邵全義，趙書(shū)田

（鄭州財(cái)經(jīng)學(xué)院，河南 鄭州 450044）

構(gòu)建智慧校園WiFi無(wú)線網(wǎng)絡(luò)的安全方案

邵全義，趙書(shū)田＊

（鄭州財(cái)經(jīng)學(xué)院，河南 鄭州 450044）

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，以及廣大師生對(duì)無(wú)線網(wǎng)絡(luò)的需要，許多高校在著力建設(shè)智慧校園WiFi無(wú)線網(wǎng)絡(luò)，然后當(dāng)中的安全性問(wèn)題不容忽視，因此，在構(gòu)建智慧校園無(wú)線網(wǎng)絡(luò)的時(shí)候就需要充分考慮其安全方案。文章通過(guò)對(duì)無(wú)線網(wǎng)絡(luò)的需求分析、設(shè)計(jì)的原則，設(shè)計(jì)分析來(lái)形成安全方案，同時(shí)對(duì)其安全方案進(jìn)行了測(cè)試和分析。

智慧校園；WiFi無(wú)線網(wǎng)絡(luò)；安全方案

隨著網(wǎng)絡(luò)安全技術(shù)與計(jì)算機(jī)信息技術(shù)的快速發(fā)展，人們每天上網(wǎng)的方式逐步從以固定寬帶為主轉(zhuǎn)向無(wú)線網(wǎng)絡(luò)通信為主，許多學(xué)校為了教學(xué)與管理的需要開(kāi)展對(duì)校園無(wú)線網(wǎng)絡(luò)投入建設(shè)。伴隨著校園師生使用網(wǎng)絡(luò)的便利，網(wǎng)絡(luò)安全問(wèn)題也隨著出現(xiàn)，因此，在構(gòu)建智慧校園的無(wú)線網(wǎng)絡(luò)時(shí)確保網(wǎng)絡(luò)的安全就非常重要。

1 智慧校園無(wú)線網(wǎng)絡(luò)的安全方案的需求分析

WiFi無(wú)線網(wǎng)絡(luò)采用的設(shè)備包括電腦適配器、接入點(diǎn)及無(wú)線網(wǎng)卡。隨著無(wú)線網(wǎng)絡(luò)的不斷普及，各大高校開(kāi)始加大對(duì)智慧校園無(wú)線網(wǎng)絡(luò)的建設(shè)。然而，隨著智慧校園無(wú)線網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)安全問(wèn)題也隨之凸現(xiàn)，因此，在對(duì)無(wú)線網(wǎng)絡(luò)設(shè)計(jì)時(shí)應(yīng)該充分考慮其安全方案的設(shè)計(jì)。

學(xué)校建設(shè)智慧校園無(wú)線網(wǎng)絡(luò)主要是為了提高校園內(nèi)無(wú)線網(wǎng)絡(luò)的覆蓋率，以幫助老師和同學(xué)能夠更好更便利的使用無(wú)線網(wǎng)絡(luò)開(kāi)展工作與學(xué)習(xí)，教師能及時(shí)通過(guò)校園網(wǎng)絡(luò)進(jìn)行授課，學(xué)習(xí)也能通過(guò)無(wú)線校園網(wǎng)絡(luò)進(jìn)行學(xué)習(xí)和娛樂(lè)等。此外，智慧校園無(wú)線網(wǎng)絡(luò)的搭設(shè)還能夠有效解決校園內(nèi)有線網(wǎng)絡(luò)覆蓋盲點(diǎn)的問(wèn)題，它能夠?qū)ΜF(xiàn)有的有線網(wǎng)絡(luò)進(jìn)行延伸，改善有線網(wǎng)絡(luò)的可擴(kuò)展性和可用性，可以滿足校園內(nèi)一些臨時(shí)性的活動(dòng)的上網(wǎng)需要，還可以為一些來(lái)校的外來(lái)人員提供無(wú)線網(wǎng)絡(luò)通信服務(wù)。當(dāng)然除了便利以外，人們對(duì)校園網(wǎng)絡(luò)最大的要求就安全，因此，在對(duì)搭設(shè)校園無(wú)線網(wǎng)絡(luò)的時(shí)候綜合考慮網(wǎng)絡(luò)的易用性、可拓展性和安全性的問(wèn)題。

2 校園無(wú)線網(wǎng)絡(luò)設(shè)計(jì)的原則

智慧校園無(wú)線網(wǎng)絡(luò)的設(shè)計(jì)必須遵循一定的原則，具體如下：

2.1 經(jīng)濟(jì)性原則

智慧校園無(wú)線網(wǎng)絡(luò)的設(shè)計(jì)應(yīng)該首先遵循經(jīng)濟(jì)性原則，即是要求無(wú)線網(wǎng)絡(luò)的設(shè)計(jì)方案要使得用最低的成本來(lái)產(chǎn)生較高的效益（或者性能）。在對(duì)智慧校園無(wú)線網(wǎng)絡(luò)的建設(shè)上應(yīng)避免浪費(fèi)，盡量減少不必要的開(kāi)支。同時(shí)，又要確保無(wú)線網(wǎng)絡(luò)的性能會(huì)發(fā)揮最大化的作用，滿足廣大師生的需要。

2.2 安全性原則

當(dāng)前無(wú)線局域網(wǎng)的安全性是最受人們?cè)嵅〉?，無(wú)線網(wǎng)絡(luò)由于不需要網(wǎng)線進(jìn)行連接，因此校內(nèi)無(wú)線網(wǎng)絡(luò)的安全問(wèn)題中最主要的就是網(wǎng)絡(luò)接入的加密問(wèn)題。校內(nèi)無(wú)線網(wǎng)絡(luò)的安全性原則要求無(wú)線網(wǎng)絡(luò)要保障接入用戶的安全要求，還要確保網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定，還要有足夠的帶寬滿足用戶的需要，盡量將產(chǎn)品與網(wǎng)絡(luò)安全技術(shù)相結(jié)合，避免受到攻擊。

2.3 移動(dòng)性原則

無(wú)線網(wǎng)絡(luò)的最大特點(diǎn)就是不用線纜連接，網(wǎng)絡(luò)可移動(dòng)。在對(duì)校內(nèi)無(wú)線網(wǎng)絡(luò)的設(shè)計(jì)與建設(shè)時(shí)在考慮移動(dòng)性原則方面，應(yīng)該充分考慮無(wú)線網(wǎng)絡(luò)在校園內(nèi)的覆蓋范圍，避免出現(xiàn)盲區(qū)，確保滿足接入用戶臨時(shí)連接使用的需要。

2.4 可擴(kuò)展性原則

智慧校園無(wú)線網(wǎng)絡(luò)的建設(shè)還要考慮到伴隨著信息技術(shù)的發(fā)展，無(wú)線網(wǎng)絡(luò)技術(shù)也會(huì)隨著發(fā)展，當(dāng)中的技術(shù)性更新快，此外，校園無(wú)線網(wǎng)絡(luò)可能還存在帶寬提速、范圍擴(kuò)充等方面的問(wèn)題，因此，在無(wú)線網(wǎng)絡(luò)的設(shè)計(jì)和建設(shè)時(shí)就應(yīng)該考慮到固件產(chǎn)品的升級(jí)換代，網(wǎng)絡(luò)的擴(kuò)展性，新技術(shù)的引用等問(wèn)題，做到能夠新舊替換時(shí)的適應(yīng)性問(wèn)題，避免出現(xiàn)換一個(gè)部件其他部件也要跟著替換這種資源浪費(fèi)的現(xiàn)象，不要重復(fù)投資。

2.5 可抗壓原則

學(xué)生在校園內(nèi)的分布具有一定的特點(diǎn)，上課時(shí)間大部分同學(xué)在教學(xué)樓和實(shí)訓(xùn)樓周邊，而一到下課時(shí)間，特別是晚上同學(xué)們可能都集中在宿舍。這時(shí)候就需要設(shè)計(jì)人員根據(jù)學(xué)生流量的分布情況來(lái)設(shè)計(jì)網(wǎng)絡(luò)的有線點(diǎn)位數(shù)。在保證設(shè)備的有效利用的同時(shí)，充分考慮到網(wǎng)絡(luò)的穩(wěn)定性和抗壓能力，能在高負(fù)載的情況下避免丟包問(wèn)題的出現(xiàn)。而對(duì)于類似于食堂這些流量相對(duì)不集中的地方，也需要在設(shè)計(jì)的時(shí)候給予充分考慮，實(shí)現(xiàn)校園無(wú)線網(wǎng)絡(luò)的覆蓋。

3 校園無(wú)線網(wǎng)絡(luò)的建設(shè)分析

3.1 架構(gòu)和核心配置的分析

在設(shè)計(jì)智慧校園無(wú)線網(wǎng)絡(luò)時(shí)要分析無(wú)線網(wǎng)絡(luò)的架構(gòu)問(wèn)題和網(wǎng)絡(luò)的核心配置問(wèn)題。通常搭建智慧校園無(wú)線網(wǎng)絡(luò)采用的是無(wú)線交換機(jī)加“瘦”AP的網(wǎng)絡(luò)連接方式，校園內(nèi)部安裝了通過(guò)有線連接的核心交換機(jī)以及二級(jí)交換機(jī)，二者能夠利用光纖進(jìn)行網(wǎng)絡(luò)連接，連接的速度高達(dá)千兆。這種系統(tǒng)性方案構(gòu)建的網(wǎng)絡(luò)能有效覆蓋校內(nèi)包括后勤、行政及教學(xué)等各個(gè)領(lǐng)域。智慧校園網(wǎng)絡(luò)可以采用網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)來(lái)構(gòu)建，由有線網(wǎng)絡(luò)+無(wú)線網(wǎng)絡(luò)連接所構(gòu)成。其中對(duì)于有線網(wǎng)絡(luò)部分是利用雙路由器的出口來(lái)實(shí)現(xiàn)，其核心是由5臺(tái)三層形式的交換機(jī)串聯(lián)相關(guān)的認(rèn)證服務(wù)器，這樣校園內(nèi)的人就可以通過(guò)認(rèn)證服務(wù)器成果訪問(wèn)外部網(wǎng)絡(luò)。

值得注意的是，在智慧校園無(wú)線網(wǎng)絡(luò)的建設(shè)中還要確定好無(wú)線控制器的安放位置，通常是根據(jù)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)來(lái)確定的。無(wú)線控制機(jī)位置確定好之后還需要確定好核心交換機(jī)下設(shè)的相關(guān)無(wú)線設(shè)備的安放。

3.2 防火墻建設(shè)的分析

防火墻可以有效防止黑客攻擊，為智慧校園無(wú)線網(wǎng)絡(luò)創(chuàng)造安全的環(huán)境。三層交換機(jī)還需要連接防火墻來(lái)預(yù)防黑客對(duì)智慧校園無(wú)線網(wǎng)絡(luò)的惡意攻擊，同時(shí)還可以限制部分內(nèi)部人員對(duì)交換機(jī)的訪問(wèn)。防火墻還連接著二層交換機(jī)，二層交換機(jī)通過(guò)光跳線分別連接到數(shù)據(jù)庫(kù)和無(wú)線交換機(jī)。此外，相連接的兩臺(tái)計(jì)算機(jī)還需要成功配置IP地址并相互通信，這種帶有私網(wǎng)性質(zhì)的IP地址是也能在一定程度上起到攔截外網(wǎng)計(jì)算機(jī)對(duì)服務(wù)器的惡意攻擊。數(shù)據(jù)服務(wù)器上還需要安裝無(wú)線網(wǎng)絡(luò)控制軟件，這樣才能實(shí)現(xiàn)交換機(jī)與數(shù)據(jù)服務(wù)器之間的有效數(shù)據(jù)傳遞和通信，同時(shí)便于管理人員隨時(shí)有效監(jiān)控智慧校園無(wú)線網(wǎng)絡(luò)。此外，還可以在三層交換機(jī)上進(jìn)行虛擬局域網(wǎng)（即VLAN）的配置，再把校園局域網(wǎng)中的設(shè)備分成單個(gè)網(wǎng)橋，繼而確保虛擬工作的數(shù)據(jù)交換技術(shù)的實(shí)現(xiàn)，這樣就可以實(shí)現(xiàn)對(duì)無(wú)線控制器及其他相關(guān)設(shè)備的有效保護(hù)了。

3.3 加密技術(shù)和認(rèn)證技術(shù)的建設(shè)分析

在對(duì)智慧校園無(wú)線網(wǎng)絡(luò)進(jìn)行加密時(shí)，可以采用WEP，TKIP和CCMP的加密機(jī)制，其中WEP是最主要的加密方案，也被稱之為第一安全協(xié)議，它采用的是靜態(tài)40位的密鑰，屬于RC4的加密算法。通過(guò)WEP加密機(jī)制下，需要AP密鑰和用戶的加密密鑰相關(guān)才能獲得網(wǎng)絡(luò)接入許可，這樣可以防止一些非法訪問(wèn)，然后，該加密機(jī)制容易破解，安全性能比較差。TKIP機(jī)密機(jī)制采用的是動(dòng)態(tài)128位的密鑰，IV是48位，也是RC4的加密算法。TKIP加密機(jī)制能夠保證網(wǎng)絡(luò)的安全性隨著軟件的升級(jí)能到提升，適應(yīng)能力強(qiáng)，但是其安全性能同樣相對(duì)較差，容易被破解。CCMP加密機(jī)制則采用的是動(dòng)態(tài)128位的密鑰，IV為48位，它屬于AE5算法，這種機(jī)密機(jī)制的安全性能極高，不易破解，但是其對(duì)硬件的要求非常高，不容易實(shí)現(xiàn)，其應(yīng)用過(guò)程也就受到了一定的限制。

4 智慧校園無(wú)線網(wǎng)絡(luò)的安全方案的測(cè)試與分析

智慧校園無(wú)線網(wǎng)絡(luò)在建成之后，學(xué)校還要對(duì)網(wǎng)絡(luò)進(jìn)行整體監(jiān)控，確保在發(fā)生網(wǎng)絡(luò)故障時(shí)能夠及時(shí)調(diào)整并進(jìn)行處理。這就需要做到安全測(cè)試和安全方案分析的工作。

4.1 智慧校園無(wú)線網(wǎng)絡(luò)的安全方案測(cè)試

在對(duì)智慧校園無(wú)線網(wǎng)絡(luò)進(jìn)行測(cè)試時(shí)，首先要測(cè)試的無(wú)線網(wǎng)絡(luò)的硬件環(huán)境，包括一臺(tái)服務(wù)器、一臺(tái)無(wú)線交換機(jī)、兩臺(tái)筆記本和4個(gè)無(wú)線接入點(diǎn)。其次，是對(duì)無(wú)線網(wǎng)絡(luò)的軟件環(huán)境進(jìn)行測(cè)試，主要包括服務(wù)器的操作系以及筆記本的操作系統(tǒng)。第三，最為主要的是測(cè)試是對(duì)無(wú)線網(wǎng)絡(luò)的性能進(jìn)行測(cè)試，性能的檢測(cè)主要是看看無(wú)線網(wǎng)絡(luò)是否支持WEB認(rèn)證以及多種SSID不同形式的驗(yàn)證。測(cè)試的環(huán)境是無(wú)線AP鏈接與二層交換機(jī)相連，再通過(guò)三層交換機(jī)與校園網(wǎng)相連，同時(shí)認(rèn)證服務(wù)器也與其直接相同。值得注意的是，在整個(gè)測(cè)試過(guò)程中還需要把控好帶寬的控制。

4.2 智慧校園無(wú)線網(wǎng)絡(luò)的安全方案分析

智慧校園無(wú)線網(wǎng)絡(luò)的安全方案可以通過(guò)加密技術(shù)、認(rèn)證技術(shù)和安全機(jī)制3個(gè)方面來(lái)共同實(shí)現(xiàn)。

（1）加密技術(shù)。智慧校園無(wú)線網(wǎng)絡(luò)的加密技術(shù)可以采用WEP，WAP，WAP2以及WEP2等來(lái)實(shí)現(xiàn)，也可以利用DES和3DES算法或者通過(guò)VPN來(lái)保障網(wǎng)絡(luò)的安全。

（2）認(rèn)證技術(shù)。IEEE802.1X認(rèn)證技術(shù)是比較好的認(rèn)證技術(shù)，它可以有效防止非法用戶對(duì)網(wǎng)絡(luò)進(jìn)行訪問(wèn)，是目前使用較為廣泛的一種認(rèn)證技術(shù).

（3）安全機(jī)制。智慧校園無(wú)線網(wǎng)絡(luò)一般采用MAC地址過(guò)來(lái)、服務(wù)器標(biāo)識(shí)符（即SSID）和有線等效保密算法3種安全機(jī)制。而最為常見(jiàn)的就是采用SSID的安全機(jī)制。

5 結(jié)語(yǔ)

智慧校園無(wú)線網(wǎng)絡(luò)的建設(shè)要實(shí)現(xiàn)其性能的良好發(fā)揮，就需要對(duì)其安全性進(jìn)行建設(shè)，主要可以從加密技術(shù)、認(rèn)證技術(shù)和安全機(jī)制3個(gè)方面來(lái)實(shí)現(xiàn)。

[1]崔小冬.基于WiFi的無(wú)線校園網(wǎng)建設(shè)研究[D].南京：南京理工大學(xué)，2010

[2]劉友武，肖煒．基于校園WiFi無(wú)線網(wǎng)絡(luò)的安全方案分析[J].蚌埠學(xué)院學(xué)報(bào)，2016（3）：17-20.

Security scheme for building smart campus WiFi wireless network

Shao Quanyi, Zhao Shutian*（Zhengzhou Institute of Finance and Economics, Zhengzhou 450044, China）

With the development of network technology of wireless network and the need from majority of teachers and students, many colleges and universities are in efforts to the construction of smart campus WiFi wireless network, and then the security problem can not be ignored. Therefore, it is necessary to fully consider the security scheme when constructing the smart campus wireless network. Based on the analysis of the demand for wireless networks and the design principle, the security scheme is tested and analyzed in this paper.

intelligent campus; WiFi wireless network; security scheme

邵全義（1982— ），男，河南柘城，碩士；研究方向：計(jì)算機(jī)技術(shù)。

＊通信作者：趙書(shū)田（1979— ），男，河南泌陽(yáng)，碩士，講師；研究方向：云計(jì)算，虛擬化技術(shù)。