校园无线网络安全认证的方法浅析.docVIP

校园无线网络安全认证的方法浅析 　　摘 要 本文在分析校园无线网络安全性问题和具体要求基础上，从公钥证书认证、口令认证和预共享密钥认证三个角度，探讨了校园无线网络安全认证方法的应用。 　　关键词 校园无线网络；安全认证；方法 　　中图分类号：TP39 文献标识码：A 文章编号：1671—7597（2013）042-085-01 　　伴随我国计算机技术和无线通信技术的快速发展，以方便、快捷、成本低廉诸多优势著称的无线局域网，得到各高校的普遍应用；但由于其特殊的灵活性，对校园无线网安全提出了更高要求；要保证校园无线网络的安全性，必须从鉴别用户身份角度来保证无线局域网的安全性，即从根源上阻止非法用户进入校园无线局域网。系统的探讨校园无线网络安全认证方法问题，对提高校园无线网络的安全性具有重要意义。 　　1 校园无线网络安全性问题 　　校园无线网络安全威胁，是指由人、物、事件等校园网络资源的保密性、完整性和可用性等造成的危险。传统的校园无线网络安全威胁，其包含硬件的破坏、病毒的入侵、黑客攻击等，除传统网络安全威胁外，校园无线局域网还面临着非授权访问、大功率干扰、被窃听等威胁；包括被动攻击和主动攻击。被动攻击，是指在未经授权情况下，实体单纯地访问网络而不修改具体“内容”，可能是简单的窃听或者流量分析。主动攻击，是指在未经授权情况下，实体接入网络在访问同时并对网络中的“内容”进行修改。上述所有问题的根源皆在于校园无线网络安全认证不过关。 　　2 校园无线网络安全性具体要求 　　2.1 合法性 　　校园无线网络只允许被确认的合法用户具备服务使用权限。当前的校园无线网络专门提供了身份验证安全机制；在访问校园无线网前要声明“身份”时，认证业务要通过某种方法确定这一声明的真实性，即确定某人或某事的合法性。 　　2.2 保密性 　　数据的保密性主要是通过使用特定密码技术，对敏感信息进行必要的加密，保证校园无线网络中敏感信息不被非法破译；同时为防止发生电磁泄漏，保证合法用户信息、权益，一般都采用抑制、屏蔽等措施。保密性是校园无线网络系统安全性的最基本要求。 　　2.3 完整性 　　信息的完整性是指在存储、传输信息过程中保证信息不被非法复制、窜改或者遭到恶意破坏；如果发生数据完整性破坏，则要有能力对其进行恢复。发生完整性破坏说明受到了主动攻击，要与日志记录、系统报警功能结合起来。 　　2.4 不可否认性 　　不可否认性是指保证双方关于信息的交换行为在事后不能被否认。 　　3 校园无线网络安全认证方法分析 　　3.1 基于公钥证书的认证方法 　　3.1.1 EAP-TLS 　　EAP-TLS，传输层安全认证协议，由微软开发的一种基于证书的双向认证方法；客户端、服务器要同时拥有有效证书。建立连接时，分别为客户端、服务器之间的数据交换分配ID和动态会话密钥，并选择合适的加密方法，保证认证过程的安全性和数据的完整性。认证双方在完成TLS协商后通过加密的TLS通道交换信息。EAP-TLS基于证书来实现用户和服务器之间的认证，这就意味着用户在被认证时也对网络进行认证，从而避免伪装AP。 　　3.1.2 EAP-TTLS 　　EAP-TTLS，隧道传输层安全认证协议，由Funk公司研制，是一种允许使用用户名、密码的认证方法，与EAP协同完成认证；其建立在EAP-TLS协议基础上，属于EAP-TLS协议的扩展，其主要使用EAP-TLS建立的TLS专用通道进行数据交换。EAP-TTLS能够有效防止匿名用户接入，从而保证接入终端的一致性；EAP-TTLS与EAP-TLS相比，只要求服务器拥有证书，证书开销即可大大的减少。 　　3.1.3 PEAP 　　PEAP为受保护可扩展认证协议，由微软、思科、RSA共同提出，它通过TLS来增强EAP身份认证安全性。此方法以EAP-TLS协议为基础，利用EAP-TLS建立专用连接保护客户端、服务器之间数据交换的保密性和完整性。PEAP支持多种认证方法保护用户身份，同时支持动态密钥交换和断续重传。与EAP-TTLS相同，属于服务器单向认证。 　　3.2 基于用户口令的认证方法 　　3.2.1 EAP-MD5 　　EAP_MD5，通过RADIUS服务器提供集中式用户认证，服务器不需要证书，只检查用户名、口令的正确性，匹配则允许用户接入，不匹配则拒绝接入。EAP-MD5是一种典型的一次性握手散列函数，常与802.11安全协议WEP/WEP2组合使用，保护无线网络的安全性。 　　3.2.2 LEAP 　　LEAP，轻量级扩展认证协议，由思科公司提出，其基于802.1X协议产生的一种扩展认证方法，采用双向认证和密钥集中管理方式，并对WEP加密，属于集中认证方式。并且可以强制重新认证超时的W