校园无线局域网安全技术策略研究

■李素霞

校园无线局域网安全技术策略研究

■李素霞

随着计算机网络技术和现代科学技术的发展，学校无线局域网络逐渐普及，其为学校教育注入新的技术的同时也带来众多的弊端。特别是随着笔记本电脑的普及和Internet接入需求的增长，无论是教师还是学生，都迫切要求在方便的场所上网并进行网上教学互动活动。而将无线网络技术引入校园网，在某些场所，如网络教室、会议室、报告厅、图书馆等区域，可以率先覆盖无线网络，让用户能真正做到无线漫游，给工作和生活带来极大的便利。

校园网无线网络安全现状

在无线网络技术成熟的今天，无线网络解决方案能够很好满足校园网的种种特殊的要求，并且拥有传统网络所不能比拟的易扩容性和自由移动性，它已经逐渐成为一种潮流，成为众多校园网解决方案的重要选择之一。随着校园网无线网络的建成，在学校的教室、办公室、会议室甚至是校园草坪上，都有不少教师和学生手持笔记本电脑通过无线上网，这都源于无线局域网拓展了现有的有线网络的覆盖范围，使随时随地的网络接入成为可能。

目前无线网络提供的比较常用的安全机制有3种。1）基于MAC地址的认证。基于MAC地址的认证就是MAC地址过滤，每一个无线接入点可以使用MAC地址列表来限制网络中的用户访问。实施MAC地址访问控制后，如果MAC列表中包含某个用户的MAC地址，则这个用户可以访问网络，否则该用户不能访问网络。2）共享密钥认证。共享密钥认证方法要求在无线设备和接入点上都使用有线对等保密算法。如果用户有正确的共享密钥，那么就授予该用户对无线网络的访问权。3）802.1x认证。802.1x协议称为基于端口的访问控制协议，它是个二层协议，需要通过802.1x客户端软件发起请求，通过认证后打开逻辑端口，然后发起DHCP请求以获得IP以及对网络的访问。

校园网无线网络安全解决方案

校园网内无线网络建成后，怎样才能有效保障无线网络的安全？前面提到的基于MAC地址的认证存在两个问题：一是数据管理的问题，要维护MAC数据库；二是MAC可嗅探，也可修改。如果采用共享密钥认证，攻击者可以轻易地搞到共享认证密钥。802.1x定义了3种身份：申请者（用户无线终端）、认证者（AP）和认证服务器。整个认证的过程发生在申请者与认证服务器之间，认证者只起到桥接的作用。申请者向认证服务器表明自己的身份，然后认证服务器对申请者进行认证，认证通过后将通信所需要的密钥加密再发给申请者。申请者用这个密钥就可以与AP进行通信。

虽然802.1x仍旧存在一定的缺陷，但较共享密钥认证方式已经有了很大的改善，IEEE802.11i和WAPI都参考了802.1x的机制。802.1x选用EAP来提供请求方和认证服务器两者之间的认证服务。最常用的EAP认证方法有EAP－MD5、EAP－TLS和PEAP等。Microsoft为多种使用802.1x的身份验证协议提供本地支持。在大多数情况下，选择无线客户端身份验证的依据是基于密码凭据验证或基于证书验证。建议在执行基于证书的客户端身份验证时使用EAP-TLS；在执行基于密码的客户端身份验证时使用EAP-Microsoft质询握手身份验证协议版本2（MSCHAPv2），该协议在PEAP（Protected Extensible Authentication Protocol）协议中也称作PEAP－EAP－MSCHAPv2。

考虑到校园群体的特殊性，为了保障校园无线网络的安全，可对不同的群体采取不同的认证方法。在校园网内，主要分成两类不同的用户：一类是校内用户，一类是来访用户。校内用户主要是学校的师生。由于工作和学习的需要，他们要求能够随时接入无线网络，访问校园网内资源以及访问Internet。这些用户的数据，如工资、科研成果、研究资料和论文等的安全性要求比较高。对于此类用户，可使用802.1x认证方式对用户进行认证。来访用户主要是来校参观、培训或进行学术交流的一些用户。这类用户对网络安全的需求不是特别高，对他们来说最重要的就是能够非常方便而且快速地接入Internet，以浏览相关网站和收发邮件等。针对这类用户，可采用DHCP+强制Portal认证的方式接入校园无线网络。

当来访用户打开浏览器访问Internet网站时，强制Portal控制单元首先将用户访问的Internet定向到Portal服务器中定制的网站，用户只能访问该网站中提供的服务，无法访问校园网内部的其他受限资源，比如学校公共数据库、图书馆期刊全文数据库等。如果要访问校园网以外的资源，必须通过强制Portal认证。认证通过就可以访问Internet。对于校内用户，先由无线用户终端发起认证请求，没通过认证之前，不能访问任何地方，并且不能获得IP地址。可通过数字证书实现双向认证，既可以防止非法用户使用网络，也可以防止用户连入非法AP。

使用强制Portal+802.1x这两种认证方式相结合的方法，能有效解决校园网无线网络的安全，具有一定的现实意义。来访用户所关心的是方便和快捷，对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件，用户直接使用Web浏览器认证后即可上网。采用此种方式，对来访用户来说简单、方便、快速，但安全性比较差。虽然用户名和密码可以通过SSL加密，但传输的数据没有任何加密，任何人都可以监听。当然，必须通过相应的权限来限制和隔离此类用户，确保来访用户无法访问校园网内部资料，从而保证校园网络的高安全性。校内用户所关心的主要是其信息的安全，安全性要求比较高。802.1x认证方式安装设置比较麻烦，设置步骤也比较多，且要有专门的802.1x客户端，但拥有极好的安全性，因此针对校内用户可使用802.1x认证方式，以保障传输数据的安全。

校园网各区域分别覆盖无线局域网络以后，用户只需简单的设置就可以连接到校园网，从而实现上网功能。特别是随着迅驰技术的发展，将进一步促进校园网内无线网络的建设。■

（作者单位：山东省潍坊科技学院）

10.3969/j.issn.1671-489X.2011.11.057