職業院校無線網安全優化方案探究

趙云鶴

摘 要：隨著教育信息化的飛速發展，無線網絡逐漸進入各大院校，部分職業院校也開啟了智慧校園建設，無線網作為構建信息化校園的重要依托，其網絡安全性能與師生的網絡體驗感密切相關，如果網絡安全不能達標，會出現信息被盜取泄露甚至網絡癱瘓等問題，因此在組建無線局域網過程中，安全的優化是重點內容，本文結合無線網的安全優化要求，以及面臨的安全威脅，重點闡述了職業院校的無線網絡安全優化的方案，旨在通過設計方案實現無線網的安全運行，保障在校師生的網絡安全運行。

關鍵詞：無線網;安全;優化

無線局域網的信息傳輸媒介是電磁波，可在空中自由傳播，只要在傳輸范圍內，用戶的數據可以被人格接收裝置截取，可能會導致未經授權的用戶數據遭到威脅，它相比有線介質來說，更容易遭到干擾、竊取以及破壞。同時由于職業院校開設計算機以及通信等專業課程，這些學生對網絡的探索容易激發學生對無線網的好奇心，進而使校園無線網面臨更多的安全技術的考驗。下面將從安全的要求以及常見的安全威脅等方面闡述安全優化的方案。

一、安全優化的要求

對于職業院校這種大型網絡，無線網的安全管控優化方面應做到以下幾點：

（一）認證方式的多樣

隨著網絡的不斷發展，一切破解軟件，破解普通AP設置安全密碼非常簡單。所以連接到網絡的認證方式也需具備多重認證方案，比如用戶可以通過網頁認證信息獲取登錄方式，也可以通過微信或者短信認證實現網絡賬號的授權，保障網絡的安全運行。

（二）規范上網行為

無線網通過對用戶上網行徑管控，例如設置網絡訪問控制列表ACL，對上網人員進行訪問記錄登記，或者設置用戶上網時長上網次數等方案實現對用戶的網上行徑管控，營造健康安全的網絡氛圍。

（三）主動推送資源

借助無線上網管控系統需實現針對不同用戶，主動推送文字、圖片、視頻等信息，例如可以向學生推送一些有助于學習的課外輔導網站、視頻等，向老師推送學校通知、教學計劃，向來訪家長推薦學院信息等等，為終端接入用戶提供最好的上網體驗。

二、無線局域網安全威脅

（一）網絡竊聽

無線網通過射頻傳播，缺乏如有線網一樣的雙絞線保護，只要有無線信號的覆蓋就能接受該AP提供的網絡支持，因此很容易被他人檢測到信號，如不采用一定的安全措施很容易被他人利用或者攻擊，如果校園內師生數據被盜取或者被惡意破壞，會對整個無線網構成嚴重威脅。

（二）非法接入

如果搭建的無線網沒有設置用戶接入驗證，任何設備均可登錄，則會加重AP負擔，對有需求的用戶會造成困擾，因此只有設置一個合理且安全的認證體系，通過認證的授權用戶才能得到更好的網絡體驗。

（三）病毒攻擊

病毒攻擊的問題主要來自黑客帶來的威脅，一旦黑客通過AP獲得無線網的IP地址，向AP發起拒絕服務攻擊，這臺AP很容易癱瘓。這種攻擊方式不以獲取信息為目的，它的最終目標是終止服務器的服務，這種攻擊方式隱蔽性好，實現容易，防范困難，是黑客的終極攻擊方式，也是校園網的網絡安全防范的重點內容。

三、安全優化方案

IEEE802.11協議主要定義了服務集標識符（SSID）保護安全、物理地址（MAC）過濾控制安全、有線對等保密機制（WEP）安全等幾方面，但為了提高校園無線網的安全性，必須引入更安全的認證機制、加密機制以及控制機制，針對三種機制的優化方案如下：

（一）認證機制方案

為保護無線網的入口安全，必須采用有效的認證解決方案，保障授權用戶通過無線接入點訪問網絡資源。認證是驗證用戶身份與資格的過程，它采用多要素認證方式保障網絡的安全性。

IEEE802.11-1999標準定義了兩種認證機制，分別是開放系統認證和共享密鑰認證。開放系統認證不對用戶身份做任何驗證，僅需交換兩個認證幀[1]。而共享密鑰認證要求用戶設備必須支持有線等效加密，用戶的設備與AP必須配置靜態WEP密鑰，它的認證過程中，采用共享密鑰認證的無線接口之間需要交換質詢與響應消息，通信雙方共需要交換4個認證幀[2]。

MAC地址認證是一種基于端口和MAC地址對用戶的網絡訪問權限進行控制的認證方法，不需要安裝任何客戶軟件。IEEE802.1X認證是基于端口網絡接入控制的協議，定義了一種授權架構，端口可以是物理端口也可以是邏輯端口，主要由3部分組成：客戶端、認證者以及認證服務器。此外認證機制中還包含PSK認證以及Portal認證，PSK認證即為共享密鑰認證，它需要實現在無線客戶端和設備端配置相同的預共享密鑰，通過能否成功解密協商信息來確定本端配置的預共享密鑰是否和對端配置的預共享密鑰相同，從而完成服務端與客戶端的相互認證。Potral認證也稱作為Web認證或DHCP+Web認證，使用標準的網頁瀏覽器即可，不需要安裝特殊的客戶端軟件，主動認證方式下，用戶通過主動訪問位于Potral服務器上的認證界面，輸入賬號以及密碼，獲取賬號信息，強制認證方式下，輸入賬號密碼提交賬號信息，Potral服務器獲取用戶賬號信息，隨后服務器通過Potral協議完成與WLAN服務端的交互，完成認證。它的認證方式分為二層認證方式和三層認證方式，但是二層認證方式相比三層認證方式來說，不能進行MAC地址以及IP地址的綁定檢查，安全性相對較差，在職業院校這種用戶較多的環境中，不適宜應用二層認證。

（二）加密機制方案

無線網的用戶通過認證后，具有了訪問網絡的權限，網絡必須確保用戶的信息安全，主要采用的方法就是對數據信息報文進行加密，以此保障只有特定設備可以接收報文成功解密，本方案重點探討三種加密技術，分別是WEP加密、臨時密鑰完整性協議加密和計數器模式密碼塊鏈信息認證碼協議。

WEP是一種以RC4流加密為基礎的二層加密機制，它的3個目的是機密性、完整性和認證。臨時密鑰完整性協議加密簡稱TKIP加密，是由128位臨時密鑰、48位IV、源MAC地址以及目標MAC地址通過復雜的每包密鑰混合過程生成，這種密鑰混合過程有助于降低IV 碰撞攻擊與弱密鑰攻擊造成的危害[3]。計數器模式密碼塊鏈信息認證碼協議簡稱CCMP加密，它是以AES算法為基礎的，由于AES算法本身就是一種很難破解的方法，WLAN的安全程度大大提高，為實現強健的安全網絡提供了有力的保障。

（三）控制機制方案

端口訪問控制技術（802.1）是應用于無線局域網的一種增強網絡安全性的解決方案。當無線工作站STA與無線訪問點AP設備連接后，能否為AP設備提供服務取決于IEEE802.1X標準的認證結果。如果認證通過，則AP能夠為工作站打開邏輯端口，否則將不允許用戶上網。此種控制機制需要無線工作站安裝802.1X客戶端軟件，無線訪問點要嵌于802.1X認證代理，還可以作為RADUIS客戶端，將用戶認證信息發送給服務器，此種控制技術不僅提供了端口訪問控制能力，也提供了認證系統與計費功能，特別適合職業院校在校師生的無線網接入管理，能夠高效保障網絡的安全運行，并且能夠實現網絡的規范化管理。

經過對以上三種安全方案的探討，結合職業院校的常用組網方案，將安全優化方案定位：在網絡核心層采用有線無線一體化結構，在網絡中針對非法設備進行定位和告警，同時設置信道告警。研究有線無線一體化控制部署方案，在無線控制器中設置基于Portal的多種認證方式混合接入，升級支持WEP2以及DHCP ?Sever外掛等，在AC與AP之間采用CAPWAP隧道下行流量限速，支持AP身份認證。在POE設備中采用POE交換機端口隔離。在AP中設置動態密鑰下發功能，要支持智能帶寬限速。無線網絡力爭通過以上一些安全手段，保障網絡的暢通運行，實現網絡安全的最優化。

結束語

校園無線網的組建不僅是為在校師生提供網絡支撐，也是為了實現無線網絡的安全可控易管理，方便在校師生以及隨訪用戶有綠色、健康、暢通無憂的網絡體驗，所以對無線網的安全優化勢在必行， 通過認證機制、加密機制、控制機制三種優化方案基本能夠實現基礎的網絡安全優化，保障師生的切身利益。

參考文獻

[1] 崔子慧.校園無線網絡安全管理[J].信息與電腦（理論版），2019（3）：202-203.

[2] 張曉旭.校園無線網絡安全問題研究[J].信息與電腦（理論版） ，2018（9）：206-208.

[3] 周小新.論校園無線網絡安全存在的問題和對策[J].科技資訊，2017，15（25）：30，32.