導(dǎo)語：學(xué)校無線網(wǎng)安全策略研究論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

論文關(guān)鍵詞：無線網(wǎng)絡(luò)；安全；Portal認(rèn)證；802.1x

論文摘要：隨著高校信息化建設(shè)水平的不斷提高，無線網(wǎng)絡(luò)逐漸成為校園網(wǎng)解決方案的一個重要組成部分。該文對校園無線網(wǎng)接入進(jìn)行研究，并對校園無線網(wǎng)絡(luò)的安全進(jìn)行了分析，最后給出了一種適合校園網(wǎng)無線網(wǎng)絡(luò)的安全解決方案。

1引言

在過去的很多年，計算機組網(wǎng)的傳輸媒介主要依賴銅纜或光纜，構(gòu)成有線局域網(wǎng)。但有線網(wǎng)絡(luò)在實施過程中工程量大，破壞性強，網(wǎng)中的各節(jié)點移動性不強。為了解決這些問題，無線網(wǎng)絡(luò)作為有線網(wǎng)絡(luò)的補充和擴展，逐漸得到的普及和發(fā)展。

在校園內(nèi)，教師與學(xué)生的流動性很強，很容易在一些地方人員聚集，形成“公共場所”。而且隨著筆記本電腦的普及和Intemet接入需求的增長，無論是教師還是學(xué)生都迫切要求在這些場所上網(wǎng)并進(jìn)行網(wǎng)上教學(xué)互動活動。移動性與頻繁交替性，使有線網(wǎng)絡(luò)無法靈活滿足他們對網(wǎng)絡(luò)的需求，造成網(wǎng)絡(luò)互聯(lián)和Intemet接入瓶頸。

將無線網(wǎng)絡(luò)的技術(shù)引入校園網(wǎng)，在某些場所，如網(wǎng)絡(luò)教室，會議室，報告廳、圖書館等區(qū)域，可以率先覆蓋無線網(wǎng)絡(luò)，讓用戶能真正做到無線漫游，給工作和生活帶來巨大的便利。隨后，慢慢把無線的覆蓋范圍擴大，最后做到全校無線的覆蓋。

2校園網(wǎng)無線網(wǎng)絡(luò)安全現(xiàn)狀

在無線網(wǎng)絡(luò)技術(shù)成熟的今天，無線網(wǎng)絡(luò)解決方案能夠很好滿足校園網(wǎng)的種種特殊的要求，并且擁有傳統(tǒng)網(wǎng)絡(luò)所不能比擬的易擴容性和自由移動性，它已經(jīng)逐漸成為一種潮流，成為眾多校園網(wǎng)解決方案的重要選擇之一。隨著校園網(wǎng)無線網(wǎng)絡(luò)的建成，在學(xué)校的教室、辦公室、會議室、甚至是校園草坪上，都有不少的教師和學(xué)生手持筆記本電腦通過無線上網(wǎng)，這都源于無線局域網(wǎng)拓展了現(xiàn)有的有線網(wǎng)絡(luò)的覆蓋范圍，使隨時隨地的網(wǎng)絡(luò)接入成為可能。但在使用無線網(wǎng)絡(luò)的同時，無線接入的安全性也面臨的嚴(yán)峻的考驗。目前無線網(wǎng)絡(luò)提供的比較常用的安全機制有如下三種：①基于MAC地址的認(rèn)證。基于MAC地址的認(rèn)證就是MAC地址過濾，每一個無線接入點可以使用MAC地址列表來限制網(wǎng)絡(luò)中的用戶訪問。實施MAC地址訪問控制后，如果MAC列表中包含某個用戶的MAC地址，則這個用戶可以訪問網(wǎng)絡(luò)，否則如果列表中不包含某個用戶的MAC地址，則該用戶不能訪問網(wǎng)絡(luò)。②共享密鑰認(rèn)證。共享密鑰認(rèn)證方法要求在無線設(shè)備和接入點上都使用有線對等保密算法。如果用戶有正確的共享密鑰，那么就授予該用戶對無線網(wǎng)絡(luò)的訪問權(quán)。③802.1x認(rèn)證。802．1x協(xié)議稱為基于端口的訪問控制協(xié)議，它是個二層協(xié)議，需要通過802.1x客戶端軟件發(fā)起請求，通過認(rèn)證后打開邏輯端口，然后發(fā)起DHCP請求獲得IP以及獲得對網(wǎng)絡(luò)的訪問。

可以說，校園網(wǎng)的不少無線接入點都沒有很好地考慮無線接入的安全問題，就連最基本的安全，如基于MAC地址的認(rèn)證或共享密鑰認(rèn)證也沒有設(shè)置，更不用說像802.1x這樣相對來說比較難設(shè)置的認(rèn)證方法了。如果我們提著筆記本電腦在某個校園內(nèi)走動，會搜索到很多無線接入點，這些接入點幾乎沒有任何的安全防范措施，可以非常方便地接入。試想，如果讓不明身份的人進(jìn)入無線網(wǎng)絡(luò)，進(jìn)而進(jìn)入校園網(wǎng)，就會對我們的校園網(wǎng)絡(luò)構(gòu)成威脅。

3校園網(wǎng)無線網(wǎng)絡(luò)安全解決方案

校園網(wǎng)內(nèi)無線網(wǎng)絡(luò)建成后，怎樣才能有效地保障無線網(wǎng)絡(luò)的安全?前面提到的基于MAC地址的認(rèn)證存在兩個問題，一是數(shù)據(jù)管理的問題，要維護(hù)MAC數(shù)據(jù)庫，二是MAC可嗅探，也可修改；如果采用共享密鑰認(rèn)證，攻擊者可以輕易地搞到共享認(rèn)證密鑰；802.1x定義了三種身份：申請者(用戶無線終端)、認(rèn)證者(AP)和認(rèn)證服務(wù)器。整個認(rèn)證的過程發(fā)生在申請者與認(rèn)證服務(wù)器之間，認(rèn)證者只起到了橋接的作用。申請者向認(rèn)證服務(wù)器表明自己的身份，然后認(rèn)證服務(wù)器對申請者進(jìn)行認(rèn)證，認(rèn)證通過后將通信所需要的密鑰加密再發(fā)給申請者。申請者用這個密鑰就可以與AP進(jìn)行通信。

雖然802.1x仍舊存在一定的缺陷，但較共享密鑰認(rèn)證方式已經(jīng)有了很大的改善，IEEE802.11i和WAPI都參考了802.1x的機制。802.1x選用EAP來提供請求方和認(rèn)證服務(wù)器兩者之間的認(rèn)證服務(wù)。最常用的EAP認(rèn)證方法有EAP－MD5、EAP－TLS和PEAP等。Microsoft為多種使用802.1x的身份驗證協(xié)議提供了本地支持。在大多數(shù)情況下，選擇無線客戶端身份驗證的依據(jù)是基于密碼憑據(jù)驗證，或基于證書驗證。建議在執(zhí)行基于證書的客戶端身份驗證時使用EAP-TLS；在執(zhí)行基于密碼的客戶端身份驗證時使用EAP-Microsoft質(zhì)詢握手身份驗證協(xié)議版本2(MSCHAPv2)，該協(xié)議在PEAP(ProtectedExtensibleAuthenticationProtoco1)協(xié)議中，也稱作PEAP－EAP－MSCHAPv2。

考慮到校園群體的特殊性，為了保障校園無線網(wǎng)絡(luò)的安全，可對不同的群體采取不同的認(rèn)證方法。在校園網(wǎng)內(nèi)，主要分成兩類不同的用戶，一類是校內(nèi)用戶，一類是來訪用戶。校內(nèi)用戶主要是學(xué)校的師生。由于工作和學(xué)習(xí)的需要，他們要求能夠隨時接入無線網(wǎng)絡(luò)，訪問校園網(wǎng)內(nèi)資源以及訪問Internet。這些用戶的數(shù)據(jù)，如工資、科研成果、研究資料和論文等的安全性要求比較高。對于此類用戶，可使用802.1x認(rèn)證方式對用戶進(jìn)行認(rèn)證。來訪用戶主要是來校參觀、培訓(xùn)或進(jìn)行學(xué)術(shù)交流的一些用戶。這類用戶對網(wǎng)絡(luò)安全的需求不是特別高，對他們來說最重要的就是能夠非常方便而且快速地接入Intemet，以瀏覽相關(guān)網(wǎng)站和收發(fā)郵件等。針對這類用戶，可采用DHCP+強制Portal認(rèn)證的方式接入校園無線網(wǎng)絡(luò)。

如圖所示，開機后，來訪用戶先通過DHCP服務(wù)器獲得IP地址。當(dāng)來訪用戶打開瀏覽器訪問Intemet網(wǎng)站時，強制Porta控制單元首先將用戶訪問的Intemet定向到Portal服務(wù)器中定制的網(wǎng)站，用戶只能訪問該網(wǎng)站中提供的服務(wù)，無法訪問校園網(wǎng)內(nèi)部的其他受限資源，比如學(xué)校公共數(shù)據(jù)庫、圖書館期刊全文數(shù)據(jù)庫等。如果要訪問校園網(wǎng)以外的資源，必須通過強制Portal認(rèn)證．認(rèn)證通過就可以訪問Intemet。對于校內(nèi)用戶，先由無線用戶終端發(fā)起認(rèn)證請求，沒通過認(rèn)證之前，不能訪問任何地方，并且不能獲得IP地址。可通過數(shù)字證書(需要設(shè)立證書服務(wù)器)實現(xiàn)雙向認(rèn)證，既可以防止非法用戶使用網(wǎng)絡(luò)，也可以防止用戶連入非法AP。雙向認(rèn)證通過后，無線用戶終端從DHCP服務(wù)器獲得IP地址。無線用戶終端獲得IP地址后，就可以利用雙方約定的密鑰，運用所協(xié)商的加密算法進(jìn)行通信，并且可以重新生成新的密鑰，這樣就很好地保證了數(shù)據(jù)的安全傳輸。

使用強制Portal+802.1x這兩種認(rèn)證方式相結(jié)合的方法能有效地解決校園網(wǎng)無線網(wǎng)絡(luò)的安全，具有一定的現(xiàn)實意義。來訪用戶所關(guān)心的是方便和快捷，對安全性的要求不高。強制Portal認(rèn)證方式在用戶端不需要安裝額外的客戶端軟件，用戶直接使用Web瀏覽器認(rèn)證后即可上網(wǎng)。采用此種方式，對來訪用戶來說簡單、方便、快速，但安全性比較差。雖然用戶名和密碼可以通過SSL加密，但傳輸?shù)臄?shù)據(jù)沒有任何加密，任何人都可以監(jiān)聽。當(dāng)然，必須通過相應(yīng)的權(quán)限來限制和隔離此類用戶，確保來訪用戶無法訪問校園網(wǎng)內(nèi)部資料，從而保證校園網(wǎng)絡(luò)的高安全性。校內(nèi)用戶所關(guān)心的主要是其信息的安全，安全性要求比較高。802.1x認(rèn)證方式安裝設(shè)置比較麻煩，設(shè)置步驟也比較多，且要有專門的802.1x客戶端，但擁有極好的安全性，因此針對校內(nèi)用戶可使用802.1x認(rèn)證方式，以保障傳輸數(shù)據(jù)的安全。

4結(jié)束語

校園網(wǎng)各區(qū)域分別覆蓋無線局域網(wǎng)絡(luò)以后，用戶只需簡單的設(shè)置就可以連接到校園網(wǎng)，從而實現(xiàn)上網(wǎng)功能。特別是隨著迅馳技術(shù)的發(fā)展，將進(jìn)一步促進(jìn)校園網(wǎng)內(nèi)無線網(wǎng)絡(luò)的建設(shè)?，F(xiàn)在，不少高校都已經(jīng)實現(xiàn)了整個校園的無線覆蓋。但在建設(shè)無線網(wǎng)絡(luò)的同時，由于對無線網(wǎng)絡(luò)的安全不夠重視，對校園網(wǎng)無線網(wǎng)絡(luò)的安全考慮不夠。在這點上，學(xué)校信息化辦公室和網(wǎng)管中心應(yīng)該牽頭，做好無線網(wǎng)絡(luò)的安全管理工作，并完成全校無線網(wǎng)絡(luò)的統(tǒng)一身份驗證，做到無線網(wǎng)絡(luò)與現(xiàn)有有線網(wǎng)絡(luò)的無縫對接，確保無線網(wǎng)絡(luò)的高安全性。

參考文獻(xiàn)：

[1]楊峰,張浩軍.無線局域網(wǎng)安全協(xié)議的研究和實現(xiàn)[J].計算機應(yīng)用,2005,25(1):2.

[2]黃勁榮.無線局域網(wǎng)在校園網(wǎng)的應(yīng)用[J].教育信息化,2005(15):1.