校園無線安全協(xié)議設(shè)計與實現(xiàn)

校園無線安全協(xié)議設(shè)計與實現(xiàn)摘要從目前情況來看，不少校園網(wǎng)的無線接人點都沒有很好地考慮無線接人的安全問題，如基于MAC地址的認(rèn)證或共享密鑰認(rèn)證沒有設(shè)置，更不用說像802.1x這樣相對來說比較難設(shè)置的認(rèn)證方法了．如果我們提著筆記本電腦在某個校園內(nèi)走動，會搜索到很多無線接人點，這些接入點幾乎沒有任何的安全防范措施，可以非常方便地接入．試想，如果讓不明身份的人進(jìn)入無線網(wǎng)絡(luò)。進(jìn)而進(jìn)入校園網(wǎng)，就會對我們校園網(wǎng)絡(luò)構(gòu)成威脅。關(guān)鍵詞：WLAN；AP；IEEE；802.11x 目錄TOC\o"1-5"\h\z\u前言 1第一章WLAN概述及應(yīng)用 11.1WLAN基本概念及標(biāo)準(zhǔn)演進(jìn) 11.1.1WLAN基本概念 11.1.2WLAN網(wǎng)絡(luò)建立過程 11.2WLAN的安全風(fēng)險及解決方案 11.2.1WLAN中存在的安全風(fēng)險 11.2.2WLAN安全項目采用的安全解決方案 2第二章WLAN概述及應(yīng)用 22.1802.11無線局域網(wǎng)的安全機制 22.2802.1x協(xié)議的體系 32.3802.1x協(xié)議的認(rèn)證過程 32.4802.1x協(xié)議的特點 42.5802.1x認(rèn)證協(xié)議的應(yīng)用 52.6802.1x與智能卡 62.7發(fā)展方向和趨勢 6第三章WLAN應(yīng)用中的安全問題分析 73.1安全協(xié)議分析 73.2WEP安全協(xié)議分析 73.3WPA安全協(xié)議分析 73.4安全協(xié)議分析 8第四章無線校園網(wǎng)絡(luò)安全解決方案 84.1無線網(wǎng)絡(luò)安全實現(xiàn)原理 84.2無線校園網(wǎng)絡(luò)安全方案設(shè)計 84.3無線校園網(wǎng)絡(luò)安全的意義 9參考文獻(xiàn) 11致謝 13前言在無線網(wǎng)絡(luò)技術(shù)相對成熟的今天．無線網(wǎng)絡(luò)解決方案能夠很好滿足校園網(wǎng)的種種特殊的要求，并且擁有傳統(tǒng)網(wǎng)絡(luò)所不能比擬的易擴容性和自由移動性，已經(jīng)逐漸成為一種潮流，成為眾多校園網(wǎng)解決方案的重要選擇。這都源于無線局域網(wǎng)拓展了現(xiàn)有的有線網(wǎng)絡(luò)的覆蓋范圍，使隨時隨地的網(wǎng)絡(luò)接入成為可能．但在使用無線網(wǎng)絡(luò)的同時，無線接人的安全性也面臨嚴(yán)峻的考驗。無線局域網(wǎng)(WLAN)是計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物，由于無線網(wǎng)絡(luò)所特有的開放性，其安全問題一直是業(yè)界研究的重點。本論文對WLAN安全協(xié)議進(jìn)行了深入的研究，提出了無線接入點(AP)中安全認(rèn)證模塊的具體實現(xiàn)，并且對實現(xiàn)過程中的一些關(guān)鍵問題提出了切實有效的解決方案。第一章WLAN概述及應(yīng)用1.1WLAN基本概念及標(biāo)準(zhǔn)演進(jìn)1.1.1WLAN基本概念無線局域網(wǎng)(WLAN)是采用無線傳輸媒體的計算機局域通信網(wǎng)絡(luò)。1971年夏威夷大學(xué)的學(xué)者創(chuàng)造了第一個基于數(shù)據(jù)包傳輸?shù)臒o線網(wǎng)——ALOHANET3，它實質(zhì)上就是第一個WLAN。進(jìn)入20世紀(jì)90年代，人們要求在任何時間、任何地點都能使用網(wǎng)絡(luò)資源，而傳統(tǒng)的有線網(wǎng)絡(luò)很難實現(xiàn)可移動的通信。因此，在這種趨勢和要求的推動下，導(dǎo)致了WLAN的發(fā)展與進(jìn)步。1.1.2WLAN網(wǎng)絡(luò)建立過程無線局域網(wǎng)的基本網(wǎng)絡(luò)連接建立過程是在IEEE802.11中定義的，無論是后續(xù)的IEEE802.1l系列標(biāo)準(zhǔn)還是WAPI都是建立在這個基本連接過程之上的。在IEEE802.11網(wǎng)絡(luò)中主要有兩個實體：AP和STA，AP就是無線接入點，STA是無線工作站，最常見的就是帶有無線網(wǎng)卡的筆記本。其中AP是核心，一個STA要想加入到一個無線局域網(wǎng)，首先要與這個無線局域網(wǎng)中的AP建立連接，然后通過這個AP與其它的S1A或網(wǎng)絡(luò)進(jìn)行通信。1.2WLAN的安全風(fēng)險及解決方案1.2.1WLAN中存在的安全風(fēng)險無線局域網(wǎng)安全的最大闖題在于無線通信設(shè)備是在自由空問中進(jìn)行傳輸，而不是像有線網(wǎng)絡(luò)那樣是在一定的物理線纜上進(jìn)行傳輸，因此無法通過對傳輸媒介的接入控制來保證數(shù)據(jù)不會被未經(jīng)授權(quán)的用戶獲取。所以，wLAN就面臨一系列的有線網(wǎng)絡(luò)中并不存在安全問題主要包括：1.來自網(wǎng)絡(luò)外部用戶的進(jìn)攻。2.來自未認(rèn)證的用戶獲得存取權(quán)。3.來自網(wǎng)絡(luò)內(nèi)部的竊聽泄密等。1.2.2WLAN安全項目采用的安全解決方案安全問題已經(jīng)成了WLAN應(yīng)用和發(fā)展的重中之重，雅典奧運組委會就因WLAN的安全存在隱患而放棄了在2004年雅典奧運會的各個賽場布置WLAN網(wǎng)絡(luò)。但由于針對WLAN安全的技術(shù)不斷更新，如果能夠應(yīng)用最先進(jìn)的安全技術(shù)，同時進(jìn)行合理的配置，那么就可以解決這個棘手的問題。所以在本項目中對網(wǎng)絡(luò)安全方面非常重視，運用了多種手段： WEP加密，支持64位和128位 IEEE802.1li，IEEE推出的WLAN最新安全標(biāo)準(zhǔn) 多SSID，通過SSID來限制用戶的訪問權(quán)限 MAC過濾、口過濾 同時支持多種認(rèn)證方式來檢測用戶身份 WAPI，我國推出的WLAN安全國家標(biāo)準(zhǔn)這樣，在wLAN安全項目中的AP就可以支持以下六種安全模式下：1．不加密2．WEP(802.1l中定義的安全方案)3．802.1x+動態(tài)WEP密鑰4．802.11i(WPA)5．802.11i(wPA)+PSl((與共享密鑰)6．WAPI第二章WLAN概述及應(yīng)用2.1802.11無線局域網(wǎng)的安全機制802.11無線局域網(wǎng)運作模式基本分為兩種：點對點(AdHoc)模式和基本(Infrastructure)模式。點對點模式指無線網(wǎng)卡和無線網(wǎng)卡之間的直接通信方式。只要PC插上無線網(wǎng)卡即可與另一具有無線網(wǎng)卡的PC連接，這是一種便捷的連接方式，最多可連接256個移動節(jié)點?；灸Ｊ街笩o線網(wǎng)絡(luò)規(guī)模擴充或無線和有線網(wǎng)絡(luò)并存的通信方式，這也是802.11最常用的方式。此時，插上無線網(wǎng)卡的移動節(jié)點需通過接入點AP(AccessPoint)與另一臺移動節(jié)點連接。接入點負(fù)責(zé)頻段管理及漫游管理等工作，一個接入點最多可連接1024個移動節(jié)點。當(dāng)無線網(wǎng)絡(luò)節(jié)點擴增時，網(wǎng)絡(luò)存取速度會隨著范圍擴大和節(jié)點的增加而變慢，此時添加接入點可以有效控制和管理頻寬與頻段。與有線網(wǎng)絡(luò)相比較，無線網(wǎng)絡(luò)的安全問題具有以下特點：(1)信道開放，無法阻止攻擊者竊聽，惡意修改并轉(zhuǎn)發(fā)；(2)傳輸媒質(zhì)―無線電波在空氣中的傳播會因多種原因(例如障礙物)發(fā)生信號衰減，導(dǎo)致信息的不穩(wěn)定，甚至?xí)G失；(3)需要常常移動設(shè)備(尤其是移動用戶)，設(shè)備容易丟失或失竊；(4)用戶不必與網(wǎng)絡(luò)進(jìn)行實際連接，使得攻擊者偽裝合法用戶更容易。由于上述特點，利用WLAN進(jìn)行通信必須具有較高的通信保密能力。802.11無線局域網(wǎng)本身提供了一些基本的安全機制。802.11接入點AP可以用一個服務(wù)集標(biāo)識SSID(ServiceSetIdentifier)或ESSID(ExtensibleServiceSetIdentifier)來配置。與接入點有關(guān)的網(wǎng)卡必須知道SSID以便在網(wǎng)絡(luò)中發(fā)送和接收數(shù)據(jù)。但這是一個非常脆弱的安全手段。因為SSID通過明文在大氣中傳送，甚至被接入點廣播，所有的網(wǎng)卡和接入點都知道SSID。2.2802.1x協(xié)議的體系IEEE802.1x協(xié)議起源于802.11，其主要目的是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題。802.1x協(xié)議又稱為基于端口的訪問控制協(xié)議，可提供對802.11無線局域網(wǎng)和對有線以太網(wǎng)絡(luò)的驗證的網(wǎng)絡(luò)訪問權(quán)限。802.1x協(xié)議僅僅關(guān)注端口的打開與關(guān)閉，對于合法用戶接入時，打開端口；對于非法用戶接入或沒有用戶接入時，則端口處于關(guān)閉狀態(tài)。IEEE802.1x協(xié)議的體系結(jié)構(gòu)主要包括三部分實體：客戶端SupplicantSystem、認(rèn)證系統(tǒng)AuthenticatorSystem、認(rèn)證服務(wù)器AuthenticationServerSystem。2.3802.1x協(xié)議的認(rèn)證過程利用IEEE802.1x可以進(jìn)行身份驗證，如果計算機要求在不管用戶是否登錄網(wǎng)絡(luò)的情況下都訪問網(wǎng)絡(luò)資源，可以指定計算機是否嘗試訪問該網(wǎng)絡(luò)的身份驗證。以下步驟描述了利用接入點AP和RADIUS服務(wù)器對移動節(jié)點進(jìn)行身份驗證的基本方法。如果沒有有效的身份驗證密鑰，AP會禁止所有的網(wǎng)絡(luò)流量通過。（1）當(dāng)一個移動節(jié)點（申請者）進(jìn)入一個無線AP認(rèn)證者的覆蓋范圍時，無線AP會向移動節(jié)點發(fā)出一個問詢。（2）在受到來自AP的問詢之后，移動節(jié)點做出響應(yīng)，告知自己的身份。（3）AP將移動節(jié)點的身份轉(zhuǎn)發(fā)給RADIUS身份驗證服務(wù)器，以便啟動身份驗證服務(wù)。（4）RADIUS服務(wù)器請求移動節(jié)點發(fā)送它的憑據(jù)，并且指定確認(rèn)移動節(jié)點身份所需憑據(jù)的類型。（5）移動節(jié)點將它的憑據(jù)發(fā)送給RADIUS。（6）在對移動節(jié)點憑據(jù)的有效性進(jìn)行了確認(rèn)之后，RADIUS服務(wù)器將身份驗證密鑰發(fā)送給AP。該身份驗證密鑰將被加密，只有AP能夠讀出該密鑰。（在移動節(jié)點和RADIUS服務(wù)器之間傳遞的請求通過AP的“非控制”端口進(jìn)行傳遞，因為移動節(jié)點不能直接與RADIUS服務(wù)器建立聯(lián)系。AP不允許STA移動節(jié)點通過“受控制”端口傳送數(shù)據(jù)，因為它還沒有經(jīng)過身份驗證。）（7）AP使用從RADIUS服務(wù)器處獲得的身份驗證密鑰保護(hù)移動節(jié)點數(shù)據(jù)的安全傳輸--特定于移動節(jié)點的單播會話密鑰以及多播/全局身份驗證密鑰。全局身份驗證密鑰必須被加密。這要求所使用的EAP方法必須能夠生成一個加密密鑰，這也是身份驗證過程的一個組成部分。傳輸層安全TLS（TransportLevelSecurity）協(xié)議提供了兩點間的相互身份驗證、完整性保護(hù)、密鑰對協(xié)商以及密鑰交換。我們可以使用EAP-TLS在EAP內(nèi)部提供TLS機制。移動節(jié)點可被要求周期性地重新認(rèn)證以保持一定的安全級。2.4802.1x協(xié)議的特點IEEE802.1x具有以下主要優(yōu)點：(1)實現(xiàn)簡單。IEEE802.1x協(xié)議為二層協(xié)議，不需要到達(dá)三層，對設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本。(2)認(rèn)證和業(yè)務(wù)數(shù)據(jù)分離。IEEE802.1x的認(rèn)證體系結(jié)構(gòu)中采用了“受控端口”和“非受控端口”的邏輯功能，從而可以實現(xiàn)業(yè)務(wù)與認(rèn)證的分離。用戶通過認(rèn)證后，業(yè)務(wù)流和認(rèn)證流實現(xiàn)分離，對后續(xù)的數(shù)據(jù)包處理沒有特殊要求，業(yè)務(wù)可以很靈活，尤其在開展寬帶組播等方面的業(yè)務(wù)有很大的優(yōu)勢，所有業(yè)務(wù)都不受認(rèn)證方式限制。IEEE802.1x同時具有以下不足：802.1x認(rèn)證是需要網(wǎng)絡(luò)服務(wù)的系統(tǒng)和網(wǎng)絡(luò)之間的會話，這一會話使用IETF的EAP(ExtensibleAuthenticationProtocol)認(rèn)證協(xié)議。協(xié)議描述了認(rèn)證機制的體系結(jié)構(gòu)框架使得能夠在802.11實體之間發(fā)送EAP包，并為在AP和工作站間的高層認(rèn)證協(xié)議建立了必要條件。對MAC地址的認(rèn)證對802.1x來說是最基本的，如果沒有高層的每包認(rèn)證機制，認(rèn)證端口沒有辦法標(biāo)識網(wǎng)絡(luò)申請者或其包。而且實驗證明802.1x由于其設(shè)計缺陷其安全性已經(jīng)受到威脅，常見的攻擊有中間人MIM攻擊和會話攻擊。所以802.11與802.1x的簡單結(jié)合并不能提供健壯的安全無線環(huán)境，必須有高層的清晰的交互認(rèn)證協(xié)議來加強。幸運的是，802.1x為實現(xiàn)高層認(rèn)證提供了基本架構(gòu)。2.5802.1x認(rèn)證協(xié)議的應(yīng)用IEEE802.1x使用標(biāo)準(zhǔn)安全協(xié)議(如RADIUS)提供集中的用戶標(biāo)識、身份驗證、動態(tài)密鑰管理和記帳。802.1x身份驗證可以增強安全性。IEEE802.1x身份驗證提供對802.11無線網(wǎng)絡(luò)和對有線以太網(wǎng)網(wǎng)絡(luò)的經(jīng)驗證的訪問權(quán)限。IEEE802.1x通過提供用戶和計算機標(biāo)識、集中的身份驗證以及動態(tài)密鑰管理，可將無線網(wǎng)絡(luò)安全風(fēng)險減小到最低程度。在此執(zhí)行下，作為RADIUS客戶端配置的無線接入點將連接請求和記帳郵件發(fā)送到中央RADIUS服務(wù)器。中央RADIUS服務(wù)器處理此請求并準(zhǔn)予或拒絕連接請求。如果準(zhǔn)予請求，根據(jù)所選身份驗證方法，該客戶端獲得身份驗證，并且為會話生成唯一密鑰。IEEE802.1x為可擴展的身份驗證協(xié)議EAP安全類型提供的支持使您能夠使用諸如智能卡、證書以及MessageDigest5(MD5)算法這樣的身份驗證方法。擴展身份驗證協(xié)議EAP是一個支持身份驗證信息通過多種機制進(jìn)行通信的協(xié)議。利用802.1x，EAP可以用來在申請者和身份驗證服務(wù)器之間傳遞驗證信息。這意味著EAP消息需要通過LAN介質(zhì)直接進(jìn)行封裝。認(rèn)證者負(fù)責(zé)在申請者和身份驗證服務(wù)器之間轉(zhuǎn)遞消息。身份驗證服務(wù)器可以是一臺遠(yuǎn)程身份驗證撥入用戶服務(wù)(RADIUS)服務(wù)器。2.6802.1x與智能卡智能卡通常用在安全性要求比較高的場合，并與認(rèn)證協(xié)議的應(yīng)用相結(jié)合。這首先是由于智能卡能夠保護(hù)并安全的處理敏感數(shù)據(jù)；而智能卡能保護(hù)密鑰也是相當(dāng)重要的，一切秘密寓于密鑰之中，為了能達(dá)到密碼所提供的安全服務(wù)，密鑰絕對不能被泄密，但為安全原因所增加的成本卻不能太多。智能卡自身硬件的資源極為有限。用其實現(xiàn)安全系統(tǒng)面臨著存儲器容量和計算能力方面受到的限制。目前市場上的大多數(shù)智能卡有128到1024字節(jié)的RAM，1k到16k字節(jié)的EEPROM，6k到16k字節(jié)的ROM，CPU通常為8比特的，典型的時鐘頻率為3.57MHz。任何存儲或者是處理能力的增強都意味著智能卡成本的大幅度提高。另外智能卡的數(shù)據(jù)傳送是相對慢的，為提高應(yīng)用的效率，基本的數(shù)據(jù)單元必須要小，這樣可以減少智能卡與卡終端之間的數(shù)據(jù)流量，其傳送時間的減少則意味著實用性的增強。將802.1x與智能卡的應(yīng)用相結(jié)合的優(yōu)點是：認(rèn)證更加安全；生成和管理密鑰方便；節(jié)省內(nèi)存空間；節(jié)省帶寬，提高實用性；節(jié)省處理時間，而不需要增加硬件的處理等方面。802.1x安全認(rèn)證協(xié)議所帶來的各優(yōu)點恰好彌補了智能卡硬件的各種局限，不僅能有效地降低智能卡的生產(chǎn)成本，也能提高智能卡的實用性。2.7發(fā)展方向和趨勢802.11無線局域網(wǎng)目前的安全標(biāo)準(zhǔn)主要有兩大發(fā)展主流：（1）WPA。802.1x協(xié)議僅僅提供了一種用戶接入認(rèn)證的手段，并簡單地通過控制接入端口的開/關(guān)狀態(tài)來實現(xiàn)，這種簡化適用于無線局域網(wǎng)的接入認(rèn)證、點對點物理或邏輯端口的接入認(rèn)證。WPA（Wi-Fi受保護(hù)訪問）是一種新的基于IEEE標(biāo)準(zhǔn)的安全解決方法。Wi-Fi聯(lián)盟經(jīng)過努力，于2002年10月下旬宣布了基于此標(biāo)準(zhǔn)的解決方法，以便開發(fā)更加穩(wěn)定的無線LAN安全解決方法來滿足802.11的要求。WPA包括802.1x驗證和TKIP加密（一種更高級和安全的WEP加密形式），以進(jìn)一步形成和完善IEEE802.11i標(biāo)準(zhǔn)。（2）WAPI。我國已于2003年12月1日起強制執(zhí)行了新的無線局域網(wǎng)安全國家標(biāo)準(zhǔn)―無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)WAPI（WLANAuthenticationandPrivacyInfrastructure）。WAPI由無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)WAI（WLANAuthenticationInfrastructure）和無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)WPI（WLANPrivacyInfrastructure）組成。WAPI與已有安全機制相比具有其獨特優(yōu)點，充分體現(xiàn)了國家標(biāo)準(zhǔn)的先進(jìn)性。WAPI與已有安全機制相比在很多方面都進(jìn)行了改進(jìn)。它已由ISO/IEC授權(quán)的IEEERegistrationAuthority審查獲得認(rèn)可，分配了用于WAPI協(xié)議的以太網(wǎng)類型字段，這也是我國目前在該領(lǐng)域惟一獲得批準(zhǔn)的協(xié)議。WAPI采用國家密碼管理委員會辦公室批準(zhǔn)的公開密鑰體制的橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法，分別用于WLAN設(shè)備的數(shù)字證書、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密，從而實現(xiàn)設(shè)備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護(hù)。第三章WLAN應(yīng)用中的安全問題分析3.1安全協(xié)議分析從1997年WEP的面世到2003年WPA這個過渡方案的提出，再到2004年WPA2的公布，這三種協(xié)議見證了無線網(wǎng)絡(luò)安全的發(fā)展歷程。雖然WEP固有的缺陷已經(jīng)使得它不再適合用于商業(yè)或者是具有更高安全需求的行業(yè)，但是現(xiàn)今市場上的無線設(shè)備基本上還都同時支持WEP、WPA和WPA2這三種協(xié)議。因此本文將從WEP開始展開對這三種安全協(xié)議的分析。3.2WEP安全協(xié)議分析不少文章把WEP的安全缺陷歸結(jié)于RC4算法中的缺陷，但其實不然。RC4在以往的有線網(wǎng)絡(luò)應(yīng)用中，并沒有讓人們失望。壓垮WEP的那根稻草是其密鑰管理機制（以及由此引致的共享密鑰重用問題）。3.3WPA安全協(xié)議分析由于WEP有著不可克服的缺陷，因此國際上提出了一系列解決方案。其中的WPA是一個過渡方案，它在WEP協(xié)議的基礎(chǔ)上，增加了IEEE802.1X來改進(jìn)認(rèn)證機制，并采用TKIP(TemporalKeyIntegrityProtocol)協(xié)議來實現(xiàn)消息的保密與完整性保護(hù)。在信息交換的過程中，雖然所有信息都要經(jīng)過AP，但它不需要了解里面的任何信息。在STA和AP之間的聯(lián)路上，運行的是EAPOL(EAPoverLan)協(xié)議。在AP和AS之間同樣運行EAP(ExtensibleAuthenticationProtocol)協(xié)議但該協(xié)議被封裝到了高層協(xié)議中。3.4安全協(xié)議分析作為完全實現(xiàn)了802.11i安全規(guī)范中的所有強制設(shè)定的協(xié)議，WPA2也被視為實現(xiàn)RSN(RobustSecurityNetwork)的必要條件(WPA只實現(xiàn)了部分)。鑒于CCMP(Counter-Mode/CBC-MACProtocol)是IEEE802.11i中最重要的協(xié)議,同時也是RSN的強制要求。第四章無線校園網(wǎng)絡(luò)安全解決方案4.1無線網(wǎng)絡(luò)安全實現(xiàn)原理校園網(wǎng)內(nèi)無線網(wǎng)絡(luò)建成后，怎樣才能有效地保障無線網(wǎng)絡(luò)的安全．基于MAC地址的認(rèn)證存在兩個問題：一是數(shù)據(jù)管理的問題，要維護(hù)MAC數(shù)據(jù)庫；二是MAC可嗅探，也可修改。如果采用共享密鑰認(rèn)證，攻擊者可以輕易地搞到共享認(rèn)證密鑰。802.1x定義了三種身份：申請者(用戶無線終端)、認(rèn)證者(AP)和認(rèn)證服務(wù)器。整個認(rèn)證的過程發(fā)生在申請者與認(rèn)證服務(wù)器之間。認(rèn)證者只起到了橋接的作用。申請者向認(rèn)證服務(wù)器表明自己的身份，然后認(rèn)證服務(wù)器對申請者進(jìn)行認(rèn)證，認(rèn)證通過后將通信所需要的密鑰加密再發(fā)給申請者．申請者用這個密鑰就可以與AP進(jìn)行通信。雖然802.1x仍舊存在一定的缺陷，但較共享密鑰認(rèn)證方式已經(jīng)有了很大的改善．IEEE802.11i和WAPI都參考了802.1x的機制。802.1x選用EAP來提供請求方和認(rèn)證服務(wù)器兩者之間的認(rèn)證服務(wù)。最常用的EAP認(rèn)證方法有EAP—MD5、EAP—TLS和PEAP等．Microsoft為多種使用802.1x的身份驗證協(xié)議提供了本地支持。在大多數(shù)情況下，選擇無線客戶端身份驗證的依據(jù)是基于密碼憑據(jù)驗證．或基于證書驗證．建議在執(zhí)行基于證書的客戶端身份驗證時使用EAP—TLS；在執(zhí)行基于密碼的客戶端身份驗證時使用EAP-Microsoft質(zhì)詢握手身份驗證協(xié)議版本2(MSCHAPv2)。該協(xié)議在PEAP(ProtectedExtensibleAuthenticationProtoc01)協(xié)議中，也稱作PEAP—EAP—MSCHAPv2。4.2無線校園網(wǎng)絡(luò)安全方案設(shè)計考慮到校園群體的特殊性，為了保障校園無線網(wǎng)絡(luò)的安全，可對不同的群體采取不同的認(rèn)證方法。在校園網(wǎng)內(nèi)．主要分成兩類不同的用戶：一類是校內(nèi)用戶；另一類是來訪用戶．校內(nèi)用戶主要是學(xué)校的師生，由于工作和學(xué)習(xí)的需要，他們要求能夠隨時接人無線網(wǎng)絡(luò)，訪問校園網(wǎng)內(nèi)資源以及訪問Internet．這些用戶的數(shù)據(jù)。如工資、科研成果、研究資料和論文等安全性要求比較高．對于此類用戶，可使用802.1x認(rèn)證方式對用戶進(jìn)行認(rèn)證。來訪用戶主要是來校參觀、培訓(xùn)或進(jìn)行學(xué)術(shù)交流的一些用戶。這類用戶對網(wǎng)絡(luò)安全的需求不是特別高，對他們來說最重要的就是能夠非常方便而且快速地接入Internet以瀏覽相關(guān)網(wǎng)站和收發(fā)郵件等．針對這類用戶，可采用DHCP十強制Portal認(rèn)證的方式接入校園無線網(wǎng)絡(luò)。開機后，來訪用戶先通過陰CP服務(wù)器獲得IP地址．當(dāng)來訪用戶打開瀏覽器訪問Internet網(wǎng)站時，強制Portal控制單元首先將用戶訪問的Internet定向到Portal服務(wù)器中定制的網(wǎng)站，用戶只能訪問該網(wǎng)站中提供的服務(wù)。無法訪問校園網(wǎng)內(nèi)部的其他受限資源。比如學(xué)校公共數(shù)據(jù)庫、圖書館期刊全文數(shù)據(jù)庫等．如果要訪問校園網(wǎng)以外的資源，必須通過強制Portal認(rèn)證，認(rèn)證通過就可以訪問Internet．對于校內(nèi)用戶，先由無線用戶終端發(fā)起認(rèn)證請求，沒通過認(rèn)證之前，不能訪問任何地方，并且不能獲得IP地址．可通過數(shù)字證書(需要設(shè)立證書服務(wù)器)實現(xiàn)雙向認(rèn)證，既可以防止非法用戶使用網(wǎng)絡(luò)，也可以防止用戶連入非法AP。雙向認(rèn)證通過后，無線用戶終端從DHCP服務(wù)器獲得IP地址．無線用戶終端獲得IP地址后，就可以利用雙方約定的密鑰，運用所協(xié)商的加密算法進(jìn)行通信，并且可以重新生成新的密鑰，這樣就很好地保證了數(shù)據(jù)的安全傳輸。4.3無線校園網(wǎng)絡(luò)安全的意義使用強制Portal+802.1x這兩種認(rèn)證方式相結(jié)合的方法能有效地解決校園網(wǎng)無線網(wǎng)絡(luò)的安全，具有一定的現(xiàn)實意義。來訪用戶所關(guān)心的是方便和快捷，對安全性的要求不高．強制Portal認(rèn)證方式在用戶端不需要安裝額外的客戶端軟件．用戶直接使用web瀏覽器認(rèn)證后即可上網(wǎng)。采用此種方式，對來訪用戶來說簡單、方便、快速，但安全性比較差．雖然用戶名和密碼可以通過ssL加密，但傳輸?shù)臄?shù)據(jù)沒有任何加密，任何人都可以監(jiān)聽．當(dāng)然，必須通過相應(yīng)的權(quán)限來限制和隔離此類用戶，確保來訪用戶無法訪問校園網(wǎng)內(nèi)部資料，從而保證校園網(wǎng)絡(luò)的高安全性。因此針對校內(nèi)用戶可使用802．1x認(rèn)證方式，以保障傳輸數(shù)據(jù)的安全。校園網(wǎng)各區(qū)域分別覆蓋無線局域網(wǎng)絡(luò)以后，用戶只需進(jìn)行相應(yīng)的設(shè)置就可以連接到校園網(wǎng)，從而實現(xiàn)各自需要的功能，進(jìn)一步促進(jìn)校園網(wǎng)內(nèi)無線網(wǎng)絡(luò)的建設(shè)．現(xiàn)在，不少高校都已經(jīng)實現(xiàn)了整個校園的無線覆蓋。但在建設(shè)無線網(wǎng)絡(luò)的同時，因為對無線網(wǎng)絡(luò)的安全不夠重視，對校園網(wǎng)無線網(wǎng)絡(luò)的安全考慮不及時。也造成了一定的影響和破壞。由此可見。做好無線網(wǎng)絡(luò)的安全管理工作，并完成全校無線網(wǎng)絡(luò)的統(tǒng)一身份驗證．是當(dāng)前學(xué)校組建無線網(wǎng)必須要考慮的事情．只有這樣才能做到無線網(wǎng)絡(luò)與現(xiàn)有有線網(wǎng)絡(luò)的無縫對接，確保無線網(wǎng)絡(luò)的高安全性．提高學(xué)校的信息化的水平。參考文獻(xiàn)[1]鄭羽，陳廣柱.蜂窩狀無線網(wǎng)集成語音數(shù)據(jù)業(yè)務(wù)的資源分配模型[J].安慶師范大學(xué)學(xué)報（自然科學(xué)版），2017，23（04）：38-42.[2]左振輝，師瑛.基于WLAN構(gòu)建監(jiān)控系統(tǒng)[J].網(wǎng)絡(luò)安全和信息化，2017（06）：67-68.[3]王順頂.無線網(wǎng)絡(luò)在施工單位的應(yīng)用價值[J].價值工程，2016，35（23）：170-172.[4]代天成.現(xiàn)代高校無線網(wǎng)的安全防護(hù)技術(shù)方法分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（07）：99-100.[5]張海.淺談校園WLAN無線網(wǎng)的組網(wǎng)方式[J].中國新通信，2016，18（09）：92.[6]張俞玲.校園網(wǎng)建設(shè)中WLAN技術(shù)的應(yīng)用探析[J].信息系統(tǒng)工程，2016（01）：87.[7]勵凌凌.基于WLAN的無線校園網(wǎng)設(shè)計與實現(xiàn)[J].軟件工程師，2015，18（12）：39-41.[8]胡海龍.校園WLAN安全的研究[J].信息化建設(shè)，2015（10）：55+57.[9]宋貴山，柴群，王東.高校無線局域網(wǎng)部署方案的研究[J].電腦知識與技術(shù)，2015，11（15）：21-22+29.[10]李萍萍.基于WLAN的無線校園網(wǎng)建設(shè)[J].重慶三峽學(xué)院學(xué)報，2015，31（03）：60-62.[11]李雯雯，吳博，李可，邊森.WLAN無線網(wǎng)動態(tài)射頻管理節(jié)能方案研究[J].電信科學(xué)，2015，31（04）：148-153.[12]楊秀梅，鄭劍.校園無線網(wǎng)部署方案研究[J].華東師范大學(xué)學(xué)報（自然科學(xué)版），2015（S1）：174-179.[13]劉長琦.校園WLAN安全防范探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（03）：122-123.[14]馬穩(wěn).WLAN在構(gòu)建無線