陳利東 貢金濤 應(yīng)賢軍

摘 要： 通過對無線網(wǎng)絡(luò)現(xiàn)有缺陷的分析和目前已應(yīng)用的安全策略的對比，制定了一個相對安全穩(wěn)定的無線網(wǎng)絡(luò)策略，旨為圖書館的無線網(wǎng)絡(luò)服務(wù)工作提供安全保障。

關(guān)鍵詞： 圖書館； 無線網(wǎng)絡(luò)； 安全策略； 實名認證

中圖分類號： G 250.7 文獻標(biāo)志碼： A 文章編號： 1671-2153（2017）04-0100-05

0 引 言

隨著如今無線網(wǎng)絡(luò)技術(shù)的成熟及普遍應(yīng)用，使得當(dāng)今的圖書館基本實現(xiàn)無線網(wǎng)絡(luò)覆蓋。而圖書館的數(shù)字化建設(shè)也在不斷完善，無線網(wǎng)絡(luò)已成為讀者獲得圖書館資源的重要途徑。圖書館優(yōu)良的閱讀環(huán)境正吸引著更多的讀者進入圖書館，他們用自帶的移動網(wǎng)絡(luò)設(shè)備獲取資源、刷微博、聊天、網(wǎng)絡(luò)購物等等。但隨著無線網(wǎng)絡(luò)安全問題的日漸突出，加上大多數(shù)移動用戶不具備網(wǎng)絡(luò)安全常識，導(dǎo)致圖書館移動網(wǎng)絡(luò)處于非常危險的境地。作為圖書館的管理者，有必要、有責(zé)任為用戶提供一個安全、可靠的無線網(wǎng)絡(luò)環(huán)境，盡量避免給用戶造成不必要的損失。

1 無線網(wǎng)絡(luò)安全現(xiàn)狀

1.1 無線網(wǎng)絡(luò)的特點[1]

（1） 信號覆蓋范圍廣。無線網(wǎng)絡(luò)覆蓋半徑可以達到300米，基本能滿足各種情況下移動設(shè)備的網(wǎng)絡(luò)需求。

（2） 組網(wǎng)靈活。無線網(wǎng)絡(luò)比有線網(wǎng)絡(luò)組建更為便捷，并不需要占用過多的物理空間，且市面上的移動設(shè)備基本都支持無線技術(shù)。

（3） 相關(guān)業(yè)務(wù)可集成性。無線網(wǎng)絡(luò)技術(shù)和有線網(wǎng)絡(luò)技術(shù)，從結(jié)構(gòu)上看是基本一致的，這使得人們可以將現(xiàn)有的有線網(wǎng)絡(luò)資源接入到無線網(wǎng)絡(luò)中，并能夠快速部署無線局域網(wǎng)絡(luò)，從而實現(xiàn)資源共享。

（4） 完全開放的頻率使用段。無線局域網(wǎng)使用的是ISM頻段，用戶端接入時不需要任何許可，非常的方便快捷。

1.2 無線網(wǎng)絡(luò)安全存在的問題[2-3]

（1） 無線網(wǎng)絡(luò)環(huán)境盲點。無線信號是通過無線路由器發(fā)出，但對于整個圖書館來說，要實現(xiàn)無線信號全覆蓋就必須通過多個無線路由進行連接。信號在路由器之間穿梭，就要從一個點到另一個點，這種路由器之間的間隙是無線網(wǎng)絡(luò)安全的第一大隱患，入侵者可以利用這一漏洞，對信號源發(fā)起攻擊。

（2） 惡意訪問源。不法分子通過設(shè)置免費的無線網(wǎng)絡(luò)來引誘用戶接入，他們在信號中加入了隱性代碼，一旦用戶接入不法分子建立的無線熱點，用戶發(fā)送的所有信息將遭到監(jiān)聽。屆時，用戶的隱私、賬號密碼等機密信息將暴露無遺，有可能造成用戶財產(chǎn)的嚴重損失。

（3） 偽裝無線站點。是指不法分子構(gòu)建相似或同名的可信任無線網(wǎng)絡(luò)信號源，讓用戶誤以為是安全的無線網(wǎng)絡(luò)站點，而且移動設(shè)備對于以前接入過的無線網(wǎng)絡(luò)站點會自動接入，并且自動調(diào)整信號強的源進行接入，使得不法分子輕而易舉獲取用戶的信息。

（4） 黑客攻擊。黑客利用網(wǎng)絡(luò)攻擊工具對無線路由器進行攻擊，迫使無線路由器無法正常運轉(zhuǎn)，或者發(fā)射惡意干擾信號，使用戶無法正常連接網(wǎng)絡(luò)，并在此過程中為用戶提供可接入的無線網(wǎng)絡(luò)熱點，誘導(dǎo)用戶錯誤鏈接，從而進行非法行為。

2 無線網(wǎng)絡(luò)安全策略的對比

目前，針對上述無線網(wǎng)絡(luò)安全問題的解決策略有很多， 常用的為以下幾類[4][5]：

（1） WEP 加密方案。其使用RC4算法進行加密，客戶端與無線接入點共享密鑰，但容易被黑客破解入侵。隨著技術(shù)的進步，技術(shù)員在WEP的基礎(chǔ)上進行升級，對端口訪問進行控制，并通過轉(zhuǎn)換密碼和分發(fā)機制來提升無線網(wǎng)絡(luò)的安全性。其缺點是靜態(tài)的40位密鑰容易被破解，不能保證數(shù)據(jù)傳送的可靠性和完整性。

（2） TKIP 安全方案。TKIP是在WEP方案上進行改進，簡稱臨時密鑰完整協(xié)議。它采用RC4 算法，將IV擴展到48位，并采用新的順序規(guī)則，來彌補WEP方案中密鑰過短的缺點。TKIP方案的每個數(shù)據(jù)包都有獨有的48位動態(tài)序列號，不但解決了數(shù)據(jù)傳送時產(chǎn)生的碰撞和重放問題，還提升了數(shù)據(jù)的安全性，不容易被黑客破解。

（3） CCMP 安全方案。其采用更先進的AE5加密算法來代替RC4算法，對傳送數(shù)據(jù)進行安全保護。CCMP采用48位序列規(guī)則發(fā)送密鑰，同時進行信息篡改檢測，又稱為塊加密技術(shù)，安全性高，但對硬件要求比較高，而且無法利用現(xiàn)有設(shè)備。

（4） WPA技術(shù)。WPA是一種無線網(wǎng)絡(luò)安全保護系統(tǒng)，是在TKIP協(xié)議基礎(chǔ)上引入AES加密算法，對網(wǎng)絡(luò)數(shù)據(jù)進行保護，其認證方式包括WPA，WPA-PSK，WPA2，WPA2-PSK這幾類。但目前可通過字典和PIN 碼對無線網(wǎng)絡(luò)施行爆破來破解此技術(shù)。

（5） WTLS 技術(shù)。其主要是在WAP協(xié)議框架下，通過對WTLS層進行加密來實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)的安全保護，目前可支持X509V3＼X9.68和WTLS證書。

（6） MAC 與IP 地址過濾技術(shù)。此技術(shù)能有效控制無線網(wǎng)絡(luò)內(nèi)部用戶使用網(wǎng)絡(luò)權(quán)限，是將可訪問網(wǎng)絡(luò)設(shè)備的有效地址添加在AP 列表中，只有這些有效地址用戶才能訪問網(wǎng)絡(luò)。并且設(shè)置無線網(wǎng)絡(luò)密碼，防止黑客通過克隆有效地址來入侵網(wǎng)絡(luò)。

（7） Web認證。其是基于對端口控制來控制用戶訪問權(quán)限的認證方法，不需要安裝客戶端認證插件，只需使用瀏覽器就可實現(xiàn)認證。未經(jīng)認證的用戶會被強制接入認證頁面，只有通過認證的用戶才能訪問互聯(lián)網(wǎng)資源。目前此認證方式主要有HTTP攔截和HTTP重定向，可以為用戶提供多樣化認證，其拓展性強。

3 無線網(wǎng)絡(luò)安全策略整體架構(gòu)的制定

本文基于現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)，并整合安全監(jiān)測技術(shù)來制定一套較為穩(wěn)定的無線網(wǎng)絡(luò)安全策略，以解決上述無線網(wǎng)絡(luò)安全問題。此體系包括兩部分：被動安全防御策略和主動防御策略[6][7]。

3.1 被動安全防御策略

此策略主要是通過構(gòu)建安全防御策略，來解決無線網(wǎng)絡(luò)存在的安全問題，盡量避免無線網(wǎng)絡(luò)安全隱患的發(fā)生。結(jié)合現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)，本安全策略從物理上的設(shè)計到網(wǎng)絡(luò)安全的配置，都作了相應(yīng)的改進。

（1） 物理層安全設(shè)計。首先在規(guī)劃好網(wǎng)絡(luò)布局的基礎(chǔ)上，建立一個屏蔽的環(huán)境來對存儲、接收和發(fā)送信息進行有效保護，以防止信息外泄。再者與外界的各種連接上采取隔離措施，并把天線放置在合理的區(qū)域內(nèi)，盡量減少信號在所需范圍之外的泄露。

（2） 進行合理的網(wǎng)絡(luò)安全配置。根據(jù)安全策略適用環(huán)境的特殊性，來合理配置網(wǎng)絡(luò)安全策略，一般通過訪問控制和數(shù)據(jù)加密來實現(xiàn)。就安全訪問而言，本策略采取改進型Web身份認證——通過用戶名和手機認證方式，來驗證用戶的合法性。它主要由無線AP、接入交換機、核心交換機、無線控制器、DNS/DHCP服務(wù)器、網(wǎng)絡(luò)行為管理、身份認證服務(wù)器、防火墻、日志服務(wù)器和短信運營SP組成[8]。

（3） 隔離無線網(wǎng)絡(luò)與核心網(wǎng)絡(luò)。無線網(wǎng)域是整個無線網(wǎng)絡(luò)安全性最薄弱的地方，一旦被不法分子入侵，那么整個網(wǎng)絡(luò)都有危險。因此，在布置無線設(shè)備時可以使用防火墻，把多個無線網(wǎng)絡(luò)進行逐個分離，特別要將核心網(wǎng)絡(luò)進行隔離，這樣即使無線網(wǎng)絡(luò)被破解，也可以將損失減少到最小。

（4） 加強入侵監(jiān)測。無線網(wǎng)絡(luò)管理人員要時刻監(jiān)測無線網(wǎng)絡(luò)，使用無線網(wǎng)絡(luò)測試儀能迅速準(zhǔn)確地反映信號的質(zhì)量和網(wǎng)絡(luò)情況，對異常情況進行監(jiān)控和分析，判斷入侵的類型，特別是非法行為，要及時報警。利用軟件工具對MAC欺騙行為進行檢測，找出偽裝用戶，保證無線網(wǎng)絡(luò)的安全可靠。

3.2 主動防御策略

對無線網(wǎng)路環(huán)境內(nèi)的其他無線接入點進行實時監(jiān)測，如有異常情況，比如：接入點名稱相似、免費接入點等情況，要及時通過網(wǎng)絡(luò)或短信方式通知無線網(wǎng)絡(luò)環(huán)境內(nèi)的用戶提高警惕，避免不必要損失。

（1） 搭建基本安全防護體系

a. 無線設(shè)備站點的監(jiān)控和管理。對公共區(qū)域內(nèi)的無線設(shè)備進行視頻監(jiān)控，防止他人破壞和替換；對于私設(shè)的無線信號設(shè)備進行線路和信號監(jiān)測，確保其無異常；無線設(shè)備登錄密碼構(gòu)成盡量復(fù)雜，并加強密鑰管理。

b. SSID的設(shè)置管理。禁止SSID 廣播，以防止偽造無線網(wǎng)絡(luò)站點現(xiàn)象的發(fā)生；SSID的設(shè)置要復(fù)雜并定期更換。

c. 加密設(shè)置管理。數(shù)據(jù)加密采用本文所論述的WPA 安全方案，并引入WPA2技術(shù)，同時不使用廠家自帶密鑰，并對動態(tài)密鑰進行時效性控制，防止密鑰被竊；要啟用實名身份認證系統(tǒng)，防止不法份子使用網(wǎng)絡(luò)。

（2） 引入無線抓包工具對網(wǎng)域內(nèi)的流量進行分析并確定攻擊類型；同時還可以用無線信號探測工具來鎖定入侵者的位置，給予控制和警告，并針對攻擊類型進行網(wǎng)絡(luò)防護。及時升級網(wǎng)絡(luò)系統(tǒng)內(nèi)核，打上補丁，關(guān)掉不必要的服務(wù)，正確地設(shè)置網(wǎng)絡(luò)配額，對于降低到基線以下情況能夠及時警報處理，建立相應(yīng)的備份和恢復(fù)機制。

（3） 無線IDS/IPS 的部署。IDS是防火墻系統(tǒng)內(nèi)的報警設(shè)備，當(dāng)有非法入侵時會響起警報，其通常被部署在網(wǎng)絡(luò)內(nèi)部，來監(jiān)控網(wǎng)絡(luò)流量；IPS類似于單位內(nèi)的警衛(wèi)人員，來防止非法人員入侵，它是主動在線部署，可實時阻止網(wǎng)絡(luò)攻擊。我們可以把這兩項技術(shù)有效結(jié)合起來，在無線網(wǎng)絡(luò)內(nèi)進行合理部署，保證系統(tǒng)的安全穩(wěn)定地運行。

通過對上述安全策略的整合，制定出一套相對安全穩(wěn)定的無線網(wǎng)絡(luò)環(huán)境，并進行各類網(wǎng)絡(luò)攻防測試，不斷完善安全策略。

4 無線網(wǎng)絡(luò)安全策略關(guān)鍵技術(shù)的實現(xiàn)

本節(jié)主要介紹本文研究制定的無線網(wǎng)絡(luò)安全策略中的兩個關(guān)鍵技術(shù)的實現(xiàn)：偽裝無線網(wǎng)絡(luò)站點攻擊防御策略和實名認證策略。

4.1 偽裝無線網(wǎng)絡(luò)站點攻擊的防御策略[9]

（1） 偽裝無線網(wǎng)絡(luò)攻擊常見的有兩種：簡化的偽裝無線網(wǎng)絡(luò)接入點攻擊和偽裝服務(wù)端驗證響應(yīng)攻擊。

簡化的偽裝無線網(wǎng)絡(luò)接入點攻擊是指：偽裝者先構(gòu)建一個無效的無線網(wǎng)絡(luò)站點，當(dāng)用戶端進入該站點范圍內(nèi)時，它會被自動分配一個無線網(wǎng)絡(luò)標(biāo)示符，用戶設(shè)備接入后是不會去驗證該站點是否有網(wǎng)絡(luò)連接能力，用戶端會放棄原有的可用網(wǎng)絡(luò)，這就形成了拒絕服務(wù)攻擊。這種攻擊策略的特點是：可以移動到任何區(qū)域?qū)嵤┕?；?gòu)建攻擊平臺方便且可以同時攻擊多個目標(biāo)；被攻擊者很難發(fā)現(xiàn)攻擊者。

偽裝服務(wù)端驗證響應(yīng)攻擊是指：攻擊者針對設(shè)置過服務(wù)驗證安全策略的無線網(wǎng)路，通過其他攻擊方式獲取驗證碼，并將用戶端的請求信息重定向到偽裝服務(wù)器上，返回驗證信息讓用戶誤認為連接的無線網(wǎng)絡(luò)站點是合法的，這樣就剝奪了用戶的網(wǎng)絡(luò)訪問權(quán)限，形成拒絕服務(wù)攻擊。

（2） 相應(yīng)的防御策略。簡化的偽裝無線網(wǎng)絡(luò)接入點攻擊可以通過各種網(wǎng)絡(luò)預(yù)警方式進行監(jiān)測，并實施阻止。通常方法是向驗證服務(wù)器發(fā)送一個請求并比較回應(yīng)驗證碼的一致性來進行監(jiān)測和防御。

針對偽裝服務(wù)端驗證響應(yīng)攻擊我們可以采用一種雙通道驗證防御策略：基于傳統(tǒng)移動聯(lián)網(wǎng)和本地?zé)o線網(wǎng)絡(luò)雙重驗證的一種模式，用戶端利用手機通過傳統(tǒng)的移動網(wǎng)絡(luò)，獲取本地?zé)o線網(wǎng)絡(luò)訪問的驗證碼，每次獲取的驗證碼是實時動態(tài)更換的，從而杜絕攻擊者對驗證碼的竊取，來保證無線網(wǎng)絡(luò)的安全。

4.2 實名認證策略的實現(xiàn)

隨著移動通訊實名制政策的實施，通過手機短信形式的第三方認證方式，可以有效地阻止不法分子的窺視，也可以在受到網(wǎng)絡(luò)攻擊時，及時鎖定入侵者的身份信息，便于事后處理。

（1） 實名認證的思路及工作原理。實名認證的基本思路是：為用戶提供一個Web認證頁面，通過HTTP和HTTP重定向技術(shù)，對需要使用外網(wǎng)的用戶進行攔截，強制轉(zhuǎn)入Web認證頁面，用戶在輸入手機號碼及短信驗證密碼后，方可訪問外網(wǎng)資源，認證后用戶無需停留在認證頁面，可自由訪問外網(wǎng)信息，為客戶端提供便捷的上網(wǎng)模式。這種認證模式的優(yōu)點是訪問內(nèi)部開放資源時，不需要認證，認證時與無線網(wǎng)絡(luò)站點處于脫離狀態(tài)，不需要特定的無線網(wǎng)絡(luò)站點，這對無線網(wǎng)絡(luò)安全起到一定的保護作用。認證的基本原理如圖1所示。

（2） 實名認證的流程[10]

a. 用戶利用移動終端搜索到圖書館的無線網(wǎng)絡(luò)站點并連接，服務(wù)器記錄記錄此客戶端的MAC地址并為其分配IP地址，租用時間可根據(jù)單位自身情況而定。

b. 用戶在終端上訪問任意外網(wǎng)網(wǎng)站，若網(wǎng)絡(luò)行為管理服務(wù)器中，未查詢到該客戶端允許訪問外網(wǎng)權(quán)限信息，則攔截這個訪問請求，并強制重定向到Web身份認證頁面，需用戶輸入正確的手機號及驗證密碼。

c. 手機獲取驗證密碼流程是：用戶輸入正確的手機號碼后點擊獲取認證碼，身份認證服務(wù)器利用短信服務(wù)商平臺，通過相應(yīng)的移動網(wǎng)絡(luò)將認證密碼發(fā)送該手機上。用戶輸入驗證碼，發(fā)送至服務(wù)器核對用戶信息，信息正確后將該客戶端信息記錄在網(wǎng)絡(luò)行為管理數(shù)據(jù)庫內(nèi)，并為其增加外網(wǎng)訪問權(quán)限，客戶端可以正常使用各類網(wǎng)絡(luò)資源。

d. 未通過身份認證的用戶將再次被重定向到Web身份認證頁面，用戶是無法訪問外網(wǎng)資源。通過認證的用戶，若外網(wǎng)租用超時或者離開無線網(wǎng)絡(luò)區(qū)域一定時間后，也將再次重定向到Web身份認證頁面。

通過上述閉環(huán)流程，使得用戶是經(jīng)過有效實名認證的，并能追溯用戶在圖書館內(nèi)的上網(wǎng)行為，滿足網(wǎng)絡(luò)安全監(jiān)管的需要。實名認證流程圖如圖2所示，最終登錄驗證頁面如圖3所示。

5 結(jié)束語

如今，無線網(wǎng)絡(luò)已成為圖書館為讀者提供服務(wù)的重要途徑，讀者對信息的安全性也越來越關(guān)注。隨著技術(shù)不斷的升級更新，新的網(wǎng)絡(luò)隱患也隨之產(chǎn)生，網(wǎng)絡(luò)安全防護將成為重點工作，如何更合理的建設(shè)、規(guī)劃、部署無線網(wǎng)絡(luò)，是未來無線網(wǎng)絡(luò)安全工作的重中之重。除了設(shè)備的軟硬件升級完善之外，還需要管理人員不斷加強安全意識，防患于未然，通過共同努力來維護好無線網(wǎng)絡(luò)的安全，為讀者提供良好的網(wǎng)絡(luò)環(huán)境。

參考文獻：

[1] 廉佳奇. WIFI無線網(wǎng)絡(luò)技術(shù)及安全問題研究[J]. 電腦知識與技術(shù)，2016，12（27）：25-26，33.

[2] 白亮亮. 淺談wifi 時代圖書館網(wǎng)絡(luò)安全[J]. 河南圖書館學(xué)刊，2016，36（5）：128-129.

[3] 熊俊. 基于WIFI 無線網(wǎng)絡(luò)信息安全研究[J]. 信息通信，2015（9）：231-232.

[4] 馬剛. 基于wifi的無線網(wǎng)絡(luò)安全方案對比分析[J]. 硅谷，2015（4）：202，205.

[5] 熊俊. 基于WIFI無線網(wǎng)絡(luò)信息安全研究[J]. 信息通信，2015（9）：231-332.

[6] 宮傳盛. 淺談無線網(wǎng)絡(luò)的安全[J]. 科技信息，2013（3）：110.

[7] 胡嘯. 校園無線網(wǎng)絡(luò)安全策略研究[J]. 電腦編程技巧與維護，2014（8）：114-116.

[8] 儲御芝，鄭寶玉. 認知無線網(wǎng)絡(luò)中基于最佳中繼選擇的協(xié)作傳輸策略[J]. 儀器儀表學(xué)報，2011，32（3）：520-526.

[9] 楊搖雄，朱宇光. 偽造接入點技術(shù)的智能手機拒絕服務(wù)攻防策略[J]. 計算機技術(shù)與發(fā)展，2013，23（10）：134-137，170.

[10] 張婧. wifi網(wǎng)絡(luò)實名認證的方法研究和實現(xiàn)[J]. 計算機工程與科學(xué)，2012，34（10）：22-27.