電臺無線網(wǎng)認證系統(tǒng)建設(shè)

劉會德+陳粟+王昊

摘 要 本文綜合比較了無線網(wǎng)認證加密方式，分析了它們在應(yīng)用中可能遇到的問題，并結(jié)合單位具體需求，建成了使用靈活、管理方便的無線網(wǎng)認證系統(tǒng)。

關(guān)鍵詞 無線認證；無線接入；訪問控制

中圖分類號 G2 文獻標識碼 A 文章編號 1674-6708（2017）185-0070-02

隨著移動辦公的不斷發(fā)展，電臺前兩年開始建設(shè)無線網(wǎng)，但一直沒有對無線接入進行認證和加密。由于無線網(wǎng)絡(luò)固有的開放性，傳輸?shù)臄?shù)據(jù)利用無線電波在空中輻射傳播，只要在無線信號覆蓋的范圍內(nèi)，任何無線終端都能接收到信號，導(dǎo)致系統(tǒng)被非法入侵及數(shù)據(jù)被監(jiān)聽、竊取、篡改的風險非常大。因此，單位決定對無線網(wǎng)接入進行身份認證，解決安全隱患。

1 電臺網(wǎng)絡(luò)現(xiàn)狀

電臺建設(shè)無線網(wǎng)絡(luò)的初衷是作為有線網(wǎng)絡(luò)的補充和備份。主要解決以下兩個問題：1）有線網(wǎng)絡(luò)發(fā)生故障時，使用無線網(wǎng)絡(luò)保證采編播工作不受影響；2）在直播區(qū)域和錄播區(qū)域，由于安裝了很多隔音材料，在這些區(qū)域增加信息點的施工會影響隔音效果，隨著終端設(shè)備的增加，必須使用無線網(wǎng)絡(luò)。電臺有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)都有自己獨立的網(wǎng)絡(luò)設(shè)備、出口及相應(yīng)的DHCP、DNS服務(wù)器，兩個網(wǎng)絡(luò)的終端分別通過各自的網(wǎng)絡(luò)主干和出口訪問互聯(lián)網(wǎng)，但為了無線網(wǎng)絡(luò)內(nèi)的終端設(shè)備能使用有線網(wǎng)絡(luò)內(nèi)的打印機、辦公系統(tǒng)、文件服務(wù)器等網(wǎng)絡(luò)資源，兩個網(wǎng)絡(luò)進行了聯(lián)通。拓撲圖如圖1。

因為在無線網(wǎng)絡(luò)內(nèi)沒有重要的信息資源，對用戶的接入控制和數(shù)據(jù)加密要求不必很高。

電臺現(xiàn)有員工近1 000人，還有一些兄弟單位在一塊辦公，每天嘉賓、工作伙伴等外來訪客也非常多。使用有線網(wǎng)絡(luò)辦公的都是臺內(nèi)員工，通過AD域賬戶登錄操作系統(tǒng)和進行網(wǎng)絡(luò)訪問。使用無線網(wǎng)絡(luò)的包括臺內(nèi)員工、兄弟單位人員和外來訪客，人員眾多，且流動性大。針對河南人民廣播電臺網(wǎng)絡(luò)現(xiàn)狀，選用哪種無線網(wǎng)認證加密方式合適呢？

2 無線網(wǎng)認證加密方式對比

現(xiàn)有無線網(wǎng)認證加密方式基本分為三大類：開放系統(tǒng)身份認證、共享密鑰身份認證和802.1X身份認證。還有其它兩種認證方式也能對網(wǎng)絡(luò)接入進行認證，即MAC ACL（MAC地址訪問控制列表）和Web Redirection（網(wǎng)頁重定向）。

2.1 開放系統(tǒng)身份認證

這種方式既不認證也不加密，任何客戶端都可以接入無線接入點并使用無線網(wǎng)絡(luò)，這是最不安全的一種認證方式，當然也是最省事的一種認證方式。

2.2 共享密鑰身份認證

這種方式中，所有客戶端都使用相同的密碼，接入無線接入點前必須輸入正確的密碼才能進行連接。共享密鑰身份認證有3種認證類型：WEP、WPA-PSK和PWA2-PSK。

WEP（Wired Equivalent Privasy），全稱有線等效加密，使用這種方式，客戶端和接入端必須擁有相同的密鑰才能接入網(wǎng)絡(luò)，密鑰分為64bits和128bits兩種，最多可以設(shè)置4組不同的密鑰。WEP加密方式很脆弱，每個客戶端都使用相同的加密字，導(dǎo)致WEP容易被破解，現(xiàn)已被WPA淘汰。

WPA-PSK，WPA（Wi-Fi Protected Access）的簡化版，使用方法與WEP類似，客戶端與無線接入點必須擁有相同密鑰，用戶輸入密鑰才能接入網(wǎng)絡(luò)。該標準的主要改進是使用了可以動態(tài)改變鑰匙的“零時鑰匙完整性協(xié)定”（Temporal Key Integrity Protocol，TKIP），加上更長的初向量，減少和鑰匙相關(guān)的封包個數(shù)，安全訊息驗證系統(tǒng)，使得入侵無線網(wǎng)絡(luò)非常困難。

WPA2-PSK，WPA2的簡化版，WPA2是WPA的升級版，主要改進為：使用了CCMP（Counter CBCMAC Protocol）算法取代了WPA的MIC算法，AES（Advanced Encryption Standard）加密算法取代了WPA的TKIP加密算法。WPA2-PSK和WPA-PSK的使用方法一致，但安全防護能力更加出色。

共享密鑰身份認證實現(xiàn)簡單，對設(shè)備要求不高，維護及管理工作量小，用戶使用方便，缺點是不能實現(xiàn)用戶級別的控制，對一些大中型企事業(yè)單位來說，由于人員眾多，密碼容易擴散出去，最后的結(jié)果和開放系統(tǒng)認證沒有多大區(qū)別。

2.3 802.1X身份認證

802.1X是根據(jù)用戶ID或設(shè)備，對網(wǎng)絡(luò)客戶端（或端口）進行鑒權(quán)的標準，它采用RADIUS（遠程認證撥號用戶服務(wù)）方法，并將其分為三個部分：請求方、認證方和認證服務(wù)器，該標準能實現(xiàn)用戶級的接入控制。802.1x與共享密鑰身份認證方式最大的不同就是客戶端接入網(wǎng)絡(luò)時，需要輸入正確的用戶名和密碼才能認證通過。802.1X主要有兩種認證類型：WPA-Enterprise和WPA2-Enterprise。

使用這種方式不僅非常安全，還能實現(xiàn)可追究性，缺點就是需要增加認證服務(wù)器，在部分終端上需要對無線網(wǎng)卡做一些設(shè)置，如果啟用證書且需要對服務(wù)器進行驗證，需要安裝相應(yīng)的證書，這也會增加維護管理的工作量。

2.4 MAC ACL（Access Control List）

MAC ACL，即MAC地址訪問控制列表，只能用于認證但不能用于加密。在無線接入點輸入允許接入的無線網(wǎng)卡MAC地址，只有在此清單中的無線網(wǎng)卡才能接入網(wǎng)絡(luò)。

這屬于簡單粗暴的一種認證方式，在小微企業(yè)中也比較有效。如果在大中型企事業(yè)單位則不適合，因為更新維護MAC地址表的工作量非常大。

2.5 Web Redirection

Web Redirection，即網(wǎng)頁重定向，這也是當前許多網(wǎng)絡(luò)提供商常用的認證方式。無線接入點設(shè)置為開放系統(tǒng)認證，但在后臺利用網(wǎng)關(guān)設(shè)備或上網(wǎng)行為管理設(shè)備，攔截客戶端發(fā)出的Web封包（使用瀏覽器訪問網(wǎng)絡(luò)），并強制重導(dǎo)到認證網(wǎng)頁要求輸入賬號密碼，然后向認證服務(wù)器來對使用者進行認證，認證通過后才能訪問網(wǎng)絡(luò)，一般需要 Portal服務(wù)器提供賬戶密碼認證?，F(xiàn)在一些較新的設(shè)備還支持微信認證、短信認證、二維碼認證等認證方式。

使用這種方式優(yōu)點是認證方式靈活，可以進行廣告推廣。缺點主要有以下3點：1）只認證不加密；2）在客戶端通過認證前用戶其實已經(jīng)獲取到IP地址，已經(jīng)獲得局域網(wǎng)內(nèi)部分網(wǎng)絡(luò)資源的訪問權(quán)限；3）用戶通過認證前，使用QQ、微信等網(wǎng)絡(luò)應(yīng)用時，不會觸發(fā)認證，必須打開瀏覽器訪問網(wǎng)頁才能重定向到認證頁面進行認證。

3 電臺無線認證系統(tǒng)選型及實施

綜合比較以上幾種認證方式：使用共享密鑰方式并不能對用戶進行身份鑒別，頻繁更換密鑰會給運維工作和用戶使用帶來極大不便，長時間不更換密鑰的結(jié)果就等于形同虛設(shè)；如果使用802.1x或MAC ACL方式，管理維護工作量將非常大，用戶使用不方便，嘉賓和工作伙伴的臨時性上網(wǎng)需求也難以滿足。

如何做到既對員工和外來訪客進行有效的認證，又不大幅增加管理維護的工作量，我們經(jīng)過比較和選型，最終決定使用網(wǎng)頁重定向的認證方式，選用深信服的AC-3300-HI上網(wǎng)行為管理設(shè)備實現(xiàn)該功能。

在無線控制器和防火墻之間串聯(lián)上網(wǎng)行為管理設(shè)備，進行身份認證、上網(wǎng)行為管控和流量管控。該設(shè)備支持微軟AD域認證，能與有線網(wǎng)絡(luò)內(nèi)的原AD域服務(wù)器集成，使用原有的域賬戶密碼進行身份認證。在設(shè)備上啟用密碼認證和二維碼認證，用戶首次打開網(wǎng)頁進行網(wǎng)絡(luò)訪問時會彈出認證頁面，頁面中包括密碼認證和二維碼認證兩個選項。臺內(nèi)員工使用原有的域賬戶和密碼進行密碼認證登錄；沒有賬戶密碼的下屬單位員工、兄弟單位員工和外來訪客使用無線網(wǎng)絡(luò)時，由通過認證的終端掃描登錄頁面上的二維碼，備注需認證的上網(wǎng)人員信息，通過審核后方能上網(wǎng)。

上網(wǎng)行為管理的配置比較簡單，部署模式設(shè)置為網(wǎng)橋模式（即透明模式），這樣當設(shè)備關(guān)機或死機時，通過設(shè)備的Bypass功能，網(wǎng)絡(luò)通路不會中斷。設(shè)置網(wǎng)橋地址，默認路由的下一跳地址為路由器的lan口地址。在外部認證服務(wù)器選項中新增LDAP服務(wù)器，IP地址為AD域服務(wù)器的IP地址，認證端口為389，輸入域管理員賬戶密碼和BaseDN信息，在此可以增加多個LDAP服務(wù)器備用，可以定期將AD域服務(wù)器上的組織結(jié)構(gòu)和用戶自動同步到本地，當AD域出現(xiàn)故障時，認證不受影響；新增二維碼認證，審核人為所有域賬戶，審核時，彈出審核頁面，并備注上網(wǎng)人員信息。認證策略的設(shè)置比較靈活，認證范圍、認證服務(wù)器、認證頁面、認證后的跳轉(zhuǎn)頁面、優(yōu)先選擇哪種認證方式、認證后的用戶歸屬到不同的本地組、自動錄入用戶和IP/MAC的綁定關(guān)系等都可以自定義。為了防止用戶需要頻繁輸入賬戶密碼進行認證，設(shè)置自動注銷的無流量時間為一個月，每天不強制注銷用戶，這樣員工由于出差、休假等原因短時間未登陸無線網(wǎng)絡(luò)，再次訪問時也不需要重新輸入賬戶密碼。

4 結(jié)論

通過使用上網(wǎng)行為管理設(shè)備進行無線網(wǎng)身份認證，滿足了系統(tǒng)的需求，達到了以下目的：1）域賬戶能對臨時用戶授權(quán)，既解決了外來訪客的臨時性上網(wǎng)需求，又能進行認證；2）和有線網(wǎng)絡(luò)使用同一套認證系統(tǒng)，方便用戶使用，也減少了管理維護的工作量；3）該系統(tǒng)使用靈活，還能在認證頁進行廣告宣傳、業(yè)務(wù)介紹、免責聲明等；4）該系統(tǒng)還提供上網(wǎng)行為管理、流量管控、上網(wǎng)行為審計等，滿足《中華人民共和國反恐怖主義法》和《互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定》對網(wǎng)絡(luò)合規(guī)性的要求。電臺無線認證系統(tǒng)投入運行以來，系統(tǒng)運行穩(wěn)定，各方反映良好，有效地解決了無線網(wǎng)身份認證的問題。

參考文獻

[1]胡建龍.基于無感知的校園無線網(wǎng)絡(luò)認證策略研究[J].科技創(chuàng)新導(dǎo)報，2015（32）：120-121.