無線網(wǎng)絡(luò)各領(lǐng)域安全性探索畢業(yè)設(shè)計(論文

1、無線網(wǎng)絡(luò)各領(lǐng)域安全性探索【摘要】隨著無線技術(shù)的不斷成熟和普及， 無線網(wǎng)絡(luò)在全球范圍內(nèi)的應(yīng)用已經(jīng)成為一種趨勢。在我國,越來越多的學(xué)校開始在校園構(gòu)建和鋪設(shè)無線網(wǎng)絡(luò)。無線校園網(wǎng)絡(luò)的快速發(fā)展與應(yīng)用，對學(xué)校的教學(xué)模式、教學(xué)理念及教學(xué) 管理產(chǎn)生了深遠(yuǎn)的影響，也使學(xué)校教師、學(xué)生的學(xué)習(xí)、生活方式產(chǎn)生了積極的變化。根據(jù)教育部的調(diào)查顯示，目前我國15.1%的高校建有無線校園網(wǎng)，同時有3 6.2%的高校計劃建設(shè)無線校園網(wǎng)。針對突飛猛進的無線校園組網(wǎng)計劃，有 專家表示，無線校園是未來校園信息化的發(fā)展方向，越來越多高校采用無線校園網(wǎng)絡(luò)這一先進網(wǎng)絡(luò)技術(shù)，其安全性問題是普遍高校比較關(guān)注的 ，下面著重對無線網(wǎng)絡(luò)的安全通信校園

2、網(wǎng) 絡(luò)安全性學(xué)校無線網(wǎng)安全策略探索和研究。【關(guān)鍵詞】 無線網(wǎng)絡(luò) 校園網(wǎng) 安全通信手段和對比 網(wǎng)絡(luò)安全和安全策略-12 -題目 摘要 關(guān)鍵字錯誤！未定義書簽第一章 論緒 1第(-二章無線網(wǎng)絡(luò)的安全通信措施 2一）WLAN勺安全保障2(:二） VPN與IPSec的作用 3C三） IPSec協(xié)議及其實施 3（四）一個實現(xiàn)無線 通信加密的方法 3第三章關(guān)于無線校園網(wǎng)絡(luò)的安全性探索 4（一）何謂無線局域網(wǎng) 4（二 傳統(tǒng)有線網(wǎng)絡(luò)面臨的冋題 4（三）無線網(wǎng)絡(luò)的特點與優(yōu)勢4（四）網(wǎng)絡(luò)存在的安全問題5（五）第四章（一）無線網(wǎng)絡(luò)的安全防范措施 學(xué)校無線網(wǎng)安全策略研究 弓1言6.77(二)校園網(wǎng)無線網(wǎng)絡(luò)安全現(xiàn)狀 8

3、（三）校園網(wǎng)無線網(wǎng)絡(luò)安全解決方案.8第五章設(shè)計總結(jié)10參考文獻10無線網(wǎng)絡(luò)技術(shù)在校園網(wǎng)中的應(yīng)用第一章緒論在二十一世紀(jì)的今天，信息技術(shù)飛速發(fā)展，數(shù)字化時代已經(jīng)來臨，信息技術(shù) 在教育中的重要性受到教育界人士的普遍關(guān)注和重視。隨著無線技術(shù)的不斷成熟 和普及，無線網(wǎng)絡(luò)在全球范圍內(nèi)的應(yīng)用已經(jīng)成為一種趨勢。在我國，越來越多的學(xué)校開始在校園構(gòu)建和鋪設(shè)無線網(wǎng)絡(luò)。無線校園網(wǎng)絡(luò)的快速發(fā)展與應(yīng)用，對學(xué)校的教學(xué)模式、教學(xué)理念及教學(xué)管理產(chǎn)生了深遠(yuǎn)的影響，也使學(xué)校教師、學(xué)生的學(xué)習(xí)、生活方式產(chǎn)生了積極的變化。隨著高校信息化建設(shè)水平的不斷提高，無線網(wǎng)絡(luò)逐漸成為校園網(wǎng)解決方案的一個重要組成部分。越來越多高校采用無線校園網(wǎng)絡(luò)這一

4、先進網(wǎng)絡(luò)技術(shù)，其安全性問題是普遍高校比較關(guān)注的。第二章無線網(wǎng)絡(luò)安全通信措施（一） WLAN勺安全保障雖然目前廣泛使用的跳頻擴頻技術(shù)可以讓人難于截取，但也只是對普通人難而已，隨著通信技術(shù)的飛速發(fā)展，相信很快就會普及起來。IEEE802.11標(biāo)準(zhǔn)制定了如下3種方法來為WLAN勺數(shù)據(jù)通信提供安全保障：1. 使用802.11的服務(wù)群標(biāo)識符 SSID。但是，在一個中等規(guī)模的WLANh，即使每年只進行兩次基本群標(biāo)識符的人工修改，也足以證明這是一個低效的不可靠的安全措施。2使用設(shè)備的MAC地址來提供安全防范，顯然這也是一個低水平的防護手段。3. 安全機制相比前兩種效果要好得多，即WEP（Wired Equi

5、vale nt Privacy）。它是采用RC4算法來加密傳輸?shù)木W(wǎng)絡(luò)分組，通過WEP協(xié)議來保護進入無線網(wǎng)的身份驗證過程。但從有線網(wǎng)連接到無線網(wǎng)是通過使用某些網(wǎng)絡(luò)設(shè)備進行連接（即網(wǎng)絡(luò)適配器驗證， 而不是利用網(wǎng)絡(luò)資源進行加密的），還有其他的一些不可靠問題，人們在重要點的加密場合，都不使用 WEP安全協(xié)議。二) VPN與IPSec的作用VPN首先是用于在In ternet上擴展一個公司的網(wǎng)絡(luò)當(dāng)然公司的部門或子公司在地理上位于不同的地域，甚至在不同的國家。VPN是一個加密了的隧道，在隧道中它對 IP中的所有數(shù)據(jù)進行封裝。在 VPN中最常用的兩種隧道協(xié)議是，點對點隧道協(xié)議PPTP和第二層隧道化協(xié)議LTP

6、，它們分別是由微軟和 Cisco公司開發(fā)的。還有一種現(xiàn)在也在 VPN中廣泛使用的 有隧道功能的協(xié)議即IPSec，它還是一個IETF建議IP層安全標(biāo)準(zhǔn)。IPSec首先是作為IPv4 的附加系統(tǒng)實現(xiàn)的，而IPv6則將該協(xié)議功能作為強制配置了。(三)IPSec協(xié)議及其實施IPSec協(xié)議包括如下：驗證頭 AH(Authentication)，圭寸裝安全載荷 ESP(EncapsulationSecurity Payload) , In ternet密鑰交換 IKE(I nternet Key Excha nge), In ternet 安全關(guān)聯(lián)和密鑰管理協(xié)議 ISAKMP(Internet Secur

7、ity Association and Key Management Protocol) 及轉(zhuǎn)碼。IPSec體系定義了主機和網(wǎng)關(guān)應(yīng)該提供的各科能力，討論了協(xié)議的語義，以及牽涉 到IPSec協(xié)議同TCP/IP協(xié)議套件剩余部分如何進行溝通的問題。封裝安全載荷和驗證頭文 檔定義了協(xié)議、載荷頭的格式以及它們提供的服務(wù)，還定義了包的處理規(guī)則。轉(zhuǎn)碼方式定義了如何對數(shù)據(jù)進行轉(zhuǎn)換，以保證其安全。這些內(nèi)容包括：算法、密鑰大小、轉(zhuǎn)碼程序和算法 專用信息。IKE可以為IPSec協(xié)議生成密鑰。還有一個安全策略的問題，它決定了兩個實體 間是否能夠通信，采取哪一種轉(zhuǎn)碼方式等。IPSec的工作模式有如下2種：1通道模式：這

8、種模式特點是數(shù)據(jù)包的最終目的地不是安全終點。路由器為自己轉(zhuǎn)發(fā)的數(shù) 據(jù)包提供安全服務(wù)時， 也要選用通道模式。 在通道模式中，IPSec模塊在一個正常的普通 IP 數(shù)據(jù)包內(nèi)封裝了 IPSec頭，并增加了一個外部IP頭。2傳送模式：在傳送模式中，AH和ESP保護的是傳送頭，在這種模式中，AH和ESP會攔截從傳送層到網(wǎng)絡(luò)層的數(shù)據(jù)包，并根據(jù)具體情況提供保護。例如：A、B是兩個已配置好的主機，它們之間流通的數(shù)據(jù)包均應(yīng)予以加密。在這種情況采用的是封裝安全載荷(ESP)的傳送模式。若只是為了對傳送層數(shù)據(jù)包進行驗證，則應(yīng)采用“驗證頭(AH)”傳送模式。IPSec可以在終端主機、網(wǎng)關(guān)/路由器或兩者之間進行實施和配

9、置。(四)一個實現(xiàn)無線 通信加密的方法在給出下面加密方案之前，首先確定加密的位置：綜前所述，選擇在TCP/IP協(xié)議的IP層進行加密(當(dāng)然也含了解密功能，下同)處理，可以達(dá)到既便利又滿足盡可能與上下游平臺無關(guān)性。為了敘述方便，筆者定義一個抽象實體：加密模塊，當(dāng)它是一臺PC或工控機時，它就是具備基本網(wǎng)絡(luò)協(xié)議解析與轉(zhuǎn)換功能的安全(加密)網(wǎng)關(guān)；當(dāng)它是一個DSP或 FPGA芯片時，它就是一個具備網(wǎng)絡(luò)協(xié)議功能的加密芯片；當(dāng)它是一個與操作系統(tǒng)內(nèi)核集成的軟件模塊時， 它就是一個加密模塊。至此，就形成如下加密方案的雛形：1 在無線網(wǎng)絡(luò)的橋路器或是無線Hub與有線LAN間置一加密模塊，這時可用一臺功能強勁的PC或

10、是工控機(方便戶外攜帶使用)，最好是雙CPU的，具備強大的 數(shù)學(xué)運算能力， 實現(xiàn)網(wǎng)絡(luò)層到鏈路層之間的功能和IP數(shù)據(jù)包的加解密功能。2. Black Box:對 FPGA(Field Programmable Gate Array)進行集群，初定為由 3塊 FPGA 芯片構(gòu)成，1塊加密，1塊解密，1塊進行協(xié)議處理。之所以要求集群，是基于這樣一個事實： 由獨立的一塊100 1000MIPS的FPGA芯片完成協(xié)議處理和加解密這樣超強度的運算處理， 缺乏可行性。3. 在購買第三方廠商的無線HUB及橋路器時，與廠商進行技術(shù)合作，要求他們在設(shè)備上提供FPGA的接口，邏輯上FPGA只完成IP包數(shù)據(jù)的加解密功

11、能，不涉及協(xié)議處理（由廠 商的軟硬件平臺完成）。但這涉及知識產(chǎn)權(quán)歸屬的問題，對廠商來說，由他們來實現(xiàn)這一點 是非常容易的。第三章關(guān)于無線校園網(wǎng)絡(luò)的安全性探索一、何謂無線局域網(wǎng)無線局域網(wǎng)（Wireless Local Area Network，縮寫為WLAN ）是高速發(fā)展的現(xiàn)代無線通信技術(shù)在計算機網(wǎng)絡(luò)中的應(yīng)用，是計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。不像傳統(tǒng)以太網(wǎng)那樣，基于802.1標(biāo)準(zhǔn)的無線網(wǎng)絡(luò)在空氣中傳播射頻信號，在信號范圍內(nèi)的無線客戶 端都可以接受到數(shù)據(jù)，為通信的移動化、個人化和多媒體應(yīng)用提供了實現(xiàn)的手段。二、傳統(tǒng)有線網(wǎng)絡(luò)面臨的問題隨著校園網(wǎng)絡(luò)規(guī)模不斷擴大，網(wǎng)絡(luò)應(yīng)用不斷增加，網(wǎng)絡(luò)已經(jīng)成為老

12、師和學(xué)生獲得信息的主要手段之一，校園網(wǎng)絡(luò)的規(guī)模從以前的幾百用戶迅速擴充到幾千用戶甚至幾萬用戶，越來越多的校園網(wǎng)絡(luò)應(yīng)用開始部署，網(wǎng)絡(luò)變得前所未有的重要，細(xì)心觀察不難發(fā)現(xiàn)傳統(tǒng)有線網(wǎng)絡(luò)容易出現(xiàn)以下問題：（1）校內(nèi)公共網(wǎng)絡(luò)設(shè)施有限，而且使用頻繁，人們?yōu)榱松暇W(wǎng)不得不在這些地點之間奔 波；（2）計算機設(shè)備較多，其中，筆記本數(shù)目也在逐步增加。在這種情況下，全部用有線 網(wǎng)連接終端設(shè)施，從布線到使用都會極不方便；（3）有的教室主體結(jié)構(gòu)是大開間布局，地面和墻壁已經(jīng)施工完畢，若進行網(wǎng)絡(luò)應(yīng)用改造，埋設(shè)纜線工作量巨大， 而且學(xué)生上課時的位置不是很固定，導(dǎo)致信息點的放置也不能確定，這樣，構(gòu)建一個有線局域網(wǎng)絡(luò)就會面對各種不

13、便；（4）高校通常會有幾個在地理分布上并不集中的分校區(qū)，用有線光纜連接校園網(wǎng)工程 復(fù)雜、成本極高。而使用無線網(wǎng)絡(luò)，無論是在教學(xué)樓、辦公樓、學(xué)生宿舍或者其他校區(qū)都可 以實現(xiàn)全方位的無線上網(wǎng)。這是無線網(wǎng)絡(luò)在校園中的發(fā)展趨勢。三、無線網(wǎng)絡(luò)的特點與優(yōu)勢1、移動性強。無線網(wǎng)絡(luò)擺脫了有線網(wǎng)絡(luò)的束縛，能夠使學(xué)習(xí)遠(yuǎn)離教室，可以在網(wǎng)絡(luò)覆 蓋的范圍內(nèi)的任何位置上網(wǎng)。無線網(wǎng)絡(luò)完全支持自由移動，持續(xù)連接，實現(xiàn)移動辦公。2、帶寬很寬，適合進行大量雙向和多向多媒體信息傳輸。在速度方面，802.11b的傳輸速度可提供可達(dá)11Mbps數(shù)據(jù)速率，而標(biāo)準(zhǔn)802.11g無線網(wǎng)速提升五倍，其數(shù)據(jù)傳輸率將達(dá)到54Mbps充分滿足校園網(wǎng)

14、用戶對網(wǎng)速的要求.3、有較高的安全性和較強的靈活性由于采用直接序列擴頻、跳頻、跳時等一系列無線擴展頻譜技術(shù)，使得其高度安全可 靠；無線網(wǎng)絡(luò)組網(wǎng)靈活、增加和減少移動主機相當(dāng)容易。4、維護成本低，無線網(wǎng)絡(luò)盡管在搭建時投入成本高些，但后期維護方便，維護成本比有線網(wǎng)絡(luò)低5 0%左右.四、無線網(wǎng)絡(luò)存在的安全問題在無線網(wǎng)絡(luò)的實際使用中，有可能遇到的威脅主要包括以下幾個方面AP進行的中間人欺騙攻 中間人攻擊則對授權(quán)客戶1、信息重放在沒有足夠的安全防范措施的情況下，是很容易受到利用非法 擊。對于這種攻擊行為， 即使采用了 VPN等保護措施也難以避免。 端和AP進行雙重欺騙，進而對信息進行竊取和篡改。2、WEF

15、破解現(xiàn)在互聯(lián)網(wǎng)上已經(jīng)很普遍的存在著一些非法程序，能夠捕捉位于AP信號覆蓋區(qū)域內(nèi)的數(shù)據(jù)包，收集到足夠的 WEP弱密鑰加密的包， 并進行分析以恢復(fù) WEP密鑰。根據(jù)監(jiān)聽無線通 信的機器速度、WLAN內(nèi)發(fā)射信號的無線主機數(shù)量，最快可以在兩個小時內(nèi)攻破WEP密鑰。3、網(wǎng)絡(luò)竊聽一般說來，大多數(shù)網(wǎng)絡(luò)通信都是以明文（非加密）格式出現(xiàn)的，這就會使處于無線信號 覆蓋范圍之內(nèi)的攻擊者可以乘機監(jiān)視并破解（讀?。┩ㄐ?。由于入侵者無需將竊聽或分析設(shè)備物理地接入被竊聽的網(wǎng)絡(luò)，所以，這種威脅已經(jīng)成為無線局域網(wǎng)面臨的最大問題之一。4、MAC地址欺騙通過網(wǎng)絡(luò)竊聽工具獲取數(shù)據(jù)，從而進一步獲得AP允許通信的靜態(tài)地址池，這樣不法之徒

16、就能利用MAC地址偽裝等手段合理接入網(wǎng)絡(luò)。5、拒絕服務(wù)攻擊者可能對 AP進行泛洪攻擊，使 AP拒絕服務(wù)，這是一種后果最為嚴(yán)重的攻擊方式。此外，對移動模式內(nèi)的某個節(jié)點進行攻擊，讓它不停地提供服務(wù)或進行數(shù)據(jù)包轉(zhuǎn)發(fā)，使其能源耗盡而不能繼續(xù)工作，通常也稱為能源消耗攻擊。五、無線網(wǎng)絡(luò)的安全防范措施為了保護無線網(wǎng)路免于攻擊入侵的威脅，用戶主要應(yīng)該在提高使用的安全性、達(dá)成通信數(shù)據(jù)的保密性、完整性、使用者驗證及授權(quán)等方面予以改善，實現(xiàn)最基本的安全目的。1、 規(guī)劃天線的放置，掌控信號覆蓋范圍。 要部署封閉的無線訪問點，第一步就是合理放 置訪問點的天線，以便能夠限制信號在覆蓋區(qū)以外的傳輸距離。最好將天線放在需要覆

17、蓋的區(qū)域的中心，盡量減少信號泄露到墻外。 部署了無線網(wǎng)絡(luò)之后，應(yīng)該用可移動的無線設(shè)備徹底 的勘測信號覆蓋情況，并反映在學(xué)校的網(wǎng)絡(luò)拓?fù)鋱D里。2、使用WEP啟用無線設(shè)備的安全能力。保護無線網(wǎng)絡(luò)安全的最基礎(chǔ)手段是加密，通過簡單的設(shè)置 AP和無線網(wǎng)卡等設(shè)備，就可以啟用 W E P加密。無線加密協(xié)議(WEP是對無線網(wǎng)絡(luò)上的流量進行加密的一種標(biāo)準(zhǔn)方法。雖然WEP加密本身存在一些漏洞并且比較脆弱，但是仍然可以給非法訪問設(shè)置不小的障礙，有助于阻撓偶爾闖入的黑客。許多無線訪問點廠商為了方便安裝產(chǎn)品，交付設(shè)備時關(guān)閉了WEP功能。但一旦采用這種做法，黑客就能立即訪問無線網(wǎng)絡(luò)上的流量，因為利用無線嗅探器就可以直接讀取

18、數(shù)據(jù)。建議經(jīng)常對WEP密鑰進行更換，在有條件的情況下啟用獨立的認(rèn)證服務(wù)為WEP自動分配密鑰。另外一個必須注意的問題就是用于標(biāo)識每個無線網(wǎng)絡(luò)的SSID，在部署無線網(wǎng)絡(luò)的時候一定要將出廠時的缺省SSID更換為自定義的 S S I D ?，F(xiàn)在的A P大部分都支持屏蔽 SSID廣播，除非有特殊理由，否則應(yīng)該禁用SSID廣播，這樣可以減少無線網(wǎng)絡(luò)被發(fā)現(xiàn)的可能。3、變更SSID及禁止SSID廣播。服務(wù)集標(biāo)識符(SSID)是無線訪問點使用的識別字符 串，客戶端利用它就能建立連接。該標(biāo)識符由設(shè)備制造商設(shè)定，每種標(biāo)識符使用默認(rèn)短語，如101就是3Com設(shè)備的標(biāo)識符。倘若黑客知道了這種口令短語，即使未經(jīng)授權(quán)，也很

19、容易 使用無線服務(wù)。對于部署的每個無線訪問點而言，要選擇獨一無二并且很難猜中的SSID。如果可能的話，禁止通過天線向外廣播該標(biāo)識符。這樣網(wǎng)絡(luò)仍可使用， 但不會出現(xiàn)在可用網(wǎng)絡(luò)列表上。4、禁用DHCP對無線網(wǎng)絡(luò)而言，這很有意義。如果采取這項措施，黑客不得不破譯用 戶的IP地址、子網(wǎng)掩碼及其它所需的 TCP/IP參數(shù)。無論黑客怎樣利用公司的訪問點，他 仍需要弄清楚IP地址。5、 禁用或改動SNMP設(shè)置。如果公司的訪問點支持SNMP要么禁用，要么改變公開及S N M P獲得有關(guān)公司網(wǎng)絡(luò)的重專用的共用字符串。如果不采取這項措施，黑客就能利用 要信息。6、使用訪問列表。為了進一步保護無線網(wǎng)絡(luò)，應(yīng)使用訪問列

20、表，如果可能的話。不是 所有的無線訪問點都支持這項特性，但如果公司實施的網(wǎng)絡(luò)支持，就可以具體地指定允許哪些機器連接到訪問點。支持這項特性的訪問點有時會使用普通文件傳輸協(xié)議（TFTP），定期下載更新的列表，以避免管理員必須在每臺設(shè)備上使這些列表保持同步的棘手問題。第四章學(xué)校無線網(wǎng)安全策略研究1引言在過去的很多年，計算機組網(wǎng)的傳輸媒介主要依賴銅纜或光纜，構(gòu)成有線局域網(wǎng)。但有線網(wǎng)絡(luò)在實施過程中工程量大，破壞性強，網(wǎng)中的各節(jié)點移動性不強。為了解決這些問題， 無線網(wǎng)絡(luò)作為有線網(wǎng)絡(luò)的補充和擴展，逐漸得到的普及和發(fā)展。在校園內(nèi)，教師與學(xué)生的流動性很強， 很容易在一些地方人員聚集，形成“公共場所”。而且隨著筆

21、記本電腦的普及和Intemet接入需求的增長，無論是教師還是學(xué)生都迫切要求在這些場所上網(wǎng)并進行網(wǎng)上教學(xué)互動活動。移動性與頻繁交替性，使有線網(wǎng)絡(luò)無法靈活滿足他們對網(wǎng)絡(luò)的需求，造成網(wǎng)絡(luò)互聯(lián)和Intemet接入瓶頸。將無線網(wǎng)絡(luò)的技術(shù)引入校園網(wǎng)，在某些場所，如網(wǎng)絡(luò)教室，會議室，報告廳、圖書館等 區(qū)域，可以率先覆蓋無線網(wǎng)絡(luò)，讓用戶能真正做到無線漫游，給工作和生活帶來巨大的便利。 隨后，慢慢把無線的覆蓋范圍擴大，最后做到全校無線的覆蓋。2校園網(wǎng)無線網(wǎng)絡(luò)安全現(xiàn)狀在無線網(wǎng)絡(luò)技術(shù)成熟的今天，無線網(wǎng)絡(luò)解決方案能夠很好滿足校園網(wǎng)的種種特殊的要求，并且擁有傳統(tǒng)網(wǎng)絡(luò)所不能比擬的易擴容性和自由移動性，它已經(jīng)逐漸成為一種潮

22、流，成為眾多校園網(wǎng)解決方案的重要選擇之一。隨著校園網(wǎng)無線網(wǎng)絡(luò)的建成，在學(xué)校的教室、辦公室、會議室、甚至是校園草坪上，都有不少的教師和學(xué)生手持筆記本電腦通過無線上網(wǎng)，這 都源于無線局域網(wǎng)拓展了現(xiàn)有的有線網(wǎng)絡(luò)的覆蓋范圍，使隨時隨地的網(wǎng)絡(luò)接入成為可能。但在使用無線網(wǎng)絡(luò)的同時， 無線接入的安全性也面臨的嚴(yán)峻的考驗。目前無線網(wǎng)絡(luò)提供的比較常用的安全機制有如下三種： 基于 MAC地址的認(rèn)證?；?MAC地址的認(rèn)證就是 MAC地址 過濾，每一個無線接入點可以使用MAC地址列表來限制網(wǎng)絡(luò)中的用戶訪問。實施MAC地址訪問控制后，如果MAC列表中包含某個用戶的 MAC地址，則這個用戶可以訪問網(wǎng)絡(luò)，否則如果列表中不

23、包含某個用戶的MAC地址，則該用戶不能訪問網(wǎng)絡(luò)。 共享密鑰認(rèn)證。共享密鑰認(rèn)證方法要求在無線設(shè)備和接入點上都使用有線對等保密算法。如果用戶有正確的共享密鑰，那么就授予該用戶對無線網(wǎng)絡(luò)的訪問權(quán)。802.1X 認(rèn)證。802. 1x協(xié)議稱為基于端口的訪問控制協(xié)議，它是個二層協(xié)議，需要通過802.1X客戶端軟件發(fā)起請求，通過認(rèn)證后打開邏輯端口，然后發(fā)起 DHCP請求獲得IP以及獲得對網(wǎng)絡(luò)的訪問。可以說，校園網(wǎng)的不少無線接入點都沒有很好地考慮無線接入的安全問題，就連最基 本的安全，如基于 MAC地址的認(rèn)證或共享密鑰認(rèn)證也沒有設(shè)置，更不用說像802.1 x 這樣相對來說比較難設(shè)置的認(rèn)證方法了。如果我們提著筆

24、記本電腦在某個校園內(nèi)走動，會搜索到很多無線接入點，這些接入點幾乎沒有任何的安全防范措施，可以非常方便地接入。試想， 如果讓不明身份的人進入無線網(wǎng)絡(luò)，進而進入校園網(wǎng)，就會對我們的校園網(wǎng)絡(luò)構(gòu)成威脅。3校園網(wǎng)無線網(wǎng)絡(luò)安全解決方案校園網(wǎng)內(nèi)無線網(wǎng)絡(luò)建成后，怎樣才能有效地保障無線網(wǎng)絡(luò)的安全？前面提到的基于 MAC地址的認(rèn)證存在兩個問題，一是數(shù)據(jù)管理的問題，要維護MAC數(shù)據(jù)庫，二是 MAC可嗅探，也可修改；如果采用共享密鑰認(rèn)證，攻擊者可以輕易地搞到共享認(rèn)證密鑰；802.1X定義了三種身份：申請者(用戶無線終端)、認(rèn)證者(AP)和認(rèn)證服務(wù)器。整個認(rèn)證的過程發(fā)生在申請 者與認(rèn)證服務(wù)器之間，認(rèn)證者只起到了橋接的作

25、用。申請者向認(rèn)證服務(wù)器表明自己的身份， 然后認(rèn)證服務(wù)器對申請者進行認(rèn)證，認(rèn)證通過后將通信所需要的密鑰加密再發(fā)給申請者。申請者用這個密鑰就可以與 AP進行通信。雖然802.1X仍舊存在一定的缺陷，但較共享密鑰認(rèn)證方式已經(jīng)有了很大的改善，IEEE802.11i和WAPI都參考了 802.1X的機制。802.1x選用EAP來提供請求方和認(rèn)證服務(wù)器兩者 之間的認(rèn)證服務(wù)。最常用的EAP認(rèn)證方法有 EAP- MD5 EAP- TLS和PEAP等。Microsoft 為多種使用802.1X的身份驗證協(xié)議提供了本地支持。在大多數(shù)情況下，選擇無線客戶端身份 驗證的依據(jù)是基于密碼憑據(jù)驗證，或基于證書驗證。建議在執(zhí)

26、行基于證書的客戶端身份驗證時使用EAP-TLS;在執(zhí)行基于密碼的客戶端身份驗證時使用EAP-Microsoft質(zhì)詢握手身份驗證協(xié)議版本 2(MSCHAPv2)該協(xié)議在 PEAP(Protected Extensible AuthenticationProtoco1)協(xié)議中，也稱作 PEAP- EAP MSCHAPv2考慮到校園群體的特殊性，為了保障校園無線網(wǎng)絡(luò)的安全，可對不同的群體采取不同的認(rèn)證方法。在校園網(wǎng)內(nèi)，主要分成兩類不同的用戶，一類是校內(nèi)用戶，一類是來訪用戶。校 內(nèi)用戶主要是學(xué)校的師生。由于工作和學(xué)習(xí)的需要，他們要求能夠隨時接入無線網(wǎng)絡(luò)，訪問校園網(wǎng)內(nèi)資源以及訪問In ternet 。這

27、些用戶的數(shù)據(jù)，如工資、科研成果、研究資料和論文等的安全性要求比較高。對于此類用戶，可使用802.1X認(rèn)證方式對用戶進行認(rèn)證。來訪用戶主要是來校參觀、 培訓(xùn)或進行學(xué)術(shù)交流的一些用戶。這類用戶對網(wǎng)絡(luò)安全的需求不是特別高，對他們來說最重要的就是能夠非常方便而且快速地接入Intemet，以瀏覽相關(guān)網(wǎng)站和收發(fā)郵件等。針對這類用戶，可采用DHCP強制Portal認(rèn)證的方式接入校園無線網(wǎng)絡(luò)。如圖所示，開機后，來訪用戶先通過 DHCP服務(wù)器獲得IP地址。當(dāng)來訪用戶打開瀏覽器 訪問Intemet網(wǎng)站時，強制 Porta控制單元首先將用戶訪問的Intemet定向到Portal服務(wù)器中定制的網(wǎng)站，用戶只能訪問該網(wǎng)站中提供的服務(wù)，無法訪問校園網(wǎng)內(nèi)部的其他受限資源，比如學(xué)校公共數(shù)據(jù)庫、圖書館期刊全文數(shù)據(jù)庫等。如果要訪問校園網(wǎng)以外的資源，必須通過強制Portal認(rèn)證認(rèn)證通過就可以訪問Intemet。對于校內(nèi)用戶，先由無線用戶終端發(fā)起認(rèn)證請求，沒通過認(rèn)證之前，不能訪問任何地方，并且不能獲得IP地址?？赏ㄟ^數(shù)字證書（需 要設(shè)立證書服務(wù)器）實現(xiàn)雙向認(rèn)證，既可以防止非法用戶使用網(wǎng)絡(luò)，也可以防止用戶連