◆祁宏偉 白海艷

（集寧師范學院 內(nèi)蒙古 012000）

高校校園無線網(wǎng)絡覆蓋所面臨的安全威脅與防范技術研究

◆祁宏偉 白海艷

（集寧師范學院 內(nèi)蒙古 012000）

隨著信息科技的快速發(fā)展，無線網(wǎng)絡的覆蓋范圍不斷擴大，高校作為知識型人才培養(yǎng)的主要基地，也加大了校園無線網(wǎng)絡覆蓋的力度，但高校師生在享受無線網(wǎng)絡提供的便利的同時，也面臨著巨大的安全威脅，使高校無線網(wǎng)絡覆蓋防范技術受到高度關注。本文為更加全面地認識高校校園無線網(wǎng)絡覆蓋現(xiàn)狀，為進一步發(fā)展高校校園無線網(wǎng)絡，對高校校園無線網(wǎng)絡覆蓋所面臨的安全威脅與防范技術展開研究。

高校；校園無線網(wǎng)絡覆蓋；安全威脅；防范技術

0 引言

無線網(wǎng)絡具有功能強、安裝簡單、組裝靈活、移動性突出等特點，在未使用通信線纜的情況下就可以實現(xiàn)數(shù)據(jù)通訊的特點，所以現(xiàn)階段在高校中被廣泛地應用，學生可在校園范圍內(nèi)進行網(wǎng)絡的登錄和信息利用，極大地方面了高校學生的學習、娛樂等。

1 高校校園無線網(wǎng)絡覆蓋所面臨的安全威脅

1.1 網(wǎng)絡竊聽、信息重放威脅

在無線網(wǎng)絡覆蓋范圍內(nèi)利用物理網(wǎng)絡訪問限制的手段保證網(wǎng)絡安全的可行性較低，換言之，網(wǎng)絡入侵人員可以在無線網(wǎng)絡覆蓋范圍內(nèi)的任意地點進行網(wǎng)絡連接，并以各種手段、方式攻擊、竊聽無線網(wǎng)絡。高校作為人口密集的場所，發(fā)生無線網(wǎng)絡竊聽的可能性更大，而且控制困難，使師生的信息安全受到嚴重的威脅。另外，現(xiàn)階段網(wǎng)絡入侵者可以利用非法接入點實現(xiàn)中間人欺騙攻擊，由于其以“中間人”的身份出現(xiàn)，能夠?qū)κ跈嗫蛻舳撕徒尤朦c進行同步欺騙，采用傳統(tǒng)VPN技術防范，并不能有效的防治此類攻擊行為，信息被篡改、竊取的可能性仍較大。所以建立更完善、更合理的無線用戶認證和授權系統(tǒng)迫在眉睫。

1.2 WEP破解威脅

WEP雖然現(xiàn)階段得到有效的升級，但由于其針對有線網(wǎng)絡設計，在無線網(wǎng)絡覆蓋范圍內(nèi)的應用，仍存在一定不足。網(wǎng)絡黑客利用計算機技術，通?？梢詫o線網(wǎng)絡覆蓋范圍內(nèi)的數(shù)據(jù)包進行部分甚至全部的捕獲，在非法軟件的作用下，可以對數(shù)據(jù)包加密WEP密鑰進行快速有效的破解，在破解密碼后以“合法”的身份對數(shù)據(jù)進行利用。現(xiàn)階段高校校園無線網(wǎng)的覆蓋速度越來越快，據(jù)相關資料顯示對校園無線網(wǎng)絡WEP訪問密鑰進行有效地破解時間平均在1小時以內(nèi)?？梢姮F(xiàn)階段高校無線網(wǎng)絡覆蓋受到嚴重的安全威脅，需要更理想的無線數(shù)據(jù)加密技術做保證。

1.3 MAC地址欺騙威脅

現(xiàn)階段高校無線網(wǎng)絡覆蓋接入控制的主要方式是MAC地址訪問控制，借此實現(xiàn)分層管理。但受結(jié)構(gòu)限制，現(xiàn)階段入侵者仍可以在MAC地址訪問控制作用下，成功的入侵校園網(wǎng)絡。例如入侵者可利用相應的網(wǎng)絡竊聽工具對高校校園無線網(wǎng)絡的數(shù)據(jù)包進行全面的獲取，然后對獲取的數(shù)據(jù)包的MAC地址進行分析和判斷，進而獲取校園無線網(wǎng)絡通信的靜態(tài)地址池，通過地址偽裝的形式重新進入高校的無線網(wǎng)絡覆蓋范圍進行網(wǎng)絡訪問。此時訪問控制系統(tǒng)則會認為其身份合法，進而同意其在無線網(wǎng)絡系統(tǒng)內(nèi)進行操作，對無線網(wǎng)絡系統(tǒng)的安全性和學生的信息安全等方面構(gòu)成嚴重的威脅。要對此威脅有效的防治，需要建立相應的無線局域網(wǎng)內(nèi)用戶有效隔離技術，并對無線用戶認證和授權系統(tǒng)進行針對性的完善。

1.4 服務拒絕威脅

現(xiàn)階段無線網(wǎng)絡攻擊者通常在對無線網(wǎng)絡進行破壞前會先進行泛洪攻擊。此時無線網(wǎng)絡為保證整體的信息安全會拒絕提供任何服務，換言之無線網(wǎng)絡整體會處于癱瘓的狀態(tài)。學生在進行正常訪問時，并不能獲得相應的網(wǎng)絡信息服務，使無線網(wǎng)絡的功能無法真正發(fā)揮。另外，除泛洪攻擊外，入侵者采用消耗供給，使無線網(wǎng)絡的網(wǎng)速變慢，無線網(wǎng)絡對學生服務申請的反應速度變慢。這也是高校校園無線網(wǎng)絡常見的安全威脅，需要高校在強化用戶認證、授權系統(tǒng)，應用隔離技術等措施的同時，有效地利用病毒檢測設備等對其進行有效的防范。

2 針對高校校園無線網(wǎng)絡覆蓋安全威脅的防范技術

針對無線校園網(wǎng)的特點及安全問題，可在網(wǎng)絡不同層次采取多種安全策略，現(xiàn)階段主要防范策略如下：

2.1 建立更完善、更合理的無線用戶認證和授權系統(tǒng)

PPPoE、WEB和IEEE802.1X均是現(xiàn)階段相對較成熟的安全認證技術，但考慮到WEB認證方式的服務器端口可直達，受惡意攻擊的可能性較大，安全性無法得到保證，而PPPoE認證協(xié)議對高校主干網(wǎng)萬兆帶寬的利用程度較低，所以基于端口的訪問控制協(xié)議IEEE802.1X在高校無線網(wǎng)絡覆蓋無線用戶認證和授權系統(tǒng)建立中被廣泛的應用。此項技術集合了802.1xRADIUS認證和MAC地址認證技術的優(yōu)點，非授權用戶的接入、訪問等操作都可以得到有效的拒絕。此認證技術的原理是，在申請者向認證服務器進行身份信息輸入后，由認證服務器對申請者的身份進行認證，在認證通過對密鑰加密并向申請者傳送后，申請者具有訪問無線網(wǎng)絡的權利?，F(xiàn)階段在高校建立IEEE802.1X訪問控制協(xié)議，對提升無線網(wǎng)絡覆蓋的安全性具有重要的意義，具體建設方式要結(jié)合學校無線網(wǎng)絡的具體方式進行。例如天津大學應用IPv4/IPv6混合組網(wǎng)，所以其以IEEE802.1X訪問控制協(xié)議為基礎建立了無線校園網(wǎng)IPv4/IPv6認證系統(tǒng)。在建立無線用戶認證和授權系統(tǒng)的過程中需要考慮校內(nèi)臨時連接無線網(wǎng)絡的特殊人群，如學生家長、辦理校園業(yè)務的人員等?，F(xiàn)階段臨時用戶認證，通常采用DHCP+強制Portal認證技術，以此保證校園無線網(wǎng)絡的整體功能不受影響。

2.2 無線局域網(wǎng)內(nèi)用戶有效隔離技術

此方法的主要原理是，首先將本來由IEEE802.11MAC固件實現(xiàn)中繼轉(zhuǎn)發(fā)的無線數(shù)據(jù)包都發(fā)送到無線訪問點的無線網(wǎng)橋模塊，然后判斷收到的數(shù)據(jù)包的源地址和目的MAC地址信息，根據(jù)網(wǎng)橋轉(zhuǎn)發(fā)表項，以及MAC數(shù)據(jù)包過濾表項決定是否轉(zhuǎn)發(fā)或丟棄該數(shù)據(jù)包，實現(xiàn)對同一分布系統(tǒng)DS內(nèi)無線用戶的隔離?？梢娫摲椒ú捎昧艘环N二層無線防火墻機制，不但可以用于無線用戶隔離，還可以通過規(guī)則匹配和處理方法定義來過濾和轉(zhuǎn)發(fā)MAC數(shù)據(jù)包，實現(xiàn)防火墻的功能。利用無線局域網(wǎng)內(nèi)用戶有效隔離技術，不僅無線網(wǎng)內(nèi)病毒的傳播可以得到有效的控制，而且無線網(wǎng)資源的利用效率也可以得到大幅度的提升。

2.3 網(wǎng)絡層數(shù)據(jù)的加密技術

傳統(tǒng)的WEP加密技術利用16位或32位的加密方式，網(wǎng)絡中存在的非法密碼破譯軟件，在15至30分鐘內(nèi)就可實現(xiàn)數(shù)據(jù)密碼破譯，使其加密的效果并不理想。為縮減密碼被破譯的概率，出現(xiàn)128位WEP密鑰認證方式，而且在此基礎上出現(xiàn)了針對WEP缺點的專門保護無線電腦網(wǎng)絡安全的WPA數(shù)據(jù)加密技術，其將以RC4為核心的TKIP技術、以AES加密算法和CCM認證方式為基礎的CCCMP機制、以128為AESOCB加密算法為基礎的WRAP技術又結(jié)合，在密鑰產(chǎn)生、數(shù)據(jù)封裝、數(shù)據(jù)解封的全過程保證無線網(wǎng)絡的數(shù)據(jù)安全。高校在防范無線網(wǎng)絡覆蓋所帶來的安全威脅的過程中應有意識的應用WPA密鑰認證方式，并更改密鑰的具體設置，可以有效地縮減非法用戶侵入校園無線網(wǎng)絡的空間，使高校無線網(wǎng)絡受到安全威脅的概率大幅降低。

3 結(jié)論

通過上述分析可以發(fā)現(xiàn)，隨著高校無線網(wǎng)絡覆蓋建設力度的不斷擴大，人們在享受無限網(wǎng)絡提供的服務的同時，已經(jīng)認識到無線網(wǎng)絡所帶來的安全威脅。高校為保證師生的信息安全，針對無線網(wǎng)絡覆蓋所面臨的安全威脅，應加大技術防范的力度，現(xiàn)階段雖然取得了較大的成果，但仍需要進一步的完善。

[1]趙劍峰.高校無線校園網(wǎng)方案設計及工程實踐[D]．北京：北京郵電大學，2012.

[2]吳剛山.江蘇農(nóng)林職業(yè)技術學院校園網(wǎng)絡安全系統(tǒng)建設與實現(xiàn)[D].南京：南京郵電大學，2012.

[3]鐘平.校園網(wǎng)安全防范技術研究[D].廣州：廣東工業(yè)大學，2007.

[4]黃述杰.武威職業(yè)學院無線校園網(wǎng)方案設計與實現(xiàn)[D].蘭州：蘭州大學，2013.

[5]卞揚.校園無線網(wǎng)絡安全威脅及其防范技術淺析[J].科技風，2015.

課題項目：高校校園無線網(wǎng)絡覆蓋所面臨的安全威脅與防范技術研究，項目計劃編號：jsky2016042。