无线局域网安全技术在校园网上应用.docVIP

无线局域网安全技术在校园网上应用摘要：随着无线技术不断的成熟和应用的普及，无线网络凭借其为用户提供的灵活性、便利性等优势，成为现代校园中应用的主流是大势所需，但是无线网络的安全性问题还没有得到很好的解决，仍是现阶段的难题。本文通过对无线网络的安全隐患分析，结合现有的无线局域网安全技术，提出了在校园无线网络中的多安全防御策略。 关键词：无线；局域网；校园网；安全技术 中图分类号：TP393文献标识码：A文章编号：1007-9599 (2012) 05-0000-02 一、引言 无线局域网（WLAN）相对有线网络具有其独特的优势，避免了有线网络比较繁琐的布线施工过程，节约了施工费用，安装比较便捷，同时可以根据实际使用情况进行扩展。无线网络已逐步在校园网络普及，逐渐成为校园网络建设的重点。无线网络给我们带来便捷的同时，也带来了网络安全隐患，无线网络的信道开放的特点，使得网络数据容易被攻击者窃听、修改或转发。无线网络的安全隐患阻碍了其发展。校园用户大多喜欢尝试新的事物，虽然一方面对无线校园网的需求不断增长，但同时也让许多潜在的用户对不能够得到可靠的安全保护而对最终是否使用无线局域网犹豫不决。 二、无线局域网的安全威胁 利用WLAN进行通信，要求其必须具有较高的通信保密能力。现有的WLAN产品的安全问题主要表现在以下方面： （一）未经授权使用网络服务 由于WLAN的开放式访问方式特点，未经授权也可以使用网络资源。占用无线通道，增加了带宽费用，合法用户的服务质量遭到影响，而且非法用户滥用无线网络资源，使得合法的无线校园网的用户无法正常使用。 同时，非法用户私自架设无线AP，诱使用户接入不安全的无线AP上。接入非法AP轻则会导致客户无法访问网络资源，重则会导致用户的重要数据被窃取。 （二）地址欺骗和会话拦截 现在许多网卡都支持MAC地址重新配置，非法用户可以通过将自己所用网络设备的MAC地址改为合法用户MAC地址的方法，使用MAC地址“欺骗”，成功通过交换机的检查，进而非法访问网络资源。非法用户利用无线网路的特点监听合法站点的MAC地址，并对合法的MAC地址进行恶意攻击。 另外，由于IEEE802.11没有对AP身份进行认证，攻击者很容易装扮成合法AP进入网络，并进一步获取合法用户的鉴别身份信息，通过会话拦截实现网络入侵。 （三）高级入侵 一旦攻击者侵入无线网络，它将成为进一步入侵其他系统的起点。多数学校部署的WLAN都在防火墙之后，这样WLAN的安全隐患就会成为整个安全系统的漏洞，只要攻破无线网络，整个网络就将暴露在非法用户面前。 三、无线局域网安全技术 目前有很多种无线局域网的安全技术，有物理地址（MAC）过滤、服务集标识符（SSID）匹配、有线对等保密（WEP）、端口访问控制技术（IEEE802.1x）、IEEE 802.11i等。下面对在无线局域网中常用的安全技术进行简介。 （一）物理地址（MAC）过滤 每个无线客户端的无线网卡都有一个唯一的物理地址（MAC），可以在无线接入点（AP）中规定一组允许访问的MAC地址，以实现物理地址过滤，防止非法用户的侵入无线网络。这便要求AP中的MAC地址列表必需随时更新，但物理地址过滤属于硬件认证，而不是用户认证，而且MAC过滤技术的可扩展性比较差，MAC地址在理论上还可以伪造，因此这也是较低级别的授权认证，也只适合于小型网络规模。 （二）服务集标识符（SSID）匹配 服务集标识符（SSID）是赋予一个独特名称给WLAN的一组32位字符。在WLAN中的所有的无线设备为了彼此通信必须使用相同的SSID，这样才能访问AP。通过SSID设置，可以对用户进行有效分组，保证网路的安全和性能。对AP设置不同的SSID，无线工作站必须出示正确的SSID才能访问AP，这样就可以允许不同的用户群组接入，并且通过设置隐藏接入点及SSID的权限控制来达到保密的目的。 （三）有线对等保密（WEP） 有线对等保密（Wired Equivalent Privacy，WEP）是一种数据加密算法，用于提供等同于有线局域网的保护能力。使用了该技术的无线局域网，所有客户端与无线接入点的数据都会以一个共享的密钥进行加密，密钥的长度有40位至256位两种，密钥越长，黑客就需要更多的时间去进行破解，因此能够提供更好的安全保护。 （四）端口访问控制技术（IEEE802.1x）和可扩展认证协议（EAP） IEEE802.1x是基于端口的网络访问控制标准，它能提供一种对连接到局域网的用户进行认证和授权的手段，达到接受合法用户接入，保护网络安全的目的。基于IEEE802.1x的认证，又称EAPOE认证，因