校園無線網(wǎng)絡(luò)無感知認(rèn)證方式分析與應(yīng)用
——以云南師范大學(xué)為例

陳彬， 丁雪， 肖夢(mèng)雄

(云南師范大學(xué) 網(wǎng)絡(luò)與信息中心，云南 昆明 650500)

1 引言

隨著社會(huì)的發(fā)展，各種智能終端的使用日益普及[1]，對(duì)于校園網(wǎng)管理者來說，校園無線網(wǎng)的建設(shè)勢(shì)在必行.無線網(wǎng)絡(luò)的接入將給學(xué)校的教學(xué)帶來很大的便利，但由于它比有線網(wǎng)絡(luò)更具開放性[2]，隨著覆蓋范圍的擴(kuò)大，無線用戶的數(shù)量將不斷增加，無線網(wǎng)絡(luò)安全管理問題日益突出，已經(jīng)成為校園網(wǎng)絡(luò)管理必須面對(duì)的問題[3].需要找到一個(gè)高效合理的無線網(wǎng)絡(luò)解決方案，實(shí)現(xiàn)無線網(wǎng)絡(luò)的可控性與安全性[4].

要提高無線網(wǎng)絡(luò)的可控性與安全性，首先要加強(qiáng)認(rèn)證訪問的控制.校園無線網(wǎng)絡(luò)的用戶基本分為校內(nèi)師生固定用戶和交流學(xué)習(xí)臨時(shí)用戶兩部分，所以為提升無線網(wǎng)絡(luò)的安全性與可控性，在管理中要針對(duì)所有用戶做好認(rèn)證訪問的控制工作，需要對(duì)用戶實(shí)現(xiàn)統(tǒng)一認(rèn)證、統(tǒng)一管理，真正讓用戶在校園內(nèi)享受安全的無感知漫游服務(wù).目前，主要的認(rèn)證技術(shù)有如下三種.

1.1 802.1X無感知認(rèn)證

802.1X認(rèn)證無須人為干預(yù)自動(dòng)完成身份認(rèn)證，用戶只需要首次進(jìn)行無線相關(guān)參數(shù)設(shè)置和用戶信息的校驗(yàn)[5].此認(rèn)證一般使用EAP-PEAP協(xié)議進(jìn)行用戶身份的認(rèn)證，常見的PEAP協(xié)議有兩種：PEAP-MSCHAPV2(用戶信息加密)、PEAP-GTC(用戶信息明文)[6].它基于雙向認(rèn)證和密鑰交換機(jī)制，易于維護(hù)，安全性高，適用于規(guī)模較大的網(wǎng)絡(luò)環(huán)境.

1.2 MAC認(rèn)證

MAC認(rèn)證是一種基于物理地址對(duì)用戶進(jìn)行身份匹配認(rèn)證的技術(shù).它基于接口和MAC地址對(duì)用戶的網(wǎng)絡(luò)訪問權(quán)限進(jìn)行控制，不需要安裝任何客戶端軟件[7].在認(rèn)證的過程中，不需要用戶手動(dòng)輸入用戶名和密碼，提升用戶網(wǎng)絡(luò)體驗(yàn)，易于維護(hù).但因?yàn)镸AC地址容易被仿冒，安全性不高.在認(rèn)證上，無線控制器(AC)[8]與Radius服務(wù)器之間采用PAP的方式進(jìn)行用戶身份的校驗(yàn).

1.3 Portal認(rèn)證

Portal認(rèn)證通常也稱為Web認(rèn)證.用戶訪問外網(wǎng)時(shí)，必須在Portal界面進(jìn)行認(rèn)證，只有認(rèn)證成功后才可以訪問外網(wǎng)，輸入任何有效的互聯(lián)網(wǎng)地址都將被重定向到認(rèn)證服務(wù)器的Portal界面，要求用戶進(jìn)行認(rèn)證.當(dāng)用戶認(rèn)證通過后，用戶才有訪問網(wǎng)絡(luò)的權(quán)限[9].這種認(rèn)證方式不需要安裝客戶端，直接使用Web頁面認(rèn)證，使用方便，減少客戶端的維護(hù)工作量.

以上是目前網(wǎng)絡(luò)環(huán)境中比較常用的三種認(rèn)證方式，但如果是無線終端來接入校園網(wǎng)，三種方式就各有弊端;802.1X認(rèn)證方式需要用戶安裝客戶端軟件，客戶端軟件還需根據(jù)終端操作系統(tǒng)版本和類型而有所不同，要求太多不夠靈活；MAC地址認(rèn)證方式兼容性比較好，認(rèn)證過程也簡單，但存在地址被黑客冒用的風(fēng)險(xiǎn)，安全性較差；Portal認(rèn)證方式相對(duì)便捷、安全，但用戶每次上網(wǎng)之前都需要通過瀏覽器進(jìn)行認(rèn)證，認(rèn)證過程較為煩瑣；所以在校園無線網(wǎng)絡(luò)的建設(shè)中，要慎重挑選認(rèn)證方式.

目前，云南師范大學(xué)注冊(cè)用戶數(shù)4萬余人，上網(wǎng)高峰人數(shù)達(dá)到1.2萬余人，主要是有線用戶.校園網(wǎng)使用的認(rèn)證方式是802.1X認(rèn)證和Portal認(rèn)證.學(xué)校學(xué)生區(qū)域使用802.1X客戶端認(rèn)證，教學(xué)及辦公區(qū)域使用Portal認(rèn)證.隨著無線網(wǎng)絡(luò)應(yīng)用越來越廣泛，校園無線網(wǎng)絡(luò)建設(shè)勢(shì)在必行，結(jié)合現(xiàn)有學(xué)校網(wǎng)絡(luò)認(rèn)證的實(shí)際情況，選擇Portal+MAC組合的認(rèn)證方式，用戶首次通過WEB認(rèn)證后，SMP自動(dòng)在移動(dòng)終端中綁定用戶賬號(hào)及終端MAC地址，后續(xù)終端關(guān)聯(lián)對(duì)應(yīng)SSID成功后AC自動(dòng)發(fā)起認(rèn)證[10]，AC與Radius服務(wù)器[11]之間采用PAP的方式進(jìn)行用戶身份校驗(yàn).

2 認(rèn)證過程

首次認(rèn)證過程如圖1所示.

圖1 MAC無感知首次認(rèn)證過程

用戶首次連接SSID時(shí)，由終端向STA向無線控制器發(fā)起MAC認(rèn)證請(qǐng)求，無線控制器獲取到用戶的MAC地址后向SMP/ESS Radius請(qǐng)求.如果Radius服務(wù)器中沒有該用戶終端MAC地址，SMP/ESS會(huì)拒絕該用戶認(rèn)證，MAC認(rèn)證失敗.

當(dāng)用戶通過瀏覽器訪問外網(wǎng)時(shí)，無線控制器會(huì)首先查找MAC地址認(rèn)證失敗的記錄，攔截用戶訪問外網(wǎng)，并重定向到認(rèn)證界面，要求用戶向Portal服務(wù)器提交用戶名/密碼.

在用戶提交用戶名/密碼后，Portal協(xié)議將用戶名/密碼返回給無線控制器，再由無線控制器向SMP/ESS 發(fā)起Radius認(rèn)證請(qǐng)求(PAP)，身份認(rèn)證成功后，SMP/ESS將學(xué)習(xí)記錄終端信息.

后續(xù)認(rèn)證過程如圖2所示.

圖2 MAC無感知后續(xù)認(rèn)證過程

用戶終端STA在后續(xù)連接SSID時(shí)，通過無線掃描/認(rèn)證/關(guān)聯(lián)和無線控制器交互用戶信息，由無線控制器向SMP/ESS Radius服務(wù)器發(fā)送認(rèn)證請(qǐng)求，Radius服務(wù)器發(fā)現(xiàn)數(shù)據(jù)庫里已有用戶終端信息，認(rèn)證成功，無線控制器打開上網(wǎng)通道，允許用戶訪問外網(wǎng)，用戶不需要再進(jìn)行Portal認(rèn)證.無感知后續(xù)認(rèn)證不需要用戶參與，由用戶終端、無線控制器和Radius服務(wù)器共同完成，對(duì)用戶來說是無感知的.

3 Portal+MAC認(rèn)證應(yīng)用

云南師范大學(xué)此次無線網(wǎng)絡(luò)實(shí)施部署采用無線控制器+瘦AP[12]和無線控制器+本分體AP模式[13].在教室、走廊等區(qū)域采用無線控制器+瘦AP模式，在辦公樓等類學(xué)生宿舍區(qū)域采用無線控制器+本分體AP模式，保證不同場(chǎng)景下無線信號(hào)達(dá)到最優(yōu).最后，再結(jié)合Portal+MAC認(rèn)證，實(shí)現(xiàn)無線網(wǎng)絡(luò)一體化解決方案，保證了設(shè)備性能的穩(wěn)定性，更好的解決了用戶無感知認(rèn)證以及用戶終端的漫游問題，讓用戶在不知情的情況下完成認(rèn)證，實(shí)現(xiàn)一次認(rèn)證，永久接入，方便用戶操作.相關(guān)性能測(cè)試如圖3所示.

圖3 性能測(cè)試

圖3中，在登錄界面中打開本機(jī)無感認(rèn)證，即可進(jìn)行無感知認(rèn)證，用戶只用首次接入，后續(xù)免認(rèn)證.此外，在無線網(wǎng)絡(luò)覆蓋區(qū)域，實(shí)現(xiàn)無感知漫游.抗干擾方面，選擇合適的信道，并對(duì)設(shè)備功率進(jìn)行調(diào)優(yōu)，降低各AP間的相互干擾，保證用戶網(wǎng)絡(luò)體驗(yàn).

4 結(jié)語

通過Portal+MAC認(rèn)證以及相關(guān)部署方案，能很好地消除干擾，優(yōu)化終端接入，在用戶后續(xù)認(rèn)證、漫游切換中用戶無感知，大大簡化了用戶的Portal接入流程，可以使得校園無線用戶一次認(rèn)證，永久接入，省去了訪問外網(wǎng)時(shí)在頁面中輸入用戶名和密碼的驗(yàn)證過程，既保證了用戶的合法性，又提升了用戶的無線網(wǎng)絡(luò)體驗(yàn).