于杰 廈門(mén)大學(xué)嘉庚學(xué)院信息科學(xué)與技術(shù)學(xué)院

引言

網(wǎng)絡(luò)信息技術(shù)發(fā)展和普及，對(duì)人們的日常生活行為方式和理念產(chǎn)生了極大的影響，基于無(wú)線(xiàn)網(wǎng)絡(luò)技術(shù)的信息化產(chǎn)品和應(yīng)用，也在人們生活、工作和學(xué)習(xí)中流行起來(lái)。相較于傳統(tǒng)的有線(xiàn)網(wǎng)絡(luò)技術(shù)，無(wú)線(xiàn)網(wǎng)絡(luò)不受空間、地域以及設(shè)備等因素的限制，可在有信號(hào)覆蓋的地方，根據(jù)使用需求隨時(shí)連接無(wú)線(xiàn)網(wǎng)，從而解決了有線(xiàn)網(wǎng)絡(luò)布線(xiàn)的難點(diǎn)，如難度大，成本高，時(shí)間長(zhǎng)等?？偟膩?lái)說(shuō)，無(wú)線(xiàn)網(wǎng)絡(luò)主要優(yōu)點(diǎn)在于部署靈活，擴(kuò)容能力強(qiáng)，移動(dòng)性好，總體成本低，不受地域限制。IEEE802.11n 標(biāo)準(zhǔn)實(shí)現(xiàn)了與現(xiàn)有有線(xiàn)網(wǎng)絡(luò)的平滑無(wú)縫連接。當(dāng)前有線(xiàn)網(wǎng)絡(luò)資源主要優(yōu)點(diǎn)在于兼容性、集成性較好等優(yōu)點(diǎn)。而無(wú)線(xiàn)網(wǎng)絡(luò)極大程度便利了人們的日常生活，且安全性、可靠性較高。本文對(duì)當(dāng)前高校無(wú)線(xiàn)網(wǎng)絡(luò)主要存在的問(wèn)題進(jìn)行了總結(jié)和分析，同時(shí)對(duì)主要的安全措施和技術(shù)進(jìn)行了論述。

1 校園局域網(wǎng)面臨的問(wèn)題

1.1 秘鑰管理混亂，用戶(hù)數(shù)量巨大

目前，因?yàn)閃EP 保密性較低且易于破解。攻擊者可以通過(guò)捕獲數(shù)據(jù)包注入，獲取足夠的通信數(shù)據(jù)和分析數(shù)據(jù)包，進(jìn)行WEP 加密破解。盡管WEP 密鑰可以通過(guò)外部控制減少I(mǎi)V（初始化向量）沖突，但控制要求較為復(fù)雜，必要情況下，還要求通過(guò)手動(dòng)的形式進(jìn)行操作，但其他的解決手段，成本要求較高且資源占用較多；且有線(xiàn)網(wǎng)需要在網(wǎng)線(xiàn)的基礎(chǔ)上，才能訪(fǎng)問(wèn)互聯(lián)網(wǎng)，而無(wú)線(xiàn)網(wǎng)絡(luò)只需要在無(wú)線(xiàn)網(wǎng)絡(luò)接入點(diǎn)（無(wú)線(xiàn)網(wǎng)絡(luò)接入點(diǎn)），所有設(shè)備都可以通過(guò)AP 進(jìn)行無(wú)線(xiàn)網(wǎng)訪(fǎng)問(wèn)，但無(wú)法確定其具體方位。由于無(wú)線(xiàn)網(wǎng)在管理方面，相交寬泛，介質(zhì)傳輸過(guò)程中缺乏相應(yīng)的物理保護(hù)，即使非系統(tǒng)授權(quán)客戶(hù)，也能夠在短時(shí)間內(nèi)接入無(wú)線(xiàn)網(wǎng)絡(luò)系統(tǒng)，所以，其安全性無(wú)法獲得保證。例如，大學(xué)校園中教師和學(xué)生的個(gè)人基本信息，經(jīng)常被攻擊者通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò)開(kāi)放性的特點(diǎn)盜取。因此，校園網(wǎng)絡(luò)安全性的問(wèn)題，是當(dāng)前需要解決的重要問(wèn)題。

1.2 現(xiàn)存算法的漏洞

常用的WEP（有線(xiàn)等效保密）算法存在許多漏洞。因?yàn)閃EP標(biāo)準(zhǔn)是無(wú)線(xiàn)網(wǎng)技術(shù)發(fā)展之初形成的，且其安全技術(shù)主要來(lái)自RC4的RSA 數(shù)據(jù)加密技術(shù)，。當(dāng)前，應(yīng)用最多的加密保護(hù)方式為64位WEP 加 密、128 位WEP 加 密。而WEP 加 密 法 中 的IV [2]（InitializationVector），安全性相對(duì)較低，但位數(shù)較低的計(jì)算方式，所能夠保證的只是數(shù)據(jù)傳輸不出現(xiàn)失誤，卻無(wú)法確保數(shù)據(jù)傳輸時(shí)不被篡改。WEP 漏洞主要存在命令執(zhí)行漏洞、目錄遍歷漏洞、跨站點(diǎn)腳本漏洞、文件漏洞、SQL 注入漏洞等。攻擊人員可通過(guò)上述漏洞，偽造或者篡改有關(guān)參數(shù)，從而達(dá)到盜取用戶(hù)信息的目的。而由于WEP 加密技術(shù)存在以上漏洞，所以很容易破解對(duì)于熟悉該原則的攻擊者。

1.3 多元化的網(wǎng)絡(luò)攻擊

如今，人們的生活與無(wú)線(xiàn)網(wǎng)絡(luò)越來(lái)越不可分割。無(wú)論是何種形式的智能設(shè)備，只要在無(wú)線(xiàn)網(wǎng)絡(luò)覆蓋區(qū)域，就可以根據(jù)個(gè)人訪(fǎng)問(wèn)所需連接無(wú)線(xiàn)網(wǎng)。但因?yàn)榍拔乃龅穆┒?，?dǎo)致無(wú)線(xiàn)網(wǎng)絡(luò)安全性、穩(wěn)定性無(wú)法保證，攻擊者可通過(guò)上述漏洞，竊取用戶(hù)個(gè)人基本信息。雖然無(wú)線(xiàn)網(wǎng)絡(luò)極大便利了師生之間的交流和互動(dòng)，但因?yàn)槠溟_(kāi)放性和支持多用戶(hù)訪(fǎng)問(wèn)的特點(diǎn)，導(dǎo)致無(wú)線(xiàn)網(wǎng)絡(luò)容易遭受黑客攻擊。攻擊形式主要存在針對(duì)移動(dòng)終端、針對(duì)核心網(wǎng)絡(luò)的攻擊形式。二者的結(jié)合，能夠極大提升黑客攻擊成效，可通過(guò)惡意接入、無(wú)線(xiàn)網(wǎng)絡(luò)釣魚(yú)、隔離客戶(hù)端等手段，滲透或者破解數(shù)據(jù)網(wǎng)絡(luò)。黑客在取得訪(fǎng)問(wèn)權(quán)后，能夠輕易獲取用戶(hù)關(guān)鍵信息，并通過(guò)數(shù)據(jù)分析的形式，獲取校園網(wǎng)無(wú)線(xiàn)網(wǎng)用戶(hù)的數(shù)據(jù)信息。黑客只要取得無(wú)線(xiàn)網(wǎng)絡(luò)證書(shū)，就可以在這些數(shù)據(jù)憑證作用下，進(jìn)行無(wú)線(xiàn)訪(fǎng)問(wèn)，并繞過(guò)防護(hù)程序進(jìn)行攻擊，以及安全機(jī)制。

1.4 網(wǎng)絡(luò)監(jiān)聽(tīng)的多樣性

網(wǎng)絡(luò)監(jiān)控指的是對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)的監(jiān)控，包括數(shù)據(jù)流量以及網(wǎng)絡(luò)信息的傳輸。當(dāng)處于監(jiān)聽(tīng)模式時(shí)，攻擊人員可任意盜取無(wú)線(xiàn)網(wǎng)絡(luò)傳輸?shù)母黝?lèi)數(shù)據(jù)。攻擊人員在獲取主機(jī)登陸權(quán)限后，如果需要登錄其他主機(jī)，可通過(guò)網(wǎng)絡(luò)監(jiān)控的方式，攔截文件信息、聊天、用戶(hù)名、密碼等信息數(shù)據(jù)，導(dǎo)致用戶(hù)蒙受不應(yīng)有的損失。因?yàn)楫?dāng)前應(yīng)用的協(xié)議應(yīng)用較早，相當(dāng)一部分協(xié)議，是在雙方信任基礎(chǔ)上獲得應(yīng)用的。在網(wǎng)絡(luò)運(yùn)行過(guò)程中，很多用戶(hù)信息，甚至是密碼信息，都以文本形式傳輸至網(wǎng)絡(luò)系統(tǒng)，因此，攻擊者通過(guò)執(zhí)行網(wǎng)絡(luò)監(jiān)視更容易獲取用戶(hù)信息。只要能夠掌握基礎(chǔ)的TCP/IP 協(xié)議，攻擊人員就能夠在短時(shí)間內(nèi)竊取用戶(hù)關(guān)鍵系統(tǒng)。就系統(tǒng)而言，擁有用戶(hù)權(quán)限的操作人員，可通過(guò)向網(wǎng)絡(luò)接口發(fā)送I / O 指令，主機(jī)就可以被設(shè)定為偵聽(tīng)模式，無(wú)論用戶(hù)是否具有超級(jí)權(quán)限或很容易直接實(shí)現(xiàn)監(jiān)控工具，以獲取用戶(hù)信息，造成用戶(hù)關(guān)鍵信息外漏，直接損害到用戶(hù)合法權(quán)益，甚至直接影響到整個(gè)校園網(wǎng)的安全性。

2 網(wǎng)咯安全的防范措施

2.1 網(wǎng)絡(luò)設(shè)備的安全設(shè)置，

校園無(wú)線(xiàn)網(wǎng)絡(luò)為教師和學(xué)生帶來(lái)了方便快捷的體驗(yàn)。同時(shí)，還存在許多安全風(fēng)險(xiǎn)。消除安全風(fēng)險(xiǎn)的最直接方法是驗(yàn)證進(jìn)入網(wǎng)絡(luò)的用戶(hù)的資格并防止他們離開(kāi)源。無(wú)法無(wú)天的元素侵入無(wú)線(xiàn)網(wǎng)絡(luò)。用戶(hù)可在交換機(jī)作用下進(jìn)行安全設(shè)置，從而更為及時(shí)對(duì)入侵信息進(jìn)行報(bào)警，從而提升無(wú)線(xiàn)網(wǎng)絡(luò)的安全性。一般而言，無(wú)線(xiàn)網(wǎng)絡(luò)信號(hào)傳輸是通過(guò)電磁波的形式進(jìn)行的，由于電磁波處于分散狀態(tài)，分布區(qū)域、傳播方式呈不規(guī)則狀，從而為外部非法入侵提供了便利。當(dāng)前，為了減少外部入侵，采用的主要方式是關(guān)閉SSID 廣播功能。所謂的SSID 廣播，指的是無(wú)線(xiàn)網(wǎng)絡(luò)接入點(diǎn)，向外部發(fā)送廣播信息。當(dāng)SSID 廣播被關(guān)閉后，外部入侵難度也隨之加大。同時(shí)，MAC 地址過(guò)濾被應(yīng)用到無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)備終端，并設(shè)置MAC 地址權(quán)限列表，且于AP上配置MAC 地址表。AP 的MAC 地址被認(rèn)證后，才能在AP 作用下實(shí)現(xiàn)無(wú)線(xiàn)網(wǎng)訪(fǎng)問(wèn)。而其余數(shù)據(jù)包則丟失無(wú)法被轉(zhuǎn)發(fā)，導(dǎo)致攻擊者在此類(lèi)AP 作用下攻擊無(wú)線(xiàn)網(wǎng)內(nèi)部網(wǎng)絡(luò)，從而防止非法的元素被非法侵入。

2.2 接入層的安全防范

無(wú)線(xiàn)網(wǎng)絡(luò)的安全措施通常包括SSID，WAP-PSK，WEP，WAP等SSID，必須和無(wú)線(xiàn)接入點(diǎn)的SSID 相一致，才能起到信息傳輸?shù)哪康?，從而更好區(qū)分不同形式的組訪(fǎng)問(wèn)，WEP 安全加密技術(shù)主要用于機(jī)密控制、完整性、數(shù)據(jù)機(jī)密性控制目標(biāo)上。但就校園無(wú)線(xiàn)網(wǎng)而言，一般通過(guò)WEB 的認(rèn)證和802.1x 認(rèn)證，以及無(wú)線(xiàn)網(wǎng)絡(luò)認(rèn)證。因此，除了安全設(shè)置之外，還需要使用802.1x 身份驗(yàn)證和RADIUS 身份驗(yàn)證服務(wù)器來(lái)加強(qiáng)對(duì)無(wú)線(xiàn)用戶(hù)訪(fǎng)問(wèn)的控制。802.1x 協(xié)議是在客戶(hù)端/服務(wù)器端基礎(chǔ)上獲得應(yīng)用的身份驗(yàn)證協(xié)議。通過(guò)這一認(rèn)證協(xié)議，可有效限制校園網(wǎng)用戶(hù)通過(guò)接入端口的數(shù)據(jù)訪(fǎng)問(wèn)。在被認(rèn)證前，只有EAPoL（基于LAN 的擴(kuò)展認(rèn)證協(xié)議）能夠獲得802.1x 認(rèn)證，并將用戶(hù)名、密碼等上傳到服務(wù)器后臺(tái)端口。用戶(hù)名、密碼在獲得驗(yàn)證后，就可以打開(kāi)相關(guān)端口，并分配用戶(hù)ip 地址，保證認(rèn)證數(shù)據(jù)可順利通過(guò)這一端口。用戶(hù)在線(xiàn)。這構(gòu)成了實(shí)現(xiàn)身份驗(yàn)證，授權(quán)和記帳功能的AAA 系統(tǒng)。RADIUS 可有效集中用戶(hù)的身份信息，保證其政策的靈活性、安全性、有效性。同時(shí)還能夠?qū)崟r(shí)記錄用戶(hù)網(wǎng)絡(luò)使用情況等信息，并在這一基礎(chǔ)上進(jìn)行管理。Ubuntu Gutsy 7.10 主要用戶(hù)設(shè)置RADIUS 服務(wù)器，并驗(yàn)證用戶(hù)密碼、用戶(hù)名等信息，避免未獲得授權(quán)的用戶(hù)隨意訪(fǎng)問(wèn)無(wú)線(xiàn)網(wǎng)，從而確保網(wǎng)絡(luò)安全。

2.3 傳輸過(guò)程加密

數(shù)據(jù)傳輸加密是當(dāng)前應(yīng)用較多的信息保護(hù)方式，安全性較高。數(shù)據(jù)加密技術(shù)主要存在線(xiàn)路加密、端到端加密兩種加密技術(shù)。要求對(duì)敏感技術(shù)、信息進(jìn)行加密處理，自動(dòng)隱藏關(guān)鍵信息，提升信息的安全性。無(wú)線(xiàn)AP 以向周?chē)鷧^(qū)域，傳輸電磁信息的形式，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)哪康?。如果用?hù)信息被攻擊者非法獲取，師生基本信息、關(guān)鍵信息，就可能出現(xiàn)泄露的情況，因此要求在WPA-RADIUS 加密技術(shù)作用下，實(shí)現(xiàn)信息加密，提升信息安全性，避免信息被攻擊者非法盜取[4]。而WPA-RADIUS 加密是在RADIUS 服務(wù)器作用下實(shí)現(xiàn)的，要求通過(guò)RADIUS 身份驗(yàn)證實(shí)現(xiàn)信息訪(fǎng)問(wèn)，保證服務(wù)器正確配置。WPARADIUS 安全性相對(duì)較高，一般用于大型無(wú)線(xiàn)網(wǎng)絡(luò)，從而避免了無(wú)線(xiàn)網(wǎng)信息資源的外泄，體現(xiàn)更好的安全性和可靠性。

2.4 使用防火墻技術(shù)和入侵檢測(cè)技術(shù)，同時(shí)對(duì)子網(wǎng)進(jìn)行單獨(dú)規(guī)劃

為提升校園網(wǎng)安全性，加強(qiáng)無(wú)線(xiàn)無(wú)、有線(xiàn)網(wǎng)管理，并劃分無(wú)線(xiàn)子網(wǎng)。校園網(wǎng)主要結(jié)構(gòu)為無(wú)線(xiàn)子網(wǎng)、有線(xiàn)子網(wǎng)以及資源子網(wǎng)等部分[9]。要求在有線(xiàn)、無(wú)線(xiàn)網(wǎng)絡(luò)之間，設(shè)置防火墻，避免無(wú)線(xiàn)網(wǎng)被攻擊，導(dǎo)致資源被竊取的情況。尤其是在用戶(hù)登錄無(wú)線(xiàn)網(wǎng)系統(tǒng)時(shí)，第一次是訪(fǎng)問(wèn)無(wú)線(xiàn)網(wǎng)絡(luò)通過(guò)身份驗(yàn)證服務(wù)器。只有在認(rèn)證通過(guò)后才能獲得授權(quán)，并且可以根據(jù)相應(yīng)的權(quán)限訪(fǎng)問(wèn)網(wǎng)絡(luò)中的資源。為了確保安全性，同時(shí)還要設(shè)置安全防火墻、入侵檢測(cè)系統(tǒng)，避免內(nèi)外部入侵。此外，網(wǎng)絡(luò)中心還可以通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò)管理設(shè)備，加強(qiáng)對(duì)無(wú)線(xiàn)、有線(xiàn)網(wǎng)絡(luò)集成管理和監(jiān)控。

3 增強(qiáng)師生安全意識(shí)，加強(qiáng)網(wǎng)絡(luò)安全管理

上述措施可以在一定程度上防止犯罪分子的攻擊，但不能消除。因此，要加強(qiáng)對(duì)師生的互聯(lián)網(wǎng)指導(dǎo)，培養(yǎng)良好的個(gè)人網(wǎng)絡(luò)習(xí)慣，不打開(kāi)不健康的網(wǎng)頁(yè)，不泄露互聯(lián)網(wǎng)上的個(gè)人信息，我相信天空中的美好事物，提高安全意識(shí)，文明互聯(lián)網(wǎng)。學(xué)校應(yīng)該提高網(wǎng)絡(luò)安全性機(jī)制，網(wǎng)絡(luò)中心應(yīng)創(chuàng)建網(wǎng)絡(luò)安全預(yù)警機(jī)制以及信息通知系統(tǒng)，加強(qiáng)無(wú)線(xiàn)設(shè)備管理，保證能夠在短時(shí)間內(nèi)檢測(cè)并對(duì)入侵信息進(jìn)行預(yù)警，并在發(fā)現(xiàn)危險(xiǎn)的第一時(shí)間，采取相應(yīng)的處理措施，從而保證無(wú)線(xiàn)網(wǎng)絡(luò)和用戶(hù)的信息安全。此外，還可在安全審計(jì)系統(tǒng)作用下，加強(qiáng)校園網(wǎng)的安全保護(hù)。教師和學(xué)生隨時(shí)隨地訪(fǎng)問(wèn)互聯(lián)網(wǎng)是一項(xiàng)方便的任務(wù)。確保無(wú)線(xiàn)網(wǎng)絡(luò)安全等級(jí)，是一項(xiàng)系統(tǒng)、長(zhǎng)期的工作，對(duì)校園網(wǎng)發(fā)展更為關(guān)鍵。因此，高校應(yīng)當(dāng)根據(jù)實(shí)際所需，提升師生網(wǎng)絡(luò)安全意識(shí)，保證校園無(wú)線(xiàn)網(wǎng)的安全、穩(wěn)定的運(yùn)行。平臺(tái)，為學(xué)校師生提供安全可靠的環(huán)境，提供安全健康的在線(xiàn)環(huán)境。

4 結(jié)束語(yǔ)

校園無(wú)線(xiàn)網(wǎng)是一個(gè)大型系統(tǒng)工程，如進(jìn)入校園的計(jì)算機(jī)有線(xiàn)網(wǎng)絡(luò)。這是實(shí)現(xiàn)智能校園的有效途徑。當(dāng)前，校園無(wú)線(xiàn)網(wǎng)技術(shù)應(yīng)用已經(jīng)逐漸成熟，對(duì)高校學(xué)生的日常生活、學(xué)習(xí)，都產(chǎn)生了極大的影響，尤其是網(wǎng)購(gòu)、網(wǎng)上支付在生活中的不斷普及，人們關(guān)于網(wǎng)絡(luò)安全的要求不斷提升。所以，培養(yǎng)高素養(yǎng)的網(wǎng)絡(luò)安全技能人才，研發(fā)更為先進(jìn)、科協(xié)性更高的安全技術(shù)，對(duì)提升網(wǎng)絡(luò)安全等級(jí)有著極大意義和作用[5]。雖然無(wú)線(xiàn)網(wǎng)技術(shù)獲得了極大發(fā)展和普及，但安全問(wèn)題卻始終未能得到解決，因此，如何提升無(wú)線(xiàn)網(wǎng)絡(luò)運(yùn)行過(guò)程中的信息安全性，以改善教師和學(xué)生的安全網(wǎng)絡(luò)。努力為環(huán)境服務(wù)。