第一篇:制造業薪酬體系結構
服裝制造業-薪酬設計體系構成一、我公司目前的薪酬體系狀態
行政管理崗位與技術人員崗位未納入統一的薪酬模式,即產品開發人員(含首席設計師、設計師、設計助理、師傅等崗位)與行政管理人員基本工資沒有采用統一的薪酬設計標準進行確定。
員工工資主要是以行政職務為標準進行確定,而不是以員工具體承擔的崗位責任進行確定,突出表現為崗位對企業的價值不能得到體現,使各崗位薪酬差距拉不開(出現混日子,別人都不干我為什么要干,別人都這樣我也這樣等負面心理作用,直接影響工作積極性和創造性)或崗位薪酬拉開幅度過大。
1、薪酬的增加主要還是以工齡(年終統一發放,短期利益未能體現)、行政職務、個人申請、總經理意愿為主要手段,而不是以崗位貢獻大小與員工能力提升為標準進行增加,使個別職務中等偏下的員工缺少學習、創新、開拓思路的向上動力。
2、薪酬的獲取標準主要還是以工作時間進行衡量,而不是以工作業績、工作態度、對公司的忠誠度等因素進行衡量,使現有的薪酬模式中績效薪酬部分流于形式,事實上已經是定期發放,最終失去了對員工工作業績與效率的激勵作用。實際上許多員工對績效工資一項根本不關注,工資項目不管怎么調整,拿的工資不少就可以了,說白了就是,我一月出了滿勤,不管干活多少,干的好與不好,只要來了,就能拿到這些工資。績效部分流于形式。
3、新進員工從薪酬競爭性上來講,缺少吸引力。員工試用期滿后,走上了以工齡、行政職務、個人申請、總經理意愿調薪的老路(不是從崗位出發),以至于難以留住公司需要的人才,反映出公司目前薪酬體系缺少靈活性。自行政人事部3月底成立起來,行政人員共離職27人,離職率達21%,遠遠超過了正常離職率3%-5%的標準,如算上車間離職人員,離職率會更高。離職率表明,公司花錢為他人培養了一批人才,造成人力成本的隱性增加。
4、以往薪酬標準的一大特點是只能上不能下,業績優與差在薪酬激勵上流于形式。
5、薪酬與考核方式的脫節(公司目前只對銷售部進行考核,其它部門沒有考核),績效薪酬流于形式。
8、薪酬在等級級差的設置上,還缺乏一定的規范統一性,一些比例大,一些比例小,不利于薪酬的日常管理,如薪酬晉升的激勵性、崗位調整引起的薪酬調整、新員工定薪等。
通過以上公司目前薪酬模式的分析,行政人事部提出結構薪酬組合模式,將整個公司的崗位納入統一模式,在統一模式中反映不同崗位的特色,以體現崗位的價值貢獻,以及與業績管理相銜接。
二、薪酬設計方案
根據現行薪酬模式的分析以及考慮到目前公司并沒有實質上的績效考核模式,現行政人事部提出如下薪酬基本模式,供公司決策層參考:
1、結構:基礎工資+崗位工資+績效工資+技能工資+各種津貼+福利
↓↓↓↓↓
占工資總額(20%)(20%)(40%)(10%)(10%)其中:基礎工資+崗位工資+技能工資組合為員工的基本工資。
2、說明:
基礎工資——維持員工基本生活的工資。其功能是保證勞動力的簡單再生產,解決員工的溫飽問題,依照北京市人力資源和社會保障局發步的最低工資標準(960元),各崗位一致。
崗位工資——按照崗位的責任大小、崗位任職條件、努力程度等薪酬因素決定的工資。其主要功能是促進員工的工作責任和上進心。崗位工資由職位等級決定,它是一個人工資高低的主要決定因素。崗位工資應該是一個區間,而不是一個點。公司可以從同行業同職位或公司歷史工資資料中選擇一些數據作為這個區間的中點,然后根據這個中點確定每一崗位等級的上限和下限。上限可高于中點20%,下限可低于中點20%。舉例,某崗位崗位工資中點1540元,上限為1848元,下限為1232元,設立上限與下限是因為即便是同一崗位,因員工的工作積極性、工作狀態、解決問題的實際能力不同而有所區別,最大限度的避免了因同一崗位因員工個人工作狀態不同而導致的收入分歧。
績效工資——績效工資是對員工完成業務目標而進行的獎勵,即薪酬必須與員工為企業所創造的經濟價值相聯系。業績工資可以是銷售提成、年度獎勵。此部分薪酬的確定與公司的績效評估制度密切相關。(關于績效工資部分將在后續KPI績效考核指標中進行詳述)
技能工資——按照員工同行業的工作經驗以及各項綜合能力而決定的工資,其本身在薪酬中占有一定比例。其主要目的是鼓勵員工鉆研業務、提高技能。
綜合起來說,確定基礎工資,需要對北京市最低工資標準進行確認;確定崗位工資,需要對崗位做評估;確定技能工資,需要對人員資歷和工作經驗做評估;確定績效工資,需要對工作表現做評估。
在本篇中所提到的一些諸如崗位評估、技能評估、工作表現評估將在后續部分陸續作出評估標準和方案。
各種津貼和福利——是指公司為員工繳納的基本醫療保險、養老保險、生育保險、失業保險、工傷保險、年假等,津貼與福利是否完善,是一個公司人力資源是否健全的一個重要標志,此項工作作的好,不但可以解決員工的后顧之憂,安心工作,增加對企業的忠誠度,還可以提升企業的知名度以及在同行業中的聲望,對吸引到適格的人才很重要。
3、不同崗位等級的各部分薪酬所占比例如下:考慮到此薪酬模式中基礎工資、技能工資、津貼與福利相對固定,因此只分析崗位工資與績效工資:
4、不同崗位序列的具體薪酬組合管理序列:基礎工資+崗位工資+技能工資+業績工資+各種津貼+福利;績效工資以KPI考核指標為標準,輔以工作態度等進行季度考核,每季度發放一次。
技術序列:基礎工資+崗位工資+績效工資+技能工資+各種津貼+福利;績效工資每季度考核一次進行發放,以產品設計款式為單位進行考核結算;
銷售序列:基礎工資+崗位工資+技能工資+銷售提成+各種津貼+福利;銷售提成每月以銷售量、回款等進行考核發放。每季度發放一次,具體參考銷售部績效考核薪金發放辦法。
此薪酬模式的推行需要完整、健全的績效考核方案,完整、及時的統計數據,完善、切合實際的崗位分析資料,因此推行此方案需要作大量的準備工作,并需要各部門給予的大力支持。在以下各篇,將詳細介紹需要準備的工作。
第二篇:制造業薪酬方案
制造業薪酬方案
1.目標與原則
1.1 薪酬管理的目標
建立與公司戰略相匹配的、富有競爭力和激勵性的薪酬體系,吸引和保留符合企業發展需要的人才,充分調動員工積極性,從而支持公司戰略目標的實現。
1.2 薪酬管理的原則
1.2.1 市場導向
公司以勞動力市場的一般薪酬狀況為基準,保持薪酬在本行業與本地區具有恰當的競爭力,既不過分強調高收入、高待遇,也不過分控制人力成本。
1.2.2 內部公平
公司薪酬遵循價值和效率優先的原則,反映職位價值、工作業績和個人能力對員工收入的決定作用;同時,在公司內部的不同部門之間保持必要的平衡。
1.2.3 分層分類
公司針對不同層級和類別的人員,基于特定的工作性質,采用不同的薪酬模式,以保證薪酬的合理性和激勵性。
1.2.4 總額控制
事業部和總部部門在薪酬總額預算的范圍內,根據公司相關規定,對本事業部或部門自主進行薪酬管理。
1.2.5 保密
公司關于薪酬政策、薪酬水平和薪酬結構的所有信息,未經允許并通過正常渠道,全體員工不得對內、對外予以泄漏,違反薪酬保密原則的,以無違約金解除勞動合同處理。
2.薪酬模式及其適用對象
公司針對不同層級或類別的人員,采用不同的薪酬模式,如下表:
2.1 職位工資制
職位工資制是以職位評價為基礎的工資制度,是公司的基本薪酬模式。除了適用于提成工資制、計件工資制、年薪工資制及談判工資制的人員,其他人員均適用于職位工資制。如果沒有特別說明,本制度所指“薪酬”,均屬于職位工資制,其基本薪酬結構如下:
員工收入=基本工資+績效工資
2.2 提成工資制
公司對與銷售收入和利潤直接相關的人員,采用提成工資制,包括各事業部區域營銷人員、國際部相關人員。
事業部區域營銷人員的工資制度由各事業部自行制訂。
國際部提成工資制的基本薪酬結構為:
員工收入=基本工資+績效工資+提成工資
其中,基本工資和績效工資參照職位工資制方法確定,提成工資在完成既定目標后得以計發。
2.3 計件工資制
公司對生產車間操作工人采用差別計件工資制,對不同的加工對象確定不同的計件單價。計件工資管理辦法由各事業部另行制訂。2.4 年薪制
年薪制原則上只適用于事業部總監(含)以上和總部部門經理(含)以上的高級管理人員,其基本薪酬結構為:
年薪收入=基本工資+績效工資+效益工資
其中,基本工資和績效工資參照職位工資制方法確定,效益工資視公司經營業績計發。
2.5 談判工資制
對于可能的特聘人員,可采用談判工資形式,即根據與特聘人員的薪酬談判結果,由總裁確定其薪酬水平、薪酬結構和付薪方式。2.6 員工其他收入
員工總體薪酬中的津貼、補助、福利、加班工資、特殊獎勵等,根據公司其他相關規定執行,本制度不再另行說明。3.薪酬總額構成公司的整體薪酬總額由事業部薪酬總額、總部各部門薪酬總額和總裁薪酬基金三大部門構成。其中事業部薪酬總額又分為事業部待分配薪酬總額和總經理薪酬基金兩個部分,總部各部門薪酬總額由分為部門待分配薪酬總額和部門經理基金兩個部分,如下圖:
3.1 事業部薪酬總額
事業部事業部薪酬總額是各事業部員工薪酬總和的限額。區域營銷人員(適用于提成工資制)和生產車間操作工作(適用于計件工資制)的工資以及事業部年薪制相關人員薪酬中的效益工資部分,按既定標準和實際發生的情況計算,不計入事業部薪酬總額。3.1.1 3.1.2事業部待分配薪酬總額是發放給計劃內的該事業部員工(適用于提成工資制和計件工資制的員工除外)的基本工資和績效工資的總和。
事業部總經理薪酬基金是針對該事業部員工加班工資、新招募員工薪酬和特殊獎勵等例外情況而預留的薪酬額度,僅限于本事業部使用,其具體管理辦法由各事業部自行制定。
3.2 總部各部門薪酬總額
總部各部門薪酬總額是總部各部門員工薪酬總和的限額。與年薪或提成工資制相關的總部人員薪酬中的提成工資或效益工資部分,按既定標準和實際發生的情況計算,不計入總部部門薪酬總額。各部門待分配薪酬總額是發放給計劃內的該部門員工的基本工資和績效工資的總和。
各部門經理薪酬基金是針對該部門員工加班工資、新招員工薪酬和特殊獎勵等例外情況而預留的薪酬額度,僅適用于本部門。
3.3 總裁薪酬基金
總裁薪酬基金是針對公司年薪制相關人員的效益工資、總部提成工資制相關人員的提成工資、特聘人員薪酬和特殊獎勵等例外情況而預留的薪酬額度。總裁薪酬基金可根據經營業績進行調整。4.薪酬預算和控制 4.1 薪酬總額預算
本制度所指薪酬總額,即上述“薪酬總額構成”一節中所確定的范圍。
公司整體薪酬總額預算根據公司發展戰略、經營目標與利潤目標、成本控制策略、歷史薪酬數據等因素綜合決定。
公司整體薪酬總額預算包括各事業部薪酬總額預算、總部各部門薪酬總額預算和總裁薪酬基金預算三大部分。
各事業部根據其經營計劃和利潤目標、人力資源規劃以及公司對于該事業部人力成本控制的要求,并結合薪酬調整,擬訂本該事業部薪酬總額及其具體構成,報人力資源部、財務部審核,總裁核準。
總部各部門根據其工作計劃、人力資源規劃以及公司對于人力成本控制的要求,并結合薪酬調整,擬訂本該部門薪酬總額及其具體構成,報人力資源部、財務部審核,總裁核準。
總裁辦根據公司經營計劃、利潤目標和人力成本控制目標,以及各事業部/總部各部門工作計劃,結合歷史薪酬數據,擬訂總裁薪酬基金的額度及其具體構成,報財務部審核,總裁核準。4.2 薪酬總額控制
各事業部及總部各部門應當嚴格在薪酬總額預算的范圍內自主進行薪酬發放及調整。
各事業部和總部各部門負責每月在薪酬發放日的前一周制訂月度薪酬調整和發放計劃,報人力資源部和財務部審核。
人力資源部負責每月向各事業部及總部各部門發布當前可用薪酬預算的報告,并及時提供分析警報。人力資源部和財務部可以在發現某事業部或總部某部門薪酬有可能超出預算時,對其實施暫時薪酬異動凍結,直至該事業部或總部該部門提出可行性解決方案為止。
由于客觀情況的變化,需要對事業部薪酬總額預算進行調整的,由該事業部提出方案,報人力資源部、財務部審核,總裁批準;需要對總部薪酬總額預算進行調整的,由人力資源部提出方案,報財務部審核,總裁批準。
薪酬總額控制要與人力成本控制緊密相連,建立人力成本監控機制。人力資源部負責每月向總裁提交公司總體人工費用分析報表(各事業部/總部各部門各項薪酬項目的構成、人力成本利潤率和人力成本率分析等)和公司總體薪酬總額預算執行情況報告。5.薪酬標準確定 5.1 一般薪酬標準
公司運用國際職位評價工具(IPE),建立職位等級體系;同時,參照相應外部薪酬調查數據和內部歷史薪酬數據,確定各職位等級對應的薪酬標準。
公司職位等級體系共分為30個職級,每個職級劃分為5個職等。員工根據其所在職位進入相應職級,并視個人情況,確定其在該職級內的職等,從而對應不同的薪酬標準。
5.2 試用期和實習期薪酬標準
對于非應屆畢業生,試用期薪酬標準按職業等級體系中確定的各職級試用期薪酬標準執行。6.薪酬標準應用
薪酬標準是對應某一職位等級的員工的標準新戳水平,員工的實際薪酬水平以薪酬標準為基礎,根據出勤情況和績效考核進行計發。
薪酬標準分為標準基礎工資和標準績效工資。根據職位等級不同,標準基本工資與標準績效工資得比例有所不同。7.薪酬計算
7.1 基本工資
基本工資每月計算,每月發放。
基本工資得計算公式為:實發基本工資=標準基本工資*出勤系數 7.2 績效工資
績效工資的計算和發放周期與績效考核周期一致。
績效工資的計算公式為:實發績效工資=標準績效工資*績效系數 8.薪酬發放
8.1 發放時間
每月10日為員工上月薪資發放日,遇節假日順延。
8.2 代扣代繳
對于員工當期個人所得稅、社會保險費、水電費以及賠/罰款等,薪資發放時在員工薪資中進行扣除。8.3 管理責任
總部員工薪資由人力資源部計算,薪資報表經總裁批準后,由財務部負責轉帳到銀行。
事業部員工薪資由行政部組織技計算,薪資報表經事業部總經理核準后,交人力資源部和財務部核對備案,然后由財務部轉賬到銀行。9.轉正調薪
非應屆畢業生試用期滿轉正時,職級為25級以下的,由其科室填寫“人事變動表”;25級以上的,需由本人提交試用期工作書面總結,再由直屬主管填寫“人事變動表”。轉正后的薪酬標準按其所在職級的職等一或職等二確定,試用期表現特別突出的,可定為職等三。
應屆畢業生試用期滿轉正時,需填寫試用期總結報告,經輔導老師書面評價,由所屬部門填寫“人事變動表”進行定崗定薪,原則上按其所在職等的職等一為薪酬標準。10.轉崗調薪
當員工發生職位轉換時,薪酬隨職位所在職級進行調整。其中,由低職級轉到高職級的,薪酬標準按新職級中高于該員工原薪酬標準的第一個職等確定;由高職級轉到低職級的,薪酬標準維持不變或按新職級中與原職級對應的職等確定。員工職級上調時,在新職務或崗位有3個月的試用期,期間維持原薪酬標準。
11.特別調薪
當員工在工作中有重大貢獻或失誤,以及員工現有薪酬標準尚未達到該員工所在職位等級薪酬標準的,可在薪酬總額預算的范圍內,對員工進行特別調薪,包括向上和向下調薪,調薪范圍原則上僅限于該員工原所在職級。12.調薪 12.1 總體調薪
公司每年根據自身發展狀況和外部薪酬數據變化,可以對職位等級體系及其總體或局部薪酬標準進行調整。
12.2 個人調薪
個人調薪是指除了轉正或轉崗調薪及公司總體調薪之外,根據員工個人情況的變化而發生的薪酬調整。個人調薪是在原有職級內部,對所在職等進行向上或向下調整。在個人調薪中,當員工處于某一職級的最高職等時,向上調整不再發生;反之,當員工處于某一職級的最低職等時,向下調整不在發生。個人調薪的依據及其對應的調薪標準,見下表:
個人調薪每年末進行一次,如果本該員工曾經進行轉正、轉崗以及特別調薪的,則個人調薪不再進行。
13.調薪權限
公司總體調薪,由人力資源部每年在擬定公司總體薪酬總額預算的同時提出方案,報總裁審核,董事會批準。
針對個人的調薪(主要是特別調薪),相關權限如下表:
總部員工薪酬調整權限表
事業部員工薪酬調整權限表
14.危機降薪
當公司面臨嚴重經濟困難或遭受重大經濟損失時,公司可以啟動危機降薪方案,降低公司整體的薪酬標準,以使公司渡過難關。危機降薪方案由公司董事會決定。
第三篇:制造業薪酬體系要點
制造行業薪酬管理制度示例 XX 有限公司薪酬體系示例 第一部分 薪酬管理策略 一.薪酬支付理念
1、外部均衡:設計薪酬結構時充分考慮到市場薪酬水平,使公司薪酬水平與市場水平相比具有竟爭力。
2、內部均衡:根據每個崗位的職責來確定崗位在公司內部的相對重要性,進而確定相應薪酬水平。
3、個人均衡:有效地吸引、留住、激勵企業發展所需要的員工,緊密的將員工個人業績、部門、團隊、公司業績與其薪酬聯系在一起,強化激勵效果,從而提升公司整體業績水平。
二.市場水平定位
1、根據市場薪資調查數據顯示,目前公司薪資水平較市場平均水平存在較大差距,同時考慮公司所處地理位置及公司薪資戰略,為使公司的人力資本開支能夠既滿足進一步發展所需要的高水平員工及高績效表現的要求,又能夠使成本達到合理的水平。顧問公司建議XX 公司將薪酬水平定在市場的50%分位。
2、公司根據實際情況通過微調來保證外部競爭性和內部公平性的平衡。目前公司處于較為成熟運營的公司,在實際操作中更應考慮內部公平性。
三.薪酬結構
1、基本薪酬:正式員工在正常工作的前提下可以確定獲得的薪酬補償(一般分13個月發放)。
2、績效獎金:根據員工考核期績效表現可以獲得的現金獎勵。
3、現金補貼:公司以現金形式為部分特別崗位提供的補貼(如線長)。
4、全部薪資收人:月薪+績效獎金十現金補貼。為員工在一個考核期內可以獲得的全部現金收人。
5、薪酬結構:基本薪酬、綜合補貼、績效獎金、法定福利項目。具體如下:
第二部分 職位評估與薪酬水平一.職位評估
崗位等級是根據崗位說明書所明確的每個職位基本目的、應付職責、所需條件等內容,使用崗位評估方法評估出每個崗位在企業內部生彭織結構中的相對位置。
二.評估因素
1、職業技能、溝通技能、解決問題能力、創新能力、計劃組織能力、對企業的影響。
三.職級調整
崗位職責發生重大變化時應對崗位職級進行重新評定。職責發生改變或新產生的職位需有“職位說明書”,并經確認后方能調整。
四.職位評估程序
1、職務等級體系的確定:XX 與XX 人力資源項目小組共同對基準崗位進行了評估。崗位評估的結果由公司總經理進行確認。
2、職務等級的調整:
i.在根據實際情況對崗位的職務等級進行調整時,建議公司成立專門機構對職務等級調整進行管理。
ii.對于部門經理(含)以上崗位,其職務等級由公司管理委員會進行評估后決定;部門經理以下崗位的職務等級調整可由專門機構負責處理。
iii.職位重新評估時需要書面陳述申請評估理由,并事先征求部門主管同意。
3、進行職務等級調整的條件:
i.所有新崗位都需要進行評估。
ii.工作內容發生重大變化時,需要重新進行評估。
五.薪酬水平的建議
1、建議公司在現階段采取跟隨型的薪酬支付策略。即薪酬水平與行業平均水平保持一致;在公司 內部,不同崗位的薪酬水平與崗位評估后的崗位職級圖保持對應。
第三部分 薪資結構設計 一.設計薪酬結構的前期準備
(1 公司薪資理念(2)內部等級或寬帶結構(3 每個崗位和等級的員工數(4)實際的薪資數據(5)預計薪資增長率(6)相應的市場薪資數據
二.薪資調整因素
在對薪資水平進行調整時,應考慮以下因素對薪資水平的影響。(1市場薪資水平的變化:比較目前薪資水平與目標市場薪資水平之間的差異。(2薪資預計調幅:比較目標市場上預計調幅。(3)公司負擔能力。
三.薪資等級級差和帶寬
1、各級別中位值設計:首先確定薪資最低和最高值,目前最低值取XX 公司現崗位最低等級薪資中值,最高值取市場同級別薪資50分位線中值;計算出各級別中位值,并將各級別中位值做均勻化處理,然后確定各級別中點值;
2、設計薪資等級級差:根據市場情況與目前薪資結構的薪資等級數確定相鄰兩薪資等級之間適當的間距。由于目前公司所處行業的市場狀況致使薪資曲線的斜率較陡,各級別間薪資差距教大,所以級差在設計上采取等比增長的辦法,加大各級別間薪資中位值級差;
3、薪資等級帶寬:反映處于同一薪資等級的在職員工因工作經驗不同、績效不同而在薪資上所存在的差異。鑒于傳統制造業對員工技能的要求(級別越高對能力的要求越高),設計薪資幅度時綜合考
慮帶寬序列的增長情況和公司薪資成本承受能力,盡量保持由低等到高等的逐漸增長趨勢,采用非同比設計,即采用薪資幅度隨級別的提高逐漸加寬。
四.薪酬體系設計
1、建立以崗位職級為基礎的薪酬體系,對內部崗位進行了職位評估和職級劃分,在職級體系中,公司的崗位職級范圍從1級到10級;
2、建立以個人業績考核結果為基礎的業績獎金分配體系,以便為公司今后的業績管理提供思路;
3、在不同的崗位等級的薪資支付等級中,設置最低、最高和中位值用以反映市場上的薪酬水平;
4、每年主管經理根據年初所定立的績效考核指標對下屬進行考核以決定基本薪資的增長幅度及績效獎金實際發放水平。
五.制作等級矩陣
在薪資體系設計出來以后,我們可以將與該體系配套的崗位等級矩陣與薪資曲線放在一起進行橫向關聯,從而了解每一層級具體員工的代表數據情況,為后續的調整作準備。同時我們可以明確每一崗位在曲線圖中的位置,從而了解其在公司整體中的地位。
六.薪資體系圖說明
下圖為經過設計作好的一張薪資體系圖,在得到的曲線圖中:
Salary Structure 薪資結構圖 薪資等級
1、橫坐標代表薪資等級;縱坐標代表薪資金額。
2、每一矩形代表一個薪資等級的數值,其覆蓋范圍即為該等級員工的薪資上下限。
七.設計方案的調節
1、為什么要進行方案調節
我們目前得到的都是根據數學模型推算出的理論薪資體系,沒有與公司的實際情況相聯系,不具有可操作性。
2、調節時應當考慮的因素
* 公司整體經營戰略決定的人力資源戰略 * 公司整體薪資的承受能力 * 公司對外競爭能力/內部平衡能力(視公司情況而定)
3、調節對象
* 每等級中位數值:確保可被實際操作;確保可被公司承受 * 帶寬:確保薪資整體趨勢符合公司戰略要求
八 分析及具體調整
1、調整中位值 i.調整步驟
* 適當調整每等級中位值為最接近的整數以適應實際日常發放的需要; * 根據公司薪資戰略及內部文化調整個別層級數據,以保證公司整體薪資趨勢符合要求(建議仍以市場數據為基礎,不宜改變過大以保證市場化水平);
* 估算公司全部薪資成本。如果不能承受,則應適當下調部分層級中位數值。若差距過大,則應考慮調低公司薪資在市場上的定位。
ii.調整原則 * 不能過低
* 許多崗位在一條近似值的線上 * 有必要重新評估 * 不能過高
2、調整帶寬 i.調整步驟
* 根據公司薪資戰略調整各等級帶寬,體現公司對于不同層級員工的不同要求和晉升戰略; * 綜合考慮帶寬序列的增長情況,盡量保持由低等到高等的逐漸增長趨勢;
* 根據目前在職者的薪資水平調整帶寬,以使同等級內的薪資差距能夠符合現實變動需要; * 估算公司全部薪資成本。如果不能承受,則應適當減少帶寬以減低同等級內高薪水平。
ii.調整原則
* 根據公司組織結構的變化而變化
* 在薪資增長與績效關聯的情況下薪資范圍較寬
* 根據崗位的性質變化而變化(視公司特性及戰略要求)九.方案確認的原則
1、以市場化回歸后數據作為基礎,整個等級序列應符合市場薪資水平及變化趨勢。同時確保公司整體薪資狀況在市場上符合既定定位,保證公司薪資水平的對外競爭性;
2、應與公司實際情況緊密相連,保證公司內部相對平衡,又對不同層次員工適當拉開薪資比重以促進員工優秀表現;
3、應估算公司的實際承受能力,基本能夠達到公司正常人力資本預計開支程度。
第四部分 薪資體系調整 一.薪資確定
考慮到本次咨詢項目是XX 第一次實行根據科學的崗位評價方法確定崗位在公司內部的定位,并基于此對崗位進行合理的薪酬定價工作,項目小組希望能就新、舊體系轉變的問題提出一點建議,僅供XX 人力資源部同事參考使用
1、確定的原則:
i.建議按照“同職務等級員工的薪資等級排序與其在該職務等級的排序保持一致,但員工在該職務等級內所處的百分位置并不直接對應薪資等級內百分位置”的原則確定初次轉換后各員工薪酬的大致水平
ii.根據員工所屬部門在發展戰略中的定位確定其部門大致薪資等級位置水平,再考慮部門內設每一員工在該部門中的崗位設置情況確定該員工在符合部門薪資等級水平情況下的個人薪資等級位置。另外,也可參考員工司齡等客觀因素對薪資等級位置進行適當調整。
2、實際操作:
i.建議部門經理一級的薪資等級位置由人力資源部提出建議,報管理委員會審批通過執行。
ii.建議部門下設員工的薪資等級位置由人力資源部提出建議,經與各部門經理協商后最終確認。
3、對現有薪資的調整:由于首次對薪資進行調整,必然會出現不符合設計薪資等級的情況出現。我們建議參照現有薪點進行調整:
i.現有薪點位于薪資等級矩陣下方,則調整至該薪資等級最低點。ii.現有薪點位于薪資等級矩陣內,建議不降薪。
iii.現有薪點位于薪資等級矩陣上方,則建議暫時凍結現有薪資的增長,在未來3至5年內公司總體薪資水平普遍上調的情況下,以低于普遍水平的幅度進行緩慢增長,以期通過幾年的調整,使其能夠達到正常的水平及增長。
二.調整的目的
薪資體系是為公司經營戰略服務的,因此隨著公司情況的不斷變化也應作相應的調整以適應公司的進一步發展需要。我們建議XX 可以每年或每半年復審現行的薪資體系,并可結合市場的情況予以適當周整。
三.調整的流程
1、收集和分析更新的市場數據
2、根據市場趨勢及公司發展調整市場薪資曲線
3、根據崗位或等級的變動而調整薪資
4、績效導致的薪資增長
5、決定個人薪資增長 四.具體調整方法
1、計算薪資比率以調整公司整體曲線
* 薪資比率是實際薪資與更新后市場化中位數值的比率,可以表示實際薪資與更新后市場競爭性薪資的比率;
* 市場競爭性薪資是指公司已有明確薪資戰略(在市場上的明確定位)前提下所確定的公司欲比較的競爭性水平;
* 公司根據薪資比率、消費物價指數及公司的預算負擔能力的變動確定整體薪資增長幅度; * 在公司整體調整階段可能運用的新舊薪資體系銜接原則:
現有基本薪酬低于其新薪資等級下限的,可以考慮調整到該下限;
現有基本薪酬高于其新薪資等級上限的,可以保留現有基本薪酬,原則上近期不再調薪; 現有基本薪酬位于其新薪資等級下限和上限之間的,基本薪酬可以保持不變。
2、根據崗位或等級變動而調整
* 如果出現崗位變動,則該員工的固定薪酬水平至少應調整至相應薪資等級的最小值;
* 由于晉升而產生的增長: 增長至新等級的最小值
按兩牽涉級別的中位值差異率增長 按兩牽涉級別的最小值差異額增長
* 公司因業務需要,必要時將人員調整至薪資等級較低的崗位,該員工將保持原薪資等級,視其為個人薪資等級,維持原薪資級別的薪資,一切調薪及有關事宜均依原等級薪資。一旦該員工離開本崗位,新上任的人員薪資依該薪資等級正常對應數值。
3、根據考核期績效表現導致的薪資增長 * 同時基于績效與個點在所處等級中的位置
薪資在其所屬等級中所處的百分位情況相同時,績效優良者比績效較差者加薪幅度大。
* 績效排序位置相同情況下,薪資在其所屬等級中所處的百分位越低,加薪幅度越大。
達到薪資所屬等級最大值后不再加薪。五.決定個人薪資增長的因素
1、通貨膨脹,總體增資
2、目前的薪資水平
3、薪資增長的歷史及趨勢
4、市場上緊缺的技能
5、因績效導致薪資增長的方針
6、其他個人原因 第五部分 月薪的基本說明 一.月薪設計的原則
1、考慮公司整體月薪水平的對外竟爭性
2、考慮公司內部月薪水平的客觀公正性
3、考慮公司目前各崗位的實際月薪水平,以保證新體系的實際可操作性。二.月薪基本體系說明
根據XX 目前的月薪實際水平及結構,結合市場調查數據,確定一套在全公司內推廣使用的月薪體系模式。該套方案適用于公司各部門員工的實際薪酬發放安排。
三.薪酬等級劃分
1、考慮公司的長遠發展,公司的薪酬體系劃分為10級。薪酬結構
第六部分 績效獎金 一.總體思路
1、績效獎金體系設計原則
績效獎金發放的基本原則是以員工在本考核期內績效考核得分情況作為發放獎金力度的標準,以員工本期個人固定薪酬作為發放獎金水平的依據。
二.員工績效獎金標準額的確定 三.績效獎金的設計
項目小組在進行績效獎金體系設計時,考慮公司是生產性企業,員工主觀能動性對公司生產影響較小,因此浮動比例設計較小,同時為了激勵員工進取并整合各部門的績效考核獎金掛鉤方法,決定引人績效獎金系數。通過考察市場上績效獎金發放水平情況,項目小組建議按照下表所述的方法確定每名員工一個考核期內的績效獎金系數。項目小組在每個得分等級中都確定了大致的獎金系數范圍,以供人力
資源部設計整體統一的績效體系參考使用。
1、“得分評等”欄反映員工在當期考核的最終確定等級。
2、“獎金系數”欄反映項目小組建議的該等當期績效獎金系數。人力資源部可以根據當期公司整體績效水平對績效系數進行適當調節。另外,人力資源部還可以依照員工等級的不同,對每名員工最終確定的獎金系數進行微調,從而確保績效發放能夠體現合理的差別,以打破原有的固定水平式的發放模式。
3、對于公司每名員工來說在一個考核期內只能有一個績效得分,因此可以通過上表確定該員工在本考核期內的績效獎金系數范圍。
四.績效獎金的最終確定
在確定了每名員工的績效獎金額度及對應的獎金發放系數后,人力資源部可以根據績效獎金發放標準公式確定該員工在本考核期的績效獎金實際獲得數,并報送各部門總經理確定后予以發放。
員工個人績效獎金=員工績效獎金標準額x 當期績效得分獎金系數 五.特點分析
項目小組設計的績效獎金體系,不僅涵蓋了全公司所有部門各等級員工的績效獎金計算,而且在一定程度上整合了各部門的績效獎金發放力度,達到了體系在全司范圍內的完整性及統一性。
1、部門發放力度的整合
直接的作用就是可以將部門績效發放整合成一套比較完整的體系。在相對統一的標準下進行分配,可以保證績效方法不會因為部門的各種差異而導致不公正的現象發生。公司每個部門的利益都得到了明 確而公平的保護。
2、部門內部的層次性 在該套體系下,人力資源部將為部門每名員工確定大致的績效獎金范圍。我們努力做到這樣的水平可以保證各部門內部的相對公平:一方面各層級員工都可以
獲得與其崗位相符合的績效獎金水平;另一 方面劃分一線生產與二線管理人員,以體現崗位差異性。第七部分 維護及溝通 一.薪資體系設計各部門職責分配
1、人力資源部 負責了解行業薪資水平并在此基礎上設計薪資體系、調整薪資戰略及制定具體實施細則。每年根據 市場變化及公司發展對薪資體系進行一次調整并同時擬訂公司薪資調整預算。
2、部門總經理 對崗位進行分析,提供有關崗位的任職要求,在崗位評估時和確定崗位薪酬時提供重要依據。
3、公司高管 審核及批準公司的薪酬戰略、薪資體系及實施細則。每年審核及批準公司當的薪資調整方案及 調整預算。二.薪資信息的溝通 薪資信息對員工而言,是機密性及私人性的資料。人力資源部應告訴員工其本人薪資水平及相應理 由。在溝通此信息時,必須明確說明,公司可以依照員工在考核期的績效表相應調整其薪資水平。第八部分 附則 解釋權 本說明為 XX 人力資源部與 XX 顧問公司聯合編制完成,如對本說明內容有疑問或意見,請與人力資 源部聯系。62
第四篇:體系結構
一、管道與過濾器
在管道與過濾器風格的軟件體系結構中,每個構件,都有一組輸入和輸出,構件讀輸入的數據流,經過內部處理,然后產生輸出數據流。這種風格的連接件就像是數據流傳輸的管道,將一個過濾器的輸出傳到另一過濾器的輸入。這種風格特別重要的過濾器必須是獨立的實體.它不能與其它的過濾器共享數據,而且一個過濾器不知道它上游和下游的標識。一個管道與過濾器網絡輸出的正確性并不依賴于過濾器進行增量計算過程的順序。
管道與過濾器風格的軟件體系結構具有許多很好的特點:
(1)具有良好的隱蔽性和高內聚、低耦合的特點;
(2)允許設計者將整個系統的輸入,輸出行為看成是多個過濾器的行為的簡單合成:
(3)支持軟件重用。主要提供適合在兩個過濾器之間傳送的數據,任何兩個過濾器都可被連接起來;
(4)系統維護和增強系統性能簡單:
(5)允許對一些如吞吐量、死鎖等屬性的分析:
(6)支持并行執行
但是,這樣的系統也存在著一些缺陷:
(1)通常導致進程成為批處理的結構:
(2)不適合處理交互的應用:
(3)因為在數據傳輸上沒有通用的標準,每個過濾器都增加了解析和合成數據的工作,這樣又導致了系統性能下降,并增加了編寫過濾器的復雜性。(pass理由上已經訴過)
二、數據抽象和面向對象的組織
這種風格建立在數據抽象和面向對象的基礎上,數據的表示方法和它們的相應操作被封裝在一個抽象數據類型或對象中。這種風格的構件是一種對象,或者說是抽象數據類型的實例。對象是一種被稱作管理者的構件,因為它負責保持資源的完整性。對象是通過函數和過程的調用來交互的。
面向對象的系統在編程時有兩大優點:
(1)因為對象對其它對象隱藏它的表示,所以可以改變一個對象的表示,而不影響其它的對象。
(2)設計者可將一些數據存取操作的問題分解成一些交互的代理程序的集合。
但是,面向對象的系統也存在著一些問題
(1)為了使一個對象和另一個對象通過過程調用等方式進行交互,必須知道對象的標識。只要一個對象的標識改變了.就必須修改所有其他明確調用它的對象。
(2)必須修改所有顯式調用它的其它對象,并消除由此帶來的一些副作用。例如,如果A使用了對象B.c也使用了對象B,那么,c對B的使用所造成的對A的影響可能是料想不到的。(不適合,2個缺點)
三、基于事件的隱式調用
基于事件的隱式調用風格的思想:
構件不直接調用一個過程,而是觸發或廣播一個或多個事件。系統中的其它構件中的過程在一個或多個事件中注冊,當一個事件被觸發,系統自動調用在這個事件中注冊的所有過程,這樣,一個事件的觸發就導致了另一模塊中的過程的調用。
基于事件的隱式調用風格的主要特點:
(1)事件的觸發者并不知道哪些構件會被這些事件影響。這樣不能假定構件的處理順序,甚至不知道哪些過程會被調用,因此,許多隱式調用的系統也包含顯式調用作為構件交互的補充形式。
(2)支持重用。在不改變系統中其他接口的情況之下,構件可以非常容易的被其他構件取代。
基于事件的隱式調用風格的主要缺點:
(1)構件放棄了自身對系統計算的控制。(哪些構件響應? 響應的順序是怎么樣的?)
(2)共享區域的數據交換。(正確性的驗證)(可行但不適合)
四、層次系統
層次系統組織成一個層次結構,每一層為上層服務,并作為下層客戶。在一些層次系統中,除了一些精心挑選的輸出函數外,內部的層只對相鄰的層可見。由于每一層最多只影響兩層,同時只要給相鄰層提供相同的接口,允許每層用不同的方法實現,同樣為軟件重用提供了強大的支持。在這一應用領域中.每一層提供一個抽象的功能,作為上層通信的基礎。較低的層次定義低層的交互,最低層通常只定義硬件物理連接。
層次系統有許多可取的屬性:
(1)支持基于抽象程度遞增的系統設計,使設計者可以把一個復雜系統按遞增的步驟進行分解:
(2)支持功能增強,因為每一層至多和相鄰的上下層交互,因此功能的改變最多影響相鄰的上下層:
(3)支持重用。
當然,層次系統也有其不足之處:
(1)并不是每個系統都可以很容易地劃分為分層的模式,甚至即使一個系統的邏輯結構是層次化的,出于對系統性能的考慮,系統設計師不得不把一些低級或高級的功能綜合起來:
(2)很難找到一個通行的、合適的、正確的層次抽象方法。(可行但有難度)
五、倉庫風格
1、黑板系統
黑板系統的傳統應用是信號處理領域,如語音和模式識別。另一應用是松耦合代理數據共享存取。黑板系統主要由三部分組成:知識源、黑板數據結構、控制。
2、三層c,s軟件體系結構
C/S軟件體系結構,即client/server(客戶機/服務器)結構,是基于資源不對等,且為實現共享而提出來的,是20世紀90年代成熟起來的技術,c,s結構將應用系統一分二,服務器(后臺)負責數據管理,客戶機(前臺)完成與用戶的交互任務。c,s體系結構具有強大的數據操作和事務處理能力,模型思想簡單,容易被人們理解和接受。
但隨著企業規模和應用范圍的日益擴大,軟件的復雜程度不斷提高,傳統的c/s結構存在以下幾個局限:
(1)c/s只分兩層結構是單一服務器且以局域網為中心的,所以難以擴展至大型企業廣域網或Internet:
(2)軟、硬件的組合及集成能力有限;
(3)客戶機的負荷太重,難以管理大量的客戶機,系統的性能容易變壞:
(4)數據安全性不好。
正是因為二層c/s有這么多缺點,因此,三層c/s結構應運而生。三層c層結構是將應用功能分成表示層、功能層和數據層三個部分。
三層C/S的解決方案是:對這三層進行明確分割,并在邏輯上使其獨立。原來的數據層作為數據庫管理系統已經獨立出來,所以,關鍵是要將表示層和功能層分離成各自獨立的程序,并且還要使這兩層問的接口簡潔明了。與傳統的二層結構相比,三層c/s結構具有以下優點:
(I)允許合理地劃分三層結構的功能,使之在邏輯上保持相對獨立性,從而使整個系統的邏輯結構更為清晰,能提高系統和軟件的可維護性和可擴展性。
(2)允許更靈活有效地選用相應的平臺和硬件系統,使之在處理負荷能力上與處理特性上分別適應于結構清晰的三層;并且這些平臺和各個組成部分可以具有良好的可升級性和開放性。
(3)三層c/s結構中.應用的各層可以并行開發,各層也可以選擇各自最適合的開發語言。
(4)允許充分利用功能層有效地隔離開表示層與數據層,來授權的用戶難以繞過功能層而利用數據庫工具或黑客手段去非法地訪問數據層,這就為嚴格的安全管理奠定堅實的基礎;整個系統的管理層次也更加合理和可控制。
3、B/S軟件體系結構
B/S體系結構.即Browser/Server(瀏覽器/服務)結構,是隨著如Internet的興起,對c/s體系結構的一種變化或者改進的結構。在B/S體系結構下。用戶界面完全通過www瀏覽器實現,一部分事務邏輯在前端實現.但是主要事務邏輯在服務器端實現。
B/s體系結構主要是利用不斷成熟的www瀏覽器技術,結合瀏覽器的多種腳本語言,用通用瀏覽器就實現了原來需要復雜的專用軟件才能實現的強大功能,并節
約了開發成本.是一種全新的軟件體系結構。基于B/S體系結構的軟件,系統安裝、修改和維護全在服務器端解決。用戶在使用系統時.僅僅需要1個瀏覽器就可運行全部的模塊,真正達到了“零客戶端”的功能,很容易在運行時自動升級。B/s體系結構還提供了異種機、異種網、異種應用服務的聯機、聯網、統一服務的最現實的開放性基礎。
但是,與c/s體系結構相比,B/s體系結構也有許多不足之處,例如:
(1)早期B,s體系結構缺乏對動態頁面的支持能力,(2)B,s體系結構的系統擴展能力差,安全性也難以控制。
(3)采用B/s體系結構的應用系統,在數據查詢等響應速度上,要遠遠地低于C/S體系結構。
(4)B,s體系結構的數據提交一般以頁面為單位,數據的動態交互性不強,不利于在線事務處理(OLTP)應用。
想法:
考慮到
第五篇:局域網的體系結構
商丘工學院畢業論文(設計)
摘要 在這個“網絡就是計算機”的時代,伴隨著有線網絡的廣泛應用,以快捷高效,組網靈活為優勢的無線網絡技術也在飛速發展。無線局域網是計算機網絡與無線通信技術相結合的產物。從專業角度講,無線局域網利用了無線多址信道的一種有效方法來支持計算機之間的通信,并為通信的移動化、個性化和多媒體應用提供了可能。無線局域網(Wireless local-area network,WLAN)是無線通信技術與網絡技術相結合的產物。從專業角度講,無線局域網就是通過無線信道來實現網絡設備之間的通信,并實現通信的移動化、個性化和寬帶化。通俗地講,無線局域網就是在不采用網線的情況下,提供以太網互聯功能。
無線局域網是隨著無線通信技術的快速發展而出現的一種新型網絡。本文介紹了無線局域網的體系結構、發展現狀、技術難點,以及搭建“莞工”無線局域網的需求分析和設備支持等。
廣闊的應用前景、廣泛的市場需求以及技術上的可實現性,促進了無線局域網技術的完善和產業化,已經商用化的802.11b網絡也正在證實這一點。隨著802.11a網絡的商用和其他無線局域網技術的不斷發展,無線局域網將迎來發展的黃金時期。關鍵字:無線局域網、通信、局域網標準、802.11b、現狀及前景
目錄
概要.......................................................錯誤!未定義書簽。第一章 無線局域網的發展歷史.................................................3 1.1 wi-fi(無線局域網)的發展................................................3 第二章.需求分析...........................................錯誤!未定義書簽。
2.1 局域網設計背景......................................錯誤!未定義書簽。2.2 局域網的功能需求....................................錯誤!未定義書簽。第三章.詳細設計...........................................錯誤!未定義書簽。
3.1 設計方案描述........................................錯誤!未定義書簽。3.2 宿舍網絡拓撲圖......................................錯誤!未定義書簽。
3.2.1 整體網絡拓撲圖.................................錯誤!未定義書簽。3.2.2 樓層內網絡拓撲圖...............................錯誤!未定義書簽。3.2.3 宿舍內網絡拓撲結構圖...........................錯誤!未定義書簽。3.3 IP地址分配..........................................錯誤!未定義書簽。3.4 設備選擇............................................錯誤!未定義書簽。
I
商丘工學院畢業論文(設計)
3.4.1 路由器選擇.....................................錯誤!未定義書簽。3.4.2 服務器的選擇...................................錯誤!未定義書簽。3.4.3 交換機的選擇...................................錯誤!未定義書簽。3.4.4 線路的選擇.....................................錯誤!未定義書簽。3.5設備配置............................................錯誤!未定義書簽。
3.5.1 配置單.........................................錯誤!未定義書簽。3.5.2 路由器配置.....................................錯誤!未定義書簽。3.5.3 CAMS的配置...................................錯誤!未定義書簽。3.5.4 DHCP的安裝與配置.............................錯誤!未定義書簽。3.5.5 DNS服務器安裝與配置...........................錯誤!未定義書簽。3.6 Internet接入.........................................錯誤!未定義書簽。第四章 無線局域網的組網實現................................錯誤!未定義書簽。
4.1 組建家庭無線局域網..................................錯誤!未定義書簽。
4.1.1 選擇組網方式...................................錯誤!未定義書簽。4.1.2 硬件安裝.......................................錯誤!未定義書簽。4.1.3 設置網絡環境...................................錯誤!未定義書簽。4.2 組建辦公無線局域網..................................錯誤!未定義書簽。
4.2.1 組建前的準備...................................錯誤!未定義書簽。4.2.2 安裝網絡設備...................................錯誤!未定義書簽。4.2.3 設置網絡環境...................................錯誤!未定義書簽。
第五章.參考文獻...........................................錯誤!未定義書簽。
II
商丘工學院畢業論文(設計)
第一章 無線局域網的發展歷史
無線網絡的初步應用,可以追溯到五十年前的第二次世界大戰期間,當時美國陸軍采用無線電信號做資料的傳輸。他們研發出了一套無線電傳輸科技,并且采用相當高強度的加密技術。當初美軍和盟軍都廣泛使用這項技術。這項技術讓許多學者得到了靈感,在1971年時,夏威夷大學(University of Hawaii)的研究員創造了第一個基于封包式技術的無線電通訊網絡,這被稱作ALOHNET的網絡,可以算是相當早期的無線局域網絡(WLAN)。這最早的WLAN包括了7臺計算機,它們采用雙向星型拓撲(bi-directional star topology),橫跨四座夏威夷的島嶼,中心計算機放置在瓦胡島(Oahu Island)上。從這時開始,無線網絡可說是正式誕生了。雖然目前幾乎所有的局域網絡(LAN)都仍舊是有線的架構,不過近年來無線網絡的應用卻日漸增加,主要應用在學術界(像是大學校園)、醫療界、制造業和倉儲業等,而且相關的技術也一直在進步,對企業而言要轉換到無線網絡也更加容易、更加便宜了。
1.1 wi-fi(無線局域網)的發展
廣義而言,無線局域網絡可歸類為光束,高頻無線電波兩大種。經光作為傳輸媒介的無線網絡時,兩個端點必須在可以互相看得到的一直線,也就是所謂的 LOS,中間若有阻隔則通訊就會停擺,相信擁有筆記本電腦的讀者大多都能了解,畢竟IRDA紅外線傳輸已大量內建于商用筆記本電腦及PDA等,有鑒于光束 難以穿透大多障礙物,無線網絡的應用開始朝著高頻無線電波的方向走,包括窄帶微波。由于源自軍事應用的展頻通訊具備高可靠性,高保密性而且不易受到干擾的 特性。現在已蔚為主流。而wi-fi展頻技術主要又分為直接序列展頻DSSS,跳頻展頻兩類。
1999年 802.11a定義了一個在5GHz ISM頻段上的數據傳輸速率可達54Mbit/s的物理層,802.11b定義了一個在2.4GHz的ISM頻段上但數據傳輸速率高達11Mbit/s的 物理層。2.4GHz的ISM頻段為世界上絕大多數國家通用,因此802.11b得到了最為廣泛的應用。蘋果公司把自己開發的802.11標準起名
商丘工學院畢業論文(設計)
叫 AirPort。1999年工業界成立了Wi-Fi聯盟,致力解決符合802.11標準的產品的生產和設備兼容性問題。802.11標準和補充。802.11,1997年,原始標準(2Mbit/s 工作在2.4GHz)。802.11a,1999年,物理層補充(54Mbit/s工作在5GHz)。802.11b,1999年,物理層補充(11Mbit/s工作在2.4GHz)。
802.11c,符合802.1D的媒體接入控制層(MAC)橋接(MAC Layer Bridging)。802.11d,根據各國無線電規定做的調整。
802.11e,對服務等級(Quality of Service, QS)的支持。802.11f,基站的互連性(Interoperability)。802.11g,物理層補充(54Mbit/s工作在2.4GHz)。
802.11h,無線覆蓋半徑的調整,室內(indoor)和室外(outdoor)信道(5GHz頻段)。
802.11i,安全和鑒權(Authentification)方面的補充。
802.11n,導入多重輸入輸出(MIMO)技術,基本上是802.11a的延伸版。除了上面的IEEE標準,另外有一個被稱為IEEE802.11b+的技術,通過PBCC技術(Packet Binary Convolutional Code)在IEEE802.11b(2.4GHz頻段)基礎上提供22Mbit/s的數據傳輸速率。但這事實上并不是一個IEEE的公開標準,而是一項產權私有的技術(產權屬于美國德州儀器,Texas Instruments)。也有一些被稱為802.11g+的技術,在IEEE802.11g的基礎上提供108Mbit/s的傳輸速率,跟 802.11b+一樣,同樣是非標準技術,由無線網絡芯片生產商Atheros所提倡的則為SuperG。
另外值得注意的是,無線局域網絡產品核心一無線網絡卡亦有出貨方面的消長。原本占最大比例的接口網絡卡開始大量消退,取而代之的是迷你PCI接口無線網絡卡或模塊的崛起。由于許多WLAN網絡設備都以迷你PCI通訊模塊取代以往的內建PCMCIA適配卡,因此迷你PCI接口的占有率節節上升。不過最新的趨勢是系統芯片SOC將微處理與無線網絡卡基頻芯片整合,可大幅省成本,是各廠爭相開發的新技術。
盡管我國臺灣在WLAN產量全球市場占有率達80%,屬于世界第一,然而根據研院發布的數據展示,我國臺灣無線通訊的產值僅達全球30%,在產量與 產
商丘工學院畢業論文(設計)
值的不對稱情況下,隨著全球無線產品通路競爭的白熱化,生產代工WLAN可以說是賺辛苦錢。我國臺灣業者除了進一步挑戰高價值的無線芯片設計,自立研發 無線通訊芯片及其相關網絡技術,促進其零組件進一步國產,更應該著眼于高獲利的系統整合與智能加值服務,而非僅將氣力擺在壓低制造成本,以高品質的產品規 劃出完整解決方案與服務,走出削價競爭的循環,如此WLAN霸業才有前途。以加值服務而言,最有商機的莫守于應用wi-fi的公眾無線上網服務,我國于公元2003年已有超過百處的公眾無線上網熱點,各大電信運營商于未來 更將設置許多公眾無線網絡,無線寬帶上網計劃等,看準全球科技趨勢,不遺余力地推廣宣導,以促進全民無線上網,提升我國無線局域網產業的競爭力。
第二章 無線局域網的體系結構
無線局域網使用紅外線和射頻傳輸介質,可以提供高達11Mbps傳輸速度。本文重點介紹IEEE 803.11標準、基本構件模塊以及性能參數(如可移動性和安全性)等方面的情況。
同IEEE802.3以太網標準允許用雙絞線和同軸電纜進行數據傳輸類似,802.11標準通過無線頻率傳輸數據,包括用紅外線(IR)以及在未管制的2.4GHz頻段的兩種無線傳輸媒介:跳頻擴譜(FH-SS)和直接順序擴譜(DS-SS)。擴譜是一種在二戰期間發展起來的調制技術,它在無線電頻率的寬頻帶上發送傳輸信號。這種技術對無線數據通信非常理想,因為它不易受到無線電噪聲的影響而且幾乎不產生干擾。跳頻擴譜被限制在2Mbps數據傳輸率,并建議用在特定的應用中,比如某種船舶等。對于其他所有的無線局域網服務,直接順序擴譜是一個更好的選擇。最近發布的IEEE標準802.11b中,允許采用DS-SS的以太網達到11Mbps數據率。
早期的無線局域網技術都屬于低速應用,數據率為1Mbps到2Mbps。雖然存在這樣的缺點,但無線所具有的自由度和機動性仍使得這些產品在多個領域發揮作用,比如在零售業和倉庫管理中,流動的工作人員使用手持設備進行庫存管理和數據采集。后來,醫院也開始應用無線技術在病床邊傳送病人信息。
接著,在大學里開始安裝無線網絡以節省敷設電纜的費用以及共享Internet接入。早期的無線設備供應商很快意識到,為了使這項技術獲得更廣泛的市場認同,需要一個類似以太網的標準。他們在1991年聯合起來,最初是提議,然后利用分布式技術制訂了一個標準。1997年6月,IEEE發布了針對無線局域網的802.11標準。
商丘工學院畢業論文(設計)
顧名思義,無線局域網確實就像它的名字一樣--具有傳統局域網技術(如以太網和令牌環)的所有特性和優點,卻沒有電線或電纜的限制(圖1)。
圖1
無線局域網用紅外線或者射頻取代雙絞線或光纖作為傳輸媒介。在紅外線和射頻兩者中,無線電信號因為覆蓋范圍廣且帶寬高,因而應用更加廣泛。目前無線局域網大多使用2.4GHz頻段,這是RF頻譜中唯一在全球保留的非管制應用部分。無線網絡的自由度和機動性使其既可以應用于樓宇內,也可以用于建筑物之間。網絡構造模塊
與有線網絡對應部分非常相似,樓宇內無線局域網設備也包括PC插卡、PCI或ISA用戶適配器以及功能類似于有線網絡集線器的接入點(圖2)。
圖2
商丘工學院畢業論文(設計)
無線局域網收發器充當網絡集線器,為無線和有線網絡之間的數據通信提供連接。同小型或臨時安裝的有線局域網一樣,無線局域網可以只需用戶適配器就配置成為對等或其它特定拓撲結構。如果希望再有額外的功能和范圍,接入點還可以結為一體充當星型拓撲的中心,實現相當于以太網絡中網橋的功能。
在一座樓內,有了無線局域網就可以在移動點或固定點進行計算處理。將PC用戶適配器插卡安裝在筆記本電腦或手持式PC中,用戶就能夠自由移動,同時保持與網絡的連接。
在臺式系統中應用無線局域網技術,可以獲得傳統局域網無法實現的那種非常靈活的組織形式。如圖3所示,圖3
臺式用戶系統能置于無法鋪設電纜的地方,而且可根據需要,隨時在組織內的任何地方重新布置。因此無線技術非常適合于臨時性工作小組以及迅速增長的機構中。
與商業無線電信號可以在任何天氣情況下從發射機接收信號相同,無線局域網技術由于采用無線電波從而真正地重新定義了局域網中“局域”的概念。通過無線網
商丘工學院畢業論文(設計)
橋,即使相隔幾公里的建筑物,其內部網絡也可以合成為一個局域網。當在建筑物之間用傳統的銅纜或光纜連接時,高速公路、湖泊、甚至地方政府都會成為無法克服的障礙,但無線網橋使這些障礙變得不會再有什么關系,它在空中傳輸數據,不需要為建立通路申請許可。
無線網橋可以出資購買,用一個下午就可安裝完畢,其成本通常與一個T1的安裝費用相當。一旦投資完成,以后就不會再有費用發生。性能參數
IEEE 802.11b無線局域網標準運行于2.4GHz頻段,仍然還有帶寬增長的余地。通過使用在802.11b規范中的一種可選調制技術,使現有數據率加倍是完全可能的。
為了提高網絡速度,無線局域網的制造商已從900MHz頻段移向到2.4GHz頻段。這種趨勢肯定還會繼續下去而達到更廣闊的頻帶,這時將能夠支持可以用在5GHz的更高帶寬。IEEE已經針對運行于5GHz且支持速度高達54Mbps的設備發布了規范。
一般來說,價格隨著時間的推移會降低,同時數據率則會增加,5.7GHz頻段肯定能用于下一個突破性數據速率:100Mbps。
802.11標準的有線等同保密性(WEP)選項僅僅是滿足用戶安全需求的第一步,當WEP激活時,每一個站點(包括用戶和接入點)都有四個密鑰,這些密鑰用于在數據通過廣播頻率傳輸之前加密數據。如果站點接收到用不正確的密鑰加密的信息包,那么該信息包將會被丟棄,不再傳送給主機。
盡管802.11標準提供了很強的加密服務來確保無線局域網的安全,但是安全密鑰認可、廢除以及刷新的方法仍未確定,不過幸好還有幾種密鑰管理結構。對于大型網絡最好的方法是使用加密密鑰服務器對密鑰集中管理,加密密鑰服務器可進行密鑰的集中生成、密鑰分配以及密鑰輪換等。密鑰服務器使網絡管理員能夠在用戶的層次上,控制用戶鑒定所需的RSA公共/個人密鑰對生成。無線接入點
無線局域網最主要的優點就是機動性,但是目前沒有工業標準滿足對管理信息庫(MIB)中移動設備的跟蹤和管理,這一遺漏將禁止用戶在公共區域(如一座建筑物的各樓層間)的無線接入點之間漫游。Cisco提出一種用于在一個IP域(比如一層樓)內漫游的機動算法,來解決這一問題,并打算對其進行優化以便在更大的IP域內(如企業或校園內)漫游。
無線接入點可行使網絡集線器和交換器功能(圖4)。
商丘工學院畢業論文(設計)
圖4
與接入點相連的無線用戶共享無線局域網,這與網絡集線器的功能類似。但是,接入點還可以跟蹤穿越其服務區域用戶的移動,并在與之通信后決定是否允許其進行信息傳遞。對于使用這些服務并從中獲益的網絡管理員來說,有必要將這些接入點裝配成網絡集線器和交換器。
一些制造商正在提供易于管理的無線局域網設備,通過普通的Telnet或SNMP服務和Web瀏覽器就可以對其進行監測和控制。除了連接統計和計數器,接入點還應具有其他功能而使其更強大、更易管理,這些功能包括無線接入點及與之相連用戶的映射,以及用戶統計監測報告。
接入點也可以通過媒介訪問控制(MAC)和協議級訪問清單來控制接入與通過無線局域網的通信數據流。配置參數同接入點代碼圖像可以集中配置管理,便于整個無線局域網絡都具有一致性。更快、更好、更便宜
隨著產量持續增加,規模經濟效應會使價格進一步下降。但就算將電纜鋪設費用和人工也加以考慮,要無線用戶適配器的價格與有線用戶適配器的價格相當還是不太可能的,不過差別會變得越來越無關緊要。
有線局域網技術進步的歷史可以總結為“更快、更好、更便宜”,而無線局域網也開始在沿著這條路走下去:數據率從1Mbps增加到11Mbps、互用性隨著IEEE 802.11標準的引入成為現實以及價格開始大幅度下降。
商丘工學院畢業論文(設計)
無線局域網已經重新定義,它意味著可以通過延伸局域網的邊界進行連接,形成一種隨需要而變化的動態結構。通過采用統一的標準和可互用無線產品,局域網可以利用有線結構擴展到難以想象的規模。它僅需傳統廣域技術投資的一部分,就可實現高速互連。在無線世界,用戶不僅可以在校園,而且還可在城市內漫游,同時保持與外部網、內部網以及Internet的高速連接。
局域網的體系結構
局域網的體系結構與廣域網的體系結構有很大的區別,廣域網使用的是點到點連接的網絡,各個主機之間通過很多個節點組成的網絡進行通信。而局域網則使用廣播信道,即所有的主機都連接到同一傳輸媒體上,各主機對傳輸媒體的控制和使用采用多路訪問信道及隨機訪問信道機制。
1980年2月成立IEEE802委員會(IEEEInstitute of Electrical and Electronics Engineers INC,即電器和電子工程師協會)。該委員會制定了一系列局域網標準,稱為IEEE802標準。目前許多802標準已經成為ISO國際標準。
由于局域網不需要路由選擇,因此它并不需要網絡層,而只需要最低的兩層:物理層和數據鏈路層。
按IEEE802標準,又將數據鏈路層分為兩個子層:介質訪問控制子層(MAC-Media Access Control)和邏輯鏈路子層LLC(Logical Link Control)。
因此,在IEEE802標準中,局域網體系結構由物理層、介質訪問控制子層(MAC-Media Access Control)和邏輯鏈路子層LLC(Logical Link Control)組成。
商丘工學院畢業論文(設計)
圖4-4 局域網的802參考模型與ISO/RM的對比
局域網的鏈路層有兩種不同的數據單元:LLC PDU和MAC幀。
圖4-5 LLC PDU和MAC幀的關系
(1)物理層
物理層的主要作用是確保二進制位信號的正確傳輸,包括位流的正確傳送與正確接收。局域網物理層制定的標準規范主要有如下一些內容:
? 局域網傳輸介質與傳輸距離
? 物理接口的機械特性、電氣特性、性能特性和規程特性特性
? 傳輸信號的編碼方案,局域網常用的編碼方案有:曼徹斯特碼、差分曼徹斯特碼、非歸零碼、4B/5B碼、8B/6T和8B/10B等。? 錯誤校驗碼以及同步信號的產生與刪除
商丘工學院畢業論文(設計)
? 傳輸速率 ? 拓撲結構 ? 信令方式
(2)LLC子層(邏輯鏈路控制)
LLC也是數據鏈路層的一個功能子層。LLC在MAC子層的支持下向網絡層提供服務。可運行于所有802 局域網和城域網協議之上的數據鏈路協議,被稱為邏輯鏈路控制LLC。
LLC子層與傳輸介質無關,它獨立于介質訪問控制方法,隱藏了各種802網絡之間的差別,向網絡層提供一個統一的格式和接口。
LLC子層的功能包括:數據幀的組裝與拆卸、幀的收發、差錯控制、數據流控制和發送順序控制等功能并為網絡層提供兩種類型的服務,面向連接服務和無連接服務。
一個主機當中可能有多個進程在運行,它們可能同時與其他主機上的一個或多個進程進行通信。因此,在一個主機的LLC子層上應設多個服務訪問點(SAP),以便向多個進程提供服務,這些服務訪問點共享數據鏈路。
圖4-6 多個SAP復用一條數據鏈路
因此,在局域網的進程通信時,需要以下兩種地址:
(3)MAC地址 即主機在網絡中的主機地址或物理地址,這由MAC幀負責傳送;(4)SAP地址 即進程在某一個主機中的地址,也就是LLC子層上面的服務訪問點SAP,這由LLC幀負責傳送。
因此,LAN中的尋址分成兩步
根據MAC地址找到目的站點
根據SAP地址找到該站點中的相應進程
LLC提供的服務:4種操作類型
LLC1:不確認的無連接服務,適用于廣播、組播通信,周期性數據采集
LLC2:面向連接服務,適用于長文件傳輸
LLC3:帶確認的無連接服務,適用于傳送可靠性和實時性都要求的信息,如告警信息
LLC4:高速傳送服務,適用于MAN
LLC的幀結構
商丘工學院畢業論文(設計)
圖4-7 LLC的幀結構
I/G: 0--單個SAP地址--組地址(全1為廣播地址)C/R: 0--命令幀--響應幀
控制字段:信息幀和監督幀與HDLC的擴展字段相同(2B)
無編號幀與HDLC的相同(1B)
(3)MAC子層(介質訪問控制)
MAC是數據鏈路層的一個功能子層。MAC構成了數據鏈路層的下半部,它直接與物理層相鄰。它的主要功能是進行合理的信道分配,解決信道競爭問題。它在支持LLC子層中,完成介質訪問控制功能,為競爭的用戶分配信道使用權,并具有管理多鏈路的功能。
MAC子層為不同的物理介質定義了介質訪問控制標準。目前,IEEE802已規定的介質訪問控制標準有著名的帶沖突檢測的載波監聽多路訪問(CSMA/CD)、令牌環(Token-Ring)和令牌總線(Token-Bus)等。
MAC地址:物理地址(或硬件地址)的劃分
MAC地址用來區別一個局域網上的主機,相當于一臺主機的唯一標識符,通常被燒制在網卡中。網卡從網上每收到一個MAC幀,首先檢查其硬件地址,若與本卡的MAC地址相同,則接收,否則就丟棄。
MAC地址字段可以采用兩種形式之一: 6B 全球范圍,2B 單位范圍。但6B最常用,即MAC地址采用6字節,共48位。
為了保證MAC地址不會重復,由IEEE作為MAC地址的法定管理機構,它負責將地址字段的前3個字節(高24位)統一分配給廠商,而低24位則由廠商分配。
圖4-8 6B、2B結構的MAC地址結構
地址類型標識:地址字段的第一字節的最低位I/G 0--單個站地址
商丘工學院畢業論文(設計)
1--組地址
地址范圍標識:地址字段的第一字節的最低第二位U/L 0--局部管理--全局管理
IEEE802局域網標準
IEEE802委員會于1984前后年公布了五項標準:IEEE802.1-IEEE802.5,最新的千兆以太網技術目前也已標準化。
IEEE802.1 —局域網概述、體系結構、網絡管理和網絡互聯
IEEE802.2 —邏輯鏈路控制 LLC
IEEE802.3—CSMA/CD訪問方法和物理層規范,主要包括如下幾個標準:
IEEE802.3 — CSMA/CD介質訪問控制標準和物理層規范:定義了四種不同介質10Mbps以太網規范 :10BASE2、10BASE5、10BASET、10BASEF
IEEE802.3u — 100Mbps快速以太網標準,現已合并到802.3中
IEEE802.3z — 光纖介質千兆以太網標準規范
IEEE802.3ab — 傳輸距離為100米的5類無屏蔽雙絞線介質千兆以太網標準規范
IEEE802.4—Token Passing BUS(令牌總線)
IEEE802.5—Token Ring(令牌環)訪問方法和物理層規范
IEEE802.6—城域網訪問方法和物理層規范
IEEE802.7—寬帶技術咨詢和物理層課題與建議實施
IEEE802.8—光纖技術咨詢和物理層課題
IEEE802.9—綜合聲音/數據服務的訪問方法和物理層規范
IEEE802.10 —安全與加密訪問方法和物理層規范
IEEE802.11 —無線局域網訪問方法和物理層規范,包括:
IEEE802.11a、IEEE802.11b、IEEE802.11c 和IEEE802.11q標準。
IEEE802.12 —100VG-AnyLAN快速局域網訪問方法和物理層規范
商丘工學院畢業論文(設計)
圖4-9 IEEE802各分委員會結構關系與局域網標準圖
第三章 無線局域網的安全探討
隨著WLAN(無線局域網)技術的快速發展,WLAN市場、服務和應用的增長速度非常驚人,各級組織在選用WLAN產品時如何使用安全技術手段來保護WLAN中傳輸的數據——特別是敏感的、重要的數據的安全,是值得考慮的非常重要的問題,必須確保數據不外泄和數據的完整性。
通常網絡的安全性主要體現在兩個方面:一是訪問控制,它用于保證敏感數據只能由授權用戶進行訪問;另一個是數據加密,它用于保證傳送的數據只被所期望的用戶所接收和理解。無線局域網相對于有線局域網所增加的安全問題主要是由于其采用了電磁波作為載體來傳輸數據信號,其他方面的安全問題兩者是相同的。
商丘工學院畢業論文(設計)4.1 WLAN的訪問控制技術
(1)服務集標識SSID(Service Set Identifier)匹配
通過對多個無線AP設置不同的SSID標識字符串(最多32個字符),并要求無線工作站出示正確的SSID才能訪問AP,這樣就可以允許不同群組的用戶接入,并對資源訪問的權限進行區別限制。但是SSID只是一個簡單的字符串,所有使用該無線網絡的人都知道該SSID,很容易泄漏;而且如果配置AP向外廣播其SSID,那么安全程度還將下降,因為任何人都可以通過工具或Windows XP自帶的無線網卡掃描功能就可以得到當前區域內廣播的SSID。所以,使用SSID只能提供較低級別的安全防護。
(2)物理地址(MAC,Media Access Control)過濾
由于每個無線工作站的網卡都有唯一的類似于以太網的48位的物理地址,因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現基于物理地址的過濾。如果各級組織中的AP數量很多,為了實現整個各級組織所有AP的無線網卡MAC地址統一認證,現在有的AP產品支持無線網卡MAC地址的集中RADIUS認證。物理地址過濾的方法要求AP中的MAC地址列表必須及時更新,因此此方法維護不便、可擴展性差;而且MAC地址還可以通過工具軟件或修改注冊表偽造,因此這也是較低級別的訪問控制方法。
(3)端口訪問控制技術(IEEE 802.1x)和可擴展認證協議(EAP)由于以上兩種訪問控制技術的可靠性、靈活性、可擴展性都不是很好,802.1x協議應運而生,802.1x定義了基于端口的網絡接入控制協議(Port Based Network Access Control),其主要目是為了解決無線局域網用戶的接入認證問題,802.1x架構的優點是集中式、可擴展,雙向用戶驗證。有線局域網通過固定線路連接組建,計算機終端通過網線接入固定位置物理端口,實現局域網接入,這些固定位置的物理端口構成有線局域網的封閉物理空間。但是,由于無線局域網的網絡空間具有開放性和終端可移動性,所以很難通過網絡物理空間來界定終端是否屬于該網絡,因此,如何通過端口認證來防止非法的移動終端接入本單位的無線網絡就成為一項非常現實的問題。
IEEE 802.1x提供了一個可靠的用戶認證和密鑰分發的框架,可以控制用戶只有在認證通過以后才能連接到網絡。但IEEE 802.1x本身并不提供實際的認證機制,需要和擴展認證協議
商丘工學院畢業論文(設計)
EAP(Extensible Authentication Protocol)配合來實現用戶認證和密鑰分發。EAP允許無線終端使用不同的認證類型,與后臺的認證服務器進行通訊,如遠程認證撥號用戶服務器(RADIUS)交互。EAP的類型有EAP-TLS、EAP-TTLS、EAP-MD5、PEAP等類型,EAP-TLS是現在普遍使用的,因為它是唯一被IETF(因特網工程任務組)接受的類型。當無線工作站與無線AP關聯后,是否可以使用AP的受控端口要取決于802.1x的認證結果,如果通過非受控端口發送的認證請求通過了驗證,則AP為無線工作站打開受控端口,否則一直關閉受控端口,用戶將不能上網。認證過程如圖1所示。
4.2 WLAN的數據加密技術
(1)WEP(Wired Equivalent Privacy)有線等效保密協議
為了保證數據能安全地通過無線網絡傳輸而制定的一個加密標準,使用了共享秘鑰RC4加密算法,只有在用戶的加密密鑰與AP的密鑰相同時才能獲準存取網絡的資源,從而防止非授權用戶的監聽以及非法用戶的訪問。密鑰長度最初為40位(5個字符),后來增加到128位(13個字符),有些設備可以支持152位加密。
WEP標準在保護網絡安全方面存在固有缺陷,例如一個服務區內的所有用戶都共享同一個密鑰,一個用戶丟失或者泄漏密鑰將使整個網絡不安全。另外,WEP加密有自身的安全缺陷,有許多公開可用的工具能夠從互聯網上免費下載,用于入侵不安全網絡。而且黑客有可能發現網絡傳輸,然后利用這些工具來破解密鑰,截取網絡上的數據包,或非法訪問網絡。
(2)WPA保護訪問(Wi-Fi Protected Access)技術
WEP存在的缺陷不能滿足市場的需要,而最新的IEEE 802.11i安全標準的批準被不斷推遲,Wi-Fi聯盟適時推出了WPA技術,作為臨時代替WEP的無線安全標準協議,為IEEE 802.11無線局域網提供較強大的安全性能。WPA實際上是IEEE 802.11i的一個子集,其核心就是
IEEE 802.1x和TKIP。
新一代的加密技術TKIP,與WEP一樣基于RC4加密算法,但對現有的WEP進行了改進,使用了動態會話密鑰。TKIP引入了48位初始化向量(IV)和IV順序規則(IV Sequencing Rules)、每包密鑰構建(Per-Packet Key Construction)、Michael消息完整性代碼(Message Integrity Code,MIC)以及密鑰重獲/分發4個新算法,極大提高了無線網絡數據加密安全強度。
商丘工學院畢業論文(設計)
WPA之所以比WEP更可靠,就是因為它改進了WEP的加密算法。由于WEP密鑰分配是靜態的,黑客可以通過攔截和分析加密的數據,在很短的時間內就能破解密鑰。而在使用WPA時,系統頻繁地更新主密鑰,確保每一個用戶的數據分組使用不同的密鑰加密,即使截獲很多的數據,破解起來也非常地困難。
(3)WLAN驗證與安全標準—IEEE 802.11i 為了進一步加強無線網絡的安全性和保證不同廠家之間無線安全技術的兼容,IEEE802.11工作組于2004年6月正式批準了IEEE 802.11i安全標準,從長遠角度考慮解決IEEE 802.11無線局域網的安全問題。IEEE 802.11i標準主要包含的加密技術是TKIP(Temporal Key ntegrity Protocol)和AES(Advanced Encryption Standard),以及認證協議IEEE 802.1x。定義了強壯安全網絡RSN(Robust Security Network)的概念,并且針對WEP加
密機制的各種缺陷做了多方面的改進。
IEEE 802.11i規范了802.1x認證和密鑰管理方式,在數據加密方面,定義了TKIP(Tem-poral Key Integrity Protocol)、CCMP(Counter-Mode/CBC2 MAC Protocol)和WRAP(Wireless Ro2bust Authenticated Protocol)三種加密機制。其中TKIP可以通過在現有的設備上升級固件和驅動程序的方法實現,達到提高WLAN安全的目的。CCMP機制基于AES(Advanced Encryption Standard)加密算法和CCM(Counter2Mode/CBC2MAC)認證方式,使得WLAN的安全程度大大提高,是實現RSN的強制性要求。AES是一種對稱的塊加密技術,有128/192/256位不同加密位數,提供比WEP/TKIP中RC4算法更高的加密性能,但由于AES對硬件要求比較高,因此CCMP無法通過在現有設備的基礎上進行升級實現。
(4)虛擬專用網絡(VPN)虛擬專用網絡(VPN)是指在一個公共IP網絡平臺上通過隧道以及加密技術保證專用數據的網絡安全。它不屬于802.11標準定義,是以另外一種強大的加密方法來保證傳輸安全的技術,可以和其它的無線安全技術一起使用。VPN協議包括二層的PPTP/L2TP協議和三層的IPSec協議,IPSec用于保護IP數據包或上層數據,IPSec采用諸如數據加密標準(DES)和168位三重數據加密標準(3DES)以及其它數據包鑒權算法來進行數據加密,并使用數字證書來驗證公鑰,VPN在客戶端與各級組織之間架起一條動態加密的隧道,并支持用戶身份驗證,實現高級別的安全。VPN支持中央安全管理,不足之處是需要在客戶機中進行數據的加密和解密,增加了系統的負擔,另外要求在AP后面配備VPN集中器,從而提高了成本。無
商丘工學院畢業論文(設計)
線局域網的數據用VPN技術加密后再用無線加密技術加密,就好像雙重門鎖,提高了可靠
性。
以上便是,伴隨WLAN一路發展而來的幾種安全機制,目前相對來說,比較完善、正在使用的是基于IEEE 802.11的WLAN安全機制,WEP提供了大部分的安全服務,在無線客戶端與AP進行通信時,保護鏈路層數據,也就是說,WEP只能提供無線連接部分的安全性,而不提供端對端的安全性,即AP與有線主機之間的數據通信不受WEP保護。
無線局域網目前正處于蓬勃發展時期,而無線局域網的安全問題 也是業界尤為關注的焦點之一。只有在現有的無線局域網安全框架基礎上,運用相關的關鍵技術搭建一個增強的、有足夠安全性的無線局域網,才能推動無線局域網的實際應用,尤其是在企業、機關等重要部門中的使用。也只有這樣,無線局域網才能安全順利地與其他有線網絡、無線網絡乃至3G網絡實現互聯互通,并發揮其巨大的潛力。
點擊咨詢 