無線校園網絡安全策略研究＊

曹力

(南京曉莊學院，江蘇南京210000)

無線校園網絡安全策略研究＊

曹力

(南京曉莊學院，江蘇南京210000)

隨著計算機網絡技術的不斷發展，信息化建設的不斷提高，無線網絡已逐步成為企業網、學校網解決方案的一種重要途徑。本文通過對無線校園網接入問題的研究，分析了無線校園網絡的安全機制，提出了適用于無線校園網絡的安全解決策略。

無線網絡;無線校園網;安全;策略

過去很長一段時間，計算機組網大多以銅纜或者光纜作為傳輸媒介，組成有線局域網。但是有線網絡不僅施工工程量較大，而且具有很強的破壞性，網絡中不同節點之間的移動性也較弱。無線網絡有效的解決了這些問題，開始普及。在校園中，學生與教師都具有很大程度的流動性，因此，在不固定場所上網并進行網上教學成為了他們的迫切需求。有線網絡已經不能滿足他們頻繁流動對上網的需要，導致網絡互連和Intenet進入瓶頸。在校園網之中引入無線網絡，可滿足學生和教師不固定場所上網的需要，為他們工作、生活和學習大開方便之門。

一、無線校園網絡安全的現狀

隨著互聯網技術的發展，無線校園網絡技術也愈加成熟。目前，無線校園網絡已經能夠達到教師和學生對校園網絡的要求，而且相較于有線網絡而言，有著其獨特的移動性和易擴容性。因此而成為目前校園網解決方案的首要選擇。目前無線校園網絡已經開始發展并普及，由于無線校園網絡的覆蓋面比有線網絡更加廣，利用無線校園網絡，學生和教師能夠在教室、辦公室甚至學校草坪內隨時隨地上網。但是，隨著無線校園網絡的使用，無線網絡的安全問題也成為一個亟待解決的問題。無線網絡安全保障機制主要有以下三種:

第一，MAC地址認證。也稱MAC地址過濾，通過設置MAC地址來限制網絡中用戶的訪問，對MAC地址實施綁定后，用戶如果要進行網絡訪問，則他的MAC地址必須包含在MAC列表中，否則他將無法進行網絡的訪問。

第二，共享密鑰認證。也稱隱秘密鑰認證，它是指無線設備和接入點共同擁有一個或一組密碼。用戶使用無線網訪問網絡時，需要進行身份驗證，如果接入點所提供的密碼與無線設備的相一致，則判定該用戶為合法用戶，授予無線網絡的訪問權;之則無法訪問網絡。

第三，802.1x認證。802.1x協議是基于C/S的訪問控制和認證協議。用戶訪問網絡之前，需要先由802.1x對連接到交換機端口上的用戶進行認證，認證通過以后，邏輯端口被打開，正常的數據能夠通過以太網端口。

而目前無線校園網絡安全的現狀是，很多的無線校園網絡連最基本的安全認證(如MAC地址過濾、隱秘密鑰)都沒有設置。象802.1 x認證這種比較難的認證方法就更沒有設置。這樣，外人可以隨意的進入無線校園網絡，入侵校園網，給無線校園網絡帶來了極大的安全隱患。

二、無線校園網的安全標準

為了將無線局域網技術從這種被動的局面中解救出來，IEEE 802.1l工作組著手制訂被稱為IEEE 802.1li的新一代安全標準。IEEE 802.1li在數據加密和認證技術增強了虛擬局域網的性能，產生了RSN(Robust Security Network)，并針對WEP加密機制的各個方面進行了大的改進，兩種安全標準的主要異同之處如下。

(一)目前的安全標準:WEP

WEP(Wired Equivalent Privacy，有線等效保密)協議是種使用共享秘鑰RC4加密算法的安全標準協議，RC4的安全機制就是加密密鑰匹配機制，只有當用戶的加密密鑰與AP的密鑰相同時才能獲準進行通信，已達到防止非法用戶的竊聽以及非法訪問。

WEP標準在網絡安全保護上漏洞百出，如密鑰共享機制，一個服務區內的所有用戶共享同一個密鑰，只要其中一個用戶丟失或泄漏密鑰將導致整個網絡危機。WEP加密自身也存在安傘缺陷，入侵者可以從互聯網上獲得公開免費的入侵工具，用于入侵。當黑客發現網絡傳輸，就會利用這些工具來破解密鑰，截取網絡上的數據包，或非法訪問網絡資源。

(二)新一代安全標準:WPA

WEP由于其存在的缺陷難以滿足目前的需要，于是Wi－Fi聯盟適時推出了WPA(Wi—Fi Protected Access，Wi－Fi訪問保護)技術，作為暫時替代WEP的無線安全標準。WPA實際上是IEEE 802.1li的一個子集，其核心就是IEEE 802.1x和臨時密鑰完整性協議(TKIP)。

TKIP與WEP一樣是采用RC4加密算法，但對WEP進行了大量改進，安全機制基于動態會話密鑰。TKIP引入了48位初始化向量(IV)和IV順序規則、每包密鑰構建Michael消息完整性代碼以及密鑰重獲/分發4個新算法，提高了無線網絡數據加密安全強度。

IEEE 802.1li中還定義了一種基于“高級加密標準”AES的全新加密算法，以實施更強大的加密和信息完整性檢查。AES是一種對稱的塊加密技術，提供比RC4算法更高的加密性能，它在IEEE 802.1li確認后，成為取代WEP的新一代的加密技術，為無線網絡提供高級別的安全防護。

WPA針對不同的用戶和不同應用的安全需要，提供了兩種應用模式:企業模式，使用認證服務器和復雜的安全認證機制來實現通信安全;家庭模式，以AP(或者無線路由器)及無線終端共享密鑰認證機制來實現無線鏈路的通信安全。

三、無線校園網絡安全解決方案

無線網絡進入校園以后，如何保證無線校園網絡的安全性呢?上文中提到的MAC地址認證和共享密鑰認證都還有一定的安全隱患。MAC地址認證需要進行維護，面臨著數據管理的問題，另外，MAC具有可嗅探性，也能修改;而共享密鑰認證得安全性也不強，入侵者能夠很容易的得到共享認證密鑰。相對而言802.1x這種認證方式的安全性就要好很多，它的實現設計了申請者系統(用戶無線終端)、認證服務器和認證者(AP)三個部分，由申請者系統和認證服務器來完成認證的主要過程，認證者的功能是進行數據的傳遞和中轉。用戶向認證服務器發出認證接入申請，通過認證之后服務器將經過加密的通信密鑰發給用戶，申請者利用這個密鑰就可以與AP進行通信。IEEE802.11i和WAPI都是制定在802.1x機制的基礎上。802.1x通常使用EAP來提供請求方與認證者之間的認證服務，EAP認證方法主要有EAP—MD5、PEAP以及EAP—TLS等。

Microsoft為使用802.1x的身份驗證協議提供了本地支持。通常情況下，選擇無線客戶端身份驗證的依據是基于密碼憑據驗證或基于證書驗證。因此在執行基于密碼的客戶端身份驗證時優先使用EAP—Microsoft詢問握手身份驗證協議2(MScHAPv2)，該協議在EPEAP(Protected Extensible Authentication Protocol)協議中，而執行基于證書的客戶端身份驗證時使用EAP—TLS。

針對校園群體的特點，可以對不同用戶使用不同的認證方法，以此來確保無線校園網絡的安全性。

一般來說，無線校園網絡的用戶可劃分為本地用戶和外來用戶兩大類。本地用戶是指學校教師和學生，因工作、生活和學習的需要，他們需要能夠隨時隨地的訪問網絡，查詢校園網內的數據和資源。這些用戶的資料，例如研究成果、研究資料以及論文等都要求有較好的安全性。這些用戶可以采用802.1x進行認證。也就是先由用戶向認證服務器發出接入申請，在未通過認證的情況下，用戶無法訪問網絡，也無法獲取IP地址。設立證書服務器，以數字證書的形式達到雙向認證的目的，能夠有效避免用戶接入非法AP以及非法用戶使用網絡，只有在通過雙向認證之后，用戶方可訪問網絡，保證校園網資源的安全性。外來用戶主要是針對來學校進行學術交流、培訓等用戶，這些用戶關注的是能夠方便、快捷的接入網絡，已進行相關的文件傳輸、瀏覽網站等工作。因此，對這類用戶可采用DHCP+強制Portal的認證方式，用戶可得到DHCP服務器分配的IP地址，當他們用瀏覽器訪問網頁時，強制Portal控制單元首先將用戶訪問的Intenet定向到Portal服務器中定制的網站，讓用戶僅可以訪問網站中提供的服務，而不能訪問校園網內部的一些受限資源，例如學校公共數據庫、圖書館期刊全文數據庫以及一些學校內部資源。如果用戶需要訪問校園網以外的數據，要先通過強制Portal認證，通過認證之后方可訪問網絡。

根據不同用戶的需要采用不同的認證方法，將802.1x認證和強制Portal認證這兩種認證方式相結合是解決目前無線校園網絡安全問題的有效途徑，并有極強的現實意義。本地用戶主要關注如何保障資源的安全，對資源安全性有較高的要求，802.1x認證方式的安全性較好。因此，對本地用戶采用802.1x認證方式，確保本地用戶資源的安全;外來用戶則側重于訪問網絡時的方便和快捷，沒有那么高的安全性要求，采用強制Portal認證方式，用戶不需要安裝客戶端，直接使用web瀏覽器認證后就可以訪問互聯網，這種認證方式的優點是簡單、方便、快捷，正好符合外來用戶對網絡的要求。但是，要設置相應的權限以隔離和限制這些用戶，保證外來用戶無法查詢校園網的內部資源，從而保證無線校園網絡的安全性。

四、結語

目前，無線校園網絡已經在學校開始普及。但是，一些學校往往忽視了無線校園網絡的安全問題，學校的網絡管理中心應當加強對無線網絡的安全管理，盡快實現無線校園網絡的統一身份驗證，以實現無線網絡和有線網絡之間的無縫連接，排除無線網絡的安全隱患。

［1］梁德華.基于無線網的校園網絡安全策略研究［J］.科技廣場，2009，(9).

［2］萬紅運，許洪超.無線校園網安全策略及實施［J］.網絡安全技術與應用，2006，(10).

［3］李繼良.無線局域網安全問題與解決辦法［J］.計算機安全，2007，(10).

［4］宋紅生.淺議無線校園網的接入安全［J］.中國科技縱橫，2009，(11).

［5］陳燕旋.試論無線校園網的接入安全［J］.科技風，2010，(2).

2011－02－18

曹力(1989－)，男，江蘇張家港人，本科。