智慧校園WLAN網(wǎng)絡(luò)的安全性研究

王熙棠

摘要：該文以賀州學(xué)院WLAN網(wǎng)絡(luò)為例，詳細(xì)論述了智慧校園WLAN網(wǎng)絡(luò)的安全性。隨著無線技術(shù)的發(fā)展及校園移動(dòng)終端數(shù)量的迅猛增長，無線校園網(wǎng)建設(shè)成為學(xué)院信息化發(fā)展的必然趨勢。十三五規(guī)劃開局之年，拉開了校園教育信息化建設(shè)的序幕，各大高校充分利用現(xiàn)有條件及成熟的技術(shù)，建設(shè)屬于自己的高速、穩(wěn)定、可靠、可運(yùn)營、可管理的WLAN網(wǎng)絡(luò)。WLAN網(wǎng)絡(luò)安全性的缺陷，會(huì)對(duì)智慧校園的推廣及應(yīng)用帶來諸多麻煩，因此，其安全問題也越來越受到重視。只有無線網(wǎng)絡(luò)的安全得到了保障，WLAN網(wǎng)絡(luò)才能更好地助力于智慧校園建設(shè)，才能更好地服務(wù)于師生。

關(guān)鍵詞：WLAN網(wǎng)絡(luò)；無感知認(rèn)證；安全性

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）03-0032-02

1 智慧校園WLAN網(wǎng)絡(luò)的安全技術(shù)

WLAN網(wǎng)絡(luò)雖然容易受到黑客攻擊和竊聽。但是，使用正確的安全措施，WLAN還是安全的。無線網(wǎng)絡(luò)的安全性通過認(rèn)證和加密來實(shí)現(xiàn)。認(rèn)證允許只有被許可的用戶才能連接到無線網(wǎng)絡(luò)；而加密的目的是提供數(shù)據(jù)的保密性和完整性。WLAN安全性主要包括訪問控制和加密兩大部分，訪問控制保證只有授權(quán)用戶能訪問敏感數(shù)據(jù)，加密保證只有正確的接收方才能讀取數(shù)據(jù)。

1.1 IEEE 802.11i無線安全協(xié)議

IEEE 802.11i是802.11工作組為新一代WLAN制定的安全標(biāo)準(zhǔn)，于2014年制定修正完成，802.11安全加密功能脆弱的問題得以解決。主要加密技術(shù)包括：TKIP、AES以及認(rèn)證協(xié)議IEEE802.1x。認(rèn)證方面，IEEE 802.11i基于802.1x接入控制實(shí)現(xiàn)WLAN網(wǎng)絡(luò)的秘鑰管理和認(rèn)證，創(chuàng)建、更新加密秘鑰皆在EAP-Key的四向握手過程和組密鑰握手過程中完成。

1.2 802.1x驗(yàn)證

802.1x協(xié)議規(guī)定要實(shí)現(xiàn)信息交互的前提條件就是完成認(rèn)證，在驗(yàn)證之前，AC和移動(dòng)終端只能通過EAP幀交換認(rèn)證信息。當(dāng)前市場上大部分移動(dòng)終端都支持基于802.1x的EAP驗(yàn)證，用戶輸入自己的賬號(hào)密碼就可以自動(dòng)完成認(rèn)證，這種方式稱為EAP-PEAP，即Protected-EAP（受保護(hù)的可擴(kuò)展的身份驗(yàn)證協(xié)議）。PEAP被定義為框架協(xié)議，由微軟提出的PEAP-MSCHAPV2協(xié)議得到業(yè)界認(rèn)可并廣為使用，即我們?cè)趇phone終端上看到的WPA/WPA2企業(yè)級(jí)認(rèn)證方式。

PEAP是可擴(kuò)展的身份認(rèn)證協(xié)議，認(rèn)證過程包括兩個(gè)階段，第一階段Radius服務(wù)器與終端之間建立TLS隧道，TLS隧道對(duì)第二階段用戶信息的交互起到保護(hù)作用；第二階段完成用戶身份的認(rèn)證及認(rèn)證方式的協(xié)商。常見的PAEP認(rèn)證方式有兩種：PEAP-MSCHAPV2、PEAP-GTC。從技術(shù)層面而言，PEAP-MSCHAPV2技術(shù)將用戶的認(rèn)證信息在PEAP保護(hù)下傳輸，黑客無法解密和竊取用戶密碼，市場上大部分的移動(dòng)終端都支持該無線認(rèn)證協(xié)議，因此PEAP-MSCHAPV2認(rèn)證方式成為絕大多數(shù)無線項(xiàng)目中安全驗(yàn)證方式的首要選擇。

2 智慧校園WLAN無感知認(rèn)證方式

校園基礎(chǔ)網(wǎng)絡(luò)配置部署完成后，就可以在AC控制器上配置802.1x認(rèn)證，無線部署模式采用集中轉(zhuǎn)發(fā)模式，用戶網(wǎng)關(guān)位于核心交換機(jī)，無線控制器做二層，無線WEB認(rèn)證由N18K承擔(dān)，無線802.1x認(rèn)證由無線控制器承擔(dān)。學(xué)校師生就可實(shí)現(xiàn)無感知認(rèn)證上網(wǎng)。

2.1 基礎(chǔ)配置

auth-mode gateway //開啟N18K網(wǎng)關(guān)認(rèn)證模式

snmp-server if-index persist //開啟配置接口索引唯一性

aaa authorization ip-auth-mode mixed //開啟 AAAIP授權(quán)

snmp-server host 10.0.2.1 traps version 2c hzxy123 //配置SNMP團(tuán)體字及SNMPTrap

snmp-server host 10.0.1.1 informs version 2c hzxy123 web-auth

snmp-server host 10.0.1.2 informs version 2c hzxy123 web-auth

snmp-server enable traps

snmp-server community hzxy123 rw

aaa new-model //開啟AAA與記賬更新

aaa accounting update //認(rèn)證與記賬方法列表

aaa accounting network default start-stop group radius

no aaa log enable

2.2 有線802.1x認(rèn)證設(shè)備配置

aaa authentication dot1x default group radius //認(rèn)證與記賬方法列表

ip radius source-interface Loopback 0 //Radius服務(wù)器配置

radius-server host 10.0.2.1 key hzxy123

radius-server key hzxy123

其他802.1x認(rèn)證選項(xiàng)

dot1x eapol-tag

dot1x valid-ip-acct enable

開啟802.1x認(rèn)證跳轉(zhuǎn)，使未認(rèn)證的用戶跳轉(zhuǎn)到客戶端下載頁面

dot1x redirect

web-auth template eportalv1

ip 10.0.1.2

url http：//10.0.1.2：9000

接口配置

interface GigabitEthernet 1/1

dot1x port-control auto

web-auth enable eportalv1

2.3 無線Web認(rèn)證

aaa authentication web-auth default group radius //配置Web認(rèn)證方法列表

web-auth template eportalv2 //配置二代Web認(rèn)證模板

ip 10.0.1.1

url http：//10.0.1.1：8080/zportal/login

authentication default

accounting default

web-auth portal key hzxy123 //配置Web認(rèn)證Key

interface AggregatePort 255 //接口啟用web認(rèn)證

web-auth enable eportalv2 //接口使能

web-auth apply-mapping ssid //調(diào)用vlan-ssid映射列表

2.4 無線802.1x認(rèn)證配置

aaa new-model //無線802.1x認(rèn)證需要在無線控制器上開啟。

aaa accounting update //認(rèn)證方法配置，記賬方法配置

aaa accounting network default start-stop group radius

aaa authentication dot1x default group radius

no aaa log enable

ip radius source-interface Loopback 0 //radius服務(wù)器配置，認(rèn)證接口配置

no radius-server account update retransmit

radius-server host 10.0.2.1 key 7 0819351b173325401a5c77

radius-server key 7 131f0844083532797c5413

dot1x eapol-tag //其他認(rèn)證選項(xiàng)

dot1x redirect

dot1x valid-ip-acct enable

wlansec 34 //在針對(duì)特定的wlan-config開啟802.1x認(rèn)證

security rsn enable

security rsn ciphers aes enable

security rsnakm 802.1x enable

基于802.1x無感知認(rèn)證既給我們提供了無線網(wǎng)絡(luò)的快速接入又保障了網(wǎng)絡(luò)的安全。師生根據(jù)自己的賬號(hào)密碼完成首次認(rèn)證信息配置，在后續(xù)使用過程中，只要師生在校園WLAN信號(hào)覆蓋范圍內(nèi)，都可自動(dòng)完成身份認(rèn)證，提高了師生WLAN網(wǎng)絡(luò)的體驗(yàn)，得到諸多好評(píng)。

3 存在問題

雖然目前校園WLAN網(wǎng)絡(luò)采用了當(dāng)前主流的WPA-PSK/WPA2-PSK加密方式，TKIP與AES子算法由于自身問題，WPA加密方式還是會(huì)面臨被破解的危險(xiǎn)，也無法完全保障WLAN網(wǎng)絡(luò)的安全。

目前校園WLAN網(wǎng)絡(luò)還存在以下幾個(gè)問題：

1） 盡可能縮短對(duì)AP站點(diǎn)審查的周期。和有線網(wǎng)絡(luò)一樣，WLAN網(wǎng)絡(luò)也應(yīng)在安全管理方面嚴(yán)格要求。

2） 師生上網(wǎng)賬號(hào)存在較多借用、共用現(xiàn)象，因此必須加強(qiáng)師生對(duì)賬號(hào)安全的認(rèn)識(shí)，一旦合法賬號(hào)外泄到非法用戶手上并通過安全認(rèn)證，這無疑會(huì)對(duì)校園WLAN網(wǎng)絡(luò)產(chǎn)生巨大的威脅。

3） 盡快部署WLAN入侵防御系統(tǒng)：一套輕部署、強(qiáng)安全、易管理的新一代WLAN網(wǎng)絡(luò)安全防御系統(tǒng)，是校園網(wǎng)絡(luò)安全不可缺少的部分。同時(shí)，它還能提供快捷、直觀、全面的管理方式，在2.4GHz、5.8GHz兩種頻段的多個(gè)頻道上，同時(shí)監(jiān)聽并阻止多種無線安全威脅事件發(fā)生，協(xié)助校園網(wǎng)絡(luò)管理員更好地了解WLAN網(wǎng)絡(luò)的狀況。

4） 盡快實(shí)施上網(wǎng)實(shí)名驗(yàn)證制度和建立完善的安全管理制度并分發(fā)至師生。當(dāng)您需要在熱點(diǎn)區(qū)域使用無線網(wǎng)絡(luò)時(shí)，您需要能夠您所在網(wǎng)絡(luò)的安全程度，如果認(rèn)定網(wǎng)絡(luò)不夠安全，那么請(qǐng)盡量不要在此網(wǎng)絡(luò)中提交或透露敏感信息，并盡量縮短在線的時(shí)間。

4 結(jié)束語

教育產(chǎn)業(yè)的信息化是國家信息化發(fā)展的重要價(jià)值體現(xiàn)，當(dāng)今互聯(lián)網(wǎng)時(shí)代，大數(shù)據(jù)學(xué)習(xí)分析、教育云、移動(dòng)教育等應(yīng)用是大勢所趨。敏捷Wi-Fi解決方案將帶來快速搭建、低故障率、無覆蓋盲區(qū)的智慧校園，隨著無線局域網(wǎng)應(yīng)用領(lǐng)域的不斷拓展，安全問題越來越受到重視。只有加強(qiáng)人為安全方面的控制技術(shù)的改進(jìn)，才可更好增強(qiáng)WIFI安全性。

參考文獻(xiàn)：

[1] 薛明，張載龍，孫雁飛.基于WLAN的無線校園網(wǎng)及其安全問題研究[J].江蘇通信，2009，25（02）：46-49.

[2] 徐明明，唐震洲.基于802.11n標(biāo)準(zhǔn)的校園無線網(wǎng)的規(guī)劃與設(shè)計(jì)[J].電子設(shè)計(jì)工程，2011，19（11）：31-33+36.

[3] 唐旭，陳蓓.基于WLAN的網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的應(yīng)用研究[J].中國職業(yè)技術(shù)教育，2013（17）：80-82.

[4] 章瑋.無線校園網(wǎng)的安全架構(gòu)研究與設(shè)計(jì)[D].云南大學(xué)，2014.

[5] 成鋮.基于校園WLAN的無線局域網(wǎng)安全防范技術(shù)研究[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2014，27（12）：28-31.