連和謬

(閩南理工學(xué)院，福建 石獅 362700)

WLAN技術(shù)在高校校園安全應(yīng)用的研究

連和謬

(閩南理工學(xué)院，福建 石獅 362700)

社會信息化不斷推進(jìn)，計算機(jī)網(wǎng)絡(luò)已成為人類學(xué)習(xí)、工作和生活必不可少的工具，WLAN技術(shù)作為計算機(jī)網(wǎng)絡(luò)的新焦點(diǎn)，日趨成熟，改變著人們的生活方式。如今高校在教學(xué)及工作的展開過程中更是離不開網(wǎng)絡(luò)技術(shù)，構(gòu)建高校穩(wěn)定、安全的無線網(wǎng)絡(luò)也成為了現(xiàn)階段的必然，本文主要通過分析無線局域網(wǎng)的特點(diǎn)來重點(diǎn)分析WLAN技術(shù)的安全問題，并提出安全措施。

校園網(wǎng)；WLAN;安全措施

一、WLAN的概念和接入技術(shù)介紹

WLAN是計算機(jī)技術(shù)和無線通信技術(shù)相結(jié)合而誕生的新產(chǎn)物，它利用射頻(RF)技術(shù)取代舊式的雙絞線構(gòu)成局域網(wǎng)絡(luò)，提供傳統(tǒng)有線局域網(wǎng)絡(luò)的所有功能。無線網(wǎng)絡(luò)所需的基礎(chǔ)設(shè)施不需再埋在地下或隱藏在墻里，并且可以隨意移動或變化。在運(yùn)營網(wǎng)絡(luò)覆蓋范圍之內(nèi)，用戶通過無線網(wǎng)卡，利用筆記本電腦、PDA(掌上電腦)、臺式機(jī)等終端設(shè)備以無線設(shè)備高速接入互聯(lián)網(wǎng)/企業(yè)網(wǎng)，獲取相關(guān)信息進(jìn)行移動辦公[1]。

WLAN是以無線信道作傳輸媒體的計算機(jī)局域網(wǎng)絡(luò)，它以無線多址信道作為傳輸媒介，提供傳輸有線局域網(wǎng)的功能，能夠使用戶真正實(shí)現(xiàn)隨時、隨地、隨意的寬帶網(wǎng)絡(luò)接入。

二、WLAN在高校校園網(wǎng)中的實(shí)現(xiàn)

(一)無線網(wǎng)絡(luò)的構(gòu)成

無線網(wǎng)絡(luò)的構(gòu)成有：認(rèn)證服務(wù)器(AS)、無線接入點(diǎn)(AP)、接入控制器(AC)、無線網(wǎng)卡、無線網(wǎng)橋、天線、POE供電設(shè)備、適配器等等，以下將作重點(diǎn)介紹：

1.無線網(wǎng)卡

無線網(wǎng)卡是終端無線網(wǎng)絡(luò)的設(shè)備，無線網(wǎng)卡可以使電腦利用無線來上網(wǎng)的一個裝置，通過無線網(wǎng)卡，連接進(jìn)入無線網(wǎng)絡(luò)，便能享受無線網(wǎng)絡(luò)。主流的無線技術(shù)是WiFi、藍(lán)牙以及HomeRF，無線網(wǎng)卡按照接入點(diǎn)的不同也可以分為五種：E型、T型、PC型、L型和USB接口。

2.無線接入點(diǎn)(AP)

無線AP是使用無線設(shè)備(手機(jī)等移動設(shè)備及筆記本電腦等無線設(shè)備)的用戶在進(jìn)入有線網(wǎng)絡(luò)的接入點(diǎn)后，主要提供無線網(wǎng)絡(luò)工作站對有線網(wǎng)絡(luò)的訪問以及從有線網(wǎng)絡(luò)工作站對無線網(wǎng)絡(luò)的訪問。每個AP 都能支持多個無線網(wǎng)卡，由多個AP就可以構(gòu)成蜂窩式的漫游功能，讓用戶在移動中就能享受到無縫、無中斷的無線網(wǎng)絡(luò)服務(wù)。

3.無線局域網(wǎng)接入控制器(AC)

無線網(wǎng)絡(luò)的接入控制器(AC)是WLAN和IP骨干網(wǎng)和外部網(wǎng)絡(luò)之間的接口網(wǎng)關(guān)。在非802.1x的WLAN中，AC發(fā)起認(rèn)證請求，監(jiān)視用戶實(shí)時使用情況并采集計費(fèi)信息送入AS中進(jìn)行計費(fèi)。

4.認(rèn)證服務(wù)器(AS)

認(rèn)證服務(wù)器(AS)根據(jù)與WLAN無線接入?yún)^(qū)域之間的IP認(rèn)證和計費(fèi)信息接口。AS、AC、AP之間使用標(biāo)準(zhǔn)的RADIUS(Remote Authentication Dial In User Service)計費(fèi)心思、協(xié)議認(rèn)證和鑒別權(quán)利。由于AS能夠滿足多個AC和AP，所以AS能夠滿足大范圍的無線接入要求。

5.無線網(wǎng)橋(Bridge)

無線網(wǎng)橋就是搭載兩個無線網(wǎng)絡(luò)的中間聯(lián)系，通過無線網(wǎng)橋可以實(shí)現(xiàn)兩個或者多個網(wǎng)絡(luò)之間的遠(yuǎn)距離通信，一般用于在以太網(wǎng)之間提供高速、遠(yuǎn)距離(30cm以內(nèi))的視距連接。

(二)無線網(wǎng)絡(luò)的組網(wǎng)方式

無線網(wǎng)絡(luò)的組網(wǎng)方式可以大致分為三種，一是對點(diǎn)網(wǎng)絡(luò)，即Ad-hoc，另外兩種是接入和中繼方式。

1.Ad-hoc模式

Ad-hoc是沒有有線網(wǎng)絡(luò)支持的點(diǎn)對點(diǎn)式的移動網(wǎng)絡(luò)模式，其網(wǎng)絡(luò)不需要單獨(dú)的具有總控制的接入設(shè)備AP，只需要單獨(dú)的具有總控制器功能的接入設(shè)備AP。它通過多張無線網(wǎng)卡自由的組網(wǎng)實(shí)現(xiàn)通信。在一些范圍小、電腦很小的情況下比較適用。

2.中繼模式

中繼模式指的是間接傳輸，所謂間接傳輸，就是當(dāng)出現(xiàn)兩點(diǎn)不可視而可以通過一個中間點(diǎn)來實(shí)現(xiàn)三點(diǎn)之間的可視情況下采用的一種傳輸模式，這種模式下的局域網(wǎng)之間的通信是通過各自的無線網(wǎng)橋來實(shí)現(xiàn)的，適用范圍集中在范圍較小的情況下。

三、 WLAN技術(shù)的安全隱患

WLAN網(wǎng)絡(luò)信息系統(tǒng)所面臨的安全問題隨著無線局域網(wǎng)的推廣使用日漸顯著，網(wǎng)絡(luò)系統(tǒng)要面臨著來自設(shè)備外部、內(nèi)部以及人為等多重因素的安全隱患，而對于WLAN技術(shù)來講，其主要的安全隱患來自于訪問控制和數(shù)據(jù)加密兩個方面，由于WLAN技術(shù)是一項開放式的無線網(wǎng)絡(luò)服務(wù)，有一些外部人員也可以通過破解聯(lián)網(wǎng)防火墻來非法的獲取學(xué)校的數(shù)據(jù)信息，網(wǎng)絡(luò)安全管理內(nèi)部也可能會出現(xiàn)私自設(shè)置無線網(wǎng)卡而導(dǎo)致信息泄露和大量的占用寬帶。[2]總體來說，WLAN在實(shí)際應(yīng)用中所面臨的安全威脅主要分以下幾個方面：

(一)WEP破解

WEP破解也就是大家最熟悉的密碼被破，隨著技術(shù)的推進(jìn)，一些非法程序可以通過捕捉AP周圍的信號從而收集數(shù)據(jù)包，收集足夠的WEP弱密匙加密的數(shù)據(jù)包，分析并恢復(fù)密匙。通過數(shù)據(jù)分析，有時候很輕易的就可以得到密碼。

(二)竊聽網(wǎng)絡(luò)

這種安全威脅已經(jīng)成為無線局域網(wǎng)絡(luò)面臨的最大問題之一，其原因是很多網(wǎng)絡(luò)通訊沒有意識到會受到外界的威脅，用戶在通信時沒有任何的防護(hù)措施，通訊時也沒有任何加密措施，導(dǎo)致入侵者有機(jī)可趁，而且入侵者更無需將竊聽或分析設(shè)備物理地接入被竊聽的網(wǎng)絡(luò)。

四、 WLAN技術(shù)的安全保障及措施

WLAN的協(xié)議標(biāo)準(zhǔn)之一是IEEE 802.11協(xié)議，它以多個層次等一些安全性控制手段，為無線網(wǎng)絡(luò)免于攻擊入侵危害提供了可靠保證，給用戶提供了一個安全的上網(wǎng)環(huán)境。

(一)MAC地址過濾

MAC地址過濾通過MAC地址允許或拒絕無線網(wǎng)絡(luò)中的計算機(jī)訪問廣域網(wǎng)，有效控制無線網(wǎng)絡(luò)內(nèi)用戶的上網(wǎng)權(quán)限。[3]物理地址過濾屬于硬件認(rèn)證，而不是用戶認(rèn)證。每一位無線客戶端都有唯一的物理地址標(biāo)識，因此可以通過在AP中手工維護(hù)一組允許訪問的MAC地址列表來實(shí)現(xiàn)物理地址過濾，由于手工操作，擴(kuò)展性能較差，因此只適用于小型網(wǎng)絡(luò)規(guī)模。

(二)SSID訪問控制

業(yè)務(wù)組標(biāo)識符(Service Set Identifier),用來識別在特定無線網(wǎng)絡(luò)上發(fā)現(xiàn)到的無線設(shè)備身份。所有的工作站及訪問點(diǎn)必須使用相同的SSID才能在彼此間進(jìn)行通訊。也就是說：SSID用戶可以有效的實(shí)現(xiàn)分組訪問，從而能夠避免因?yàn)槿我饴味鴮?dǎo)致的安全訪問問題，進(jìn)而增強(qiáng)了無線局域網(wǎng)的安全保障。但是不足的是，由于很多用戶知道SSID，用戶在上網(wǎng)前自己配置自己的客戶端系統(tǒng)，不經(jīng)意的把自己的信息共享給非法用戶，而在實(shí)際的應(yīng)用當(dāng)中，只要有無線網(wǎng)絡(luò)客戶端的范圍內(nèi)，都會自動的連入AP，從而繞過安全訪問控制，帶來安全隱患?？傮w來說SSID大大加強(qiáng)了無線網(wǎng)絡(luò)的安全保障，并且還需要不斷加強(qiáng)安全防護(hù)的手段。

(三)802.11認(rèn)證服務(wù)

802.11認(rèn)證服務(wù)實(shí)際上是指用戶連接到接入點(diǎn)或者寬帶無線網(wǎng)絡(luò)之前需要先經(jīng)過認(rèn)證，AP工作站之間的通信也需要進(jìn)行認(rèn)證服務(wù)，兩個據(jù)點(diǎn)能夠通過認(rèn)證就證明兩個據(jù)點(diǎn)能夠正常的互相通信，而802.11認(rèn)證服務(wù)定義了兩種認(rèn)證服務(wù)，開放認(rèn)證系統(tǒng)和共享密匙認(rèn)證，而共享密匙認(rèn)證必須經(jīng)過開放保密協(xié)議WEP協(xié)議的認(rèn)證，

WEP加密方式使用了RSA開發(fā)的RC4流密碼算法，通過嚴(yán)格的身份認(rèn)證過程進(jìn)行驗(yàn)證，盡管這樣WEP加密仍然受到質(zhì)疑，原因在于它的本質(zhì)缺陷：

1.密鑰重復(fù)問題

一旦攻擊者獲得了有相同的密鑰流序列加密后所得的兩段密文，再將兩段密文異或，則得到的也是兩段明文的異或，由此密鑰則失效。

2.IV沖撞問題

IV數(shù)值的可選范圍值只有224個，這樣在理論上只要傳輸224個數(shù)據(jù)幀以后就會發(fā)生一次IV重用。

另外WEP的密鑰在傳遞過程中容易被截獲，針對以上的因素增強(qiáng)高效無線局域網(wǎng)絡(luò)的安全性主要采取以下幾種方法：

(1)采用WPA加密

WPA全名Wi-Fi Protected Access，有WAP和WAP2兩個標(biāo)準(zhǔn)，是一種新的無線電腦網(wǎng)絡(luò)保護(hù)系統(tǒng)用來取代安全性不足的WEP。[4]簡單來說，WPA的認(rèn)證過程是有一個變量pmk，這個pmk，是把無線網(wǎng)絡(luò)的網(wǎng)絡(luò)名稱(ssid)和密鑰進(jìn)行了一個shell運(yùn)算，得到一個值，就是pwk這個值，再來糅一些其他東西，經(jīng)過一些復(fù)雜的運(yùn)算最終得到MZL簽名，也就是密文，WAP在WEP基礎(chǔ)上采用動態(tài)改變密鑰，即在使用中可以動態(tài)改變鑰匙的“臨時鑰匙完整性協(xié)定”(Temporal Key Integrity Protocol TKIP)，加上更長的初向量，這可以擊敗知名的針對WEP的金鑰擷取攻擊。WEP加密算法中其種子密鑰由初始化向量IV和原始密鑰Key組成。假設(shè)采用相同的IV和Key，則對明文P1和P2加密后的數(shù)據(jù)流分別為C1=P1⊕RC4(IV，Key)和C2=P2⊕RC4(IV，Key)，C1⊕C2=[P1⊕RC4(IV，Key)]⊕[P2⊕RC4(IV，Key)]=P1⊕P2。也就是說，如果知道P1，則P2就可以完全獲得。根據(jù)該思路設(shè)計出相應(yīng)的攻擊算法，可以在對100萬個數(shù)據(jù)包分析即可破解128bit的密鑰。

(2)802.11擴(kuò)展認(rèn)證協(xié)議

IEEE802.11協(xié)議有完善的用戶認(rèn)證功能和管理功能，可以很好的支撐寬帶網(wǎng)絡(luò)的計費(fèi)、安全、運(yùn)營和管理要求，有兩種認(rèn)證模式：一種是端口認(rèn)證模式,在該模式下只要連接端口的某個設(shè)備通過認(rèn)證，其他設(shè)備則不需要認(rèn)證，就可以訪問網(wǎng)絡(luò)資源。[5]另一種MAL認(rèn)證模式,在該模式下連接到同一端口的每一個設(shè)備都需要單獨(dú)進(jìn)行認(rèn)證。

五、結(jié) 語

高校校園引進(jìn)WLAN技術(shù)，不但方便了教師和學(xué)生的上網(wǎng)問題，對于校區(qū)之間的聯(lián)系大大加強(qiáng)，對于校園的管理和教育有著重要作用。隨著網(wǎng)絡(luò)的迅猛發(fā)展，各種網(wǎng)絡(luò)安全技術(shù)的迅猛發(fā)展，WLAN的安全問題也會逐漸得到解決，WLAN必然也會憑借著自己的優(yōu)勢，成為校園網(wǎng)絡(luò)的重要組成部分。

[1]劉云安.寬帶無線接入和無線局域網(wǎng)(第一版)[M].北京：北京郵電出版社,2000.

[2] 黃亮.校園網(wǎng)絡(luò)信息安全的威脅與防范[J].現(xiàn)代情報,2004,(1).

[3] 謝希仁.計算機(jī)網(wǎng)絡(luò)[M].大連：大連理工大學(xué)出版社,2004.

[4] 金純.IEEE802.11無線局域網(wǎng)[M].北京：電子工業(yè)出版社,2004.

[5] [美]Jim Geler.無線局域網(wǎng)[M].王群等譯.北京：人民郵電出版社,2001.

2095-4654(2015)01-0021-03

2014-09-18

福建省中青年教師教育科研項目資助(JB12251)

TP393

A