圖書館無線網絡安全的研究與改進

陳利東 貢金濤 應賢軍

摘 要： 通過對無線網絡現有缺陷的分析和目前已應用的安全策略的對比，制定了一個相對安全穩定的無線網絡策略，旨為圖書館的無線網絡服務工作提供安全保障。

關鍵詞： 圖書館； 無線網絡； 安全策略； 實名認證

中圖分類號： G 250.7 文獻標志碼： A 文章編號： 1671-2153（2017）04-0100-05

0 引 言

隨著如今無線網絡技術的成熟及普遍應用，使得當今的圖書館基本實現無線網絡覆蓋。而圖書館的數字化建設也在不斷完善，無線網絡已成為讀者獲得圖書館資源的重要途徑。圖書館優良的閱讀環境正吸引著更多的讀者進入圖書館，他們用自帶的移動網絡設備獲取資源、刷微博、聊天、網絡購物等等。但隨著無線網絡安全問題的日漸突出，加上大多數移動用戶不具備網絡安全常識，導致圖書館移動網絡處于非常危險的境地。作為圖書館的管理者，有必要、有責任為用戶提供一個安全、可靠的無線網絡環境，盡量避免給用戶造成不必要的損失。

1 無線網絡安全現狀

1.1 無線網絡的特點[1]

（1） 信號覆蓋范圍廣。無線網絡覆蓋半徑可以達到300米，基本能滿足各種情況下移動設備的網絡需求。

（2） 組網靈活。無線網絡比有線網絡組建更為便捷，并不需要占用過多的物理空間，且市面上的移動設備基本都支持無線技術。

（3） 相關業務可集成性。無線網絡技術和有線網絡技術，從結構上看是基本一致的，這使得人們可以將現有的有線網絡資源接入到無線網絡中，并能夠快速部署無線局域網絡，從而實現資源共享。

（4） 完全開放的頻率使用段。無線局域網使用的是ISM頻段，用戶端接入時不需要任何許可，非常的方便快捷。

1.2 無線網絡安全存在的問題[2-3]

（1） 無線網絡環境盲點。無線信號是通過無線路由器發出，但對于整個圖書館來說，要實現無線信號全覆蓋就必須通過多個無線路由進行連接。信號在路由器之間穿梭，就要從一個點到另一個點，這種路由器之間的間隙是無線網絡安全的第一大隱患，入侵者可以利用這一漏洞，對信號源發起攻擊。

（2） 惡意訪問源。不法分子通過設置免費的無線網絡來引誘用戶接入，他們在信號中加入了隱性代碼，一旦用戶接入不法分子建立的無線熱點，用戶發送的所有信息將遭到監聽。屆時，用戶的隱私、賬號密碼等機密信息將暴露無遺，有可能造成用戶財產的嚴重損失。

（3） 偽裝無線站點。是指不法分子構建相似或同名的可信任無線網絡信號源，讓用戶誤以為是安全的無線網絡站點，而且移動設備對于以前接入過的無線網絡站點會自動接入，并且自動調整信號強的源進行接入，使得不法分子輕而易舉獲取用戶的信息。

（4） 黑客攻擊。黑客利用網絡攻擊工具對無線路由器進行攻擊，迫使無線路由器無法正常運轉，或者發射惡意干擾信號，使用戶無法正常連接網絡，并在此過程中為用戶提供可接入的無線網絡熱點，誘導用戶錯誤鏈接，從而進行非法行為。

2 無線網絡安全策略的對比

目前，針對上述無線網絡安全問題的解決策略有很多， 常用的為以下幾類[4][5]：

（1） WEP 加密方案。其使用RC4算法進行加密，客戶端與無線接入點共享密鑰，但容易被黑客破解入侵。隨著技術的進步，技術員在WEP的基礎上進行升級，對端口訪問進行控制，并通過轉換密碼和分發機制來提升無線網絡的安全性。其缺點是靜態的40位密鑰容易被破解，不能保證數據傳送的可靠性和完整性。

（2） TKIP 安全方案。TKIP是在WEP方案上進行改進，簡稱臨時密鑰完整協議。它采用RC4 算法，將IV擴展到48位，并采用新的順序規則，來彌補WEP方案中密鑰過短的缺點。TKIP方案的每個數據包都有獨有的48位動態序列號，不但解決了數據傳送時產生的碰撞和重放問題，還提升了數據的安全性，不容易被黑客破解。

（3） CCMP 安全方案。其采用更先進的AE5加密算法來代替RC4算法，對傳送數據進行安全保護。CCMP采用48位序列規則發送密鑰，同時進行信息篡改檢測，又稱為塊加密技術，安全性高，但對硬件要求比較高，而且無法利用現有設備。

（4） WPA技術。WPA是一種無線網絡安全保護系統，是在TKIP協議基礎上引入AES加密算法，對網絡數據進行保護，其認證方式包括WPA，WPA-PSK，WPA2，WPA2-PSK這幾類。但目前可通過字典和PIN 碼對無線網絡施行爆破來破解此技術。

（5） WTLS 技術。其主要是在WAP協議框架下，通過對WTLS層進行加密來實現對網絡數據的安全保護，目前可支持X509V3＼X9.68和WTLS證書。

（6） MAC 與IP 地址過濾技術。此技術能有效控制無線網絡內部用戶使用網絡權限，是將可訪問網絡設備的有效地址添加在AP 列表中，只有這些有效地址用戶才能訪問網絡。并且設置無線網絡密碼，防止黑客通過克隆有效地址來入侵網絡。

（7） Web認證。其是基于對端口控制來控制用戶訪問權限的認證方法，不需要安裝客戶端認證插件，只需使用瀏覽器就可實現認證。未經認證的用戶會被強制接入認證頁面，只有通過認證的用戶才能訪問互聯網資源。目前此認證方式主要有HTTP攔截和HTTP重定向，可以為用戶提供多樣化認證，其拓展性強。

3 無線網絡安全策略整體架構的制定

本文基于現有的網絡安全技術，并整合安全監測技術來制定一套較為穩定的無線網絡安全策略，以解決上述無線網絡安全問題。此體系包括兩部分：被動安全防御策略和主動防御策略[6][7]。

3.1 被動安全防御策略

此策略主要是通過構建安全防御策略，來解決無線網絡存在的安全問題，盡量避免無線網絡安全隱患的發生。結合現有的網絡安全技術，本安全策略從物理上的設計到網絡安全的配置，都作了相應的改進。

（1） 物理層安全設計。首先在規劃好網絡布局的基礎上，建立一個屏蔽的環境來對存儲、接收和發送信息進行有效保護，以防止信息外泄。再者與外界的各種連接上采取隔離措施，并把天線放置在合理的區域內，盡量減少信號在所需范圍之外的泄露。

（2） 進行合理的網絡安全配置。根據安全策略適用環境的特殊性，來合理配置網絡安全策略，一般通過訪問控制和數據加密來實現。就安全訪問而言，本策略采取改進型Web身份認證——通過用戶名和手機認證方式，來驗證用戶的合法性。它主要由無線AP、接入交換機、核心交換機、無線控制器、DNS/DHCP服務器、網絡行為管理、身份認證服務器、防火墻、日志服務器和短信運營SP組成[8]。

（3） 隔離無線網絡與核心網絡。無線網域是整個無線網絡安全性最薄弱的地方，一旦被不法分子入侵，那么整個網絡都有危險。因此，在布置無線設備時可以使用防火墻，把多個無線網絡進行逐個分離，特別要將核心網絡進行隔離，這樣即使無線網絡被破解，也可以將損失減少到最小。

（4） 加強入侵監測。無線網絡管理人員要時刻監測無線網絡，使用無線網絡測試儀能迅速準確地反映信號的質量和網絡情況，對異常情況進行監控和分析，判斷入侵的類型，特別是非法行為，要及時報警。利用軟件工具對MAC欺騙行為進行檢測，找出偽裝用戶，保證無線網絡的安全可靠。

3.2 主動防御策略

對無線網路環境內的其他無線接入點進行實時監測，如有異常情況，比如：接入點名稱相似、免費接入點等情況，要及時通過網絡或短信方式通知無線網絡環境內的用戶提高警惕，避免不必要損失。

（1） 搭建基本安全防護體系

a. 無線設備站點的監控和管理。對公共區域內的無線設備進行視頻監控，防止他人破壞和替換；對于私設的無線信號設備進行線路和信號監測，確保其無異常；無線設備登錄密碼構成盡量復雜，并加強密鑰管理。

b. SSID的設置管理。禁止SSID 廣播，以防止偽造無線網絡站點現象的發生；SSID的設置要復雜并定期更換。

c. 加密設置管理。數據加密采用本文所論述的WPA 安全方案，并引入WPA2技術，同時不使用廠家自帶密鑰，并對動態密鑰進行時效性控制，防止密鑰被竊；要啟用實名身份認證系統，防止不法份子使用網絡。

（2） 引入無線抓包工具對網域內的流量進行分析并確定攻擊類型；同時還可以用無線信號探測工具來鎖定入侵者的位置，給予控制和警告，并針對攻擊類型進行網絡防護。及時升級網絡系統內核，打上補丁，關掉不必要的服務，正確地設置網絡配額，對于降低到基線以下情況能夠及時警報處理，建立相應的備份和恢復機制。

（3） 無線IDS/IPS 的部署。IDS是防火墻系統內的報警設備，當有非法入侵時會響起警報，其通常被部署在網絡內部，來監控網絡流量；IPS類似于單位內的警衛人員，來防止非法人員入侵，它是主動在線部署，可實時阻止網絡攻擊。我們可以把這兩項技術有效結合起來，在無線網絡內進行合理部署，保證系統的安全穩定地運行。

通過對上述安全策略的整合，制定出一套相對安全穩定的無線網絡環境，并進行各類網絡攻防測試，不斷完善安全策略。

4 無線網絡安全策略關鍵技術的實現

本節主要介紹本文研究制定的無線網絡安全策略中的兩個關鍵技術的實現：偽裝無線網絡站點攻擊防御策略和實名認證策略。

4.1 偽裝無線網絡站點攻擊的防御策略[9]

（1） 偽裝無線網絡攻擊常見的有兩種：簡化的偽裝無線網絡接入點攻擊和偽裝服務端驗證響應攻擊。

簡化的偽裝無線網絡接入點攻擊是指：偽裝者先構建一個無效的無線網絡站點，當用戶端進入該站點范圍內時，它會被自動分配一個無線網絡標示符，用戶設備接入后是不會去驗證該站點是否有網絡連接能力，用戶端會放棄原有的可用網絡，這就形成了拒絕服務攻擊。這種攻擊策略的特點是：可以移動到任何區域實施攻擊；構建攻擊平臺方便且可以同時攻擊多個目標；被攻擊者很難發現攻擊者。

偽裝服務端驗證響應攻擊是指：攻擊者針對設置過服務驗證安全策略的無線網路，通過其他攻擊方式獲取驗證碼，并將用戶端的請求信息重定向到偽裝服務器上，返回驗證信息讓用戶誤認為連接的無線網絡站點是合法的，這樣就剝奪了用戶的網絡訪問權限，形成拒絕服務攻擊。

（2） 相應的防御策略。簡化的偽裝無線網絡接入點攻擊可以通過各種網絡預警方式進行監測，并實施阻止。通常方法是向驗證服務器發送一個請求并比較回應驗證碼的一致性來進行監測和防御。

針對偽裝服務端驗證響應攻擊我們可以采用一種雙通道驗證防御策略：基于傳統移動聯網和本地無線網絡雙重驗證的一種模式，用戶端利用手機通過傳統的移動網絡，獲取本地無線網絡訪問的驗證碼，每次獲取的驗證碼是實時動態更換的，從而杜絕攻擊者對驗證碼的竊取，來保證無線網絡的安全。

4.2 實名認證策略的實現

隨著移動通訊實名制政策的實施，通過手機短信形式的第三方認證方式，可以有效地阻止不法分子的窺視，也可以在受到網絡攻擊時，及時鎖定入侵者的身份信息，便于事后處理。

（1） 實名認證的思路及工作原理。實名認證的基本思路是：為用戶提供一個Web認證頁面，通過HTTP和HTTP重定向技術，對需要使用外網的用戶進行攔截，強制轉入Web認證頁面，用戶在輸入手機號碼及短信驗證密碼后，方可訪問外網資源，認證后用戶無需停留在認證頁面，可自由訪問外網信息，為客戶端提供便捷的上網模式。這種認證模式的優點是訪問內部開放資源時，不需要認證，認證時與無線網絡站點處于脫離狀態，不需要特定的無線網絡站點，這對無線網絡安全起到一定的保護作用。認證的基本原理如圖1所示。

（2） 實名認證的流程[10]

a. 用戶利用移動終端搜索到圖書館的無線網絡站點并連接，服務器記錄記錄此客戶端的MAC地址并為其分配IP地址，租用時間可根據單位自身情況而定。

b. 用戶在終端上訪問任意外網網站，若網絡行為管理服務器中，未查詢到該客戶端允許訪問外網權限信息，則攔截這個訪問請求，并強制重定向到Web身份認證頁面，需用戶輸入正確的手機號及驗證密碼。

c. 手機獲取驗證密碼流程是：用戶輸入正確的手機號碼后點擊獲取認證碼，身份認證服務器利用短信服務商平臺，通過相應的移動網絡將認證密碼發送該手機上。用戶輸入驗證碼，發送至服務器核對用戶信息，信息正確后將該客戶端信息記錄在網絡行為管理數據庫內，并為其增加外網訪問權限，客戶端可以正常使用各類網絡資源。

d. 未通過身份認證的用戶將再次被重定向到Web身份認證頁面，用戶是無法訪問外網資源。通過認證的用戶，若外網租用超時或者離開無線網絡區域一定時間后，也將再次重定向到Web身份認證頁面。

通過上述閉環流程，使得用戶是經過有效實名認證的，并能追溯用戶在圖書館內的上網行為，滿足網絡安全監管的需要。實名認證流程圖如圖2所示，最終登錄驗證頁面如圖3所示。

5 結束語

如今，無線網絡已成為圖書館為讀者提供服務的重要途徑，讀者對信息的安全性也越來越關注。隨著技術不斷的升級更新，新的網絡隱患也隨之產生，網絡安全防護將成為重點工作，如何更合理的建設、規劃、部署無線網絡，是未來無線網絡安全工作的重中之重。除了設備的軟硬件升級完善之外，還需要管理人員不斷加強安全意識，防患于未然，通過共同努力來維護好無線網絡的安全，為讀者提供良好的網絡環境。

參考文獻：

[1] 廉佳奇. WIFI無線網絡技術及安全問題研究[J]. 電腦知識與技術，2016，12（27）：25-26，33.

[2] 白亮亮. 淺談wifi 時代圖書館網絡安全[J]. 河南圖書館學刊，2016，36（5）：128-129.

[3] 熊俊. 基于WIFI 無線網絡信息安全研究[J]. 信息通信，2015（9）：231-232.

[4] 馬剛. 基于wifi的無線網絡安全方案對比分析[J]. 硅谷，2015（4）：202，205.

[5] 熊俊. 基于WIFI無線網絡信息安全研究[J]. 信息通信，2015（9）：231-332.

[6] 宮傳盛. 淺談無線網絡的安全[J]. 科技信息，2013（3）：110.

[7] 胡嘯. 校園無線網絡安全策略研究[J]. 電腦編程技巧與維護，2014（8）：114-116.

[8] 儲御芝，鄭寶玉. 認知無線網絡中基于最佳中繼選擇的協作傳輸策略[J]. 儀器儀表學報，2011，32（3）：520-526.

[9] 楊搖雄，朱宇光. 偽造接入點技術的智能手機拒絕服務攻防策略[J]. 計算機技術與發展，2013，23（10）：134-137，170.

[10] 張婧. wifi網絡實名認證的方法研究和實現[J]. 計算機工程與科學，2012，34（10）：22-27.