王熙棠

摘要：该文以贺州学院WLAN网络为例，详细论述了智慧校园WLAN网络的安全性。随着无线技术的发展及校园移动终端数量的迅猛增长，无线校园网建设成为学院信息化发展的必然趋势。十三五规划开局之年，拉开了校园教育信息化建设的序幕，各大高校充分利用现有条件及成熟的技术，建设属于自己的高速、稳定、可靠、可运营、可管理的WLAN网络。WLAN网络安全性的缺陷，会对智慧校园的推广及应用带来诸多麻烦，因此，其安全问题也越来越受到重视。只有无线网络的安全得到了保障，WLAN网络才能更好地助力于智慧校园建设，才能更好地服务于师生。

关键词：WLAN网络；无感知认证；安全性

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2018）03-0032-02

1 智慧校园WLAN网络的安全技术

WLAN网络虽然容易受到黑客攻击和窃听。但是，使用正确的安全措施，WLAN还是安全的。无线网络的安全性通过认证和加密来实现。认证允许只有被许可的用户才能连接到无线网络；而加密的目的是提供数据的保密性和完整性。WLAN安全性主要包括访问控制和加密两大部分，访问控制保证只有授权用户能访问敏感数据，加密保证只有正确的接收方才能读取数据。

1.1 IEEE 802.11i无线安全协议

IEEE 802.11i是802.11工作组为新一代WLAN制定的安全标准，于2014年制定修正完成，802.11安全加密功能脆弱的问题得以解决。主要加密技术包括：TKIP、AES以及认证协议IEEE802.1x。认证方面，IEEE 802.11i基于802.1x接入控制实现WLAN网络的秘钥管理和认证，创建、更新加密秘钥皆在EAP-Key的四向握手过程和组密钥握手过程中完成。

1.2 802.1x验证

802.1x协议规定要实现信息交互的前提条件就是完成认证，在验证之前，AC和移动终端只能通过EAP帧交换认证信息。当前市场上大部分移动终端都支持基于802.1x的EAP验证，用户输入自己的账号密码就可以自动完成认证，这种方式称为EAP-PEAP，即Protected-EAP（受保护的可扩展的身份验证协议）。PEAP被定义为框架协议，由微软提出的PEAP-MSCHAPV2协议得到业界认可并广为使用，即我们在iphone终端上看到的WPA/WPA2企业级认证方式。

PEAP是可扩展的身份认证协议，认证过程包括两个阶段，第一阶段Radius服务器与终端之间建立TLS隧道，TLS隧道对第二阶段用户信息的交互起到保护作用；第二阶段完成用户身份的认证及认证方式的协商。常见的PAEP认证方式有两种：PEAP-MSCHAPV2、PEAP-GTC。从技术层面而言，PEAP-MSCHAPV2技术将用户的认证信息在PEAP保护下传输，黑客无法解密和窃取用户密码，市场上大部分的移动终端都支持该无线认证协议，因此PEAP-MSCHAPV2认证方式成为绝大多数无线项目中安全验证方式的首要选择。

2 智慧校园WLAN无感知认证方式

校园基础网络配置部署完成后，就可以在AC控制器上配置802.1x认证，无线部署模式采用集中转发模式，用户网关位于核心交换机，无线控制器做二层，无线WEB认证由N18K承担，无线802.1x认证由无线控制器承担。学校师生就可实现无感知认证上网。

2.1 基础配置

auth-mode gateway //开启N18K网关认证模式

snmp-server if-index persist //开启配置接口索引唯一性

aaa authorization ip-auth-mode mixed //开启 AAAIP授权

snmp-server host 10.0.2.1 traps version 2c hzxy123 //配置SNMP团体字及SNMPTrap

snmp-server host 10.0.1.1 informs version 2c hzxy123 web-auth

snmp-server host 10.0.1.2 informs version 2c hzxy123 web-auth

snmp-server enable traps

snmp-server community hzxy123 rw

aaa new-model //开啟AAA与记账更新

aaa accounting update //认证与记账方法列表

aaa accounting network default start-stop group radius

no aaa log enable

2.2 有线802.1x认证设备配置

aaa authentication dot1x default group radius //认证与记账方法列表

ip radius source-interface Loopback 0 //Radius服务器配置

radius-server host 10.0.2.1 key hzxy123

radius-server key hzxy123

其他802.1x认证选项

dot1x eapol-tag

dot1x valid-ip-acct enable

开启802.1x认证跳转，使未认证的用户跳转到客户端下载页面

dot1x redirect

web-auth template eportalv1

ip 10.0.1.2

url http：//10.0.1.2：9000

接口配置

interface GigabitEthernet 1/1

dot1x port-control auto

web-auth enable eportalv1

2.3 无线Web认证

aaa authentication web-auth default group radius //配置Web认证方法列表

web-auth template eportalv2 //配置二代Web认证模板

ip 10.0.1.1

url http：//10.0.1.1：8080/zportal/login

authentication default

accounting default

web-auth portal key hzxy123 //配置Web认证Key

interface AggregatePort 255 //接口启用web认证

web-auth enable eportalv2 //接口使能

web-auth apply-mapping ssid //调用vlan-ssid映射列表

2.4 无线802.1x认证配置

aaa new-model //无线802.1x认证需要在无线控制器上开启。

aaa accounting update //认证方法配置，记账方法配置

aaa accounting network default start-stop group radius

aaa authentication dot1x default group radius

no aaa log enable

ip radius source-interface Loopback 0 //radius服务器配置，认证接口配置

no radius-server account update retransmit

radius-server host 10.0.2.1 key 7 0819351b173325401a5c77

radius-server key 7 131f0844083532797c5413

dot1x eapol-tag //其他认证选项

dot1x redirect

dot1x valid-ip-acct enable

wlansec 34 //在针对特定的wlan-config开启802.1x认证

security rsn enable

security rsn ciphers aes enable

security rsnakm 802.1x enable

基于802.1x无感知认证既给我们提供了无线网络的快速接入又保障了网络的安全。师生根据自己的账号密码完成首次认证信息配置，在后续使用过程中，只要师生在校园WLAN信号覆盖范围内，都可自动完成身份认证，提高了师生WLAN网络的体验，得到诸多好评。

3 存在问题

虽然目前校园WLAN网络采用了当前主流的WPA-PSK/WPA2-PSK加密方式，TKIP与AES子算法由于自身问题，WPA加密方式还是会面临被破解的危险，也无法完全保障WLAN网络的安全。

目前校园WLAN网络还存在以下几个问题：

1） 尽可能缩短对AP站点审查的周期。和有线网络一样，WLAN网络也应在安全管理方面严格要求。

2） 师生上网账号存在较多借用、共用现象，因此必须加强师生对账号安全的认识，一旦合法账号外泄到非法用户手上并通过安全认证，这无疑会对校园WLAN网络产生巨大的威胁。

3） 尽快部署WLAN入侵防御系统：一套轻部署、强安全、易管理的新一代WLAN网络安全防御系统，是校园网络安全不可缺少的部分。同时，它还能提供快捷、直观、全面的管理方式，在2.4GHz、5.8GHz两种频段的多个频道上，同时监听并阻止多种无线安全威胁事件发生，协助校园网络管理员更好地了解WLAN网络的状况。

4） 尽快实施上网实名验证制度和建立完善的安全管理制度并分发至师生。当您需要在热点区域使用无线网络时，您需要能够您所在网络的安全程度，如果認定网络不够安全，那么请尽量不要在此网络中提交或透露敏感信息，并尽量缩短在线的时间。

4 结束语

教育产业的信息化是国家信息化发展的重要价值体现，当今互联网时代，大数据学习分析、教育云、移动教育等应用是大势所趋。敏捷Wi-Fi解决方案将带来快速搭建、低故障率、无覆盖盲区的智慧校园，随着无线局域网应用领域的不断拓展，安全问题越来越受到重视。只有加强人为安全方面的控制技术的改进，才可更好增强WIFI安全性。

参考文献：

[1] 薛明，张载龙，孙雁飞.基于WLAN的无线校园网及其安全问题研究[J].江苏通信，2009，25（02）：46-49.

[2] 徐明明，唐震洲.基于802.11n标准的校园无线网的规划与设计[J].电子设计工程，2011，19（11）：31-33+36.

[3] 唐旭，陈蓓.基于WLAN的网络安全技术在校园网中的应用研究[J].中国职业技术教育，2013（17）：80-82.

[4] 章玮.无线校园网的安全架构研究与设计[D].云南大学，2014.

[5] 成铖.基于校园WLAN的无线局域网安全防范技术研究[J].电信工程技术与标准化，2014，27（12）：28-31.