3.1.3 IPSec

　　IPSec [4](IP Security)不是单一的协议或算法,而是实现加密的加密标准的集合。它定义了一个系统，提供安全协议选择、安全算法，确定服务所使用密钥等服务，在IP层提供安全保障,而与任何上层应用和传输层无关。

　　IPSec将安全服务/密钥与要保护的通信数据联系到一起, 同时也将远端通信实体和这些受IPSec保护的通信数据联系到一起, 此种保护方案称为安全联盟(SA ,Security Association)。安全联盟定义了数据保护中使用的协议和算法以及有效时间等属性。

　　3.2 密钥管理技术

　　密钥管理技术的主要任务是在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术分为SAKMP和OAKLEY两种。

　　4 基于VPN技术的无线校园网

　　4.1 无线校园网的现状

　　传统无线校园网主要由交换机加AP构成，通过单一CPU结构，实现无线局域网的功能。它仅在终端计算机和AP间提供加密技术，而在交换机和AP间数据的传输没有经过加密处理，因此，无法保障安全、可靠的传输数据,如图1所示。

　　图1 传统无线校园网数据传输模型

　　现有无线网络存在着下列弊病：

　　①由于无线网的安全配置储存在AP中，包括加密的密钥，Radius客户端的安全密码(secret)等，一旦AP中的安全配置信息被人盗取，无线网络安全就会受到威胁;

　　②不能提供真正的安全移动，如无法实现AP与AP间的协调，以智能方式自动调整各个AP的无线电波频道和功率等;

　　③没有无线入侵侦测保护系统;

　　④断层的无线网管理，管理员无法直观地监控和调试每处AP的使用情况。

　　⑤对多个分校区的无线校园网不能进行统一网络管理。

　　4.2 基于VPN技术的无线校园网

　　基于VPN技术的无线校园网可将VPN相关技术集成到无线网交换机中，采用集中式网络结构，对所有设备进行统一管理，提升无线校园网的安全性，如图2所示。

　　图2 基于VPN技术的无线校园网