WLAN无感知认证流量计费研究
WLAN中常见的认证加密方法
WLAN中常见的认证加密方法 WLAN中常见的认证加密方法: OPEN+WEP SHARED+WEP IEEE802.11X+WEP WPA-PSK(TKIP or CCMP) WPA2-PSK(TKIP or CCMP)根据WIFI联盟规定,WPA-PSK必须支持基于TKIP的密钥管理和数据加密,而对于WPA是否支持基于CCMP的密钥管理和数据加密WIFI联盟即没有进行规定,也不提供兼容性测试。WIFI联盟要求WPA2-PSK必须能够同时支持TKIP 和CCMP,而且这两种方式都必须通过兼容性测试。 WPA(TKIP or CCMP)基于802.1x&WEP,与前两种相比,只是用户认证过程不同,加密也都一样。802.1x采用IETF的可扩展身份验证协议(EAP)制定而成。然而EAP只是一个验证框架协议,它只定义了通讯格式,要求与回应,验证成功与失败以及验证方式的类型代码,并不处理验证的细节。EAP将验证的细节处理授权给一个称为EAP method的附属协议,而EAP本身以“验证方式的类型代码”来指定由那个“EAP method”来完成后续验证过程。 WPA2(TKIP or CCMP)采用共享密钥认证和WEP加密,与OPEN+WEP相比,只是用户关联过程不同,加密过程完全一样。在SHARED+WEP中,无线终端与相应的AP关联时,需要提供双方事先约好的WEP口令,只是在双方WEP都匹配的情况下,才关联成功。过程如下:在AP收到认证请求后,AP会随机产生一串字符发生给申请者,申请者采用自己的WEP口令加密该字符串发回给AP,AP收到后会进行解密,并对解密后的字符串和最初给申请者进行比较,如果内容准确无误则容许它做后面的关联操作,如果不符,那么就拒绝其接入。 OPEN+WEP采用空认证和WEP加密,无线终端无需验证,就可以与AP关联。具体的过程如下:申请者先发一个认证请求道AP,如果AP设置了MAC地址过滤功能,则AP 对申请者MAC地址进行验证,否则AP直接通过认证请求,认证成功后申请者会向AP发送关联请求,AP回应关联应答,双方就建立了关联,然后就可以传递数据了。该模式只对传输数据进行WEP加密,因为现在使用的无线网卡在硬件上都支持WEP加密,所以该模式兼容性很强。
网络空间安全态势感知与大数据分析平台建设方案V1.0
网络空间安全态势感知与大数据分析平台建设方案 网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉及 大数据 智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的 运营支持服务。 1.1 网络空间 态势感知系统 系统建设 平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块 和通报 预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功 能,及时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能 力,统 筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高 效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理, 定期组织攻防演练。 1.1.1 安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客 组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息 系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处 置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力: 一类是网站云监测,发现网站可用性的监测、网站漏洞、网站挂马、网站篡改 (黑链 / 暗链)、钓鱼网站、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力,目前 360 补天漏洞众测平台注册有 多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。 第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、 IDC 机房流量等流量采集上来后进行检测,发现 webshell 等攻击利用事件。 第四类把流量日志存在大数据的平台里,与云端 IOC 威胁情报进行比对,发现 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比 对,把流量的历史、各种因素都关联起来,发现深度的威胁。 第六类是基于机器学习模型和安全运营专家,把已经发现告警进行深层次的挖掘 分析和关联,发现更深层次的安全威胁 1、网站安全数据监测:采用云监测、互联网漏洞众测平台及云多点探测等技术, 实现对重点网站安全性与可用性的监测,及时发现网站漏洞、网站挂马、网站篡改 (黑链 / 暗链)、钓鱼网站、众测漏洞和访问异常等安全事件。 4万 APT
小区WLAN无线覆盖项目解决方案
小区无线局域网覆盖解决方案——————————————————一、概述: 目前越来越多的小区开始建设一种更加方便、高效、移动性更强的网络来实现Internet 接入,那就是目前成熟的无线WLAN覆盖模式。很早之前的已建成小区,没有固定的网络布线,如果采取有线方式的话,布线难度比较大;设备、线路的可使用率低造成资源浪费;针对笔记本、PAD、PAD等移动接入设备有线网络有很大的制约不能随时、随地接入;网络管理人员的线路、设备维护量大,网络问题不容易排查等。所以现在亟需使用无线覆盖的方式来解决这些问题。 无线局域网在很多应用领域有独特的优势:可移动性,它提供了不受线缆限制的应用,用户可随时上网;安装容易,无须布线或减少布线,大大节约了建网时间;组网灵活,即插即用,网络管理人员可以迅速将其加入到现有的网络中,并在某种环境下运行;成本低,特别适合于变化频繁的工作场合。此外无线网络相对来说比较安全,无线网络是以空气为介质,传输的信号可以跨越很宽的频段,而且于自然背景噪声十分相似,这样一来,就使得窃听者用普通的方式难以偷听到数据。“加密”也是无线网络必备的一环,能有效提高其安全性。所有无线网络都可以设安全密码,即使千方百计接收到数据,没有密码也很难打开数据。 针对目前无线需求的增大,Bitwave针对不同小区环境、上网需求设计了几种科学、先进、易管理、可扩展性都特别好的网络建设方案,来满足小区用户不同的上网要求。 有线无线接入对比: 二、项目需求: 现有一个12栋,每栋16层的居民小区需要做使用无线覆盖的方式做网络改造,要求:用户之间安全访问隔离;无线用户使用笔记本、手持终端(PDA、PAD、手机)接入该无线网络;保证每一栋楼的无线覆盖的信号效果;实现该无线接入用户的可管理、可认证、可监控。
{业务管理}XXXX中国联通WLAN业务验证规范
(业务管理)XXXX中国联通WLAN业务验证规范
中国联通WLAN业务验证方案 QB/CU 156-2011 (送审稿) 目录 目录2 前言3 1.验证目标1 2.验证范围1 2.1开通用户1 2.2开通方式1 2.3开通渠道1 3.业务验证场景1 2.1端到端业务验证流程1 2.2场景涉及的验证重点2 4.业务验证案例2 3.1产品配置案例3 3.2营业受理案例(实体营业厅)4 3.2.1.业务开通及产品订购4 3.2.2.业务关闭8 3.2.3.套餐变更9
3.2. 4.静态密码重置10 3.3营业受理案例(电子渠道)10 3.3.1.网上营业厅受理11 3.3.2.短信营业厅受理16 3.4业务使用案例20 3.4.1.首次使用20 3.4.2.通过WLAN业务Portal修改静态密码21 3.4.3.典型使用22 3.5计费帐务案例23 3.5.1.WLAN业务使用时长计费批价23 3.5.2.欠费挂起24 3.5.3.用户账单及详单查询25 3.5. 4.省间漫游结算信息25 3.6客户服务案例26 3.6.1.业务咨询26 3.6.2.信息查询27 3.6.3.客户投诉29 3.7故障处理案例30 附件:需提交文档31
前言 本验证方案供中国联通WLAN业务于商用前进行业务验证使用,详细描述了WLAN业务验证中的验证场景以及各环节所用到的验证案例。 本验证案例的编制依据: 1、《中国联通WLAN业务发展指导意见》; 2、《中国联通WLAN业务需求及支撑方案》; 3、《电子渠道ECS系统受理WLAN业务需求书》。 本方案的修改和解释权归属于中国联通。
网络空间安全态势感知与大数据分析平台建设方案V1.0
网络空间安全态势感知与大数据分析平台建设方案 网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉及大数据智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的运营支持服务。 1.1网络空间态势感知系统系统建设 平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块和通报预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功能,及时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能力,统筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理,定期组织攻防演练。 1.1.1安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力: 一类是云监测,发现可用性的监测、漏洞、挂马、篡改(黑链/暗链)、钓鱼、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力,目前360补天漏洞众测平台注册有4万多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。 第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、IDC 机房流量等流量采集上来后进行检测,发现webshell等攻击利用事件。 第四类把流量日志存在大数据的平台里,与云端IOC威胁情报进行比对,发现APT 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比对,把流量的历史、各种因素都关联起来,发现深度的威胁。 第六类是基于机器学习模型和安全运营专家,把已经发现告警进行深层次的挖掘分析和关联,发现更深层次的安全威胁。
WLAN整体解决方案和全系列产品
WLAN整体解决方案和全系列产品 WLAN-无线延伸高速互联 在无线数据业务日益发展的今天,无线局域网(WLAN)作为一种灵活的数据通信系统,是现有局域网的有效延伸和补充。WLAN通过无线射频技术实现在一定范围内的无线发送和接收数据,减少了对固定线路的依赖,提高了工作效率和生活乐趣,相对有线网络有着无可比拟的优势。 ·无线局域网中设备的移动性---接入设备可自由移动,实现资料信息实时共享和交换。 ·无线局域网中设备的灵活性---网络实施摆脱了布线约束,设备安装方便简单。 ·无线局域网的可扩展性---网络拓展不受限于局域网接口,在原有网络范围中,可轻松部署新的接入设备。 在近几年,WLAN得到了长足发展和广泛应用。许多跨国公司组建企业内部WLAN网络,享受WLAN 带给他们的便利和自由,以及生产力的提高;在公共场所,中国运营商正在全国范围内部署WLAN接入点,并开始在许多主要城市的星级酒店和机场提供服务。随着802.11g标准的推出,带给人们更多快速且成本低廉的Wi-Fi解决方案,满足人们随时、随地、高速通信的需求。 UT斯达康提供WLAN整体解决方案 UT斯达康WLAN系统同时支持802.11b和802.11g标准,速率高达54Mbps,采用2.4G公用无线频段,无需额外申请频率资源。UT斯达康WLAN方案包括为电脑终端配置的无线网卡(WNIC)、无线接入点(AP),以及接入控制设备(AC),支持PPPoE、802.1x、NT域认证等多种认证方式,结合功能强大的宽带支持系统(BASS)和网管系统NETMAN2020对WLAN网络系统提供灵活的在线计费、用户管理和统一的网络管理,为电信运营商提供了可管理、可运营的WLAN整体解决方案。 UT斯达康WLAN整体解决方案完全符合运营商对可靠性、安全性、兼容性、漫游能力等电信级的要求,可实现对机场、酒店、会展中心、咖啡厅等热点地区以及企业、家庭、住宅小区、医院、仓库等场所的无缝覆盖,为用户提供自由自在的宽带无线因特网接入服务。
中国移动第三方WLAN认证考试试题及答案(2)
WLAN考试测试题 一、选择题 1.【单选】在无中继情况下,五类非屏蔽网线的理论最大传输距离为?( A) A 100米 B 150米 C 80米 D 70米 2.【单选】中国制定的WLAN安全标准是什么?( C) A 802.11s B 802.11i C W API D 802.11n 3.【单选】802.11g的调制方式是什么?( C) A CCK/DSSS B OFDM C CCK/OFDM D MIMO/OFDM 4.【单选】AP建议的供电方式?( C) A 交流 B 直流 C PoE D 馈电 5.【单选】在实际应用中,WLAN无线客户端要获得较好的上网效果,边缘场强最好( B) A >﹣90dBm B >﹣75dBm C >﹣80dBm D >﹣85dBm 6.【单选】在2.4GHz频段中,会对WLAN(802.11)造成干扰的包括(B)。 A:WiMax B:BlueTooth C:CDMA D: 红外线 7.【单选】IEEE802.11a采用的调制技术为(B)。 A:CCK\DSSS B:OFDM C:FHSS D:CCK\OFDM 8.【单选】为满足同AP下用户隔离,WLAN设备需开启的功能是( A )。 A:AP下用户隔离B:AC下用户隔离 C:防DOS攻击D: 禁止ARP包通过 9.【单选】POE交换机单端口最大输出功率:( B ) A:12.9W B:15.4W C:19.6W D: 30W
10.【多选】VLAN与传统的LAN相比,具有以下哪些优势(ABCD ) A. 有效限制广播风暴,分割广播域 B. 增强了网络的安全性 C. 便于管理 D. 虚拟工作组 11.【单选】下列哪个是WLAN网络建设中最常用的五类双绞线线序:(C ) A.白棕,橙,白绿,白蓝,蓝,绿,白橙,棕 B.白橙,橙,白蓝,白绿,绿,蓝,白棕,棕 C.白橙,橙,白绿,蓝,白蓝,绿,白棕,棕 D.白棕,棕,白绿,蓝,白蓝,绿,白橙,橙 12.【单选】WLAN系统覆盖设计要求为95%以上区域的信号强度为:(C ) A.不得低于-65dBm B.不得低于-70dBm C.不得低于-75dBm D.不得低于-80dBm 13.. 【多选】对AP的干扰有哪些(ABD ),因此在AP周围应尽量避开干扰源。 A. 微波炉 B. 蓝牙设备 C. 红外线设备 D. 2.4GHz无绳电话 14.【多选】802.11定义了3种帧类型,分别为:(ABC ) A. 数据帧 B. 控制帧 C. 管理帧 D. 码片速率帧 15.【单选】由一个无线AP以及关联的无线客户端被称为一个( B )。 A、IBSS B、BSS C、ESS D、MESH 16.【单选】与IEEE802.11b相比较,IEEE802.11g的信号覆盖范围和数据传输速率如何?( B ) A、覆盖大、速率高 B、覆盖小、速率高 C、覆盖大、速率低 D、覆盖小、速率低 17.【单选】目前国际标准规定的无线产品最大发射功率为500mW,相当于(C )。 A、1dbm B、10dbm C、27dbm D、30dbm 18.【单选】哪种无源器件能够实现输入信号等分输出?( B ) A、合路器 B、功分器 C、耦合器 D、电桥
网络空间安全系统态势感知与大大数据分析报告平台建设方案设计V1.0
网络空间安全态势感知与大数据分析平台建设方案网络空间安全态势感知与大数据分析平台建立在大数据基础架构的基础上,涉及大数据智能建模平台建设、业务能力与关键应用的建设、网络安全数据采集和后期的运营支持服务。 1.1网络空间态势感知系统系统建设 平台按系统功能可分为两大部分:日常威胁感知和战时指挥调度应急处置。 日常感知部分包括大数据安全分析模块、安全态势感知呈现模块、等保管理模块和通报预警模块等。该部分面向业务工作人员提供相应的安全态势感知和通报预警功能,及时感知发生的安全事件,并根据安全事件的危害程度启用不同的处置机制。 战时处置部分提供从平时网络态势监测到战时突发应急、指挥调度的快速转换能力,统筹指挥安全专家、技术支持单位、被监管单位以及各个职能部门,进行协同高效的应急处置和安全保障,同时为哈密各单位提升网络安全防御能力进行流程管理,定期组织攻防演练。 1.1.1安全监测子系统 安全监测子系统实时监测哈密全市网络安全情况,及时发现国际敌对势力、黑客组织等不法分子的攻击活动、攻击手段和攻击目的,全面监测哈密全市重保单位信息系统和网络,实现对安全漏洞、威胁隐患、高级威胁攻击的发现和识别,并为通报处置和侦查调查等业务子系统提供强有力的数据支撑。 安全监测子系统有六类安全威胁监测的能力:
一类是云监测,发现可用性的监测、漏洞、挂马、篡改(黑链/暗链)、钓鱼、和访问异常等安全事件 第二类是众测漏洞平台的漏洞发现能力,目前360补天漏洞众测平台注册有4万多白帽子,他们提交的漏洞会定期同步到态势感知平台,加强平台漏洞发现的能力。 第三类是对流量的检测,把重保单位的流量、城域网流量、电子政务外网流量、IDC 机房流量等流量采集上来后进行检测,发现webshell等攻击利用事件。 第四类把流量日志存在大数据的平台里,与云端IOC威胁情报进行比对,发现APT 等高级威胁告警。 第五类是把安全专家的分析和挖掘能力在平台落地,写成脚本,与流量日志比对,把流量的历史、各种因素都关联起来,发现深度的威胁。 第六类是基于机器学习模型和安全运营专家,把已经发现告警进行深层次的挖掘分析和关联,发现更深层次的安全威胁。 1、安全数据监测:采用云监测、互联网漏洞众测平台及云多点探测等技术,实现对重点安全性与可用性的监测,及时发现漏洞、挂马、篡改(黑链/暗链)、钓鱼、众测漏洞和访问异常等安全事件。 2、DDOS攻击数据监测:在云端实现对DDoS攻击的监测与发现,对云端的DNS 请求数据、网络连接数、Netflow数据、UDP数据、Botnet活动数据进行采集并分析,同时将分析结果实时推送给本地的大数据平台数据专用存储引擎;目前云监控中心拥有全国30多个省的流量监控资源,可以快速获取互联网上DDoS攻击的异常流量信息,
WLAN网络扩容解决方案
WLAN网络扩容解决方案(室内分布系统) 盐城电信分公司无线维护中心 崔新宇 目录
一、概述 无线局域网(WLAN)经过几年的建设已初具规模,基本涵盖了所有的热点地区覆盖(包括室内、室外)。前期由于WLAN的用户规模还比较小,且考虑到投资成本,之前的WLAN室内建设基本与原室分系统(CDMA、GSM等)进行合路。在现有的室分系统中,一般使用的WLAN AP设备输出功率为20dBm和27dBm ,由于其输出功率比较低,使得一个AP设备带的室分楼层不多,多为一个楼层用一个AP设备进行合路,楼层规模比较大的分别采用2个AP进行合路覆盖。 随着WLAN用户规模的扩张,或者某些WLAN热点地区会出现周期性的某一时间段用户数突发的增长,这就出现了AP容量紧张的情况(一般一个AP下挂25~30个用户)。一个AP覆盖一个楼层的情况,已不能满足多用户数接入Internet的需求。 因此,对现有有WLAN容量需求的热点室分系统进行WLAN容量扩容,使用户能轻松的登录Internet,已成为运营商当前一件刻不容缓的事情。 二、WLAN网络扩容可行性分析 WLAN网络扩容思路 WLAN网络容量不足的扩容问题,不同于其他移动通信网络。如果把WLAN网络等同或类似移动网络来看待,则处于WLAN网络最边缘的设备AP,可以看作类似于移动通信网的BTS、Node B设备。不难看出,BTS、Node B设备可以通过增加载频、载波或网络升级等手段来达到增加容量的目的,而AP设备则无法通过类似的手段实现网络容量的增加。就目前的WLAN网络来看,要实现WLAN网络容量的增加,唯一可行的办法就是通过增加AP 数量,来满足不断增长的用户数接入需求。 1个AP正常可同时下挂25~30个用户,2个AP即可同时下挂50~60个用户。可见,增加1个AP即可实现WLAN网络容量扩大1倍。本方案考虑用WLAN双信道合路器(为区别于其他双频合路器,称之为双信道合路器)将2个AP进行合路后,再接入原有的室内分布系统,以实现WLAN容量的增加,满足更多用户的接入要求。 WLAN网络频谱如下图:
中国移动WLAN自动认证功能
中国移动WLAN自动认证功能 iPhone PEAP及SIM认证配置操作手册 中国移动通信集团公司 2012年6月 IOS6.0版本的iPhone手机暂时只支持PEAP认证方式,IOS6.0以下版本的iPhone手机既支持PEAP认证也支持SIM认证,因此优先推荐IOS用户使用PEAP 认证方式。 1.PEAP认证配置方式(适合于IOS3.0-6.0系统) 提示:客户使用WLAN自动认证功能之前,需先开通WLAN业务,并订购WLAN 包流量套餐或者包时长套餐,优先推荐用户订购包流量套餐。 步骤1:进入“无线局域网”,打开Wi-Fi开关。 步骤2:等待系统搜索到带锁标识的CMCC-AUTO。 步骤3:点击CMCC-AUTO,在弹出的输入框中输入用户名和密码。用户名为手机号码,密码为该号码的WLAN业务密码。 步骤4:接受peap server安全证书。 步骤5:等待手机状态栏出现WiFi标识并且CMCC-AUTO前被勾选,认证结束,您已经连接到互联网。 2.SIM认证配置方式(适合于IOS6.0以下系统,IOS6.0 系统暂不支持) iPhone系统初次使用EAP-SIM认证,必须先安装“中国移动WLAN SIM认证证书”。该证书安装步骤如下:
步骤1:确保手机能够正常上网。 步骤2:点击网页提供或系统短信发送的下载地址/CMCC-AUTO.mobileconfig,下载配置文件。 步骤3:配置文件下载完成后,系统会出现证书安装界面。 步骤4:点击安装后,会弹出确认窗口。 步骤5:选择“现在安装”,进行证书的安装。 步骤6:安装完成后,点击“完成”结束安装。 提示:证书只在初次使用时安装,不用重复安装。 注: 1、iPhone系统进行WLAN自动认证的操作步骤如下: 步骤1:进入“无线局域网”,打开Wi-Fi开关。 步骤2:等待系统搜索到带锁标识的CMCC-AUTO。 步骤3:点击CMCC-AUTO,开始与网络侧进行认证。 步骤4:等待手机状态栏出现WiFi标识并且CMCC-AUTO前被勾选,认证结束。 2、iPhone系统打开CMCC-AUTO自动加入功能的操作步骤如下: 步骤1:点击CMCC-AUTO的箭头,进入CMCC-AUTO属性界面。 步骤2:在CMCC-AUTO的属性界面中打开“自动加入”的开关。在周围的环境中如果有CMCC-AUTO网络时,iPhone将能够快速搜索到并自动进行认证关联。 3、iPhone系统WLAN自动认证下线的操作步骤如下: 步骤1:进入系统“无线局域网络”设置。 步骤2:将“无线局域”关闭。系统会自动完成下线。
中国移动WLAN用户接入流程技术规范(WEB)V2.0.6全解
中国移动通信企业标准 QB-D-028-2008 中国移动W L A N 用户接入流程 技术规范(W E B ) 版本号:2.0.0 中国移动通信有限公司 发布 2008-4-2发布 2008-4-2实施 T e c h n i c a l S p e c i f i c a t i o n F o r C M C C W L A N U s e r A c c e s s (W E B )
目录 1. 范围 (1) 2. 规范性引用文件 (1) 3. 术语、定义和缩略语 (2) 4. WEB认证系统结构 (2) 5. WEB用户接入流程 (3) 6. WEB用户下线流程 (5) 7. 协议 (7) 8. 协议参数 (8) 9. WEB认证安全问题 (10) 10. 编制历史 (10) 附录A详细修订历史 (11) 附录B WLAN接入设备编号 (11) 附录C WLAN接入设备编号中PRO字段的代码分配 (11) 附录D计费要求 (12)
前言 本标准的目的是制定中国移动基于WEB方式的WLAN用户接入规范和协议。 本标准主要包括以下几方面内容:WEB认证系统结构,基于WEB方式的WLAN用户接入流程,基于WEB方式的WLAN用户下线流程,协议,协议参数,WEB认证安全等。 本标准的附录B、C、D为标准性附录,附录A为资料性附录。 本标准由中移有限技〔2008〕49号印发。 本标准由中国移动通信有限公司技术部提出并归口。 本标准由标准归口部门负责解释。 本标准起草单位:中国移动通信有限公司研究院 本标准主要起草人:吕志虎,黄宇红,周文辉,邵春菊
基于可视化的安全态势感知
基于可视化的安全态势感知 -世博会业务系统的信息保障 郁郎 关键词:网络安全;信息保障;安全态势;安全可视化;业务影响度 1.引言 被誉为“经济、科技、文化”奥林匹克的世界博览会,将于2010年在中国上海举办,作为信息时代下的一届世博会,上海世博会的参展服务、票务销售、特许经营、人流疏导、运营管理等一系列重要的工作都是通过网络信息平台展开的。与此同时,上海世博会还在世博会历史上首次尝试“网上世博会”项目。可见,信息系统是上海世博会筹办工作的中枢神经,信息安全对于世博会的成功举办具有至关重要的意义。由于空前的规模,世博信息安全是一项复杂工程,涉及面相当广泛,从基建设施,例如网络设备、主机、安全设备;到数据库、操作系统、中间件;再到上层的业务系统、应用软件等不一而足。如何对如此大规模的异构IT计算环境进行集中统一的运行监控和安全态势分析便成为了世博信息安全运维管理工作中的一大难点。 在经典的IATF纵深防御理论中,针对类似于世博会这样大规模信息系统的运营,提出了“信息保障”[1]的概念,并在其技术框架中给出了人(People)、技术(Technology)、操作(Operation)三方面并举的深度防御安全模型。人作为信息安全环节中不可缺少的一环,如何有效对安全系统进行操控,如何依据系统提供的信息做出正确的决策?都是我们在保障信息安全时所面临的严峻挑战。 为世博会的安全运营设计一个系统能够采集、分析、管理、展现大规模原始数据集,其目标在于解决目前安全系统的普遍存在的一个通病-对安全状态“看不见、看不懂、看不透!”,有效提升人对目前安全态势(security situation)的感知能力,对潜在的安全威胁做出预警,从而让人做出正确的决策。 本文将以世博会信息化网络安全管理对安全可视化的实际需求为切入点,分析基于“ 业务影响程度”(mission impact)的安全态势评估方法,阐述如何以保障和促进世博各项业务系统的运转为目标,使用可视化技术完成基于“业务影响程度”的安全态势感知。 2.什么是安全态势感知(Security Awareness)? “一幅好图胜过千言万语!”这句话体现了安全态势感知的关键-可视化,一定是通过图形的方法把安全数据展示给人,人相对于计算机系统而言其优势在于无可比拟的逻辑对比分析能力,计算机处理十万条安全事件的速度远比人快上千倍万倍,但从一幅图中发现其变化的趋势以及深层次的原因,人们的直觉却强大的多,这种客观的直觉我们称之为“态势感知”,通过计算机数据能力,再采用不同的算法把安全数据图形化我们称之为“安全可视化”。 安全态势感知本身一个系统工程,原始数据经过许多流程最终通过视觉在人脑中形成对全网安全状态的宏观认识。作为信息融合的过程,安全态势感知是一个从底层数据到抽象信息,到获取高层知识的过程。
WLAN 无感知认证
无感知认证 “手机WiFi上网太麻烦了!不仅每次上网都要输入账号和密码,在人多的地方,比如星巴克,还经常会被挤掉而不得不反复输入账号和密码!”。这恐怕是如今使用手机WIFI上网的大多数人的感受。没错,随着WLAN网络快速部署和用户量持续上升,由于WLAN认证问题而导致的用户体验差的矛盾愈发突出。这不仅降低了用户对运营商网络质量的信赖度,而且还直接影响了WLAN分流宏蜂窝数据压力的效果,背离了部署WLAN的初衷。 如何提升WLAN用户感知,迚而改善分流效果是华为电信级WLAN解决方案重点关注的问题之一。针对客户的不同情况,华为推出了“无感知认证解决方案包”,最大化匹配客户不同发展阶段的差异化需求。该“解决方案包”涵盖了目前业界通行的全部四种认证方案:Portal、EAP-PEAP、EAP-SIM和MAC地址绑定。在用户感知和认证安全性方面实现了适应终端状况、稳步提升的良性循环。此外,华为与中国移动多个省份公司开展了联合创新工作,推动了解决方案包在多个省份验证成功并落地实施。极大地促迚了无感知认证的快速成熟。 1、EAP-PEAP认证 PEAP,即为Protected-EAP“受保护的可扩展的身份验证协议”,是一项由Cisco、Microsoft和RSA共同支持的安全方案(目前在RFC处于草案阶段),具有很好的安全性,在设计上和EAP-TTLS相似。PEAP是可扩展的身份验证协议(EAP) 家族的一个成员,目前共有三个版本,分别为V0/V1/V2,已被WPA和WPA2批准
的有两个子类型PEAPV0-MSCHAPV2和PEAPV1-GTC。由于PEAP是一个框架协 议,目前业界使用最广的是由微软提出并完善的PEAPV0-MSCHAPV2协议,又被 称作MS-PEAP协议,已经被各移动终端的操作系统如iOS,Android、Windows 等广泛支持。 802.1X框架下的EAP-PEAP认证架构如下图所示: EAP-PEAP的认证安全性较高;具体体现在以下几个方面: ?使用传输级别安全性(TLS) 为正在验证的 PEAP 客户端和 PEAP 身份验证器之间创建加密通道。PEAP 不指定验证方法,但是会为其他 EAP 验证协议提供额外的安全性,例如 EAP-MSCHAPv2 协议; ?在建立TLS隧道时,终端需要对认证服务器进行证书验证,防止网络侧的仿冒行为; ?用户认证采用MS-CHAP-V2认证方式,支持双向认证:除了服务器对用户的认证,还支持用户对服务器的认证; ?采用802.1X技术,进行端口级别的接入控制,提高了接入控制能力和安全性。 2011年,华为与安徽移动携手,开通实验网,率先实现了EAP-PEAP认证的落地验证工作。验证结果显示,PEAP认证仅在首次接入时需要用户输入相关认证信息,相比Portal,用户体验得到较大提升。此外,市场上不同种类的手机在测试中的表现也不尽相同:Iphone和Android手机进行EAP-PEAP认证速度较快,可在3-5秒内完成;Symbian和Windows phone则相对较慢。 2、 EAP-SIM认证
WLAN设备入网验收规范
W L A N设备入网验收规范 WLAN设备入网验收规范 (V 1.0)
目录 1总则 (5) 1.1目的 (5) 1.2适用范畴 (5) 1.3设备版本 (5) 2工程验收流程 (5) 3硬件项目验收工作 (7) 3.1热点设备(AP、交换机、线缆)安装工艺检查 (7) 3.1.1AP设备安装 (7) 3.1.2天线安装检查 (9) 3.1.3接地部分检查 (10) 3.1.4电缆槽道安装检查 (12) 3.1.5线缆布放检查 (12) 3.1.6无源设备安装检查 (16) 3.1.7有源设备安装检查 (16) 3.1.8交换机设备检查 (17) 3.1.9竣工资料、标签检查 (18) 3.2AC设备施工工艺检查 (19) 3.2.1机房环境要求 (19) 3.2.2AC机架安装 (19) 3.2.3设备安装 (20) 3.2.4布线 (21) 3.2.5竣工资料、标签 (23) 3.2.6WLAN资管数据检查 (24)
4软件功能验收工作 (25) 4.1AP设备软件功能验收 (25) 4.1.1AP零配置工作能力 (25) 4.1.2混合接入认证支持能力(不同SSID) (25) 4.1.3AP限制最大接入用户数的能力 (26) 4.1.4同一AP用户隔离功能 (27) 4.1.5AP间漫游功能 (28) 4.1.6AP网线供电能力 (28) 4.1.7AP设备稳固性 (29) 4.1.8双频整机性能 (30) 4.1.95G单用户吞吐量 (30) 4.1.105G多用户吞吐量 (31) 4.2AC设备软件功能验收 (31) 4.2.1基于DHCP方式的IP地址分配功能 (31) 4.2.2用户带宽操纵功能 (32) 4.2.3AC支持长用户名认证能力 (33) 4.2.4AC支持白名单配置功能 (34) 4.2.5同一AC下用户隔离功能检查 (34) 4.2.6AC ACL功能 (35) 4.2.7不同VLAN分配不同Hot Spot ID的能力 (36) 4.2.8AC备份切换功能 (36) 4.2.9AC支持按系统操作人员分配账号功能 (37) 4.2.10AC支持限制承诺远程登录的账号 (38) 4.2.11支持PEAP认证 (39) 4.2.12业务转发能力测试 (40) 4.2.13WPA-PSK支持能力 (41)
【安全】信息安全态势感知平台技术白皮书
【关键字】安全 信息安全态势感知平台 技术白皮书 注意 本文档以及所含信息仅用于为最终用户提供信息,成都思维世纪科技有限责任公司(以下简称“思维世纪”)有权更改或撤销其内容。 未经思维世纪的事先书面许可,不得复印、翻译、复制、泄漏或转录本文档的全部或部分内容。 本文档以及本文档所提及的任何产品的使用均受到最终用户许可协议限制。 本文档由思维世纪制作。思维世纪保留所有权利。
目录 1.综述....................................................................... 错误!未定义书签。 1.1.项目背景.......................................................................... 错误!未定义书签。 1.2.管理现状.......................................................................... 错误!未定义书签。 1.3.需求描述.......................................................................... 错误!未定义书签。 2.建设目标............................................................... 错误!未定义书签。 3.整体解决方案 ...................................................... 错误!未定义书签。 3.1.解决思路.......................................................................... 错误!未定义书签。 3.2.平台框架 ........................................................................ 错误!未定义书签。 动态掌握全网风险状态 ................................... 错误!未定义书签。 实时感知未来风险趋势 ................................... 错误!未定义书签。 安全管理提供数据支撑 ................................... 错误!未定义书签。 决策执行效果进行评价 ................................... 错误!未定义书签。 4.平台功能介绍 ...................................................... 错误!未定义书签。 4.1.全网安全风险实时监测.................................................. 错误!未定义书签。 解决问题场景 ................................................... 错误!未定义书签。 具体实现功能描述 ........................................... 错误!未定义书签。 4.2.业务系统安全风险管理.................................................. 错误!未定义书签。 解决问题场景 ................................................... 错误!未定义书签。 具体实现功能描述 ........................................... 错误!未定义书签。 4.3.内容安全风险管理.......................................................... 错误!未定义书签。 解决问题场景 ................................................... 错误!未定义书签。 具体实现功能描述 ........................................... 错误!未定义书签。 4.4.数据安全风险管理.......................................................... 错误!未定义书签。 解决问题场景 ................................................... 错误!未定义书签。 具体实现功能描述 ........................................... 错误!未定义书签。 4.5.重大安全事件态势分析.................................................. 错误!未定义书签。
酒店行业WLAN解决方案
XXXXXXXXXXXX酒店无线覆盖(WLAN)解决方案 中国联合网络通信有限公司 XXX分公司 贰零壹叁年陆月
目录 1、前言 (3) 2、酒店行业用户需求分析 (3) 2.1酒店行业细分 (4) 2.2无线网络Internet接入 (4) 2.3移动快捷登记 (4) 2.4移动餐桌旁点单 (5) 2.5移动库存管理 (5) 3、联通解决方案行业领先 (5) 3.1设计原则 (5) 3.1.1网络连通性 (5) 3.2.2网络安全性 (6) 3.2.3网络可靠性 (6) 3.2.4网络可管理性 (6) 3.2.5网络可扩展性 (6) 4、XXX酒店无线覆盖设计 (7) 4.1无线覆盖规划 (7) 4.2系统架构拓朴图 (8) 4.3 无线AP点位规划 (9) 4.4项目清单汇总 (10) 4.5系统技术优势 (11) 5、项目费用 (13) 5.1项目合作方式 (13) 5.2具体费用 (15) 6、产品介绍 (15) 6.1、WLAN AC W908-A1000(运营商级无线宽带接入控制器,后台设备) (15) 6.2W811N 产品特点(运营级802.11n 单频室内AP,前端设备) (16) 6.3WE2011 产品特点(运营级802.11n 单频室内AP,前端设备) (17) 7、中国联通简介 (18)
1、前言 WLAN是计算机网络与无线通信技术相结合的产物,它以无线信道作为传输媒介,提供了传统有线局域网的功能,并具备有线网络无法相比的可移动、漫游等特性,能够使用户真正实现随时、随地、随意的访问宽带网络。在政府和企业网领域,WLAN技术作为新的宽带数据网接入技术得到了越来越多的青睐,许多城市和地区都已经开展“无线城市”建设。而且在数字化办公、商业、医疗、教育、酒店、餐饮服务等众多领域,随着WLAN需求、技术、产品和应用的不断成熟,无线网络已经进入全面普及时代。 对于服务产业中的酒店业来说,目前酒店行业竞争的重点已经从硬件竞争转移到服务竞争,各大酒店均竭尽全力来提高自己的服务意识和服务水平。而作为星级酒店,在传统的服务项目已非常成熟的今天,如何为客户提供新的服务成为酒店经营者头疼的问题。近两年来,随着全球信息技术和Internet的迅猛发展,为酒店经营者提供新的信息服务成为一种趋势。一方面可以提升酒店的服务与管理水平,另一方面也为酒店经营者带来了相应的收益。 网络不仅作为酒店传播信息的工具,也是留住回头客、保持入住率的有效手段。而无线网络由于其移动性、便利性和灵活性的特点,更是得以在酒店行业中大显身手。由于商务客人一般会要求酒店提供与其办公室相同的高速Internet访问能力,因此通过WLAN完全可以实现灵活且可扩展的网络解决方案。具体而言,WLAN系统的应用使客人可以非常方便和灵活的在酒店内移动办公,无论是在饭店客房、会议室、餐厅、花园还是游泳池边。如此无线高速网络访问能力,必将使应用了无线局域网的酒店成为商务会议和展览的宠儿。 同时由于无线局域网的引入,使酒店开拓各种新的服务成为可能。无线局域网同样能够为酒店员工所用,例如通过手持移动数据终端及时下达和了解工作任务和完成情况、在酒店各个位置实现移动支付等功能。综上所述,一个高效、便捷、稳定、安全的无线局域网系统不但能够为酒店中的客人提供便捷服务,而且还能够提高酒店人员的服务和管理水平。 然而,在WLAN商用化进程中,许多用户在组建无线网络时常常会碰到一些困惑。问题主要集中在——如何实现无线网络的快速部署、如何实现用户的统一认证和计费管理、无线网络资源如何统一管理、如何保证网络安全性和可靠性,以及在允许大量用户接入的同时,如何防范可能的对网络的攻击等等。 联通凭借多年积累的经验和沉淀、依托强大的研发能力、投入大量的资源,为打造可维可控的电信级和企业级WLAN网络不断创新,致力于为客户提供最优质的产品和业界具有竞争力的综合解决方案。 2、酒店行业用户需求分析 在酒店行业中,顾客忠诚度是酒店成功的关键,而要想提升顾客忠诚度,始终如一的优质服务是酒店必须保持的。从提供有限服务的经济型酒店到提供全方位服务的星级酒店,酒店行业的经营业态十分广泛,但它们都面临相同的挑战——在为顾客带来非凡体验的同时,还要有效管理运营开支。整体而言,酒店顾客对信息交互能力的要求较高,他们更喜欢入住提供无线增值服务的酒店。譬如,顾客经常需要使用视频会议、视频流媒体、音频流媒体、IP电话以及电子邮件等业务。为了提供以上增值服务,酒店则需要具备高性能、高可靠性的无线网络;确保在一个高度移动化的环境中,其它终端的干扰