校園無線網(wǎng)絡(luò)安全管理的研究

趙一澤

摘要：在全球信息一體化浪潮的持續(xù)推動下，建設(shè)數(shù)字化校園熱潮從未消退，目前，全國大部分高校的有線網(wǎng)絡(luò)構(gòu)建已基本完成，并在不斷完善中。在校園網(wǎng)絡(luò)基礎(chǔ)的進(jìn)一步拓展升級中，無線網(wǎng)絡(luò)技術(shù)以其方便快捷優(yōu)勢，更受廣大師生的青睞，從而成為人們翹首以盼的校園新寵。

關(guān)鍵詞：無線網(wǎng)絡(luò)；安全管理

一、引言

隨著國內(nèi)校園信息化建設(shè)的深入和發(fā)展，校園網(wǎng)已經(jīng)成為校園信息化建設(shè)的基礎(chǔ)?，F(xiàn)今的校園網(wǎng)不僅應(yīng)具有更高的帶寬、更強(qiáng)大的性能以及保證校園網(wǎng)無中斷運行的高可靠性，還必需能對不同數(shù)據(jù)流進(jìn)行合理有效的管理，以便有效和充分的利用網(wǎng)絡(luò)傳輸帶寬。同時，伴隨著校園網(wǎng)絡(luò)應(yīng)用的深入，現(xiàn)代校園網(wǎng)還必須要有一整套從用戶接入控制、病毒報文識別到主動抑制的一系列安全控制手段，才能更有效地阻擊病毒和黑客的攻擊，有效的保證校園網(wǎng)穩(wěn)定運行。為了應(yīng)對網(wǎng)絡(luò)規(guī)模日益擴(kuò)大所帶來的維護(hù)工作更加復(fù)雜的需要，現(xiàn)代校園網(wǎng)絡(luò)還應(yīng)具備更智能的網(wǎng)絡(luò)管理解決方案，將網(wǎng)絡(luò)管理人員從繁重的工作中解脫出來。因此，可以說今日的校園網(wǎng)建設(shè)有著比傳統(tǒng)校園網(wǎng)建設(shè)更高的要求，采用整體的網(wǎng)絡(luò)解決方案構(gòu)建一個安全可靠、性能卓越、易于管理的校園網(wǎng)絡(luò)也就成為必然。

二、校園無線網(wǎng)絡(luò)的需求分析

校園網(wǎng)作為校園信息化建設(shè)的基礎(chǔ)平臺，從功能、性能、可靠性及安全性等，以及具體的應(yīng)用和環(huán)境應(yīng)當(dāng)滿足以下的需求：

（一）校園網(wǎng)絡(luò)體系的安全需求

隨著校園內(nèi)各種管理和辦公等應(yīng)用在校園網(wǎng)絡(luò)平臺上運行，對校園網(wǎng)絡(luò)的安全攻擊事件也不停的出現(xiàn)。消除校園網(wǎng)絡(luò)安全隱患，已成為校園網(wǎng)絡(luò)設(shè)計必須要考慮的重點。在校園網(wǎng)絡(luò)的出口布置防火墻設(shè)備，通過對核心層交換機(jī)采用交換網(wǎng)集群技術(shù)，支持多種主控備份方案，集群系統(tǒng)中只要保證任意一個主控板的正常運行，校園業(yè)務(wù)即可穩(wěn)定運行；其次，匯聚層和接入層交換機(jī)分別通過集群+堆疊的無環(huán)網(wǎng)絡(luò)方案保障網(wǎng)絡(luò)可靠穩(wěn)定運行。

（二）校園無線網(wǎng)絡(luò)覆蓋需求

校園無線網(wǎng)絡(luò)的覆蓋是校園信息化發(fā)展的一個必然趨勢。校園無線網(wǎng)絡(luò)的建設(shè)，需要在指定的樓宇內(nèi)布置無線網(wǎng)絡(luò)，根據(jù)嚴(yán)格無線信號、頻率的規(guī)劃和設(shè)計，保證學(xué)校的各個場景中都得到充分、穩(wěn)定的無線信號。校內(nèi)用戶可以在校園內(nèi)無線信號覆蓋的范圍內(nèi)都能可以隨時隨地地接入無線網(wǎng)絡(luò)。

（三）校園網(wǎng)絡(luò)管理需求

校園網(wǎng)絡(luò)體系中必須布置一個統(tǒng)一化、標(biāo)準(zhǔn)化的網(wǎng)絡(luò)管理平臺。對校園網(wǎng)絡(luò)進(jìn)行無差別的集中管理，實現(xiàn)對校園網(wǎng)絡(luò)故障的快速定位，以及故障原因的精準(zhǔn)分析。校園網(wǎng)絡(luò)管理系統(tǒng)可以通過直觀的數(shù)據(jù)和圖形化的信息，分析校園網(wǎng)絡(luò)體系，并且兼容大多數(shù)常用的網(wǎng)絡(luò)設(shè)備，實現(xiàn)校園網(wǎng)絡(luò)無縫化不間斷的網(wǎng)絡(luò)管理需求。

三、校園無線網(wǎng)絡(luò)的應(yīng)用優(yōu)勢

（一）以最小化成本實現(xiàn)網(wǎng)絡(luò)接入最大化

相比起升級已有的有線網(wǎng)絡(luò)，構(gòu)架新的無線網(wǎng)絡(luò)，無疑是最能夠節(jié)省教育經(jīng)費的。首先，無線網(wǎng)絡(luò)的架構(gòu)無疑是免去或減少了網(wǎng)絡(luò)布線的工作量，在無線網(wǎng)絡(luò)的架構(gòu)中，一般只要安裝一個或多個接入點AccessPoint（簡稱AP）設(shè)備，就可建立覆蓋整個建筑或地區(qū)的局域網(wǎng)絡(luò)。其次，無線組網(wǎng)則無需這種超前投資，也無須承擔(dān)較大投資風(fēng)險，只需按照當(dāng)前需要進(jìn)行即時建設(shè)，其建設(shè)后的擴(kuò)建簡易也十分方便。最后，無線網(wǎng)絡(luò)提供多種架構(gòu)組合方式，能夠根據(jù)不同用戶的不同需要，靈活選擇，隨意搭配。從只有區(qū)區(qū)幾個用戶的小型網(wǎng)絡(luò)到動輒上千用戶的大型網(wǎng)絡(luò)的拓展升級，在無線網(wǎng)絡(luò)架構(gòu)范圍內(nèi)都是較為簡易的事情。

（二）突破地點限制連接“信息孤島”

信息孤島亦稱孤島式信息系統(tǒng)或者煙囪式信息系統(tǒng)，指的是一種小能與其他相關(guān)信息系統(tǒng)之間進(jìn)行互操作或者協(xié)調(diào)工作的信息問題。構(gòu)建校園網(wǎng)，首要應(yīng)解決的是重要信息中心之間的聯(lián)網(wǎng)，一般在主要信息中心如圖書館中，采用的是光纖網(wǎng)絡(luò)。而大學(xué)生活動中心，博物館等人流較少的地方數(shù)據(jù)接通的線路也較少，因而變成了信息孤島。構(gòu)架無線網(wǎng)絡(luò)，可以更加全而的覆蓋整個校園所有建筑，甚至是較為偏僻的室外也能夠順暢的接入互聯(lián)網(wǎng)，從而突破網(wǎng)絡(luò)接入的地點限制。

（三）繼承有線網(wǎng)絡(luò)的便捷化管理

以無線接入的方式來訪問校園網(wǎng)，在安全維護(hù)方而并不需要特別投資。并且在管理方而，則可以繼續(xù)沿用有線網(wǎng)絡(luò)的管理方式，即如設(shè)置防火墻，限定除指定IP段以外的用戶訪問，給小同的用戶分配小同的使用權(quán)限。此外，構(gòu)架無線網(wǎng)絡(luò)，并不需要對已有的各類信息系統(tǒng)如教務(wù)管理系統(tǒng)，圖書瀏覽系統(tǒng)等，進(jìn)行擴(kuò)充改造。但如有需要，甚至可以開發(fā)各類終端應(yīng)用，如利用手機(jī)應(yīng)用來實現(xiàn)點對點的教學(xué)管理。

四、校園無線網(wǎng)絡(luò)的安全技術(shù)分析

（一）物理地址過濾

每個無線客戶端網(wǎng)卡都由唯一的48位物理地址（MAC）標(biāo)識，可在AP中手動設(shè)置一組允許訪問的MAC地址列表，實現(xiàn)物理地址過濾。這種方法的效率會隨著終端數(shù)口的增加而降低，而且非法用戶通過網(wǎng)絡(luò)偵聽就可獲得合法的MAC地址表，而MAC地址并不難修改，因而非法用戶完全可以盜用合法用戶的MAC地址來非法接入。因此MAC地址過濾并不是一種非常有效的身份認(rèn)證技術(shù)。

（二）服務(wù)區(qū)標(biāo)識符匹配

無線客戶端必需與無線訪問點AP設(shè)置的SSID相同，才能訪問AP；如果設(shè)置的SSID與AP的SSID不同，那么AP將拒絕它通過接入上網(wǎng)。利用SSID設(shè)置，可以很好地進(jìn)行用戶群體分組，避免任意漫游帶來的安全和訪問性能的問題。可以通過設(shè)置隱藏接入點（AP）及SSID區(qū)域的劃分和權(quán)限控制來達(dá)到保密的口的，因此可以認(rèn)為SSID是一個簡單的口令，通過提供口令認(rèn)證機(jī)制，實現(xiàn)一定的安全。

（三）WEP 加密機(jī)制

IEEE 802.11-1999把WEP機(jī)制作為安全的核心內(nèi)容，包括幾個方面。一是身份認(rèn)證：認(rèn)證采用了Open System認(rèn)證和共享密鑰認(rèn)證，前者無認(rèn)證可言，后者容易造成密鑰被竊取。二是完整性校驗：校驗采用了IC V域，發(fā)送端使用Checksum算法計算報文的ICV，附加在MSDU后，MSDU和IC V共同被加密保護(hù)。接收者解密報文后，將本地計算的CRC-32結(jié)果和IC V進(jìn)行對比，如果不相等，則可以判定報文被篡改。三是數(shù)據(jù)加密：加密采用加密算法RC4，加密密鑰長度有64位和128位兩種，其中24Bit的IV是由WLAN系統(tǒng)自動產(chǎn)生的，需要在AP和STA上配置的密鑰就只有40位或104位。

（四）WPA 加密機(jī)制

在IEEE 802.11i標(biāo)準(zhǔn)最終確定前，WPA標(biāo)準(zhǔn)是代替WEP的無線安全標(biāo)準(zhǔn)協(xié)議，為IEEE 802.11無線局域網(wǎng)提供更強(qiáng)大的安全性能，其內(nèi)容包括：一是身份認(rèn)證：在802.11中只是停留在概念的階段，到了WPA中變得實用而又重要，它要求用戶必須提供某種形式的憑據(jù)來證明它是合法的，并擁有對某些網(wǎng)絡(luò)資源的使用權(quán)限，并且是強(qiáng)制性的。其中WPA的認(rèn)證分為802.1x+EAP和WPA預(yù)共享密鑰兩種。二是完整性校驗：為防比攻擊者從中間截獲數(shù)據(jù)報文、篡改后重發(fā)而設(shè)置的。為了保證數(shù)據(jù)在傳輸途中不會因為電磁干擾等物理因素導(dǎo)致報文出錯，采用相對簡單高效的CRC算法，但是攻擊者可以通過修改ICV值來使之和被篡改過的報文相符合，可以說沒有任何安全的功能。WPA除了和802.11一樣繼續(xù)保留對每個數(shù)據(jù)分段（MPDU）進(jìn)行CRC校驗外，WPA為802.11的每個數(shù)據(jù)分組（MSDU）都增加了一個8宇節(jié)的消息完整性校驗值。而WPA中的MIC則是專門為了防止工具者的篡改而專門設(shè)定的，它采用Michael算法，安全性很高。當(dāng)MIC發(fā)生錯誤的時候，數(shù)據(jù)很可能已經(jīng)被篡改，系統(tǒng)很可能正在受到攻擊。此時，WPA還會采取一系列的對策，比如立刻更換組密鑰、暫停活動60秒等，來阻止攻擊者的攻擊。三是數(shù)據(jù)加密：WPA采用TKIP為加密引入了新的機(jī)制，它使用一種密鑰構(gòu)架和管理方法，通過由認(rèn)證服務(wù)器動態(tài)生成分發(fā)的密鑰來取代單個靜態(tài)密鑰、把密鑰首部長度從24位增加到48位等方法增強(qiáng)安全性。同時，TKIP采用802.1x/EAP構(gòu)架，認(rèn)證服務(wù)器在接受了用戶身份后，使用802.1x產(chǎn)生一個唯一的主密鑰處理會話。

五、結(jié)語

隨著無線網(wǎng)絡(luò)應(yīng)用領(lǐng)域的不斷拓展，網(wǎng)絡(luò)安全足夠能引起大家的高度重視，WiFi技術(shù)作為無線局域網(wǎng)中的一員，其應(yīng)用已經(jīng)擴(kuò)展到了生活工作的方方面面，木文分析了無線網(wǎng)絡(luò)的安全問題，分析了所采用的安全技術(shù)，也給出了一些建議，隨養(yǎng)用戶對安全知識的了解及技術(shù)廠商對解決方案的不斷探索，無線網(wǎng)絡(luò)基木上具有全而的安全功能，如果能正確地加強(qiáng)個人安全方面的控制技術(shù)和安全理念，那么在無線網(wǎng)絡(luò)的使用方面將實現(xiàn)全而暢游。

參考文獻(xiàn)：

[1]董坤，王勝，黃存東，薄楊. 校園網(wǎng)無線網(wǎng)絡(luò)部署方案的研究[J]. 成都工業(yè)學(xué)院學(xué)報，2013，04：32-33.

[2]肖弋. 校園無線網(wǎng)安全技術(shù)研究[J]. 計算機(jī)光盤軟件與應(yīng)用，2012，10：103-104.

[3]段紅凱，孫明. 校園無線網(wǎng)絡(luò)應(yīng)用研究[J]. 軟件導(dǎo)刊，2012，08：155-157.