学校无线网安全策略研究 免费.docVIP

学校无线网安全策略研究 1 引言　　　　在过去的很多年，计算机组网的传输媒介主要依赖铜缆或光缆，构成有线局域网。但有线网络在实施过程中工程量大，破坏性强，网中的各节点移动性不强。为了解决这些问题，无线网络作为有线网络的补充和扩展，逐渐得到的普及和发展。　　在校园内，教师与学生的流动性很强，很容易在一些地方人员聚集，形成“公共场所”。而且随着笔记本电脑的普及和Intemet接入需求的增长，无论是教师还是学生都迫切要求在这些场所上网并进行网上教学互动活动。移动性与频繁交替性，使有线网络无法灵活满足他们对网络的需求，造成网络互联和Intemet接入瓶颈。　　将无线网络的技术引入校园网，在某些场所，如网络教室，会议室，报告厅、图书馆等区域，可以率先覆盖无线网络，让用户能真正做到无线漫游，给工作和生活带来巨大的便利。随后，慢慢把无线的覆盖范围扩大，最后做到全校无线的覆盖。　　　　2 校园网无线网络安全现状　　　　在无线网络技术成熟的今天，无线网络解决方案能够很好满足校园网的种种特殊的要求，并且拥有传统网络所不能比拟的易扩容性和自由移动性，它已经逐渐成为一种潮流，成为众多校园网解决方案的重要选择之一。随着校园网无线网络的建成，在学校的教室、办公室、会议室、甚至是校园草坪上，都有不少的教师和学生手持笔记本电脑通过无线上网，这都源于无线局域网拓展了现有的有线网络的覆盖范围，使随时随地的网络接入成为可能。但在使用无线网络的同时，无线接入的安全性也面临的严峻的考验。目前无线网络提供的比较常用的安全机制有如下三种：① 基于MAC地址的认证。基于 MAC地址的认证就是MAC地址过滤，每一个无线接入点可以使用 MAC地址列表来限制网络中的用户访问。实施 MAC地址访问控制后，如果MAC列表中包含某个用户的MAC地址，则这个用户可以访问网络，否则如果列表中不包含某个用户的MAC地址，则该用户不能访问网络。② 共享密钥认证。共享密钥认证方法要求在无线设备和接入点上都使用有线对等保密算法。如果用户有正确的共享密钥，那么就授予该用户对无线网络的访问权。③ 802.1x认证。802．1x协议称为基于端口的访问控制协议，它是个二层协议，需要通过 802.1x客户端软件发起请求，通过认证后打开逻辑端口，然后发起 DHCP请求获得IP以及获得对网络的访问。　　可以说 ，校园网的不少无线接入点都没有很好地考虑无线接入的安全问题，就连最基本的安全，如基于MAC地址的认证或共享密钥认证也没有设置，更不用说像 802.1 x这样相对来说比较难设置的认证方法了。如果我们提着笔记本电脑在某个校园内走动，会搜索到很多无线接入点，这些接入点几乎没有任何的安全防范措施，可以非常方便地接入。试想，如果让不明身份的人进入无线网络，进而进入校园网，就会对我们的校园网络构成威胁。　　3 校园网无线网络安全解决方案　　　　校园网内无线网络建成后，怎样才能有效地保障无线网络的安全?前面提到的基于 MAC地址的认证存在两个问题，一是数据管理的问题，要维护 MAC数据库，二是 MAC可嗅探，也可修改；如果采用共享密钥认证，攻击者可以轻易地搞到共享认证密钥；802.1x定义了三种身份：申请者(用户无线终端)、认证者(AP)和认证服务器。整个认证的过程发生在申请者与认证服务器之间，认证者只起到了桥接的作用。申请者向认证服务器表明自己的身份，然后认证服务器对申请者进行认证，认证通过后将通信所需要的密钥加密再发给申请者。申请者用这个密钥就可以与AP进行通信。　　虽然 802.1x仍旧存在一定的缺陷，但较共享密钥认证方式已经有了很大的改善，IEEE 802.11i和 WAPI都参考了802.1x的机制。802.1x选用EAP来提供请求方和认证服务器两者之间的认证服务。最常用的EAP认证方法有EAP－MD5、EAP－TLS和PEAP等。Microsoft为多种使用802.1x的身份验证协议提供了本地支持。在大多数情况下，选择无线客户端身份验证的依据是基于密码凭据验证，或基于证书验证。建议在执行基于证书的客户端身份验证时使用EAP-TLS；在执行基于密码的客户端身份验证时使用EAP-Microsoft质询握手身份验证协议版本2(MSCHAPv2)，该协议在PEAP(Protected Extensible Authentication Protoco1)协议中，也称作PEAP－EAP－MSCHAPv2。 考虑到校园群体的特殊性，为了保障校园无线网络的安全，可对不同的群体采取不同的认证方法。在校园网内，主要分成两类不同的用户，一类是校内用户，一类是来访用户。校内用户主要是学校的师生。由于工作和学习的需要，他们要求能够随时接入无线网络，访问校园网内资源以及访问Internet。这些用户的数