淺析校園無線局域網(wǎng)的安全

張雷

【摘要】目前的校園無線局域網(wǎng)已經(jīng)逐步完善，應用范圍也越來越廣泛，它能與其他有線網(wǎng)絡、無線網(wǎng)絡或是 3G 網(wǎng)絡實現(xiàn)互聯(lián)，有著巨大的潛力，因此無線局域網(wǎng)的安全問題也成為業(yè)界關(guān)心的焦點之一。要防止安全漏洞存在于無線局域網(wǎng)中，就要構(gòu)建一個足夠強大的安全網(wǎng)絡框架，這樣才能推動無線局域網(wǎng)在校園的實際應用。因此本文對校園無線局域網(wǎng)的安全進行了分析。

【關(guān)鍵詞】校園；無線局域網(wǎng)；安全

1 IEEE802.11b 標準的安全性描述

IEEE802.11b 標準在設計之初就考慮了接入安全認證、傳輸數(shù)據(jù)的保密性和完整性等要求。安全機制主要體現(xiàn)在信息過濾、用戶訪問控制和數(shù)據(jù)加密三個方面。為了提高網(wǎng)絡的安全性，IEEE802.11b 標準采用的最常用的三種技術(shù)：擴展服務集標識號（ESSID）、MAC 訪問控制技術(shù)、WEP 加密技術(shù)。

1.1ESSID

ESSID 是 WLAN 服務區(qū)域編號，即每個 AP（Acess Point）接入點的名字，及時的更改默認的服務集標識符，當無線客戶端的 ESSID 與 AP 相匹配時，AP 才會接入無線終端的訪問并提供服務，如果不符合，就拒絕給予接入服務。利用 ESSID可以很好進行用戶群體分組，避免任意漫游帶來的安全和訪問性能問題。在部署無線網(wǎng)絡時，一定要將出廠時的 SSID 換成自定義的 SSID，防止被黑客猜到并實施攻擊。禁用 SSID 廣播可以加強網(wǎng)絡的安全性，現(xiàn)在大多數(shù)的 AP 都能支持屏蔽 SSID 廣播。

1.2MAC 訪問控制技術(shù)

這種方法就是進行 MAC 地址過濾，因為每個無線客戶端都有一個唯一的注冊的 MAC 地址，將唯一的 MAC 地址標識生成一張“MAC 地址控制列表（AccessControl）”，限制接入 AP 的 MAC 地址控制列表上的無線客戶端的名單，這樣就能有效的控制客戶與網(wǎng)絡的連接。采用此安全方案，在無線接入設備更換或丟失后要及時對 AP 內(nèi)的 MAC 地址表進行更新，才能再建立合法的連接。

使用 ESSID 和 MAC 訪問控制技術(shù)這兩種安全技術(shù)一般用于簡單的無線基站中，像校園網(wǎng)、小區(qū)局域網(wǎng)等這類的小型無線局域網(wǎng)，能夠提高無線網(wǎng)絡的安全性，而且方法簡單快捷，只需要簡單的配置就能完成訪問權(quán)限的設置。

1.3WEP 加密技術(shù)

WEP 即有線等效加密算法，又稱無線加密協(xié)議，IEEE802.11b 通過 WEP 加密技術(shù)來實現(xiàn)認證與數(shù)據(jù)加密。在 IEEE802.11b 標準中定義了 WEP 密鑰長度為 64位，并使用 RC4 流密碼進行加密，WEP 是一種對稱加密，即加密和解密的密鑰相同，它在接入端能有效的控制未授權(quán)的用戶進入互聯(lián)網(wǎng)，通過加密，只允許擁有相對應密鑰的用戶進行解密，從而保護了數(shù)據(jù)流。WEP 協(xié)議的目標就是希望能讓無線局域網(wǎng)達到和有線網(wǎng)絡一樣的安全等級。

由于 WEP 密鑰需要手動修改，因此只適用于覆蓋范圍不大，客戶端數(shù)量不多和要求安全性級別不是很高的環(huán)境，才能最經(jīng)濟最便利。雖然 WEP 有一定的安全保障，但是所選擇的算法存在一定的問題，選擇的密鑰是靜態(tài)的密鑰，由于沒有更加成熟的密鑰管理技術(shù)支持，因此還是存在一定的缺陷。

一個站點與另一個站點建立網(wǎng)絡連接之前，必須首先通過認證。IEEE802.11b標準中定義了兩種認證方式：開放系統(tǒng)認證（Open System Authentication）和共享密鑰認證（Shared Key Authentication）。

2 IEEE802.11i 標準的安全性描述

在大型企業(yè)、銀行、證券行業(yè)等網(wǎng)絡要求安全性比較高的場合，使用 WEP安全技術(shù)并不能完全達到安全需求，這也使得無線局域網(wǎng)技術(shù)受到了很多批評。為了解決這個被動局面，IEEE 制訂了新一代的安全標準 IEEE802.11i 標準，并成為 802.11 系列標準的一部分，包括兩項主要內(nèi)容：Wi—Fi 保護接入 WPA（Wi—FiProtected Access）和強健的安全網(wǎng)絡（RSN，Robust Security Network）。WPA 不僅是一種加密機制，作為 IEEE802.11i 標準的子集，WPA 包含了鑒別、加密和數(shù)據(jù)完整性校驗 3 個組成部分，是一個完整的安全措施，其核心是IEEE802.11x和暫時密鑰完整協(xié)議（TKIP，Temporal Key Integrity Protocol）。

WPA采用TKIP、CCMP（Counter—Mode/CBC—MAC Protocol）和 WRAP （WirelessRobustAuthenticated Protocol）加密技術(shù)，并且使用 IEEE802.1x 和可擴展認證協(xié)議EAP（Extensible Authentication）認證機制，從而能夠?qū)崿F(xiàn)無線局域網(wǎng)的訪問控制、密鑰管理和數(shù)據(jù)加密。

參考文獻：

[1]錢進.無線局域網(wǎng)技術(shù)與應用[M]電子工業(yè)出版社，2004.

[2]黎連業(yè)等.無線網(wǎng)絡及其應用技術(shù)[M]清華大學出版社.

[3]楊軍等.無線局域網(wǎng)組建實戰(zhàn)[M]電子工業(yè)出版社.