基于無(wú)感知的校園無(wú)線(xiàn)網(wǎng)絡(luò)認(rèn)證策略研究

胡建龍　王莎莎　王宇翔

摘 要：校園無(wú)線(xiàn)網(wǎng)絡(luò)建設(shè)是未來(lái)校園網(wǎng)基礎(chǔ)網(wǎng)絡(luò)建設(shè)的重點(diǎn)，無(wú)線(xiàn)網(wǎng)絡(luò)接入是未來(lái)校園網(wǎng)用戶(hù)上網(wǎng)的主要接入方式。通過(guò)對(duì)校園網(wǎng)主流認(rèn)證方式802.1X認(rèn)證、Portal認(rèn)證及MAC認(rèn)證優(yōu)缺點(diǎn)的分析，提出使用Portal+MAC認(rèn)證的方式實(shí)現(xiàn)用戶(hù)的無(wú)感知認(rèn)證，在用戶(hù)不參與操作的情況下完成身份認(rèn)證，提高了用戶(hù)體驗(yàn)。

關(guān)鍵詞：無(wú)線(xiàn)網(wǎng) 無(wú)感知 認(rèn)證

中圖分類(lèi)號(hào)：TP393.0 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2015）11（b）-0120-02

Abstract：Campus wireless network construction is the future campus network focused on network infrastructure， wireless network access is the future of the main campus network usersInternet access. Through the mainstream campus network authentication 802.1X authentication， Portal authentication and MAC authentication analyze the advantages and disadvantages of proposed use Portal + MAC authentication means to achieve userauthentication without perception， identity authentication in case the user does not participate in the operation， to improve the user experience.

Key Words：Wireless network；No perception；Authentication

隨著信息技術(shù)的發(fā)展和高校信息化進(jìn)程的推進(jìn)，校園網(wǎng)建設(shè)已經(jīng)進(jìn)入了一個(gè)新的階段。校園網(wǎng)用戶(hù)已經(jīng)不滿(mǎn)足于僅僅使用臺(tái)式機(jī)和筆記本在布有固定信息點(diǎn)的區(qū)域上網(wǎng)，而是希望使用手機(jī)、平板電腦等手持終端在校園里隨時(shí)隨地輕松地接入網(wǎng)絡(luò)。對(duì)于校園網(wǎng)的規(guī)劃者和建設(shè)者而言，校園無(wú)線(xiàn)網(wǎng)絡(luò)的建設(shè)迫在眉睫。在現(xiàn)階段，校園無(wú)線(xiàn)網(wǎng)絡(luò)建設(shè)已經(jīng)不僅僅是有線(xiàn)網(wǎng)絡(luò)的補(bǔ)充，而是未來(lái)校園網(wǎng)的主要接入方式，是校園網(wǎng)基礎(chǔ)設(shè)施建設(shè)的重點(diǎn)。而對(duì)于校園無(wú)線(xiàn)網(wǎng)絡(luò)建設(shè)而言，如何向用戶(hù)提供方便、安全的認(rèn)證方式，正是目前無(wú)線(xiàn)網(wǎng)絡(luò)建設(shè)中的一個(gè)重要研究課題。

1 校園無(wú)線(xiàn)網(wǎng)絡(luò)認(rèn)證方式現(xiàn)狀分析

目前，在高校的校園無(wú)線(xiàn)網(wǎng)環(huán)境下，比較主流的認(rèn)證方式有802.1X認(rèn)證，Portal認(rèn)證和MAC地址認(rèn)證。

1.1 802.1x認(rèn)證

802.1x認(rèn)證是基于C/S架構(gòu)的訪問(wèn)控制和認(rèn)證模式，它可以通過(guò)接入設(shè)備的端口對(duì)未通過(guò)認(rèn)證的用戶(hù)進(jìn)行限制。配置了802.1x協(xié)議的交換機(jī)端口被分為物理端口和邏輯端口兩部分，在認(rèn)證成功之前，雖然物理端口是打開(kāi)的，但邏輯端口處于關(guān)閉狀態(tài)。此時(shí)，物理端口只允許EAPoL數(shù)據(jù)包通過(guò)，當(dāng)認(rèn)證成功以后，邏輯端口打開(kāi)，允許正常數(shù)據(jù)包通過(guò)。

802.1x認(rèn)證方式，用戶(hù)終端需要安裝客戶(hù)端，適用于臺(tái)式機(jī)、筆記本等個(gè)人PC，常用于有線(xiàn)網(wǎng)絡(luò)和胖AP模式的無(wú)線(xiàn)網(wǎng)絡(luò)。

1.2 Portal認(rèn)證

Portal認(rèn)證方式是最常用、最便捷的認(rèn)證方式，在認(rèn)證過(guò)程中，用戶(hù)無(wú)需在終端上安裝客戶(hù)端，直接通過(guò)瀏覽器進(jìn)行認(rèn)證。用戶(hù)在認(rèn)證成功之前，所有的http請(qǐng)求均被重定向到Portal認(rèn)證頁(yè)面，認(rèn)證成功后方可訪問(wèn)網(wǎng)絡(luò)資源。Portal認(rèn)證模式在校園無(wú)線(xiàn)網(wǎng)絡(luò)環(huán)境中部署較多。

1.3 MAC地址認(rèn)證

MAC地址認(rèn)證是以用戶(hù)終端的MAC地址作為特征，對(duì)用戶(hù)的合法性進(jìn)行驗(yàn)證。網(wǎng)絡(luò)管理人員需要在接入交換機(jī)內(nèi)部或者是遠(yuǎn)程數(shù)據(jù)庫(kù)維護(hù)一張MAC地址表，將所有需要接入網(wǎng)絡(luò)的終端MAC地址記錄下來(lái)。當(dāng)有用戶(hù)接入網(wǎng)絡(luò)時(shí)，首先要驗(yàn)證其終端的MAC地址是否與MAC地址表中的地址匹配，只有匹配成功的終端才被允許訪問(wèn)網(wǎng)絡(luò)，在小規(guī)模的無(wú)線(xiàn)網(wǎng)絡(luò)環(huán)境下，MAC地址認(rèn)證方式方便、快捷，較為實(shí)用。

以上3種認(rèn)證方式是目前校園網(wǎng)環(huán)境中使用比較多的，但對(duì)于以無(wú)線(xiàn)接入方式為主的移動(dòng)終端來(lái)說(shuō)，3種認(rèn)證方式各有弊端。其中，802.1x認(rèn)證方式需要安裝客戶(hù)端軟件，對(duì)終端操作系統(tǒng)版本及接入設(shè)備類(lèi)型的要求較多，不夠靈活。Portal認(rèn)證方式相對(duì)較為便捷、安全，但用戶(hù)在每次上網(wǎng)之前，都需要通過(guò)瀏覽器打開(kāi)認(rèn)證頁(yè)面，輸入用戶(hù)名、密碼進(jìn)行認(rèn)證，對(duì)于手機(jī)APP軟件來(lái)說(shuō)，此認(rèn)證過(guò)程較為繁瑣。MAC地址認(rèn)證方式兼容性較好，認(rèn)證過(guò)程簡(jiǎn)單，但存在被黑客偽造MAC地址的情況，安全性較差。

2 無(wú)感知認(rèn)證方式

隨著無(wú)線(xiàn)網(wǎng)絡(luò)應(yīng)用越來(lái)越廣泛，在當(dāng)前校園無(wú)線(xiàn)網(wǎng)絡(luò)建設(shè)中，如何部署認(rèn)證系統(tǒng)，使得在認(rèn)證過(guò)程中降低操作的復(fù)雜度，減少用戶(hù)的參與度，做到用戶(hù)無(wú)感知的情況下完成身份認(rèn)證，是目前業(yè)界較為關(guān)注的課題。

經(jīng)過(guò)對(duì)主流認(rèn)證方式特點(diǎn)的分析，結(jié)合筆者學(xué)校無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)備實(shí)際情況，選擇使用Portal+MAC組合的認(rèn)證方式，通過(guò)兩次認(rèn)證，實(shí)現(xiàn)首次認(rèn)證用戶(hù)參與、后續(xù)認(rèn)證自動(dòng)完成的無(wú)感知認(rèn)證。

具體認(rèn)證過(guò)程如圖1所示。

（1）用戶(hù)首次連接SSID時(shí)，由用戶(hù)終端向AC發(fā)起認(rèn)證請(qǐng)求，AC獲取用戶(hù)終端的MAC地址并向RADIUS服務(wù)器發(fā)起MAC認(rèn)證請(qǐng)求，此時(shí)，由于RADIUS服務(wù)器的數(shù)據(jù)庫(kù)中尚未記錄用戶(hù)終端的MAC地址，因此會(huì)拒絕認(rèn)證，MAC地址認(rèn)證失敗。

（2）當(dāng)用戶(hù)訪問(wèn)瀏覽器訪問(wèn)網(wǎng)絡(luò)時(shí)，AC查找之前的MAC地址認(rèn)證失敗記錄，攔截用戶(hù)的URL請(qǐng)求，并將其重定向至Portal認(rèn)證頁(yè)面，提示用戶(hù)輸入賬號(hào)、密碼。

（3）Portal服務(wù)器將接收到的賬號(hào)、密碼信息以Portal協(xié)議發(fā)送給AC，由AC向RADIUS發(fā)起認(rèn)證請(qǐng)求，認(rèn)證成功后，RADIUS服務(wù)器后臺(tái)數(shù)據(jù)庫(kù)將記錄此用戶(hù)的賬號(hào)、MAC地址等信息。

（4）用戶(hù)在后續(xù)連接SSID時(shí)，依然先由AC向RADIUS服務(wù)器發(fā)送MAC認(rèn)證請(qǐng)求，此時(shí)由于RADIUS服務(wù)器后臺(tái)數(shù)據(jù)庫(kù)已有用戶(hù)的賬號(hào)、MAC地址等信息的記錄，認(rèn)證成功，用戶(hù)上線(xiàn)，不需要再進(jìn)行Portal認(rèn)證。后續(xù)認(rèn)證是在用戶(hù)連接SSID后，由終端、AC、RADIUS自動(dòng)完成的，不需要用戶(hù)進(jìn)行參與，因此對(duì)用戶(hù)來(lái)說(shuō)是無(wú)感知的。

從認(rèn)證過(guò)程中可以看到，無(wú)感知認(rèn)證不是免認(rèn)證，是在認(rèn)證過(guò)程中減少用戶(hù)的參與度，降低操作的復(fù)雜度，在用戶(hù)毫無(wú)感知的情況下完成的身份認(rèn)證，既保證了對(duì)用戶(hù)上網(wǎng)的安全管理，同時(shí)提高了用戶(hù)的上網(wǎng)體驗(yàn)，適合于為教師和學(xué)生服務(wù)的校園無(wú)線(xiàn)網(wǎng)環(huán)境。

3 結(jié)語(yǔ)

無(wú)線(xiàn)網(wǎng)絡(luò)全覆蓋是未來(lái)校園網(wǎng)建設(shè)的大趨勢(shì)，在建設(shè)校園無(wú)線(xiàn)網(wǎng)的過(guò)程中，如何更好地方便用戶(hù)使用，提高用戶(hù)體驗(yàn)，是校園無(wú)線(xiàn)網(wǎng)建設(shè)者應(yīng)該思考的問(wèn)題。無(wú)感知認(rèn)證方式，將Portal認(rèn)證方式的安全性與MAC認(rèn)證方式的便捷性相結(jié)合，提高了用戶(hù)體驗(yàn)。但是，無(wú)感知認(rèn)證是在用戶(hù)不知情的情況下完成的，對(duì)于按流量或按時(shí)長(zhǎng)計(jì)費(fèi)的高校來(lái)說(shuō)，會(huì)在用戶(hù)不知情的情況下產(chǎn)生流量或上網(wǎng)時(shí)長(zhǎng)，造成用戶(hù)經(jīng)濟(jì)損失。因此，在部署無(wú)感知認(rèn)證的校園無(wú)線(xiàn)網(wǎng)絡(luò)環(huán)境下，需要結(jié)合該校實(shí)際情況，合理地設(shè)置用戶(hù)下線(xiàn)策略和計(jì)費(fèi)模式，才能避免用戶(hù)流量或上網(wǎng)時(shí)長(zhǎng)的損失，提高用戶(hù)使用的滿(mǎn)意度。

參考文獻(xiàn)

[1] 楊秀梅，鄭劍.校園無(wú)線(xiàn)網(wǎng)部署方案研究[J].華東師范大學(xué)學(xué)報(bào)：自然科學(xué)版，2015（s1）：174-179.

[2] 劉長(zhǎng)瑞，聶明.無(wú)感知WLAN業(yè)務(wù)認(rèn)證方式的分析[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2012（8）：25-29.

[3] 邱知文，張杰.基于校園無(wú)線(xiàn)網(wǎng)的BYOD認(rèn)證系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用與軟件，2015（2）：94-96，147.

[4] 柏軍洋，杜慶東.校園網(wǎng)認(rèn)證系統(tǒng)的安全分析與研究[J].沈陽(yáng)師范大學(xué)學(xué)報(bào)：自然科學(xué)版，2013（2）：263-267.

[5] 梁根.基于RADIUS的校園網(wǎng)認(rèn)證管理系統(tǒng)的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)技術(shù)與發(fā)展，2006（6）：43-44，47.