連和謬

(閩南理工學(xué)院，福建 石獅 362700)

WLAN技術(shù)在高校校園安全應(yīng)用的研究

連和謬

(閩南理工學(xué)院，福建 石獅 362700)

社會(huì)信息化不斷推進(jìn)，計(jì)算機(jī)網(wǎng)絡(luò)已成為人類(lèi)學(xué)習(xí)、工作和生活必不可少的工具，WLAN技術(shù)作為計(jì)算機(jī)網(wǎng)絡(luò)的新焦點(diǎn)，日趨成熟，改變著人們的生活方式。如今高校在教學(xué)及工作的展開(kāi)過(guò)程中更是離不開(kāi)網(wǎng)絡(luò)技術(shù)，構(gòu)建高校穩(wěn)定、安全的無(wú)線網(wǎng)絡(luò)也成為了現(xiàn)階段的必然，本文主要通過(guò)分析無(wú)線局域網(wǎng)的特點(diǎn)來(lái)重點(diǎn)分析WLAN技術(shù)的安全問(wèn)題，并提出安全措施。

校園網(wǎng)；WLAN;安全措施

一、WLAN的概念和接入技術(shù)介紹

WLAN是計(jì)算機(jī)技術(shù)和無(wú)線通信技術(shù)相結(jié)合而誕生的新產(chǎn)物，它利用射頻(RF)技術(shù)取代舊式的雙絞線構(gòu)成局域網(wǎng)絡(luò)，提供傳統(tǒng)有線局域網(wǎng)絡(luò)的所有功能。無(wú)線網(wǎng)絡(luò)所需的基礎(chǔ)設(shè)施不需再埋在地下或隱藏在墻里，并且可以隨意移動(dòng)或變化。在運(yùn)營(yíng)網(wǎng)絡(luò)覆蓋范圍之內(nèi)，用戶(hù)通過(guò)無(wú)線網(wǎng)卡，利用筆記本電腦、PDA(掌上電腦)、臺(tái)式機(jī)等終端設(shè)備以無(wú)線設(shè)備高速接入互聯(lián)網(wǎng)/企業(yè)網(wǎng)，獲取相關(guān)信息進(jìn)行移動(dòng)辦公[1]。

WLAN是以無(wú)線信道作傳輸媒體的計(jì)算機(jī)局域網(wǎng)絡(luò)，它以無(wú)線多址信道作為傳輸媒介，提供傳輸有線局域網(wǎng)的功能，能夠使用戶(hù)真正實(shí)現(xiàn)隨時(shí)、隨地、隨意的寬帶網(wǎng)絡(luò)接入。

二、WLAN在高校校園網(wǎng)中的實(shí)現(xiàn)

(一)無(wú)線網(wǎng)絡(luò)的構(gòu)成

無(wú)線網(wǎng)絡(luò)的構(gòu)成有：認(rèn)證服務(wù)器(AS)、無(wú)線接入點(diǎn)(AP)、接入控制器(AC)、無(wú)線網(wǎng)卡、無(wú)線網(wǎng)橋、天線、POE供電設(shè)備、適配器等等，以下將作重點(diǎn)介紹：

1.無(wú)線網(wǎng)卡

無(wú)線網(wǎng)卡是終端無(wú)線網(wǎng)絡(luò)的設(shè)備，無(wú)線網(wǎng)卡可以使電腦利用無(wú)線來(lái)上網(wǎng)的一個(gè)裝置，通過(guò)無(wú)線網(wǎng)卡，連接進(jìn)入無(wú)線網(wǎng)絡(luò)，便能享受無(wú)線網(wǎng)絡(luò)。主流的無(wú)線技術(shù)是WiFi、藍(lán)牙以及HomeRF，無(wú)線網(wǎng)卡按照接入點(diǎn)的不同也可以分為五種：E型、T型、PC型、L型和USB接口。

2.無(wú)線接入點(diǎn)(AP)

無(wú)線AP是使用無(wú)線設(shè)備(手機(jī)等移動(dòng)設(shè)備及筆記本電腦等無(wú)線設(shè)備)的用戶(hù)在進(jìn)入有線網(wǎng)絡(luò)的接入點(diǎn)后，主要提供無(wú)線網(wǎng)絡(luò)工作站對(duì)有線網(wǎng)絡(luò)的訪問(wèn)以及從有線網(wǎng)絡(luò)工作站對(duì)無(wú)線網(wǎng)絡(luò)的訪問(wèn)。每個(gè)AP 都能支持多個(gè)無(wú)線網(wǎng)卡，由多個(gè)AP就可以構(gòu)成蜂窩式的漫游功能，讓用戶(hù)在移動(dòng)中就能享受到無(wú)縫、無(wú)中斷的無(wú)線網(wǎng)絡(luò)服務(wù)。

3.無(wú)線局域網(wǎng)接入控制器(AC)

無(wú)線網(wǎng)絡(luò)的接入控制器(AC)是WLAN和IP骨干網(wǎng)和外部網(wǎng)絡(luò)之間的接口網(wǎng)關(guān)。在非802.1x的WLAN中，AC發(fā)起認(rèn)證請(qǐng)求，監(jiān)視用戶(hù)實(shí)時(shí)使用情況并采集計(jì)費(fèi)信息送入AS中進(jìn)行計(jì)費(fèi)。

4.認(rèn)證服務(wù)器(AS)

認(rèn)證服務(wù)器(AS)根據(jù)與WLAN無(wú)線接入?yún)^(qū)域之間的IP認(rèn)證和計(jì)費(fèi)信息接口。AS、AC、AP之間使用標(biāo)準(zhǔn)的RADIUS(Remote Authentication Dial In User Service)計(jì)費(fèi)心思、協(xié)議認(rèn)證和鑒別權(quán)利。由于AS能夠滿(mǎn)足多個(gè)AC和AP，所以AS能夠滿(mǎn)足大范圍的無(wú)線接入要求。

5.無(wú)線網(wǎng)橋(Bridge)

無(wú)線網(wǎng)橋就是搭載兩個(gè)無(wú)線網(wǎng)絡(luò)的中間聯(lián)系，通過(guò)無(wú)線網(wǎng)橋可以實(shí)現(xiàn)兩個(gè)或者多個(gè)網(wǎng)絡(luò)之間的遠(yuǎn)距離通信，一般用于在以太網(wǎng)之間提供高速、遠(yuǎn)距離(30cm以?xún)?nèi))的視距連接。

(二)無(wú)線網(wǎng)絡(luò)的組網(wǎng)方式

無(wú)線網(wǎng)絡(luò)的組網(wǎng)方式可以大致分為三種，一是對(duì)點(diǎn)網(wǎng)絡(luò)，即Ad-hoc，另外兩種是接入和中繼方式。

1.Ad-hoc模式

Ad-hoc是沒(méi)有有線網(wǎng)絡(luò)支持的點(diǎn)對(duì)點(diǎn)式的移動(dòng)網(wǎng)絡(luò)模式，其網(wǎng)絡(luò)不需要單獨(dú)的具有總控制的接入設(shè)備AP，只需要單獨(dú)的具有總控制器功能的接入設(shè)備AP。它通過(guò)多張無(wú)線網(wǎng)卡自由的組網(wǎng)實(shí)現(xiàn)通信。在一些范圍小、電腦很小的情況下比較適用。

2.中繼模式

中繼模式指的是間接傳輸，所謂間接傳輸，就是當(dāng)出現(xiàn)兩點(diǎn)不可視而可以通過(guò)一個(gè)中間點(diǎn)來(lái)實(shí)現(xiàn)三點(diǎn)之間的可視情況下采用的一種傳輸模式，這種模式下的局域網(wǎng)之間的通信是通過(guò)各自的無(wú)線網(wǎng)橋來(lái)實(shí)現(xiàn)的，適用范圍集中在范圍較小的情況下。

三、 WLAN技術(shù)的安全隱患

WLAN網(wǎng)絡(luò)信息系統(tǒng)所面臨的安全問(wèn)題隨著無(wú)線局域網(wǎng)的推廣使用日漸顯著，網(wǎng)絡(luò)系統(tǒng)要面臨著來(lái)自設(shè)備外部、內(nèi)部以及人為等多重因素的安全隱患，而對(duì)于WLAN技術(shù)來(lái)講，其主要的安全隱患來(lái)自于訪問(wèn)控制和數(shù)據(jù)加密兩個(gè)方面，由于WLAN技術(shù)是一項(xiàng)開(kāi)放式的無(wú)線網(wǎng)絡(luò)服務(wù)，有一些外部人員也可以通過(guò)破解聯(lián)網(wǎng)防火墻來(lái)非法的獲取學(xué)校的數(shù)據(jù)信息，網(wǎng)絡(luò)安全管理內(nèi)部也可能會(huì)出現(xiàn)私自設(shè)置無(wú)線網(wǎng)卡而導(dǎo)致信息泄露和大量的占用寬帶。[2]總體來(lái)說(shuō)，WLAN在實(shí)際應(yīng)用中所面臨的安全威脅主要分以下幾個(gè)方面：

(一)WEP破解

WEP破解也就是大家最熟悉的密碼被破，隨著技術(shù)的推進(jìn)，一些非法程序可以通過(guò)捕捉AP周?chē)男盘?hào)從而收集數(shù)據(jù)包，收集足夠的WEP弱密匙加密的數(shù)據(jù)包，分析并恢復(fù)密匙。通過(guò)數(shù)據(jù)分析，有時(shí)候很輕易的就可以得到密碼。

(二)竊聽(tīng)網(wǎng)絡(luò)

這種安全威脅已經(jīng)成為無(wú)線局域網(wǎng)絡(luò)面臨的最大問(wèn)題之一，其原因是很多網(wǎng)絡(luò)通訊沒(méi)有意識(shí)到會(huì)受到外界的威脅，用戶(hù)在通信時(shí)沒(méi)有任何的防護(hù)措施，通訊時(shí)也沒(méi)有任何加密措施，導(dǎo)致入侵者有機(jī)可趁，而且入侵者更無(wú)需將竊聽(tīng)或分析設(shè)備物理地接入被竊聽(tīng)的網(wǎng)絡(luò)。

四、 WLAN技術(shù)的安全保障及措施

WLAN的協(xié)議標(biāo)準(zhǔn)之一是IEEE 802.11協(xié)議，它以多個(gè)層次等一些安全性控制手段，為無(wú)線網(wǎng)絡(luò)免于攻擊入侵危害提供了可靠保證，給用戶(hù)提供了一個(gè)安全的上網(wǎng)環(huán)境。

(一)MAC地址過(guò)濾

MAC地址過(guò)濾通過(guò)MAC地址允許或拒絕無(wú)線網(wǎng)絡(luò)中的計(jì)算機(jī)訪問(wèn)廣域網(wǎng)，有效控制無(wú)線網(wǎng)絡(luò)內(nèi)用戶(hù)的上網(wǎng)權(quán)限。[3]物理地址過(guò)濾屬于硬件認(rèn)證，而不是用戶(hù)認(rèn)證。每一位無(wú)線客戶(hù)端都有唯一的物理地址標(biāo)識(shí)，因此可以通過(guò)在AP中手工維護(hù)一組允許訪問(wèn)的MAC地址列表來(lái)實(shí)現(xiàn)物理地址過(guò)濾，由于手工操作，擴(kuò)展性能較差，因此只適用于小型網(wǎng)絡(luò)規(guī)模。

(二)SSID訪問(wèn)控制

業(yè)務(wù)組標(biāo)識(shí)符(Service Set Identifier),用來(lái)識(shí)別在特定無(wú)線網(wǎng)絡(luò)上發(fā)現(xiàn)到的無(wú)線設(shè)備身份。所有的工作站及訪問(wèn)點(diǎn)必須使用相同的SSID才能在彼此間進(jìn)行通訊。也就是說(shuō)：SSID用戶(hù)可以有效的實(shí)現(xiàn)分組訪問(wèn)，從而能夠避免因?yàn)槿我饴味鴮?dǎo)致的安全訪問(wèn)問(wèn)題，進(jìn)而增強(qiáng)了無(wú)線局域網(wǎng)的安全保障。但是不足的是，由于很多用戶(hù)知道SSID，用戶(hù)在上網(wǎng)前自己配置自己的客戶(hù)端系統(tǒng)，不經(jīng)意的把自己的信息共享給非法用戶(hù)，而在實(shí)際的應(yīng)用當(dāng)中，只要有無(wú)線網(wǎng)絡(luò)客戶(hù)端的范圍內(nèi)，都會(huì)自動(dòng)的連入AP，從而繞過(guò)安全訪問(wèn)控制，帶來(lái)安全隱患。總體來(lái)說(shuō)SSID大大加強(qiáng)了無(wú)線網(wǎng)絡(luò)的安全保障，并且還需要不斷加強(qiáng)安全防護(hù)的手段。

(三)802.11認(rèn)證服務(wù)

802.11認(rèn)證服務(wù)實(shí)際上是指用戶(hù)連接到接入點(diǎn)或者寬帶無(wú)線網(wǎng)絡(luò)之前需要先經(jīng)過(guò)認(rèn)證，AP工作站之間的通信也需要進(jìn)行認(rèn)證服務(wù)，兩個(gè)據(jù)點(diǎn)能夠通過(guò)認(rèn)證就證明兩個(gè)據(jù)點(diǎn)能夠正常的互相通信，而802.11認(rèn)證服務(wù)定義了兩種認(rèn)證服務(wù)，開(kāi)放認(rèn)證系統(tǒng)和共享密匙認(rèn)證，而共享密匙認(rèn)證必須經(jīng)過(guò)開(kāi)放保密協(xié)議WEP協(xié)議的認(rèn)證，

WEP加密方式使用了RSA開(kāi)發(fā)的RC4流密碼算法，通過(guò)嚴(yán)格的身份認(rèn)證過(guò)程進(jìn)行驗(yàn)證，盡管這樣WEP加密仍然受到質(zhì)疑，原因在于它的本質(zhì)缺陷：

1.密鑰重復(fù)問(wèn)題

一旦攻擊者獲得了有相同的密鑰流序列加密后所得的兩段密文，再將兩段密文異或，則得到的也是兩段明文的異或，由此密鑰則失效。

2.IV沖撞問(wèn)題

IV數(shù)值的可選范圍值只有224個(gè)，這樣在理論上只要傳輸224個(gè)數(shù)據(jù)幀以后就會(huì)發(fā)生一次IV重用。

另外WEP的密鑰在傳遞過(guò)程中容易被截獲，針對(duì)以上的因素增強(qiáng)高效無(wú)線局域網(wǎng)絡(luò)的安全性主要采取以下幾種方法：

(1)采用WPA加密

WPA全名Wi-Fi Protected Access，有WAP和WAP2兩個(gè)標(biāo)準(zhǔn)，是一種新的無(wú)線電腦網(wǎng)絡(luò)保護(hù)系統(tǒng)用來(lái)取代安全性不足的WEP。[4]簡(jiǎn)單來(lái)說(shuō)，WPA的認(rèn)證過(guò)程是有一個(gè)變量pmk，這個(gè)pmk，是把無(wú)線網(wǎng)絡(luò)的網(wǎng)絡(luò)名稱(chēng)(ssid)和密鑰進(jìn)行了一個(gè)shell運(yùn)算，得到一個(gè)值，就是pwk這個(gè)值，再來(lái)糅一些其他東西，經(jīng)過(guò)一些復(fù)雜的運(yùn)算最終得到MZL簽名，也就是密文，WAP在WEP基礎(chǔ)上采用動(dòng)態(tài)改變密鑰，即在使用中可以動(dòng)態(tài)改變鑰匙的“臨時(shí)鑰匙完整性協(xié)定”(Temporal Key Integrity Protocol TKIP)，加上更長(zhǎng)的初向量，這可以擊敗知名的針對(duì)WEP的金鑰擷取攻擊。WEP加密算法中其種子密鑰由初始化向量IV和原始密鑰Key組成。假設(shè)采用相同的IV和Key，則對(duì)明文P1和P2加密后的數(shù)據(jù)流分別為C1=P1⊕RC4(IV，Key)和C2=P2⊕RC4(IV，Key)，C1⊕C2=[P1⊕RC4(IV，Key)]⊕[P2⊕RC4(IV，Key)]=P1⊕P2。也就是說(shuō)，如果知道P1，則P2就可以完全獲得。根據(jù)該思路設(shè)計(jì)出相應(yīng)的攻擊算法，可以在對(duì)100萬(wàn)個(gè)數(shù)據(jù)包分析即可破解128bit的密鑰。

(2)802.11擴(kuò)展認(rèn)證協(xié)議

IEEE802.11協(xié)議有完善的用戶(hù)認(rèn)證功能和管理功能，可以很好的支撐寬帶網(wǎng)絡(luò)的計(jì)費(fèi)、安全、運(yùn)營(yíng)和管理要求，有兩種認(rèn)證模式：一種是端口認(rèn)證模式,在該模式下只要連接端口的某個(gè)設(shè)備通過(guò)認(rèn)證，其他設(shè)備則不需要認(rèn)證，就可以訪問(wèn)網(wǎng)絡(luò)資源。[5]另一種MAL認(rèn)證模式,在該模式下連接到同一端口的每一個(gè)設(shè)備都需要單獨(dú)進(jìn)行認(rèn)證。

五、結(jié) 語(yǔ)

高校校園引進(jìn)WLAN技術(shù)，不但方便了教師和學(xué)生的上網(wǎng)問(wèn)題，對(duì)于校區(qū)之間的聯(lián)系大大加強(qiáng)，對(duì)于校園的管理和教育有著重要作用。隨著網(wǎng)絡(luò)的迅猛發(fā)展，各種網(wǎng)絡(luò)安全技術(shù)的迅猛發(fā)展，WLAN的安全問(wèn)題也會(huì)逐漸得到解決，WLAN必然也會(huì)憑借著自己的優(yōu)勢(shì)，成為校園網(wǎng)絡(luò)的重要組成部分。

[1]劉云安.寬帶無(wú)線接入和無(wú)線局域網(wǎng)(第一版)[M].北京：北京郵電出版社,2000.

[2] 黃亮.校園網(wǎng)絡(luò)信息安全的威脅與防范[J].現(xiàn)代情報(bào),2004,(1).

[3] 謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].大連：大連理工大學(xué)出版社,2004.

[4] 金純.IEEE802.11無(wú)線局域網(wǎng)[M].北京：電子工業(yè)出版社,2004.

[5] [美]Jim Geler.無(wú)線局域網(wǎng)[M].王群等譯.北京：人民郵電出版社,2001.

2095-4654(2015)01-0021-03

2014-09-18

福建省中青年教師教育科研項(xiàng)目資助(JB12251)

TP393

A