校園無線網安全策略研究

摘要：隨著高校信息化建設水平的不斷提高，無線網絡逐漸成為校園網解決方案的一個重要組成部分。該文對校園無線網接入進行研究，并對校園無線網絡的安全進行了分析，最后給出了一種適合校園網無線網絡的安全解決方案。

關鍵詞：無線網絡；安全；Portal認證；802.1x

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)35-2103-01

Campus Wireless Network Security Strategy

LI Qiang

(Network Management Center of North University for Ethics，Yinchuan 750021，China)

Abstract: With the information-based colleges and universities continue to raise the level of the building，the wireless network is becoming the campus network solution is an important component.In this paper，the campus wireless network access for research，and campus wireless network security analysis，the final paper，a campus network for wireless network security solutions.

Key words: wireless network;security;portal certificate;802.1 x

1 引言

在過去的很多年，計算機組網的傳輸媒介主要依賴銅纜或光纜，構成有線局域網。但有線網絡在實施過程中工程量大，破壞性強，網中的各節點移動性不強。為了解決這些問題，無線網絡作為有線網絡的補充和擴展，逐漸得到的普及和發展。

在校園內，教師與學生的流動性很強，很容易在一些地方人員聚集，形成“公共場所”。而且隨著筆記本電腦的普及和Intemet接入需求的增長，無論是教師還是學生都迫切要求在這些場所上網并進行網上教學互動活動。移動性與頻繁交替性，使有線網絡無法靈活滿足他們對網絡的需求，造成網絡互聯和Intemet接入瓶頸。

將無線網絡的技術引入校園網，在某些場所，如網絡教室，會議室，報告廳、圖書館等區域，可以率先覆蓋無線網絡，讓用戶能真正做到無線漫游，給工作和生活帶來巨大的便利。隨后，慢慢把無線的覆蓋范圍擴大，最后做到全校無線的覆蓋。

2 校園網無線網絡安全現狀

在無線網絡技術成熟的今天，無線網絡解決方案能夠很好滿足校園網的種種特殊的要求，并且擁有傳統網絡所不能比擬的易擴容性和自由移動性，它已經逐漸成為一種潮流，成為眾多校園網解決方案的重要選擇之一。隨著校園網無線網絡的建成，在學校的教室、辦公室、會議室、甚至是校園草坪上，都有不少的教師和學生手持筆記本電腦通過無線上網，這都源于無線局域網拓展了現有的有線網絡的覆蓋范圍，使隨時隨地的網絡接入成為可能。但在使用無線網絡的同時，無線接入的安全性也面臨的嚴峻的考驗。目前無線網絡提供的比較常用的安全機制有如下三種：① 基于MAC地址的認證。基于 MAC地址的認證就是MAC地址過濾，每一個無線接入點可以使用 MAC地址列表來限制網絡中的用戶訪問。實施 MAC地址訪問控制后，如果MAC列表中包含某個用戶的MAC地址，則這個用戶可以訪問網絡，否則如果列表中不包含某個用戶的MAC地址，則該用戶不能訪問網絡。② 共享密鑰認證。共享密鑰認證方法要求在無線設備和接入點上都使用有線對等保密算法。如果用戶有正確的共享密鑰，那么就授予該用戶對無線網絡的訪問權。③ 802.1x認證。802．1x協議稱為基于端口的訪問控制協議，它是個二層協議，需要通過 802.1x客戶端軟件發起請求，通過認證后打開邏輯端口，然后發起 DHCP請求獲得IP以及獲得對網絡的訪問。

可以說 ，校園網的不少無線接入點都沒有很好地考慮無線接入的安全問題，就連最基本的安全，如基于MAC地址的認證或共享密鑰認證也沒有設置，更不用說像 802.1 x這樣相對來說比較難設置的認證方法了。如果我們提著筆記本電腦在某個校園內走動，會搜索到很多無線接入點，這些接入點幾乎沒有任何的安全防范措施，可以非常方便地接入。試想，如果讓不明身份的人進入無線網絡，進而進入校園網，就會對我們的校園網絡構成威脅。

3 校園網無線網絡安全解決方案

校園網內無線網絡建成后，怎樣才能有效地保障無線網絡的安全?前面提到的基于 MAC地址的認證存在兩個問題，一是數據管理的問題，要維護 MAC數據庫，二是 MAC可嗅探，也可修改；如果采用共享密鑰認證，攻擊者可以輕易地搞到共享認證密鑰；802.1x定義了三種身份：申請者(用戶無線終端)、認證者(AP)和認證服務器。整個認證的過程發生在申請者與認證服務器之間，認證者只起到了橋接的作用。申請者向認證服務器表明自己的身份，然后認證服務器對申請者進行認證，認證通過后將通信所需要的密鑰加密再發給申請者。申請者用這個密鑰就可以與AP進行通信。

雖然 802.1x仍舊存在一定的缺陷，但較共享密鑰認證方式已經有了很大的改善，IEEE 802.11i和 WAPI都參考了802.1x的機制。802.1x選用EAP來提供請求方和認證服務器兩者之間的認證服務。最常用的EAP認證方法有EAP－MD5、EAP－TLS和PEAP等。Microsoft為多種使用802.1x的身份驗證協議提供了本地支持。在大多數情況下，選擇無線客戶端身份驗證的依據是基于密碼憑據驗證，或基于證書驗證。建議在執行基于證書的客戶端身份驗證時使用EAP-TLS；在執行基于密碼的客戶端身份驗證時使用EAP-Microsoft質詢握手身份驗證協議版本2(MSCHAPv2)，該協議在PEAP(Protected Extensible Authentication Protoco1)協議中，也稱作PEAP－EAP－MSCHAPv2。

考慮到校園群體的特殊性，為了保障校園無線網絡的安全，可對不同的群體采取不同的認證方法。在校園網內，主要分成兩類不同的用戶，一類是校內用戶，一類是來訪用戶。校內用戶主要是學校的師生。由于工作和學習的需要，他們要求能夠隨時接入無線網絡，訪問校園網內資源以及訪問Internet。這些用戶的數據，如工資、科研成果 、研究資料和論文等的安全性要求比較高。對于此類用戶，可使用 802.1x認證方式對用戶進行認證。來訪用戶主要是來校參觀、培訓或進行學術交流的一些用戶。這類用戶對網絡安全的需求不是特別高，對他們來說最重要的就是能夠非常方便而且快速地接入Intemet，以瀏覽相關網站和收發郵件等。針對這類用戶，可采用DHCP+強制Portal認證的方式接入校園無線網絡。

如圖所示，開機后，來訪用戶先通過DHCP服務器獲得IP地址。當來訪用戶打開瀏覽器訪問Intemet網站時，強制Porta控制單元首先將用戶訪問的Intemet定向到Portal服務器中定制的網站，用戶只能訪問該網站中提供的服務，無法訪問校園網內部的其他受限資源，比如學校公共數據庫、圖書館期刊全文數據庫等。如果要訪問校園網以外的資源，必須通過強制Portal認證．認證通過就可以訪問Intemet。對于校內用戶，先由無線用戶終端發起認證請求，沒通過認證之前，不能訪問任何地方，并且不能獲得IP地址。可通過數字證書(需要設立證書服務器)實現雙向認證，既可以防止非法用戶使用網絡，也可以防止用戶連入非法AP。雙向認證通過后，無線用戶終端從DHCP服務器獲得IP地址。無線用戶終端獲得IP地址后，就可以利用雙方約定的密鑰，運用所協商的加密算法進行通信，并且可以重新生成新的密鑰，這樣就很好地保證了數據的安全傳輸。

使用強制 Portal+802.1x這兩種認證方式相結合的方法能有效地解決校園網無線網絡的安全，具有一定的現實意義。來訪用戶所關心的是方便和快捷，對安全性的要求不高。強制 Portal認證方式在用戶端不需要安裝額外的客戶端軟件，用戶直接使用Web瀏覽器認證后即可上網。采用此種方式，對來訪用戶來說簡單、方便、快速，但安全性比較差。雖然用戶名和密碼可以通過 SSL加密，但傳輸的數據沒有任何加密，任何人都可以監聽。當然，必須通過相應的權限來限制和隔離此類用戶，確保來訪用戶無法訪問校園網內部資料，從而保證校園網絡的高安全性。校內用戶所關心的主要是其信息的安全，安全性要求比較高。802.1x認證方式安裝設置比較麻煩，設置步驟也比較多，且要有專門的802.1x客戶端，但擁有極好的安全性，因此針對校內用戶可使用802.1x認證方式，以保障傳輸數據的安全。

4 結束語

校園網各區域分別覆蓋無線局域網絡以后，用戶只需簡單的設置就可以連接到校園網，從而實現上網功能。特別是隨著迅馳技術的發展，將進一步促進校園網內無線網絡的建設。 現在，不少高校都已經實現了整個校園的無線覆蓋。但在建設無線網絡的同時，由于對無線網絡的安全不夠重視，對校園網無線網絡的安全考慮不夠。在這點上，學校信息化辦公室和網管中心應該牽頭，做好無線網絡的安全管理工作，并完成全校無線網絡的統一身份驗證，做到無線網絡與現有有線網絡的無縫對接，確保無線網絡的高安全性。

參考文獻：

[1] 楊峰，張浩軍.無線局域網安全協議的研究和實現[J].計算機應用，2005，25(1):2.

[2] 黃勁榮.無線局域網在校園網的應用[J].教育信息化，2005(15):1.