Wi-Fi安全研究(精选7篇)
Wi-Fi安全研究 篇1
从APARNET的诞生,到2000年的网络泡沫,到现3G技术的出现,联网的技术日趋成熟,网络的直径无限扩展,世界变成了地球村。3G热潮刚刚过去,4G的呼声已经开始崭露头角,日益发达的网络已经渐渐发展成人们生活的必需品。近年来,随着智能手机等智能终端的出现,对于3A(Anytime、Anywhere、Anyhow)上网的需求也越来越强烈,Wi-Fi成为了瞩目焦点。
Wi-Fi是Wireless Fidelity的缩写,意为无线高保真,是一种无线联网技术。为了能满足人们随时随地上网的需求,近年来有不少城市开始Wi-Fi建设,增加城市内Wi-Fi热点数目,真正实现城市处处可上网。
1 攻击的类型及其防范
网络将众多计算机连接成一张大网,其中任意两点可以进行通信。相对于有线网络,无线网络存在的不安全因素更多[3]。因为网络中总是存在漏洞,所以攻击者才能有机可乘。一般攻击有三个步骤:收集信息并探测系统的安全弱点、实施攻击和擦除攻击证据。
对网络进行攻击,目的有三种:盗取链接信息、盗取数据信息和使网络服务不可用。盗取链接信息的目的是为了获取与其他网络节点相连及访问的权限;盗取数据信息是获得指本不应
该获得的信息,并且滥用这些信息;使网络服务不可用是指合法用户不能使用网络服务,达到这一目的可能采用的手法包括ARP攻击等。图1中列出了一些常见的网络攻击及其解决方法。
窃听。窃听是指截取通信时的信息。对于有线连接中,攻击者可以对网络的基带同轴电缆或双绞线进行搭线接听;对于进行广播的无线网络,只要在合适的传输范围内,就能接收到信息。加密是解决信息泄漏的最好办法。目前存在的加密算法有DES算法、AES算法、RSA算法、RC2/RC4算法等。加密意味着大量计算,复杂的加密可能对性能造成影响。
冒认。冒认是指一个非授权节点冒充一个授权的节点,从而获取授权节点的相应权限。
篡改。篡改是指修改报文内容。这种攻击属于破坏数据完整性,可能造成传递的指令改变,导致意想不到的动作。
重播。重播是指将一份报文或报文的一部分进行重复。重播可以产生被授权的效果。
服务抵赖。这类风险主要是在发现攻击,遭受损失后进行排查时无法追踪攻击者。
拒绝服务。这种攻击属于破坏可用性。拒绝服务可能引起用户因得不到网络服务而蒙受巨大损失,如战争时破坏指挥部的网络,使得命令无法及时准确地传达。通过流量分析和控制,发现网络流量的异常,就能够解决因为恶意流量造成信道无法使用。
数字签名可以防止信息被篡改,也可以防止通信中出现抵赖现象,并能用来进行身份认证。为了保证数据安全和实现身份验证,一般数据都通过一定的加密算法加密后进行传输,接收方只有具有合适的密钥才能解读收到的信息。因此密钥的产生、传递和保存是网络安全的最重要的部分。
流量控制、审计和公证属于管理范畴内对于安全的考虑,不在网络实施的考虑范围内。
2 Wi-Fi安全措施
为了保障Wi-Fi网络安全,现行使用由Wi-Fi联盟提出的WPA2(Wi-Fi Protected Access2)安全标准。在此之前,无线网络安全使用WEP(Wired Equipment Privacy)协议来确保安全。但因为WEP协议的缺陷,无线网络安全得不到保障,所以有了WPA的出现。WEP出现在802.11i标准尚未制定完成,而WPA是在802.11i标准制定完成之后。WEP是根据802.11b标准来制定,而WPA实现802.11i标准中大部分条款。
Wi-Fi网络的安全措施,主要是接入认证和数据加密两方面。加密必然涉及到密钥,所以密钥管理也是网络实施需要的。
2.1 WEP
WEP[2]对于接入网络的控制有两种形式:开放式接入和共享密钥接入。开放式接入顾名思义,无需任何认证就可以接入网络。共享密钥接入只需要提供预留的验证密码就可以接入网络。
WEP对于传输加密采取用一个初始向量(IV,Initial Vector)和密钥生成一个中间密钥,然后采用RC4加密方式,用该中间密钥加密信息。RC4[5,21]是一种流式加密技术,对于包的顺序没有要求,不同顺序的包加密后不能辨识出包的原顺序,因此不能防止重播。WEP加密采用的密钥长度为40bit,IV的长度为24bit,达不到美国国家标准。RC4加密的方式如图4所示。由于WEP并不是安全专家设计的,很快就被发现存在很多的漏洞。表1中列举了WEP的一些安全漏洞。
WEP没有采取任何防止重播的手段。假如你在家搭建了一个Wi-Fi网络,采用WEP共享密钥接入方式。如果在你连入该网络时,攻击者窃听你的信息,就可以获取包含共享的登录密钥的信息。当你断开连接后,攻击者可以重播该消息,AP(Access Point)会把攻击者当作合法的用户而让其登录。从安全的角度来说,这是一件危险的事件。
2.2 WPA
随着IEEE802.11i标准的制定完成,2003年WPA被提出,用来替代WEP对Wi-Fi网络进行保护。
对于接入验证,WPA[1,20]根据用户应用的场合不同可以分为企业版(WPA-Enterprise)和个人版(WPA-Personal)两种类型。WPA企业版支持区分每个用户,对每个用户进行单独验证。因此,企业版需要一个验证服务器,一般是一个远程用户拨号认证系统(RADIUS,Remote Authentication Dial In User Service)。WPA个人版适用于家庭或小型办公网络环境,这种模式不需要设置验证服务器,但是需要用到一个预共享密钥(PSK,Pre-Shared Key)。使用个人版的验证不能区分每个用户。
在无线网络安全中,服务数据单元(MSDU,MAC Service Data Unit)经过添加完整性校验MIC、分帧、添加IV、加密、添加MAC头部后,成为协议数据单元(MPDU,MAC Protocol Data Unit,MAC)。在这个过程中使用TKIP加密,并使用Michael算法进行校验。
为了加强数据安全,WPA采用RC4方式对报文进行加密,但是将密钥长度增加到128bit,且IV长度增加到48bit。此外,为了增加密钥的安全性,采用临时密钥完整性协议(TKIP,Temporal Key Integrity Protocol)随着会话的不同产生动态密钥;为了增加数据完整性保护,WPA在每一个报文末尾增加一个消息完整性检查(MIC,Message Integration Check)字段,对报文进行检查。
2.2.1扩展认证协议EAP
扩展认证协议(E A P[8,17,18,19],E x t e n s i b l e Authentication Protocol)在某种程度上相当于认证的中介,完成接入者和验证方初始认证工作和验证结束后的收尾工作,中间协商过程可以由上层验证协议决定。
EAP支持接入方和验证方根据自己的需要和基础设施部署情况,选择验证协议。这个过程是用户识别和用户授权的阶段,该阶段结束后,验证方确认介入方身份,并且双方有共同的主密钥(PMK,Pairwise Master Key),该主密钥是认证方的主密钥(MK,Master Key)根据协商变化生成[4,6]。在数据传输过程中,PMK可以衍生出三种类型的密钥:密钥确认密钥(KCK,Key Confirmation Key,用来检查EAP帧的完整性)、密钥加密密钥(KEK,Key Encryption Key,用来加密组密钥)和临时密钥(TK,Temporal Key,用来加密数据)。其中TK就是MIC和TKIP中需要用到的密钥。
EAP之所以被称之为具有扩展性,是因为EAP支持封装不同的上层验证协议。到目前为止,EAP[7,9]提供7种类型的验证方式,包括EAP-TLS、EAP-TTLS/MSCHAPv2、PEAPv0/EAP-MSCHAPv2、PEAPv1/EAP-GTC、EAP-FAST、EAP-SIM和EPA-AKA。
EAP-TLS(Transport Layer Security[10])是一种基于传输层安全协议的认证方式。该协议要求双方都有公钥证书,双方通过公钥证书进行双向认证。EAP-TLS是IETF制定的标准协议。
EAP-TTLS/MSCHAPv2中,TTLS表示隧道传输层安全(Tunneled Transport Layer Security[11]),MSCHAPv2表示微软挑战-握手认证协议第二版(Microsoft version of Challenge-Handshake Authentication Protocol[12])。该协议是对TLS的扩展,它只要求认证服务器提供可信证书,接入用户可以使用密码进行验证。密码通过由认证服务器证书保证安全的通道进行传输,服务器验证成功后,将证书发送给用户。TTLS与TLS最大的区别是TTLS不需要客户端认证的协议。
PEAP表示受保护的EAP(Protected EAP),也是一种是使用输层安全隧道的方法,它在设计上和EAP-TTLS相似,只需要一份服务器端的PKI证书来建立一个安全的传输层安全通道(TLS)以保护用户认证。它有两种形式PEAPv0/EAP-MSCHAPv2和PEAPv1/EAP-GTC。PEAPv0/EAP-MSCHAPv2是微软参与提出的,属于使用比较广泛的协议,现有的微软、苹果和Cisco系统中都支持这一协议。PEAPv1/EAP-GTC中GTC表示通用标记卡(Generic Token Card),是由Cisco参与提出的,使用范围相对比较狭窄。
EAP-FAST(Flexible Authentication via Secure Tu n n eli n g[13]),是由思科提出的使用保护访问凭证(Protected Access Credential,PAC)来建立TLS隧道,并通过该隧道对客户端证书进行验证的方法。该方法支持EAP-GTC、EAP-MSCHAPv2和EAP-TLS三种验证方法。
EAP-SIM[14]是一种采用蜂窝电话SIM(Subscriber Identity Model)认证的方法,是手机网络和因特网技术结合的产物。SIM卡中含有身份认证信息,可以用来接入网络,并且可以进行用户计费。
EAP-AKA(Authentication and Key Agreement[15])是用来在使用全球用户识别卡(USIM,Universal Subscriber Identity Module)接入USTM(即全球3G网络)进行用户认证和密钥协商的方案。
2.2.2 MIC
MIC[16,17,18,19]方法是通过一个不可逆的过程,生成一个校验码,生成的过程中结合一个密钥。因此,不知道密钥的攻击者是无法伪造这一校验值的。但是,一般算法需要大量的计算,不适合Wi-Fi网络。Wi-Fi网络采用Michael方法计算MIC。
Michael算法是对明文数据和原宿地址进行处理,获得一个64位的校验码,称这部分内容为需要验证的内容。将需要验证的内容进行填充,使得每个数据包也是64位的。将报文划分为32位一组,记为M1,M2,…,Mn-1,将64位的密钥也分成两份,每份32位,记为K1和K2。具体的计算过程如下:
其中,函数XSWAP接收一个32位的参数,将其低16位和高16位进行交换;“<<<”表示循环左移;“>>>”表示循环右移。最后l和r连接后就是64位的校验值。
2.2.3 TKIP
TKIP[1,16,17,18]的提出是为了让WEP系统升级后能更加安全,所以一切改进都是在WEP的基础上。所以TKIP必须在现有硬件上运行,因此不能使用计算复杂的加密算法。因此,TKIP实际上是采用一系列的手段来弥补WEP中存在的缺陷,就像是Windows系统发布后会打补丁一样,TKIP就是给WEP系统的补丁。
实际上,使用RC4作为加密算法并不会导致不安全,但是WEP中使用的密钥不够安全。TKIP生成密钥的方式,使得TKIP足够安全。图5为TKIP生成RC4密钥的过程。
首先,为了防止重播,TKIP在生成密钥的时候,使用包序列号TSC作为影响密钥的因子。TSC就是一个计数器,当共享密钥初始化或更新时初始值为0,随着包的发送,该值逐渐增加。可以保证在使用同一个Session Key时,不同的包使用的RC4密钥不同,并且可以检测出是否小于已发送的包的序号,如果小于,则属于重播,丢弃该包。
其次,WEP中使用的密钥存在弱密钥。TKIP采用MAC地址、包序列号和初始密钥相混合的方式,产生128位的密钥。另外,第5比特强制置为1,第4比特强制置为0。这样可以避免生成弱密钥,达到增强安全性的目的。
2.3 WPA2
2004年,Wi-Fi联盟提出WPA2。WPA2是对WPA的改进版,实际上WPA2只是加强了加密的强度,以及增加了对接入者移动的接入改进。
WPA2采用AES[4,16,17,18,19]加密,并使用密码分组链接(Cipher Block Chaining,CBC)模式,加密过程如图6所示。
随着移动上网需求的进一步扩大,WPA2针对移动接入提出了不少改进措施。2012年1月,WPA2新增了对EAP-AKA的支持。并且,WPA2支持预认证和PMK缓存,使得当已经接入AP的接入点在移动过程中,不需要再次进行认证,而且能保持与该AP的连接。
3 总结
随着移动技术的发展,组网方式也变得多种多样。不管怎么改变,网络安全都离不开加密技术和认证协议。认证阶段所使用的证书等技术也是以加密技术为基础的。随着计算能力的发展,密钥的长度也会随之增加以确保加密强度,而密钥的产生、分配、更新和销毁等需要一系列的协议制度来保证密钥的保密性。不论密钥本身是多么安全,多次使用同一密钥会导致密钥信息的泄漏。使用动态一次性密钥可以保证密钥保密性。
Wi-Fi作为目前使用最广泛的无线联网技术,其设计的目的就在于开放式的网络连接,因此Wi-Fi面临着严峻的安全挑战。Wi-Fi采用WPA技术来保证网络通信中的安全。WPA采用的加密技术是目前美国国家安全标准认可的AES加密算法,使用TKIP来负责密钥的产生。接入认证时采用EPA,可以通过双方协定,采用不同的认证协议。
虽然Wi-Fi对于各种威胁都有应对的措施,但是要实施所有的安全措施过程复杂,代价不菲。在实际网络建设过程中,可以根据需要来裁剪WPA的安全措施。
Wi-Fi安全研究 篇2
1 无线局域网WLAN
WLAN是随着无线通信技术不断进步,以及PC机、PDA等智能移动终端技术的不断发展的情况下,网络与无线通信技术相结合的产物,它以无线通信技术在一定的局部范围内建立无线网络,通过微波作为传输媒介,提供传统有线局域网的功能,使广大用户可以便利的,随时随地的自由接入Internet,享受安全有保障的网络服务,这也成为发展的必然趋势。无线局域网在此形式下迅猛发展,在接入速率和适应环境上与3G技术互为补充,成为新一代高速无线接入网络。
根据站点相互连接的形式和适用的接入规模,WLAN的拓扑结构可分为两种方式:终端数相对较少的无中心拓扑网络和终端数较多的有中心拓扑网络。
1)无中心拓扑网络:由一组配备无线网卡的无线终端组成,这些无线终端必须具有相同的工作组名、SSm(Service Set ID)和密码。一个对等网络覆盖的服务区域称为独立基本服务集(IBSS),网络中任意两个无线终端不使用无线接入点即可建立连接进行直接通信。如图1所示。
2)有中心拓扑网络:很多时候,无线局域网是作为有线局域网应用的一种扩展,所以无线局域网的另一种拓扑结构就是有中心拓扑网络,它由无线终端、无线接入点和其他网络设备组成。一个无线接入点覆盖的服务区域称为一个基本服务集(Basic Service Set),多个基本服务集重叠部分形成扩展服务集(Extend Service Set),如图2所示。
由于WLAN是基于计算机网络与无线通信技术,而在计算机有线网络结构中,逻辑链路控制(LLC)层及其之上的应用层对不同的物理层的要求可以是相同的,也可以是不同的,因此,WLAN技术标准主要是针对物理层和媒质访问控制层(MAC)。同时与有线网络相比,WLAN只是在传输方式上有所不同,所有常规有线网络存在的安全威胁在WLAN中也存在,但WLAN是采用射频技术进行网络连接及传输的开放式物理系统,以致与有线网络相比还存在一些特有的安全威胁,主要表现下在以下几个方面:1)服务后抵赖;2)WEP加密破解;3)无线窃听;4)假冒攻击;5)MAC地址欺骗。
针对这些安全问题,WLAN中的安全业务都需要相应的安全机制来保证,用加密技术实现保密性业务,通过访问控制实现身份认证业务,用消息认证机制实现完整性业务,用数字签名技术实现不可否认性业务。这样即使WLAN在网络安全方面存在一些问题,但作为计算机网络技术和无线通信技术相结合的最新技术,使用无线技术来发送和接收数据,减少了用户的连线需求,方便了用户的移动通信和使用网络服务。
2 Wi-Fi技术与Wi-Fi无线网络
Wi-Fi技术是基于IEEE 802.11x系列标准[4]的无线网络通信技术的品牌,目的是改善基于IEEE 802.11x标准的无线网路产品之间的互通性,由Wi-Fi联盟(Wi-Fi Alliance)所持有,简单来说Wi-Fi就是一种无线联网的技术,以前通过网络连接电脑,而现在则是通过无线电波来联网。它使用2.4GHz附近的频段,在信号较弱或有干扰的情况下,带宽可调整为5.5Mbps、2Mbps和1Mbps,带宽的自动调整,有效的保障了网络的稳定性和可靠性。目前常用的无线网络标准为802.11a、802.11b、802.11g和2009年9月IEEE批准的802.11n高速无线局域网标准,见表1。
由于Wi-Fi技术自身的优点,可以大幅度提升WLAN的网络互联能力,所以Wi-Fi技术在无线局域网中的应用得到了飞速的发展,以致很多用户将使用IEEE 802.11x系列标准的无线局域网称为Wi-Fi无线局域网。Wi-Fi的优势可概括为以下几方面:
1)无线电波的覆盖范围广。
2)只要设置“热点”,就可以将因特网接入指定场所。
3)厂商进入该领域的门槛比较低。
4)传输速度快,符合个人和社会信息化的需求。
5)不需要布线,可以不受布线条件的限制。
6)对人体无伤害。
3 Wi-Fi安全技术
Wi-Fi虽然容易受到黑客攻击和窃听。但是,使用正确的安全措施,Wi-Fi还是安全的。无线网络的安全性通过认证和加密来实现。认证允许只有被许可的用户才能连接到无线网络;而加密的目的是提供数据的保密性和完整性。802.11标准最初只定义了两种认证方法:开放系统认证(Open System Authentication)和共享密钥认证(Shared Key Authentication),以及唯一的WEP加密方法。对于开放系统认证,在设置时也可以启用WEP,此时,WEP用于在传输数据时加密,对认证没有任何作用;对于共享密钥认证,必须启用WEP,WEP不仅用于认证,也用于在传输数据时加密。
由于WEP技术存在初始化向量范围有限、使用明文传送和使用对称加密算法等严重缺陷,802.11使用802.1x来进行认证、授权和密钥管理,另外,IEEE开始制订802.11i标准,用于增强无线网络的安全性。同时,Wi-Fi联盟与IEEE一起开发了Wi-Fi受保护的访问WPA以解决WEP加密技术存在的缺陷。以下是涉及到Wi-Fi无线网络安全时,通常采用的相关措施:
1)不要使用WEP:由于WEP存在很多缺陷[5],以使有经验的黑客能够迅速地破解WEP加密协议。因此,根本就不应该使用WEP。
2)应用802.11i:WPA和WPA2安全的EAP模式使用802.1X身份识别,而不是PSK,在向每一个用户提供自己的登录证书的能力,如用户名和口令以及一个数字证书。而实际的加密密钥是在后台定期改变和交换的。因此,要改变或者撤销用户访问,这就要求在中央服务器修改登录证书,而不是在每一台客户机上改变PSK。这种独特的每个进程使用一个密钥的做法还防止用户相互窃听对方的通讯。为达到尽可能安全,应该使用带802.1X的WPA2。也就是802.1i。
3)保证802.1X客户机设置的安全:WPA/WPA2的EAP模式仍然容易受到中间人攻击。然而,你可以通过保证客户机EAP设置的安全来阻止这些攻击。因此,802.1X客户机设置的安全性也就显得尤为重要。
4)使用无线入侵防御系统:一个无线入侵防御系统(WIPS)可以帮助检测和对抗黑客建立的虚假接入点和实施拒绝服务等攻击。
5)应用NAP或者NAC:除了802.11i和WIPS之外,一个NAP(网络接入保护)或者NAC(网络接入控制)解决方案能够根据客户身份和执行定义的政策的情况对网络接入提供额外的控制。这些解决方案还包括隔离有问题的客户的能力以及提出补救措施让客户重新遵守法规的能力。
6)不要信任MAC地址过滤:Wi-Fi无线安全启用MAC(媒体接入控制)地址过滤增加一层安全性,可以控制哪一个客户机能够连接到这个网络。但是,窃听者可以很容易监视网络中授权的MAC地址并且随后改变自己的计算机的MAC地址。因此,不要以为MAC过滤能够为安全做许多事情而采用MAC地址过滤。
7)不要过分信任SSID:无线网络中在关闭接入点的SSID播出将隐藏用户所在网络,或者至少可以隐藏用户的SSID,让黑客很难找。然而,这种做法只是从接入点信标中取消了SSID,它仍然包含在802.11相关的请求之中,在某些情况下还包含在探索请求和回应数据包中。因此,窃听者能够使用合法的无线分析器在繁忙的网络中迅速发现先前用户的SSID,因此,不要过分信任SSID。
8)保护移动客户:对Wi-Fi安全的担心不应该仅限于网络。使用智能手机和笔记本电脑等移动终端用户也要得到保护。在他们连接到Wi-Fi热点或者自己家里路由器的时候,需要保证他们其它的Wi-Fi连接也是安全的,也可以防止入侵和窃听。
遗憾的是保证Wi-Fi连接外部的安全并不是一件容易的事情。这需要采取综合性的方法,如提供和推荐解决方案以及告诉用户有关Wi Fi安全风险和防御措施等。
4 结束语
WLAN自诞生以来就发展迅速,极大的影响和改变了人们的生活和通信方式,必将对人类的历史产生积极而深远的影响。但WLAN所采用的开放式信道存在着巨大的安全隐患,攻击者可以利用无线信道的开放性对网络发起各种各样的安全攻击,使无线局域网面临着比有线网络更大的安全风险。当前,如何保证WLAN的网络安全性,使之更好地为用户服务,已经成为一个至关重要的问题。然而,随着新的安全理论和技术的不断涌现,使得我们有信心从容面对众多安全挑战。
摘要:随着无线局域网技术的快速发展,Wi-Fi作为移动设备的无线联网技术应用的越来越广泛。但无线局域网采用电磁波作为信息传播的载体,信息很容易被窃听或干扰,面临着严峻的网络安全问题。该文通过对无线局域网中安全问题的学习,研究了主要的Wi-Fi安全技术,并提出对应的解决方案。
关键词:无线局域网,Wi-Fi,网络安全
参考文献
[1]钟章队,赵红礼.无线局域网[M].北京:科学出版社,2004.
[2]包时红.无线局域网的安全机制[J].计算机工程,2007(7):207-209.
[3]赵昌建.浅析无线局域网的安全防范措施[J].电脑知识与技术,2010(7):1600-1601.
[4]IEEE标准.802.1X-2001Port Base Network Access Contral[S].2001.
Wi-Fi安全研究 篇3
在今年“3·15”晚会上, 有一个环节是黑客通过“钓鱼Wi-Fi热点”劫持用户手机并获取其内部私人信息的现场演示, 其结果让现场观众触目惊心, 也让手机安全问题又一次曝光, 到底什么样的手机才是安全的, 难道我们真得只能天天生活在没有任何安全感的移动互联网环境下吗?我们还敢用手机银行吗?
手机客户端支付还是安全的
在“3·15”晚会的演示环节中, 现场观众只是登录了一个模仿日常Wi-Fi热点的“钓鱼Wi-Fi”, 个人隐私就被泄露了——不仅图片被黑客获取, 浏览图片信息也被截获, 连手机里的邮箱和密码都能辨识出来。这让很多现场观众忧心忡忡, 既然黑客通过技术手段可以获得手机里的照片、邮箱和密码等信息, 那么当我们在手机上通过手机钱包进行网上支付时, 存储在手机中的账号和密码, 是不是也会很容易地被黑客获取呢?答案是:不会。
事实上, 央视“3·15”晚会上模拟的黑客行为叫做“数据劫持”, 通过“钓鱼热点”连接上目标客户的手机, 然后目标终端上的任何操作和请求的信息流, 都将被这个伪造的热点截获, 所以才有了上述的表现。至于为什么连用户手机中的电子邮箱的密码都能获取?是因为E-mail的SMTP和POP协议都是明文存储密码, 所以容易被一些恶意软件和网络行为钻了空子, 从而轻易获取。
但是, 诸如手机银行、手机支付宝这类的应用都是通过HTTPS等加密方式进行数据传输, 包括一些银行的安全控件机制, 就算数据包被不法份子劫取, 没有密钥的话, 它也只是一堆无意义的代码, 无法破译出真正的密码。所以, 从技术角度来说, 银行推出的手机银行客户端在安全上是有保证的。
需要特别提及的是, 用户在使用手机银行时存在的不安全因素多体现在实际操作中, 特别是当用户的手机丢失或者中病毒之后, 其手机中的相关信息就有可能被泄露。而用户只要在日常生活中做到以下几点, 基本可以保证手机银行的安全。
良好的使用习惯是安全防范的核心
事实上, 很多手机信息的泄露都与用户自身的使用习惯息息相关, 再加上真正的安全手机并未大规模普及, 这也造成了手机安全防范的硬件短板。
提到网络不良使用习惯, 当属免费Wi-Fi的“蹭网”行为。目前, 中国公共场所Wi-Fi热点覆盖至少超过千万个, Wi-Fi服务几乎成为了公共场所服务范围内的标准配置, 而虚假Wi-Fi“钓鱼”则是当前免费Wi-Fi的主要安全风险之一, 今年“3·15”晚会现场黑客盗取用户隐私的主要方法也是利用了虚假Wi-Fi“钓鱼”的手法, 吸引用户通过移动设备接入该网络, 然后再通过分析软件窃取这些接入虚假Wi-Fi热点的用户资料, 从而破译用户的个人信息。
要想防范日常生活中的这些风险, 笔者在此给大家一些建议。
第一, 不要在公共场所随便使用免费Wi-Fi登录, 特别是在不清楚Wi-Fi来源的情况下, 更不要随便利用外部Wi-Fi登录手机银行, 不要打开来历不明的短信或彩信, 下载安装软件时要谨防“木马”。建议先确认Wi-Fi的拥有者身份, 最直接的办法就是密码的获取, 无论是从运营商短信还是直接询问拥有人, 都可以从客观上确认Wi-Fi的真实性。
第二, 手机银行设立合适的转账额度。如果平时只是小额支付或充话费, 可以把交易额度设定得低一些。如果需要大额转账, 可以通过网银临时调高额度, 转账完毕之后再调回。
第三, 注意密码保护, 最好为支付账户设置单独、高安全级别的密码, 要注意密码应与邮箱、微博等应用的密码有所区别, 防止邮箱被攻破后不法分子利用“撞库”技术获取银行密码信息。
第四, 尽量用本机自带的软件商店下载软件, 不要下载其它来路不明的软件, 这些APK可能含有“木马”——让你手机如同裸奔。如果手机丢失, 要及时冻结手机银行相关功能, 避免更大的损失。
另外, 手机用户连接免费Wi-Fi可先通过“腾讯手机管家”进行网络安全检测。安卓版的“腾讯手机管家”用户, 可对所链接的免费Wi-Fi进行“DNS劫持”、“ARP欺骗攻击”、“虚假钓鱼Wi-Fi”等多项安全检测, 确保接入的免费Wi-Fi安全无风险。
想要安全就要用“安全手机”
除了软件防护和注意日常行为习惯之外, 如果能从硬件上进行手机信息安全的防护, 那么手机安防工作将事半功倍。目前国内主攻安全的手机厂商主要有酷派、中兴、华为等。酷派有一款名叫“铂顿”的新品, 提出了“双系统、硬隔离”的概念, 将安全级别提高到军事级芯片加密的水准。平时应用的智能操作系统与普通的安卓手机无异, 不影响用户的正常使用;需要安全防护时, 通过一键切换, 不到一秒钟就能进入保密模式。在这种模式下, 用户只能接听拨打电话、发送短信, 任何GPS定位及网络访问全部被隔断, 以此保障用户的图片和个人隐私都不会被泄露。
中兴也推出了“十防”手机, 即防窃听、防泄密、防跟踪、防盗、防吸费、防诈骗、防病毒、防骚扰、防流氓、防卡慢等十项功能, 而且这款“十防”手机将安全功能根植于系统底层, 无需开放Root权限, 大大提升了安卓手机的安全性。不过, 因为局限于软件层面上的短板, 在安全性上还是与酷派“铂顿”的硬件隔离技术存在一定差别。
Wi-Fi安全研究 篇4
关键词:WI-FI,安全问题,增强信号,无线网络
一、家用无线网络安全问题与解决方办法
1. 设备存在的安全隐患与对策
随着智能手机、平板电脑、电子书等无线互联终端的普及, 如今已有越来越多的家庭开始布置无线网络, 只要安装上一台无线路由器, 人们就可以在家中的客厅、卧室、书房, 甚至是厨房和厕所等任一角落, 很方便地接入互联网。但任何一种新技术、新产品都是把双刃剑, 无线路由器也不例外。据国家信息安全漏洞共享平台在其官方网站上发布了题为《TP-LINK部分路由器存在后门漏洞可被控制》的文章, 通报了TP-LINK路由器存在安全漏洞的情况。TP-LINK部分型号的路由器存在某个无须授权认证的特定功能页面, 这个页面就像一个没有锁的后门, 黑客可以轻松进入。而曝光的产品主要用于企业或家庭局域网的组建。
黑客可以访问路由器设置页面后, 引导路由器自动从攻击者控制的TFTP服务器中下载恶意程序, 并以“root”权限执行。获得“root”权限后, 入侵者可以操控路由器来安装插件、病毒, 或是直接记录用户在网上的一举一动, 通过后台进行监控偷窥。而如果入侵者通过软件破解了路由器密码, 这个有漏洞的路由器就会被完全控制, 用户个人的账号、密码、聊天记录被盗窃的风险大增。
那么, 该如何提高无线路由器的安全性?不少人买来无线路由器后, 会直接按照说明书一步一步地进行操作, 选用了路由器默认的用户名和密码, 等操作完成后, 往往会忽略重新设置密码。这样非常容易给黑客留下可乘之机, 对于如何防范网络入侵者, 应设置并保管好无线连接密码, 不主动开启路由器的“远程管理”功能;不让未知设备直接通过网线连接到路由器上, 则该攻击无法对路由器实施入侵;另外应及时更新路由器系统软件。
2. 路由器的安全设置
(1) 给无线网络加密
一般我们常见的无线加密方式有三种:WEP加密、WPA加密和WPA2加密。三种无线加密方式对无线网络传输速率的影响也不尽相同, 如果用户选择了WEP加密方式或WPA-PSK/WPA2-PSK加密方式的TKIP算法, 无线传输速率将会自动降至11g水平。现在用户使用的基本上都是11n无线产品 (150M或300M) , 那么无线加密方式只能选择WPA-PSK/WPA2-PSK的AES算法加密, 否则无线传输速率将会自动降低。而如果用户使用的是11g产品, 那么三种加密方式都可以很好的兼容, 但我们不建议大家选择WEP这种较老且更容易破解的加密方式。
(2) 修改默认的用户名和密码
我们需要修改无线路由器默认的登录用户名和密码。为什么要这么做呢?原因很简单, 因为同一型号甚至同一厂商的无线路由器在出厂时所设置的默认用户名和密码几乎都是一样的。因此, 只要有经验的用户只需尝试几次就可以轻松进入无线路由的Web配置界面, 从而控制你的无线网络。因此修改默认用户名和密码也是保护无线网络安全所必须的。
(3) 关闭或修改SSID名称
SSID就是搜索无线网络时所出现的无线网络名称。可以修改SSID名称, 如继续使用默认的“D-Link”、“TP-LINK”等SSID名称会很容易就被别人猜到。关闭了SSID广播后, 用户自己怎么知道该连接哪个无线网络呢?方法很简单, 用户只需重新刷新无线网络列表, 之后会看到一个没有名字 (空白) 的无线连接, 双击它, 在弹出的窗口中输入只有你自己知道的个性SSID名称和无线密钥即可连接。
(4) 关闭DHCP服务器
DHCP是自动为连入无线网络的用户分配IP地址的一项功能, 省去了用户手动设置IP地址的麻烦。一旦关闭了DHCP功能, 想要连接到你无线网络的非法用户就没法自动分配到IP地址了, 那么他就得手工输入IP地址, 而为了不让非法用户轻易猜到无线路由的IP地址段, 我们还必须修改无线路由的默认IP地址。此时非法用户想要连接网络就必须挨个去尝试每个IP地址段, 非常麻烦。所以建议大家关闭DHCP功能, 并修改默认IP地址。
(5) 开启MAC地址过滤
MAC是Media Access Control介质访问控制地址的简称。MAC地址是厂商在生产网络设备时赋予每一台设备惟一的地址。前24位标识网卡的厂商, 不同厂商生产的标识不同, 后24位是由厂商指定的网络设备的序列号。
开启无线路由器的“MAC地址过滤”功能, 在MAC地址列表中输入允许连入网络的MAC地址, 这样利用MAC地址的唯一性, 可以非常有效的阻止非法用户。
二、增强Wi-Fi信号的几种方法
1. 运用最新Wi-Fi技能
确保网络高速疏通的一种办法即是运用最新的固件。你只需要知道:在WLAN协议中, 802.11n的速度显著高于802.11a、802.11b和802.11g。但必定注意, 若是想要晋升速度, 必定要一起装备802.11n的无线网卡和无线路由器。
2. 将路由器放置在最佳方位
想要有最强的信号, 应把设置放置在不受墙面或障碍物阻挠的空位。天线要笔直, 而且放得越高越好。最好摆放在整个屋子的中心, 这样才能将高质量的Wi-Fi信号全部掩盖到家里的每一个角落。
3. 找到正确的无线信道
若邻居也在使用无线路由器, 那么他们的无线路由器有可能会和你的相互搅扰, 致使信号质量变差。无线路由器是通过数个信道作业, 而你应当将它调至一个受搅扰程度最低的信道上。可以利用一些Wi-Fi扫描软件来查找屋子里最佳的信道。
4. 封闭其他搅扰的设备
不仅仅其它无线路由器能够对您的信号发生搅扰, 无线电话、微波炉和其他家用电器也会搅扰到信号。可以将无线路由器挪动到远离发生搅扰的电器的地方。
5. 增强无线安全性
就算路由器设置了密码, 也很容易被破解。要知道有谁在偷用你的Wi-Fi其实很简单, 但最佳的办法就是增强安全功用, 把他们阻碍在外。运用最新的加密方式。
6. DIY添加Wi Fi覆盖面积
若是你的路由器覆盖不到较远的当地, 你可以自己DIY一下, 添加无线信号的覆盖面积。最受欢送的DIY诀窍即是运用锡纸、铝罐或不锈钢滤盆来增强信号。尽管作用不会太夸大, 但至少不必费太大力就能添加一点信号覆盖面积。
参考文献
[1]栗薇.WI-FI演化史及其发展趋势[J].网络与信息, 2010, 6:42.
[2]王娟, 郭家奇, 刘薇.WI-FI技术的深入探讨与研究[J].价值工程, 2011, 6:91.
[3]鲁艳, 毛旭.基于WI-FI的无线网络安全方案对比分析[J].广东通信技术, 2001, 3:26-29.
Wi-Fi安全研究 篇5
1.1 业务在移动中
手持智能终端加上移动宽带互联网使得基于互联网的各种业务移动了起来。根据行业内统计以及对未来预测, 2012年至2017年, 全球移动业务数据流量年复合增长率为66%, 用户处于移动中产生的业务数据流量将增长13倍, 而其中移动视频业务流量年复合增长率达到75%。
在2012年, 中国大陆智能移动电话保有量达3.6亿部, 增速为80%;全球智能移动电话平均每月每部产生移动流量342Mbps, 平板电脑平均每台每月产生移动流量820Mbps, 笔记本电脑平均每月每台产生移动流量2.5Gbp。预计到2017年, 全球移动宽带网络将联接100亿台智能终端。
1.2 Wi-Fi接入创造价值
如今, Wi-Fi几乎配置在所有智能移动终端以及固定终端上, 人们也更倾向于使用无绳链接 (cut the cord) , 80%的数据流量来源于室内应用。由于无线频谱资源的日益高度紧缺和呈指数增长的移动数据流量压力, Wi-Fi卸载移动数据流量已经呈现出具有吸引力的经济价值链。预计2016年, 全球Wi-Fi承载的业务数据量将超过固定宽带业务数据流量, 移动通信网络 (2G/3G/4G) 承载的数据流量只占10%。
1.3 MSO现实的无线接入网
面对来自IPTV和OTT (Over The Top) 的激烈竞争, 有线电视网络业务需要移动起来, 去占领用户手中种类繁多并不断高速增长的移动智能终端, 提升有线电视用户的体验质量 (QoE) 。
因此, 有线电视网络运营商 (MSO) 在运营一张有线固定网络的同时拥有一张无线接入网络已是迫切需要, 以实现用户在移动中也可以使用现有业务, 如TV Everywhere等, 同时也可激发出多种新型业务的想象空间。
在国内, HFC网络的双向建设与改造只是实现固定业务的宽带接入, 并没有解决有线电视网络运营商之业务移动宽带接入问题, 有线电视网络运营商需要无线宽带接入网络的补充。
由于无线频谱资源的异常紧缺, 加上宏蜂窝系统庞大的基础投资以及较长的建设周期, 蜂窝移动通信网络 (如3G、4G) 并不适合有线电视运营商, 也正是由于这些因素, 运营3G、4G的移动运营商也在采用Small Cell模式来解决移动宽带数据流量问题, Wi-Fi是其最重要的选择。
Wi-Fi的频谱使用便利、系统吞吐量提升迅速、普及于各类终端等特性, 使得Wi-Fi成为业界日益看好的一种Small Cell。北美地区的MSO, 如Comcast、Time Warner Cable等, 都选择部署Wi-Fi无线接入网络。
2 传统Wi-Fi系统在可用性与安全方面的不足
2.1 可用性方面不足
当传统Wi-Fi系统被服务提供商作为规模化运营接入网络时, 就会显现其在应用方面的不足。
(1) 登录过程复杂
用户终端不能自动登录已经签约的网络, 用户需要手动逐一操作登录选项, 过程中容易出错。
(2) 时间有限的认证码
在使用时间限制的认证码登录Wi-Fi网络时, 常出现认证码时效已过, 网络已不可用, 而显示连接有效。
(3) AP (Access Point) 选择
当用户处于多个Wi-Fi网络环境下, 用户需要手动选择可登录的网络SSID (Service Set Identifier) , 当用户不了解为其提供服务的运营商之相关信息时, 用户只能茫然。
(4) 不能自动漫游
当用户处于可供漫游访问的合作伙伴Wi-Fi AP时, 用户常常要手动进行认证登录过程。
2.2 传统Wi-Fi系统面临的安全威胁
传统的Wi-Fi AP在作为专用网络使用时, 通常应用IEEE802.11i安全协议与EAP (Extensible Authentication Protocol) 认证, 即Wi-Fi联盟认证的WPA2-Enterprise (WiFi Protected Access2) 安全防护, 这样的专用网络是可信任的。
如果在作为公共无线接入网络的Wi-Fi AP系统上部署WPA2-Enterprise, 我们将面临两个方面的障碍。
其一, AP的802.1X端口在认证之前会屏蔽所有通信, 这意味着屏蔽了用户登录门户页面, 当然也屏蔽了用户接入登录帮组页面, 由此, 当选择EAP方式及证书用于接入点认证时, 移动终端上的连接管理器只能处于尝试与错误的不断循环中而无法登录。
其二, 当处于漫游状态下, 移动终端的接入管理器并不认识漫游合作伙伴的SSID, 因而不会尝试登录网络;再者, 普通用户也不了解漫游合作伙伴网络SSID, 手动登录也不会尝试。
在公共Wi-Fi接入网中, 采用专用网络部署方式将带来不便, 因而没有任何链路层的安全防护, 作为公共无线接入网络的传统Wi-Fi接入点将面临以下攻击:
(1) 双面恶魔攻击
攻击者通过建立与合法热点相同SSID的欺骗热点而盗取用户信用。
(2) 会话拦截攻击
攻击者模仿接入点, 使用户移动终端关联而失去与合法Wi-Fi网络的链接, 攻击者侵占用户的会话而盗取业务。
(3) 会话旁侧攻击
攻击者窥探未加密的Wi-Fi通信并拦截受害者的会话COOKIE, 这样攻击者可以侵入受害者的个人私有网页。
(4) 窃取攻击
未加密的Wi-Fi通信能被攻击者截取。
2.3 传统Wi-Fi网络安全与Qo S兼容困难
网络运营商希望作为无线接入网络的Wi-Fi系统是可信任、可管理并可提供QoS (Quality of Service) 。对于语音和视频等实时业务, QoS是重要且必须的。在包含Wi-Fi链路在内的端到端的系统中, 要无损地传送实时业务的前提是所有分组的QoS标识必须透明传送。如果数据分组包头传送不透明, 比如需要经过IPsec隧道,
典型的实例就是在移动终端与数据包处理网关之间启用IPsec协议, 这样QoS的业务分级与QoS再标识将不可能, 导致QoS标识丢失, 因而Wi-Fi AP链路将不对数据包进行分级处理。
3 有线电视运营级Wi-Fi (Cable Wi-Fi) 的要求与实现技术
传统Wi-Fi系统已经不能满足业务服务商为提供可信任、可管理的公共无线接入网络的需求。Wi-Fi联盟发布Hotspot2.0以及WBA (Wireless Broadband Alliance) 将Hotspot2.0应用于具体网络形成“下一代Wi-Fi热点 (NGH) ”可满足此需求。
Hotspot2.0或NGH与HFC相集成, HFC为Wi-Fi热点系统的传送网络, 形成MSO有线与无线融合的接入网络体系, 本文以Cable Wi-Fi来表征这一架构体系。
Cable Wi-Fi是MSO为提供无线接入服务, 采用IEEE802.11规范部署、管理的公共无线接入网络, 目标是为其用户、或合作伙伴的用户等提供服务。
Cabel Wi-Fi区别于传统Wi-Fi主要在三个方面:
(1) 规模较大, 通常包含有成百上千台AP, 并服务于成千上万客户端。
(2) 高可靠与可管理性。
(3) 基于标准的端到端架构的多系统兼容性与互操作性。
Cable Wi-Fi主要的服务于以下场景:
(1) 住宅
重利用MSO部署于用户住宅内的网关 (或机顶盒) 内置Wi-Fi, 使其工作于既服务于该住宅用户又可服务于其他用户的半公共接入模式。
(2) 城域
AP部署于室外, 为室外公共场所提供接入服务。
(3) 小型热点
重利用小型商业区域的Wi-Fi AP, 为这个区域内提供公共无线接入服务。
(4) 大型热点
高密度的AP部署, 服务于大型场馆等场所。
(5) 卸载、租赁
Cable Wi-Fi可以为合作伙伴用户提供服务, 也可以租赁给其他运营商, 比如移动运营商用于卸载业务。
3.1 AP的无线特性
AP是Cable Wi-Fi系统中最为基础的单元, 下列是评估AP基本特性的因素:
(1) 覆盖范围
单个AP覆盖范围通常决定AP的部署间距。
(2) 容量
单个AP容量影响特定区域AP的部署密度。
(3) 干扰管理
无线干扰来自于外部与AP之间, 需要应用智能频谱检测、波束成型、自动重构、智能优化等技术实现每个AP的最佳信道性能。
(4) 双频段
AP需要同时具备2.4GHz与5GHz频段。
3.2 安全
作为公共接入网络, Cable Wi-Fi同样面临上述 (见2.2、2.3节) 安全威胁。被称为Hotspot2.0的下一代热点采用最新的安全认证和加密协议, 已经解决 (2.2、2.3节) 中所述安全问题。
针对不同的用户端, 业界制定出如表1所示的安全证书与EAP组合协议。
Cable Wi-Fi AP需要支持全部这些EAP认证, 以覆盖各种类型终端。
在无线空间传输, Cable Wi-Fi采用最新一代安全技术:经Wi-Fi联盟认证的WAP2-Enterprise加密协议, 同时具备分别控制管理公共与私有WLAN的能力。
不仅如此, 为了解决住宅AP工作在半公共接入网络状态, 这类AP需要至少分别支持一个私有WLAN/SSID与一个公有WLAN/SSID。
3.3 漫游
Wi-Fi终端用户当然希望在使用Wi-Fi时能够具有与使用2G/3G/4G等移动通信网络相同的体验, 如:移动、自动登录与漫游。
2011年, IEEE发布802.11u, 作为802.11系列的修正案, 其目标是在运营商网络和802.11接入网络间建立有效接口, 该修正案为802.11网络增加以下主要功能:
(1) 网络发现与选择
通过接入网络类型广告、漫游合作协议以及大型场馆的信息, 发现适合的网络。通用广告服务 (GAS) , 在认证之前, 在移动终端与网络服务器之间提供二层的广告协议帧传送, AP中继移动终端与运营商网络服务器之间的询问和响应。ANQP (Access Network Query Protocol) , 移动终端发现相关信息的询问与响应协议, 这些信息包括由证书类型与所支持的EAP方式确定的可接入的漫游合作伙伴、可能的IP地址类别 (IPv4/IPv6) 、热点运营商名称以及有助于终端选择网络的其他元数据。
(2) QoS映射分布
提供从IP的分级服务代码点至每台设备终端二层优先的QoS映射, 有助于端到端QoS。通过ANQP与GAS, 移动终端在认证之前会询问并确定可漫游访问的网络, 同时获取EAP方式以及证书类型, 移动终端管理器据此确定可供漫游访问的网络以及运营商策略, 然后获得授权, 以WAP2-Enterprise建立链路层安全机制, 完成自动漫游登录。
上述安全机制与漫游功能包含在Wi-Fi联盟于2012年6月发布的《Wi-Fi CERTIFIED Passpoint (Release 1) 》中。
Cable Labs也发布了类似于802.11u的规范:《Wi-Fi Roaming Architecture and Interfaces Specification》, 其核心架构如图1所示。
该系统以DOCSIS HFC为Wi-Fi的基础传送网络。
3.4 移动
移动的定义涉及多种场景, 其系统要求与实现也各不相同。MSO需根据业务需求同步实现所需移动业务环境。
(1) 快速移动
当Wi-Fi移动客户端处于无缝覆盖的Wi-Fi网络环境下, 终端从一个AP快速移动到下一个AP时, 其链接的业务不能中断, 特别是实时类业务, 如VoIP等。IEEE 802.11r/k实现Wi-Fi终端移动时能在不同AP间平滑切换, AP间再次链接时延小于50ms, VoIP业务能够持续。
(2) 微移动
客户端处于一个部署有一定数量的AP环境下, 客户端可以在这些AP间移动, 而业务可以自动在各AP间自动切换。
(3) 宏移动
客户端处于一个相对较大并部署有相当数量AP连续覆盖环境下, 当客户端移动时需要保持其IP地址, 这种情况下, 解决方案是在Wi-Fi中心化实体 (如CMTS, 移动接入网关等) 之间建立隧道。
(4) 不同供应商设备系统之间移动
Cable Wi-Fi要求组成之设备与系统之间具有互操作性, 客户端能够在不同供应商设备与系统间移动。
(5) 不同技术体系之间移动
具有移动通信功能的客户端在如3G/4G与Wi-Fi之间自动漫游, 对于移动运营商解决Offload十分必要, Cable Wi-Fi具有与移动运营商合作的技术基础。3GPP发布的DSMIPv6、PMIPv6协议支持这类漫游移动。
3.5 流量分离
Cable Wi-Fi的流量要穿过MSO的接入网络 (如DOCSIS) 以及其他基础网络, 业务种类的不同要求MSO的基础网络, 特别是接入网络具有区分流量的能力。
(1) 高速数据用户流量与Cable Wi-Fi流量的分离
当住宅用户的CableModem (CM) 或Gateway等开放成为半公共接入网络, 我们希望Cable Wi-Fi产生的流量不计入用户订购的服务带宽内, 以保证订户的服务上限带宽与对应的QoS不受影响。因此, 需要将Cable Wi-Fi流量映射成区别于该用户订购的服务流, 这种映射需要在上、下行流中同等实现。
DOCSIS3.0具有按服务流计量功能, 上、下行流按服务流配置会要求每个CM的配置文件有差异, 需要在CM种类挑选中考虑此需求。
(2) 每个光节点服务分离
鉴于QoS以及充分利用带宽的需要, MSO需要保障在一个集群下同一服务群组内的不同种业务之间带宽不相互挤占。DOCSIS3.0的绑定功能将不同种业务绑定于不同射频组合即可实现。
3.6 传送网络
Cable Wi-Fi部署于MSO的接入网络之上, DOCSIS/HFC是MSO最典型的接入网络, 由于多业务的需求, MSO可能同时运营有运营级以太网 (802.1) 或XPON等, MSO需要选择合适的Cable Wi-Fi部署架构, 以满足跨不同接入网络的同时又满足Cable Wi-Fi自身要求, MPLS是解决Cable Wi-Fi部署与传送网络间匹配的有效技术。
3.7 配置与管理
从运行维护考虑, Cable Wi-Fi之AP需要自动配置, DOCSIS的CM与eDOCSIS设备已经实现单一软件镜像对应全部设备。如果选择的网络架构要求每一AP需要特殊配置文件, 这样的网络将存在较大运行维护障碍。
3.8 IPv6
IPv6已经势在必行, 因此, 从Cable Wi-Fi架构第一天起就应考虑IPv6部署问题, IPv6不仅仅在用户端, IPv6涉及基础网络。
4 Cable Wi-Fi网络架构
一个可运营、可管理的Cable Wi-Fi系统不仅仅是部署一些AP, 应该由以下部分或全部功能模块组成:
(1) Wi-Fi接入点 (AP)
(2) 接入网络
可以是DOCSIS为基础的HFC, 也可以是xPON或以光网络为基础的以太网 (限于篇幅, 本文只讨论DOCSIS HFC) 。
(3) 城域/汇聚网络
实现各HFC的业务汇聚与上层业务分发, 城域网通常是IP或IP/MPLS。
(4) 无线局域网控制器 (WLC)
采用CAPWAP (IETF RFC5415, RFC5416) 协议, WLC实现对AP控制与管理。
(5) 用户管理网关
该网关的功能是策略执行点, 通常执行保持用户感知、QoS设定、带宽限制、记账等功能, 通常又被称为智能业务网关 (ISG) 。
(6) 数据中心
数据中心提供业务管理与网络管理, 基本组成包含AAA、DNS、DHCP、策略服务器、OSS/BSS等。
(7) 移动分组核心
实现移动通信网与Cable Wi-Fi漫游功能, 业务需要时选择。
Cable Wi-Fi基本网络架构如图2所示。
4.1 传送网络组网方法
通常情况下, Cable Wi-Fi AP作为二层 (L2) 设备, 将客户端桥接到HFC网络。鉴于用户管理的需要, Cable Wi-Fi AP的流量需要路由到HFC网络中作为用户管理的中心化实体, 一般情况下可由CMTS承担 (也可以是WLAN控制器、用户管理网关等) 。
这就要求Cable Wi-Fi客户端需要通过AP到达中心化实体建立二层链接, 不论AP与中心化实体之间有多少跳距离, 但必须经承载网可达。
基于DOCSIS/HFC的承载网络, 通常是一个三层网络 (L3) , 从客户端看, CMTS (或CCAP) 作为L3的下一跳, CM、eDOCSIS等起桥接作用。针对承载网络为L3的HFC, 以下传送网络组网方式是Cable Wi-Fi流量回程承载的有效组网方法:IP隧道、BSoD (Business Servicesover DOCSIS) L2VPN、BSoD L3VPN。
4.1.1 IP隧道
4.1.1.1 PMIPv6 (Proxy Mobile IPv6)
该组网方式是应用GRE (Generic Routing Encapsulation) over IP, 在AP与远端部署的中心化实体之间建立顶层的IP隧道。在HFC部分, 数据层构成层次为IPv4/v6 over GREover IPv4/v6 over DOCSIS, 其他网络部分数据层构成层次为IPv4/v6over GRE over IPv4/v6 (over MPLS) , 如图3所示。
4.1.1.2 CAPWAP
该组网方式是应用UDP over IP, 将Cable Wi-Fi的流量传送到远端部署的中心化实体, 比如WLAN控制器。在HFC部分, 数据层构成层次为以太帧over UDP over IPv4/v6 over DOCSIS, 其他网络部分数据层构成层次为以太帧over UDP over IPv4/v6 (over MPLS) , 如图4所示。
4.1.1.3 GRE
该组网方式是应用GRE建立顶层的IP隧道, 用于在AP与远端部署的中心化实体 (如隧道终结点) 之间传送客户端以太帧。这种方式要求AP与中心化实体之间建立IP连接。在HFC部分, 数据层构成层次为以太帧over GRE over IPv4/v6 over DOC-SIS, 其他网络部分数据层构成层次为以太帧over GRE over IPv4/v6 (over MPLS) , 如图5所示。
4.1.1.4 L2TP
该组网方式是应用二层隧道协议 (L2TP) 建立顶层的L2电路, 用于在AP与远端部署的中心化实体 (如隧道终结点) 之间传送Cable Wi-Fi流量 (例如以太帧) 。这种方式要求AP与中心化实体之间建立IP连接。在HFC部分, 数据层构成层次为以太帧over L2TP over IPv4/v6 over DOC-SIS, 其他网络部分数据层构成层次为以太帧over L2TP over IPv4/v6 (over MPLS) , 如图6示。L2TPv2/v3分别对应RFC2661和RFC3931。
4.1.2 BSoD L2VPN
这种组网方式的基本要点是应用L2VPN来传送Cable Wi-Fi流量到远端部署的L2中心化实体。在此架构中, 接入部分 (最后1km) 数据层构成层次为:以太帧over DOCSIS, 其余部分是以太帧over MPLS。
L2VPN在MSO部署的网络中得到广泛的应用, CableLabs也对L2VPN over DOCSIS以BSoD L2VPN形式进行标准化, MSO能够应用L2VPN为商业用户提供服务。BSoD L2VPN网络架构如图7所示。
此种网络架构还具有一个特别之处在于可以集成PMIPv6而不需要改变网络架构, 有助于MSO处理Cable Wi-Fi与蜂窝系统之间业务切换。
4.1.3 L3VPN
IP/VPN (RFC4364) 是一项在固定和移动业务运营商中广泛使用的技术。此网络架构由CMTS终结L2, 应用L3VPN传送Cable Wi-Fi流量至远端部署于L3的中心化实体。在此类组网方式中, 接入部分 (最后1km) 数据层构成层次为IP over DOCSIS, 其余网络部分是IP over MPLS。
需要指出之处是Cable Wi-Fi之住宅用户业务流与公共用户业务流需被区分, 这一功能的实现需要在两种业务流之间的流量分离与IP前缀、地址指派中加以考虑。在CM与CMTS之间, 利用DOCSIS业务流可实现这两种业务流的区分, CM和AP之间利用SSID或VLAN可实现区分。该网络架构拓扑结构如图8示。
4.2 三种组网架构比较
三种组网架构特性比较见表2。
5 结束语
Wi-Fi安全研究 篇6
由于煤矿生产环境的特殊性, 井下作业对生产管理有非常高的实时性要求, 作为生产管理人员、电机车司机、绞车司机、瓦检员、皮带维护工等流动人员应能够与生产调度室及时取得联系, 将生产一线的各种情况上报, 实现统一指挥统一调度。煤矿事故的发生是不确定性的, 事故发生后必须依据当时情况, 采取果断的措施进行处理, 对井下人员进行紧急抢救, 但对井下人员的监控由于受各种条件的限制还很不完善, 对于井下人员的情况不能及时反映, 导致事故发生时不能及时、准确的得到井下人员的信息, 无法做出正确的决策, 以致会造成抢险不及时, 有可能贻误对生命的抢救。目前井下的有线通信远远不能适应井下大量流动作业人员及其管理上的需要, 因此研究应用一套完善、可靠的井下无线通信系统对于煤矿提高效率和实现安全生产至关重要。
二、国内外研究现状
由于煤矿井下的特殊性, 制约了井下无线通信系统的发展, 我国井下无线通信系统一直主要靠引进吸收国外的相关技术, 但随着近年来地面无线技术的快速发展, 新型的无线技术越来越多的服务于煤矿井下。目前可用于煤矿井下的无线系统主要有:漏泄通信技术、透地通信技术、井下小灵通技术、WI-FI技术。
2.1 WI-FI技术
WI-FI (Wireless Fidelity) , 是一种无线局域网数据传输的技术与规格, 也就是IEEE定义的无线通信标准IEEE802.11。无线局域网是有线局域网的扩展和替换, 是在有线局域网的基础上通过无线HUB、无线访问节点 (AP) 、无线网桥、无线网卡等设备使无线通信得以实现。WI-FI属于短距离无线技术, 覆盖范围可达几百米, 使用的是2.4GHz附近的频段。其整个系统以WI-FI无线网络和TCP/IP协议为基本架构, 以矿井工业以太环网为整个系统的主干传输平台, 形成有线主干与无线终端相结合的方式, 覆盖矿井部分或全部巷道及地面相关区域, 最终实现煤矿宽带无线通讯。
2.2 Wi-Fi与相关技术比较
漏泄通信系统存在着抗灾变能力差、大量的串联中继设备导致可靠性差、系统不具备冗余功能等问题, 通信终端存在功能单一、信道容量小的缺陷。感应通信系统存在着体积大、重量重、信道容量小、通信距离短等问题。透地通信系统存在着设备体积大、重量重、信道容量小、地面设备功率大、地面天线布置困难、单向通信 (地面向井下) 等问题。PHS (小灵通) 通信系统与3G (大灵通) 通信系统存在着基站控制器和基站非本质安全型防爆、系统不具备冗余功能、抗灾变能力差、井下基站至地面最大通信距离不满足井下通信10公里的要求等问题, 通信终端存在功能单一、信道容量小的缺陷。考虑到矿井下的特殊性和经济性, 还是选用Wi-Fi更适合井下局域网的环境。
三、系统设计要求
煤矿井下是一个特殊的工作环境, 有潮湿、易燃、易爆和腐蚀性气体, 无线传输衰耗大 (例如, 在地面通信距离可达数几千米的对讲机, 在井下通信距离仅有百米) 等特点。对于煤矿矿井这一特殊环境, 徐庄煤矿井下无线通信系统不同于一般的地面无线通信系统, 它应有以下特殊的要求:
⑴无线通信的传输技术应适应煤矿井下的工作环境, 设备还应有防尘、防水、防潮、防腐、耐机械冲击等防护性能。
⑵无线通信设备应具有较强的抗干扰能力, 应采用安全性能好的本质安全型。
⑷无线通信系统的体积不能很大, 通信设备发射功率符合国标。
⑹无线通信设备的电源电压波动适应能力强, 备用电源应维持不小于2小时的正常工作。
⑺无线通信系统应有较强的抗故障能力。
⑻系统应具有较大的信道容量。能满足矿井生产调度的需要, 且可以与煤矿行政、调度通信系统联网, 形成一个统一的、资源共享的通信平台。
四、工作原理
徐庄煤矿所设计的矿井无线通信系统应由地面监控系统、井下分站和移动通信终端组成。地面监控系统负责整个系统的管理与控制, 通过地面监控系统可以对井下人员以及相应设备进行实时的监控。地面监控系统任务可由服务器并配有相应数据库管理软件完成。井下分站为整个系统的关键部分并负责多项功能。
系统工作原理:位于地面的管理主机通过交换机为进入到无线信号覆盖区域的每一台手持机分配一个IP地址, 并自动为其在管理软件中注册, 将数据存入数据库。注册后的手持机即可正常通话。呼叫时节点收到手持机发出的无线信号, 并将其调制打包后通过矿用网络交换机送到地面管理主机, 经软件处理后又经矿用网络交换机送到覆盖被呼叫手持机所在区域的节点, 呼叫目标手持机接收信号后经过振铃提示并调制成语音给与持机者, 完成一次通话。
4.1系统组成
系统由IP交换机、地面环网接入器、矿用环网接入器、矿用本安型光网络终端、矿用本安型基站、矿用本安型WIFI手机及其它配套设备所组成。系统按实际使用要求, 通过增加或减少基站的数量, 改变无线覆盖范围, 可实现全矿井、大区域或小区域的无线通信。
4.2 IP调度交换机
调度交换机是系统的软交换中心, 采用IP语音通信, 同时支持语音通信, 实现在一个网络上传递语音和数据。集成全套的语音、数据、互联网服务和多种整合通信功能, 满足矿方的调度通信要求, 并能适应未来的发展。
4.3环网接入器
为系统网络提供中继和接口, 为矿井信息化提供百兆以太网, 实现数据、信息交换。矿用环网接入器与基站连接的接口, 传输光信号或电信号。
4.4矿用本安基站
无线网络的接入点, 是无线收发单元, 它是从用户到网络以及从网络到用户之间的通信传输站。通过双绞线与矿用DSL接口连接或通过光缆与矿用环网接入器连接, 或直接与矿用环网接入器连接。根据不同的使用环境, 可配置不同增益值及方向的天线。井下分站作为矿井移动通信系统的关键部分, 应具有多项重要功能。因为考虑到分站的体积重量以及分站内部包括多个功能模块, 不适宜做成本质安全型, 因此将分站做成隔爆兼本质安全型。
4.5矿用本安WIFI手机
本安手机是无线通信系统的终端设备。完成话音或数据信号与无线信号之间的转换, 与基站间构成无线链路, 实现无线移动通信。每一台进入无线AP覆盖范围的合法WIFI手机, 均通过地面管理服务器分配一个IP地址, 并进行注册。呼叫时, 基站将收到的手机无线信号处理后通过以太网交换机送到地面管理服务器, 地面管理服务器根据手机的相关信息, 处理后再通过以太网交换机送到目标手机所在区域的基站, 呼叫手机完成相互通话。
五、设计方案
徐庄煤矿无线通信系统设计方案:将徐庄矿井上的办公区域采用地面无线基站进行覆盖, 在井上系统信号覆盖区域, 手提电脑和智能手机终端均可自由上网;井下采用防爆无线基站对主要巷道进行覆盖, 井上井下基站通过线缆接入基站控制器, 井下防爆基站控制器通过光缆与交换设备连接。设备拥有丰富的中继接口, 可以通过语音交换机与矿上现有的行政交换机以及局端交换设备对接, 系统采用模块化设计, 方便后期的扩容。同时该系统遵循信息产业部相关标准, 综合应用智能天线、帧同步等高新技术, 通过标准化、开放的接口实现与其他交换设备的对接等, 实现终端井上井下以及公网的通话功能;通过调度台的接入, 可以实现井上井下无线终端的一体化调度, 极大地提高煤矿安全生产管理效率。
5.1系统架构
系统分为井下设备和井上设备。井上设备包括:地面通信与监测中心控制计算机、IP调度台、数据服务器和交换机;井下设备由井下基站、连接光缆、井下手机、识别卡等组成。
无线通信终端通过无线网络与矿用多媒体通信接入网关互联;IP调度台通过以太网与网关连接;多媒体通信接入网关之间通过光纤互连组成千兆多环型、环型、链型或星型的任意组合网络;识别卡通过无线网络与矿用多媒体通信接入网关互联。数据服务器模块包括网络管理服务器、人员定位服务器和视频管理平台服务器, 所有管理平台服务器均通过以太网与矿用多媒体通信接入网关连接。
IP调度台内置有SIP服务器, 用以实现Vo IP通话;IP调度台通过话音中继接口与公网市话系统或企业内部电话系统互联, 从而实现井下人员间、井下到矿区、井下到公网的全面通话。井上、下设备均安装有不间断后备电源系统, 在停电环境中系统可以正常工作。系统满足井下爆炸性气体环境用电气设备安全技术要求。
5.2无线网络组网设计
徐庄煤矿井下巷道长、复杂, 井下基站量偏多, 考虑无线网络的可管理性和将来的扩充性, 采用中央控制的无线交换机和基站接入架构。所有的管理都由位于网络核心的无线交换机来实现, 大大简化了对无线接入点设备的配置管理和维护工作, 因此突破了传统无线网络的管理和维护瓶颈, 实现了“零配置”管理和维护。
无线网络组网设计如下图1所示:
5.3基站的无线信号覆盖设计
5.3.1地面设备配置
地面设备主要由IP/PBX网络语音交换机、无线交换机、数据处理交换机、大基站、全向大功率天线组成;IP/PBX网络语音交换机、无线交换机、大基站、维护台与数据处理交换机通过网线连接;无线交换机通过光缆与井下基站控制器连接。地面用大功率基站进行覆盖, 小基站进行室内补盲。
(1) 大基站:在空旷无格挡的情况下, 覆盖半径约600米, 同时信号可以覆盖所处楼层下面一层。
(2) 小基站:覆盖半径约100米, 大基站覆盖不到的楼层, 可以视情况架设小基站, 以实现信号的全覆盖。
5.3.2井下设备配置
井下设备主要由基站控制器、基站、电源、手机、标识卡组成;井下的骨干网由基站控制器之间通过光缆铺设而成;基站与基站控制器之间可以通过矿用通信电缆或光缆连接, 手机、标识卡与基站通过空中接口进行通信, 每一个基站和基站控制器都有一个单独的电源供电。也可根据现场使控制器与某一台基站共用一台电源。
一个基站配有两根高频的全向或定向天线和4根低频的全向或定向天线;每一根天线都有主、副天线之分, 主天线既可以发射信号也可以接收信号, 而副天线只可以接收信号。用有线连接时, 基站与基站之间相距400米左右;用无线网桥技术时, 基站与基站之间相距300米左右。基站的信号在经过弯道以后, 衰减非常厉害, 在做全覆盖时, 巷道的每一个拐角都要装基站。
六、应用情况
根据要求, 我矿对主副井、-400井底车场、-750井底车场、-400轨道大巷、II1猴车道、-400皮带大巷、-750轨道大巷、东九猴车道、II3猴车道、西翼猴车道、II3轨道下山、-750皮带大巷、皮带暗斜井、采煤工作面及地面工业广场等主要人员通过区域地点安装了无线通信基站。目前系统已安装无线基站约130台, 并为班组长及管理人员配备了210台本安型手机。系统自2014年5月初在徐庄矿安装调试并运行以来, 已经达到了预期的目的, 整体运行情况稳定。
七、结束语
煤矿提高安全生产管理效率, 不仅要有正确的决策机制和决策机构, 还要有高效实时的通信手段, 特别是日常安全生产管理、紧急事故时的指令能实时传达到矿井的各个工作地点, 确保安全生产, 提高生产效率。建立井下无线通信系统, 实现对井下工作人员进行实时通信与监测, 便于指挥调度中心和其他管理人员与井上下人员之间实时便捷通信, 实时调度生产和动态跟踪, 对于提高安全生产管理水平、促进煤矿安全预警体系的建立和完善, 使煤矿安全监察由被动式变为预防式具有重要的意义。
Wi-Fi安全研究 篇7
近年来,随着移动网络技术的高速发展与智能手机的不断更新换代,手机上网为人们所熟知与掌握[1]。2014年7月21日,中国互联网络信息中心(CNNIC)所发布《第34次中国互联网络发展状况统计报告》显示,截至2014年6月我国网民达到了6.32亿,手机网民数量高达5.27亿,使用率首次超过了PC。可见伴随着Wi-Fi与智能手机的发展,我们已进入了“时时在线上”的新时代,而对于新鲜事物有着浓厚兴趣的大学生更成为通过智能手机上网的中坚力量。Wi-Fi的覆盖范围越来越广,智能手机的功能越来越强,正深刻影响着当代大学生的生活与学习;于是在食堂、宿舍、教室、图书馆等场所,处处可见玩手机的“低头族”[2]。由此可见,在这个高速发展的信息时代,Wi-Fi与智能手机在给大学生的学习与生活带来便捷和娱乐的同时,也深刻地影响着大学生的学习与生活,更给大学的教学与管理工作提出了新的机遇与挑战[2~3]。鉴于此,本文进行了Wi-Fi与智能手机对大学生学习影响的调查问卷,了解当前大学生使用Wi-Fi与智能手机的情况,分析Wi-Fi与智能手机对其学习的影响程度,从而为引导大学生健康使用Wi-Fi与智能手机,发挥其“正能量”提出建设性的建议。
二、调查方法与过程
本次调查研究的目标是通过对不同院校、不同专业、不同年级的大学生使用Wi-Fi和智能手机上网的情况进行调查,从而剖析现今大学生的学习状态。本次调查将调查问卷发布到网上,共发放调查问卷210份,回收有效问卷200份。在本次抽样调查中,调查范围广,涉及到各层次的高等学校,985、211、一般院校、高职高专学生分别占到了6.0%、11.5%、75.0%和7.5%。为了了解不同专业学生的特点,本次调查涉及了文、史、财、经、理、工、农、医及其他类学生,其分别占到13.0%、2.0%、11.0%、18.5%、31.0%、2.0%、8.0%和14.5%。而针对不同的大学阶段,大学生所考虑的问题、关心的问题有所不同,因此本次调查所涉及的学生分布于大学各年级段,大一、大二、大三与大四学生分别占26.0%、42.0%、22.0%和10.0%。
三、调查结果与分析
(一)智能手机与Wi-Fi的使用情况。
对当前大学生使用Wi-Fi与智能手机的情况进行了调查。在所调查的200人中,有181人平时都在使用Wi-Fi无线网络,比例高达90.5%。而53.5%的学生每天使用Wi-Fi的时间超过3小时,Wi-Fi上网几乎成为大学生的日常。其中,选择了“3小时以上”,男生占58%,女生占42%;“1~3小时”男生有66%,女生有34%;“一个小时以内”和“基本不用”男生占45%,女生占55%,这表明男生对电子设备与网络的兴趣比女生更为浓厚,其动手能力更强[4]。
(二)智能手机使用软件用途情况。
对大学生使用手机软件情况及其功能进行了调查。在所调查的200人中,有171人选择了使用聊天工具,所占比例高达85.5%,说明学生使用聊天工具非常频繁,这重要的原因在于,当前的聊天工具种类繁多,例如QQ、微信、飞信、陌陌等,通过这些软件不仅可以和熟悉的朋友聊天,还可以通过“摇一摇”、“漂流瓶”等与远在“千里之外”的陌生人进行聊天,因此让学生越来越喜欢这样的聊天方式[5~6]。选择“游戏软件”的占到了50%,其中男生占80%,表明男生更热衷于游戏;而在选择“视频播放工具的”的人中,女生占65%,女生更热衷于美剧、韩剧以及综艺娱乐节目。需要注意的是,在所调查的人群中,使用学习软件的为46人,仅占到23%,虽然随着诸多学习软件的开发以及Wi-Fi的发展,大学生的学习不仅仅局限在教室,使得“移动学习”成为可能,但当前“移动学习”并未普及,大学生学习的主动性较差,不能充分利用“移动学习”资源丰富与学习方便的优点[7]。大学生使用Wi-Fi的原因多种多样,但是,用于学习或工作方面的仅仅只有27.5%和28.0%。
(三)学生上课玩智能手机的情况。
对大学生上课玩手机的情况进行了调查。在所调查的200人中,只有25人选择“上课不会玩手机”,比例仅为12.5%。而22.5%的人表示经常在课上玩手机。进一步详细调查中,“经常在上课时使用手机”的男生占到了82%,“偶尔使用”的占到了54%,选择“不会在上课时使用手机”的男生只占33%,表明男生的自控能力更差一些。选择“经常”、“偶尔”的大一、大二学生占到了71%,这与他们更早接触手机与网络有关。选择“基本都在玩”和“挺多”的分别占到了24%与25%,表明接近一半的大学生在课堂上不认真听讲,甚至影响了周围同学听讲。
(四)学生上课玩智能手机对学业的影响情况。
对大学生上课玩手机对其学业的影响情况进行了调查。62.0%的学生认为Wi-Fi有一点影响他们的学业;24.5%的大学生认为影响了他们学习,而选择这一选项的大三、大四学生超过了60%,表明大学生在大学初期还意识不到课堂学习的重要性,放松了对自己的要求。有改正想法的学生占到了65.5%,表明大多数学生认识到了上课玩手机对于学习的影响,想去改正,其中18.0%的学生已经成功改正,但47.5%的学生没有坚持下来,表明当前大学的自控能力有待提高,同时这也是一个教师与学生共同需要努力的过程。进一步详细分析之后发现,改正上课玩手机的习惯这一行为的人群中,大三、大四学生占到了80%,表明此时他们面临着考研与就业,更加懂得了学习的重要性。
四、Wi-Fi与智能时代下促进大学生学习的对策
(一)充分发掘与发挥Wi-Fi与智能手机的积极作用。
对于Wi-Fi与智能手机的益处而言,选择“联系方式多样化”的占到了62.5%,而选择“开阔视野”的占到了47.5%,表明智能机功能多样化且携带方便,QQ、微信使得大学生之间的交往更加便捷,有利于形成良好的宿舍、班级氛围;同时还可以扩大交际范围,更快地熟悉社会[2]。另一方面,当前智能手机成为报纸、广播、电视和网络的集大成者,而伴随着使用门槛低、网络接入便捷、移动互联的特性,大学生通过智能手机可以经常逛贴吧、论坛,刷微博、网页,下载各类学习娱乐软件,大大增加了对热点时事的知晓度,知识更新速度也变快,开阔了大学生视野。老师可以充分抓住这一特点,在相互信赖与平等的基础上,建立QQ群或微信群,交流在学习与生活中的所闻、所见、所思;并建立老师主导与学生个性相融的良好氛围,从而产生积极效应,释放正能量[5]。
(二)引导大学生形成良好的习惯,增强自我约束能力。
有33.0%的大学生对于自己的大学生活并没有良好的规划。在有规划的67.0%中,大三、大四学生占到了94%;根据不同院校划分,94%的重点院校大学生对自己的大学生活有规划,46%的其他院校大学生对自己的大学生活选择“只学习自己认为有用的科目”,在大学中“享受青春”和“感到迷茫的人”普通院校的占到了80%。这要求教师可以通过智能手机树立典型,强调榜样的力量,将学习融入学生生活的点滴当中,在发挥智能手机积极作用的同时,让学生爱上学习。
(三)培养学生课外兴趣,促进学生个性发展。
绝大多数学生都有广泛的兴趣爱好,喜欢电影、旅行、体育的分别占到了65.0%、45.0%和43.5%,通过开展丰富多彩的课外活动,可以增进人际交往,促进大学生形成健康的精神风貌;而有了良好的精神状态,就可以在很大程度上减少手机网络庸俗兴趣的形成,因此,高校可以加大投入,广泛开展各种形式的校园活动,把大学生的注意力从虚拟的手机网络中吸引出来[8]。例如广西师范大学所倡导与践行的“五早一晚两杜绝”,即“坚持早起、坚持早锻炼、坚持吃好早餐、坚持早读、坚持早到,每晚抽出2个小时,用于阅读、思考,参加有意义的讨论,杜绝在课堂玩手机,杜绝在教室、图书馆吃早餐或零食”,便是一种非常好的尝试。
(四)平等对话与交流,发挥师生正能量。