蔡琴

摘 要：智慧校园网的发展，使得无线网络构建成为校园网络建设的迫切需求。无线局域网络的安全问题已成为制约其发展的主要因素，文章阐述了无线局域网络构建存在风险和安全问题，提出了无线AP建构时注意事项，讨论了无线网络WEP，WPA，WPA2 3种加密方式的优缺点，用户应根据安全特点，选择适当的安全策略。

关键词：无线局域网络；WEP；WPA

智慧校园的建设实现了学校的无纸化办公以及信息在各个部门之间流畅传递。教学、科研的需求对校园信息化建设提出很高的要求，要使教学、科研与生活高度融合，提供高质量的服务，构建和谐的校园环境，必须推进数字化校园建设。

无线网络构建以其优势成为智慧化校园建设的必备条件。智慧化校园的建立改变了人们传统的学习、工作、生活模式，无线网络则提高了智慧化校园网络的质量和工作效率。无线局域网具有很好的灵活性，而且维护简单，性能可靠、扩展性好、成本不高，成为有线网络的有力补充和扩展。在智慧化校园网络的餐饮、教室、宿舍等场所扩展了无线网络后，就能随时随地顺畅体验无线互联技术带来的便捷。但智慧化校园建立无线网络就会引发对网络安全的要求，制约无线局域网应用的技术理由，安全问题是第一位，所以无线局域的安全问题已经成为限制其发展的主要因素[1]。

1 智慧校园无线网络典型的布局

通常典型的WLAN是在有线局域网的基础上通过宽带远程接入服务器（Broadband Remote Access Server，BRAS）、无线控制器（Access Controller，AC）、接入交换机、瘦AP等设备使无线通信得以实现。相对传统的有线局域网络，无线网络具有易扩展性和可移动优势，只要无线信号覆盖的区域就能随意接入信息点。胖AP为任意独立AP，这里瘦AP代表那些将选取定任务交给上层服务器的无线路由器，如与802.x认证服务器通信，就会产生一个加密密钥。由典型的瘦AP构成的智慧校园无线网络的系统拓扑结构如图1所示。

2 无线局域网构建存在的风险和问题

2.1 智慧校园面临的安全威胁

无线局域网采用公共的电磁波，传输信息的覆盖范围不好控制，因此对越权存取和窃听的行为也更不容易防备。

2.1.1 校园网络用户安全意识差

对于普通用户而言，在使用便捷的数据传输方式时，可能不会考虑到隐私数据的丢失和泄密的严重性，随意将账号信息告诉来访用户，从而带来许多安全隐患。

2.1.2 智慧校园网内非法用户接入

由于无线网络接入更加方便快捷，如果智慧校园网内不設密码或只设置公共密码，无法限制接入人数，用户可以随意入侵网络，整个校园网络就处于极大的不安全行为当中。还有非法用户为了自身使用方便，私自架设无线设备，随意扩充网络，恶意占用大量网络资源，使合法用户访问速度变慢、效率变低。甚至非法入侵网络后台进行篡改，导致整个网络存在安全威胁。

2.1.3 智慧校园网架构问题

如果为节省无线网络搭建成本，不使用加密设备或是不使用加密级别较高的无线设备，使得整个架构体系易被攻破和破坏，一旦有病毒攻击，整个网络就丧失抵抗能力。有些黑客程序能够通过捕获AP信号来获取有线等效保密（Wired Equivalent Privacy，WEP）密钥加密包中的弱密钥，从而解密密钥，使整个无线网络数据置于危险当中。

2.2 信号覆盖问题

无线信号覆盖需要结合实际建筑的结构特点，根据信号衰减情况进行合理布局和规划。其中最关键的就是AP设备的安装和放置地点，需减少信号衰减，又保证良好的覆盖性，以减少对信号的穿透辐射。每个AP位置最好根据空间状况、平面布局、建筑材料等特点安装。运用移动通信体系的蜂窝状理论从而实现更好的覆盖效果，避免相邻信道之间的相互干扰。瘦AP的发射功率设定为70 MW，室外公共区域的无遮盖物条件下，可以覆盖100 M左右，对于信号屏蔽较多区域，可以安装增益定向天线增强信号。室内环境下信号干扰少、无线网用户密度比较大，一般采取壁挂或吸顶式安式，宿舍、走廊等区域WiFi信号优于60 dBm，边缘死角优于﹣65 dBm，在实际中应用中一台AP接入20～30个用户最佳。

2.3 带宽问题

如果无线信号的带宽设计不合理，在人员密集的场所，有多人同时在线就会造成网络拥堵，为保证用户有良好的上网体验，至少需要确保每个用户带宽在512 kb/s。最好能够增加网络流量的管理功能，为每位用户分配最大带宽上限，一般为2 Mb/s，就可保证流畅观看流媒体视频。设置用户最大带宽数，以防某个用户占用有线互联网资源。最后，按照同时在线用户数比例的50%进行估算，确定该楼的最大并发用户数[2]。

3 无线网络的加密方式

智慧校园无线局域网络中，信息采取IEEE802.11规范无电磁信号传输，用户方便接入无线校园网，但是容易受到黑客或病毒的不安全因素入侵和干扰。为了避免不安全因素入侵和干扰，使得安全通信有保障，可以采用室外型无线APlk 加密防护技术：物理地址过滤、WiFi保护接入WPA加密、认证WEP等保密技术和服务集标识符（Service Set Identifier，SSID）等，确保了用户连接无线网络安全[3-5]。

3.1 使用WEP协议

加密是无线网络安全防范的最基本手段，通过对AP和无线网卡等设备的简便设置，就能启用WEP加密，无线加密协议是对无线网络上的流量进行加密的一种标准方法。采用RC4对称加密算法，密钥越长，破解起来就越困难，但是由于密钥是静态的，弱密钥容易被破解，需要用人工去维护，费时费力。多数WLAN产品使用RC4流加密算法。WEP加密过程对WLAN数据加密并行数据完整性检查，从而有效防止数据内容泄密和在传输中被篡改攻击。WEP用于合成密钥的初始化向量（IV）只有24位，使密钥在短时间内出现重复，而且WEP协议中，如果一个基本服务集（Basic Service Set，BSS）都使用相同的共享密钥SK，当IV重复时，不同的数据封包就会生成相同的密钥，所以这样的密钥安全性不够强。

3.2 使用WPA加密方式

WPA由认证、加密和数据完整性校验3个部分组成。是802.11i标准里定义的一个安全性协议，由于WEP在密钥设计上存在缺陷，密钥具有可预测性，所以设计了WPA安全机制。WPA采用临时密钥完整性协议（Temporal Key Integrity Protocol，TKIP），虽然使用还是加密算法RC4，但其对WEP中的缺点进行了修改。将加密引入新的机制，通过认证服务器动态生成密钥，为增加安全性，将密钥的首部长度从24位增至128位。建立密钥管理系统，利用主密钥加密每个无线通信数据报文。这种加密方法虽然提高了安全性，但由于密钥硬件成本，提高了部署的成本，增加了管理难度。

3.3 使用WPA2加密方式

在WPA/WPA2都是基于801.11i标准，是比WEP更强壮的加密算法。现在新型网卡和AP都支持WP2加密，WPA2的临时密钥（Pairwise Transient Key，PTK）的生成是依赖于成对主密钥（Pairwise Master Key，PMK），主密钥的生成方式有共享密钥模式和认证服务器产生模式。认证服务器价格高，安全性好，管理难度增强。

WAP2= IEEE802.11i =IEEE802.1X/EAP+WEP/TKIP/CCMP

WAP2是比WAP更具安全防護能力的加密方式。需要服务器端和客户端都安装证书，管理难度增加。

4 结语

无线网络是部署智慧化校园的网络基础。在设计无线局域网络时，应结合自身的应用实际，既要降低成本，又要考虑到足够的安全防护，这样既能享受到便捷的网络服务又能保证上网的数据安全。无线网络的安全措施并不能提供绝对的安全，对于某些需要特殊防护的数据和系统，可采用无线网安全措施与有线网常用安全措施相结合[6]。增加硬件网络安全设备进行防护，比如使用VPN、防火墙、IPSec等技术保护系统和数据，以增强无线局域网的安全性。

[参考文献]

[1]常潘，徐刚.Cisco无线局域网配置基础[M].2版.北京：电子工业出版社，2004.

[2]高子若.无线局域网安全分析与防范涂[J].智能通信，2016（4）：163-165.

[3]张玺.基于PON接入技术的研究与应用[J].信息通信，2012（5）：67-88.

[4]胡陶军，胡铮，苗杰.基于WLAN与蜂窝网协同的终端选择算法[J].计算机工程，2013（39）：116-118.

[5]安春燕.认知无线网络资源管理若干关键技术研究[D].北京：北京邮电大学，2013.

[6]杨宁宁.企业无线局域网系统的工程设计与实现[D].北京：北京邮电大学，2011.