校园网无线双接入、双认证、双运营设计与实施

利用有线网络中的汇聚层和核心层设备的路由功能，将不同类得用户数据信息路由到不同的认证系统进行用户认证，以实现网络的双认证功能，如图所示。VLAN1的数据被路由到本地服务器进行出口的WEB认证，WEB认证服务器设在校园网的出口，学校用户只有使用正确的账号和密码才能访问外部资源，而校内的资源不需要认证就可以使用。

VLAN2的数据信息被路由到运营商的远程RADIUS认证系统进行认证，要求无线客户端得SSID网络使用远程MAC地址认证方式接入因特网。RADIUS服务器担当认证、授权、计费服务的职责。

双运营安全策略

目前无线设备一般支持三种加密技术策略：WEP加密、TKIP加密、CCMP加密。WEP加密的目的是对无线网络上传输的数据进行加密，希望达到有线网络同样的安全效果，根据密钥产生的方式，又可分为静态WEP加密和动态WEP加密。

静态WEP加密技术是使用RC4串流技术对数据进行加密，而动态WEP加密则必须与802.1X认证方式绑定使用，并且RIDIUS服务器定期强制客户端重新验证并生成新的密钥。

TKIP加密是在802.1X/EAP构架下，认证服务器接受了用户身份后，使用802.1X产生一个唯一的主密钥来处理会话，并通过安全通道分发到AP和客户端，形成一个密钥架构管理系统，通过主密钥可动态生成一个唯一的数据加密密钥，对无线网络上的数据进行加密。

CCMP加密是基于AES加密算法，结合了用于加密的CTR和用于认证、完整性的加密块链接消息认证码，给无线网络上传输的数据提供加密、认证、完整性保护功能。CMP中的AES块加密算法使用128位的密钥和128位的块大小。

CCMP包含了一套动态密钥协商和管理方法，每一个无线用户都会动态的协商一套密钥，而且密钥可以定时进行更新，进一步提供了CCMP加密机制的安全性。在加密处理过程中，CCMP也会使用48位的PN(Packet Number)机制，保证每一个加密报文都会是用不同的PN，在一定程度上提高了无线网络的安全性。