學(xué)校無(wú)線(xiàn)網(wǎng)安全策略研究_第1頁(yè)
學(xué)校無(wú)線(xiàn)網(wǎng)安全策略研究_第2頁(yè)
學(xué)校無(wú)線(xiàn)網(wǎng)安全策略研究_第3頁(yè)
學(xué)校無(wú)線(xiàn)網(wǎng)安全策略研究_第4頁(yè)
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、學(xué)校無(wú)線(xiàn)網(wǎng)平安策略研究論文關(guān)鍵詞:無(wú)線(xiàn)網(wǎng)絡(luò);平安;prtal認(rèn)證;802.1x論文摘要:隨著高校信息化建立程度的不斷進(jìn)步,無(wú)線(xiàn)網(wǎng)絡(luò)逐漸成為校園網(wǎng)解決方案的一個(gè)重要組成局部。該文對(duì)校園無(wú)線(xiàn)網(wǎng)接入進(jìn)展研究,并對(duì)校園無(wú)線(xiàn)網(wǎng)絡(luò)的平安進(jìn)展了分析,最后給出了一種合適校園網(wǎng)無(wú)線(xiàn)網(wǎng)絡(luò)的平安解決方案。1引言在過(guò)去的很多年,計(jì)算機(jī)組網(wǎng)的傳輸媒介主要依賴(lài)銅纜或光纜,構(gòu)成有線(xiàn)局域網(wǎng)。但有線(xiàn)網(wǎng)絡(luò)在施行過(guò)程中工程量大,破壞性強(qiáng),網(wǎng)中的各節(jié)點(diǎn)挪動(dòng)性不強(qiáng)。為理解決這些問(wèn)題,無(wú)線(xiàn)網(wǎng)絡(luò)作為有線(xiàn)網(wǎng)絡(luò)的補(bǔ)充和擴(kuò)展,逐漸得到的普及和開(kāi)展。在校園內(nèi),老師與學(xué)生的流動(dòng)性很強(qiáng),很容易在一些地方人員聚集,形成“公共場(chǎng)所。而且隨著筆記本電腦的普

2、及和inteet接入需求的增長(zhǎng),無(wú)論是老師還是學(xué)生都迫切要求在這些場(chǎng)所上網(wǎng)并進(jìn)展網(wǎng)上教學(xué)互動(dòng)活動(dòng)。挪動(dòng)性與頻繁交替性,使有線(xiàn)網(wǎng)絡(luò)無(wú)法靈敏滿(mǎn)足他們對(duì)網(wǎng)絡(luò)的需求,造成網(wǎng)絡(luò)互聯(lián)和inteet接入瓶頸。將無(wú)線(xiàn)網(wǎng)絡(luò)的技術(shù)引入校園網(wǎng),在某些場(chǎng)所,如網(wǎng)絡(luò)教室,會(huì)議室,報(bào)告廳、圖書(shū)館等區(qū)域,可以率先覆蓋無(wú)線(xiàn)網(wǎng)絡(luò),讓用戶(hù)能真正做到無(wú)線(xiàn)遨游,給工作和生活帶來(lái)宏大的便利。隨后,漸漸把無(wú)線(xiàn)的覆蓋范圍擴(kuò)大,最后做到全校無(wú)線(xiàn)的覆蓋。2校園網(wǎng)無(wú)線(xiàn)網(wǎng)絡(luò)平安現(xiàn)狀在無(wú)線(xiàn)網(wǎng)絡(luò)技術(shù)成熟的今天,無(wú)線(xiàn)網(wǎng)絡(luò)解決方案可以很好滿(mǎn)足校園網(wǎng)的種種特殊的要求,并且擁有傳統(tǒng)網(wǎng)絡(luò)所不能比較的易擴(kuò)容性和自由挪動(dòng)性,它已經(jīng)逐漸成為一種潮流,成為眾多校園網(wǎng)解

3、決方案的重要選擇之一。隨著校園網(wǎng)無(wú)線(xiàn)網(wǎng)絡(luò)的建成,在學(xué)校的教室、辦公室、會(huì)議室、甚至是校園草坪上,都有不少的老師和學(xué)生手持筆記本電腦通過(guò)無(wú)線(xiàn)上網(wǎng),這都源于無(wú)線(xiàn)局域網(wǎng)拓展了現(xiàn)有的有線(xiàn)網(wǎng)絡(luò)的覆蓋范圍,使隨時(shí)隨地的網(wǎng)絡(luò)接入成為可能。但在使用無(wú)線(xiàn)網(wǎng)絡(luò)的同時(shí),無(wú)線(xiàn)接入的平安性也面臨的嚴(yán)峻的考驗(yàn)。目前無(wú)線(xiàn)網(wǎng)絡(luò)提供的比較常用的平安機(jī)制有如下三種:基于a地址的認(rèn)證?;赼地址的認(rèn)證就是a地址過(guò)濾,每一個(gè)無(wú)線(xiàn)接入點(diǎn)可以使用a地址列表來(lái)限制網(wǎng)絡(luò)中的用戶(hù)訪(fǎng)問(wèn)。施行a地址訪(fǎng)問(wèn)控制后,假如a列表中包含某個(gè)用戶(hù)的a地址,那么這個(gè)用戶(hù)可以訪(fǎng)問(wèn)網(wǎng)絡(luò),否那么假如列表中不包含某個(gè)用戶(hù)的a地址,那么該用戶(hù)不能訪(fǎng)問(wèn)網(wǎng)絡(luò)。共享密鑰認(rèn)證。

4、共享密鑰認(rèn)證方法要求在無(wú)線(xiàn)設(shè)備和接入點(diǎn)上都使用有線(xiàn)對(duì)等保密算法。假如用戶(hù)有正確的共享密鑰,那么就授予該用戶(hù)對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)的訪(fǎng)問(wèn)權(quán)。802.1x認(rèn)證。8021x協(xié)議稱(chēng)為基于端口的訪(fǎng)問(wèn)控制協(xié)議,它是個(gè)二層協(xié)議,需要通過(guò)802.1x客戶(hù)端軟件發(fā)起懇求,通過(guò)認(rèn)證后翻開(kāi)邏輯端口,然后發(fā)起dhp懇求獲得ip以及獲得對(duì)網(wǎng)絡(luò)的訪(fǎng)問(wèn)??梢哉f(shuō),校園網(wǎng)的不少無(wú)線(xiàn)接入點(diǎn)都沒(méi)有很好地考慮無(wú)線(xiàn)接入的平安問(wèn)題,就連最根本的平安,如基于a地址的認(rèn)證或共享密鑰認(rèn)證也沒(méi)有設(shè)置,更不用說(shuō)像802.1x這樣相對(duì)來(lái)說(shuō)比較難設(shè)置的認(rèn)證方法了。假如我們提著筆記本電腦在某個(gè)校園內(nèi)走動(dòng),會(huì)搜索到很多無(wú)線(xiàn)接入點(diǎn),這些接入點(diǎn)幾乎沒(méi)有任何的平安防范措施

5、,可以非常方便地接入。試想,假如讓不明身份的人進(jìn)入無(wú)線(xiàn)網(wǎng)絡(luò),進(jìn)而進(jìn)入校園網(wǎng),就會(huì)對(duì)我們的校園網(wǎng)絡(luò)構(gòu)成威脅。3校園網(wǎng)無(wú)線(xiàn)網(wǎng)絡(luò)平安解決方案校園網(wǎng)內(nèi)無(wú)線(xiàn)網(wǎng)絡(luò)建成后,怎樣才能有效地保障無(wú)線(xiàn)網(wǎng)絡(luò)的平安?前面提到的基于a地址的認(rèn)證存在兩個(gè)問(wèn)題,一是數(shù)據(jù)管理的問(wèn)題,要維護(hù)a數(shù)據(jù)庫(kù),二是a可嗅探,也可修改;假如采用共享密鑰認(rèn)證,攻擊者可以輕易地搞到共享認(rèn)證密鑰;802.1x定義了三種身份:申請(qǐng)者(用戶(hù)無(wú)線(xiàn)終端)、認(rèn)證者(ap)和認(rèn)證效勞器。整個(gè)認(rèn)證的過(guò)程發(fā)生在申請(qǐng)者與認(rèn)證效勞器之間,認(rèn)證者只起到了橋接的作用。申請(qǐng)者向認(rèn)證效勞器說(shuō)明自己的身份,然后認(rèn)證效勞器對(duì)申請(qǐng)者進(jìn)展認(rèn)證,認(rèn)證通過(guò)后將通信所需要的密鑰加密再發(fā)

6、給申請(qǐng)者。申請(qǐng)者用這個(gè)密鑰就可以與ap進(jìn)展通信。雖然802.1x仍舊存在一定的缺陷,但較共享密鑰認(rèn)證方式已經(jīng)有了很大的改善,ieee802.11i和api都參考了802.1x的機(jī)制。802.1x選用eap來(lái)提供懇求方和認(rèn)證效勞器兩者之間的認(rèn)證效勞。最常用的eap認(rèn)證方法有eapd5、eaptls和peap等。irsft為多種使用802.1x的身份驗(yàn)證協(xié)議提供了本地支持。在大多數(shù)情況下,選擇無(wú)線(xiàn)客戶(hù)端身份驗(yàn)證的根據(jù)是基于密碼憑據(jù)驗(yàn)證,或基于證書(shū)驗(yàn)證。建議在執(zhí)行基于證書(shū)的客戶(hù)端身份驗(yàn)證時(shí)使用eap-tls;在執(zhí)行基于密碼的客戶(hù)端身份驗(yàn)證時(shí)使用eap-irsft質(zhì)詢(xún)握手身份驗(yàn)證協(xié)議版本2(shapv

7、2),該協(xié)議在peap(prtetedextensibleauthentiatinprt1)協(xié)議中,也稱(chēng)作peapeapshapv2??紤]到校園群體的特殊性,為了保障校園無(wú)線(xiàn)網(wǎng)絡(luò)的平安,可對(duì)不同的群體采取不同的認(rèn)證方法。在校園網(wǎng)內(nèi),主要分成兩類(lèi)不同的用戶(hù),一類(lèi)是校內(nèi)用戶(hù),一類(lèi)是來(lái)訪(fǎng)用戶(hù)。校內(nèi)用戶(hù)主要是學(xué)校的師生。由于工作和學(xué)習(xí)的需要,他們要求可以隨時(shí)接入無(wú)線(xiàn)網(wǎng)絡(luò),訪(fǎng)問(wèn)校園網(wǎng)內(nèi)資源以及訪(fǎng)問(wèn)internet。這些用戶(hù)的數(shù)據(jù),如工資、科研成果、研究資料和論文等的平安性要求比較高。對(duì)于此類(lèi)用戶(hù),可使用802.1x認(rèn)證方式對(duì)用戶(hù)進(jìn)展認(rèn)證。來(lái)訪(fǎng)用戶(hù)主要是來(lái)校參觀(guān)、培訓(xùn)或進(jìn)展學(xué)術(shù)交流的一些用戶(hù)。這類(lèi)用戶(hù)對(duì)網(wǎng)

8、絡(luò)平安的需求不是特別高,對(duì)他們來(lái)說(shuō)最重要的就是可以非常方便而且快速地接入inteet,以閱讀相關(guān)網(wǎng)站和收發(fā)郵件等。針對(duì)這類(lèi)用戶(hù),可采用dhp+強(qiáng)迫prtal認(rèn)證的方式接入校園無(wú)線(xiàn)網(wǎng)絡(luò)。如下圖,開(kāi)機(jī)后,來(lái)訪(fǎng)用戶(hù)先通過(guò)dhp效勞器獲得ip地址。當(dāng)來(lái)訪(fǎng)用戶(hù)翻開(kāi)閱讀器訪(fǎng)問(wèn)inteet網(wǎng)站時(shí),強(qiáng)迫prta控制單元首先將用戶(hù)訪(fǎng)問(wèn)的inteet定向到prtal效勞器中定制的網(wǎng)站,用戶(hù)只能訪(fǎng)問(wèn)該網(wǎng)站中提供的效勞,無(wú)法訪(fǎng)問(wèn)校園網(wǎng)內(nèi)部的其他受限資源,比方學(xué)校公共數(shù)據(jù)庫(kù)、圖書(shū)館全文數(shù)據(jù)庫(kù)等。假如要訪(fǎng)問(wèn)校園網(wǎng)以外的資源,必須通過(guò)強(qiáng)迫prtal認(rèn)證認(rèn)證通過(guò)就可以訪(fǎng)問(wèn)inteet。對(duì)于校內(nèi)用戶(hù),先由無(wú)線(xiàn)用戶(hù)終端發(fā)起認(rèn)證懇

9、求,沒(méi)通過(guò)認(rèn)證之前,不能訪(fǎng)問(wèn)任何地方,并且不能獲得ip地址??赏ㄟ^(guò)數(shù)字證書(shū)(需要設(shè)立證書(shū)效勞器)實(shí)現(xiàn)雙向認(rèn)證,既可以防止非法用戶(hù)使用網(wǎng)絡(luò),也可以防止用戶(hù)連入非法ap。雙向認(rèn)證通過(guò)后,無(wú)線(xiàn)用戶(hù)終端從dhp效勞器獲得ip地址。無(wú)線(xiàn)用戶(hù)終端獲得ip地址后,就可以利用雙方約定的密鑰,運(yùn)用所協(xié)商的加密算法進(jìn)展通信,并且可以重新生成新的密鑰,這樣就很好地保證了數(shù)據(jù)的平安傳輸。使用強(qiáng)迫prtal+802.1x這兩種認(rèn)證方式相結(jié)合的方法能有效地解決校園網(wǎng)無(wú)線(xiàn)網(wǎng)絡(luò)的平安,具有一定的現(xiàn)實(shí)意義。來(lái)訪(fǎng)用戶(hù)所關(guān)心的是方便和快捷,對(duì)平安性的要求不高。強(qiáng)迫prtal認(rèn)證方式在用戶(hù)端不需要安裝額外的客戶(hù)端軟件,用戶(hù)直接使用e

10、b閱讀器認(rèn)證后即可上網(wǎng)。采用此種方式,對(duì)來(lái)訪(fǎng)用戶(hù)來(lái)說(shuō)簡(jiǎn)單、方便、快速,但平安性比較差。雖然用戶(hù)名和密碼可以通過(guò)ssl加密,但傳輸?shù)臄?shù)據(jù)沒(méi)有任何加密,任何人都可以監(jiān)聽(tīng)。當(dāng)然,必須通過(guò)相應(yīng)的權(quán)限來(lái)限制和隔離此類(lèi)用戶(hù),確保來(lái)訪(fǎng)用戶(hù)無(wú)法訪(fǎng)問(wèn)校園網(wǎng)內(nèi)部資料,從而保證校園網(wǎng)絡(luò)的高平安性。校內(nèi)用戶(hù)所關(guān)心的主要是其信息的平安,平安性要求比較高。802.1x認(rèn)證方式安裝設(shè)置比較費(fèi)事,設(shè)置步驟也比較多,且要有專(zhuān)門(mén)的802.1x客戶(hù)端,但擁有極好的平安性,因此針對(duì)校內(nèi)用戶(hù)可使用802.1x認(rèn)證方式,以保障傳輸數(shù)據(jù)的平安。4完畢語(yǔ)校園網(wǎng)各區(qū)域分別覆蓋無(wú)線(xiàn)局域網(wǎng)絡(luò)以后,用戶(hù)只需簡(jiǎn)單的設(shè)置就可以連接到校園網(wǎng),從而實(shí)現(xiàn)上網(wǎng)功能。特別是隨著迅馳技術(shù)的開(kāi)展,將進(jìn)一步促進(jìn)校園網(wǎng)內(nèi)無(wú)線(xiàn)網(wǎng)絡(luò)的建立。如今,不少高校都已經(jīng)實(shí)現(xiàn)了整個(gè)校園的無(wú)線(xiàn)覆蓋。但在建立無(wú)線(xiàn)網(wǎng)絡(luò)的同時(shí),由于對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)的平安不夠重視,對(duì)校園網(wǎng)無(wú)線(xiàn)網(wǎng)絡(luò)的平安考慮不夠。在這點(diǎn)上,學(xué)校

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論