無(wú)線校園網(wǎng)中基于身份認(rèn)證技術(shù)的研究與應(yīng)用

黃錦煜

摘要：隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，無(wú)線局域網(wǎng)的普及，高校無(wú)線校園網(wǎng)成為高校信息化建設(shè)和構(gòu)建現(xiàn)代化校園的一個(gè)重要標(biāo)準(zhǔn)。在校園網(wǎng)的信息安全建設(shè)中，無(wú)線網(wǎng)絡(luò)安全成為目前研究的熱點(diǎn)，在分析當(dāng)前我校無(wú)線網(wǎng)絡(luò)安全現(xiàn)狀的基礎(chǔ)上，深入研究了無(wú)線網(wǎng)絡(luò)安全的相關(guān)技術(shù)，結(jié)合了實(shí)際情況和需求，提出基于身份認(rèn)證技術(shù)的應(yīng)用，對(duì)高校無(wú)線校園網(wǎng)建設(shè)提供參考。

關(guān)鍵詞：無(wú)線校園網(wǎng)；網(wǎng)絡(luò)安全；安全接入；身份認(rèn)證

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）12-0021-02

隨著高校信息化建設(shè)的發(fā)展需要，無(wú)線校園網(wǎng)建設(shè)作為校園網(wǎng)基礎(chǔ)設(shè)施已在各大高校陸續(xù)部署實(shí)施。網(wǎng)絡(luò)安全問(wèn)題一直是網(wǎng)絡(luò)技術(shù)發(fā)展中重要的研究課題，而無(wú)線網(wǎng)絡(luò)安全相對(duì)于成熟的有線局域網(wǎng)來(lái)說(shuō)，更是一個(gè)漫長(zhǎng)探索的研究過(guò)程。高校日益擴(kuò)大的辦學(xué)規(guī)模，網(wǎng)絡(luò)應(yīng)用領(lǐng)域日益增多，各種信息系統(tǒng)和共享資源的合理使用，無(wú)線校園網(wǎng)的接入勢(shì)必影響了校內(nèi)正常的網(wǎng)絡(luò)秩序，以及校園網(wǎng)內(nèi)部信息的安全。本文將通過(guò)對(duì)當(dāng)前無(wú)線校園網(wǎng)現(xiàn)狀的分析，結(jié)合我校無(wú)線網(wǎng)絡(luò)接入的實(shí)際情況，對(duì)無(wú)線網(wǎng)絡(luò)安全中關(guān)鍵技術(shù)的研究，提出一種基于身份認(rèn)證管理技術(shù)，可以在一定程度上區(qū)分接入用戶，通過(guò)對(duì)不同用戶的認(rèn)證實(shí)現(xiàn)不同的網(wǎng)絡(luò)服務(wù)權(quán)限，從而對(duì)校園網(wǎng)絡(luò)秩序的建立、資源的合理分配和網(wǎng)絡(luò)信息的安全起到一定的保證作用。

1 無(wú)線校園網(wǎng)現(xiàn)狀

無(wú)線網(wǎng)絡(luò)的普及，給學(xué)校的教學(xué)、辦公、科研帶來(lái)了一定的作用，也為師生的學(xué)習(xí)、工作和娛樂(lè)提供了便捷。在校園內(nèi)搭建AP全覆蓋，提供wifi信號(hào)接入，讓全校師生在覆蓋范圍內(nèi)無(wú)時(shí)無(wú)刻接入校園網(wǎng)，通過(guò)校園網(wǎng)接入互聯(lián)網(wǎng)。這樣的接入方式給校園網(wǎng)的管理帶來(lái)了很大的問(wèn)題，其中的網(wǎng)絡(luò)安全問(wèn)題尤其凸顯，主要存在諸如非法連接、網(wǎng)絡(luò)監(jiān)聽、密碼破解、網(wǎng)絡(luò)攻擊等等一系列安全問(wèn)題。[1]

以我校目前實(shí)施的無(wú)線網(wǎng)絡(luò)方案為例，隨著數(shù)字化校園的建設(shè)過(guò)程，校園網(wǎng)絡(luò)經(jīng)歷了多廠商多種無(wú)線接入的方式達(dá)到信號(hào)全覆蓋。其中，通過(guò)SSID，用戶可以選擇“Chinanet”中國(guó)電信或“cmcc”中國(guó)移動(dòng)的信號(hào)接入，在特定信號(hào)覆蓋區(qū)域接入各自的認(rèn)證平臺(tái)訪問(wèn)互聯(lián)網(wǎng)資源，按時(shí)長(zhǎng)按流量收費(fèi)；用戶也可以選擇“gzcc”廣州商學(xué)院的無(wú)線信號(hào)接入到校園網(wǎng)中，通過(guò)校園網(wǎng)訪問(wèn)互聯(lián)網(wǎng)資源，沒(méi)有任何認(rèn)證，不收取費(fèi)用。本文將重點(diǎn)討論后者的接入方式，給校園網(wǎng)帶來(lái)的極大安全和管理的問(wèn)題有：（1）日益增多的用戶數(shù)量，分布在校園內(nèi)的每個(gè)AP接入點(diǎn)的接入數(shù)是有限的，在用戶長(zhǎng)時(shí)間占有該連接的情況下，接入數(shù)達(dá)到上限后其他用戶則無(wú)法進(jìn)行連接；（2）有限的帶寬資源，用戶接入信號(hào)后，即可快速接入互聯(lián)網(wǎng)，在非法攻擊或惡意占用網(wǎng)絡(luò)帶寬的情況下，造成其他合法用戶無(wú)法正常訪問(wèn)網(wǎng)絡(luò)資源；（3）合理的網(wǎng)絡(luò)訪問(wèn)權(quán)限，無(wú)論教師、學(xué)生或者校內(nèi)校外的無(wú)線用戶，都可以在覆蓋范圍內(nèi)隨意接入無(wú)線信號(hào)，訪問(wèn)校內(nèi)外資源，造成特定用戶的需求無(wú)法滿足，而非法用戶的權(quán)限沒(méi)有受到限制。所以，有必要對(duì)“gzcc”信號(hào)的無(wú)線接入方式進(jìn)行安全的接入認(rèn)證，根據(jù)現(xiàn)有的實(shí)際情況，對(duì)無(wú)線安全認(rèn)證相關(guān)技術(shù)做了分析研究，目標(biāo)是讓無(wú)線校園網(wǎng)的管理更加可靠完善。

2 安全接入技術(shù)研究

無(wú)線校園網(wǎng)絡(luò)不同于普通的家用無(wú)線網(wǎng)絡(luò)，早期的靜態(tài)WEP共享密鑰和常用WPA/WPA2-PSK靜態(tài)密鑰驗(yàn)證都無(wú)法適應(yīng)對(duì)安全性要求較高的企業(yè)級(jí)無(wú)線網(wǎng)絡(luò)，校園無(wú)線局域網(wǎng)一般使用Web Portal方式+ 802.1x認(rèn)證進(jìn)行準(zhǔn)入管理，強(qiáng)制用戶必須進(jìn)行個(gè)人身份認(rèn)證，這無(wú)疑是無(wú)線校園網(wǎng)最合適的安全認(rèn)證方式[2]。

Web Portal是一種認(rèn)證業(yè)務(wù)類型，屬于應(yīng)用層的認(rèn)證，它不需要特定的客戶端軟件來(lái)執(zhí)行。主機(jī)連接到網(wǎng)絡(luò)通過(guò)BRAS（Broadband Remote Access Server）寬帶遠(yuǎn)程接入服務(wù)器提供的DHCP服務(wù)獲得一個(gè)IP地址，登錄指定的Portal Server認(rèn)證頁(yè)面進(jìn)行用戶名和密碼認(rèn)證，Portal Server得到用戶信息與后臺(tái)認(rèn)證服務(wù)器通信驗(yàn)證并完成認(rèn)證過(guò)程。[3]通常在無(wú)線設(shè)備中，AC（AP Controller）作為BAS系統(tǒng)中Raidus Server的客戶端，將用戶通過(guò)Web頁(yè)面?zhèn)鬟f過(guò)來(lái)的用戶名和密碼信息發(fā)送到Raidus Server進(jìn)行校驗(yàn)，如果信息與Raidus Server信息一致則認(rèn)證成功，AC將控制AP，允許該用戶通過(guò)該AP訪問(wèn)校園網(wǎng)。[4]然而往往會(huì)出現(xiàn)不進(jìn)行認(rèn)證的用戶占用了IP地址的現(xiàn)象，校園內(nèi)用戶密集，容易產(chǎn)生單個(gè)AP的可用IP地址被耗盡的情況，從而影響正常用戶的使用。目前，中國(guó)電信的“Chinanet”和中國(guó)移動(dòng)的“cmcc”信號(hào)均采用此認(rèn)證方式，Raidus服務(wù)器部署在遠(yuǎn)端，不經(jīng)過(guò)校園局域網(wǎng)，當(dāng)用戶在特定區(qū)域內(nèi)連接信號(hào)，在Web頁(yè)面輸入正確的用戶名和密碼，直接可以被允許訪問(wèn)互聯(lián)網(wǎng)，并按運(yùn)營(yíng)商的資費(fèi)計(jì)費(fèi)使用。整個(gè)認(rèn)證過(guò)程對(duì)用戶來(lái)說(shuō)是透明的，用戶只需要輸入正確用戶名和密碼。

802.1x協(xié)議是一種使用客戶端和服務(wù)器進(jìn)行訪問(wèn)控制的協(xié)議，它通過(guò)端口訪問(wèn)實(shí)體PAE（port access entity），根據(jù)認(rèn)證服務(wù)器認(rèn)證過(guò)程的結(jié)果，控制主機(jī)與接入交換機(jī)鏈接端口的開啟和關(guān)閉來(lái)限制非注冊(cè)用戶訪問(wèn)網(wǎng)絡(luò)。[5]在無(wú)線局域網(wǎng)中，部署802.1x認(rèn)證有兩種選擇：一種是與AP直接連接的交換機(jī)端口啟用802.1x模式，讓接入交換機(jī)完成802.1x；另外一種是在AP上啟用802.1x，認(rèn)證信息經(jīng)AP和AC的控制通道，傳送至AC，再由AC向Radius Server發(fā)起802.1x的校驗(yàn)認(rèn)證工作。[6]考慮到現(xiàn)有網(wǎng)絡(luò)的實(shí)際情況，對(duì)網(wǎng)絡(luò)設(shè)備的有效管理和合理配置，可采用后者基于802.1x標(biāo)準(zhǔn)的無(wú)線局域網(wǎng)安全認(rèn)證方式，在校園核心層部署AC無(wú)線控制器。校內(nèi)的無(wú)線網(wǎng)絡(luò)用戶使用自帶支持802.1x協(xié)議客戶端的移動(dòng)終端（Windows系統(tǒng)、IOS系統(tǒng)、安卓系統(tǒng)）選擇802.1x認(rèn)證方式，即可完成802.1x認(rèn)證過(guò)程。用戶在“gzcc”信號(hào)覆蓋的范圍內(nèi)請(qǐng)求連接，認(rèn)證請(qǐng)求接入AP訪問(wèn)點(diǎn)，AP通過(guò)關(guān)閉802.1x功能的匯聚層交換機(jī)關(guān)聯(lián)至AC訪問(wèn)控制器，建立CAP WAP協(xié)議隧道；由AC與Radius服務(wù)器交互認(rèn)證信息，對(duì)用戶進(jìn)行認(rèn)證；AC通知AP與無(wú)線終端建立安全網(wǎng)絡(luò)連接，實(shí)現(xiàn)無(wú)線認(rèn)證接入校園網(wǎng)的核心設(shè)備，通過(guò)校園局域網(wǎng)的安全策略訪問(wèn)到互聯(lián)網(wǎng)。整個(gè)認(rèn)證過(guò)程對(duì)用戶來(lái)說(shuō)是也透明的。

3 基于身份認(rèn)證管理

校園用戶通過(guò)“gzcc”認(rèn)證后接入校園網(wǎng)，可以訪問(wèn)校內(nèi)網(wǎng)絡(luò)資源，通過(guò)防火墻和VPN可以訪問(wèn)互聯(lián)網(wǎng)，但隨著用戶的增多，訪問(wèn)區(qū)域集中，在有限的帶寬限制下，需要將無(wú)線用戶劃分為不同的群體，根據(jù)群體需求的不同，提供不同的訪問(wèn)權(quán)限。這樣能更有效地管理用戶，合理地分配網(wǎng)絡(luò)資源，提高網(wǎng)絡(luò)的安全性。

對(duì)于用戶群的管理，通常也有多種方式。比如可以采用以各接入點(diǎn)的頻段來(lái)劃分各用戶群，每個(gè)接入點(diǎn)使用一個(gè)特定的頻率，每個(gè)用戶只能使用其中一個(gè)接入點(diǎn)，不同區(qū)域接入點(diǎn)的覆蓋區(qū)域可以相互重疊，只要使用的是不同頻率就不會(huì)相互影響，用此方法來(lái)劃分用戶群，相當(dāng)于一個(gè)AP就是一個(gè)用戶群，優(yōu)點(diǎn)可以避免大量的用戶擠到一個(gè)特定的區(qū)域，這樣可以平衡各個(gè)接入點(diǎn)的負(fù)載。[7]缺點(diǎn)是用戶的移動(dòng)性差，無(wú)法為用戶群設(shè)置相應(yīng)權(quán)限，用戶群過(guò)多也難以管理。為了更好結(jié)合現(xiàn)有的校園網(wǎng)，增強(qiáng)有效管理性和安全性，可采用已得到成熟廣泛使用的無(wú)線VLAN技術(shù)。用VLAN可以把不同用戶劃分到不同工作組，同個(gè)工作組的用戶也不必局限于某個(gè)固定的物理范圍，VLAN技術(shù)節(jié)省了帶寬同時(shí)也提高了網(wǎng)絡(luò)處理能力。

為了方便用戶群的管理，無(wú)線動(dòng)態(tài)VLAN +接入認(rèn)證技術(shù)，成為我校解決基于身份認(rèn)證的無(wú)線接入管理方案。首先根據(jù)用戶需求，可把用戶歸類為在校教師、學(xué)生、來(lái)賓等，角色不同，訪問(wèn)權(quán)限不同，所分配到的帶寬也不盡相同，比如教師可以滿足正常教學(xué)、辦公，訪問(wèn)校內(nèi)外資源；學(xué)生只能訪問(wèn)校內(nèi)圖書館、教務(wù)系統(tǒng)等校內(nèi)資源；來(lái)賓只能訪問(wèn)互聯(lián)網(wǎng)，無(wú)法訪問(wèn)校內(nèi)資源。用戶通過(guò)“gzcc_student”“gzcc_teacher”“gzcc_guest”多個(gè)無(wú)線信號(hào)選擇請(qǐng)求接入，請(qǐng)求頁(yè)面自動(dòng)轉(zhuǎn)接到Web+Portal認(rèn)證頁(yè)面，AP要求用戶填寫正確的用戶名和密碼，將信息轉(zhuǎn)發(fā)到Radius服務(wù)器進(jìn)行認(rèn)證，服務(wù)器查詢數(shù)據(jù)庫(kù)并記錄，若用戶存在且密碼驗(yàn)證成功，服務(wù)器向用戶發(fā)送準(zhǔn)入信息，通過(guò)AP轉(zhuǎn)發(fā)到用戶端，該用戶接入到校園無(wú)線網(wǎng)；Radius服務(wù)器在準(zhǔn)入的同時(shí)，根據(jù)用戶所在的群組，劃分到指定的VLAN中去，不同VLAN有對(duì)應(yīng)的訪問(wèn)權(quán)限。Radius服務(wù)器中的數(shù)據(jù)庫(kù)可以掛接到學(xué)校的統(tǒng)一身份認(rèn)證數(shù)據(jù)庫(kù)（LDAP），與校園網(wǎng)核心設(shè)備中的授權(quán)訪問(wèn)策略對(duì)應(yīng)上，包括訪問(wèn)的端口、帶寬限速、VLAN信息等，根據(jù)這樣才能達(dá)到限制用戶訪問(wèn)校內(nèi)外資源的目的。

4 結(jié)束語(yǔ)

本文通過(guò)對(duì)目前主流無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)的研究基礎(chǔ)上，結(jié)合我校校園網(wǎng)的實(shí)際情況，在基于Web+Portal方式和802.1x認(rèn)證技術(shù)上，提出根據(jù)不同用戶群體采用基于身份認(rèn)證和權(quán)限管理的方案，提高了無(wú)線網(wǎng)絡(luò)安全。校園網(wǎng)用戶在無(wú)線信號(hào)覆蓋的范圍內(nèi)，可以根據(jù)需要選擇各種接入方式，通過(guò)認(rèn)證后，實(shí)現(xiàn)安全上網(wǎng)，給校園網(wǎng)的管理和安全性帶來(lái)一定的作用，也為后續(xù)的無(wú)線校園網(wǎng)升級(jí)改造和信息化數(shù)字化校園建設(shè)提供可行的參考方案。

參考文獻(xiàn)：

[1] 單家凌.基于身份的認(rèn)證在無(wú)線校園網(wǎng)中的應(yīng)用研究[J].軟件，2013，34（10）：108-110.

[2] 顧鴻，陳江.校園網(wǎng)無(wú)線網(wǎng)安全認(rèn)證研究和應(yīng)用[J].物流工程與管理，2012，34（213）：202-203.

[3] 嚴(yán)世強(qiáng).校園無(wú)線局域網(wǎng)部署及接入認(rèn)證方式的研討[J].石家莊鐵道大學(xué)學(xué)報(bào)，2013，26（4）：102-104.

[4] 王鳳霞.校園網(wǎng)無(wú)線網(wǎng)絡(luò)管理與應(yīng)用優(yōu)化[D].復(fù)旦大學(xué)，2012.

[5] 許滸.部署安全的無(wú)線校園網(wǎng)[D].南京理工大學(xué)，2006

[6] 聶得欣.基于802.1X標(biāo)準(zhǔn)的高校無(wú)線局域網(wǎng)安全認(rèn)證方案分析[J].河南財(cái)政稅務(wù)高等?？茖W(xué)校學(xué)報(bào)，2015，29（5）：93-95.

[7] 陳瑋.無(wú)線校園網(wǎng)異區(qū)漫游管理與應(yīng)用技術(shù)研究[D].復(fù)旦大學(xué)，2009.

【通聯(lián)編輯：代影】