基于混合認(rèn)證的實(shí)驗(yàn)室無(wú)線接入方案

張薔（西北農(nóng)林科技大學(xué)風(fēng)景園林藝術(shù)學(xué)院 陜西楊凌 712100）

基于混合認(rèn)證的實(shí)驗(yàn)室無(wú)線接入方案

張薔（西北農(nóng)林科技大學(xué)風(fēng)景園林藝術(shù)學(xué)院 陜西楊凌 712100）

無(wú)線網(wǎng)絡(luò)技術(shù)近年來(lái)發(fā)展迅速，已成為人們?nèi)粘Ｉ钪胁豢色@取的一部分。802.11ac的出現(xiàn)已將無(wú)線傳輸速率提升至1Gbps，其應(yīng)用范圍更為寬廣，無(wú)線網(wǎng)接入安全和方式同時(shí)也遇到挑戰(zhàn)。本文將以無(wú)線網(wǎng)絡(luò)在實(shí)驗(yàn)室的應(yīng)用為場(chǎng)景，探討設(shè)計(jì)無(wú)線接入方案。其中包括無(wú)線網(wǎng)絡(luò)認(rèn)證結(jié)構(gòu)和方法，認(rèn)證流程設(shè)計(jì)和實(shí)踐。

實(shí)驗(yàn)室無(wú)線網(wǎng)絡(luò)；混合認(rèn)證；接入技術(shù)；設(shè)計(jì)

無(wú)線網(wǎng)絡(luò)技術(shù)已經(jīng)歷了802.11a到802.11ac的階段，傳輸速率從最早的11M已發(fā)展到1G。傳輸頻段也由2.4G發(fā)展到2.4和5G兩個(gè)。實(shí)驗(yàn)室中，計(jì)算機(jī)、移動(dòng)終端和設(shè)備也都向無(wú)線網(wǎng)絡(luò)過(guò)渡，所承載的應(yīng)用和數(shù)據(jù)日益龐大，越來(lái)越多的設(shè)備和終端都有接入無(wú)線網(wǎng)絡(luò)的需求，隨之而來(lái)的無(wú)線接入、安全問(wèn)題日益突出。根據(jù)實(shí)驗(yàn)室不同需求，在接入、認(rèn)證、授權(quán)等方面需要根據(jù)特點(diǎn)進(jìn)行設(shè)計(jì)和應(yīng)用。

目前，在認(rèn)證方面已有MAC、802.1X二層認(rèn)證和PPPOE、portal三層認(rèn)證方式，各有優(yōu)缺點(diǎn)。如果能靈活對(duì)不同設(shè)備、不同用戶采用多樣性的認(rèn)證和管理方式，將全面提升無(wú)線網(wǎng)絡(luò)的安全和管理性。

一、需求分析

實(shí)驗(yàn)室大體可分為兩類，一類是設(shè)備系統(tǒng)種類多，如常見(jiàn)的臺(tái)式電腦、筆記本電腦、移動(dòng)平板和不常見(jiàn)檢測(cè)儀器，如服務(wù)器，嵌入式系統(tǒng)，模擬機(jī)等，系統(tǒng)則包括windows、linux、windows mobile、android、ios等。這是指實(shí)驗(yàn)室功能特點(diǎn)。一類是人員種類多，是指在實(shí)驗(yàn)室中工作的人種類多樣。如不同專業(yè)的學(xué)生，老師，研究員以及參觀學(xué)者等。

根據(jù)以上特點(diǎn)，我們可將實(shí)驗(yàn)室中對(duì)無(wú)線網(wǎng)絡(luò)接入認(rèn)證需求明確如下：

1.可兼容不同PC操作系統(tǒng)、不同嵌入式系統(tǒng)；

2.可兼容不同類型設(shè)備的認(rèn)證入網(wǎng)，且保證安全性和管理性；

3.可提供多種認(rèn)證模式，應(yīng)用于不同場(chǎng)景；

4.可對(duì)接入網(wǎng)的無(wú)線設(shè)備統(tǒng)一管控；

二、解決方案

說(shuō)到認(rèn)證方案，首先是AAA協(xié)議。AAA是認(rèn)證（Authentication）、授權(quán)（Authorization）和計(jì)費(fèi)（Accounting）的簡(jiǎn)稱，是網(wǎng)絡(luò)安全中進(jìn)行訪問(wèn)控制的一種安全管理機(jī)制，提供認(rèn)證、授權(quán)和計(jì)費(fèi)三種安全服務(wù)。AAA一般采用C/S（客戶端/服務(wù)器）模式，這種模式結(jié)構(gòu)簡(jiǎn)單、擴(kuò)展性好，便于集中管理用戶信息。RADIUS協(xié)議就是在AAA框架下產(chǎn)生的認(rèn)證協(xié)議。

本次設(shè)計(jì)方案將以RADIUS協(xié)議為核心，多種方式組合認(rèn)證的思路進(jìn)行設(shè)計(jì)和實(shí)現(xiàn)。

通過(guò)表1中對(duì)實(shí)驗(yàn)室需求分類，規(guī)劃出相對(duì)應(yīng)的認(rèn)證方式。

綜合類實(shí)驗(yàn)室一般為學(xué)生公共使用，使用人數(shù)多。實(shí)驗(yàn)室本身配置有臺(tái)式電腦，也有人員攜帶筆記本電腦進(jìn)入。有接入網(wǎng)絡(luò)需求。此類環(huán)境適合應(yīng)用portal認(rèn)證方式，入網(wǎng)時(shí)向終端推送認(rèn)證頁(yè)面，頁(yè)面內(nèi)容包含實(shí)驗(yàn)室注意事項(xiàng)和管理辦法，使用者填入用戶名和密碼后即可入網(wǎng)。

表1 實(shí)驗(yàn)室類型

專業(yè)實(shí)驗(yàn)室多為專業(yè)學(xué)科實(shí)驗(yàn)室，一般配置有專業(yè)使用的儀器、設(shè)備和電腦。使用者相對(duì)固定，且有外部帶入電腦情況。此類環(huán)境適合應(yīng)用MAC+多元或portal認(rèn)證方式。其中，MAC+多元認(rèn)證應(yīng)用于儀器、設(shè)備；portal認(rèn)證方式應(yīng)用于電腦和手持移動(dòng)終端。

教學(xué)實(shí)驗(yàn)室一般為實(shí)驗(yàn)課教室，每天固定時(shí)間內(nèi)有老師、學(xué)生出入。實(shí)驗(yàn)室配置有臺(tái)式電腦，且有外帶電腦情況，同一時(shí)間內(nèi)入網(wǎng)需求量大。此類環(huán)境適合應(yīng)用portal認(rèn)證方式，但在認(rèn)證并發(fā)量上有較高需求。

重點(diǎn)實(shí)驗(yàn)室一般是各單位的核心實(shí)驗(yàn)室，配置有各類貴重儀器、設(shè)備，有安全等級(jí)要求的電腦，不準(zhǔn)攜帶電腦進(jìn)出，管理嚴(yán)格，數(shù)據(jù)保密等級(jí)高。此類環(huán)境適合應(yīng)用MAC+多元或portal認(rèn)證方式，且SSID應(yīng)為隱藏狀態(tài)。儀器設(shè)備類統(tǒng)一使用MAC+多元方式認(rèn)證。PC和移動(dòng)終端使用MAC+portal認(rèn)證方式。所以入網(wǎng)設(shè)備需要在管理員處手工入網(wǎng)后才可。

針對(duì)以上入網(wǎng)認(rèn)證方式方案設(shè)計(jì)，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下：

從拓?fù)淇梢钥闯觯麄€(gè)認(rèn)證構(gòu)架符合AAA協(xié)議模式。無(wú)線控制器、RADIUS認(rèn)證服務(wù)器和portal服務(wù)器旁掛于核心交換機(jī)。核心交換機(jī)啟用DHCP服務(wù)功能。在整個(gè)網(wǎng)絡(luò)中，無(wú)線AP負(fù)責(zé)發(fā)布SSID和終端接入，AC控制器負(fù)責(zé)管理AP和下發(fā)配置，核心交換機(jī)負(fù)責(zé)DHCP地址分配和數(shù)據(jù)交換，RADIUS認(rèn)證服務(wù)器負(fù)責(zé)終端認(rèn)證和授權(quán)，portal服務(wù)器負(fù)責(zé)推送認(rèn)證頁(yè)面。通過(guò)各設(shè)備間功能分明的有效協(xié)助可實(shí)現(xiàn)同一網(wǎng)絡(luò)環(huán)境中多種認(rèn)證方式的共存，以達(dá)到對(duì)不同終端不同系統(tǒng)的靈活接入和統(tǒng)一管控。

三、認(rèn)證流程

認(rèn)證流程設(shè)計(jì)可分為兩個(gè)部分，一個(gè)是MAC認(rèn)證，另一個(gè)是portal認(rèn)證。無(wú)操作系統(tǒng)的終端設(shè)備儀器則在管理端直接記錄MAC地址和端口后直接入網(wǎng)，其他電腦和移動(dòng)終端使用portal認(rèn)證，通過(guò)網(wǎng)頁(yè)消息推送可兼容所有操作系統(tǒng)。下面重點(diǎn)介紹終端認(rèn)證入網(wǎng)過(guò)程。

1.儀器、設(shè)備入網(wǎng)認(rèn)證

（1）儀器、設(shè)備入網(wǎng)需記錄MAC地址和多元信息。首先到管理員處登記，由管理員統(tǒng)一在管理后臺(tái)進(jìn)行手工入網(wǎng)。

（2）管理員在準(zhǔn)入授權(quán)界面審核待入網(wǎng)設(shè)備。通過(guò)記錄MAC地址后給其分配IP地址入網(wǎng)。

（3）入網(wǎng)后的儀器、設(shè)備還將上報(bào)多元信息（如：MAC地址+操作系統(tǒng)+生成廠商+SN號(hào)），并將多元信息和MAC地址共同組成認(rèn)證列表記錄在RADIUS認(rèn)證服務(wù)器中。

（4）由RADIUS認(rèn)證服務(wù)器下發(fā)授權(quán)并開(kāi)始審計(jì)。

至此，整個(gè)認(rèn)證過(guò)程完畢，儀器、設(shè)備已入網(wǎng)。下次重新入網(wǎng)時(shí)RADIUS認(rèn)證服務(wù)器將首先查詢MAC地址，匹配后分配對(duì)應(yīng)的IP地址。通訊后在進(jìn)行多元匹配認(rèn)證，在完成MAC+多元認(rèn)證后才完成整個(gè)認(rèn)證過(guò)程。

2.電腦、移動(dòng)終端入網(wǎng)認(rèn)證

（1）終端在申請(qǐng)接入無(wú)線網(wǎng)后，由DHCP服務(wù)器分配一個(gè)在受限域的IP地址。portal服務(wù)器向終端推送認(rèn)證頁(yè)面，要求用戶填入用戶名和密碼。

（2）RADIUS認(rèn)證服務(wù)器獲取信息并與數(shù)據(jù)庫(kù)中的信息列表進(jìn)行比對(duì)。如果該終端未注冊(cè)則由portal服務(wù)器返回提示頁(yè)面，如通過(guò)則將該IP劃入生產(chǎn)網(wǎng)絡(luò)域。

（3）由RADIUS認(rèn)證服務(wù)器下發(fā)授權(quán)并開(kāi)始審計(jì)。

電腦、移動(dòng)終端的認(rèn)證過(guò)程完畢。下次重新入網(wǎng)時(shí)將重復(fù)以上過(guò)程。

圖1 認(rèn)證網(wǎng)絡(luò)拓?fù)?/p>

四、方案特點(diǎn)

該無(wú)線認(rèn)證方案具有兩大特點(diǎn)：一是在同一個(gè)網(wǎng)絡(luò)環(huán)境中通過(guò)使用不同的SSID，滿足各類認(rèn)證需求，網(wǎng)絡(luò)邏輯結(jié)構(gòu)簡(jiǎn)單，故障點(diǎn)少。二是通過(guò)多樣認(rèn)證方式，達(dá)到兼容設(shè)備的網(wǎng)絡(luò)接入，既保證了用戶使用體驗(yàn)，也保證無(wú)線網(wǎng)絡(luò)安全。使用MAC+多元認(rèn)證方式，可以滿足多樣的設(shè)備種類，通過(guò)提取設(shè)備間網(wǎng)絡(luò)屬性的共性元素，將多種元素組合進(jìn)行認(rèn)證。

五、結(jié)論

通過(guò)對(duì)實(shí)驗(yàn)室類型分析和歸納，對(duì)不同類型的實(shí)驗(yàn)室設(shè)計(jì)對(duì)應(yīng)的認(rèn)證方式。讓儀器、設(shè)備、電腦和移動(dòng)終端都能便捷接入網(wǎng)絡(luò)，同時(shí)提供授權(quán)和審計(jì)功能，為網(wǎng)絡(luò)安全提供保障。認(rèn)證服務(wù)器采用RADIUS協(xié)議，其具備良好的兼容性和擴(kuò)展性，對(duì)未來(lái)的系統(tǒng)升級(jí)和計(jì)費(fèi)能無(wú)縫支持。

[1]王強(qiáng)、何才輝.高校開(kāi)放型網(wǎng)絡(luò)實(shí)驗(yàn)室的構(gòu)建與實(shí)施[J].實(shí)驗(yàn)技術(shù)與管理, 2007,24(8):138-141

[2]劉旭健.實(shí)驗(yàn)室中無(wú)線網(wǎng)絡(luò)的組建與設(shè)計(jì)[J].電子設(shè)計(jì)工程,2014, (21):118-120

[3]林仙土.實(shí)驗(yàn)室無(wú)線網(wǎng)絡(luò)的組建研究[J].信息通信, 2013, (4):116-117

[4]任偉.無(wú)線網(wǎng)絡(luò)安全問(wèn)題初探[J].信息網(wǎng)絡(luò)安全,2012, (1):10-13

[5]傅揚(yáng)、潘敏、史曉翠. WIFI網(wǎng)絡(luò)技術(shù)與安全問(wèn)題分析[J].電腦編程技巧與維護(hù), 2010, (18):121-122

[6]劉文杰、惠煌、薛強(qiáng)、孫偉峰.基于802.1X混合認(rèn)證體系的無(wú)線網(wǎng)絡(luò)實(shí)驗(yàn)研究[J].實(shí)驗(yàn)技術(shù)與管理,2012, 29(10):89-92

[7]朱小明、林捷、張弘.高校網(wǎng)絡(luò)實(shí)驗(yàn)室的建設(shè)與探討[J].實(shí)驗(yàn)技術(shù)與管理, 2006, 23(10):67-68

[8]黃榮.基于802.1x和Web Portal認(rèn)證技術(shù)的校園網(wǎng)用戶端點(diǎn)準(zhǔn)入控制系統(tǒng)的設(shè)計(jì)及應(yīng)用[J].福州大學(xué)學(xué)報(bào):自然科學(xué)版,2008, 36(5):673-676

[9]崔藝馨、樊孝仁、張政、胡改蝶.基于Portal認(rèn)證技術(shù)在校園WLAN組網(wǎng)中的應(yīng)用實(shí)踐[J].電腦開(kāi)發(fā)與應(yīng)用,2015,(3):23-24

[10]任治洪.局域網(wǎng)Portal認(rèn)證研究及應(yīng)用[J].甘肅科技,2012,(12):25-27

[11]王斐、陳玲、陸建德.基于802.1x的無(wú)線園區(qū)網(wǎng)AAA系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)技術(shù)與發(fā)展,2008, 18(10):143-147

[12]杜民.802.1x和web/portal認(rèn)證協(xié)同打造校園網(wǎng)認(rèn)證系統(tǒng)[N].山東商業(yè)職業(yè)技術(shù)學(xué)院學(xué)報(bào),2010,10(6):104-107

[13]穆鐳.無(wú)線網(wǎng)絡(luò)接入設(shè)備管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[N].蘇州科技學(xué)院學(xué)報(bào):工程技術(shù)版,2009,22(2):78-80

[14]張水平、張曉斌.校園無(wú)線網(wǎng)絡(luò)接入控制管理方案的初步探索與實(shí)踐[J].電腦知識(shí)與技術(shù),2014,(2):735-739

[15]王黎、劉春曉.無(wú)線網(wǎng)絡(luò)接入認(rèn)證技術(shù)及攻擊方法研究[J].無(wú)線電工程,2011, 41(7):11-12

10.19312/j.cnki.61-1499/c.2016.12.172