图书馆无线网络安全的研究与改进

陈利东 贡金涛 应贤军

摘 要： 通过对无线网络现有缺陷的分析和目前已应用的安全策略的对比，制定了一个相对安全稳定的无线网络策略，旨为图书馆的无线网络服务工作提供安全保障。

关键词： 图书馆； 无线网络； 安全策略； 实名认证

中图分类号： G 250.7 文献标志码： A 文章编号： 1671-2153（2017）04-0100-05

0 引 言

随着如今无线网络技术的成熟及普遍应用，使得当今的图书馆基本实现无线网络覆盖。而图书馆的数字化建设也在不断完善，无线网络已成为读者获得图书馆资源的重要途径。图书馆优良的阅读环境正吸引着更多的读者进入图书馆，他们用自带的移动网络设备获取资源、刷微博、聊天、网络购物等等。但随着无线网络安全问题的日渐突出，加上大多数移动用户不具备网络安全常识，导致图书馆移动网络处于非常危险的境地。作为图书馆的管理者，有必要、有责任为用户提供一个安全、可靠的无线网络环境，尽量避免给用户造成不必要的损失。

1 无线网络安全现状

1.1 无线网络的特点[1]

（1） 信号覆盖范围广。无线网络覆盖半径可以达到300米，基本能满足各种情况下移动设备的网络需求。

（2） 组网灵活。无线网络比有线网络组建更为便捷，并不需要占用过多的物理空间，且市面上的移动设备基本都支持无线技术。

（3） 相关业务可集成性。无线网络技术和有线网络技术，从结构上看是基本一致的，这使得人们可以将现有的有线网络资源接入到无线网络中，并能够快速部署无线局域网络，从而实现资源共享。

（4） 完全開放的频率使用段。无线局域网使用的是ISM频段，用户端接入时不需要任何许可，非常的方便快捷。

1.2 无线网络安全存在的问题[2-3]

（1） 无线网络环境盲点。无线信号是通过无线路由器发出，但对于整个图书馆来说，要实现无线信号全覆盖就必须通过多个无线路由进行连接。信号在路由器之间穿梭，就要从一个点到另一个点，这种路由器之间的间隙是无线网络安全的第一大隐患，入侵者可以利用这一漏洞，对信号源发起攻击。

（2） 恶意访问源。不法分子通过设置免费的无线网络来引诱用户接入，他们在信号中加入了隐性代码，一旦用户接入不法分子建立的无线热点，用户发送的所有信息将遭到监听。届时，用户的隐私、账号密码等机密信息将暴露无遗，有可能造成用户财产的严重损失。

（3） 伪装无线站点。是指不法分子构建相似或同名的可信任无线网络信号源，让用户误以为是安全的无线网络站点，而且移动设备对于以前接入过的无线网络站点会自动接入，并且自动调整信号强的源进行接入，使得不法分子轻而易举获取用户的信息。

（4） 黑客攻击。黑客利用网络攻击工具对无线路由器进行攻击，迫使无线路由器无法正常运转，或者发射恶意干扰信号，使用户无法正常连接网络，并在此过程中为用户提供可接入的无线网络热点，诱导用户错误链接，从而进行非法行为。

2 无线网络安全策略的对比

目前，针对上述无线网络安全问题的解决策略有很多， 常用的为以下几类[4][5]：

（1） WEP 加密方案。其使用RC4算法进行加密，客户端与无线接入点共享密钥，但容易被黑客破解入侵。随着技术的进步，技术员在WEP的基础上进行升级，对端口访问进行控制，并通过转换密码和分发机制来提升无线网络的安全性。其缺点是静态的40位密钥容易被破解，不能保证数据传送的可靠性和完整性。

（2） TKIP 安全方案。TKIP是在WEP方案上进行改进，简称临时密钥完整协议。它采用RC4 算法，将IV扩展到48位，并采用新的顺序规则，来弥补WEP方案中密钥过短的缺点。TKIP方案的每个数据包都有独有的48位动态序列号，不但解决了数据传送时产生的碰撞和重放问题，还提升了数据的安全性，不容易被黑客破解。

（3） CCMP 安全方案。其采用更先进的AE5加密算法来代替RC4算法，对传送数据进行安全保护。CCMP采用48位序列规则发送密钥，同时进行信息篡改检测，又称为块加密技术，安全性高，但对硬件要求比较高，而且无法利用现有设备。

（4） WPA技术。WPA是一种无线网络安全保护系统，是在TKIP协议基础上引入AES加密算法，对网络数据进行保护，其认证方式包括WPA，WPA-PSK，WPA2，WPA2-PSK这几类。但目前可通过字典和PIN 码对无线网络施行爆破来破解此技术。

（5） WTLS 技术。其主要是在WAP协议框架下，通过对WTLS层进行加密来实现对网络数据的安全保护，目前可支持X509V3＼X9.68和WTLS证书。

（6） MAC 与IP 地址过滤技术。此技术能有效控制无线网络内部用户使用网络权限，是将可访问网络设备的有效地址添加在AP 列表中，只有这些有效地址用户才能访问网络。并且设置无线网络密码，防止黑客通过克隆有效地址来入侵网络。

（7） Web认证。其是基于对端口控制来控制用户访问权限的认证方法，不需要安装客户端认证插件，只需使用浏览器就可实现认证。未经认证的用户会被强制接入认证页面，只有通过认证的用户才能访问互联网资源。目前此认证方式主要有HTTP拦截和HTTP重定向，可以为用户提供多样化认证，其拓展性强。

3 无线网络安全策略整体架构的制定

本文基于现有的网络安全技术，并整合安全监测技术来制定一套较为稳定的无线网络安全策略，以解决上述无线网络安全问题。此体系包括两部分：被动安全防御策略和主动防御策略[6][7]。

3.1 被动安全防御策略

此策略主要是通过构建安全防御策略，来解决无线网络存在的安全问题，尽量避免无线网络安全隐患的发生。结合现有的网络安全技术，本安全策略从物理上的设计到网络安全的配置，都作了相应的改进。

（1） 物理层安全设计。首先在规划好网络布局的基础上，建立一个屏蔽的环境来对存储、接收和发送信息进行有效保护，以防止信息外泄。再者与外界的各种连接上采取隔离措施，并把天线放置在合理的区域内，尽量减少信号在所需范围之外的泄露。

（2） 进行合理的网络安全配置。根据安全策略适用环境的特殊性，来合理配置网络安全策略，一般通过访问控制和数据加密来实现。就安全访问而言，本策略采取改进型Web身份认证——通过用户名和手机认证方式，来验证用户的合法性。它主要由无线AP、接入交换机、核心交换机、无线控制器、DNS/DHCP服务器、网络行为管理、身份认证服务器、防火墙、日志服务器和短信运营SP组成[8]。

（3） 隔离无线网络与核心网络。无线网域是整个无线网络安全性最薄弱的地方，一旦被不法分子入侵，那么整个网络都有危险。因此，在布置无线设备时可以使用防火墙，把多个无线网络进行逐个分离，特别要将核心网络进行隔离，这样即使无线网络被破解，也可以将损失减少到最小。

（4） 加强入侵监测。无线网络管理人员要时刻监测无线网络，使用无线网络测试仪能迅速准确地反映信号的质量和网络情况，对异常情况进行监控和分析，判断入侵的类型，特别是非法行为，要及时报警。利用软件工具对MAC欺骗行为进行检测，找出伪装用户，保证无线网络的安全可靠。

3.2 主动防御策略

对无线网路环境内的其他无线接入点进行实时监测，如有异常情况，比如：接入点名称相似、免费接入点等情况，要及时通过网络或短信方式通知无线网络环境内的用户提高警惕，避免不必要损失。

（1） 搭建基本安全防護体系

a. 无线设备站点的监控和管理。对公共区域内的无线设备进行视频监控，防止他人破坏和替换；对于私设的无线信号设备进行线路和信号监测，确保其无异常；无线设备登录密码构成尽量复杂，并加强密钥管理。

b. SSID的设置管理。禁止SSID 广播，以防止伪造无线网络站点现象的发生；SSID的设置要复杂并定期更换。

c. 加密设置管理。数据加密采用本文所论述的WPA 安全方案，并引入WPA2技术，同时不使用厂家自带密钥，并对动态密钥进行时效性控制，防止密钥被窃；要启用实名身份认证系统，防止不法份子使用网络。

（2） 引入无线抓包工具对网域内的流量进行分析并确定攻击类型；同时还可以用无线信号探测工具来锁定入侵者的位置，给予控制和警告，并针对攻击类型进行网络防护。及时升级网络系统内核，打上补丁，关掉不必要的服务，正确地设置网络配额，对于降低到基线以下情况能够及时警报处理，建立相应的备份和恢复机制。

（3） 无线IDS/IPS 的部署。IDS是防火墙系统内的报警设备，当有非法入侵时会响起警报，其通常被部署在网络内部，来监控网络流量；IPS类似于单位内的警卫人员，来防止非法人员入侵，它是主动在线部署，可实时阻止网络攻击。我们可以把这两项技术有效结合起来，在无线网络内进行合理部署，保证系统的安全稳定地运行。

通过对上述安全策略的整合，制定出一套相对安全稳定的无线网络环境，并进行各类网络攻防测试，不断完善安全策略。

4 无线网络安全策略关键技术的实现

本节主要介绍本文研究制定的无线网络安全策略中的两个关键技术的实现：伪装无线网络站点攻击防御策略和实名认证策略。

4.1 伪装无线网络站点攻击的防御策略[9]

（1） 伪装无线网络攻击常见的有两种：简化的伪装无线网络接入点攻击和伪装服务端验证响应攻击。

简化的伪装无线网络接入点攻击是指：伪装者先构建一个无效的无线网络站点，当用户端进入该站点范围内时，它会被自动分配一个无线网络标示符，用户设备接入后是不会去验证该站点是否有网络连接能力，用户端会放弃原有的可用网络，这就形成了拒绝服务攻击。这种攻击策略的特点是：可以移动到任何区域实施攻击；构建攻击平台方便且可以同时攻击多个目标；被攻击者很难发现攻击者。

伪装服务端验证响应攻击是指：攻击者针对设置过服务验证安全策略的无线网路，通过其他攻击方式获取验证码，并将用户端的请求信息重定向到伪装服务器上，返回验证信息让用户误认为连接的无线网络站点是合法的，这样就剥夺了用户的网络访问权限，形成拒绝服务攻击。

（2） 相应的防御策略。简化的伪装无线网络接入点攻击可以通过各种网络预警方式进行监测，并实施阻止。通常方法是向验证服务器发送一个请求并比较回应验证码的一致性来进行监测和防御。

针对伪装服务端验证响应攻击我们可以采用一种双通道验证防御策略：基于传统移动联网和本地无线网络双重验证的一种模式，用户端利用手机通过传统的移动网络，获取本地无线网络访问的验证码，每次获取的验证码是实时动态更换的，从而杜绝攻击者对验证码的窃取，来保证无线网络的安全。

4.2 实名认证策略的实现

随着移动通讯实名制政策的实施，通过手机短信形式的第三方认证方式，可以有效地阻止不法分子的窥视，也可以在受到网络攻击时，及时锁定入侵者的身份信息，便于事后处理。

（1） 实名认证的思路及工作原理。实名认证的基本思路是：为用户提供一个Web认证页面，通过HTTP和HTTP重定向技术，对需要使用外网的用户进行拦截，强制转入Web认证页面，用户在输入手机号码及短信验证密码后，方可访问外网资源，认证后用户无需停留在认证页面，可自由访问外网信息，为客户端提供便捷的上网模式。这种认证模式的优点是访问内部开放资源时，不需要认证，认证时与无线网络站点处于脱离状态，不需要特定的无线网络站点，这对无线网络安全起到一定的保护作用。认证的基本原理如图1所示。

（2） 实名认证的流程[10]

a. 用户利用移动终端搜索到图书馆的无线网络站点并连接，服务器记录记录此客户端的MAC地址并为其分配IP地址，租用时间可根据单位自身情况而定。

b. 用户在终端上访问任意外网网站，若网络行为管理服务器中，未查询到该客户端允许访问外网权限信息，则拦截这个访问请求，并强制重定向到Web身份认证页面，需用户输入正确的手机号及验证密码。

c. 手机获取验证密码流程是：用户输入正确的手机号码后点击获取认证码，身份认证服务器利用短信服务商平台，通过相应的移动网络将认证密码发送该手机上。用户输入验证码，发送至服务器核对用户信息，信息正确后将该客户端信息记录在网络行为管理数据库内，并为其增加外网访问权限，客户端可以正常使用各类网络資源。

d. 未通过身份认证的用户将再次被重定向到Web身份认证页面，用户是无法访问外网资源。通过认证的用户，若外网租用超时或者离开无线网络区域一定时间后，也将再次重定向到Web身份认证页面。

通过上述闭环流程，使得用户是经过有效实名认证的，并能追溯用户在图书馆内的上网行为，满足网络安全监管的需要。实名认证流程图如图2所示，最终登录验证页面如图3所示。

5 结束语

如今，无线网络已成为图书馆为读者提供服务的重要途径，读者对信息的安全性也越来越关注。随着技术不断的升级更新，新的网络隐患也随之产生，网络安全防护将成为重点工作，如何更合理的建设、规划、部署无线网络，是未来无线网络安全工作的重中之重。除了设备的软硬件升级完善之外，还需要管理人员不断加强安全意识，防患于未然，通过共同努力来维护好无线网络的安全，为读者提供良好的网络环境。

参考文献：

[1] 廉佳奇. WIFI无线网络技术及安全问题研究[J]. 电脑知识与技术，2016，12（27）：25-26，33.

[2] 白亮亮. 浅谈wifi 时代图书馆网络安全[J]. 河南图书馆学刊，2016，36（5）：128-129.

[3] 熊俊. 基于WIFI 无线网络信息安全研究[J]. 信息通信，2015（9）：231-232.

[4] 马刚. 基于wifi的无线网络安全方案对比分析[J]. 硅谷，2015（4）：202，205.

[5] 熊俊. 基于WIFI无线网络信息安全研究[J]. 信息通信，2015（9）：231-332.

[6] 宫传盛. 浅谈无线网络的安全[J]. 科技信息，2013（3）：110.

[7] 胡啸. 校园无线网络安全策略研究[J]. 电脑编程技巧与维护，2014（8）：114-116.

[8] 储御芝，郑宝玉. 认知无线网络中基于最佳中继选择的协作传输策略[J]. 仪器仪表学报，2011，32（3）：520-526.

[9] 杨摇雄，朱宇光. 伪造接入点技术的智能手机拒绝服务攻防策略[J]. 计算机技术与发展，2013，23（10）：134-137，170.

[10] 张婧. wifi网络实名认证的方法研究和实现[J]. 计算机工程与科学，2012，34（10）：22-27.