校園網(wǎng)無線雙接入、雙認(rèn)證、雙運(yùn)營設(shè)計(jì)與實(shí)施

利用有線網(wǎng)絡(luò)中的匯聚層和核心層設(shè)備的路由功能，將不同類得用戶數(shù)據(jù)信息路由到不同的認(rèn)證系統(tǒng)進(jìn)行用戶認(rèn)證，以實(shí)現(xiàn)網(wǎng)絡(luò)的雙認(rèn)證功能，如圖所示。VLAN1的數(shù)據(jù)被路由到本地服務(wù)器進(jìn)行出口的WEB認(rèn)證，WEB認(rèn)證服務(wù)器設(shè)在校園網(wǎng)的出口，學(xué)校用戶只有使用正確的賬號和密碼才能訪問外部資源，而校內(nèi)的資源不需要認(rèn)證就可以使用。

VLAN2的數(shù)據(jù)信息被路由到運(yùn)營商的遠(yuǎn)程RADIUS認(rèn)證系統(tǒng)進(jìn)行認(rèn)證，要求無線客戶端得SSID網(wǎng)絡(luò)使用遠(yuǎn)程MAC地址認(rèn)證方式接入因特網(wǎng)。RADIUS服務(wù)器擔(dān)當(dāng)認(rèn)證、授權(quán)、計(jì)費(fèi)服務(wù)的職責(zé)。

雙運(yùn)營安全策略

目前無線設(shè)備一般支持三種加密技術(shù)策略：WEP加密、TKIP加密、CCMP加密。WEP加密的目的是對無線網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)進(jìn)行加密，希望達(dá)到有線網(wǎng)絡(luò)同樣的安全效果，根據(jù)密鑰產(chǎn)生的方式，又可分為靜態(tài)WEP加密和動態(tài)WEP加密。

靜態(tài)WEP加密技術(shù)是使用RC4串流技術(shù)對數(shù)據(jù)進(jìn)行加密，而動態(tài)WEP加密則必須與802.1X認(rèn)證方式綁定使用，并且RIDIUS服務(wù)器定期強(qiáng)制客戶端重新驗(yàn)證并生成新的密鑰。

TKIP加密是在802.1X/EAP構(gòu)架下，認(rèn)證服務(wù)器接受了用戶身份后，使用802.1X產(chǎn)生一個唯一的主密鑰來處理會話，并通過安全通道分發(fā)到AP和客戶端，形成一個密鑰架構(gòu)管理系統(tǒng)，通過主密鑰可動態(tài)生成一個唯一的數(shù)據(jù)加密密鑰，對無線網(wǎng)絡(luò)上的數(shù)據(jù)進(jìn)行加密。

CCMP加密是基于AES加密算法，結(jié)合了用于加密的CTR和用于認(rèn)證、完整性的加密塊鏈接消息認(rèn)證碼，給無線網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)提供加密、認(rèn)證、完整性保護(hù)功能。CMP中的AES塊加密算法使用128位的密鑰和128位的塊大小。

CCMP包含了一套動態(tài)密鑰協(xié)商和管理方法，每一個無線用戶都會動態(tài)的協(xié)商一套密鑰，而且密鑰可以定時(shí)進(jìn)行更新，進(jìn)一步提供了CCMP加密機(jī)制的安全性。在加密處理過程中，CCMP也會使用48位的PN(Packet Number)機(jī)制，保證每一個加密報(bào)文都會是用不同的PN，在一定程度上提高了無線網(wǎng)絡(luò)的安全性。