赵云鹤

摘 要：随着教育信息化的飞速发展，无线网络逐渐进入各大院校，部分职业院校也开启了智慧校园建设，无线网作为构建信息化校园的重要依托，其网络安全性能与师生的网络体验感密切相关，如果网络安全不能达标，会出现信息被盗取泄露甚至网络瘫痪等问题，因此在组建无线局域网过程中，安全的优化是重点内容，本文结合无线网的安全优化要求，以及面临的安全威胁，重点阐述了职业院校的无线网络安全优化的方案，旨在通过设计方案实现无线网的安全运行，保障在校师生的网络安全运行。

关键词：无线网;安全;优化

无线局域网的信息传输媒介是电磁波，可在空中自由传播，只要在传输范围内，用户的数据可以被人格接收装置截取，可能会导致未经授权的用户数据遭到威胁，它相比有线介质来说，更容易遭到干扰、窃取以及破坏。同时由于职业院校开设计算机以及通信等专业课程，这些学生对网络的探索容易激发学生对无线网的好奇心，进而使校园无线网面临更多的安全技术的考验。下面将从安全的要求以及常见的安全威胁等方面阐述安全优化的方案。

一、安全优化的要求

对于职业院校这种大型网络，无线网的安全管控优化方面应做到以下几点：

（一）认证方式的多样

随着网络的不断发展，一切破解软件，破解普通AP设置安全密码非常简单。所以连接到网络的认证方式也需具备多重认证方案，比如用户可以通过网页认证信息获取登录方式，也可以通过微信或者短信认证实现网络账号的授权，保障网络的安全运行。

（二）规范上网行为

无线网通过对用户上网行径管控，例如设置网络访问控制列表ACL，对上网人员进行访问记录登记，或者设置用户上网时长上网次数等方案实现对用户的网上行径管控，营造健康安全的网络氛围。

（三）主动推送资源

借助无线上网管控系统需实现针对不同用户，主动推送文字、图片、视频等信息，例如可以向学生推送一些有助于学习的课外辅导网站、视频等，向老师推送学校通知、教学计划，向来访家长推荐学院信息等等，为终端接入用户提供最好的上网体验。

二、无线局域网安全威胁

（一）网络窃听

无线网通过射频传播，缺乏如有线网一样的双绞线保护，只要有无线信号的覆盖就能接受该AP提供的网络支持，因此很容易被他人检测到信号，如不采用一定的安全措施很容易被他人利用或者攻击，如果校园内师生数据被盗取或者被恶意破坏，会对整个无线网构成严重威胁。

（二）非法接入

如果搭建的无线网没有设置用户接入验证，任何设备均可登录，则会加重AP负担，对有需求的用户会造成困扰，因此只有设置一个合理且安全的认证体系，通过认证的授权用户才能得到更好的网络体验。

（三）病毒攻击

病毒攻击的问题主要来自黑客带来的威胁，一旦黑客通过AP获得无线网的IP地址，向AP发起拒绝服务攻击，这台AP很容易瘫痪。这种攻击方式不以获取信息为目的，它的最终目标是终止服务器的服务，这种攻击方式隐蔽性好，实现容易，防范困难，是黑客的终极攻击方式，也是校园网的网络安全防范的重点内容。

三、安全优化方案

IEEE802.11协议主要定义了服务集标识符（SSID）保护安全、物理地址（MAC）过滤控制安全、有线对等保密机制（WEP）安全等几方面，但为了提高校园无线网的安全性，必须引入更安全的认证机制、加密机制以及控制机制，针对三种机制的优化方案如下：

（一）认证机制方案

为保护无线网的入口安全，必须采用有效的认证解决方案，保障授权用户通过无线接入点访问网络资源。认证是验证用户身份与资格的过程，它采用多要素认证方式保障网络的安全性。

IEEE802.11-1999标准定义了两种认证机制，分别是开放系统认证和共享密钥认证。开放系统认证不对用户身份做任何验证，仅需交换两个认证帧[1]。而共享密钥认证要求用户设备必须支持有线等效加密，用户的设备与AP必须配置静态WEP密钥，它的认证过程中，采用共享密钥认证的无线接口之间需要交换质询与响应消息，通信双方共需要交换4个认证帧[2]。

MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，不需要安装任何客户软件。IEEE802.1X认证是基于端口网络接入控制的协议，定义了一种授权架构，端口可以是物理端口也可以是逻辑端口，主要由3部分组成：客户端、认证者以及认证服务器。此外认证机制中还包含PSK认证以及Portal认证，PSK认证即为共享密钥认证，它需要实现在无线客户端和设备端配置相同的预共享密钥，通过能否成功解密协商信息来确定本端配置的预共享密钥是否和对端配置的预共享密钥相同，从而完成服务端与客户端的相互认证。Potral认证也称作为Web认证或DHCP+Web认证，使用标准的网页浏览器即可，不需要安装特殊的客户端软件，主动认证方式下，用户通过主动访问位于Potral服务器上的认证界面，输入账号以及密码，获取账号信息，强制认证方式下，输入账号密码提交账号信息，Potral服务器获取用户账号信息，随后服务器通过Potral协议完成与WLAN服务端的交互，完成认证。它的认证方式分为二层认证方式和三层认证方式，但是二层认证方式相比三层认证方式来说，不能进行MAC地址以及IP地址的绑定检查，安全性相对较差，在职业院校这种用户较多的环境中，不适宜应用二层认证。

（二）加密机制方案

无线网的用户通过认证后，具有了访问网络的权限，网络必须确保用户的信息安全，主要采用的方法就是对数据信息报文进行加密，以此保障只有特定设备可以接收报文成功解密，本方案重点探讨三种加密技术，分别是WEP加密、临时密钥完整性协议加密和计数器模式密码块链信息认证码协议。

WEP是一种以RC4流加密为基础的二层加密机制，它的3个目的是机密性、完整性和认证。临时密钥完整性协议加密简称TKIP加密，是由128位临时密钥、48位IV、源MAC地址以及目标MAC地址通过复杂的每包密钥混合过程生成，这种密钥混合过程有助于降低IV 碰撞攻击与弱密钥攻击造成的危害[3]。计数器模式密码块链信息认证码協议简称CCMP加密，它是以AES算法为基础的，由于AES算法本身就是一种很难破解的方法，WLAN的安全程度大大提高，为实现强健的安全网络提供了有力的保障。

（三）控制机制方案

端口访问控制技术（802.1）是应用于无线局域网的一种增强网络安全性的解决方案。当无线工作站STA与无线访问点AP设备连接后，能否为AP设备提供服务取决于IEEE802.1X标准的认证结果。如果认证通过，则AP能够为工作站打开逻辑端口，否则将不允许用户上网。此种控制机制需要无线工作站安装802.1X客户端软件，无线访问点要嵌于802.1X认证代理，还可以作为RADUIS客户端，将用户认证信息发送给服务器，此种控制技术不仅提供了端口访问控制能力，也提供了认证系统与计费功能，特别适合职业院校在校师生的无线网接入管理，能够高效保障网络的安全运行，并且能够实现网络的规范化管理。

经过对以上三种安全方案的探讨，结合职业院校的常用组网方案，将安全优化方案定位：在网络核心层采用有线无线一体化结构，在网络中针对非法设备进行定位和告警，同时设置信道告警。研究有线无线一体化控制部署方案，在无线控制器中设置基于Portal的多种认证方式混合接入，升级支持WEP2以及DHCP  Sever外挂等，在AC与AP之间采用CAPWAP隧道下行流量限速，支持AP身份认证。在POE设备中采用POE交换机端口隔离。在AP中设置动态密钥下发功能，要支持智能带宽限速。无线网络力争通过以上一些安全手段，保障网络的畅通运行，实现网络安全的最优化。

结束语

校园无线网的组建不仅是为在校师生提供网络支撑，也是为了实现无线网络的安全可控易管理，方便在校师生以及随访用户有绿色、健康、畅通无忧的网络体验，所以对无线网的安全优化势在必行， 通过认证机制、加密机制、控制机制三种优化方案基本能够实现基础的网络安全优化，保障师生的切身利益。

参考文献

[1] 崔子慧.校园无线网络安全管理[J].信息与电脑（理论版），2019（3）：202-203.

[2] 张晓旭.校园无线网络安全问题研究[J].信息与电脑（理论版） ，2018（9）：206-208.

[3] 周小新.论校园无线网络安全存在的问题和对策[J].科技资讯，2017，15（25）：30，32.