论文部分内容阅读
[摘 要] 随着高校信息化建设水平的不断提高,无线网络已经成为校园网方案的一个重要组成部分。本文对校园无线网的接入问题进行研究,并对校园无线网络的安全问题进行了剖析,给出了一种相对安全的无线校园网解决方案。
[关键词] 校园网 无线网络 安全认证
在传统校园网的组建过程中,主要的传输媒介是双绞线、铜缆或光缆,构成有线局域网。但是这种网络在组建和使用的过程中工程量大,破坏性强,网中的各节点搭建完成以后移动性不强,这些问题极大地制约了校园网的发展。为了解决这些问题,无线网络作为有线网络的补充和扩展,逐渐得到了发展和普及。无线网络在校园网的引入,在某些场所,如网络教室、会议室、报告厅、图书馆等区域,可以率先覆盖无线网络,让用户能真正做到无线漫游,给工作和生活带来巨大的便利。进而逐渐将无线的覆盖范围扩大,最后做到无线网的全校覆盖。
一、校园网无线网络安全现状
在无线网络技术相对成熟的今天,无线网络解决方案能够很好满足校园网的种种特殊的要求,并且拥有传统网络所不能比拟的易扩容性和自由移动性,已经逐渐成为一种潮流,成为众多校园网解决方案的重要选择。这都源于无线局域网拓展了现有的有线网络的覆盖范围,使随时随地的网络接入成为可能。但在使用无线网络的同时,无线接入的安全性也面临严峻的考验。目前无线网络提供的比较常用的安全机制有如下三种:①基于MAC地址的认证。基于MAC地址的认证就是MAC地址过滤,每一个无线接入点可以使用MAC地址列表来限制网络中的用户访问。实施MAC地址访问控制后,如果MAC列表中包含某个用户的MAC地址,则这个用户可以访问网络,否则如果列表中不包含某个用户的MAC地址,则该用户不能访问网络。②共享密钥认证。共享密钥认证方法要求在无线设备和接入点上都使用有线对等保密算法。如果用户有正确的共享密钥,那么就授予该用户对无线网络的访问权。③802.1x认证。802.1x协议称为基于端口的访问控制协议,它是个第二层协议,需要通过802.1x客户端软件发起请求,通過认证后打开逻辑端口,然后发起DHCP请求获得IP以及获得对网络的访问。
从目前情况来看,不少校园网的无线接入点都没有很好地考虑无线接入的安全问题,如基于MAC地址的认证或共享密钥认证没有设置,更不用说像802.1x这样相对来说比较难设置的认证方法了。如果我们提着笔记本电脑在某个校园内走动,会搜索到很多无线接入点,这些接入点几乎没有任何的安全防范措施,可以非常方便地接入。试想,如果让不明身份的人进入无线网络,进而进入校园网,就会对我们的校园网络构成威胁。
二、校园网无线网络安全解决方案
考虑到校园群体的特殊性,为了保障校园无线网络的安全,可对不同的群体采取不同的认证方法。在校园网内,主要分成两类不同的用户:一类是校内用户;另一类是来访用户。校内用户主要是学校的师生,由于工作和学习的需要,他们要求能够随时接入无线网络,访问校园网内资源以及访问Internet。这些用户的数据,如工资、科研成果、研究资料和论文等安全性要求比较高。对于此类用户,可使用802.1x认证方式对用户进行认证。来访用户主要是来校参观、培训或进行学术交流的一些用户。这类用户对网络安全的需求不是特别高,对他们来说最重要的就是能够非常方便而且快速地接入Internet以浏览相关网站和收发邮件等。针对这类用户,可采用DHCP+强制Portal认证的方式接入校园无线网络。开机后,来访用户先通过DHCP服务器获得IP地址。当来访用户打开浏览器访问Internet网站时,强制Portal控制单元首先将用户访问的Internet定向到Portal服务器中定制的网站,用户只能访问该网站中提供的服务,无法访问校园网内部的其他受限资源,比如学校公共数据库、图书馆期刊全文数据库等。如果要访问校园网以外的资源,必须通过强制Portal认证,认证通过就可以访问Internet。对于校内用户,先由无线用户终端发起认证请求,没通过认证之前,不能访问任何地方,并且不能获得IP地址。可通过数字证书(需要设立证书服务器)实现双向认证,既可以防止非法用户使用网络,也可以防止用户连入非法AP。双向认证通过后,无线用户终端从DHCP服务器获得IP地址。无线用户终端获得IP地址后,就可以利用双方约定的密钥,运用所协商的加密算法进行通信,并且可以重新生成新的密钥,这样就很好地保证了数据的安全传输。
使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决校园网无线网络的安全,具有一定的现实意义。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。虽然用户名和密码可以通过SSL加密,但传输的数据没有任何加密,任何人都可以监听。当然,必须通过相应的权限来限制和隔离此类用户,确保来访用户无法访问校园网内部资料,从而保证校园网络的高安全性。因此针对校内用户可使用802.1x认证方式,以保障传输数据的安全。
校园网各区域分别覆盖无线局域网络以后,用户只需进行相应的设置就可以连接到校园网,从而实现各自需要的功能,进一步促进校园网内无线网络的建设。现在,不少高校都已经实现了整个校园的无线覆盖。但在建设无线网络的同时,因为对无线网络的安全不够重视,对校园网无线网络的安全考虑不及时,也造成了一定的影响和破坏。由此可见,做好无线网络的安全管理工作,并完成全校无线网络的统一身份验证,是当前学校组建无线网必须要考虑的事情。只有这样才能做到无线网络与现有有线网络的无缝对接,确保无线网络的高安全性,提高学校的信息化的水平。
参 考 文 献
[1]董春庆.无线网络局域网技术及应用[J].网络世界,2007,(06).
[2](美)阿斯皮沃.无线网络安装调试与维护[M].北京:电子工业出版社,2007.■
[关键词] 校园网 无线网络 安全认证
在传统校园网的组建过程中,主要的传输媒介是双绞线、铜缆或光缆,构成有线局域网。但是这种网络在组建和使用的过程中工程量大,破坏性强,网中的各节点搭建完成以后移动性不强,这些问题极大地制约了校园网的发展。为了解决这些问题,无线网络作为有线网络的补充和扩展,逐渐得到了发展和普及。无线网络在校园网的引入,在某些场所,如网络教室、会议室、报告厅、图书馆等区域,可以率先覆盖无线网络,让用户能真正做到无线漫游,给工作和生活带来巨大的便利。进而逐渐将无线的覆盖范围扩大,最后做到无线网的全校覆盖。
一、校园网无线网络安全现状
在无线网络技术相对成熟的今天,无线网络解决方案能够很好满足校园网的种种特殊的要求,并且拥有传统网络所不能比拟的易扩容性和自由移动性,已经逐渐成为一种潮流,成为众多校园网解决方案的重要选择。这都源于无线局域网拓展了现有的有线网络的覆盖范围,使随时随地的网络接入成为可能。但在使用无线网络的同时,无线接入的安全性也面临严峻的考验。目前无线网络提供的比较常用的安全机制有如下三种:①基于MAC地址的认证。基于MAC地址的认证就是MAC地址过滤,每一个无线接入点可以使用MAC地址列表来限制网络中的用户访问。实施MAC地址访问控制后,如果MAC列表中包含某个用户的MAC地址,则这个用户可以访问网络,否则如果列表中不包含某个用户的MAC地址,则该用户不能访问网络。②共享密钥认证。共享密钥认证方法要求在无线设备和接入点上都使用有线对等保密算法。如果用户有正确的共享密钥,那么就授予该用户对无线网络的访问权。③802.1x认证。802.1x协议称为基于端口的访问控制协议,它是个第二层协议,需要通过802.1x客户端软件发起请求,通過认证后打开逻辑端口,然后发起DHCP请求获得IP以及获得对网络的访问。
从目前情况来看,不少校园网的无线接入点都没有很好地考虑无线接入的安全问题,如基于MAC地址的认证或共享密钥认证没有设置,更不用说像802.1x这样相对来说比较难设置的认证方法了。如果我们提着笔记本电脑在某个校园内走动,会搜索到很多无线接入点,这些接入点几乎没有任何的安全防范措施,可以非常方便地接入。试想,如果让不明身份的人进入无线网络,进而进入校园网,就会对我们的校园网络构成威胁。
二、校园网无线网络安全解决方案
考虑到校园群体的特殊性,为了保障校园无线网络的安全,可对不同的群体采取不同的认证方法。在校园网内,主要分成两类不同的用户:一类是校内用户;另一类是来访用户。校内用户主要是学校的师生,由于工作和学习的需要,他们要求能够随时接入无线网络,访问校园网内资源以及访问Internet。这些用户的数据,如工资、科研成果、研究资料和论文等安全性要求比较高。对于此类用户,可使用802.1x认证方式对用户进行认证。来访用户主要是来校参观、培训或进行学术交流的一些用户。这类用户对网络安全的需求不是特别高,对他们来说最重要的就是能够非常方便而且快速地接入Internet以浏览相关网站和收发邮件等。针对这类用户,可采用DHCP+强制Portal认证的方式接入校园无线网络。开机后,来访用户先通过DHCP服务器获得IP地址。当来访用户打开浏览器访问Internet网站时,强制Portal控制单元首先将用户访问的Internet定向到Portal服务器中定制的网站,用户只能访问该网站中提供的服务,无法访问校园网内部的其他受限资源,比如学校公共数据库、图书馆期刊全文数据库等。如果要访问校园网以外的资源,必须通过强制Portal认证,认证通过就可以访问Internet。对于校内用户,先由无线用户终端发起认证请求,没通过认证之前,不能访问任何地方,并且不能获得IP地址。可通过数字证书(需要设立证书服务器)实现双向认证,既可以防止非法用户使用网络,也可以防止用户连入非法AP。双向认证通过后,无线用户终端从DHCP服务器获得IP地址。无线用户终端获得IP地址后,就可以利用双方约定的密钥,运用所协商的加密算法进行通信,并且可以重新生成新的密钥,这样就很好地保证了数据的安全传输。
使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决校园网无线网络的安全,具有一定的现实意义。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。虽然用户名和密码可以通过SSL加密,但传输的数据没有任何加密,任何人都可以监听。当然,必须通过相应的权限来限制和隔离此类用户,确保来访用户无法访问校园网内部资料,从而保证校园网络的高安全性。因此针对校内用户可使用802.1x认证方式,以保障传输数据的安全。
校园网各区域分别覆盖无线局域网络以后,用户只需进行相应的设置就可以连接到校园网,从而实现各自需要的功能,进一步促进校园网内无线网络的建设。现在,不少高校都已经实现了整个校园的无线覆盖。但在建设无线网络的同时,因为对无线网络的安全不够重视,对校园网无线网络的安全考虑不及时,也造成了一定的影响和破坏。由此可见,做好无线网络的安全管理工作,并完成全校无线网络的统一身份验证,是当前学校组建无线网必须要考虑的事情。只有这样才能做到无线网络与现有有线网络的无缝对接,确保无线网络的高安全性,提高学校的信息化的水平。
参 考 文 献
[1]董春庆.无线网络局域网技术及应用[J].网络世界,2007,(06).
[2](美)阿斯皮沃.无线网络安装调试与维护[M].北京:电子工业出版社,2007.■