李　云　鄭東海

摘要：校園信息化的迅猛發(fā)展使得傳統(tǒng)的有線網(wǎng)絡(luò)無法滿足不斷增長的用戶需求，無線設(shè)備的普及也對網(wǎng)絡(luò)方式提出了進(jìn)一步的要求。本文主要闡述無線局域網(wǎng)在高校網(wǎng)絡(luò)建設(shè)及使用中的優(yōu)勢，然后結(jié)合校園網(wǎng)的具體情況提出了無線局域網(wǎng)的構(gòu)建方案，最后針對校園網(wǎng)絡(luò)存在安全問題提出有效的防范措施。

關(guān)鍵詞：WLAN 網(wǎng)絡(luò)安全 校園網(wǎng)

隨著醫(yī)學(xué)院校數(shù)字化校院建設(shè)的開展，校園內(nèi)網(wǎng)絡(luò)信息化的普及，原有網(wǎng)絡(luò)規(guī)模已不能滿足日益增長的網(wǎng)絡(luò)需求。無線網(wǎng)絡(luò)的發(fā)展為建設(shè)一個面向未來網(wǎng)絡(luò)化、信息化，具備多媒體綜合業(yè)務(wù)發(fā)展需求的高等院校提供了必要的網(wǎng)絡(luò)基礎(chǔ)。

一、校園架設(shè)無線局域網(wǎng)的優(yōu)勢分析

無線局域網(wǎng)（WLAN：Wireless local area network）是無線寬帶接入技術(shù)的一種，它是以無線信道來代替?zhèn)鹘y(tǒng)有線傳輸介質(zhì)構(gòu)成的局域網(wǎng)絡(luò)。相對于傳統(tǒng)的有線網(wǎng)絡(luò)而言，無線局域網(wǎng)有如下優(yōu)勢：

1、 充分利用學(xué)?，F(xiàn)有資源

當(dāng)前，教師利用多媒體進(jìn)行教學(xué)已經(jīng)司空見慣，有的高校已經(jīng)基本形成無紙化課堂。隨著無線技術(shù)迅速發(fā)展，學(xué)校難以避免的要實現(xiàn)無線局域網(wǎng)。無線局域網(wǎng)的架設(shè)，可以使用戶不再受線路的限制，并能使高速無線與各校已經(jīng)安裝的有線局域網(wǎng)集成起來，從而保護(hù)學(xué)校和教師已有的投資。

2、有利于擴(kuò)容重整

對于有線網(wǎng)絡(luò)來說，網(wǎng)絡(luò)拓?fù)涞母淖兺ǔＲ馕吨匦陆ňW(wǎng)。重新布線是一個非常昂貴、費時的過程，但是使用無線接入方式，既可用于物理布線困難的地方, 調(diào)試也相對簡單，又能節(jié)省大量的維護(hù)費用，是目前局域網(wǎng)用戶升級、改造現(xiàn)有網(wǎng)絡(luò)最佳的途徑。

3、充分覆蓋校園

合理地布置無線局域網(wǎng)接入點，可以使整個校園都有網(wǎng)絡(luò)，真正實現(xiàn)數(shù)字化校園的功能。而且由于沒有線纜的限制，學(xué)?？梢苑奖愕匕葱柙黾庸ぷ髡净蛑匦屡渲霉ぷ髡?。

4、易于管理

由于校園有線網(wǎng)絡(luò)已經(jīng)建成，統(tǒng)一的網(wǎng)絡(luò)管理已經(jīng)投入使用，因此對于增加的無線網(wǎng)絡(luò)，要求融入現(xiàn)有校園管理系統(tǒng)中，對無線網(wǎng)內(nèi)每一位用戶和每個無線接入點/網(wǎng)橋進(jìn)行統(tǒng)一管理。

二、無線局域網(wǎng)的構(gòu)建

醫(yī)學(xué)院校中的網(wǎng)絡(luò)用戶群主要由教師、科研人員及大量學(xué)生構(gòu)成。上述人群的工作、學(xué)習(xí)、活動的主要場所包括教室、辦公室、圖書館、機(jī)房、學(xué)生公寓、運動場等。根據(jù)醫(yī)學(xué)院校中的無線局域網(wǎng)設(shè)計原則，對各場所應(yīng)采用不同的設(shè)計方案：

(1)教室和圖書館是教師和學(xué)生的主要活動場所，最適宜采用無線局域網(wǎng)覆蓋方式。施工時可根據(jù)室內(nèi)面積及容量，確定AP的數(shù)目及位置。

(2)辦公室及科研實驗室都是相對獨立的空間，根據(jù)實際需要，可以在樓道中或每個房間內(nèi)設(shè)置一定數(shù)目的AP。特別是在會議室、報告廳內(nèi)，由于容量較大、用戶相對密集，可以采用蜂窩網(wǎng)絡(luò)結(jié)構(gòu)和微蜂窩網(wǎng)絡(luò)結(jié)構(gòu)來保證各區(qū)域完全得到網(wǎng)絡(luò)覆蓋。

(3)機(jī)房內(nèi)容量和布置相對固定，一般不會有太大變動，可以采用傳統(tǒng)的以太網(wǎng)。如有必要可以將無線局域網(wǎng)作為有線網(wǎng)絡(luò)的擴(kuò)展，以達(dá)到增加機(jī)房容量的效果。

(4)由于學(xué)生公寓內(nèi)房間數(shù)目較多、面積相對較小，不適宜在室內(nèi)布置AP，可以采用在公寓四周架設(shè)AP的方法。

(5)運動場等室外場所網(wǎng)絡(luò)用戶稀疏且地帶空曠，在布置無線局域網(wǎng)時主要應(yīng)考慮覆蓋面積的因素。為擴(kuò)大單個AP的覆蓋范圍，可以為每個AP安裝功率放大器以及大功率天線。

三、無線局域網(wǎng)安全問題

由于無線網(wǎng)絡(luò)容易受到非法用戶入侵和數(shù)據(jù)竊聽。據(jù)統(tǒng)計，在不愿意采用無線局域網(wǎng)技術(shù)的理由中，安全問題居第一位，達(dá)到了40%以上。所以無線局域網(wǎng)的安全問題成為制約其發(fā)展的主要原因，針對校園無線網(wǎng)我們可以使用支持IEEE802.1x認(rèn)證技術(shù)＋TKIP加密的WAP的無線AP作為無線網(wǎng)絡(luò)的安全核心，并通過后臺的Radius服務(wù)器進(jìn)行用戶身份驗證，有效地阻止未經(jīng)授權(quán)的用戶侵入。

1、 端口訪問控制技術(shù)（IEEE802.1X）

IEEE802.1X是基于端口的訪問控制協(xié)議，其體系結(jié)構(gòu)包括3個重要部分：客戶端、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器。當(dāng)合法用戶接入時，控制端口打開；當(dāng)非法用戶入侵或沒有用戶接入時，端口處于關(guān)閉狀態(tài)。IEEE802.1X的客戶端請求可以由外部的Radius服務(wù)器進(jìn)行認(rèn)證。其認(rèn)證過程如下：

如圖A，在WLAN中認(rèn)證系統(tǒng)就是無線接入點AP,認(rèn)證服務(wù)器確認(rèn)用戶身份后，打開控制端口AP允許該用戶接入訪問網(wǎng)絡(luò)。IEEE802.1x將遠(yuǎn)程認(rèn)證撥號用戶服務(wù)協(xié)議。

2、 Wi─Fi保護(hù)接入（WPA）

WPA包括暫時密鑰完整性協(xié)議(Temporal Key Integrity Protocol, TKIP)和802.1x 機(jī)制。TKIP與802.1x 一起為移動客戶機(jī)提供了動態(tài)密鑰加密和相互認(rèn)證功能。WPA通過定期為每臺客戶機(jī)生成唯一的加密密鑰來阻止黑客入侵。TKIP為WEP引入了新的算法,這些新算法包括擴(kuò)展的48位初始向量與相關(guān)的序列規(guī)則、數(shù)據(jù)包密鑰構(gòu)建、密鑰生成與分發(fā)功能和信息完整性碼 (也被稱為 “Michael”碼)。在應(yīng)用中,WPA可以與利用 802.1x 和EAP (一種驗證機(jī)制) 的認(rèn)證服務(wù)器(如遠(yuǎn)程認(rèn)證撥入用戶服務(wù))連接。這臺認(rèn)證服務(wù)器用于保存用戶證書。這種功能可以實現(xiàn)有效的認(rèn)證控制以及與已有信息系統(tǒng)的集成。由于WPA具有運行“預(yù)先共享的密鑰模式”的能力, SO-HO 環(huán)境中的 WPA 部署并不需要認(rèn)證服務(wù)器。與WEP類似,一部客戶機(jī)的預(yù)先共享的密鑰(常常被稱為“通行字”)必須與接入點中保存的預(yù)先共享的密鑰相匹配,接入點使用通行字進(jìn)行認(rèn)證,如果通行字相符合,客戶機(jī)被允許訪問接入點。

四、總結(jié)

無線局域網(wǎng)的發(fā)展為校園網(wǎng)的建設(shè)和升級換代帶來了新的選擇，把它引入到大學(xué)校園網(wǎng)中。它不僅僅是以前建設(shè)的有線校園網(wǎng)的距離上的延伸, 覆蓋面的提升，而且為教學(xué)方法的改進(jìn),學(xué)習(xí)方式的改變提供了廣闊的信息平臺。雖然WLAN在安全體系方面還存在不足之處，但我相信隨著無線技術(shù)的不斷完善，合理組合安全機(jī)制和有效的管理措施，我們將會享受到無線局域網(wǎng)帶來的安全、快捷。◆

參考文獻(xiàn)：

胡艷梅羊 牧，無線局域網(wǎng)在醫(yī)學(xué)院校數(shù)字化建設(shè)中的應(yīng)用，中國現(xiàn)代教育裝備，2007年第11期

王亞榮，安全技術(shù)在無線局域網(wǎng)中的應(yīng)用，計算機(jī)安全，2008.11