電臺無線網認證系統建設

劉會德+陳粟+王昊

摘 要 本文綜合比較了無線網認證加密方式，分析了它們在應用中可能遇到的問題，并結合單位具體需求，建成了使用靈活、管理方便的無線網認證系統。

關鍵詞 無線認證；無線接入；訪問控制

中圖分類號 G2 文獻標識碼 A 文章編號 1674-6708（2017）185-0070-02

隨著移動辦公的不斷發展，電臺前兩年開始建設無線網，但一直沒有對無線接入進行認證和加密。由于無線網絡固有的開放性，傳輸的數據利用無線電波在空中輻射傳播，只要在無線信號覆蓋的范圍內，任何無線終端都能接收到信號，導致系統被非法入侵及數據被監聽、竊取、篡改的風險非常大。因此，單位決定對無線網接入進行身份認證，解決安全隱患。

1 電臺網絡現狀

電臺建設無線網絡的初衷是作為有線網絡的補充和備份。主要解決以下兩個問題：1）有線網絡發生故障時，使用無線網絡保證采編播工作不受影響；2）在直播區域和錄播區域，由于安裝了很多隔音材料，在這些區域增加信息點的施工會影響隔音效果，隨著終端設備的增加，必須使用無線網絡。電臺有線網絡和無線網絡都有自己獨立的網絡設備、出口及相應的DHCP、DNS服務器，兩個網絡的終端分別通過各自的網絡主干和出口訪問互聯網，但為了無線網絡內的終端設備能使用有線網絡內的打印機、辦公系統、文件服務器等網絡資源，兩個網絡進行了聯通。拓撲圖如圖1。

因為在無線網絡內沒有重要的信息資源，對用戶的接入控制和數據加密要求不必很高。

電臺現有員工近1 000人，還有一些兄弟單位在一塊辦公，每天嘉賓、工作伙伴等外來訪客也非常多。使用有線網絡辦公的都是臺內員工，通過AD域賬戶登錄操作系統和進行網絡訪問。使用無線網絡的包括臺內員工、兄弟單位人員和外來訪客，人員眾多，且流動性大。針對河南人民廣播電臺網絡現狀，選用哪種無線網認證加密方式合適呢？

2 無線網認證加密方式對比

現有無線網認證加密方式基本分為三大類：開放系統身份認證、共享密鑰身份認證和802.1X身份認證。還有其它兩種認證方式也能對網絡接入進行認證，即MAC ACL（MAC地址訪問控制列表）和Web Redirection（網頁重定向）。

2.1 開放系統身份認證

這種方式既不認證也不加密，任何客戶端都可以接入無線接入點并使用無線網絡，這是最不安全的一種認證方式，當然也是最省事的一種認證方式。

2.2 共享密鑰身份認證

這種方式中，所有客戶端都使用相同的密碼，接入無線接入點前必須輸入正確的密碼才能進行連接。共享密鑰身份認證有3種認證類型：WEP、WPA-PSK和PWA2-PSK。

WEP（Wired Equivalent Privasy），全稱有線等效加密，使用這種方式，客戶端和接入端必須擁有相同的密鑰才能接入網絡，密鑰分為64bits和128bits兩種，最多可以設置4組不同的密鑰。WEP加密方式很脆弱，每個客戶端都使用相同的加密字，導致WEP容易被破解，現已被WPA淘汰。

WPA-PSK，WPA（Wi-Fi Protected Access）的簡化版，使用方法與WEP類似，客戶端與無線接入點必須擁有相同密鑰，用戶輸入密鑰才能接入網絡。該標準的主要改進是使用了可以動態改變鑰匙的“零時鑰匙完整性協定”（Temporal Key Integrity Protocol，TKIP），加上更長的初向量，減少和鑰匙相關的封包個數，安全訊息驗證系統，使得入侵無線網絡非常困難。

WPA2-PSK，WPA2的簡化版，WPA2是WPA的升級版，主要改進為：使用了CCMP（Counter CBCMAC Protocol）算法取代了WPA的MIC算法，AES（Advanced Encryption Standard）加密算法取代了WPA的TKIP加密算法。WPA2-PSK和WPA-PSK的使用方法一致，但安全防護能力更加出色。

共享密鑰身份認證實現簡單，對設備要求不高，維護及管理工作量小，用戶使用方便，缺點是不能實現用戶級別的控制，對一些大中型企事業單位來說，由于人員眾多，密碼容易擴散出去，最后的結果和開放系統認證沒有多大區別。

2.3 802.1X身份認證

802.1X是根據用戶ID或設備，對網絡客戶端（或端口）進行鑒權的標準，它采用RADIUS（遠程認證撥號用戶服務）方法，并將其分為三個部分：請求方、認證方和認證服務器，該標準能實現用戶級的接入控制。802.1x與共享密鑰身份認證方式最大的不同就是客戶端接入網絡時，需要輸入正確的用戶名和密碼才能認證通過。802.1X主要有兩種認證類型：WPA-Enterprise和WPA2-Enterprise。

使用這種方式不僅非常安全，還能實現可追究性，缺點就是需要增加認證服務器，在部分終端上需要對無線網卡做一些設置，如果啟用證書且需要對服務器進行驗證，需要安裝相應的證書，這也會增加維護管理的工作量。

2.4 MAC ACL（Access Control List）

MAC ACL，即MAC地址訪問控制列表，只能用于認證但不能用于加密。在無線接入點輸入允許接入的無線網卡MAC地址，只有在此清單中的無線網卡才能接入網絡。

這屬于簡單粗暴的一種認證方式，在小微企業中也比較有效。如果在大中型企事業單位則不適合，因為更新維護MAC地址表的工作量非常大。

2.5 Web Redirection

Web Redirection，即網頁重定向，這也是當前許多網絡提供商常用的認證方式。無線接入點設置為開放系統認證，但在后臺利用網關設備或上網行為管理設備，攔截客戶端發出的Web封包（使用瀏覽器訪問網絡），并強制重導到認證網頁要求輸入賬號密碼，然后向認證服務器來對使用者進行認證，認證通過后才能訪問網絡，一般需要 Portal服務器提供賬戶密碼認證。現在一些較新的設備還支持微信認證、短信認證、二維碼認證等認證方式。

使用這種方式優點是認證方式靈活，可以進行廣告推廣。缺點主要有以下3點：1）只認證不加密；2）在客戶端通過認證前用戶其實已經獲取到IP地址，已經獲得局域網內部分網絡資源的訪問權限；3）用戶通過認證前，使用QQ、微信等網絡應用時，不會觸發認證，必須打開瀏覽器訪問網頁才能重定向到認證頁面進行認證。

3 電臺無線認證系統選型及實施

綜合比較以上幾種認證方式：使用共享密鑰方式并不能對用戶進行身份鑒別，頻繁更換密鑰會給運維工作和用戶使用帶來極大不便，長時間不更換密鑰的結果就等于形同虛設；如果使用802.1x或MAC ACL方式，管理維護工作量將非常大，用戶使用不方便，嘉賓和工作伙伴的臨時性上網需求也難以滿足。

如何做到既對員工和外來訪客進行有效的認證，又不大幅增加管理維護的工作量，我們經過比較和選型，最終決定使用網頁重定向的認證方式，選用深信服的AC-3300-HI上網行為管理設備實現該功能。

在無線控制器和防火墻之間串聯上網行為管理設備，進行身份認證、上網行為管控和流量管控。該設備支持微軟AD域認證，能與有線網絡內的原AD域服務器集成，使用原有的域賬戶密碼進行身份認證。在設備上啟用密碼認證和二維碼認證，用戶首次打開網頁進行網絡訪問時會彈出認證頁面，頁面中包括密碼認證和二維碼認證兩個選項。臺內員工使用原有的域賬戶和密碼進行密碼認證登錄；沒有賬戶密碼的下屬單位員工、兄弟單位員工和外來訪客使用無線網絡時，由通過認證的終端掃描登錄頁面上的二維碼，備注需認證的上網人員信息，通過審核后方能上網。

上網行為管理的配置比較簡單，部署模式設置為網橋模式（即透明模式），這樣當設備關機或死機時，通過設備的Bypass功能，網絡通路不會中斷。設置網橋地址，默認路由的下一跳地址為路由器的lan口地址。在外部認證服務器選項中新增LDAP服務器，IP地址為AD域服務器的IP地址，認證端口為389，輸入域管理員賬戶密碼和BaseDN信息，在此可以增加多個LDAP服務器備用，可以定期將AD域服務器上的組織結構和用戶自動同步到本地，當AD域出現故障時，認證不受影響；新增二維碼認證，審核人為所有域賬戶，審核時，彈出審核頁面，并備注上網人員信息。認證策略的設置比較靈活，認證范圍、認證服務器、認證頁面、認證后的跳轉頁面、優先選擇哪種認證方式、認證后的用戶歸屬到不同的本地組、自動錄入用戶和IP/MAC的綁定關系等都可以自定義。為了防止用戶需要頻繁輸入賬戶密碼進行認證，設置自動注銷的無流量時間為一個月，每天不強制注銷用戶，這樣員工由于出差、休假等原因短時間未登陸無線網絡，再次訪問時也不需要重新輸入賬戶密碼。

4 結論

通過使用上網行為管理設備進行無線網身份認證，滿足了系統的需求，達到了以下目的：1）域賬戶能對臨時用戶授權，既解決了外來訪客的臨時性上網需求，又能進行認證；2）和有線網絡使用同一套認證系統，方便用戶使用，也減少了管理維護的工作量；3）該系統使用靈活，還能在認證頁進行廣告宣傳、業務介紹、免責聲明等；4）該系統還提供上網行為管理、流量管控、上網行為審計等，滿足《中華人民共和國反恐怖主義法》和《互聯網安全保護技術措施規定》對網絡合規性的要求。電臺無線認證系統投入運行以來，系統運行穩定，各方反映良好，有效地解決了無線網身份認證的問題。

參考文獻

[1]胡建龍.基于無感知的校園無線網絡認證策略研究[J].科技創新導報，2015（32）：120-121.