智慧校園WLAN網絡的安全性研究

王熙棠

摘要：該文以賀州學院WLAN網絡為例，詳細論述了智慧校園WLAN網絡的安全性。隨著無線技術的發展及校園移動終端數量的迅猛增長，無線校園網建設成為學院信息化發展的必然趨勢。十三五規劃開局之年，拉開了校園教育信息化建設的序幕，各大高校充分利用現有條件及成熟的技術，建設屬于自己的高速、穩定、可靠、可運營、可管理的WLAN網絡。WLAN網絡安全性的缺陷，會對智慧校園的推廣及應用帶來諸多麻煩，因此，其安全問題也越來越受到重視。只有無線網絡的安全得到了保障，WLAN網絡才能更好地助力于智慧校園建設，才能更好地服務于師生。

關鍵詞：WLAN網絡；無感知認證；安全性

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2018）03-0032-02

1 智慧校園WLAN網絡的安全技術

WLAN網絡雖然容易受到黑客攻擊和竊聽。但是，使用正確的安全措施，WLAN還是安全的。無線網絡的安全性通過認證和加密來實現。認證允許只有被許可的用戶才能連接到無線網絡；而加密的目的是提供數據的保密性和完整性。WLAN安全性主要包括訪問控制和加密兩大部分，訪問控制保證只有授權用戶能訪問敏感數據，加密保證只有正確的接收方才能讀取數據。

1.1 IEEE 802.11i無線安全協議

IEEE 802.11i是802.11工作組為新一代WLAN制定的安全標準，于2014年制定修正完成，802.11安全加密功能脆弱的問題得以解決。主要加密技術包括：TKIP、AES以及認證協議IEEE802.1x。認證方面，IEEE 802.11i基于802.1x接入控制實現WLAN網絡的秘鑰管理和認證，創建、更新加密秘鑰皆在EAP-Key的四向握手過程和組密鑰握手過程中完成。

1.2 802.1x驗證

802.1x協議規定要實現信息交互的前提條件就是完成認證，在驗證之前，AC和移動終端只能通過EAP幀交換認證信息。當前市場上大部分移動終端都支持基于802.1x的EAP驗證，用戶輸入自己的賬號密碼就可以自動完成認證，這種方式稱為EAP-PEAP，即Protected-EAP（受保護的可擴展的身份驗證協議）。PEAP被定義為框架協議，由微軟提出的PEAP-MSCHAPV2協議得到業界認可并廣為使用，即我們在iphone終端上看到的WPA/WPA2企業級認證方式。

PEAP是可擴展的身份認證協議，認證過程包括兩個階段，第一階段Radius服務器與終端之間建立TLS隧道，TLS隧道對第二階段用戶信息的交互起到保護作用；第二階段完成用戶身份的認證及認證方式的協商。常見的PAEP認證方式有兩種：PEAP-MSCHAPV2、PEAP-GTC。從技術層面而言，PEAP-MSCHAPV2技術將用戶的認證信息在PEAP保護下傳輸，黑客無法解密和竊取用戶密碼，市場上大部分的移動終端都支持該無線認證協議，因此PEAP-MSCHAPV2認證方式成為絕大多數無線項目中安全驗證方式的首要選擇。

2 智慧校園WLAN無感知認證方式

校園基礎網絡配置部署完成后，就可以在AC控制器上配置802.1x認證，無線部署模式采用集中轉發模式，用戶網關位于核心交換機，無線控制器做二層，無線WEB認證由N18K承擔，無線802.1x認證由無線控制器承擔。學校師生就可實現無感知認證上網。

2.1 基礎配置

auth-mode gateway //開啟N18K網關認證模式

snmp-server if-index persist //開啟配置接口索引唯一性

aaa authorization ip-auth-mode mixed //開啟 AAAIP授權

snmp-server host 10.0.2.1 traps version 2c hzxy123 //配置SNMP團體字及SNMPTrap

snmp-server host 10.0.1.1 informs version 2c hzxy123 web-auth

snmp-server host 10.0.1.2 informs version 2c hzxy123 web-auth

snmp-server enable traps

snmp-server community hzxy123 rw

aaa new-model //開啟AAA與記賬更新

aaa accounting update //認證與記賬方法列表

aaa accounting network default start-stop group radius

no aaa log enable

2.2 有線802.1x認證設備配置

aaa authentication dot1x default group radius //認證與記賬方法列表

ip radius source-interface Loopback 0 //Radius服務器配置

radius-server host 10.0.2.1 key hzxy123

radius-server key hzxy123

其他802.1x認證選項

dot1x eapol-tag

dot1x valid-ip-acct enable

開啟802.1x認證跳轉，使未認證的用戶跳轉到客戶端下載頁面

dot1x redirect

web-auth template eportalv1

ip 10.0.1.2

url http：//10.0.1.2：9000

接口配置

interface GigabitEthernet 1/1

dot1x port-control auto

web-auth enable eportalv1

2.3 無線Web認證

aaa authentication web-auth default group radius //配置Web認證方法列表

web-auth template eportalv2 //配置二代Web認證模板

ip 10.0.1.1

url http：//10.0.1.1：8080/zportal/login

authentication default

accounting default

web-auth portal key hzxy123 //配置Web認證Key

interface AggregatePort 255 //接口啟用web認證

web-auth enable eportalv2 //接口使能

web-auth apply-mapping ssid //調用vlan-ssid映射列表

2.4 無線802.1x認證配置

aaa new-model //無線802.1x認證需要在無線控制器上開啟。

aaa accounting update //認證方法配置，記賬方法配置

aaa accounting network default start-stop group radius

aaa authentication dot1x default group radius

no aaa log enable

ip radius source-interface Loopback 0 //radius服務器配置，認證接口配置

no radius-server account update retransmit

radius-server host 10.0.2.1 key 7 0819351b173325401a5c77

radius-server key 7 131f0844083532797c5413

dot1x eapol-tag //其他認證選項

dot1x redirect

dot1x valid-ip-acct enable

wlansec 34 //在針對特定的wlan-config開啟802.1x認證

security rsn enable

security rsn ciphers aes enable

security rsnakm 802.1x enable

基于802.1x無感知認證既給我們提供了無線網絡的快速接入又保障了網絡的安全。師生根據自己的賬號密碼完成首次認證信息配置，在后續使用過程中，只要師生在校園WLAN信號覆蓋范圍內，都可自動完成身份認證，提高了師生WLAN網絡的體驗，得到諸多好評。

3 存在問題

雖然目前校園WLAN網絡采用了當前主流的WPA-PSK/WPA2-PSK加密方式，TKIP與AES子算法由于自身問題，WPA加密方式還是會面臨被破解的危險，也無法完全保障WLAN網絡的安全。

目前校園WLAN網絡還存在以下幾個問題：

1） 盡可能縮短對AP站點審查的周期。和有線網絡一樣，WLAN網絡也應在安全管理方面嚴格要求。

2） 師生上網賬號存在較多借用、共用現象，因此必須加強師生對賬號安全的認識，一旦合法賬號外泄到非法用戶手上并通過安全認證，這無疑會對校園WLAN網絡產生巨大的威脅。

3） 盡快部署WLAN入侵防御系統：一套輕部署、強安全、易管理的新一代WLAN網絡安全防御系統，是校園網絡安全不可缺少的部分。同時，它還能提供快捷、直觀、全面的管理方式，在2.4GHz、5.8GHz兩種頻段的多個頻道上，同時監聽并阻止多種無線安全威脅事件發生，協助校園網絡管理員更好地了解WLAN網絡的狀況。

4） 盡快實施上網實名驗證制度和建立完善的安全管理制度并分發至師生。當您需要在熱點區域使用無線網絡時，您需要能夠您所在網絡的安全程度，如果認定網絡不夠安全，那么請盡量不要在此網絡中提交或透露敏感信息，并盡量縮短在線的時間。

4 結束語

教育產業的信息化是國家信息化發展的重要價值體現，當今互聯網時代，大數據學習分析、教育云、移動教育等應用是大勢所趨。敏捷Wi-Fi解決方案將帶來快速搭建、低故障率、無覆蓋盲區的智慧校園，隨著無線局域網應用領域的不斷拓展，安全問題越來越受到重視。只有加強人為安全方面的控制技術的改進，才可更好增強WIFI安全性。

參考文獻：

[1] 薛明，張載龍，孫雁飛.基于WLAN的無線校園網及其安全問題研究[J].江蘇通信，2009，25（02）：46-49.

[2] 徐明明，唐震洲.基于802.11n標準的校園無線網的規劃與設計[J].電子設計工程，2011，19（11）：31-33+36.

[3] 唐旭，陳蓓.基于WLAN的網絡安全技術在校園網中的應用研究[J].中國職業技術教育，2013（17）：80-82.

[4] 章瑋.無線校園網的安全架構研究與設計[D].云南大學，2014.

[5] 成鋮.基于校園WLAN的無線局域網安全防范技術研究[J].電信工程技術與標準化，2014，27（12）：28-31.