校园无线网安全策略研究

摘要：随着高校信息化建设水平的不断提高，无线网络逐渐成为校园网解决方案的一个重要组成部分。该文对校园无线网接入进行研究，并对校园无线网络的安全进行了分析，最后给出了一种适合校园网无线网络的安全解决方案。

关键词：无线网络；安全；Portal认证；802.1x

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)35-2103-01

Campus Wireless Network Security Strategy

LI Qiang

(Network Management Center of North University for Ethics,Yinchuan 750021,China)

Abstract: With the information-based colleges and universities continue to raise the level of the building,the wireless network is becoming the campus network solution is an important component.In this paper,the campus wireless network access for research,and campus wireless network security analysis,the final paper,a campus network for wireless network security solutions.

Key words: wireless network;security;portal certificate;802.1 x

1 引言

在过去的很多年，计算机组网的传输媒介主要依赖铜缆或光缆，构成有线局域网。但有线网络在实施过程中工程量大，破坏性强，网中的各节点移动性不强。为了解决这些问题，无线网络作为有线网络的补充和扩展，逐渐得到的普及和发展。

在校园内，教师与学生的流动性很强，很容易在一些地方人员聚集，形成“公共场所”。而且随着笔记本电脑的普及和Intemet接入需求的增长，无论是教师还是学生都迫切要求在这些场所上网并进行网上教学互动活动。移动性与频繁交替性，使有线网络无法灵活满足他们对网络的需求，造成网络互联和Intemet接入瓶颈。

将无线网络的技术引入校园网，在某些场所，如网络教室，会议室，报告厅、图书馆等区域，可以率先覆盖无线网络，让用户能真正做到无线漫游，给工作和生活带来巨大的便利。随后，慢慢把无线的覆盖范围扩大，最后做到全校无线的覆盖。

2 校园网无线网络安全现状

在无线网络技术成熟的今天，无线网络解决方案能够很好满足校园网的种种特殊的要求，并且拥有传统网络所不能比拟的易扩容性和自由移动性，它已经逐渐成为一种潮流，成为众多校园网解决方案的重要选择之一。随着校园网无线网络的建成，在学校的教室、办公室、会议室、甚至是校园草坪上，都有不少的教师和学生手持笔记本电脑通过无线上网，这都源于无线局域网拓展了现有的有线网络的覆盖范围，使随时随地的网络接入成为可能。但在使用无线网络的同时，无线接入的安全性也面临的严峻的考验。目前无线网络提供的比较常用的安全机制有如下三种：① 基于MAC地址的认证。基于 MAC地址的认证就是MAC地址过滤，每一个无线接入点可以使用 MAC地址列表来限制网络中的用户访问。实施 MAC地址访问控制后，如果MAC列表中包含某个用户的MAC地址，则这个用户可以访问网络，否则如果列表中不包含某个用户的MAC地址，则该用户不能访问网络。② 共享密钥认证。共享密钥认证方法要求在无线设备和接入点上都使用有线对等保密算法。如果用户有正确的共享密钥，那么就授予该用户对无线网络的访问权。③ 802.1x认证。802．1x协议称为基于端口的访问控制协议，它是个二层协议，需要通过 802.1x客户端软件发起请求，通过认证后打开逻辑端口，然后发起 DHCP请求获得IP以及获得对网络的访问。

可以说 ，校园网的不少无线接入点都没有很好地考虑无线接入的安全问题，就连最基本的安全，如基于MAC地址的认证或共享密钥认证也没有设置，更不用说像 802.1 x这样相对来说比较难设置的认证方法了。如果我们提着笔记本电脑在某个校园内走动，会搜索到很多无线接入点，这些接入点几乎没有任何的安全防范措施，可以非常方便地接入。试想，如果让不明身份的人进入无线网络，进而进入校园网，就会对我们的校园网络构成威胁。

3 校园网无线网络安全解决方案

校园网内无线网络建成后，怎样才能有效地保障无线网络的安全?前面提到的基于 MAC地址的认证存在两个问题，一是数据管理的问题，要维护 MAC数据库，二是 MAC可嗅探，也可修改；如果采用共享密钥认证，攻击者可以轻易地搞到共享认证密钥；802.1x定义了三种身份：申请者(用户无线终端)、认证者(AP)和认证服务器。整个认证的过程发生在申请者与认证服务器之间，认证者只起到了桥接的作用。申请者向认证服务器表明自己的身份，然后认证服务器对申请者进行认证，认证通过后将通信所需要的密钥加密再发给申请者。申请者用这个密钥就可以与AP进行通信。

虽然 802.1x仍旧存在一定的缺陷，但较共享密钥认证方式已经有了很大的改善，IEEE 802.11i和 WAPI都参考了802.1x的机制。802.1x选用EAP来提供请求方和认证服务器两者之间的认证服务。最常用的EAP认证方法有EAP－MD5、EAP－TLS和PEAP等。Microsoft为多种使用802.1x的身份验证协议提供了本地支持。在大多数情况下，选择无线客户端身份验证的依据是基于密码凭据验证，或基于证书验证。建议在执行基于证书的客户端身份验证时使用EAP-TLS；在执行基于密码的客户端身份验证时使用EAP-Microsoft质询握手身份验证协议版本2(MSCHAPv2)，该协议在PEAP(Protected Extensible Authentication Protoco1)协议中，也称作PEAP－EAP－MSCHAPv2。

考虑到校园群体的特殊性，为了保障校园无线网络的安全，可对不同的群体采取不同的认证方法。在校园网内，主要分成两类不同的用户，一类是校内用户，一类是来访用户。校内用户主要是学校的师生。由于工作和学习的需要，他们要求能够随时接入无线网络，访问校园网内资源以及访问Internet。这些用户的数据，如工资、科研成果 、研究资料和论文等的安全性要求比较高。对于此类用户，可使用 802.1x认证方式对用户进行认证。来访用户主要是来校参观、培训或进行学术交流的一些用户。这类用户对网络安全的需求不是特别高，对他们来说最重要的就是能够非常方便而且快速地接入Intemet，以浏览相关网站和收发邮件等。针对这类用户，可采用DHCP+强制Portal认证的方式接入校园无线网络。

如图所示，开机后，来访用户先通过DHCP服务器获得IP地址。当来访用户打开浏览器访问Intemet网站时，强制Porta控制单元首先将用户访问的Intemet定向到Portal服务器中定制的网站，用户只能访问该网站中提供的服务，无法访问校园网内部的其他受限资源，比如学校公共数据库、图书馆期刊全文数据库等。如果要访问校园网以外的资源，必须通过强制Portal认证．认证通过就可以访问Intemet。对于校内用户，先由无线用户终端发起认证请求，没通过认证之前，不能访问任何地方，并且不能获得IP地址。可通过数字证书(需要设立证书服务器)实现双向认证，既可以防止非法用户使用网络，也可以防止用户连入非法AP。双向认证通过后，无线用户终端从DHCP服务器获得IP地址。无线用户终端获得IP地址后，就可以利用双方约定的密钥，运用所协商的加密算法进行通信，并且可以重新生成新的密钥，这样就很好地保证了数据的安全传输。

使用强制 Portal+802.1x这两种认证方式相结合的方法能有效地解决校园网无线网络的安全，具有一定的现实意义。来访用户所关心的是方便和快捷，对安全性的要求不高。强制 Portal认证方式在用户端不需要安装额外的客户端软件，用户直接使用Web浏览器认证后即可上网。采用此种方式，对来访用户来说简单、方便、快速，但安全性比较差。虽然用户名和密码可以通过 SSL加密，但传输的数据没有任何加密，任何人都可以监听。当然，必须通过相应的权限来限制和隔离此类用户，确保来访用户无法访问校园网内部资料，从而保证校园网络的高安全性。校内用户所关心的主要是其信息的安全，安全性要求比较高。802.1x认证方式安装设置比较麻烦，设置步骤也比较多，且要有专门的802.1x客户端，但拥有极好的安全性，因此针对校内用户可使用802.1x认证方式，以保障传输数据的安全。

4 结束语

校园网各区域分别覆盖无线局域网络以后，用户只需简单的设置就可以连接到校园网，从而实现上网功能。特别是随着迅驰技术的发展，将进一步促进校园网内无线网络的建设。 现在，不少高校都已经实现了整个校园的无线覆盖。但在建设无线网络的同时，由于对无线网络的安全不够重视，对校园网无线网络的安全考虑不够。在这点上，学校信息化办公室和网管中心应该牵头，做好无线网络的安全管理工作，并完成全校无线网络的统一身份验证，做到无线网络与现有有线网络的无缝对接，确保无线网络的高安全性。

参考文献：

[1] 杨峰,张浩军.无线局域网安全协议的研究和实现[J].计算机应用,2005,25(1):2.

[2] 黄劲荣.无线局域网在校园网的应用[J].教育信息化,2005(15):1.