學校無線網安全策略研究

學校無線網安全策略研究

論文關鍵詞：無線網絡；安全；Portal認證；802.1x論文摘要：隨著高校信息化建設水平的不斷提高，無線網絡逐漸成為校園網解決方案的一個重要組成部分。該文對校園無線網接入進行研究，并對校園無線網絡的安全進行了分析，最后給出了一種適合校園網無線網絡的安全解決方案。

1引言

在過去的很多年，計算機組網的傳輸媒介主要依賴銅纜或光纜，構成有線局域網。但有線網絡在實施過程中工程量大，破壞性強，網中的各節(jié)點移動性不強。為了解決這些問題，無線網絡作為有線網絡的補充和擴展，逐漸得到的普及和發(fā)展。

在校園內，教師與學生的流動性很強，很容易在一些地方人員聚集，形成“公共場所”。而且隨著筆記本電腦的普及和Intemet接入需求的增長，無論是教師還是學生都迫切要求在這些場所上網并進行網上教學互動活動。移動性與頻繁交替性，使有線網絡無法靈活滿足他們對網絡的需求，造成網絡互聯(lián)和Intemet接入瓶頸。

將無線網絡的技術引入校園網，在某些場所，如網絡教室，會議室，報告廳、圖書館等區(qū)域，可以率先覆蓋無線網絡，讓用戶能真正做到無線漫游，給工作和生活帶來巨大的便利。隨后，慢慢把無線的覆蓋范圍擴大，最后做到全校無線的覆蓋。

2校園網無線網絡安全現(xiàn)狀

在無線網絡技術成熟的今天，無線網絡解決方案能夠很好滿足校園網的種種特殊的要求，并且擁有傳統(tǒng)網絡所不能比擬的易擴容性和自由移動性，它已經逐漸成為一種潮流，成為眾多校園網解決方案的重要選擇之一。隨著校園網無線網絡的建成，在學校的教室、辦公室、會議室、甚至是校園草坪上，都有不少的教師和學生手持筆記本電腦通過無線上網，這都源于無線局域網拓展了現(xiàn)有的有線網絡的覆蓋范圍，使隨時隨地的網絡接入成為可能。但在使用無線網絡的同時，無線接入的安全性也面臨的嚴峻的考驗。目前無線網絡提供的比較常用的安全機制有如下三種：①基于MAC地址的認證?；贛AC地址的認證就是MAC地址過濾，每一個無線接入點可以使用MAC地址列表來限制網絡中的用戶訪問。實施MAC地址訪問控制后，如果MAC列表中包含某個用戶的MAC地址，則這個用戶可以訪問網絡，否則如果列表中不包含某個用戶的MAC地址，則該用戶不能訪問網絡。②共享密鑰認證。共享密鑰認證方法要求在無線設備和接入點上都使用有線對等保密算法。如果用戶有正確的共享密鑰，那么就授予該用戶對無線網絡的訪問權。③802.1x認證。802．1x協(xié)議稱為基于端口的訪問控制協(xié)議，它是個二層協(xié)議，需要通過802.1x客戶端軟件發(fā)起請求，通過認證后打開邏輯端口，然后發(fā)起DHCP請求獲得IP以及獲得對網絡的訪問。

可以說，校園網的不少無線接入點都沒有很好地考慮無線接入的安全問題，就連最基本的安全，如基于MAC地址的認證或共享密鑰認證也沒有設置，更不用說像802.1x這樣相對來說比較難設置的認證方法了。如果我們提著筆記本電腦在某個校園內走動，會搜索到很多無線接入點，這些接入點幾乎沒有任何的安全防范措施，可以非常方便地接入。試想，如果讓不明身份的人進入無線網絡，進而進入校園網，就會對我們的校園網絡構成威脅。

3校園網無線網絡安全解決方案

校園網內無線網絡建成后，怎樣才能有效地保障無線網絡的安全?前面提到的基于MAC地址的認證存在兩個問題，一是數(shù)據管理的問題，要維護MAC數(shù)據庫，二是MAC可嗅探，也可修改；如果采用共享密鑰認證，攻擊者可以輕易地搞到共享認證密鑰；802.1x定義了三種身份：申請者(用戶無線終端)、認證者(AP)和認證服務器。整個認證的過程發(fā)生在申請者與認證服務器之間，認證者只起到了橋接的作用。申請者向認證服務器表明自己的身份，然后認證服務器對申請者進行認證，認證通過后將通信所需要的密鑰加密再發(fā)給申請者。申請者用這個密鑰就可以與AP進行通信。

雖然802.1x仍舊存在一定的缺陷，但較共享密鑰認證方式已經有了很大的改善，IEEE802.11i和WAPI都參考了802.1x的機制。802.1x選用EAP來提供請求方和認證服務器兩者之間的認證服務。最常用的EAP認證方法有EAP－MD5、EAP－TLS和PEAP等。Microsoft為多種使用802.1x的身份驗證協(xié)議提供了本地支持。在大多數(shù)情況下，選擇無線客戶端身份驗證的依據是基于密碼憑據驗證，或基于證書驗證。建議在執(zhí)行基于證書的客戶端身份驗證時使用EAP-TLS；在執(zhí)行基于密碼的客戶端身份驗證時使用EAP-Microsoft質詢握