校園無線局域網安全技術策略研究

■李素霞

校園無線局域網安全技術策略研究

■李素霞

隨著計算機網絡技術和現(xiàn)代科學技術的發(fā)展，學校無線局域網絡逐漸普及，其為學校教育注入新的技術的同時也帶來眾多的弊端。特別是隨著筆記本電腦的普及和Internet接入需求的增長，無論是教師還是學生，都迫切要求在方便的場所上網并進行網上教學互動活動。而將無線網絡技術引入校園網，在某些場所，如網絡教室、會議室、報告廳、圖書館等區(qū)域，可以率先覆蓋無線網絡，讓用戶能真正做到無線漫游，給工作和生活帶來極大的便利。

校園網無線網絡安全現(xiàn)狀

在無線網絡技術成熟的今天，無線網絡解決方案能夠很好滿足校園網的種種特殊的要求，并且擁有傳統(tǒng)網絡所不能比擬的易擴容性和自由移動性，它已經逐漸成為一種潮流，成為眾多校園網解決方案的重要選擇之一。隨著校園網無線網絡的建成，在學校的教室、辦公室、會議室甚至是校園草坪上，都有不少教師和學生手持筆記本電腦通過無線上網，這都源于無線局域網拓展了現(xiàn)有的有線網絡的覆蓋范圍，使隨時隨地的網絡接入成為可能。

目前無線網絡提供的比較常用的安全機制有3種。1）基于MAC地址的認證。基于MAC地址的認證就是MAC地址過濾，每一個無線接入點可以使用MAC地址列表來限制網絡中的用戶訪問。實施MAC地址訪問控制后，如果MAC列表中包含某個用戶的MAC地址，則這個用戶可以訪問網絡，否則該用戶不能訪問網絡。2）共享密鑰認證。共享密鑰認證方法要求在無線設備和接入點上都使用有線對等保密算法。如果用戶有正確的共享密鑰，那么就授予該用戶對無線網絡的訪問權。3）802.1x認證。802.1x協(xié)議稱為基于端口的訪問控制協(xié)議，它是個二層協(xié)議，需要通過802.1x客戶端軟件發(fā)起請求，通過認證后打開邏輯端口，然后發(fā)起DHCP請求以獲得IP以及對網絡的訪問。

校園網無線網絡安全解決方案

校園網內無線網絡建成后，怎樣才能有效保障無線網絡的安全？前面提到的基于MAC地址的認證存在兩個問題：一是數(shù)據管理的問題，要維護MAC數(shù)據庫；二是MAC可嗅探，也可修改。如果采用共享密鑰認證，攻擊者可以輕易地搞到共享認證密鑰。802.1x定義了3種身份：申請者（用戶無線終端）、認證者（AP）和認證服務器。整個認證的過程發(fā)生在申請者與認證服務器之間，認證者只起到橋接的作用。申請者向認證服務器表明自己的身份，然后認證服務器對申請者進行認證，認證通過后將通信所需要的密鑰加密再發(fā)給申請者。申請者用這個密鑰就可以與AP進行通信。

雖然802.1x仍舊存在一定的缺陷，但較共享密鑰認證方式已經有了很大的改善，IEEE802.11i和WAPI都參考了802.1x的機制。802.1x選用EAP來提供請求方和認證服務器兩者之間的認證服務。最常用的EAP認證方法有EAP－MD5、EAP－TLS和PEAP等。Microsoft為多種使用802.1x的身份驗證協(xié)議提供本地支持。在大多數(shù)情況下，選擇無線客戶端身份驗證的依據是基于密碼憑據驗證或基于證書驗證。建議在執(zhí)行基于證書的客戶端身份驗證時使用EAP-TLS；在執(zhí)行基于密碼的客戶端身份驗證時使用EAP-Microsoft質詢握手身份驗證協(xié)議版本2（MSCHAPv2），該協(xié)議在PEAP（Protected Extensible Authentication Protocol）協(xié)議中也稱作PEAP－EAP－MSCHAPv2。

考慮到校園群體的特殊性，為了保障校園無線網絡的安全，可對不同的群體采取不同的認證方法。在校園網內，主要分成兩類不同的用戶：一類是校內用戶，一類是來訪用戶。校內用戶主要是學校的師生。由于工作和學習的需要，他們要求能夠隨時接入無線網絡，訪問校園網內資源以及訪問Internet。這些用戶的數(shù)據，如工資、科研成果、研究資料和論文等的安全性要求比較高。對于此類用戶，可使用802.1x認證方式對用戶進行認證。來訪用戶主要是來校參觀、培訓或進行學術交流的一些用戶。這類用戶對網絡安全的需求不是特別高，對他們來說最重要的就是能夠非常方便而且快速地接入Internet，以瀏覽相關網站和收發(fā)郵件等。針對這類用戶，可采用DHCP+強制Portal認證的方式接入校園無線網絡。

當來訪用戶打開瀏覽器訪問Internet網站時，強制Portal控制單元首先將用戶訪問的Internet定向到Portal服務器中定制的網站，用戶只能訪問該網站中提供的服務，無法訪問校園網內部的其他受限資源，比如學校公共數(shù)據庫、圖書館期刊全文數(shù)據庫等。如果要訪問校園網以外的資源，必須通過強制Portal認證。認證通過就可以訪問Internet。對于校內用戶，先由無線用戶終端發(fā)起認證請求，沒通過認證之前，不能訪問任何地方，并且不能獲得IP地址。可通過數(shù)字證書實現(xiàn)雙向認證，既可以防止非法用戶使用網絡，也可以防止用戶連入非法AP。

使用強制Portal+802.1x這兩種認證方式相結合的方法，能有效解決校園網無線網絡的安全，具有一定的現(xiàn)實意義。來訪用戶所關心的是方便和快捷，對安全性的要求不高。強制Portal認證方式在用戶端不需要安裝額外的客戶端軟件，用戶直接使用Web瀏覽器認證后即可上網。采用此種方式，對來訪用戶來說簡單、方便、快速，但安全性比較差。雖然用戶名和密碼可以通過SSL加密，但傳輸?shù)臄?shù)據沒有任何加密，任何人都可以監(jiān)聽。當然，必須通過相應的權限來限制和隔離此類用戶，確保來訪用戶無法訪問校園網內部資料，從而保證校園網絡的高安全性。校內用戶所關心的主要是其信息的安全，安全性要求比較高。802.1x認證方式安裝設置比較麻煩，設置步驟也比較多，且要有專門的802.1x客戶端，但擁有極好的安全性，因此針對校內用戶可使用802.1x認證方式，以保障傳輸數(shù)據的安全。

校園網各區(qū)域分別覆蓋無線局域網絡以后，用戶只需簡單的設置就可以連接到校園網，從而實現(xiàn)上網功能。特別是隨著迅馳技術的發(fā)展，將進一步促進校園網內無線網絡的建設。■

（作者單位：山東省濰坊科技學院）

10.3969/j.issn.1671-489X.2011.11.057