無(wú)線局域網(wǎng)安全
無(wú)線局域網(wǎng)安全
局域網(wǎng)(Local Area Network,LAN)是指在某一區(qū)域內(nèi)由多臺(tái)計(jì)算機(jī)互聯(lián)成的計(jì)算機(jī)組。一般是方圓幾千米以內(nèi)。局域網(wǎng)可以實(shí)現(xiàn)文件管理、應(yīng)用軟件共享、打印機(jī)共享、工作組內(nèi)的日程安排、電子郵件和傳真通信服務(wù)等功能。局域網(wǎng)是封閉型的,可以由辦公室內(nèi)的兩臺(tái)計(jì)算機(jī)組成,也可以由一個(gè)公司內(nèi)的上千臺(tái)計(jì)算機(jī)組成。下面是小編收集整理的無(wú)線局域網(wǎng)安全范文,歡迎借鑒參考。
無(wú)線局域網(wǎng)安全(一)
一、無(wú)線局域網(wǎng)
無(wú)線局域網(wǎng)是用無(wú)線通信技術(shù)將終端設(shè)備互聯(lián)起來(lái),構(gòu)成可以互相通信和實(shí)現(xiàn)資源共享的局域網(wǎng)絡(luò)體系。無(wú)線局域網(wǎng)特點(diǎn)是通過(guò)無(wú)線的方式建立連接,利用無(wú)線技術(shù)在空中傳輸數(shù)據(jù),從而使網(wǎng)絡(luò)的構(gòu)建和終端的移動(dòng)更加靈活。無(wú)線局域網(wǎng)常規(guī)的有效使用距離在100 m以內(nèi)。
無(wú)線局域網(wǎng)在一定程度上扔掉了有線網(wǎng)絡(luò)必須依賴(lài)的網(wǎng)線。這樣,用戶可以坐在家里的任何一個(gè)角落,抱著筆記本電腦,享受網(wǎng)絡(luò)的樂(lè)趣,而不像從前那樣必須要遷就于網(wǎng)絡(luò)接口的布線位置。
無(wú)線局域網(wǎng)包括2種基本的工作模式:如圖1所示的帶無(wú)線路由器工作模式和如圖2所示的不帶無(wú)線路由器工作模式。
在帶無(wú)線路由器工作模式下,通信需要一個(gè)專(zhuān)門(mén)的無(wú)線局域網(wǎng)設(shè)備:無(wú)線路由器;在不帶無(wú)線路由器工作模式下,無(wú)線終端相互之間直接發(fā)送數(shù)據(jù)。在日常的使用中,用戶基本上使用帶無(wú)線路由器的模式。
全球范圍內(nèi),無(wú)線局域網(wǎng)技術(shù)主要包括IEEE802.11系列、Hiper LAN技術(shù)、Home RF和藍(lán)牙技術(shù),目前,應(yīng)用比較廣泛是IEEE802.11系列和Hiper LAN。
(1)ISO/IEC802.11 系列標(biāo)準(zhǔn)技術(shù):是美國(guó)電氣和電子工程師協(xié)會(huì)(IEEE)頒布的無(wú)線局域網(wǎng)標(biāo)準(zhǔn)。IEEE802.11系列技術(shù)和產(chǎn)品的安全性一直沒(méi)能很好地解決。近年來(lái),IEEE802.11技術(shù)和產(chǎn)品不斷爆出重大安全性問(wèn)題,造成用戶巨大的經(jīng)濟(jì)損失。
(2)Hiper LAN: Hiper LAN是以歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)(ETSI)頒布的無(wú)線局域網(wǎng)標(biāo)準(zhǔn)為核心的技術(shù)和產(chǎn)品的總稱(chēng)。
二、無(wú)線局域網(wǎng)安全概述
安全是無(wú)線局域網(wǎng)面臨的最大問(wèn)題,這是由無(wú)線信號(hào)在空中幾乎無(wú)邊界的傳播特性造成的,不論信號(hào)中的數(shù)據(jù)要發(fā)送的目的地是哪里,任何無(wú)線終端在無(wú)線信號(hào)覆蓋的范圍內(nèi)都可以接收到。為了保證安全通信,無(wú)線局域網(wǎng)中應(yīng)采取必要的安全技術(shù),包括鑒別、加密、數(shù)據(jù)完整性保護(hù)等。
1、鑒別
鑒別提供了用戶身份合法性的保證,這意味著當(dāng)用戶聲稱(chēng)具有一個(gè)特定的身份時(shí),鑒別技術(shù)將提供某種方法來(lái)證實(shí)這一聲明是正確的。用戶在登錄無(wú)線局域網(wǎng)的時(shí)候,需要輸入特定的密碼或身份信息等來(lái)進(jìn)行身份合法性的驗(yàn)證。
盡管不同的鑒別方式?jīng)Q定用戶身份驗(yàn)證的具體流程不同,但基本功能是一致的。目前,無(wú)線局域網(wǎng)中采用的鑒別方式主要有基于瀏覽器頁(yè)面的身份鑒別、基于密碼的身份鑒別、基于數(shù)字證書(shū)的身份鑒別。
(1)基于瀏覽器頁(yè)面的身份鑒別
基于瀏覽器頁(yè)面的身份鑒別一個(gè)非常重要的特點(diǎn)是客戶端只需要在瀏覽器上輸入正確的接入信息憑證即可。這類(lèi)身份鑒別的技術(shù)在公共場(chǎng)所(如機(jī)場(chǎng)、酒店、商場(chǎng)等地方)經(jīng)常用到,用戶輸入手機(jī)號(hào)碼,通過(guò)手機(jī)獲得相關(guān)的登錄驗(yàn)證碼,然后將登錄驗(yàn)證碼輸入到瀏覽器中即可使用網(wǎng)絡(luò)服務(wù)。
這種身份鑒別技術(shù)屬于安全性最低的一種方案,它只是在無(wú)線局域網(wǎng)的上層應(yīng)用簡(jiǎn)單進(jìn)行身份信息的對(duì)比,實(shí)現(xiàn)對(duì)用戶使用某種服務(wù)的控制?;跒g覽器頁(yè)面的身份鑒別技術(shù)并沒(méi)有融入密碼學(xué)相關(guān)技術(shù)來(lái)實(shí)現(xiàn)身份信息的保密性和不可篡改性。在無(wú)線局域網(wǎng)底層沒(méi)有調(diào)用任何安全技術(shù)的保護(hù),所有通信信息明文傳輸,存在較大的安全風(fēng)險(xiǎn)。這種方案類(lèi)似于所有訪客,先進(jìn)入大門(mén),然后再用筆寫(xiě)下自己的聯(lián)系方式。
(2)基于密碼的身份鑒別
基于密碼的身份鑒別是指用戶利用手機(jī)或者筆記本電腦原始控制接入無(wú)線局域網(wǎng)的界面,輸入所選擇的無(wú)線網(wǎng)絡(luò)的接入密碼實(shí)現(xiàn)網(wǎng)絡(luò)登錄。這類(lèi)身份鑒別的技術(shù)在家庭、辦公室等場(chǎng)景經(jīng)常用到。
這種身份鑒別技術(shù)屬于安全性中等的一種方案,它通過(guò)綁定密碼學(xué)的技術(shù)實(shí)現(xiàn)用戶接入身份的鑒別,同時(shí)完成對(duì)通信數(shù)據(jù)的加密處理。這種技術(shù)的缺點(diǎn)在于密碼容易傳播,且所有人使用相同的密碼,容易造成無(wú)法追溯或者“好人辦壞事”的情況。這種方案類(lèi)似于所有訪客,使用同一張卡進(jìn)入同一個(gè)大門(mén)。
(3)基于數(shù)字證書(shū)的身份鑒別
基于數(shù)字證書(shū)的身份鑒別是指用戶登錄到無(wú)線局域網(wǎng)之前,需要由特定的機(jī)構(gòu)對(duì)用戶的身份進(jìn)行嚴(yán)格的審核,并為用戶頒發(fā)數(shù)字證書(shū),通過(guò)公鑰加密技術(shù)對(duì)用戶的公鑰信息和用戶的身份信息做數(shù)字簽名,把用戶的身份信息與公鑰綁定在一起。用戶使用證書(shū)進(jìn)行身份鑒別時(shí),可基于對(duì)權(quán)威鑒別機(jī)構(gòu)的信賴(lài)而信賴(lài)證書(shū)所對(duì)應(yīng)的實(shí)體身份,實(shí)現(xiàn)對(duì)身份的鑒別。
這種技術(shù)屬于安全性最高的一種方案,它通過(guò)密碼學(xué)的技術(shù)不但綁定用戶接入身份的鑒別流程,而且還綁定用戶身份本身,同時(shí)也完成對(duì)通信數(shù)據(jù)的加密處理。使用這樣的方法,每個(gè)用戶都有屬于自己個(gè)人的接入憑證,無(wú)法抵賴(lài)。這種方案類(lèi)似于所有訪客,使用唯一標(biāo)識(shí)自己身份的一張卡進(jìn)入同一個(gè)大門(mén)。
2、加密
加密就是保護(hù)信息不泄露或不暴露給那些未授權(quán)掌握這一信息的實(shí)體。通常需要選擇特定的密碼算法來(lái)實(shí)現(xiàn)。常見(jiàn)的密碼算法如下。
(1)數(shù)據(jù)加密標(biāo)準(zhǔn)DES(Data Encryption Standard):DES的出現(xiàn)引起了學(xué)術(shù)界和企業(yè)界的廣泛重視,許多廠家很快生產(chǎn)出實(shí)現(xiàn)DES算法的產(chǎn)品,但其最大的缺點(diǎn)在于DES的密鑰太短,不能抵抗無(wú)窮搜索密鑰攻擊。
(2)高級(jí)加密標(biāo)準(zhǔn)AES(Advanced Encryption Standard):為了克服DES的缺點(diǎn),美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所(NIST)開(kāi)始尋求高強(qiáng)度、高效率的替代算法,并于1997年推出AES標(biāo)準(zhǔn)。
(3)SM4:SM4是在國(guó)內(nèi)正式使用并于2006年公布的第一個(gè)用于無(wú)線局域網(wǎng)的商用分組密碼算法。WAPI的無(wú)線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)(WPI, WLAN Privacy Infrastructure)采用對(duì)稱(chēng)密碼算法SM4實(shí)現(xiàn)對(duì)MAC層MSDU的加、解密操作。
3、數(shù)據(jù)完整性保護(hù)
數(shù)據(jù)完整性保護(hù),是使接收方能夠確切地判斷所接收到的消息在傳輸過(guò)程中是否遭到插入、篡改、重排序等形式的破壞。完善的數(shù)據(jù)完整性業(yè)務(wù)不僅能發(fā)現(xiàn)完整性是否遭到破壞,還能采取某種措施從完整性中恢復(fù)出來(lái)。
三、無(wú)線局域網(wǎng)面臨的安全問(wèn)題
無(wú)線局域網(wǎng)已廣泛應(yīng)用于各行各業(yè)中,受到人們的青睞,并成為無(wú)線通信與互聯(lián)網(wǎng)技術(shù)相結(jié)合的最熱門(mén)技術(shù)。無(wú)線局域網(wǎng)的最大優(yōu)點(diǎn)就是實(shí)現(xiàn)了網(wǎng)絡(luò)互連的可移動(dòng)性,它能大幅度提高用戶訪問(wèn)信息的及時(shí)性和有效性,還可以克服有線限制引起的不便性。但因無(wú)線局域網(wǎng)應(yīng)用具有很大的開(kāi)放性,數(shù)據(jù)傳播的范圍較難控制,無(wú)線局域網(wǎng)面臨非常嚴(yán)峻的安全問(wèn)題。無(wú)線局域網(wǎng)面臨的基本安全問(wèn)題如下。
1、非法接入風(fēng)險(xiǎn)
主要是指通過(guò)未授權(quán)的設(shè)備接入無(wú)線網(wǎng)絡(luò),例如,企業(yè)內(nèi)部一些員工,購(gòu)買(mǎi)便宜小巧的無(wú)線路由器,通過(guò)有線以太網(wǎng)口接入網(wǎng)絡(luò),如果這些設(shè)備配置有問(wèn)題,處于沒(méi)加密或弱加密的條件下,那么整個(gè)網(wǎng)絡(luò)的安全性就大打折扣,造成接入危險(xiǎn)?;蛘呤瞧髽I(yè)外部的非法用戶與企業(yè)內(nèi)部的合法無(wú)線路由器建立了連接,這也會(huì)使網(wǎng)絡(luò)安全失控。
2、客戶端連接不當(dāng)
一些部署在工作區(qū)域周?chē)臒o(wú)線路由器可能沒(méi)有做安全控制,企業(yè)內(nèi)一些合法用戶的無(wú)線網(wǎng)卡可能與這些外部無(wú)線路由器連接,一旦這個(gè)用戶連接到外部無(wú)線路由器,企業(yè)的網(wǎng)絡(luò)就處于風(fēng)險(xiǎn)之中。
3、竊聽(tīng)
一些黑客借助Wi-Fi分析器,會(huì)捕捉到所有的無(wú)線通信數(shù)據(jù),如果信息沒(méi)有保護(hù),則可以閱讀信號(hào)中傳輸?shù)膬?nèi)容。如果黑客手段更高明一點(diǎn),就可以偽裝成合法用戶,修改空中傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)等。
4、拒絕服務(wù)攻擊
這種攻擊方式,不以獲取信息為目的,黑客只是想讓用戶無(wú)法訪問(wèn)網(wǎng)絡(luò)服務(wù)而不斷地發(fā)送信息,使合法用戶的信息一直處于等待狀態(tài),無(wú)法正常工作。
上面所述的安全問(wèn)題的解決,其核心在于安全機(jī)制和安全協(xié)議如何制定。當(dāng)前主流的無(wú)線局域網(wǎng)技術(shù)Wi-Fi從技術(shù)發(fā)明和協(xié)議設(shè)計(jì)初期到現(xiàn)在,都不能有效解決這些問(wèn)題。導(dǎo)致根據(jù)協(xié)議開(kāi)發(fā)出來(lái)的所有產(chǎn)品,雖然來(lái)自不同的廠家,但均面臨著隨時(shí)被破解的危險(xiǎn)。
四、無(wú)線局域網(wǎng)安全性
1、Wi-Fi初期安全技術(shù)WEP
Wi-Fi安全技術(shù)最初通過(guò)有線對(duì)等保密協(xié)議WEP(Wired Equivalent Privacy)來(lái)實(shí)現(xiàn)鑒別與數(shù)據(jù)加密,此類(lèi)安全協(xié)議非常脆弱,可輕易從互聯(lián)網(wǎng)上下載到破解軟件,在幾秒內(nèi)破解。目前處于正在被淘汰的過(guò)程中。
2、Wi-Fi當(dāng)前安全技術(shù)WPA/WPA2
為了使Wi-Fi技術(shù)從WEP可以被輕易破解這種被動(dòng)局面中解脫出來(lái),IEEE重新建立的工作組,開(kāi)發(fā)了新的安全標(biāo)準(zhǔn)IEEE802.11i,標(biāo)準(zhǔn)中除了保留有原來(lái)的WEP之外,新添加了WPA/WPA2這2種技術(shù)。
不幸的是,由于WPA/WPA2依然采用不安全的設(shè)計(jì)理念,WPA技術(shù)在頒布之后就輕易又遭到破解,而當(dāng)前針對(duì)WPA2的破解也已經(jīng)從理論破解分析發(fā)展到了破解工具開(kāi)發(fā)的階段,在不久的將來(lái),就會(huì)面對(duì)WEP和WPA被輕易破解的相同局面。
3、中國(guó)無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)WAPI
無(wú)線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)(WAPI,WLAN Authentication and Privacy Infrastructure)是中國(guó)唯一的無(wú)線局域網(wǎng)技術(shù)標(biāo)準(zhǔn)。WAPI 采用國(guó)家密碼管理委員會(huì)辦公室批準(zhǔn)的公開(kāi)密鑰體制的橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法,實(shí)現(xiàn)設(shè)備的身份鑒別、鏈路驗(yàn)證、訪問(wèn)控制和用戶信息在無(wú)線傳輸狀態(tài)下的加密保護(hù),旨在徹底扭轉(zhuǎn)目前WLAN采用多種安全機(jī)制并存且互不兼容的現(xiàn)狀,從根本上解決安全問(wèn)題和兼容性問(wèn)題。
WAPI由無(wú)線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)(WAI, WLAN Authentication Infrastructure)和無(wú)線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)(WPI, WLAN Privacy Infrastructure)兩部分組成,WAI和WPI分別實(shí)現(xiàn)對(duì)用戶身份的鑒別和對(duì)傳輸數(shù)據(jù)的加密。
WAPI整個(gè)系統(tǒng)由站點(diǎn)STA、接入點(diǎn)AP和認(rèn)證服務(wù)單元ASU組成。其中,ASU用于幫助STA和AP完成身份鑒別等;STA與AP上都安裝有ASU發(fā)放的公鑰證書(shū),作為自己的數(shù)字身份憑證。當(dāng)STA登錄到無(wú)線接入點(diǎn)AP時(shí),在使用或訪問(wèn)網(wǎng)絡(luò)之前必須通過(guò)ASU進(jìn)行身份驗(yàn)證。根據(jù)驗(yàn)證的結(jié)果,只有持有合法證書(shū)的站點(diǎn)STA才能接入持有合法證書(shū)的無(wú)線接入點(diǎn)AP。這樣,不僅可以防止非法STA接入AP而訪問(wèn)并占用網(wǎng)絡(luò)資源,而且還可以防止STA登錄到非法AP而造成信息泄露。
五、WAPI技術(shù)介紹
1、系統(tǒng)組成
在一個(gè)典型的WAPI系統(tǒng)中,WAPI用戶STA通過(guò)WAPI無(wú)線路由器AP接入互聯(lián)網(wǎng)。如圖3所示。首先,STA與AP進(jìn)行網(wǎng)絡(luò)發(fā)現(xiàn)協(xié)商并開(kāi)啟WAPI功能,STA和AP啟動(dòng)身份鑒別過(guò)程,利用AS完成雙向身份鑒別。當(dāng)身份鑒別通過(guò)后,STA和AP進(jìn)行密鑰管理,協(xié)商用于保護(hù)通信數(shù)據(jù)的密鑰,并利用協(xié)商出來(lái)的密鑰加密通信數(shù)據(jù)。
2、WAPI 網(wǎng)絡(luò)發(fā)現(xiàn)
在一個(gè)采用了WAPI安全的無(wú)線局域網(wǎng)中,當(dāng)STA需要訪問(wèn)該無(wú)線局域網(wǎng)時(shí),通過(guò)被動(dòng)偵聽(tīng)AP的信標(biāo)(Beacon)幀或主動(dòng)發(fā)送探詢幀(主動(dòng)探詢過(guò)程如圖4所示)以識(shí)別AP所采用的安全策略。
(1)若AP采用WAPI證書(shū)鑒別方式,AP將發(fā)送鑒別激活分組啟動(dòng)證書(shū)鑒別過(guò)程,當(dāng)證書(shū)鑒別過(guò)程成功結(jié)束后,AP和STA再進(jìn)行單播密鑰協(xié)商和組播密鑰通告。
(2)若AP采用WAPI預(yù)共享密鑰鑒別方式,AP將與STA直接進(jìn)行單播密鑰協(xié)商和組播密鑰通告。
3、WAPI 的身份鑒別
WAPI 支持2種身份鑒別方式:證書(shū)鑒別方式和預(yù)共享密鑰鑒別方式。
(1)證書(shū)鑒別方式
數(shù)字證書(shū)是一種經(jīng)公鑰基礎(chǔ)設(shè)施(PKI, Public Key Infrastructure)證書(shū)授權(quán)中心簽名的、包含公開(kāi)密鑰及用戶相關(guān)信息的文件,是網(wǎng)絡(luò)用戶的數(shù)字身份憑證。WAPI 系統(tǒng)中所使用的用戶證書(shū)為數(shù)字證書(shū),通過(guò)ASU 對(duì)用戶證書(shū)進(jìn)行驗(yàn)證,可以唯一確定WAPI 用戶的身份及其合法性。
證書(shū)鑒別是基于STA和AP雙方的證書(shū)所進(jìn)行的鑒別。鑒別前STA和AP必須預(yù)先擁有各自的證書(shū),然后通過(guò)ASU對(duì)雙方的身份進(jìn)行鑒別,根據(jù)雙方產(chǎn)生的臨時(shí)公鑰和臨時(shí)私鑰生成基密鑰,并為隨后的單播密鑰協(xié)商和組播密鑰通告做好準(zhǔn)備。
(2)預(yù)共享密鑰鑒別方式
預(yù)共享密鑰鑒別是基于STA和AP雙方的密鑰所進(jìn)行的鑒別。鑒別前STA和AP必須預(yù)先配置有相同的密鑰,即預(yù)共享密鑰。鑒別時(shí)直接將預(yù)共享密鑰轉(zhuǎn)換為基密鑰,然后進(jìn)行單播密鑰協(xié)商和組播密鑰通告。
4、WAPI 的密鑰管理
STA 與 AP 之間交互的單播數(shù)據(jù)利用單播密鑰協(xié)商過(guò)程所協(xié)商出的單播加密密鑰和單播完整性校驗(yàn)密鑰進(jìn)行保護(hù);AP 利用自己通告的、由組播主密鑰導(dǎo)出的組播加密密鑰和組播完整性校驗(yàn)密鑰對(duì)其發(fā)送的廣播/組播數(shù)據(jù)進(jìn)行保護(hù),而STA 則采用AP通告的、由組播主密鑰導(dǎo)出的組播加密密鑰和組播完整性校驗(yàn)密鑰對(duì)收到的廣播/組播數(shù)據(jù)進(jìn)行解密。首先要進(jìn)行單播密鑰的協(xié)商
當(dāng)單播密鑰協(xié)商完成后,再使用單播密鑰協(xié)商過(guò)程所協(xié)商出的密鑰進(jìn)行組播密鑰的通告
5、WAPI 的通信數(shù)據(jù)加密
WAPI對(duì)通信數(shù)據(jù)進(jìn)行加、解密處理。WAPI密碼套件中首選采用的分組密碼算法為SM4,該算法的分組長(zhǎng)度為128bit,密鑰長(zhǎng)度為128bit。完整性校驗(yàn)算法工作在CBC-MAC模式,數(shù)據(jù)保密采用的對(duì)稱(chēng)加密算法工作在OFB模式。
六、無(wú)線局域網(wǎng)(WAPI)安全配置實(shí)例
下面給出一個(gè)實(shí)例說(shuō)明如何進(jìn)行無(wú)線局域網(wǎng)安全配置?;静襟E如下。
(1)本配置實(shí)例中使用的是IWN A2410(WLR4038)無(wú)線路由器。
(2)本配置實(shí)例通過(guò)在無(wú)線路由器側(cè)啟用WAPI-Cert或者WAPI-PSK安全模式來(lái)達(dá)到對(duì)客戶端數(shù)據(jù)進(jìn)行保護(hù)的目的。
(3)主要配置內(nèi)容如圖8所示,包括:添加無(wú)線網(wǎng)絡(luò)名稱(chēng)(SSID)、設(shè)定射頻發(fā)射功率、無(wú)線工作模式、信道、SSID名稱(chēng)、該SSID綁定的網(wǎng)絡(luò)接口(建議綁定到LAN口)、選擇接入網(wǎng)絡(luò)的安全類(lèi)型(WAPI-Cert或WAPI-PSK)、密鑰更新、MAC地址過(guò)濾、WMM選定等設(shè)備和接口配置。以上內(nèi)容可實(shí)現(xiàn)開(kāi)機(jī)“一鍵配置”。
無(wú)線局域網(wǎng)安全(二)
在互聯(lián)網(wǎng)迅猛發(fā)展的今天,我們每個(gè)人都在有意識(shí)和無(wú)意識(shí)的留下很多的數(shù)字足跡,如何保護(hù)個(gè)體的信息隱私安全成為了每個(gè)人都關(guān)心的事情。
在使用專(zhuān)利數(shù)據(jù)庫(kù)檢索和分析時(shí),有不少客戶會(huì)問(wèn):我的檢索分析記錄會(huì)被搜集到嗎?專(zhuān)利數(shù)據(jù)庫(kù)面向的客戶大部分是企業(yè),企業(yè)對(duì)知識(shí)產(chǎn)權(quán)和商業(yè)信息的保密性就會(huì)更加敏感。Patentics非常理解客戶的擔(dān)心,也深知專(zhuān)利數(shù)據(jù)商有責(zé)任有義務(wù)給用戶提供安全、高效、成本低的解決方案。
為此,Patentics推出了一套完整的解決方案,可以提供從檢索、分析到工作成果分享的全流程、360度無(wú)死角的安全保證。這套解決方案包括:無(wú)痕檢索、局域網(wǎng)專(zhuān)題庫(kù)和本地化語(yǔ)義系統(tǒng)。本周先主要介紹下局域網(wǎng)專(zhuān)題庫(kù)這個(gè)功能。
出于安全性的考量,有不少大型企業(yè)為了搭建專(zhuān)利數(shù)據(jù)庫(kù)斥資幾十萬(wàn)甚至更多來(lái)購(gòu)置服務(wù)器,幾十萬(wàn)甚至百萬(wàn)來(lái)購(gòu)買(mǎi)數(shù)據(jù),還要分配專(zhuān)門(mén)的人力來(lái)做運(yùn)維。對(duì)于一家大型企業(yè)來(lái)說(shuō),也許是可以負(fù)擔(dān)的,但對(duì)于占絕大多數(shù)的中小企業(yè)來(lái)說(shuō)是可望而不可及的。
Patentics局域網(wǎng)專(zhuān)題庫(kù)就可以很好的解決這個(gè)問(wèn)題,而這就必須要用一種特別的產(chǎn)品架構(gòu)—C/S架構(gòu)(Client/Server,即客戶端/服務(wù)器端架構(gòu))。
C/S 一般面向相對(duì)固定的用戶群, 對(duì)信息安全的控制能力很強(qiáng). 一般高度機(jī)密的信息系統(tǒng)采用C/S 結(jié)構(gòu)適宜。B/S 建立在廣域網(wǎng)之上, 對(duì)安全的控制能力相對(duì)弱, 面向是不可知的用戶群。
目前市面上的專(zhuān)利數(shù)據(jù)庫(kù)基本都是B/S架構(gòu)(Browser/Server,即瀏覽器/服務(wù)器架構(gòu))。Patentics是一家既擁有瀏覽器B/S架構(gòu)網(wǎng)頁(yè)版和C/S架構(gòu)客戶端產(chǎn)品的數(shù)據(jù)商,而且客戶端賬號(hào)既可以登陸網(wǎng)頁(yè)版,也可以登錄客戶端。
客戶端就好比數(shù)據(jù)加工車(chē)間或者數(shù)據(jù)加工的萬(wàn)能車(chē)床。c/s架構(gòu)的好處在于可以高度自由地處理數(shù)據(jù),只要有專(zhuān)利就可以一層層的挖掘下去,而瀏覽器架構(gòu)可挖的層數(shù)就相對(duì)有限,不同數(shù)據(jù)集之間也難以進(jìn)行運(yùn)算和關(guān)聯(lián)處理??蛻舳丝梢詫?shí)現(xiàn)從專(zhuān)利檢索、搜索可視化、導(dǎo)入、無(wú)限嵌套分析、智能技術(shù)分組、批量/協(xié)同/智能標(biāo)引、本地庫(kù)自動(dòng)生成、專(zhuān)利地圖、批量專(zhuān)利攻防分析、競(jìng)爭(zhēng)點(diǎn)位組、專(zhuān)利價(jià)值譜圖等等全自動(dòng)化一氣呵成。
更重要的是,由于客戶端是將檢索數(shù)據(jù)先下載到本地再進(jìn)行相應(yīng)的分析,整個(gè)分析過(guò)程都是在本地進(jìn)行,分析結(jié)果也保存在本地,即使被他人盜取了賬號(hào)密碼,由于云端不保存分析項(xiàng)目,也無(wú)法獲取您的分析情報(bào),無(wú)需擔(dān)心線上分析情報(bào)泄露的問(wèn)題。配合無(wú)痕檢索和局域網(wǎng)專(zhuān)題庫(kù)的使用,可從檢索、分析、結(jié)果保存到情報(bào)共享做到全流程全方位的保密環(huán)境。
以下是新版客戶端中分析保密性項(xiàng)目的典型流程,首先開(kāi)啟無(wú)痕檢索檢索出樣本數(shù)據(jù),導(dǎo)入客戶端在本地加工分析整理成包含可視化圖表和技術(shù)標(biāo)引信息的專(zhuān)利情報(bào),將數(shù)據(jù)可視化圖圖表和專(zhuān)利列表生成私享的本地庫(kù)(參看:https://mp.weixin.qq.com/s/95AAyvlDpf-4w0yedJ_vHQ),或直接通過(guò)局域網(wǎng)專(zhuān)題庫(kù)這一功能,將工作成果發(fā)布在企業(yè)局域網(wǎng),企業(yè)的相關(guān)人員通過(guò)一個(gè)本機(jī)IP地址開(kāi)頭的鏈接就可以訪問(wèn)到上述工作成果。
局域網(wǎng)專(zhuān)題庫(kù)是將使用者自己的電腦變成了一臺(tái)局域網(wǎng)本地服務(wù)器,通過(guò)Patentics客戶端這一數(shù)據(jù)加工工廠,可不限量隨意加工生成屬于自己的局域網(wǎng)專(zhuān)題庫(kù)。
無(wú)線局域網(wǎng)安全(三)
二層交換是一個(gè)局域網(wǎng)的技術(shù),我們通過(guò)二層交換機(jī),可以組建校園網(wǎng)、辦公網(wǎng)等小型的網(wǎng)絡(luò),如果一個(gè)交換機(jī)的接口數(shù)量不夠,或者各個(gè)辦公室之間距離稍有點(diǎn)遠(yuǎn),可以采用交換機(jī)級(jí)聯(lián)的方式組網(wǎng),交換機(jī)下面再下掛交換機(jī)。
網(wǎng)絡(luò)的大小是相對(duì)的,如果一個(gè)公司的主機(jī)的數(shù)量有上百臺(tái),雖然和廣域網(wǎng)比很少,但也是一個(gè)不小的公司了,采用二層組網(wǎng)的話,二層交換有一個(gè)無(wú)法回避的廣播域的問(wèn)題,這幾百臺(tái)的電腦廣播起來(lái)也是很煩的。
如果一個(gè)公司有技術(shù)部、市場(chǎng)部、財(cái)務(wù)部、后勤部等各個(gè)部門(mén),這些部門(mén)的主機(jī)主要還是和本部門(mén)的主機(jī)互相打交道比較多,跨部門(mén)的業(yè)務(wù)很少,我們可以采用一種技術(shù),將一個(gè)局域網(wǎng)的廣播域的范圍再進(jìn)一步劃小一點(diǎn),這就是VLAN。
VLAN(Virtual Local Area Network,虛擬局域網(wǎng)),VLAN是一種將局域網(wǎng)從邏輯上劃分成一個(gè)個(gè)更小的局域網(wǎng),VLAN之間在二層上是隔離的,從而實(shí)現(xiàn)虛擬工作組的數(shù)據(jù)交換技術(shù)。
從物理上來(lái)說(shuō),所有的主機(jī)下掛在一個(gè)交換機(jī)下,邏輯上通過(guò)VLAN劃分,相當(dāng)于將一個(gè)交換機(jī)分成若干個(gè)邏輯上獨(dú)立的交換機(jī),各個(gè)部門(mén)的主機(jī)之間隔離開(kāi),不會(huì)收到其他VLAN的廣播,耳根就清凈了不少。
跨交換機(jī)劃分VLAN也是一樣,交換機(jī)1和交換機(jī)2在兩個(gè)辦公樓里,從邏輯上劃分了VLAN之后,位于兩個(gè)樓里的同一部門(mén)的人組成了VLAN。
VLAN劃分方式有多種,可以根據(jù)物理端口、MAC地址、IP地址劃分,如果是基于端口的,只要接在指定端口之下的主機(jī)就固定屬于某個(gè)VLAN;而基于地址的劃分,只要地址不變,將主機(jī)換個(gè)地方,通過(guò)另外一個(gè)端口接入交換機(jī),交換機(jī)還是認(rèn)識(shí)它是屬于哪個(gè)部門(mén)的。
VLAN是靠在二層幀格式中間加了一個(gè)VLAN標(biāo)簽(802.1Q),比如市場(chǎng)部VLAN標(biāo)簽是1,技術(shù)部VLAN標(biāo)簽是2,交換機(jī)可以識(shí)別這個(gè)標(biāo)簽,哪個(gè)VLAN發(fā)來(lái)的數(shù)據(jù)幀,交換機(jī)只向本VLAN的端口進(jìn)行廣播。
VLAN標(biāo)簽中包含4部分。
1.Type:類(lèi)型,固定是0x8100(0x表示后面的數(shù)字是十六進(jìn)制數(shù),每位也就相當(dāng)于二進(jìn)制的4bit),以太網(wǎng)幀有可能是含有或不含VLAN標(biāo)簽的,接收方讀到這個(gè)8100的時(shí)候就知道這是一個(gè)帶VLAN標(biāo)簽的802.1Q數(shù)據(jù)幀。
2.PRI:Priority優(yōu)先級(jí),3bit也就是8個(gè)優(yōu)先級(jí),0~7值越大代表業(yè)務(wù)的級(jí)別越高。如果交換機(jī)的端口速率有限,無(wú)法按時(shí)發(fā)送每個(gè)VLAN的數(shù)據(jù)時(shí),就按照這個(gè)優(yōu)先級(jí)排個(gè)隊(duì),先將級(jí)別高的數(shù)據(jù)幀轉(zhuǎn)發(fā)。
關(guān)于優(yōu)先級(jí)這里多介紹一下,后面很多的幀格式里都會(huì)包含優(yōu)先級(jí)的字段,優(yōu)先級(jí)可以用來(lái)區(qū)分不同的端口、業(yè)務(wù)、用戶等,就像我們?nèi)ハM(fèi)時(shí)VIP永遠(yuǎn)會(huì)得到更優(yōu)質(zhì)體貼的服務(wù),對(duì)于網(wǎng)絡(luò)來(lái)說(shuō)就是VIP能夠優(yōu)先獲得網(wǎng)絡(luò)資源,通過(guò)優(yōu)先轉(zhuǎn)發(fā)保證網(wǎng)絡(luò)對(duì)高等級(jí)業(yè)務(wù)的服務(wù)質(zhì)量。每個(gè)幀結(jié)構(gòu)里的優(yōu)先級(jí)的表示都是在對(duì)應(yīng)的層次有效的,交換機(jī)認(rèn)識(shí)VLAN標(biāo)簽里這個(gè)PRI,而到了路由器查看IP地址,就要通過(guò)IP地址里的DSCP去判斷優(yōu)先級(jí),就像我們可以用工牌在本公司內(nèi)通行無(wú)阻,但是到了其他公司就要使用人家的來(lái)賓證。
3.CFI:Canonical Format Indicator,標(biāo)準(zhǔn)格式指示位,CFI為0時(shí)表示規(guī)范格式,為1時(shí)表示非規(guī)范格式,以太網(wǎng)幀CFI為0。
4.VID:VLAN ID,12bit,也就是一共4096個(gè)ID號(hào)可用,用來(lái)區(qū)分不同的VLAN。
VLAN標(biāo)簽是可以嵌套的,也就是可以在以太網(wǎng)幀中插入兩層VLAN標(biāo)簽,也就是QinQ技術(shù),可以支持4096×4096個(gè)不同VLAN。
VLAN將一個(gè)局域網(wǎng)劃分為若干個(gè)虛擬局域網(wǎng),VLAN之間無(wú)法再通過(guò)二層交換的方式通信了,可是不同部門(mén)之間還是要偶爾發(fā)送個(gè)郵件,那就只能通過(guò)更高的層面——三層路由去互通。