袁　磊*

常州工學(xué)院，江蘇　常州　213000

?

智慧校園建設(shè)中的無線網(wǎng)絡(luò)安全問題分析

袁磊*

常州工學(xué)院，江蘇常州213000

隨著科技高速發(fā)展，互聯(lián)網(wǎng)的高度覆蓋，傳統(tǒng)管理模式已經(jīng)掣肘了校園發(fā)展，如何實(shí)現(xiàn)校園教育現(xiàn)代化、信息化和智能化，是當(dāng)前智慧校園建設(shè)中的重要問題，無線網(wǎng)絡(luò)作為智慧校園的基礎(chǔ)，如何保障網(wǎng)絡(luò)安全，越來越受到人們的關(guān)注。本文從無線網(wǎng)絡(luò)的特點(diǎn)出發(fā)，對(duì)當(dāng)前智慧校園存在的網(wǎng)絡(luò)安全問題加以分析，并提出了相應(yīng)的解決措施，以期對(duì)智慧校園未來發(fā)展有所裨益。

智慧校園；網(wǎng)絡(luò)安全；無線網(wǎng)絡(luò)

自互聯(lián)網(wǎng)興起伊始，網(wǎng)絡(luò)走進(jìn)校園、融入教育，便成為一種必然趨勢(shì)，智慧校園為廣大師生提供虛擬教育資源共享環(huán)境，提升校園管理運(yùn)行效率，無線網(wǎng)絡(luò)作為智慧校園建設(shè)中的重要一環(huán)，在智慧校園建設(shè)中占據(jù)著重要地位。別有用心之人利用網(wǎng)絡(luò)的開放性和復(fù)雜性盜取他人數(shù)據(jù)信息、惡意破壞，嚴(yán)重影響了智慧校園中的無線網(wǎng)絡(luò)安全。

一、無線網(wǎng)絡(luò)的概念和優(yōu)勢(shì)

無線網(wǎng)絡(luò)(wireless network)是采用無線通信技術(shù)實(shí)現(xiàn)的網(wǎng)絡(luò)。無線網(wǎng)絡(luò)既包括遠(yuǎn)距離無線連接的全球語音和數(shù)據(jù)網(wǎng)絡(luò)，也包括為近距離無線連接進(jìn)行優(yōu)化的紅外線技術(shù)及射頻技術(shù)，無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)的用途類似，最大的不同在于無線網(wǎng)絡(luò)以無線電技術(shù)作為傳輸媒介，而有線網(wǎng)絡(luò)利用的是網(wǎng)線。

無線網(wǎng)絡(luò)的優(yōu)點(diǎn)有許多，具體來講有以下幾條：(1)實(shí)現(xiàn)了無縫漫游；無線網(wǎng)絡(luò)用戶在利用無線終端設(shè)備上網(wǎng)時(shí)，在無線信號(hào)覆蓋范圍內(nèi)可自由移動(dòng)使用，AP切換不會(huì)帶來不良影響。(2)實(shí)現(xiàn)了無線橋接；無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)互通，節(jié)省布線成本。(3)POE供電需要設(shè)備支持，通過網(wǎng)線供電使無線網(wǎng)絡(luò)實(shí)施更加簡(jiǎn)化。(4)方便管理、易擴(kuò)展；通過設(shè)置設(shè)備自帶軟件，可以輕松接入網(wǎng)絡(luò)，如有DHCP甚至無需設(shè)置，用戶接入數(shù)量多或想增大無線信號(hào)覆蓋范圍時(shí)，只需增加AP，省去了傳統(tǒng)網(wǎng)絡(luò)設(shè)計(jì)布線的煩惱。(5)安全性高、移動(dòng)性強(qiáng)；無線網(wǎng)絡(luò)不在受線纜束縛，用戶可以在無線信號(hào)覆蓋范圍內(nèi)實(shí)現(xiàn)移動(dòng)學(xué)習(xí)、辦公，同時(shí)通過無線協(xié)議實(shí)現(xiàn)數(shù)據(jù)傳輸安全性需求。(6)高效率、低成本；無線網(wǎng)絡(luò)使工作擺脫空間束縛，使工作更加方便快捷、效率更高，一個(gè)無線AP可同時(shí)接入數(shù)百個(gè)用戶同時(shí)訪問，投資和維護(hù)成本較有線信息點(diǎn)大大降低。

二、智慧校園建設(shè)中的無線網(wǎng)絡(luò)安全問題分析

無線網(wǎng)絡(luò)由于其傳播具有開放性，因此容易受到安全攻擊，過于繁雜的安全設(shè)置又會(huì)降低用戶的使用體驗(yàn)，如何使安全防御即簡(jiǎn)單又有效，當(dāng)前業(yè)內(nèi)研究的熱點(diǎn)。校園無線網(wǎng)絡(luò)在學(xué)生中的使用人數(shù)已經(jīng)達(dá)到了95%以上，無線網(wǎng)絡(luò)攻擊手段不斷變化，最主要的有以下幾種：

(一)內(nèi)部外部人員的入侵

在有線網(wǎng)絡(luò)中計(jì)算機(jī)需要連接在網(wǎng)線上才可上網(wǎng)，無線網(wǎng)絡(luò)則不同，只要在無線接入點(diǎn)(The wireless access point)覆蓋范圍內(nèi)，任何無線終端設(shè)備都可以通過熱點(diǎn)接入無線網(wǎng)絡(luò)，無法確定其具體位置，無線網(wǎng)絡(luò)管理相對(duì)寬松，缺乏傳輸介質(zhì)(如、光纖、雙絞線、同軸電纜等)的物理保護(hù)，致使未經(jīng)授權(quán)的用戶也可輕易進(jìn)入網(wǎng)絡(luò)，因此存在很大的安全隱患，校園中的科研項(xiàng)目、師生論文等數(shù)據(jù)資料經(jīng)常成為不法分子覬覦的對(duì)象，這些人利用無線AP開放性特點(diǎn)中存在的安全漏洞，通過會(huì)話欺騙、攔截等手段入侵網(wǎng)絡(luò)系統(tǒng)，進(jìn)而竊取重要資料，嚴(yán)重影響了校園網(wǎng)的用網(wǎng)安全。

(二)網(wǎng)絡(luò)竊聽

無線網(wǎng)絡(luò)可以通過無線電波將數(shù)據(jù)傳輸?shù)饺魏螣o線信號(hào)覆蓋的地方，在此范圍內(nèi)可通過無線終端設(shè)備接收數(shù)據(jù)，這些數(shù)據(jù)大多以明文格式傳輸，因此在給用戶提供方便的同時(shí)也極易被人竊取，例如不法分子利用監(jiān)視軟件獲取用戶網(wǎng)址、聊天信息等，從這些數(shù)據(jù)信息中窺探用戶隱私，從而謀取不正當(dāng)利益。用戶數(shù)據(jù)被惡意破解往往會(huì)導(dǎo)致隱私泄露，個(gè)人利益受到威脅，進(jìn)而威脅整個(gè)無線網(wǎng)絡(luò)的安全。

(三)WEP加密攻擊

WEP加密攻擊大體分為以下幾種：第一種，不法分子在windows環(huán)境下直接破解還原無線網(wǎng)絡(luò)WEP加密密鑰，通過對(duì)收集到的數(shù)據(jù)包進(jìn)行破解，從而竊取用戶賬戶名稱和密碼；第二種，通過對(duì)WEP安全協(xié)議的漏洞進(jìn)行偵測(cè)，采取被動(dòng)攻擊或者主動(dòng)攻擊方式，對(duì)無線存取設(shè)備與用戶間的通訊進(jìn)行破解；第三種，對(duì)WEP驗(yàn)證數(shù)據(jù)包進(jìn)行復(fù)制并反復(fù)發(fā)送虛假數(shù)據(jù)包，進(jìn)而獲取反饋信息，從而縮短收集驗(yàn)證數(shù)據(jù)包的時(shí)間，提高破解速度。因此，WEP加密對(duì)于不法分子來說，無異于半開著的大門。

(四)移動(dòng)無線網(wǎng)絡(luò)攻擊

對(duì)無線網(wǎng)絡(luò)的攻擊，可以分為對(duì)移動(dòng)終端的攻擊和對(duì)移動(dòng)核心網(wǎng)絡(luò)的攻擊，兩種攻擊方式相互支持，可提升攻擊效果。其攻擊方式一種是利用偽基站，見圖1；另一種是利用通信協(xié)議漏洞，兩種攻擊都是以破壞用戶通信為目的，利用木馬對(duì)數(shù)據(jù)管理網(wǎng)絡(luò)進(jìn)行滲透，竊取用戶信息，或?qū)σ苿?dòng)設(shè)備進(jìn)行攻擊，對(duì)無線網(wǎng)絡(luò)的攻擊與有線網(wǎng)絡(luò)攻擊目的相同，只是入口不同而已。

圖1　利用偽基站進(jìn)行無線網(wǎng)絡(luò)攻擊

三、保障無線網(wǎng)絡(luò)安全的應(yīng)對(duì)策略分析

(一)對(duì)入網(wǎng)用戶進(jìn)行篩查，從源頭上防止不法分子的入侵無線網(wǎng)絡(luò)

智慧校園無線網(wǎng)絡(luò)給師生帶來方便快捷的使用體驗(yàn)的同時(shí)，也存在是很多安全隱患，給師生資料信息帶來了威脅，降低威脅的最直接辦法就是對(duì)入網(wǎng)用戶進(jìn)行資格驗(yàn)證，并將無線客戶端的物理地址標(biāo)識(shí)加入AP中的MAC地址列表，進(jìn)行手工維護(hù)，實(shí)現(xiàn)對(duì)用戶的物理地址過濾，因?yàn)檫@種方式需要手工維護(hù)，所以擴(kuò)展能力不足，并不適用于大型網(wǎng)絡(luò)，同時(shí)，不法分子通過盜用合法的MAC地址手段入侵，針對(duì)這一問題，目前采用VLAN+IP地址+MAC地址來唯一標(biāo)識(shí)一個(gè)用戶，防止不法分子魚目混珠，非法入侵。

再此基礎(chǔ)上，還可利用設(shè)備制造商設(shè)定的服務(wù)集標(biāo)識(shí)符(SSID)對(duì)用戶群體進(jìn)行分組，客戶端出示正確的服務(wù)集標(biāo)識(shí)符才能接入無線網(wǎng)絡(luò)，避免潛在的安全威脅，盡可能的避免向外廣播SSID，或者選擇極難猜中的SSID，防止不法分子知道口令短語，進(jìn)而入侵無線網(wǎng)絡(luò)。

(二)802.1x擴(kuò)展認(rèn)證協(xié)議

基于802.1x認(rèn)證體系，是由客戶端設(shè)備、接入設(shè)備、后臺(tái)RADIUS認(rèn)證服務(wù)器三方完成，采用標(biāo)準(zhǔn)安全協(xié)議提供集中的用戶標(biāo)識(shí)、身份驗(yàn)證、動(dòng)態(tài)秘鑰管理，從而降低無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。作為RADIUS客戶端配置的無線接入點(diǎn)將連接請(qǐng)求發(fā)送到中央RADIUS服務(wù)器。RADIUS服務(wù)器處理此請(qǐng)求并準(zhǔn)予或拒絕連接請(qǐng)求。如果準(zhǔn)予請(qǐng)求，根據(jù)所選身份驗(yàn)證方法，該客戶端獲得身份驗(yàn)證，并且為會(huì)話生成唯一密鑰。然后，客戶機(jī)與AP激活WEP，利用密鑰進(jìn)行通信。

(三)提高師生網(wǎng)絡(luò)安全意識(shí)，加強(qiáng)無線網(wǎng)絡(luò)監(jiān)測(cè)與管理

上述幾條措施可以在一定程度上防范不法分子的攻擊，但卻無法杜絕，因此校內(nèi)師生應(yīng)從自身出發(fā)，提高安全防范意識(shí)，加強(qiáng)無線網(wǎng)絡(luò)設(shè)備

的管理與監(jiān)測(cè)，定期查看服務(wù)器日志，利用無錢入侵監(jiān)測(cè)系統(tǒng)對(duì)不法分子的攻擊行為提前預(yù)警，發(fā)現(xiàn)攻擊行為果斷采取措施，對(duì)異常終端設(shè)備進(jìn)行屏蔽、拉黑，保證其他用戶和整個(gè)校園無線網(wǎng)絡(luò)的安全，校園無線網(wǎng)絡(luò)擺脫了實(shí)體線路的束縛，具有廣泛的應(yīng)用需求，保障無線網(wǎng)絡(luò)信息的安全性是一項(xiàng)長(zhǎng)期的工作，需要根據(jù)互聯(lián)網(wǎng)技術(shù)的發(fā)展，不斷更新網(wǎng)絡(luò)安全策略，更新安全設(shè)備，為無線網(wǎng)絡(luò)用戶提供安全的網(wǎng)絡(luò)環(huán)境。

四、結(jié)論

隨著無線終端設(shè)備的日益普及，構(gòu)建穩(wěn)定、安全和高效的無線網(wǎng)絡(luò)是智慧校園建設(shè)的必然趨勢(shì)，由于無線網(wǎng)絡(luò)的傳輸介質(zhì)為電磁波，傳輸介質(zhì)的特殊性決定了無線網(wǎng)絡(luò)更易受到干擾、竊取和破壞，無線網(wǎng)絡(luò)安全與否直接影響著智慧校園系統(tǒng)的可靠性與穩(wěn)定性，隨著校內(nèi)師生對(duì)無線網(wǎng)絡(luò)的要求越來越高，無線網(wǎng)絡(luò)除了為校內(nèi)師生提供方便快捷的上網(wǎng)體驗(yàn)，還要在安全性、私密性方面給予更多保障，這就要求我們面對(duì)當(dāng)前不良分子各種各樣的攻擊手段，不斷調(diào)整應(yīng)對(duì)策略，為校內(nèi)師生提供一個(gè)安全的網(wǎng)絡(luò)環(huán)境。

[1]胡建龍，高嶺，種蘭祥等.現(xiàn)代校園無線網(wǎng)絡(luò)建設(shè)與管理[J].中國(guó)教育信息化·高教職教，2012(8)：54-55.

[2]肖偉.無線網(wǎng)絡(luò)安全問題與解決策略研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016(05).

[3]李亮，黃石平，臧勝鯤.組播技術(shù)高清數(shù)字電視直播系統(tǒng)在校園網(wǎng)中的應(yīng)用[J].實(shí)驗(yàn)室研究與探索，2015(01).

[4]白麗媛，陳瑛，李亞文.高等學(xué)校智慧校園架構(gòu)與應(yīng)用研究[J].北京聯(lián)合大學(xué)學(xué)報(bào)，2014(02).

袁磊(1979-)，男，漢族，江蘇常州人，常州工學(xué)院，助理實(shí)驗(yàn)師，研究方向：計(jì)算機(jī)技術(shù)與網(wǎng)絡(luò)。

TN915.08A

1006-0049-(2016)16-0186-02