赵一泽

摘要：在全球信息一体化浪潮的持续推动下，建设数字化校园热潮从未消退，目前，全国大部分高校的有线网络构建已基本完成，并在不断完善中。在校园网络基础的进一步拓展升级中，无线网络技术以其方便快捷优势，更受广大师生的青睐，从而成为人们翘首以盼的校园新宠。

关键词：无线网络；安全管理

一、引言

随着国内校园信息化建设的深入和发展，校园网已经成为校园信息化建设的基础。现今的校园网不仅应具有更高的带宽、更强大的性能以及保证校园网无中断运行的高可靠性，还必需能对不同数据流进行合理有效的管理，以便有效和充分的利用网络传输带宽。同时，伴随着校园网络应用的深入，现代校园网还必须要有一整套从用户接入控制、病毒报文识别到主动抑制的一系列安全控制手段，才能更有效地阻击病毒和黑客的攻击，有效的保证校园网稳定运行。为了应对网络规模日益扩大所带来的维护工作更加复杂的需要，现代校园网络还应具备更智能的网络管理解决方案，将网络管理人员从繁重的工作中解脱出来。因此，可以说今日的校园网建设有着比传统校园网建设更高的要求，采用整体的网络解决方案构建一个安全可靠、性能卓越、易于管理的校园网络也就成为必然。

二、校园无线网络的需求分析

校园网作为校园信息化建设的基础平台，从功能、性能、可靠性及安全性等，以及具体的应用和环境应当满足以下的需求：

（一）校園网络体系的安全需求

随着校园内各种管理和办公等应用在校园网络平台上运行，对校园网络的安全攻击事件也不停的出现。消除校园网络安全隐患，已成为校园网络设计必须要考虑的重点。在校园网络的出口布置防火墙设备，通过对核心层交换机采用交换网集群技术，支持多种主控备份方案，集群系统中只要保证任意一个主控板的正常运行，校园业务即可稳定运行；其次，汇聚层和接入层交换机分别通过集群+堆叠的无环网络方案保障网络可靠稳定运行。

（二）校园无线网络覆盖需求

校园无线网络的覆盖是校园信息化发展的一个必然趋势。校园无线网络的建设，需要在指定的楼宇内布置无线网络，根据严格无线信号、频率的规划和设计，保证学校的各个场景中都得到充分、稳定的无线信号。校内用户可以在校园内无线信号覆盖的范围内都能可以随时随地地接入无线网络。

（三）校园网络管理需求

校园网络体系中必须布置一个统一化、标准化的网络管理平台。对校园网络进行无差别的集中管理，实现对校园网络故障的快速定位，以及故障原因的精准分析。校园网络管理系统可以通过直观的数据和图形化的信息，分析校园网络体系，并且兼容大多数常用的网络设备，实现校园网络无缝化不间断的网络管理需求。

三、校园无线网络的应用优势

（一）以最小化成本实现网络接入最大化

相比起升级已有的有线网络，构架新的无线网络，无疑是最能够节省教育经费的。首先，无线网络的架构无疑是免去或减少了网络布线的工作量，在无线网络的架构中，一般只要安装一个或多个接入点AccessPoint（简称AP）设备，就可建立覆盖整个建筑或地区的局域网络。其次，无线组网则无需这种超前投资，也无须承担较大投资风险，只需按照当前需要进行即时建设，其建设后的扩建简易也十分方便。最后，无线网络提供多种架构组合方式，能够根据不同用户的不同需要，灵活选择，随意搭配。从只有区区几个用户的小型网络到动辄上千用户的大型网络的拓展升级，在无线网络架构范围内都是较为简易的事情。

（二）突破地点限制连接“信息孤岛”

信息孤岛亦称孤岛式信息系统或者烟囱式信息系统，指的是一种小能与其他相关信息系统之间进行互操作或者协调工作的信息问题。构建校园网，首要应解决的是重要信息中心之间的联网，一般在主要信息中心如图书馆中，采用的是光纤网络。而大学生活动中心，博物馆等人流较少的地方数据接通的线路也较少，因而变成了信息孤岛。构架无线网络，可以更加全而的覆盖整个校园所有建筑，甚至是较为偏僻的室外也能够顺畅的接入互联网，从而突破网络接入的地点限制。

（三）继承有线网络的便捷化管理

以无线接入的方式来访问校园网，在安全维护方而并不需要特别投资。并且在管理方而，则可以继续沿用有线网络的管理方式，即如设置防火墙，限定除指定IP段以外的用户访问，给小同的用户分配小同的使用权限。此外，构架无线网络，并不需要对已有的各类信息系统如教务管理系统，图书浏览系统等，进行扩充改造。但如有需要，甚至可以开发各类终端应用，如利用手机应用来实现点对点的教学管理。

四、校园无线网络的安全技术分析

（一）物理地址过滤

每个无线客户端网卡都由唯一的48位物理地址（MAC）标识，可在AP中手动设置一组允许访问的MAC地址列表，实现物理地址过滤。这种方法的效率会随着终端数口的增加而降低，而且非法用户通过网络侦听就可获得合法的MAC地址表，而MAC地址并不难修改，因而非法用户完全可以盗用合法用户的MAC地址来非法接入。因此MAC地址过滤并不是一种非常有效的身份认证技术。

（二）服务区标识符匹配

无线客户端必需与无线访问点AP设置的SSID相同，才能访问AP；如果设置的SSID与AP的SSID不同，那么AP将拒绝它通过接入上网。利用SSID设置，可以很好地进行用户群体分组，避免任意漫游带来的安全和访问性能的问题。可以通过设置隐藏接入点（AP）及SSID区域的划分和权限控制来达到保密的口的，因此可以认为SSID是一个简单的口令，通过提供口令认证机制，实现一定的安全。

（三）WEP 加密机制

IEEE 802.11-1999把WEP机制作为安全的核心内容，包括几个方面。一是身份认证：认证采用了Open System认证和共享密钥认证，前者无认证可言，后者容易造成密钥被窃取。二是完整性校验：校验采用了IC V域，发送端使用Checksum算法计算报文的ICV，附加在MSDU后，MSDU和IC V共同被加密保护。接收者解密报文后，将本地计算的CRC-32结果和IC V进行对比，如果不相等，则可以判定报文被篡改。三是数据加密：加密采用加密算法RC4，加密密钥长度有64位和128位两种，其中24Bit的IV是由WLAN系统自动产生的，需要在AP和STA上配置的密钥就只有40位或104位。

（四）WPA 加密机制

在IEEE 802.11i标准最终确定前，WPA标准是代替WEP的无线安全标准协议，为IEEE 802.11无线局域网提供更强大的安全性能，其内容包括：一是身份认证：在802.11中只是停留在概念的阶段，到了WPA中变得实用而又重要，它要求用户必须提供某种形式的凭据来证明它是合法的，并拥有对某些网络资源的使用权限，并且是强制性的。其中WPA的认证分为802.1x+EAP和WPA预共享密钥两种。二是完整性校验：为防比攻击者从中间截获数据报文、篡改后重發而设置的。为了保证数据在传输途中不会因为电磁干扰等物理因素导致报文出错，采用相对简单高效的CRC算法，但是攻击者可以通过修改ICV值来使之和被篡改过的报文相符合，可以说没有任何安全的功能。WPA除了和802.11一样继续保留对每个数据分段（MPDU）进行CRC校验外，WPA为802.11的每个数据分组（MSDU）都增加了一个8宇节的消息完整性校验值。而WPA中的MIC则是专门为了防止工具者的篡改而专门设定的，它采用Michael算法，安全性很高。当MIC发生错误的时候，数据很可能已经被篡改，系统很可能正在受到攻击。此时，WPA还会采取一系列的对策，比如立刻更换组密钥、暂停活动60秒等，来阻止攻击者的攻击。三是数据加密：WPA采用TKIP为加密引入了新的机制，它使用一种密钥构架和管理方法，通过由认证服务器动态生成分发的密钥来取代单个静态密钥、把密钥首部长度从24位增加到48位等方法增强安全性。同时，TKIP采用802.1x/EAP构架，认证服务器在接受了用户身份后，使用802.1x产生一个唯一的主密钥处理会话。

五、结语

随着无线网络应用领域的不断拓展，网络安全足够能引起大家的高度重视，WiFi技术作为无线局域网中的一员，其应用已经扩展到了生活工作的方方面面，木文分析了无线网络的安全问题，分析了所采用的安全技术，也给出了一些建议，随养用户对安全知识的了解及技术厂商对解决方案的不断探索，无线网络基木上具有全而的安全功能，如果能正确地加强个人安全方面的控制技术和安全理念，那么在无线网络的使用方面将实现全而畅游。

参考文献：

[1]董坤，王胜，黄存东，薄杨. 校园网无线网络部署方案的研究[J]. 成都工业学院学报，2013，04：32-33.

[2]肖弋. 校园无线网安全技术研究[J]. 计算机光盘软件与应用，2012，10：103-104.

[3]段红凯，孙明. 校园无线网络应用研究[J]. 软件导刊，2012，08：155-157.