无线校园网的安全认证研究
开篇:润墨网以专业的文秘视角,为您筛选了一篇无线校园网的安全认证研究范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:随着802.11协议组的不断发展完善,组建无线校园网的技术基础日趋成熟,信息安全是无线网络需要重点考虑的问题,本文对于无线校园网的安全认证相关问题进行了研究。
关键词:无线校园网 安全认证
中图分类号:TN92 文献标识码:A 文章编号:1007-9416(2014)02-0186-01
近几年来,全国高校兴起无线校园网络的建设热潮。北京大学,北京航空航天大学,广州大学等高校已建成并投入使用。基于无线网络,能够打造一个数字化的校园,各种通信设备可以随时随地地接入网络,提升校园信息化水平;依托无线校园网建设的校园安防监控体系,扩展性强,能够即时增减监控摄像机;通过无线网络可以向智能终端推送信息,便于即时下达各种通知。只要善加利用,无线校园网可以大大方便师生工作学习,提高教学科研效率[1]。
无线校园网基于IEEE 802.11系列协议标准,现在市场上主流设备采用802.11n协议,最新的802.11ac,802.11ad协议标准已制定完毕。理论上,802.11ac设备能提供最少1Gbps的带宽进行多站式无线局域网通信,或者最少500Mbps的单一连接传输带宽。802.11ad使用高频载波的60GHz频谱,理论速度达到7Gbps,可用于实现室内无线高清音视频信号的传输,为无线多媒体应用带来完备的高清音视频解决方案。
由于其开放的特点,无线局域网的安全性一直备受关注。早期的无线局域网主要采用无线网卡物理地址(MAC)过滤、服务区标识符(Service Set Identifier,SSID)匹配、有线等效保密(WEP)等安全技术。上述三种安全技术提高了无线网络传输的安全性,但是都存在不同程度的缺点:虽然理论上MAC地址具有唯一性,但在实际应用中, MAC地址可以进行伪造。由于AP每隔一定时间会送出一个信标帧(Beacon Frames),其中包含有信标间隔、时间戳和SSID等信息,这样非法入侵者就能自动搜寻频道找到合法的SSID接入网络。为了保护传输数据,WEP使用了RC4算法来加密从接入点或者无线网卡发送的数据包。RC4算法本身是一种安全的算法,但在RC4算法的无线实现中,由于初始向量(Initialization Vector,IV)本身的弱点,带来了很多安全问题。针对802.11的安全问题,随后又出现了VPN-Over-Wireless技术、WPA(Wi-Pi访问保护)两种新的安全技术。为了进一步加强无线网络的安全性,IEEE工作组又了802.11i标准。这一代安全标准定义了安全网络RSN(Robust Security Network)的概念,从数据加密和控制访问两方面对以往无线局域网的安全措施进行了改进和加强[2]。
无线校园网常见的安全问题有:Rouge AP隐患和802.11协议攻击。Rouge AP隐患即学生将一些未经许可的无线AP私自接入网络,对全网的安全稳定性造成危胁。常见的802.11协议攻击有无线报文的FLOOD攻击,NULL DATA报文攻击和Weak IV攻击。对于Rouge AP问题可以通过在所有以太网端口进行Portal或802.1x认证来解决,对于协议族攻击,可以通过设置一个动态黑名单,时刻检测全网设备,将任何发起攻击的无线客户端添加到此动态黑名单中。下面我们通过分析H3C安全策略来研究下无线校园网安全认证问题的解决方案。
H3C公司的无线安全解决方案为EAD(Endpoint Admission Defense)端点准入防御。由两大功能模块组成:安全防护和安全监控。安全防护是从入网终端的安全控制入手,通过对终端进行安全认证,对达不到安全标准的终端进行修复,保证网络的安全。而安全监控是通过在终端入网在线过程中,实时监控其安全状态,并针对安全问题采取适合的应对措施,实时保障网络安全。
EAD整体控制,主要是通过身份认证,安全认证和动态授权三步控制整个网络体系的安全。对所有接入的用户身份进行认证,非法用户将被拒绝接入网络,支持802.1x和Portal认证,身份认证不仅仅局限于用户名和密码,还可以绑定IP,MAC,VLAN和端口等。对通过身份认证的用户再进行安全认证,由安全策略服务器验证用户终端的安全状态(包括补丁版本、病毒库版本、软件安装、系统服务、注册表、是否登录密码为弱密码等)是否合格。安全认证不合格的终端被安全联动设备通过ACL策略限制在隔离区进行安全修复。进入隔离区的终端可以进行补丁、病毒库的升级、卸载非法软件和停止非法服务等操作,直到安全状态合格。如果用户通过了身份认证、安全认证,则安全策略服务器将预先配置的该用户的权限信息(包括网络访问权限等)下发给安全联动设备,由安全联动设备实现按用户身份的权限控制。安全联动设备根据安全策略服务器下发的监控策略,实时监控用户终端的安全状态,一旦发现用户终端安全状态不符合企业安全策略,则向EAD安全策略服务器上报安全事件,由EAD安全策略服务器按照预定义的安全策略,对用户采取相应的控制措施。
随着802.11系列协议不断完善和设备厂商对其产品安全策略的不断改进,无线校园网的安全性将获得良好保障。不久的将来,无线校园网必将成为高校的必备设施。
参考文献
[1]加斯特.802.11无线网络权威指南[M].东南大学出版社,2007-12-01.
[2]Bruce Potter,Bob Fleck.802.11 Security[M].O'Reilly Media,2002-12-24.