蔡琴

摘 要：智慧校園網(wǎng)的發(fā)展，使得無(wú)線網(wǎng)絡(luò)構(gòu)建成為校園網(wǎng)絡(luò)建設(shè)的迫切需求。無(wú)線局域網(wǎng)絡(luò)的安全問(wèn)題已成為制約其發(fā)展的主要因素，文章闡述了無(wú)線局域網(wǎng)絡(luò)構(gòu)建存在風(fēng)險(xiǎn)和安全問(wèn)題，提出了無(wú)線AP建構(gòu)時(shí)注意事項(xiàng)，討論了無(wú)線網(wǎng)絡(luò)WEP，WPA，WPA2 3種加密方式的優(yōu)缺點(diǎn)，用戶(hù)應(yīng)根據(jù)安全特點(diǎn)，選擇適當(dāng)?shù)陌踩呗浴?/p>

關(guān)鍵詞：無(wú)線局域網(wǎng)絡(luò)；WEP；WPA

智慧校園的建設(shè)實(shí)現(xiàn)了學(xué)校的無(wú)紙化辦公以及信息在各個(gè)部門(mén)之間流暢傳遞。教學(xué)、科研的需求對(duì)校園信息化建設(shè)提出很高的要求，要使教學(xué)、科研與生活高度融合，提供高質(zhì)量的服務(wù)，構(gòu)建和諧的校園環(huán)境，必須推進(jìn)數(shù)字化校園建設(shè)。

無(wú)線網(wǎng)絡(luò)構(gòu)建以其優(yōu)勢(shì)成為智慧化校園建設(shè)的必備條件。智慧化校園的建立改變了人們傳統(tǒng)的學(xué)習(xí)、工作、生活模式，無(wú)線網(wǎng)絡(luò)則提高了智慧化校園網(wǎng)絡(luò)的質(zhì)量和工作效率。無(wú)線局域網(wǎng)具有很好的靈活性，而且維護(hù)簡(jiǎn)單，性能可靠、擴(kuò)展性好、成本不高，成為有線網(wǎng)絡(luò)的有力補(bǔ)充和擴(kuò)展。在智慧化校園網(wǎng)絡(luò)的餐飲、教室、宿舍等場(chǎng)所擴(kuò)展了無(wú)線網(wǎng)絡(luò)后，就能隨時(shí)隨地順暢體驗(yàn)無(wú)線互聯(lián)技術(shù)帶來(lái)的便捷。但智慧化校園建立無(wú)線網(wǎng)絡(luò)就會(huì)引發(fā)對(duì)網(wǎng)絡(luò)安全的要求，制約無(wú)線局域網(wǎng)應(yīng)用的技術(shù)理由，安全問(wèn)題是第一位，所以無(wú)線局域的安全問(wèn)題已經(jīng)成為限制其發(fā)展的主要因素[1]。

1 智慧校園無(wú)線網(wǎng)絡(luò)典型的布局

通常典型的WLAN是在有線局域網(wǎng)的基礎(chǔ)上通過(guò)寬帶遠(yuǎn)程接入服務(wù)器（Broadband Remote Access Server，BRAS）、無(wú)線控制器（Access Controller，AC）、接入交換機(jī)、瘦AP等設(shè)備使無(wú)線通信得以實(shí)現(xiàn)。相對(duì)傳統(tǒng)的有線局域網(wǎng)絡(luò)，無(wú)線網(wǎng)絡(luò)具有易擴(kuò)展性和可移動(dòng)優(yōu)勢(shì)，只要無(wú)線信號(hào)覆蓋的區(qū)域就能隨意接入信息點(diǎn)。胖AP為任意獨(dú)立AP，這里瘦AP代表那些將選取定任務(wù)交給上層服務(wù)器的無(wú)線路由器，如與802.x認(rèn)證服務(wù)器通信，就會(huì)產(chǎn)生一個(gè)加密密鑰。由典型的瘦AP構(gòu)成的智慧校園無(wú)線網(wǎng)絡(luò)的系統(tǒng)拓?fù)浣Y(jié)構(gòu)如圖1所示。

2 無(wú)線局域網(wǎng)構(gòu)建存在的風(fēng)險(xiǎn)和問(wèn)題

2.1 智慧校園面臨的安全威脅

無(wú)線局域網(wǎng)采用公共的電磁波，傳輸信息的覆蓋范圍不好控制，因此對(duì)越權(quán)存取和竊聽(tīng)的行為也更不容易防備。

2.1.1 校園網(wǎng)絡(luò)用戶(hù)安全意識(shí)差

對(duì)于普通用戶(hù)而言，在使用便捷的數(shù)據(jù)傳輸方式時(shí)，可能不會(huì)考慮到隱私數(shù)據(jù)的丟失和泄密的嚴(yán)重性，隨意將賬號(hào)信息告訴來(lái)訪用戶(hù)，從而帶來(lái)許多安全隱患。

2.1.2 智慧校園網(wǎng)內(nèi)非法用戶(hù)接入

由于無(wú)線網(wǎng)絡(luò)接入更加方便快捷，如果智慧校園網(wǎng)內(nèi)不設(shè)密碼或只設(shè)置公共密碼，無(wú)法限制接入人數(shù)，用戶(hù)可以隨意入侵網(wǎng)絡(luò)，整個(gè)校園網(wǎng)絡(luò)就處于極大的不安全行為當(dāng)中。還有非法用戶(hù)為了自身使用方便，私自架設(shè)無(wú)線設(shè)備，隨意擴(kuò)充網(wǎng)絡(luò)，惡意占用大量網(wǎng)絡(luò)資源，使合法用戶(hù)訪問(wèn)速度變慢、效率變低。甚至非法入侵網(wǎng)絡(luò)后臺(tái)進(jìn)行篡改，導(dǎo)致整個(gè)網(wǎng)絡(luò)存在安全威脅。

2.1.3 智慧校園網(wǎng)架構(gòu)問(wèn)題

如果為節(jié)省無(wú)線網(wǎng)絡(luò)搭建成本，不使用加密設(shè)備或是不使用加密級(jí)別較高的無(wú)線設(shè)備，使得整個(gè)架構(gòu)體系易被攻破和破壞，一旦有病毒攻擊，整個(gè)網(wǎng)絡(luò)就喪失抵抗能力。有些黑客程序能夠通過(guò)捕獲AP信號(hào)來(lái)獲取有線等效保密（Wired Equivalent Privacy，WEP）密鑰加密包中的弱密鑰，從而解密密鑰，使整個(gè)無(wú)線網(wǎng)絡(luò)數(shù)據(jù)置于危險(xiǎn)當(dāng)中。

2.2 信號(hào)覆蓋問(wèn)題

無(wú)線信號(hào)覆蓋需要結(jié)合實(shí)際建筑的結(jié)構(gòu)特點(diǎn)，根據(jù)信號(hào)衰減情況進(jìn)行合理布局和規(guī)劃。其中最關(guān)鍵的就是AP設(shè)備的安裝和放置地點(diǎn)，需減少信號(hào)衰減，又保證良好的覆蓋性，以減少對(duì)信號(hào)的穿透輻射。每個(gè)AP位置最好根據(jù)空間狀況、平面布局、建筑材料等特點(diǎn)安裝。運(yùn)用移動(dòng)通信體系的蜂窩狀理論從而實(shí)現(xiàn)更好的覆蓋效果，避免相鄰信道之間的相互干擾。瘦AP的發(fā)射功率設(shè)定為70 MW，室外公共區(qū)域的無(wú)遮蓋物條件下，可以覆蓋100 M左右，對(duì)于信號(hào)屏蔽較多區(qū)域，可以安裝增益定向天線增強(qiáng)信號(hào)。室內(nèi)環(huán)境下信號(hào)干擾少、無(wú)線網(wǎng)用戶(hù)密度比較大，一般采取壁掛或吸頂式安式，宿舍、走廊等區(qū)域WiFi信號(hào)優(yōu)于60 dBm，邊緣死角優(yōu)于﹣65 dBm，在實(shí)際中應(yīng)用中一臺(tái)AP接入20～30個(gè)用戶(hù)最佳。

2.3 帶寬問(wèn)題

如果無(wú)線信號(hào)的帶寬設(shè)計(jì)不合理，在人員密集的場(chǎng)所，有多人同時(shí)在線就會(huì)造成網(wǎng)絡(luò)擁堵，為保證用戶(hù)有良好的上網(wǎng)體驗(yàn)，至少需要確保每個(gè)用戶(hù)帶寬在512 kb/s。最好能夠增加網(wǎng)絡(luò)流量的管理功能，為每位用戶(hù)分配最大帶寬上限，一般為2 Mb/s，就可保證流暢觀看流媒體視頻。設(shè)置用戶(hù)最大帶寬數(shù)，以防某個(gè)用戶(hù)占用有線互聯(lián)網(wǎng)資源。最后，按照同時(shí)在線用戶(hù)數(shù)比例的50%進(jìn)行估算，確定該樓的最大并發(fā)用戶(hù)數(shù)[2]。

3 無(wú)線網(wǎng)絡(luò)的加密方式

智慧校園無(wú)線局域網(wǎng)絡(luò)中，信息采取IEEE802.11規(guī)范無(wú)電磁信號(hào)傳輸，用戶(hù)方便接入無(wú)線校園網(wǎng)，但是容易受到黑客或病毒的不安全因素入侵和干擾。為了避免不安全因素入侵和干擾，使得安全通信有保障，可以采用室外型無(wú)線APlk 加密防護(hù)技術(shù)：物理地址過(guò)濾、WiFi保護(hù)接入WPA加密、認(rèn)證WEP等保密技術(shù)和服務(wù)集標(biāo)識(shí)符（Service Set Identifier，SSID）等，確保了用戶(hù)連接無(wú)線網(wǎng)絡(luò)安全[3-5]。

3.1 使用WEP協(xié)議

加密是無(wú)線網(wǎng)絡(luò)安全防范的最基本手段，通過(guò)對(duì)AP和無(wú)線網(wǎng)卡等設(shè)備的簡(jiǎn)便設(shè)置，就能啟用WEP加密，無(wú)線加密協(xié)議是對(duì)無(wú)線網(wǎng)絡(luò)上的流量進(jìn)行加密的一種標(biāo)準(zhǔn)方法。采用RC4對(duì)稱(chēng)加密算法，密鑰越長(zhǎng)，破解起來(lái)就越困難，但是由于密鑰是靜態(tài)的，弱密鑰容易被破解，需要用人工去維護(hù)，費(fèi)時(shí)費(fèi)力。多數(shù)WLAN產(chǎn)品使用RC4流加密算法。WEP加密過(guò)程對(duì)WLAN數(shù)據(jù)加密并行數(shù)據(jù)完整性檢查，從而有效防止數(shù)據(jù)內(nèi)容泄密和在傳輸中被篡改攻擊。WEP用于合成密鑰的初始化向量（IV）只有24位，使密鑰在短時(shí)間內(nèi)出現(xiàn)重復(fù)，而且WEP協(xié)議中，如果一個(gè)基本服務(wù)集（Basic Service Set，BSS）都使用相同的共享密鑰SK，當(dāng)IV重復(fù)時(shí)，不同的數(shù)據(jù)封包就會(huì)生成相同的密鑰，所以這樣的密鑰安全性不夠強(qiáng)。

3.2 使用WPA加密方式

WPA由認(rèn)證、加密和數(shù)據(jù)完整性校驗(yàn)3個(gè)部分組成。是802.11i標(biāo)準(zhǔn)里定義的一個(gè)安全性協(xié)議，由于WEP在密鑰設(shè)計(jì)上存在缺陷，密鑰具有可預(yù)測(cè)性，所以設(shè)計(jì)了WPA安全機(jī)制。WPA采用臨時(shí)密鑰完整性協(xié)議（Temporal Key Integrity Protocol，TKIP），雖然使用還是加密算法RC4，但其對(duì)WEP中的缺點(diǎn)進(jìn)行了修改。將加密引入新的機(jī)制，通過(guò)認(rèn)證服務(wù)器動(dòng)態(tài)生成密鑰，為增加安全性，將密鑰的首部長(zhǎng)度從24位增至128位。建立密鑰管理系統(tǒng)，利用主密鑰加密每個(gè)無(wú)線通信數(shù)據(jù)報(bào)文。這種加密方法雖然提高了安全性，但由于密鑰硬件成本，提高了部署的成本，增加了管理難度。

3.3 使用WPA2加密方式

在WPA/WPA2都是基于801.11i標(biāo)準(zhǔn)，是比WEP更強(qiáng)壯的加密算法?，F(xiàn)在新型網(wǎng)卡和AP都支持WP2加密，WPA2的臨時(shí)密鑰（Pairwise Transient Key，PTK）的生成是依賴(lài)于成對(duì)主密鑰（Pairwise Master Key，PMK），主密鑰的生成方式有共享密鑰模式和認(rèn)證服務(wù)器產(chǎn)生模式。認(rèn)證服務(wù)器價(jià)格高，安全性好，管理難度增強(qiáng)。

WAP2= IEEE802.11i =IEEE802.1X/EAP+WEP/TKIP/CCMP

WAP2是比WAP更具安全防護(hù)能力的加密方式。需要服務(wù)器端和客戶(hù)端都安裝證書(shū)，管理難度增加。

4 結(jié)語(yǔ)

無(wú)線網(wǎng)絡(luò)是部署智慧化校園的網(wǎng)絡(luò)基礎(chǔ)。在設(shè)計(jì)無(wú)線局域網(wǎng)絡(luò)時(shí)，應(yīng)結(jié)合自身的應(yīng)用實(shí)際，既要降低成本，又要考慮到足夠的安全防護(hù)，這樣既能享受到便捷的網(wǎng)絡(luò)服務(wù)又能保證上網(wǎng)的數(shù)據(jù)安全。無(wú)線網(wǎng)絡(luò)的安全措施并不能提供絕對(duì)的安全，對(duì)于某些需要特殊防護(hù)的數(shù)據(jù)和系統(tǒng)，可采用無(wú)線網(wǎng)安全措施與有線網(wǎng)常用安全措施相結(jié)合[6]。增加硬件網(wǎng)絡(luò)安全設(shè)備進(jìn)行防護(hù)，比如使用VPN、防火墻、IPSec等技術(shù)保護(hù)系統(tǒng)和數(shù)據(jù)，以增強(qiáng)無(wú)線局域網(wǎng)的安全性。

[參考文獻(xiàn)]

[1]常潘，徐剛.Cisco無(wú)線局域網(wǎng)配置基礎(chǔ)[M].2版.北京：電子工業(yè)出版社，2004.

[2]高子若.無(wú)線局域網(wǎng)安全分析與防范涂[J].智能通信，2016（4）：163-165.

[3]張璽.基于PON接入技術(shù)的研究與應(yīng)用[J].信息通信，2012（5）：67-88.

[4]胡陶軍，胡錚，苗杰.基于WLAN與蜂窩網(wǎng)協(xié)同的終端選擇算法[J].計(jì)算機(jī)工程，2013（39）：116-118.

[5]安春燕.認(rèn)知無(wú)線網(wǎng)絡(luò)資源管理若干關(guān)鍵技術(shù)研究[D].北京：北京郵電大學(xué)，2013.

[6]楊寧寧.企業(yè)無(wú)線局域網(wǎng)系統(tǒng)的工程設(shè)計(jì)與實(shí)現(xiàn)[D].北京：北京郵電大學(xué)，2011.