无线校园网络安全策略研究＊

曹力

(南京晓庄学院，江苏南京210000)

无线校园网络安全策略研究＊

曹力

(南京晓庄学院，江苏南京210000)

随着计算机网络技术的不断发展，信息化建设的不断提高，无线网络已逐步成为企业网、学校网解决方案的一种重要途径。本文通过对无线校园网接入问题的研究，分析了无线校园网络的安全机制，提出了适用于无线校园网络的安全解决策略。

无线网络;无线校园网;安全;策略

过去很长一段时间，计算机组网大多以铜缆或者光缆作为传输媒介，组成有线局域网。但是有线网络不仅施工工程量较大，而且具有很强的破坏性，网络中不同节点之间的移动性也较弱。无线网络有效的解决了这些问题，开始普及。在校园中，学生与教师都具有很大程度的流动性，因此，在不固定场所上网并进行网上教学成为了他们的迫切需求。有线网络已经不能满足他们频繁流动对上网的需要，导致网络互连和Intenet进入瓶颈。在校园网之中引入无线网络，可满足学生和教师不固定场所上网的需要，为他们工作、生活和学习大开方便之门。

一、无线校园网络安全的现状

随着互联网技术的发展，无线校园网络技术也愈加成熟。目前，无线校园网络已经能够达到教师和学生对校园网络的要求，而且相较于有线网络而言，有着其独特的移动性和易扩容性。因此而成为目前校园网解决方案的首要选择。目前无线校园网络已经开始发展并普及，由于无线校园网络的覆盖面比有线网络更加广，利用无线校园网络，学生和教师能够在教室、办公室甚至学校草坪内随时随地上网。但是，随着无线校园网络的使用，无线网络的安全问题也成为一个亟待解决的问题。无线网络安全保障机制主要有以下三种:

第一，MAC地址认证。也称MAC地址过滤，通过设置MAC地址来限制网络中用户的访问，对MAC地址实施绑定后，用户如果要进行网络访问，则他的MAC地址必须包含在MAC列表中，否则他将无法进行网络的访问。

第二，共享密钥认证。也称隐秘密钥认证，它是指无线设备和接入点共同拥有一个或一组密码。用户使用无线网访问网络时，需要进行身份验证，如果接入点所提供的密码与无线设备的相一致，则判定该用户为合法用户，授予无线网络的访问权;之则无法访问网络。

第三，802.1x认证。802.1x协议是基于C/S的访问控制和认证协议。用户访问网络之前，需要先由802.1x对连接到交换机端口上的用户进行认证，认证通过以后，逻辑端口被打开，正常的数据能够通过以太网端口。

而目前无线校园网络安全的现状是，很多的无线校园网络连最基本的安全认证(如MAC地址过滤、隐秘密钥)都没有设置。象802.1 x认证这种比较难的认证方法就更没有设置。这样，外人可以随意的进入无线校园网络，入侵校园网，给无线校园网络带来了极大的安全隐患。

二、无线校园网的安全标准

为了将无线局域网技术从这种被动的局面中解救出来，IEEE 802.1l工作组着手制订被称为IEEE 802.1li的新一代安全标准。IEEE 802.1li在数据加密和认证技术增强了虚拟局域网的性能，产生了RSN(Robust Security Network)，并针对WEP加密机制的各个方面进行了大的改进，两种安全标准的主要异同之处如下。

(一)目前的安全标准:WEP

WEP(Wired Equivalent Privacy，有线等效保密)协议是种使用共享秘钥RC4加密算法的安全标准协议，RC4的安全机制就是加密密钥匹配机制，只有当用户的加密密钥与AP的密钥相同时才能获准进行通信，已达到防止非法用户的窃听以及非法访问。

WEP标准在网络安全保护上漏洞百出，如密钥共享机制，一个服务区内的所有用户共享同一个密钥，只要其中一个用户丢失或泄漏密钥将导致整个网络危机。WEP加密自身也存在安伞缺陷，入侵者可以从互联网上获得公开免费的入侵工具，用于入侵。当黑客发现网络传输，就会利用这些工具来破解密钥，截取网络上的数据包，或非法访问网络资源。

(二)新一代安全标准:WPA

WEP由于其存在的缺陷难以满足目前的需要，于是Wi－Fi联盟适时推出了WPA(Wi—Fi Protected Access，Wi－Fi访问保护)技术，作为暂时替代WEP的无线安全标准。WPA实际上是IEEE 802.1li的一个子集，其核心就是IEEE 802.1x和临时密钥完整性协议(TKIP)。

TKIP与WEP一样是采用RC4加密算法，但对WEP进行了大量改进，安全机制基于动态会话密钥。TKIP引入了48位初始化向量(IV)和IV顺序规则、每包密钥构建Michael消息完整性代码以及密钥重获/分发4个新算法，提高了无线网络数据加密安全强度。

IEEE 802.1li中还定义了一种基于“高级加密标准”AES的全新加密算法，以实施更强大的加密和信息完整性检查。AES是一种对称的块加密技术，提供比RC4算法更高的加密性能，它在IEEE 802.1li确认后，成为取代WEP的新一代的加密技术，为无线网络提供高级别的安全防护。

WPA针对不同的用户和不同应用的安全需要，提供了两种应用模式:企业模式，使用认证服务器和复杂的安全认证机制来实现通信安全;家庭模式，以AP(或者无线路由器)及无线终端共享密钥认证机制来实现无线链路的通信安全。

三、无线校园网络安全解决方案

无线网络进入校园以后，如何保证无线校园网络的安全性呢?上文中提到的MAC地址认证和共享密钥认证都还有一定的安全隐患。MAC地址认证需要进行维护，面临着数据管理的问题，另外，MAC具有可嗅探性，也能修改;而共享密钥认证得安全性也不强，入侵者能够很容易的得到共享认证密钥。相对而言802.1x这种认证方式的安全性就要好很多，它的实现设计了申请者系统(用户无线终端)、认证服务器和认证者(AP)三个部分，由申请者系统和认证服务器来完成认证的主要过程，认证者的功能是进行数据的传递和中转。用户向认证服务器发出认证接入申请，通过认证之后服务器将经过加密的通信密钥发给用户，申请者利用这个密钥就可以与AP进行通信。IEEE802.11i和WAPI都是制定在802.1x机制的基础上。802.1x通常使用EAP来提供请求方与认证者之间的认证服务，EAP认证方法主要有EAP—MD5、PEAP以及EAP—TLS等。

Microsoft为使用802.1x的身份验证协议提供了本地支持。通常情况下，选择无线客户端身份验证的依据是基于密码凭据验证或基于证书验证。因此在执行基于密码的客户端身份验证时优先使用EAP—Microsoft询问握手身份验证协议2(MScHAPv2)，该协议在EPEAP(Protected Extensible Authentication Protocol)协议中，而执行基于证书的客户端身份验证时使用EAP—TLS。

针对校园群体的特点，可以对不同用户使用不同的认证方法，以此来确保无线校园网络的安全性。

一般来说，无线校园网络的用户可划分为本地用户和外来用户两大类。本地用户是指学校教师和学生，因工作、生活和学习的需要，他们需要能够随时随地的访问网络，查询校园网内的数据和资源。这些用户的资料，例如研究成果、研究资料以及论文等都要求有较好的安全性。这些用户可以采用802.1x进行认证。也就是先由用户向认证服务器发出接入申请，在未通过认证的情况下，用户无法访问网络，也无法获取IP地址。设立证书服务器，以数字证书的形式达到双向认证的目的，能够有效避免用户接入非法AP以及非法用户使用网络，只有在通过双向认证之后，用户方可访问网络，保证校园网资源的安全性。外来用户主要是针对来学校进行学术交流、培训等用户，这些用户关注的是能够方便、快捷的接入网络，已进行相关的文件传输、浏览网站等工作。因此，对这类用户可采用DHCP+强制Portal的认证方式，用户可得到DHCP服务器分配的IP地址，当他们用浏览器访问网页时，强制Portal控制单元首先将用户访问的Intenet定向到Portal服务器中定制的网站，让用户仅可以访问网站中提供的服务，而不能访问校园网内部的一些受限资源，例如学校公共数据库、图书馆期刊全文数据库以及一些学校内部资源。如果用户需要访问校园网以外的数据，要先通过强制Portal认证，通过认证之后方可访问网络。

根据不同用户的需要采用不同的认证方法，将802.1x认证和强制Portal认证这两种认证方式相结合是解决目前无线校园网络安全问题的有效途径，并有极强的现实意义。本地用户主要关注如何保障资源的安全，对资源安全性有较高的要求，802.1x认证方式的安全性较好。因此，对本地用户采用802.1x认证方式，确保本地用户资源的安全;外来用户则侧重于访问网络时的方便和快捷，没有那么高的安全性要求，采用强制Portal认证方式，用户不需要安装客户端，直接使用web浏览器认证后就可以访问互联网，这种认证方式的优点是简单、方便、快捷，正好符合外来用户对网络的要求。但是，要设置相应的权限以隔离和限制这些用户，保证外来用户无法查询校园网的内部资源，从而保证无线校园网络的安全性。

四、结语

目前，无线校园网络已经在学校开始普及。但是，一些学校往往忽视了无线校园网络的安全问题，学校的网络管理中心应当加强对无线网络的安全管理，尽快实现无线校园网络的统一身份验证，以实现无线网络和有线网络之间的无缝连接，排除无线网络的安全隐患。

［1］梁德华.基于无线网的校园网络安全策略研究［J］.科技广场，2009，(9).

［2］万红运，许洪超.无线校园网安全策略及实施［J］.网络安全技术与应用，2006，(10).

［3］李继良.无线局域网安全问题与解决办法［J］.计算机安全，2007，(10).

［4］宋红生.浅议无线校园网的接入安全［J］.中国科技纵横，2009，(11).

［5］陈燕旋.试论无线校园网的接入安全［J］.科技风，2010，(2).

2011－02－18

曹力(1989－)，男，江苏张家港人，本科。