校園移動互聯網絡安全認證及若干關鍵技術

◆馮泉博 王 黎

（淄博理工學校 山東 255100）

校園移動互聯網絡安全認證及若干關鍵技術

◆馮泉博 王 黎

（淄博理工學校 山東 255100）

隨著我國在移動互聯網上的大力投入，移動互聯網絡得到了廣泛的應用。本文首先闡述了校園移動互聯網安全建設的重要性，在此基礎上，分析校園移動互聯網絡安全認證及其關鍵性技術，對提升校園移動互聯網絡安全級別有良好借鑒作用。

移動互聯；無線通道；WIFI技術

0 引言

眾所周知，校園移動互聯網的發展規模正在不斷擴大，與之相關的移動互聯網的終端設備種類和數量更豐富，甚至出現了傳播速度達到100M以上的高性能通訊，這些都促使移動和無線的應用更加廣泛。在大規模采用組播服務、服務QOS和各種大規模實時交互應用的同時，也引發了移動互聯網的安全問題。為此，必須全面認識校園移動互聯網的安全現狀，有針對性地選取安全認證技術，為移動互聯網的安全應用保駕護航。

1 校園移動互聯網安全認證的重要性

在傳統的互聯網時代，用戶必須擁有電腦和網絡才能實現互聯網訪問，現代校園學習和生活節奏快，教師和學生擁有很多移動設備，這都決定了開展互聯網安全建設具有重要意義。

1.1 校園移動互聯網點多面廣、教學場所分散

隨著我國大力開展教學改革和教育領域向民間資源傾斜，造成我國校園的教學場所、實驗場所、生活區域規模不斷擴大，而除了一部分高水平的綜合教學樓外，校園的其他場所與教學機構都是獨立存在、互為個體，而校園相對人群密度高、所涉及的年級和班級眾多，都決定了校園建筑點多面廣、教學生活建筑分散的格局。這種狀況的出現，促進了校園移動互聯網的飛速發展，充分展現了移動互聯網的技術優勢。當然，校園點多面廣的分散布局也給移動互聯網的安全帶來了重大隱患。

1.2 校園的信息化保密程度高、安全漏洞眾多

校園作為授業解惑的場所，是文化傳承和學業傳授的主要途徑，它集中了中國最優秀的教師隊伍、學生力量和教學設備，我國在校園開展的信息化建設和網絡通訊建設，保證了計算機網絡已在校園的全覆蓋，計算機終端數量龐大，基于校園師生教學和生活的管理信息系統、網上辦公系統、數字圖書館、網絡教學平臺和網絡服務也日趨完善和優化。根據校園移動互聯網的局域網特性和安全特征，需要校園移動互聯網加強應用管理、系統用戶管理與認證、訪問權限管理和數據交換管理，實現校園的信息化管理。

1.3 院校的信息化涉密程度深、涉密渠道廣泛

我國在教育領域正在開展信息化教育和素質教育，它需要各級院校的教師掌握先進的教學理論和專業知識，需要開展繁多的學術研究和教學交流，它涉及到教學資源、教師、學生的廣泛交流和互動，大量涉密計算機、涉密計算機信息系統及涉密移動終端都處于保密信息泄露的風險中。此外，院校的教學研究論文、實驗室的高等科研數據、數字圖書館保管的項目資料都屬于涉密機密，需要院校認真加強校園移動互聯網的安全認證工作，加強對于涉密計算機、涉密移動終端、涉密信息系統的安全管理，提高安全訪問的級別。

2 校園移動互聯網絡安全認證體系

校園移動互聯網作為一種相對封閉的局域網環境，它也不可避免受到網內、網外各種網絡攻擊和人為破壞，需要校園移動互聯網的管理者加強安全意識，組建具有現實意義的安全認證體系。

2.1 加強校園移動互聯網的身份認證管理

目前，在我國院校的互聯網系統中，系統管理者往往通過網關來實現權限分級和身份認證，管控教師和學生對于外部互聯網的訪問，加強對于校園局域網內信息系統的訪問權限控制。在移動互聯網加入到校園網后，傳統的有線管理系統認證就失去了意義。目前，校園網的管理員往往通過WEB PORTAL方式來進行無線網絡環境中的身份認證管理，而通過共享系統數據庫中身份認證系統的用戶名和密碼的形式實現訪問權限的管理，還可以通過支持SNMP工具的無線互聯網管理軟件來構建OPEN VIEW體系，搭建無線網絡的統一管理平臺。

2.2 強化校園移動互聯網的信息通道選擇

在校園網的移動互聯網管理中，強化對于信息通道的選擇也是安全認證的重要舉措。我們的校園人口密度大、無線覆蓋程度高、移動終端設備眾多，在使用校園移動互聯網的時候，往往會出現多個移動終端共用一個信息通道，這樣大大了降低用戶體驗，也會帶來潛在的信息泄露。針對這種狀況，可以在移動互聯網的IEEE802.11B/G標準中加強信息通道選擇，在移動互聯網的設置界面中根據無線通道的使用頻率，安排諸如：1、6、11或者13等不常用的無線通道，減少由于不同信息通道之間的干擾造成的網絡中斷狀況，也規避因為頻繁訪問信息通道帶來的安全隱患。

2.3 提高校園移動互聯網絡的配置和監管

在校園移動互聯網的安全認證中，其中重要環節就是對于移動互聯網設備的配置管理，它涉及到移動互聯網設備的自適應功能和消除網絡冗余功能，需要網絡管理員加強對于移動互聯網設備的維護和優化，提高對于設備周邊頻譜環境監測，開展有效的網絡性能優化，開展基于VPN、網絡廣播等疏導技術，有效消除網絡冗余。在網絡系統的監管方面，可以借助ARUBA的防火墻架構，來提高移動互聯網的安全級別，通過站點勘查工具或者網絡分析儀來監測無線接入點，防止無線AP超載或者惡意攻擊，從而影響移動互聯網的整體吞吐量。

3 校園移動互聯網安全認證的關鍵技術

在校園互聯網安全建設中，應當積極應用對象識別、身份認證和網絡授權、數據加密和驗證等安全認證技術，真正保證校園移動互聯網絡的安全。

3.1 基于WIFI技術的移動校園網建設

校園移動互聯網的重要特征就是WIIF技術的應用，它需要校園局域網結合著無線局域網的通信設備來創建，從而保證校園區域WIFI網絡的全覆蓋，確保校園無線網的安全性。首先，在無線設備選擇中，根據校園網絡的特征和應用人群的特點，應該選用支持IEEE802.11B/G標準的無線AP設備，采取WEP加密、支持WPA-PSK/WP2K-PSK的多方面安全機制，而在路由器選擇上，集中選擇具有高等防火墻特性的設備。其次，在安全技術和認證技術選擇上，應該運用WPA2-PSK的加密方式來加強無線AP的監管，還可以利用無線路由器中的密鑰管理技術、身份認證技術、MAC地址登記方式來提高校園無線網的認證力度，打擊針對校園無線網的惡意攻擊。

3.2 加強數據信息安全和網絡共享資源設計

目前，校園移動互聯網的應用集中于信息系統、教學平臺和生活資源的使用，而校園網絡不是單純封閉的校園網，它通過大量自建的局域網與外部互聯網實現連接，需要加強數據信息安全認證和網絡共享資源設計。針對這個問題，校園移動互聯網大多采用VLAN設計和物理隔離的方式來實現。通過VLAN技術可以實現無線網段的邏輯隔斷，根據用戶組實現虛擬工作組劃分。通過VLAN技術，可以實現校園移動互聯網的單獨用戶不需要在一個物理空間內，也可以實現虛擬動態分組，而在一個VLAN段內的網絡廣播和無線AP超載不會影響到其他VLAN段。通過在校園內建立服務器機房，可以實現網絡資源的分片管理，尤其是實驗室數據、教學資源和數字圖書館等重要網絡數據可以通過物理隔斷實現移動互聯網用戶的權限管理，保證網絡共享資源不會和外部互聯網發生接觸，最大限度地保證了網絡共享資源的安全。

3.3 通過VPN技術實現校園網的網絡互通

校園網不是單純的局域網環境，如何保證教研電腦、實驗室操作電腦和網絡系統服務器的安全性，成為了擺在廣大校園移動互聯網管理者面前的頭等大事。目前，在校園移動互聯網中廣泛應用VPN網關來實現國際互聯網與校園移動互聯網的互聯互通。教師在外面學術交流或者辦公時，可以通過移動智能終端的VPN軟件連接到本地的Internet，當移動終端訪問校園移動互聯網時，就需要通過VPN網關的認證，才能進入校園骨干網的DMZ區，從而實現校園服務器的訪問和數據調取。此外，為了最大限度保護校園移動互聯網的安全性，在移動互聯網的各個子網都設立了防火墻，而在DMZ區則設立了嚴格的身份認證系統，CA中心則用于向訪問校園網的合法用戶授權，配置相應的登錄信息，并記錄其訪問日記，最大程度加強了系統的安全性。

4 結束語

總之，隨著校園無線網絡的高密度覆蓋、智能終端的迅猛普及和移動互聯網技術的日趨完善，移動互聯網已經演變成校園主流的社交工具和教學助手。在認清校園移動互聯網的發展現狀的前提下，加強互聯網安全認證，加強關鍵技術的應用，才能保證校園移動互聯網的安全有序發展，真正服務于校園移動互聯網的建設。

[1]張瑩.移動互聯網絡安全認證及安全應用中若干關鍵技術研究[J].無線互聯科技，2016.

[2]沈清濤.移動互聯網絡安全認證及安全應用中若干關鍵技術研究[J].網絡安全技術與應用，2016.

[3]陳杰新.校園網絡安全技術研究與應用[D].吉林大學，2010.

[4]張婧.WiFi網絡實名認證的方法研究和實現[J].計算機工程與科學，2012.