸配置BPDU的拒绝服务攻击

4. 发送裸TCN BPDU的Dos

5. 声称根网桥角色

6. 声称其他角色

7. 声称双宿主根网桥

Yersinia基本上为对STP攻击者提供了一切所需。Yersinia持续监听STP BPDU并提供即时的解码信息, 包括所有针对802.1D、802.1w以及Cisco BPDU的当前根网桥以及由根网桥传播的计时器信息。

3.2 根网桥攻击

接管根网桥或许是最具破坏力的攻击之一。Yersinia会每隔2秒发送一个BPDU, 与当前根网桥相比优先级相同但是MAC地址略低, 从而确保了它会赢得根网桥选举。

下面所示为对交换机攻击的结果, 运行Yersinia的终端连接在该交换机的F0/5端口上。

可以看到网桥自身的MAC地址 (0000.3e05.0000) 与Yersinia软件生成的MAC地址Yersinia (0000.3e040000) 相比, Yersinia胜出 (04<05) , 从而使得该交换机相信根网桥在其端口0/5上。

4. 生成树攻击防护

Cisco有两个特性可以阻止该类攻击:Root guard (根保护) 和BPDU-guard (BPDU保护) 。

1.Root Guard

该Root Guard特性确保启用了该特性的端口即为指定端口 (designated port) 。根网桥上的所有端口通常都是指定端口, 除非根网桥上的2个或跟多的端口之间被直连。如果该网桥在一个启用了Root Guard的端口上收到了较优的BPDU, root guard特性会将该端口置为root-inconsistent (根不一致) 状态。该root-inconsistent状态效果上等同于一个listening (监听) 状态。该端口不会转发任何流量。Root guard特性以这样一种方法来强制确立根网桥在网络中的位置。Root guard配置如下所示:

2. BPDU-Guard

BPDU-Guard特性允许网络设计者去强行限制STP域的边界并保持网络拓扑结构变化的可预测性。启用了BPDU-Guard特性的交换机端口, 下联设备无法影响到STP拓扑结构。

例如, 在启用了BPDU-Guard特性后, 一旦根网桥收到一个BPDU, BPDU-Guard特性就会将该端口禁用, 并将其转变为errdisable (错误禁用) 状态, 同时生成一条log消息。如果攻击停止或者端口收到一个较优的BPDU只是偶然事件, 端口会迅速切回转发状态。如果端口只是偶然收到一个较优的BPDU, 整个过程耗时仅为短短3个hello时间间隔 (默认为6秒) 。

各种末端工作站, 除非被明确地配置为网桥, 否则是绝对不会生成BPDU的, 更别说较优的BPDU了。与root guar相比, BPDU-Guard要苛刻许多:一旦某端口接收到任何BPDU, BPDU-Guard总是“指示“STP将该端口置为errdisable状态。当某端口被置为errdisable状态后, 有两种从该状态中恢复的途径:1.通过人为介入;2.通过配置一个最小值为30秒的自动恢复计时器。因此BPDU-Guard比root guard更适合被配置在access port (访问/接入端口) 上。BPDU-Guard的配置如下:

5. 总结

指点式攻击工具 (例如Yersinia) 的泛滥, 造成许多人都可以进行STP攻击, 但是在交换机上广泛应用的安全特性, 例如BPDU-guard, 提供了应对生成树攻击的有效措施。

摘要：本文对局域网中生成树协议STP的产生背景和技术原理进行了阐述, 用网络工具对局域网中生成树进行了攻击实验, 并对如何在局域网防范生成树攻击进行了介绍。

关键词：局域网,生成树,安全

参考文献

[1]谢希仁.计算机网络.北京:电子工业出版社, 2008.

[2]Cristopher Paggen, Eric Vyncke.LAN Switch Security.中译本:人民邮电出版社, 2010.

[3]刘晶, 公芳亮.局域网组建、维护与安全监控实战详解.北京:人民邮电出版社, 2010.

篇4：暑假小区安全地图

和孩子一起画一张小区安全地图，认识危险，做保护自己的英雄。

室内

厨房重地。放假期间，总有不甘心孩子全天候玩耍的家长想给孩子布置点任务，比如给劳累了一天的父母做顿可口晚餐等；或者总有天不怕地不怕的好奇小孩趁着父母不在家，肆意“玩弄”电器，尤其是厨电类，让厨房成了危险领域。

杀手1.什么都能加热的微波炉。80后父母自己回忆一下，当年你是不是也干过把金属杯、手机、可乐、钥匙、口香糖放进去，得到惨烈下场的傻事？何况如今的微波炉有了更多功能，对孩子的吸引力更强。

杀手2.被沸水熄灭的灶。看电视、玩电脑上瘾，把烧开水这事忘得干干净净，当灶火被沸腾的水扑灭，天然气泄漏可不是小事。

杀手3.误伤自己的刀具。小点的孩子切水果、削铅笔，大点的孩子切菜切肉，技能不熟练，刀具不能及时归位，一秒钟工具就能变凶器。

破解攻略：对好奇宝宝，可通过亲子游戏的方式告诉孩子：厨房电器不是闹着玩的。大一些的孩子想拿厨电“做实验”？那就带着未来的小科学家学习“流言终结者”网站的实验。至于刀具，最好给他们配置安全刀具，并养成危险物品用完即归位的安全习惯。

有“台”危险。假期频频发生的儿童坠亡案说明，不管孩子是不是独自在家，一旦他能站上椅子、窗台，开窗向外探望，或者有爬上飘窗疯玩、翻上阳台护栏的前科，父母就必须提高警惕。

破解攻略：安装了防护栏不等于万事大吉。在阳台、窗台等高度危险区绝不能堆放杂物或摆放椅子。除了家里的阳台、窗台，楼道里过矮的玻璃窗、护栏同样不能让孩子靠近。

危险在门外。骗术发展千年，最受伤的还是孩子，在门禁形同虚设的小区，骗子在快递员、抄表员、熟人等各种身份的掩护下难辨真假。

破解攻略：告诉孩子，无论谁敲门，只要他独自在家便一概不理，更别回答对方“家里没人”之类的话。如果接到陌生人电话，也不要透露家中没有大人的信息，并及时告知父母。父母还可以邀请邻居家庭，一起和孩子玩“如何应对陌生人”的情景游戏，帮孩子积累经验。

室外

小区里的车 我国每年都有孩子因为在小区公路上打闹，被过往车辆碾压酿成惨剧的事发生。

1.在露天停车场躲猫猫。猫着腰穿梭在停靠路边的汽车间玩耍的孩子，注意不到正停靠或转弯的车，而司机因为盲区，也看不到车旁边的孩子。

2.当两轮撞上四轮。热血的孩子们相互追赶着骑自行车、比赛滑轮、滑板时，也注意不到小区公路上的车辆。

避开宠物 动物咬伤在儿童意外伤害中列第二位。夏天傍晚，是各家带孩子或带宠物散步的高峰期，再温柔的大型犬只，发怒时杀伤力足以令一个成人死亡。

破解攻略：让孩子明白宠物只可远观不可近玩。可以给孩子讲述最近发生的犬类伤人事件，假期没有爸妈做保护神，遇到宠物请回避，对，就像皇上驾到！

车库 人人都有探险欲，被好奇心和好胜心驱使的孩子们，不会放过把车库当作试胆会的机会。

1.糟糕的环境。光线昏暗，灰大，柱子多，对有呼吸道疾病的孩子影响较大。

2.把自己困在死角。新手驾驶员入库不过关，再被路过的熊孩子惊吓，很可能撞出连环车祸；而老手开车同样不会注意到死角，曾经发生过孩子们在车库捉迷藏，躲在死角，结果被倒退的车撞伤的悲剧。

3.危险三区。在车库里探险，有三个地方最容易撞上车：长下坡后急拐弯右前方处，这是司机的视觉盲区；入库刷卡处，入库的车速度较快；出库长坡，视野的上前方是司机盲区。

破解攻略：用家里的玩具车来一次安全模拟训练，如果误入车库，如何躲避倒车、迎面有车来时向哪边闪躲最科学。

施工现场 中国人爱看热闹的天性，也会遗传给孩子。不但孩子们对施工现场有兴趣，甚至老人也会带着小朋友围观作业区，将自己置于危险中。

1.坑道。即使有黄色荧光警戒线围起来，也会有调皮孩子钻进来一看究竟。同样值得注意的还有电梯井维修处，开门维修的电梯井，一旦维修标志被人偷走，极易发生开门后踏空坠井的悲剧。

2.被坠物砸中。高空操作现场和高层建筑都容易发生高空坠物伤人事件，喜欢抬头驻足看工人忙碌的孩子尤其意识不到危险所在。

破解攻略：全家一起学习识别安全标志牌，不逗留，不围观。对调皮爱恶作剧的孩子，一定要讲清标志物被拿走的害处。

活动场地

远离水池

虽然父母一再提醒水池危险，但熊孩子们还是想入水一探究竟。关于水的危险不止溺亡，还有触电。

1.喷水池触电。小区里的水池多配合了灯饰和喷泉。天气晴热，贪玩的小孩喜欢结伴到小区广场的喷水池中戏水，极易触电。

2.池塘溺亡。相比喷水池，水塘的危险来自长年没有清除的淤泥。当孩子在池塘边玩遥控车、飞机，玩具掉到水里时，下水去捡是非常危险的举动。

破解攻略：没有父母在身边时，远离所有水池。

危险健身区

当一群孩子出现在游乐场地，最让人担心的是调皮的孩子被器械所伤。

1.缠脖子的秋千。据调查，秋千是最危险的健身器材杀手。没有大人看管，孩子间互相推秋千时很容易发生秋千链缠绕住脖子导致窒息的情况；有些胆大的孩子还会在荡得很高的秋千上表演危险动作，一旦手滑就跌下秋千严重摔伤。

2.从组合滑梯跌落。大孩子们会爬上滑梯最高处以展示个人的攀爬技术和胆量，小孩子会有在滑梯上玩危险动作的传统。

3.又刺又烫的沙坑。调皮的孩子在沙坑里埋下硬物，铁丝、树枝，成为伤脚的暗器。连续高温的晴热天气还会让沙子变成高温杀手，一旦逞强的孩子把走沙子作为比赛项目，烫伤在所难免。

篇5：暑假安全协议书

1、暑假期间，生活有规律，按时作息，认真完成假期作业。

2、不到河流、水库、塘坝、水坑等附近溜冰或玩耍。

3、加强自我保护意识，外出时关好门窗，不让陌生人入室。

4、不到游戏厅、录像厅、网吧等不健康场所玩耍。

5、走路靠右边，过马路时走人行横道，不攀爬沿街护栏。

6、不燃放鞭炮，不玩火、不带火种

7、注意用电安全，不乱动电源、插座及各种电器，不私自拆装或操作电器设备。

8、遵守交通法规，注意安全，不在道路上追逐打闹、玩耍、游戏。

9、注意饮食卫生，不随便在路边小摊吃不卫生的食物，防食物中毒。

10、听从父母教导，主动承担力所能及的家务劳动，助人为乐，多做好事。

学校签名：

家长签名：

篇6：2010暑假安全协议书

青少年学生是家庭的宠儿,祖国的未来,新世纪的主人。关心他们的身心健康是我们家庭、学校和社会共同的责任。学生在校期间，学校老师不仅对其进行知识的传授，还结合现实情况，对学生进行各方面的思想品德教育和安全教育，使其在德、智、体、美等方面，都得到了全面健康的发展。

教育包括学校教育、家庭教育和社会教育，家庭教育对于培养孩子成长至关重要，特别是假期期间。暑假即将来临，为做好学生暑假期间的各方面工作，保证学生过一个安全、愉快的假期，因此，学校特与学生、家长签订如下协议：

一、首先要了解学生在校期间的学习情况，让其制定好假期学习计划，按时补习功课，及时预习新课，监督完成家庭作业。

二、要培养学生的劳动观，增强他们的劳动意识，使其热爱劳动，珍惜劳动成果，为今后走向社会和树立正确的劳动观、思想观、人生观打下坚实的基础。

三、鼓励学生积极参加各种有益的社会实践活动，让学生了解社会，增长知识，全面提高学生素质。同时告诫学生坚决与一切邪恶势力划清界限。

四、增强安全意识，暑假正值雨季，防止溺水事故发生尤为重要。学校要求学生不准私自下水游泳，不准擅自与同学结伴游泳;不准在无家长或其他成年人带领的情况下游泳。不经家长同意不得私自外出游玩。

五、骑车、乘车出门要遵守交通规则，注意交通安全。

六、操纵电器要遵守规则，远离用电基地，防止触电事故发生。

七、汛期注意防水、防洪，不要靠近危房残壁，野外避雨要讲究科学，防止雷电、雷击。

八、注意饮食卫生，不吃未经洗净的蔬菜、水果，不吃腐烂、变质食物，不接触农药、硫酸等危险物品。

九、不去游戏厅、网吧、练歌房等娱乐场所，不去正在施工的建筑工地。

十、不乱砍、滥伐树木、花草，不乱扔垃圾，养成环境保护意识。严禁玩火，防止一切意外事故的发生。

十一、加强传染性疾病防治工作，严格执行国家有关防止传染性疾病文件精神，发现问题，及时汇报，做到防患于未然。

十二、要树立安全胜于一切的思想，加强对孩子的安全监督，学生在假期中的生活、学习、安全等出现问题，由家长和学生自己负责，如有意外事故发生，责任自负。

总之，希望家长加强学生在假期中的监管，注意对学生进行各方面的教育和培养，增强他们的自主学习能力、自主生活能力和安全防范意识，做到“高高兴兴回家去，平平安安返校来”，通过学校教育和家庭教育的有机结合，把学生培养成为对社会、对家庭的有用人才。

班主任（签字）：__________

学生（签字）：__________

篇7：学生暑假安全协议书

为了让学生过上一个安全、祥和、快乐的暑假，也为了让家长、学校放心，根据我校实际情况特制订以下协议。希望各位同学在暑假期间要严格遵守本协议的各项规定，希望各学生家长要遵照本协议书的规定，要求自己的子女在暑假期间严格遵守本协议的条款，避免安全事故的发生。本协议书一式二份，学生和学生家长共执一份，学校收执一份。

学生在假期期间要做到：

1.严格遵守《小学生守则》、《小学生日常行为规范》和校内外各项规章制度。

2.在家听从父母安排，未经家长同意或陪同不准私自离家外出，更不能夜不归宿。

3.在没有大人的陪同下，不准在江河、山塘水库和湖泊旁边逗留玩耍或者到里面去游泳，以防发生落水溺水事故。

4.在家中要注意用电安全，不得玩弄电器，不得摸弄电器插座、开关，不得私拉电线。

5.严禁开摩托车或者其他机动车辆。不坐无牌、无证、违规驾驶的机动车辆，禁止乘坐手扶拖拉机和农用卡车；遵守交通规则，靠右行走，不追逐，不互相打闹；横过马路，需注意来往车辆，不在车辆临近时突然横穿；不在道路倚坐、扒车、追车或强行拦车和抛物击车；乘坐车时，等车停稳后，先下后上；行驶中，不将身体任何部分伸出车外，不跳车。

6.不在公共场所内追逐、嬉戏、打闹；上下各式楼梯、楼道要有秩序靠右走，不允许前推后拥。不爬越任何阳台、围栏和窗户，1

不攀越防护栏。

7.不进营业性“二室三厅”（电子游戏机室、桌球室、录像厅、营业性歌厅、舞厅）和网吧等不适合青少年学生进入的场所；不观看黄色的书籍和影视作品，不和社会上不正当的人来往。

8.未经家长同意不得参与任何危险性的团体活动。

9.在假期期间不得喝酒、酗酒，不参与赌博和打架斗殴，聚众喧哗；严禁携带和使用三品（易燃品、易爆品、毒品）。

10.不打蜂窝，不逮蛇，不逗狗等动物，不爬树不玩火，不放鞭炮，不携带和玩弄凶器（匕首、仿真枪和其他管制刀具）。

11.提高安全意识，发现危险因素或者险情立即避开或及时报告家长、教师或报警。

班别：班学生签名：

家长签名：学校（盖章）：

篇8：暑假安全协议书

目前无线局域网已相当普及, 不仅具有方便灵活的特点, 而且其传输速度大大提高, 大有赶超有线局域网以太网的趋势, 例如802.11n标准的无线局域网已经达到了320Mbps。无线局域网具有运营成本低、网络布线成本低与管理配置方便的优点, 特别适用于智能监控系统中在移动变化复杂和网络布线不确定的通信环境中。但是它在实际使用中也遇到了很多问题, 其中网络局域网的安全性问题就是制约无线局域网发展的一个严重瓶颈。信息安全中的安全威胁是指人、物、事件或概念对某一资源的保密性、完整性、可用性或合法使用所造成的危险[1,2,3]。由于无线局域网的无线链路是完全暴露在外, 它遭受的网络攻击主要集中在数据链路层与网络层, 不但遭受来自无线网络的攻击也可能遭受来自有线网络的攻击。

1 无线局域网特性

1.1 快捷、方便

无线局域网可以根据实际需要安排资源分配, 不需要各个终端通过电缆进线连接通信。利用无线局域网, 系统可以在无线访问节点AP (Access Point) 信号覆盖的范围内通信, 而不需要通过其他网络交换设备的支持进线通信。

1.2 灵活的网络访问

在有线局域网内, 如有额外的用户需要接入网络, 必须改变网络拓扑, 重新进线网络布线, 这必然大大增加了经济成本。在无线局域网中, 只要有无线信号的覆盖, 用户可以随时随地接入无线局域网, 这样提高了网络访问的灵活性。

1.3 站点和设备集成程度高

无线局域网可以通过无线电波的形式连接以太网设备, 为系统用户提供经济、方便的网络连接。无线站点之间无论是点对点还是单点对多点的连接都可以进行有效设置, 广泛地应用到智能监控系统的通信环境中。无线技术能解决大量系统用户对唯一有线高速网络链路的争用, 可以高效共享无线通讯链路。

2 无线局域网的安全性威胁

无线局域网的安全性威胁主要体现在以下几个方面。

2.1 广播侦听

在无线局域网中, 由于无线链路的开放性使黑客可以使用WEPcrack与AirSnort等无线探测软件进行侦听、记录无线局域网中的数据包。例如, 在一个使用802.11b协议的无线局域网通信环境, 数据传输速率达到理论最大值11Mbps, 无线接入点AP一直处于繁忙状态其数据流量为3 000Byte/s;WLAN中使用WEP协议对传输的数据进行加密处理。通过计算分析, 大约超过10h就能获得WEP协议重复使用初始化向量加密的数据包, 攻击者可以成功破解出WEP的加密密钥。

2.2 拒绝服务攻击

拒绝服务DOS (Denial of Service) 是非法用户大量使用系统资源, 导致系统无法给系统合法用户提供服务的一种攻击手段。在无线局域网中, 黑客一般通过泛洪 (Flooding) 攻击、干扰无线通信频段、破坏通信信号等方式来阻止系统正常用户接入网络, 甚至让无线网络不能正常工作。

2.3 消息注入与主动侦听

目前绝大多数无线网络设备都支持IEEE802.11无线网络协议, 这样黑客攻击者可以使用软件修改信息帧结构的某些字段, 所以黑客可以产生或者修改无线网络中数据帧。重发攻击是消息注入攻击的常用手段, 这种方法不仅可以进行实时攻击也可以进行非实时攻击, 并且不破坏网络传输的数据帧。入侵者可以通过捕获网络中传输的消息, 并且将截获的会话消息帧格式保留下来, 等待它需要对无线网络进行破坏的时候, 就可以将保留的数据帧进行有机组合然后重放到网络中, 也可以不经处理就直接放入网络, 对无线局域网进行攻击。

2.4 中间人攻击

中间人攻击指攻击者通过某些方式连接到无线网络中并完成了接入认证, 复制或是篡改合法用户与无线接入点之间的传输数据而不被发现。它需要攻击者一直接入到无线网络中并且与各终端进行通信, 攻击者通过对截获的数据信息进行分析欺骗终端节点和无线接入点。

2.5 MAC欺骗

无线局域网的一种接入认证方式是通过终端网卡MAC地址进行认证, 无线局域网只会对事先约定好的MAC地址终端认证并接入。虽然网卡的MAC地址是固化在网卡硬件上, 但是可以通过软件的手段伪装MAC地址来进行MAC欺骗攻击。

无线局域网虽然遭受着严重的信息安全威胁, 但是我们可以通过各种手段来实现无线局域网的身份认证、访问控制、数据机密性、数据完整性与不可否认性。在无线网络中实现信息安全的目的可以通过非密码机制手段与密码机制手段。非密码机制手段主要是无线电技术对无线局域网的无线信号进行处理来实现安全的目的, 这样就需要对网络的硬件进行修改。

3 IEEE802.11i安全标准

2004年6月IEEE委员会提出了新无线局域网安全标准802.11i, 在这个无线局域网安全标准中提出了无线局域网的新的安全体系RSN (Robust Security Network) , 即强健安全网络, 旨在提高无线网的安全能力, 该标准主要包括802.1x认证机制、基于TKIP和AES的数据加密机制以及密钥管理技术, 目标是实现身份识别、接入控制、数据的机密性、抗重放攻击、数据完整性校验[2]。

在IEEE802.11i安全标准中主要完成3个功能, 分别是数据加密、身份认证与密钥管理。

在网络数据加密方面, 此标准中定义了TKIP、CCMP和WRAP 3种加密方式, 其中TKIP机制采用WEP安全标准中的RC4流密码作为核心加解密算法;CCMP机制采用AES加解密算法和CCM加解密鉴别方法, 使得无线局域网的安全性大大提升, 这些是强健安全网络 (RSN) 的强制要求;WRAP机制基于OCB模式的AES加解密算法, 这种方式可以同维护时数据的机密性和完整性, 但它在RSN中是可选的。

在身份认证方面, IEEE802.11i安全标准采用802.1x和可扩展认证协议 (EAP) 。其中IEEE802.1x是一种基于端口的网络接入控制技术, 用户只有成功通过身份认证才能接入无线网络。这个协议中包含3个实体, 分别是客户端、认证者和认证服务器。对于无线局域网来说, 客户端发起请求接入无线网络, 客户端必须装有802.1x客户端软件, 这种客户端通常被称为终端 (STA) 。认证者是客户端需要访问的控制端口, 一般是无线局域网中的AP, 在认证的过程中认证者的作用只是传递数据, 所有认证算法的执行过程都是通过客户端终端盒认证服务器之间执行。认证服务器执行具体的认证算法, 通知认证者是否可以让客户端终端访问指定的服务, 并且身份认证需要的信息都存储在这台服务器上, 它就是经常提到的RADIUS服务器。802.1x本身不提供具体的认证机制, 它需要和上层服务一起完成用户的身份认证和密钥交换, 在这里802.1x协议使用EAP协议作为认证信息交换机制, EAP消息封装在EAPOL分组中。这里EAP是身份认证信息的承载体, 对各种认证技术有很好的兼容性。EAP-TLS采用基于证书的传输层安全方式在使用强加密方式的客户端终端和认证服务器之间提供双向认证, 并生成加密无线传输数据的密钥, 具有高度可靠的安全性能。[3]

在密钥管理方面, IEEE802.11i安全标准主要负责各种密钥的生成和密钥生命周期的管理。用户终端每次加入AP都需要实时身份认证和生成新密钥, 每次离开AP就意味着原来密钥生命周期结束。在此安全标准中包含两种密钥:一种是用于单个用户的密钥, 另一种是用于小组组播的密钥。单播密钥首先由身份认证生成的主会话密钥 (MSK) 生成主密钥 (PMK) , 然后再由主密钥生成加密传输数据的临时密钥 (PTK) 。

安全的RSNA建立过程分为6个阶段, 分别如下所述。

第一阶段:无线网络信号发现与安全配置参数确定。AP有两种工作方式, 一种是在某一个特定频率的信道发送信标帧 (Beacon) , 表示AP无线接入点的存在, 同时会在这些信息中包含自己的安全信息参数。另外一种方式是AP会监听某些特定频率的信道, 如果收到无线终端的探询请求帧, 那么它就对这些请求帧做出应答。同时无线终端也可以主动或是被动地发现并连接这些无线接入点。

第二阶段:无线认证接入。无线终端从众多可以访问的AP中选择一个, 然后与此AP进行认证连接, 注意此时的认证是很脆弱的, 只是进行简单的口令认证。这时它们也交换安全信息参数, 以确定下一步如何进行IEEE802.1x的认证。

第三阶段:IEEE802.1x与EAP认证。产生一个组播密钥 (GTK) , 并将这个密钥发送到该组。此阶段是无线终端与RADIUS认证服务器之间执行EAP-TLS双向认证协议, 认证者AP只是进行数据中转的功能。执行完双向认证协议之后, RADIUS认证服务器一方面认证了无线终端的身份为合法用户同时也生成了共享密钥也就是主会话密钥 (MSK) 。之后RADIUS认证服务器与无线终端都是用相同的算法从主会话密钥 (MSK) 推导出主密钥 (PMK) , 客户端与认证服务器就都拥有了相同的主密钥 (PMK) 。

第四阶段:四次握手生成单播密钥。此阶段无线终端与认证者AP进行四次握手, 通过这四次握手认证者AP确认无线终端拥有主密钥 (PMK) , 同时确定安全机制, 生成临时密钥 (PTK) 用于以后数据传输中的数据加密。这时IEEE802.1x的端口打开, 进行数据传输。

第五阶段:组播密钥生成。当存在组播时才会有这个阶段。

第六阶段:数据传输。这是无线终端与认证者AP通过协商的加密组件与产生的临时密钥 (PTK) 对传输的数据进行加密传输。这时就可以传输数据了。

4 结语

无线局域网具备快捷、方便、灵活的优点, 其网络访问、站点和设备的集成程度高但存在着潜在的安全问题, 比如广播侦听、拒绝服务攻击、消息注入与主动侦听、MAC欺骗等。针对这些问题, 本文论述了IEEE802.11i协议的安全标准, 从网络数据加密、身份认证和密钥管理三个方面, 阐述了IEEE802.11i协议的安全措施。

参考文献

[1]王军号.基于IEEE802.11标准的无线局域网安全策略研究[J].贵州大学学报, 2009, 26 (6) :88-90.

[2]邵丹.无线局域网安全标准的比较与分析[J].长春理工大学学报, 2009, 19 (12) :61-64.