唐保存 (雞西大學電氣與信息工程學院，黑龍江 雞西 158100)

校園無線網安全現(xiàn)狀與解決方案淺析

唐保存 (雞西大學電氣與信息工程學院，黑龍江 雞西 158100)

隨著筆記本的普及和對互聯(lián)網的需求，教師與學生都迫切的希望能夠在公共場所進行網上教學活動，有線網絡無法滿足用戶對移動網絡的需求，無線網絡已經逐漸成為校園網的一個組成部分。對校園無線網絡的安全性進行分析，并給出適合校園的無線網絡解決方案。

無線網絡；認證；解決方案

無線技術標準有多種，不管采用哪種無線技術標準，未來無線網絡的傳輸速度與穩(wěn)定性都將會不斷升高，甚至還有可能超過有線網絡。因此，無線網絡將在不同的消費群體有很大的發(fā)展空間。在過去的很多年，網絡的傳輸介質主要使光纜和同軸電纜，在有線網絡的鋪設、施工和綜合布線的過程中工作量很大，同時具有破壞性，網絡中各個節(jié)點的移動性不靈活[1]，這就為無線網絡的發(fā)展提供了一定的空間。但是，目前很多接入者沒有采取適當?shù)陌踩胧?，即使一些初級黑客都有可能利用容易得到的廉價設備對無線網絡進行攻擊。為此，筆者對校園無線網絡的安全性進行了分析，并給出適合校園的無線網絡解決方案。

1 校園內無線網絡的安全現(xiàn)狀

隨著校園內無線網絡的陸續(xù)建成，在教室、會議室、辦公室等場所，都有很多教師和學生利用筆記本電腦通過無線網絡訪問互聯(lián)網。但是，使用無線網絡的時候，網絡的安全性也面臨著嚴峻的考驗。非法接入和帶寬盜用等等安全隱患都一直存在無線網絡中。對于安全問題，大部分研究者都把目光放在802.11i標準、硬件生產者、行業(yè)組織、WEP存在漏洞等上面了。然而筆者認為，研究無線網絡的安全性問題應該從2個方面出發(fā)的，第1個是硬件生產者和行業(yè)組織應該致力于新技術、新標準的推出與統(tǒng)一，第2個是用戶使用網絡的安全意識。

無線網絡的安全性與網絡部署者是有直接關系的。如果是電信或者是網通部署的無線網絡，那么無線網絡的安全性是比較完善，網絡中的用戶將被進行強制身份認證。相比之下，很多家庭、校園和企事業(yè)單位等部門的無線網絡已經成為了安全事故的頻發(fā)重災區(qū)，這些無線網絡，大多數(shù)都是由集成商或者是由用戶自己單獨完成網絡鋪設的，而鋪設者的安全意識、鋪設技術水平都很有限，造成這些部門無線網絡的防護措施不當、安全級別很低，形成了隱患，為非法用戶入侵者提供了一定的可乘之機。

此外，校園網絡中有不少無線訪問點根本就沒有考慮到訪問的安全性，針對很基本的安全問題(如基于MAC地址的認證、共享密鑰的認證)都沒有進行設置。如果拿著筆記本電腦在校園內走動，就有很多的無線訪問點會被搜索到，被搜索到的訪問點幾乎都沒有進行安全設置，安全防范措施幾乎都忽略了，可以相當容易的訪問?？上攵亲尣幻魃矸莸姆欠ㄓ脩暨M入無線網絡，就會有可能對校園網絡造成一定的安全威脅。

2 校園內無線網絡安全解決方案

考慮到在校園中用戶的特殊性，為了更好的保障校園中無線網絡的安全，可以采用不同的認證方法，即對不同類型的用戶給予相應的認證。可以把校園網絡中的用戶主要分成為2個類別(即校內用戶和臨時用戶)。

1)校內用戶 老師和學生構成了校內用戶，由于老師工作和學生的學習需要，他們要求對無線網絡能隨時的接入，來訪問校園中的網絡資源和訪問互聯(lián)網，這個類型用戶的數(shù)據安全性要求比較高，如教師的科研成果 、研究資料及論文等，采用符合WPA安全架構的802.1x標準認證的接入方式[2]，認證通過的用戶將獲得一個用戶唯一的主密鑰，通過該主密鑰客戶端和負責接入的AP將根據TKIP方法動態(tài)生成數(shù)據包唯一的加密密鑰，通信雙方以此進行通信加密。在校園有線網L3分布層交換機上配置VLAN的子接口，利用該子接口作為這個SSID所代表的VLAN的網關，對其進行路由轉發(fā)。從而使通過認證的校園內部用戶能夠如同用有線接入一樣訪問整個校園網絡，但是由于對無線通信進行了動態(tài)加密，保證了校園的敏感數(shù)據在空中傳輸?shù)陌踩?，有效地解決了校園無線應用的首要問題。

2)臨時用戶 臨時用戶主要是由來學校進行培訓、進行學術交流或者是參觀的用戶構成的，臨時用戶對網絡的安全需求并不是很高，他們對網絡的需求主要是用來快速地接入互聯(lián)網，瀏覽相應的網站和發(fā)收電子郵件等。對于用WEB方式認證的校外來訪用戶，當利用基于英特爾公司迅馳移動技術的筆記本電腦連接上無線接入點后，可以通過AC設備的DHCP服務或企業(yè)的專用DHCP服務器獲得IP地址、網關和DNS信息[3]，無須安裝客戶端軟件，直接利用瀏覽器就可以通過充當WNC設備進行WEB方式認證，認證通過后就可以接入到Internet。為保證整個園區(qū)網絡的安全性，對于該SSID接入的用戶必須以WNC作為其網關設備，所以L3分布層交換機無須對該SSID所代表的VLAN進行路由轉發(fā)。如果這些用戶需要訪問校園內部網絡，可以通過在這一WNC設備上啟用用戶級的策略路由來實現(xiàn)。這樣在保證一定安全性的基礎上方便了來訪用戶或漫游用戶的接入，提高了無線網絡的易用性和靈活性。

[1]趙琴. 淺談無線網絡的安全性研究[J]. 機械管理開發(fā),2008,12(1):32-33.

[2]楊峰,張浩軍. 無線局域網安全協(xié)議的研究和實現(xiàn)[J]. 計算機應用,2007,25(1):11-13.

[3]黃勁榮. 無線局域網在校園網的應用[J]. 教育信息化,2009,15(1):44-45.

[編輯] 洪云飛

10.3969/j.issn.1673-1409.2012.01.037

TN925.93

A

1673-1409(2012)01-N116-02