浅论无线校园网的安全.doc

无线局域网技术论文-浅谈无线校园网的安全学院： 年级： 专业： 学号：姓名： 浅论无线校园网的安全过去很长一段时间，计算机组网大多以铜缆或者光缆作为传输媒介，组成有线局域网。但是有线网络不仅施工工程量较大，而且具有很强的破坏性，网络中不同节点之间的移动性也较弱。无线网络有效的解决了这些问题，开始普及。无线局域网 (Wireless Local Area network，WLAN)具有可移动性和高灵活性，作为传统有线网络的延伸，它以方便、快捷、廉价等优势渐渐成为计算机网络的一个重要的组成部分。在许多特殊领域得到了广泛应用。在校园中，学生与教师都具有很大程度的流动性，因此，在不固定场所上网并进行网上教学成为了他们的迫切需求。有线网络已经不能满足他们频繁流动对上网的需要，导致网络互连和 Intenet 进入瓶颈。在校园网之中引入无线网络，可满足学生和教师不固定场所上网的需要，为他们工作、生活和学习大开方便之门。对于有线网络来说,访问控制往往以物理端口接入方式进行监控,它的数据输出通过电缆传输到特定的目的地,一般情况下,只有在物理链路遭到破坏的情况下,数据才有可能被泄漏,而无线网络的数据传输则是利用微波在空气中进行辐射传播,因此只要在Access Point(AP)覆盖的范围内,所有的无线终端都可以接收到无线信号,AP无法将无线信号定向到一个特定的接收设备,这就给网络入侵者提供了可乘之机，因此无线局域网的安全性问题就显得尤为突出。校园网络担负着学校教学、科研、管理等重要任务，无线局域网作为对传统有线网络的延伸，其具有的可移动性、安装简单、高灵活性和扩展能力的优势，使校园内实现了“不论您在任何时间、任何地点都可以轻松上网”这一目标。但是随着校园无线网络环境的普及及应用的深入，来自无线网络的安全问题也日显突出，为了保证校园无线网络的安全，必须从技术和管理入手采取措施，打造一个洁净、安全、高效的校园网络环境。一、 无线局域网相关概述无线局域网协议标准目前主要有蓝牙（Bluetooth） 标准、IEEE802.11 标准、HomeRF标准和 HiperLAN2 标准。无线局域网是是实现移动计算机网络中移动站的物理层与链路层功能，为移动计算机网络提供必要的物理接口的网络。从专业角度讲，无线局域网利用无线多址信道的一种有效方法来支持计算机之间的通信，并让通信的移动化、个性化和多媒体应用得以实现。随着应用的进一步发展，无线局域网正逐渐从传统意义上的局域网技术发展成为“公共无线局域网”，即成为城域网的宽带接入手段，无线局域网应用模式的这种改变使其成为一种可运营的宽带接入业务。二、 无线网络的安全技术在 IEEE802.11b 协议中包含了一些基本的安全措施以提高无线网络的安全性。这些安全措施包括：无线网络设备的服务区域认证 ID (ESSID)、MAC 地址访问控制以及 WEP加密等技术。IEEE802.11b 是利用设置无线终端访问的 ESSID 来限制非法接入。在每一个AP 内都会设置一个服务区域认证 ID，每当无线终端设备要连上 AP 时，AP 会检查其ESSID 是否与自己的 ID 一致，只有当 AP 和无线终端的 ESSID 相匹配时，AP 才接受无线终端的访问并提供网络服务，如果不符就拒绝给予服务。利用 ESSID，可以很好地进行用户群体分组，防止任意漫游带来的安全和访问性能的问题。除此之外，另一种限制访问的方法就是限制接入终端的 MAC 地址以确保只有经过注册的设备才可以接入无线网络。因为无线网卡只具有唯一的 MAC 地址，在 AP 内部可以建立一张“MAC 地址控制表”（AccessControl），只有在表中列出的 MAC 才是合法可以连接的无线网卡，否则将会被拒绝连接。MAC地址控制可以有效地防止未经过授权的用户侵入无线网络。另外，无线网络安全性可以通过WEP(WiredE-quivalentPrivacy)协议来保证。WEP是IEEE802.11 协议中最基本的无线安全加密措施。WEP 是所有经过 WiFiTM 认证的无线局域网络产品所支持的一项标准功能，由国际电子与电气工程师协会（IEEE）制定，其主要用途是：提供接入控制，防止未授权用户访问网络；防止数据被攻击者中途恶意纂改或伪造；WEP 加密算法对数据进行加密，防止数据被攻击者窃听。WEP 加密采用静态的保密密钥，各WLAN 终端使用相同的密钥访问无线网络。WEP 也提供认证功能，当加密机制功能启用，客户端要尝试连接上AP 时，AP 会发出一个 Challenge Packet 给客户端，客户端再利用共享密钥将此值加密后送回存取点以进行认证比对，如果正确无误，才能获准存取网络的资源。三、无线校园网络安全的现状随着互联网技术的发展，无线校园网络技术也愈加成熟。目前，无线校园网络已经能够达到教师和学生对校园网络的要求，而且相较于有线网络而言，有着其独特的移动性和易扩容性。因此而成为目前校园网解决方案的首要选择。目前无线校园网络已经开始发展并普及，由于无线校园网络的覆盖面比有线网络更加广，利用无线校园网络，学生和教师能够在教室、办公室甚至学校草坪内随时随地上网。但是，随着无线校园网络的使用，无线网络的安全问题也成为一个亟待解决的问题。1 校园无线网络的安全隐患随着校园网络规模不断扩大，校园网络用户迅速从几百用户扩充到几千用户，由于无线网络所具有的优势，满足了师生在校园全方位上网的需求，使网络成为师生获取信息的重要手段。同时校园网用户大多容易接受新鲜事物，虽然一方面对校园无线网络的需求不断增长，但带来的无线接入安全性问题也日益严峻，威胁着校园网络的正常运行，其主要的安全隐患包括以下几个方面： 1.1 非法用户侵入由于无线局域网具有公开、易获取的特性，便于开放式访问，所以非法用户可以未经授权而擅自使用网络资源，后果是不仅占用了宝贵的无线信道资源，增加了带宽费用，而且还降低了合法用户的服务质量。1.2 网络监听由于无线局域网具有开放访问的特点，入侵者无需将窃听或分析设备物理地接入被窃听的网络，就可以乘机在无线信号覆盖范围之内，进行窃听、恶意修改并转发数据。1.3 无线加密协议 （WEP） 破解互联网上已经普遍存在的一些非法程序，能够通过收集足够的 WEP 弱密钥加密的包，并进行分析以恢复 WEP 密钥。最快可以在两个小时内攻破 WEP 密钥。1.4 地址欺骗和会话拦截非法用户通过网络窃听，获取网络中合法站点的 MAC 地址，然后通过 ARP 欺骗，利用这些合法的 MAC 地址进行欺骗攻击。同时还可以通过截获会话帧从而进一步进入网络获取更多信息。1.5 信息重放在没有足够的安全防范措施的情况下，是很容易受到利用非法 AP 进行的中间人欺骗攻击。这种攻击对授权客户端和 AP 进行双重欺骗，进而对信息进行窃取和篡改。1.6 拒绝服务是最为严重的攻击方式，一般有两种情况，一种就是攻击者对 AP 进行泛洪式的攻击，使 AP 拒绝服务。另外一种是对某个节点进行攻击，让它不停地提供服务或进行数据包转发，使其能源耗尽而不能继续工作，也就是通常称的能源消耗攻击。1.7 高级入侵攻击者一旦侵入无线网络，它就会进一步入侵其他系统。这样无线网络的安全隐患就会成为整个校园网络安全系统的漏洞，只要攻破无线网络，整个网络就将暴露在非法用户面前，此时网络威胁的后果将更加严重。2 无线网络安全保障机制主要有以下三种: 第一，MAC 地址认证。也称 MAC 地址过滤，通过设置MAC 地址来限制网络中用户的访问，对 MAC 地址实施绑定后，用户如果要进行网络访问，则他的 MAC 地址必须包含在MAC 列表中，否则他将无法进行网络的访问。 第二，共享密钥认证。也称隐秘密钥认证，它是指无线设备和接入点共同拥有一个或一组密码。用户使用无线网访问网络时，需要进行身份验证，如果接入点所提供的密码与无线设备的相一致，则判定该用户为合法用户，授予无线网络的访问权; 之则无法访问网络。 第三，802 1x 认证。802 1x 协议是基于 C/S 的访问控制和认证协议。用户访问网络之前，需要先由 802 1x 对连接到交换机端口上的用户进行认证，认证通过以后，逻辑端口被打开，正常的数据能够通过以太网端口。而目前无线校园网络安全的现状是，很多的无线校园网络连最基本的安全认证( 如 MAC 地址过滤、隐秘密钥) 都没有设置。象 802 1 x 认证这种比较难的认证方法就更没有设置。这样，外人可以随意的进入无线校园网络，入侵校园网，给无线校园网络带来了极大的安全隐患。三、无线校园网的安全标准为了将无线局域网技术从这种被动的局面中解救出来，IEEE 802 1l 工作组着手制订被称为 IEEE 802 1li 的新一代安全标准。IEEE 802 1li 在数据加密和认证技术增强了虚拟局域网的性能，产生了 RSN( Robust Security Network) ，并针对WEP 加密机制的各个方面进行了大的改进，两种安全标准的主要异同之处如下。1 目前的安全标准: WEPWEP( Wired Equivalent Privacy，有线等效保密) 协议是种使用共享秘钥 RC4 加密算法的安全标准协议，RC4 的安全机制就是加密密钥匹配机制，只有当用户的加密密钥与 AP 的密钥相同时才能获准进行通信，已达到防止非法用户的窃听以及非法访问。WEP 标准在网络安全保护上漏洞百出，如密钥共享机制，一个服务区内的所有用户共享同一个密钥，只要其中一个用户丢失或泄漏密钥将导致整个网络危机。WEP 加密自身也存在安伞缺陷，入侵者可以从互联网上获得公开免费的入侵工具，用于入侵。当黑客发现网络传输，就会利用这些工具来破解密钥，截取网络上的数据包，或非法访问网络资源。2 新一代安全标准: WPAWEP 由于其存在的缺陷难以满足目前的需要，于是 Wi Fi 联盟适时推出了 WPA( WiFi Protected Access，Wi Fi 访问保护) 技术，作为暂时替代 WEP 的无线安全标准。WPA 实际上是 IEEE 802 1li 的一个子集，其核心就是 IEEE 802 1x 和临时密钥完整性协议( TKIP) 。TKIP 与 WEP 一样是采用 RC4 加密算法，但对 WEP 进行了大量改进，安全机制基于动态会话密钥。TKIP 引入了 48位初始化向量( IV) 和 IV 顺序规则、每包密钥构建 Michael 消息完整性代码以及密钥重获/分发 4 个新算法，提高了无线网络数据加密安全强度。IEEE 802 1li 中还定义了一种基于“高级加密标准”AES的全新加密算法，以实施更强大的加密和信息完整性检查。AES 是一种对称的块加密技术，提供比 RC4 算法更高的加密性能，它在 IEEE 802 1li 确认后，成为取代 WEP 的新一代的加密技术，为无线网络提供高级别的安全防护。WPA 针对不同的用户和不同应用的安全需要，提供了两种应用模式: 企业模式，使用认证服务器和复杂的安全认证机制来实现通信安全; 家庭模式，以 AP( 或者无线路由器) 及无线终端共享密钥认证机制来实现无线链路的通信安全。四、无线校园网络安全解决方案无线网络进入校园以后，如何保证无线校园网络的安全性呢? 上文中提到的 MAC 地址认证和共享密钥认证都还有一定的安全隐患。MAC 地址认证需要进行维护，面临着数据管理的问题，另外，MAC 具有可嗅探性，也能修改; 而共享密钥认证得安全性也不强，入侵者能够很容易的得到共享认证密钥。相对而言 802 1x 这种认证方式的安全性就要好很多，它的实现设计了申请者系统( 用户无线终端) 、认证服务器和认证者( AP) 三个部分，由申请者系统和认证服务器来完成认证的主要过程，认证者的功能是进行数据的传递和中转。用户向认证服务器发出认证接入申请，通过认证之后服务器将经过加密的通信密钥发给用户，申请者利用这个密钥就可以与 AP 进行通信。IEEE802 11i 和 WAPI 都是制定在 802 1x机制的基础上。802 1x 通常使用 EAP 来提供请求方与认证者之间的认证服务，EAP 认证方法主要有 EAPMD5、PEAP以及 EAPTLS 等。Microsoft 为使用 802 1x 的身份验证协议提供了本地支持。通常情况下，选择无线客户端身份验证的依据是基于密码凭据验证或基于证书验证。因此在执行基于密码的客户端身份验证时优先使用 EAPMicrosoft 询问握手身份验证协议2( MScHAPv2) ，该协议在 EPEAP( Protected Extensible Authen-tication Protocol) 协议中，而执行基于证书的客户端身份验证时使用 EAPTLS。针对校园群体的特点，可以对不同用户使用不同的认证方法，以此来确保无线校园网络的安全性。一般来说，无线校园网络的用户可划分为本地用户和外来用户两大类。本地用户是指学校教师和学生，因工作、生活和学习的需要，他们需要能够随时随地的访问网络，查询校园网内的数据和资源。这些用户的资料，例如研究成果、研究资料以及论文等都要求有较好的安全性。这些用户可以采用802 1x 进行认证。也就是先由用户向认证服务器发出接入申请，在未通过认证的情况下，用户无法访问网络，也无法获取IP 地址。设立证书服务器，以数字证书的形式达到双向认证的目的，能够有效避免用户接入非法 AP 以及非法用户使用网络，只有在通过双向认证之后，用户方可访问网络，保证校园网资源的安全性。外来用户主要是针对来学校进行学术交流、培训等用户，这些用户关注的是能够方便、快捷的接入网络，已进行相关的文件传输、浏览网站等工作。因此，对这类用户可采用 DHCP + 强制 Portal 的认证方式，用户可得到 DH-CP 服务器分配的 IP 地址，当他们用浏览器访问网页时，强制Portal 控制单元首先将用户访问的 Intenet 定向到 Portal 服务器中定制的网站，让用户仅可以访问网站中提供的服务，而不能访问校园网内部的一些受限资源，例如学校公共数据库、图书馆期刊全文数据库以及一些学校内部资源。如果用户需要访问校园网以外的数据，要先通过强制 Portal 认证，通过认证之后方可访问网络。根据不同用户的需要采用不同的认证方法，将 802 1x 认证和强制 Portal 认证这两种认证方式相结合是解决目前无线校园网络安全问题的有效途径，并有极强的现实意义。本地用户主要关注如何保障资源的安全，对资源安全性有较高的要求，802 1x 认证方式的安全性较好。因此，对本地用户采用802 1x 认证方式，确保本地用户资源的安全; 外来用户则侧重于访问网络时的方便和快捷，没有那么高的安全性要求，采用强制 Portal 认证方式，用户不需要安装客户端，直接使用 web浏览器认证后就可以访问互联网，这种认证方式的优点是简单、方便、快捷，正好符合外来用户对网络的要求。但是，要设置相应的权限以隔离和限制这些用户，保证外来用户无法查询校园网的内部资源，从而保证无线校园网络的安全性。五、无线校园网安全技术针对校内不同用户群体对无线网络需求的差异，为保障校园无线网络使用的安全性，安全策略主要应从访问控制和数据加密两个方面加以改善。1 适宜校内师生用户的端口访问控制技术 （802.1x 认证）802.1x 认证使用 802.1x RADIUS 认证和MAC 地址联合认证，用于防止非授权的非法用户接入和访问，确保只有合法用户和客户端设备才可访问网络。802.1x 定义了三种身份：申请者、认证者和认证服务器。当申请者向认证服务器表明自己的身份时，认证服务器就对申请者进行认证，认证通过后将通信所需要的密钥加密再发给申请者。申请者就可用这个密钥与 AP 进行通信。目前是无线网络中安全性很高的技术，特别适合校园内的师生用户群体，因为他们不仅需要随时接入无线网络，访问所需资源，而且还要求对所访问的数据有较高的安全性保障。2 校内临时用户的访问认证由于此类用户只是暂时借用校内无线网络进行资源访问，对安全的需求不是很高，对他们来说