【正文】 結(jié)構(gòu)，將進(jìn)行數(shù)據(jù)采集的Sensor分布在WLAN的邊緣和關(guān)鍵地點(diǎn)，并且通過有線的方式將收集到的信息統(tǒng)一傳輸?shù)揭粋€(gè)集中的信息處理平臺(tái)。，判斷有無異常現(xiàn)象，比如非法接入的AP和終端設(shè)備、中間人攻擊、有無違反規(guī)定傳輸數(shù)據(jù)的情況，以及通過對(duì)無線網(wǎng)絡(luò)進(jìn)行的性能和狀態(tài)分析，識(shí)別拒絕服務(wù)攻擊現(xiàn)象。它能夠自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的Ad Hoc網(wǎng)絡(luò)，并且通過通知管理員來及時(shí)阻止可能造成的進(jìn)一步損害?；赪eb界面的安全管理界面讓管理員可以進(jìn)行策略的集中配置和分發(fā)，以及觀察網(wǎng)絡(luò)狀況、產(chǎn)生報(bào)表。WLAN入侵檢測(cè)系統(tǒng)通過結(jié)合協(xié)議分析、特征比對(duì)以及異常狀況檢測(cè)三種技術(shù)，對(duì)WLAN網(wǎng)絡(luò)流量進(jìn)行深入分析，并且能夠?qū)崟r(shí)阻斷非法連接。 （5）動(dòng)態(tài)秘鑰技術(shù)3．3．4 優(yōu)科支持的認(rèn)證方式AP支持認(rèn)證方式用戶可以通過設(shè)置AP自身對(duì)無線用戶進(jìn)行認(rèn)證。認(rèn)證方式有以下幾種：1. 開放2. WEP3. WPA/WPA24. Zone Director支持的認(rèn)證方式用戶可以通過優(yōu)科 ZoneDirector對(duì)無線用戶進(jìn)行認(rèn)證。認(rèn)證方式有以下幾種：1. 本地認(rèn)證2. 與現(xiàn)有的Windows服務(wù)器的AD認(rèn)證3. 與現(xiàn)有的RADIUS 服務(wù)器整合進(jìn)行認(rèn)證4. 3．3．5安全的AP技術(shù)由于優(yōu)科的AP是不儲(chǔ)存任何網(wǎng)絡(luò)配置（IP地址除外）和安全設(shè)置，因此優(yōu)科 管理的AP是不能單獨(dú)工作的，因此獲得和接入進(jìn)優(yōu)科 AP，黑客也不會(huì)拿到無線網(wǎng)的網(wǎng)絡(luò)和安全配置參數(shù)。3．3．6無線接入點(diǎn)安全偵測(cè)和保護(hù)采用優(yōu)科 無線系統(tǒng)的RF偵測(cè)功能和保護(hù)機(jī)制可以實(shí)時(shí)監(jiān)測(cè)園區(qū)無線網(wǎng)覆蓋區(qū)域內(nèi)的所有AP接入情況,如相鄰的AP、設(shè)置錯(cuò)誤的AP以及未經(jīng)認(rèn)可而連接到網(wǎng)絡(luò)中的AP。通過優(yōu)科 的網(wǎng)絡(luò)安全管理系統(tǒng)，網(wǎng)絡(luò)安全管理人員可以及時(shí)發(fā)現(xiàn)是否有非法的AP接入，發(fā)現(xiàn)后可以開啟自動(dòng)保護(hù)機(jī)制，阻止無線終端通過非法AP聯(lián)接到無線網(wǎng)中。3．3．7無線網(wǎng)絡(luò)入侵偵測(cè)網(wǎng)絡(luò)監(jiān)控與入侵檢測(cè)系統(tǒng)將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)實(shí)時(shí)捕獲下來，檢查是否有黑客入侵和可疑活動(dòng)的發(fā)生，一旦發(fā)現(xiàn)有黑客入侵，系統(tǒng)將做出實(shí)時(shí)響應(yīng)和報(bào)警。入侵檢測(cè)模型可以分為兩大類：基于網(wǎng)絡(luò)的入侵檢測(cè)：通過實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)上的數(shù)據(jù)流，來尋找具有網(wǎng)絡(luò)攻擊特征的活動(dòng)；基于主機(jī)的入侵檢測(cè)：通過分析系統(tǒng)的審記數(shù)據(jù)，檢查系統(tǒng)資源的使用情況以及啟動(dòng)的服務(wù)等來檢測(cè)本機(jī)是否受到了攻擊。對(duì)已知攻擊的檢測(cè):通過分析攻擊的原理提取攻擊特征，建立攻擊特征庫，使用模式匹配的方法，來識(shí)別攻擊； 對(duì)未知攻擊和可疑活動(dòng)的檢測(cè):通過建立統(tǒng)計(jì)模型和智能分析模塊，來發(fā)現(xiàn)新的攻擊和可疑活動(dòng)。優(yōu)科向用戶推薦使用第三方的入侵偵測(cè)產(chǎn)品。入侵偵測(cè)是專業(yè)性非常強(qiáng)的技術(shù)，需要對(duì)網(wǎng)絡(luò)攻擊有深入的認(rèn)識(shí)。入侵偵測(cè)做的不專業(yè)，只能是花錢買心理安慰，不能發(fā)揮作用。入侵偵測(cè)只是報(bào)警并不能防范，所以還要與網(wǎng)絡(luò)安全服務(wù)商簽訂服務(wù)合同，通過人為的方式改變網(wǎng)絡(luò)的參數(shù)配置實(shí)現(xiàn)網(wǎng)絡(luò)的防入侵，防攻擊。優(yōu)科的專長(zhǎng)在天線的技術(shù)，射頻的技術(shù)，以及網(wǎng)絡(luò)接入技術(shù)。我們認(rèn)為在無線產(chǎn)品中加入入侵偵測(cè)功能，并不能對(duì)用戶的網(wǎng)絡(luò)安全做到全方位的保護(hù)，同時(shí)還增加了用戶不必要的成本。3．3．8無線接入的病毒防護(hù)病毒的防護(hù)要從客戶端的防護(hù)做起?？蛻舳酥卸緯?huì)造成性能下降，不能正常工作，丟失文件，丟失密碼，形成僵尸被控制機(jī)所控制。對(duì)網(wǎng)絡(luò)有影響主要是蠕蟲類病毒。通過計(jì)算機(jī)網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺(tái)機(jī)器的內(nèi)存?zhèn)鞑サ狡渌麢C(jī)器的內(nèi)存，計(jì)算網(wǎng)絡(luò)地址，將自身的病毒通過網(wǎng)絡(luò)發(fā)送。像蠕蟲病毒尼坶達(dá)，它不但會(huì)感染EXE文件，還會(huì)通過局域網(wǎng)，電子郵件網(wǎng)頁等途徑進(jìn)行傳播。對(duì)網(wǎng)絡(luò)形成壓力，造成網(wǎng)絡(luò)系統(tǒng)的不穩(wěn)定。所以病毒的防護(hù)，一定要從源頭抓起，要采取各種手段，減少客戶端不中毒的可能性。同時(shí)優(yōu)科 AP還可以進(jìn)行限速，對(duì)于每一個(gè)客戶端的速率進(jìn)行嚴(yán)格限定，縱然客戶端中毒，病毒在網(wǎng)絡(luò)上泛濫也不會(huì)造成網(wǎng)絡(luò)的癱瘓，減緩病毒在網(wǎng)絡(luò)上傳播的速度。同時(shí)優(yōu)科還有較強(qiáng)的訪問控制機(jī)制，可以采取阻斷中毒客戶端流量的措施。但所有這些網(wǎng)絡(luò)手段只能是輔助性的，是防護(hù)性的。3．3．9通過VPN再次加固無線接入 對(duì)于數(shù)據(jù)安全性要求非常高的用戶可以考慮VPN的方式，尤其是IPSec的VPN解決方案。IPSec協(xié)議是網(wǎng)絡(luò)層協(xié)議, 是為保障IP通信而提供的一系列協(xié)議族。IPSec針對(duì)數(shù)據(jù)在通過公共網(wǎng)絡(luò)時(shí)的數(shù)據(jù)完整性、安全性和合法性等問題設(shè)計(jì)了一整套隧道、加密和認(rèn)證方案。IPSec能為IPv4/IPv6網(wǎng)絡(luò)提供能共同操作/使用的、高品質(zhì)的、基于加密的安全機(jī)制。提供包括存取控制、無連接數(shù)據(jù)的完整性、數(shù)據(jù)源認(rèn)證、防止重發(fā)攻擊、基于加密的數(shù)據(jù)機(jī)密性和受限數(shù)據(jù)流的機(jī)密性服務(wù)。IPSec的基本目的是把密碼學(xué)的安全機(jī)制引入 IP協(xié)議，通過使用現(xiàn)代密碼學(xué)方法支持保密和認(rèn)證服務(wù)，使用戶能有選擇地使用，并得到所期望的安全服務(wù)。IPSec將幾種安全技術(shù)結(jié)合形成一個(gè)完整的安全體系，它包括安全協(xié)議部分和密鑰協(xié)商部分。（1）安全關(guān)聯(lián)和安全策略：安全關(guān)聯(lián)（Security Association，SA）是構(gòu)成IPSec的基礎(chǔ)，是兩個(gè)通信實(shí)體經(jīng)協(xié)商建立起來的一種協(xié)定，它們決定了用來保護(hù)數(shù)據(jù)包安全的安全協(xié)議（AH協(xié)議或者ESP協(xié)議）、轉(zhuǎn)碼方式、密鑰及密鑰的有效存在時(shí)間等。（2）IPSec 協(xié)議的運(yùn)行模式：IPSec協(xié)議的運(yùn)行模式有兩種，IPSec隧道模式及IPSec傳輸模式。隧道模式的特點(diǎn)是數(shù)據(jù)包最終目的地不是安全終點(diǎn)。通常情況下，只要IPSec雙方有一方是安全網(wǎng)關(guān)或路由器，就必須使用隧道模式。傳輸模式下，IPSec 主要對(duì)上層協(xié)議即IP包的載荷進(jìn)行封裝保護(hù)，通常情況下，傳輸模式只用于兩臺(tái)主機(jī)之間的安全通信。（3）AH（Authentication Header，認(rèn)證頭）協(xié)議：設(shè)計(jì)AH認(rèn)證協(xié)議的目的是用來增加IP數(shù)據(jù)報(bào)的安全性。AH協(xié)議提供無連接的完整性、數(shù)據(jù)源認(rèn)證和抗重放保護(hù)服務(wù)，但是AH不提供任何保密性服務(wù)。IPSec驗(yàn)證報(bào)頭AH是個(gè)用于提供IP數(shù)據(jù)報(bào)完整性、身份認(rèn)證和可選的抗重傳攻擊的機(jī)制，但是不提供數(shù)據(jù)機(jī)密性保護(hù)。 驗(yàn)證報(bào)頭的認(rèn)證算法有兩種： 一種是基于對(duì)稱加密算法（如DES），另一種是基于單向哈希算法（如MD5或SHA1）。 驗(yàn)證報(bào)頭的工作方式有傳輸模式和隧道模式。傳輸模式只對(duì)上層協(xié)議數(shù)據(jù)（傳輸層數(shù)據(jù)）和IP頭中的固定字段提供認(rèn)證保護(hù)，把AH插在IP報(bào)頭的后面，主要適合于主機(jī)實(shí)現(xiàn)。隧道模式把需要保護(hù)的IP包封裝在新的IP包中，作為新報(bào)文的載荷， 然后把AH插在新的IP報(bào)頭的后面。隧道模式對(duì)整個(gè)IP數(shù)據(jù)報(bào)提供認(rèn)證保護(hù)。（4）ESP（Encapsulate Security Payload，封裝安全載荷）協(xié)議：封裝安全載荷（ESP）用于提高Internet協(xié)議（IP）協(xié)議的安全性。它可為IP提供機(jī)密性、數(shù)據(jù)源驗(yàn)證、抗重放以及數(shù)據(jù)完整性等安全服務(wù)。ESP屬于IPSec的機(jī)密性服務(wù)。其中，數(shù)據(jù)機(jī)密性是ESP的基本功能，而數(shù)據(jù)源身份認(rèn)證、數(shù)據(jù)完整性檢驗(yàn)以及抗重傳保護(hù)都是可選的。ESP主要支持IP數(shù)據(jù)包的機(jī)密性，它將需要保護(hù)的用戶數(shù)據(jù)進(jìn)行加密后再重新封裝到新的IP數(shù)據(jù)包中。（5）Internet 密鑰交換協(xié)議（IKE）：Internet密鑰交換協(xié)議（IKE）是IPSec默認(rèn)的安全密鑰協(xié)商方法。IKE通過一系列報(bào)文交換為兩個(gè)實(shí)體（如網(wǎng)絡(luò)終端或網(wǎng)關(guān)）進(jìn)行安全通信派生會(huì)話密鑰。IKE建立在Internet安全關(guān)聯(lián)和密鑰管理協(xié)議（ISAKMP）定義的一個(gè)框架之上。IKE是IPSec目前正式確定的密鑰交換協(xié)議，IKE為IPSec的AH和ESP協(xié)議提供密鑰交換管理和SA管理，同時(shí)也為ISAKMP提供密鑰管理和安全管理。IKE具有兩種密鑰管理協(xié)議（Oakley和SKEME安全密鑰交換機(jī)制）的一部分功能，并綜合了Oakley和SKEME的密鑰交換方案，形成了自己獨(dú)一無二的受鑒別保護(hù)的加密材料生成技術(shù)。在數(shù)據(jù)鏈路的加密選項(xiàng)中盡量選擇3DES和AES的加密算法。以目前的技術(shù)水平，即使破解了截獲的數(shù)據(jù)，并且破解了有效內(nèi)容，其破解消耗的時(shí)間非常長(zhǎng)，以至于信息已經(jīng)失效。對(duì)稱加密算法用來對(duì)敏感數(shù)據(jù)等信息進(jìn)行加密，常用的算法包括：DES（Data Encryption Standard）：數(shù)據(jù)加密標(biāo)準(zhǔn)，速度較快，適用于加密大量數(shù)據(jù)的場(chǎng)合。3DES（Triple DES）：是基于DES，對(duì)一塊數(shù)據(jù)用三個(gè)不同的密鑰進(jìn)行三次加密，強(qiáng)度更高。AES（Advanced Encryption Standard）：高級(jí)加密標(biāo)準(zhǔn)，是下一代的加密算法標(biāo)準(zhǔn)，速度快，安全級(jí)別高； AES 算法基于排列和置換運(yùn)算。排列是對(duì)數(shù)據(jù)重新進(jìn)行安排，置換是將一個(gè)數(shù)據(jù)單元替換為另一個(gè)。AES 使用幾種不同的方法來執(zhí)行排列和置換運(yùn)算。AES 是一個(gè)迭代的、對(duì)稱密鑰分組的密碼，它可以使用12192 和 256 位密鑰，并且用 128 位（16字節(jié)）分組加密和解密數(shù)據(jù)。與公共密鑰密碼使用密鑰對(duì)不同，對(duì)稱密鑰密碼使用相同的密鑰加密和解密數(shù)據(jù)。通過分組密碼返回的加密數(shù)據(jù)的位數(shù)與輸入數(shù)據(jù)相同。迭代加密使用一個(gè)循環(huán)結(jié)構(gòu)，在該循環(huán)中重復(fù)置換和替換輸入數(shù)據(jù)。AES與3DES的比較算法名稱算法類型密鑰長(zhǎng)度速度解密時(shí)間（建設(shè)機(jī)器每秒嘗試255個(gè)密鑰）資源消耗AES對(duì)稱block密碼1219256位高1490000億年低3DES對(duì)稱feistel密碼112位或168位低46億年中 通過以上的介紹可以看出VPN尤其是基于IPSec的VPN是非常安全的技術(shù)。只要終端設(shè)備是正常的，整個(gè)通訊過程都是非常安全的，尤其是利用證書方式的加密。當(dāng)然，由此也產(chǎn)生了一個(gè)新的問題，從哪里得到證書。所以說，安全是一個(gè)系統(tǒng)，包括方方面面的組成部分。為取得理論上盡可能的安全，付出的代價(jià)也是不小的。用戶應(yīng)該在成本和安全系統(tǒng)強(qiáng)度之間取得一定的平衡。3．4無線移動(dòng)音視頻應(yīng)用－優(yōu)科 SmartCast3．4．1 帶寬控制與服務(wù)質(zhì)量保證QOSWiFi最初的設(shè)計(jì)是用于數(shù)據(jù)應(yīng)用（盡最大努力傳送）。，先到先服務(wù)。當(dāng)某個(gè)需要發(fā)送數(shù)據(jù)的用戶發(fā)現(xiàn)信道是忙碌的，它必須避免相撞等待一個(gè)隨機(jī)時(shí)期。這是被稱為CSMA / CA （載波偵聽/沖突避免）的技術(shù)。 在一個(gè)不繁忙的Wi Fi網(wǎng)絡(luò)，一個(gè)用戶可以輕松地?fù)碛姓麄€(gè)頻道。由于負(fù)荷增加，所有用戶都需要遭受同樣的等待更長(zhǎng)的時(shí)間才能傳送的情況。這種設(shè)計(jì)適用于多數(shù)數(shù)據(jù)應(yīng)用，但創(chuàng)造一個(gè)適合于對(duì)時(shí)延和抖動(dòng)敏感的多媒體業(yè)務(wù)的網(wǎng)絡(luò)則需要一個(gè)完全不同的方法。SIP ， ，語音、視頻對(duì)帶寬的要求不同，但對(duì)性能的要求要求是一致的。 具體來說，在傳送實(shí)時(shí)同步的業(yè)務(wù)流時(shí)，必須盡量減少抖動(dòng)，延遲和數(shù)據(jù)包的丟失。數(shù)據(jù)包到達(dá)時(shí)間的標(biāo)號(hào)產(chǎn)生抖動(dòng)，表現(xiàn)為聲音和圖象的不連貫。延遲或丟失的音頻或視頻數(shù)據(jù)包可以通過緩沖進(jìn)行平滑。但VoIP數(shù)據(jù)包延遲，可使電話無法撥通和使用。 因此， e （ MAC層上的增強(qiáng)服務(wù)質(zhì)量） ，以改善音頻，視頻和語音在WiFi網(wǎng)絡(luò)上的傳輸 。許多企業(yè)級(jí)AP產(chǎn)品（但不包括消費(fèi)性AP產(chǎn)品） e的子集：所謂Wi Fi多媒體（ WMM ）給不同的Wi Fi業(yè)務(wù)流分配不同的優(yōu)先級(jí)，使需要不同的延遲和吞吐量的應(yīng)用，可以得到更適當(dāng)?shù)奶幚?。WMM的定義4類業(yè)務(wù)：語音，視頻，盡最好的努力（一般為數(shù)據(jù)），和背景業(yè)務(wù)流支持WMM的AP通常具有不同的傳輸隊(duì)列，可以比其他的業(yè)務(wù)流更頻繁，更長(zhǎng)時(shí)間地傳輸語音（VoWLAN）業(yè)務(wù)。不過，WMM仍不能區(qū)分具有相同的優(yōu)先級(jí)的應(yīng)用。如果由于干擾或衰減，一個(gè)語音終端的連接已經(jīng)斷開，AP仍將嘗試將語音重新發(fā)送到該語音終端，而不是向其他語音終端發(fā)送隊(duì)列中的語音業(yè)務(wù)包。 在VoWLAN終端從一個(gè)AP漫游到另外一個(gè)AP時(shí)，WMM也不能減少延遲。（ Wi Fi設(shè)備會(huì)不斷評(píng)估的信號(hào)強(qiáng)度，并會(huì)自動(dòng)重新連接到“最佳的”AP”） 。在短期內(nèi)，WMM的優(yōu)先級(jí)技術(shù)可以給VoWLAN一個(gè)嘗試的機(jī)會(huì)，但仍然沒有解決語音質(zhì)量下降的本質(zhì)問題。較新的11n AP可使數(shù)據(jù)的傳輸速度更快，更遠(yuǎn)，但對(duì)解決語音和視頻質(zhì)量或鏈路的不穩(wěn)定毫無裨益。優(yōu)科 Wirelss專利的SmartCast技術(shù)，包括創(chuàng)新的組播流量處理技術(shù)、智能QoS和基于“識(shí)別應(yīng)用”的流量分類能力。這些技術(shù)可確保無線數(shù)據(jù)傳輸能夠?qū)崿F(xiàn)最高的可靠性。 SmartCast技術(shù)能夠從所有流量中自動(dòng)區(qū)分和管理語音、視頻流以及數(shù)據(jù)和背景管理數(shù)據(jù)流，還能夠提供從寬帶網(wǎng)關(guān)到用戶多媒體終端的強(qiáng)大穩(wěn)定無線傳輸。當(dāng)SmartCast檢測(cè)出用戶為多媒體終端時(shí)，就會(huì)將相關(guān)的語音或視頻，包括組播視頻包使用優(yōu)化的數(shù)據(jù)傳輸速率和信號(hào)傳輸路徑傳遞到接收端。這樣即可為語音和視頻包的可靠傳輸保證最佳的性能。為多媒體優(yōu)化的流量管理算法，能夠確保語音和多個(gè)廣播級(jí)質(zhì)量視頻流性能，同時(shí)還能確保針對(duì)數(shù)據(jù)應(yīng)用足夠的帶寬。SmartCast可智能地根據(jù)不同應(yīng)用的流量特性、UDP/TCP端口和其他應(yīng)用屬性對(duì)所有流量分類，并且根據(jù)分類的優(yōu)先級(jí)和特點(diǎn)管理每一種流量類型（視頻、語音和數(shù)據(jù)）。 自動(dòng)的打服務(wù)類型（ToS）標(biāo)簽功能能夠避免復(fù)雜的QoS配置。每個(gè)客戶端擁有4個(gè)優(yōu)先級(jí)隊(duì)列，從而在同時(shí)傳送語音、多個(gè)視頻流時(shí)還能夠保證傳輸優(yōu)先級(jí)和精確性。將由一個(gè)專門調(diào)度器對(duì)所有包根據(jù)相應(yīng)的流量類型來排入/排出隊(duì)列。每個(gè)調(diào)度器都會(huì)考慮語音、視頻和數(shù)據(jù)流量對(duì)延遲/抖動(dòng)容忍度、帶寬需求以及不斷變化的無線客戶端性能特點(diǎn)需求，從而保證最佳的用戶體驗(yàn)。 優(yōu)科無線系統(tǒng)的帶寬管理能力使得在移動(dòng)音視頻應(yīng)用方面表現(xiàn)出很強(qiáng)的優(yōu)勢(shì)。還可以限制用戶無線連接的最高帶寬，以及分別設(shè)置語音、視頻和數(shù)據(jù)的應(yīng)用帶寬。3．4．2 BeamFlex 和 服務(wù)品質(zhì)保證，無需購買頻段和授權(quán)， Wi – Fi網(wǎng)絡(luò)可以被任何人很容易和方便地部署在家里，辦公室，或其他公眾地點(diǎn)。今天，許多消費(fèi)者將Wi – Fi技術(shù)和寬帶連接結(jié)合，以便于在室內(nèi)各個(gè)房間進(jìn)行網(wǎng)頁瀏覽和電子郵件。但是，當(dāng)消費(fèi)者嘗試?yán)肳i – Fi技術(shù)做更多的事情時(shí)，結(jié)果卻往往是失望，尤其是當(dāng)試圖實(shí)現(xiàn)實(shí)時(shí)多媒體應(yīng)用－語音時(shí)。開始， Wi – Fi頻段干擾非常嚴(yán)重。 GHz頻帶也被其他設(shè)備包括無繩電話，藍(lán)牙設(shè)備，衛(wèi)星服務(wù)以及與周邊Wi Fi網(wǎng)絡(luò)使用。這些干擾源使室內(nèi)WiFi設(shè)備難以區(qū)分合法的傳輸和背景噪