肖 辰

?

校園無(wú)線網(wǎng)安全技術(shù)研究

肖 辰

天津商業(yè)大學(xué)，天津 300134

隨著校園網(wǎng)絡(luò)信息化建設(shè)的高速發(fā)展，特別是無(wú)線網(wǎng)絡(luò)技術(shù)與應(yīng)用在近十年中更是展現(xiàn)出旺盛的生命力，給校園教學(xué)和生活帶來(lái)了巨大的便捷。與此同時(shí)由于無(wú)線網(wǎng)絡(luò)具有傳輸介質(zhì)特殊性、網(wǎng)絡(luò)連接相對(duì)開(kāi)放等特點(diǎn)使得在安全防范方面無(wú)線網(wǎng)絡(luò)比有線網(wǎng)絡(luò)面臨更大的困難與挑戰(zhàn)。基于此，從技術(shù)與管理方面對(duì)無(wú)線網(wǎng)絡(luò)安全提出建設(shè)性的解決方案。

無(wú)線網(wǎng)絡(luò)；校園無(wú)線網(wǎng)；技術(shù)分析

引言

無(wú)線局域網(wǎng)絡(luò)是利用射頻（RF）技術(shù),取代傳統(tǒng)有線組網(wǎng)介質(zhì)（雙絞線、光纖）等，使得網(wǎng)絡(luò)節(jié)點(diǎn)的通信過(guò)程在空中得以完成。無(wú)線網(wǎng)絡(luò)具有網(wǎng)絡(luò)環(huán)境搭建成本低廉、節(jié)點(diǎn)接入與刪除方便、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)自由等特點(diǎn),在近年來(lái)廣泛應(yīng)用于各種環(huán)境和場(chǎng)所。高校作為人員密集，網(wǎng)絡(luò)需求量極高的教育場(chǎng)所自然也對(duì)無(wú)線網(wǎng)絡(luò)有很大的需求，很多高校都在大力發(fā)展建設(shè)自己的無(wú)線網(wǎng)絡(luò)，甚至以無(wú)線網(wǎng)絡(luò)發(fā)展?fàn)顩r作為衡量學(xué)校信息化水平的重要依據(jù)。然而隨著無(wú)線網(wǎng)絡(luò)應(yīng)用的普及,無(wú)線網(wǎng)絡(luò)所面臨的諸多安全隱患卻成為網(wǎng)絡(luò)建設(shè)發(fā)展過(guò)程中無(wú)法忽視的障礙，由此引發(fā)的諸多事件造成了很大的損失。無(wú)線網(wǎng)絡(luò)由于其開(kāi)放性的特點(diǎn),使得網(wǎng)絡(luò)遭受注入攻擊、消息竊取、數(shù)據(jù)篡改等攻擊的概率遠(yuǎn)遠(yuǎn)高于有線網(wǎng)絡(luò)環(huán)境，防范難度較高。同時(shí)由于高校內(nèi)包含大量的重要數(shù)據(jù)信息，一旦發(fā)生安全問(wèn)題都有可能帶來(lái)重大損失。為了保證校園無(wú)線網(wǎng)絡(luò)的安全,要了解學(xué)習(xí)校園無(wú)線網(wǎng)絡(luò)面臨的各種安全隱患,做好防護(hù)措施，讓無(wú)線網(wǎng)絡(luò)更好地為在校師生服務(wù)[1]。

1校園無(wú)線網(wǎng)絡(luò)面臨的主要安全隱患

校園無(wú)線網(wǎng)絡(luò)在使用過(guò)程中面臨內(nèi)部和外部雙重多方面的安全隱患，以下列舉一些主要安全隱患：

1.1非法接入

通常情況下,對(duì)于已經(jīng)搭建了無(wú)線網(wǎng)絡(luò)環(huán)境的地方只要可以搜索到無(wú)線信號(hào)就都具備可以接入到網(wǎng)絡(luò)中的條件，雖然網(wǎng)絡(luò)管理者可以通過(guò)身份確認(rèn)（密碼認(rèn)證）的方式來(lái)限制網(wǎng)絡(luò)使用者的身份，但難以阻止一些非法用戶利用各種工具來(lái)“蹭網(wǎng)”,而設(shè)定的密碼被泄露的風(fēng)險(xiǎn)也會(huì)隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，用戶的增多而逐步加大。

1.2數(shù)據(jù)泄密

由于無(wú)線網(wǎng)絡(luò)采用無(wú)線通信的方式，因此數(shù)據(jù)包在節(jié)點(diǎn)之間的傳遞過(guò)程中被網(wǎng)絡(luò)黑客截獲的可能性很高。入侵者通常借助各種監(jiān)聽(tīng)工具和分析工具來(lái)對(duì)無(wú)線網(wǎng)絡(luò)信道上傳遞的各種信息進(jìn)行監(jiān)聽(tīng)和分析。對(duì)于加密過(guò)的數(shù)據(jù),利用密碼破解工具入侵者依然可以進(jìn)行破解,給網(wǎng)絡(luò)帶來(lái)極高的安全隱患。高校作為科研工作的主要機(jī)構(gòu)，平時(shí)涉及到很多重要的研究數(shù)據(jù)，有些甚至是機(jī)密性的內(nèi)容，在無(wú)線網(wǎng)絡(luò)環(huán)境中進(jìn)行數(shù)據(jù)傳遞和交換的時(shí)候如果造成泄密后果不堪設(shè)想[2]。

1.3 ARP攻擊

ARP攻擊包括MAC地址欺騙和IP地址欺騙，網(wǎng)絡(luò)攻擊者通過(guò)偽造MAC和IP地址在網(wǎng)絡(luò)中產(chǎn)生大量的通信數(shù)據(jù)，這些數(shù)據(jù)持續(xù)不斷的占用網(wǎng)絡(luò)信道資源，導(dǎo)致其他網(wǎng)絡(luò)節(jié)點(diǎn)需要發(fā)送的數(shù)據(jù)長(zhǎng)時(shí)間無(wú)法獲得網(wǎng)絡(luò)信道的使用權(quán)，最終導(dǎo)致網(wǎng)絡(luò)發(fā)生阻塞的情況。入侵者不斷地發(fā)出偽造的ARP響應(yīng)包更改目標(biāo)主機(jī)ARP緩存中的P-MAC條目，造成網(wǎng)絡(luò)堵塞。

1.4管理性安全隱患

管理性安全隱患主要來(lái)自于對(duì)于校園網(wǎng)絡(luò)管理者技術(shù)水平和管理制度方面，由于網(wǎng)絡(luò)管理者水平、安全意識(shí)參差不齊，在網(wǎng)絡(luò)安全方面存在較大的漏洞。例如目前國(guó)內(nèi)只有少數(shù)高校配備使用了更高安全級(jí)別級(jí)的802.1x認(rèn)證協(xié)議等。

2校園網(wǎng)絡(luò)安全對(duì)策

2.1認(rèn)證訪問(wèn)控制

經(jīng)過(guò)分析，使用校園無(wú)線網(wǎng)絡(luò)的用戶主要由校內(nèi)固定用戶和流動(dòng)用戶兩類(lèi)人群構(gòu)成。作為網(wǎng)絡(luò)使用率最高的用戶無(wú)疑是在校的師生，由于教學(xué)和科研的需要，這類(lèi)用戶希望在校區(qū)內(nèi)的任意區(qū)域能夠隨時(shí)便捷的接入網(wǎng)絡(luò)環(huán)境，瀏覽和下載課程相關(guān)資料。這些資料往往對(duì)外具有私密性，因此從傳遞方式上來(lái)說(shuō)要求較高，需要對(duì)網(wǎng)絡(luò)使用者的身份嚴(yán)格限定，防止非法用戶加入進(jìn)來(lái)竊取數(shù)據(jù)信息，建議采用802.1x認(rèn)證方式對(duì)用戶身份進(jìn)行認(rèn)證。802.1x認(rèn)證方式的特點(diǎn)是整個(gè)認(rèn)證過(guò)程由加密隧道保護(hù)，從而最大限度的避免認(rèn)證信息泄露。這是一種安全性非常高的訪問(wèn)控制策略。流動(dòng)用戶主要是來(lái)校參加學(xué)術(shù)交流等活動(dòng)的非常駐用戶，這類(lèi)用戶使用網(wǎng)絡(luò)的時(shí)間較短，傳輸數(shù)據(jù)私密性相對(duì)較低。與固定用戶相比，流動(dòng)用戶在網(wǎng)絡(luò)使用中更加偏重于網(wǎng)絡(luò)使用的便捷性而非安全性。對(duì)于流動(dòng)型用戶，為了方便用戶對(duì)網(wǎng)絡(luò)的使用，建議采用Portal認(rèn)證的方式接入無(wú)線網(wǎng)絡(luò)即可。通過(guò)這樣的認(rèn)證方式，對(duì)不同類(lèi)型的用戶采用不同的認(rèn)證訪問(wèn)策略，可在安全性和便捷性上達(dá)到良好的平衡。

2.2 MAC地址過(guò)濾技術(shù)

MAC過(guò)濾技術(shù)是指在經(jīng)路由器上面進(jìn)行專(zhuān)門(mén)設(shè)置后，對(duì)訪問(wèn)網(wǎng)絡(luò)的機(jī)器進(jìn)行綁定，只允許綁定MAC地址的物理機(jī)器訪問(wèn)網(wǎng)絡(luò)，而拒絕其他的機(jī)器對(duì)網(wǎng)絡(luò)的訪問(wèn)。這樣做的好處可以極大的提高網(wǎng)絡(luò)使用者的身份認(rèn)證，避免非法用戶的加入，提高校園網(wǎng)的安全性水平。

2.3虛擬專(zhuān)用網(wǎng)技術(shù)

虛擬專(zhuān)用網(wǎng)（VPN）是指在公用網(wǎng)絡(luò)上建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。VPN主要采用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)技術(shù)等對(duì)網(wǎng)絡(luò)安全性進(jìn)行保證，從而大大提高了校園無(wú)線網(wǎng)絡(luò)整體安全性能[3]。

2.4增強(qiáng)網(wǎng)絡(luò)安全意識(shí)和管理制度建設(shè)

俗話說(shuō)，“三分技術(shù)，七分管理”。網(wǎng)絡(luò)管理人員的網(wǎng)絡(luò)安全意識(shí)和管理制度的與否完善是比任何技術(shù)都更加管用的。要大力培養(yǎng)網(wǎng)管人員的業(yè)務(wù)素質(zhì)和責(zé)任意識(shí)，建立健全安全管理制度，落實(shí)責(zé)任，這樣是對(duì)技術(shù)策略最強(qiáng)有力的補(bǔ)充和完善[4]。

[1]方旭明.下一代無(wú)線因特網(wǎng)技術(shù)：無(wú)線Mesh網(wǎng)絡(luò)[M].北京：人民郵電出版社，2006：114.

[2]程海英.校園無(wú)線局域網(wǎng)的安全策略探討[J].軟件導(dǎo)刊，2010（3）：128-129.

[3]陳麗娟.無(wú)線Mesh網(wǎng)絡(luò)技術(shù)在校園無(wú)線網(wǎng)絡(luò)建設(shè)中的應(yīng)用[J].通信技術(shù)，2012(8):463

[4]鄭東興.淺談無(wú)線網(wǎng)絡(luò)安全防范措施分析及其在校園網(wǎng)絡(luò)中的應(yīng)用研究[J].職業(yè)技術(shù)，2012（1）:63.

Research on Security Technology of Campus Wireless Network

Xiao chen

Tianjin Commercial University, Tianjin 300134

With the rapid development of campus network information construction, especially wireless network technology and application in the past ten years is to show strong vitality, to the campus teaching and life has brought great convenience. At the same time, because wireless network has special characteristics of transmission medium and relatively open network connection, wireless network is facing more difficulties and challenges in security aspect than wired network. This paper from the technical and management aspects of the wireless network security and constructive solutions.

wireless network; campus wireless network; technical analysis

TN915.08

A

1009-6434（2016）10-0052-02

項(xiàng)目名稱(chēng)：校園無(wú)線網(wǎng)優(yōu)化及安全方案研究（項(xiàng)目編號(hào)：150120）。項(xiàng)目級(jí)別：青年基金。