校園無線網(wǎng)絡(luò)安全中身份認(rèn)證的研究

◆錢宏偉 黃曉紅

（華北理工大學(xué)信息工程學(xué)院 河北 063009）

校園無線網(wǎng)絡(luò)安全中身份認(rèn)證的研究

◆錢宏偉 黃曉紅

（華北理工大學(xué)信息工程學(xué)院 河北 063009）

隨著無線網(wǎng)技術(shù)應(yīng)用日漸成熟，以及移動(dòng)互聯(lián)網(wǎng)應(yīng)用的普及，無線網(wǎng)絡(luò)技術(shù)的應(yīng)用需求呈現(xiàn)不斷增長的趨勢。無線技術(shù)在移動(dòng)互聯(lián)網(wǎng)和通信領(lǐng)域中應(yīng)用的范圍不斷寬泛。然而，隨著應(yīng)用的深入，無線網(wǎng)絡(luò)的安全問題日益顯現(xiàn)，潛在的無線網(wǎng)絡(luò)安全隱患對(duì)用戶的信息安全產(chǎn)生了嚴(yán)重的威脅。本文通過校園無線網(wǎng)絡(luò)安全現(xiàn)狀分析，明確基于端口的訪問控制要求，引出校園無線網(wǎng)絡(luò)安全中的身份認(rèn)證措施，從而不斷提高校園無線網(wǎng)絡(luò)的運(yùn)行安全。

校園無線網(wǎng)；網(wǎng)絡(luò)安全；身份認(rèn)證

0 引言

在移動(dòng)互聯(lián)網(wǎng)日漸普及的情形之下，運(yùn)用身份認(rèn)證的方式來保證合法用戶正常訪問網(wǎng)絡(luò)資源，應(yīng)用網(wǎng)絡(luò)資源，是廣大電信網(wǎng)絡(luò)運(yùn)營工作者必須直面的問題。為了解決校園網(wǎng)絡(luò)的安全問題，身份認(rèn)證是一個(gè)非常重要的措施，經(jīng)科學(xué)研究，現(xiàn)在校園無線網(wǎng)絡(luò)運(yùn)行通常需要應(yīng)用基于端口的訪問控制協(xié)議。該協(xié)議的應(yīng)用，有效解決了校園內(nèi)合法用戶接入無線網(wǎng)絡(luò)過程中的認(rèn)證問題，且能有效避免非授權(quán)用戶的訪問企圖，從根本上確保了校園無線網(wǎng)絡(luò)的安全使用。

1 校園無線網(wǎng)絡(luò)安全現(xiàn)狀分析

1.1 非法連接盛行

與有線網(wǎng)絡(luò)不同，無線網(wǎng)絡(luò)的接入是開放式的，校園無線網(wǎng)絡(luò)同樣具有接入開放性的特點(diǎn)，而且在通常情況下，只要擁有無線網(wǎng)卡，任何用戶都可以搜索到這些空間范圍內(nèi)的無線信號(hào)。正因?yàn)槿绱?，在現(xiàn)階段無線終端尤其豐富的時(shí)代，很多非法用戶會(huì)在沒有獲得接入許可的情況下，利用各種硬件或軟件工具，通過各種可能實(shí)現(xiàn)的技術(shù)手段來進(jìn)行非法連接，校園無線網(wǎng)絡(luò)環(huán)境下的“蹭網(wǎng)”行為極為常見。通常，校園無線網(wǎng)絡(luò)被非法連接的表現(xiàn)主要有如下類型：

（1）非法的客戶端。為達(dá)到聯(lián)網(wǎng)目的，校園內(nèi)的非法連接者會(huì)利用各種手段獲取校園無線網(wǎng)絡(luò)的SSID，并將自己偽裝改造成合法用戶，再實(shí)施非法連接。因?yàn)闊o線網(wǎng)絡(luò)的天然公開屬性，校園無線網(wǎng)絡(luò)當(dāng)然也是呈現(xiàn)公開的特性，且是易獲取的，很容易非法用戶進(jìn)行開放式連接，因此，很多非法用戶能夠在未經(jīng)許可的情況下擅自接入校園無線網(wǎng)絡(luò)，占用有限的無線網(wǎng)絡(luò)資源。校園網(wǎng)絡(luò)是非常特殊的，它通常會(huì)蘊(yùn)含各式共享而且都非常重要的資源，例如校內(nèi)學(xué)生的各種信息、科研團(tuán)隊(duì)的研究成果、學(xué)術(shù)研究的論文以及各式考試的試卷等十分重要且不便公開的數(shù)據(jù)文件。校園無線網(wǎng)絡(luò)的非法連接，對(duì)校園網(wǎng)絡(luò)安全的影響非常重大。

（2）非法建立的AP。部分學(xué)生利用互聯(lián)網(wǎng)知識(shí)，將無線路由器偽裝成為合法的AP，并提供可用的免費(fèi)wifi，使得其他人在進(jìn)行無線連接的時(shí)候自動(dòng)連上，并通過各種陷阱的設(shè)置，達(dá)到竊取、篡改數(shù)據(jù)信息、遠(yuǎn)程控制或入侵對(duì)方的目的。

1.2 網(wǎng)絡(luò)監(jiān)聽?，F(xiàn)

因?yàn)樾@無線網(wǎng)絡(luò)是開放的，非常便于非法入侵者接入網(wǎng)絡(luò)，只要無線網(wǎng)絡(luò)擁有網(wǎng)絡(luò)，非法入侵者便能借助各種工具來監(jiān)聽網(wǎng)絡(luò)信息，并通過分析工具來對(duì)網(wǎng)絡(luò)信息進(jìn)行分析，還能實(shí)現(xiàn)惡意篡改信息數(shù)據(jù)，并能實(shí)行轉(zhuǎn)發(fā)。

1.3 密碼易被破解

由于現(xiàn)在校園無線網(wǎng)絡(luò)的廣泛使用，安全隱患因wifi的存在而陡增。即便是利用WPA進(jìn)行了數(shù)據(jù)加密，非法入侵者仍然可以破解，讓網(wǎng)絡(luò)呈現(xiàn)暴露的情形之下。既有的無線加密協(xié)議早已不具有十足的安全性了，一些非法程序已經(jīng)遍布互聯(lián)網(wǎng)，入侵者能夠通過分析手機(jī)WEP弱密鑰加密的包實(shí)現(xiàn)WEP密鑰恢復(fù)。

1.4 網(wǎng)絡(luò)攻擊泛濫

一旦非法用戶登入校園無線網(wǎng)，便能對(duì)目標(biāo)系統(tǒng)進(jìn)行肆無忌憚的攻擊，讓校園網(wǎng)絡(luò)服務(wù)器處于癱瘓狀態(tài)，合法用戶無法及時(shí)享用校園網(wǎng)絡(luò)服務(wù)，無法得到系統(tǒng)資源。此外，不法分子可能會(huì)通過校園網(wǎng)傳輸木馬病毒，嚴(yán)重威脅用戶安全。

2 校園無線網(wǎng)絡(luò)安全身份認(rèn)證管理的局限

2.1 終端儲(chǔ)備能力有限

移動(dòng)終端的計(jì)算存儲(chǔ)資源是有限的，而能源儲(chǔ)備能力也同樣是有限的。

2.2 無線網(wǎng)的傳輸功能限制

與有線網(wǎng)絡(luò)相比，不論是在數(shù)據(jù)傳輸?shù)哪芰ι?，還是在數(shù)據(jù)傳輸?shù)馁|(zhì)量上，無線網(wǎng)絡(luò)都具有非常明顯的功能限制，無線網(wǎng)絡(luò)無法提供有線網(wǎng)絡(luò)那樣高質(zhì)量的數(shù)據(jù)傳輸服務(wù)。

2.3 無線網(wǎng)的安全性較為脆弱

因?yàn)闊o線網(wǎng)絡(luò)的天然特點(diǎn)，它的安全性是極為脆弱的，它的開放性讓網(wǎng)絡(luò)暴露在自然空間中，非法入侵者可以隨時(shí)隨地進(jìn)行網(wǎng)絡(luò)攻擊。

正因上述因素影響，所以身份認(rèn)證協(xié)議設(shè)計(jì)存在天然的難度，認(rèn)證協(xié)議設(shè)計(jì)的自由度不如有線網(wǎng)絡(luò)那樣明顯。為此，校園無線網(wǎng)絡(luò)安全中身份認(rèn)證協(xié)議的設(shè)計(jì)準(zhǔn)則要以“夠用”為主，在網(wǎng)絡(luò)安全和系統(tǒng)運(yùn)行中尋找結(jié)合點(diǎn)。

3 認(rèn)證方案的優(yōu)化措施

在傳統(tǒng)的身份認(rèn)證中，雙向認(rèn)證是指用戶與服務(wù)器之間的相互認(rèn)證，但沒有對(duì)接入點(diǎn)AP的身份認(rèn)證。因此，在認(rèn)證協(xié)議的設(shè)計(jì)過程中，一定要重視非法攻擊者的力量，要非常重視接入點(diǎn)AP的認(rèn)證力度，避免一個(gè)細(xì)節(jié)的疏忽而給整個(gè)校園網(wǎng)絡(luò)埋下嚴(yán)重的安全隱患。所以，在優(yōu)化認(rèn)證方案的過程中，要重視對(duì)接入點(diǎn)AP的實(shí)時(shí)保護(hù)。

3.1 劃分無線網(wǎng)系統(tǒng)的角色

在無線網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)中，通常會(huì)有認(rèn)證平臺(tái)、無線網(wǎng)絡(luò)接入平臺(tái)以及客戶端這三種角色，分別承擔(dān)著各自的功能。

（1）認(rèn)證平臺(tái)包含有代理服務(wù)器、認(rèn)證服務(wù)器和用戶信息數(shù)據(jù)庫。代理服務(wù)器主要用于接入請求信息的截獲，再通過認(rèn)證服務(wù)器來進(jìn)行身份認(rèn)證。代理服務(wù)器能有效隔離信息數(shù)據(jù)庫，確保認(rèn)證信息的安全性。認(rèn)證服務(wù)器主要用于對(duì)接入點(diǎn)的身份認(rèn)證。接入點(diǎn)、客戶端的登入狀態(tài)和個(gè)人信息，均存在用戶信息數(shù)據(jù)庫中。（2）無線網(wǎng)絡(luò)接入平臺(tái)主要為客戶端提供用戶連接到無線網(wǎng)絡(luò)的節(jié)點(diǎn)以及安全的信息通道。（3）客戶端的作用是扮演網(wǎng)絡(luò)通信參與者的角色。

3.2 身份認(rèn)證的步驟

第一步，用戶的初始注冊。要接入到無線網(wǎng)絡(luò)，用戶要在安全的網(wǎng)絡(luò)環(huán)境下進(jìn)行認(rèn)證服務(wù)器進(jìn)行身份注冊。注冊內(nèi)容包括AP網(wǎng)絡(luò)登入的密碼、登陸客戶端的用戶名和密碼等；第二步，當(dāng)AP收到接入申請，將自動(dòng)屏蔽其他客戶端的接入請求，并向認(rèn)證平臺(tái)發(fā)出認(rèn)證請求；第三步，在AP登陸時(shí)，認(rèn)證平臺(tái)產(chǎn)生隨機(jī)數(shù)據(jù)給接入點(diǎn)AP，后者運(yùn)用密鑰與該數(shù)據(jù)進(jìn)行核算并產(chǎn)生另一數(shù)據(jù)，再將該數(shù)據(jù)轉(zhuǎn)發(fā)到代理服務(wù)器，代理服務(wù)器進(jìn)行同樣的核算，并通過認(rèn)證平臺(tái)進(jìn)行前后兩次的核算結(jié)果比對(duì)，結(jié)果相同則是合法的，允許用戶登錄；第四步，接入點(diǎn)通過向終端發(fā)送請求應(yīng)答的信息，要求終端發(fā)送下一步信息。此時(shí)，系統(tǒng)會(huì)要求輸入用戶名與登錄密碼，并傳輸?shù)酱矸?wù)器。代理服務(wù)器若驗(yàn)證登錄信息無誤，認(rèn)證服務(wù)器和客戶端會(huì)進(jìn)行雙向身份驗(yàn)證。若有誤，則會(huì)提示重新輸入用戶信息；第五步，若客戶端提出網(wǎng)絡(luò)訪問申請，代理服務(wù)器會(huì)給客戶端發(fā)送隨機(jī)數(shù)據(jù)，并記下該數(shù)據(jù)，直至認(rèn)證全部完成。這組隨機(jī)數(shù)據(jù)是密鑰，把登錄用戶名和密碼進(jìn)行哈希運(yùn)算，并將結(jié)果傳輸?shù)秸J(rèn)證平臺(tái)。認(rèn)證數(shù)據(jù)庫會(huì)讀取數(shù)據(jù)庫中存放的信息和隨機(jī)數(shù)并進(jìn)行同等運(yùn)算，只要與客戶端傳輸?shù)臄?shù)據(jù)一致，則可以判定用戶合法；第六步，客戶端接入網(wǎng)絡(luò)。

4 校園無線網(wǎng)絡(luò)安全中身份認(rèn)證的安全性

4.1 提高了服務(wù)器對(duì)客戶端的辨識(shí)度

通過優(yōu)化過后的校園無線網(wǎng)絡(luò)安全中身份認(rèn)證方案，第一步和第二步會(huì)強(qiáng)化對(duì)接入點(diǎn)的驗(yàn)證力度，對(duì)解讀點(diǎn)AP進(jìn)行身份證明。第四步和第五步能實(shí)現(xiàn)服務(wù)器對(duì)客戶端的身份認(rèn)證，判斷客戶端是否合法。

4.2 強(qiáng)化了網(wǎng)絡(luò)臨時(shí)密鑰的管理力度

優(yōu)化過后的校園無線網(wǎng)絡(luò)安全中身份認(rèn)證方案中，第一、第三和第五步，是對(duì)臨時(shí)密鑰的強(qiáng)化管理。即便服務(wù)平臺(tái)發(fā)送的數(shù)據(jù)被截取，而在沒有合法AP的情形下，非法用戶也無法威脅到鏈路。

5 結(jié)語

隨著移動(dòng)互聯(lián)網(wǎng)時(shí)代的到來，作為信息傳輸前沿的校園，無線網(wǎng)絡(luò)的應(yīng)用范圍必然會(huì)非常寬廣，無線網(wǎng)絡(luò)的安全隱患更需要引起重視。通過優(yōu)化過后的校園無線網(wǎng)絡(luò)安全中身份認(rèn)證方案，能夠?yàn)樾@無線網(wǎng)絡(luò)提供安全保障，弱化無線網(wǎng)絡(luò)的弊端，滿足校園師生對(duì)無線網(wǎng)絡(luò)的應(yīng)用需求。

[1]鄭瑩．校園無線網(wǎng)絡(luò)安全認(rèn)證方法淺析[J]．硅谷，2013．

[2]李曉燕，張成，黃協(xié)．校園無線網(wǎng)絡(luò)構(gòu)建及安全管理[J]．信息安全與技術(shù)，2015．

[3]單家凌．基于身份的認(rèn)證在無線校園網(wǎng)中的應(yīng)用研究[J]．軟件，2013．