学校无线网安全策略研究

《学校无线网安全策略研究》由会员分享，可在线阅读，更多相关《学校无线网安全策略研究（4页珍藏版）》请在装配图网上搜索。

1、学校无线网平安策略研究论文关键词：无线网络；平安；prtal认证；802.1x论文摘要：随着高校信息化建立程度的不断进步，无线网络逐渐成为校园网解决方案的一个重要组成局部。该文对校园无线网接入进展研究，并对校园无线网络的平安进展了分析，最后给出了一种合适校园网无线网络的平安解决方案。1引言在过去的很多年，计算机组网的传输媒介主要依赖铜缆或光缆，构成有线局域网。但有线网络在施行过程中工程量大，破坏性强，网中的各节点挪动性不强。为理解决这些问题，无线网络作为有线网络的补充和扩展，逐渐得到的普及和开展。在校园内，老师与学生的流动性很强，很容易在一些地方人员聚集，形成“公共场所。而且随着笔记本电脑的普

2、及和inteet接入需求的增长，无论是老师还是学生都迫切要求在这些场所上网并进展网上教学互动活动。挪动性与频繁交替性，使有线网络无法灵敏满足他们对网络的需求，造成网络互联和inteet接入瓶颈。将无线网络的技术引入校园网，在某些场所，如网络教室，会议室，报告厅、图书馆等区域，可以率先覆盖无线网络，让用户能真正做到无线遨游，给工作和生活带来宏大的便利。随后，渐渐把无线的覆盖范围扩大，最后做到全校无线的覆盖。2校园网无线网络平安现状在无线网络技术成熟的今天，无线网络解决方案可以很好满足校园网的种种特殊的要求，并且拥有传统网络所不能比较的易扩容性和自由挪动性，它已经逐渐成为一种潮流，成为众多校园网解

3、决方案的重要选择之一。随着校园网无线网络的建成，在学校的教室、办公室、会议室、甚至是校园草坪上，都有不少的老师和学生手持笔记本电脑通过无线上网，这都源于无线局域网拓展了现有的有线网络的覆盖范围，使随时随地的网络接入成为可能。但在使用无线网络的同时，无线接入的平安性也面临的严峻的考验。目前无线网络提供的比较常用的平安机制有如下三种：基于a地址的认证。基于a地址的认证就是a地址过滤，每一个无线接入点可以使用a地址列表来限制网络中的用户访问。施行a地址访问控制后，假如a列表中包含某个用户的a地址，那么这个用户可以访问网络，否那么假如列表中不包含某个用户的a地址，那么该用户不能访问网络。共享密钥认证。

4、共享密钥认证方法要求在无线设备和接入点上都使用有线对等保密算法。假如用户有正确的共享密钥，那么就授予该用户对无线网络的访问权。802.1x认证。8021x协议称为基于端口的访问控制协议，它是个二层协议，需要通过802.1x客户端软件发起恳求，通过认证后翻开逻辑端口，然后发起dhp恳求获得ip以及获得对网络的访问。可以说，校园网的不少无线接入点都没有很好地考虑无线接入的平安问题，就连最根本的平安，如基于a地址的认证或共享密钥认证也没有设置，更不用说像802.1x这样相对来说比较难设置的认证方法了。假如我们提着笔记本电脑在某个校园内走动，会搜索到很多无线接入点，这些接入点几乎没有任何的平安防范措施

5、，可以非常方便地接入。试想，假如让不明身份的人进入无线网络，进而进入校园网，就会对我们的校园网络构成威胁。3校园网无线网络平安解决方案校园网内无线网络建成后，怎样才能有效地保障无线网络的平安?前面提到的基于a地址的认证存在两个问题，一是数据管理的问题，要维护a数据库，二是a可嗅探，也可修改；假如采用共享密钥认证，攻击者可以轻易地搞到共享认证密钥；802.1x定义了三种身份：申请者(用户无线终端)、认证者(ap)和认证效劳器。整个认证的过程发生在申请者与认证效劳器之间，认证者只起到了桥接的作用。申请者向认证效劳器说明自己的身份，然后认证效劳器对申请者进展认证，认证通过后将通信所需要的密钥加密再发

6、给申请者。申请者用这个密钥就可以与ap进展通信。虽然802.1x仍旧存在一定的缺陷，但较共享密钥认证方式已经有了很大的改善，ieee802.11i和api都参考了802.1x的机制。802.1x选用eap来提供恳求方和认证效劳器两者之间的认证效劳。最常用的eap认证方法有eapd5、eaptls和peap等。irsft为多种使用802.1x的身份验证协议提供了本地支持。在大多数情况下，选择无线客户端身份验证的根据是基于密码凭据验证，或基于证书验证。建议在执行基于证书的客户端身份验证时使用eap-tls；在执行基于密码的客户端身份验证时使用eap-irsft质询握手身份验证协议版本2(shapv

7、2)，该协议在peap(prtetedextensibleauthentiatinprt1)协议中，也称作peapeapshapv2。考虑到校园群体的特殊性，为了保障校园无线网络的平安，可对不同的群体采取不同的认证方法。在校园网内，主要分成两类不同的用户，一类是校内用户，一类是来访用户。校内用户主要是学校的师生。由于工作和学习的需要，他们要求可以随时接入无线网络，访问校园网内资源以及访问internet。这些用户的数据，如工资、科研成果、研究资料和论文等的平安性要求比较高。对于此类用户，可使用802.1x认证方式对用户进展认证。来访用户主要是来校参观、培训或进展学术交流的一些用户。这类用户对网

8、络平安的需求不是特别高，对他们来说最重要的就是可以非常方便而且快速地接入inteet，以阅读相关网站和收发邮件等。针对这类用户，可采用dhp+强迫prtal认证的方式接入校园无线网络。如下图，开机后，来访用户先通过dhp效劳器获得ip地址。当来访用户翻开阅读器访问inteet网站时，强迫prta控制单元首先将用户访问的inteet定向到prtal效劳器中定制的网站，用户只能访问该网站中提供的效劳，无法访问校园网内部的其他受限资源，比方学校公共数据库、图书馆全文数据库等。假如要访问校园网以外的资源，必须通过强迫prtal认证认证通过就可以访问inteet。对于校内用户，先由无线用户终端发起认证恳

9、求，没通过认证之前，不能访问任何地方，并且不能获得ip地址。可通过数字证书(需要设立证书效劳器)实现双向认证，既可以防止非法用户使用网络，也可以防止用户连入非法ap。双向认证通过后，无线用户终端从dhp效劳器获得ip地址。无线用户终端获得ip地址后，就可以利用双方约定的密钥，运用所协商的加密算法进展通信，并且可以重新生成新的密钥，这样就很好地保证了数据的平安传输。使用强迫prtal+802.1x这两种认证方式相结合的方法能有效地解决校园网无线网络的平安，具有一定的现实意义。来访用户所关心的是方便和快捷，对平安性的要求不高。强迫prtal认证方式在用户端不需要安装额外的客户端软件，用户直接使用e

10、b阅读器认证后即可上网。采用此种方式，对来访用户来说简单、方便、快速，但平安性比较差。虽然用户名和密码可以通过ssl加密，但传输的数据没有任何加密，任何人都可以监听。当然，必须通过相应的权限来限制和隔离此类用户，确保来访用户无法访问校园网内部资料，从而保证校园网络的高平安性。校内用户所关心的主要是其信息的平安，平安性要求比较高。802.1x认证方式安装设置比较费事，设置步骤也比较多，且要有专门的802.1x客户端，但拥有极好的平安性，因此针对校内用户可使用802.1x认证方式，以保障传输数据的平安。4完毕语校园网各区域分别覆盖无线局域网络以后，用户只需简单的设置就可以连接到校园网，从而实现上网功能。特别是随着迅驰技术的开展，将进一步促进校园网内无线网络的建立。如今，不少高校都已经实现了整个校园的无线覆盖。但在建立无线网络的同时，由于对无线网络的平安不够重视，对校园网无线网络的平安考虑不够。在这点上，学校信息化办公室和网管中心应该牵头，做好无线网络的平安管理工作，并完成全校无线网络的统一身份验证，做到无线网络与现有有线网络的无缝对接，确保无线网络的高平安性。参考文献：1杨峰,张浩军.无线局域网平安协议的研究和实现j.计算机应用,2022,25(1):2.2黄劲荣.无线局域网在校园网的应用j.教育信息化,2022(15):1.