◆馮泉博 王 黎

（淄博理工學校 山東 255100）

校園移動互聯(lián)網(wǎng)絡安全認證及若干關(guān)鍵技術(shù)

◆馮泉博 王 黎

（淄博理工學校 山東 255100）

隨著我國在移動互聯(lián)網(wǎng)上的大力投入，移動互聯(lián)網(wǎng)絡得到了廣泛的應用。本文首先闡述了校園移動互聯(lián)網(wǎng)安全建設的重要性，在此基礎(chǔ)上，分析校園移動互聯(lián)網(wǎng)絡安全認證及其關(guān)鍵性技術(shù)，對提升校園移動互聯(lián)網(wǎng)絡安全級別有良好借鑒作用。

移動互聯(lián)；無線通道；WIFI技術(shù)

0 引言

眾所周知，校園移動互聯(lián)網(wǎng)的發(fā)展規(guī)模正在不斷擴大，與之相關(guān)的移動互聯(lián)網(wǎng)的終端設備種類和數(shù)量更豐富，甚至出現(xiàn)了傳播速度達到100M以上的高性能通訊，這些都促使移動和無線的應用更加廣泛。在大規(guī)模采用組播服務、服務QOS和各種大規(guī)模實時交互應用的同時，也引發(fā)了移動互聯(lián)網(wǎng)的安全問題。為此，必須全面認識校園移動互聯(lián)網(wǎng)的安全現(xiàn)狀，有針對性地選取安全認證技術(shù)，為移動互聯(lián)網(wǎng)的安全應用保駕護航。

1 校園移動互聯(lián)網(wǎng)安全認證的重要性

在傳統(tǒng)的互聯(lián)網(wǎng)時代，用戶必須擁有電腦和網(wǎng)絡才能實現(xiàn)互聯(lián)網(wǎng)訪問，現(xiàn)代校園學習和生活節(jié)奏快，教師和學生擁有很多移動設備，這都決定了開展互聯(lián)網(wǎng)安全建設具有重要意義。

1.1 校園移動互聯(lián)網(wǎng)點多面廣、教學場所分散

隨著我國大力開展教學改革和教育領(lǐng)域向民間資源傾斜，造成我國校園的教學場所、實驗場所、生活區(qū)域規(guī)模不斷擴大，而除了一部分高水平的綜合教學樓外，校園的其他場所與教學機構(gòu)都是獨立存在、互為個體，而校園相對人群密度高、所涉及的年級和班級眾多，都決定了校園建筑點多面廣、教學生活建筑分散的格局。這種狀況的出現(xiàn)，促進了校園移動互聯(lián)網(wǎng)的飛速發(fā)展，充分展現(xiàn)了移動互聯(lián)網(wǎng)的技術(shù)優(yōu)勢。當然，校園點多面廣的分散布局也給移動互聯(lián)網(wǎng)的安全帶來了重大隱患。

1.2 校園的信息化保密程度高、安全漏洞眾多

校園作為授業(yè)解惑的場所，是文化傳承和學業(yè)傳授的主要途徑，它集中了中國最優(yōu)秀的教師隊伍、學生力量和教學設備，我國在校園開展的信息化建設和網(wǎng)絡通訊建設，保證了計算機網(wǎng)絡已在校園的全覆蓋，計算機終端數(shù)量龐大，基于校園師生教學和生活的管理信息系統(tǒng)、網(wǎng)上辦公系統(tǒng)、數(shù)字圖書館、網(wǎng)絡教學平臺和網(wǎng)絡服務也日趨完善和優(yōu)化。根據(jù)校園移動互聯(lián)網(wǎng)的局域網(wǎng)特性和安全特征，需要校園移動互聯(lián)網(wǎng)加強應用管理、系統(tǒng)用戶管理與認證、訪問權(quán)限管理和數(shù)據(jù)交換管理，實現(xiàn)校園的信息化管理。

1.3 院校的信息化涉密程度深、涉密渠道廣泛

我國在教育領(lǐng)域正在開展信息化教育和素質(zhì)教育，它需要各級院校的教師掌握先進的教學理論和專業(yè)知識，需要開展繁多的學術(shù)研究和教學交流，它涉及到教學資源、教師、學生的廣泛交流和互動，大量涉密計算機、涉密計算機信息系統(tǒng)及涉密移動終端都處于保密信息泄露的風險中。此外，院校的教學研究論文、實驗室的高等科研數(shù)據(jù)、數(shù)字圖書館保管的項目資料都屬于涉密機密，需要院校認真加強校園移動互聯(lián)網(wǎng)的安全認證工作，加強對于涉密計算機、涉密移動終端、涉密信息系統(tǒng)的安全管理，提高安全訪問的級別。

2 校園移動互聯(lián)網(wǎng)絡安全認證體系

校園移動互聯(lián)網(wǎng)作為一種相對封閉的局域網(wǎng)環(huán)境，它也不可避免受到網(wǎng)內(nèi)、網(wǎng)外各種網(wǎng)絡攻擊和人為破壞，需要校園移動互聯(lián)網(wǎng)的管理者加強安全意識，組建具有現(xiàn)實意義的安全認證體系。

2.1 加強校園移動互聯(lián)網(wǎng)的身份認證管理

目前，在我國院校的互聯(lián)網(wǎng)系統(tǒng)中，系統(tǒng)管理者往往通過網(wǎng)關(guān)來實現(xiàn)權(quán)限分級和身份認證，管控教師和學生對于外部互聯(lián)網(wǎng)的訪問，加強對于校園局域網(wǎng)內(nèi)信息系統(tǒng)的訪問權(quán)限控制。在移動互聯(lián)網(wǎng)加入到校園網(wǎng)后，傳統(tǒng)的有線管理系統(tǒng)認證就失去了意義。目前，校園網(wǎng)的管理員往往通過WEB PORTAL方式來進行無線網(wǎng)絡環(huán)境中的身份認證管理，而通過共享系統(tǒng)數(shù)據(jù)庫中身份認證系統(tǒng)的用戶名和密碼的形式實現(xiàn)訪問權(quán)限的管理，還可以通過支持SNMP工具的無線互聯(lián)網(wǎng)管理軟件來構(gòu)建OPEN VIEW體系，搭建無線網(wǎng)絡的統(tǒng)一管理平臺。

2.2 強化校園移動互聯(lián)網(wǎng)的信息通道選擇

在校園網(wǎng)的移動互聯(lián)網(wǎng)管理中，強化對于信息通道的選擇也是安全認證的重要舉措。我們的校園人口密度大、無線覆蓋程度高、移動終端設備眾多，在使用校園移動互聯(lián)網(wǎng)的時候，往往會出現(xiàn)多個移動終端共用一個信息通道，這樣大大了降低用戶體驗，也會帶來潛在的信息泄露。針對這種狀況，可以在移動互聯(lián)網(wǎng)的IEEE802.11B/G標準中加強信息通道選擇，在移動互聯(lián)網(wǎng)的設置界面中根據(jù)無線通道的使用頻率，安排諸如：1、6、11或者13等不常用的無線通道，減少由于不同信息通道之間的干擾造成的網(wǎng)絡中斷狀況，也規(guī)避因為頻繁訪問信息通道帶來的安全隱患。

2.3 提高校園移動互聯(lián)網(wǎng)絡的配置和監(jiān)管

在校園移動互聯(lián)網(wǎng)的安全認證中，其中重要環(huán)節(jié)就是對于移動互聯(lián)網(wǎng)設備的配置管理，它涉及到移動互聯(lián)網(wǎng)設備的自適應功能和消除網(wǎng)絡冗余功能，需要網(wǎng)絡管理員加強對于移動互聯(lián)網(wǎng)設備的維護和優(yōu)化，提高對于設備周邊頻譜環(huán)境監(jiān)測，開展有效的網(wǎng)絡性能優(yōu)化，開展基于VPN、網(wǎng)絡廣播等疏導技術(shù)，有效消除網(wǎng)絡冗余。在網(wǎng)絡系統(tǒng)的監(jiān)管方面，可以借助ARUBA的防火墻架構(gòu)，來提高移動互聯(lián)網(wǎng)的安全級別，通過站點勘查工具或者網(wǎng)絡分析儀來監(jiān)測無線接入點，防止無線AP超載或者惡意攻擊，從而影響移動互聯(lián)網(wǎng)的整體吞吐量。

3 校園移動互聯(lián)網(wǎng)安全認證的關(guān)鍵技術(shù)

在校園互聯(lián)網(wǎng)安全建設中，應當積極應用對象識別、身份認證和網(wǎng)絡授權(quán)、數(shù)據(jù)加密和驗證等安全認證技術(shù)，真正保證校園移動互聯(lián)網(wǎng)絡的安全。

3.1 基于WIFI技術(shù)的移動校園網(wǎng)建設

校園移動互聯(lián)網(wǎng)的重要特征就是WIIF技術(shù)的應用，它需要校園局域網(wǎng)結(jié)合著無線局域網(wǎng)的通信設備來創(chuàng)建，從而保證校園區(qū)域WIFI網(wǎng)絡的全覆蓋，確保校園無線網(wǎng)的安全性。首先，在無線設備選擇中，根據(jù)校園網(wǎng)絡的特征和應用人群的特點，應該選用支持IEEE802.11B/G標準的無線AP設備，采取WEP加密、支持WPA-PSK/WP2K-PSK的多方面安全機制，而在路由器選擇上，集中選擇具有高等防火墻特性的設備。其次，在安全技術(shù)和認證技術(shù)選擇上，應該運用WPA2-PSK的加密方式來加強無線AP的監(jiān)管，還可以利用無線路由器中的密鑰管理技術(shù)、身份認證技術(shù)、MAC地址登記方式來提高校園無線網(wǎng)的認證力度，打擊針對校園無線網(wǎng)的惡意攻擊。

3.2 加強數(shù)據(jù)信息安全和網(wǎng)絡共享資源設計

目前，校園移動互聯(lián)網(wǎng)的應用集中于信息系統(tǒng)、教學平臺和生活資源的使用，而校園網(wǎng)絡不是單純封閉的校園網(wǎng)，它通過大量自建的局域網(wǎng)與外部互聯(lián)網(wǎng)實現(xiàn)連接，需要加強數(shù)據(jù)信息安全認證和網(wǎng)絡共享資源設計。針對這個問題，校園移動互聯(lián)網(wǎng)大多采用VLAN設計和物理隔離的方式來實現(xiàn)。通過VLAN技術(shù)可以實現(xiàn)無線網(wǎng)段的邏輯隔斷，根據(jù)用戶組實現(xiàn)虛擬工作組劃分。通過VLAN技術(shù)，可以實現(xiàn)校園移動互聯(lián)網(wǎng)的單獨用戶不需要在一個物理空間內(nèi)，也可以實現(xiàn)虛擬動態(tài)分組，而在一個VLAN段內(nèi)的網(wǎng)絡廣播和無線AP超載不會影響到其他VLAN段。通過在校園內(nèi)建立服務器機房，可以實現(xiàn)網(wǎng)絡資源的分片管理，尤其是實驗室數(shù)據(jù)、教學資源和數(shù)字圖書館等重要網(wǎng)絡數(shù)據(jù)可以通過物理隔斷實現(xiàn)移動互聯(lián)網(wǎng)用戶的權(quán)限管理，保證網(wǎng)絡共享資源不會和外部互聯(lián)網(wǎng)發(fā)生接觸，最大限度地保證了網(wǎng)絡共享資源的安全。

3.3 通過VPN技術(shù)實現(xiàn)校園網(wǎng)的網(wǎng)絡互通

校園網(wǎng)不是單純的局域網(wǎng)環(huán)境，如何保證教研電腦、實驗室操作電腦和網(wǎng)絡系統(tǒng)服務器的安全性，成為了擺在廣大校園移動互聯(lián)網(wǎng)管理者面前的頭等大事。目前，在校園移動互聯(lián)網(wǎng)中廣泛應用VPN網(wǎng)關(guān)來實現(xiàn)國際互聯(lián)網(wǎng)與校園移動互聯(lián)網(wǎng)的互聯(lián)互通。教師在外面學術(shù)交流或者辦公時，可以通過移動智能終端的VPN軟件連接到本地的Internet，當移動終端訪問校園移動互聯(lián)網(wǎng)時，就需要通過VPN網(wǎng)關(guān)的認證，才能進入校園骨干網(wǎng)的DMZ區(qū)，從而實現(xiàn)校園服務器的訪問和數(shù)據(jù)調(diào)取。此外，為了最大限度保護校園移動互聯(lián)網(wǎng)的安全性，在移動互聯(lián)網(wǎng)的各個子網(wǎng)都設立了防火墻，而在DMZ區(qū)則設立了嚴格的身份認證系統(tǒng)，CA中心則用于向訪問校園網(wǎng)的合法用戶授權(quán)，配置相應的登錄信息，并記錄其訪問日記，最大程度加強了系統(tǒng)的安全性。

4 結(jié)束語

總之，隨著校園無線網(wǎng)絡的高密度覆蓋、智能終端的迅猛普及和移動互聯(lián)網(wǎng)技術(shù)的日趨完善，移動互聯(lián)網(wǎng)已經(jīng)演變成校園主流的社交工具和教學助手。在認清校園移動互聯(lián)網(wǎng)的發(fā)展現(xiàn)狀的前提下，加強互聯(lián)網(wǎng)安全認證，加強關(guān)鍵技術(shù)的應用，才能保證校園移動互聯(lián)網(wǎng)的安全有序發(fā)展，真正服務于校園移動互聯(lián)網(wǎng)的建設。

[1]張瑩.移動互聯(lián)網(wǎng)絡安全認證及安全應用中若干關(guān)鍵技術(shù)研究[J].無線互聯(lián)科技，2016.

[2]沈清濤.移動互聯(lián)網(wǎng)絡安全認證及安全應用中若干關(guān)鍵技術(shù)研究[J].網(wǎng)絡安全技術(shù)與應用，2016.

[3]陳杰新.校園網(wǎng)絡安全技術(shù)研究與應用[D].吉林大學，2010.

[4]張婧.WiFi網(wǎng)絡實名認證的方法研究和實現(xiàn)[J].計算機工程與科學，2012.