前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的无线网络安全论文主题范文,仅供参考,欢迎阅读并收藏。
从上个世纪90年代以来,移动通信和Internet是信息产业发展最快的两个领域,它们直接影响了亿万人的生活,移动通信使人们可以任何时间、任何地点和任何人进行通信,Internet使人们可以获得丰富多彩的信息。那么如何把移动通信和Internet结合起来,达到可以任何人、任何地方都能联网呢?无线网络解决了这个问题。无线网络和个人通信网(PCN)代表了21世纪通信网络技术的发展方向。PCN主要用于支持速率小于56bit/s的语音/数据通信,而无线网络主要用于传输速率大于1Mbit/s的局域网和室内数据通信,同时为未来多媒体应用(语音、数据和图像)提供了一种潜在的手段。计算机无线联网方式是有线联网方式的一种补充,它是在有线网的基础上发展起来的,使联网的计算机可以自由移动,能快速、方便的解决以有线方式不易实现的信道联接问题。然而,由于无线网络采用空间传播的电磁波作为信息的载体,因此与有线网络不同,辅以专业设备,任何人都有条件窃听或干扰信息,因此在无线网络中,网络安全是至关重要的。
目前常用的计算机无线通信手段有无线电波(短波或超短波、微波)和光波(红外线、激光)。这些无线通讯媒介各有特点和适用性。
红外线和激光:易受天气影响,也不具有穿透力,难以实际应用。
短波或超短波:类似电台或是电视台广播,采用调幅、调频或调相的载波,通信距离可到数十公里,早已用于计算机通信,但速率慢,保密性差,没有通信的单一性。而且是窄宽通信,既干扰别人也易受其他电台或电气设备的干扰,可靠性差。并且频道拥挤、频段需专门申请。这使之不具备无线联网的基本要求。
微波:以微波收、发机作为计算机网的通信信道,因其频率很高,故可以实现高的数据传输速率。受天气影响很小。虽然在这样高的频率下工作,要求通信的两点彼此可视,但其一定的穿透能力和可以控制的波角对通信是极有帮助的。
综合比较前述各种无线通信媒介,可看到有发展潜力的是采用微波通信。它具有传输数据率高(可达11Mbit/s),发射功率小(只有100~250mw)保密性好,抗干扰能力很强,不会与其他无线电设备或用户互相发生干扰的特点。
扩展频谱技术在50年前第一次被军方公开介绍,它用来进行保密传输。从一开始它就设计成抗噪声,干扰、阻塞和未授权检测。扩展频储发送器用一个非常弱的功率信号在一个很宽的频率范围内发射出去,与窄带射频相反,它将所有的能量集中到一个单一的频点。扩展频谱的实现方式有多种,最常用的两种是直接序列和跳频序列。
无线网技术的安全性有以下4级定义:第一级,扩频、跳频无线传输技术本身使盗听者难以捉到有用的数据。第二级,采取网络隔离及网络认证措施。第三级,设置严密的用户口令及认证措施,防止非法用户入侵。第四级,设置附加的第三方数据加密方案,即使信号被盗听也难以理解其中的内容。
无线网的站点上应使用口令控制,如NovellNetWare和MicrosoftNT等网络操作系统和服务器提供了包括口令管理在内的内建多级安全服务。口令应处于严格的控制之下并经常变更。假如用户的数据要求更高的安全性,要采用最高级别的网络整体加密技术,数据包中的数据发送到局域网之前要用软件加密或硬件的方法加密,只有那些拥有正确密钥的站点才可以恢复,读取这些数据。无线局域网还有些其他好的安全性。首先无线接入点会过滤掉那些对相关无线站点而言毫无用处的网络数据,这就意味着大部分有线网络数据根本不会以电波的形式发射出去;其次,无线网的节点和接入点有个与环境有关的转发范围限制,这个范围一般是很小。这使得窃听者必须处于节点或接入点附近。最后,无线用户具有流动性,可能在一次上网时间内由一个接入点移动至另一个接入点,与之对应,进行网络通信所使用的跳频序列也会发生变化,这使得窃听几乎无可能。无论是否有无线网段,大多数的局域网都必须要有一定级别的安全措施。在内部好奇心、外部入侵和电线窃听面前,甚至有线网都显得很脆弱。没有人愿意冒险将局域网上的数据暴露于不速之客和恶意入侵之前。而且,如果用户的数据相当机密,比如是银行网和军用网上的数据,那么,为了确保机密,必须采取特殊措施。
常见的无线网络安全加密措施可以采用为以下几种。
一、服务区标示符(SSID)
无线工作站必需出示正确的SSD才能访问AP,因此可以认为SSID是一个简单的口令,从而提供一定的安全。如果配置AP向外广播其SSID,那么安全程序将下降;由于一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。目前有的厂家支持“任何”SSID方式,只要无线工作站在任何AP范围内,客户端都会自动连接到AP,这将跳过SSID安全功能。
二、物理地址(MAC)过滤
每个无线工作站网卡都由唯一的物理地址标示,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必须随时更新,目前都是手工操作;如果用户增加,则扩展能力很差,因此只适合于小型网络规模。
三、连线对等保密(WEP)
在链路层采用RC4对称加密技术,钥匙长40位,从而防止非授权用户的监听以及非法用户的访问。用户的加密钥匙必需与AP的钥匙相同,并且一个服务区内的所有用户都共享一把钥匙。WEP虽然通过加密提供网络的安全性,但也存在许多缺陷:一个用户丢失钥匙将使整个网络不安全;40位钥匙在今天很容易破解;钥匙是静态的,并且要手工维护,扩展能力差。为了提供更高的安全性,802.11提供了WEP2该技术与WEP类似。WEP2采用128位加密钥匙,从而提供更高的安全。
四、虚拟专用网络(VPN)
虚拟专用网络是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,目前许多企业以及运营商已经采用VPN技术。VPN可以替代连线对等保密解决方案以及物理地址过滤解决方案。采用VPN技术的另外一个好处是可以提供基于Radius的用户认证以及计费。VPN技术不属于802.11标准定义,因此它是一种增强性网络解决方案。
IEEE组织颁布的802.16标准,其频段主要针对2—66GHz,无线覆盖范围可达50公里以上,因此IEEE802.16系统主要应用于长距离无线网络(LRWN),快速地提供一种在长距离无线网络点对多点的环境下有效进行互操作的宽带无线接入手段,比固定的DSL更灵活。与所有的无线网络一样,消费者与企业所关注的层面必然首先就是无线网络安全性问题。IEEE802.16对于安全性进行了充分的考虑,其中位于媒体访问控制(MAC,MediaAccessControl)层的安全子层用来实现空中接口的安全功能。但是,由于IEEE802.16的安全体系设计时主要参考的是有线电缆数据服务接口规范(DOCSIS,DataOverCableServiceInterfaceSpecifications)和无线局域网IEEE802.11i的安全机制,给IEEE802.16带来了一些安全隐患。
2长距离无线网络安全问题
目前IEEE802.16的安全协议设计了两个版本:一个是为固定无线场景设计的PKMv1[2];另一个是为移动场景设计的PKMv2。而后者又是在PKMv1版本的基础上经过改进后规定的安全机制。PKMv1的安全机制优点是:携带的消息报文较少、效率较高、安全算法比较易于工程实现。PKMv1的安全机制主要缺陷[3]如下:(1)只提供了单向认证,没有实现真正的双向认证:协议提供了基站(BS,BaseStation)对用户站(SS,SubscriberStation)的单向认证,并没有提供SS对BS的认证,导致的后果是SS无法确认其连接的BS是否为预定的BS,从而仿冒合法的BS欺瞒SS就变得相对容易。(2)密钥质量相对较低:授权密钥(AK,AuthorizationKey)和会话密钥(TEK,TrafficEncryptionKey)都是由BS一侧产生,在单向认证的场景下,SS难以信任TEK的质量。PKMv2对在PKMv1存在的不足进行了部分完善,但仍存在以下安全方面的问题:(1)引入了EAP认证:EAP认证要求由可信任的第三方提供支持;另外,授权密钥由可信任的第三方和SS共同产生后传递给BS,这就需要可信任的第三方和BS之间预先建立一个安全通道;EAP认证其实只实现了SS和可信任第三方之间的直接双向认证,而不是SS和BS之间的直接双向认证,这样导致的后果就是假冒BS可以发动攻击。(2)RSA认证密钥质量不高:预授权密钥(PAK)是由BS一方产生的,且在PKMv2中也没有对密钥进行明确规定,没有说明密钥须由较高质量的伪随机数发生器产生,假如密钥的生成不随机,将面临非常严重的安全问题。
3长距离无线网络安全接入技术
3.1基于TePA(三元对等鉴别)的访问控制方法
国内目前解决网络安全接入问题主要采用拥有自主知识产权的虎符TePA(三元对等鉴别)技术[4]。TePA机制提供了一种安全接入方法,用来阻止接入请求者对鉴别访问控制器系统的资源进行未授权的访问,也阻止请求者误访问未授权的鉴别访问控制器系统。例如,基于三元结构和对等鉴别的访问控制可以用来限制用户只能访问公共端口,或者在一个组织内,限制组织内资源只能被组织内用户访问。它还提供了一种方法,接入请求者可以用来阻止来自未授权鉴别访问控制器系统的连接。访问控制是通过对连接在受控端口上的系统进行鉴别来实现的,根据鉴别的结果,接入请求者系统或鉴别访问控制器系统决定是否给予对方授权,允许对方通过受控端口访问自己的资源。如果对方没有获得授权,根据受控端口的状态控制参数限制在请求者系统和鉴别访问控制器系统间未授权的数据流动。基于三元对等鉴别的访问控制可以被一个系统用来鉴别其他任何连接在它受控端口上的系统,系统可以是路由器、终端设备、交换机、无线接入节点、无线基站、网关、应用程序等。
3.2长距离无线网络安全接入协议
借鉴TePA机制的解决思路,本文设计了适用于长距离无线网络安全接入协议(以下简称LRWM-SA),由以下2部分协议组成:(1)接入认证,提供了从BS到SS上密钥数据的安全分发,BS还利用该协议加强了对网络业务的有条件访问。(2)将网络传输的包数据进行安全加密的封装方法和协议,定义[5]:密码组件,即认证算法和数据加密方法;密码组件应用于报文数据载荷的规则。LRWM-SA协议出现的实体包括SS、BS和AS,其中AS(AuthenticaionServer)为认证服务器。从设备的表现形式看,AS可以是一台服务器,也可以是一台专用的网络设备,甚至可以是一个逻辑的单元驻留于BS的内部,用于实现安全子层的认证、证书管理和密钥管理等功能。接入认证过程完成SS和BS之间的双向身份鉴别,身份鉴别成功后,在BS和SS之间协商授权密钥(AK);同时,BS为SS授权一系列SA。随后紧接着进行会话密钥(TEK)协商过程。在进行接入过程前,AS需要为BS和SS分别颁发AS使用自己证书私钥签名的证书,BS和SS端均需安装AS证书,具体可以参考相关PKI(公钥基础设施)的文献和技术规范。具体步骤如下:(1)BS向SS发送接入鉴别激活消息,消息内容包含:安全接入标志、BS支持的密码算法组件、BS信任的AS身份和BS证书。(2)SS收到接入鉴别激活消息,检查是否兼容BS支持的密码算法组件,如相容则验证BS证书签名的有效性,根据接入鉴别激活消息中的BS信任的AS身份选择证书,构造接入鉴别请求消息并发送至BS,消息内容包含:安全接入标志、BS和SS均支持的密码算法组件、SS挑战、SS第一证书、SS第二证书、SS信任的AS列表、BS身份和SS的消息签名。(3)BS收到接入鉴别请求消息,利用SS签名证书的公钥验证SS的消息签名,检查BS身份字段是否与本地的身份一致,若一致则构造证书鉴别请求消息,消息内容包含:安全接入标志、BS的MAC地址、SS的MAC地址、BS挑战、SS挑战、SS第一证书、SS第二证书、BS证书、SS信任的AS列表和BS的消息签名。(4)AS收到证书鉴别请求消息,利用BS证书的公钥验证BS的消息签名,则验证BS证书、SS第一证书和SS第二证书,然后构造证书鉴别响应消息发送至BS,消息内容包含:安全接入标志、BS的MAC地址、SS的MAC地址、BS挑战、SS挑战、BS证书验证结果、SS第一证书验证结果、SS第二证书验证结果、BS身份、SS身份和AS的消息签名。(5)BS收到证书鉴别响应消息,根据BS的MAC地址、SS的MAC地址查找对应的证书鉴别请求消息,确定证书鉴别响应消息中的BS挑战字段的值与本地证书鉴别请求消息中对应的BS挑战字段是否相同,如果相同则使用AS证书公钥来验证证书鉴别响应消息签名;验证后,根据证书鉴别响应消息判断SS的合法性,若SS合法则生成授权密钥材料,利用授权密钥材料、BS挑战和SS挑战推导出新的授权密钥,使用SS第二证书的公钥加密授权密钥材料,然后构造接入鉴别响应消息发送至SS,消息内容包含:安全接入标志、BS的MAC地址、SS的MAC地址、BS挑战、SS挑战、BS证书验证结果、SS第一证书验证结果、SS第二证书验证结果、BS身份、SS身份、AS对消息进行的签名、更新后的授权密钥安全关联、加密后的授权密钥材料和BS对消息进行的签名。(6)SS收到接入鉴别响应消息后,比较SS挑战与本地先前在接入鉴别请求消息中包含的SS挑战是否相同,利用BS证书公钥验证BS的消息签名,利用AS证书公钥验证接入鉴别响应消息签名;验证后,根据接入鉴别响应消息判断BS的合法性,使用SS第二证书的私钥解密授权密钥材料,利用授权密钥材料、BS挑战和SS挑战推导出新的授权密钥,启用新的鉴别密钥,将接收到的更新的授权密钥安全关联和此授权密钥相关联,并使用鉴别密钥推导出密钥加密密钥和消息鉴别密钥,然后构造接入鉴别确认消息发送至BS,消息内容包含:安全接入标志、BS挑战、BS身份、更新的授权密钥安全关联和消息鉴别码。(7)BS收到接入鉴别确认消息,比较BS挑战与本地在证书鉴别请求消息中发送的BS挑战是否相同,检查BS身份,比较更新的授权密钥安全关联与接入鉴别响应消息中授权密钥安全关联的标识、密钥索引、安全组件是否一致,密钥有效期是否较短,使用本地推导出的授权密钥进一步推导出密钥加密密钥和消息鉴别密钥,根据消息鉴别码校验数据完整性后,使更新的授权密钥材料生效,否则解除BS与SS的连接。在会话密钥协商过程完成后,可以进行会话业务的保密通信。这里需要注意的是,所有密码(包括AK和TEK)都需要进行周期性的更新,以保证不被穷尽法破解。LRWM-SA协议与PKMv1和PKMv2协议相比,具有以下优点:(1)对长距离无线网络中的认证和会话密钥协商过程做了替换性的更改,其他内容保留了原长距离无线网络的协议定义。因此,更改后的安全协议也可以符合原长距离无线网络对于无线接入的功能和性能要求。(2)在接入认证过程中,采用SS和BS的直接双向认证替代原有的单向认证,使得BS和SS都能确认与预先确定的对方进行通信,入侵者无法冒充合法BS来骗取SS的信任,从而降低了中间人攻击所带来的安全威胁。(3)密钥协商过程中,授权密钥由BS和SS共同产生,避免了由BS单方面产生和分配,提高了密钥的质量,进一步增强长距离无线网络的安全性。
3.3安全性分析
安全协议的形式化分析方法分为两类:一类是基于数学分析的方法,建立数学模型,然后逐步通过定理证明来推论协议的有效性,通常用于学术界;另一类是基于符号变换的方法,把协议执行看作符号重写,分析协议的可达状态,匹配协议的安全目标,一般有自动化工具支持,适用于工业界。本文采用AVISPA工具中的OFMC方法对LRWM-SA协议的安全性进行分析。OFMC使用状态、规则和攻击规则来描述协议,AVISPA通过HLPSL来明确地描述协议和协议希望达到的安全目标,然后使用OFMC等分析工具给出分析结果。通过对众多已存在的协议和IETF正在标准化的一些协议进行安全分析,AVISPA找出了以前没有发现的缺陷,显示了其优越性。通过协议安全性分析,验证了LRWM-SA协议可满足认证性和秘密性的设计目标。
4结束语
一、计算机无线网络的特点
计算机网络具有非常大的优势,以至于现在人们应用的越来越普遍。首先就是它的安装成本比较低,不会像有线网络那样需要进行大面积的铺设,能够很大程度的降低安装的经济成本,具有很强的便捷性与实惠性。其次计算机无线网络的移动性较强,无线网络的连接主要是依靠一些无线路由设备,将网络转化成信号的形式散发到空中,然后再由相应的设备进行接收,人们只要通过密码等方式的连接就能够应用此网络。除此之外,还能够连接没有线路及电缆的设备,也可以多个设备连接同一个网络。
二、现今状况下无线网络面临的主要问题
(1)非法用户的接入 现在的人们大多数都应用上了计算机无线网络,大部分家庭在配备了无线设备之后只是简单的进行了设置就开始投入使用,完全没有意识到其中潜在的安全隐患,这样就很可能会引起非法用户接入的问题,从而使计算机网络安全受到影响[1]。没有将计算机无线网络设置好很容易引起以下三个问题,第一就是网络宽带抢占的问题,网络宽带抢占就会造成网速减慢,原有的带宽减小。第二就是容易使软件侵入到计算机中,形成网络中毒。第三就是路由器的配置遭到更改,导致没有办法正常使用。
(2)无线窃听问题 无线网络技术的数据传输主要是通过无线网通道进行的,这种方法也极大的提高了无线网络的便捷性,但是这种技术在应用中也存在着很大的安全隐患,会为网络的安全带来很大的威胁。因为计算机无线网络的信息都是通过无线信道来交换,全世界仅有这一条无线信道,这个信道是公开的,也就意味着一旦拥有相关设备就可以对信息进行窃听。所以国家的一些重要部门都会对计算机无线网络加以防护,若是没有进行全面的防护就极有可能会导致一些部门的信息遭到泄露,造成巨大的损失。
(3)假冒攻击 所谓假冒攻击其实就是指某一个实体伪装成另一个实体进行无线网络的访问。这种方法是最常用的突破某个安全防线的方法,在无线网络的传输中,移动站与网络控制中心之间存在着很多的不固定的物理连接,移动站要通过无线网络传输身份信息,这时攻击者就能够从中截取合法用户的身份信息,一旦截取成功,就会利用该用户的身份入侵网络。当然,在不同的网络中身份假冒攻击的目标也是有所不同的,在移动通信无线网络中,因为它的工作频带是收费的,因此攻击者的主要目的就是为了逃避付费[2]。而在无线区域中,工作频带是免费的,但是资源与信息是收费且不公开的,因此攻击者的目的主要是非法访问网络资源。
(4)信息的篡改 信息篡改是比较常见的计算机无线网络安全隐患,这种隐患对计算机无线网络的应用深度有着很大的阻碍。其产生的原因主要是很多人都应用计算机进行信息传输,一旦出现信息篡改的安全隐患就会造成人员的信息泄露或资金损失。信息篡改的内容主要是攻击者将自己得到的信息进行一定的修改与修剪,然后将改后的信息发送给接收人员,这时接收人员就会收到黑洞攻击。除此之外,攻击者也会将篡改的信息进行恶意修改,使得用户之间的通信被破坏掉,影响了通信人员之间的正常通信连接。
三、加强计算机网络安全技术的措施
(一)防范机制
首先就是加密机制的完善。确保计算机的无线网络信息安全就要对其进行严格的加密,计算机网络的加密技术是一种常见的安全技术,其具有较强的可操作性[3]。在加密机制中,非对称密码是一种常见的加密机制,在各个领域的计算机无线网络中都具有很强的安全保障。在非对称密码保护的计算机系统下用户都会拥有两个秘钥,一个是公开的,一个是私密的,用户可以根据信息的保密性进行秘钥的选择,让信息在秘钥的保护下安全的输送。公开的秘钥采用的算法是较复杂的,私密的秘钥则是用户个人进行解密的秘钥设置,然而不论是公钥还是私钥能够使计算机无线网络避免无线设备的物理访问。 其次就是不可否认机制,不可否认机制实际上就是利用数字签名进行保护的一种方式,这种数字签名应用的基础就是公钥密码技术,应用这种设置后,用户只能通过个人设置的唯一秘钥进行签名,然后将消息与签名一同传递给验证方,让验证方根据公开秘钥来判定签名的真伪。这种保护方式相较于其它的保护方式来说,可靠性较高。因为签名具有唯一性,并且被伪造的概率较低,因此能够有效保护计算机无线网络的安全。
(二)加强身份验证
身份验证就是指双方相互确认彼此是否已经知道了某一个特定的秘密,例如二者之间共享的秘钥。因此,在计算机网络技术安全中若是想要减少身份假冒的安全隐患就要利用身份认证对双方进行检验,保证双方具有合法的身份。在实际操作中,只要双方输入简单的密码钥匙后就能够对无线网络的使用者进行身份验证。与无线加密机制相比较,身份认证机制更能够增加一层保障,让计算机无线网络的有效性与机密性得到进一步的提升。在如今的计算机无线网络应用中身份认证已经得到了广泛的使用,身份假冒带来的问题也在逐渐变少。
(三)默认设置的更改、安全意识的加强
在计算机无线网络的实际应用中,大部分的人在设置时都会选择默认设置,这种做法虽然在一定程度上为网络使用者提供了便利,但是同时埋下了一些安全隐患,尤其是长期使用无线网络但还是默认设置的用户。因此计算机无线网络的使用者应该定期更新计算机无线网络的默认设置,也就是说要对安全口令与AP设置进行修改,为计算机无线网络安全给予一个保障。同时,计算机无线网络发生故障时很容易导致重要的信息丢失或者泄露,不论是计算机使用者的错误操作或者微弱的安全意识都有可能是导致故障发生的原因。所以用户在使用计算机无线网络时一定要加强自身的安全意识,保证自己的操作符合正确的要求,让计算机无线网络能够安全、有效的运行。
(四)无线路由的隐藏
很多用户在使用计算机无线网络时都会将SSID打开,使得它与客户机之间的连接效率变得更高,这种方式虽然体现出了极大的便捷性但是同时也存在了一定的安全隐患,很容易将非法设备接到无线网络里。所以,计算机无线网络用户应该将网络设置成为隐身状态,然后关闭SSID广播,如果需要对客户端进行连接,只要手动输入SSID名称即可,这样能够极大程度的避免非法入侵的现象发生,能够有效确保计算机无线网络的安全。除此之外,还可以采用加密手段进行防护,例如采用加密系数高的WPA方式对无线网络进行保密。
四、计算机无线网络安全技术的发展
首先就是智能化方向的发展。现阶段智能化发展已经成为了一种趋势,因此计算机无线网络安全技术也要向着智能化进一步发展。这就需要技术人员对计算机无线网络在实际运行中出现的问题进行总结,然后再整改优化。根据现阶段的发展情况制定出合理的发展计划,让计算机无线网络安全技术能够稳步向着智能化方向发展。 其次就是网络安全产业链向生态环境的转变。如今生态环境的变化速度已经超出了预期的环境变化速度,所以网络安全技术已经不能用价值链条进行描述,它要向生态环境的方向发展。基于此研究人员应该总结现状,制定方案,让计算机网络安全技术向着更加高效的方向发展。
论文摘要:随着高校信息化建设水平的不断提高,无线网络逐渐成为校园网解决方案的一个重要组成部分。该文对校园无线网接入进行研究,并对校园无线网络的安全进行了分析,最后给出了一种适合校园网无线网络的安全解决方案。
1 引言
在过去的很多年,计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。但有线网络在实施过程中工程量大,破坏性强,网中的各节点移动性不强。为了解决这些问题,无线网络作为有线网络的补充和扩展,逐渐得到的普及和发展。
在校园内,教师与学生的流动性很强,很容易在一些地方人员聚集,形成“公共场所”。而且随着笔记本电脑的普及和Intemet接入需求的增长,无论是教师还是学生都迫切要求在这些场所上网并进行网上教学互动活动。移动性与频繁交替性,使有线网络无法灵活满足他们对网络的需求,造成网络互联和Intemet接入瓶颈。
将无线网络的技术引入校园网,在某些场所,如网络教室,会议室,报告厅、图书馆等区域,可以率先覆盖无线网络,让用户能真正做到无线漫游,给工作和生活带来巨大的便利。随后,慢慢把无线的覆盖范围扩大,最后做到全校无线的覆盖。
2 校园网无线网络安全现状
在无线网络技术成熟的今天,无线网络解决方案能够很好满足校园网的种种特殊的要求,并且拥有传统网络所不能比拟的易扩容性和自由移动性,它已经逐渐成为一种潮流,成为众多校园网解决方案的重要选择之一。随着校园网无线网络的建成,在学校的教室、办公室、会议室、甚至是校园草坪上,都有不少的教师和学生手持笔记本电脑通过无线上网,这都源于无线局域网拓展了现有的有线网络的覆盖范围,使随时随地的网络接入成为可能。但在使用无线网络的同时,无线接入的安全性也面临的严峻的考验。目前无线网络提供的比较常用的安全机制有如下三种:① 基于MAC地址的认证。基于 MAC地址的认证就是MAC地址过滤,每一个无线接入点可以使用 MAC地址列表来限制网络中的用户访问。实施 MAC地址访问控制后,如果MAC列表中包含某个用户的MAC地址,则这个用户可以访问网络,否则如果列表中不包含某个用户的MAC地址,则该用户不能访问网络。② 共享密钥认证。共享密钥认证方法要求在无线设备和接入点上都使用有线对等保密算法。如果用户有正确的共享密钥,那么就授予该用户对无线网络的访问权。③ 802.1x认证。802.1x协议称为基于端口的访问控制协议,它是个二层协议,需要通过 802.1x客户端软件发起请求,通过认证后打开逻辑端口,然后发起 DHCP请求获得IP以及获得对网络的访问。
可以说 ,校园网的不少无线接入点都没有很好地考虑无线接入的安全问题,就连最基本的安全,如基于MAC地址的认证或共享密钥认证也没有设置,更不用说像 802.1 x这样相对来说比较难设置的认证方法了。如果我们提着笔记本电脑在某个校园内走动,会搜索到很多无线接入点,这些接入点几乎没有任何的安全防范措施,可以非常方便地接入。试想,如果让不明身份的人进入无线网络,进而进入校园网,就会对我们的校园网络构成威胁。
3 校园网无线网络安全解决方案
校园网内无线网络建成后,怎样才能有效地保障无线网络的安全?前面提到的基于 MAC地址的认证存在两个问题,一是数据管理的问题,要维护 MAC数据库,二是 MAC可嗅探,也可修改;如果采用共享密钥认证,攻击者可以轻易地搞到共享认证密钥;802.1x定义了三种身份:申请者(用户无线终端)、认证者(AP)和认证服务器。整个认证的过程发生在申请者与认证服务器之间,认证者只起到了桥接的作用。申请者向认证服务器表明自己的身份,然后认证服务器对申请者进行认证,认证通过后将通信所需要的密钥加密再发给申请者。申请者用这个密钥就可以与AP进行通信。
虽然 802.1x仍旧存在一定的缺陷,但较共享密钥认证方式已经有了很大的改善,IEEE 802.11i和 WAPI都参考了802.1x的机制。802.1x选用EAP来提供请求方和认证服务器两者之间的认证服务。最常用的EAP认证方法有EAP-MD5、EAP-TLS和PEAP等。Microsoft为多种使用802.1x的身份验证协议提供了本地支持。在大多数情况下,选择无线客户端身份验证的依据是基于密码凭据验证,或基于证书验证。建议在执行基于证书的客户端身份验证时使用EAP-TLS;在执行基于密码的客户端身份验证时使用EAP-Microsoft质询握手身份验证协议版本2(MSCHAPv2),该协议在PEAP(Protected Extensible Authentication Protoco1)协议中,也称作PEAP-EAP-MSCHAPv2。
转贴于
考虑到校园群体的特殊性,为了保障校园无线网络的安全,可对不同的群体采取不同的认证方法。在校园网内,主要分成两类不同的用户,一类是校内用户,一类是来访用户。校内用户主要是学校的师生。由于工作和学习的需要,他们要求能够随时接入无线网络,访问校园网内资源以及访问Internet。这些用户的数据,如工资、科研成果 、研究资料和论文等的安全性要求比较高。对于此类用户,可使用 802.1x认证方式对用户进行认证。来访用户主要是来校参观、培训或进行学术交流的一些用户。这类用户对网络安全的需求不是特别高,对他们来说最重要的就是能够非常方便而且快速地接入Intemet,以浏览相关网站和收发邮件等。针对这类用户,可采用DHCP+强制Portal认证的方式接入校园无线网络。
如图所示,开机后,来访用户先通过DHCP服务器获得IP地址。当来访用户打开浏览器访问Intemet网站时,强制Porta控制单元首先将用户访问的Intemet定向到Portal服务器中定制的网站,用户只能访问该网站中提供的服务,无法访问校园网内部的其他受限资源,比如学校公共数据库、图书馆期刊全文数据库等。如果要访问校园网以外的资源,必须通过强制Portal认证.认证通过就可以访问Intemet。对于校内用户,先由无线用户终端发起认证请求,没通过认证之前,不能访问任何地方,并且不能获得IP地址。可通过数字证书(需要设立证书服务器)实现双向认证,既可以防止非法用户使用网络,也可以防止用户连入非法AP。双向认证通过后,无线用户终端从DHCP服务器获得IP地址。无线用户终端获得IP地址后,就可以利用双方约定的密钥,运用所协商的加密算法进行通信,并且可以重新生成新的密钥,这样就很好地保证了数据的安全传输。
使用强制 Portal+802.1x这两种认证方式相结合的方法能有效地解决校园网无线网络的安全,具有一定的现实意义。来访用户所关心的是方便和快捷,对安全性的要求不高。强制 Portal认证方式在用户端不需要安装额外的客户端软件,用户直接使用Web浏览器认证后即可上网。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。虽然用户名和密码可以通过 SSL加密,但传输的数据没有任何加密,任何人都可以监听。当然,必须通过相应的权限来限制和隔离此类用户,确保来访用户无法访问校园网内部资料,从而保证校园网络的高安全性。校内用户所关心的主要是其信息的安全,安全性要求比较高。802.1x认证方式安装设置比较麻烦,设置步骤也比较多,且要有专门的802.1x客户端,但拥有极好的安全性,因此针对校内用户可使用802.1x认证方式,以保障传输数据的安全。
4 结束语
校园网各区域分别覆盖无线局域网络以后,用户只需简单的设置就可以连接到校园网,从而实现上网功能。特别是随着迅驰技术的发展,将进一步促进校园网内无线网络的建设。 现在,不少高校都已经实现了整个校园的无线覆盖。但在建设无线网络的同时,由于对无线网络的安全不够重视,对校园网无线网络的安全考虑不够。在这点上,学校信息化办公室和网管中心应该牵头,做好无线网络的安全管理工作,并完成全校无线网络的统一身份验证,做到无线网络与现有有线网络的无缝对接,确保无线网络的高安全性。
参考文献
1.无线网络技术
无线网络,目前采用的技术主要是802.11a/b/g/n系列。WLAN利用无线技术在空中传输数据、话音和视频信号,作为传统布线网络的一种替代方案或延伸。
无线医疗中发展与应用
无线医疗系统建立了从医护士站到病人床边之间的信息化应用和服务,将信息高速公路延伸到病人床边,解决了“最后几十米”的问题。无线医疗系统的应用使病人诊疗信息链条完整地串联起来,实现了流程和数据的全程信息化管理,提升医院信息化应用水平。
无线网络方案的选择
1.1传统无线网络的解决方案
一般以覆盖区内原来的有线局域网为基础,再配以无线接入点、网桥、无线适配器、AAA服务器的设备组成。无线接入点都分散在覆盖区域里,提供RF信号和用户安全管理和接入访问策略;无线适配器安装在用户不同终端里,在整个覆盖区指定的范围内通过临近AP制定安全策略连接到无线网络。AAA服务器则一般安装在无线网络的出口处或在整个有线局域网络旁路,负责所有用户帐号的统一管理和基于网关形式的策略控制。
1.2基于无线网络控制器的解决方案
包括:无线网络控制器、瘦无线接入点(FitAP)、无线传感器、AAA服务器等。所有这些设备联在一起,在有线局域网络的基础上以瘦AP和传感器为边界,无线控制器为核心的无线网络。
1.2.1无线信号发射装置的选择
由于无线发射设备对敏感性医疗器械和其他医疗设备是否存在不良干扰的问题上没有权威的测试和定论,故在选择无线产品时,务必选择已通过国家无线电发射设备型号核准认证及CCC认证的产品,以确保其无线发射装置的可靠性、稳定性及安全性均符合要求。
1.2.2无线部署原则
无线网络部署时,以信号范围最大化为原则,兼顾重点区域及重点应用,同时充分考虑实际应用效果、网络安全、信号干扰、易于管理维护等方面,在保证网络稳定性、兼容性、安全性、保密性的同时,兼顾考虑网络扩容,为今后网络扩容做好预留。
无线信号发射装置的安装
(1)安装前提供地勘报告;
(2)无线AP设备的安装位置应考虑实用、易操作、易维护及相对安全的位置;
(3)馈线不能承重,防止断裂或损坏;
(4)室内无线AP安装环境:温度0℃40℃,湿度10%-90%;
(5)室外无线AP安装环境:温度-20℃55℃,湿度0到100%,同时考虑雷击、雨淋、高温和低温等自然灾害的防护。
(6)部分特殊医疗检查、治疗区域内不设置无线设备,防止信号干扰,可采用有线网络;围的天线部署方式,最好选择发射功率可调可控的AP:
(8)无线部署实施前因详细进行实地勘察,减少无线信号干扰风险;
(9)无线信道应避免对同频医疗设备的干扰,可采用信道优化等措施,减少与无线医疗设备的同频干扰;
(10)选择射频可定时开启和关闭的设备,根据一些特殊医疗设备的使用时间控制开关无线射频。
1.2.3安全防范
安全问题是无线局域网部署必须首要考虑的因素,也是制约无线网络技术推广的关键因素之一,应考虑如下安全防范措施。
1.2.4安全认证
(1)用户
接入身份认证:支持802.1x、WAPI等多种安全认证手段,确保合法的用户接入网络;
访问权限控制:只能访问自身权限允许的区域。
(2)终端:
MAC地址认证:只允许指定MAC地址的终端接入网络,防止非法接入。
入侵检测:非法终端接入时,向管理员发出警报
(3)接入AP
AP接入认证、非法AP检测、AP隐藏及信道自动调整功能等。
2.加密技术
应支持WPA(TKIP)、WPA2(AE8)、WPAPSK、WEP等多种数据加密方式。
3.安全策略
针对各自无线网络特点,采用适当的安全策略,保证网络的安全性和保密性。常用的安全策略有:管理策略、操作策略、技术策略、隔离策略、防病毒策略、防攻击策略、密码策略等。
4.小结
随着无线网络技术和无线产品的日趋成熟,无线网络在医疗行业的运用更加广泛,如能根据自身实际情况,综合考量,明确需求,做好规划和部署,无线医疗将成为提升医院信息化水平的亮点,开创医院信息化管理的新局面。
参考文献
[1]仲晓伟医院构建无线网络方案的探讨[期刊论文] 中国医疗设备,2013(2)
论文关键词:无线局域网;校园网;IEEE802.11;AP;子网设计
随着网络应用日益丰富,传统局域网络已经不能满足师生对移动网络的要求,无线局域网作为有线网络的补充手段,被更多的师生所认同和接受。众多师生开始在无线局域网中开展各种应用业务,教学、科研、管理、生活正在悄悄地改变。虽然如今无线局域网还不能完全脱离有线网络,但近年来,随着无线局域网技术业趋向成熟,无线局域网与有线网络的无缝连接,无线局域网正在以它的较高传输能力和很好的灵活性在高校各项应用中发挥日益重要的作用。
1 无线局域网基础知识与架构
1.1 无线局域网
无线局域网(Wireless Local Area Network,WLAN)是指以无线信道作为传输媒介的计算机局域网络,是计算机网络与无线通信技术相结合的产物,它以无线多址信道作为传输媒介,提供传统有线局域网的功能,能够使用户真正实现随时、随地、随意的宽带网络接入。
1.2 无线局域网的技术标准
无线局域网是利用射频技术实现无线通信的局域网络。该技术产生于20世纪80年代,WLAN主要是作为传统布线LAN的延展和替代,它能支持较高数据速率(1~300Mbit/s)、采用微蜂窝、微微蜂窝结构的,自主管理的计算机局部网络。还可以采用无线电或红外线作为传输媒质,采用扩展频谱技术,移动的终端可通过无线接人点来实现对Internet的访问。无线局域网有以下常用标准:
1)IEEE802.11b
802.11b(通常又称Wireless Fidelity,WI-FI),是现在最普及的无线标准之一。设备工作在2.4GHz的范围内,带宽可以达到11Mbps。
2)IEEE802.11a
802.11a标准是一个获得正式批准的无线以太网标准。它工作在5GHz频段上,使用正交频分复用技术,将5GHz分为多个重叠的频率,在每个子信道上进行窄带调制和传输,以减少信道之间的相互干扰,使带宽可以达到54Mbps。
3)IEEE802.11g
802.11g是一种混合标准,能向下兼容传统的802.11b标准。IEEE802.11g的54Mbps高数据吞吐量比802.11b快出5倍,将改善已有的应用性能,使高带宽数据应用成为可能。802.11品可以在同一个网络中与802.11b产品结合使用。
4)IEEE802.11n
IEEE802.11n将WLAN的传输速率从802.11a和802.11g的54Mbps增加至108Mbps以上,最高速率可达320Mbps。与以往的802.11标准不同,802.11n协议为双频工作模式(包含2.4GHz和5GHz两个工作频段)。这样11n保障了以往的802.11a、b、g标准兼容。另外,天线技术及传输技术使无线局域网的传输距离大大增加,可以达到几公里(并且能够保障100Mbps的传输速度)。
2 校园无线网络应用与优势
无线局域网以其灵活布设、高带宽和无线接人的优势,可以突破有线网络节点限制、实现多人同时上网的问题,大大地增加了校园网络信息点,方便在校师生获取信息,进一步提升学校的信息化水平。
2.1 无线局域网的优点
1) 安装维护方便无线局域网的安装简单,无需破墙、掘地、穿线架管,这样避免对建筑物及周边环境影响,减少网络布线工作量,一般只要安装一个或多个接入点AP设备,就可建成覆盖整个建筑或地区的局域网络。一旦发生事故,不必寻找损坏路线,只要检查信号发送端与接收端的信号是否正常即可。
2) 易于扩展
无线局域网技术有对等模式、中心模式、中继组网模式等多种配置方式,能够根据需要灵活选择。
3) 经济节约
由于有线网络缺少灵活性,这就要求网络规划者尽可能地考虑未来发展的需要,这就往往导致预设大量利用律较低的信息点。而一旦网络的发展超出了设计规划,又要花费较多费用进行网络改造。而无线局域网可以避免或减少以上情况的发生。
4) 使用灵活在有线网络中,网络设备的安放位置受网络信息点位置的限制。而一旦无线局域网建成后,在无线网的信号覆盖区域内任何一个位置都可以接入网络。
5) 传输速率高
无线局域网技术能够提供高速数据带宽,其中IEEE802.11g能提供的数据传输速率现在已经能够达到54Mbit/s。可以满足用户上网的实际需要。
2.2 无线校园网的网络应用
1)电子网络课堂教学。可以通过无线网络进行教学,拓展了知识空间。
2)移动教学。上课不用再聚集于教室,打破了空间的限制,拓展了地域空间。
3)随时互动辅导。师生不必在课堂上直接对话,拓展了教学空间。
4)科研与教学。校园师生可以随时、随地地从网上获取学术信息,获取无限的网络资源。
5)无线多媒体业务。无线活动教室;虚拟现实的学习环境;无线视频监控;校园语音电话及网上视频点播。
3 校园无线网络的规划与设计
3.1 网络需求分析
本文所讨论的无线校园网的规划是以江阴职业技术学院为对象,本学院地处江阴市南郊,占地500亩。校园内共有大小建筑27幢,师生员工9000余人,地理环境简单,考虑满足以下几个方面的需求:
1)建设一个满足教学和工作需要的安全可靠的无线校园网络;
2)无线与有线的统一:高校网络一般已经建设了有线网络,无线网络建设必须在原有的有线网络上进行,并实现网络互联、认证计费、安全防御等方面与有线网络进行良好的兼容和互补。这就要求校园有线网络的架构不需要任何改变,只需用原有的网管、认证、计费系统就可以对无线网络进行管理和统一认证。
3)所有教学楼及实训实验大楼:各层走廊和教室均要求信号覆盖;所有学生宿舍楼:鉴于各宿舍都有有线接通,尽量覆盖各宿舍(不做要求);篮球场及足球场:信号要求完全覆盖;室内体育馆:信号要求完全覆盖;各建筑周围的草坪和场所:信号要求完全覆盖;行政楼:要求信号完全覆盖;学生食堂:要求信号完全覆盖;教师宿舍楼:要求信号完全覆盖;要求能提供1000并发用户能力;
4)各信号输出点信号强度10-15dbm;将按照2.4G工作频段2.412~2.462GHz(FCC)分为channel1、channel6、channel11三个完全不干扰频段设计;要求室内容许最大覆盖距离为35—100米,室外容许最大距离100—400米。
5)校园无线网络在支持数据转发的同时支持数据、语音等多种业务,网络应该具有其它智能业务扩展的能力,满足学院的多功能发展需求;
6)现在建设高校无线网络,除了要考虑对现有IPv4网络终端的无线接入,还要支持高性能的IPv6的用户接入,以适应网络发展趋势,并保护网络投资。
3.2 无线校园网的设计
3.2.1 校园无线网络拓扑结构设计
对于局部无线网络,主要采用的是以AP或者无线交换机等为中心结点的星型结构,其目的是为了满足多用户的需求。而如果建设全局无线校园网,可将网络划分为核心层、分布层、接入层进行设计,在整体上一般采用以树型和星型混合的拓扑结构。
3.2.2 校园无线网络物理结构设计
本校已经建成了“千兆主干,百兆交换到桌面”,信息点覆盖教学、办公、图书和实验等大楼主要部分的校园网,在目前的校园网环境下,借助于轻型AP模式架构,可以在现有校园有线网络的基础上建立逻辑独立的无线网络。
通常模式下所有无线数据及控制流量均交由无线控制器来处理,所以我们采用现有校园网的交换机/路由器组成集中控制管理的“覆盖式”(Overlay)无线网络设计,如图1所示。
修改现有校园网交换机的VLAN参数设置、路由设置,使得AP尽量不与一般有线网络设备混合在同一个VLAN中,避免有线设备的异常流量阻断AP和无线控制器之间的通讯;将连接在同一交换机端口下的所有AP放置在一个受保护的VLAN中,设计时统一分配给这些AP静态IP地址,以便于管理;采用核心交换机搭配无线控制模块的方式,进一步减小AP和无线控制器的AP-Manager之间端到端环回延迟,保证AP能够顺利连接在现有的校园网接入交换机上。
3.2.3 无线校园网的构建方法
校园无线网络构建的两种方法。第一,阀值法。通过调整AP的阀值设置,控制AP接入覆盖范围,从而在相同覆盖面积条件下,通过增加AP数量,提高系统容量。第二种,频率复用。学校人群主要由管理人员、教师、科研人员和大量学生构成,以上人群工作和学习生活分布在以下区域:图书馆、教学楼、办公楼、实验研究楼、学生宿舍、运动场以及各类休闲场地(草坪广场等)。
因此,在同一覆盖范围内的多个AP利用802.11g规定的13个可用信道中相互干扰最小信道1、6、11三个信道进行设计,客户端无线网卡根据各AP信号强度,选择不同信道工作,从而提高系统容量。
3.2.4 室内网络组建
室内的范围主要包括所有的教室、实验室、办公室等,在这些场合中主要需要解决两大问题,即AP的覆盖范围和AP的容量问题。由于AP是通过微波来进行数据传输的,室内要考虑的首要问题就是信号覆盖的问题。由于办公室、教室、实验室被各种墙面分割,这对信号的衰减影响很大,因此在室内构建无线局域网时必须对建筑物的信号强度进行详细测试。在合理地分析各个AP的容量与覆盖面后,还需考虑信号衰减因素,适当地增加AP个数来减少数据盲区。室内组建简图见图2。
两个AP的放置要保证AP覆盖区域无间隙并且AP重叠区域最小。相邻AP工作在不同频道,以1、6、11三个频道实现全方位的覆盖。根据经验值,当相邻AP设定相同频点时,要求间隔25米以上;当相邻AP设定相邻频点时,要求AP间隔16米以上;当AP设定相隔频点时,要求间隔12米以上。
对于房间多、用户数量不多但分布较分散的楼宇,如教学楼等,用户主要为学生、教师,因此应用肯定会比较频繁,由于楼长、墙体结构厚、房间多等特点,所以在该环境下覆盖AP安装在楼道内,通过内置天线覆盖楼道两侧房间,微波通过房间的门窗传输到室内,实现了比较细腻的覆盖环境,AP通过有线接入到楼层交换机。
3.2.5 室外无线网络组建
室外设备的AP使用数量基本也遵循室内的条件,但室外AP的放置和设计又有它自己的特点。由于室外环境的特殊性和不确定性,我们放置的设备必须是在密封盒内的,天线布置应该增加避雷器防止雷击,不提供本地供电的场所选用远程供电设备。我们通过室外无线接入点外接增益天线的方式覆盖室外区域,体现覆盖范围最大化的覆盖原则来保证无线用户需求。
从整体上对学院室外部分进行规划,通过室外建设WLAN射频基站对室外和室内用户进行无线覆盖。室外射频基站由室外型AP、外接天线(全向、扇区)以及配套避雷设备组成。根据复杂的室外建筑结构,外接天线的选择更加尤为重要。选择天线型号时应根据现场环境考虑增益、水平波束宽度、垂直波束宽度、极化方式、视觉效果(尺寸、外形、重量)等因素。
学校体育场、足球场、教学楼宇间公共区域等,一般是学校需要实现无线覆盖的室外公共区域。根据需覆盖的室外区域的实际情况,可以设计建立多个无线覆盖基站,采用重叠交叉无线覆盖的方式,完成区域的无缝无线覆盖。选用室外型无线路由器,在空旷地方,信号传输距可以达到300M~600M左右,视空间大小可以使用多个,或者使用室外无线AP,配合室外大夹角定向天线,成功实现系统设计目标。简单设计如图3所示。
4 无线校园网的网络安全设计
当一个无线局域网组建成功后,用户最关心的是无线局域网的安全问题。为了保证网络安全,我们可以从以下几个方面考虑:
1)用户接入认证控制:原有线校园网络已经部署了用户认证系统,建成后的无线网络必须完全融合进该认证系统中。
2)基于用户的访问策略:不同的用户可能有不同的上网行为,包括HTTP、FTP、语音等,针对不同的应用,应加以配置不同的行为控制权限,保障不同用户的网络互访的安全性。
3)受保护的无线数据传输:无线网络安全事件往往会发生在数据传输阶段。因此,建成的无线网络必须能够满足合法的无线用户与无线接入点数据传输的安全性,以及无线接入点与上行网络之间数据传输的安全性。
关键词:无线局域网络,无线漫游,无线接入
1. 前言
计算机的发展日新月异,其应用已经渗透到社会上各个领域。在高等院校,计算机机房为计算机专业学生提供了理论学习和动手操作的重要场所,在日常教学中扮演着重要的角色。我院软件学院成立至今,机房从原有的9个迅速增加到现有24个,足见机房在日常教学中不可或缺的地位。然而,随着旧机房电脑日益老化且配置相对较低,现已难以满足日常教学的要求,如何建设一批灵活高效的现代化网络机房成为我们机房工作人员急需思考的问题。
2. 机房现状以及机房建设方案设定
目前,我院计算机机房的使用率高,大部分机房一天需排课12节,承担着艰巨的教学任务。本人经过调查研究,就机房现存问题与建设方案分析如下:
(1)教学软件更新快,对硬件的要求越来越高。例如:运行网络虚拟机(VMware)、oracle数据库、SQL2005等软件机器根本运行不了,运行这些软件至少需要提供1G以上的内存,但我院有一半机房电脑内存只有512M,有些还是从256M升级来的。
(2)机房电脑反应慢。机房除了安装一些常用软件还要安装专业教学软件,由于机房资源紧张,往往几个不同专业的学生需要共用一个机房,为了提供不同专业的学生学习,需要安装各类专业教学软件,从而增加了机器的负担,导致系统反应过慢。另外,还有病毒、系统漏洞等引起。
(3)设备故障率高,直接影响教学效果,同时给机房工作人员增加很大的工作量。原因一方面是设备使用频率高,时间长,会自己出现各种故障;另外,学生上机操作不当是引起设备故障的重要原因之一。毕业论文,无线漫游。。
(4)学生携带笔记本电脑进入机房,对机房网络提出了新的要求。目前,随着笔记本电脑的普及,越来越多的学生上课时携带笔记本电脑进入机房,然而现机房里的电源插座、网线接口都是按信息接入点分配固定好的,笔记本电脑进入机房就需要为它们另外提供电源插座,网线接口。网线也都是机房建设时预埋好的,没有多余的接口,学生就只有从原来的信息点上把网线接口拨下插到自己的笔记本上来使用,这样来回插拨,容易引起网线头松动令网络不通畅。有时也不失有个别学生蓄意破坏机房网线,这也对机房的网络提出了更新更高的要求。
针对我院机房的现状,提出组建笔记本无线局域网机房,利用无线局域网技术(WirelessLocal-Area Network,WLAN),再结合笔记本电脑组建灵活高效的现代化网络机房,为我院教育信息化建设做好铺垫。本文将详细介绍组建无线局域网的全过程。
3.无线局域网机房的优势和特点
随着网络技术与无线通信技术的蓬勃发展,网络组建技术从传统有线网络发展到无线网络,而作为无线网络之一的无线局域网以其布线容易、组网灵活、移动性高等优势在网络中发挥重要的作用。与有线局域网相比无线局域网具有以下特点:
(1)无线网络建设更加便捷。相对于有线局域网来说,无线局域网免去或减少了大量布线工作,在建设时不需要挖地槽、穿墙。一般只需要安装一个或多个无线访问点(Access Point,AP)设备就可以覆盖到整个建筑。
(2)无线局域网具有高移动性,可实现漫游功能。在无线局域网的信号覆盖范围内,无线终端可以任意移动,在不同AP之间可以实现无线漫游功能,总是与网络保持连接状态,不受有线网络束缚。
(3)无线局域网组网灵活,终端接入简单。灵活组建临时无线网络,不需要布线,不会影响整个网络拓扑结构,无线终端接入只需简单的设置就可以接入网络。
4. 组建笔记本无线局域网机房实施方案探讨
4.1 设计原则
对机房内部进行无线信号的完全覆盖,以便无线终端在机房里能实现漫游。为给无线传输提供良好的质量与可靠性,需要合理布置AP,以便每个AP达到最佳功效,基本保证每个AP至多接入20—30个无线用户,在机房放置4个AP,最多可以接入80—120个用户。另外还需要宽带路由器,利用路由器的管理功能来控制流量、禁止学员访问不健康网站。
4.2 设计方案
学校的有线网络已有规模,因此可以利用原先的信息点,即路由器通过双绞线与校园网相连,其它的无线设备(AP)利用双绞线与路由器相连,无线用户就通过AP接入网络。其网络拓扑图如图1所示:
图1 机房网络拓扑图
4.3 无线网络基本配置
硬件安装完后,我们需要对路由器、AP和无线客户端进行配置。
(1)路由器设置
下面我们以D-Link DI-604+ 路由器为例。先来做好前序工作,首先,用双绞线一头接到电脑,一头接到路由器。设置电脑的IP地址为自动获取,然后,打开IE浏览器,在地址栏输入路由器的默认IP地址(请参阅你的产品说明书,一般都为192.168.1.1),接着会提示你输入用户名和密码。
现在开始配置路由器:
第一步:设置广域网IP地址即校园网内部地址;
第二步:设置允许访问路由器的局域网IP地址。本局域网需要为4个AP分配IP地址;
第三步:配置路由器包过滤、流量控制、网络安全等问题。
(2)无线AP配置
由于用到多个AP,就会遇到问题,当移动的用户在不同的无线AP之间切换时每次都要查找无线网络,重新进行连接,非常麻烦。为了解决这个问题我们引入了无线漫游这一概念。要实现无线漫游,首先,我们必须给每个无线AP分配好IP地址,并且保证所有无线AP的IP地址都在同一网段;然后,把每个无线AP的工作模式都设置成AP模式,并且它们的SSID必须设置相同。毕业论文,无线漫游。。
下面我们以D-Link DWL-2100无线AP为例。它跟配置路由器的前序工作差不多(默认IP地址为:192.168.0.50)。
现在开始配置AP:
第一步:设置AP的Mode选择为Access Point模式(即接入点模式),类似于有线网络中的交换机。毕业论文,无线漫游。。在这种模式下,无线AP即可以和无线网卡建立无线连接,用LAN口与前端的路由器相连;
第二步: 配置“SSID”和“Channel”,同时开启无线功能。4个AP的“SSID”必须相同,“Channel”选择不同的信道值;
第三步:为4 个AP分配固定的IP地址,使它们IP地址都在同一网段,并启动DHCP功能。
(3)设置无线客户端
客户端配置简单只需要无线网卡,开启无线网卡,它会自动搜索可用的无线网络,选中自己的无线网络点连接就OK。连接上后,会自动获得一个IP地址。
5. 结语
通过精心的设计,无线漫游、无线接入等技术都得以实现。伴随着人们对无线产品的需求俞来俞大,无线网络将在金融、教育、医疗等领域得到广泛的应用,技术的不断创新将会使无线网络的应用取得更好的效果。
参考文献:
[1]杨军,李瑛.无线局域网组建实战[M].电子工业出版社,2006.
[2]张圣.基于WLAN技术的无线校园网组网研究[J].信息技术,2005.
[3]张善勇.浅析无线技术在校园网中的应用.内蒙古民族大学学报,2007
[论文摘要]安全问题是自无线局域网诞生以来一直困扰其发展的重要原因,本文研究了现阶段无线局域网面临的主要安全问题,并介绍了相应的解决办法。
近年来,无线局域网以它接入速率高,组网灵活,在传输移动数据方面尤其具有得天独厚的优势等特点得以迅速发展。但是,随着无线局域网应用领域的不断拓展,无线局域网受到越来越多的威胁,无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击,还受到基于IEEE802.11标准本身的安全问题而受到威胁,其安全问题也越来越受到重视。
一、非法接入无线局域网
无线局域网采用公共的电磁波作为载体,而电磁波能够穿越天花板、玻璃、墙等物体,因此在一个无线局域网接入点(AccessPoint,AP)的服务区域中,任何一个无线客户端(包括未授权的客户端)都可以接收到此接入点的电磁波信号。也就是说,由于采用电磁波来传输信号,未授权用户在无线局域网(相对于有线局域网)中窃听或干扰信息就容易得多。所以为了阻止这些非授权用户访问无线局域网络,必须在无线局域网引入全面的安全措施。
1.非法用户的接入
(1)基于服务设置标识符(SSID)防止非法用户接入
服务设置标识符SSID是用来标识一个网络的名称,以此来区分不同的网络,最多可以有32个字符。无线工作站设置了不同的SSID就可以进入不同网络。无线工作站必须提供正确的SSID,与无线访问点AP的SSID相同,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务区上网。因此可以认为SSID是一个简单的口令,从而提供口令认证机制,阻止非法用户的接入,保障无线局域网的安全。SSID通常由AP广播出来,例如通过windowsXP自带的扫描功能可以查看当前区域内的SSID。出于安全考虑,可禁止AP广播其SSID号,这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。
(2)基于无线网卡物理地址过滤防止非法用户接入
由于每个无线工作站的网卡都有惟一的物理地址,利用MAC地址阻止未经授权的无限工作站接入。为AP设置基于MAC地址的AccessControl(访问控制表),确保只有经过注册的设备才能进入网络。因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。但是MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作。如果用户增加,则扩展能力很差,因此只适合于小型网络规模。
如果网络中的AP数量太多,可以使用802.1x端口认证技术配合后台的RADIUS认证服务器,对所有接入用户的身份进行严格认证,杜绝未经授权的用户接入网络,盗用数据或进行破坏。
(3)基于802.1x防止非法用户接入
802.1x技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。
如果认证通过,则AP为无线工作站打开这个逻辑端口,否则不允许用户上网。
2.非法AP的接入
无线局域网易于访问和配置简单的特性,增加了无线局域网管理的难度。因为任何人都可以通过自己购买的AP,不经过授权而连入网络,这就给无线局域网带来很大的安全隐患。
(1)基于无线网络的入侵检测系统防止非法AP接入
使用入侵检测系统IDS防止非法AP的接入主要有两个步骤,即发现非法AP和清除非法AP。
发现非法AP是通过分布于网络各处的探测器完成数据包的捕获和解析,它们能迅速地发现所有无线设备的操作,并报告给管理员或IDS系统。当然通过网络管理软件,比如SNMP,也可以确定AP接入有线网络的具体物理地址。发现AP后,可以根据合法AP认证列表(ACL)判断该AP是否合法,如果列表中没有列出该新检测到的AP的相关参数,那么就是RogueAP识别每个AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型以及信道。判断新检测到AP的MAC地址、SSID、Vendor(提供商)、无线媒介类型或者信道异常,就可以认为是非法AP。
当发现非法AP之后,应该立即采取的措施,阻断该AP的连接,有以下三种方式可以阻断AP连接:
①采用DoS攻击的办法,迫使其拒绝对所有客户的无线服务;
②网络管理员利用网络管理软件,确定该非法AP的物理连接位置,从物理上断开。
(2)检测出非法AP连接在交换机的端口,并禁止该端口
基于802.1x双向验证防止非法AP接入。利用对AP的合法性验证以及定期进行站点审查,防止非法AP的接入。在无线AP接入有线交换设备时,可能会遇到非法AP的攻击,非法安装的AP会危害无线网络的宝贵资源,因此必须对AP的合法性进行验证。AP支持的IEEE802.1x技术提供了一个客户机和网络相互验证的方法,在此验证过程中不但AP需要确认无线用户的合法性,无线终端设备也必须验证AP是否为虚假的访问点,然后才能进行通信。通过双向认证,可以有效地防止非法AP的接入。
(3)基于检测设备防止非法AP的接入
在入侵者使用网络之前,通过接收天线找到未被授权的网络。对物理站点的监测,应当尽可能地频繁进行。频繁的监测可增加发现非法配置站点的存在几率。选择小型的手持式检测设备,管理员可以通过手持扫描设备随时到网络的任何位置进行检测,清除非法接入的AP。
二、数据传输的安全性
在无线局域网中可以使用数据加密技术和数据访问控制保障数据传输的安全性。使用先进的加密技术,使得非法用户即使截取无线链路中的数据也无法破译;使用数据访问控制能够减少数据的泄露。
1.数据加密
(1)IEEE802.11中的WEP
有线对等保密协议(WEP)是由IEEE802.11标准定义的,用于在无线局域网中保护链路层数据。WEP使用40位钥匙,采用RSA开发的RC4对称加密算法,在链路层加密数据。
WEP加密是存在固有的缺陷的。由于它的密钥固定,初始向量仅为24位,算法强度并不算高,于是有了安全漏洞。现在,已经出现了专门的破解WEP加密的程序,其代表是WEPCrack和AirSnort。
(2)IEEE802.11i中的WPA
Wi-Fi保护接入(WPA)是由IEEE802.11i标准定义的,用来改进WEP所使用密钥的安全性的协议和算法。它改变了密钥生成方式,更频繁地变换密钥来获得安全。它还增加了消息完整性检查功能来防止数据包伪造。WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能,WEP中的缺点得以解决。
2.数据的访问控制
访问控制的目标是防止任何资源(如计算资源、通信资源或信息资源)进行非授权的访问,所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及指令等。用户通过认证,只是完成了接入无线局域网的第一步,还要获得授权,才能开始访问权限范围内的网络资源,授权主要是通过访问控制机制来实现。
访问控制也是一种安全机制,它通过访问BSSID、MAC地址过滤、控制列表ACL等技术实现对用户访问网络资源的限制。访问控制可以基于下列属性进行:源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、协议类型、用户ID、用户时长等。
3.其他安全性措施
许多安全问题都是由于AP没有处在一个封闭的环境中造成的。所以,首先,应注意合理放置AP的天线。以便能够限制信号在覆盖区以外的传输距离。例如,将天线远离窗户附近,因为玻璃无法阻挡信号。最好将天线放在需要覆盖的区域的中心,尽量减少信号泄露到墙外,必要时要增加屏蔽设备来限制无线局域网的覆盖范围。其次,由于很多无线设备是放置在室外的,因此需要做好防盗、防风、防雨、防雷等措施,保障这些无线设备的物理安全。
综合使用无线和有线策略。无线网络安全不是单独的网络架构,它需要各种不同的程序和协议配合。制定结合有线和无线网络安全策略,能够最大限度提高安全水平。
为了保障无线局域网的安全,除了通过技术手段进行保障之外,制定完善的管理和使用制度也是很有必要的。
参考文献:
[1]赵伟艇:无线局域网的加密和访问控制安全性分析.微计算机信息,2007年21期
【关键词】移动数字图书馆 医学院校 IOS系统 Andiord系统 功能设计
1 引言
近年来伴随着移动计算机技术的发展,特别是智能手机和平板电脑的普及,移动数字图书馆也随之孕育而生。目前关于移动数字图书馆的定义以及它在数字图书馆发展中的地位,多被归纳为移动计算机技术在数字化图书馆建设中的功能衍生。但就当前计算机技术发展现状而言,微软极其传统PC端操作系统业务的衰落, IOS、Andiord两大移动计算机操作系统及移动数字终端的迅速发展,可以看出移动计算机已经成为数字技术发展的新平台。姑且我们可以把基于PC端的数字图书馆技术定义为传统数字图书馆。而移动数字图书馆较确切的定义应是:依托成熟的无线移动网络,国际互联网以及多媒体技术,使人们不受时间、地点和空间的限制,通过使用各种移动设备来方便灵活地进行图书馆信息查询、浏览与获取的一种图书馆信息服务技术。
移动数字图书馆技术在国内最早于2005年被提出,发展之初多关注于研究移动数字图书馆的体系结构涉及的相关问题。早期研究从技术角度论证了移动数字图书馆建设的可行性。伴随着无线网络协议,无线通信、无线网络构建技术的发展,移动数字图书馆的网络接入技术成为了研究重点。较为代表性的研究成果有:基于WAP2.0协议下的移动数字设备,通过浏览WAP网页实现了数字图书馆服务;通过3G移动通信网络和wifi无线网络实现移动数字设备与图书馆服务器的数据交换 。随着IOS与Andiord等功能支撑性更优秀的移动终端操作系统的普及,移动数字图书馆服务的功能空间有了质变的扩展性。探讨与论述由此可以带来的新服务,是促使移动数图发展变革的关键。
2 移动数字图书馆在医学类院校中的服务功能研究
2.1 医学院校文献服务特点
医学专业的学科划分多达十余种,并且对数据的统计分析和文献的支撑尤为依赖。但医学院校的教学、科研工作又有别于其他普通高校。一般分为基础医学与临床医学,它们各采取集中与分散的管理模式。带来的问题是读者群流动性大,分布区域广泛,所以给图书文献的服务供应带来的严峻的考验。
2.2 基础医学文献服务特点
基础医学的教研工作场所相对固定,读者群比较集中,有利于传统数字图书馆功能的实现。但受课堂教学和实验室研究场地的限制,PC终端体积较大,不便配备。而且医学教学与科研无时无刻离不开众多的实验,实验的顺利进行往往需要大量的数据和参考文献。相对PC,移动设备更方便读者随身携带查阅信息。摆脱PC终端的束缚,针对基础医学教研工作特点开发移动数字图书馆服务功能,为读者供给一个“移动电子阅览室”,是实现其功能的关键所在。
2.3 临床医学文献服务特点
临床医学的教研工作环境相对分散,学生和教师分散在各个实习医院中,地域跨度较大。集中了优势文献资源的医学院校图书馆因此无法为临床教学医院提供及时高效的服务。虽然传统数字图书馆可以通过互联网实现了预约借还、文献传递、电子资源查阅等功能。但医院为保证医疗数字化办公系统的网络安全,用于临床一线办公和教学的PC设备都无法访问广域网。再加上高校因知识产权保护的需要,临床教学工作人员和实习学生必须在图书馆或学校网络管理部门登记办理身份核实手续后,才能在校局域网以外使用VPN服务器接入的方式访问本校图书馆文献数据库。这样的服务模式使临床教学科研人员必须在脱离工作环境后才能获得所需文献信息。如此被动、滞后的服务违背了图书馆学对于读者服务的平等性与及时性原则。
2.4 应对措施
移动数字图书馆可以以独立的无线网络环境、独立的读者客户端管理系统,采用无区域限制的实时在线方式,弥补传统数字图书馆服务领域中的空白。
独立的无线网络环境:无线网络信号接入方式主要有GPRS(通用无线服务技术)、3G(3rd-generation 第三代移动通信技术)、WLAN(wirdess LAN 无线局域网)。其中GPRS与3G是由通信运营商提供的实时在线无线通讯信号。WLAN可由办公区域环境内的无线路由器提供加密无线网络接入信号。以上独立的无线网络信号可以使临床教研人员在非办公网络环境下通过移动数字计算机连接图书馆数据库。不但保证了临床医疗工作的网络环境安全,更可以使读者获得实时的文献资源服务。
独立的读者客户端管理系统:读者客户端管理系统由移动数字计算机客户端和服务器客户管理系统构成。它们之间直接连接,并直接与图书馆服务器进行数据交换和系统管理。系统可以通过在线登记方式采集并建立用户信息数据库,对读者进行远程识别与管理。当服务器的客户管理系统核实读者信息后,采取移动数字计算机客户端登陆的方式,向读者提供文献查阅服务。
3 基于IOS与Andiord操作系统设计移动数字图书馆服务功能
3.1 WAP形式的移动数图
目前移动数字图书馆技术的运用主要是OPACE系统的WAP网页形式。OPACE系统是传统数字图书馆服务的代表,用WAP网页来实现移动数字的OPACE功能虽然可以直接把现有PC端数字图书馆的功能移植到移动计算机上,但也只是完成了一个硬件平台的转换。简单点讲就是WAP网页形式的OPACE系统能够实现的依旧是传统数字图书馆的功能,只是把它从电脑搬到了移动计算机上。正因如此,移动数字图书馆一直被业内人士认为只是数字图书馆的一种衍生品。但要真正运用移动数字科技给人们带来的革命性技术提升,必须依靠可以整合移动技术各种功能的客户端软件系统来实现。而支持软件运行不仅需要性能良好的硬件终端,更需要稳定高效的操作系统。
3.2 IOS与Andiord系统
IOS和Andiord是目前移动数字终端,特别是智能手机普遍使用的操作系统。IOS是由苹果公司开发的手持设备操作系统, 它也是以Darwin为内核,系统结构分为以下四个层次:核心操作系统(the Core OS layer),核心服务层(the Core Services layer),媒体层(the Media layer),Cocoa 触摸框架层(the Cocoa Touch layer)。支持WAP、PC Free无线传输、mali、iMessage、云处理等技术;Android由Google公司开发,以Linux为基础的开放源代码操作系统。支持WAP、PC Free无线传输、mali、iMessage、多媒体等技术。并且开放而免费的源代码模式为后期开发提供便利。
3.3 功能实现
IOS和Andiord操作系统都有着优秀的系统稳定性和良好的第三方软件兼容性。支持移动数字图书馆系统功能构建所需要的wifi、RSS、WAP2.0、mali、PC Free无线传输、多维码识别、云计算、GPS定位等技术。移动数字图书馆功能设计的主要是整合利用各项移动数字技术,实现以下4种文献服务模式:
(1)无线文献传递。通过无线网络,读者可以在任何时间、地点完成文献检索和数据库访问。
(2)个人文献资料同步管理。利用移动数字技术中的PC Free无线传输、云存储功能,可以把某一读者在PC端和移动终端上查阅过的文献资源同步管理。读者只需通过移动计算机就能得到自己在各处查阅过的所有资料。并可对自己的文献进行分类管理和云存储。
(3)文献信息推送。利用服务器客户管理系统对每个读者的信息进行建库管理,抽取读者相关信息资料,分析每个读者的研究内容和阅读习惯。对以上信息源进行云计算处理,统计出每个读者可能需要的文献学科类型。再通过RSS(信息推送)技术把各个研究领域的最新动向或研究成果的发送给相应读者。
(4)定位查阅。利用GPS定位、多维码识别、PC Free无线传输技术,实现读者无线借阅功能。读者在移动数字图书客服端进行检索和预约后,可以通过GPS定位方式快捷的找到分布在各个阅览室书架中的文献资源。并可以通过PC Free无线传输、多维码识别技术直接进行智能化的图书借还工作。
5 结语
移动数字图书馆理论的形成和前期学者对移动数字图书馆服务系统架构、无线网络通信技术的论证,为移动数字图书馆建设提供了完备的理论依据和技术保障。移动数字计算机技术的成熟发展和个人移动智能终端的普及,为移动数字图书馆的发展提供了良好的硬件环境和广泛的读者适用群。移动技术给人们带来的灵活便捷也正是图书馆服务发展的迫切需求。
移动数字图书馆的核心业务就是利用无区域理念的服务模式,结合实时在线的灵活特征来打破时间对文献传递的约束。通过分析医学院校教学、科研的特点,结合移动数字技术带来的科技变革,设计全新出的服务功能,可以在提高图书馆校内工作水平的同时,更好的为附属医院的临床教学、科研工作提供文献服务。
参考文献
[1]党德鹏,周立柱,邢春晓.数字图书馆的移动服务[J].计算机科学,2005,32(4):4-5,15.
[2]江波,覃燕梅.掌上图书馆、手机图书馆与移动图书馆比较分析[J].图书馆论坛,2012,32(1):69-71,88.
[3]茆意宏,吴政,黄水清.手机图书馆的兴起与发展[J].大学图书馆学报,2008(1):3-6,27.
[4]左聪.RSS推送技术与高校图书馆信息服务[J].重庆科技学院学报(社会科学版),2011(17):157-159.
[5]赖永波.从数字图书馆到移动数字图书馆:服务功能演进与实现途径[J].情报杂志,2011,30(5):165-168.
[6]王岚霞.高校图书馆RSS应用和服务现现状分析[J].图书馆理论与实践,2009(11):94-97.
[7]刘红丽.国内移动图书馆研究现状与趋势[J].国家图书馆学刊,2005.92-98,112.
[8]龙朝阳,王灵. 基于3G的图书馆信息服务模式初探[J].图书馆论坛,2008,28(3):8-11.
[9]李忠新.基于3G技术下的高校掌上数字图书馆的应用探索[J].改革与开放,2010:180-181.
[10]吕蕴红.基于3G智能手机的移动图书馆发展探讨[J].新世纪图书馆,2011(10):66-68.
[11]丰江帆,朱冠字. 基于TD—SCDMA的移动数字图书馆研究[J].图书馆学研究,2009:28-31.
[12]陈茫.基于WAP2.0的移动数字图书馆应用研究[J].情报杂志,2010,29:213-216.
[13]李小智.基于消息中间件的服务器推送技术的应用研究[J].湖南大学硕士学位论文,2010:
[14]杨九龙,何淼. 技术人员视角下移动数字图书馆建设的调查与分析[J].图书馆论坛,2011,31(5):59-62.
[15]向林芳.论DRM在数字图书馆中的应用——以方正Apabi为例[J].高校图书馆工作,2011,31(146):85-87.
[16]郁长祥,马明慧,龙旭梅,等.试论移动数字图书馆的发展[J].科技信息,2011(33):102,136.
[17]萧志华.试论移动数字图书馆现状及其发展策略[J].2011,31(4):103-105.
[18]张维蓉,贾爱霞. 手机在移动数字图书馆的应用[J].科技情报开发与经济,2008,18(22):3-5.
[19]张素霞.“推送”技术与图书馆信息推送服务的实现[J].现代情报,2004(11):46-47.
[20]邱亚娜.信息抽取在图书馆信息推送服务中的应用研究[J].图书馆工作研究,2011(179):46-47,55.