【摘要】本文介紹了無線局域網(wǎng)在校園架設中的安全技術、安全現(xiàn)狀及不足之處，結合相關產(chǎn)品進行了安全技術的分析，針對不同的網(wǎng)絡情況采用的幾種安全技術和方案，并從當前技術發(fā)展的實際情況出發(fā)分析了需要解決的問題等。
　　【關鍵詞】無線局域網(wǎng)；安全技術；解決方案
　　
　　無線局域網(wǎng)(WLAN)是計算機網(wǎng)絡與無線通信技術相結合的產(chǎn)物，由于無線網(wǎng)絡所特有的開放性，其安全問題一直是業(yè)界研究的重點。通常網(wǎng)絡的安全性主要體現(xiàn)在訪問控制和數(shù)據(jù)加密兩個方面。訪問控制保證敏感數(shù)據(jù)只能由授權用戶進行訪問，而數(shù)據(jù)加密則保證發(fā)射的數(shù)據(jù)只能被所期望的用戶所接收。WLAN以空氣作為媒介、通過電波進行傳輸，因此在一個無線局域網(wǎng)接入點（AP）所服務的區(qū)域中，任何一個無線客戶端都可以接受到此接入點的電磁波信號，導致數(shù)據(jù)被竊取。安全問題已成為影響無線局域網(wǎng)進一步擴充市場的主要障礙。
　　
　　無線安全基本技術
　　
　　1.有線等價保密協(xié)議（WEP）
　　無線網(wǎng)絡安全的一個重要方面是數(shù)據(jù)加密可通過有線等效保密來進行。WEP是IEEE802.11b協(xié)議中最基本的無線安全加密措施。其目的之一是訪問控制：阻止那些沒有正確WEP密鑰并且未經(jīng)授權的用戶訪問網(wǎng)絡。第二是保密：僅僅允許具備正確WEP密鑰的用戶通過加密來保護WLAN數(shù)據(jù)流。WEP在傳輸上提供了一定的安全性和保密性，能夠阻止有意或無意的無線用戶查看到在AP和STA之間傳輸?shù)膬?nèi)容。其優(yōu)點在于：①全部報文數(shù)據(jù)采用校驗和加密；②通過加密來維護一定的保密性，如果沒有破解密鑰，就很難把報文解密；③WEP操作簡單，容易實現(xiàn)；④WEP為WLAN應用程序提供了非?；镜谋Ｗo。
　　2.基于802.1x認證的安全解決方案
　　由于校園無線局域網(wǎng)是承載于現(xiàn)有的有線網(wǎng)絡之上，通過電磁波載體將有線網(wǎng)擴展到整個三維空間中，實現(xiàn)有線網(wǎng)中的位置分散的信息點在連續(xù)空間的延續(xù)。因此一個沒有控制的無線局域網(wǎng)比有線網(wǎng)絡更容易受到攻擊和入侵。因此無線局域網(wǎng)的安全認證、接入控制、數(shù)據(jù)加密顯得非常重要。802.1x是針對以太網(wǎng)而提出的基于端口進行網(wǎng)絡訪問控制的安全性標準草案。802.1x體系結構包括三個主要的組件：請求方、認證方、認證服務器。在采用802.1x的無線LAN中，無線用戶端安裝802.1x客戶端軟件作為請求方，無線訪問點AP內(nèi)嵌802.1x認證代理作為認證方，同時它還作為Radius認證服務器的客戶端，負責用戶與Radius服務器之間認證信息的轉發(fā)。802.1x認證一般包括以下幾種EAP：EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAP、EAP-LEAP、EAP-SIM。其優(yōu)點在于：①802.1x協(xié)議專注受控端口的打開與關閉；②客戶端IP數(shù)據(jù)包在二層普通MAC幀上傳送；③采用Radius協(xié)議進行認證，可以方便與其他認證平臺進行對接。
　　
　　3.新一代WLAN安全標準——802.11i
　　IEEE 802.11i規(guī)定使用802.1x認證和密鑰管理方式，在數(shù)據(jù)加密方面，定義了TKIP（Temporal Key Int egrity Protocol）、CCMP（Counter-Mode/CBC-MAC Protocol）和WRAP（Wireless Robust Authenticated Protocol）三種加密機制。其中TKIP采用WEP機制里的RC4作為核心加密算法，可以通過在現(xiàn)有的設備上升級固件和驅(qū)動程序的方法達到提高WLAN安全的目的。CCMP機制基于AES（Advanced Encryption Standard）加密算法和CCM（Counter-Mode/CBC-MAC）認證方式，使得WLAN的安全程度大大提高，是實現(xiàn)RSN的強制性要求。由于AES對硬件要求比較高，因此CCMP無法通過在現(xiàn)有設備的基礎上進行升級實現(xiàn)。802.11i協(xié)議結構如圖所示。
　　
　　校園無線網(wǎng)絡安全現(xiàn)狀
　　
　　依靠有效保密（WEP）方式對無線局域網(wǎng)數(shù)據(jù)加密適用于在無線覆蓋范圍不是很大，終端用戶數(shù)量不是很多，且對安全要求不是很高的應用環(huán)境中。現(xiàn)在大多數(shù)校園采用對網(wǎng)絡數(shù)據(jù)加密，但存在幾個漏洞：①密鑰容易泄漏；②通過一些無線破解軟件很容易對密鑰進行破解；③MAC地址認證接入方式?，F(xiàn)在由于無線接入點（AP）不做任何安全設置，任何符合無線相容性認證（Wi-Fi）的網(wǎng)卡都可以連接網(wǎng)絡，所以現(xiàn)在大部分的無線網(wǎng)絡采用MAC地址認證方式控制用戶接入。這種方式最大的弊端就是用戶可以通過修改MAC欺騙技術入侵網(wǎng)絡，而且這種接入控制方式對校園無線網(wǎng)存在管理維護繁瑣、擴展能力受限等問題。
　　
　　校園無線網(wǎng)絡安全策略分析
　　
　　校園無線網(wǎng)絡設備全部采用h3c公司自主研發(fā)的集成無線控制器和千兆以太網(wǎng)交換機功能WX5000系列一體化交換機。提供純千兆以太網(wǎng)有線接入口，支持PoE+供電，每端口最大提供25W的功率，同時兼容802.11a/b/g/n協(xié)議。現(xiàn)針對校園無線網(wǎng)絡應用中的安全隱患進行相關策略分析。無線控制器為H3C WX5000系列，可支持54個AP。H3C WX3000系列多業(yè)務無線控制器集精細的用戶控制管理、完善的RF管理及安全機制等多功能于一體，提供強大的WLAN接入控制功能。
　　1.基于FIT AP解決方案
　　校園無線局域網(wǎng)采用集中控制管理的FIT AP部署模式來建設企業(yè)WLAN網(wǎng)絡，即通過無線控制器和無線AP共同滿足企業(yè)無線覆蓋需求，有效地解決企業(yè)IT人員對AP管理的后顧之憂，并滿足企業(yè)對無線語音、視頻等增值業(yè)務的需要，而且配置簡單、維護方便、安全可控、更易擴展。
　　2.無線入侵檢測/防御
　　H3C WX5000系列多業(yè)務無線控制器可以自動監(jiān)測WLAN網(wǎng)絡中的非法設備（例如AP，或者Ad Hoc），并實時上報網(wǎng)管中心最大程度地保護無線網(wǎng)絡；支持靜態(tài)配置白名單功能，從而減少非法報文對無線網(wǎng)絡的沖擊；支持多種攻擊的檢測，例如DOS攻擊，F(xiàn)lood攻擊，去認證、去連接報文的仿冒檢測，以及無線用戶Weak IV檢測；支持多種認證方式；支持TLS、PEAP、TTLS、MD5、SIM卡等多種802.1x的認證方式，同時還支持802.1x本地認證方式，用戶認證時，系統(tǒng)自動配置客戶權限；支持MAC地址認證，對一些手持終端（例如：WiFi Phone、手持移動終端等）并不方便采取電腦上的認證方式，MAC地址認證卻可以輕松解決該問題，實現(xiàn)在控制器或者CAMS服務器上配置好合法的MAC地址；支持Portal認證，一些校園外部的客戶希望使用無線網(wǎng)絡來訪問Internet，很可能外部員工并沒有安裝例如802.1x客戶端軟件，這時，Portal認證提供了很好的認證方式。
　　3.校園無線網(wǎng)絡應用安全解決方案
　　由于校園各部門對網(wǎng)絡需求不同，有的部門（比如學生宿舍區(qū)）只需要訪問校園內(nèi)部數(shù)據(jù)資源而不能訪問互聯(lián)網(wǎng)數(shù)據(jù)，有的部門如財務部等需要對銀聯(lián)數(shù)據(jù)進行訪問。這就對無線控制器提出了一系列不同級別的安全技術策略。 對于無線客戶端比較少的部門可以采用AP進行認證，而對于存放重要數(shù)據(jù)資源且對外部開放的一些部門需考慮終端用戶數(shù)量。隨著AP和用戶數(shù)量的增加，安全隱患也隨之增加，這時應采用高級無線局域網(wǎng)安全標準IEEE802.11i。
　　校園在認證方式上采用基于用戶而不是采用基于MAC地址的認證機制，可以大大提高無線網(wǎng)絡的安全機制。這種認證方式不需要人工管理網(wǎng)內(nèi)的MAC地址數(shù)據(jù)庫，簡單易行，不會增加網(wǎng)絡管理員的工作負擔，所有的驗證工作通過本地方式由AP進行維護。但校園在規(guī)劃無線網(wǎng)絡時應首先考慮AP如何部署和維護。在具體實施上需采取以下措施：①采用符合802.11標準及通過Wi-Fi認證的無線網(wǎng)絡產(chǎn)品，核心安全架構采用WPA標準。②對不同的無線用戶提供不同的接入認證方式，并對其應用合適的路由策略。③禁止SSID進行廣播。④采用H3CWX5000系列無線網(wǎng)絡接入控制器作為無線校園網(wǎng)的安全接入產(chǎn)品，為網(wǎng)絡安全和擴展提供保證。⑤利用802.1x身份認證和WEP，可以通過增強功能來解決傳統(tǒng)靜態(tài)WEP存在的問題。通過實現(xiàn)到RADIUS服務器的EAP和身份認證。⑥架設一套網(wǎng)絡管理軟件，實時監(jiān)測分析無線數(shù)據(jù)流，根據(jù)需要阻止和斷開客戶端。
　　
　　小結
　　
　　無線局域網(wǎng)技術正向著快速、穩(wěn)定、安全的方向迅速發(fā)展，同時也存在著很多的安全隱患。在構架無線網(wǎng)絡時必須根據(jù)校園實際情況，建立多層安全保護機制，從接入、認證、加密等方面充分考慮，最大限度減少無線網(wǎng)絡帶來的風險。
　　
　　參考文獻：
　　[1]李健.高校無線局域網(wǎng)安全技術分析.福建電腦，2008（5）
　　[2]王大虎，楊維等.WEP的安全技術分析與對策.中國安全科學學報，2004年08期
　　[3]李勤，張浩軍等.無線局域網(wǎng)安全協(xié)議的研究和實現(xiàn).計算機應用，2005
　　[4]王曉軍.校園無線局域網(wǎng)安全性分析與解決方案.廊坊師范學院學報（自然科學版），2009年3期