WLAN技术在高校校园安全应用的研究

2015-03-17连和谬

湖北科技学院学报 2015年1期

关键词：网卡局域网无线网络

连和谬

(闽南理工学院，福建石狮 362700)

WLAN技术在高校校园安全应用的研究

连和谬

(闽南理工学院，福建石狮 362700)

社会信息化不断推进，计算机网络已成为人类学习、工作和生活必不可少的工具，WLAN技术作为计算机网络的新焦点，日趋成熟，改变着人们的生活方式。如今高校在教学及工作的展开过程中更是离不开网络技术，构建高校稳定、安全的无线网络也成为了现阶段的必然，本文主要通过分析无线局域网的特点来重点分析WLAN技术的安全问题，并提出安全措施。

校园网；WLAN;安全措施

一、WLAN的概念和接入技术介绍

WLAN是计算机技术和无线通信技术相结合而诞生的新产物，它利用射频(RF)技术取代旧式的双绞线构成局域网络，提供传统有线局域网络的所有功能。无线网络所需的基础设施不需再埋在地下或隐藏在墙里，并且可以随意移动或变化。在运营网络覆盖范围之内，用户通过无线网卡，利用笔记本电脑、PDA(掌上电脑)、台式机等终端设备以无线设备高速接入互联网/企业网，获取相关信息进行移动办公[1]。

WLAN是以无线信道作传输媒体的计算机局域网络，它以无线多址信道作为传输媒介，提供传输有线局域网的功能，能够使用户真正实现随时、随地、随意的宽带网络接入。

二、WLAN在高校校园网中的实现

(一)无线网络的构成

无线网络的构成有：认证服务器(AS)、无线接入点(AP)、接入控制器(AC)、无线网卡、无线网桥、天线、POE供电设备、适配器等等，以下将作重点介绍：

1.无线网卡

无线网卡是终端无线网络的设备，无线网卡可以使电脑利用无线来上网的一个装置，通过无线网卡，连接进入无线网络，便能享受无线网络。主流的无线技术是WiFi、蓝牙以及HomeRF，无线网卡按照接入点的不同也可以分为五种：E型、T型、PC型、L型和USB接口。

2.无线接入点(AP)

无线AP是使用无线设备(手机等移动设备及笔记本电脑等无线设备)的用户在进入有线网络的接入点后，主要提供无线网络工作站对有线网络的访问以及从有线网络工作站对无线网络的访问。每个AP 都能支持多个无线网卡，由多个AP就可以构成蜂窝式的漫游功能，让用户在移动中就能享受到无缝、无中断的无线网络服务。

3.无线局域网接入控制器(AC)

无线网络的接入控制器(AC)是WLAN和IP骨干网和外部网络之间的接口网关。在非802.1x的WLAN中，AC发起认证请求，监视用户实时使用情况并采集计费信息送入AS中进行计费。

4.认证服务器(AS)

认证服务器(AS)根据与WLAN无线接入区域之间的IP认证和计费信息接口。AS、AC、AP之间使用标准的RADIUS(Remote Authentication Dial In User Service)计费心思、协议认证和鉴别权利。由于AS能够满足多个AC和AP，所以AS能够满足大范围的无线接入要求。

5.无线网桥(Bridge)

无线网桥就是搭载两个无线网络的中间联系，通过无线网桥可以实现两个或者多个网络之间的远距离通信，一般用于在以太网之间提供高速、远距离(30cm以内)的视距连接。

(二)无线网络的组网方式

无线网络的组网方式可以大致分为三种，一是对点网络，即Ad-hoc，另外两种是接入和中继方式。

1.Ad-hoc模式

Ad-hoc是没有有线网络支持的点对点式的移动网络模式，其网络不需要单独的具有总控制的接入设备AP，只需要单独的具有总控制器功能的接入设备AP。它通过多张无线网卡自由的组网实现通信。在一些范围小、电脑很小的情况下比较适用。

2.中继模式

中继模式指的是间接传输，所谓间接传输，就是当出现两点不可视而可以通过一个中间点来实现三点之间的可视情况下采用的一种传输模式，这种模式下的局域网之间的通信是通过各自的无线网桥来实现的，适用范围集中在范围较小的情况下。

三、 WLAN技术的安全隐患

WLAN网络信息系统所面临的安全问题随着无线局域网的推广使用日渐显著，网络系统要面临着来自设备外部、内部以及人为等多重因素的安全隐患，而对于WLAN技术来讲，其主要的安全隐患来自于访问控制和数据加密两个方面，由于WLAN技术是一项开放式的无线网络服务，有一些外部人员也可以通过破解联网防火墙来非法的获取学校的数据信息，网络安全管理内部也可能会出现私自设置无线网卡而导致信息泄露和大量的占用宽带。[2]总体来说，WLAN在实际应用中所面临的安全威胁主要分以下几个方面：

(一)WEP破解

WEP破解也就是大家最熟悉的密码被破，随着技术的推进，一些非法程序可以通过捕捉AP周围的信号从而收集数据包，收集足够的WEP弱密匙加密的数据包，分析并恢复密匙。通过数据分析，有时候很轻易的就可以得到密码。

(二)窃听网络

这种安全威胁已经成为无线局域网络面临的最大问题之一，其原因是很多网络通讯没有意识到会受到外界的威胁，用户在通信时没有任何的防护措施，通讯时也没有任何加密措施，导致入侵者有机可趁，而且入侵者更无需将窃听或分析设备物理地接入被窃听的网络。

四、 WLAN技术的安全保障及措施

WLAN的协议标准之一是IEEE 802.11协议，它以多个层次等一些安全性控制手段，为无线网络免于攻击入侵危害提供了可靠保证，给用户提供了一个安全的上网环境。

(一)MAC地址过滤

MAC地址过滤通过MAC地址允许或拒绝无线网络中的计算机访问广域网，有效控制无线网络内用户的上网权限。[3]物理地址过滤属于硬件认证，而不是用户认证。每一位无线客户端都有唯一的物理地址标识，因此可以通过在AP中手工维护一组允许访问的MAC地址列表来实现物理地址过滤，由于手工操作，扩展性能较差，因此只适用于小型网络规模。

(二)SSID访问控制

业务组标识符(Service Set Identifier),用来识别在特定无线网络上发现到的无线设备身份。所有的工作站及访问点必须使用相同的SSID才能在彼此间进行通讯。也就是说：SSID用户可以有效的实现分组访问，从而能够避免因为任意漫游而导致的安全访问问题，进而增强了无线局域网的安全保障。但是不足的是，由于很多用户知道SSID，用户在上网前自己配置自己的客户端系统，不经意的把自己的信息共享给非法用户，而在实际的应用当中，只要有无线网络客户端的范围内，都会自动的连入AP，从而绕过安全访问控制，带来安全隐患。总体来说SSID大大加强了无线网络的安全保障，并且还需要不断加强安全防护的手段。

(三)802.11认证服务

802.11认证服务实际上是指用户连接到接入点或者宽带无线网络之前需要先经过认证，AP工作站之间的通信也需要进行认证服务，两个据点能够通过认证就证明两个据点能够正常的互相通信，而802.11认证服务定义了两种认证服务，开放认证系统和共享密匙认证，而共享密匙认证必须经过开放保密协议WEP协议的认证，

WEP加密方式使用了RSA开发的RC4流密码算法，通过严格的身份认证过程进行验证，尽管这样WEP加密仍然受到质疑，原因在于它的本质缺陷：

1.密钥重复问题

一旦攻击者获得了有相同的密钥流序列加密后所得的两段密文，再将两段密文异或，则得到的也是两段明文的异或，由此密钥则失效。

2.IV冲撞问题

IV数值的可选范围值只有224个，这样在理论上只要传输224个数据帧以后就会发生一次IV重用。

另外WEP的密钥在传递过程中容易被截获，针对以上的因素增强高效无线局域网络的安全性主要采取以下几种方法：

(1)采用WPA加密

WPA全名Wi-Fi Protected Access，有WAP和WAP2两个标准，是一种新的无线电脑网络保护系统用来取代安全性不足的WEP。[4]简单来说，WPA的认证过程是有一个变量pmk，这个pmk，是把无线网络的网络名称(ssid)和密钥进行了一个shell运算，得到一个值，就是pwk这个值，再来糅一些其他东西，经过一些复杂的运算最终得到MZL签名，也就是密文，WAP在WEP基础上采用动态改变密钥，即在使用中可以动态改变钥匙的“临时钥匙完整性协定”(Temporal Key Integrity Protocol TKIP)，加上更长的初向量，这可以击败知名的针对WEP的金钥撷取攻击。WEP加密算法中其种子密钥由初始化向量IV和原始密钥Key组成。假设采用相同的IV和Key，则对明文P1和P2加密后的数据流分别为C1=P1⊕RC4(IV，Key)和C2=P2⊕RC4(IV，Key)，C1⊕C2=[P1⊕RC4(IV，Key)]⊕[P2⊕RC4(IV，Key)]=P1⊕P2。也就是说，如果知道P1，则P2就可以完全获得。根据该思路设计出相应的攻击算法，可以在对100万个数据包分析即可破解128bit的密钥。

(2)802.11扩展认证协议

IEEE802.11协议有完善的用户认证功能和管理功能，可以很好的支撑宽带网络的计费、安全、运营和管理要求，有两种认证模式：一种是端口认证模式,在该模式下只要连接端口的某个设备通过认证，其他设备则不需要认证，就可以访问网络资源。[5]另一种MAL认证模式,在该模式下连接到同一端口的每一个设备都需要单独进行认证。