校园无线网络安全中身份认证的研究

2016-03-14钱宏伟黄晓红

网络安全技术与应用 2016年10期

关键词：代理服务器无线网络客户端

◆钱宏伟黄晓红

（华北理工大学信息工程学院河北 063009）

校园无线网络安全中身份认证的研究

◆钱宏伟黄晓红

（华北理工大学信息工程学院河北 063009）

随着无线网技术应用日渐成熟，以及移动互联网应用的普及，无线网络技术的应用需求呈现不断增长的趋势。无线技术在移动互联网和通信领域中应用的范围不断宽泛。然而，随着应用的深入，无线网络的安全问题日益显现，潜在的无线网络安全隐患对用户的信息安全产生了严重的威胁。本文通过校园无线网络安全现状分析，明确基于端口的访问控制要求，引出校园无线网络安全中的身份认证措施，从而不断提高校园无线网络的运行安全。

校园无线网；网络安全；身份认证

0 引言

在移动互联网日渐普及的情形之下，运用身份认证的方式来保证合法用户正常访问网络资源，应用网络资源，是广大电信网络运营工作者必须直面的问题。为了解决校园网络的安全问题，身份认证是一个非常重要的措施，经科学研究，现在校园无线网络运行通常需要应用基于端口的访问控制协议。该协议的应用，有效解决了校园内合法用户接入无线网络过程中的认证问题，且能有效避免非授权用户的访问企图，从根本上确保了校园无线网络的安全使用。

1 校园无线网络安全现状分析

1.1 非法连接盛行

与有线网络不同，无线网络的接入是开放式的，校园无线网络同样具有接入开放性的特点，而且在通常情况下，只要拥有无线网卡，任何用户都可以搜索到这些空间范围内的无线信号。正因为如此，在现阶段无线终端尤其丰富的时代，很多非法用户会在没有获得接入许可的情况下，利用各种硬件或软件工具，通过各种可能实现的技术手段来进行非法连接，校园无线网络环境下的“蹭网”行为极为常见。通常，校园无线网络被非法连接的表现主要有如下类型：

（1）非法的客户端。为达到联网目的，校园内的非法连接者会利用各种手段获取校园无线网络的SSID，并将自己伪装改造成合法用户，再实施非法连接。因为无线网络的天然公开属性，校园无线网络当然也是呈现公开的特性，且是易获取的，很容易非法用户进行开放式连接，因此，很多非法用户能够在未经许可的情况下擅自接入校园无线网络，占用有限的无线网络资源。校园网络是非常特殊的，它通常会蕴含各式共享而且都非常重要的资源，例如校内学生的各种信息、科研团队的研究成果、学术研究的论文以及各式考试的试卷等十分重要且不便公开的数据文件。校园无线网络的非法连接，对校园网络安全的影响非常重大。

（2）非法建立的AP。部分学生利用互联网知识，将无线路由器伪装成为合法的AP，并提供可用的免费wifi，使得其他人在进行无线连接的时候自动连上，并通过各种陷阱的设置，达到窃取、篡改数据信息、远程控制或入侵对方的目的。

1.2 网络监听常现

因为校园无线网络是开放的，非常便于非法入侵者接入网络，只要无线网络拥有网络，非法入侵者便能借助各种工具来监听网络信息，并通过分析工具来对网络信息进行分析，还能实现恶意篡改信息数据，并能实行转发。

1.3 密码易被破解

由于现在校园无线网络的广泛使用，安全隐患因wifi的存在而陡增。即便是利用WPA进行了数据加密，非法入侵者仍然可以破解，让网络呈现暴露的情形之下。既有的无线加密协议早已不具有十足的安全性了，一些非法程序已经遍布互联网，入侵者能够通过分析手机WEP弱密钥加密的包实现WEP密钥恢复。

1.4 网络攻击泛滥

一旦非法用户登入校园无线网，便能对目标系统进行肆无忌惮的攻击，让校园网络服务器处于瘫痪状态，合法用户无法及时享用校园网络服务，无法得到系统资源。此外，不法分子可能会通过校园网传输木马病毒，严重威胁用户安全。

2 校园无线网络安全身份认证管理的局限

2.1 终端储备能力有限

移动终端的计算存储资源是有限的，而能源储备能力也同样是有限的。

2.2 无线网的传输功能限制

与有线网络相比，不论是在数据传输的能力上，还是在数据传输的质量上，无线网络都具有非常明显的功能限制，无线网络无法提供有线网络那样高质量的数据传输服务。

2.3 无线网的安全性较为脆弱

因为无线网络的天然特点，它的安全性是极为脆弱的，它的开放性让网络暴露在自然空间中，非法入侵者可以随时随地进行网络攻击。

正因上述因素影响，所以身份认证协议设计存在天然的难度，认证协议设计的自由度不如有线网络那样明显。为此，校园无线网络安全中身份认证协议的设计准则要以“够用”为主，在网络安全和系统运行中寻找结合点。

3 认证方案的优化措施

在传统的身份认证中，双向认证是指用户与服务器之间的相互认证，但没有对接入点AP的身份认证。因此，在认证协议的设计过程中，一定要重视非法攻击者的力量，要非常重视接入点AP的认证力度，避免一个细节的疏忽而给整个校园网络埋下严重的安全隐患。所以，在优化认证方案的过程中，要重视对接入点AP的实时保护。

3.1 划分无线网系统的角色

在无线网络身份认证系统中，通常会有认证平台、无线网络接入平台以及客户端这三种角色，分别承担着各自的功能。

（1）认证平台包含有代理服务器、认证服务器和用户信息数据库。代理服务器主要用于接入请求信息的截获，再通过认证服务器来进行身份认证。代理服务器能有效隔离信息数据库，确保认证信息的安全性。认证服务器主要用于对接入点的身份认证。接入点、客户端的登入状态和个人信息，均存在用户信息数据库中。（2）无线网络接入平台主要为客户端提供用户连接到无线网络的节点以及安全的信息通道。（3）客户端的作用是扮演网络通信参与者的角色。

3.2 身份认证的步骤

第一步，用户的初始注册。要接入到无线网络，用户要在安全的网络环境下进行认证服务器进行身份注册。注册内容包括AP网络登入的密码、登陆客户端的用户名和密码等；第二步，当AP收到接入申请，将自动屏蔽其他客户端的接入请求，并向认证平台发出认证请求；第三步，在AP登陆时，认证平台产生随机数据给接入点AP，后者运用密钥与该数据进行核算并产生另一数据，再将该数据转发到代理服务器，代理服务器进行同样的核算，并通过认证平台进行前后两次的核算结果比对，结果相同则是合法的，允许用户登录；第四步，接入点通过向终端发送请求应答的信息，要求终端发送下一步信息。此时，系统会要求输入用户名与登录密码，并传输到代理服务器。代理服务器若验证登录信息无误，认证服务器和客户端会进行双向身份验证。若有误，则会提示重新输入用户信息；第五步，若客户端提出网络访问申请，代理服务器会给客户端发送随机数据，并记下该数据，直至认证全部完成。这组随机数据是密钥，把登录用户名和密码进行哈希运算，并将结果传输到认证平台。认证数据库会读取数据库中存放的信息和随机数并进行同等运算，只要与客户端传输的数据一致，则可以判定用户合法；第六步，客户端接入网络。