互连技术论文精选(九篇)
前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的互连技术论文主题范文,仅供参考,欢迎阅读并收藏。
第1篇:互连技术论文范文
随着信息化、数字化时代的来临,移动数码产品、无线网络已成为人们日常生活中不可缺少的组成部分,学习的概念与方式也在随之改变,应运而来的移动学习、远程学习、在线学习、“泛在学习”已得到越来越多学习者的认可和参与兴趣。现代社会中,人们的工作、生活节奏日趋加快,学习的时间逐渐呈现碎片化的状态,越来越少的学习时间,使得人们与传统的学习模式不适应,微课的出现,在一定程度上正在改变着传统的学习模式,其发展成长由其规律与特点决定,帮助并促进学生实际动手能力的迅速提高是核心要素。“微课”在高职院校中的推广与应用更多体现在两个方面:一是改变专业教师课堂知识传授过程中,单一说教、理论过强、枯燥无味、不易接受等弊病。“微课”的时长一般为5-8分钟左右,最长不超过15分钟。据专家统计,人的注意力或兴奋点主要就集中在这一黄金时间段。如果高职教师学会独立运用现代技术手段,通过真实的、具体的、典型案例化的教与学情景方式展现所授内容,会很容易地吸引学生的注意力和兴趣,轻松地达到预想的教学效果,从而提高学生的学习水平;二是“微课”教学可以大大地减少学生实践观摩课不足的困惑。众所周知,实践观摩课在高职教学中占有一定的比重,也是突出高职教学特色、培养应用型人才的关键。近些年,高职学校通过校企合作等,纷纷邀请企业有关人员来校直接参与课堂教学或举办专题讲座,但由于受到时间等种种因素所限,毕竟企业不同于学校,哪怕是短短一节课也要进行多方协调、反复论证,如协调到校授课人员的时间、协调学生听课的时间、有时为了能最大限度地让学生听到企业专家的授课,学校不得不临时调整教学时间或安排,采取合并班级、大班授课或是报告式授课等,这样不但授课者因课时有限,不能尽情发挥,造成授课内容过于高度浓宿化、片段化,教学过程中无法实现互动,往往使得学生听得浑浑噩噩、云里雾里、似懂非懂,效果非常不好。再有,苦于组织企业专家进课堂的种种操作层面的难处,一些学校的企业专家授课一学期只能安排一至两次,甚至这样都不一定做得到,往往流于形式。如果选用“微课”,不仅可以让授课者提前设计,如利用业余时间充分准备、有的放矢,突出教学内容的针对性、实效性,还可以让授课者反复模拟,将最好、最精彩的授课片段提供给学生。需要说明的是,“微课”的核心内容除了课堂教学视频(课例片段)外,还包含与该教学主题相关的教学设计、素材课件、教学反思、练习测试及学生反馈、教师点评等辅教学资源,用专业的描述是“一个半结构化、主题式的资源单元应用‘小环境’”高度仿真地展现在学生面前,方便学生自主学习、交互式学习。在校期间,学生们可以组成小班分别学习、边学边讨论,也可以反复观摩,充分体会授课过程,逐步消化理解所学知识,努力做到理论联系实际、学以致用。对于邀请名人名家经费有限的院校来说,通过分享名人名家的微课,可以说是一种既经济实惠、又能解决教学需求的有效方法,无论从实际效果,还是从节省成本的角度来考虑,“微课”都是高职课堂与实践教学的必备选择。当然,“微课”绝不可能完全取代传统的课堂授课形式,这是不争的事实。因为高职教学过程中的一些实操课,除了正常授课辅导外,还离不开专业教师或师傅手把手的讲解、传授,学生必须直接进入实际岗位、现场观摩、实习实训,才能保证教学目标的顺利落实,满足市场或企业选拔人才的具体要求。延伸或补充应是给予“微课”在高职教学中的准确定位。
2微课的设计与制作应遵循一定的规律及特点
从未来的发展趋势看,学生在校组织课堂教学将很可能会逐步减少,直接走进车间、实习场地参与实践教学将会越来越多,有些课程甚至就应该直接搬到了实习现场或车间。众所周知,现代职业人的塑造与培养决不能简单、粗放,甚至放养,应遵循教育规律及特点,应采取科学合理的人才培养模式。“微课”的应用可以极大地填补课堂与实践教学的空白,借助互联网这一载体,方便快捷地解决相关问题,如重要知识点与难点、实操模拟、企业家讲座、案例分析、求职技巧等,相对于较宽泛的传统课堂,“微课”短小精悍,一个议题,一个重点,都是针对学生学习过程中的疑难问题而设计,非常适合学生自学。时间和地点的选择上也有很大的自主空间,只要学生有学习的愿望即可实现。同时,还适应不同的学生,例如视频播放快慢随意可以调节,让不同程度的学生根据自己的基础和接受程度来控制视频的快慢。由于视频可以反复播放,使那些平时反应慢又羞于发问的学生能够从容地反复观看,方便记忆、便于理解。就高职教师而言,微课的设计与制作应遵循以下几个特点:第一,便于课前复习。根据学生已有的知识基础和新知识所需的衔接知识点,设计制作好微课,利于学生在课下提前观看此微课,为课堂做好准备;第二,便于课程导入。教师根据课程知识点设计新颖的问题或作为工作在高职教学一线的专业教师,长期从事课堂与实践教学业已成为习惯,再加上熟知学生的特点,转变观念、提升技术及制作能力成为当务之急,当然,“微课”是课堂与实践教学的高度浓缩、提炼,需要讲究制作技巧、及时更新、注重效果,所以,设计与制作精品微课必将是大势所趋,满足学生知识需求、能力提升是其精髓所在。首先,教师在所选题材上下大功夫,要根据学生的学习程度和容易出现的问题入手,通过典型例题和深入浅出的讲解使学生迅速掌握本知识点。其次,在制作视频时要注意动静结合,图文并茂,字体搭配,字号搭配,颜色搭配,错落有致,使用的文字尽量少等,要使整个视频简洁清新流畅。再次,讲解的时候心中要有学生,语言要用普通话,尽可能少地使用古板、枯燥的书面语,使讲解通俗易懂,声音响亮,节奏感强。当然,制作“微课”就是微研究的过程,教师在实际教学中要把发现问题、分析问题、解决问题作为教学反思的过程。通过精品微课可以有效地进行资源的积累、分享和交流,还可以有效提高教师的自信心和成就感,尤其是提高教师学科的教学与信息技术整合能力。精品微课通过互联网和移动设备的传播,能够把检验高职教学效果放在更大的平台上,既便于教师之间教学经验和方法的交流,又便于有效促进教师的专业发展,真正提高教学效果。为此,制作精品微课需要从脚本编写、教师讲授、素材选取、后期剪辑、技术支持、市场运作等诸多方面给予充分考虑,需要组织专门的制作团队,经过专家审核,方可以展现在学生面前,否则鱼龙混珠、知识垃圾会直接影响高职教学的质量与声誉。打造精品微课应成为高职教育教学的风向标,目的在于推动教育教学改革,突显时代特色。教育是需要不断求新求变的,当然,更要始终抓住育人这一根本,有效的学习支持服务应该体现在方方面面,精品微课将是不错的选择。
4结束语
第2篇:互连技术论文范文
1.现代远程教育
近些年,国家教育部门大力推进引导网络教育,目前国内许多机构和个人已经建立了大量的学习网站。现代网络教育主要体现在现代远程技术教育,这是一种新兴的教育模式,国内一些高校正在探索,并且这种模式目前也只在高等教育中开展。据笔者了解,中央音乐学院远程教育是以网络学校的形式开展,其基本教学内容是教师在网络上利用课件上课、答疑、批改作业、辅导、考试等。
2.名师声乐教学视频
我们知道,音乐家、声乐家对声乐作品的讲解与范唱,具有权威性、可靠性。如今网络上有大量国内外知名声乐教育家、歌唱家的讲解和演唱视频提供下载,通过观看视频很好地调动了学生的学习兴趣。
3.声乐教学网站和论坛
互联网上有关音乐的论坛和网站有很多,比较具有代表性的网站和论坛有古典音乐网、北京音乐教育网、中国艺术教育网等。在这些网站中都有较为专业的音乐论坛,话题从声乐、器乐到音乐理论,应有尽有。
4.语音视频声乐教学
这是运用互联网技术,通过即时在线教学来解决空间限制的一种教学方式。这种教学方式的前提是通过网络建立语音或视频聊天室,然后将聊天室ID以及视频声乐教学的安排进行通知宣传,人们可以在约定时间进行网上学习交流。这样一种网络手段,既可以解决声乐学习者和声乐教学者身处异地的空间约束,同时也可以让学习者自主选择自己喜欢或感兴趣的教师或教学资源。
二、网络声乐教学优势
1.有助于学生自主学习
由于高等院校大规模扩招,师资力量并没有成正比增长。因此,出现了由“一对一”演变到“一对多”的教学形式。通常是5到10人一节课,学生基础参差不齐,课堂教学时间有限,授课教师无法能在课堂上完全兼顾到每一个学生,所以学生课后的自主学习显得尤其重要,丰富的网络资源能够帮助学生更好地进行自主学习。
2.有助于提高演唱素质
声乐教学不同于其他学科教学,无论是歌唱发声知识还是发声训练都比较抽象。每周一次的声乐课,对于加强学习者对发声状态与感觉的记忆巩固是远远不够的。通过观看网络上教学经验丰富的教师的视频教学,可以与网络上名师的教学进行对比,加强自身对歌唱发声状态及感觉的领悟。通过与教师沟通或观摩学习别人的上课演唱,能够更全面地理解正确声音的要求,并借鉴他人的长处,从而更好地从各方面丰富自己,提高综合演唱素质。
3.有助于突破时空限制
由于声乐学科的特殊性以及每一个声乐学习者的嗓音条件和声音特点都不尽相同,使得声乐教学一直延续“师傅带徒弟”“面授机宜”的教学方式。这种对教学条件的要求,无形中在师生之间树起了一道屏障,让很多声乐爱好者望而却步,出现了课后没有教师就不知如何练声的情况。而网络声乐教学这种新型的教学方法正好可以解决这个问题。利用论坛开展师生在线互动的学习交流,学生不但可以最大限度地汲取多方面的专业声乐知识,而且在自己遇到无法克服的难题时,可以通过在BBS上发帖来获得专业教师和其他学习者的帮助,听取广泛的意见或建议。也可直接通过互联网在线声乐教学的方式,在专门语音视频聊天室进行学习。
4.有助于积累声乐曲目
合理、有效地利用网络资源来开阔视野、学习新曲目,是网络对声乐学习提供的又一便利。网络信息交流的便捷使得一些新歌或者一些近乎“失传”的歌曲都能被我们找到,并且网络能提供原唱、翻唱等不同版本的音乐信息,以及歌曲创作背后的相关文化信息供我们参考。学习者既可以较快地学唱旋律,还可以在歌曲的表演、情感的体验、演唱的处理上获得多方面的帮助。
5.有助于开阔视野
在声乐学习的初级阶段,学生如何客观、正确地衡量、判断自身的声音条件或演唱水平,如何避免“井底之蛙”式狭隘思维,就需要借助网络声乐教学。学生往往不能全面正视自己的歌唱状态,对于歌唱观念的理解也会有很大的偏差,教师应在教学中运用多媒体,将网络上国内外声乐教育家的视频教学进行播放,开拓学生视野和思路,使学生学会思考,寻找到适合于自己的演唱方法,为己所用,达到良好的效果。
6.有助于共享学习资源
由于网络信息更新的迅速,学习者可以及时了解国内外的学术动态,并且可通过网络下载,存储自己所需要或感兴趣的音乐声像资料、文献资料。网络还可以给学习者提供新颖的教学理念、创新的教学模式,以及充实的教学内容。学生根据自己不同的学习需求寻找不同的学习资源,并将其贡献出来与他人交流。网络教学资源的最大化共享,既可以满足不同水平学生的学习需要,又可以满足学生选择自己感兴趣的音乐资源。因此,充分利用网络资源开展教学,有益于个性化教学的实现,对于培养学习者的自主学习意识、竞争意识,激发学习者的潜能,发展学习者的综合素质有着积极的意义。
三、网络声乐教学的劣势及解决方法
1.网络声乐教学的劣势
(1)师生交互性缺乏
目前,通过网络学习声乐,单一的知识传递较好,但交互性不强。由于面对电脑屏幕进行交流,学生与教师容易产生情感上的疏离感。对于教师来说,如果每天对着录音录像的机器讲课,而无法获得学生即时的反馈,更不用谈进行因材施教。学生对于学习中的难点问题,自己不能很好解决,又无法等到及时的指导。而这些情况,教师不一定能及时得到反馈,也无法保证能够进行有针对性的讲解。网络学习中教和学的双方,缺乏一定的交互性。
(2)网络资源组织管理无序
网络上资源虽然丰富,但零散的资源不利于学习,并且资源建设缺乏相应的组织管理系统,制约着资源的利用效率。同时在线学习允许并鼓励学习者之间进行自由交流,使得一部分学习者只把他们认为重要的信息输入到系统中去。这就给其他学习者造成了影响,他们必须从大量的信息中去挑选真正对其有帮助的内容。如果有人想利用网络学习散布一些消极的思想或者恶搞的作品,将会给学习者的学习造成很大的麻烦。
(3)声乐学科特殊性的局限
由于声乐学科的特殊性,其授课方式不能仅仅依靠互联网和电脑的简单操作,其必须要通过面授的方式来完成。声乐是声音的艺术,其对声音质量的要求非常高,通过互联网进行的远程声乐教学,由于技术、设备、网速和周围环境等原因,都会对声音的质量有所损耗,不能保证声音完全真实的效果,进而影响声乐教学效果。而且,声乐不仅仅是单一个体的艺术,其是集体合作的艺术,很多音乐形式仍然需要通过集体教学才能完成。
2.有效避免劣势的解决方法
(1)利用现代技术整合教学资源
教师首先要教会学生怎样利用网络资源,并通过网络进行学习研究,提供有效的教学网址,鼓励学生查阅。整理收集网络上有学习价值的声乐教学资源,包括音频、视频和文本资料,整理归类后存放在声乐教学网站的资源库里,可通过学校局域网向学校师生公开。学生可以在资源库里找到海量的信息,为学习提供帮助。
(2)建立网上论坛为师生提供交流互动平台
教师利用互联网技术平台辅助声乐教学,扩大了师生交流的互动空间,为学生自主开展学习提供了平台。网站可以根据学生的需求和专业特点,开设相关的栏目。一般平台的建设中有侧重学生歌唱技术技巧的栏目,拓展专业理论修养的栏目,还开设有交流和答疑栏目,与学生集中探讨学习中的共性问题、课后练习的技巧要领。这样既可以让学生结合自身的学习情况,有针对性地查漏补缺,又可以带领学生集中研究一些共性问题。例如,关于歌唱声音位置的训练,很多学生对此有不同的理解,难免会走入误区。教师可以通过调取论坛中的相关资源,通过对比来让学生体会,帮助学生树立正确的声音观念。此外,教师还可以根据学生的不同情况,建立独立的“学习档案”。教师把每个学生的学习要求写在“学习档案”里,包括整体的学习计划、单个练习曲的重难点、曲目的简要分析、课后注意事项等,为学生自主学习的开展提供良好的参考。这样一个全方位的平台建设,就像一个永远存在的课堂,使有限的课堂教学变成无限的教学空间,有效延伸了课堂教学。
四、结语
第3篇:互连技术论文范文
关键词:互联网;专利;现有技术;界定
无论在专利侵权还是专利无效案件中,现有技术总是被用来衡量发明创造是否具有新颖性的客观参照物。因为一项发明创造,不管它能够带来多大的利益,如果被认为是现有技术的一部分,则就没有理由授予其专利权。专利的发展总是与科技同行,无论是在其具体内容上还是对其界定标准上,网络的出现无疑也给专利法的适用带来了一定的困惑,如网络软件是否可授权,网络信息可否作为现有技术等等,对于上述问题,理论和实务界已基本上达成共识[1],本文也无意于此。但是,在将海量的互联网信息纳入现有技术时,如果仍然遵循传统的现有技术界定条件,则会因为现有法律规定的缺失以及互联网信息与传统现有技术的区别而存在一定困难。因此,探讨在网络环境下如何将互联网信息纳入现有技术的范围,也即如何将互联网信息界定为现有技术就成了当前理论界和实务界的当务之急。
一、现有技术与互联网信息
传统上,对于现有技术,我国理论界和实务界有不同的观点,我国理论界学者定义为“指那些已经被(已经能够被)人们所得到的技术。”并且采取列举的方式对现有技术进行概括。[2]247实务界则定义为“指申请日以前公众能够得知的技术内容,其与时间,地域和公开方式有关”[3,4]144-145,3
我国当前的《专利法实施细则》则作了更加细致的描述,在《专利法实施细则》中第三十条规定“……是指申请日(有优先权的,指优先权日)前在国内外出版物上公开发表、在国内公开使用或者以其他方式为公众所知的技术,即现有技术”。
欧洲专利公约EPC第54条(2)将现有技术定义为“应当认为,现有技术包括在欧洲专利申请以前,以书面或者口头描述的方法,依使用或者其他任何方式,可为公众所得知的一切东西(信息)”。WIPO则将其定义为“是指一项发明在专利申请的申请日之前,或在申请优先权情况下的优先权日之前公众所获知的所有知识的总体。”[5]但是,上述所有的现有技术定义中似乎都不包括互联网信息。
关于现有技术是否应该包含互联网信息,有论者对此从互联网信息作为现有技术符合专利法的原理、互联网已成为信息获取的主要手段以及互联网信息具有现有技术的根本属性三个方面进行了详尽的论述,[1]还有论者从现有技术的三性方面论述了互联网信息可作为现有技术。[6,7]日本特许厅则了《处理在互联网上公开的技术信息作为现有技术审查指南》,在该指南中,更是明确了日本《专利法》中的“线路”指的是双向传送线路,一般包括发送和接受两个通道,即我们所说的网络线路。
实务中,各国审查员在进行现有技术检索时,也会自然地将互联网上的信息作为评价现有技术的间接或直接来源,这在各国专利审查中已是不争的事实。尽管美国并没在其《专利法》中明确规定互联网信息可以作为现有技术,但在美国专利商标局编写的《专利审查程序手册》(ManualofPatentExamingProcedure即MEPE)第2128条中明确规定“电子公开物包括在线数据库和互联网公开物,如果此类公开可为任何与此技术相关的人所获知”。
可见,将互联网信息作为现有技术无论是理论上还是实务上都已经不存在问题。
二、作为现有技术的互联网信息的特征
尽管将互联网信息作为现有技术已成为必然的趋势。但是,如果将互联网上公开的所有信息作为现有技术却存在许多问题,因为互联网信息与传统现有技术相比,存在以下明显的特征:
1.信息内容的不稳定性。在互联网中,许多网站特别是新闻网站,由于对信息的时效性要求,会频繁地对其网站上的内容进行更新修改,经常会出现一小时甚至几分钟前后网站上的信息就大不一样;其次,黑客技术的扩展也很容易使心怀不轨的人能够轻易地修改互联网上的信息内容和信息的公布时间。由于互联网信息的不稳定性,带来了该信息存在时间和内容的不确定性,最终影响到公众对该信息的可获取性,而如果公众不可能有足够的时间来得到该信息或者得到的是不正确的信息,则又如何能将该信息称之为现有技术?
2.信息形式的多样性。互联网上的信息有加密和不加密信息,如有些网站要进行注册登录后才能进入,或者只有本站注册并缴费的会员才能浏览;有即时信息和保留固定时间信息,如聊天工具QQ中发送的信息通常都不会被保留,而BBS和论坛栏目中的的信息则可能会有期限保留;有向单个人发送的信息和向多人发送的信息,如电子邮件E-mail发送给个人的邮件和QQ聊天中发送给聊天对象的内容,还有向所有会员发送的群发邮件或聊天群中向所有的群用户发出的信息。这就使得,对于互联网上的信息适用统一的标准来界定其是否可作为现有技术存在很大困难。
三、互联网信息作为现有技术的界定
目前,无论是理论界还是实务界一般都认为,我国专利法对现有技术主要从以下四个方面来界定:一是时间上必须确定该现有技术出现于本专利申请日之前;二是地域上,采取混合性标准,即对出版物公开的现有技术采取世界公开标准,其他方式公开的现有技术则采取国内标准;三是公开的方式,有出版物公开、使用公开和其他方式;四是公众的可获取性,该公开的现有技术必须是能够为公众所得到。[8]也即通常所说的现有技术的三要素:时间要素、地域要素、公开要素加上公众可获得性,互联网信息要作为现有技术也不能例外。接下来,笔者就从这四个方面来探讨如何将互联网信息界定为现有技术。
(一)确定互联网信息的公开时间——时间要素
笔者前面已经论述过,由于黑客技术的扩展,互联网信息时间如果简单地依据信息文件所显示的时间来确定肯定是不符合实际的。日本特许厅在《处理在互联网上公开的技术信息作为现有技术审查指南》中指出,对信息是否在申请日之前公开这一问题的回答应基于引用的电子技术信息所载明的时间,公开的时间应按照将互联网信息在各自网站公开的国家或者地区的时间转化为日本标准时间来进行确定。从上述内容可得出:第一,日本特许厅不会采用未载明公开时间的互联网信息为现有技术;第二,网站公开时间可以用来判断该互联网信息的公开时间,但该网站公开时间仅作为认定该信息公开时间的基础,只有在对该时间“进行确定”的判断后,才能确定其具体公开时间。[9]而美国《专利审查程序手册》第2128条中也有类似的原则性规定:未包含公开时间的互联网信息或在线数据库不能作为现有技术。笔者认为上述日本特许厅的做法可取。原则上,未载明公开时间的互联网信息不能作为现有技术;其次,已载有公开时间的互联网信息是否可以作为现有技术应进行个案考察。
对于如何来确定互联网上信息的具体公开时间,日本的上述《指南》列举了一个“极少怀疑成分”信息的网站,并明确对于在上述网站公布的信息,其公布的时间就可以直接引用为该信息的公开时间。
而欧洲专利局则在2005年检索与提供文件方法座谈会的研究报告中给出了一些建议。该报告认为:
1.对于互联网上相当数量的可得信息而言,没有什么标记可用来确定信息初次为公众可得到的时间,但为了对公众可得性有个大概的指示,确定一下日期有时会有帮助:电子文件最后进行修改的日期;文件归入服务器目录的日期;搜素引擎在特定地址首次访问的日期。
2.对于一些文件,比如某些期刊的论文或文章,人们可以早于书面出版物之前在互联网上得到,这时互联网上给出的日期就是EPC第54(2)条下公众可得的有效日期。
3.对于PDF等类似格式的文件需格外注意,虽然在文件工具窗口可以获得文件创作的日期、最后修改的日期,但应与公开日期相区别。
从上述国家或组织的有关规定可以看出,在确定互联网上信息的具体公开时间时,首先,应根据该信息公开网站的性质来确定,对于一些信誉度高的网站信息,称之为“豁免网站”,可以将该信息在网站公布的时间直接作为其具体公开的时间;否则,则将该信息的公开时间推定为其在网站上的时间、文件的最后修改时间或搜索引擎首次访问的时间,但如果不同意该时间为该信息公开时间的一方有相反的证据,则该时间可能被,也即通过个案中的举证责任分配来最终确定该信息的具体公开时间。
(二)互联网信息应视为公开出版物还是属于其他公开方式——地域要素和公开要素
互联网信息作为现有技术,其究竟是属于出版物公开还是属于其他方式公开,学者们似乎无一致意见,一种观点认为应重新解释现有技术的定义,也即修改我国《专利法实施细则》第三十条关于现有技术定义,通过对其中的出版物的重新定义将互联网上的信息包含到我国现行法律规定的出版物中,或者修改非出版物的地域限制为绝对标准,从而将互联网上的信息纳入到其他公开方式的现有技术中。[1]还有种观点认为应划分到出版物类,认为“解决这一问题的办法很简单,就是在审查指南中对出版物的定义再做具体改动即可,最稳妥的办法就是直接修改概念……”,并提出了具体的修改。[5,7]笔者以为,基于互联网信息与传统出版物的明显差异,其明显的网络虚拟特征以及人们长期习惯的出版物概念,不能简单地通过扩大解释我国专利法中出版物的概念来将互联网信息纳入出版物中;其次,由于其他公开方式中的地域限制问题,如果简单地扩大地域的限制为绝对地域标准,则会对我国专利的审查工作,即实务带来较大的冲击和影响,同时也会带来了举证难等许多实践中的问题,不利于纠纷的及时解决;还有,在我国,修改上述法律法规的程序比较漫长,修法成本也大。
其实,美国专利商标局对《专利审查程序手册》的修改给了我们启发。美国专利法和我国专利法一样,对于现有技术的界定采取的是与我国相同的混合标准或称相对标准。[7,8]但美国在将互联网信息纳入现有技术时并没有修改其专利法,而是将其“视为”公开出版物,修改了其《专利审查程序手册》。笔者以为,其根本的原因在于:美国认为,对于互联网信息而言并不存在一个地域性问题;其次,互联网信息与公开出版物具有相同的绝对公开、全世界公开的效果,但仍然不能称之为出版物,类似于我国著作权法上法人或非法人组织可视为著作权作者,但其不可能是著作权的真正作者。事实上,任何地方上载或存放的信息,只要是进入了互联网,“由于互联网的无国界性,就意味着在全世界范围内公开和使用,因此并不存在国内使用的可能。”[6]换句话说,互联网信息应该是能够在本国内通过互联网来获取的信息,否则的话,它还能叫互联网信息吗?因此,考虑到上述修法成本等原因,而我国《审查指南》的修改相对比较容易些,可以由国家专利局通过修改《审查指南》或审查指南补充规定的方式,将互联网上的信息作为专利法实施细则中规定的现有技术的“其他方式”即可,而完全不必将互联网信息视为出版物或对专利法及其细则作修改。
(三)如何来确定互联网信息的公众可获取性
1.互联网信息的公众可获取性。现有技术的公众获取性就是指技术信息处于这样的状态,它能够被非特定的个人看到,并且无需暗示该信息已被实际使用,公众可获知性是贯穿整个现有技术的精髓。[7]传统现有技术对公众可获取性考察的关键在于该信息或技术处于“能够为公众获知的状态,即所谓‘公众想得知即可得知’的状态……,至于是否确实有人得知,则在所不问”。[4]
在网络环境下,对于普通公众从互联网上获取信息来进行创新活动已不是问题,但是,正如我们前面已论述过的,由于互联网信息的不确定性和多样性,简单地将将所有的互联网信息作为现有技术肯定是存在问题的,因此,在考虑将互联网信息作为现有技术的时候,我们必须另辟捷径。
2.互联网信息的公众可获取范围。笔者认为,尽管我们不能将互联网上的信息绝对地作为现有技术,但是可以考虑将互联网信息根据其基本特征做某种划分,从而对互联网信息的公众可获取性进行区别对待。
第一,开放性无偿信息与加密性有偿信息。互联网上的信息,根据其是否可以直接通过点击链接而无需输入交费获取的密码或口令可分为开放性无偿信息与加密性有偿信息,前者主要包括一些普通的新闻网站、个人网站、论坛或BBS等,该类网络信息的共同特点就是用户无需付费就可以通过直接访问或注册用户而登录浏览网络上的信息,一般可以分为两种:第一种为免登录网站信息,如新浪网站等一些新闻网站信息,通过上网后输入网址就可以充分浏览到其网站上的免费新闻信息;第二种为登录访问信息,如一些免费论坛、BBS网站上的信息,用户必须根据该网站的要求先进行注册,取得用户名和口令后才可以据此登录网站进行浏览其站内的免费信息。因上述两种信息与我们普通的其他纸质信息如报刊新闻或出版物等一样具有开放性,即只要你安装并接通了互联网络,你就可以通过点击或登录来访问浏览这些开放性的无偿信息内容,因此,这些信息当然具有公众可获取性。后者主要有会员访问信息,如有些网站要求进入者必须根据要求并付费后取得用户名及密码后才能登录进入访问浏览站内信息,对于该类网站信息,尽管有不同的意见,但学界基本达成一致的意见,即只要网站对付费用户对象没有特殊要求,如未附有某种先前注册时约定的保密义务或行业习惯上的默示义务,并且完全符合一般公众的条件,该类网站上的信息同样可以归入现有技术的范围[5,10],具有公众可获取性。
第二,网络保留信息与即时网络信息。这是根据信息在网络上保留时间长短来进行划分的,网络保留信息是指该信息在互联网上保留了足够长的时间,一般是指该保留的信息可以为一定数量的网络浏览者——公众所查看到,如新闻网站上的信息,论坛内、BBS上的信息。对于该类信息,即使其并不直接出现在所进入的网站上,但也可以通过一些搜索工具如站内搜索或搜索引擎Google等查找后间接找到。考虑到网络技术的发达,任何技术领域的普通技术人员都会使用上述方法来查找信息,因此,该类信息通常也应属于公众可获取的信息范围。另一类是即时网络信息,即该类信息在网络上未能保留足够长的时间,其短暂时间仅使当时在线的某些人浏览到,有时可能只是者和管理员看到而已,如某人上传信息到某论坛上,因为该信息不符合论坛的要求而很快被管理员发现并删除。日本特许厅的《处理在互联网上公开的技术信息作为现有技术审查指南》认为,信息公布的时间并不足以使普通公众有效访问时,这样的信息是不被公众可得到的信息。学者维哈尔施特等在《现有技术在互联网上的公开:欧洲的观点》一文中也明确表示:短暂时间的公开并不能认为可以构成现有技术,尽管很难证明在互联网上的公开事实仅是因为出现了短暂的时间和恶意行为。[7]笔者基本赞同上述观点,因为,即时网络信息由于存在网络上的时间太短,以至于根本不可能被一般公众所接触到,当然也就不可能被本领域的技术人员利用,因此其不具有公众可获取性。
但上述观点唯一难以解释的是,被公众所有效访问的足够长时间应如何解释?足够长时间可以采取主观性标准和客观性标准来解释。如果采取客观性标准,则法律上就应规定一个具体的信息保留时间,但这显然是不符合现实的,比如我们规定3天的保留时间,也即确定互联网上的信息只要在任何网站超过3天时间既可以作为现有技术。但现实中网站情况各不相同,有些网站如专业网站或会员网站由于访问的人少,甚至可能从信息上载到申请日的很长一段时间内(超过3天)根本就没有人来访问过该网站,该信息也就不可能被相关公众所得知,因此,客观性标准是行不通的。笔者认为,可以参考前面有关互联网信息公开时间的论述,对于被列入到“豁免网站”名单的网站信息,无论其公开的时间有多长,只要其在上述网站公开过就具有公众可获取性,即采用客观性标准;而对于其他网站上的信息,则应在个案中通过双方的举证责任分配来确定具体的公开时间,也即采取主观性标准。
第三,单向网络信息和多向网络信息。这是根据信息对象的多少来划分的。单向网络信息是指信息仅在单个的网络用户之间进行流通,而不泄露给第三者,如我们经常使用的普通电子邮箱、QQ之类的即时聊天工具以及聊天室内的私聊等信息,该类信息通常因为公开的对象有限,不可能被一般的公众所获知,所以也不具有公众可获取性。而多向网络信息,是指该信息是面向多人传递的,从而有可能会被一般的公众所获知。该类信息又可以分为不特定对象的多向信息和特定对象的多向信息,前者由于信息可能被任何不特定的对象所获得,所以构成现有技术的一部分。后者则应区别对待,对于那些只向特定的有某种保密性义务对象的信息,如某公司向本公司内部特定级别的管理层员工发送的邮件,显然不足以为一般的公众所了解,因此不具有公众可获取性,而对于那些向特定的但不存在保密性义务的对象的信息,如某网站仅向本站已注册用户的信息,或公司向普通员工的信息,则应具有公众可获取性。
参考文献:
[1]何越峰,互联网信息的现有技术效力问题初探[M]//国家知识产权局条法司.专利法研究(2003).北京:知识产权出版社,2003:201-202.
[2]郑成思,知识产权法[M].北京:法律出版社,1997.
[3]吴观乐,专利实务[M].北京:知识产权出版社,2007.
[4]国家知识产权局专利复审委员会.专利复审委员会案例诠释——现有技术与新颖性[M].北京:知识产权出版社,2004:3
[5]刘华,赵静.互联网公开对现有技术的影响[J].世界科技研究与发展,2007,29(1):76.
[6]杨为国,戚昌文.互联网信息对专利新颖性的影响[J].知识产权,2001(6):16-17.
[7]姜向伟,互联网信息作为现有技术的有关法律问题研究[D].北京:中国政法大学硕士学位论文,2006.
[8]刘华,赵静,万小丽.现有技术的界定[M]//国家知识产权局条法司.专利法及专利法实施细则实施第三次修改专题研究报告(上).北京:知识产权出版社,2006:189-192.
第4篇:互连技术论文范文
关键词:异构数据库;数据访问;Hibernate
中图分类号:TP311文献标识码:A文章编号:1009-3044(2011)08-1713-03
The Application of Hibernate in System of Heterogeneous Databases
YAO Xiao-hui, WANG Hui, ZHANG Ya-jun
(Information and Control Institute, Xi'an University of Architecture & Technology, Xi'an 710055, China)
Abstract: In recent years, there is a lot of data storing in different databases during development of enterprise, therefore, many isolated subsystem of data formed in each department. And it is obstacle to application of data. At present, database middleware is one of important technology in integration of data in heterogeneous databases and be used in this paper to realize access to heterogeneous data in internal of enterprise.
Key words: Heterogeneous databases; access of data; Hibernate
近年来,随着计算机网络技术的发展,网络资源信息共享在人们生活学习中起到了重要作用。然而由于各种原因,计算机网络信息的数据存在于不同的数据库管理系统。如何消除异构数据的差异,将各个孤立的数据系统有机地联系起来,为用户提供统一透明的访问成为计算机网络研究的重要方向。本文基于Hibernate数据库中间件技术实现对异构数据库的透明访问。而当前的异构数据库系统中主要存在以下几个问题:
1) 数据信息的数据库管理系统不同,如:MySQL、HSQL、SQL Server等数据库管理系统;
2) 不同数据库管理系统数据类型的异构,如:整型数据的长度、布尔类型的支持等;
3) 数据库所在的操作系统的异构,如:Windows、Linux等;
4) 数据库所在的网络环境的异构,如:Internet和各种局域网。
1 异构数据访问技术简介
目前国内外针对异构数据库技术的研究已经取得了一定的成绩。对于异构数据库的集成和互联问题的解决方法主要有,基于XML的异构数据库访问中间件技术,基于Web Service的异构数据库技术,Java RMI(Remote Method Invocation)、DCOM(Distributed Component Object Model)和CORBA(Common Object Request Broker Architecture)分布式对象模型技术等。在这些技术的研究过程中,都会涉及到异构数据库中数据访问技术,主要包括CGI(Common Gateway Interface)、CDG(Common Database Gateway)、CPI(Common Programing Interface)技术等。
1.1 主要异构数据访问技术
1.1.1 基于CGI的数据访问技术
CGI是Web服务器与CGI应用程序之间进行信息传递的一种标准,是目前访问数据库最常用的方法之一,它移植性好,几乎所有的web服务器都支持CGI标准。但是,CGI有一个致命的弱点,那就是CGI程序不能被多个客户请求共享。每当接到一个请求后,即创建一个并发进程,并发请求越多,创建的并发进程越多,占用的内存空间越大,这样就限制了应用程序自身所用的内存资源。
1.1.2 基于CPI的数据访问技术
通用编程接口是将各数据库的连接驱动进行封装,以一种的编程形式为开发者提供统一的接口。当前通用数据库编程接口主要有微软公司的开放式数据库互连技术ODBC(Open Database Connectivity)和Sun公司的Java数据库互连技术JDBC(Java Database Connectivity)。
JDBC是第一个支持Java语言的数据库应用程序接口,功能上与ODBC相仿,定义了连接数据库的操作规范,实现对查询语言的支持,并提供对不同数据库管理平台的驱动支持。另外,Java语言实现的API,JDBC可以实现跨平台的应用。
1.2 基于Hibernate的异构数据访问技术
Hibernate框架技术,是一个开源的对象关系映射框架技术,它实现了对JDBC的轻量级封装,使得Java程序员可以使用面向对象编程思维来实现对数据库管理操作。Hibernate可以代替JDBC应用的任何场合,既可以在Java的客户端程序使用,也可以在Servlet/JSP的Web应用中使用,更重要的是,Hibernate可以在应用企业级架构中取代CMP,完成数据持久化的重任。Hibernate是一种数据库中间件技术,其存在于应用与数据库之间,如图1所示。
Hibernate O/R映射是数据库开发最关键的组成部分。Hibernate采用XML文件来定义对象和关系数据库之间的映射,具体的实体映射关系包括:类名与表名的映射、主键映射、属性与字段的映射。另外,Hibernate同时为开发者提供数据表间关系的映射,即持久化对象之间的关联关系包括:持久化对象的一对一关联、一对多关联和多对多关联,这些关联都可以在配置文件中以关键字进行表示。
2 基于Hibernate的异构数据库访问的设计
结合异构数据库应用的特点,其主要的应用流程如图2所示,用户通过应用程序向服务器发送查询数据请求,当服务器接收到查询请求时进行请求分析,并依据系统所提供的全局数据字典,将查询请求划分为对各个数据子系统的分查询,由数据连接管理模块进行具体数据库的查询操作,操作完成后将结果进行整合返回到用户界面。该设计主要考虑的是存在于服务器端的数据的分解查询与查询结果整合,图2是对各个模块的设计。
2.1 全局数据字典
全局数据字典,是用于描述整个系统中各数据库的基本信息,各数据库与全局数据库模式之间的映射关系,其详细内容包括:各个局部数据库的名称、类型、驱动、节点地址、用户名和密码;全局数据表与局部数据表的映射关系;全局表字段与局部表字段的映射关系;字段类型的映射关系。
1) 全局数据库信息
其中描述了整个系统内各个局部数据库的基本情况,包括:数据库名称、数据库类型、节点地址、用户名和密码,从而提供JDBC连接的基本内容,如表1所示。
表1
在Hibernate中,采用Java提供的Properties实现全局数据库表,其配置文件名称为hibernate.properties,内容如下:
hibernate.dialect=net.sf.hibernate.dialect.MySQLDialect
hibernate.connection.driver_class=com.mysql.jdbc.Driver
hibernate.connection.url= jdbc:mysql://host:3306/mybook
hibernate.connection.username=Book1user
hibernate.connection.password=****
hibernate.show_sql=true
针对于多个数据源连接时,可以通过Configuration实现不同数据源Session的创建如下:
SessionFactory mysqlSessionFactory =
new Configuration().configure("/mysql.cfg.xml").buildSessionFactory();
2) 全局数据表与局部数据表映射
全局数据表是对类型相同的位于不同数据库管理系统的数据表的一种抽象的统一,为用户层提供一个一致的访问接口和显示界面,如表2所示,以图书馆图书表结构为例。
表2
在表2中,数据表Book_table1和数据表Book_table2属于不同的数据库,但是通过该关系映射表,它们都属于全局表Book_table的子表。在处理全局表字段与局部表字段映射时,应注意到全局字段所在全局表对应于局部字段所在的局部表,即在整个系统中,全局字段有其全局字段的唯一表示,局部字段有其在系统中的唯一表示。
在应用Hibernate实现异构数据访问时,通过ORM可以实现Java类到关系数据库的映射,这是不再赘述。在实现全局数据表到局部数据表的映射时,可以通过局部数据表类实现全局数据表接口的形式完成。
interface book{
…//book对应于book全局数据表
}
class book1 implements book{
…//book1对应于book1局部数据表
}
class book2 implements book{
…//book2对应于book2局部数据表
}
2.2 请求接收分析模块
该模块负责接收从用户应用的客户端接收发送过来的查询请求并进行分析,对应全局字典将全局的查询语句翻译成对各个局部数据库的子查询,并将其递交到数据连接管理模块。当接收到SQL请求“select * from book where isbn=1”,在HQL(Hibernate Query Language)中是对book类集合的操作,首先对各个局部数据库进行SELECT操作获得数据库的Java Bean备份,通过查找与其条件匹配的结果返回到用户界面。
2.3 数据连接管理模块
数据连接管理模块负责对局部数据库进行子查询操作,并将结果提交到结果整合模块。在该模块中主要是对各个局部数据库连接驱动和数据库连接池的管理,底层的操作由JDBC实现。对于所需数据库连接驱动的描述在上文的全局数据字典已经给出,而对于各个局部数据库查询语言仍可以采用HQL,局部数据库查询操作如下:
Session session = SessionFactory.openSession();
Transaction tx;
tx=session.beginTransaction();
session.delete("from book1 as c");
mit();
2.4 结果整合模块
该模块负责将数据连接管理模块递交的查询结果进行整合。局部数据库所提交的结果是以Java Bean形式进行存储的,在整合的过程中,采用身上转型将各个结果转化为其接口的形式,实现其格式的统一。最后,数据结果以HTML或JSP的形式显示到应用客户端。
3 结束语
论文采用Hibernate数据库中间件技术实现了对异构数据库的数据访问,在一定程度上解决了操作系统异构性,数据库管理系统异构性,数据表结构的异构性,在实际的应用中也起到了用户透明访问的作用。但是,从整个异构数据库中依旧存在的问题来看,论文中的设计在局部数据库安全控制没有过多考虑,在深层次的异构情况中,表现不足。未来异构数据库技术必将在B/S模式下取得长足的发展,而由此带来的各方面技术的进步又将完善整个异构数据库系统。
参考文献:
[1] Elliott J.Hibernate程序高手秘笈[M].O'Reilly Taiwan公司,译.南京:东南大学出版社,2007.
[2] 孙卫琴.精通Hibernate:Java对象持久化详解[M].北京:电子工业出版社,2005.
[3] 吴其庆.Eclipse程序设计实例教程[M].北京:冶金工业出版社,2007.
[4] 徐斌,于微微,于志涛.基于Web服务的异构数据库集成技术研究[J].中国科技资源导刊,2008,40(5):19-24.
[5] 罗华雯,赵敬中.利用Java实现基于Web的异构数据库的联合使用[J].计算机应用研究,2000,7:104-106.
第5篇:互连技术论文范文
论文关键词:随着电信技术的不断发展,电信主干网络的功能越来越完善,功能也越来越强,所提供的业务种类也不断增加。但是作为整个电信网络组成之一的用户(终端)接入系统却因其技术和装备的相对落后而成为电信事业发展的“瓶颈”。为解决这一问题,近年在电信领域里出现了一种新的技术概念——光纤接入网
电信网:众多传输系统通过交换系统按一定拓扑模式组合在一起才构成电信网。
电信网的构成:用户终端设备,传输链路及转接交换设备。
接入网:由业务节点接口(SNI)和用户入网接口(UNI)之间的一系列传送实体(例如线路设施和传输设施)组成,为供给电信业务而提供所需传送承载能力的实施系统,可经由Q3接口配置和管理。
Q3
UNI
SNI
接入网的定界
二、 接入技术
1. 有线接入技术。
包括铜线接入,光纤接入,光纤/同轴混合接入HFC等,近几年发展起来的XDSL(数字用户线技术)技术通过将数字信号直接调制到模拟的电话线上传输,可以获得较高的宽带和传输速率,其主要的技术包括HDSL,ADSL,VDSL等。
2.无线接入技术。
其中,光纤技术的发展和应用使接入网能够全面改进传统的传输媒介,具有宽频带,传输距离远,传输质量高,损耗低等优点,提高了接入网的投资效益,使接入网朝着更高效,更安全的方向发展。
3.OAN(Optical Access Network)光纤接入网,就是指从业务节点(如交换机)到用户节点之间得馈线段,配线段及引入线段的部分或全部使用光纤实现接入的系统。基于光纤介质采用数据传输技术,用以提供宽,窄带双向交互式业务(语音,数据,Internet等)的用户接入系统与设备体系。
三、 光接入网网管
目前的接入网中大多是光接入网,光接入网的操作管理维护功能应遵守上述TMN的通用功能,同时又必须与一些针对光接入网的特有功能要求。
OAN的功能子系统有4类,即设备,传输,光的子系统和业务子系统,主要用来完成OAM要求。
设备子系统包含OLT和ONU的机箱,机柜,机架,也包含不在插板上的指示灯和铃以及光纤配线盘或配线架。设备子系统还包含OLT和ONU的机架机柜的供电以及光分路器的机壳。
传输子系统由OLT和ONU的收发设备电路和光/电电路组成。光配线盘和配线机架属于设备子系统,但光元件本身属于光的子系统范畴。
光的子系统由各种形成的光纤,光分路器,光滤波器和任何光时域反射仪(OTDR)或线夹式光功率机组成。
业务子系统有那些为了支持不同业务而需要专门将该业务与OAN的一般核心功能相适配的子系统组成,例如PSTN和ISDN。
从功能类别的角度看,则OAN的功能必须具备TMN所规定的4类功能类别:
——配置管理
——性能管理
——故障管理
——安全管理
以宁夏电信银川地区ADSL五期扩容工程为例,主要的节点设备在选型上应尽可能考虑性能价格比最优、与其它设备的兼容性、并便于网络管理;在网络技术上应提供完全的网络安全控制,远程信息点的接入技术。
宁夏电信IP宽带网采用三层结构,分别为核心层、汇聚层、接入层。
(1)核心层
核心层为下两层(分布层、访问层)提供优化的数据输运功能,它是一个高速的交换骨干,其作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中,否则会降低数据包的交换速度。
宁夏电信ADSL宽带网银川地区通过西城核心交换机Catalyst6509接入骨干网。
(2)汇聚层
汇聚层提供基于统一策略的互连性,它是核心层和接入层的分界点,定义了网络的边界,对数据包进行复杂的运算。
宁夏电信ADSL宽带网银川地区汇聚节点东城、西城、同心路通过交换机S8016接入骨干网。
(3)接入层
接入层的主要功能是为最终用户提供对宽带网络访问的途径。
贝尔网管系统
目前银川市老城区的各个ADSL设备接入节点利用带内网管通道与网管系统相连,网管系统为上海贝尔提供的网管软件AWS。主要提供故障管理(告警报告、故障记录、告警过滤、通过专家(Expert)系统进行告警分析、测试)、配置管理(传输配置、设备配置、传送配置、软件配置)、性能管理、计费管理和安全管理功能。强大的网络管理功能,可以最多同时管理200万个用户和或4000个节点,支持快速的业务部署、快速的发现节点或链路故障并进行故障定位和自动配置功能,使网络运维简便,节约了运维成本。该系统支持SNMP协议,每个ASAM都具有一个通往ADSL网管系统永久虚连接(PVC),从而实现对每个ASAM的管理。7300 ASAM提供ATM/IP网管连接方式,支持本地网管和远程TELNET方式和web方式管理。
华为网管系统
华为公司各DALAM设备均利用带内网管通道与原有银川信息大厦iManager N2000网管系统相连,进行集中管理。iManager N2000可以支持多客户端、分域管理的方式,即全网提供一个综合网管系统,管理全网的设备、网络和业务,利用网管系统本身提供的分域管理能力,为特定的区域提供相应管理权限的客户端。
港湾网管系统
银川已经有港湾公司一套HammerView网管系统,通过10/100M口连接到IP骨干网。
参考文献
[1] 用户接入网/顾群 -北京:人民邮电出版社,1996年
[2] 网络管理原理与实现技术/杨家海 -北京:清华大学出版社,2000年
[3] 网络管理标准教程/刘晓辉 -北京:人民邮电出版社,2002年
[4] SDH网络管理及其应用/李兴明 -北京:人民邮电出版社
[5] 现代网络管理技术/孟洛明 -北京:北京邮电大学出版社,1999年
[6] 计算机通信网络技术及应用/李道华 -北京:人民邮电出版社
[7] 网络与互连技术/顾红勋 -北京:人民邮电出版社
[8] 互联网接入——基础与技术/刘云 -北京:人民邮电出版社
[9] 通信与网络技术概述/智少游 -北京:中国铁道出版社,年
[10] 现代网络管理/ R.S.Blicg北京博彦科技发展责任有限公司;吴锡根等译.--北京 电子科技大学出版社,1997年
第6篇:互连技术论文范文
【关键词】隧道技术,应用,研究
中图分类号:U45文献标识码: A
一、前言
由于网络的发展和完善以及速度的不断提高,越来越多的公司逐步进行运用隧道技能。大规模的组建VPN网络已经成为一种趋势,这种技术越来越多地遭到用户的广泛重视。
二、VPN的隧道技术
VPN技术比较复杂,它涉及到通信技术、密码技术和现代认证技术,是一项交叉科学。具体来讲,目前VPN主要采用下列四项技术来保证其安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术、使用者与设备身份认证技术(Authentication)。隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网中建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道技术的基本工作原理是在源局域网与公网的接口处将数据作为负载封装在一种可以在公网上传输的数据格式之中,在目的局域网与公网的接口处将数据解封装,取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。
三、隧道技术
1、第二层隧道协议
第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。创建隧道的过程类似于在双方之间建立会话;隧道的两个端点必须同意创建隧道并协商隧道各种配置变量,如地址分配,加密或压缩等参数。第二层隧道协议有L2F、PPTP、L2TP等。
(一)、点对点隧道协议(PPTP)
PPTP将PPP数据桢封装在IP数据报内通过IP网络,如Internet传送。PPTP还可用于专用局域网络之间的连接。PPTP使用一个TCP连接对隧道进行维护,使用通用路由封装(GRE)技术把数据封装成PPP数据桢通过隧道传送。可以对封装PPP桢中的负载数据进行加密或压缩。
(二)、第2层转发(L2F)
L2F是Cisco公司提出的隧道技术,作为一种传输协议L2F支持拨号接入服务器将拨号数据流封装在PPP桢内通过广域网链路传送到L2F服务器(路由器)。L2F服务器把数据包解包之后重新注入(inject)网络。与PPTP和L2TP不同,L2F没有确定的客户方。应当注意L2F只在强制隧道中有效。
(三)、第2层隧道协议(L2TP)
L2TP结合了PPTP和L2F协议。设计者希望L2TP能够综合PPTP和L2F的优势。L2TP是一种网络层协议,支持封装的PPP桢在IP,X.25,桢中继或ATM等的网络上进行传送。当使用IP作为L2TP的数据报传输协议时,可以使用L2TP作为Internet网络上的隧道协议。L2TP还可以直接在各种WAN媒介上使用而不需要使用IP传输层。
2、第三层隧道协议
IPSec是指IETF(因特网工程任务组)以RFC形式公布的一组安全IP协议集,是为IP及其以上协议(TCP和UDP等)提供安全保护的安全协议标准。其目标是把安全机制引入IP协议,通过使用密码学方法支持机密性和认证服务等安全服务。IPSec通过在IP协议中增加两个基于密码的安全机制―认证头(AH)和封装安全载荷(ESP)来支持IP数据报的认证、完整性和机密性。IPSec协议族包括:IP安全架构、认证头AH、封闭安全载荷ESP和Internet密钥交换(IKE)等协议。IP安全架构协议指定了IPSec的整个框架,是IP层安全的标准协议。AH协议定义了数据源认证和完整性验证的应用方法。ESP为IP数据报文提供数据源验证、数据完整性校验、抗重播和数据加密服务。IKE为AH和ESP提供密钥交换机制,在实际进行IP通信
时,可以根据实际安全需求,同时使用AH和ESP协议,或选择使用其中的一种。
3、新兴的隧道协议
SSL是Netscape公司设计的主要用于web的安全传输协议。SSL被设计为使TCP提供一个可靠的端到端的安全服务,它不是一个单一的协议,而是由多个协议组成记录协议定义了要传输数据的格式,它位于可靠的传输协议TCP之上,用于各种更高层协议的封装。记录协议主要完成分组和组合,压缩和解压缩,以及消息认证和加密等功能。所有传输数据包括握手消息和应用数据都被封装在记录中。握手协议允许服务器与客户机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。通信双方首先通过SSL握手协议建立客户端与服务器之间的安全通道,SSL记录协议通过分段、压缩、添加MAC以及加密等操作步骤把应用数据封装成多条记录,最后再进行传输。
四、隧道技术的应用模型
1、端到端安全应用
IPSec存在于一个主机或终端系统时,每一个离开和进入的PI数据包都可得到安全保护。PI包的安全保护可以从数据源一直到数据被接收。制定相应的安全策略,一对独立的SA可以保护两个端点之间的全部通信―Tenlet、SMTP、WEB和FTP等。或者,根据两个端点之间通信的协议的不同(TCP和UDP)和端口的不同,分别用不同的SA保护两个端点之间的不同的通信。在这种模式下,通信的端点同时也是PISec的端点。所以,端到端安全可以在传送模式下,
利用PISec来完成;也可以在隧道模式下,利用额外IP头的新增来提供端到端的安全保护。
2、虚拟专用网
IPSec存在于路山器等网络互连设备时,司一以构建虚拟专用网VPN。VPN是“虚拟的”,因为它不是一个物理的、明显存在的网络。两个不同的物理网络通过一条穿越公共网络的安全隧道连接起来,形成一个新的网络VPN。VPN是“专川的”,因为被加密的隧道可以提供数据的机密性。而今,人们从传统的专线网络转移到利用公共网络的网络,逐渐意识到节省费用的VPN重耍性。通过在路山器上配置PISec,就可以构建一个VPN。在路山器的一端,连接着一个受保护的私有网络,对这个网络的访问要受到严格的拧制。在另一端连技的是一个不安全的网络帐Internet。在两个路山器之间的公共网络上建立一条安全隧道,通信就可以从一个受保护的本地子网安全地传送到另一个受保护的远程子网。这就是VPN,在VPN中,母一个具有IPSec的路由器都是一个网络聚合点。在两个PISec的路山器之间通常使用隧道模式,可以采用多种安全策略,建立一对或多对SA,试图对VPN进布J屯通信分析将是非常困难的。如果在一个本地私有网络中的数据包的目的地是VPN的远程网络―它是从一个路由器发送到另一个路山器的、加密的数据包。
3、移动IP
在端到端安IP全中,数据包由产生和l或接收通信的那个主机进行加密和解密.在VPN中,
网络中的一个路由器对一个受安全保护的网络中的主机(或多个)的数据包进行加密和解密。这两个组合一般称为移动IP。移动IP一般是独立的,它要求计问受安全保护的网络,它是一个移动的客户,不停留在某个固定的地方。他必须通过旅店、或任何一个可以进行internetPOP的地方,安全地访问公司资源。在移动IP的方案中,移动主机和路由器都支持PISec,它们之间可以建立一条安个隧道。它们能够在外出数据包抵达通信线路之前对它进行安全保护:能够在对进入包进行IP处理之前,验证它们的安全保护。具有PISec的路山器保护的是移动主机想要访问的那个网络,它也可以是支持V户N的路山器,允许其它的移动主机进行安全的远程访问。在这种方案中,一方是移动主机,它既是通信方。另一方将PISec当作一项服务提供给另一个网络实体。
4、嵌套式隧道
有时,需要支持多级网络安全保护。比如下面一个例子:一个企业有一个安全网关,以防止其网络受到竞争者或黑客的侵犯和攻击,而企业内部另有一个安全网关,防止某些内部员工进入敏感的子网。比如银行系统的企业网。这种情况下,如果某人希望对网络内部的保护子网进行访问,就必须使用嵌套式隧道。
5、链式隧道
一种常见的网络安全配置是Hub-and-spoke。从一个网络横过Hub-and-spoke网络,到达另一个网络的数据包都由一个安全网关加密,由中心路由器解密,再加密,并由保护远程网络的另一个安全网关解密。
6、隧道交换模型
如果从交换的角度来看,它也可以称为隧道交换模型。在中心路由器所连接的四个网络可以是不同类型的网络,隧道的实现方式也可以不同,但是,不同网络的两个节点在进行数据传输时,并不关心隧道的实现媒体,隧道可以接力的方式进行数据的传递。从安全的角度,假设每一个隧道是安全的,且中心路由器也是安全的,那么任何两个节点之间的通信也应该是安全的。假设隧道间彼此不能信任,那么可以只将隧道的连接看作是一条数据的传输通道,再使用前面所论述的隧道模型实现安全保护,如点到点的隧道安全模式。
五、结束语
由于Internet基础设施的完善,隧道技能必将将在网建等各范畴,发挥着越来越重要的效果。实现隧道技能的多种多样,它们各有各的优势,如今,市场上大多数都在使用VPN这类技能。
参考文献
[1]毛小兵,VPN演进之隧道交换.《计算机世界》2000
[2]沈鑫剡.IP交换网原理、技术及实现[M].北京:人民邮电出版社,2003.
第7篇:互连技术论文范文
论文摘要:以管理技术和计算机技术为基础的信息管理系统已经步入中国工业企业的经营生产活动中。因此,我们有必要探讨现代信息管理系统在现代信息社会中的作用,从而使其更好的为中国社会主义市场经济的有序发展做出突出贡献。
一、研究背景
二十世纪末,人类文明的发展进入信息时代,计算机技术、现代通信技术、网络互连技术、数据库技术、信息技术、智能信息处理技术、信息安全技术等关键技术都日趋成熟,为信息技术的发展、为信息系统的大规模建设和应用提供了坚实的技术理论基础。信息己成为社会生产力的一个重要因素。信息技术的发展使我们社会发生着一场变革,随着网络技术,尤其是INTERNET技术的成熟与发展,管理信息化已成为一种趋势。信息化是“社会经济的发展从以物质和能量为经济结构的重心向以信息与知识为经济结构的重心转变的过程”,数字化、网络化是其主要内容,信息化管理则是利用数字网络信息技术系统所进行的管理。西方发达国家的LIMS(实验室信息管理系统)市场在九十年代就已经完全打开,现在LIMS已经成为一个标准词汇为大家广为接受,在美国每年要召开一次LIMS大会,讨论LMIS的有关问题。在国内,LIMS在九十年代开始为人们所知道,并在石油化工等行业得到了一些初步推广,但总的来说还远没有达到普及的程度。这当然也受到了各种条件的制约:体制、观念、经费等等,但其中起根本作用的是硬件基础条件和人们的观念[1]。
二、信息管理系统的起源、定义及发展
(一)信息管理系统的起源
信息管理系统的概念起源很早。早在30年代,柏纳德就写书强调了决策在组织管理中的作用;50年代,西蒙提出了管理依赖于信息和决策的概念;同一时代维纳发表了控制论和管理,他把管理过程当作一个控制过程。50年代计算机已用于会计工作。1958年盖尔写到“管理将以较低的成本得到及时准确的信息,做到较好的控制”这时数据处理一词已经出现。
信息管理系统一词最早正式出现在1970年,由Walert.TKeunvena定义为:“以口头或书面的形式,在合适的时间向经理、职员以及外界人员提供过去的、现在的、预测未来的有关企业内部及其环境的信息,以帮助他们进行决策”。很明显这个定义是出自管理而不是计算机。他虽强调了用信息支持决策,但没有强调应用模型,也没有强调一定要用计算机。所有这些均显示了这个定义的初始性。直到1985年,出现信息管理系统的一个比较完整的定义:“它是一个利用计算机硬件和软件,手工作业、分析、计划、控制和决策的模型,以及数据库的用户一一机器系统。它能提供信息支持企业或组织的运行、管理和决策功能”。这个定义全面说明了信息管理系统的目标、功能和组成,而且反映了信息管理系统当时达到的水平。它说明了信息管理系统在高、中、基三个档次上支持管理活动。但
人们对信息管理系统的理解尚未完全统一,一般认为:“信息管理系统是一个由人、计算机等组成的能进行信息的收集、传送、存储、加工、维护和使用的系统。它利用信息技术,通过对企业(或部门)过去和当前运行数据的分析处理来获得所需信息,从而达到控制企业行为并对企业的未来状况提供预测资料,从整体上辅助企业的领导进行决策的目的[3]”。
随着信息技术、网络技术和通信技术的发展,人类已全面进入信息社会。信息社会对企业管理的理念、方法带来了革命性的变化,企业管理信息化是当今世界企业发展的一个大趋势,是企业在竞争中处于不败地位的有效手段之一。企业获取信息是否及时、信息能否得到充分利用已越来越成为衡量一个企业市场竞争能力的重要因素。
近几年来,许多企业都建立了自己的Intranet网络,并且利用Internet/Intranet实现企业信息的快速采集、、存储、处理和交流,从而有效的管理企业。人员和设备的管理是企业管理的重要内容,当今社会,企业人员流动频繁,设备更新速度快,人员和设备管理工作也变得越来越复杂,实现人员、设备管理的信息化,无疑将给企业管理部门带来很大的方便。
(二)信息管理系统的发展
信息管理系统在80年代即在英美等发达资本主义国家得以广泛的开发与应用,以美国公司为代表,管理信息系统软件已大量应用于生产、生活、通讯、交通、运输、商业、建筑等各个行业,通常被称为无纸化、无笔化管理工程。由于我国计算机硬件发展相对于英美等发达国家来说比较落后,经济发展过程相对滞后,计算机软件开发市场疲软,缺乏安全性,再加上软件开发人才稀缺,严重制约了我国管理信息系统的开发与应用;目前我国信息管理系统主要是引进消化国外产品,对国外一些产品加以汉化、改造,但这些产品适应性差,针对性不强,不能很好的应用于我国各行业生产的要求。还有相当一部分企业通过对MIS系统的开发来探索企业现代化管理的思路。
三、信息管理系统的作用
(一)辅助分析
企业等对生产经营等活动进行决策的时候,需要以各种数据作为依据。在人工的数据处理方式下,只能提供定期的报表,难以根据需要提供各种综合分析的数据,使得企业的决策活动只能是依靠经验,往往带有盲目性。这种经营方式是一种低水平的运作,会造成大量的浪费,而通过计算机系统将数据组织起来,可以随时提供各种所需的数据,能保证决策的准确、及时。
(二)规范化管理
企业等组织中的许多数据管理并不像财务管理那样有严格的制度,常常带有较大的随意性,数据采集的时间、格式和计算方式等往往是根据经验和公式完成的,而且又不便于审核,容易引起混乱和错误。计算机系统则能为数据处理提供明确的尺度使之标准化、规范化[6]。 转贴于
(三)节省人力
不仅大量的重复计算能由计算机处理,可以减轻劳动强度,更重要的是在输入数据以后,所有的处理都由计算机系统来完成,可以免去人工方式下许多中问的处理环节,达到减员的效果。
(四)信息管理系统可促进组织管理职能、结构优化
信息管理系统本身是一项复杂的系统工程,加之我国一般组织的管理基础比较薄弱,因此在研究这一问题时,必然会涉及到企业或各种组织原有管理职能分配、工程程序等是否科学、合理,组织机构的设置是否恰当等问题,因而需要进行管理职能、工程程序,乃至组织结构的调整、优化。
(五)信息管理系统能大大的减轻管理人员的工作强度
企业等各种组织的管理的工作量很大每天都会产生大量的信息,但以往由于缺乏有效的手段,造成管理人员的时间与精力都只能放在大量的分类、登记和计算机等工作中,因而在很多场合只能简化管理。但是通过信息管理系统,可以调用计算机的强大功能,使工作人员有更多的精力去研究、细化管理内容,扩大管理的深度和广度。这有利于各层次管理者全面、深入地把握各种信息,进行科学的决策,进一步提管理水平。
(六)信息管理系统可促进管理制度的完善
在建立信息管理系统的过程中,随着职能、组织结构的调整、优化和管理深度的提高,各机构之间的联系也随之越来越复杂,要使各机构有机的联系起来,依靠的是以责任制为基础建立起来的一整套完整的管理制度。完善的管理制度为信息的采集、加工整理、传递等提供了可靠的保证,可使信息这一重要的资源在管理中充分发挥作用。
(七)信息管理系统能提高工作效率
计算机进行数据的处理.其速度是人的几百倍、几千倍,将使管理信息的提供更加及时。管理内部网络的建立,使部门之间的工作衔接更加紧密,大大加快了业务办理的程度,从而为提高工作效率奠定了良好的基础。
(八)建设促进管理人员素质提高
在目前的信息管理系统建设中,一个突出问题是计算机专业人员数量少,而且既懂计算机技术又懂管理的复合型人才奇缺;而信息管理系统建设的主力军是管理人员,管理人员不了解信息管理系统的基础知识,就不能建成信息管理系统。因此、在信息管理系统的建设中,要保证建设工作的顺利进行,人才培养必须同步进行,进一步提高管理人员的素质。
四、结论
通过以上分析,我们可以清楚地看到建立信息管理系统的必要性以及其作用、意义,建立信息管理系统不仅仅是企业安全管理的一项重大变革,而且是时代的需要,是顺应时代潮流的体现。随着应用的不断推广和深人,信息管理系统在现代信息社会中的作用必将越来越大,计算机必将促进企业安全管理向科学化和现代化迈进,促进社会的和谐,有序,健康发展[7]。
参考文献
[1]周先涛.有状态的Web Services的研究与实现[D].成都:四川大学计算机学院,2006
[2]杨静.基于NET平台的XML Web Services研究与实现[D].兰州:兰州理工大学,2005
[3]洪应.基于NET平台Web服务的实现[J].荆门职业技术学院报,2004,5:48-51
[4]万亮.基于SOA与EDA的综合架构应用研究[D].武汉:武汉理工大学计算机科学与技术学院,2006
[5]朱明磊,黄磊.基于SOA模式的企业级应用程序的架构设计[J].电脑知识与技术,2005(17):71-74
第8篇:互连技术论文范文
关键词:无线局域网;标准;安全;趋势
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)34-1891-03
1 引言
无线局域网本质上是一种网络互连技术,它是计算机网络与无线通信技术相结合的产物。其作为一种网络接入手段,能迅速地应用于需要在移动中联网和在网间漫游的场合,并在不易架设有线的地力和远冲离的数据处理节点提供强大的网络支持。因此,WLAN得到了广泛的应用,已成为无线通信与Internet技术相结合的新兴发展力向之一。WLAN的最大优点就是实现了网络互连的可移动性,但由于无线局域网应用具有很大的开放性,很难控制数据传播范围,因此无线局域网将面临着严峻的安全问题。
2 无线局域网安全发展概况
无线局域网802.11b公布之后,迅速成为事实标准,但其安全协议WEP始终受到人们的质疑。美国加州大学伯克利分校的Borisov,Goldberg和Wagner最早指出了WEP协议中存在的设计失误,接下来信息安全研究人员发表了大量论文详细讨论了WEP协议中的安全缺陷,并与工程技术人员协作,在实验中破译了经WEP协议加密的无线传输数据。现在,能够截获无线传输数据的硬件设备己经能够在市场上买到,能够对所截获数据进行解密的黑客软件也已经能够在因特网上下载。WEP不安全己经成一个广为人知的事情,人们期待WEP在安全性方面有质的变化。
3 无线局域网安全风险
安全风险是指无线局域网中的资源面临的威胁。无线局域网的资源,包括了在无线信道上传输的数据和无线局域网中的主机。
3.1 无线信道上传输的数据所面临的威胁
由于无线电波可以绕过障碍物向外传播,因此,无线局域网中的信号是可以在一定覆盖范围内接听到而不被察觉的 。另外,只要按照无线局域网规定的格式封装数据包,把数据放到网络上发送时也可以被其它的设备读取,并且,如果使用一些信号截获技术,还可以把某个数据包拦截、修改,然后重新发送,而数据包的接收者并不能察觉。
因此,无线信道上传输的数据可能会被侦听、修改、伪造,对无线网络的正常通信产生了极大的干扰,并有可能造成经济损失。
3.2 无线局域网中主机面临的威胁
无线局域网是用无线技术把多台主机联系在一起构成的网络。对于主机的攻击可能会以病毒的形式出现,除了目前有线网络上流行的病毒之外,还可能会出现专门针对无线局域网移动设备,比如手机或者PDA的无线病毒。当无线局域网与无线广域网或者有线的国际互联网连接之后,无线病毒的威胁可能会加剧。
对于无线局域网中的接入设备,可能会遭受来自外部网或者内部网的拒绝服务攻击。当无线局域网和外部网接通后,如果把IP地址直接暴露给外部网,那么针对该IP的Dog或者DoS会使得接入设备无法完成正常服务,造成网络瘫痪。当某个恶意用户接入网络后,通过持续的发送垃圾数据或者利用IP层协议的一些漏洞会造成接入设备工作缓慢或者因资源耗尽而崩溃,造成系统混乱。无线局域网中的用户设备具有一定的可移动性和通常比较高的价值,这造成的一个负面影响是用户设备容易丢失。硬件设备的丢失会使得基于硬件的身份识别失效,同时硬件设备中的所有数据都可能会泄漏。
这样,无线局域网中主机的操作系统面临着病毒的挑战,接入设备面临着拒绝服务攻击的威胁,用户设备则要考虑丢失的后果。
4 无线局域网安全性
无线局域网与有线局域网紧密地结合在一起,并且己经成为市场的主流产品。在无线局域网上,数据传输是通过无线电波在空中广播的,因此在发射机覆盖范围内数据可以被任何无线局域网终端接收。安装一套无线局域网就好象在任何地方都放置了以太网接口。因此,无线局域网的用户主要关心的是网络的安全性,主要包括接入控制和加密两个方面。除非无线局域网能够提供等同于有线局域网的安全性和管理能力,否则人们还是对使用无线局域网存在顾虑。
4.1 IEEE802.11b标准的安全性
IEEE 802.11b标准定义了两种方法实现无线局域网的接入控制和加密:系统ID(SSID)和有线对等加密(WEP)。
4.1.1 认证
当一个站点与另一个站点建立网络连接之前,必须首先通过认证。执行认证的站点发送一个管理认证帧到一个相应的站点。IEEE 802.11b标准详细定义了两种认证服务:一、开放系统认证(Open System Authentication):是802.11b默认的认证方式。这种认证方式非常简单,分为两步:首先,想认证另一站点的站点发送一个含有发送站点身份的认证管理帧;然后,接收站发回一个提醒它是否识别认证站点身份的帧;二、共享密钥认证(Shared Key Authentication ):这种认证先假定每个站点通过一个独立于802.11网络的安全信道,已经接收到一个秘密共享密钥,然后这些站点通过共享密钥的加密认证,加密算法是有线等价加密(WEP)。
4.1.2 WEP
IEEE 802.11b规定了一个可选择的加密称为有线对等加密,即WEP。WEP提供一种无线局域网数据流的安全方法。WEP是一种对称加密,加密和解密的密钥及算法相同。WEP的目标是接入控制,防止未授权用户接入网络,没有正确的WEP密钥。
加密:通过加密和只允许有正确WEP密钥的用户解密来保护数据流。
IEEE 802.11b标准提供了两种用于无线局域网的WEP加密方案。第一种方案可提供四个缺省密钥以供所有的终端共享一包括一个子系统内的所有接入点和客户适配器。当用户得到缺省密钥以后,就可以与子系统内所有用户安全地通信。缺省密钥存在的问题是当它被广泛分配时可能会危及安全。第二种方案中是在每一个客户适配器建立一个与其它用户联系的密钥表。该方案比第一种方案更加安全,但随着终端数量的增加给每一个终端分配密钥很困难。
4.2 影响安全的因素
4.2.1 硬件设备
在现有的WLAN产品中,常用的加密方法是给用户静态分配一个密钥,该密钥或者存储在磁盘上或者存储在无线局域网客户适配器的存储器上。这样,拥有客户适配器就有了MAC地址和WEP密钥并可用它接入到接入点。如果多个用户共享一个客户适配器,这些用户有效地共享MAC地址和WEP密钥。
当一个客户适配器丢失或被窃的时候,合法用户没有MAC地址和WEP密钥不能接入,但非法用户可以。网络管理系统不可能检测到这种问题,因此用户必须立即通知网络管理员。接到通知后,网络管理员必须改变接入到MAC地址的安全表和WEP密钥,并给与丢失或被窃的客户适配器使用相同密钥的客户适配器重新编码静态加密密钥。客户端越多,重新编码WEP密钥的数量越大。
4.2.2 虚假接入点
IEEE802.11b共享密钥认证表采用单向认证,而不是互相认证。接入点鉴别用户,但用户不能鉴别接入点。如果一个虚假接入点放在无线局域网内,它可以通过劫持合法用户的客户适配器进行拒绝服务或攻击。
因此在用户和认证服务器之间进行相互认证是需要的,每一方在合理的时间内证明自己是合法的。因为用户和认证服务器是通过接入点进行通信的,接入点必须支持相互认证。相互认证使检测和隔离虚假接入点成为可能。
4.2.3 其它安全问题
标准WEP支持对每一组加密但不支持对每一组认证。从响应和传送的数据包中一个黑客可以重建一个数据流,组成欺骗性数据包。减轻这种安全威胁的方法是经常更换WEP密钥。通过监测工EEE802.11b控制信道和数据信道,黑客可以得到如下信息:客户端和接入点MAC地址,内部主机MAC地址,上网时间。黑客可以利用这些信息研究提供给用户或设备的详细资料。为减少这种黑客活动,一个终端应该使用每一个时期的WEP密钥。
4.3 完整的安全解决方案
无线局域网完整的安全方案以IEEE802.11b比为基础,是一个标准的开放式的安全方案,它能为用户提供最强的安全保障,确保从控制中心进行有效的集中管理。它的核心部分是:
扩展认证协议(Extensible Authentication Protocol,EAP),是远程认证拨入用户服务(RADIUS)的扩展。可以使无线客户适配器与RADIUS服务器通信。
当无线局域网执行安全保密方案时,在一个BSS范围内的站点只有通过认证以后才能与接入点结合。当站点在网络登录对话框或类似的东西内输入用户名和密码时,客户端和RADIUS服务器(或其它认证服务器)进行双向认证,客户通过提供用户名和密码来认证。然后RADIUS服务器和用户服务器确定客户端在当前登录期内使用的WEP密钥。所有的敏感信息,如密码,都要加密使免于攻击。
这种方案认证的过程是:一个站点要与一个接入点连接。除非站点成功登录到网络,否则接入点将禁止站点使用网络资源。用户在网络登录对话框和类似的结构中输入用户名和密码。用IEEE802.lx协议,站点和RADIUS服务器在有线局域网上通过接入点进行双向认证。可以使用几个认证方法中的一个。
相互认证成功完成后,RADIUS服务器和用户确定一个WEP密钥来区分用户并提供给用户适当等级的网络接入。以此给每一个用户提供与有线交换几乎相同的安全性。用户加载这个密钥并在该登录期内使用。
RADIUS服务器发送给用户的WEP密钥,称为时期密钥。接入点用时期密钥加密它的广播密钥并把加密密钥发送给用户,用户用时期密钥来解密。用户和接入点激活WEP,在这时期剩余的时间内用时期密钥和广播密钥通信。
网络安全性指的是防止信息和资源的丢失、破坏和不适当的使用。无论有线络还是无线网络都必须防止物理上的损害、窃听、非法接入和各种内部(合法用户)的攻击。
无线网络传播数据所覆盖的区域可能会超出一个组织物理上控制的区域,这样就存在电子破坏(或干扰)的可能性。无线网络具有各种内在的安全机制,其代码清理和模式跳跃是随机的。在整个传输过程中,频率波段和调制不断变化,计时和解码采用不规则技术。
正是可选择的加密运算法则和IEEE 802.11的规定要求无线网络至少要和有线网络(不使用加密技术)一样安全。其中,认证提供接入控制,减少网络的非法使用,加密则可以减少破坏和窃听。目前,在基本的WEP安全机制之外,更多的安全机制正在出现和发展之中。
5 无线局域网安全技术的发展趋势
目前无线局域网的发展势头十分强劲,但是起真正的应用前景还不是十分的明朗。主要表现在:1) 是真正的安全保障;2)将来的技术发展方向;3) WLAN有什么比较好的应用模式;4) WLAN的终端除PCMCIA卡、PDA有没有其他更好的形式;5) WLAN的市场规模。看来无线局域网真正的腾飞并非一己之事。
无线局域网同样需要与其他已经成熟的网络进行互动,达到互利互惠的目的。欧洲是GSM网的天下,而WLAN的崛起使得他们开始考虑WLAN和3G的互通,两者之间的优势互补性必将使得WLAN与广域网的融合迅速发展。现在国内中兴通讯己经实现了WLAN和CI}IVIA系统的互通,而对于使用中兴设备的WLAN与GSM/GPRS系统的互通也提出了解决方案,这条路必定越走越宽。
互通中的安全问题也必然首当其冲,IEEE的无线局域网工作组己经决定将EAP-SIIVI纳入无线局域网安全标准系列里面,并且与3G互通的认证标准EAP-AID也成为讨论的焦点。
无线网络的互通,现在是一个趋势。802.11工作组新成立了WIG(Wireless lnterworking Grouq),该工作组的目的在于使现存的符合ETSI,IEEE,MMAC所制订的标准的无线域网之间实现互通。另外3GPP也给出了无线局域网和3G互通的两个草案,定义了互通的基本需求,基本模型和基本框架。还有就是爱立信公司的一份文档给出了在现有的网络基础上,实现无线局域网和G1VIS/GPRS的互通。
不同类型无线局域网互通标准的制定,使得用户可以使用同一设备接入无线局域网。3G和无线局域网的互通者可以使用户在一个运营商那里注册,就可以在各地接入。当然,用户享用上述方便的同时,必然会使运营商或制造商获得利润,而利润的驱动,则是这个互通风潮的根本动力。为了达到互通的安全,有以下需求:支持传统的无线局域网设备,对用户端设备,比如客户端软件,影响要最小,对经营者管理和维护客户端SW的要求要尽量少,应该支持现存的UICC卡,不应该要求该卡有任何改动,敏感数据,比如存在UICC卡中的长期密钥不能传输。对于UICC卡的认证接口应该是基于该密钥的Challenge, Response模式。用户对无线局域网接入的安全级别应该和3GPP接入一样,应该支持双向认证,所选的认证方案应该顾及到授权服务,应该支持无线局域网接入NW的密钥分配方法,无线局域网与3GPP互通所选择的认证机制至少要提供3GPP系统认证的安全级别,无线局域网的重连接不应该危及3GPP系统重连接的安全,所选择的无线局域网认证机制应该支持会话密钥素材的协商,所选择的无线局域网密钥协商和密钥分配机制应该能防止中间人攻击。也就是说中间人不能得到会话密钥素材,无线局域网技术应当保证无线局域网UE和无线局域网AN的特定的认证后建立的连接可以使用生成的密钥素材来保证完整性。所有的用于用户和网络进行认证的长期的安全要素应该可以在一张UICC卡中存下。
对于非漫游情况的互通时,这种情况是指当用户接入的热点地区是在3GPP的归属网络范围内。简单地说,就是用户在运营商那里注册,然后在该运营商的本地网络范围内的热点地区接入时的一种情况。无线局域网与3G网络安全单元功能如下:UE(用户设备)、3G-AAA(移动网络的认证、授权和计帐服务器)、HSS(归属业务服务器)、CG/CCF(支付网关/支付采集功能)、OCS(在线计帐系统)。
对于漫游的互通情况时,3G网络是个全域性网络借助3G网络的全域性也可以实现无线局域网的漫游。在漫游情况下,一种常用的方法是将归属网络和访问网络分开,归属网络AAA服务作为认证的找到用户所注册的归属网络。
在无线局域网与3G互通中有如下认证要求:该认证流程从用户设备到无线局域网连接开始。使用EAP方法,顺次封装基于USIM的用户ID,AKA-Challenge消息。具体的认证在用户设备和3GP-AAA服务器之间展开。走的是AKA过程,有一点不同在于在认证服务器要检查用户是否有接入无线局域网的权限。
上述互通方案要求客户端有能够接入无线局域网的网卡,同时还要实现USIM或者SIM的功能。服务网络要求修改用户权限表,增加对于无线局域网的接入权限的判断。
无线局域网的崛起使得人们开始考虑无线局域网和3G的互通,两者之间的优势互补性必将使得无线局域网与广域网的融合迅速发展。现在国内中兴通讯已经实现了无线局域网和CDMA系统的互通,而对于使用中兴设备的无线局域网与GSM/GPRS系统的互通也提出了解决方案,这条路必定越走越宽。
参考文献:
[1] 郭峰,曾兴雯,刘乃安.无线局域网[M].北京:电子工业出版杜,1997.
[2] 冯锡生,朱荣.无线数据通信[M].北京:中国铁道出版社,1997.
[3] 你震亚.现代计算机网络教程[M].北京:电子工业出版社,1999.
[4] 刘元安.宽带无线接入和无线局域网[M].北京:北京邮电大学出版社,2000.
[5] 吴伟陵.移动通信中的关键技术[M].北京:北京邮电大学出版社,2000.
[6] 张公忠,陈锦章.当代组网技术[M].北京:清华大学出版社,2000.
[7] 牛伟,郭世泽,吴志军,等.无线局域网[M].北京:人民邮电出版社,2003.
[8] Wheat J.无线网络设计[M].莫蓉蓉,译.北京:机械工业出版社,2002.
[9] Held G.构建无线局域网[M].沈金龙,泽.北京:人民邮电出版社,2002.
[10] Barnes C.无线网络安全防护[M].林生,译.北京:机械工业出版社,2003.
[11] Heiskala J.OFDM无线局域网[M].畅晓春,译.北京:电子工业出版社,2003.
[12] Ouellet E.构建Cisco无线局域网[M].张颖,译.北京:科学出版社,2003.
[13] Ciampa M.无线周域网设计一与实现[M].王顺满,译.北京:科学出版社,2003 .
第9篇:互连技术论文范文
关键词:无线局域网;标准;安全;趋势
前言 无线局域网本质上是一种网络互连技术。无线局域网使用无线电波代替双绞线、同轴电缆等设备,省去了布线的麻烦,组网灵活。无线局域网(WLAN)是计算机网络与无线通信技术相结合的产物。它既可满足各类便携机的入网要求,也可实现计算机局域网远端接入、图文传真、电子邮件等功能。无线局域网技术作为一种网络接入手段,能迅速地应用于需要在移动中联网和在网间漫游的场合,并在不易架设有线的地力和远冲离的数据处理节点提供强大的网络支持。因此,WLAN已在军队、石化、医护管理、工厂车间、库存控制、展览和会议、金融服务、旅游服务、移动办公系统等行业中得到了应用,受到了广泛的青睐,已成为无线通信与Internet技术相结合的新兴发展力向之一。WLAN的最大优点就是实现了网络互连的可移动性,它能大幅提高用户访问信息的及时性和有效性,还可以克服线缆限制引起的不便性。但由于无线局域网应用具有很大的开放性,数据传播范围很难控制,因此无线局域网将面临着更严峻的安全问题。
1. 无线局域网安全发展概况
无线局域网802.11b公布之后,迅速成为事实标准。遗憾的是,从它的诞生开始,其安全协议WEP就受到人们的质疑。美国加州大学伯克利分校的Borisov,Goldberg和Wagner最早指出了WEP协议中存在的设计失误,接下来信息安全研究人员发表了大量论文详细讨论了WEP协议中的安全缺陷,并与工程技术人员协作,在实验中破译了经WEP协议加密的无线传输数据。现在,能够截获无线传输数据的硬件设备己经能够在市场上买到,能够对所截获数据进行解密的黑客软件也已经能够在因特网上下载。WEP不安全己经成一个广为人知的事情,人们期待WEP在安全性方面有质的变化,新的增强的无线局域网安全标准应运而生[1]。
我国从2001年开始着手制定无线局域网安全标准,经过西安电子科技大学、西安邮电学院、西电捷通无线网络通信有限公司等院校和企业的联合攻关,历时两年多制定了无线认证和保密基础设施WAPI,并成为国家标准,于2003年12月执行。WAPI使用公钥技术,在可信第三方存在的条件下,由其验证移动终端和接入点是否持有合法的证书,以期完成双向认证、接入控制、会话密钥生成等目标,达到安全通信的目的。WAPI在基本结构上由移动终端、接入点和认证服务单元三部分组成,类似于802.11工作组制定的安全草案中的基本认证结构。同时我国的密码算法一般是不公开的,WAPI标准虽然是公开的,然而对其安全性的讨论在学术界和工程界目前还没有展开[2]。
增强的安全草案也是历经两年多时间定下了基本的安全框架。其间每个月至少召开一次会议,会议的文档可以从互联网上下载,从中可以看到一些有趣的现象,例如AES-OCB算法,开始工作组决定使用该算法作为无线局域网未来的安全算法,一年后提议另外一种算法CCMP作为候选,AES-OSB作为缺省,半年后又提议CCMP作为缺省,AES-OCB作为候选,又过了几个月,干脆把AES-OCB算法完全删除,只使用CCMP算法作为缺省的未来无线局域网的算法。其它的例子还有很多。从这样的发展过程中,我们能够更加清楚地认识到无线局域网安全标准的方方面面,有利于无线局域网安全的研究[3][4]。
2.无线局域网的安全必要性
WLAN在为用户带来巨大便利的同时,也存在着许多安全上的问题。由于WLAN 通过无线电波在空中传输数据,不能采用类似有线网络那样的通过保护通信线路的方式来保护通信安全,所以在数据发射机覆盖区域内的几乎任何一个WLAN用户都能接触到这些数据,要将WLAN发射的数据仅仅传送给一名目标接收者是不可能的。而防火墙对通过无线电波进行的网络通讯起不了作用,任何人在视距范围之内都可以截获和插入数据。因此,虽然无线网络和WLAN的应用扩展了网络用户的自由,它安装时间短,增加用户或更改网络结构时灵活、经济,可提供无线覆盖范围内的全功能漫游服务。然而,这种自由也同时带来了新的挑战,这些挑战其中就包括安全性。WLAN 必须考虑的安全要素有三个:信息保密、身份验证和访问控制。如果这三个要素都没有问题了,就不仅能保护传输中的信息免受危害,还能保护网络和移动设备免受危害。难就难在如何使用一个简单易用的解决方案,同时获得这三个安全要素。国外一些最新的技术研究报告指出,针对目前应用最广泛的802.11bWLAN 标准的攻击和窃听事件正越来越频繁[5],故对WLAN安全性研究,特别是广泛使用的IEEE802.11WLAN的安全性研究,发现其可能存在的安全缺陷,研究相应的改进措施,提出新的改进方案,对 WLAN 技术的使用、研究和发展都有着深远的影响。
同有线网络相比,无线局域网无线传输的天然特性使得其物理安全脆弱得多,所以首先要加强这一方面的安全性。
无线局域网中的设备在实际通信时是逐跳的方式,要么是用户设备发数据给接入设备,饭由接入设备转发,要么是两台用户设备直接通信,每一种通信方式都可以用链路层加密的方法来实现至少与有线连接同等的安全性。无线信号可能被侦听,但是,如果把无线信号承载的数据变成密文,并且,如果加密强度够高的话,侦听者获得有用数据的可能性很小。另外,无线信号可能被修改或者伪造,但是,如果对无线信号承载的数据增加一部分由该数据和用户掌握的某种秘密生成的冗余数据,以使得接收方可以检测到数据是杏被更改,那么,对于无线信号的更改将会徒劳无功。而秘密的独有性也将使得伪造数据被误认为是合法数据的可能性极小。
这样,通过数据加密和数据完整性校验就可以为无线局域网提供一个类似有线网的物理安全的保护。对于无线局域网中的主机,面临病毒威胁时,可以用最先进的防毒措施和最新的杀毒工具来给系统增加安全外壳,比如安装硬件形式的病毒卡预防病毒,或者安装软件用来时实检测系统异常。PC机和笔记本电脑等设备己经和病毒进行了若千年的对抗,接下来的无线设备如何与病毒对抗还是一个待开发领域。
对于DOS攻击或者DDOS攻击,可以增加一个网关,使用数据包过滤或其它路由设置,将恶意数据拦截在网络外部;通过对外部网络隐藏接入设备的IP地址,可以减小风险。对于内部的恶意用户,则要通过审计分析,网络安全检测等手段找出恶意用户,并辅以其它管理手段来杜绝来自内部的攻击。硬件丢失的威胁要求必须能通过某种秘密或者生物特征等方式来绑定硬件设备和用户,并且对于用户的认证也必须基于用户的身份而不是硬件来完成。例如,用MAC地址来认证用户是不适当的[5]。
除了以上的可能需求之外,根据不同的使用者,还会有不同的安全需求,对于安全性要求很高的用户,可能对于传输的数据要求有不可抵赖性,对于进出无线局域网的数据要求有防泄密措施,要求无线局域网瘫痪后能够迅速恢复等等。所以,无线局域网的安全系统不可能提供所有的安全保证,只能结合用户的具体需求,结合其它的安全系统来一起提供安全服务,构建安全的网络。
当考虑与其它安全系统的合作时,无线局域网的安全将限于提供数据的机密,数据的完整,提供身份识别框架和接入控制框架,完成用户的认证授权,信息的传输安全等安全业务。对于防病毒,防泄密,数据传输的不可抵赖,降低DoS攻击的风险等都将在具体的网络配置中与其它安全系统合作来实现。
3.无线局域网安全风险
安全风险是指无线局域网中的资源面临的威胁。无线局域网的资源,包括了在无线信道上传输的数据和无线局域网中的主机。
3.1 无线信道上传输的数据所面临的威胁
由于无线电波可以绕过障碍物向外传播,因此,无线局域网中的信号是可以在一定覆盖范围内接听到而不被察觉的。这如用收音机收听广播的情况一样,人们在电台发射塔的覆盖范围内总可以用收音机收听广播,如果收音机的灵敏度高一些,就可以收听到远一些的发射台发出的信号。当然,无线局域网的无线信号的接收并不像收音机那么简单,但只要有相应的设备,总是可以接收到无线局域网的信号,并可以按照信号的封装格式打开数据包,读取数据的内容[6]。
另外,只要按照无线局域网规定的格式封装数据包,把数据放到网络上发送时也可以被其它的设备读取,并且,如果使用一些信号截获技术,还可以把某个数据包拦截、修改,然后重新发送,而数据包的接收者并不能察觉。
因此,无线信道上传输的数据可能会被侦听、修改、伪造,对无线网络的正常通信产生了极大的干扰,并有可能造成经济损失。
3.2 无线局域网中主机面临的威胁
无线局域网是用无线技术把多台主机联系在一起构成的网络。对于主机的攻击可能会以病毒的形式出现,除了目前有线网络上流行的病毒之外,还可能会出现专门针对无线局域网移动设备,比如手机或者PDA的无线病毒。当无线局域网与无线广域网或者有线的国际互联网连接之后,无线病毒的威胁可能会加剧。
对于无线局域网中的接入设备,可能会遭受来自外部网或者内部网的拒绝服务攻击。当无线局域网和外部网接通后,如果把IP地址直接暴露给外部网,那么针对该IP的Dog或者DDoS会使得接入设备无法完成正常服务,造成网络瘫痪。当某个恶意用户接入网络后,通过持续的发送垃圾数据或者利用IP层协议的一些漏洞会造成接入设备工作缓慢或者因资源耗尽而崩溃,造成系统混乱。无线局域网中的用户设备具有一定的可移动性和通常比较高的价值,这造成的一个负面影响是用户设备容易丢失。硬件设备的丢失会使得基于硬件的身份识别失效,同时硬件设备中的所有数据都可能会泄漏。
这样,无线局域网中主机的操作系统面临着病毒的挑战,接入设备面临着拒绝服务攻击的威胁,用户设备则要考虑丢失的后果。
4.无线局域网安全性
无线局域网与有线局域网紧密地结合在一起,并且己经成为市场的主流产品。在无线局域网上,数据传输是通过无线电波在空中广播的,因此在发射机覆盖范围内数据可以被任何无线局域网终端接收。安装一套无线局域网就好象在任何地方都放置了以太网接口。因此,无线局域网的用户主要关心的是网络的安全性,主要包括接入控制和加密两个方面。除非无线局域网能够提供等同于有线局域网的安全性和管理能力,否则人们还是对使用无线局域网存在顾虑。
4.1 IEEE802. 11 b标准的安全性
IEEE 802.11b标准定义了两种方法实现无线局域网的接入控制和加密:系统ID(SSID)和有线对等加密(WEP)[7][8]。
4.1.1认证
当一个站点与另一个站点建立网络连接之前,必须首先通过认证。执行认证的站点发送一个管理认证帧到一个相应的站点。IEEE 802.11b标准详细定义了两种认证服务:一开放系统认证(Open System Authentication):是802.11b默认的认证方式。这种认证方式非常简单,分为两步:首先,想认证另一站点的站点发送一个含有发送站点身份的认证管理帧;然后,接收站发回一个提醒它是否识别认证站点身份的帧。一共享密钥认证(Shared Key Authentication ):这种认证先假定每个站点通过一个独立于802.11网络的安全信道,已经接收到一个秘密共享密钥,然后这些站点通过共享密钥的加密认证,加密算法是有线等价加密(WEP )。
4. 1 .2 WEP
IEEE 802.11b规定了一个可选择的加密称为有线对等加密,即WEP。WEP提供一种无线局域网数据流的安全方法。WEP是一种对称加密,加密和解密的密钥及算法相同。WEP的目标是:接入控制:防止未授权用户接入网络,他们没有正确的WEP密钥。
加密:通过加密和只允许有正确WEP密钥的用户解密来保护数据流。
IEEE 802.11b标准提供了两种用于无线局域网的WEP加密方案。第一种方案可提供四个缺省密钥以供所有的终端共享一包括一个子系统内的所有接入点和客户适配器。当用户得到缺省密钥以后,就可以与子系统内所有用户安全地通信。缺省密钥存在的问题是当它被广泛分配时可能会危及安全。第二种方案中是在每一个客户适配器建立一个与其它用户联系的密钥表。该方案比第一种方案更加安全,但随着终端数量的增加给每一个终端分配密钥很困难。
4.2 影响安全的因素[9][10]
4. 2. 1硬件设备
在现有的WLAN产品中,常用的加密方法是给用户静态分配一个密钥,该密钥或者存储在磁盘上或者存储在无线局域网客户适配器的存储器上。这样,拥有客户适配器就有了MAC地址和WEP密钥并可用它接入到接入点。如果多个用户共享一个客户适配器,这些用户有效地共享MAC地址和WEP密钥。
当一个客户适配器丢失或被窃的时候,合法用户没有MAC地址和WEP密钥不能接入,但非法用户可以。网络管理系统不可能检测到这种问题,因此用户必须立即通知网络管理员。接到通知后,网络管理员必须改变接入到MAC地址的安全表和WEP密钥,并给与丢失或被窃的客户适配器使用相同密钥的客户适配器重新编码静态加密密钥。客户端越多,重新编码WEP密钥的数量越大。
4.2.2虚假接入点
IEEE802. 1 1b共享密钥认证表采用单向认证,而不是互相认证。接入点鉴别用户,但用户不能鉴别接入点。如果一个虚假接入点放在无线局域网内,它可以通过劫持合法用户的客户适配器进行拒绝服务或攻击。
因此在用户和认证服务器之间进行相互认证是需要的,每一方在合理的时间内证明自己是合法的。因为用户和认证服务器是通过接入点进行通信的,接入点必须支持相互认证。相互认证使检测和隔离虚假接入点成为可能。
4.2.3其它安全问题
标准WEP支持对每一组加密但不支持对每一组认证。从响应和传送的数据包中一个黑客可以重建一个数据流,组成欺骗性数据包。减轻这种安全威胁的方法是经常更换WEP密钥。通过监测工EEE802. 11 b控制信道和数据信道,黑客可以得到如下信息:客户端和接入点MAC地址,内部主机MAC地址,上网时间。黑客可以利用这些信息研究提供给用户或设备的详细资料。为减少这种黑客活动,一个终端应该使用每一个时期的WEP密钥。
4.3 完整的安全解决方案
无线局域网完整的安全方案以IEEE802.11b比为基础,是一个标准的开放式的安全方案,它能为用户提供最强的安全保障,确保从控制中心进行有效的集中管理。它的核心部分是:
扩展认证协议(Extensible Authentication Protocol,EAP),是远程认证拨入用户服务(RADIUS)的扩展。可以使无线客户适配器与RADIUS服务器通信。
当无线局域网执行安全保密方案时,在一个BSS范围内的站点只有通过认证以后才能与接入点结合。当站点在网络登录对话框或类似的东西内输入用户名和密码时,客户端和RADIUS服务器(或其它认证服务器)进行双向认证,客户通过提供用户名和密码来认证。然后RADIUS服务器和用户服务器确定客户端在当前登录期内使用的WEP密钥。所有的敏感信息,如密码,都要加密使免于攻击。
这种方案认证的过程是:一个站点要与一个接入点连接。除非站点成功登录到网络,否则接入点将禁止站点使用网络资源。用户在网络登录对话框和类似的结构中输入用户名和密码。用IEEE802. lx协议,站点和RADIUS服务器在有线局域网上通过接入点进行双向认证。可以使用几个认证方法中的一个。
相互认证成功完成后,RADIUS服务器和用户确定一个WEP密钥来区分用户并提供给用户适当等级的网络接入。以此给每一个用户提供与有线交换几乎相同的安全性。用户加载这个密钥并在该登录期内使用。
RADIUS服务器发送给用户的WEP密钥,称为时期密钥。接入点用时期密钥加密它的广播密钥并把加密密钥发送给用户,用户用时期密钥来解密。用户和接入点激活WEP,在这时期剩余的时间内用时期密钥和广播密钥通信。
网络安全性指的是防止信息和资源的丢失、破坏和不适当的使用。无论有线络还是无线网络都必须防止物理上的损害、窃听、非法接入和各种内部(合法用户)的攻击。
无线网络传播数据所覆盖的区域可能会超出一个组织物理上控制的区域,这样就存在电子破坏(或干扰)的可能性。无线网络具有各种内在的安全机制,其代码清理和模式跳跃是随机的。在整个传输过程中,频率波段和调制不断变化,计时和解码采用不规则技术。
正是可选择的加密运算法则和IEEE 802.11的规定要求无线网络至少要和有线网络(不使用加密技术)一样安全。其中,认证提供接入控制,减少网络的非法使用,加密则可以减少破坏和窃听。目前,在基本的WEP安全机制之外,更多的安全机制正在出现和发展之中[12]。
5.无线局域网安全技术的发展趋势
目前无线局域网的发展势头十分强劲,但是起真正的应用前景还不是十分的明朗。主要表现在:一是真正的安全保障;二个是将来的技术发展方向;三是WLAN有什么比较好的应用模式;四是WLAN的终端除PCMCIA卡、PDA有没有其他更好的形式;五是WLAN的市场规模。看来无线局域网真正的腾飞并非一己之事[13]。
无线局域网同样需要与其他已经成熟的网络进行互动,达到互利互惠的目的。欧洲是GSM网的天下,而WLAN的崛起使得他们开始考虑WLAN和3G的互通,两者之间的优势互补性必将使得WLAN与广域网的融合迅速发展。现在国内中兴通讯己经实现了WLAN和CI}IVIA系统的互通,而对于使用中兴设备的WLAN与GSM/GPRS系统的互通也提出了解决方案,这条路必定越走越宽。
互通中的安全问题也必然首当其冲,IEEE的无线局域网工作组己经决定将EAP-SIIVI纳入无线局域网安全标准系列里面,并且与3G互通的认证标准EAP-AID也成为讨论的焦点。
无线网络的互通,现在是一个趋势。802.11工作组新成立了WIG(Wireless lnterworking Grouq),该工作组的目的在于使现存的符合ETSI,IEEE,MMAC所制订的标准的无线域网之间实现互通。另外3GPP也给出了无线局域网和3G互通的两个草案,定义了互通的基本需求,基本模型和基本框架。还有就是爱立信公司的一份文档给出了在现有的网络基础上,实现无线局域网和G1VIS/GPRS的互通。
不同类型无线局域网互通标准的制定,使得用户可以使用同一设备接入无线局域网。3G和无线局域网的互通者可以使用户在一个运营商那里注册,就可以在各地接入。当然,用户享用上述方便的同时,必然会使运营商或制造商获得利润,而利润的驱动,则是这个互通风潮的根本动力。为了达到互通的安全,有以下需求:支持传统的无线局域网设备,对用户端设备,比如客户端软件,影响要最小,对经营者管理和维护客户端SW的要求要尽量少,应该支持现存的UICC卡,不应该要求该卡有任何改动,敏感数据,比如存在UICC卡中的长期密钥不能传输。对于UICC卡的认证接口应该是基于该密钥的Challenge-, Response模式。用户对无线局域网接入的安全级别应该和3GPP接入一样,应该支持双向认证,所选的认证方案应该顾及到授权服务,应该支持无线局域网接入NW的密钥分配方法,无线局域网与3GPP互通所选择的认证机制至少要提供3 GPP系统认证的安全级别,无线局域网的重连接不应该危及3GPP系统重连接的安全,所选择的无线局域网认证机制应该支持会话密钥素材的协商,所选择的无线局域网密钥协商和密钥分配机制应该能防止中间人攻击。也就是说中间人不能得到会话密钥素材,无线局域网技术应当保证无线局域网UE和无线局域网AN的特定的认证后建立的连接可以使用生成的密钥素材来保证完整性。所有的用于用户和网络进行认证的长期的安全要素应该可以在一张UICC卡中存下[14]。
对于非漫游情况的互通时,这种情况是指当用户接入的热点地区是在3GPP的归属网络范围内。简单地说,就是用户在运营商那里注册,然后在该运营商的本地网络范围内的热点地区接入时的一种情况。无线局域网与3G网络安全单元功能如下:UE(用户设备)、3G-AAA(移动网络的认证、授权和计帐服务器)、HSS(归属业务服务器)、CG/CCF(支付网关/支付采集功能)、OCS(在线计帐系统)。
对于漫游的互通情况时,3G网络是个全域性网络借助3G网络的全域性也可以实现无线局域网的漫游。在漫游情况下,一种常用的方法是将归属网络和访问网络分开,归属网络AAA服务作为认证的找到用户所注册的归属网络。
在无线局域网与3G互通中有如下认证要求:该认证流程从用户设备到无线局域网连接开始。使用EAP方法,顺次封装基于USIM的用户ID,AKA-Challenge消息。具体的认证在用户设备和3GPAAA服务器之间展开。走的是AKA过程,有一点不同在于在认证服务器要检查用户是否有接入无线局域网的权限。
上述互通方案要求客户端有能够接入无线局域网的网卡,同时还要实现USIM或者SIM的功能。服务网络要求修改用户权限表,增加对于无线局域网的接入权限的判断。
无线局域网的崛起使得人们开始考虑无线局域网和3G的互通,两者之间的优势互补性必将使得无线局域网与广域网的融合迅速发展。现在国内中兴通讯已经实现了无线局域网和CDMA系统的互通,而对于使用中兴设备的无线局域网与GSM/GPRS系统的互通也提出了解决方案,这条路必定越走越宽。
参考文献
[1] 郭峰,曾兴雯,刘乃安,《无线局域网》,电子工业出版杜,1997
[2] 冯锡生,朱荣,《无线数据通信》1997
[3] 你震亚,《现代计算机网络教程》,电子工业出版社,1999
[4] 刘元安,《宽带无线接入和无线局域网》,北京邮电大学出版社,2000
[5] 吴伟陵,《移动通信中的关键技术》,北京邮电大学出版社,2000
[6] 张公忠,陈锦章,《当代组网技术》,清华大学出版社,2000
[7] 牛伟,郭世泽,吴志军等,《无线局域网》,人民邮电出版社,2003
[8] Jeffrey Wheat,《无线网络设计》,莫蓉蓉等译,机械工业出版社,2002
[9] Gil Held,《构建无线局域网》,沈金龙等泽,人民邮电出版社,2002
[10] Christian Barnes等,《无线网络安全防护》,林生等译,机械工业出版社.2003
[11] Juha Heiskala等,《OFDM无线局域网》,畅晓春等译,电子工业出版社,2003
[12] Eric Ouellet等,《构建Cisco无线局域网》,张颖译,科学出版社,2003
[13] Mark Ciampa,《无线周域网设计一与实现》,王顺满译,科学出版社.2003
