◆祁宏偉 白海艷

（集寧師范學(xué)院 內(nèi)蒙古 012000）

高校校園無線網(wǎng)絡(luò)覆蓋所面臨的安全威脅與防范技術(shù)研究

◆祁宏偉 白海艷

（集寧師范學(xué)院 內(nèi)蒙古 012000）

隨著信息科技的快速發(fā)展，無線網(wǎng)絡(luò)的覆蓋范圍不斷擴(kuò)大，高校作為知識(shí)型人才培養(yǎng)的主要基地，也加大了校園無線網(wǎng)絡(luò)覆蓋的力度，但高校師生在享受無線網(wǎng)絡(luò)提供的便利的同時(shí)，也面臨著巨大的安全威脅，使高校無線網(wǎng)絡(luò)覆蓋防范技術(shù)受到高度關(guān)注。本文為更加全面地認(rèn)識(shí)高校校園無線網(wǎng)絡(luò)覆蓋現(xiàn)狀，為進(jìn)一步發(fā)展高校校園無線網(wǎng)絡(luò)，對高校校園無線網(wǎng)絡(luò)覆蓋所面臨的安全威脅與防范技術(shù)展開研究。

高校；校園無線網(wǎng)絡(luò)覆蓋；安全威脅；防范技術(shù)

0 引言

無線網(wǎng)絡(luò)具有功能強(qiáng)、安裝簡單、組裝靈活、移動(dòng)性突出等特點(diǎn)，在未使用通信線纜的情況下就可以實(shí)現(xiàn)數(shù)據(jù)通訊的特點(diǎn)，所以現(xiàn)階段在高校中被廣泛地應(yīng)用，學(xué)生可在校園范圍內(nèi)進(jìn)行網(wǎng)絡(luò)的登錄和信息利用，極大地方面了高校學(xué)生的學(xué)習(xí)、娛樂等。

1 高校校園無線網(wǎng)絡(luò)覆蓋所面臨的安全威脅

1.1 網(wǎng)絡(luò)竊聽、信息重放威脅

在無線網(wǎng)絡(luò)覆蓋范圍內(nèi)利用物理網(wǎng)絡(luò)訪問限制的手段保證網(wǎng)絡(luò)安全的可行性較低，換言之，網(wǎng)絡(luò)入侵人員可以在無線網(wǎng)絡(luò)覆蓋范圍內(nèi)的任意地點(diǎn)進(jìn)行網(wǎng)絡(luò)連接，并以各種手段、方式攻擊、竊聽無線網(wǎng)絡(luò)。高校作為人口密集的場所，發(fā)生無線網(wǎng)絡(luò)竊聽的可能性更大，而且控制困難，使師生的信息安全受到嚴(yán)重的威脅。另外，現(xiàn)階段網(wǎng)絡(luò)入侵者可以利用非法接入點(diǎn)實(shí)現(xiàn)中間人欺騙攻擊，由于其以“中間人”的身份出現(xiàn)，能夠?qū)κ跈?quán)客戶端和接入點(diǎn)進(jìn)行同步欺騙，采用傳統(tǒng)VPN技術(shù)防范，并不能有效的防治此類攻擊行為，信息被篡改、竊取的可能性仍較大。所以建立更完善、更合理的無線用戶認(rèn)證和授權(quán)系統(tǒng)迫在眉睫。

1.2 WEP破解威脅

WEP雖然現(xiàn)階段得到有效的升級(jí)，但由于其針對有線網(wǎng)絡(luò)設(shè)計(jì)，在無線網(wǎng)絡(luò)覆蓋范圍內(nèi)的應(yīng)用，仍存在一定不足。網(wǎng)絡(luò)黑客利用計(jì)算機(jī)技術(shù)，通常可以對無線網(wǎng)絡(luò)覆蓋范圍內(nèi)的數(shù)據(jù)包進(jìn)行部分甚至全部的捕獲，在非法軟件的作用下，可以對數(shù)據(jù)包加密WEP密鑰進(jìn)行快速有效的破解，在破解密碼后以“合法”的身份對數(shù)據(jù)進(jìn)行利用?，F(xiàn)階段高校校園無線網(wǎng)的覆蓋速度越來越快，據(jù)相關(guān)資料顯示對校園無線網(wǎng)絡(luò)WEP訪問密鑰進(jìn)行有效地破解時(shí)間平均在1小時(shí)以內(nèi)。可見現(xiàn)階段高校無線網(wǎng)絡(luò)覆蓋受到嚴(yán)重的安全威脅，需要更理想的無線數(shù)據(jù)加密技術(shù)做保證。

1.3 MAC地址欺騙威脅

現(xiàn)階段高校無線網(wǎng)絡(luò)覆蓋接入控制的主要方式是MAC地址訪問控制，借此實(shí)現(xiàn)分層管理。但受結(jié)構(gòu)限制，現(xiàn)階段入侵者仍可以在MAC地址訪問控制作用下，成功的入侵校園網(wǎng)絡(luò)。例如入侵者可利用相應(yīng)的網(wǎng)絡(luò)竊聽工具對高校校園無線網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行全面的獲取，然后對獲取的數(shù)據(jù)包的MAC地址進(jìn)行分析和判斷，進(jìn)而獲取校園無線網(wǎng)絡(luò)通信的靜態(tài)地址池，通過地址偽裝的形式重新進(jìn)入高校的無線網(wǎng)絡(luò)覆蓋范圍進(jìn)行網(wǎng)絡(luò)訪問。此時(shí)訪問控制系統(tǒng)則會(huì)認(rèn)為其身份合法，進(jìn)而同意其在無線網(wǎng)絡(luò)系統(tǒng)內(nèi)進(jìn)行操作，對無線網(wǎng)絡(luò)系統(tǒng)的安全性和學(xué)生的信息安全等方面構(gòu)成嚴(yán)重的威脅。要對此威脅有效的防治，需要建立相應(yīng)的無線局域網(wǎng)內(nèi)用戶有效隔離技術(shù)，并對無線用戶認(rèn)證和授權(quán)系統(tǒng)進(jìn)行針對性的完善。

1.4 服務(wù)拒絕威脅

現(xiàn)階段無線網(wǎng)絡(luò)攻擊者通常在對無線網(wǎng)絡(luò)進(jìn)行破壞前會(huì)先進(jìn)行泛洪攻擊。此時(shí)無線網(wǎng)絡(luò)為保證整體的信息安全會(huì)拒絕提供任何服務(wù)，換言之無線網(wǎng)絡(luò)整體會(huì)處于癱瘓的狀態(tài)。學(xué)生在進(jìn)行正常訪問時(shí)，并不能獲得相應(yīng)的網(wǎng)絡(luò)信息服務(wù)，使無線網(wǎng)絡(luò)的功能無法真正發(fā)揮。另外，除泛洪攻擊外，入侵者采用消耗供給，使無線網(wǎng)絡(luò)的網(wǎng)速變慢，無線網(wǎng)絡(luò)對學(xué)生服務(wù)申請的反應(yīng)速度變慢。這也是高校校園無線網(wǎng)絡(luò)常見的安全威脅，需要高校在強(qiáng)化用戶認(rèn)證、授權(quán)系統(tǒng)，應(yīng)用隔離技術(shù)等措施的同時(shí)，有效地利用病毒檢測設(shè)備等對其進(jìn)行有效的防范。

2 針對高校校園無線網(wǎng)絡(luò)覆蓋安全威脅的防范技術(shù)

針對無線校園網(wǎng)的特點(diǎn)及安全問題，可在網(wǎng)絡(luò)不同層次采取多種安全策略，現(xiàn)階段主要防范策略如下：

2.1 建立更完善、更合理的無線用戶認(rèn)證和授權(quán)系統(tǒng)

PPPoE、WEB和IEEE802.1X均是現(xiàn)階段相對較成熟的安全認(rèn)證技術(shù)，但考慮到WEB認(rèn)證方式的服務(wù)器端口可直達(dá)，受惡意攻擊的可能性較大，安全性無法得到保證，而PPPoE認(rèn)證協(xié)議對高校主干網(wǎng)萬兆帶寬的利用程度較低，所以基于端口的訪問控制協(xié)議IEEE802.1X在高校無線網(wǎng)絡(luò)覆蓋無線用戶認(rèn)證和授權(quán)系統(tǒng)建立中被廣泛的應(yīng)用。此項(xiàng)技術(shù)集合了802.1xRADIUS認(rèn)證和MAC地址認(rèn)證技術(shù)的優(yōu)點(diǎn)，非授權(quán)用戶的接入、訪問等操作都可以得到有效的拒絕。此認(rèn)證技術(shù)的原理是，在申請者向認(rèn)證服務(wù)器進(jìn)行身份信息輸入后，由認(rèn)證服務(wù)器對申請者的身份進(jìn)行認(rèn)證，在認(rèn)證通過對密鑰加密并向申請者傳送后，申請者具有訪問無線網(wǎng)絡(luò)的權(quán)利?，F(xiàn)階段在高校建立IEEE802.1X訪問控制協(xié)議，對提升無線網(wǎng)絡(luò)覆蓋的安全性具有重要的意義，具體建設(shè)方式要結(jié)合學(xué)校無線網(wǎng)絡(luò)的具體方式進(jìn)行。例如天津大學(xué)應(yīng)用IPv4/IPv6混合組網(wǎng)，所以其以IEEE802.1X訪問控制協(xié)議為基礎(chǔ)建立了無線校園網(wǎng)IPv4/IPv6認(rèn)證系統(tǒng)。在建立無線用戶認(rèn)證和授權(quán)系統(tǒng)的過程中需要考慮校內(nèi)臨時(shí)連接無線網(wǎng)絡(luò)的特殊人群，如學(xué)生家長、辦理校園業(yè)務(wù)的人員等?，F(xiàn)階段臨時(shí)用戶認(rèn)證，通常采用DHCP+強(qiáng)制Portal認(rèn)證技術(shù)，以此保證校園無線網(wǎng)絡(luò)的整體功能不受影響。

2.2 無線局域網(wǎng)內(nèi)用戶有效隔離技術(shù)

此方法的主要原理是，首先將本來由IEEE802.11MAC固件實(shí)現(xiàn)中繼轉(zhuǎn)發(fā)的無線數(shù)據(jù)包都發(fā)送到無線訪問點(diǎn)的無線網(wǎng)橋模塊，然后判斷收到的數(shù)據(jù)包的源地址和目的MAC地址信息，根據(jù)網(wǎng)橋轉(zhuǎn)發(fā)表項(xiàng)，以及MAC數(shù)據(jù)包過濾表項(xiàng)決定是否轉(zhuǎn)發(fā)或丟棄該數(shù)據(jù)包，實(shí)現(xiàn)對同一分布系統(tǒng)DS內(nèi)無線用戶的隔離?？梢娫摲椒ú捎昧艘环N二層無線防火墻機(jī)制，不但可以用于無線用戶隔離，還可以通過規(guī)則匹配和處理方法定義來過濾和轉(zhuǎn)發(fā)MAC數(shù)據(jù)包，實(shí)現(xiàn)防火墻的功能。利用無線局域網(wǎng)內(nèi)用戶有效隔離技術(shù)，不僅無線網(wǎng)內(nèi)病毒的傳播可以得到有效的控制，而且無線網(wǎng)資源的利用效率也可以得到大幅度的提升。

2.3 網(wǎng)絡(luò)層數(shù)據(jù)的加密技術(shù)

傳統(tǒng)的WEP加密技術(shù)利用16位或32位的加密方式，網(wǎng)絡(luò)中存在的非法密碼破譯軟件，在15至30分鐘內(nèi)就可實(shí)現(xiàn)數(shù)據(jù)密碼破譯，使其加密的效果并不理想。為縮減密碼被破譯的概率，出現(xiàn)128位WEP密鑰認(rèn)證方式，而且在此基礎(chǔ)上出現(xiàn)了針對WEP缺點(diǎn)的專門保護(hù)無線電腦網(wǎng)絡(luò)安全的WPA數(shù)據(jù)加密技術(shù)，其將以RC4為核心的TKIP技術(shù)、以AES加密算法和CCM認(rèn)證方式為基礎(chǔ)的CCCMP機(jī)制、以128為AESOCB加密算法為基礎(chǔ)的WRAP技術(shù)又結(jié)合，在密鑰產(chǎn)生、數(shù)據(jù)封裝、數(shù)據(jù)解封的全過程保證無線網(wǎng)絡(luò)的數(shù)據(jù)安全。高校在防范無線網(wǎng)絡(luò)覆蓋所帶來的安全威脅的過程中應(yīng)有意識(shí)的應(yīng)用WPA密鑰認(rèn)證方式，并更改密鑰的具體設(shè)置，可以有效地縮減非法用戶侵入校園無線網(wǎng)絡(luò)的空間，使高校無線網(wǎng)絡(luò)受到安全威脅的概率大幅降低。

3 結(jié)論

通過上述分析可以發(fā)現(xiàn)，隨著高校無線網(wǎng)絡(luò)覆蓋建設(shè)力度的不斷擴(kuò)大，人們在享受無限網(wǎng)絡(luò)提供的服務(wù)的同時(shí)，已經(jīng)認(rèn)識(shí)到無線網(wǎng)絡(luò)所帶來的安全威脅。高校為保證師生的信息安全，針對無線網(wǎng)絡(luò)覆蓋所面臨的安全威脅，應(yīng)加大技術(shù)防范的力度，現(xiàn)階段雖然取得了較大的成果，但仍需要進(jìn)一步的完善。

[1]趙劍峰.高校無線校園網(wǎng)方案設(shè)計(jì)及工程實(shí)踐[D]．北京：北京郵電大學(xué)，2012.

[2]吳剛山.江蘇農(nóng)林職業(yè)技術(shù)學(xué)院校園網(wǎng)絡(luò)安全系統(tǒng)建設(shè)與實(shí)現(xiàn)[D].南京：南京郵電大學(xué)，2012.

[3]鐘平.校園網(wǎng)安全防范技術(shù)研究[D].廣州：廣東工業(yè)大學(xué)，2007.

[4]黃述杰.武威職業(yè)學(xué)院無線校園網(wǎng)方案設(shè)計(jì)與實(shí)現(xiàn)[D].蘭州：蘭州大學(xué)，2013.

[5]卞揚(yáng).校園無線網(wǎng)絡(luò)安全威脅及其防范技術(shù)淺析[J].科技風(fēng)，2015.

課題項(xiàng)目：高校校園無線網(wǎng)絡(luò)覆蓋所面臨的安全威脅與防范技術(shù)研究，項(xiàng)目計(jì)劃編號(hào)：jsky2016042。