校园无线网安全技术

校园无线网安全技术（精选十篇）

校园无线网安全技术 篇1

1 校园无线网络的安全隐患

无线局域网(WLAN)正广泛应用于单位、校园、公司内部及家用网络等场所。另一方面,由于无线网络信号由于传送的数据是利用无线电波在空中辐射传播,发射的数据可能到达预期之外接收设备,这些外部接收设备给网络带来不安全因素。因为外部可以利用这些广播的信号进行对网络发起攻击,无线网络比有线网络更容易受到入侵,因为被攻击端的电脑与攻击端的电脑并不需要物理上的连接,攻击者只要在网域的无线路由器或中继器的有效范围内,就可以进入你的内部网络,访问你的资源。常有的无线网线络攻击包括有非法的AP、经授权使用服务、地址欺骗和会话拦截、流量分析与流量侦听、高级入侵等。

2 无线网络安全技术分析

目前,无线网络安全技术有很多,但由于无线网络存在较大安全隐患,单一的技术不能完全解决问题。我们必须明白:只有结合多种安全设置和技术才能构建安全的无线网络。下面是对这些安全技术进行列举及分析。

1)完善连线保密协议

在链路层采用对称加密技术,让用户的加密钥必须与AP的密钥相同时才能使用网络的资源,从而防止非授权用户监听以及非法用户访问。目前有多种的无线网络加密算法,我们简单介绍一下:

WEP(Wired Equivalent Privacy)保密协议,是一种数据加密算法,用于提供等同于有线局域网的保护能力,密钥的长度有40位或128位两种。WEP编码的弱点在于IV实作的基础过于薄弱,只要将将两个使用同样IV的封包记录起来,再施以互斥运算,就能得到IV的值,然后算出RC4的值,最后得到整组数据,从而造成密码的泄密。

WPA(Wi-Fi Protected Access)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。其原理为根据通用密钥,配合表示电脑MAC地址和分组信息顺序号的编号,分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于RC4加密处理。通过这种处理,所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。WPA包含了认证、加密和数据完整性校验三个组成部分,是一个完整的安全方案。

WAPI是国家强制标准的技术核心部分,其全称为WLAN Authentication and Privacy Infrastructure,这种安全机制由WAI(WLAN Authentication Infrastructure)和WPI(WLAN Privacy Infrastruc-ture)两部分组成,WAI和WPI分别实现对用户身份的鉴别和对传输的数据加密,一同为用户的无线网络系统提供全面的安全保护。不过由于种种原因,WAPI最终没能成为强制执行的标准,其普及度还不高。

在802.11i颁布之后,Wi-Fi联盟推出了WPA2,它支持AES(高级加密算法),WPA2需要新的硬件支持,它使用CCMP(计数器模式密码块链消息完整码协议)。在WPA/WPA2中,PTK的生成依赖PMK,而PMK获的有两种方式,一个是PSK的形式就是预共享密钥,在这种方式中PMK=PSK,而另一种方式中,需要认证服务器和站点进行协商来产生PMK。

WPA=IEEE 802.11i draft 3=IEEE802.1X/EAP+WEP(选择性项目)/TKIP

WPA2=IEEE 802.11i=IEEE 802.1X/EAP+WEP(选择性项目)/TKIP/CCMP

目前最广为使用的就是WPA-PSK(TKIP)和WPA2-PSK(AES)两种加密模式。WPA2加密非常安全,但是WPA2协议许多硬件商还不支持,因此采取WPA加密也是一种适当的选择。而WEP加密由于是一种很不安全加密方式,只是在没有其他加密协议选择情况下才使用。

2)设置SSID坚固网络

SSID(Service Set Identifier)也可以写为ESSID,是无线访问点应用的辨认字符串,最多可以有32个字符,客户端利用它就能建立连接。选择难于猜中的SSID字符并禁止通过天线向外广播SSID的措施可以隐藏无线网络却不会影响网络的正常使用,而且可以增加无线网络的坚固性。

通过对多个无线接入点AP(Access Point)设置不同的SSID,并要求无线工作站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接入,并对资源访问的权限进行区别限制也一样增加安全系数。

3)VPN技术增强安全性能

VPN(Virtual Private Network)虚拟私人网络,又称为虚拟专用网络,指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,它是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。

将WLAN设置成单独的局域网部分,VPN所有无线用户在得到许可访问校园局域网之前首先由VPN网关进行鉴权。VPN网关只向拥有机器中所具有的有效软件证书或令牌的用户授权。客户机到VPN服务器的数据包使用安全协议IPSCc(IP Security)加密。因此黑客将无法破解专用网络,让所有的无线客户机使用虚拟专用网软件,无线网络会更安全。

4)MAC过滤防不速之客

MAC过滤技术是在路由设置中只允许特定MAC网卡访问路由的方法,它拒绝了使用其他MAC地址的设备发送过来的连接请求,客观上就起到防止外部非法访问的作用。

要限制非法用户设备与本地无线路由器建立连接,我们可以启用无线路由器设备自带的MAC地址过滤功能,让本地无线路由器设备只允许本地工作站的无线网卡设备与之建立网络连接,而其他的无线网卡尝试与之建立网络连接时,都会被无线路由器拒绝掉。由于每个无线工作站的网卡都有唯一的物理地址,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。

MAC过滤要求AP中的MAC地址列表必需随时更新,可扩展性差,无法实现机器在不同AP之间的漫游;而且MAC地址在理论上可以伪造,因此MAC过滤在使用中最好能结合WPA等安全协议一起使用。

5)禁用动态主机配置协议

采用这项措施对无线网络安全很有意义。你将迫使黑客去破解你的IP地址,子网掩码和其它必需的TCP/IP参数。增加了入侵的难度,令他们知难而退。

6)端口访问控制技术(802.1x)控制网络接入

802.1X认证是采用IEEE802.1X协议的认证方式的总称,EEE 802.1X协议由IEEE于2001年6月提出,是一种基于端口的访问控制协议(Port Based Network Access Control Protocol),能够实现对局域网设备的安全认证和授权。当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户上网。

802.1x要求无线工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案,在一个802.1X的无线局域网认证系统中,认证不是由接入点AP完成,而是由一个专门的中心服务器完成。如果服务器使用Radius协议时,则称为Radius服务器。用户可以通过任何一台PC登陆到网络上,而且很多AP可以共享一个单独的Radius服务器来完成认证,这使得网络管理者能更容易控制网络接入。

3 校园无线网络安全任重道远

从上面的简述我们可以知道,校园无线网络安全不能依赖单一的安全技术手段,必须要构建一个从管理上和技术上都比较完整的方案才能真正维护好学校的网络环境。

1)在校园网络构建之前要考虑从前期设计与规划入手,认真准备考虑整个网络环境的设计如设备的购置与更新、AP的布置、服务器与网关的管理、技术人员的培训等。

2)在无线网络运行过程中,整了自身的健壮性建设之外,也要考虑整个互联网的大环境,经常警惕防范黑客的攻击,建立起有效的安全检查机制。

3)安全技术手段要在充实考虑自身条件下做到最佳的配置,如上面提到的加密协议最好能用WPA2的协议,设置隐藏SSID的广播、启用MAC物理过滤、禁用动态主机配置协议等都要根据学校网络现有的硬件条件做好。

4)通过数据加密和数据完整性校验就可以为无线局域网提供一个类似有线网的物理安全的保护。对于DOS攻击或者DDOS攻击,可以增加网关,使用数据包过滤或其它路由设置,将恶意数据拦截在网络外部,通过对外部网络隐藏接入设备的IP地址,减小风险。

无线局域网的安全系统不可能提供所有的安全保证。但只要结合用户的具体需求,和其它的安全系统来一起提供安全服务,一定可以构建安全的校园无线网络环境。

4 结束语

自无线网络问世以来,关于其安全问题的讨论就不曾停止,对校园使用无线网络的态度也各自不同。其实只要积极地加强安全方面的防范,无线网络还是安全的。本人在综合目前无线网络方面安全知识和实际应用的基础上,提出了一种综合性的校园无线网络的安全架构,用以保护无线网络安全。这些措施集成了管理上和技术上的多种机制,从而形成了一个相对完善的校园无线网络安全架构。

摘要：该文简述学校无线网络存在的安全隐患,列举了保护无线网络安全多种策略和相关技术,并对这些技术进行分析和总结,提出了一个综合性的校园无线网络安全方案。

关键词：WPA,网络安全,SSID,MAC过滤

参考文献

[1]赵琴.浅谈无线网络的安全性研究[J].机械管理开发,2008(1).

校园无线网安全技术 篇2

一．现状分析.........................2

二．解决提案.........................2

三．解决方案.........................2

３．１不用安装客户端软件的Web认证具有以下优势：..............2

３．２先进的无线整体解决方案特点....................3

四.无线网络技术...........................3

4.1如火如荼的IEEE802．11系列..................3

4.2笑傲欧洲的HiperLAN..........................4

4.3独树一帜的红外系统....................5

4.4互为补充的蓝牙技术....................5

4.5力不从心的HomeRF.......................5一．现状分析

无线信息时代的来临，校园无线信息化的教学也成为学校等级的一个评判标准。而且随着带有无线上网功能笔记本的普及和Internet及内部局域网接入需求的增长，无论是教师还是学生都迫切要求移动性上网和进行网上教学互动活动。使得有线网络无法灵活满足他们对网络的需求。

二．解决提案

无线局域网（WLAN）因其具有不受环境的局限、灵活便捷、不影响原有装修布局、建网周期短等优点，与传统的有线接入方式相比，无线局域网还不仅可以实现许多新的应用，更可以克服线缆限制引起的不便性，成为各大城市大.中、小学最适合的组网方式之一。

三．解决方案

由于无线网络采用的是公共电磁波，任何人都有条件窃听或干扰信息，因此在无线局域网中，网络安全很重要。

无线认证管理安全网关系统是不用安装客户端软件的无线认证管理网络安全网关。做到了无线网络从安全到管理的整个解决方案。无线计费认证管理器可以提供全网的用户认证管理及计费等服务，并根据客户需要可实现对不同权限用户实现对上网流量、上网时间段、上网计费费用.上网范围、访问权限等等适合网络规划管理方面的要求，整个无线网络安全、管理策略可以在无线接入上网认证管理器上统一实现，扩展性以及安全保密的问题在这里得到了很好的解决。

方案选用的AirLive室内覆盖无线接入点，产品特点是Web管理口可让使用者设定在多个AP的会议室环境里.有着4个级别的 TX 功率调节，可调低功率以防AP间的讯号重叠干扰.此外,有着重新苏醒功能，假如去PING 使用者定义的IP地址失败，这看门狗的功能将重新启动 AP.此系列产品针对无线网络专业设计的无线接入点系列，设计轻巧外形美观，安装使用简便。为用户建立经济高效安全的无线基础设施，实现移动、灵活地访问网络资源提供了专业的方案。

选用的AirLive室外覆盖无线接入点，采用防水、防尘设计，基于以太网线供电，易于在室外安装使用。此系列产品是针对无线网络公共区域覆盖（HotSpot）专业设计的AirLive 系列室外无线接入点。

整个方案从无线信号的覆盖、无线接入点的维护管理、用户的管理、上网时间流量计费.无线网络安全管理以及无线网络如何和现有有线网络相结合等方面提出了全面的解决方案。对于有线网络来说一般只要控制有线信息点不让非法人员接触，就可以保障网络的安全，而无线网络是通过电磁波信号将网络扩展到整个三维空间中，实现了无线信号覆盖区域内用户的随时随地的接入需求。因此如果应用了一个没有控制的无线认证局域网将会更易受到攻击和入侵，所以无线局域网的用户安全认证、接入控制、数据加密更是尤为重要。因此本方案采用了OvisLink欧立科技AirLive的无线认证管理器IAS2000对无线用户采用不需要安装客户端软件的网页认证管理方式。

３．１不用安装客户端软件的Web认证具有以下优势：

1)强制跳转到指定的首页登录界面

2)输入用户名和密码认证基于数字证书的安全技术进行加密传输

3)可随意设计的用户认证界面，全中文化

4)无需安装客户端软件，经由浏览器页面认证，各种操作系统均可兼容

5）病毒阻挡.日志电子邮件功能

6）监控记录，1.流量监控，2.事件监控，3.连线记录，4.监控备份

7）有线无线互访：认证过后无线局域网用户和有线局域网络才能互访

8）上网计费：以时间或流量的上网计费

9）流量统计，1.外部网络流量，2.管制条例流量

10）系统状态，1.界面状态，2.认证状态，3.ARP表，4.DHCP用户表

11）内容管制，1.网站管制，2.一般管制，3.点对点软件管制，4.时实通讯管制，5.档案下载管制

３．２先进的无线整体解决方案特点

1)WEB+DHCP的认证方式，安全方便的便于用户使用

2)能够和现有基于域服务器对接，实现无线和现有网络用户账号统一管理

3)提供完整简易的用户管理界面，能够灵活地区分不同类型用户

4)能够对无线用户提供灵活的ACL策略控制，从而更有效地利用网络资源

5)能够记录用户详细的上网日志，便于网管人员查阅

6)进行用户监控，可以及时发现用户访问异常现象

7)600个同时上网并发用户数，全中文化的操作界面

8)系统具备强大的可扩容性

在有线网络的环境中，人员座位的调整、部门办公室的调整等都非常麻烦。网络扩容升级时，布线结束后重新装修办公环境的花销也是笔费用。

无线网络移动办公可以使人们在办公室的任何地方获得网络连接，特别适合于那些经常移动而又需要网络连接的教师。另外对下课到教师休息室临时休息的教师也相当方便，“活动办公桌”能使这些教学人员在他们所到的任何办公室建立临时网络连接。这样大大提高了办公网络的灵活性，节约了开支降低了成本，进而提高了工作效率。

很多学校现已经实现了有线的上网环境，学校教师已配备带无线上网功能的笔记本。采用需经过认证才能访问无线或有线局域网能很好地结合现有的校园网络组建成一个完整的无线+有线的认证网络环境，在全校任意教学、办公地点都能实现无线上网，使无线网络成为校园有线网络的必要补充和延伸。

四.无线网络技术

无线局域网（WLAN）是20世纪90年代计算机网络与无线通信技术相结合的产物，它使用无线信道来接入网络，为通信的移动化、个人化和多媒体应用提供了潜在的手段，并成为宽带无线接入的有效途径之一。

但长期以来，WLAN的发展一直在由不同厂商进行推动，因此出现了标准百舸争流、百花齐放的局面。各个标准的特点和优势是什么？谁更能在激烈的竞争中占得鳌头？下面将一一进行分析。

4.1如火如荼的IEEE802．11系列

1999年9月通过的IEEE802．11b工作在2．4－2．483GHz频段。802．11b数据速率为11Mbps。同时IEEE802．11b具有5．5Mbps、2Mbps、1Mbps三个低速档次，当工作站之间距离过长或干扰太大、信噪比低于某个门限时，传输速率能够从11Mbps自动降到5．5Mbps、2Mbps或者1Mbps，通过降低传输速度来改善误码率性能。802．11b使用带有防数据丢失特性的载波

检测多址连接（CSMA／CA）作为路径共享协议，物理层调制方式为CCK（补码键控）的DSSS（直接序列扩频）。目前802．11b已经成为WLAN市场上的主流技术，随着技术的成熟和产品的降价，它开始大显身手。

和802．11b相比，IEEE802．11a在整个覆盖范围内提供了更高的速度，其速率高达54Mbps。它工作在5GHz频段，目前该频段用得不多，干扰和信号争用情况较少。802．11a同样采用CSMA／CA协议。但在物理层，802．11a采用了正交频分复用（OFDM）技术。OFDM技术将一个无线信道分解成多个子载波同时传输数据，每个子载波的速率比总速率低许多，也就是每个传输符号的时长要长许多，这有利于克服无线信道的衰落，改善了信号质量，提升了整个网络的速度。一般分析认为，802．11a技术的普及仍需一段时间，但是由于互联网产业飞速发展，用户对宽带业务需求量猛增，802．11b在不少场合（尤其是信道噪声较大的场合）已不能满足用户宽带接入的要求；而802．11a则可凭借更高的速率和更好的质量实现这一需求，因此有望提前取代802．11b，让用户尽情享受宽带的无穷魅力。

IEEE802．11a与802．11b的产品因为频段与调制方式不同而无法互通，这使得已经拥有802．11b产品的消费者可能不会立即购买802．11a产品，阻碍了802．11a的应用步伐。2001年11月15日，IEEE试验性地批准一种新技术802．11g，其使命就是兼顾802．11a和802．11b，为802．11b过渡到802．11a铺路修桥。它既适应传统的802．11b标准，在2．4GHz频率下提供11Mbps的数据速率，也符合802．11a标准，在5GHz频率下提供54Mbps的数据速率。802．11g中规定的调制方式包括802．11a中采用的OFDM与802．11b中采用的CCK。通过规定两种调制方式，既达到了用2．4GHz频段实现IEEE802．11a54Mbps的数据传送速度，也确保了与装机数量超过1100万台的IEEE802．11b产品的兼容。此外，TI公司提案的可达22Mbps数据传送速度的CCK－PBCC与CCK－OFDM调制方式也可以选用。

4.2笑傲欧洲的HiperLAN

除了IEEE802．11家族，欧洲电信标准化协会（ETSI）的宽带无线电接入网络（BRAN）也制订出HiperLAN标准作为“宽带无线接入网”计划的组成部分，并在欧洲得到了广泛支持和应用。该系列包含4个标准：HiperLAN1、HiperLAN2、HiperLink和HiperAccess。HiperLAN1、HiperLAN2用于高速WLAN接入；HiperLink用于室内无线主干系统；HiperAccess则用于室外对有线通信设施提供固定接入。

HiperLAN1对应1EEE802．11b，它工作在5．3GHz，采用高斯滤波最小频移键控（GMSK）调制，速率最大23．5Mbps。HiperLAN2工作在5GHz频段，速率高达54Mbps。因为技术上的下列优点，它被一些人士看成目前最先进的WLAN技术：1．为了实现54Mbps高速数据传输，物理层采用OFDM调制，MAC子层则采用一种动态时分复用的技术来保证最有效地利用无线资源。2．为使系统同步，在数据编码方面采用了数据串行排序和多级前向纠错，每一级都能纠正一定比例的误码。3．数据通过移动终端和接入点之间事先建立的信令链接来进行传输，面向链接的特点使得HiperLAN2可以很容易地实现QoS支持。每个链接可以被指定一个特定的QoS，如带宽、时延、误码率等，还可以给每个链接预先指定一个优先级。4．自动进行频率分配。接入点监听周围的HiperLAN2无线信道，并自动选择空闲信道。这一功能消除了对频率规划的需求，使系统部署变得相对简便。5．为了加强无线接入的安全性，HiperLAN2网络支持鉴权和加密。通过鉴权，使得只有合法的用户可以接入网络，而且只能接入通过鉴权的有效网络。6．其协议栈具有很大的灵活性，可以适应多种固定网络类型。它既可以作为交换式以太网的无线接入子网，也可以作为第三代蜂窝网络的接入网，并且这种接入对于网络层以上的用户部分来说是完全透明的。当前在固定网络上的任何应用都可以在HiperLAN2网上运行。相比之下，IEEE802．11的一系列协议都只能由以太网作为支撑，不如HiperLAN2灵活。

4.3独树一帜的红外系统

红外局域网系统采用波长小于1微米的红外线作为传输媒体，该频谱在电磁光谱里仅次于可见光，不受无线电管理部门的限制。红外信号要求视距传输，方向性强，对邻近区域的类似系统也不会产生干扰，并且窃听困难。实际应用中由于红外线具有很高的背景噪声，受日光、环境照明等影响较大，一般要求的发射功率较高。尽管如此，红外无线LAN仍是目前“100Mbps以上、性能价格比高的网络”唯一可行的选择，主要用于设备的点对点通信。

4.4互为补充的蓝牙技术

蓝牙是一种使用2．45GHz的无线频带（ISM频带）的通用无线接口技术，提供不同设备间的双向短程通信。蓝牙的目标是最高数据传输速率1Mbps（有效传输速率为721Kbps）、传输距离为10厘米－10米（增加发射功率可达100米）。在一个微微网络中，蓝牙可使每台设备同时与多达7台的其它设备进行通信，而且每台设备可以同时属于几个微微网络。蓝牙面向的是移动设备间的小范围连接，因而本质上说它是一种代替线缆的技术。它用来在较短距离内取代目前多种线缆连接方案，并且克服了红外技术的缺陷可穿透墙壁等障碍，通过统一的短距离无线链路，在各种数字设备之间实现灵活、安全、低成本、小功耗的话音和数据通信。相对802．11和HiperLAN家族，蓝牙的作用不是为了竞争而是相互补充。

4.5力不从心的HomeRF

校园无线网安全防护浅析 篇3

关键词 无线网络 防范策略 网络安全

中图分类号：TP393.08 文献标识码：A

0 引言

随着互联网技术的广泛普及和应用，各大高校都在着手建设基于数据网络的环境，但有线网络在实施过程中工程量大，破坏性强，网中的各节点移动性不强。为了解决这些问题，部分高校开始在原有的有线网络基础上增建无线网络来解决现有的有线网络带来的弊端和不足。但无线网络在给我们带来便捷的同时，其无线接入的安全性也面临严峻的考验。

对于无线校园网络，由于它特有的使用空中载波信道作为传输载体，其物理层与数据链路层的工作原理和传统的网络不同，使用的安全策略也和传统有线网络有很大差别。那么作为无线网络的管理者怎样从众人当中分辨出合法用户，同时又能将非法入侵者隔离出无线网络之外，这往往成为无线网络建设管理者维护好网络的重点。而对于现如今的校园无线网络，也必须要进行多层次化的安全防护。

1 物理层防护

在无线网络物理层容易出现无线信号广播问题，即无线信号的广播使得非法或恶意用户更加容易接入网络；无线覆盖漏洞：无线信号有可能会由于某个AP出现问题而引起无线覆盖空白区。无线信号干扰：在无线环境中在某些情况下会出现信号干扰问题，比如为了要求高容量临时增加了AP的数量，其他非无线设备的同频或杂散干扰。资源侵占：非认证用户通过接入AP互传数据恶意侵占无线资源，造成合法用户无法得到合理的无线资源保证。

对于以上问题的防护，可采取通过信号的指向性部署，如在室内部署采用轻量级AP时，在面板侧配置板状定向天线系列实施角度覆盖，可以减少由于其全向覆盖造成的信号泄漏。禁用广播SSID将导致非法或恶意用户无法获取带有SSID的信标，这将保护那些隐藏在SSID后的用户群组。无线控制器通过获取该AP周边其他AP反馈的无线环境状况发现问题，并通知周边AP扩大覆盖范围来弥补信号漏洞。无线控制器可以通过AP及时发现这些干扰的存在并对其周边AP进行参数调整（功率、频点），以避免干扰。

2 数据链路层安全

链路层当中常见的潜在问题往往是管理帧参数没有加密，在802.11标准中由于管理帧参数不加密或缺乏验证机制很容易造成中间人攻击的行为发生，一个入侵者通过篡改管理帧来达到用户流量的分析及篡改。此外，室内瘦AP点与无线控制器之间需要通过二层或三层网络，所以无线控制器与AP的控制消息之间如果没有数据加密和完整性验证将会导致中间人攻击行为。关键用户（高权限管理人员）的无线客户端有在于AP交互数据的过程中如果不进行空中链路的保护无线数据将会被他人窃听，造成严重的泄密。在链路层常见的无线侧的网络攻击还有管理框架洪水、未认证的入侵、认证洪水、探测请求洪水、伪冒AP洪水、零探测响应、EAP握手洪水等。上述攻击都会造成AP无法正常工作以及无线资源的耗尽。如果选择不合理的用户接入方式也会导致严重的安全问题。

链路层的管理帧保护（MFP）是通过在AP管理帧上增加了基于无线网络配置的校验字段，通过该字段来标识管理帧的合法性，任何对管理帧的篡改都会被系统识别出来。针对于无线侧的网络攻击，无线控制器作为控制所有所属AP的大脑，本身也是一个无线侧的IDS系统，针对攻击无线控制器通过网管可以及时发现并报告攻击的产生，通过定位服务可以发现攻击者的具体位置，并引导网管员或自动实施策略操作，对该非法用户实施阻断。在用户接入安全方面，原则是权限越高的用户接入方式要越加严格，对于公众用户可以采用Web认证的方式，但这些用户无法接触到敏感数据资源。对于用户接入的网络，采用在同一个AP下针对同一或不同的SSID对应不同的VLAN以及认证模式，所以灵活的对应关系可以确保彻底全面地执行网络接入安全策略。

3 网络上层安全

在网络上层常见的问题包括带宽肆意侵占、蠕虫病毒泛滥、针对应用服务系统的攻击、对网络中其他主机的攻击、对敏感资源的好奇等。

当遇到蠕虫病毒、恶意代码防范，使用网络状态的检测设备或手段，包括状态样式识别、协议解析、启发式检测和异常检测，能够阻止网络上的非法恶意行为，例如黑客发动的攻击，检测器能够实时分析流量，使用户能够快速对安全问题作出反应，根据实际问题对不正常的用户执行排除策略，确保有效的无线资源。在网络上层还应针对业务、应用带宽进行管理，根据业务优先分级，需要对高级别的业务进行带宽保障，同时多低级别的业务进行带宽限制。分析和了解网络中的各种应用流量，进行带宽保障和限制。

参考文献

[1] 丁家凤.无线网络通信加密措施探讨[J].信息技术，2011（2）：333-5.

[2] 赵建超，尹新富.校园无线网络安全综合防御[J].制造业自动化，2011（2）：293-1.

校园无线网络的安全防御技术探讨 篇4

随着科学技术的不断进步,互联网的全球范围内的普及,校园网逐渐的成为学校必不可少的信息基础设施,与此同时,也逐渐的演变为提高教学质量、科研水平以及管理水平的重要手段。校园网是利用先进的计算机技术以及现代化的网络,连接校园内所有的工作站、服务器、局域网以及相关设备,从而使得各种各样的教学资源、管理方法以及思想政治教育活动在软硬件平台上进行有效的互动,实现教学水平质的提高。

1 校园网络安全的概念及安全风险

我国网络技术飞速发展,网络安全技术在校园网络中发挥着越来越重要的作用,在很大程度上解决了校园网络安全问题。校园网络包含了许多用户、有学生、教师、工作人员等,用于多种类型的用户网络越来越多,在线聊天和网络游戏都会带来网络安全问题,因此网络安全技术在校园网络中起到了重要作用。在学校的教务管理中,校园网站对促进学校教育事业发展有着重要意义。目前,各学校的校园网建设也进入了比较成熟的阶段,但随着而来的安全问题也越来越突出,给校园网的信息安全带来极大的威胁。校园网站面临的威胁主要包括以下几个方面:一是人为的恶意攻击,通过非法手段获取非法利益,这种恶性行为一部分来自校园网外部,一部分来自校园网内部学生出于好奇而进行的黑客程序运行活动,这些都对校园网站的安全造成巨大的威胁;二是网络病毒对入侵,随着计算机技术的发展,网络病毒的攻击性和危害性也越来越大,一旦入侵网站就可能导致整个网络系统瘫痪;三是效校园网站系统的安全漏洞越来越多,安全漏洞是系统遭受恶意攻击的重要原因,而随着网站服务器以及其他设备的多样化发展和应用,同时也为网络系统带来了更多的安全漏洞,给那些黑客的攻击、病毒的入侵创造了机会。

2 校园无线网络的安全防御技术

2.1 防火墙技术

防火墙技术涉及数据加密、网络通信、信息安全、安全决策等方面,是一种综合性的科学技术,随着网络安全形势的日益严峻,防火墙技术近年来发展迅速。防火墙就是一道位于目标保护网络与外部网络之间的屏障,通过部署多个网络安全设备将内外网隔离开,阻挡非法访问,保护网络安全,以防止发生不可预测的、潜在的恶性入侵和破坏。防火墙自身有很强的抗攻击能力,是一种有效的安全技术,常用的防火墙有过滤防火墙、内容过滤防火墙等。然而,防火墙技术自身也存在多方面局限性,首先,防火墙只能对外网的威胁发挥预防作用,但无法防止网络内部的攻击,这是防火墙技术的一大缺陷。其次,防火墙只能用于阻断危险,但无法消灭威胁,这样就导致防火墙要阻挡源源不断的攻击,却始终无法消灭攻击源。另外,防火墙的设置无法保持更新,对新的、未经设置的攻击无法发挥作用。

2.2 入侵检测技术

入侵检测技术是一种新型的、动态的网络安全技术,其主要功能是主动检测网络系统中的安全漏洞,探测可能发生的网络危险行为,检测入侵者的攻击行为和目标,并在检测到安全威胁后及时发出报警信息,将危险消除在网络遭受侵犯之前。入侵检测技术可以对网络系统的各种活动进行扫描,对网络流量进行监控,进而收集重要的网络信息,查找网络中潜在的安全风险,并执行实时报警。入侵检测技术的功能核心在于检测入侵行为是否发生,而不能立即阻止入侵行为的发生。而且目前入侵检测技术有很多的局限性,存在评价标准不统一、误报率高、漏报率高、缺乏规范的响应措施等问题。

2.3 合理选用与布局天线

无线网络安全的相关技术与改进探讨 篇5

摘 要：无线网络的安全主要是用户与用户之间的信息往来是否能够保证其安全性隐私性，用户之间信息的往来包括信息的传送和信息的接收。那么无线网络的安全问题也应从这两个方面入手。无线网络的隐患时时存在，在研究相关技术的同时，相关专家应该加强交流，进行探讨。本文通过介绍无线网络的威胁，以及我国相关技术的应用来进一步探讨如何更有效地解决这一难题。

关键词：无线网络；非法访问；网络安全无线网络的现状和威胁

1.1 无线网络的现状

我们平时使用的无线局域网其实还存在着大量的安全隐患，这种隐患可能是我们遭受比较大的损失，特别对企业来说，黑客的侵入，可能会是一个企业的系统发生混乱和瘫痪，更可能给企业带来惨重的损失。随着社会的发展着中问题日益暴露出来，因为它对我们造成的影响已经无法继续无视下去，因此，我国对无线网络的安全问题已经开始重视，下发各种限令和规范措施来维护网络的安全性。

1.2 无线网络的威胁

我们都应该知道我们使用的网络分为广域网、城域网、局域网以及个人网络。这几种网络的覆盖面积依次减少。可以说我们生活处处有网络，网络带给我们便利和极高的自由行。但是同时也让我们面临一些问题，其中安全问题是最重要的问题，因为网络是由很多交错的网络线路和众多的用户组成的巨型网络，设备仪器发出的信息和数据不可能只针对一个用户发送或接收。只要在这个区域的覆盖范围内，任何都可以自由的获取信息或数据，当然这些都是在你根本没有察觉的情况下，你的隐私可以说是无处藏身的，一些极重要的个人信息就随时有被窃取的可能性。除了可以自由获取信息和数据外，一些不法者也能够把一些乱七八糟的信息和数据随时插入到这些网络渠道中。无线网络安全的相关技术与分析

2.1 无线网络安全的相关技术

现在为了保护无线网络的安全问题，出现了几种方法，第一种主要是控制他人的访问权，这样一来如果没有你的认证，其它人就不能访问，这样就不用担心自己的信息被随意的截取和访问了。访问权是用户设置的一张通行证，如果的不到用户的认证，那么它只能被拦截在门外了。第二种是用户要记住对对自己的信息进行加密措施，一旦加密，就可以有效保护自己的信息或数据不被他人获取或拦截。当然，给自己的重要信息加密是保护我们网络信息安全的基础，我们每一个人都应该有这种意识。第三种是对访问者进行安全认证，我们可以通过安全认证来确定者是不是非法的，从而也能把它挡在门外。安全认证有实体认证和数据源认证，如果单单用其中的一种认证方式，那么安全认证效果就会大打折扣，两者同时运用能够有效保护我们的网络安全。第四种是对数据或信息进行校验认证，这样可以防止不法访问者截取和谐该用户的重要信息和数据了。

2.2 无线网络安全的相关技术分析

为了维护无线网络的安全，出现了3A技术，这种技术是现在无线网络最基本的保证网络安全的用方法，同时也是应用最广泛，最基本的一种技术。另外新出现的WSAP技术，它其实是一种网络认证的协议，但是它有一个很显著地特点就这种认证时匿名的。相关的研究人员对这种最新的认证方法进行了多次的理论对比和比较，所以我们有信心有理由信任这种新的认证方法，它已经可以满足我们对私人信息和数据保密性和安全性的一般要求。探讨无线网络安全技术的发展

要进一步实现保护无线网络安全的目的，除了用户自身要做好加密的措施外，还要好好利用一些功能和性能强大的认证体系，同时我们应加快一些更加好的协议出现的速度，因为网络每天都发生着变化一些黑客采取的非法手段也不听的更新着，所以无限网络安全的相关技术的开发工作时没有止境的，只有深刻的认识到无线网络存在的安全隐患，同时对不同的安全技术进行不断地研究和探讨，并不断开发新的保护技术才能使无线网络环境保持健康，继续成长。总结

近几十年来网络的普及已经使我们每一个人都时时刻刻身处网络之中，特别是无线网络的兴起更加的方便了人们的生活，无线网络的开放性和移动性以及机动性都被我们所接受，但是随之带来的安全隐患也时时刻刻威胁着我们的生活。市场上已经有的一些安全技术和安全协议基本上能够保证我们的信息和数据不被窃取或修改。但是面对复杂的网络环境，我们应该加紧相关，安全技术开发的脚步，不仅要关注网络现存的一些威胁和漏洞还要预防哪些网络可能存在的一些漏洞，提前做好预防措施。相关研究开发人员应该加强交流和探讨，在对各种无线网络安全技术进行分析比较的情况下，开发出新的更有效的保护措施。

[参考文献]

校园无线网络的安全防护方法 篇6

随着教育信息化的发展，各个学校大量使用笔记本电脑及各种手持无线设备。而无线局域网(WirelessLAN，WLANl有着传统有线局域网(LAN)所没有的优点，如建网灵活，可扩展性好，支持终端的移动性，支持在特殊场合(无法或很难架设网线)的应用。但由于WLAN是以无线电波作为上网的传输媒介，而无线网络信号可以传播到预期以外的地域，给入侵者有机可乘，特别是使用外接增益天线，可以远程窃听网络中的数据，安全问题堪忧。我校无线局域网已经使用了一段时间，积累了一些经验，因此，下文对校园无线网络的安全防护方法作一下探讨。

二、校园无线网络的安全防护

1.安全规划与配置

(1)规划好天线安装位置

布设校园无线网络时，选择好天线位置，也可使用定向天线，背向学校的方向就不易收到无线信号，学校一侧也可以收到更强的信号。

(2)在没有使用的时候关闭网络

安装时可将无线收发设备的电源与教学楼的电源装于同一线路上，在晚上夜自习结束离开教室后，关闭电源时也同时关闭无线信号。

(3)AP隔离规划

类似于有线网络的VLAN，将所有的无线客户端设备完全与有线网隔离，使之只能访问AP连接的固定网络，相当于无线中的局域网。

(4)配置无线入侵检测系统

用于无线局域网的入侵检测系统，可用来监视分析用户的活动，判断入侵事件的类型，检测非法的网络行为，对异常的网络流量进行报警。

(5)应用VPN技术

无线接入网络VLANfAP和VPN服务器之间的线路)从局域网把VPN服务器和内部网络隔离出来。VPN服务器提供网络的认证和加密，并应用于局域网网络内部，具有较好的扩充、升级性能，可应用于较大规模的校园无线网络。

(6)配置无线控制器+HTAP集中式WLAN管理设备

较新的WLAN网络架构，用户对FITAP的管理是通过无线控制器来代理完成，更改服务策略设定和安全策略设定只需要登录到指定的无线控制器就可以完成设置，无线控制器会自动把新的配置下发到指定的FITAP。

2.使用中的安全措施

(1)修改管理员密码和用户名

修改无线AP设置中的默认用户名和密码，尽量设置复杂的、较长的密码，最好是字母与数字并存。

(2)启用无线AP的连接密码

升级到WPA2(WiFi Protected Accessl加密协议。将安全设置改为“个人WPA2协议”并且勾选“TKIP+AES”运算法则。最后在“共享密钥”中输入密码，保存修改。

(3)采用身份验证和授权

Windows Server 2003内的IAS，可用来架设Radius服务器。客户端在使用网络之前必须先输入用户名、密码等认证信息，并只有在认证通过时才开放该客户端的网络使用权限。

(4)修改默认系统SSID

改变默认的SSID，可以使你区别于其它未受保护的网络，还可以使你的用户不会因此错连接到其它的网络中，从而就不会将你的数据暴露于黑客的嗅探器下。

(5)禁止SSID网络广播

SSID参数在设备缺省设定中是被AP无线接入点广播出去的，禁止这个广播后，我们必须把SSID名称告诉各位用户，在无线接收设备上设置好才能连接上无线AP。

(6)使用MAC地址过滤与固定IP

这个方法要求登记学校里所有使用无线上网设备的MAC地址，来更新无线AP中的MAC地址列表。这样就只有经过登记的合法设备可以访问你的网络了。如果能关闭DHCP服务，为学校里的每台电脑分配固定的静态IP地址，然后再把这个IP地址与无线终端的MAC地址进行绑定，这样就可以得到双重保险。

参考文献：

[1]李园，王燕鸿，无线网络安全性威胁及应对措施[J].现代电子技术，2007，(5)：91-94

[2]王秋华，章坚武，浅析无线网络实施的安全措施[J].中国科技信息，2005，(17)：18

[3]冷月，无线网络保卫战[J].计算机应用文摘，2006，(26)：79-81

[4]湛成伟，网络安全技术发展趋势浅析[J].重庆工学院学报，2006，20(8)：119-121

基于无线网的校园网络安全策略研究 篇7

在传统校园网的组建过程中，主要的传输媒介是双绞线、铜缆或光缆，构成有线局域网。但是这种网络在组建和使用的过程中工程量大，破坏性强，网中的各节点搭建完成以后移动性不强，这些问题极大地制约了校园网的发展。为了解决这些问题，无线网络作为有线网络的补充和扩展，逐渐得到了发展和普及。

在校园网中，师生的流动性很强，很容易在一些地方形成人员聚集的情况。而且随着笔记本电脑的普及和Internet接入需求的增长，无论是教师还是学生都迫切要求在这些场所上网并进行网上互动教学。有线网络无法灵活的满足他们对网络移动性与频繁交替性的需求，造成网络互联和Internet的接入瓶颈。

无线网络在校园网的引入，在某些场所，如网络教室、会议室、报告厅、图书馆等区域，可以率先覆盖无线网络，让用户能真正做到无线漫游，给工作和生活带来巨大的便利。进而逐渐将无线的覆盖范围扩大，最后做到无线网的全校覆盖。

1 校园网无线网络安全现状

在无线网络技术相对成熟的今天，无线网络解决方案能够很好满足校园网的种种特殊的要求，并且拥有传统网络所不能比拟的易扩容性和自由移动性，已经逐渐成为一种潮流，成为众多校园网解决方案的重要选择。这都源于无线局域网拓展了现有的有线网络的覆盖范围，使随时随地的网络接入成为可能。但在使用无线网络的同时，无线接入的安全性也面临严峻的考验。目前无线网络提供的比较常用的安全机制有如下三种：(1)基于MAC地址的认证。基于MAC地址的认证就是MAC地址过滤，每一个无线接入点可以使用MAC地址列表来限制网络中的用户访问。实施MAC地址访问控制后，如果MAC列表中包含某个用户的MAC地址，则这个用户可以访问网络，否则如果列表中不包含某个用户的MAC地址，则该用户不能访问网络。(2)共享密钥认证。共享密钥认证方法要求在无线设备和接入点上都使用有线对等保密算法。如果用户有正确的共享密钥，那么就授予该用户对无线网络的访问权。(3)802.1x认证。802.1x协议称为基于端口的访问控制协议，它是个第二层协议，需要通过802.1x客户端软件发起请求，通过认证后打开逻辑端口，然后发起DHCP请求获得IP以及获得对网络的访问。

从目前情况来看，不少校园网的无线接入点都没有很好地考虑无线接入的安全问题，如基于MAC地址的认证或共享密钥认证没有设置，更不用说像802.1 x这样相对来说比较难设置的认证方法了。如果我们提着笔记本电脑在某个校园内走动，会搜索到很多无线接入点，这些接入点几乎没有任何的安全防范措施，可以非常方便地接入。试想，如果让不明身份的人进入无线网络，进而进入校园网，就会对我们的校园网络构成威胁。

2 校园网无线网络安全解决方案

校园网内无线网络建成后，怎样才能有效地保障无线网络的安全。前面提到的基于MAC地址的认证存在两个问题：一是数据管理的问题，要维护MAC数据库;二是MAC可嗅探，也可修改。如果采用共享密钥认证，攻击者可以轻易地搞到共享认证密钥。802.1x定义了三种身份：申请者(用户无线终端)、认证者(AP)和认证服务器。整个认证的过程发生在申请者与认证服务器之间，认证者只起到了桥接的作用。申请者向认证服务器表明自己的身份，然后认证服务器对申请者进行认证，认证通过后将通信所需要的密钥加密再发给申请者。申请者用这个密钥就可以与AP进行通信。

虽然802.1x仍旧存在一定的缺陷，但较共享密钥认证方式已经有了很大的改善，IEEE 802.11i和WAPI都参考了802.1x的机制。802.1x选用EAP来提供请求方和认证服务器两者之间的认证服务。最常用的EAP认证方法有EAP-MD5、EAP-TLS和PEAP等。Microsoft为多种使用802.1x的身份验证协议提供了本地支持。在大多数情况下，选择无线客户端身份验证的依据是基于密码凭据验证，或基于证书验证。建议在执行基于证书的客户端身份验证时使用EAP-TLS;在执行基于密码的客户端身份验证时使用EAP-Microsoft质询握手身份验证协议版本2(MSCHAPv2)。该协议在PEAP(Protected Extensible Authentication Protoco1)协议中，也称作PEAP-EAP-MSCHAPv2。

考虑到校园群体的特殊性，为了保障校园无线网络的安全，可对不同的群体采取不同的认证方法。在校园网内，主要分成两类不同的用户：一类是校内用户;另一类是来访用户。校内用户主要是学校的师生，由于工作和学习的需要，他们要求能够随时接入无线网络，访问校园网内资源以及访问Internet。这些用户的数据，如工资、科研成果、研究资料和论文等安全性要求比较高。对于此类用户，可使用802.1x认证方式对用户进行认证。来访用户主要是来校参观、培训或进行学术交流的一些用户。这类用户对网络安全的需求不是特别高，对他们来说最重要的就是能够非常方便而且快速地接入Internet以浏览相关网站和收发邮件等。针对这类用户，可采用DHCP+强制Portal认证的方式接入校园无线网络。开机后，来访用户先通过DHCP服务器获得IP地址。当来访用户打开浏览器访问Internet网站时，强制Portal控制单元首先将用户访问的Internet定向到Portal服务器中定制的网站，用户只能访问该网站中提供的服务，无法访问校园网内部的其他受限资源，比如学校公共数据库、图书馆期刊全文数据库等。如果要访问校园网以外的资源，必须通过强制Portal认证，认证通过就可以访问Internet。对于校内用户，先由无线用户终端发起认证请求，没通过认证之前，不能访问任何地方，并且不能获得IP地址。可通过数字证书(需要设立证书服务器)实现双向认证，既可以防止非法用户使用网络，也可以防止用户连入非法AP。双向认证通过后，无线用户终端从DHCP服务器获得IP地址。无线用户终端获得IP地址后，就可以利用双方约定的密钥，运用所协商的加密算法进行通信，并且可以重新生成新的密钥，这样就很好地保证了数据的安全传输。

使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决校园网无线网络的安全，具有一定的现实意义。来访用户所关心的是方便和快捷，对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件，用户直接使用Web浏览器认证后即可上网。采用此种方式，对来访用户来说简单、方便、快速，但安全性比较差。虽然用户名和密码可以通过SSL加密，但传输的数据没有任何加密，任何人都可以监听。当然，必须通过相应的权限来限制和隔离此类用户，确保来访用户无法访问校园网内部资料，从而保证校园网络的高安全性。因此针对校内用户可使用802.1x认证方式，以保障传输数据的安全。

校园网各区域分别覆盖无线局域网络以后，用户只需进行相应的设置就可以连接到校园网，从而实现各自需要的功能，进一步促进校园网内无线网络的建设。现在，不少高校都已经实现了整个校园的无线覆盖。但在建设无线网络的同时，因为对无线网络的安全不够重视，对校园网无线网络的安全考虑不及时，也造成了一定的影响和破坏。由此可见，做好无线网络的安全管理工作，并完成全校无线网络的统一身份验证，是当前学校组建无线网必须要考虑的事情。只有这样才能做到无线网络与现有有线网络的无缝对接，确保无线网络的高安全性，提高学校的信息化的水平。

参考文献

[1]董春庆.无线网络局域网技术及应用[J].网络世界,2007,(06).

[2](美)阿斯皮沃.无线网络安装调试与维护[M].北京:电子工业出版社,2007.

[3]范新运,王福豹,任丰原.无线传感器网络的路由协议[J].计算机测量与控制,2007,(09).

校园网无线网优化及安全方案的研究 篇8

1 校园无线网络现状

在通信技术迅速发展的背景下,无线网络由于其自身优势在校园网络建设中发挥着越来越重要的作用,方便廉价的优势给师生使用提供了极大便利。以天津商业大学为例,目前无线网络已做到校区全面覆盖,然而随着无线网络接入节点数量的逐渐增多,对无线网络的管理和操作要求也变得更加严格。为了能够让校园无线网络承载更大容量的业务内容,在网络速度、信号强度、稳定性方面同步满足不断发展的教学科研需求,目前采用802.11n标准,该标准是在802.11a标准上升级而来,对MAC地址采用包括帧聚合、Block确认在内的相关技术。其次,在兼容性问题上,802.11n属于完全可编程的网络平台,其良好的兼容性相对于其他网络标准是一大优势,由于其并不对不同系统的终端和基站排斥,因此,可以十分方便地满足用户二次开发。此外,802.11n采用智能天线技术,信号稳定,并可以根据需要调整波束,对其他信号的抗干扰能力强,覆盖范围可达数平方公里,完全满足高校实际需要。目前,校园网络资源主要的问题来自两方面:第一是进行合理优化设计,最大限度地利用通信资源,避免浪费;第二是在使用网络的过程中保证数据信息的安全性,防止恶意攻击和信息泄露。

2 校园无线网络管理与应用的优化途径

针对目前校园无线网络管理实际情况,为了达到统一、高效的管理目的,需要从下面几个方面进行优化。

2.1 统一多厂商的服务管理

由于校园无线网络设备在出厂商和设备型号等方面存在多样化特点,在安装和使用过程当中一旦出现问题,维护会耗费大量时间和人力。因此,为了实现无线网络设备的专业化管理,可以接入专业的Air Wave管理软件,这种管理软件可以快速诊断和识别故障类型及原因,自动生成设备故障检测报告。引进这种管理机制可以解决故障报送延迟的弊端,使得报送更加快速及时,维护人员能够更容易弄清故障原因及类型,方便处理。同时结合远程操作和监控技术,对日常操作维护进行方便快捷的管理。采用该软件并不需要对现有基础设备进行大规模改造,因此实现起来并不困难,而且成本不高。同时借助软件统计数据可以实现对网络状况的检测,支持多厂商不同型号的设备管理,提高服务管理水平和效率。

2.2 在校园内推广无线通应用

构建无线通平台目的是将教学与科研视频、课件、文本等学术资源放置于该平台上,在校区内实现网络资源的高效共享,促进教学活动和科研活动的开展。在推广无线通应用的过程中,为了能够对平台进行有效控制,保证平台使用的安全性,需要对平台使用者的身份进行认证。通常可将认证结果传送给信息服务商,由第三方提供关于平台使用的认证与授权。天津商业大学在部署平台的过程中,需要在无线通子系统中配置内部管理员帐户,对包括用户并发数量、用户在线时间等内容进行监控和管理。

2.3 积极构建校园三网融合

在校内构建无线、电信、移动三网相融合的网络平台,使用者可以便捷接入网络平台,同时形成校园无线网络环境的特色。随着笔记本、i Pad、智能手机等无线移动设备的广泛普及,师生都强烈要求能够在校园的任意位置连接无线以满足学习生活的需要,学校也必须设法扩大无线网络覆盖范围,做到校区无线网络无“死角”。三网融合是满足需求的良好方式,通过三网融合进一步提升校园无线网络的服务质量,积极构建校园三网融合是一项重要的优化措施。

3 加强校园网络的安全设计与维护

在校园网络建设中,网络安全问题是一项必须重视的工作。目前存在的主要网络安全问题包括非法用户入侵、信息重放、拒绝服务、网络监听等。可以从以下几方面加强安全防范。

3.1 上网者身份认证

由于无线网的开放性特点,在提供上网便利的同时也对使用网络的人员控制变得不如有线网络那样严格,一些人恰好利用这一特点对数据信息进行截取、篡改,肆意破坏网络安全环境。为了加强校园无线网络安全的管理力度,提升校园网络安全等级和使用规范,可以利用统一ID编号的方式对使用校园网络的人员设置准入策略,由于校园网络使用主体是学生和教师,可以借助学生学号和教师工号作为准入ID,并在首次联网时随机分配密码,所有使用者将凭ID和密码使用网络,这样可以从源头保证上网者身份的合法性。

3.2 无线入侵检测技术

在校园无线网络安全防范中引入无线入侵检测技术,可以对经过身份验证的合法用户在无线网络中的行为进行实时监控,分析网络中的传输数据来判断破坏系统和入侵事件。通过判断入侵事件的类型,检测用户的非法网络行为,并对异常网络流量进行报警。在用户使用过程中可以对非法入侵行为进行及时掌控,采用自动关闭非法访问网站或强制剔除非法用户的方式确保网络安全。

3.3 制度设计

网络安全的行为需要技术支持与制度设计相结合才能达到最佳效果。制度设计需要明确网络管理人员和网络使用人员的权责,制定网络使用人员的操作标准,使校园网严格按照网络安全的防范规律运行。

4 结语

当前,随着信息化在不断快速发展,网络安全问题逐渐凸显,校园网的安全问题越来越明显,带来影响学校工作正常开展等一系列问题。所以,积极采用对校园网络的安全管理措施是非常关键的一项重要内容。

参考文献

[1]侯小毛.基于智能化取用教学资源的校园数字化建设实证研究[D].长沙:湖南大学,2014.

[2]夏秀坤.基于IEEE802.11的无线校园网设计与实施方案研究[D].保定:河北大学,2011.

[3]陈珂.校园“一卡通”数据采集系统WPKI架构的研究与应用[D].上海东华大学,2008.

[4]林玉梅.高校校园网络安全防护方案的设计与实施[D].泉州:华侨大学,2015.

校园无线网络安全威胁与应对 篇9

关键词：无线网络,安全,RSN,802.1X

1 概述

二十一世纪以来, 中国的计算机网络获得了迅猛的发展。网络带宽不断增大, 覆盖范围越来越广, 网络的传输数据能力不断增强, 接入用户数量也呈几何级数暴增。计算机宽带技术创新所带来的宽带产品线越来越宽, 性能也有本质的提高。国产网络产品产业链初步完善, 由计算机网络承载的各种网络应用如电子商务、云计算、物联网、电子政务、信息平台、网络游戏等产业蓬勃发展。与此同时, 随着我国教育行业信息化的不断发展, 计算机网络在校园内也逐渐普及。IEEE802.11系列标准的制定与持续完善, 为无线网络发展奠定了基础。作为21世纪计算机网络的发展方向之一, 无线网络获得强大的发展动力。无线网络不仅在公共场合, 如机场、商场超市、城市广场、酒店等实现了网络信号的覆盖和接入, 而且在越来越多的校园里, 也实现了大面积的无线接入服务。计算机无线网络为学生们创造时尚前沿、个性飞扬、魅力四射的学习生活;为教师们提供了方便、快捷的网络接入服务。师生们摆脱了网络电缆的束缚, 能随时随地、随心所欲在校园里上网。无线网络极大地拓展了校园师生们的自由度。

然而, 世上的事物总是很像一把双刃剑, 计算机无线网络在给师生们带来便利的同时, 也带来了安全威胁。无线网络使用无线电磁波作为信息的载体, 网络信号非常容易被窃听和干扰, 这是由电磁波的传播特性所决定的。专家们指出, 无线网络所面临的安全威胁将远超有线网络。对于无线网络安全性的担忧, 已经成为无线网络发展的最大阻力。

2 无线网络面临的主要安全威胁

无线网络使用电磁波作为信息的载体, 在电磁波覆盖的范围内, 任何接入的用户, 都有可能对无线网络进行窃听和干扰。据RSA数据安全有限公司 (即EMC安全产品分公司, 是全球著名的网络安全服务供应商) 在英国的调查发现, 百分之六十七的无线网络没有任何安全措施。另有相当一部分无线网络, 虽然实施了一些安全防范措施, 但是在面对网络攻击的时候, 显得极其脆弱。

无线网络 (WAN) 所面临的安全威胁主要有以下几类。

2.1 无线链路容易侵入

无线网络遵守的802.11标准规定了两种无线链路的身份认证, 开放式系统身份认证与共享密钥身份认证。开放式系统身份认证允许任何用户接入到无线网络中, 不提供对传输数据的保护, 所有用户都可以通过该认证。共享密钥身份认证需要接入方和AP之间配置同享的密钥, 接入者使用密钥将一段随机字符串加密并发送给AP, 接受AP的认证。两种身份认证方式, 前者可以说毫无安全性可言;后者由于共享密钥的保密性差及容易被破解的原因, 其安全性能也不足以信赖。

任何稍具一些黑客知识人, 只需要很少的装备:一块无线网卡、一个黑客破解密码软件, 就可以侵入到网络中, 甚至获取一定权限, 窃取敏感信息。

2.2 DHCP无赖攻击

大部分的无线网络的STA (Station, 接入站点) IP地址参数是自动获取的, 由合法的DHCP (Dynamic Host Configuration Protocol, 动态主机配置协议) 服务器提供。入侵者如果启用了非法DHCP服务, 无线用户将有可能接受非法DHCP服务器提供的IP地址参数。这样, 由于使用了错误的IP地址参数, 合法用户将无法登陆无线网络, 甚至于将敏感数据发送给入侵者, 其结果将是灾难性的。DHCP无赖攻击的影响非常坏。这种攻击未必总是由入侵者发起, 不明白网络原理或者粗心大意用户, 可能在无意中发起了这种攻击。

2.3 MAC地址伪装

STA (Station, 接入站点) 向AP (Access Point, 接入点) 发起链路认证, 所使用的凭据就是自身的MAC地址。无线网络可以使用MAC地址过滤的方式, 将未经认证的MAC地址过滤掉, 从而使得那些未经审查的STA无法接入到无线网络中。但是, STA的MAC地址可以使用一些第三方软件进行修改。入侵者如果能够获取到合法MAC地址信息, 那么就可以据此更改自己的MAC地址, 从而通过MAC地址的审查, 获取对无线网络的访问权限。MAC地址伪装使得那些希望仅仅通过设置MAC地址过滤来防范网络攻击的努力变得毫无价值。

2.4 拒绝服务攻击 (DOS)

攻击者恶意占用大量的无线网络资源, 导致合法用户无法访问网络, 这就是拒绝服务攻击。由于无线网络传输介质 (即无线电磁波) 的特性, 无线网络非常容易受到拒绝服务攻击。攻击者使用与合法用户相同频率的电磁波, 会使得合法用户的无线信号受到干扰, 无法正常访问网络。攻击者也可以频繁地向AP发送非法身份验证请求, 使得AP忙于处理这些请求, 而不能迅速处理正常数据包。攻击者甚至可以直接使用专用电磁干扰天线, 来发动对无线网络的攻击。拒绝服务攻击会使用户感觉网络很慢, 甚至于无法上网。

2.5 拓扑变化导致管理困难

对不同的网络用户群体应用相应的网络访问权限, 这是网络管理的基本理念。有线网络环境下, 使用VLAN (虚拟局域网) 和ACL (网络访问控制列表) 很容易实现这个任务。无线网络环境下, 由于客户端的移动特性, 网络拓扑变化时时刻刻发生, 网络的规划和管理难度增大。对不同的网络用户应用不同的网络访问权限, 不再是一件容易做到的事情。在这种情况下, 为了不牺牲安全性能, 管理者要花费大量的时间和精力来维护无线网络。同时, 在地理位置发生改变时需要重复认证, 这也为用户带来不便。

3 主要应对策略

科技在进步, 解决问题的办法永远比问题多。无线网络虽然面临诸多安全威胁, 但是对于网络安全方面的人员来讲, 可供选择的安全措施也很丰富。

3.1 应用RSN安全措施

作为第一代网络安全措施, 802.11关于安全方面的策略是非常脆弱的。802.11的WEP密码的共享特征与RC4加密算法的缺陷 (容易被破解) , 使得人们普遍质疑无线网络的安全性。所幸的是, IEEE () 为了弥补802.11的安全功能, 制定了802.11i。作为新一代的网络安全标准, 802.11i受到各大无线网络设备生厂商的追捧。802.11i标准的密码非常不容易破解, 并且对无线数据提供加密和完整性检验。这种新的安全体系应用RSN (Robust Secure Network, 强健安全网络) 安全技术, RSN提供AES高级加密算法和802.1X认证, 打造了一个更加安全的无线网络, 保证只有那些得到许可的无线用户才能够接入到我们的无线网络中。

3.2 应用动态密码

最安全的密钥是什么, 答案是不断更新的密钥。在无线网络中, 应用密钥管理协议, 每过几分钟便更新数据加密密钥。即使是一流的黑客, 对于这样的无线网络, 恐怕也很难破解加密密码。即使破解了当时的加密密码, 这个密码在接下来的几分钟内又失去了效用 (密码更新) 。

3.3 实现MAC地址过滤

通过将授权用户的MAC (Media Access Controller, 物理地址) 地址加入到无线设备的白名单, WIDS (Wireless Intrusion Detection System, 无线入侵检测系统) 可以通过检测无线信号的数据帧, 将那些MAC地址没有列入白名单的用户数据丢弃掉, 从而保证只有授权用户才能接入无线网络。入侵者可以使用软件伪装为合法的MAC地址, 从而接入到网络中。这意味着MAC地址过滤不是一项毫无缺陷的技术。但是, 作为无线网络安全立体防御体系的重要一环, MAC地址过滤减去了大量的无线网络安全威胁, 可以免去无线网络的大部分麻烦。所以, MAC地址过滤依然有着重要的应用价值。

3.4 应用802.1X安全认证

为合法的用户提供灵活而又安全的认证, 阻挡非法用户访问网络。这正是无线网络管理者所要做的事情。早期无线网络只提供基于共享密钥的WEP认证, 这种认证方式被认为是不安全的, 极易被攻击者破解。作为WEP的替代产品, WPA与之后号称WPA2的RSN支持基于端口的网络存取标准802.1X, 它使用一种“客户端——服务器”模式, 实现了对合法用户的安全认证, 阻挡未认证用户对网络的访问。802.1X不再使用备受诟病的所有用户共享的认证密码, 取而代之的是更为复杂和严密的认证体系 (其初始加密密码是实时协商生成的) 。面对设计精良的802.1X认证的无线网络, 攻击者会觉得无处下手。

3.5 实施无线用户的安全隔离

无线网络使得用户可以自由地接入到网络中, 但对于无线用户的管理却非易事。换言之, 无线用户在拥有自由度的同时, 也存在着相当大的不确定性。为了维护无线用户的隐私, 同时避免无线用户之间提供一些“伪服务”, 将无线用户进行安全隔离, 便显得相当必要。使用安全隔离技术, 同处于无线信号覆盖下的用户们之间直接的不安全的互相访问, 将会被禁止。管理者可以在无线设备上轻松实现这一功能。

3.6 无线漫游降低管理难度, 提高无线网络灵活性

由于无线网络终端的流动性, 管理者难以对无线网络用户进行分组分层管理;同时, 从一个区域到达另一个区域, 无线用户们需要一次又一次地重新登录一个新的AP, 这太麻烦了。无线漫游技术可以让管理方做到, 无论终端用户处于哪个AP的覆盖范围下, 依然可以处于同一个网络分组;无线漫游还可以让用户只要登录一次, 以后就不要再次手工登录无线网络 (无线漫游会帮你后台自动登录无线网络) 。无线漫游是一项相当好用的技术, 对于追求灵活性和安全性的校园网络环境来说更是如此。

4 总结

无线网络的发展呈现出蓬勃的生命力, 网络安全与否将决定着无线网络是否还能更好的发展下去。对于校园来说, 无线网络安全问题一样迫在眉睫, 急需解决。构建一个立体的安全体系, 应用最为先进和安全的安全措施, 如RSN安全加密、802.1X身份认证、动态密码和MAC地址过滤等措施可以有效地保证我们的无线网络处于安全状态;而应用安全隔离与无线漫游可以让我们更方便地享受无线网络畅通无阻。

参考文献

[1]中国通信企业协会.2012~2013中国通信业发展分析报告[M].北京:人民邮电出版社, 2013.

[2]美国业余无线电协会.业余无线电射频干扰解决全方案[M].北京:人民邮电出版社, 2013.

[3]Sean Convery.网络安全体系结构[M].北京:人民邮电出版社, 2013.

校园无线网络的安全防范 篇10

20世纪90年代, 无线局域网 (WLAN) 技术于逐步成熟并商用, 作为传统有线网络的延伸, 甚至在某些环境可以替代传统的有线网络。随着WLAN技术的快速发展和不断成熟, 目前在国内外具有较多的中大规模应用, 譬如, 荷兰的阿姆斯特丹市的全城覆盖了WLAN, 向客户提供各种业务。2012年, 北京的中关村和西单等区域也覆盖了无线网。国内所有高校基本都实现了有线校园的建设。但随着教学设施的完善, 越来越多的便携式计算机终端被带进了教室, 越来越多的学生也开始拥有了带有无线网卡的计算机终端。教师和学生对高校校园网的依赖性相当之高, “随时随地获取信息”已成为广大师生们的新需求。但是, 传统的有线校园网存在着诸多“网络盲点”, 比如在图书馆、大型会议室、体育馆等场馆是许多不宜网络布线的。所以必须使用无线网, 但是在教室、实验室等场合如何突破网络节点限制、实现多人同时上网, 是一个很重要的需要解决的问题。本文就针对校园无线网的安全问题, 进行深入的分析, 并对如何进行安全防范提出相应的措施的建议。

1 无线网的优点

对于无线局域网, WLAN网桥传输系统的安装快速简单, 可极大的减少敷设管道及布线等繁琐工作;无线技术使得WLAN设备可以灵活的进行安装并调整位置, 使无线网络达到有线网络不易覆盖的区域;一方面WLAN网络减少了布线的费用, 另一方面在需要频繁移动和变化的动态环境中, 无线局域网技术可以更好地保护已有投资。同时, 由于WLAN技术本身就是面向数据通信领域的IP传输技术, 因此可直接通过百兆自适应网口和企业、学校内部Intranet相连, 从体系结构上节省了协议转换器等相关设备;WLAN网桥系统支持多种拓扑结构及平滑扩容, 可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统。总结起来, WLAN有简易性、灵活性、综合成本较低和扩展能力强的显著特点。

2 无线网的问题

安全问题一直是制约无线局域网技术的推广的关键因素之一, 越来多的决策者认为安全问题是影响他们做出无线局域网部署决定的首要因素。实际上, IEEE以及Wifi联盟、Microsoft、Cisco等无线局域网标准的制定机构和软硬件厂商, 一直致力于重新定义和改进无线局域网安全标准, 以便无线局域网能经受恶劣的安全环境的考验。本方案对无线局域网各种安全标准和协议进行分析与研究, 提出了选择无线局域网的安全策略, 并给出了无线局域网安全技术在校园网工程建设中的应用。

3 无线局域网的安全防范

对于无线网, 安全的防范是非常重要的。无线网的安全技术经过数十年的发展, 有了比较成熟的系统。针对无线网的安全技术, 可以分为认证技术和加密技术, 而认证技术包含SSID隐藏、MAC过滤、802X/EAP, 加密技术包含WEP、TKIP、CCMP, 如图所示。

在无线客户端和无线AP交换数据之前, 它们之间必须先进行一次对话。在802.llb标准制定时, IEEE在其中加入了一项功能:当无线客户端和无线AP对话后, 就立即开始认证工作, 在通过认证之前, 设备无法进行其他关键通信。这种认证方式有两种:开放认证和共享密钥认证。

3.1 开放认证

开放认证方法是802.nb标准中默认的认证方式, 在明文状态下进行认证, 认证过程如图所示:客户端向AP发送认证请求, AP确认认证, 注册客户端;客户端发送连接请求给AP, AP确认请求, 注册客户端。通常AP的开放认证有三种策略:第一种策略为默认方式, 允许任何客户端认证;第二种是只允许认证带有合法服务器标识ID (实际为SSID) 的客户端, SSID相当于密码的作用;第三种是AP只允许认证MAC地址在AP的访问控制列表中的客户端。

3.2 共享密钥认证

共享密钥认证是基于WEP共享密钥的认证方法, 前提是客户端和AP中己经预先手动设置好了共享密钥, 共享密钥认证与开放认证相似, 只不过它使用WEP对认证过程进行加密, 因而其安全性要高于开放认证。

3.3 无线局域网的加密技术

加密技术是网络安全的一项重要技术。IEEE为无线局域网提供了三种安全性保护协议:WEP、TKIP、CCMP。主要的方法有无线局域网EAP策略、无线局域网鉴别与保密基础架构WAPI以及IEEE802.11标准中的WPA等等。其中WAPI是我国自主研发的、拥有自主知识产权的无线网络安全标准而TKIP主要进行无线网络产品的互通性测试。然而, 这些还联够, 还需要一些增强方法和策略等。

3.4 选择无线局域网安全策略的原则

确保无线局域网网安全可以说“三分靠技术, 七分靠策略”, 无线局域网部署中要适当应用安全技术, 合理选择安全策略。在部署无线局域网时, 只要结合自身的网路安全实际需求, 合理选择无线局域网的安全策略, 提供足够的网络安全防护, 就可以安心的享受无线接入的便捷, 同时也能保证重要数据的安全。本章首先对无线局域网的各种安全措施以及EAP类型进行比较, 最后提出了基本安全、增强安全和扩展安全的三种无线局域网部署方案。

4 总结