校園無線網絡安全管理的研究

趙一澤

摘要：在全球信息一體化浪潮的持續推動下，建設數字化校園熱潮從未消退，目前，全國大部分高校的有線網絡構建已基本完成，并在不斷完善中。在校園網絡基礎的進一步拓展升級中，無線網絡技術以其方便快捷優勢，更受廣大師生的青睞，從而成為人們翹首以盼的校園新寵。

關鍵詞：無線網絡；安全管理

一、引言

隨著國內校園信息化建設的深入和發展，校園網已經成為校園信息化建設的基礎。現今的校園網不僅應具有更高的帶寬、更強大的性能以及保證校園網無中斷運行的高可靠性，還必需能對不同數據流進行合理有效的管理，以便有效和充分的利用網絡傳輸帶寬。同時，伴隨著校園網絡應用的深入，現代校園網還必須要有一整套從用戶接入控制、病毒報文識別到主動抑制的一系列安全控制手段，才能更有效地阻擊病毒和黑客的攻擊，有效的保證校園網穩定運行。為了應對網絡規模日益擴大所帶來的維護工作更加復雜的需要，現代校園網絡還應具備更智能的網絡管理解決方案，將網絡管理人員從繁重的工作中解脫出來。因此，可以說今日的校園網建設有著比傳統校園網建設更高的要求，采用整體的網絡解決方案構建一個安全可靠、性能卓越、易于管理的校園網絡也就成為必然。

二、校園無線網絡的需求分析

校園網作為校園信息化建設的基礎平臺，從功能、性能、可靠性及安全性等，以及具體的應用和環境應當滿足以下的需求：

（一）校園網絡體系的安全需求

隨著校園內各種管理和辦公等應用在校園網絡平臺上運行，對校園網絡的安全攻擊事件也不停的出現。消除校園網絡安全隱患，已成為校園網絡設計必須要考慮的重點。在校園網絡的出口布置防火墻設備，通過對核心層交換機采用交換網集群技術，支持多種主控備份方案，集群系統中只要保證任意一個主控板的正常運行，校園業務即可穩定運行；其次，匯聚層和接入層交換機分別通過集群+堆疊的無環網絡方案保障網絡可靠穩定運行。

（二）校園無線網絡覆蓋需求

校園無線網絡的覆蓋是校園信息化發展的一個必然趨勢。校園無線網絡的建設，需要在指定的樓宇內布置無線網絡，根據嚴格無線信號、頻率的規劃和設計，保證學校的各個場景中都得到充分、穩定的無線信號。校內用戶可以在校園內無線信號覆蓋的范圍內都能可以隨時隨地地接入無線網絡。

（三）校園網絡管理需求

校園網絡體系中必須布置一個統一化、標準化的網絡管理平臺。對校園網絡進行無差別的集中管理，實現對校園網絡故障的快速定位，以及故障原因的精準分析。校園網絡管理系統可以通過直觀的數據和圖形化的信息，分析校園網絡體系，并且兼容大多數常用的網絡設備，實現校園網絡無縫化不間斷的網絡管理需求。

三、校園無線網絡的應用優勢

（一）以最小化成本實現網絡接入最大化

相比起升級已有的有線網絡，構架新的無線網絡，無疑是最能夠節省教育經費的。首先，無線網絡的架構無疑是免去或減少了網絡布線的工作量，在無線網絡的架構中，一般只要安裝一個或多個接入點AccessPoint（簡稱AP）設備，就可建立覆蓋整個建筑或地區的局域網絡。其次，無線組網則無需這種超前投資，也無須承擔較大投資風險，只需按照當前需要進行即時建設，其建設后的擴建簡易也十分方便。最后，無線網絡提供多種架構組合方式，能夠根據不同用戶的不同需要，靈活選擇，隨意搭配。從只有區區幾個用戶的小型網絡到動輒上千用戶的大型網絡的拓展升級，在無線網絡架構范圍內都是較為簡易的事情。

（二）突破地點限制連接“信息孤島”

信息孤島亦稱孤島式信息系統或者煙囪式信息系統，指的是一種小能與其他相關信息系統之間進行互操作或者協調工作的信息問題。構建校園網，首要應解決的是重要信息中心之間的聯網，一般在主要信息中心如圖書館中，采用的是光纖網絡。而大學生活動中心，博物館等人流較少的地方數據接通的線路也較少，因而變成了信息孤島。構架無線網絡，可以更加全而的覆蓋整個校園所有建筑，甚至是較為偏僻的室外也能夠順暢的接入互聯網，從而突破網絡接入的地點限制。

（三）繼承有線網絡的便捷化管理

以無線接入的方式來訪問校園網，在安全維護方而并不需要特別投資。并且在管理方而，則可以繼續沿用有線網絡的管理方式，即如設置防火墻，限定除指定IP段以外的用戶訪問，給小同的用戶分配小同的使用權限。此外，構架無線網絡，并不需要對已有的各類信息系統如教務管理系統，圖書瀏覽系統等，進行擴充改造。但如有需要，甚至可以開發各類終端應用，如利用手機應用來實現點對點的教學管理。

四、校園無線網絡的安全技術分析

（一）物理地址過濾

每個無線客戶端網卡都由唯一的48位物理地址（MAC）標識，可在AP中手動設置一組允許訪問的MAC地址列表，實現物理地址過濾。這種方法的效率會隨著終端數口的增加而降低，而且非法用戶通過網絡偵聽就可獲得合法的MAC地址表，而MAC地址并不難修改，因而非法用戶完全可以盜用合法用戶的MAC地址來非法接入。因此MAC地址過濾并不是一種非常有效的身份認證技術。

（二）服務區標識符匹配

無線客戶端必需與無線訪問點AP設置的SSID相同，才能訪問AP；如果設置的SSID與AP的SSID不同，那么AP將拒絕它通過接入上網。利用SSID設置，可以很好地進行用戶群體分組，避免任意漫游帶來的安全和訪問性能的問題。可以通過設置隱藏接入點（AP）及SSID區域的劃分和權限控制來達到保密的口的，因此可以認為SSID是一個簡單的口令，通過提供口令認證機制，實現一定的安全。

（三）WEP 加密機制

IEEE 802.11-1999把WEP機制作為安全的核心內容，包括幾個方面。一是身份認證：認證采用了Open System認證和共享密鑰認證，前者無認證可言，后者容易造成密鑰被竊取。二是完整性校驗：校驗采用了IC V域，發送端使用Checksum算法計算報文的ICV，附加在MSDU后，MSDU和IC V共同被加密保護。接收者解密報文后，將本地計算的CRC-32結果和IC V進行對比，如果不相等，則可以判定報文被篡改。三是數據加密：加密采用加密算法RC4，加密密鑰長度有64位和128位兩種，其中24Bit的IV是由WLAN系統自動產生的，需要在AP和STA上配置的密鑰就只有40位或104位。

（四）WPA 加密機制

在IEEE 802.11i標準最終確定前，WPA標準是代替WEP的無線安全標準協議，為IEEE 802.11無線局域網提供更強大的安全性能，其內容包括：一是身份認證：在802.11中只是停留在概念的階段，到了WPA中變得實用而又重要，它要求用戶必須提供某種形式的憑據來證明它是合法的，并擁有對某些網絡資源的使用權限，并且是強制性的。其中WPA的認證分為802.1x+EAP和WPA預共享密鑰兩種。二是完整性校驗：為防比攻擊者從中間截獲數據報文、篡改后重發而設置的。為了保證數據在傳輸途中不會因為電磁干擾等物理因素導致報文出錯，采用相對簡單高效的CRC算法，但是攻擊者可以通過修改ICV值來使之和被篡改過的報文相符合，可以說沒有任何安全的功能。WPA除了和802.11一樣繼續保留對每個數據分段（MPDU）進行CRC校驗外，WPA為802.11的每個數據分組（MSDU）都增加了一個8宇節的消息完整性校驗值。而WPA中的MIC則是專門為了防止工具者的篡改而專門設定的，它采用Michael算法，安全性很高。當MIC發生錯誤的時候，數據很可能已經被篡改，系統很可能正在受到攻擊。此時，WPA還會采取一系列的對策，比如立刻更換組密鑰、暫停活動60秒等，來阻止攻擊者的攻擊。三是數據加密：WPA采用TKIP為加密引入了新的機制，它使用一種密鑰構架和管理方法，通過由認證服務器動態生成分發的密鑰來取代單個靜態密鑰、把密鑰首部長度從24位增加到48位等方法增強安全性。同時，TKIP采用802.1x/EAP構架，認證服務器在接受了用戶身份后，使用802.1x產生一個唯一的主密鑰處理會話。

五、結語

隨著無線網絡應用領域的不斷拓展，網絡安全足夠能引起大家的高度重視，WiFi技術作為無線局域網中的一員，其應用已經擴展到了生活工作的方方面面，木文分析了無線網絡的安全問題，分析了所采用的安全技術，也給出了一些建議，隨養用戶對安全知識的了解及技術廠商對解決方案的不斷探索，無線網絡基木上具有全而的安全功能，如果能正確地加強個人安全方面的控制技術和安全理念，那么在無線網絡的使用方面將實現全而暢游。

參考文獻：

[1]董坤，王勝，黃存東，薄楊. 校園網無線網絡部署方案的研究[J]. 成都工業學院學報，2013，04：32-33.

[2]肖弋. 校園無線網安全技術研究[J]. 計算機光盤軟件與應用，2012，10：103-104.

[3]段紅凱，孫明. 校園無線網絡應用研究[J]. 軟件導刊，2012，08：155-157.