無線局域網(wǎng)安全
無線局域網(wǎng)安全
局域網(wǎng)(Local Area Network,LAN)是指在某一區(qū)域內(nèi)由多臺(tái)計(jì)算機(jī)互聯(lián)成的計(jì)算機(jī)組。一般是方圓幾千米以內(nèi)。局域網(wǎng)可以實(shí)現(xiàn)文件管理、應(yīng)用軟件共享、打印機(jī)共享、工作組內(nèi)的日程安排、電子郵件和傳真通信服務(wù)等功能。局域網(wǎng)是封閉型的,可以由辦公室內(nèi)的兩臺(tái)計(jì)算機(jī)組成,也可以由一個(gè)公司內(nèi)的上千臺(tái)計(jì)算機(jī)組成。下面是小編收集整理的無線局域網(wǎng)安全范文,歡迎借鑒參考。
無線局域網(wǎng)安全(一)
一、無線局域網(wǎng)
無線局域網(wǎng)是用無線通信技術(shù)將終端設(shè)備互聯(lián)起來,構(gòu)成可以互相通信和實(shí)現(xiàn)資源共享的局域網(wǎng)絡(luò)體系。無線局域網(wǎng)特點(diǎn)是通過無線的方式建立連接,利用無線技術(shù)在空中傳輸數(shù)據(jù),從而使網(wǎng)絡(luò)的構(gòu)建和終端的移動(dòng)更加靈活。無線局域網(wǎng)常規(guī)的有效使用距離在100 m以內(nèi)。
無線局域網(wǎng)在一定程度上扔掉了有線網(wǎng)絡(luò)必須依賴的網(wǎng)線。這樣,用戶可以坐在家里的任何一個(gè)角落,抱著筆記本電腦,享受網(wǎng)絡(luò)的樂趣,而不像從前那樣必須要遷就于網(wǎng)絡(luò)接口的布線位置。
無線局域網(wǎng)包括2種基本的工作模式:如圖1所示的帶無線路由器工作模式和如圖2所示的不帶無線路由器工作模式。
在帶無線路由器工作模式下,通信需要一個(gè)專門的無線局域網(wǎng)設(shè)備:無線路由器;在不帶無線路由器工作模式下,無線終端相互之間直接發(fā)送數(shù)據(jù)。在日常的使用中,用戶基本上使用帶無線路由器的模式。
全球范圍內(nèi),無線局域網(wǎng)技術(shù)主要包括IEEE802.11系列、Hiper LAN技術(shù)、Home RF和藍(lán)牙技術(shù),目前,應(yīng)用比較廣泛是IEEE802.11系列和Hiper LAN。
(1)ISO/IEC802.11 系列標(biāo)準(zhǔn)技術(shù):是美國電氣和電子工程師協(xié)會(huì)(IEEE)頒布的無線局域網(wǎng)標(biāo)準(zhǔn)。IEEE802.11系列技術(shù)和產(chǎn)品的安全性一直沒能很好地解決。近年來,IEEE802.11技術(shù)和產(chǎn)品不斷爆出重大安全性問題,造成用戶巨大的經(jīng)濟(jì)損失。
(2)Hiper LAN: Hiper LAN是以歐洲電信標(biāo)準(zhǔn)協(xié)會(huì)(ETSI)頒布的無線局域網(wǎng)標(biāo)準(zhǔn)為核心的技術(shù)和產(chǎn)品的總稱。
二、無線局域網(wǎng)安全概述
安全是無線局域網(wǎng)面臨的最大問題,這是由無線信號(hào)在空中幾乎無邊界的傳播特性造成的,不論信號(hào)中的數(shù)據(jù)要發(fā)送的目的地是哪里,任何無線終端在無線信號(hào)覆蓋的范圍內(nèi)都可以接收到。為了保證安全通信,無線局域網(wǎng)中應(yīng)采取必要的安全技術(shù),包括鑒別、加密、數(shù)據(jù)完整性保護(hù)等。
1、鑒別
鑒別提供了用戶身份合法性的保證,這意味著當(dāng)用戶聲稱具有一個(gè)特定的身份時(shí),鑒別技術(shù)將提供某種方法來證實(shí)這一聲明是正確的。用戶在登錄無線局域網(wǎng)的時(shí)候,需要輸入特定的密碼或身份信息等來進(jìn)行身份合法性的驗(yàn)證。
盡管不同的鑒別方式?jīng)Q定用戶身份驗(yàn)證的具體流程不同,但基本功能是一致的。目前,無線局域網(wǎng)中采用的鑒別方式主要有基于瀏覽器頁面的身份鑒別、基于密碼的身份鑒別、基于數(shù)字證書的身份鑒別。
(1)基于瀏覽器頁面的身份鑒別
基于瀏覽器頁面的身份鑒別一個(gè)非常重要的特點(diǎn)是客戶端只需要在瀏覽器上輸入正確的接入信息憑證即可。這類身份鑒別的技術(shù)在公共場所(如機(jī)場、酒店、商場等地方)經(jīng)常用到,用戶輸入手機(jī)號(hào)碼,通過手機(jī)獲得相關(guān)的登錄驗(yàn)證碼,然后將登錄驗(yàn)證碼輸入到瀏覽器中即可使用網(wǎng)絡(luò)服務(wù)。
這種身份鑒別技術(shù)屬于安全性最低的一種方案,它只是在無線局域網(wǎng)的上層應(yīng)用簡單進(jìn)行身份信息的對(duì)比,實(shí)現(xiàn)對(duì)用戶使用某種服務(wù)的控制。基于瀏覽器頁面的身份鑒別技術(shù)并沒有融入密碼學(xué)相關(guān)技術(shù)來實(shí)現(xiàn)身份信息的保密性和不可篡改性。在無線局域網(wǎng)底層沒有調(diào)用任何安全技術(shù)的保護(hù),所有通信信息明文傳輸,存在較大的安全風(fēng)險(xiǎn)。這種方案類似于所有訪客,先進(jìn)入大門,然后再用筆寫下自己的聯(lián)系方式。
(2)基于密碼的身份鑒別
基于密碼的身份鑒別是指用戶利用手機(jī)或者筆記本電腦原始控制接入無線局域網(wǎng)的界面,輸入所選擇的無線網(wǎng)絡(luò)的接入密碼實(shí)現(xiàn)網(wǎng)絡(luò)登錄。這類身份鑒別的技術(shù)在家庭、辦公室等場景經(jīng)常用到。
這種身份鑒別技術(shù)屬于安全性中等的一種方案,它通過綁定密碼學(xué)的技術(shù)實(shí)現(xiàn)用戶接入身份的鑒別,同時(shí)完成對(duì)通信數(shù)據(jù)的加密處理。這種技術(shù)的缺點(diǎn)在于密碼容易傳播,且所有人使用相同的密碼,容易造成無法追溯或者“好人辦壞事”的情況。這種方案類似于所有訪客,使用同一張卡進(jìn)入同一個(gè)大門。
(3)基于數(shù)字證書的身份鑒別
基于數(shù)字證書的身份鑒別是指用戶登錄到無線局域網(wǎng)之前,需要由特定的機(jī)構(gòu)對(duì)用戶的身份進(jìn)行嚴(yán)格的審核,并為用戶頒發(fā)數(shù)字證書,通過公鑰加密技術(shù)對(duì)用戶的公鑰信息和用戶的身份信息做數(shù)字簽名,把用戶的身份信息與公鑰綁定在一起。用戶使用證書進(jìn)行身份鑒別時(shí),可基于對(duì)權(quán)威鑒別機(jī)構(gòu)的信賴而信賴證書所對(duì)應(yīng)的實(shí)體身份,實(shí)現(xiàn)對(duì)身份的鑒別。
這種技術(shù)屬于安全性最高的一種方案,它通過密碼學(xué)的技術(shù)不但綁定用戶接入身份的鑒別流程,而且還綁定用戶身份本身,同時(shí)也完成對(duì)通信數(shù)據(jù)的加密處理。使用這樣的方法,每個(gè)用戶都有屬于自己個(gè)人的接入憑證,無法抵賴。這種方案類似于所有訪客,使用唯一標(biāo)識(shí)自己身份的一張卡進(jìn)入同一個(gè)大門。
2、加密
加密就是保護(hù)信息不泄露或不暴露給那些未授權(quán)掌握這一信息的實(shí)體。通常需要選擇特定的密碼算法來實(shí)現(xiàn)。常見的密碼算法如下。
(1)數(shù)據(jù)加密標(biāo)準(zhǔn)DES(Data Encryption Standard):DES的出現(xiàn)引起了學(xué)術(shù)界和企業(yè)界的廣泛重視,許多廠家很快生產(chǎn)出實(shí)現(xiàn)DES算法的產(chǎn)品,但其最大的缺點(diǎn)在于DES的密鑰太短,不能抵抗無窮搜索密鑰攻擊。
(2)高級(jí)加密標(biāo)準(zhǔn)AES(Advanced Encryption Standard):為了克服DES的缺點(diǎn),美國國家標(biāo)準(zhǔn)和技術(shù)研究所(NIST)開始尋求高強(qiáng)度、高效率的替代算法,并于1997年推出AES標(biāo)準(zhǔn)。
(3)SM4:SM4是在國內(nèi)正式使用并于2006年公布的第一個(gè)用于無線局域網(wǎng)的商用分組密碼算法。WAPI的無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)(WPI, WLAN Privacy Infrastructure)采用對(duì)稱密碼算法SM4實(shí)現(xiàn)對(duì)MAC層MSDU的加、解密操作。
3、數(shù)據(jù)完整性保護(hù)
數(shù)據(jù)完整性保護(hù),是使接收方能夠確切地判斷所接收到的消息在傳輸過程中是否遭到插入、篡改、重排序等形式的破壞。完善的數(shù)據(jù)完整性業(yè)務(wù)不僅能發(fā)現(xiàn)完整性是否遭到破壞,還能采取某種措施從完整性中恢復(fù)出來。
三、無線局域網(wǎng)面臨的安全問題
無線局域網(wǎng)已廣泛應(yīng)用于各行各業(yè)中,受到人們的青睞,并成為無線通信與互聯(lián)網(wǎng)技術(shù)相結(jié)合的最熱門技術(shù)。無線局域網(wǎng)的最大優(yōu)點(diǎn)就是實(shí)現(xiàn)了網(wǎng)絡(luò)互連的可移動(dòng)性,它能大幅度提高用戶訪問信息的及時(shí)性和有效性,還可以克服有線限制引起的不便性。但因無線局域網(wǎng)應(yīng)用具有很大的開放性,數(shù)據(jù)傳播的范圍較難控制,無線局域網(wǎng)面臨非常嚴(yán)峻的安全問題。無線局域網(wǎng)面臨的基本安全問題如下。
1、非法接入風(fēng)險(xiǎn)
主要是指通過未授權(quán)的設(shè)備接入無線網(wǎng)絡(luò),例如,企業(yè)內(nèi)部一些員工,購買便宜小巧的無線路由器,通過有線以太網(wǎng)口接入網(wǎng)絡(luò),如果這些設(shè)備配置有問題,處于沒加密或弱加密的條件下,那么整個(gè)網(wǎng)絡(luò)的安全性就大打折扣,造成接入危險(xiǎn)?;蛘呤瞧髽I(yè)外部的非法用戶與企業(yè)內(nèi)部的合法無線路由器建立了連接,這也會(huì)使網(wǎng)絡(luò)安全失控。
2、客戶端連接不當(dāng)
一些部署在工作區(qū)域周圍的無線路由器可能沒有做安全控制,企業(yè)內(nèi)一些合法用戶的無線網(wǎng)卡可能與這些外部無線路由器連接,一旦這個(gè)用戶連接到外部無線路由器,企業(yè)的網(wǎng)絡(luò)就處于風(fēng)險(xiǎn)之中。
3、竊聽
一些黑客借助Wi-Fi分析器,會(huì)捕捉到所有的無線通信數(shù)據(jù),如果信息沒有保護(hù),則可以閱讀信號(hào)中傳輸?shù)膬?nèi)容。如果黑客手段更高明一點(diǎn),就可以偽裝成合法用戶,修改空中傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)等。
4、拒絕服務(wù)攻擊
這種攻擊方式,不以獲取信息為目的,黑客只是想讓用戶無法訪問網(wǎng)絡(luò)服務(wù)而不斷地發(fā)送信息,使合法用戶的信息一直處于等待狀態(tài),無法正常工作。
上面所述的安全問題的解決,其核心在于安全機(jī)制和安全協(xié)議如何制定。當(dāng)前主流的無線局域網(wǎng)技術(shù)Wi-Fi從技術(shù)發(fā)明和協(xié)議設(shè)計(jì)初期到現(xiàn)在,都不能有效解決這些問題。導(dǎo)致根據(jù)協(xié)議開發(fā)出來的所有產(chǎn)品,雖然來自不同的廠家,但均面臨著隨時(shí)被破解的危險(xiǎn)。
四、無線局域網(wǎng)安全性
1、Wi-Fi初期安全技術(shù)WEP
Wi-Fi安全技術(shù)最初通過有線對(duì)等保密協(xié)議WEP(Wired Equivalent Privacy)來實(shí)現(xiàn)鑒別與數(shù)據(jù)加密,此類安全協(xié)議非常脆弱,可輕易從互聯(lián)網(wǎng)上下載到破解軟件,在幾秒內(nèi)破解。目前處于正在被淘汰的過程中。
2、Wi-Fi當(dāng)前安全技術(shù)WPA/WPA2
為了使Wi-Fi技術(shù)從WEP可以被輕易破解這種被動(dòng)局面中解脫出來,IEEE重新建立的工作組,開發(fā)了新的安全標(biāo)準(zhǔn)IEEE802.11i,標(biāo)準(zhǔn)中除了保留有原來的WEP之外,新添加了WPA/WPA2這2種技術(shù)。
不幸的是,由于WPA/WPA2依然采用不安全的設(shè)計(jì)理念,WPA技術(shù)在頒布之后就輕易又遭到破解,而當(dāng)前針對(duì)WPA2的破解也已經(jīng)從理論破解分析發(fā)展到了破解工具開發(fā)的階段,在不久的將來,就會(huì)面對(duì)WEP和WPA被輕易破解的相同局面。
3、中國無線局域網(wǎng)安全標(biāo)準(zhǔn)WAPI
無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)(WAPI,WLAN Authentication and Privacy Infrastructure)是中國唯一的無線局域網(wǎng)技術(shù)標(biāo)準(zhǔn)。WAPI 采用國家密碼管理委員會(huì)辦公室批準(zhǔn)的公開密鑰體制的橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法,實(shí)現(xiàn)設(shè)備的身份鑒別、鏈路驗(yàn)證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護(hù),旨在徹底扭轉(zhuǎn)目前WLAN采用多種安全機(jī)制并存且互不兼容的現(xiàn)狀,從根本上解決安全問題和兼容性問題。
WAPI由無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)(WAI, WLAN Authentication Infrastructure)和無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)(WPI, WLAN Privacy Infrastructure)兩部分組成,WAI和WPI分別實(shí)現(xiàn)對(duì)用戶身份的鑒別和對(duì)傳輸數(shù)據(jù)的加密。
WAPI整個(gè)系統(tǒng)由站點(diǎn)STA、接入點(diǎn)AP和認(rèn)證服務(wù)單元ASU組成。其中,ASU用于幫助STA和AP完成身份鑒別等;STA與AP上都安裝有ASU發(fā)放的公鑰證書,作為自己的數(shù)字身份憑證。當(dāng)STA登錄到無線接入點(diǎn)AP時(shí),在使用或訪問網(wǎng)絡(luò)之前必須通過ASU進(jìn)行身份驗(yàn)證。根據(jù)驗(yàn)證的結(jié)果,只有持有合法證書的站點(diǎn)STA才能接入持有合法證書的無線接入點(diǎn)AP。這樣,不僅可以防止非法STA接入AP而訪問并占用網(wǎng)絡(luò)資源,而且還可以防止STA登錄到非法AP而造成信息泄露。
五、WAPI技術(shù)介紹
1、系統(tǒng)組成
在一個(gè)典型的WAPI系統(tǒng)中,WAPI用戶STA通過WAPI無線路由器AP接入互聯(lián)網(wǎng)。如圖3所示。首先,STA與AP進(jìn)行網(wǎng)絡(luò)發(fā)現(xiàn)協(xié)商并開啟WAPI功能,STA和AP啟動(dòng)身份鑒別過程,利用AS完成雙向身份鑒別。當(dāng)身份鑒別通過后,STA和AP進(jìn)行密鑰管理,協(xié)商用于保護(hù)通信數(shù)據(jù)的密鑰,并利用協(xié)商出來的密鑰加密通信數(shù)據(jù)。
2、WAPI 網(wǎng)絡(luò)發(fā)現(xiàn)
在一個(gè)采用了WAPI安全的無線局域網(wǎng)中,當(dāng)STA需要訪問該無線局域網(wǎng)時(shí),通過被動(dòng)偵聽AP的信標(biāo)(Beacon)幀或主動(dòng)發(fā)送探詢幀(主動(dòng)探詢過程如圖4所示)以識(shí)別AP所采用的安全策略。
(1)若AP采用WAPI證書鑒別方式,AP將發(fā)送鑒別激活分組啟動(dòng)證書鑒別過程,當(dāng)證書鑒別過程成功結(jié)束后,AP和STA再進(jìn)行單播密鑰協(xié)商和組播密鑰通告。
(2)若AP采用WAPI預(yù)共享密鑰鑒別方式,AP將與STA直接進(jìn)行單播密鑰協(xié)商和組播密鑰通告。
3、WAPI 的身份鑒別
WAPI 支持2種身份鑒別方式:證書鑒別方式和預(yù)共享密鑰鑒別方式。
(1)證書鑒別方式
數(shù)字證書是一種經(jīng)公鑰基礎(chǔ)設(shè)施(PKI, Public Key Infrastructure)證書授權(quán)中心簽名的、包含公開密鑰及用戶相關(guān)信息的文件,是網(wǎng)絡(luò)用戶的數(shù)字身份憑證。WAPI 系統(tǒng)中所使用的用戶證書為數(shù)字證書,通過ASU 對(duì)用戶證書進(jìn)行驗(yàn)證,可以唯一確定WAPI 用戶的身份及其合法性。
證書鑒別是基于STA和AP雙方的證書所進(jìn)行的鑒別。鑒別前STA和AP必須預(yù)先擁有各自的證書,然后通過ASU對(duì)雙方的身份進(jìn)行鑒別,根據(jù)雙方產(chǎn)生的臨時(shí)公鑰和臨時(shí)私鑰生成基密鑰,并為隨后的單播密鑰協(xié)商和組播密鑰通告做好準(zhǔn)備。
(2)預(yù)共享密鑰鑒別方式
預(yù)共享密鑰鑒別是基于STA和AP雙方的密鑰所進(jìn)行的鑒別。鑒別前STA和AP必須預(yù)先配置有相同的密鑰,即預(yù)共享密鑰。鑒別時(shí)直接將預(yù)共享密鑰轉(zhuǎn)換為基密鑰,然后進(jìn)行單播密鑰協(xié)商和組播密鑰通告。
4、WAPI 的密鑰管理
STA 與 AP 之間交互的單播數(shù)據(jù)利用單播密鑰協(xié)商過程所協(xié)商出的單播加密密鑰和單播完整性校驗(yàn)密鑰進(jìn)行保護(hù);AP 利用自己通告的、由組播主密鑰導(dǎo)出的組播加密密鑰和組播完整性校驗(yàn)密鑰對(duì)其發(fā)送的廣播/組播數(shù)據(jù)進(jìn)行保護(hù),而STA 則采用AP通告的、由組播主密鑰導(dǎo)出的組播加密密鑰和組播完整性校驗(yàn)密鑰對(duì)收到的廣播/組播數(shù)據(jù)進(jìn)行解密。首先要進(jìn)行單播密鑰的協(xié)商
當(dāng)單播密鑰協(xié)商完成后,再使用單播密鑰協(xié)商過程所協(xié)商出的密鑰進(jìn)行組播密鑰的通告
5、WAPI 的通信數(shù)據(jù)加密
WAPI對(duì)通信數(shù)據(jù)進(jìn)行加、解密處理。WAPI密碼套件中首選采用的分組密碼算法為SM4,該算法的分組長度為128bit,密鑰長度為128bit。完整性校驗(yàn)算法工作在CBC-MAC模式,數(shù)據(jù)保密采用的對(duì)稱加密算法工作在OFB模式。
六、無線局域網(wǎng)(WAPI)安全配置實(shí)例
下面給出一個(gè)實(shí)例說明如何進(jìn)行無線局域網(wǎng)安全配置。基本步驟如下。
(1)本配置實(shí)例中使用的是IWN A2410(WLR4038)無線路由器。
(2)本配置實(shí)例通過在無線路由器側(cè)啟用WAPI-Cert或者WAPI-PSK安全模式來達(dá)到對(duì)客戶端數(shù)據(jù)進(jìn)行保護(hù)的目的。
(3)主要配置內(nèi)容如圖8所示,包括:添加無線網(wǎng)絡(luò)名稱(SSID)、設(shè)定射頻發(fā)射功率、無線工作模式、信道、SSID名稱、該SSID綁定的網(wǎng)絡(luò)接口(建議綁定到LAN口)、選擇接入網(wǎng)絡(luò)的安全類型(WAPI-Cert或WAPI-PSK)、密鑰更新、MAC地址過濾、WMM選定等設(shè)備和接口配置。以上內(nèi)容可實(shí)現(xiàn)開機(jī)“一鍵配置”。
無線局域網(wǎng)安全(二)
在互聯(lián)網(wǎng)迅猛發(fā)展的今天,我們每個(gè)人都在有意識(shí)和無意識(shí)的留下很多的數(shù)字足跡,如何保護(hù)個(gè)體的信息隱私安全成為了每個(gè)人都關(guān)心的事情。
在使用專利數(shù)據(jù)庫檢索和分析時(shí),有不少客戶會(huì)問:我的檢索分析記錄會(huì)被搜集到嗎?專利數(shù)據(jù)庫面向的客戶大部分是企業(yè),企業(yè)對(duì)知識(shí)產(chǎn)權(quán)和商業(yè)信息的保密性就會(huì)更加敏感。Patentics非常理解客戶的擔(dān)心,也深知專利數(shù)據(jù)商有責(zé)任有義務(wù)給用戶提供安全、高效、成本低的解決方案。
為此,Patentics推出了一套完整的解決方案,可以提供從檢索、分析到工作成果分享的全流程、360度無死角的安全保證。這套解決方案包括:無痕檢索、局域網(wǎng)專題庫和本地化語義系統(tǒng)。本周先主要介紹下局域網(wǎng)專題庫這個(gè)功能。
出于安全性的考量,有不少大型企業(yè)為了搭建專利數(shù)據(jù)庫斥資幾十萬甚至更多來購置服務(wù)器,幾十萬甚至百萬來購買數(shù)據(jù),還要分配專門的人力來做運(yùn)維。對(duì)于一家大型企業(yè)來說,也許是可以負(fù)擔(dān)的,但對(duì)于占絕大多數(shù)的中小企業(yè)來說是可望而不可及的。
Patentics局域網(wǎng)專題庫就可以很好的解決這個(gè)問題,而這就必須要用一種特別的產(chǎn)品架構(gòu)—C/S架構(gòu)(Client/Server,即客戶端/服務(wù)器端架構(gòu))。
C/S 一般面向相對(duì)固定的用戶群, 對(duì)信息安全的控制能力很強(qiáng). 一般高度機(jī)密的信息系統(tǒng)采用C/S 結(jié)構(gòu)適宜。B/S 建立在廣域網(wǎng)之上, 對(duì)安全的控制能力相對(duì)弱, 面向是不可知的用戶群。
目前市面上的專利數(shù)據(jù)庫基本都是B/S架構(gòu)(Browser/Server,即瀏覽器/服務(wù)器架構(gòu))。Patentics是一家既擁有瀏覽器B/S架構(gòu)網(wǎng)頁版和C/S架構(gòu)客戶端產(chǎn)品的數(shù)據(jù)商,而且客戶端賬號(hào)既可以登陸網(wǎng)頁版,也可以登錄客戶端。
客戶端就好比數(shù)據(jù)加工車間或者數(shù)據(jù)加工的萬能車床。c/s架構(gòu)的好處在于可以高度自由地處理數(shù)據(jù),只要有專利就可以一層層的挖掘下去,而瀏覽器架構(gòu)可挖的層數(shù)就相對(duì)有限,不同數(shù)據(jù)集之間也難以進(jìn)行運(yùn)算和關(guān)聯(lián)處理??蛻舳丝梢詫?shí)現(xiàn)從專利檢索、搜索可視化、導(dǎo)入、無限嵌套分析、智能技術(shù)分組、批量/協(xié)同/智能標(biāo)引、本地庫自動(dòng)生成、專利地圖、批量專利攻防分析、競爭點(diǎn)位組、專利價(jià)值譜圖等等全自動(dòng)化一氣呵成。
更重要的是,由于客戶端是將檢索數(shù)據(jù)先下載到本地再進(jìn)行相應(yīng)的分析,整個(gè)分析過程都是在本地進(jìn)行,分析結(jié)果也保存在本地,即使被他人盜取了賬號(hào)密碼,由于云端不保存分析項(xiàng)目,也無法獲取您的分析情報(bào),無需擔(dān)心線上分析情報(bào)泄露的問題。配合無痕檢索和局域網(wǎng)專題庫的使用,可從檢索、分析、結(jié)果保存到情報(bào)共享做到全流程全方位的保密環(huán)境。
以下是新版客戶端中分析保密性項(xiàng)目的典型流程,首先開啟無痕檢索檢索出樣本數(shù)據(jù),導(dǎo)入客戶端在本地加工分析整理成包含可視化圖表和技術(shù)標(biāo)引信息的專利情報(bào),將數(shù)據(jù)可視化圖圖表和專利列表生成私享的本地庫(參看:https://mp.weixin.qq.com/s/95AAyvlDpf-4w0yedJ_vHQ),或直接通過局域網(wǎng)專題庫這一功能,將工作成果發(fā)布在企業(yè)局域網(wǎng),企業(yè)的相關(guān)人員通過一個(gè)本機(jī)IP地址開頭的鏈接就可以訪問到上述工作成果。
局域網(wǎng)專題庫是將使用者自己的電腦變成了一臺(tái)局域網(wǎng)本地服務(wù)器,通過Patentics客戶端這一數(shù)據(jù)加工工廠,可不限量隨意加工生成屬于自己的局域網(wǎng)專題庫。
無線局域網(wǎng)安全(三)
二層交換是一個(gè)局域網(wǎng)的技術(shù),我們通過二層交換機(jī),可以組建校園網(wǎng)、辦公網(wǎng)等小型的網(wǎng)絡(luò),如果一個(gè)交換機(jī)的接口數(shù)量不夠,或者各個(gè)辦公室之間距離稍有點(diǎn)遠(yuǎn),可以采用交換機(jī)級(jí)聯(lián)的方式組網(wǎng),交換機(jī)下面再下掛交換機(jī)。
網(wǎng)絡(luò)的大小是相對(duì)的,如果一個(gè)公司的主機(jī)的數(shù)量有上百臺(tái),雖然和廣域網(wǎng)比很少,但也是一個(gè)不小的公司了,采用二層組網(wǎng)的話,二層交換有一個(gè)無法回避的廣播域的問題,這幾百臺(tái)的電腦廣播起來也是很煩的。
如果一個(gè)公司有技術(shù)部、市場部、財(cái)務(wù)部、后勤部等各個(gè)部門,這些部門的主機(jī)主要還是和本部門的主機(jī)互相打交道比較多,跨部門的業(yè)務(wù)很少,我們可以采用一種技術(shù),將一個(gè)局域網(wǎng)的廣播域的范圍再進(jìn)一步劃小一點(diǎn),這就是VLAN。
VLAN(Virtual Local Area Network,虛擬局域網(wǎng)),VLAN是一種將局域網(wǎng)從邏輯上劃分成一個(gè)個(gè)更小的局域網(wǎng),VLAN之間在二層上是隔離的,從而實(shí)現(xiàn)虛擬工作組的數(shù)據(jù)交換技術(shù)。
從物理上來說,所有的主機(jī)下掛在一個(gè)交換機(jī)下,邏輯上通過VLAN劃分,相當(dāng)于將一個(gè)交換機(jī)分成若干個(gè)邏輯上獨(dú)立的交換機(jī),各個(gè)部門的主機(jī)之間隔離開,不會(huì)收到其他VLAN的廣播,耳根就清凈了不少。
跨交換機(jī)劃分VLAN也是一樣,交換機(jī)1和交換機(jī)2在兩個(gè)辦公樓里,從邏輯上劃分了VLAN之后,位于兩個(gè)樓里的同一部門的人組成了VLAN。
VLAN劃分方式有多種,可以根據(jù)物理端口、MAC地址、IP地址劃分,如果是基于端口的,只要接在指定端口之下的主機(jī)就固定屬于某個(gè)VLAN;而基于地址的劃分,只要地址不變,將主機(jī)換個(gè)地方,通過另外一個(gè)端口接入交換機(jī),交換機(jī)還是認(rèn)識(shí)它是屬于哪個(gè)部門的。
VLAN是靠在二層幀格式中間加了一個(gè)VLAN標(biāo)簽(802.1Q),比如市場部VLAN標(biāo)簽是1,技術(shù)部VLAN標(biāo)簽是2,交換機(jī)可以識(shí)別這個(gè)標(biāo)簽,哪個(gè)VLAN發(fā)來的數(shù)據(jù)幀,交換機(jī)只向本VLAN的端口進(jìn)行廣播。
VLAN標(biāo)簽中包含4部分。
1.Type:類型,固定是0x8100(0x表示后面的數(shù)字是十六進(jìn)制數(shù),每位也就相當(dāng)于二進(jìn)制的4bit),以太網(wǎng)幀有可能是含有或不含VLAN標(biāo)簽的,接收方讀到這個(gè)8100的時(shí)候就知道這是一個(gè)帶VLAN標(biāo)簽的802.1Q數(shù)據(jù)幀。
2.PRI:Priority優(yōu)先級(jí),3bit也就是8個(gè)優(yōu)先級(jí),0~7值越大代表業(yè)務(wù)的級(jí)別越高。如果交換機(jī)的端口速率有限,無法按時(shí)發(fā)送每個(gè)VLAN的數(shù)據(jù)時(shí),就按照這個(gè)優(yōu)先級(jí)排個(gè)隊(duì),先將級(jí)別高的數(shù)據(jù)幀轉(zhuǎn)發(fā)。
關(guān)于優(yōu)先級(jí)這里多介紹一下,后面很多的幀格式里都會(huì)包含優(yōu)先級(jí)的字段,優(yōu)先級(jí)可以用來區(qū)分不同的端口、業(yè)務(wù)、用戶等,就像我們?nèi)ハM(fèi)時(shí)VIP永遠(yuǎn)會(huì)得到更優(yōu)質(zhì)體貼的服務(wù),對(duì)于網(wǎng)絡(luò)來說就是VIP能夠優(yōu)先獲得網(wǎng)絡(luò)資源,通過優(yōu)先轉(zhuǎn)發(fā)保證網(wǎng)絡(luò)對(duì)高等級(jí)業(yè)務(wù)的服務(wù)質(zhì)量。每個(gè)幀結(jié)構(gòu)里的優(yōu)先級(jí)的表示都是在對(duì)應(yīng)的層次有效的,交換機(jī)認(rèn)識(shí)VLAN標(biāo)簽里這個(gè)PRI,而到了路由器查看IP地址,就要通過IP地址里的DSCP去判斷優(yōu)先級(jí),就像我們可以用工牌在本公司內(nèi)通行無阻,但是到了其他公司就要使用人家的來賓證。
3.CFI:Canonical Format Indicator,標(biāo)準(zhǔn)格式指示位,CFI為0時(shí)表示規(guī)范格式,為1時(shí)表示非規(guī)范格式,以太網(wǎng)幀CFI為0。
4.VID:VLAN ID,12bit,也就是一共4096個(gè)ID號(hào)可用,用來區(qū)分不同的VLAN。
VLAN標(biāo)簽是可以嵌套的,也就是可以在以太網(wǎng)幀中插入兩層VLAN標(biāo)簽,也就是QinQ技術(shù),可以支持4096×4096個(gè)不同VLAN。
VLAN將一個(gè)局域網(wǎng)劃分為若干個(gè)虛擬局域網(wǎng),VLAN之間無法再通過二層交換的方式通信了,可是不同部門之間還是要偶爾發(fā)送個(gè)郵件,那就只能通過更高的層面——三層路由去互通。