無線校園網(wǎng)中基于身份認(rèn)證技術(shù)的研究與應(yīng)用

黃錦煜

摘要：隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，無線局域網(wǎng)的普及，高校無線校園網(wǎng)成為高校信息化建設(shè)和構(gòu)建現(xiàn)代化校園的一個重要標(biāo)準(zhǔn)。在校園網(wǎng)的信息安全建設(shè)中，無線網(wǎng)絡(luò)安全成為目前研究的熱點(diǎn)，在分析當(dāng)前我校無線網(wǎng)絡(luò)安全現(xiàn)狀的基礎(chǔ)上，深入研究了無線網(wǎng)絡(luò)安全的相關(guān)技術(shù)，結(jié)合了實際情況和需求，提出基于身份認(rèn)證技術(shù)的應(yīng)用，對高校無線校園網(wǎng)建設(shè)提供參考。

關(guān)鍵詞：無線校園網(wǎng)；網(wǎng)絡(luò)安全；安全接入；身份認(rèn)證

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2019）12-0021-02

隨著高校信息化建設(shè)的發(fā)展需要，無線校園網(wǎng)建設(shè)作為校園網(wǎng)基礎(chǔ)設(shè)施已在各大高校陸續(xù)部署實施。網(wǎng)絡(luò)安全問題一直是網(wǎng)絡(luò)技術(shù)發(fā)展中重要的研究課題，而無線網(wǎng)絡(luò)安全相對于成熟的有線局域網(wǎng)來說，更是一個漫長探索的研究過程。高校日益擴(kuò)大的辦學(xué)規(guī)模，網(wǎng)絡(luò)應(yīng)用領(lǐng)域日益增多，各種信息系統(tǒng)和共享資源的合理使用，無線校園網(wǎng)的接入勢必影響了校內(nèi)正常的網(wǎng)絡(luò)秩序，以及校園網(wǎng)內(nèi)部信息的安全。本文將通過對當(dāng)前無線校園網(wǎng)現(xiàn)狀的分析，結(jié)合我校無線網(wǎng)絡(luò)接入的實際情況，對無線網(wǎng)絡(luò)安全中關(guān)鍵技術(shù)的研究，提出一種基于身份認(rèn)證管理技術(shù)，可以在一定程度上區(qū)分接入用戶，通過對不同用戶的認(rèn)證實現(xiàn)不同的網(wǎng)絡(luò)服務(wù)權(quán)限，從而對校園網(wǎng)絡(luò)秩序的建立、資源的合理分配和網(wǎng)絡(luò)信息的安全起到一定的保證作用。

1 無線校園網(wǎng)現(xiàn)狀

無線網(wǎng)絡(luò)的普及，給學(xué)校的教學(xué)、辦公、科研帶來了一定的作用，也為師生的學(xué)習(xí)、工作和娛樂提供了便捷。在校園內(nèi)搭建AP全覆蓋，提供wifi信號接入，讓全校師生在覆蓋范圍內(nèi)無時無刻接入校園網(wǎng)，通過校園網(wǎng)接入互聯(lián)網(wǎng)。這樣的接入方式給校園網(wǎng)的管理帶來了很大的問題，其中的網(wǎng)絡(luò)安全問題尤其凸顯，主要存在諸如非法連接、網(wǎng)絡(luò)監(jiān)聽、密碼破解、網(wǎng)絡(luò)攻擊等等一系列安全問題。[1]

以我校目前實施的無線網(wǎng)絡(luò)方案為例，隨著數(shù)字化校園的建設(shè)過程，校園網(wǎng)絡(luò)經(jīng)歷了多廠商多種無線接入的方式達(dá)到信號全覆蓋。其中，通過SSID，用戶可以選擇“Chinanet”中國電信或“cmcc”中國移動的信號接入，在特定信號覆蓋區(qū)域接入各自的認(rèn)證平臺訪問互聯(lián)網(wǎng)資源，按時長按流量收費(fèi)；用戶也可以選擇“gzcc”廣州商學(xué)院的無線信號接入到校園網(wǎng)中，通過校園網(wǎng)訪問互聯(lián)網(wǎng)資源，沒有任何認(rèn)證，不收取費(fèi)用。本文將重點(diǎn)討論后者的接入方式，給校園網(wǎng)帶來的極大安全和管理的問題有：（1）日益增多的用戶數(shù)量，分布在校園內(nèi)的每個AP接入點(diǎn)的接入數(shù)是有限的，在用戶長時間占有該連接的情況下，接入數(shù)達(dá)到上限后其他用戶則無法進(jìn)行連接；（2）有限的帶寬資源，用戶接入信號后，即可快速接入互聯(lián)網(wǎng)，在非法攻擊或惡意占用網(wǎng)絡(luò)帶寬的情況下，造成其他合法用戶無法正常訪問網(wǎng)絡(luò)資源；（3）合理的網(wǎng)絡(luò)訪問權(quán)限，無論教師、學(xué)生或者校內(nèi)校外的無線用戶，都可以在覆蓋范圍內(nèi)隨意接入無線信號，訪問校內(nèi)外資源，造成特定用戶的需求無法滿足，而非法用戶的權(quán)限沒有受到限制。所以，有必要對“gzcc”信號的無線接入方式進(jìn)行安全的接入認(rèn)證，根據(jù)現(xiàn)有的實際情況，對無線安全認(rèn)證相關(guān)技術(shù)做了分析研究，目標(biāo)是讓無線校園網(wǎng)的管理更加可靠完善。

2 安全接入技術(shù)研究

無線校園網(wǎng)絡(luò)不同于普通的家用無線網(wǎng)絡(luò)，早期的靜態(tài)WEP共享密鑰和常用WPA/WPA2-PSK靜態(tài)密鑰驗證都無法適應(yīng)對安全性要求較高的企業(yè)級無線網(wǎng)絡(luò)，校園無線局域網(wǎng)一般使用Web Portal方式+ 802.1x認(rèn)證進(jìn)行準(zhǔn)入管理，強(qiáng)制用戶必須進(jìn)行個人身份認(rèn)證，這無疑是無線校園網(wǎng)最合適的安全認(rèn)證方式[2]。

Web Portal是一種認(rèn)證業(yè)務(wù)類型，屬于應(yīng)用層的認(rèn)證，它不需要特定的客戶端軟件來執(zhí)行。主機(jī)連接到網(wǎng)絡(luò)通過BRAS（Broadband Remote Access Server）寬帶遠(yuǎn)程接入服務(wù)器提供的DHCP服務(wù)獲得一個IP地址，登錄指定的Portal Server認(rèn)證頁面進(jìn)行用戶名和密碼認(rèn)證，Portal Server得到用戶信息與后臺認(rèn)證服務(wù)器通信驗證并完成認(rèn)證過程。[3]通常在無線設(shè)備中，AC（AP Controller）作為BAS系統(tǒng)中Raidus Server的客戶端，將用戶通過Web頁面?zhèn)鬟f過來的用戶名和密碼信息發(fā)送到Raidus Server進(jìn)行校驗，如果信息與Raidus Server信息一致則認(rèn)證成功，AC將控制AP，允許該用戶通過該AP訪問校園網(wǎng)。[4]然而往往會出現(xiàn)不進(jìn)行認(rèn)證的用戶占用了IP地址的現(xiàn)象，校園內(nèi)用戶密集，容易產(chǎn)生單個AP的可用IP地址被耗盡的情況，從而影響正常用戶的使用。目前，中國電信的“Chinanet”和中國移動的“cmcc”信號均采用此認(rèn)證方式，Raidus服務(wù)器部署在遠(yuǎn)端，不經(jīng)過校園局域網(wǎng)，當(dāng)用戶在特定區(qū)域內(nèi)連接信號，在Web頁面輸入正確的用戶名和密碼，直接可以被允許訪問互聯(lián)網(wǎng)，并按運(yùn)營商的資費(fèi)計費(fèi)使用。整個認(rèn)證過程對用戶來說是透明的，用戶只需要輸入正確用戶名和密碼。

802.1x協(xié)議是一種使用客戶端和服務(wù)器進(jìn)行訪問控制的協(xié)議，它通過端口訪問實體PAE（port access entity），根據(jù)認(rèn)證服務(wù)器認(rèn)證過程的結(jié)果，控制主機(jī)與接入交換機(jī)鏈接端口的開啟和關(guān)閉來限制非注冊用戶訪問網(wǎng)絡(luò)。[5]在無線局域網(wǎng)中，部署802.1x認(rèn)證有兩種選擇：一種是與AP直接連接的交換機(jī)端口啟用802.1x模式，讓接入交換機(jī)完成802.1x；另外一種是在AP上啟用802.1x，認(rèn)證信息經(jīng)AP和AC的控制通道，傳送至AC，再由AC向Radius Server發(fā)起802.1x的校驗認(rèn)證工作。[6]考慮到現(xiàn)有網(wǎng)絡(luò)的實際情況，對網(wǎng)絡(luò)設(shè)備的有效管理和合理配置，可采用后者基于802.1x標(biāo)準(zhǔn)的無線局域網(wǎng)安全認(rèn)證方式，在校園核心層部署AC無線控制器。校內(nèi)的無線網(wǎng)絡(luò)用戶使用自帶支持802.1x協(xié)議客戶端的移動終端（Windows系統(tǒng)、IOS系統(tǒng)、安卓系統(tǒng)）選擇802.1x認(rèn)證方式，即可完成802.1x認(rèn)證過程。用戶在“gzcc”信號覆蓋的范圍內(nèi)請求連接，認(rèn)證請求接入AP訪問點(diǎn)，AP通過關(guān)閉802.1x功能的匯聚層交換機(jī)關(guān)聯(lián)至AC訪問控制器，建立CAP WAP協(xié)議隧道；由AC與Radius服務(wù)器交互認(rèn)證信息，對用戶進(jìn)行認(rèn)證；AC通知AP與無線終端建立安全網(wǎng)絡(luò)連接，實現(xiàn)無線認(rèn)證接入校園網(wǎng)的核心設(shè)備，通過校園局域網(wǎng)的安全策略訪問到互聯(lián)網(wǎng)。整個認(rèn)證過程對用戶來說是也透明的。

3 基于身份認(rèn)證管理

校園用戶通過“gzcc”認(rèn)證后接入校園網(wǎng)，可以訪問校內(nèi)網(wǎng)絡(luò)資源，通過防火墻和VPN可以訪問互聯(lián)網(wǎng)，但隨著用戶的增多，訪問區(qū)域集中，在有限的帶寬限制下，需要將無線用戶劃分為不同的群體，根據(jù)群體需求的不同，提供不同的訪問權(quán)限。這樣能更有效地管理用戶，合理地分配網(wǎng)絡(luò)資源，提高網(wǎng)絡(luò)的安全性。

對于用戶群的管理，通常也有多種方式。比如可以采用以各接入點(diǎn)的頻段來劃分各用戶群，每個接入點(diǎn)使用一個特定的頻率，每個用戶只能使用其中一個接入點(diǎn)，不同區(qū)域接入點(diǎn)的覆蓋區(qū)域可以相互重疊，只要使用的是不同頻率就不會相互影響，用此方法來劃分用戶群，相當(dāng)于一個AP就是一個用戶群，優(yōu)點(diǎn)可以避免大量的用戶擠到一個特定的區(qū)域，這樣可以平衡各個接入點(diǎn)的負(fù)載。[7]缺點(diǎn)是用戶的移動性差，無法為用戶群設(shè)置相應(yīng)權(quán)限，用戶群過多也難以管理。為了更好結(jié)合現(xiàn)有的校園網(wǎng)，增強(qiáng)有效管理性和安全性，可采用已得到成熟廣泛使用的無線VLAN技術(shù)。用VLAN可以把不同用戶劃分到不同工作組，同個工作組的用戶也不必局限于某個固定的物理范圍，VLAN技術(shù)節(jié)省了帶寬同時也提高了網(wǎng)絡(luò)處理能力。

為了方便用戶群的管理，無線動態(tài)VLAN +接入認(rèn)證技術(shù)，成為我校解決基于身份認(rèn)證的無線接入管理方案。首先根據(jù)用戶需求，可把用戶歸類為在校教師、學(xué)生、來賓等，角色不同，訪問權(quán)限不同，所分配到的帶寬也不盡相同，比如教師可以滿足正常教學(xué)、辦公，訪問校內(nèi)外資源；學(xué)生只能訪問校內(nèi)圖書館、教務(wù)系統(tǒng)等校內(nèi)資源；來賓只能訪問互聯(lián)網(wǎng)，無法訪問校內(nèi)資源。用戶通過“gzcc_student”“gzcc_teacher”“gzcc_guest”多個無線信號選擇請求接入，請求頁面自動轉(zhuǎn)接到Web+Portal認(rèn)證頁面，AP要求用戶填寫正確的用戶名和密碼，將信息轉(zhuǎn)發(fā)到Radius服務(wù)器進(jìn)行認(rèn)證，服務(wù)器查詢數(shù)據(jù)庫并記錄，若用戶存在且密碼驗證成功，服務(wù)器向用戶發(fā)送準(zhǔn)入信息，通過AP轉(zhuǎn)發(fā)到用戶端，該用戶接入到校園無線網(wǎng)；Radius服務(wù)器在準(zhǔn)入的同時，根據(jù)用戶所在的群組，劃分到指定的VLAN中去，不同VLAN有對應(yīng)的訪問權(quán)限。Radius服務(wù)器中的數(shù)據(jù)庫可以掛接到學(xué)校的統(tǒng)一身份認(rèn)證數(shù)據(jù)庫（LDAP），與校園網(wǎng)核心設(shè)備中的授權(quán)訪問策略對應(yīng)上，包括訪問的端口、帶寬限速、VLAN信息等，根據(jù)這樣才能達(dá)到限制用戶訪問校內(nèi)外資源的目的。

4 結(jié)束語

本文通過對目前主流無線局域網(wǎng)安全標(biāo)準(zhǔn)的研究基礎(chǔ)上，結(jié)合我校校園網(wǎng)的實際情況，在基于Web+Portal方式和802.1x認(rèn)證技術(shù)上，提出根據(jù)不同用戶群體采用基于身份認(rèn)證和權(quán)限管理的方案，提高了無線網(wǎng)絡(luò)安全。校園網(wǎng)用戶在無線信號覆蓋的范圍內(nèi)，可以根據(jù)需要選擇各種接入方式，通過認(rèn)證后，實現(xiàn)安全上網(wǎng)，給校園網(wǎng)的管理和安全性帶來一定的作用，也為后續(xù)的無線校園網(wǎng)升級改造和信息化數(shù)字化校園建設(shè)提供可行的參考方案。

參考文獻(xiàn)：

[1] 單家凌.基于身份的認(rèn)證在無線校園網(wǎng)中的應(yīng)用研究[J].軟件，2013，34（10）：108-110.

[2] 顧鴻，陳江.校園網(wǎng)無線網(wǎng)安全認(rèn)證研究和應(yīng)用[J].物流工程與管理，2012，34（213）：202-203.

[3] 嚴(yán)世強(qiáng).校園無線局域網(wǎng)部署及接入認(rèn)證方式的研討[J].石家莊鐵道大學(xué)學(xué)報，2013，26（4）：102-104.

[4] 王鳳霞.校園網(wǎng)無線網(wǎng)絡(luò)管理與應(yīng)用優(yōu)化[D].復(fù)旦大學(xué)，2012.

[5] 許滸.部署安全的無線校園網(wǎng)[D].南京理工大學(xué)，2006

[6] 聶得欣.基于802.1X標(biāo)準(zhǔn)的高校無線局域網(wǎng)安全認(rèn)證方案分析[J].河南財政稅務(wù)高等專科學(xué)校學(xué)報，2015，29（5）：93-95.

[7] 陳瑋.無線校園網(wǎng)異區(qū)漫游管理與應(yīng)用技術(shù)研究[D].復(fù)旦大學(xué)，2009.

【通聯(lián)編輯：代影】