無線校園網(wǎng)的安全設(shè)計

1、畢業(yè)設(shè)計（論文）任務(wù)書專業(yè) 計算機網(wǎng)絡(luò)技術(shù) 班級 姓名 一、課題名稱： 無線校園網(wǎng)的安全設(shè)計 二、主要技術(shù)指標(biāo)： 分析現(xiàn)有的WLAN安全協(xié)議的原理和機制，結(jié)合學(xué)校或企業(yè)WLAN網(wǎng)絡(luò)應(yīng)用中的安全問題，提出網(wǎng)絡(luò)安全解決方案。 三、工作內(nèi)容和要求：1. 閱讀參考文獻(xiàn)和技術(shù)文檔資料，為論文撰寫做準(zhǔn)備工作。 2. WLAN的相關(guān)技術(shù)、WLAN安全協(xié)議的原理和機制研究。 3. WLAN應(yīng)用中的安全問題分析 4. 設(shè)計無線校園網(wǎng)絡(luò)安全解決方案。 5. 編寫畢業(yè)設(shè)計論文。按學(xué)校規(guī)范編著畢業(yè)設(shè)計論文，嚴(yán)禁抄襲 。 四、主要參考文獻(xiàn)：1. 無線局域網(wǎng)安全-方法與技術(shù)第2版,朱建明,機械工業(yè)出版社,2009年8月

2、2. 校園網(wǎng)無線接入安全研究，彭偉，常潘，華東師范大學(xué)網(wǎng)絡(luò)中心，2000年6月 3. WLAN安全解決方案設(shè)計與實現(xiàn)，李煜，北京郵電大學(xué)碩士學(xué)位論文 4. 無線校園網(wǎng)絡(luò)安全分析及方案設(shè)計，李文勝，廣東省環(huán)境保護(hù)職業(yè)技術(shù)學(xué) 學(xué) 生（簽名） 年 月 日指 導(dǎo) 教師（簽名） 年 月 日 教研室主任（簽名） 年 月 日 系 主 任（簽名） 年 月 日畢業(yè)設(shè)計（論文）開題報告設(shè)計（論文）題目無線校園網(wǎng)的安全設(shè)計一、 選題的背景和意義：1. 選題背景現(xiàn)如今，網(wǎng)絡(luò)已是人們生活和學(xué)習(xí)中必不可少的軟件條件，也是每所高校軟件設(shè)施的重要環(huán)節(jié)之一。在使學(xué)校成為信息數(shù)字化校園的過程中，網(wǎng)絡(luò)發(fā)揮著其不可替代的作用。但是，

3、傳統(tǒng)的有線網(wǎng)絡(luò)受設(shè)計或環(huán)境條件的制約，在物理、邏輯等方面普遍存在著一系列問題，特別是當(dāng)涉及到網(wǎng)絡(luò)移動和重新布局時，它無法滿足人們對靈活的組網(wǎng)方式的需要和終端自由聯(lián)網(wǎng)的要求。在這種情況下，傳統(tǒng)的計算機網(wǎng)絡(luò)由有線向無線、由固定向移動的發(fā)展已成為必然，無線局域網(wǎng)技術(shù)應(yīng)運而生。作為對有線網(wǎng)絡(luò)的一個有益的補充，無線網(wǎng)絡(luò)同樣面臨著無處不在的完全威脅，尤其是當(dāng)無線網(wǎng)絡(luò)的安全性設(shè)計不夠完善時，此問題更加嚴(yán)重。所以，無線網(wǎng)絡(luò)的安全問題是無線網(wǎng)絡(luò)正常工作不容忽視的前提條件。2. 意義本課題通過對無線網(wǎng)絡(luò)的學(xué)習(xí)和研究，分析校園網(wǎng)絡(luò)的安全需求，最終將制定出一套合理可行的安全設(shè)計方案，使校園無線網(wǎng)絡(luò)的使用能更加安全可靠

4、。二、 課題研究的主要內(nèi)容：1. WLAN的相關(guān)技術(shù)2. WLAN安全協(xié)議的原理和機制3. WLAN應(yīng)用中的安全問題分析4. 無線校園網(wǎng)絡(luò)安全解決方案三、 主要研究（設(shè)計）方法論述：1.調(diào)查法，通過走訪和咨詢相關(guān)專業(yè)的老師，了解無線網(wǎng)絡(luò)安全的需求及一些所需設(shè)備的規(guī)格及配置方法，。2.文獻(xiàn)法，通過對相關(guān)文獻(xiàn)的分析和學(xué)習(xí)，了解無線網(wǎng)絡(luò)安全實現(xiàn)的方法和技術(shù)。3.歸納法，通過歸納和總結(jié)需求，得到無線網(wǎng)絡(luò)安全實現(xiàn)的難點和重點。4.案例研究法，收集類似的網(wǎng)絡(luò)安全設(shè)計方案，學(xué)習(xí)和研究其中的特點，并分析其在自己的方案中的可行性。四、設(shè)計（論文）進(jìn)度安排：時間（迄止日期）工 作 內(nèi) 容2011.9.26-201

5、1.10.10選題2011.10.11-2011.10.18準(zhǔn)備課題需求資料，完成開題報告2011.10.19-2011.10.31完成畢業(yè)設(shè)計初稿2011.11.1-2011.11.9修改、完善，形成二稿2011.11.10-2011.11.11畢業(yè)設(shè)計定稿，交打印稿和電子稿2011.11.11-2011.11.16準(zhǔn)備材料，參加畢業(yè)答辯五、指導(dǎo)教師意見： 指導(dǎo)教師簽名： 年 月 日六、系部意見： 系主任簽名： 年 月 日無線校園網(wǎng)的安全設(shè)計目 錄摘要2Abstract3前言3第一章WLAN概述及應(yīng)用51.1 WLAN基本概念及標(biāo)準(zhǔn)演進(jìn)51.1.1 WLAN基本概念51.1.3 WLAN網(wǎng)絡(luò)

6、建立過程51.2 WLAN的安全風(fēng)險及解決方案61.2.1 WLAN中存在的安全風(fēng)險61.2.2 WLAN安全項目采用的安全解決方案7第二章 WLAN概述及應(yīng)用92.1 802.11無線局域網(wǎng)的安全機制92.2 802.1x協(xié)議的體系92.3 802.1x協(xié)議的認(rèn)證過程102.4 802.1x協(xié)議的特點112.5 802.1x認(rèn)證協(xié)議的應(yīng)用122.6 802.1x與智能卡122.7 發(fā)展方向和趨勢13第三章 WLAN應(yīng)用中的安全問題分析143.1 安全協(xié)議分析143.2 WEP安全協(xié)議分析143.3 WPA 安全協(xié)議分析153.4 安全協(xié)議分析16第四章 無線校園網(wǎng)絡(luò)安全解決方案174.1無線

7、網(wǎng)絡(luò)安全實現(xiàn)原理174.2無線校園網(wǎng)絡(luò)安全方案設(shè)計174.3無線校園網(wǎng)絡(luò)安全的意義18致 謝19參考文獻(xiàn)19摘要無線局域網(wǎng)(WLAN)是計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物，由于無線網(wǎng)絡(luò)所特有的開放性，其安全問題一直是業(yè)界研究的重點。本論文對WLAN安全協(xié)議進(jìn)行了深入的研究，提出了無線接入點(AP)中安全認(rèn)證模塊的具體實現(xiàn)，并且對實現(xiàn)過程中的一些關(guān)鍵問題提出了切實有效的解決方案。本論文主要分為五個部分。第一部分 概述了WLAN網(wǎng)絡(luò)的應(yīng)用現(xiàn)狀以及本論文的項目背景。第二部分 介紹了WLAN的基本概念、標(biāo)準(zhǔn)演進(jìn)及WLAN網(wǎng)絡(luò)中存在的安全風(fēng)險。第三部分 深入分析了現(xiàn)有WLAN安全協(xié)議的原理和機制。包括

8、對WEP安全缺陷的。研究以及IEEE 802.11i協(xié)議的原理和WAPI的安全機制分析。第四部分 WLAN應(yīng)用中的安全問題分析。第五部分 詳細(xì)討論了無線校園網(wǎng)絡(luò)安全解決方案。關(guān)鍵詞 WLAN，AP，IEEE 802.11xAbstractWLAN is a combination of computer networks and wireless communications technology. As unique to the open wireless network, the security problem has been the focus of the industry. T

9、his thesis lucubrate WLAN security protocol and realize the Security Authentication Module in AP(access point).This thesis is divided into five sections.The first part outlines the WLAN network and the project background of this thesis.The second part introduces the basic concepts, standards for the

10、 WLAN.The third part analyzes the existing WLAN security protocols in detail, including WEP, IEEE 802.lli and WAPl seeurity mechanism.The fourh part analysis of the application of WLAN safety problems.The fifth part detailed discussion wireless campus network security solutions.Keywords：WLAN，AP，IEEE

11、 802.11x前言在無線網(wǎng)絡(luò)技術(shù)相對成熟的今天無線網(wǎng)絡(luò)解決方案能夠很好滿足校園網(wǎng)的種種特殊的要求，并且擁有傳統(tǒng)網(wǎng)絡(luò)所不能比擬的易擴容性和自由移動性，已經(jīng)逐漸成為一種潮流，成為眾多校園網(wǎng)解決方案的重要選擇。這都源于無線局域網(wǎng)拓展了現(xiàn)有的有線網(wǎng)絡(luò)的覆蓋范圍，使隨時隨地的網(wǎng)絡(luò)接入成為可能但在使用無線網(wǎng)絡(luò)的同時，無線接人的安全性也面臨嚴(yán)峻的考驗。目前無線網(wǎng)絡(luò)提供的比較常用的安全機制有如下三種：基于MAC地址的認(rèn)證基于MAC地址的認(rèn)證就是MAC地址過濾，每個無線接人點可以使用MAC地址列表來限制網(wǎng)絡(luò)中的用戶訪問實施MAC地址訪問控制后，如果MAC列表中包含某個用戶的MAC地址，則這個用戶可以訪問網(wǎng)絡(luò)，

12、否則如果列表中不包含某個用戶的MAC地址，則該用戶不能訪問網(wǎng)絡(luò)。共享密鑰認(rèn)證共享密鑰認(rèn)證方法要求在無線設(shè)備和接入點上都使用有線對等保密算法如果用戶有正確的共享密鑰，那么就授予該用戶對無線網(wǎng)絡(luò)的訪問權(quán)802.1x認(rèn)證。802.1x協(xié)議稱為基于端口的訪問控制協(xié)議，它是個第二層協(xié)議，需要通過802.1x客戶端軟件發(fā)起請求，通過認(rèn)證后打開邏輯端口，然后發(fā)起DHCP請求獲得IP以及獲得對網(wǎng)絡(luò)的訪問。從目前情況來看，不少校園網(wǎng)的無線接人點都沒有很好地考慮無線接人的安全問題，如基于MAC地址的認(rèn)證或共享密鑰認(rèn)證沒有設(shè)置，更不用說像802.1 x這樣相對來說比較難設(shè)置的認(rèn)證方法了如果我們提著筆記本電腦在某個校

13、園內(nèi)走動，會搜索到很多無線接人點，這些接入點幾乎沒有任何的安全防范措施，可以非常方便地接入試想，如果讓不明身份的人進(jìn)入無線網(wǎng)絡(luò)。進(jìn)而進(jìn)入校園網(wǎng)，就會對我們校園網(wǎng)絡(luò)構(gòu)成威脅。第一章WLAN概述及應(yīng)用1.1 WLAN基本概念及標(biāo)準(zhǔn)演進(jìn)1.1.1 WLAN基本概念無線局域網(wǎng)(WLAN)是采用無線傳輸媒體的計算機局域通信網(wǎng)絡(luò)。1971年夏威夷大學(xué)的學(xué)者創(chuàng)造了第一個基于數(shù)據(jù)包傳輸?shù)臒o線網(wǎng)ALOHANET 3，它實質(zhì)上就是第一個WLAN。進(jìn)入20世紀(jì)90年代，人們要求在任何時間、任何地點都能使用網(wǎng)絡(luò)資源，而傳統(tǒng)的有線網(wǎng)絡(luò)很難實現(xiàn)可移動的通信。因此，在這種趨勢和要求的推動下，導(dǎo)致了WLAN的發(fā)展與進(jìn)步。1.

14、1.2 WLAN標(biāo)準(zhǔn)演進(jìn)(1)IEEE 802.111997年IEEE 802標(biāo)準(zhǔn)化委員會IEEE 802.11WLAN標(biāo)準(zhǔn)工作組公布了IEEE 802.1l標(biāo)準(zhǔn)，它是第一代無線局域網(wǎng)標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了物理層和媒體訪問控制 層規(guī)范。802.11工作在24GHz上，理論傳輸速率分為lMbps和2Mbps。(2)IEEE802.11b 為了更高的數(shù)據(jù)傳輸速率，IEEE于1999年9月批準(zhǔn)了IEEE802.11b標(biāo)準(zhǔn)。 IEEE 802.11b標(biāo)準(zhǔn)對IEEE 802.1l標(biāo)準(zhǔn)進(jìn)行了修改和補充，其中最重要的改進(jìn)就是在mEE 802.1l的基礎(chǔ)上增加了兩種更高通信速率5.5Mbit/s和1l Mbit/

15、s。11b 也是工作在24GHz頻段上，同時對最初的802.11標(biāo)準(zhǔn)保持了兼容。 (3)IEEE802.1la 802.1la標(biāo)準(zhǔn)是已得到廣泛應(yīng)用的802.1lb無線聯(lián)網(wǎng)標(biāo)準(zhǔn)的后續(xù)標(biāo)準(zhǔn)，802.11a的物理層速率可達(dá)54Mbit/s，但11a的工作在5.5GHz上，不能兼容以前的標(biāo)準(zhǔn)。(4)IEEE802.1lnIEEE 802.11的數(shù)據(jù)傳輸速率進(jìn)行了大幅提高，使用802.1ln超過 100Mbps的速率不再是夢想，甚至有報道稱可以達(dá)到320Mbps的最高速率。對802.1l的數(shù)據(jù)傳輸速率進(jìn)行了大幅提高，使用802.1ln超過l00Mbps。1.1.3 WLAN網(wǎng)絡(luò)建立過程無線局域網(wǎng)的基本網(wǎng)

16、絡(luò)連接建立過程是在IEEE 802.11中定義的，無論是后續(xù)的IEEE 802.1l系列標(biāo)準(zhǔn)還是WAPI都是建立在這個基本連接過程之上的。在IEEE 802.11網(wǎng)絡(luò)中主要有兩個實體：AP和sTA，AP就是無線接入點，STA是無線工作站，最常見的就是帶有無線網(wǎng)卡的筆記本。其中AP是核心，一個sTA要想加入到一個無線局域網(wǎng)，首先要與這個無線局域網(wǎng)中的AP建立連接，然后通過這個AP與其它的S1A或網(wǎng)絡(luò)進(jìn)行通信。IEEE 802.11定義了AP與STA之間從建立連接到發(fā)送數(shù)據(jù)所需要的三種幀類型，分別是：控制幀(類型值是00)、管理幀(類型值是01)、數(shù)據(jù)幀(類型值是10)?？刂茙脕砀嬖V設(shè)備什么時候

17、開始和停止發(fā)送消息；利用管理幀來建立連接；一旦STA和AP已經(jīng)同意建立連接，數(shù)據(jù)就以數(shù)據(jù)幀的形式來發(fā)送。重點來介紹一下管理幀，因為wEP的認(rèn)證是通過管理幀來實現(xiàn)的。管理幀有7種：l 信標(biāo)幀(Beacon)：信標(biāo)幀是由AP定時發(fā)送的廣播幀，用來通知本無線局域網(wǎng)的存在和AP性能等有用信息；l 探詢請求/應(yīng)答幀(Probe Request/Response)：STA通過發(fā)送探詢請求幀來尋找AP，AP利用探詢應(yīng)答幀來告訴sTA網(wǎng)絡(luò)的信息；l 鏈路驗證幀(Authentication Request/Response)：AP和STA之間的WEP認(rèn)證就是通過鏈路驗證請求/應(yīng)答幀來實現(xiàn)的；l 關(guān)聯(lián)請求/應(yīng)答

18、幀(Association Request/Response )：鏈路驗證通過之后，AP和STA之間再建立關(guān)聯(lián)關(guān)系，通過關(guān)聯(lián)幀來協(xié)商一些網(wǎng)絡(luò)參數(shù)指標(biāo)；l 重新關(guān)聯(lián)請求/應(yīng)答幀(Reassociation Request/Respons)；當(dāng)漫游到其他AP對，需要重新建立關(guān)聯(lián)；l 解除關(guān)聯(lián)幀(Deassociation)：當(dāng)斷開網(wǎng)絡(luò)連接時需要解除關(guān)聯(lián)；l 解除認(rèn)證幀(Deauthentication)：解除關(guān)聯(lián)之后再去解除認(rèn)證。1.2 WLAN的安全風(fēng)險及解決方案1.2.1 WLAN中存在的安全風(fēng)險無線局域網(wǎng)安全的最大闖題在于無線通信設(shè)備是在自由空問中進(jìn)行傳輸，而不是像有線網(wǎng)絡(luò)那樣是在一定的物理

19、線纜上進(jìn)行傳輸，因此無法通過對傳輸媒介的接入控制來保證數(shù)據(jù)不會被未經(jīng)授權(quán)的用戶獲取。所以，wLAN就面臨一系列的有線網(wǎng)絡(luò)中并不存在安全問題主要包括：1.來自網(wǎng)絡(luò)外部用戶的進(jìn)攻。2.來自未認(rèn)證的用戶獲得存取權(quán)。3.來自網(wǎng)絡(luò)內(nèi)部的竊聽泄密等?，F(xiàn)階段針對WLAN的攻擊主要為了實現(xiàn)兩個目的。首先是通過WLAN尋找一個進(jìn)入有線網(wǎng)絡(luò)的切入點，有線網(wǎng)絡(luò)經(jīng)過長時間的發(fā)展能夠建立完善的安全保護(hù)體系，例如通過安裝防火墻可以提供對自身的保護(hù)，但是在其基礎(chǔ)上擴建WLAN時，如果沒有對WLAN的安全防護(hù)作出全面的部署，則會危及到原始有線網(wǎng)絡(luò)的安全，通?？梢栽诜阑饓?nèi)部安裝惡意的無線訪問接入點AP，這種做法相當(dāng)于給防火墻

20、安裝了后門，攻擊者通過WLAN進(jìn)入有線網(wǎng)內(nèi)部實施惡意訪問變得十分簡單。第二，針對無線數(shù)據(jù)的竊取。目前WLAN使用2.5GHz的無線電波進(jìn)行網(wǎng)絡(luò)通信，AP在一定半徑內(nèi)廣播信號，無需通過可見的線路即可建立通信，任何攻擊者都可以用一臺帶無線網(wǎng)卡的Pc機或者無線掃描器進(jìn)行竊聽并使用某些特殊的網(wǎng)絡(luò)嗅探工具掃描無線網(wǎng)絡(luò)信號，一旦定位到信號，就能夠截獲并收集經(jīng)過空間傳播的數(shù)據(jù)。針對WLAN的攻擊次數(shù)不斷增加，WLAN的攻擊方式主要包括嗅探、欺騙、而攻擊的手段也不斷更新。目前針對網(wǎng)絡(luò)劫持等。(1)嗅探這是一種針對計算機網(wǎng)絡(luò)通信的電子竊聽。通過使用嗅探工具，網(wǎng)絡(luò)監(jiān)聽者能夠察看無線網(wǎng)絡(luò)的所有通信。要想使WLAN不

21、被識別工具發(fā)現(xiàn)，必須關(guān)閉用于網(wǎng)絡(luò)識別的廣播以及任何未經(jīng)授權(quán)用戶訪問資格。然而關(guān)閉廣播意味著WLAN不能被正常用戶發(fā)現(xiàn)，因此WLAN用戶免受嗅探攻擊的唯一方法是保護(hù)盡可能使用加密會話。(2)欺騙攻擊者冒充合法用戶連接到想要入侵的網(wǎng)絡(luò)，這樣就可以避免目標(biāo)網(wǎng)絡(luò)對其非法身份的識別。最常用的一種欺騙手段是將自己的無線網(wǎng)絡(luò)或網(wǎng)卡的MAC地址設(shè)定為合法地址，這可以通過在Windows平臺修改注冊表實現(xiàn)。一種新的欺騙攻擊方式稱為驗證欺騙，攻擊者通過對WLN的嗅探累積多個用戶驗證請求，每個請求都包含原始明文消息及返回的加密過的應(yīng)答，從這些材料中攻擊者可以偽造身份驗證信息欺騙AP成為合法用戶。(3)網(wǎng)絡(luò)劫持攻擊者

22、將自己的主機偽裝成默認(rèn)網(wǎng)關(guān)或特定主機，所有試圖進(jìn)入網(wǎng)絡(luò)或連接到被攻擊者頂替的機器上的用戶都會自動連接到偽裝機器上。典型的無線網(wǎng)絡(luò)劫持是使用欺騙性AP。通過構(gòu)建一個信號強度好的AP，使無線用戶忽視正常的AP而連接到欺騙性AP上，攻擊者接受到來自其他合法用戶的驗證請求和信息后就能夠?qū)⒆约簜窝b成合法用戶并進(jìn)入目標(biāo)WLAN。上述三種是針對WLAN的一般攻擊方式。從上述攻擊方式上我們可以看到，對WLAN的攻擊主要有兩種渠道，一是直接劫持傳輸網(wǎng)絡(luò)數(shù)據(jù)的無線電波，另一種就是冒充合法用戶或AP接入無線網(wǎng)絡(luò)。所以，WLAN的安全機制業(yè)主要包括兩部分：一是用戶認(rèn)證，即只允許合法用戶接入WLAN；二是數(shù)據(jù)加密，即網(wǎng)

23、絡(luò)中的數(shù)據(jù)傳輸采用密文的形式。以此來保證WLAN網(wǎng)絡(luò)的安全。1.2.2 WLAN安全項目采用的安全解決方案安全問題已經(jīng)成了WLAN應(yīng)用和發(fā)展的重中之重，雅典奧運組委會就因WLAN的安全存在隱患而放棄了在2004年雅典奧運會的各個賽場布置WLAN網(wǎng)絡(luò)。但由于針對WLAN安全的技術(shù)不斷更新，如果能夠應(yīng)用最先進(jìn)的安全技術(shù)，同時進(jìn)行合理的配置，那么就可以解決這個棘手的問題。所以在本項目中對網(wǎng)絡(luò)安全方面非常重視，運用了多種手段：l WEP加密，支持64位和128位l IEEE 802.1li，IEEE推出的WLAN最新安全標(biāo)準(zhǔn)l 多SSID，通過SSID來限制用戶的訪問權(quán)限l MAC過濾、口過濾l 同時

24、支持多種認(rèn)證方式來檢測用戶身份l WAPI，我國推出的WLAN安全國家標(biāo)準(zhǔn)這樣，在wLAN安全項目中的AP就可以支持以下六種安全模式下：1不加密2WEP(802.1l中定義的安全方案)3802.1x+動態(tài)WEP密鑰4802.11i(WPA)5802.11i(wPA)+PSl(與共享密鑰)6WAPI第二章 WLAN概述及應(yīng)用2.1 802.11無線局域網(wǎng)的安全機制802.11無線局域網(wǎng)運作模式基本分為兩種：點對點(Ad Hoc)模式和基本(Infrastructure)模式。點對點模式指無線網(wǎng)卡和無線網(wǎng)卡之間的直接通信方式。只要PC插上無線網(wǎng)卡即可與另一具有無線網(wǎng)卡的PC連接，這是一種便捷的連接

25、方式，最多可連接256個移動節(jié)點?；灸Ｊ街笩o線網(wǎng)絡(luò)規(guī)模擴充或無線和有線網(wǎng)絡(luò)并存的通信方式，這也是802.11最常用的方式。此時，插上無線網(wǎng)卡的移動節(jié)點需通過接入點AP(Access Point)與另一臺移動節(jié)點連接。接入點負(fù)責(zé)頻段管理及漫游管理等工作，一個接入點最多可連接1024個移動節(jié)點。當(dāng)無線網(wǎng)絡(luò)節(jié)點擴增時，網(wǎng)絡(luò)存取速度會隨著范圍擴大和節(jié)點的增加而變慢，此時添加接入點可以有效控制和管理頻寬與頻段。與有線網(wǎng)絡(luò)相比較，無線網(wǎng)絡(luò)的安全問題具有以下特點：(1)信道開放，無法阻止攻擊者竊聽，惡意修改并轉(zhuǎn)發(fā)；(2)傳輸媒質(zhì)無線電波在空氣中的傳播會因多種原因(例如障礙物)發(fā)生信號衰減，導(dǎo)致信息的不穩(wěn)定

26、，甚至?xí)G失；(3)需要常常移動設(shè)備(尤其是移動用戶)，設(shè)備容易丟失或失竊；(4)用戶不必與網(wǎng)絡(luò)進(jìn)行實際連接，使得攻擊者偽裝合法用戶更容易。由于上述特點，利用WLAN進(jìn)行通信必須具有較高的通信保密能力。802.11無線局域網(wǎng)本身提供了一些基本的安全機制。802.11接入點AP可以用一個服務(wù)集標(biāo)識SSID(Service Set Identifier)或ESSID(Extensible Service Set Identifier)來配置。與接入點有關(guān)的網(wǎng)卡必須知道SSID以便在網(wǎng)絡(luò)中發(fā)送和接收數(shù)據(jù)。但這是一個非常脆弱的安全手段。因為SSID通過明文在大氣中傳送，甚至被接入點廣播，所有的網(wǎng)卡和接

27、入點都知道SSID。802.11的安全性主要包括以有線同等保密WEP(Wired Equivalent Privacy)算法為基礎(chǔ)的身份驗證服務(wù)和加密技術(shù)。WEP 是一套安全服務(wù)，用來防止 802.11 網(wǎng)絡(luò)受到未授權(quán)用戶的訪問。啟用 WEP 時，可以指定用于加密的網(wǎng)絡(luò)密鑰，也可自動提供網(wǎng)絡(luò)密鑰。如果親自指定密鑰，還可以指定密鑰長度(64 位或 128 位)、密鑰格式(ASCII 字符或十六進(jìn)制數(shù)字)和密鑰索引(存儲特定密鑰的位置)。原理上密鑰長度越長，密鑰應(yīng)該越安全。思科公司的Scott Fluhrer與Weizmann研究院的Itsik Mantin和Adi hamir合作并發(fā)表了題為RC

28、4秘鑰時序算法缺點的論文，講述了關(guān)于WEP標(biāo)準(zhǔn)的嚴(yán)重攻擊問題。另外，這一安全機制的一個主要限制是標(biāo)準(zhǔn)沒有規(guī)定一個分配密鑰的管理協(xié)議。這就假定了共享密鑰是通過獨立于802.11的秘密渠道提供給移動節(jié)點。當(dāng)這種移動節(jié)點的數(shù)量龐大時，將是一個很大的挑戰(zhàn)。2.2 802.1x協(xié)議的體系IEEE 802.1x協(xié)議起源于802.11， 其主要目的是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題。802.1x 協(xié)議又稱為基于端口的訪問控制協(xié)議，可提供對802.11無線局域網(wǎng)和對有線以太網(wǎng)絡(luò)的驗證的網(wǎng)絡(luò)訪問權(quán)限。802.1x協(xié)議僅僅關(guān)注端口的打開與關(guān)閉，對于合法用戶接入時，打開端口；對于非法用戶接入或沒有用戶接入時，則

29、端口處于關(guān)閉狀態(tài)。IEEE 802.1x協(xié)議的體系結(jié)構(gòu)主要包括三部分實體：客戶端Supplicant System、認(rèn)證系統(tǒng)Authenticator System、認(rèn)證服務(wù)器Authentication Server System。(1)客戶端：一般為一個用戶終端系統(tǒng)，該終端系統(tǒng)通常要安裝一個客戶端軟件，用戶通過啟動這個客戶端軟件發(fā)起IEEE 802.1x協(xié)議的認(rèn)證過程。(2)認(rèn)證系統(tǒng)：通常為支持IEEE 802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備。該設(shè)備對應(yīng)于不同用戶的端口有兩個邏輯端口：受控(controlled Port)端口和非受控端口(uncontrolled Port)。第一個邏輯接入點(非受控

30、端口)，允許驗證者和 LAN 上其它計算機之間交換數(shù)據(jù)，而無需考慮計算機的身份驗證狀態(tài)如何。非受控端口始終處于雙向連通狀態(tài)(開放狀態(tài))，主要用來傳遞EAPOL協(xié)議幀，可保證客戶端始終可以發(fā)出或接受認(rèn)證。第二個邏輯接入點(受控端口)，允許經(jīng)驗證的 LAN 用戶和驗證者之間交換數(shù)據(jù)。受控端口平時處于關(guān)閉狀態(tài)，只有在客戶端認(rèn)證通過時才打開，用于傳遞數(shù)據(jù)和提供服務(wù)。受控端口可配置為雙向受控、僅輸入受控兩種方式，以適應(yīng)不同的應(yīng)用程序。如果用戶未通過認(rèn)證，則受控端口處于未認(rèn)證(關(guān)閉)狀態(tài)，則用戶無法訪問認(rèn)證系統(tǒng)提供的服務(wù)。 (3)認(rèn)證服務(wù)器：通常為RADIUS服務(wù)器，該服務(wù)器可以存儲有關(guān)用戶的信息，比如用

31、戶名和口令、用戶所屬的VLAN、優(yōu)先級、用戶的訪問控制列表等。當(dāng)用戶通過認(rèn)證后，認(rèn)證服務(wù)器會把用戶的相關(guān)信息傳遞給認(rèn)證系統(tǒng)，由認(rèn)證系統(tǒng)構(gòu)建動態(tài)的訪問控制列表，用戶的后續(xù)數(shù)據(jù)流就將接受上述參數(shù)的監(jiān)管。2.3 802.1x協(xié)議的認(rèn)證過程利用IEEE 802.1x可以進(jìn)行身份驗證，如果計算機要求在不管用戶是否登錄網(wǎng)絡(luò)的情況下都訪問網(wǎng)絡(luò)資源，可以指定計算機是否嘗試訪問該網(wǎng)絡(luò)的身份驗證。以下步驟描述了利用接入點AP和RADIUS服務(wù)器對移動節(jié)點進(jìn)行身份驗證的基本方法。如果沒有有效的身份驗證密鑰，AP會禁止所有的網(wǎng)絡(luò)流量通過。(1)當(dāng)一個移動節(jié)點(申請者)進(jìn)入一個無線AP認(rèn)證者的覆蓋范圍時，無線AP會向移

32、動節(jié)點發(fā)出一個問詢。(2)在受到來自AP的問詢之后，移動節(jié)點做出響應(yīng)，告知自己的身份。(3)AP將移動節(jié)點的身份轉(zhuǎn)發(fā)給RADIUS身份驗證服務(wù)器，以便啟動身份驗證服務(wù)。 (4)RADIUS服務(wù)器請求移動節(jié)點發(fā)送它的憑據(jù)，并且指定確認(rèn)移動節(jié)點身份所需憑據(jù)的類型。 (5)移動節(jié)點將它的憑據(jù)發(fā)送給RADIUS。(6)在對移動節(jié)點憑據(jù)的有效性進(jìn)行了確認(rèn)之后，RADIUS服務(wù)器將身份驗證密鑰發(fā)送給AP。該身份驗證密鑰將被加密，只有AP能夠讀出該密鑰。(在移動節(jié)點和RADIUS服務(wù)器之間傳遞的請求通過AP的“非控制”端口進(jìn)行傳遞，因為移動節(jié)點不能直接與RADIUS服務(wù)器建立聯(lián)系。AP不允許STA移動節(jié)點通

33、過“受控制”端口傳送數(shù)據(jù)，因為它還沒有經(jīng)過身份驗證。)(7)AP使用從RADIUS服務(wù)器處獲得的身份驗證密鑰保護(hù)移動節(jié)點數(shù)據(jù)的安全傳輸-特定于移動節(jié)點的單播會話密鑰以及多播/全局身份驗證密鑰。全局身份驗證密鑰必須被加密。這要求所使用的EAP方法必須能夠生成一個加密密鑰，這也是身份驗證過程的一個組成部分。傳輸層安全TLS(Transport Level Security)協(xié)議提供了兩點間的相互身份驗證、完整性保護(hù)、密鑰對協(xié)商以及密鑰交換。我們可以使用EAP-TLS在EAP內(nèi)部提供TLS機制。移動節(jié)點可被要求周期性地重新認(rèn)證以保持一定的安全級。2.4 802.1x協(xié)議的特點IEEE 802.1x具

34、有以下主要優(yōu)點：(1)實現(xiàn)簡單。IEEE 802.1x協(xié)議為二層協(xié)議，不需要到達(dá)三層，對設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本。(2)認(rèn)證和業(yè)務(wù)數(shù)據(jù)分離。IEEE 802.1x的認(rèn)證體系結(jié)構(gòu)中采用了“受控端口”和“非受控端口”的邏輯功能，從而可以實現(xiàn)業(yè)務(wù)與認(rèn)證的分離。用戶通過認(rèn)證后，業(yè)務(wù)流和認(rèn)證流實現(xiàn)分離，對后續(xù)的數(shù)據(jù)包處理沒有特殊要求，業(yè)務(wù)可以很靈活，尤其在開展寬帶組播等方面的業(yè)務(wù)有很大的優(yōu)勢，所有業(yè)務(wù)都不受認(rèn)證方式限制。IEEE 802.1x同時具有以下不足802.1x認(rèn)證是需要網(wǎng)絡(luò)服務(wù)的系統(tǒng)和網(wǎng)絡(luò)之間的會話，這一會話使用IETF的EAP(Extensible Authenticat

35、ion Protocol)認(rèn)證協(xié)議。協(xié)議描述了認(rèn)證機制的體系結(jié)構(gòu)框架使得能夠在802.11實體之間發(fā)送EAP包，并為在AP和工作站間的高層認(rèn)證協(xié)議建立了必要條件。對MAC地址的認(rèn)證對802.1x來說是最基本的，如果沒有高層的每包認(rèn)證機制，認(rèn)證端口沒有辦法標(biāo)識網(wǎng)絡(luò)申請者或其包。而且實驗證明802.1x由于其設(shè)計缺陷其安全性已經(jīng)受到威脅，常見的攻擊有中間人MIM攻擊和會話攻擊。所以802.11與802.1x的簡單結(jié)合并不能提供健壯的安全無線環(huán)境，必須有高層的清晰的交互認(rèn)證協(xié)議來加強。幸運的是，802.1x為實現(xiàn)高層認(rèn)證提供了基本架構(gòu)。2.5 802.1x認(rèn)證協(xié)議的應(yīng)用IEEE 802.1x 使用標(biāo)

36、準(zhǔn)安全協(xié)議(如RADIUS)提供集中的用戶標(biāo)識、身份驗證、動態(tài)密鑰管理和記帳。802.1x身份驗證可以增強安全性。IEEE 802.1x身份驗證提供對802.11無線網(wǎng)絡(luò)和對有線以太網(wǎng)網(wǎng)絡(luò)的經(jīng)驗證的訪問權(quán)限。IEEE 802.1x 通過提供用戶和計算機標(biāo)識、集中的身份驗證以及動態(tài)密鑰管理，可將無線網(wǎng)絡(luò)安全風(fēng)險減小到最低程度。在此執(zhí)行下，作為 RADIUS 客戶端配置的無線接入點將連接請求和記帳郵件發(fā)送到中央 RADIUS 服務(wù)器。中央 RADIUS 服務(wù)器處理此請求并準(zhǔn)予或拒絕連接請求。如果準(zhǔn)予請求，根據(jù)所選身份驗證方法，該客戶端獲得身份驗證，并且為會話生成唯一密鑰。IEEE 802.1x為可

37、擴展的身份驗證協(xié)議 EAP 安全類型提供的支持使您能夠使用諸如智能卡、證書以及 Message Digest 5 (MD5) 算法這樣的身份驗證方法。擴展身份驗證協(xié)議EAP是一個支持身份驗證信息通過多種機制進(jìn)行通信的協(xié)議。利用802.1x，EAP可以用來在申請者和身份驗證服務(wù)器之間傳遞驗證信息。這意味著EAP消息需要通過LAN介質(zhì)直接進(jìn)行封裝。認(rèn)證者負(fù)責(zé)在申請者和身份驗證服務(wù)器之間轉(zhuǎn)遞消息。身份驗證服務(wù)器可以是一臺遠(yuǎn)程身份驗證撥入用戶服務(wù)(RADIUS)服務(wù)器。以下舉一個例子，說明對申請者進(jìn)行身份驗證所需經(jīng)過的步驟： (1)認(rèn)證者發(fā)送一個EAP - Request/Identity(請求/身份

38、)消息給申請者。(2)申請者發(fā)送一個EAP - Response/Identity(響應(yīng)/身份)以及它的身份給認(rèn)證者。認(rèn)證者將收到的消息轉(zhuǎn)發(fā)給身份驗證服務(wù)器。(3)身份驗證服務(wù)器利用一個包含口令問詢的EAP - Request消息通過認(rèn)證者對申請者做出響應(yīng)。(4)申請者通過認(rèn)證者將它對口令問詢的響應(yīng)發(fā)送給身份驗證服務(wù)器。(5)如果身份驗證通過，授權(quán)服務(wù)器將通過認(rèn)證者發(fā)送一個EAP - Success響應(yīng)給申請者。認(rèn)證者可以使用“Success”(成功)響應(yīng)將受控制端口的狀態(tài)設(shè)置為“已授權(quán)”。2.6 802.1x與智能卡智能卡通常用在安全性要求比較高的場合，并與認(rèn)證協(xié)議的應(yīng)用相結(jié)合。這首先是由于

39、智能卡能夠保護(hù)并安全的處理敏感數(shù)據(jù)；而智能卡能保護(hù)密鑰也是相當(dāng)重要的，一切秘密寓于密鑰之中，為了能達(dá)到密碼所提供的安全服務(wù)，密鑰絕對不能被泄密，但為安全原因所增加的成本卻不能太多。智能卡自身硬件的資源極為有限。用其實現(xiàn)安全系統(tǒng)面臨著存儲器容量和計算能力方面受到的限制。目前市場上的大多數(shù)智能卡有128到1024字節(jié)的RAM，1 k到16 k字節(jié)的EEPROM，6 k到16 k字節(jié)的ROM，CPU通常為8比特的，典型的時鐘頻率為3.57 MHz。任何存儲或者是處理能力的增強都意味著智能卡成本的大幅度提高。另外智能卡的數(shù)據(jù)傳送是相對慢的，為提高應(yīng)用的效率，基本的數(shù)據(jù)單元必須要小，這樣可以減少智能卡與

40、卡終端之間的數(shù)據(jù)流量，其傳送時間的減少則意味著實用性的增強。將802.1x與智能卡的應(yīng)用相結(jié)合的優(yōu)點是：認(rèn)證更加安全；生成和管理密鑰方便；節(jié)省內(nèi)存空間；節(jié)省帶寬，提高實用性；節(jié)省處理時間，而不需要增加硬件的處理等方面。802.1x安全認(rèn)證協(xié)議所帶來的各優(yōu)點恰好彌補了智能卡硬件的各種局限，不僅能有效地降低智能卡的生產(chǎn)成本，也能提高智能卡的實用性。2.7 發(fā)展方向和趨勢802.11無線局域網(wǎng)目前的安全標(biāo)準(zhǔn)主要有兩大發(fā)展主流：(1)WPA。802.1x協(xié)議僅僅提供了一種用戶接入認(rèn)證的手段，并簡單地通過控制接入端口的開/關(guān)狀態(tài)來實現(xiàn)，這種簡化適用于無線局域網(wǎng)的接入認(rèn)證、點對點物理或邏輯端口的接入認(rèn)證。

41、WPA(Wi-Fi 受保護(hù)訪問)是一種新的基于IEEE標(biāo)準(zhǔn)的安全解決方法。Wi-Fi 聯(lián)盟經(jīng)過努力，于 2002 年 10 月下旬宣布了基于此標(biāo)準(zhǔn)的解決方法，以便開發(fā)更加穩(wěn)定的無線 LAN 安全解決方法來滿足 802.11的要求。WPA 包括 802.1x 驗證和 TKIP 加密(一種更高級和安全的 WEP 加密形式)，以進(jìn)一步形成和完善IEEE 802.11i標(biāo)準(zhǔn)。(2)WAPI。我國已于2003年12月1日起強制執(zhí)行了新的無線局域網(wǎng)安全國家標(biāo)準(zhǔn)無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)WAPI(WLAN Authentication and Privacy Infrastructure)。WAPI由無線

42、局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)WAI(WLAN Authentication Infrastructure)和無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)WPI(WLAN Privacy Infrastructure)組成。WAPI與已有安全機制相比具有其獨特優(yōu)點，充分體現(xiàn)了國家標(biāo)準(zhǔn)的先進(jìn)性。WAPI與已有安全機制相比在很多方面都進(jìn)行了改進(jìn)。它已由ISO/IEC授權(quán)的IEEE Registration Authority審查獲得認(rèn)可，分配了用于WAPI協(xié)議的以太網(wǎng)類型字段，這也是我國目前在該領(lǐng)域惟一獲得批準(zhǔn)的協(xié)議。WAPI采用國家密碼管理委員會辦公室批準(zhǔn)的公開密鑰體制的橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法，分別用于WL

43、AN設(shè)備的數(shù)字證書、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密，從而實現(xiàn)設(shè)備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護(hù)。第三章 WLAN應(yīng)用中的安全問題分析3.1 安全協(xié)議分析 從1997年WEP的面世到2003年WPA這個過渡方案的提出，再到2004年 WPA2 的公布，這三種協(xié)議見證了無線網(wǎng)絡(luò)安全的發(fā)展歷程。雖然WEP固有的缺陷已經(jīng)使得它不再適合用于商業(yè)或者是具有更高安全需求的行業(yè)，但是現(xiàn)今市場上的無線設(shè)備基本上還都同時支持 WEP、WPA 和 WPA2這三種協(xié)議。因此本文將從 WEP 開始展開對這三種安全協(xié)議的分析。3.2 WEP安全協(xié)議分析不少文章把WEP的安全缺陷歸結(jié)于RC4

44、算法中的缺陷，但其實不然。RC4 在以往的有線網(wǎng)絡(luò)應(yīng)用中，并沒有讓人們失望。壓垮WEP的那根稻草是其密鑰管理機制（以及由此引致的共享密鑰重用問題）。本文在這里列舉其中最重要的兩個缺陷。(1)初始向量重用/沖突缺陷（Initialization VectorReuse/Collision Issue）根據(jù)WEP的定義，其IV的長度僅為 24 位，因此IV 的不同的取值只有 224 種。這個數(shù)值在當(dāng)今的計算機世界里并不足夠大。而它對整個加密系統(tǒng)的影響可以從WEP加密的數(shù)學(xué)表達(dá)式看出來：C=(Mc(M)+RC4(IVk)在上面的公式里，C 代表的是密文，M 是明文，c(M)是指明文的校檢值，IV 是

45、初始向量，k是密鑰，RC4指的是 RC4算法。其中“”代表著串接操作“+” 表示異或操作。在現(xiàn)實中，共享密鑰 (k)很少改變。因此，每次IV的重用就意味著 RC4 算法的輸出會是一樣。與此同時，由于IV是以明文的方式傳輸，所以可以很容易地檢測出相同的 IV 值。因此，只要能夠找到兩段有著相同的IV的密文段，就可以很容易地把相關(guān)的明文給破解出來。而另一方面，雖然 IV 有著 224 種不同的取值，但是它發(fā)生重用的概率并沒有人們想象的那么小。根據(jù)統(tǒng)計，以上的統(tǒng)計數(shù)據(jù)意味著，在終端電腦跟 AP 交換過12430個加密數(shù)據(jù)幀后，99%密文可以被破解。(2) 認(rèn)證過程中的缺陷圖 1 描述了 WEP 在共

46、享密鑰模式下的認(rèn)證過程。在第二步中 P(Challenge Text)是以明文的方式傳播的，而在第三步中的 C(Challenge Response)則是 PK 的產(chǎn)物.其中是指異或操作，K是密鑰。因此，只要把第二步的 P 和第三步 C 進(jìn)行異或操作，就可以很方便地把 K 給恢復(fù)出來。WEP 的另外一種工作方式是開放式系統(tǒng)認(rèn)證，在這種模式下，所有電腦終端都可以跟無線接入點成功地連接。雖然這種工作方式聽起來不太安全，但是在這種模式下，密鑰反而沒有這么容易被暴露出來。3.3 WPA 安全協(xié)議分析 由于 WEP 有著不可克服的缺陷，因此國際上提出了一系列解決方案。其中的 WPA 是一個過渡方案，它在

47、 WEP 協(xié)議的基礎(chǔ)上，增加了 IEEE802.1X 來改進(jìn)認(rèn)證機制，并采用 TKIP(Temporal Key Integrity Protocol)協(xié)議來實現(xiàn)消息的保密與完整性保護(hù)。在信息交換的過程中，雖然所有信息都要經(jīng)過AP，但它不需要了解里面的任何信息。在 STA和 AP之間的聯(lián)路上，運行的是 EAPOL(EAP over Lan )協(xié)議。在AP 和 AS 之間同樣運行 EAP (Extensible Authentication Protocol)協(xié)議 但該協(xié)議被封裝到了高層協(xié)議中。3.4 安全協(xié)議分析作為完全實現(xiàn)了802.11i安全規(guī)范中的所有強制設(shè)定的協(xié)議，WPA2 也被視為實現(xiàn)

48、 RSN (Robust SecurityNetwork)的必要條件( WPA只實現(xiàn)了部分)。鑒于CCMP(Counter-Mode/CBC-MAC Protocol)是IEEE802.11i 中最重要的協(xié)議,同時也是RSN的強制要求。第四章 無線校園網(wǎng)絡(luò)安全解決方案4.1無線網(wǎng)絡(luò)安全實現(xiàn)原理校園網(wǎng)內(nèi)無線網(wǎng)絡(luò)建成后，怎樣才能有效地保障無線網(wǎng)絡(luò)的安全基于MAC地址的認(rèn)證存在兩個問題：一是數(shù)據(jù)管理的問題，要維護(hù)MAC數(shù)據(jù)庫；二是MAC可嗅探，也可修改。如果采用共享密鑰認(rèn)證，攻擊者可以輕易地搞到共享認(rèn)證密鑰。802.1x定義了三種身份：申請者(用戶無線終端)、認(rèn)證者(AP)和認(rèn)證服務(wù)器。整個認(rèn)證的過

49、程發(fā)生在申請者與認(rèn)證服務(wù)器之間。認(rèn)證者只起到了橋接的作用。申請者向認(rèn)證服務(wù)器表明自己的身份，然后認(rèn)證服務(wù)器對申請者進(jìn)行認(rèn)證，認(rèn)證通過后將通信所需要的密鑰加密再發(fā)給申請者申請者用這個密鑰就可以與AP進(jìn)行通信。雖然802.1x仍舊存在一定的缺陷，但較共享密鑰認(rèn)證方式已經(jīng)有了很大的改善IEEE 802.11i和WAPI都參考了802.1x的機制。802.1x選用EAP來提供請求方和認(rèn)證服務(wù)器兩者之間的認(rèn)證服務(wù)。最常用的EAP認(rèn)證方法有EAPMD5、EAPTLS和PEAP等Microsoft為多種使用802.1x的身份驗證協(xié)議提供了本地支持。在大多數(shù)情況下，選擇無線客戶端身份驗證的依據(jù)是基于密碼憑據(jù)驗

50、證或基于證書驗證建議在執(zhí)行基于證書的客戶端身份驗證時使用EAPTLS；在執(zhí)行基于密碼的客戶端身份驗證時使用EAP-Microsoft質(zhì)詢握手身份驗證協(xié)議版本2(MSCHAPv2)。該協(xié)議在PEAP(Protected Extensible AuthenticationProtoc01)協(xié)議中，也稱作PEAPEAPMSCHAPv2。4.2無線校園網(wǎng)絡(luò)安全方案設(shè)計考慮到校園群體的特殊性，為了保障校園無線網(wǎng)絡(luò)的安全，可對不同的群體采取不同的認(rèn)證方法。在校園網(wǎng)內(nèi)主要分成兩類不同的用戶：一類是校內(nèi)用戶；另一類是來訪用戶校內(nèi)用戶主要是學(xué)校的師生，由于工作和學(xué)習(xí)的需要，他們要求能夠隨時接人無線網(wǎng)絡(luò)，訪問校園網(wǎng)內(nèi)資源以及訪問Internet這些用戶的數(shù)據(jù)。如工資、科研成果、研究資料和論文等安全性要求比較高對于此類用戶，可使用802.1x認(rèn)證方式對用戶進(jìn)行認(rèn)證。來訪用戶主要是來校參觀、培訓(xùn)或進(jìn)行學(xué)術(shù)交流的一些用戶。這類用戶對網(wǎng)絡(luò)安全的需求不是特別高，對他們來說最重要的就是能夠非常方便而且快速地接入Internet以瀏覽相關(guān)網(wǎng)站和收發(fā)郵件等針對這類用戶，可采用DHCP十強制Portal認(rèn)證的方式接入校園無線網(wǎng)絡(luò)。開機后，來訪用