校園無線網絡安全中身份認證的研究

◆錢宏偉 黃曉紅

（華北理工大學信息工程學院 河北 063009）

校園無線網絡安全中身份認證的研究

◆錢宏偉 黃曉紅

（華北理工大學信息工程學院 河北 063009）

隨著無線網技術應用日漸成熟，以及移動互聯網應用的普及，無線網絡技術的應用需求呈現不斷增長的趨勢。無線技術在移動互聯網和通信領域中應用的范圍不斷寬泛。然而，隨著應用的深入，無線網絡的安全問題日益顯現，潛在的無線網絡安全隱患對用戶的信息安全產生了嚴重的威脅。本文通過校園無線網絡安全現狀分析，明確基于端口的訪問控制要求，引出校園無線網絡安全中的身份認證措施，從而不斷提高校園無線網絡的運行安全。

校園無線網；網絡安全；身份認證

0 引言

在移動互聯網日漸普及的情形之下，運用身份認證的方式來保證合法用戶正常訪問網絡資源，應用網絡資源，是廣大電信網絡運營工作者必須直面的問題。為了解決校園網絡的安全問題，身份認證是一個非常重要的措施，經科學研究，現在校園無線網絡運行通常需要應用基于端口的訪問控制協議。該協議的應用，有效解決了校園內合法用戶接入無線網絡過程中的認證問題，且能有效避免非授權用戶的訪問企圖，從根本上確保了校園無線網絡的安全使用。

1 校園無線網絡安全現狀分析

1.1 非法連接盛行

與有線網絡不同，無線網絡的接入是開放式的，校園無線網絡同樣具有接入開放性的特點，而且在通常情況下，只要擁有無線網卡，任何用戶都可以搜索到這些空間范圍內的無線信號。正因為如此，在現階段無線終端尤其豐富的時代，很多非法用戶會在沒有獲得接入許可的情況下，利用各種硬件或軟件工具，通過各種可能實現的技術手段來進行非法連接，校園無線網絡環境下的“蹭網”行為極為常見。通常，校園無線網絡被非法連接的表現主要有如下類型：

（1）非法的客戶端。為達到聯網目的，校園內的非法連接者會利用各種手段獲取校園無線網絡的SSID，并將自己偽裝改造成合法用戶，再實施非法連接。因為無線網絡的天然公開屬性，校園無線網絡當然也是呈現公開的特性，且是易獲取的，很容易非法用戶進行開放式連接，因此，很多非法用戶能夠在未經許可的情況下擅自接入校園無線網絡，占用有限的無線網絡資源。校園網絡是非常特殊的，它通常會蘊含各式共享而且都非常重要的資源，例如校內學生的各種信息、科研團隊的研究成果、學術研究的論文以及各式考試的試卷等十分重要且不便公開的數據文件。校園無線網絡的非法連接，對校園網絡安全的影響非常重大。

（2）非法建立的AP。部分學生利用互聯網知識，將無線路由器偽裝成為合法的AP，并提供可用的免費wifi，使得其他人在進行無線連接的時候自動連上，并通過各種陷阱的設置，達到竊取、篡改數據信息、遠程控制或入侵對方的目的。

1.2 網絡監聽常現

因為校園無線網絡是開放的，非常便于非法入侵者接入網絡，只要無線網絡擁有網絡，非法入侵者便能借助各種工具來監聽網絡信息，并通過分析工具來對網絡信息進行分析，還能實現惡意篡改信息數據，并能實行轉發。

1.3 密碼易被破解

由于現在校園無線網絡的廣泛使用，安全隱患因wifi的存在而陡增。即便是利用WPA進行了數據加密，非法入侵者仍然可以破解，讓網絡呈現暴露的情形之下。既有的無線加密協議早已不具有十足的安全性了，一些非法程序已經遍布互聯網，入侵者能夠通過分析手機WEP弱密鑰加密的包實現WEP密鑰恢復。

1.4 網絡攻擊泛濫

一旦非法用戶登入校園無線網，便能對目標系統進行肆無忌憚的攻擊，讓校園網絡服務器處于癱瘓狀態，合法用戶無法及時享用校園網絡服務，無法得到系統資源。此外，不法分子可能會通過校園網傳輸木馬病毒，嚴重威脅用戶安全。

2 校園無線網絡安全身份認證管理的局限

2.1 終端儲備能力有限

移動終端的計算存儲資源是有限的，而能源儲備能力也同樣是有限的。

2.2 無線網的傳輸功能限制

與有線網絡相比，不論是在數據傳輸的能力上，還是在數據傳輸的質量上，無線網絡都具有非常明顯的功能限制，無線網絡無法提供有線網絡那樣高質量的數據傳輸服務。

2.3 無線網的安全性較為脆弱

因為無線網絡的天然特點，它的安全性是極為脆弱的，它的開放性讓網絡暴露在自然空間中，非法入侵者可以隨時隨地進行網絡攻擊。

正因上述因素影響，所以身份認證協議設計存在天然的難度，認證協議設計的自由度不如有線網絡那樣明顯。為此，校園無線網絡安全中身份認證協議的設計準則要以“夠用”為主，在網絡安全和系統運行中尋找結合點。

3 認證方案的優化措施

在傳統的身份認證中，雙向認證是指用戶與服務器之間的相互認證，但沒有對接入點AP的身份認證。因此，在認證協議的設計過程中，一定要重視非法攻擊者的力量，要非常重視接入點AP的認證力度，避免一個細節的疏忽而給整個校園網絡埋下嚴重的安全隱患。所以，在優化認證方案的過程中，要重視對接入點AP的實時保護。

3.1 劃分無線網系統的角色

在無線網絡身份認證系統中，通常會有認證平臺、無線網絡接入平臺以及客戶端這三種角色，分別承擔著各自的功能。

（1）認證平臺包含有代理服務器、認證服務器和用戶信息數據庫。代理服務器主要用于接入請求信息的截獲，再通過認證服務器來進行身份認證。代理服務器能有效隔離信息數據庫，確保認證信息的安全性。認證服務器主要用于對接入點的身份認證。接入點、客戶端的登入狀態和個人信息，均存在用戶信息數據庫中。（2）無線網絡接入平臺主要為客戶端提供用戶連接到無線網絡的節點以及安全的信息通道。（3）客戶端的作用是扮演網絡通信參與者的角色。

3.2 身份認證的步驟

第一步，用戶的初始注冊。要接入到無線網絡，用戶要在安全的網絡環境下進行認證服務器進行身份注冊。注冊內容包括AP網絡登入的密碼、登陸客戶端的用戶名和密碼等；第二步，當AP收到接入申請，將自動屏蔽其他客戶端的接入請求，并向認證平臺發出認證請求；第三步，在AP登陸時，認證平臺產生隨機數據給接入點AP，后者運用密鑰與該數據進行核算并產生另一數據，再將該數據轉發到代理服務器，代理服務器進行同樣的核算，并通過認證平臺進行前后兩次的核算結果比對，結果相同則是合法的，允許用戶登錄；第四步，接入點通過向終端發送請求應答的信息，要求終端發送下一步信息。此時，系統會要求輸入用戶名與登錄密碼，并傳輸到代理服務器。代理服務器若驗證登錄信息無誤，認證服務器和客戶端會進行雙向身份驗證。若有誤，則會提示重新輸入用戶信息；第五步，若客戶端提出網絡訪問申請，代理服務器會給客戶端發送隨機數據，并記下該數據，直至認證全部完成。這組隨機數據是密鑰，把登錄用戶名和密碼進行哈希運算，并將結果傳輸到認證平臺。認證數據庫會讀取數據庫中存放的信息和隨機數并進行同等運算，只要與客戶端傳輸的數據一致，則可以判定用戶合法；第六步，客戶端接入網絡。

4 校園無線網絡安全中身份認證的安全性

4.1 提高了服務器對客戶端的辨識度

通過優化過后的校園無線網絡安全中身份認證方案，第一步和第二步會強化對接入點的驗證力度，對解讀點AP進行身份證明。第四步和第五步能實現服務器對客戶端的身份認證，判斷客戶端是否合法。

4.2 強化了網絡臨時密鑰的管理力度

優化過后的校園無線網絡安全中身份認證方案中，第一、第三和第五步，是對臨時密鑰的強化管理。即便服務平臺發送的數據被截取，而在沒有合法AP的情形下，非法用戶也無法威脅到鏈路。

5 結語

隨著移動互聯網時代的到來，作為信息傳輸前沿的校園，無線網絡的應用范圍必然會非常寬廣，無線網絡的安全隱患更需要引起重視。通過優化過后的校園無線網絡安全中身份認證方案，能夠為校園無線網絡提供安全保障，弱化無線網絡的弊端，滿足校園師生對無線網絡的應用需求。

[1]鄭瑩．校園無線網絡安全認證方法淺析[J]．硅谷，2013．

[2]李曉燕，張成，黃協．校園無線網絡構建及安全管理[J]．信息安全與技術，2015．

[3]單家凌．基于身份的認證在無線校園網中的應用研究[J]．軟件，2013．