无线校园网络安全分析及方案设计.docx

无线校园网络安全分析及方案设计摘要 随着各级各类学校信息化建设水平的提高，无线网络已成为校园网解决方案的一个重要组成部分。对校园无线网络的接入进行研究，并对校园无线网络的安全进行分析，找出适合校园无线网络安全的解决方案，可以做好校园无线网络的安全管理工作，确保其安全性。 引言 今天，无线网络技术成熟，其解决方案能够很好满足校园网的种种特殊的要求，并且拥有传统网络所不能比拟的易扩展性、灵活性和移动性，它已经逐渐成为种趋势，成为众多校园网解决方案的重要选择之作为提高学校管理水平和教学质量的一个十分重要的手段wlan不但担当着教师与学生之间和学生们之间交流的桥梁而且wlan上还存放着很多凝聚了教师们大量心血的教学资源。为了保证校园网不被监听和非法入侵在实现校园无线网的过程中安全技术和协议的选取就变得异常重要。1 安全协议分析从1997年wep的面世到2003年wpa这个过渡方案的提出再到2004年wpa2的公布这三种协议见证了无线网络安全的发展历程。虽然wep固有的缺陷已经使得它不再适合用于商业或者是具有更高安全需求的行业但是现今市场上的无线设备基本上还都同时支持wep、wpa和wpa2这三种协议。因此。本文将从wep开始，展开对这三种安全协仪的分析。11 wep安全协议分析 不少文章把wep的安全缺陷归结于rc4算法中的缺陷但其实不然。rc4在以往的有线网络应用中。并没有让人们失望。压垮wep的那根稻 草是其密钥管理机制(以及由此引致的共享密钥重用问题)。由于篇幅所限本文在这里只列举其中最重要的两个缺陷。(1) 初始向量重用根据wep的定义其iv的长度仅为24位，因此iv的不同的取值只有224种。这个数值在当今的计算机世界里并不足够大。而它对整个加密系统的影响可以从wep加密的数学表达式看出来： c=(mc(m)+rc4(ivk)在上面的公式里，c代表的是密文，m是明文，c(m)是指明文的校检值，iv是初始向量，k是密钥，rc4指的是rc4算法。其中“”代表着串接操作“+”表示异或操作。在现实中，共享密钥(k)很少改变。因此，每次iv的重用就意味着rc4算法的输出会是一样。与此同时由于iv是以明文的方式传输所以可以稂容易地检测出相同的iv值。因此只要能够找到两段有着相同的iv的密文段就可以很容易地把相关的明文给破解出来而另一方面，虽然iv有着224种不同的取值，但是它发生重用的概率并没有人们想象的那么小。根据统计,以上的统计数据意味着，在终端电脑跟ap交换过12430个加密数据帧后99密文可以被破解。 (2) 认证过程中的缺陷图1描述丁wep在共享密钥模式下的认证过程。在第二步中，p(challenge text)是以明文的方式传播的，而在第三步中的 c(challenge response)则是pk的产物。其中o是指异或操作。k是密钥。因此只要把第二步的p和第三步c进行异或操作就可以很方便地把k给恢复出来。wep的另外一种工作方式是开放式系统认证在这种模式下所有电脑终端都可以跟无线接人点成功地连接。虽然这种工作方式听起来不太安全，但是在这种模式下，密钥反而没有这么容易被暴露出来。 图1共享模式下wep的认证过程12 wpa安全协议分析由于wep有着不可克服的缺陷因此国际上提出了一系列解决方案。其中的wpa是一个过渡方案。它在wep协议的基础上增加了ieee802ix来改进认证机制并采用tkip(temporal key integrity protoc01)协议来实现消息的保密与完整性保护。 图2 ieee8021x认证流程在信息交换的过程中虽然所有信息都要经过ap，但它不需要了解里面的任何信息。在sta和ap之间的联路上，运行的是eapol(eap over tan)协议。在ap和as之间同样运行eap(extensible authentieation protoc01)协议，但该协议被封装到了高层协议中。13 wpa2安全协议分析 作为完全实现了80211i安全规范中的所有强制设定的协议wpa2也被视为实现rsn(robust securitynetwork)的必要条件(wpa只实现了部分)日。鉴于ccmp(counter-modecbc-mac protoc01)是ieee802.1 li中重要的协议。同时也是rsn的强制要求。2 xy校园网络设计方案(中小型校园网)xy校园在其旧的教学大楼和学生宿舍已经布好线并实现了有线网络连接但是随着学校的进一步扩张发展，新的教学大楼新的学生宿舍，新的第二图书馆和新的学生活动中心接二连三地破土动工。为了实现“校园范围内网络全面覆盖”的目标xy学院采用“以有线网为核心利用无线网络进行全面覆盖”策略,对已有网络进行扩充。 图3无线校园网网络拓扑为了提高校园网网络的安全性并兼顾无线网的通用性(不少旧设备并不支持wpa2)。本校园无线网络采用wpa+8021x(radius)i作模式。如图3所示有线网和无线网之间还要用防火墙和三层交换机相连接，以此实现有线网和无线网的物理隔离。在ap的物理位置的选取上除了要考虑其可访问性信号覆盖能力之外还要兼顾其安全性以避免受到物理方面的损坏。最后还要提出一点是所有的服务器包括radius senrer和其他数据服务器都要安置在有线网络一端，并放置在防火墙之后。以保证其安全运行。结束语校园网无线网络建成以后，用户只需简单的设置就可以连接到校园网，从而实现上网功能。特别是随着无线技术的发展，将进一步促进校园网内无线网络的建设。但是建设无线网络的同时，应对校园无线网络的安全充分考虑，做好无线网络的安全管理工作，并完成全校无线网络的统一身份验证，做到无线网络与现有有线网络的无缝对接，确保网络的高安全性。当然，无线网络的技术正处于高速发展与演化之中，对其安全问题的分析与把握也存在与时具进的问题。在这点上，学校信息化办公室和网管中心应该牵头，做好无线网络的安全管理工作。参考文献1何军无线通信与网络(第2版)清华大学出版社2杨峰，张浩军无线局域网安全