趙云鶴

摘 要：隨著教育信息化的飛速發(fā)展，無(wú)線(xiàn)網(wǎng)絡(luò)逐漸進(jìn)入各大院校，部分職業(yè)院校也開(kāi)啟了智慧校園建設(shè)，無(wú)線(xiàn)網(wǎng)作為構(gòu)建信息化校園的重要依托，其網(wǎng)絡(luò)安全性能與師生的網(wǎng)絡(luò)體驗(yàn)感密切相關(guān)，如果網(wǎng)絡(luò)安全不能達(dá)標(biāo)，會(huì)出現(xiàn)信息被盜取泄露甚至網(wǎng)絡(luò)癱瘓等問(wèn)題，因此在組建無(wú)線(xiàn)局域網(wǎng)過(guò)程中，安全的優(yōu)化是重點(diǎn)內(nèi)容，本文結(jié)合無(wú)線(xiàn)網(wǎng)的安全優(yōu)化要求，以及面臨的安全威脅，重點(diǎn)闡述了職業(yè)院校的無(wú)線(xiàn)網(wǎng)絡(luò)安全優(yōu)化的方案，旨在通過(guò)設(shè)計(jì)方案實(shí)現(xiàn)無(wú)線(xiàn)網(wǎng)的安全運(yùn)行，保障在校師生的網(wǎng)絡(luò)安全運(yùn)行。

關(guān)鍵詞：無(wú)線(xiàn)網(wǎng);安全;優(yōu)化

無(wú)線(xiàn)局域網(wǎng)的信息傳輸媒介是電磁波，可在空中自由傳播，只要在傳輸范圍內(nèi)，用戶(hù)的數(shù)據(jù)可以被人格接收裝置截取，可能會(huì)導(dǎo)致未經(jīng)授權(quán)的用戶(hù)數(shù)據(jù)遭到威脅，它相比有線(xiàn)介質(zhì)來(lái)說(shuō)，更容易遭到干擾、竊取以及破壞。同時(shí)由于職業(yè)院校開(kāi)設(shè)計(jì)算機(jī)以及通信等專(zhuān)業(yè)課程，這些學(xué)生對(duì)網(wǎng)絡(luò)的探索容易激發(fā)學(xué)生對(duì)無(wú)線(xiàn)網(wǎng)的好奇心，進(jìn)而使校園無(wú)線(xiàn)網(wǎng)面臨更多的安全技術(shù)的考驗(yàn)。下面將從安全的要求以及常見(jiàn)的安全威脅等方面闡述安全優(yōu)化的方案。

一、安全優(yōu)化的要求

對(duì)于職業(yè)院校這種大型網(wǎng)絡(luò)，無(wú)線(xiàn)網(wǎng)的安全管控優(yōu)化方面應(yīng)做到以下幾點(diǎn)：

（一）認(rèn)證方式的多樣

隨著網(wǎng)絡(luò)的不斷發(fā)展，一切破解軟件，破解普通AP設(shè)置安全密碼非常簡(jiǎn)單。所以連接到網(wǎng)絡(luò)的認(rèn)證方式也需具備多重認(rèn)證方案，比如用戶(hù)可以通過(guò)網(wǎng)頁(yè)認(rèn)證信息獲取登錄方式，也可以通過(guò)微信或者短信認(rèn)證實(shí)現(xiàn)網(wǎng)絡(luò)賬號(hào)的授權(quán)，保障網(wǎng)絡(luò)的安全運(yùn)行。

（二）規(guī)范上網(wǎng)行為

無(wú)線(xiàn)網(wǎng)通過(guò)對(duì)用戶(hù)上網(wǎng)行徑管控，例如設(shè)置網(wǎng)絡(luò)訪(fǎng)問(wèn)控制列表ACL，對(duì)上網(wǎng)人員進(jìn)行訪(fǎng)問(wèn)記錄登記，或者設(shè)置用戶(hù)上網(wǎng)時(shí)長(zhǎng)上網(wǎng)次數(shù)等方案實(shí)現(xiàn)對(duì)用戶(hù)的網(wǎng)上行徑管控，營(yíng)造健康安全的網(wǎng)絡(luò)氛圍。

（三）主動(dòng)推送資源

借助無(wú)線(xiàn)上網(wǎng)管控系統(tǒng)需實(shí)現(xiàn)針對(duì)不同用戶(hù)，主動(dòng)推送文字、圖片、視頻等信息，例如可以向?qū)W生推送一些有助于學(xué)習(xí)的課外輔導(dǎo)網(wǎng)站、視頻等，向老師推送學(xué)校通知、教學(xué)計(jì)劃，向來(lái)訪(fǎng)家長(zhǎng)推薦學(xué)院信息等等，為終端接入用戶(hù)提供最好的上網(wǎng)體驗(yàn)。

二、無(wú)線(xiàn)局域網(wǎng)安全威脅

（一）網(wǎng)絡(luò)竊聽(tīng)

無(wú)線(xiàn)網(wǎng)通過(guò)射頻傳播，缺乏如有線(xiàn)網(wǎng)一樣的雙絞線(xiàn)保護(hù)，只要有無(wú)線(xiàn)信號(hào)的覆蓋就能接受該AP提供的網(wǎng)絡(luò)支持，因此很容易被他人檢測(cè)到信號(hào)，如不采用一定的安全措施很容易被他人利用或者攻擊，如果校園內(nèi)師生數(shù)據(jù)被盜取或者被惡意破壞，會(huì)對(duì)整個(gè)無(wú)線(xiàn)網(wǎng)構(gòu)成嚴(yán)重威脅。

（二）非法接入

如果搭建的無(wú)線(xiàn)網(wǎng)沒(méi)有設(shè)置用戶(hù)接入驗(yàn)證，任何設(shè)備均可登錄，則會(huì)加重AP負(fù)擔(dān)，對(duì)有需求的用戶(hù)會(huì)造成困擾，因此只有設(shè)置一個(gè)合理且安全的認(rèn)證體系，通過(guò)認(rèn)證的授權(quán)用戶(hù)才能得到更好的網(wǎng)絡(luò)體驗(yàn)。

（三）病毒攻擊

病毒攻擊的問(wèn)題主要來(lái)自黑客帶來(lái)的威脅，一旦黑客通過(guò)AP獲得無(wú)線(xiàn)網(wǎng)的IP地址，向AP發(fā)起拒絕服務(wù)攻擊，這臺(tái)AP很容易癱瘓。這種攻擊方式不以獲取信息為目的，它的最終目標(biāo)是終止服務(wù)器的服務(wù)，這種攻擊方式隱蔽性好，實(shí)現(xiàn)容易，防范困難，是黑客的終極攻擊方式，也是校園網(wǎng)的網(wǎng)絡(luò)安全防范的重點(diǎn)內(nèi)容。

三、安全優(yōu)化方案

IEEE802.11協(xié)議主要定義了服務(wù)集標(biāo)識(shí)符（SSID）保護(hù)安全、物理地址（MAC）過(guò)濾控制安全、有線(xiàn)對(duì)等保密機(jī)制（WEP）安全等幾方面，但為了提高校園無(wú)線(xiàn)網(wǎng)的安全性，必須引入更安全的認(rèn)證機(jī)制、加密機(jī)制以及控制機(jī)制，針對(duì)三種機(jī)制的優(yōu)化方案如下：

（一）認(rèn)證機(jī)制方案

為保護(hù)無(wú)線(xiàn)網(wǎng)的入口安全，必須采用有效的認(rèn)證解決方案，保障授權(quán)用戶(hù)通過(guò)無(wú)線(xiàn)接入點(diǎn)訪(fǎng)問(wèn)網(wǎng)絡(luò)資源。認(rèn)證是驗(yàn)證用戶(hù)身份與資格的過(guò)程，它采用多要素認(rèn)證方式保障網(wǎng)絡(luò)的安全性。

IEEE802.11-1999標(biāo)準(zhǔn)定義了兩種認(rèn)證機(jī)制，分別是開(kāi)放系統(tǒng)認(rèn)證和共享密鑰認(rèn)證。開(kāi)放系統(tǒng)認(rèn)證不對(duì)用戶(hù)身份做任何驗(yàn)證，僅需交換兩個(gè)認(rèn)證幀[1]。而共享密鑰認(rèn)證要求用戶(hù)設(shè)備必須支持有線(xiàn)等效加密，用戶(hù)的設(shè)備與AP必須配置靜態(tài)WEP密鑰，它的認(rèn)證過(guò)程中，采用共享密鑰認(rèn)證的無(wú)線(xiàn)接口之間需要交換質(zhì)詢(xún)與響應(yīng)消息，通信雙方共需要交換4個(gè)認(rèn)證幀[2]。

MAC地址認(rèn)證是一種基于端口和MAC地址對(duì)用戶(hù)的網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限進(jìn)行控制的認(rèn)證方法，不需要安裝任何客戶(hù)軟件。IEEE802.1X認(rèn)證是基于端口網(wǎng)絡(luò)接入控制的協(xié)議，定義了一種授權(quán)架構(gòu)，端口可以是物理端口也可以是邏輯端口，主要由3部分組成：客戶(hù)端、認(rèn)證者以及認(rèn)證服務(wù)器。此外認(rèn)證機(jī)制中還包含PSK認(rèn)證以及Portal認(rèn)證，PSK認(rèn)證即為共享密鑰認(rèn)證，它需要實(shí)現(xiàn)在無(wú)線(xiàn)客戶(hù)端和設(shè)備端配置相同的預(yù)共享密鑰，通過(guò)能否成功解密協(xié)商信息來(lái)確定本端配置的預(yù)共享密鑰是否和對(duì)端配置的預(yù)共享密鑰相同，從而完成服務(wù)端與客戶(hù)端的相互認(rèn)證。Potral認(rèn)證也稱(chēng)作為Web認(rèn)證或DHCP+Web認(rèn)證，使用標(biāo)準(zhǔn)的網(wǎng)頁(yè)瀏覽器即可，不需要安裝特殊的客戶(hù)端軟件，主動(dòng)認(rèn)證方式下，用戶(hù)通過(guò)主動(dòng)訪(fǎng)問(wèn)位于Potral服務(wù)器上的認(rèn)證界面，輸入賬號(hào)以及密碼，獲取賬號(hào)信息，強(qiáng)制認(rèn)證方式下，輸入賬號(hào)密碼提交賬號(hào)信息，Potral服務(wù)器獲取用戶(hù)賬號(hào)信息，隨后服務(wù)器通過(guò)Potral協(xié)議完成與WLAN服務(wù)端的交互，完成認(rèn)證。它的認(rèn)證方式分為二層認(rèn)證方式和三層認(rèn)證方式，但是二層認(rèn)證方式相比三層認(rèn)證方式來(lái)說(shuō)，不能進(jìn)行MAC地址以及IP地址的綁定檢查，安全性相對(duì)較差，在職業(yè)院校這種用戶(hù)較多的環(huán)境中，不適宜應(yīng)用二層認(rèn)證。

（二）加密機(jī)制方案

無(wú)線(xiàn)網(wǎng)的用戶(hù)通過(guò)認(rèn)證后，具有了訪(fǎng)問(wèn)網(wǎng)絡(luò)的權(quán)限，網(wǎng)絡(luò)必須確保用戶(hù)的信息安全，主要采用的方法就是對(duì)數(shù)據(jù)信息報(bào)文進(jìn)行加密，以此保障只有特定設(shè)備可以接收?qǐng)?bào)文成功解密，本方案重點(diǎn)探討三種加密技術(shù)，分別是WEP加密、臨時(shí)密鑰完整性協(xié)議加密和計(jì)數(shù)器模式密碼塊鏈信息認(rèn)證碼協(xié)議。

WEP是一種以RC4流加密為基礎(chǔ)的二層加密機(jī)制，它的3個(gè)目的是機(jī)密性、完整性和認(rèn)證。臨時(shí)密鑰完整性協(xié)議加密簡(jiǎn)稱(chēng)TKIP加密，是由128位臨時(shí)密鑰、48位IV、源MAC地址以及目標(biāo)MAC地址通過(guò)復(fù)雜的每包密鑰混合過(guò)程生成，這種密鑰混合過(guò)程有助于降低IV 碰撞攻擊與弱密鑰攻擊造成的危害[3]。計(jì)數(shù)器模式密碼塊鏈信息認(rèn)證碼協(xié)議簡(jiǎn)稱(chēng)CCMP加密，它是以AES算法為基礎(chǔ)的，由于AES算法本身就是一種很難破解的方法，WLAN的安全程度大大提高，為實(shí)現(xiàn)強(qiáng)健的安全網(wǎng)絡(luò)提供了有力的保障。

（三）控制機(jī)制方案

端口訪(fǎng)問(wèn)控制技術(shù)（802.1）是應(yīng)用于無(wú)線(xiàn)局域網(wǎng)的一種增強(qiáng)網(wǎng)絡(luò)安全性的解決方案。當(dāng)無(wú)線(xiàn)工作站STA與無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)AP設(shè)備連接后，能否為AP設(shè)備提供服務(wù)取決于IEEE802.1X標(biāo)準(zhǔn)的認(rèn)證結(jié)果。如果認(rèn)證通過(guò)，則AP能夠?yàn)楣ぷ髡敬蜷_(kāi)邏輯端口，否則將不允許用戶(hù)上網(wǎng)。此種控制機(jī)制需要無(wú)線(xiàn)工作站安裝802.1X客戶(hù)端軟件，無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)要嵌于802.1X認(rèn)證代理，還可以作為RADUIS客戶(hù)端，將用戶(hù)認(rèn)證信息發(fā)送給服務(wù)器，此種控制技術(shù)不僅提供了端口訪(fǎng)問(wèn)控制能力，也提供了認(rèn)證系統(tǒng)與計(jì)費(fèi)功能，特別適合職業(yè)院校在校師生的無(wú)線(xiàn)網(wǎng)接入管理，能夠高效保障網(wǎng)絡(luò)的安全運(yùn)行，并且能夠?qū)崿F(xiàn)網(wǎng)絡(luò)的規(guī)范化管理。

經(jīng)過(guò)對(duì)以上三種安全方案的探討，結(jié)合職業(yè)院校的常用組網(wǎng)方案，將安全優(yōu)化方案定位：在網(wǎng)絡(luò)核心層采用有線(xiàn)無(wú)線(xiàn)一體化結(jié)構(gòu)，在網(wǎng)絡(luò)中針對(duì)非法設(shè)備進(jìn)行定位和告警，同時(shí)設(shè)置信道告警。研究有線(xiàn)無(wú)線(xiàn)一體化控制部署方案，在無(wú)線(xiàn)控制器中設(shè)置基于Portal的多種認(rèn)證方式混合接入，升級(jí)支持WEP2以及DHCP ?Sever外掛等，在AC與AP之間采用CAPWAP隧道下行流量限速，支持AP身份認(rèn)證。在POE設(shè)備中采用POE交換機(jī)端口隔離。在AP中設(shè)置動(dòng)態(tài)密鑰下發(fā)功能，要支持智能帶寬限速。無(wú)線(xiàn)網(wǎng)絡(luò)力爭(zhēng)通過(guò)以上一些安全手段，保障網(wǎng)絡(luò)的暢通運(yùn)行，實(shí)現(xiàn)網(wǎng)絡(luò)安全的最優(yōu)化。

結(jié)束語(yǔ)

校園無(wú)線(xiàn)網(wǎng)的組建不僅是為在校師生提供網(wǎng)絡(luò)支撐，也是為了實(shí)現(xiàn)無(wú)線(xiàn)網(wǎng)絡(luò)的安全可控易管理，方便在校師生以及隨訪(fǎng)用戶(hù)有綠色、健康、暢通無(wú)憂(yōu)的網(wǎng)絡(luò)體驗(yàn)，所以對(duì)無(wú)線(xiàn)網(wǎng)的安全優(yōu)化勢(shì)在必行， 通過(guò)認(rèn)證機(jī)制、加密機(jī)制、控制機(jī)制三種優(yōu)化方案基本能夠?qū)崿F(xiàn)基礎(chǔ)的網(wǎng)絡(luò)安全優(yōu)化，保障師生的切身利益。

參考文獻(xiàn)

[1] 崔子慧.校園無(wú)線(xiàn)網(wǎng)絡(luò)安全管理[J].信息與電腦（理論版），2019（3）：202-203.

[2] 張曉旭.校園無(wú)線(xiàn)網(wǎng)絡(luò)安全問(wèn)題研究[J].信息與電腦（理論版） ，2018（9）：206-208.

[3] 周小新.論校園無(wú)線(xiàn)網(wǎng)絡(luò)安全存在的問(wèn)題和對(duì)策[J].科技資訊，2017，15（25）：30，32.