張水平　張曉斌

摘要：在高校中，“無(wú)線校園”的建設(shè)也成為了各大高校在數(shù)字化校園建設(shè)中的一個(gè)重要環(huán)節(jié)。無(wú)線校園的建設(shè)本著以方便師生實(shí)時(shí)交流溝通，促進(jìn)教學(xué)方式的改革，提升教學(xué)質(zhì)量和效率為目的，確保正常的教學(xué)工作的順利進(jìn)行的同時(shí)也要確保運(yùn)營(yíng)商的業(yè)務(wù)能正常進(jìn)行，而不是為學(xué)生提供一個(gè)隨時(shí)隨地都能訪問(wèn)互聯(lián)網(wǎng)娛樂(lè)的網(wǎng)絡(luò)環(huán)境，因此必須有嚴(yán)格的接入控制管理方案。該方案應(yīng)該能區(qū)分老師和學(xué)生（基于角色），又能區(qū)分教學(xué)區(qū)和生活區(qū)（基于地點(diǎn)），最好還能分時(shí)段處理（基于時(shí)間）。

關(guān)鍵詞：無(wú)線局域網(wǎng)；基于角色接入；無(wú)感知認(rèn)證；接入控制

中圖分類號(hào) TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）04-0735-05

校園數(shù)字化的建設(shè)不僅在辦公中大大方便了老師們，更是促進(jìn)了師生之間在教學(xué)上的交流。無(wú)線網(wǎng)絡(luò)技術(shù)的興起為校園的數(shù)字化建設(shè)提供了更多便利，比起有線網(wǎng)絡(luò)，無(wú)線網(wǎng)絡(luò)更能體現(xiàn)校園數(shù)字化的優(yōu)越性：實(shí)時(shí)，便捷。然而，高校無(wú)線網(wǎng)絡(luò)與公共區(qū)域的開(kāi)放式網(wǎng)絡(luò)不同，對(duì)校園自身的網(wǎng)絡(luò)資源和互聯(lián)網(wǎng)資源應(yīng)該做接入控制而不是任意開(kāi)放。該文以美國(guó)無(wú)線廠商ArubaNetworks公司（下文簡(jiǎn)稱Aruba）的無(wú)線產(chǎn)品為依托，對(duì)校園無(wú)線網(wǎng)絡(luò)的接入控制做初步探索與實(shí)踐。

1 常用的接入控制方式

1.1 MAC認(rèn)證方式

MAC認(rèn)證是一種基于設(shè)備物理地址的對(duì)用戶進(jìn)行匹配認(rèn)證的技術(shù)。認(rèn)證過(guò)程中，用戶不需要手動(dòng)輸入用戶名和密碼，對(duì)用戶體驗(yàn)較佳。然而，對(duì)于網(wǎng)絡(luò)管理員而言，需要統(tǒng)計(jì)當(dāng)前整個(gè)網(wǎng)絡(luò)的用戶的設(shè)備MAC地址并錄入，這對(duì)于學(xué)校這種大型無(wú)線網(wǎng)絡(luò)而言是非常大的一個(gè)挑戰(zhàn)。因此常規(guī)的MAC認(rèn)證方式的比較適合小環(huán)境少用戶的網(wǎng)絡(luò)環(huán)境[1]。

1.2 Portal認(rèn)證方式

Portal認(rèn)證又稱WEB認(rèn)證，客戶端接入到無(wú)線網(wǎng)絡(luò)中，先向DHCP服務(wù)器申請(qǐng)到一個(gè)IP地址，再進(jìn)行瀏覽器的網(wǎng)絡(luò)訪問(wèn)。此時(shí)，客戶端只能訪問(wèn)WEB認(rèn)證服務(wù)器和網(wǎng)絡(luò)中的DNS服務(wù)器，輸入任何有效的地址都將被重定向到認(rèn)證服務(wù)器，要求用戶進(jìn)行認(rèn)證。當(dāng)用戶認(rèn)證通過(guò)后，安全策略服務(wù)器授予用戶訪問(wèn)網(wǎng)絡(luò)的權(quán)限[2]。

1.3 802.1X認(rèn)證方式

802.1x協(xié)議是基于C/S的訪問(wèn)控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過(guò)接入端口（access port）訪問(wèn)LAN/WLAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前，802.1x對(duì)連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過(guò)之前，802.1x只允許EAPoL（基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議）數(shù)據(jù)通過(guò)設(shè)備連接的交換機(jī)端口；認(rèn)證通過(guò)以后，正常的數(shù)據(jù)可以順利地通過(guò)以太網(wǎng)端口。文獻(xiàn)[3]為我們?cè)敿?xì)的介紹了802.1X的整個(gè)認(rèn)證過(guò)程。

從上述認(rèn)證方式中，我們可以看出，單一的MAC認(rèn)證會(huì)給網(wǎng)絡(luò)管理員帶來(lái)巨大的工作量，802.1X則需要用戶進(jìn)行一系列繁瑣的設(shè)置，對(duì)于非專業(yè)的人員可能需大量的時(shí)間進(jìn)行設(shè)置，用戶體驗(yàn)不佳，而Portal認(rèn)證雖然只需用戶在瀏覽器里彈出的認(rèn)證頁(yè)面中輸入用戶名和密碼即可，但是每次都需進(jìn)行繁瑣的輸入密碼。為了提高用戶使用WLAN的體驗(yàn)度，各大建設(shè)方都提供WLAN無(wú)感知認(rèn)證的方式，達(dá)到不需要用戶干涉、在用戶無(wú)感知的情況下進(jìn)行透明認(rèn)證[4]。Aruba也提出了一套完善的無(wú)感知認(rèn)證方式——Portal + MAC認(rèn)證方式，是一種用戶體驗(yàn)比較完美的方式。

Aruba提出的無(wú)感知認(rèn)證：

Aruba的無(wú)感知認(rèn)證由自己的一套ClearPass系統(tǒng)和控制器來(lái)完成整個(gè)AAA任務(wù)，為用戶提供無(wú)感知認(rèn)證。

1.4基于角色控制

Aruba作為全球無(wú)線網(wǎng)絡(luò)的領(lǐng)導(dǎo)者，在高校無(wú)線網(wǎng)絡(luò)建設(shè)中，有著豐富的經(jīng)驗(yàn)和完善的解決方案。其中基于角色控制這一技術(shù)更是可以滿足高校無(wú)線網(wǎng)絡(luò)在接入控制管理上的要求。

高校中，人群角色主要有三大分類：教師、學(xué)生、訪客。這三種角色人群各自的接入網(wǎng)絡(luò)的需求是不同的。例如，教師接入無(wú)線網(wǎng)絡(luò)既要訪問(wèn)校園網(wǎng)內(nèi)部的資源，進(jìn)行文獻(xiàn)查詢等，又要訪問(wèn)互聯(lián)網(wǎng)，了解當(dāng)前最新的技術(shù)和研究成果，幫助自己課題、論文的深入發(fā)展。而學(xué)生則只需訪問(wèn)校園內(nèi)網(wǎng)的權(quán)限，進(jìn)行校園網(wǎng)上精品課堂的學(xué)習(xí)以及課件等其他資源的共享。訪客只要開(kāi)放互聯(lián)網(wǎng)接入權(quán)限即可。這樣根據(jù)不同的角色來(lái)做不同的權(quán)限限制可以為整個(gè)無(wú)線網(wǎng)絡(luò)帶來(lái)更高的使用效率和安全性。

Aruba可以在無(wú)線控制器上建立多個(gè)不同的角色（role）：teacher、student、guest，做針對(duì)不同角色進(jìn)行不同的控制策略（帶寬、內(nèi)外網(wǎng)訪問(wèn)權(quán)限、用戶間的安全等）的設(shè)置，認(rèn)證接入控制（如圖1所示），teacher-logon這個(gè)role包含了帶寬限制（Up BW和Down BW）、Captive Portal profile（用來(lái)設(shè)置portal認(rèn)證的頁(yè)面和認(rèn)證服務(wù)器）和3條訪問(wèn)控制列表：to-cppm，captiveportal，logon-control。

正是這種基于Role的接入控制使Aruba的無(wú)線系統(tǒng)在認(rèn)證過(guò)程中可以根據(jù)認(rèn)證結(jié)果的狀態(tài)派發(fā)不同的Role來(lái)做出不同的接入控制，也使后面的無(wú)感知認(rèn)證成為了可能。

1.5 ClearPass訪問(wèn)管理系統(tǒng)

ClearPass系統(tǒng)有集中管理平臺(tái)—PolicyManager，包含Onboard、Profile、OnGuard、Guest等4個(gè)軟件。其中Onboard可以提供無(wú)線終端進(jìn)到企業(yè)內(nèi)部局域網(wǎng)當(dāng)中的一些配置，例如證書(shū)，VPN配置等。Profile判斷入網(wǎng)設(shè)備信息并自動(dòng)派送相應(yīng)的政策。OnGuard可做對(duì)設(shè)備進(jìn)行健康管理和檢查，當(dāng)設(shè)備異常時(shí)自動(dòng)隔離，并進(jìn)行矯正和排除。Guest可以提供訪客賬號(hào)的建立和訪客賬號(hào)的管理。

同時(shí)ClearPass還是一個(gè)增強(qiáng)型Radius，可以通過(guò)配置服務(wù)來(lái)完成上述三種認(rèn)證方式的認(rèn)證（如圖4所示）。認(rèn)證服務(wù)由匹配條件，認(rèn)證（認(rèn)證方法、認(rèn)證源），授權(quán)，角色和強(qiáng)制執(zhí)行組成。匹配條件將從控制器端傳送過(guò)來(lái)的認(rèn)證數(shù)據(jù)包中的服務(wù)標(biāo)識(shí)與系統(tǒng)中的服務(wù)進(jìn)行匹配，條件滿足時(shí)，該服務(wù)被擊中，使用服務(wù)中配置的認(rèn)證方法和認(rèn)證源進(jìn)行認(rèn)證；如果匹配失敗，則該數(shù)據(jù)包將被丟棄，返回認(rèn)證失敗。當(dāng)服務(wù)被擊中，認(rèn)證成功時(shí)，“強(qiáng)制執(zhí)行”中的策略會(huì)從上到下根據(jù)匹配條件被執(zhí)行，一旦有一個(gè)條件滿足執(zhí)行后，不再繼續(xù)匹配后面的條件（條件之間為或關(guān)系）。如圖5所示，當(dāng)認(rèn)證信息滿足條件1：當(dāng)該臺(tái)認(rèn)證設(shè)備是此用戶名下的第二臺(tái)或者以后的設(shè)備，那么執(zhí)行“Allow Access Profile”表示允許其接入網(wǎng)絡(luò)（并沒(méi)有做Guest MAC Caching）；如果未能滿足條件1，即該設(shè)備是此用戶用該用戶名登錄的第一臺(tái)設(shè)備，那么繼續(xù)匹配條件2：如果用戶名是以9開(kāi)頭的（為學(xué)校教師賬號(hào)），那么執(zhí)行“Update Endpoint Known”、“Guest MAC Caching”等策略；此時(shí)賬號(hào)通過(guò)認(rèn)證后，系統(tǒng)就通過(guò)MAC Caching策略在后臺(tái)將賬號(hào)與該設(shè)備的MAC地址綁定；如果賬號(hào)并不是“9”開(kāi)頭的，那么繼續(xù)匹配下面的策略，檢測(cè)是不是以“6”、“1”、“2”等帶有學(xué)生賬號(hào)特征，如果滿足，則返回一個(gè)表示學(xué)生權(quán)限的Role。

ClearPass系統(tǒng)強(qiáng)大的Profile策略執(zhí)行軟件可以靈活的根據(jù)radius認(rèn)證過(guò)程，認(rèn)證數(shù)據(jù)包所攜帶的radius屬性字段來(lái)匹配策略條件，執(zhí)行不同的策略（設(shè)備狀態(tài)識(shí)別，帶寬限制，MAC捆綁等）。Aruba的無(wú)感知認(rèn)證正是利用了里面的MAC Caching策略完成用戶名和設(shè)備的MAC地址捆綁，從而達(dá)到一次認(rèn)證成功，以后將不再需要重復(fù)輸入用戶名、密碼的繁瑣步驟就可以完成認(rèn)證，達(dá)到用戶無(wú)感知的狀態(tài)。

1.6 Portal+MAC無(wú)感知認(rèn)證

Aruba提供的Portal+MAC無(wú)感知認(rèn)證就是結(jié)合控制器和ClearPass系統(tǒng)給用戶做一次二層（MAC認(rèn)證）加三層（Portal認(rèn)證）的認(rèn)證。用戶接入網(wǎng)絡(luò)的整個(gè)登錄認(rèn)證流程如圖6所示。當(dāng)用戶與AP建立了關(guān)聯(lián)，首先會(huì)從控制器上拿到一個(gè)初始的Role，要求用戶進(jìn)行的是MAC認(rèn)證。用戶的終端設(shè)備自發(fā)的將自己的MAC地址作為用戶名和密碼，加入認(rèn)證數(shù)據(jù)包，發(fā)送到認(rèn)證服務(wù)器（ClearPass系統(tǒng)）進(jìn)行MAC認(rèn)證。由于是第一次登錄，用戶數(shù)據(jù)庫(kù)中還沒(méi)有將用戶名與用戶終端設(shè)備的MAC進(jìn)行綁定，即認(rèn)證源中沒(méi)有該用戶名+密碼組合的記錄，此次MAC認(rèn)證失敗，返回一個(gè)認(rèn)證失敗后的角色（Role）。MAC認(rèn)證對(duì)用戶來(lái)說(shuō)是透明的。返回的這個(gè)角色（Role）要求用戶進(jìn)行Portal認(rèn)證。于是，用戶打開(kāi)瀏覽器，輸入指定的URL或任意標(biāo)準(zhǔn)的域名和IP地址（將被Role中的captiveportal策略進(jìn)行重定向到認(rèn)證頁(yè)面），按提示輸入用戶名和密碼。認(rèn)證過(guò)程中，ClearPass系統(tǒng)會(huì)自動(dòng)將此次認(rèn)證與事先設(shè)置好的策略條件進(jìn)行自上而下的匹配，相對(duì)應(yīng)策略被觸發(fā)執(zhí)行，例如Guest MAC Caching策略（如圖7所示）來(lái)提取會(huì)話中用戶終端的MAC地址，將MAC地址寫入該用戶的記錄中，做用戶名綁定。如圖8，9120080021該用戶此次接入無(wú)線網(wǎng)的設(shè)備的MAC地址：e4b021c59456就和用戶名做了關(guān)聯(lián)。

當(dāng)用戶以后用已經(jīng)做了MAC捆綁的設(shè)備接入網(wǎng)絡(luò)時(shí)，首先從控制器拿到的還是一個(gè)要進(jìn)行MAC認(rèn)證的Role，發(fā)起MAC認(rèn)證請(qǐng)求，因?yàn)榇藭r(shí)數(shù)據(jù)庫(kù)中已經(jīng)保存了該終端的MAC，所以此次MAC認(rèn)證通過(guò)，ClearPass系統(tǒng)給控制器返回一個(gè)認(rèn)證通過(guò)的消息，控制器給他派發(fā)一個(gè)有接入網(wǎng)絡(luò)權(quán)限的角色（role），不再觸發(fā)Portal認(rèn)證。例如教師進(jìn)行登錄認(rèn)證后，派發(fā)一個(gè)authenticated的角色（role），如圖9。從圖中，我們還可以發(fā)現(xiàn)，Aruba無(wú)線系統(tǒng)還可以識(shí)別用戶終端的操作系統(tǒng)，這使得維護(hù)整個(gè)無(wú)線網(wǎng)可以更加高效。

1.7 EAP-PEAP無(wú)感知認(rèn)證

EAP-PEAP無(wú)感知認(rèn)證，也就是通常說(shuō)的802.1X無(wú)感知認(rèn)證。PEAP是可擴(kuò)展的身份驗(yàn)證協(xié)議 （EAP） 家族的一個(gè)成員，目前共有三個(gè)版本，分別為V0/V1/V2，已被WPA和WPA2批準(zhǔn)的有兩個(gè)子類型 PEAPV0-MSCHAPV2和PEAPV1-GTC。由于PEAP是一個(gè)框架協(xié)議，目前業(yè)界使用最廣的是由微軟提出并完善的PEAPV0-MSCHAPV2協(xié)議，又被稱作MS-PEAP協(xié)議，已經(jīng)被各移動(dòng)終端的操作系統(tǒng)如iOS，Android、Windows等廣泛支持。

EAP-PEAP認(rèn)證通過(guò)客戶端和認(rèn)證服務(wù)器之間建立的加密通道，進(jìn)行安全證書(shū)式認(rèn)證，支持服務(wù)器對(duì)用戶的認(rèn)證，也支持用戶對(duì)服務(wù)器的認(rèn)證。因?yàn)槭亲C書(shū)式認(rèn)證，所以在用戶初次接入網(wǎng)絡(luò)中，要進(jìn)行證書(shū)的下載和配置，而這對(duì)于一些用戶來(lái)說(shuō)不一定都能接受。所以相比之下，Portal+MAC方式的無(wú)感知認(rèn)證更加有優(yōu)勢(shì)。

1.8 EAP-SIM認(rèn)證

EAP-SIM認(rèn)證采用標(biāo)準(zhǔn)的EAP-SIM/EAP-AKA作為WLAN終端接入認(rèn)證機(jī)制，用（U）SIM卡作為認(rèn)證密鑰分發(fā)的載體，用戶連接WLAN網(wǎng)絡(luò)不需要手動(dòng)輸入認(rèn)證信息，通過(guò)手機(jī)（U）SIM卡自動(dòng)完成認(rèn)證，在手機(jī)上使用，用戶體驗(yàn)好。此外，SIM認(rèn)證提供了很高的安全性：密鑰通過(guò)硬件載體（（U）SIM卡）分發(fā)，可以有效防止密鑰泄露或者被盜；支持雙向認(rèn)證，除了服務(wù)器對(duì)用戶的認(rèn)證，還支持用戶對(duì)服務(wù)器的認(rèn)證；支持偽隨機(jī)用戶名，保護(hù)用戶真實(shí)身份不被泄露等。

我們也從中看到了EAP-SIM認(rèn)證的局限性：只適用于支持SIM卡的手機(jī)或者小部分的平板電腦。而在高校這樣一個(gè)大的網(wǎng)絡(luò)環(huán)境中，用戶絕不可能只是手機(jī)來(lái)接入無(wú)線網(wǎng)絡(luò)，還有很多的筆記本電腦，Pad，甚至裝有無(wú)線網(wǎng)卡的臺(tái)式機(jī)。所以EAP-SIM認(rèn)證更多的是應(yīng)用在運(yùn)營(yíng)商的WLAN系統(tǒng)中。

1.9 基于Cookie的Portal無(wú)感知

基于Cookie的Portal無(wú)感知與普通的Web Portal認(rèn)證一樣：用戶需要上網(wǎng)時(shí)，打開(kāi)瀏覽器、輸入網(wǎng)址并回車，瀏覽器會(huì)重定向到強(qiáng)制認(rèn)證頁(yè)面，在頁(yè)面相應(yīng)輸入框內(nèi)輸入用戶號(hào)、密碼。認(rèn)證通過(guò)后瀏覽器顯示用戶上線后頁(yè)面，包括下線按鈕，提示用戶下線方式、在線時(shí)間等信息。不同的是，認(rèn)證頁(yè)面上有“開(kāi)通自動(dòng)登錄”可選框，用戶在輸入用戶名、密碼的同時(shí)可以鉤選。用戶本次認(rèn)證成功后，用戶名和密碼寫在Cookie文件中，保存在終端機(jī)子內(nèi)，后續(xù)再使用WLAN時(shí)，打開(kāi)瀏覽器、輸入網(wǎng)址并回車后，即可自動(dòng)認(rèn)證通過(guò)，終端瀏覽器顯示用戶上線后頁(yè)面，無(wú)需再填寫用戶名、密碼。

Cookie是瀏覽器中的一項(xiàng)功能設(shè)置，那么不同終端用戶使用不同的瀏覽器，需要進(jìn)行不同的設(shè)置，這對(duì)用戶來(lái)說(shuō)又是一個(gè)考驗(yàn)，體驗(yàn)度不會(huì)太高。當(dāng)Cookie被用戶清除時(shí)，用戶要進(jìn)行的又是重復(fù)繁瑣的用戶名和密碼輸入。

2 結(jié)束語(yǔ)

高校無(wú)線網(wǎng)絡(luò)的建設(shè)給全校師生都帶來(lái)了便利，但是網(wǎng)絡(luò)的控制管理問(wèn)題也相應(yīng)而生。該文所論述的Portal+MAC無(wú)感知認(rèn)證相比前文所提到過(guò)的MAC認(rèn)證，Portal認(rèn)證和802.1X認(rèn)證，它集成了MAC認(rèn)證的良好用戶體驗(yàn)和Portal認(rèn)證技術(shù)管理員易部署，兼容性好等優(yōu)點(diǎn)；跟EAP-PEAP無(wú)感知認(rèn)證相比，又贏在簡(jiǎn)單的用戶操作，良好的用戶體驗(yàn)上；又比EAP-SIM認(rèn)證有更好的兼容性；比基于Cookie的Portal無(wú)感知有更好的安全持久性，所以在高校這種特殊的環(huán)境中部署是有比較明顯的優(yōu)勢(shì)的。

科技以人為本，好的用戶體驗(yàn)與一項(xiàng)技術(shù)的普及與發(fā)展是相輔相成的。WLAN為數(shù)字化校園、移動(dòng)校園、智慧化校園的建設(shè)和發(fā)展帶來(lái)便利的同時(shí)，我們也要考慮到控制管理上會(huì)存在的問(wèn)題，積極尋求技術(shù)上的創(chuàng)新和解決方法的多樣化，為打造一個(gè)積極、和諧的校園環(huán)境而奮斗。

參考文獻(xiàn)：

[1] 王少波，莊重. WLAN認(rèn)證方案研究[J/OL]. 數(shù)據(jù)通信，2013（6）：22-25.

[2] 林荔，楊劍爐. 局域網(wǎng)安全認(rèn)證技術(shù)的比較研究[J]. 赤峰學(xué)院學(xué)報(bào)（自然科學(xué)版），2010（8）：43-44.

[3] 華鑌，曹娜.基于802.1x協(xié)議的Radius認(rèn)證原理及實(shí)現(xiàn)[J].信息技術(shù)，2010（4）：111-112.

[4] 劉長(zhǎng)瑞，聶明. 無(wú)感知WLAN業(yè)務(wù)認(rèn)證方式的分析[J]. 電信工程技術(shù)與標(biāo)準(zhǔn)化，2012（8）：25-29.

[5] 吳秋兵.RADIUS協(xié)議原理及其在校園網(wǎng)中的應(yīng)用[J]. 長(zhǎng)江大學(xué)學(xué)報(bào)（自然科學(xué)版）理工卷，2010（2）：287-289.

[6] 何南，谷軍，丁麗娜.高校WLAN網(wǎng)絡(luò)規(guī)劃建議及關(guān)鍵技術(shù)研究[J]. 大眾科技，2012（5）：45-46.

[7] 張曉艷，施云濤.高校WLAN的網(wǎng)絡(luò)管理及優(yōu)化探討[J]. 江蘇通信，2009（6）：61-63.

[8] 何來(lái)坤，劉禮芳.基于多運(yùn)營(yíng)商共建共享的高校WLAN建設(shè)方案的探索[J].杭州師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2013（2）：180-183.