常伟鹏

中国药科大学 江苏 211169

0 引言

近年来无线网络技术的发展使无线网络在传输速率和传输质量上与有线网络的差距越来越小、组网成本越来越低，而信号传输无需线缆的特性又使其安装维护容易、组网灵活、支持的设备可移动性强、用户使用便利甚至可在特殊环境中使用，因此越来越多的企业、学校、社团等机构以及公共场所中都开始部署无线局域网络(以下简称无线网络)，作为对有线网络的补充与扩展。当前在高校学生中笔记本电脑、智能手机、平板电脑等支持无线网络的设备具有相当高的占有率，在校园网中开展无线网络建设，可以推进高校信息化发展，有利于多种教学方式的实现，给师生的工作和学习带来极大的便利。

1 校园无线网络安全分析

1.1 无线网络的不安全性

与有线网络的接入方式不同，在无线网络中只要终端设备在无线信号覆盖范围内便可接入网络，这是无线网络便利性的体现，同时也是其不安全性的根源。无线网络的接入过于便利，黑客甚至可以利用特殊信号放大工具在信号非常弱的远距离地区接入，接入的便利性导致在无线网络中传输的信息更易被窃听或受到干扰，无线网络终端的移动性使得安全管理难度大，信号易被干扰又对无线网络的稳定性产生很大影响。同时无线网络中AP带宽为该AP当前所有用户共享的机制易使AP被同时大量发送的PING包或广播包阻塞，802.11系列标准未对无线网络数据帧的认证进行定义，这使无线网络中站点的MAC地址极易被获得，无线网络中还存在假冒AP、非法AP等不安全因素。

1.2 校园无线网络安全的现状

与有线网络经过长期发展，有着成熟完善的安全模型与防护技术不同，无线网络在大多数校园中仍是一个新鲜事物，对其安全性认识不足和安全防护手段缺乏的现象普遍存在。随着高校校园中无线网络的陆续建成，校园无线网络的安全性才逐渐成为网络管理部门关心的问题。校园无线网络作为校园网络的一部分，其安全问题主要涉及接入安全和信息传输安全。接入安全主要包括用户接入无线网络的认证与授权，通过访问控制来保证敏感数据只能由授权用户进行访问。信息传输安全指以无线电波形式发送的网络信号只能被所期待的用户接受和理解，这主要通过数据加密来实现。当前在不少校园无线网络中，接入安全和信息传输安全都没有被很好的考虑，用户接入无线网络不需要任何认证措施，通过无线网络传输的信息也极少采取加密措施或采取复杂度低、容易被破解的加密算法。

接入安全机制的缺乏使非法用户很容易接入无线网络，信息传输安全机制的缺乏则使无线网络中传输的信息极易遭泄露、篡改或毁坏。作为局域网的校园网络，其内部系统之间信任程度相当高、防范相当脆弱，而校园无线网络作为校园网的一部分，一旦攻击者进入无线网络，便可以绕开校园网精心布置的安全防护系统，在其内部展开攻击与破坏。因此，根据“木桶理论”原理，如果校园无线网络的安全性得不到保障，那么整个校园网络的安全性也无从谈起。

2 校园无线网络安全防护

无线网络安全的保障，需要分别从人和技术的角度来考虑，从人的角度来看，需要网络管理者增强安全意识、规范安全制度、开展安全管理、保持安全警惕，从技术方面主要包括采用访问控制和数据加密等技术手段来保证无线网络接入安全和信息传输安全，人和技术两个角度可以归结为无线网络安全管理和无线网络安全技术。无线网络安全管理作为信息系统安全管理的一部分，与传统网络安全管理并无太大差别，在此不做赘述，下面分别从无线网络接入安全和信息传输安全的角度来分析可为校园无线网络采用的网络安全技术。

2.1 无线网络接入安全

接入是用户使用网络的前提，接入安全包括对所有用户的认证和对合法用户的授权。好的认证手段要有高安全性，不易被破解，用户使用体验好同时管理方便。常见的认证方式有基于MAC地址的认证，web portal认证、802.1x认证。

(1) 基于 MAC地址的认证通过在认证服务器中将一个MAC地址表设置为黑名单或者白名单，从而实现禁止或允许MAC地址为该表中记录的设备访问网络。

(2) Web portal认证通过Web页面为用户认证，当用户接入无线网络时会首先获得由DHCP服务器分发的ip地址，当用户需要访问 Internet而打开浏览器时，认证系统会自动通过用户的浏览器推送认证页面，用户根据页面提示完成认证。

(3) 802.1x认证是现有认证方式中最安全的一种，使用802.1x+Radius认证，可以基于证书对接入设备进行认证，在认证的过程中可以由加密隧道进行保护，避免认证信息的泄露。当接入设备连接上AP后，连接的逻辑端口仍然是关闭的，即使二层网络也不能互相访问，能否使用AP提供的服务取决于802.1x的认证结果。802.1x部署成本稍高，要求接入设备安装有支持802.1x的客户端，将用户的认证信息发送给Radius服务器。

由于校园网内部存储有诸如科研成果、研究材料、学术论文以及教师工资等敏感资料，还有校园网内部的各种系统，对安全有较高要求，而校园网对系统内部的用户是极信任的，防御极其薄弱，因此对需要访问内部资源的无线网络接入认证有较高的安全要求，可以采用802.1x认证来保证接入的安全性。而对只通过接入校园无线网络来访问 Internet的用户，则可以采用Web portal 认证方式，这时需要在AP上做好二层隔离，使用户只能通过AP访问固定的网络，防止用户从二层访问校园网中的资源。根据校园环境的特点，可以将校园无线网络的用户区分为在校园工作学习的师生等固定用户和来校园参观、学习、交流等人群所构成的来访用户，来访用户可通过Web认证方式访问Internet，固定用户可根据需要，选用Web方式或802.1x方式接入校园无线网络。

校园中还存在有诸如无线摄像头、无线打印机、无线刷卡器等需要使用无线网络的设备，此类设备功能单一，无法在其上实现Web认证或802.1x认证。此时可采用基于MAC地址的认证，将此类设备的MAC地址加入允许直接访问无线网络的白名单即可。

授权要求对不同级别用户的权限策略设置清晰，保证用户不能越权操作，针对越权操作的现象能即使发现并作出响应，一般是在认证服务器中所做的操作，在此不再详述。

2.2 无线网络信息传输安全

无线网络的开放性传播使信息在传输过程中很容易被他人截获，导致重要信息遭泄露、篡改或破坏，如何保证信息只能被所期待的用户接受和理解，这就需要对所发送的信息进行加密操作，常见的无线网络加密技术有WEP、WEP、WEP2。

WEP(Wired Equivalent Privacy，有线等效加密)是802.11中最基本的无线安全加密措施，提供了40 位(也有称64 位)或128 位长度的密钥机制，是一种相对较弱的无线安全加密算法，由于采用静态密钥而使WEP加密变得很容易被破解。WPA(Wi-Fi Protected Access，Wi-Fi安全存取)是为了解决WEP缺点而推出的一项新的加密技术，采用了TKIP算法动态生成一个新的128位密码，使得安全性较之WEP加密大大提高。WPA 包含了认证、加密和数据完整性校验三个组成部分，是一个完整的安全性方案，但用WPA加密的短数据包仍可遭破解，于是出现了WPA2。WPA2用CCMP取代了WAP的TKIP，AES取代了WPA的MIC，成为当前无线网络中信息加密的最高安全标准，但其对老旧网卡的支持不是很好。

在校园无线网络中建议采用WPA或WPA2加密模式，同时为了防止非法入侵者暴力破解WPA或WPA2的密钥，应定期更换WPA或WPA2的密钥。

3 结语

作为校园网络的一部分，校园无线网络的安全关系到整个校园网络的安全。随着无线网络在高校校园中的陆续建成与扩大，无线网络的安全必然会受到越来越多的重视。网络的安全性与使用便利性似乎是一对矛盾，越安全的网络使用起来似乎越麻烦，但随着无线网络安全技术的发展与人们对校园无线网络安全的重视，安全且使用便捷的校园无线网络一定会出现在人们面前。

[1]任伟.网络安全问题初探[J].信息网络安全.2012.

[2]杨梅.校园无线网络的安全与技术防护[J].河北能源职业技术学院学报.2011.

[3]朱振蕙.校园无线网络安全接入探讨[J].计算机安全.2012.

[4]张洪.浅谈校园无线网络的安全现状与解决方案[J].职教研究.2011.