常偉鵬

中國藥科大學 江蘇 211169

0 引言

近年來無線網(wǎng)絡技術的發(fā)展使無線網(wǎng)絡在傳輸速率和傳輸質量上與有線網(wǎng)絡的差距越來越小、組網(wǎng)成本越來越低，而信號傳輸無需線纜的特性又使其安裝維護容易、組網(wǎng)靈活、支持的設備可移動性強、用戶使用便利甚至可在特殊環(huán)境中使用，因此越來越多的企業(yè)、學校、社團等機構以及公共場所中都開始部署無線局域網(wǎng)絡(以下簡稱無線網(wǎng)絡)，作為對有線網(wǎng)絡的補充與擴展。當前在高校學生中筆記本電腦、智能手機、平板電腦等支持無線網(wǎng)絡的設備具有相當高的占有率，在校園網(wǎng)中開展無線網(wǎng)絡建設，可以推進高校信息化發(fā)展，有利于多種教學方式的實現(xiàn)，給師生的工作和學習帶來極大的便利。

1 校園無線網(wǎng)絡安全分析

1.1 無線網(wǎng)絡的不安全性

與有線網(wǎng)絡的接入方式不同，在無線網(wǎng)絡中只要終端設備在無線信號覆蓋范圍內便可接入網(wǎng)絡，這是無線網(wǎng)絡便利性的體現(xiàn)，同時也是其不安全性的根源。無線網(wǎng)絡的接入過于便利，黑客甚至可以利用特殊信號放大工具在信號非常弱的遠距離地區(qū)接入，接入的便利性導致在無線網(wǎng)絡中傳輸?shù)男畔⒏妆桓`聽或受到干擾，無線網(wǎng)絡終端的移動性使得安全管理難度大，信號易被干擾又對無線網(wǎng)絡的穩(wěn)定性產生很大影響。同時無線網(wǎng)絡中AP帶寬為該AP當前所有用戶共享的機制易使AP被同時大量發(fā)送的PING包或廣播包阻塞，802.11系列標準未對無線網(wǎng)絡數(shù)據(jù)幀的認證進行定義，這使無線網(wǎng)絡中站點的MAC地址極易被獲得，無線網(wǎng)絡中還存在假冒AP、非法AP等不安全因素。

1.2 校園無線網(wǎng)絡安全的現(xiàn)狀

與有線網(wǎng)絡經(jīng)過長期發(fā)展，有著成熟完善的安全模型與防護技術不同，無線網(wǎng)絡在大多數(shù)校園中仍是一個新鮮事物，對其安全性認識不足和安全防護手段缺乏的現(xiàn)象普遍存在。隨著高校校園中無線網(wǎng)絡的陸續(xù)建成，校園無線網(wǎng)絡的安全性才逐漸成為網(wǎng)絡管理部門關心的問題。校園無線網(wǎng)絡作為校園網(wǎng)絡的一部分，其安全問題主要涉及接入安全和信息傳輸安全。接入安全主要包括用戶接入無線網(wǎng)絡的認證與授權，通過訪問控制來保證敏感數(shù)據(jù)只能由授權用戶進行訪問。信息傳輸安全指以無線電波形式發(fā)送的網(wǎng)絡信號只能被所期待的用戶接受和理解，這主要通過數(shù)據(jù)加密來實現(xiàn)。當前在不少校園無線網(wǎng)絡中，接入安全和信息傳輸安全都沒有被很好的考慮，用戶接入無線網(wǎng)絡不需要任何認證措施，通過無線網(wǎng)絡傳輸?shù)男畔⒁矘O少采取加密措施或采取復雜度低、容易被破解的加密算法。

接入安全機制的缺乏使非法用戶很容易接入無線網(wǎng)絡，信息傳輸安全機制的缺乏則使無線網(wǎng)絡中傳輸?shù)男畔O易遭泄露、篡改或毀壞。作為局域網(wǎng)的校園網(wǎng)絡，其內部系統(tǒng)之間信任程度相當高、防范相當脆弱，而校園無線網(wǎng)絡作為校園網(wǎng)的一部分，一旦攻擊者進入無線網(wǎng)絡，便可以繞開校園網(wǎng)精心布置的安全防護系統(tǒng)，在其內部展開攻擊與破壞。因此，根據(jù)“木桶理論”原理，如果校園無線網(wǎng)絡的安全性得不到保障，那么整個校園網(wǎng)絡的安全性也無從談起。

2 校園無線網(wǎng)絡安全防護

無線網(wǎng)絡安全的保障，需要分別從人和技術的角度來考慮，從人的角度來看，需要網(wǎng)絡管理者增強安全意識、規(guī)范安全制度、開展安全管理、保持安全警惕，從技術方面主要包括采用訪問控制和數(shù)據(jù)加密等技術手段來保證無線網(wǎng)絡接入安全和信息傳輸安全，人和技術兩個角度可以歸結為無線網(wǎng)絡安全管理和無線網(wǎng)絡安全技術。無線網(wǎng)絡安全管理作為信息系統(tǒng)安全管理的一部分，與傳統(tǒng)網(wǎng)絡安全管理并無太大差別，在此不做贅述，下面分別從無線網(wǎng)絡接入安全和信息傳輸安全的角度來分析可為校園無線網(wǎng)絡采用的網(wǎng)絡安全技術。

2.1 無線網(wǎng)絡接入安全

接入是用戶使用網(wǎng)絡的前提，接入安全包括對所有用戶的認證和對合法用戶的授權。好的認證手段要有高安全性，不易被破解，用戶使用體驗好同時管理方便。常見的認證方式有基于MAC地址的認證，web portal認證、802.1x認證。

(1) 基于 MAC地址的認證通過在認證服務器中將一個MAC地址表設置為黑名單或者白名單，從而實現(xiàn)禁止或允許MAC地址為該表中記錄的設備訪問網(wǎng)絡。

(2) Web portal認證通過Web頁面為用戶認證，當用戶接入無線網(wǎng)絡時會首先獲得由DHCP服務器分發(fā)的ip地址，當用戶需要訪問 Internet而打開瀏覽器時，認證系統(tǒng)會自動通過用戶的瀏覽器推送認證頁面，用戶根據(jù)頁面提示完成認證。

(3) 802.1x認證是現(xiàn)有認證方式中最安全的一種，使用802.1x+Radius認證，可以基于證書對接入設備進行認證，在認證的過程中可以由加密隧道進行保護，避免認證信息的泄露。當接入設備連接上AP后，連接的邏輯端口仍然是關閉的，即使二層網(wǎng)絡也不能互相訪問，能否使用AP提供的服務取決于802.1x的認證結果。802.1x部署成本稍高，要求接入設備安裝有支持802.1x的客戶端，將用戶的認證信息發(fā)送給Radius服務器。

由于校園網(wǎng)內部存儲有諸如科研成果、研究材料、學術論文以及教師工資等敏感資料，還有校園網(wǎng)內部的各種系統(tǒng)，對安全有較高要求，而校園網(wǎng)對系統(tǒng)內部的用戶是極信任的，防御極其薄弱，因此對需要訪問內部資源的無線網(wǎng)絡接入認證有較高的安全要求，可以采用802.1x認證來保證接入的安全性。而對只通過接入校園無線網(wǎng)絡來訪問 Internet的用戶，則可以采用Web portal 認證方式，這時需要在AP上做好二層隔離，使用戶只能通過AP訪問固定的網(wǎng)絡，防止用戶從二層訪問校園網(wǎng)中的資源。根據(jù)校園環(huán)境的特點，可以將校園無線網(wǎng)絡的用戶區(qū)分為在校園工作學習的師生等固定用戶和來校園參觀、學習、交流等人群所構成的來訪用戶，來訪用戶可通過Web認證方式訪問Internet，固定用戶可根據(jù)需要，選用Web方式或802.1x方式接入校園無線網(wǎng)絡。

校園中還存在有諸如無線攝像頭、無線打印機、無線刷卡器等需要使用無線網(wǎng)絡的設備，此類設備功能單一，無法在其上實現(xiàn)Web認證或802.1x認證。此時可采用基于MAC地址的認證，將此類設備的MAC地址加入允許直接訪問無線網(wǎng)絡的白名單即可。

授權要求對不同級別用戶的權限策略設置清晰，保證用戶不能越權操作，針對越權操作的現(xiàn)象能即使發(fā)現(xiàn)并作出響應，一般是在認證服務器中所做的操作，在此不再詳述。

2.2 無線網(wǎng)絡信息傳輸安全

無線網(wǎng)絡的開放性傳播使信息在傳輸過程中很容易被他人截獲，導致重要信息遭泄露、篡改或破壞，如何保證信息只能被所期待的用戶接受和理解，這就需要對所發(fā)送的信息進行加密操作，常見的無線網(wǎng)絡加密技術有WEP、WEP、WEP2。

WEP(Wired Equivalent Privacy，有線等效加密)是802.11中最基本的無線安全加密措施，提供了40 位(也有稱64 位)或128 位長度的密鑰機制，是一種相對較弱的無線安全加密算法，由于采用靜態(tài)密鑰而使WEP加密變得很容易被破解。WPA(Wi-Fi Protected Access，Wi-Fi安全存取)是為了解決WEP缺點而推出的一項新的加密技術，采用了TKIP算法動態(tài)生成一個新的128位密碼，使得安全性較之WEP加密大大提高。WPA 包含了認證、加密和數(shù)據(jù)完整性校驗三個組成部分，是一個完整的安全性方案，但用WPA加密的短數(shù)據(jù)包仍可遭破解，于是出現(xiàn)了WPA2。WPA2用CCMP取代了WAP的TKIP，AES取代了WPA的MIC，成為當前無線網(wǎng)絡中信息加密的最高安全標準，但其對老舊網(wǎng)卡的支持不是很好。

在校園無線網(wǎng)絡中建議采用WPA或WPA2加密模式，同時為了防止非法入侵者暴力破解WPA或WPA2的密鑰，應定期更換WPA或WPA2的密鑰。

3 結語

作為校園網(wǎng)絡的一部分，校園無線網(wǎng)絡的安全關系到整個校園網(wǎng)絡的安全。隨著無線網(wǎng)絡在高校校園中的陸續(xù)建成與擴大，無線網(wǎng)絡的安全必然會受到越來越多的重視。網(wǎng)絡的安全性與使用便利性似乎是一對矛盾，越安全的網(wǎng)絡使用起來似乎越麻煩，但隨著無線網(wǎng)絡安全技術的發(fā)展與人們對校園無線網(wǎng)絡安全的重視，安全且使用便捷的校園無線網(wǎng)絡一定會出現(xiàn)在人們面前。

[1]任偉.網(wǎng)絡安全問題初探[J].信息網(wǎng)絡安全.2012.

[2]楊梅.校園無線網(wǎng)絡的安全與技術防護[J].河北能源職業(yè)技術學院學報.2011.

[3]朱振蕙.校園無線網(wǎng)絡安全接入探討[J].計算機安全.2012.

[4]張洪.淺談校園無線網(wǎng)絡的安全現(xiàn)狀與解決方案[J].職教研究.2011.