接入管理(精选12篇)
接入管理 篇1
网络接入管理是校园网络管理中重要内容, 网络接入管理的方案受到网络综合布线方案、网络设备功能等多方因素影响, 同时网络接入方案又将对网络运行管理和网络安全管理产生决定性的影响, 网络接入管理要能有效定位网络用户, 防止非法用户的接入, 保证接入的用户以正确的身份访问网络资源。本文内容以笔者在无锡工艺职业技术学院校园网的网络接入管理的实践为基础, 探讨如何通过加强校园网络接入管理对网络管理的精细化所起到的促进作用。
目前无锡工艺职业技术学院的校园网总体情况为采用星形以太网结构, 在现有的31幢建筑中布设了网络点一万一千多个, 其中用于教学及管理11幢、学生宿舍14幢, 整个综合布线系统以计算机楼为中心, 楼宇间采用光纤布线系统, 教学和办公区域采用六类UTP综合布线, 学生宿舍区采用超五类UTP布线系统, 网络设备为华为和H3C系列交换系统, 核心为Quidway S8512, 汇聚交换机有Quidway S8508、Quidway S5624、H3C7506、H3C S5500, 接入交换机主要有H3C E152、S3126C等, 所有接入交换机都具有较强的端口管理和控制功能。学生宿舍区的有线网络为每人配备独立网络接入端口;办公区域按面积测算布置适量的信息点;每个教室布置四个信息点, 其中两个为教室无线网络接入预留。整个校区全面布置了无线网络, 建筑内有中国电信和中国移动的无线网络覆盖, 室外公共区域由学院进行无线网络覆盖。所有的机房和电子阅览室均通过光纤接入校园网。
可供网络接入管理用的资源有:综合布线工程的资料即综合布线工程竣工图、房间端口和配线架对照表、设备间接入交换机信息表等;用户联网申请登记表 (含用户填写的用户信息、计算机MAC地址等) 。根据以上综合布线情况和网络设备情况, 为了加强网络管理, 在不同功能区实施了不同的网络接入管理方案。
1、学院办公区域的网络接入管理
办公区域的网络接入主要面向学院教职员工办公用电脑的网络接入, 人员、位置和接入计算机相对固定, 接入定位可从房间端口号——配线架表——交换机端口号进行定位, 管理的难点在于由于办公区域的信息点的数量是按房间面积测算后进行布置的, 可能在实际运行时不能满足实际需求而采用布置小型交换机扩充的办法, 甚至布置室内无线路由器以满足手提电脑移动办公需求。根据以上的情况, 我们采用接入交换机端口和接入计算机MAC地址、IP地址绑定的办法确定网络接入管理方案。具体工作有收集联网计算机MAC地址, 分配固定的IP地址, 接入交换机端口VLAN划分、MAC地址绑定、IP地址绑定, 网关交换机上对用户IP地址和MAC地址实施绑定。如果在室内布置无线路由器, 设置无线接入密钥, 绑定IP地址和用户的MAC地址。
2、学生宿舍区域的有线网络接入管理
学生宿舍的网络接入的特点是数量大, 分布广, 虽然要求填写入网申请登记表, 但所收集的信息可信度相对较差, 从网络安全上考虑要防止布置“网中网”, 尤其要防止布置无线路由器。根据学生宿舍的综合布线方案, 由于学生宿舍的布线为每人配置独享网络接入端口, 所以采用基于802.1X技术的网络接入认证的办法。由于学院接入交换机为H3C系列交换机, 因此配套布置H3C的CAMS系统进行基于认证网络接入管理方案。
IEEE 802.1x称为基于端口的访问控制协议 (Port based network access control protocol) 。IEEE 802.1x协议的体系结构包括三个重要的部分:客户端、认证系统 (设备端) 、认证服务器 (RADIUS) 。客户端系统是一个用户终端系统, 该终端系统通常要安装一个客户端软件, 用户通过启动这个客户端软件发起IEEE802.1x协议的认证过程;认证系统通常为支持IEEE 802.1x协议的网络设备, 可以允许通过EAPOL (Extensible Authentication Protocol over LAN) 协议帧, 保证客户端始终可以发出或接受认证。在认证通过的状态下端口打开, 用于传递网络资源和服务。如果用户未通过认证, 则受控端口处于未认证状态, 则用户无法访问认证系统提供的服务。认证服务器存储有关用户的信息, 网络接入设备信息等。整个认证过程如图1所示:
CAMS可进行对用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等进行绑定认证, 增强用户认证的安全性, 防止账号盗用和非法接入, 可以禁止用户设置和使用代理服务器;可以限制终端用户使用多网卡和拨号网络。通过接入认证访问日志, 可以明确知道具体的用户, 在交换机的具体的端口, 在具体的时间段, 以具体的IP地址和MAC地址接入了网络, 这对网络安全管理十分有效, 同时也便于对用户网络接入问题的排查和解决。表1为用户日志信息:
从表1可以看出, 采用CAMS认证接入管理方案可以从接入交换机端口进行严格的接入控制。但为了让学生上网帐户能在不同VLAN中漫游使用, 一般不采用对用户帐户和IP地址绑定的操作, 由于学生宿舍是每人配备独享网络端口, 因此采用将IP地址和交换机端口的绑定操作, 即为学生宿舍的网络端口配置固定的IP地址, 将IP地址标示在网络端口的面板上, 将网络面板上的IP地址和端口对应的交换机端口进行绑定操作。
3、机房、电子阅览室、多媒体教室用计算机网络接入管理
由于这些地方都是用于教学公共场所, 因此可以实施基于接入交换机端口的固定I P地址、接入计算机的M A C地址的绑定和VLAN划分操作, 同时布置机房管理信息系统, 由机房管理信息系统管理用户, 对计算机实现用户授权访问, 并保留访问日志。
4、无线网络接入管理
由于无锡工艺职业技术学院的无线网络组成的多样性和开放性, 为了加强网络安全管理, 必须排除非法用户从无线网络接入校园网, 因此, 在校园网和无线网络的边界处布置反向代理接入认证网关, 无线网络用户在接入无线网络后, 需要从网络管理部门获得用户名和密码, 通过反向代理接入认证, 认证成功后, 获取预分配的并同用户绑定的虚拟IP地址访问校园网。
通过以上的网络接入管理, 网络管理人员可以对网络管理中以下管理要素进行有效关联:用户、接入交换机端口、上网地点、IP地址、MAC地址、上网时间段、VLAN等。通过对这些管理要素的准确关联, 可使网络管理从网络核心、网络汇聚向网络用户接入端口延伸, 通过加强网络接入管理, 能够准确定位网络接入的地点, 使得网络管理中用户、IP地址和MAC地址三者之间的关系的唯一性, 使得网络接入问题的排查解决和网络安全管理更加有效和简明。
总之, 网络接入管理方案受限于网络综合布线方案和网络接入设备功能, 在条件允许下, 通过做一定的基础性工作, 能使网络接入管理方案更加完善, 使得网络管理的精细化得到提升, 使得网络安全管理更加有的放矢, 使网络能更好服务学校的教学、管理和学生的学习及日常生活
参考文献
[1]王竹林等.校园网组网与管理[M].清华大学出版社, 2001.
[2]张英.网络安全基础[N].中国电力出版社, 2004.5期
[3]彭伟.使用802.1x实现校园网认证[J].计算机应用, 2003, 23卷.
[3]顾炜江, 刘兴光.校园网安全接入管理探讨[J].数字技术与应用, 2011, 4期.
接入管理 篇2
根据我国频率规划的基本原则和各类无线接入技术的特点,中国关于无线接入技术的频率规划如下:
460.5MHz~462.0MHz中心站发射/450.5MHz~452.0MHz终端站发射频段:用于FDD方式农村无线接入系统,采用模拟FDMA技术,但并不是农村无线接入系统专用频段,在该频段和各省、自治区、直辖市无线电管理委员会办公室有权指配的464.100MHz~467.075MHz中心站发射/454.100MHz~457.075MHz终端站发射频段内,在互不干扰的前提下,农村无线接入系统亦可与常规调频对讲机共用相同频段,鉴于这类系统的频谱利用率不高,且可用频率资源很少,所以适用于地广人稀、话务量小的农村地区。
1900MHz~1920MHz频段:用于TDD方式的公众网或专用网无线接入系统。在该频段内可使用DECT技术和PHS技术,为避免相互干扰,规定1900MHz~1915MHz频段用于PHS技术,1905MHz~1920MHz频段用于DECT技术。对于其它类似的TDMA/CDMATDD方式的无线接入技术及微功率(短距离)数字无绳电话接入技术,按信息产业部无线电管理局相关文件要求与DECT及PHS实现频率共用。
1800MHz~1805MHz频段:用于TDD方式的公众网或专用网无线接入系统。在该频段内可使用具有我国自主知识产权的SCDMA技术,
1960MHz~1980MHz中心站发射/1880MHz~1900MHz终端站发射频段:在底前,该频段可用于FDD方式公众网无线接入系统,用于固定无线接入业务,可采用数字TDMA或CDMA技术。为满足我国第3代移动通信系统的核心频段的频率需求,该频段仅作为临时过渡规划,该频段内的无线接入系统设备只能使用至20底。为避免市话运营企业经受设备改频或停用的损失和阻碍移动通信的发展,现在严格控制在该频段内设置无线接入系统。若确需设置,须报信息产业部无线电管理局审批。
3500MHz~3530MHz中心站发射/3400MHz~3430MHz终端站发射频段:在底前,该频段可用于FDD方式公众网无线接入系统,用于固定无线接入业务,可采用数字TDMA或CDMA技术。具体频率、台站管理办法将在近期公布。
由于该频段与C频段卫星扩展频段3400MHz~3600MHz重叠,可能会产生相互干扰,因此先以频率切块分配的方式,为无线接入系统分配2×30MHz的使用频段,解决其业务发展的燃眉之急。在~20底间,信息产业部无线电管理局将组织卫星通信系统与地面无线接入系统联合试验小组,经过技术试验和电磁兼容分析,确定C频段卫星扩展频段通信系统与地面无线接入系统的频率共用的可能性和共用条件后,由国家无线电管理机构作出相应的规定,使无线接入系统继续使用2×30MHz频段,并根据无线接入系统技术发展和市场需求,研究和确定无线接入系统在3400MHz~3600MHz内,适当地扩展一定的频段,实现卫星通信系统和无线接入系统更有效地共用频率。如果在此期间,经过技术试验和电磁兼容分析,证明无线接入系统对C频段卫星扩展频段通信系统产生不可接受的有害干扰,无线接入系统将于年底前退出3400MHz~3600MHz频段,另行规划使用其它频段。在此以前,为适应市场的紧迫需求而组建的上述无线接入系统对C频段卫星通信系统扩展频段进行最大限度的保护。
主动防御接入安全 篇3
关键词:计算机
终端安全存在的问题管理策略
一、计算机终端安全管理存在的主要问题
为了加强信息安全管理,实施了一系列的网络改造和安全建设工程,通过部署防火墙设备,入侵检测系统,防病毒系统等,以及下发了防火墙,终端介入,主机,操作系统,数据库,网络,应用等方面的管理规定和技术规范,建立了以边界防护为主要模式的安全防护体系,信息网络安全状况有了很大的改善。但安全事件有时的发生,计算机终端安全问题是主要原因之一。计算机终端安全管理主要面临以下问题:
1、接入管理混乱。外来终端可随意接入园区网络,无需认证,IP,MAC地址随意更改盗用,极易造成非授权访问。
2、接入终端安全管控不力。无法即时发现补丁漏洞,未及时升级安装防病毒软件,病毒库未及时更新。无法根据终端的安全级别进行分类和控制。容易造成重要信息的散播和泄漏。
3、接入终端桌面管控不力。终端随意安装与工作无关的软件;终端维护只能是现场手工处理,维护工作效率低下。
4、接入终端身份有效性无法验证,难以追踪安全事件的责任主体。
5、对接人终端的网络资源使用情况缺乏管理手段,无法有效阻止个别终端因为网卡的硬件故障,或感染病毒或木马造成的网络带宽堵塞。
综上所述,我们可以将计算机终端安全的主要问题归纳为身份验证,接入授权,安全管控和资源分配5个方面。园区网络中计算机终端数量多使用人员层次不同,有些用户安全意识薄弱,终端容易造成信息的泄露。计算机终端是各类信息产生的起点和销毁的终点,各类操作的实施点,同时也是信息全过程安全的控制点。因此要解决计算机终端安全问题,首先要解决终端的准入和安全控制问题,保证安全,可信的计算机终端接入网络,消除终端的不安全因素或将其减少到最小,从而保护网络的安全。
二、搭建终端安全控制平台—终端准入控制系统
经过可行性研究分析,决定采用AAARADIUS和IEEE 802.1x的终端准入控制系统。
1、AAA是Authenti c ati 0n、Authorization、Accounting(認证、授权、计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。AAA是运行于NAS(Network Access Server,网络接入服务器)上的客户端程序,它提供了一个对认证、授权和计费这三种安全功能进行统一配置的框架。AAA一般采用客户机/服务器结构,客户端运行于NAS上,服务器上则集中管理用户信息。NAS对于用户来讲是服务器端,对于服务器来说是客户端。
当用户想要通过某网络与NAS建立连接,从而获得访问其它网络的权利或取得某些网络资源的权利时,NAS起到了验证用户或对应连接的作用。NAS负责把用户的认证、授权、计费信息透传给服务器(RADIUs服务器),RADIUS协议规定了NAS与服务器之间如何传递用户信息。
AAA基本组网结构中有两台服务器,用户可以根据实际组网需求来决定认证、授权、计费功能分别由使用哪种协议类型的服务器来承担。例如,可以选择RADIUs服务器实现为认证、授权,HWTACACS服务器来实现计费。这三种安全服务功能的具体作用如下:
认证:确认远端访问用户的身份,判断访问者是否为合法的网络用户;
授权:对不用用户赋予不同的权限,限制用户可以使用的服务。例如用户成功登录服务器后,管理员可以授权用户对服务器中的文件进行访问和打印操作;
计费:记录用户使用网络服务中的所有操作,包括使用的服务类型、起始时间、数据流量等,它不仅是一种计费手段,也对网络安全起到了监视作用。
AAA可以通过多种协议来实现,目前设备支持基于RADIUS协议或HWTACACS协议来实现AAA,在实际应用中,最常使用RADIUS协议。
2、RADIUS(Remote AuthenticationDial In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了基于UDP的RADIUS帧格式及其消息传输机制,并规定UDP端口1812、1813分别作为认证、计费端口。安全和认证机制。
3、IEEE802.1X802.1x协议是一种基于端口的网络接入控制协议(Port BasedNetwork Access Contr01)。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。802.1x交换机是负责放行/阻塞通信的策略执行器。网络连接拓扑图如下:
因为RADIUs服务器是全部网络准入系统的核心指挥部件,该服务器的可靠运行关系到全网的正常运行,因此应该采用双机备份的方式提高准入控制系统的可靠性。
三,终端的安全管理策略设计
在终端安全管理中,终端的安全管理策略的制定是一个重要的方面。根据接入的网络区域,访问的信息系统,使用的用户类型等方面的不同,计算机终端对安全的要求是有差异的,所采取的安全策略也不尽相同。安全策略设计的内容包括:
1、可控软件组:制定软件或进程的黑白名单。
2、防病毒策略:检查病毒库和扫描引擎版本是否及时更新。
3、WINDOWS补丁管理:要求与widows补丁服务器联动检查补丁。
4、流量控制策略:包括IP流量监控,广播报文监控等。保证大部分用户获得基本的网络资源。
5、终端外设检查:主要包括USB,光躯等外设接口接入的监控或禁用。
6、客户端ACL设计:包括隔离ACL和安全ACL。隔离ACL包括隔离区的服务器,主要是病毒和补丁服务器等。
7、其他安全策略:包括禁止终端用户启用多网卡,限制终端用户使用代理服务器,禁止终端用户修改MAC地址,使用MAC地址和帐号绑定功能等。
直接市场接入的风险管理探究 篇4
关键词:直接市场接入,交易速度,程序化交易,风险管理
一、直接市场接入及其意义
直接市场接入 (direct market access, 简称DMA) , 是指客户委托绕过其期货公司交易系统, 直接将订单报入交易所交易系统撮合交易。
DMA将会有效提高客户交易速度。随着国内投资者结构变化, 尤其机构投资者不断发展壮大, 算法交易或程序化交易日渐盛行, 直接市场接入有着迫切的需求。
目前, 我国期货市场发展迅猛, 客户结构也在逐渐优化。随着股指期货成功上市并平稳运行, 推出股票期权、商品期货期权的呼声也越来越高, 未来机构投资者在我所期货市场的参与程度会逐渐增强。对大型机构投资者或资深个人投资者而言, 由于衍生品工具和交易策略日益多样化, 人工进行交易策略调整和实时监盘全球化多个市场多个品种已经几乎不可能, 在这个大背景下, 程序化交易则变成了机构投资者和资金量大的散户投资者所不可或缺的重要工具。程序化交易一方面通过半自动或全自动的交易系统, 极大地提高了交易效率, 捕捉到稍纵即逝的投资机会;另一方面, 使投资者通过复杂的模型进行运算, 从而迅速做出套保或套利投资决策提供了可能。
二、全球主流交易所对DMA的风险管理
DMA意味着客户的交易指令直接传到交易所, 不通过期货公司的技术设备和风控系统, 因此, 确保DMA顺利实施的关键在于如何进行有效的风险管理。
(一) 芝加哥商业交易所 (CME) 对直接接入客户风险管理的举措
1、要求期货经纪公司 (FCM) 对DMA客户进行交易前风险控制, 这一要求作为允许客户直接接入的条件;
2、如果客户接入电子盘 (Globex) 进行交易, FCM可以获得实时信息, 提高了成交信息传送速度;
3、有结算权利的FCM可以看到所有的订单以及成交情况, 从而进行实时结算, 并且FCM能够灵活的取消客户的委托订单;
4、FCM有权利在任何时候以任何的理由切断客户的直接接入;
5、CME向FCM提供实时订单信息功能, 以确保FCM的风险管理系统可以得到实时的委托订单和成交信息;
6、通过限制订单报入的最大比率来对交易量进行控制;
7、CME集团具备强大的信用控制功能, 使结算公司对客户的信用控制更加灵活;
8、对于外汇交易市场 (FX Market Space) , CME还提供交易前持仓限额、以当前净持仓为基础的订单规模限制以及断开连接的取消等风险管理功能。
(二) 洲际交易所 (ICE) 对直接接入客户风险管理的举措
1、交易前限制, 此项限制要使用交易所软件通过以下三种方式进行限制:
(1) 对日内交易量进行限制; (2) 对日内净持仓进行限制; (3) 对单个订单规模进行浮动额度的限制;
2、ICE期货交易所目前使用的撮合交易系统可以向FCM风险管理系统提供近似实时的交易信息;
3、FCM能够通过网络实时地看到结算客户的交易信息 (不包括委托信息) ;
4、FCM可以随时切断客户的直接接入;
5、交易所规则要求会员提供有效的制度安排、系统和管理以确保其有完备的风险管理体系;
6、在ICE柜台市场交易也可以提供实时信息, 进行风险管理。
(三) 欧洲期货交易所 (Eurex) 结算机构对直接接入客户风险管理的举措
1、Eurex允许结算会员对非结算会员进行交易前限制。交易前限制控制了订单规模、一段时间内下单频率以及订单市场的规模和风险;
2、除了每一个交易者在每一个产品上的最大订单数量外, 结算会员还能够控制非结算会员在一个产品上的最大订单规模;
3、Eurex开发了停止键, 可以使结算会员能够自动取消委托订单, 同时限制更多订单、报价进入系统;
4、结算会员除了通过系统控制风险以外, 还可以在任何时间以任何理由通过市场监管部门要求断开非结算会员与交易系统的直接接入;
5、提供了在日交易内每隔15分钟发布一次全面的风险管理数据的服务功能。此项功能使结算会员由对市场总体保证金需求的监管递进到对非结算会员客户单个持仓账户的监管;
6、结算会员能够接收到所有交易的实时结算信息, 如果结算会员提出请求, 也能够得到实时的订单信息;
7、为了加强日内风险管理, Eurex结算机构计划更新目前的风险管理体系, 新的体系可以实时捕捉最新的持仓和价格数据。
(四) 伦敦国际金融期货与期权交易所 (LIFFE) 对直接接入客户风险管理的举措
1、LIFFE规则要求所有的会员都要实施有效的风险管理体系和控制, 包括该会员名下的所有交易的交易前后的风险控制;
2、只有LIFFE的会员可以直接接入系统。会员可以选择配置交易前风险控制系统来对客户的直接接入进行控制;
4、LIFFE的交易平台 (LIFFE CONNECT) 通过其动态价格控制向所有使用者提供了市场最优订单保护。动态价格控制是指只有价格落在以最新成交价或定价模型所定价格为基础确定的价格区间时才生效;
5、LIFFE提升了成交信息的传送速度, 使得会员可以将近似实时的成交数据与风险管理系统结合起来进行风险管理;
6、开发了可以使LIFFE会员实时观测其直接接入客户的交易行为的功能, 但不包括委托订单信息;
7、LIFFE可以实现限制订单进入 (Lock-out) 的功能, 进一步完善了其风险管理;
8、会员可以终止客户的直接接入。
(五) 期货经纪公司 (FCM) 对直接接入客户的风险管理举措
1、对客户交易前风险进行控制, 为达到此目的, FCM可以要求客户提供网络链接到交易前风险控制系统;
2、信用审批。FCM会对客户信用进行评估, 对其认为可以充分相信的客户会给与直接接入的权利;
3、使用交易所提供的订单管理工具进行订单管理, 如果FCM察觉到任何异常的交易行为, 他们能够切断客户的直接接入;
4、使用交易所提供的交易前风险管理工具。比如ICE, 他们使FCM可以通过交易所提供的软件对客户交易前风险进行限制。典型的限制包括对持仓和订单规模的限制;
5、根据交易信息对客户交易后的风险进行监控。FCM从交易所获得交易信息, 利用风险管理工具对这些信息进行管理和分析, 计算出实时风险测量数据, 比如SPAN保证金, 并且将这些客户的风险敞口与事先确定的风险极限值进行对比。如果客户风险敞口超过了风险极限值, 那么FCM会受到警示, 并且对客户的持仓进行研究并采取相应的风险控制措施, 这些措施包括联系客户并告知其减少持仓, 或者联系交易所并切断客户的直接接入;
6、最后, FCM还会根据客户愿意与其共享交易信息的程度来对客户进行评判:客户交易信息越透明, 越可能获得直接接入的批准。
三、DMA风险管理的核心措施
通过研究CME、ICE、EUREX以及LIFFE等国际主要期货交易所对DMA的风险管理举措发现, 尽管风险管理措施的细节存在差异, 但大都包括以下几个方面的核心内容:
1、DMA客户要接受期货公司对其交易前的风险控制, 这也是允许客户直接市场接入的条件;
2、提高成交信息传送速度, 使期货公司可以得到几乎实时的市场信息, 从而进行风险管理和控制;
3、使期货公司可以看到DMA客户的所有的订单和成交信息, 进行实时结算, 并可以通过修改、取消客户订单等方式来进行风险管理;
4、交易所赋予期货公司在任何时候以任何理由切断DMA与交易所的直接接入接口的权利, 从而进行风险控制;
5、对DMA客户进行持仓限额、交易量以及订单规模的限制。
综合来看, 尽管DMA绕过期货公司风控系统, 但交易所通过相应的风险管理功能的开发, 会使期货公司再次介入到DMA的风险管理中去。
四、我国期货交易所实施直接市场接入的可行性分析
从政策层面来看, 目前尚不具备实施DMA的宏观环境。2009年, 证监会专门下发文件, 为加强风险管理, 明确要求所有客户的委托申报必须经过期货公司的风险控制系统, 才可以进入交易所。
从市场需求来看, 在目前中国期货市场机构投资者不断发展壮大、算法交易或程序化交易日渐盛行的发展态势下, DMA将是国内期货市场发展的必然趋势。不但大型机构投资者及资深个人投资者需要获得更多的速度和效率优势, 期货公司也需要增加这种差别化的经营方式为其优质客户提供更高端的服务。
从业务需求角度来看, 由于国际期货市场直接市场接入的风险管理制度已经较为完善, 业务制度的确定难度不大。各期货交易所的交易部或监察部已经或正在结合发达国家期货市场对DMA客户的风险管理举措以及国内相关市场的经验, 从实时席位资金管理、客户交易持仓信息绑定、客户交易权限管理、客户交易行为监管指标实时监控等方面深入进行了业务制度的研究和系统的开发。从技术实现角度来看, 在目前国内各期货交易所的业务管理系统的业务体系下, 对直接接入席位绑定交易编码的措施会一定程度影响交易系统性能。
五、未来DMA风险管理的建议
随着投资渠道的不断扩宽, 投资品种的不断增加, 投资主体的争相准入, 交易速度变成了最直接的竞争手段, 而DMA方式对于追求交易速度和抓住转瞬机会的客户来说是至关重要的。作为目前市场上热炒的程序化交易, 只要其是建立在完善的决策与风险控制制度基础之上, 就可以极大地避免操作受到情绪化的影响, 成为实现稳定盈利的必要手段。从这个层面上讲, DMA风险管理功能的开发具有非常重要的现实意义, 这是重中之重的关键。随着美欧大型投机机构向新兴市场的不断渗透, 以及国外先进交易技术不断进入并推动国内金融机构的交易技术快速发展, 追求速度和把握成交机会的程序化交易和各种算法、策略等在市场中所占的比例将越来越高, 而如何提高客户委托速度、提高系统处理速度、降低系统响应延时就成为新兴市场交易所未来的主要技术发展趋势。虽然目前国内政策对DMA还有这样或那样的严格限制, 但制度和系统设计应先行, 国内各期货交易所应做好充分准备以应对期货市场未来的发展趋势。
参考文献
[1]张志勇, 王海挺.直接市场接入的发展及其风险管理研究[J].新金融, 2012, (02) .
[2]闫海峰, 董琦.股指期货的扩展“15分钟”交易影响分析[J].数理统计与管理, 2012, (6) .
[3]肖俊喜, 郭晓利.中美农产品期货市场流动性比较研究[J].证券市场导报, 2012, (9) .
[4]周欣.国际期货市场“直接接入市场” (DMA) 风险管理举措比较及启示[J].管理现代化, 2009, (02) .
[5]薛新国.我国政府直接管理期货市场的制度安排及审视[J].商业时代, 2008, (23) .
[6]李光.加快河南期货市场发展的对策探讨[J].中国证券期货, 2011, (04) .
[7]吴悫华.发挥资本市场功能推动期货业新发展[J].中国证券期货, 2010, (01) .
第二章 因特网的接入与管理1 篇5
课时: 1课时
主备人:王振霞
审核人:刘俊文
一、学习目标
了解因特网的几种接入方式;常见的因特网服务组织;学会配置因特网的接入;能利用网络服务于自己的学习和生活,有效的使用网络技术解决实际问题。学习重点:因特网常见接人方式。
学习难点:配置因特网的接入。
二、学习过程
(一)课文导读
因特网(Internet)是最大的国际互联网。接人因特网需向因特网服务提供商(如:中国电信、网通、联通等)提出申请,它们会通过网络连线将所申请的设备连入因特网。
本节介绍:常见的因特网接人方式有哪些?接入因特网后:应如何配置硬件和软 件?因特网上的服务组织主要有哪些?
(二)活动指导 实践:将家中计算机组网接入因特网
1.任务:家中已有一台计算机通过ADSL宽带接入方式接入因特网,请选购合适设备,组建局域网,将家中多台计算机接入因特网。2.准备:购买设备,制作网线。
3.方案:家中多台计算机组网接人因特网,可通过组建家庭局域网进行,即多台计算机通过网线接入交换机(或路由器),交换机(或路由器)再通过网线接入ADSL MODEM。4.实施步骤
(l)选购路由器(或交换机),其接口数应根据家用计算机数量确定。
(2)购买RJ45水晶头和5类线,用压线钳制作连接网线.每条网线都用同样排线方式压制水晶头。
(3)将网线一端连接ADSL MODEM的输出接口,另一端连接路由器输入接口。
(4)将各台计算机通过制作好的网线连接到路由器,每条网线的一端连接路由器的输出接口,另一端连接计算机的网卡接口。
(5)配置因特网的接人(参见课本)。
(三)课堂练习
1.下列属于无线接入因特网的技术是()。
A.ADSL
B.DDN
C.ISDN
D.GPRS
2.如果我们要申请ADSL宽带上网服务,一般可以找电信、联通、网通等,这些部门属于()。
A.ASP
B.ICP
C.ISP
D.IR
3.接人因特网通常采用两种方法:一种方法是通过电话线路直接与ISP连接,另一种方法是连接到已经接人因特网的()。
A.局域网
B.地区主干网
c.城域网
D.广域网
4.家庭中常用的因特网接人方式是()。
A.光纤接入
B.GPRS接入
c.ADSL接入
D.DDN专线接入
5.访问中国互联网络信息中心(CNNIC)网站,了解中心开展工作的情况,搜索一份中国互联网络信息中心发布的本中国互联网发展大事记或调查报告,并阅读。
三、课外练习1.如何利用带AP的无线路由器组建无线网,将家庭多台笔记本电脑和台式电脑无线或有线接人因特网?
降低高校网络接入成本 篇6
从高校角度来看,希望教育网的工作能有所改进:
1.大幅度降低资费标准。教育作为公益事业,在网络资费上获得优惠是国际通行的做法。因为域名服务的原因,国内高校必须接入教育网,但是目前教育网的资费标准在国内很多地区已经明显高于其他网络运营商,在一些网络商业竞争比较激烈的地区,甚至已经数倍于其他网络运营商的资费标准。
这使得我國高校承担的互联网通信费用比国外以及港台地区高校高出许多,也使得高校很难在提高信息化水平、为学生提供更好的信息化服务等方面有更大的作为。建议教育主管部门加大对教育网的投入,进一步提高其公益水平,大幅度降低网络接入的资费标准。
2.教育网与几大商业网络之间的互联互通是一个多年来没有得到解决的问题,这个问题所导致的结果是:为了保证访问教育网之外资源的速度以及从教育网之外访问教育网资源的速度,各高校不得不重复申请多个运营商的链路并在每条链路上重复投入,从而大大增加了高校的信息化成本。建议教育主管部门和工业与信息化部等相关部门能够关注这一问题,从技术和机制上予以彻底解决。
3.建议将edu.cn的域名交给CNNIC或中立的第三方进行管理运营,接受edu.cn域名对来自各个运营商的IP地址解析,从而给各个高校以网络接入的选择权,促使高校网络资费的下降。
一体化缴费接入管理平台的应用 篇7
在设计开发一体化缴费接入管理平台系统时, 对于各类系统业务集成采用了先进的SOA面向服务的体系架构, 对于使用不同技术方式的自助缴费终端和渠道商系统业务接入则采用了规约适配器进行自动识别接入。
1 采用SOA面向服务的体系架构, 构建一体化缴费平台接入管理系统
面向服务的架构 (SOA-Service Oriented Architecture) 是以服务为导向的架构, 它是由一系列不同粒度的服务构成。这些服务在使用上相对独立、自包含、可重用, 服务接口和契约采用中立、基于标准的方式进行定义, 它独立于实现服务的硬件平台、操作系统和编程语言, 这使得构建在不同系统中的服务可以以一种统一的和通用的方式进行交互、相互理解。因此, SOA为一体化缴费接入管理平台提供了跨平台的技术层面优势和支持灵活、可扩展的业务层面优势。
SOA为一体化缴费接入管理平台的实现提供了服务功能架构和服务模型架构。其中服务功能架构为实现缴费管理业务提供核心支撑功能, 而所实现服务功能的粒度以及这些服务之间的关系是通过分层的服务模型划分。
2 采用标准通讯规约, 实现外部终端或渠道商系统与营销系统统一接入
基于SOA的架构体系, 将业务功能和技术接口方式拆分开来, 因此可采用不同的连接技术方式来进行同一业务操作。在一体化缴费接入管理平台实际业务应用中, 金融机构代扣出盘回盘文件、代收对账文件与缴费平台服务器之间的交互传输使用FTP方式;各类缴费渠道接入缴费平台使用Socket、Tuxedo交互方式;缴费平台和营销业务应用系统集成使用SOAP方式;激费平台系统消息传输使用JMS/JMS XA方式;缴费平台与邮件系统的邮件传输使用SMTP方式。
一体化缴费接入管理平台通过接入管理服务使用规约适配器, 映射转换不同接入系统的通讯规约报文数据为统一标准的通讯规约报文数据, 实现对外部终端或渠道商系统与营销系统统一接入。
3 通过界面集成、流程集成、应用集成、数据集成实现与营销业务应用的系统集成
界面集成是指一体化缴费接入管理平台与与营销业务应用组织权限维护、统一登录、待办事宜等界面集成。一体化缴费接入管理平台主要通过远程Portlet (WSRP) 、HTTP (页面) 方式、单点登录方式实现与营销业务应用的组织权限维护、统一登录及身份认证的相关业务。
流程集成是指一体化缴费接入管理平台与营销业务应用系统之间业务流程及流程权限的无缝衔接。通过将一体化缴费接入管理平台的组织权限和工作流程与营销业务应用系统进行融合设计, 实现与营销业务应用系统业务流程及组织权限的一体化。对于业务流程发起者, 营销业务应用系统相关业务的工作流程统一通过Socket通信方式, 调用一体化缴费接入管理平台开放的业务接口, 实现启动跨营销业务应用系统的业务流程;对于自动化节点, 流程引擎通过调用注册在一体化缴费接入管理平台上的共享服务;对于人机交互节点, 营销业务应用通过流程引擎开放的调用接口, 获得工作项列表;如果业务流程节点对应到营销业务应用内部是一个子流程, 则通过异步的机制与营销业务应用内部工作流程进行交互。一体化缴费接入管理平台流程集成如图1所示。
应用集成是指一体化缴费接入管理平台通过标准接口与营销业务应用相关业务, 实现应用紧密结合或一体化应用, 实现了渠道商系统调试、缴费设备调试、自助缴费终端查询、缴费、预约、订制等业务应用的集成。一体化缴费接入管理平台应用集成如图2所示。
数据集成是指与营销业务应用相关业务数据之间的集成。一体化缴费管理平台与营销业务应用之间的数据集成是核心部分。一体化缴费管理平台与营销业务应用共用一套组织权限和工作流, 根据其数据量少、更新少的特点, 采用数据同步方式实现数据集成。对于相关业务档案数据由于数据量大、查询性能要求较高, 因此采用物化视图的方式实现数据集成。
4 采用规约适配器, 实现外部终端及渠道商系统接入通讯规约解析组装
一体化缴费接入管理平台通过规约适配器技术实现对外部终端及渠道商系统接入的多种接口通讯规约报文数据进行解析及组装, 如电力位图域 (64/128位) 、定长、分隔符、XML。
接入管理服务接收到自助缴费终端或渠道商系统发送的缴费交易报文数据, 通过规约适配器中的CBM (Communication Basic Module) 规约解析模块将报文数据解密并解析后, 通过规约适配器主控模块中的服务调度发送给BBM (Bussiness Basic Module) 业务逻辑处理模块进行业务处理, 最后根据服务路由配置按营销相关业务规则发送到营销业务应用系统。
在CBM规约解析模块中对于符合国网标准通讯规约的自助缴费终端或渠道商系统的通讯规约接入, 可根据缴费平台标准规约交易元素属性变量配置文件, 对接收到请求交易报文数据进行直接解析, 对返回给自助终端或渠道商系统的响应交易报文数据直接进行组装。交易元素属性变量配置文件及交易元素属性映射配置文件采用了XML扩展标记语言生成。
通过规约交易元素属性配置及属性映射配置方式, 很好地解决了采用不同通讯规约的自助缴费终端及渠道商系统接入一体化缴费接入管理平台, 提高了缴费平台接入的灵活性和可靠性。
5 结束语
一体化缴费接入管理平台作为《国家电网公司“十二五”科技发展规划》要求的多渠道智能缴费技术、多渠道自助服务技术等技术研究成果的具体应用, 在设计开发中通过采用先进的SOA面向服务的体系架构构建, 基于SOA架构体系采用标准通讯规约实现外部终端或渠道商系统与营销系统统一接入, 采用规约适配器实现外部终端及渠道商系统接入通讯规约解析组装, 灵活、可靠地实现了外部自助缴费终端或渠道商系统与营销业务应用系统缴费业务的无缝集成。
接入管理 篇8
随着企业信息化建设的不断深入, 在业务应用的集成过程中通常会遇到一些来自技术层面或者管理层面带来的问题。管理层面上, 随着公司信息系统建设项目增加, 多用户多账号, 权限规则多样化、公共账号。权限管理散落在各个系统中, 业务功能会存在重复建设, 系统之间对共性的管理需求仍然存在壁垒, 用户面临多系统的使用也降低了用户的使用体验。技术层面上, 不同的开发平台中权限模型各不相同, 导致不同系统中的组织机构数据、权限管理模式的差异性。映射可能是现在绝大多数的处理方式, 但这样一来往往会造成很大数据清理工作量和较差的后期维护性, 其中最为普遍的是用户组织管理问题或因其牵涉出来其他业务数据集成问题。
一、基本功能分析
身份权限管理是信息系统的基础功能, 根据系统复杂度不同可能设计到十余种场景。其中, 身份管理, 功能权限分配、功能权限定义、权限资源维护是权限管理的核心功能。其他主体功能根据实际应用场景不同可能会增加。例如, 拥有大量用户的系统会增加业务组织的管理以方便对账号进行检索, 拥有大量管理员操作的系统会考虑加入身份分级管理、权限分级管理的功能, 当系统功能不断累加产生多个子系统时会考虑将业务组织或者角色共用等, 当系统中有不相容岗位时要考虑加入角色互斥等。
二、功能实现分析
业界在进行权限功能大致分为了三个大的阶段, 自主访问控制 (DAC) 和强制访问控制 (MAC) 、基于角色访问控制 (RBAC) 阶段和基于SOA的RBAC权限控制阶段, 在每个阶段里面又有一些衍生模型出现。从理论上讲, 我们认为华北电网公司在2010年提出应用了R3权限功能实现的方法论基本可以较为浅显易懂的表达权限管理的功能实现关系, 即角色 (Role) 、规则 (Rule) 、请求 (Request) 。角色实现了基于角色的管理 (RBAC) 的功能权限控制。规则建立了对用户角色分配的规则的数据权限控制, 某人应该拥有什么样的规则。请求是想通过工作流来规范企业对用户权限的分配。并给出了计算给定用户拥有的目标系统访问权限P:P=User-Role x Role-Definition+Rules-Function (User-Attributes) +Request-Definition
通过将系统权限赋予角色, 灵活地支持IT系统权限调整, 并对企业的变化有很大的伸缩性。通过将角色赋予用户, 代替繁琐的逐个用户操作, 减小授权管理的复杂性。用户能够根据工作需要申请承担相应的业务角色, 而不必了解后端IT系统的权限定义。根据用户的身份属性 (部门、职务、职位等) 进行匹配, 动态计算角色成员资格。角色加规则可预测自动化权限分配, 多余的系统权限自动撤销, 避免权限过度堆积。将请求作为对规则和角色的有益补充集中统一管理。
但不论采用哪种功能实现模型, 都是要解决分散的流程和不一致的管理界面带来的权限服务于安全管理问题。与未来能够将申请审批流程在系统内固化, 与实现自动化多种系统设计思路和授权模型不同, 为降低实施风险, 统一权限平台应能够支持多种授权模式, 并能够支持集成业务系统向基于角色授权的模式演进。
三、集成粒度与需求分析
把权限的控制粒度分为登录级、功能级和数据级三个等级。
登录级集成粒度。主要为哪些页面需要登录控制、登录验证逻辑、登录后页面转向哪里, 以及权限菜单等问题。严格意义来说, 登录控制并不属于权限管理内容, 它属于用户身份认证内容。但是权限基本都与用户相关, 首先涉及到用户名密码验证。从开发角度需求主要考虑几方面, 哪些页面需要登录后才能查看, 而且哪些页面还需要进一步验证角色权限。登录页面的位置, 登录用户名、密码验证, 登录后转向的页面。
功能即集成粒度。RBAC已经广泛运用于各个系统, 基础RBAC0关系并不复杂。通过给用户赋予角色、角色拥有权限的模式, 达到控制用户具有权限的目的。同时, 还复用了角色, 这样可以让多个相同职务 (或职能) 的人拥有同样的角色。功能级权限也有大小之分, 大的可以是一个业务模块, 小的也可以是一个按钮。功能级权限一般由菜单、url、按钮这些元素组成。列举几个功能访问权限典型场景进行举例: (1) 给张三赋予“人资管理员”角色, “人资管理员”具有“员工查询”、“员工新增”、“员工信息修改”和“员工删除”权限, 此时张三能够进入人资系统并可以进行这些操作。 (2) 去掉李四的“人资管理员”角色, 此时李四就不能够进行系统进行这些操作了。
数据级集成粒度。主要指访问数据的可见范围, 一般包括当前操作人可见、部门可见、部门及子部门可见等。数据级权限目前常用做法就是在业务模块的表中增加操作人字段, 然后通过AOP或者是在基类的查询、查看、更新、删除中, 把字段值与可见范围进行特殊处理。列举几个数据权限控制的典型场景进行举例: (1) 因为张三是北京分公司的“人资管理员”, 所以他只能够管理北京分公司员工其下属子公司的员工。 (2) 普通审查员审查财务数据的权限, 在教育业审核最高限额是50万元, 在生产制造业最高限额是1000万元, 高级审查员不受该限额限制。
数据级权限管理需求主要包括:支持不同用户查询到数据是不同的, 支持数据库行级、列级查询, 支持分页查询包括分页查出数据并能告知总数据条数是多少两方面;支持自定义条件 (比如:张三在自己的查询权限范围内, 查询50w以上的订单) 。
四、集成方式与策略
信息系统的权限集成方式主要有四种。第一种方式是做业务应用级的权限管理、统一权限管理业务应用可以由哪些单位的用户从门户进行访问、改造存在较大难度的业务应用。对用户来讲能够实现单点登录的效果, 例如电子邮件系统。第二种是做角色级的权限管理、统一权限管理角色与用户的关系, 业务应用管理角色与权限对象的关系、只能针对部分进行改造的业务应用。例如SAP系统, 他的权限管理员主要是做用户与通用角色与本地角色的关系维护, 具体TCode与角色的关系多为BASIS顾问完成。第三种是功能级的权限管理, 统一权限管理所有权限信息, 适用于拥有较强改造能力的业务系统。第四种是做到数据级权限的权限管理, 最后一种权限管理可能更多的是根据不同的权限控制业务场景划分到二次开发人员通过权限中间件定制策略实现, 一般不由管理员定义。
五、总结
本文首先阐述了信息系统统一权限管理的概念, 并对信息系统的权限管理的基本功能进行了分析, 系统提出了业务系统与统一权限平台的集成粒度划分, 探讨了统一权限平台在推广实施过程中应对不同研发实施厂商的不同业务系统可以采取的集成方式和策略。
参考文献
接入管理 篇9
随着经济的快速发展, 企业规模的不断扩大, 计算机数量在企业呈现出逐步增长的态势, 这些计算机往往通过互联网和信息系统紧密联系在一起, 这就给计算机的安全以及管理带来严峻挑战。为了对计算机接入网络进行管理, 提高管理和申请的效率, 同时对企业软硬件的接入的安全审查及合理分配互联网接入资源就成为计算机网络信息管理部门重要的日常工作。对于某些企业超过千台的计算机组成的大型网络系统就需要通过一个统一的网络接入管理信息系统进行统一管理, 这样才能够有效的提升管理效率, 并合理的分配相应的网络资源。本文研究的重点就是从信息系统的理论出发, 以某企业的网络接入管理系统实例为探讨和研究对象, 通过需求分析和系统结构设计以及详细设计的具体分析来研究网络接入管理信息系统的设计过程。
2 网络接入信息管理系统的需求分析
为了提升网络接入信息管理系统的高效管理, 这个系统具备以下主要功能, 第一能够通过系统建立计算机网络接入申请单, 实现对设备配置标准、软件配置标准以及相关的登记信息电子台账。
第二能够系统能够对申请接入网络的计算机设备形成相应的处理单据, 包括计算机设备以及软件配置和网络资源使用标准等一系列的数据, 并经过信息管理部门确认并交给相应的上级部门和使用部门进行审核, 在得到审批结果后以通知单形式反馈给申请部门, 并由信息技术部门统一实施。
第三通过系统能够对已经接入网络的计算机设备的有关软硬件配置, 网络资源事情状况进行查询功能, 并能够提供设备编码以及网络资源使用情况的模糊查询功能。这个功能的作用就是为了防止新申请接入的计算机设备可能会造成重复申请, 同时也能够为已经接入网络的计算机设备提供维护信息, 因而能够更好的支持对计算机网络设备的有效管理。
第四提供网络资源使用情况的维护功能, 能够对网络资源的使用根据相应的计算机设备编号进行添加、删除和更新等基本操作。
第五就是具备系统自身的维护功能和帮助功能, 能够对系统参数和数据进行备份, 并提供相应的权限管理以及密码重置和恢复等功能。
3 网络接入信息管理系统的实现
3.1 系统结构设计
本套网络接入信息管理系统采用了结构化的设计, 整个软件分成四个模块, 分别为软件模块构设计模块;物理数据库模块;计算机系统配置选择和设计模块;系统总体安全性以及可靠性设计模块。在这些模块设计中, 尤为软件结构设计模块最为重要, 这个模块的设计基本上包括了其他模块的设计思路。本套系统的软件结构设计可以采用HIPO分层图进行描述, 从HIPO分层图中可以对系统设计和评价进行分析, 同时表达系统输入输出以及相关管理模块, 方便用户以及设计人员理解整个软件结构程序, 更为重要的是有利于程序设计人员建立统一的设计标准, 因此有助于软件的维护和管理。本套系统的HIPO图如图1所示。
3.2 系统详细设计
3.2.1 代码设计
代码设计是整个系统的基础, 因为所有的数据只有遵循统一的代码, 才能够有效的对其进行管理, 本套系统根据代码的不同种类的特点, 采用了层次编码的形式来表述系统所涉及的对象, 在本套系统中, 一共有14中代码形式, 用以分别代表不同的对象。桌面处理对象、设备配置处理以及软件配置处理等。其中代码编号形式如下:SO-XX-XXX-XXX-XX, 实例SQ-13-022-032-02, 所代表的意思就是13年第22张接入网络设备申请单, 有上海厂区业务部门所申请。
3.2.2 数据库设计
数据库设计是网络接入信息系统的重要核心, 是数据处理的基础, 需要具有数据稳定性和冗余性的特点, 本套数据库系统设计首先要根据E-R图进行分析, 确立相应的实体数据表, 并设立相应的关键词建立数据表的相关性, 其中表1指的是各厂区的业务部门的字段设计,
3.2.3 数据处理实现过程
在本套计算机网络接入系统的数据处理方式主要包括13种, 其中传递、核对以及排序、检索以及分配和计算等都是非常核心的处理过程, 其中网络数据处理模块具有一定的代表性, 首先会根据查询条件来检索网络使用资源, 并通过网络资源台账进行数据传递, 并将数据存放在相应的存储设备中, 然后经过相应的数据处理模块进行处理计算, 形成相应的网络资源文件, 并输出相应的网络资源分配报表, 同时也会生成相应的网络资源更新后的数据库, 整个数据过程都经过程序进行处理, 从而实现全面的自动化。这样显然能够有效的提升网络接入系统管理的效率。
4 总结
本套系统将原先分散的网络管理模式集中到统一的信息管理平台, 有效的降低了计算机网络管理人员的工作量, 同时还实现了高度集成化的管理, 提升了管理效率以及管理水平, 另外还有效增强了网络安全性, 对企业的网络资源进行合理分配, 优化了计算机设备使用。另外本套系统能够进一步扩展, 将网管系统进一步融入进来, 从而形成综合性的网络管理信息系统, 这显然能够进一步提升企业的管理水平, 而且随着网络的安全性的增强也有助于提升企业的核心竞争力。
参考文献
[1]张俊贤.安全信息管理系统生成器的研究[J].计算机与现代化, 2009 (11) :15-17.
[2]吴卫, 水学民, 卢强.面向数字城市规划的客户服务管理系统构建与应用研究[J].计算机与现代化, 2010 (11) :23.
[3]徐娜, 黄斌.管理信息系统在教育信息化中的应用[J].吉林农业科技学院学报, 2010 (01) :28-30.
接入管理 篇10
“无线移动自组织互联网络”, 简称为“无线自组织网络”。其结合通信系统的移动特点与Ad hoe动态组网的基本特性, 形成一个与普通意义不同的Ad Hoc网络, 同时也有别于利用AP接入的WLAN。它基于IEEE802 llb无线局域网络协议提供的无线通信基础, 以满足普通便携式PC宽带接入业务需求为目的, 在多条Ad Hoc上构建并形成一个宽带移动无线网络。
无线自组织网络中所使用的设备都是无线移动设备, 这使得整个网络具有自组织能力, 可以根据网络中各个节点的具体分布情况以及位置变化情况, 动态的掌握整个网络拓扑结构, 形成一个通信终端路由, 保证整个网络的各个节点都能够完成相互通信, 最终形成一个统一、自适应的无线网络。
二、无线移动自组织互联网主要技术
2.1自适应移动分群路由技术
(1) 自适应移动分群技术
分群目的是为了达到分层式控制的目的, 最终实现节省网络资源的目的。网络中各个节点的自组织功能就是指各个移动终端能够利用定期发布其周围网络拓扑信息的方式得到整个无线网络的拓扑结构信息, 以适应由于网络内节点的移动导致的拓扑结构变化。同时, 根据获得的信息按照设定的协议而自主形成单个群组, 最终达到移动分群的目的。
(2) 自适应移动路由技术
无线路由主要采用表格驱动以及按需查找两种方式。其中, 表格驱动就是指无线网络节点通过接收到其他节点的定期路由信息之后, 对所有保存的路由信息持续更新。该种方式的优点在于需要发送数据时, 网络中的各个节点就需要形成一个包含了整个网络路由信息的路由表。这种方式是用于网络规模较小的自适应网络, 在大规模的网络中若使用该技术, 则会造成网络运营成本的增加。
而按需查找则是在节点产生业务之后, 源节点能根据信息目的节点自主向整个网络路由搜寻信息, 一旦目的节点接收到相关信息之后, 将向源节点返回一个响应信息, 从而在两者之间建立了一个路由。
2.2无线移动自组织网络管理技术
当前的无线自组织网络中的所有用户的接入管理广泛采用WH-WR-RDIUS Server形成的三级管理模式。其中, RADIUS协议只是对WR与RADIUS Server之间的信息交互进行了规范, 而没有对WH与WR之间的交互操作进行限制。因此, 无线移动自组织网络管理模型的构建本质上就是要定制WH与WR之间的通信协议。
同时, 当前的RADIUS协议仅仅只提供AAA管理, 为了满足网络节点的移动性需求, 应该对RADIUS协议进行适当扩展, 实现用户之间的位置管理及切换认证。
无线自组织网络用户接入挂历结构如图1所示。
2.3网络互联集成技术
网络互联集成技术, 就是根据网络应用节点需要, 将网络设备、硬件平台、系统软件、操作软件以及应用软件等集成成为一个具有优良性能的无线计算机网络结构。
通过利用系统工程科学方法, 根据用户的实际需要, 对各种技术、产品等进行优选, 形成针对无线网络的系统性应用方案, 同时按照相应方案对系统的多个子系统以及部件进行综合集成, 使之形成一个完整、高效、可靠、经济的系统, 达到整体优化的目的。
2.4无线主机通信
因为自组网中的无线用户带有支持网络协议的无线网卡, 采用了无线信道 (AP模式) 接入到WR网络中, 实现IP通信, 而该网络的主机就叫做无线主机WH。与普通的移动通信系统通信方式相比, WH可以在多个基站的无线网络覆盖范围内自由移动, 实现IP通信。而接入设备在移动的过程中可以根据基站的网络覆盖情况, 采用切换接入WR的方式确保通信的畅通。
而网络通信信道采用的是当前广泛应用的无线局域网通信协议 (IEEE802.11) 作为通信链路层。其中, WR采用了两个独立的无线通信信道, 一个称为接入信道, 其接入WH;另一个是网络信道, 它是与WR进行通信的信道。接入信道采用的是8022.11b的基本工作模式, 通过在链路层为WH提供一个常规的无线通信接入访问点AP。而网络信道则工作于对等模式, 实现多个WR之间的通信。
三、无线移动自组织互联网用户接入管理技术的实现
根据2.3中的分析, 无线移动自组织互联网用户接入管理技术主要包括WH与WR之间的交互、WR与RA-DIUS Server之间的交互两个部分。
3.1WH与WR之间的信息交互
(1) 基于Web的接入认证信息交互
在整个无线自组织网络的用户接入管理系统当中, WH与WR之间的交互属于一种典型的Client/Server信息模式, 在设计过程中必须注重对WH的多种操作系统予以考虑、操作系统对协议软件的影响、认证信息的安全保护能力等因素。若采用基于Web的认证技术, WH将不需要安装特定的客户认证软件, 只需要在WR上嵌入一个Web服务器就能够实现客户认证。
而WH与WR间之间通过HTTP协议实现通信。由于HTTP属于文本协议, 即客户与服务器之间的数据时采用文本方式进行传输的, 所有想侦听信息的人都能够获得所有通信信息, 这在很大程度上破坏了网络传输的安全性。因此, 为了保证HTTP的通信安全性, 还需要使用安全套接字层对之加以保护。
(2) 基于keep-alive的切换认证信息交互
IUS Server WH向接入WR提交网络通信接入申请之后, WR将代替WH将用户的请求信息发送到RADIUS Server服务器上进行验证, 而WR则将RADIUS Server中的认证结果信息传递给WH。若用户合法, 则为其建立起通信路由。
在WH应用网络的过程中, 通常会出现移动, 往往会从一个WR的通信覆盖域计入到另一个WR的通信覆盖域, 即出现了“越区切换”的现象。这时, 一个新接入的WR在发现有新的WH进入其自身的覆盖域之后, 必须对该WH的合法性进行判断, 根据其合法性为决定是否为该WH建立起对应的路由。
3.2WR与RADIUS Server之间的信息交互
因为WH不能自主的感知器接入位置的改变, 所以WR必须能够根据Keep—alive的信息接收情况来对WH的位置变化情况进行判断, 并通过WR对WH发出位置改变信号。因此, 在整个网络中对WH进行位置改变管理时, 不能由WH自主报告期位置, 而只能根据网络中各个WR向RADIUS Server上传其覆盖域中接入的WH信息, 之后通过RADIUS Server来掌握网络中WH所在的网络位置。这时, WR中的RADIUS Client与RADIUS Server之间的信息交互不但包括了认证信息的交互, 同时还包括了对WH的位置管理信息通信。
(1) 认证信息交互
RADIUS协议采用了口令认证协议 (PAP) 与质询认证协议 (CHAP) 两种。该两种协议主要用于接入认证的信息交互, 其优缺点各不相同。PAP实现较为简单, 但是其安全可靠性较低。而CHAP则能够很好的避免重发攻击, 但是其构建较为复杂。所以, 在系统设计过程中应该根据用户的实际需要进行合理配置。
(2) 用户位置管理信息交互
为了保证用户接入账号的安全性, 在同一个时间内, 同一个账号只能为一台WH提供网络接入服务。若一台WH使用一个账号接入网络时, 有别的WH使用同一个账号进行网络接入申请时, 则RADIUS Server将自动拒绝接入申请。也就是说, 虽然账号没有与主机绑定, 但是账号并不能在网络中多机使用。因此, 当RADIUS Server在对各个处理申请进行处理时, 不但要对账号名称与密码的匹配性进行检测, 还应该对接入网络中的WH接入信息记录进行检查。因此, 在WH接入到网络中后, RADIUS Server必须记录下该WH的相关信息, 诸如其使用的账号、接入主机IP、接入状态灯信息, 并显示该账号处于被“占用状态”。当WH退出网络接入之后, RADIUS Server则立即将该账号记录删除, “释放”该接入账号。
参考文献
[1]王琰.无线移动自组织网络中用户接入管理方案的设计与实现[D].电子科技大学, 2009-06.
[2]程琳.无线自组织互联网的用户管理——的功能设计与实现[D].电子科技大学, 2010-05.
网络接入控制将退出市场 篇11
使用瘦客户机能减少二氧化碳排放
英国的科学家称,如能用瘦客户机代替PC机,整个英国的商界一年能节省1.54亿美元的电费,减少49.5万吨的二氧化碳排放。这里面包含了服务器的耗电,他们是按每20用户有一部服务器计算的。工作时,一台瘦客户机的耗电为40至50W,而一台PC机平均耗电85W,所以使用瘦客户机能节省50%的电力。按一天8小时、一年220天计算,每个桌面能减少50kg的二氧化碳排放。如果考虑使用瘦客户机还能减轻空调等系统的负担,实际省电的效果更好,减少更多的二氧化碳排放。科学家称,减少二氧化碳的排放没有什么灵丹妙药,要靠所有地球人的自觉。这里节省0.5%、那里节省0.25%,总的下来,就能减少大量的温室气体排放,保护我们自己的家园。
复杂性正在扼杀IT
IT变得越来越复杂,没有一个人能完整地描绘出一个单位的IT系统。随着发展和形势的变化,需要的硬件、软件、应用不断增加,IT系统逐步变得越来越复杂,如有一家银行现有3万台服务器和20万台PC机。同时,不同部门的人都从他们各自的立场出发处理问题,也使问题变得更复杂。已有的解决方案和开发工具没有得到充分使用,使问题一而再、再而三地发生,增加了IT系统的复杂性,处理这些问题的难度也越来越高。随着IT系统越来越复杂,它们的脆弱性也在不断增加,有一天可能会使IT系统崩溃。为此,在最近召开的IBM复杂性会议上,有专家提出,我们需要一種能回答合理要求的对付复杂性的方法,加上良好的软件习惯,也许能减缓IT复杂性。
iPod播放器对公司的安全是个威胁
接入管理 篇12
关键词:可运营,可管理,可增值,宽带接入
宽带网络在人们的日常生活之中占有越来越重要的作用, 人们的日常生活几乎已经离不开宽带网络的支持。随着宽带建设的发展, 宽带接入之中存在的问题越来越受到人们的关注, 其中包括运营方面的问题以及管理方面的问题等, 对宽带接入的发展产生十分不利的影响。根据时代发展的需要, 宽带接入要提高自身的运营机制, 加强对宽带接入网络安全的管理, 使宽带接入的增值效果更加明显。
一、构建宽带接入的作用
宽带接入是面向网络宽带的主要依据, 它的作用在于可以完成用户宽带的数据接入, 可以为人们实现上网功能, 宽带接入的推出在很大程度上是受到ADLS的影响。宽带接入技术要想寻求更好的发展, 只有在其性能和功能上进行更好的创新[1]。
二、构建宽带接入的有效措施
2.1用户管理的设置
传统的宽带接入是对IP地址的设置, 在用户心中根本没有用户管理的概念, 所以这就是传统的IP网络难以生存下去的原因。宽带接入是以客户为中心, 支持账号用户、包月用户、付费用户等多种类型, 为广大的网民提供了方便。在传统的宽带接入中每个账号只能访问一种业务, 上网时需要购买上网卡, 这种上网方式的繁琐使许多用户反感。然而现在的宽带接入只需要交上费然后申请一个账号, 并按照所缴的费用办理业务, 直接进行LAN接入, 这种方式在方便了用户的同时提高了管理者的管理效率。
2.2计费管理的设置
合理的计费是构建可运营、可增值的宽带接入的关键。传统的宽带接入选择的是按小时计费, 现在这种计费方式已经被淘汰, 因为已经不适合现在的网络运营了。现阶段按流量计费是目前宽带接入的最合理计费方式。由于我国的网络行业发展较为落后, 所以网络管理者不得不采用这种计费方式, 这种计费方式缺乏灵活性。针对宽带接入, D-Link发挥自己在设计方面的优势, 推出了硬件与软件相结合的管理方式, 这种方案目前被接纳了, 进而构建了可运营、可管理、可增值的宽带接入[2]。宽带接入的建设必须要硬件设施做出改进, 例如在交换机的使用方面, 为了方便运营商的工作, 提高用户的使用安全性, 在原来的基础上实现了端口隔离技术, 可以更有效的对用户进行认真。硬件是整个网络技术的基础, 整个宽带接入要想实现可运营、可管理的目标, 首先要实现智能化的网管系统。高质量的网管系统可以对整个网路硬件实现智能管理, 并且还可进行远程操作以及监督检查。在对用户进行管理的同时, 还要实现IP地址的绑定。
2.3增值业务的设置
构建可运营、可管理、增值的宽带接入, 除了基本的网络服务外, 还要有其他的增值业务, 这些都是实现目标的重要依据。增值业务的设置应该是丰富的主要包括:
1.绑定业务。绑定业务可以将用户名与IP地址、VPN网关码、等多种账号绑定, 防止账号被盗用。
2.无用户名上网业务。这种业务是主要根据用户的主叫号码进行属性认证, 在上网时可以不必进行用户名的输入以及用户密码的输入, 方便广大网民的使用[3]。
2.4网络安全的管理及成本控制
网络安全的管理在宽带接入中是十分重要的问题, 它不仅包括计算机网络自身的安全性能, 还包括所有网民间的信息安全。对于网络设备来说, 宽带接入的安全性主要表现在网络的反攻击、IP地址的暴露等方面, 对于重要的信息要加密。由于宽带的接入都是传统接入手段, 所以其安全性能得不到有效的保障。对于宽带接入的运营商而言, 对其成本的控制是非常重要的[4]。这种网络主要采用的是PC服务器软硬件相结合的方式, 在保障其安全性能的前提下为运营商控制其成本。这种宽带的接入还能够支持UNIX技术, 适用于各种服务器, 为其设备提供有效的保障, 减少运营商的投资。
三、结束语
构建可运营、可管理、可增值的宽带接入, 能够加强对宽带网络的建设, 改善宽带接入的运营模式, 加强对宽带接入的管理, 使宽带接入进行全面的增值。在宽带接入全新模式的构建之中, 要特别注重对网络安全的管理, 提高宽带网络的安全性和可靠性, 降低宽带接入的成本, 促进宽带接入的健康发展。
参考文献
[1]赵冬梅.天津铁通IP城域网改造及优化[D].北京:北京邮电大学, 2010.
[2]黄宙.宽带城域网技术与规划建设[D].北京:北京邮电大学, 2012.
[3]陈景文, 周斯宁.新一代基于PLC技术的运营级宽带小区接入方案[J].移动通信, 2012, 20 (09) :77-81.