構(gòu)建智慧校園WiFi無線網(wǎng)絡(luò)的安全方案

邵全義，趙書田

（鄭州財(cái)經(jīng)學(xué)院，河南 鄭州 450044）

構(gòu)建智慧校園WiFi無線網(wǎng)絡(luò)的安全方案

邵全義，趙書田＊

（鄭州財(cái)經(jīng)學(xué)院，河南 鄭州 450044）

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，以及廣大師生對(duì)無線網(wǎng)絡(luò)的需要，許多高校在著力建設(shè)智慧校園WiFi無線網(wǎng)絡(luò)，然后當(dāng)中的安全性問題不容忽視，因此，在構(gòu)建智慧校園無線網(wǎng)絡(luò)的時(shí)候就需要充分考慮其安全方案。文章通過對(duì)無線網(wǎng)絡(luò)的需求分析、設(shè)計(jì)的原則，設(shè)計(jì)分析來形成安全方案，同時(shí)對(duì)其安全方案進(jìn)行了測試和分析。

智慧校園；WiFi無線網(wǎng)絡(luò)；安全方案

隨著網(wǎng)絡(luò)安全技術(shù)與計(jì)算機(jī)信息技術(shù)的快速發(fā)展，人們每天上網(wǎng)的方式逐步從以固定寬帶為主轉(zhuǎn)向無線網(wǎng)絡(luò)通信為主，許多學(xué)校為了教學(xué)與管理的需要開展對(duì)校園無線網(wǎng)絡(luò)投入建設(shè)。伴隨著校園師生使用網(wǎng)絡(luò)的便利，網(wǎng)絡(luò)安全問題也隨著出現(xiàn)，因此，在構(gòu)建智慧校園的無線網(wǎng)絡(luò)時(shí)確保網(wǎng)絡(luò)的安全就非常重要。

1 智慧校園無線網(wǎng)絡(luò)的安全方案的需求分析

WiFi無線網(wǎng)絡(luò)采用的設(shè)備包括電腦適配器、接入點(diǎn)及無線網(wǎng)卡。隨著無線網(wǎng)絡(luò)的不斷普及，各大高校開始加大對(duì)智慧校園無線網(wǎng)絡(luò)的建設(shè)。然而，隨著智慧校園無線網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)安全問題也隨之凸現(xiàn)，因此，在對(duì)無線網(wǎng)絡(luò)設(shè)計(jì)時(shí)應(yīng)該充分考慮其安全方案的設(shè)計(jì)。

學(xué)校建設(shè)智慧校園無線網(wǎng)絡(luò)主要是為了提高校園內(nèi)無線網(wǎng)絡(luò)的覆蓋率，以幫助老師和同學(xué)能夠更好更便利的使用無線網(wǎng)絡(luò)開展工作與學(xué)習(xí)，教師能及時(shí)通過校園網(wǎng)絡(luò)進(jìn)行授課，學(xué)習(xí)也能通過無線校園網(wǎng)絡(luò)進(jìn)行學(xué)習(xí)和娛樂等。此外，智慧校園無線網(wǎng)絡(luò)的搭設(shè)還能夠有效解決校園內(nèi)有線網(wǎng)絡(luò)覆蓋盲點(diǎn)的問題，它能夠?qū)ΜF(xiàn)有的有線網(wǎng)絡(luò)進(jìn)行延伸，改善有線網(wǎng)絡(luò)的可擴(kuò)展性和可用性，可以滿足校園內(nèi)一些臨時(shí)性的活動(dòng)的上網(wǎng)需要，還可以為一些來校的外來人員提供無線網(wǎng)絡(luò)通信服務(wù)。當(dāng)然除了便利以外，人們對(duì)校園網(wǎng)絡(luò)最大的要求就安全，因此，在對(duì)搭設(shè)校園無線網(wǎng)絡(luò)的時(shí)候綜合考慮網(wǎng)絡(luò)的易用性、可拓展性和安全性的問題。

2 校園無線網(wǎng)絡(luò)設(shè)計(jì)的原則

智慧校園無線網(wǎng)絡(luò)的設(shè)計(jì)必須遵循一定的原則，具體如下：

2.1 經(jīng)濟(jì)性原則

智慧校園無線網(wǎng)絡(luò)的設(shè)計(jì)應(yīng)該首先遵循經(jīng)濟(jì)性原則，即是要求無線網(wǎng)絡(luò)的設(shè)計(jì)方案要使得用最低的成本來產(chǎn)生較高的效益（或者性能）。在對(duì)智慧校園無線網(wǎng)絡(luò)的建設(shè)上應(yīng)避免浪費(fèi)，盡量減少不必要的開支。同時(shí)，又要確保無線網(wǎng)絡(luò)的性能會(huì)發(fā)揮最大化的作用，滿足廣大師生的需要。

2.2 安全性原則

當(dāng)前無線局域網(wǎng)的安全性是最受人們?cè)嵅〉?，無線網(wǎng)絡(luò)由于不需要網(wǎng)線進(jìn)行連接，因此校內(nèi)無線網(wǎng)絡(luò)的安全問題中最主要的就是網(wǎng)絡(luò)接入的加密問題。校內(nèi)無線網(wǎng)絡(luò)的安全性原則要求無線網(wǎng)絡(luò)要保障接入用戶的安全要求，還要確保網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定，還要有足夠的帶寬滿足用戶的需要，盡量將產(chǎn)品與網(wǎng)絡(luò)安全技術(shù)相結(jié)合，避免受到攻擊。

2.3 移動(dòng)性原則

無線網(wǎng)絡(luò)的最大特點(diǎn)就是不用線纜連接，網(wǎng)絡(luò)可移動(dòng)。在對(duì)校內(nèi)無線網(wǎng)絡(luò)的設(shè)計(jì)與建設(shè)時(shí)在考慮移動(dòng)性原則方面，應(yīng)該充分考慮無線網(wǎng)絡(luò)在校園內(nèi)的覆蓋范圍，避免出現(xiàn)盲區(qū)，確保滿足接入用戶臨時(shí)連接使用的需要。

2.4 可擴(kuò)展性原則

智慧校園無線網(wǎng)絡(luò)的建設(shè)還要考慮到伴隨著信息技術(shù)的發(fā)展，無線網(wǎng)絡(luò)技術(shù)也會(huì)隨著發(fā)展，當(dāng)中的技術(shù)性更新快，此外，校園無線網(wǎng)絡(luò)可能還存在帶寬提速、范圍擴(kuò)充等方面的問題，因此，在無線網(wǎng)絡(luò)的設(shè)計(jì)和建設(shè)時(shí)就應(yīng)該考慮到固件產(chǎn)品的升級(jí)換代，網(wǎng)絡(luò)的擴(kuò)展性，新技術(shù)的引用等問題，做到能夠新舊替換時(shí)的適應(yīng)性問題，避免出現(xiàn)換一個(gè)部件其他部件也要跟著替換這種資源浪費(fèi)的現(xiàn)象，不要重復(fù)投資。

2.5 可抗壓原則

學(xué)生在校園內(nèi)的分布具有一定的特點(diǎn)，上課時(shí)間大部分同學(xué)在教學(xué)樓和實(shí)訓(xùn)樓周邊，而一到下課時(shí)間，特別是晚上同學(xué)們可能都集中在宿舍。這時(shí)候就需要設(shè)計(jì)人員根據(jù)學(xué)生流量的分布情況來設(shè)計(jì)網(wǎng)絡(luò)的有線點(diǎn)位數(shù)。在保證設(shè)備的有效利用的同時(shí)，充分考慮到網(wǎng)絡(luò)的穩(wěn)定性和抗壓能力，能在高負(fù)載的情況下避免丟包問題的出現(xiàn)。而對(duì)于類似于食堂這些流量相對(duì)不集中的地方，也需要在設(shè)計(jì)的時(shí)候給予充分考慮，實(shí)現(xiàn)校園無線網(wǎng)絡(luò)的覆蓋。

3 校園無線網(wǎng)絡(luò)的建設(shè)分析

3.1 架構(gòu)和核心配置的分析

在設(shè)計(jì)智慧校園無線網(wǎng)絡(luò)時(shí)要分析無線網(wǎng)絡(luò)的架構(gòu)問題和網(wǎng)絡(luò)的核心配置問題。通常搭建智慧校園無線網(wǎng)絡(luò)采用的是無線交換機(jī)加“瘦”AP的網(wǎng)絡(luò)連接方式，校園內(nèi)部安裝了通過有線連接的核心交換機(jī)以及二級(jí)交換機(jī)，二者能夠利用光纖進(jìn)行網(wǎng)絡(luò)連接，連接的速度高達(dá)千兆。這種系統(tǒng)性方案構(gòu)建的網(wǎng)絡(luò)能有效覆蓋校內(nèi)包括后勤、行政及教學(xué)等各個(gè)領(lǐng)域。智慧校園網(wǎng)絡(luò)可以采用網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)來構(gòu)建，由有線網(wǎng)絡(luò)+無線網(wǎng)絡(luò)連接所構(gòu)成。其中對(duì)于有線網(wǎng)絡(luò)部分是利用雙路由器的出口來實(shí)現(xiàn)，其核心是由5臺(tái)三層形式的交換機(jī)串聯(lián)相關(guān)的認(rèn)證服務(wù)器，這樣校園內(nèi)的人就可以通過認(rèn)證服務(wù)器成果訪問外部網(wǎng)絡(luò)。

值得注意的是，在智慧校園無線網(wǎng)絡(luò)的建設(shè)中還要確定好無線控制器的安放位置，通常是根據(jù)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)來確定的。無線控制機(jī)位置確定好之后還需要確定好核心交換機(jī)下設(shè)的相關(guān)無線設(shè)備的安放。

3.2 防火墻建設(shè)的分析

防火墻可以有效防止黑客攻擊，為智慧校園無線網(wǎng)絡(luò)創(chuàng)造安全的環(huán)境。三層交換機(jī)還需要連接防火墻來預(yù)防黑客對(duì)智慧校園無線網(wǎng)絡(luò)的惡意攻擊，同時(shí)還可以限制部分內(nèi)部人員對(duì)交換機(jī)的訪問。防火墻還連接著二層交換機(jī)，二層交換機(jī)通過光跳線分別連接到數(shù)據(jù)庫和無線交換機(jī)。此外，相連接的兩臺(tái)計(jì)算機(jī)還需要成功配置IP地址并相互通信，這種帶有私網(wǎng)性質(zhì)的IP地址是也能在一定程度上起到攔截外網(wǎng)計(jì)算機(jī)對(duì)服務(wù)器的惡意攻擊。數(shù)據(jù)服務(wù)器上還需要安裝無線網(wǎng)絡(luò)控制軟件，這樣才能實(shí)現(xiàn)交換機(jī)與數(shù)據(jù)服務(wù)器之間的有效數(shù)據(jù)傳遞和通信，同時(shí)便于管理人員隨時(shí)有效監(jiān)控智慧校園無線網(wǎng)絡(luò)。此外，還可以在三層交換機(jī)上進(jìn)行虛擬局域網(wǎng)（即VLAN）的配置，再把校園局域網(wǎng)中的設(shè)備分成單個(gè)網(wǎng)橋，繼而確保虛擬工作的數(shù)據(jù)交換技術(shù)的實(shí)現(xiàn)，這樣就可以實(shí)現(xiàn)對(duì)無線控制器及其他相關(guān)設(shè)備的有效保護(hù)了。

3.3 加密技術(shù)和認(rèn)證技術(shù)的建設(shè)分析

在對(duì)智慧校園無線網(wǎng)絡(luò)進(jìn)行加密時(shí)，可以采用WEP，TKIP和CCMP的加密機(jī)制，其中WEP是最主要的加密方案，也被稱之為第一安全協(xié)議，它采用的是靜態(tài)40位的密鑰，屬于RC4的加密算法。通過WEP加密機(jī)制下，需要AP密鑰和用戶的加密密鑰相關(guān)才能獲得網(wǎng)絡(luò)接入許可，這樣可以防止一些非法訪問，然后，該加密機(jī)制容易破解，安全性能比較差。TKIP機(jī)密機(jī)制采用的是動(dòng)態(tài)128位的密鑰，IV是48位，也是RC4的加密算法。TKIP加密機(jī)制能夠保證網(wǎng)絡(luò)的安全性隨著軟件的升級(jí)能到提升，適應(yīng)能力強(qiáng)，但是其安全性能同樣相對(duì)較差，容易被破解。CCMP加密機(jī)制則采用的是動(dòng)態(tài)128位的密鑰，IV為48位，它屬于AE5算法，這種機(jī)密機(jī)制的安全性能極高，不易破解，但是其對(duì)硬件的要求非常高，不容易實(shí)現(xiàn)，其應(yīng)用過程也就受到了一定的限制。

4 智慧校園無線網(wǎng)絡(luò)的安全方案的測試與分析

智慧校園無線網(wǎng)絡(luò)在建成之后，學(xué)校還要對(duì)網(wǎng)絡(luò)進(jìn)行整體監(jiān)控，確保在發(fā)生網(wǎng)絡(luò)故障時(shí)能夠及時(shí)調(diào)整并進(jìn)行處理。這就需要做到安全測試和安全方案分析的工作。

4.1 智慧校園無線網(wǎng)絡(luò)的安全方案測試

在對(duì)智慧校園無線網(wǎng)絡(luò)進(jìn)行測試時(shí)，首先要測試的無線網(wǎng)絡(luò)的硬件環(huán)境，包括一臺(tái)服務(wù)器、一臺(tái)無線交換機(jī)、兩臺(tái)筆記本和4個(gè)無線接入點(diǎn)。其次，是對(duì)無線網(wǎng)絡(luò)的軟件環(huán)境進(jìn)行測試，主要包括服務(wù)器的操作系以及筆記本的操作系統(tǒng)。第三，最為主要的是測試是對(duì)無線網(wǎng)絡(luò)的性能進(jìn)行測試，性能的檢測主要是看看無線網(wǎng)絡(luò)是否支持WEB認(rèn)證以及多種SSID不同形式的驗(yàn)證。測試的環(huán)境是無線AP鏈接與二層交換機(jī)相連，再通過三層交換機(jī)與校園網(wǎng)相連，同時(shí)認(rèn)證服務(wù)器也與其直接相同。值得注意的是，在整個(gè)測試過程中還需要把控好帶寬的控制。

4.2 智慧校園無線網(wǎng)絡(luò)的安全方案分析

智慧校園無線網(wǎng)絡(luò)的安全方案可以通過加密技術(shù)、認(rèn)證技術(shù)和安全機(jī)制3個(gè)方面來共同實(shí)現(xiàn)。

（1）加密技術(shù)。智慧校園無線網(wǎng)絡(luò)的加密技術(shù)可以采用WEP，WAP，WAP2以及WEP2等來實(shí)現(xiàn)，也可以利用DES和3DES算法或者通過VPN來保障網(wǎng)絡(luò)的安全。

（2）認(rèn)證技術(shù)。IEEE802.1X認(rèn)證技術(shù)是比較好的認(rèn)證技術(shù)，它可以有效防止非法用戶對(duì)網(wǎng)絡(luò)進(jìn)行訪問，是目前使用較為廣泛的一種認(rèn)證技術(shù).

（3）安全機(jī)制。智慧校園無線網(wǎng)絡(luò)一般采用MAC地址過來、服務(wù)器標(biāo)識(shí)符（即SSID）和有線等效保密算法3種安全機(jī)制。而最為常見的就是采用SSID的安全機(jī)制。

5 結(jié)語

智慧校園無線網(wǎng)絡(luò)的建設(shè)要實(shí)現(xiàn)其性能的良好發(fā)揮，就需要對(duì)其安全性進(jìn)行建設(shè)，主要可以從加密技術(shù)、認(rèn)證技術(shù)和安全機(jī)制3個(gè)方面來實(shí)現(xiàn)。

[1]崔小冬.基于WiFi的無線校園網(wǎng)建設(shè)研究[D].南京：南京理工大學(xué)，2010

[2]劉友武，肖煒．基于校園WiFi無線網(wǎng)絡(luò)的安全方案分析[J].蚌埠學(xué)院學(xué)報(bào)，2016（3）：17-20.

Security scheme for building smart campus WiFi wireless network

Shao Quanyi, Zhao Shutian*（Zhengzhou Institute of Finance and Economics, Zhengzhou 450044, China）

With the development of network technology of wireless network and the need from majority of teachers and students, many colleges and universities are in efforts to the construction of smart campus WiFi wireless network, and then the security problem can not be ignored. Therefore, it is necessary to fully consider the security scheme when constructing the smart campus wireless network. Based on the analysis of the demand for wireless networks and the design principle, the security scheme is tested and analyzed in this paper.

intelligent campus; WiFi wireless network; security scheme

邵全義（1982— ），男，河南柘城，碩士；研究方向：計(jì)算機(jī)技術(shù)。

＊通信作者：趙書田（1979— ），男，河南泌陽，碩士，講師；研究方向：云計(jì)算，虛擬化技術(shù)。