職業(yè)院校無線網(wǎng)安全優(yōu)化方案探究

趙云鶴

摘 要：隨著教育信息化的飛速發(fā)展，無線網(wǎng)絡(luò)逐漸進(jìn)入各大院校，部分職業(yè)院校也開啟了智慧校園建設(shè)，無線網(wǎng)作為構(gòu)建信息化校園的重要依托，其網(wǎng)絡(luò)安全性能與師生的網(wǎng)絡(luò)體驗感密切相關(guān)，如果網(wǎng)絡(luò)安全不能達(dá)標(biāo)，會出現(xiàn)信息被盜取泄露甚至網(wǎng)絡(luò)癱瘓等問題，因此在組建無線局域網(wǎng)過程中，安全的優(yōu)化是重點(diǎn)內(nèi)容，本文結(jié)合無線網(wǎng)的安全優(yōu)化要求，以及面臨的安全威脅，重點(diǎn)闡述了職業(yè)院校的無線網(wǎng)絡(luò)安全優(yōu)化的方案，旨在通過設(shè)計方案實現(xiàn)無線網(wǎng)的安全運(yùn)行，保障在校師生的網(wǎng)絡(luò)安全運(yùn)行。

關(guān)鍵詞：無線網(wǎng);安全;優(yōu)化

無線局域網(wǎng)的信息傳輸媒介是電磁波，可在空中自由傳播，只要在傳輸范圍內(nèi)，用戶的數(shù)據(jù)可以被人格接收裝置截取，可能會導(dǎo)致未經(jīng)授權(quán)的用戶數(shù)據(jù)遭到威脅，它相比有線介質(zhì)來說，更容易遭到干擾、竊取以及破壞。同時由于職業(yè)院校開設(shè)計算機(jī)以及通信等專業(yè)課程，這些學(xué)生對網(wǎng)絡(luò)的探索容易激發(fā)學(xué)生對無線網(wǎng)的好奇心，進(jìn)而使校園無線網(wǎng)面臨更多的安全技術(shù)的考驗。下面將從安全的要求以及常見的安全威脅等方面闡述安全優(yōu)化的方案。

一、安全優(yōu)化的要求

對于職業(yè)院校這種大型網(wǎng)絡(luò)，無線網(wǎng)的安全管控優(yōu)化方面應(yīng)做到以下幾點(diǎn)：

（一）認(rèn)證方式的多樣

隨著網(wǎng)絡(luò)的不斷發(fā)展，一切破解軟件，破解普通AP設(shè)置安全密碼非常簡單。所以連接到網(wǎng)絡(luò)的認(rèn)證方式也需具備多重認(rèn)證方案，比如用戶可以通過網(wǎng)頁認(rèn)證信息獲取登錄方式，也可以通過微信或者短信認(rèn)證實現(xiàn)網(wǎng)絡(luò)賬號的授權(quán)，保障網(wǎng)絡(luò)的安全運(yùn)行。

（二）規(guī)范上網(wǎng)行為

無線網(wǎng)通過對用戶上網(wǎng)行徑管控，例如設(shè)置網(wǎng)絡(luò)訪問控制列表ACL，對上網(wǎng)人員進(jìn)行訪問記錄登記，或者設(shè)置用戶上網(wǎng)時長上網(wǎng)次數(shù)等方案實現(xiàn)對用戶的網(wǎng)上行徑管控，營造健康安全的網(wǎng)絡(luò)氛圍。

（三）主動推送資源

借助無線上網(wǎng)管控系統(tǒng)需實現(xiàn)針對不同用戶，主動推送文字、圖片、視頻等信息，例如可以向?qū)W生推送一些有助于學(xué)習(xí)的課外輔導(dǎo)網(wǎng)站、視頻等，向老師推送學(xué)校通知、教學(xué)計劃，向來訪家長推薦學(xué)院信息等等，為終端接入用戶提供最好的上網(wǎng)體驗。

二、無線局域網(wǎng)安全威脅

（一）網(wǎng)絡(luò)竊聽

無線網(wǎng)通過射頻傳播，缺乏如有線網(wǎng)一樣的雙絞線保護(hù)，只要有無線信號的覆蓋就能接受該AP提供的網(wǎng)絡(luò)支持，因此很容易被他人檢測到信號，如不采用一定的安全措施很容易被他人利用或者攻擊，如果校園內(nèi)師生數(shù)據(jù)被盜取或者被惡意破壞，會對整個無線網(wǎng)構(gòu)成嚴(yán)重威脅。

（二）非法接入

如果搭建的無線網(wǎng)沒有設(shè)置用戶接入驗證，任何設(shè)備均可登錄，則會加重AP負(fù)擔(dān)，對有需求的用戶會造成困擾，因此只有設(shè)置一個合理且安全的認(rèn)證體系，通過認(rèn)證的授權(quán)用戶才能得到更好的網(wǎng)絡(luò)體驗。

（三）病毒攻擊

病毒攻擊的問題主要來自黑客帶來的威脅，一旦黑客通過AP獲得無線網(wǎng)的IP地址，向AP發(fā)起拒絕服務(wù)攻擊，這臺AP很容易癱瘓。這種攻擊方式不以獲取信息為目的，它的最終目標(biāo)是終止服務(wù)器的服務(wù)，這種攻擊方式隱蔽性好，實現(xiàn)容易，防范困難，是黑客的終極攻擊方式，也是校園網(wǎng)的網(wǎng)絡(luò)安全防范的重點(diǎn)內(nèi)容。

三、安全優(yōu)化方案

IEEE802.11協(xié)議主要定義了服務(wù)集標(biāo)識符（SSID）保護(hù)安全、物理地址（MAC）過濾控制安全、有線對等保密機(jī)制（WEP）安全等幾方面，但為了提高校園無線網(wǎng)的安全性，必須引入更安全的認(rèn)證機(jī)制、加密機(jī)制以及控制機(jī)制，針對三種機(jī)制的優(yōu)化方案如下：

（一）認(rèn)證機(jī)制方案

為保護(hù)無線網(wǎng)的入口安全，必須采用有效的認(rèn)證解決方案，保障授權(quán)用戶通過無線接入點(diǎn)訪問網(wǎng)絡(luò)資源。認(rèn)證是驗證用戶身份與資格的過程，它采用多要素認(rèn)證方式保障網(wǎng)絡(luò)的安全性。

IEEE802.11-1999標(biāo)準(zhǔn)定義了兩種認(rèn)證機(jī)制，分別是開放系統(tǒng)認(rèn)證和共享密鑰認(rèn)證。開放系統(tǒng)認(rèn)證不對用戶身份做任何驗證，僅需交換兩個認(rèn)證幀[1]。而共享密鑰認(rèn)證要求用戶設(shè)備必須支持有線等效加密，用戶的設(shè)備與AP必須配置靜態(tài)WEP密鑰，它的認(rèn)證過程中，采用共享密鑰認(rèn)證的無線接口之間需要交換質(zhì)詢與響應(yīng)消息，通信雙方共需要交換4個認(rèn)證幀[2]。

MAC地址認(rèn)證是一種基于端口和MAC地址對用戶的網(wǎng)絡(luò)訪問權(quán)限進(jìn)行控制的認(rèn)證方法，不需要安裝任何客戶軟件。IEEE802.1X認(rèn)證是基于端口網(wǎng)絡(luò)接入控制的協(xié)議，定義了一種授權(quán)架構(gòu)，端口可以是物理端口也可以是邏輯端口，主要由3部分組成：客戶端、認(rèn)證者以及認(rèn)證服務(wù)器。此外認(rèn)證機(jī)制中還包含PSK認(rèn)證以及Portal認(rèn)證，PSK認(rèn)證即為共享密鑰認(rèn)證，它需要實現(xiàn)在無線客戶端和設(shè)備端配置相同的預(yù)共享密鑰，通過能否成功解密協(xié)商信息來確定本端配置的預(yù)共享密鑰是否和對端配置的預(yù)共享密鑰相同，從而完成服務(wù)端與客戶端的相互認(rèn)證。Potral認(rèn)證也稱作為Web認(rèn)證或DHCP+Web認(rèn)證，使用標(biāo)準(zhǔn)的網(wǎng)頁瀏覽器即可，不需要安裝特殊的客戶端軟件，主動認(rèn)證方式下，用戶通過主動訪問位于Potral服務(wù)器上的認(rèn)證界面，輸入賬號以及密碼，獲取賬號信息，強(qiáng)制認(rèn)證方式下，輸入賬號密碼提交賬號信息，Potral服務(wù)器獲取用戶賬號信息，隨后服務(wù)器通過Potral協(xié)議完成與WLAN服務(wù)端的交互，完成認(rèn)證。它的認(rèn)證方式分為二層認(rèn)證方式和三層認(rèn)證方式，但是二層認(rèn)證方式相比三層認(rèn)證方式來說，不能進(jìn)行MAC地址以及IP地址的綁定檢查，安全性相對較差，在職業(yè)院校這種用戶較多的環(huán)境中，不適宜應(yīng)用二層認(rèn)證。

（二）加密機(jī)制方案

無線網(wǎng)的用戶通過認(rèn)證后，具有了訪問網(wǎng)絡(luò)的權(quán)限，網(wǎng)絡(luò)必須確保用戶的信息安全，主要采用的方法就是對數(shù)據(jù)信息報文進(jìn)行加密，以此保障只有特定設(shè)備可以接收報文成功解密，本方案重點(diǎn)探討三種加密技術(shù)，分別是WEP加密、臨時密鑰完整性協(xié)議加密和計數(shù)器模式密碼塊鏈信息認(rèn)證碼協(xié)議。

WEP是一種以RC4流加密為基礎(chǔ)的二層加密機(jī)制，它的3個目的是機(jī)密性、完整性和認(rèn)證。臨時密鑰完整性協(xié)議加密簡稱TKIP加密，是由128位臨時密鑰、48位IV、源MAC地址以及目標(biāo)MAC地址通過復(fù)雜的每包密鑰混合過程生成，這種密鑰混合過程有助于降低IV 碰撞攻擊與弱密鑰攻擊造成的危害[3]。計數(shù)器模式密碼塊鏈信息認(rèn)證碼協(xié)議簡稱CCMP加密，它是以AES算法為基礎(chǔ)的，由于AES算法本身就是一種很難破解的方法，WLAN的安全程度大大提高，為實現(xiàn)強(qiáng)健的安全網(wǎng)絡(luò)提供了有力的保障。

（三）控制機(jī)制方案

端口訪問控制技術(shù)（802.1）是應(yīng)用于無線局域網(wǎng)的一種增強(qiáng)網(wǎng)絡(luò)安全性的解決方案。當(dāng)無線工作站STA與無線訪問點(diǎn)AP設(shè)備連接后，能否為AP設(shè)備提供服務(wù)取決于IEEE802.1X標(biāo)準(zhǔn)的認(rèn)證結(jié)果。如果認(rèn)證通過，則AP能夠為工作站打開邏輯端口，否則將不允許用戶上網(wǎng)。此種控制機(jī)制需要無線工作站安裝802.1X客戶端軟件，無線訪問點(diǎn)要嵌于802.1X認(rèn)證代理，還可以作為RADUIS客戶端，將用戶認(rèn)證信息發(fā)送給服務(wù)器，此種控制技術(shù)不僅提供了端口訪問控制能力，也提供了認(rèn)證系統(tǒng)與計費(fèi)功能，特別適合職業(yè)院校在校師生的無線網(wǎng)接入管理，能夠高效保障網(wǎng)絡(luò)的安全運(yùn)行，并且能夠?qū)崿F(xiàn)網(wǎng)絡(luò)的規(guī)范化管理。

經(jīng)過對以上三種安全方案的探討，結(jié)合職業(yè)院校的常用組網(wǎng)方案，將安全優(yōu)化方案定位：在網(wǎng)絡(luò)核心層采用有線無線一體化結(jié)構(gòu)，在網(wǎng)絡(luò)中針對非法設(shè)備進(jìn)行定位和告警，同時設(shè)置信道告警。研究有線無線一體化控制部署方案，在無線控制器中設(shè)置基于Portal的多種認(rèn)證方式混合接入，升級支持WEP2以及DHCP ?Sever外掛等，在AC與AP之間采用CAPWAP隧道下行流量限速，支持AP身份認(rèn)證。在POE設(shè)備中采用POE交換機(jī)端口隔離。在AP中設(shè)置動態(tài)密鑰下發(fā)功能，要支持智能帶寬限速。無線網(wǎng)絡(luò)力爭通過以上一些安全手段，保障網(wǎng)絡(luò)的暢通運(yùn)行，實現(xiàn)網(wǎng)絡(luò)安全的最優(yōu)化。

結(jié)束語

校園無線網(wǎng)的組建不僅是為在校師生提供網(wǎng)絡(luò)支撐，也是為了實現(xiàn)無線網(wǎng)絡(luò)的安全可控易管理，方便在校師生以及隨訪用戶有綠色、健康、暢通無憂的網(wǎng)絡(luò)體驗，所以對無線網(wǎng)的安全優(yōu)化勢在必行， 通過認(rèn)證機(jī)制、加密機(jī)制、控制機(jī)制三種優(yōu)化方案基本能夠?qū)崿F(xiàn)基礎(chǔ)的網(wǎng)絡(luò)安全優(yōu)化，保障師生的切身利益。

參考文獻(xiàn)

[1] 崔子慧.校園無線網(wǎng)絡(luò)安全管理[J].信息與電腦（理論版），2019（3）：202-203.

[2] 張曉旭.校園無線網(wǎng)絡(luò)安全問題研究[J].信息與電腦（理論版） ，2018（9）：206-208.

[3] 周小新.論校園無線網(wǎng)絡(luò)安全存在的問題和對策[J].科技資訊，2017，15（25）：30，32.