無線校園網(wǎng)絡(luò)安全策略研究＊

曹力

(南京曉莊學(xué)院，江蘇南京210000)

無線校園網(wǎng)絡(luò)安全策略研究＊

曹力

(南京曉莊學(xué)院，江蘇南京210000)

隨著計算機網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，信息化建設(shè)的不斷提高，無線網(wǎng)絡(luò)已逐步成為企業(yè)網(wǎng)、學(xué)校網(wǎng)解決方案的一種重要途徑。本文通過對無線校園網(wǎng)接入問題的研究，分析了無線校園網(wǎng)絡(luò)的安全機制，提出了適用于無線校園網(wǎng)絡(luò)的安全解決策略。

無線網(wǎng)絡(luò);無線校園網(wǎng);安全;策略

過去很長一段時間，計算機組網(wǎng)大多以銅纜或者光纜作為傳輸媒介，組成有線局域網(wǎng)。但是有線網(wǎng)絡(luò)不僅施工工程量較大，而且具有很強的破壞性，網(wǎng)絡(luò)中不同節(jié)點之間的移動性也較弱。無線網(wǎng)絡(luò)有效的解決了這些問題，開始普及。在校園中，學(xué)生與教師都具有很大程度的流動性，因此，在不固定場所上網(wǎng)并進行網(wǎng)上教學(xué)成為了他們的迫切需求。有線網(wǎng)絡(luò)已經(jīng)不能滿足他們頻繁流動對上網(wǎng)的需要，導(dǎo)致網(wǎng)絡(luò)互連和Intenet進入瓶頸。在校園網(wǎng)之中引入無線網(wǎng)絡(luò)，可滿足學(xué)生和教師不固定場所上網(wǎng)的需要，為他們工作、生活和學(xué)習(xí)大開方便之門。

一、無線校園網(wǎng)絡(luò)安全的現(xiàn)狀

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，無線校園網(wǎng)絡(luò)技術(shù)也愈加成熟。目前，無線校園網(wǎng)絡(luò)已經(jīng)能夠達(dá)到教師和學(xué)生對校園網(wǎng)絡(luò)的要求，而且相較于有線網(wǎng)絡(luò)而言，有著其獨特的移動性和易擴容性。因此而成為目前校園網(wǎng)解決方案的首要選擇。目前無線校園網(wǎng)絡(luò)已經(jīng)開始發(fā)展并普及，由于無線校園網(wǎng)絡(luò)的覆蓋面比有線網(wǎng)絡(luò)更加廣，利用無線校園網(wǎng)絡(luò)，學(xué)生和教師能夠在教室、辦公室甚至學(xué)校草坪內(nèi)隨時隨地上網(wǎng)。但是，隨著無線校園網(wǎng)絡(luò)的使用，無線網(wǎng)絡(luò)的安全問題也成為一個亟待解決的問題。無線網(wǎng)絡(luò)安全保障機制主要有以下三種:

第一，MAC地址認(rèn)證。也稱MAC地址過濾，通過設(shè)置MAC地址來限制網(wǎng)絡(luò)中用戶的訪問，對MAC地址實施綁定后，用戶如果要進行網(wǎng)絡(luò)訪問，則他的MAC地址必須包含在MAC列表中，否則他將無法進行網(wǎng)絡(luò)的訪問。

第二，共享密鑰認(rèn)證。也稱隱秘密鑰認(rèn)證，它是指無線設(shè)備和接入點共同擁有一個或一組密碼。用戶使用無線網(wǎng)訪問網(wǎng)絡(luò)時，需要進行身份驗證，如果接入點所提供的密碼與無線設(shè)備的相一致，則判定該用戶為合法用戶，授予無線網(wǎng)絡(luò)的訪問權(quán);之則無法訪問網(wǎng)絡(luò)。

第三，802.1x認(rèn)證。802.1x協(xié)議是基于C/S的訪問控制和認(rèn)證協(xié)議。用戶訪問網(wǎng)絡(luò)之前，需要先由802.1x對連接到交換機端口上的用戶進行認(rèn)證，認(rèn)證通過以后，邏輯端口被打開，正常的數(shù)據(jù)能夠通過以太網(wǎng)端口。

而目前無線校園網(wǎng)絡(luò)安全的現(xiàn)狀是，很多的無線校園網(wǎng)絡(luò)連最基本的安全認(rèn)證(如MAC地址過濾、隱秘密鑰)都沒有設(shè)置。象802.1 x認(rèn)證這種比較難的認(rèn)證方法就更沒有設(shè)置。這樣，外人可以隨意的進入無線校園網(wǎng)絡(luò)，入侵校園網(wǎng)，給無線校園網(wǎng)絡(luò)帶來了極大的安全隱患。

二、無線校園網(wǎng)的安全標(biāo)準(zhǔn)

為了將無線局域網(wǎng)技術(shù)從這種被動的局面中解救出來，IEEE 802.1l工作組著手制訂被稱為IEEE 802.1li的新一代安全標(biāo)準(zhǔn)。IEEE 802.1li在數(shù)據(jù)加密和認(rèn)證技術(shù)增強了虛擬局域網(wǎng)的性能，產(chǎn)生了RSN(Robust Security Network)，并針對WEP加密機制的各個方面進行了大的改進，兩種安全標(biāo)準(zhǔn)的主要異同之處如下。

(一)目前的安全標(biāo)準(zhǔn):WEP

WEP(Wired Equivalent Privacy，有線等效保密)協(xié)議是種使用共享秘鑰RC4加密算法的安全標(biāo)準(zhǔn)協(xié)議，RC4的安全機制就是加密密鑰匹配機制，只有當(dāng)用戶的加密密鑰與AP的密鑰相同時才能獲準(zhǔn)進行通信，已達(dá)到防止非法用戶的竊聽以及非法訪問。

WEP標(biāo)準(zhǔn)在網(wǎng)絡(luò)安全保護上漏洞百出，如密鑰共享機制，一個服務(wù)區(qū)內(nèi)的所有用戶共享同一個密鑰，只要其中一個用戶丟失或泄漏密鑰將導(dǎo)致整個網(wǎng)絡(luò)危機。WEP加密自身也存在安傘缺陷，入侵者可以從互聯(lián)網(wǎng)上獲得公開免費的入侵工具，用于入侵。當(dāng)黑客發(fā)現(xiàn)網(wǎng)絡(luò)傳輸，就會利用這些工具來破解密鑰，截取網(wǎng)絡(luò)上的數(shù)據(jù)包，或非法訪問網(wǎng)絡(luò)資源。

(二)新一代安全標(biāo)準(zhǔn):WPA

WEP由于其存在的缺陷難以滿足目前的需要，于是Wi－Fi聯(lián)盟適時推出了WPA(Wi—Fi Protected Access，Wi－Fi訪問保護)技術(shù)，作為暫時替代WEP的無線安全標(biāo)準(zhǔn)。WPA實際上是IEEE 802.1li的一個子集，其核心就是IEEE 802.1x和臨時密鑰完整性協(xié)議(TKIP)。

TKIP與WEP一樣是采用RC4加密算法，但對WEP進行了大量改進，安全機制基于動態(tài)會話密鑰。TKIP引入了48位初始化向量(IV)和IV順序規(guī)則、每包密鑰構(gòu)建Michael消息完整性代碼以及密鑰重獲/分發(fā)4個新算法，提高了無線網(wǎng)絡(luò)數(shù)據(jù)加密安全強度。

IEEE 802.1li中還定義了一種基于“高級加密標(biāo)準(zhǔn)”AES的全新加密算法，以實施更強大的加密和信息完整性檢查。AES是一種對稱的塊加密技術(shù)，提供比RC4算法更高的加密性能，它在IEEE 802.1li確認(rèn)后，成為取代WEP的新一代的加密技術(shù)，為無線網(wǎng)絡(luò)提供高級別的安全防護。

WPA針對不同的用戶和不同應(yīng)用的安全需要，提供了兩種應(yīng)用模式:企業(yè)模式，使用認(rèn)證服務(wù)器和復(fù)雜的安全認(rèn)證機制來實現(xiàn)通信安全;家庭模式，以AP(或者無線路由器)及無線終端共享密鑰認(rèn)證機制來實現(xiàn)無線鏈路的通信安全。

三、無線校園網(wǎng)絡(luò)安全解決方案

無線網(wǎng)絡(luò)進入校園以后，如何保證無線校園網(wǎng)絡(luò)的安全性呢?上文中提到的MAC地址認(rèn)證和共享密鑰認(rèn)證都還有一定的安全隱患。MAC地址認(rèn)證需要進行維護，面臨著數(shù)據(jù)管理的問題，另外，MAC具有可嗅探性，也能修改;而共享密鑰認(rèn)證得安全性也不強，入侵者能夠很容易的得到共享認(rèn)證密鑰。相對而言802.1x這種認(rèn)證方式的安全性就要好很多，它的實現(xiàn)設(shè)計了申請者系統(tǒng)(用戶無線終端)、認(rèn)證服務(wù)器和認(rèn)證者(AP)三個部分，由申請者系統(tǒng)和認(rèn)證服務(wù)器來完成認(rèn)證的主要過程，認(rèn)證者的功能是進行數(shù)據(jù)的傳遞和中轉(zhuǎn)。用戶向認(rèn)證服務(wù)器發(fā)出認(rèn)證接入申請，通過認(rèn)證之后服務(wù)器將經(jīng)過加密的通信密鑰發(fā)給用戶，申請者利用這個密鑰就可以與AP進行通信。IEEE802.11i和WAPI都是制定在802.1x機制的基礎(chǔ)上。802.1x通常使用EAP來提供請求方與認(rèn)證者之間的認(rèn)證服務(wù)，EAP認(rèn)證方法主要有EAP—MD5、PEAP以及EAP—TLS等。

Microsoft為使用802.1x的身份驗證協(xié)議提供了本地支持。通常情況下，選擇無線客戶端身份驗證的依據(jù)是基于密碼憑據(jù)驗證或基于證書驗證。因此在執(zhí)行基于密碼的客戶端身份驗證時優(yōu)先使用EAP—Microsoft詢問握手身份驗證協(xié)議2(MScHAPv2)，該協(xié)議在EPEAP(Protected Extensible Authentication Protocol)協(xié)議中，而執(zhí)行基于證書的客戶端身份驗證時使用EAP—TLS。

針對校園群體的特點，可以對不同用戶使用不同的認(rèn)證方法，以此來確保無線校園網(wǎng)絡(luò)的安全性。

一般來說，無線校園網(wǎng)絡(luò)的用戶可劃分為本地用戶和外來用戶兩大類。本地用戶是指學(xué)校教師和學(xué)生，因工作、生活和學(xué)習(xí)的需要，他們需要能夠隨時隨地的訪問網(wǎng)絡(luò)，查詢校園網(wǎng)內(nèi)的數(shù)據(jù)和資源。這些用戶的資料，例如研究成果、研究資料以及論文等都要求有較好的安全性。這些用戶可以采用802.1x進行認(rèn)證。也就是先由用戶向認(rèn)證服務(wù)器發(fā)出接入申請，在未通過認(rèn)證的情況下，用戶無法訪問網(wǎng)絡(luò)，也無法獲取IP地址。設(shè)立證書服務(wù)器，以數(shù)字證書的形式達(dá)到雙向認(rèn)證的目的，能夠有效避免用戶接入非法AP以及非法用戶使用網(wǎng)絡(luò)，只有在通過雙向認(rèn)證之后，用戶方可訪問網(wǎng)絡(luò)，保證校園網(wǎng)資源的安全性。外來用戶主要是針對來學(xué)校進行學(xué)術(shù)交流、培訓(xùn)等用戶，這些用戶關(guān)注的是能夠方便、快捷的接入網(wǎng)絡(luò)，已進行相關(guān)的文件傳輸、瀏覽網(wǎng)站等工作。因此，對這類用戶可采用DHCP+強制Portal的認(rèn)證方式，用戶可得到DHCP服務(wù)器分配的IP地址，當(dāng)他們用瀏覽器訪問網(wǎng)頁時，強制Portal控制單元首先將用戶訪問的Intenet定向到Portal服務(wù)器中定制的網(wǎng)站，讓用戶僅可以訪問網(wǎng)站中提供的服務(wù)，而不能訪問校園網(wǎng)內(nèi)部的一些受限資源，例如學(xué)校公共數(shù)據(jù)庫、圖書館期刊全文數(shù)據(jù)庫以及一些學(xué)校內(nèi)部資源。如果用戶需要訪問校園網(wǎng)以外的數(shù)據(jù)，要先通過強制Portal認(rèn)證，通過認(rèn)證之后方可訪問網(wǎng)絡(luò)。

根據(jù)不同用戶的需要采用不同的認(rèn)證方法，將802.1x認(rèn)證和強制Portal認(rèn)證這兩種認(rèn)證方式相結(jié)合是解決目前無線校園網(wǎng)絡(luò)安全問題的有效途徑，并有極強的現(xiàn)實意義。本地用戶主要關(guān)注如何保障資源的安全，對資源安全性有較高的要求，802.1x認(rèn)證方式的安全性較好。因此，對本地用戶采用802.1x認(rèn)證方式，確保本地用戶資源的安全;外來用戶則側(cè)重于訪問網(wǎng)絡(luò)時的方便和快捷，沒有那么高的安全性要求，采用強制Portal認(rèn)證方式，用戶不需要安裝客戶端，直接使用web瀏覽器認(rèn)證后就可以訪問互聯(lián)網(wǎng)，這種認(rèn)證方式的優(yōu)點是簡單、方便、快捷，正好符合外來用戶對網(wǎng)絡(luò)的要求。但是，要設(shè)置相應(yīng)的權(quán)限以隔離和限制這些用戶，保證外來用戶無法查詢校園網(wǎng)的內(nèi)部資源，從而保證無線校園網(wǎng)絡(luò)的安全性。

四、結(jié)語

目前，無線校園網(wǎng)絡(luò)已經(jīng)在學(xué)校開始普及。但是，一些學(xué)校往往忽視了無線校園網(wǎng)絡(luò)的安全問題，學(xué)校的網(wǎng)絡(luò)管理中心應(yīng)當(dāng)加強對無線網(wǎng)絡(luò)的安全管理，盡快實現(xiàn)無線校園網(wǎng)絡(luò)的統(tǒng)一身份驗證，以實現(xiàn)無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)之間的無縫連接，排除無線網(wǎng)絡(luò)的安全隱患。

［1］梁德華.基于無線網(wǎng)的校園網(wǎng)絡(luò)安全策略研究［J］.科技廣場，2009，(9).

［2］萬紅運，許洪超.無線校園網(wǎng)安全策略及實施［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006，(10).

［3］李繼良.無線局域網(wǎng)安全問題與解決辦法［J］.計算機安全，2007，(10).

［4］宋紅生.淺議無線校園網(wǎng)的接入安全［J］.中國科技縱橫，2009，(11).

［5］陳燕旋.試論無線校園網(wǎng)的接入安全［J］.科技風(fēng)，2010，(2).

2011－02－18

曹力(1989－)，男，江蘇張家港人，本科。