2024年3月11日发(作者:)
公共图书馆无线WiFi
安全认证探析
蔡珩
贵州省图书馆贵州贵阳550001
放式,允许在W 范围内的设备连接
-
i一 {
到网络,所以存在着更多的网络安全
问题。据猎豹免费WiFi团队发布的
据2016年的《中国互联网络发展
《中国公共WiFi热点安全报止》指出, 据抽样调查8万个公共WiFi获
状况统计报止》显示, “截至2016年
全国近21%的公共WiFi热点存在安全 知,其中有21%存在各种风险,如
6月,中国网民规模达7.1亿”, “其
隐患,El3 ̄3『发的网银被盗、个人信息 受到ARP攻击、存在虚假WiFi和
中手机网民规模达到6,[56亿,手机上 泄露、网络诈骗等案例已成爆发性上涨 加密方式不安全的WiFi等,如表1
网的网民比例为92.5%,手机在上网 趋势 。因此如果发现一个公共WiFi 所示。
设备中占据主导地位”[11。根据数据显 热点,并且无加密,那么只要在WiFi 2.1.1内网监听攻击
示,随着智能手机的普及,越来越多
覆盖的范围内,任何人都可以通过工具 随着计算机技术的发展,网络成
的上网用户更愿意使用手机享受网络
侦听到各种数据,包括账号、密码和个 为人们生活中不可或缺的一部分,而
的便利,手机上网的使用无形中推动 人信息。 随之而来的黑客入侵也一直威胁着网
了无线网络的发展,公共WiFi也成为
、一 一一 .
络的安全。对于使用同一公共WiFi中
了各个公共服务行业不可或缺的服务
一
、 i ,
,
的设备,一旦有黑客进行主机监听,
方式之一。对公共图书馆而言,读者
所有的数据包,监听主机都能够接收,
服务永远是图书馆的重点,移动互联
公共图书馆来往读者众多,进出 由于早期网络通信协议都是在友好信
网时代的到来促使图书馆不断创新读
不受限制,所携带的设备类型也不受 任的基础上开发的,所以许多信息都
者服务方式,延伸读者服务内容,因
限制,从以下的现有公共免费W 的 是以明文发送的,导致黑客很容易从
此,很多图书馆在有线网络的基础上
安全运营问题来看,建设无线WiFi认 数据包中解析出重要的信息,使用户
扩展WiFi来进行日常业务的开展,甚
证系统迫在眉睫。 信息泄露。其监听模式见图1。
至很大一部分图书馆在新建覆盖场所
时,考虑传统网络建设成本高、使用
表1 W 安全风险抽样统计表
繁琐,也希望可以通过WiFi接入技术
实现他们的目的。但是由于W 是开
圈 瞳字与-髓__2016 4
堡呈 墅!
DI( I I'Al&MICR(}( ltAI }I H二IMA(:lN(;
营关链援
.
/
网络地址和内部网络地址对应关系:
息
(3)记录、跟踪网络运行状态,
监测、记录网络安全事件等安全审计
通过网页登陆控件登陆上网,无
侦听抒
功能 。
图1 网络监听示意图
需输入任何信息,但通过该页面与网
图书馆作为提供无线网络服务供
络运营商合作,可以获取到用户手机
2.1.2伪违咖攻击
读者使用的单位,也应根据《互联网 号码等信息。如数据贵阳D—GuiYang,
针对无加密的公共W ,用户信
安全保护技术措施规定》中的第三条 D—GuiYang是由贵阳市政府引导企业
息很容易被截获,但是针对加密且无
和第七条指出的“互联网服务提供者、
投资、市场化运作方式的全域公共免
法侦听的公共W ,黑客最长使用的
联网使用单位负责落实互联网安全保 费W 。其认证页面见图3。
就是“钓鱼”手段。黑客利用人们相
护技术措施” “记录并留存用户注册
1
信移动CMCC无线网络和中国电信
信息”等要求建设无线WiFi安全认证
ChinaNet无线网络安全的心理,制作
系统 。
一
个相似的假冒的公共W 热点,诱
骗用户使用这个WiFi热点,用户一旦
连入这个虚假的热点,其信息便会轻
而易举地被黑客盗取。
公的
共现
无状
线
W
为了图书馆用户安全、方便地使
用图书馆的无线W ,选择何种方式
认
十=量金叠^犬兰:炙叠搜协■矗'II代囊恒心足
■匝
公共图书馆作为公共事业单位,
证
的安全认证成为了认证系统首先需要
方
考量的一个因素,该系统既要保障用
式
赍M崔20t4年依法堪投十犬毫舅对外发布
矗阳托站量开阳●天开彳彳●,寸劫车■计3月矗
量甩市十个t亍n区全颤遗^。百亿元 乐■r
着眼■通啊日起7鲥量'2日■t亍童工曩培采
■圜
中国矗帕馥务一
会提供公共网络供读者使用,但由于
户安全,同时又能让图书馆用户感受
公共网络众多访客所接入的终端多种
到无障碍的服务。为此,以贵州省贵
量阳市人昆矗府馥务誓舞中心
( 兰
多样,终端的安全性也有高有低。如
阳市为例,笔者就公共无线W 常用
果被部分不良居心的人破解公共W
后进入内网,会对图书馆信息安全包
图3贵阳市公共W 认证示意图
的几种认证方式做了调查。
括IT设备造成影响。如果给访客单独
的物理网络,一旦访客在图书馆发表
。 。连接无线网络需要输入WPA2/PSK
通过输入手机号获取动态密码接入 密码验证,这是目前较为普遍的公共
Fi认证方式,但是该认证无法获取
非法言论,而产生一些非法事件,图
网络,但接入网络后数据传输没有加 Wi
书馆无法责任溯源、定位责任人,对
密,不适合进行支付类网上操作。如图 用户身份,仅仅是接入认证,非身份
图书馆的影响会非常负面。
2所示中国移动12580免费WiFi、阳 验证。
光无线。
4公共图书馆无线网络安全
认证的实现
《互联网安全保护技术措施规定》
第八条明确规定:提供互联网接入服务
的单位除落实本规定第七条规定的互联
网安全保护技术措施外,还应当落实具
有以下功能的安全保护技术措施:
(1)记录并留存用户注册信息:
作为一个开放式服务场所,公共图
书馆首先应保证公共无线网络具备一定
的安全性,应能保护合法用户身份信息
的安全、敏感个人信息的安全并防止黑
客的攻击等。同时对认证用户要区分权
(2)使用内部网络地址与互联网网
络地址转换方式为用户提供接入服务
的,能够记录并留存用户使用的互联网
限、控制管理。从目前安全认证技术来
图2中国移动、阳光无线免费
W 认证示意图
看,具体有下面几种类型。
4.1.1 MAC地址过滤
4.1.6 WAH(mNAuthentication and
证过程,用户体验效果好。微信认证
MAC地址是计算机的物理地址,
Priv ̄y In.frsstructure)
具有唯一性,通过MAC地址过滤功
议认证
具体过程如图4所示。
读者通过无线AP接入点找到无
WAPI是我国提出的无线安全协议
能,使得拥有允许访问的MAC地址计 标准,以此推进我国的自主核心技术 线网络通过微信认证管理系统向读
算机访问网络,达到设置访问控制权 和业界标准。系统中包含两个部分:
限的功能。
者发送认证密码进行网页访问。
通过这种方式的认证,在认证过
WAI鉴别及密钥管理和WPI数据传输
4.1.2有戏等效保密(WEP) 保护,相对于IEEE802 1X协议标;隹而
程中吸引更多的读者关注图书馆的公
无线网络是通过无线电波传播数
言,WAPI更为安全,但由于WiFi协议
众号,为公众号增加粉丝,作为读者
据的,有线等效保密(WEP)协议就
标;隹下的产品已主导市场,导致应用
资源储备。同时,所拉动的粉丝皆为
是通过对无线电波里的数据进行加密, WAPI安全协议标;隹的产品很少,所以 对图书馆服务感兴趣的高价值读者,
通过密钥的方式,验证网络用户的合 WAPI一直处于边缘化的状态。
法性,防止非法侵入和攻击。
、
在以后的业务定向推广中更加能够带
来直接的效果。
4.I.3 PP lE认证
一
/-f _
、‘
. ’ ’ : 、 .
微信认证对于申请的是服务号的
图书馆,AC可直接支持微信认证,对 目前流行的宽带接入方式ADSL就
使用了这种认证技术。PPPoE即为以
公共图书馆在基础安全技术认证
于申请的是订阅号的图书馆,AC必须
太网上的PPP(点到点连接协议),客
的基础上,还需要在网络应用层对用
使用微信结合短信认证,因为此时AC
户端发送报文给AC端,AC端发现客
户开展认证,公共图书馆无线上网用
无法获取到顾客的微信昵称,必须通
户端后,建立PPP通道,进行PPP会
户主要分本馆读者和外来访客两种用
过短信获取手机号来作为用户的身份
话协商,并通过认证服务器进行认证,
户,在无线覆盖环境中,由于用户流
认证信息。
动性强,如何有效地、方便地对无线
4.2.2读者证认证
同时可以控制用户流量和登录安全。
4.1.4 DHCPpW_EB认证
用户进行管理,体现无线的便捷性及
目前,大部分的图书馆都使用了
DHCP+WEB认证是一种基于
安全性,在网络应用层有以下安全认
图书馆业务系统,读者在流通图书时,
DHCP协议控制终端用户的IP地址分
证方式可供选择。
需办理读者卡进行图书的借还等功能,
该卡在办理的同时就已经登记记录了
2.1微信认证
配的一种认证方式。用户自行寻找
4.
DHCP服务器并输入认证信息,服务
据统计,目前微信用户已超过6亿,
读者的相关身份信息。
读者证的认证方式需要将本馆的
M通信工具。
器通过认证后,对合法用户分配IP地
成为最热门的手机移动f
址、网关等相关网络参数。
4.1.5 ⅢEE 802.1X协议认证四
无线微信认证是读者通过无线AP接入
无线认证系统与图书馆业务系统实现
点找到无线网络,用微信扫描图书馆
无缝式对接,系统数据库生成与该卡
IEEE802.1X标;隹是基于802 1 1协
的二维码,找到公众号,点击关注并
绑定的账户信息,读者到馆上网时无
议(无线局域网协议)而产生的。随着
申请上网,此时,AC认证管理系统向
需刷卡/登记,只需在浏览器弹出的认
无线网络的大范围使用,网络提供者
读者发送认证密码,即可完成身份认
证界面输入注册的读者证号及密码即
在提供无线网络的同时,需要对用户
进行身份认证以消除安全隐患,而
IEEE802.1X标;隹也就应运而生。这种
标准是基于端口接入的一种控制协议,
用户通过支持802.1X标;隹的终端设备
发出请求,由支持802.1X协议的网络
设备(如AP)进行认证,最终将用户
认证信息传递给认证服务器,完成整个
认证过程。目前大部分的W 都是基
于802.1X协议标;隹进行身份认证的。
AP无线接入 AP无线接入点 AP庀线接入点
图4无线微信认证拓扑图
函 数字与重髓咐_2016 4
DIG—ITA—L—&M—IC RO
GR
APHICIM AGING
篓
坠
鍪
墅
相关氆琶/……一 / ,
一
~一
可实现快速入网,方便快捷。其认证
方式,特别是对于办公区域面积比较
为贴近服务群体;针对老年读者,则
方式见图5。
大的图书馆,让访客只能在一个固定
尽量采用短信或读者卡的认证方式,
但是这种方式的前提是需要读者持
的地方且需要经过人工办理的方式获 更为方便、快捷。
有本馆的读者证,相对于目前图书馆提
取上网账号密码,既费时又占用人力,
倡的开放式服务方式有所背离,所以采 所以访客通过手机短信自助获取账号
5结论
取此类方式认证的图书馆,建议附加一
密码是比较简便快捷的。非本馆读者通
个非本馆读者认证的手机短信认证。
4.2.3手执短信认证
过手机短信向认证服务器发出申请,服 综上所述,公共图书馆作为一个
务器收到申请并认证后,将计算出一个 为普通大众的服务机构,每天都会有
无线上网用户应分成本馆读者、
动态口令,并将密码和手机号码发送给 大量的读者访客,且计算机熟练程度
非本馆读者用户两种,在无线覆盖环 短信网关,再由短信网关获取密码,发 参差不齐,无线网络安全认证要根据
境中,由于用户流动性强,如何有效
送短信密码动态口令发送给手机用户,
读者的需求来制定方案。通过对认证
的对外来访客进行管理,体现无线的
由后台服务器通过短信猫和短信通道
安全技术和网络应用层认证方式的分
析,笔者认为由于目前公共图书馆使
便捷性及安全性,成为重中之重。
对于外来访客,为了网络安全,
发送。其具体认证方式见图6。
由上而知,图书馆无线认证方式
用的网络设备大多数为适用于
lEEE802.1X协议标;隹的设备,因此图 接入馆内的无线网自然需要经过身份
的选择应该根据读者特性和年龄结构,
认证,以便监控与管理。为了提供给
选择多种认证方式相结合:针对青少
书馆的无线网络安全认证应该以
访客简单快捷地获取上网账号密码的
年读者,可采用微信认证的方式,更 IEEE802.1X安全技术为基础,针对本
馆读者的特点,再选择合适的无线网络
应用层认证方式,如微信+短信认证的
方式等,通过建设一个有效的安全认证
系统,利用网络VLAN划分、上网行为
管理等辅助管理系统,对接入图书馆内
的无线终端用户进行流量、时间控制和
内容发送地址的监控,防止终端用户长
时间占用互联网资源和发布非法信息
的发生,从而为读者提供一个快速、
安全的无线网络环境。啪
参考文献:
[1】CNNIC 2016年《第38次中国互联网络发展状况统计
图5读者证认证方式拓扑图
报告【Rl北京:中国互联网络信息中心,2016 http:Hmt so—
hu com/20160803/n462382712 shtml
【2】猎豹《中国公共WiFi热点安全报告》【R】北京:猎豹
移动公司,2016 http://www cnbeta com/artides/317117
htm
f3】公安部互联网安全保护技术措施规定[z】第八条北
京:中华人民共和国公安部令,2005—12—13
【4】公安部.互联网安全保护技术措施规定【Zl北京一中华人
民共和国公安部令,2005—12—13
f5l IEEE IEEE Std 802 1X-2001 [S】 network:IEEE
Standard for Local and metropolitan area networks Port
—
Based Nerwork Access Contro1.2001
I6】中国电子技术标;隹化研究所无线局域网国家标;隹
GB15629 1 102[S]北京.中国标准出版社,2003
【7l杨成卫WLAN安全认证技术综述【J】中国人民大学学
报2005(4)
(8】古海峰图书馆WIFl实名认证[J】电脑知识与技术,
2015(2).
【99】张媾WiFi网络实名认证的方法研究和实现【J]计算
机工程与科学,2012(10J
¨0】杨丰瑞,刘孟娟无线WIFj安全问题及对策研究[J】
图6短信认证拓扑图
现代商贸工业 2015(5)
2016 4啦字与翊墨目_ 固
发布评论