于杰 廈門大學(xué)嘉庚學(xué)院信息科學(xué)與技術(shù)學(xué)院

引言

網(wǎng)絡(luò)信息技術(shù)發(fā)展和普及，對人們的日常生活行為方式和理念產(chǎn)生了極大的影響，基于無線網(wǎng)絡(luò)技術(shù)的信息化產(chǎn)品和應(yīng)用，也在人們生活、工作和學(xué)習(xí)中流行起來。相較于傳統(tǒng)的有線網(wǎng)絡(luò)技術(shù)，無線網(wǎng)絡(luò)不受空間、地域以及設(shè)備等因素的限制，可在有信號覆蓋的地方，根據(jù)使用需求隨時連接無線網(wǎng)，從而解決了有線網(wǎng)絡(luò)布線的難點，如難度大，成本高，時間長等?？偟膩碚f，無線網(wǎng)絡(luò)主要優(yōu)點在于部署靈活，擴容能力強，移動性好，總體成本低，不受地域限制。IEEE802.11n 標(biāo)準(zhǔn)實現(xiàn)了與現(xiàn)有有線網(wǎng)絡(luò)的平滑無縫連接。當(dāng)前有線網(wǎng)絡(luò)資源主要優(yōu)點在于兼容性、集成性較好等優(yōu)點。而無線網(wǎng)絡(luò)極大程度便利了人們的日常生活，且安全性、可靠性較高。本文對當(dāng)前高校無線網(wǎng)絡(luò)主要存在的問題進行了總結(jié)和分析，同時對主要的安全措施和技術(shù)進行了論述。

1 校園局域網(wǎng)面臨的問題

1.1 秘鑰管理混亂，用戶數(shù)量巨大

目前，因為WEP 保密性較低且易于破解。攻擊者可以通過捕獲數(shù)據(jù)包注入，獲取足夠的通信數(shù)據(jù)和分析數(shù)據(jù)包，進行WEP 加密破解。盡管WEP 密鑰可以通過外部控制減少IV（初始化向量）沖突，但控制要求較為復(fù)雜，必要情況下，還要求通過手動的形式進行操作，但其他的解決手段，成本要求較高且資源占用較多；且有線網(wǎng)需要在網(wǎng)線的基礎(chǔ)上，才能訪問互聯(lián)網(wǎng)，而無線網(wǎng)絡(luò)只需要在無線網(wǎng)絡(luò)接入點（無線網(wǎng)絡(luò)接入點），所有設(shè)備都可以通過AP 進行無線網(wǎng)訪問，但無法確定其具體方位。由于無線網(wǎng)在管理方面，相交寬泛，介質(zhì)傳輸過程中缺乏相應(yīng)的物理保護，即使非系統(tǒng)授權(quán)客戶，也能夠在短時間內(nèi)接入無線網(wǎng)絡(luò)系統(tǒng)，所以，其安全性無法獲得保證。例如，大學(xué)校園中教師和學(xué)生的個人基本信息，經(jīng)常被攻擊者通過無線網(wǎng)絡(luò)開放性的特點盜取。因此，校園網(wǎng)絡(luò)安全性的問題，是當(dāng)前需要解決的重要問題。

1.2 現(xiàn)存算法的漏洞

常用的WEP（有線等效保密）算法存在許多漏洞。因為WEP標(biāo)準(zhǔn)是無線網(wǎng)技術(shù)發(fā)展之初形成的，且其安全技術(shù)主要來自RC4的RSA 數(shù)據(jù)加密技術(shù)，。當(dāng)前，應(yīng)用最多的加密保護方式為64位WEP 加 密、128 位WEP 加 密。而WEP 加 密 法 中 的IV [2]（InitializationVector），安全性相對較低，但位數(shù)較低的計算方式，所能夠保證的只是數(shù)據(jù)傳輸不出現(xiàn)失誤，卻無法確保數(shù)據(jù)傳輸時不被篡改。WEP 漏洞主要存在命令執(zhí)行漏洞、目錄遍歷漏洞、跨站點腳本漏洞、文件漏洞、SQL 注入漏洞等。攻擊人員可通過上述漏洞，偽造或者篡改有關(guān)參數(shù)，從而達到盜取用戶信息的目的。而由于WEP 加密技術(shù)存在以上漏洞，所以很容易破解對于熟悉該原則的攻擊者。

1.3 多元化的網(wǎng)絡(luò)攻擊

如今，人們的生活與無線網(wǎng)絡(luò)越來越不可分割。無論是何種形式的智能設(shè)備，只要在無線網(wǎng)絡(luò)覆蓋區(qū)域，就可以根據(jù)個人訪問所需連接無線網(wǎng)。但因為前文所述的漏洞，導(dǎo)致無線網(wǎng)絡(luò)安全性、穩(wěn)定性無法保證，攻擊者可通過上述漏洞，竊取用戶個人基本信息。雖然無線網(wǎng)絡(luò)極大便利了師生之間的交流和互動，但因為其開放性和支持多用戶訪問的特點，導(dǎo)致無線網(wǎng)絡(luò)容易遭受黑客攻擊。攻擊形式主要存在針對移動終端、針對核心網(wǎng)絡(luò)的攻擊形式。二者的結(jié)合，能夠極大提升黑客攻擊成效，可通過惡意接入、無線網(wǎng)絡(luò)釣魚、隔離客戶端等手段，滲透或者破解數(shù)據(jù)網(wǎng)絡(luò)。黑客在取得訪問權(quán)后，能夠輕易獲取用戶關(guān)鍵信息，并通過數(shù)據(jù)分析的形式，獲取校園網(wǎng)無線網(wǎng)用戶的數(shù)據(jù)信息。黑客只要取得無線網(wǎng)絡(luò)證書，就可以在這些數(shù)據(jù)憑證作用下，進行無線訪問，并繞過防護程序進行攻擊，以及安全機制。

1.4 網(wǎng)絡(luò)監(jiān)聽的多樣性

網(wǎng)絡(luò)監(jiān)控指的是對網(wǎng)絡(luò)運行狀態(tài)的監(jiān)控，包括數(shù)據(jù)流量以及網(wǎng)絡(luò)信息的傳輸。當(dāng)處于監(jiān)聽模式時，攻擊人員可任意盜取無線網(wǎng)絡(luò)傳輸?shù)母黝悢?shù)據(jù)。攻擊人員在獲取主機登陸權(quán)限后，如果需要登錄其他主機，可通過網(wǎng)絡(luò)監(jiān)控的方式，攔截文件信息、聊天、用戶名、密碼等信息數(shù)據(jù)，導(dǎo)致用戶蒙受不應(yīng)有的損失。因為當(dāng)前應(yīng)用的協(xié)議應(yīng)用較早，相當(dāng)一部分協(xié)議，是在雙方信任基礎(chǔ)上獲得應(yīng)用的。在網(wǎng)絡(luò)運行過程中，很多用戶信息，甚至是密碼信息，都以文本形式傳輸至網(wǎng)絡(luò)系統(tǒng)，因此，攻擊者通過執(zhí)行網(wǎng)絡(luò)監(jiān)視更容易獲取用戶信息。只要能夠掌握基礎(chǔ)的TCP/IP 協(xié)議，攻擊人員就能夠在短時間內(nèi)竊取用戶關(guān)鍵系統(tǒng)。就系統(tǒng)而言，擁有用戶權(quán)限的操作人員，可通過向網(wǎng)絡(luò)接口發(fā)送I / O 指令，主機就可以被設(shè)定為偵聽模式，無論用戶是否具有超級權(quán)限或很容易直接實現(xiàn)監(jiān)控工具，以獲取用戶信息，造成用戶關(guān)鍵信息外漏，直接損害到用戶合法權(quán)益，甚至直接影響到整個校園網(wǎng)的安全性。

2 網(wǎng)咯安全的防范措施

2.1 網(wǎng)絡(luò)設(shè)備的安全設(shè)置，

校園無線網(wǎng)絡(luò)為教師和學(xué)生帶來了方便快捷的體驗。同時，還存在許多安全風(fēng)險。消除安全風(fēng)險的最直接方法是驗證進入網(wǎng)絡(luò)的用戶的資格并防止他們離開源。無法無天的元素侵入無線網(wǎng)絡(luò)。用戶可在交換機作用下進行安全設(shè)置，從而更為及時對入侵信息進行報警，從而提升無線網(wǎng)絡(luò)的安全性。一般而言，無線網(wǎng)絡(luò)信號傳輸是通過電磁波的形式進行的，由于電磁波處于分散狀態(tài)，分布區(qū)域、傳播方式呈不規(guī)則狀，從而為外部非法入侵提供了便利。當(dāng)前，為了減少外部入侵，采用的主要方式是關(guān)閉SSID 廣播功能。所謂的SSID 廣播，指的是無線網(wǎng)絡(luò)接入點，向外部發(fā)送廣播信息。當(dāng)SSID 廣播被關(guān)閉后，外部入侵難度也隨之加大。同時，MAC 地址過濾被應(yīng)用到無線網(wǎng)絡(luò)設(shè)備終端，并設(shè)置MAC 地址權(quán)限列表，且于AP上配置MAC 地址表。AP 的MAC 地址被認(rèn)證后，才能在AP 作用下實現(xiàn)無線網(wǎng)訪問。而其余數(shù)據(jù)包則丟失無法被轉(zhuǎn)發(fā)，導(dǎo)致攻擊者在此類AP 作用下攻擊無線網(wǎng)內(nèi)部網(wǎng)絡(luò)，從而防止非法的元素被非法侵入。

2.2 接入層的安全防范

無線網(wǎng)絡(luò)的安全措施通常包括SSID，WAP-PSK，WEP，WAP等SSID，必須和無線接入點的SSID 相一致，才能起到信息傳輸?shù)哪康?，從而更好區(qū)分不同形式的組訪問，WEP 安全加密技術(shù)主要用于機密控制、完整性、數(shù)據(jù)機密性控制目標(biāo)上。但就校園無線網(wǎng)而言，一般通過WEB 的認(rèn)證和802.1x 認(rèn)證，以及無線網(wǎng)絡(luò)認(rèn)證。因此，除了安全設(shè)置之外，還需要使用802.1x 身份驗證和RADIUS 身份驗證服務(wù)器來加強對無線用戶訪問的控制。802.1x 協(xié)議是在客戶端/服務(wù)器端基礎(chǔ)上獲得應(yīng)用的身份驗證協(xié)議。通過這一認(rèn)證協(xié)議，可有效限制校園網(wǎng)用戶通過接入端口的數(shù)據(jù)訪問。在被認(rèn)證前，只有EAPoL（基于LAN 的擴展認(rèn)證協(xié)議）能夠獲得802.1x 認(rèn)證，并將用戶名、密碼等上傳到服務(wù)器后臺端口。用戶名、密碼在獲得驗證后，就可以打開相關(guān)端口，并分配用戶ip 地址，保證認(rèn)證數(shù)據(jù)可順利通過這一端口。用戶在線。這構(gòu)成了實現(xiàn)身份驗證，授權(quán)和記帳功能的AAA 系統(tǒng)。RADIUS 可有效集中用戶的身份信息，保證其政策的靈活性、安全性、有效性。同時還能夠?qū)崟r記錄用戶網(wǎng)絡(luò)使用情況等信息，并在這一基礎(chǔ)上進行管理。Ubuntu Gutsy 7.10 主要用戶設(shè)置RADIUS 服務(wù)器，并驗證用戶密碼、用戶名等信息，避免未獲得授權(quán)的用戶隨意訪問無線網(wǎng)，從而確保網(wǎng)絡(luò)安全。

2.3 傳輸過程加密

數(shù)據(jù)傳輸加密是當(dāng)前應(yīng)用較多的信息保護方式，安全性較高。數(shù)據(jù)加密技術(shù)主要存在線路加密、端到端加密兩種加密技術(shù)。要求對敏感技術(shù)、信息進行加密處理，自動隱藏關(guān)鍵信息，提升信息的安全性。無線AP 以向周圍區(qū)域，傳輸電磁信息的形式，實現(xiàn)數(shù)據(jù)傳輸?shù)哪康?。如果用戶信息被攻擊者非法獲取，師生基本信息、關(guān)鍵信息，就可能出現(xiàn)泄露的情況，因此要求在WPA-RADIUS 加密技術(shù)作用下，實現(xiàn)信息加密，提升信息安全性，避免信息被攻擊者非法盜取[4]。而WPA-RADIUS 加密是在RADIUS 服務(wù)器作用下實現(xiàn)的，要求通過RADIUS 身份驗證實現(xiàn)信息訪問，保證服務(wù)器正確配置。WPARADIUS 安全性相對較高，一般用于大型無線網(wǎng)絡(luò)，從而避免了無線網(wǎng)信息資源的外泄，體現(xiàn)更好的安全性和可靠性。

2.4 使用防火墻技術(shù)和入侵檢測技術(shù)，同時對子網(wǎng)進行單獨規(guī)劃

為提升校園網(wǎng)安全性，加強無線無、有線網(wǎng)管理，并劃分無線子網(wǎng)。校園網(wǎng)主要結(jié)構(gòu)為無線子網(wǎng)、有線子網(wǎng)以及資源子網(wǎng)等部分[9]。要求在有線、無線網(wǎng)絡(luò)之間，設(shè)置防火墻，避免無線網(wǎng)被攻擊，導(dǎo)致資源被竊取的情況。尤其是在用戶登錄無線網(wǎng)系統(tǒng)時，第一次是訪問無線網(wǎng)絡(luò)通過身份驗證服務(wù)器。只有在認(rèn)證通過后才能獲得授權(quán)，并且可以根據(jù)相應(yīng)的權(quán)限訪問網(wǎng)絡(luò)中的資源。為了確保安全性，同時還要設(shè)置安全防火墻、入侵檢測系統(tǒng)，避免內(nèi)外部入侵。此外，網(wǎng)絡(luò)中心還可以通過無線網(wǎng)絡(luò)管理設(shè)備，加強對無線、有線網(wǎng)絡(luò)集成管理和監(jiān)控。

3 增強師生安全意識，加強網(wǎng)絡(luò)安全管理

上述措施可以在一定程度上防止犯罪分子的攻擊，但不能消除。因此，要加強對師生的互聯(lián)網(wǎng)指導(dǎo)，培養(yǎng)良好的個人網(wǎng)絡(luò)習(xí)慣，不打開不健康的網(wǎng)頁，不泄露互聯(lián)網(wǎng)上的個人信息，我相信天空中的美好事物，提高安全意識，文明互聯(lián)網(wǎng)。學(xué)校應(yīng)該提高網(wǎng)絡(luò)安全性機制，網(wǎng)絡(luò)中心應(yīng)創(chuàng)建網(wǎng)絡(luò)安全預(yù)警機制以及信息通知系統(tǒng)，加強無線設(shè)備管理，保證能夠在短時間內(nèi)檢測并對入侵信息進行預(yù)警，并在發(fā)現(xiàn)危險的第一時間，采取相應(yīng)的處理措施，從而保證無線網(wǎng)絡(luò)和用戶的信息安全。此外，還可在安全審計系統(tǒng)作用下，加強校園網(wǎng)的安全保護。教師和學(xué)生隨時隨地訪問互聯(lián)網(wǎng)是一項方便的任務(wù)。確保無線網(wǎng)絡(luò)安全等級，是一項系統(tǒng)、長期的工作，對校園網(wǎng)發(fā)展更為關(guān)鍵。因此，高校應(yīng)當(dāng)根據(jù)實際所需，提升師生網(wǎng)絡(luò)安全意識，保證校園無線網(wǎng)的安全、穩(wěn)定的運行。平臺，為學(xué)校師生提供安全可靠的環(huán)境，提供安全健康的在線環(huán)境。

4 結(jié)束語

校園無線網(wǎng)是一個大型系統(tǒng)工程，如進入校園的計算機有線網(wǎng)絡(luò)。這是實現(xiàn)智能校園的有效途徑。當(dāng)前，校園無線網(wǎng)技術(shù)應(yīng)用已經(jīng)逐漸成熟，對高校學(xué)生的日常生活、學(xué)習(xí)，都產(chǎn)生了極大的影響，尤其是網(wǎng)購、網(wǎng)上支付在生活中的不斷普及，人們關(guān)于網(wǎng)絡(luò)安全的要求不斷提升。所以，培養(yǎng)高素養(yǎng)的網(wǎng)絡(luò)安全技能人才，研發(fā)更為先進、科協(xié)性更高的安全技術(shù)，對提升網(wǎng)絡(luò)安全等級有著極大意義和作用[5]。雖然無線網(wǎng)技術(shù)獲得了極大發(fā)展和普及，但安全問題卻始終未能得到解決，因此，如何提升無線網(wǎng)絡(luò)運行過程中的信息安全性，以改善教師和學(xué)生的安全網(wǎng)絡(luò)。努力為環(huán)境服務(wù)。