胡建龍　王莎莎　王宇翔

摘 要：校園無線網(wǎng)絡(luò)建設(shè)是未來校園網(wǎng)基礎(chǔ)網(wǎng)絡(luò)建設(shè)的重點(diǎn)，無線網(wǎng)絡(luò)接入是未來校園網(wǎng)用戶上網(wǎng)的主要接入方式。通過對(duì)校園網(wǎng)主流認(rèn)證方式802.1X認(rèn)證、Portal認(rèn)證及MAC認(rèn)證優(yōu)缺點(diǎn)的分析，提出使用Portal+MAC認(rèn)證的方式實(shí)現(xiàn)用戶的無感知認(rèn)證，在用戶不參與操作的情況下完成身份認(rèn)證，提高了用戶體驗(yàn)。

關(guān)鍵詞：無線網(wǎng) 無感知 認(rèn)證

中圖分類號(hào)：TP393.0 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2015）11（b）-0120-02

Abstract：Campus wireless network construction is the future campus network focused on network infrastructure， wireless network access is the future of the main campus network usersInternet access. Through the mainstream campus network authentication 802.1X authentication， Portal authentication and MAC authentication analyze the advantages and disadvantages of proposed use Portal + MAC authentication means to achieve userauthentication without perception， identity authentication in case the user does not participate in the operation， to improve the user experience.

Key Words：Wireless network；No perception；Authentication

隨著信息技術(shù)的發(fā)展和高校信息化進(jìn)程的推進(jìn)，校園網(wǎng)建設(shè)已經(jīng)進(jìn)入了一個(gè)新的階段。校園網(wǎng)用戶已經(jīng)不滿足于僅僅使用臺(tái)式機(jī)和筆記本在布有固定信息點(diǎn)的區(qū)域上網(wǎng)，而是希望使用手機(jī)、平板電腦等手持終端在校園里隨時(shí)隨地輕松地接入網(wǎng)絡(luò)。對(duì)于校園網(wǎng)的規(guī)劃者和建設(shè)者而言，校園無線網(wǎng)絡(luò)的建設(shè)迫在眉睫。在現(xiàn)階段，校園無線網(wǎng)絡(luò)建設(shè)已經(jīng)不僅僅是有線網(wǎng)絡(luò)的補(bǔ)充，而是未來校園網(wǎng)的主要接入方式，是校園網(wǎng)基礎(chǔ)設(shè)施建設(shè)的重點(diǎn)。而對(duì)于校園無線網(wǎng)絡(luò)建設(shè)而言，如何向用戶提供方便、安全的認(rèn)證方式，正是目前無線網(wǎng)絡(luò)建設(shè)中的一個(gè)重要研究課題。

1 校園無線網(wǎng)絡(luò)認(rèn)證方式現(xiàn)狀分析

目前，在高校的校園無線網(wǎng)環(huán)境下，比較主流的認(rèn)證方式有802.1X認(rèn)證，Portal認(rèn)證和MAC地址認(rèn)證。

1.1 802.1x認(rèn)證

802.1x認(rèn)證是基于C/S架構(gòu)的訪問控制和認(rèn)證模式，它可以通過接入設(shè)備的端口對(duì)未通過認(rèn)證的用戶進(jìn)行限制。配置了802.1x協(xié)議的交換機(jī)端口被分為物理端口和邏輯端口兩部分，在認(rèn)證成功之前，雖然物理端口是打開的，但邏輯端口處于關(guān)閉狀態(tài)。此時(shí)，物理端口只允許EAPoL數(shù)據(jù)包通過，當(dāng)認(rèn)證成功以后，邏輯端口打開，允許正常數(shù)據(jù)包通過。

802.1x認(rèn)證方式，用戶終端需要安裝客戶端，適用于臺(tái)式機(jī)、筆記本等個(gè)人PC，常用于有線網(wǎng)絡(luò)和胖AP模式的無線網(wǎng)絡(luò)。

1.2 Portal認(rèn)證

Portal認(rèn)證方式是最常用、最便捷的認(rèn)證方式，在認(rèn)證過程中，用戶無需在終端上安裝客戶端，直接通過瀏覽器進(jìn)行認(rèn)證。用戶在認(rèn)證成功之前，所有的http請(qǐng)求均被重定向到Portal認(rèn)證頁面，認(rèn)證成功后方可訪問網(wǎng)絡(luò)資源。Portal認(rèn)證模式在校園無線網(wǎng)絡(luò)環(huán)境中部署較多。

1.3 MAC地址認(rèn)證

MAC地址認(rèn)證是以用戶終端的MAC地址作為特征，對(duì)用戶的合法性進(jìn)行驗(yàn)證。網(wǎng)絡(luò)管理人員需要在接入交換機(jī)內(nèi)部或者是遠(yuǎn)程數(shù)據(jù)庫維護(hù)一張MAC地址表，將所有需要接入網(wǎng)絡(luò)的終端MAC地址記錄下來。當(dāng)有用戶接入網(wǎng)絡(luò)時(shí)，首先要驗(yàn)證其終端的MAC地址是否與MAC地址表中的地址匹配，只有匹配成功的終端才被允許訪問網(wǎng)絡(luò)，在小規(guī)模的無線網(wǎng)絡(luò)環(huán)境下，MAC地址認(rèn)證方式方便、快捷，較為實(shí)用。

以上3種認(rèn)證方式是目前校園網(wǎng)環(huán)境中使用比較多的，但對(duì)于以無線接入方式為主的移動(dòng)終端來說，3種認(rèn)證方式各有弊端。其中，802.1x認(rèn)證方式需要安裝客戶端軟件，對(duì)終端操作系統(tǒng)版本及接入設(shè)備類型的要求較多，不夠靈活。Portal認(rèn)證方式相對(duì)較為便捷、安全，但用戶在每次上網(wǎng)之前，都需要通過瀏覽器打開認(rèn)證頁面，輸入用戶名、密碼進(jìn)行認(rèn)證，對(duì)于手機(jī)APP軟件來說，此認(rèn)證過程較為繁瑣。MAC地址認(rèn)證方式兼容性較好，認(rèn)證過程簡單，但存在被黑客偽造MAC地址的情況，安全性較差。

2 無感知認(rèn)證方式

隨著無線網(wǎng)絡(luò)應(yīng)用越來越廣泛，在當(dāng)前校園無線網(wǎng)絡(luò)建設(shè)中，如何部署認(rèn)證系統(tǒng)，使得在認(rèn)證過程中降低操作的復(fù)雜度，減少用戶的參與度，做到用戶無感知的情況下完成身份認(rèn)證，是目前業(yè)界較為關(guān)注的課題。

經(jīng)過對(duì)主流認(rèn)證方式特點(diǎn)的分析，結(jié)合筆者學(xué)校無線網(wǎng)絡(luò)設(shè)備實(shí)際情況，選擇使用Portal+MAC組合的認(rèn)證方式，通過兩次認(rèn)證，實(shí)現(xiàn)首次認(rèn)證用戶參與、后續(xù)認(rèn)證自動(dòng)完成的無感知認(rèn)證。

具體認(rèn)證過程如圖1所示。

（1）用戶首次連接SSID時(shí)，由用戶終端向AC發(fā)起認(rèn)證請(qǐng)求，AC獲取用戶終端的MAC地址并向RADIUS服務(wù)器發(fā)起MAC認(rèn)證請(qǐng)求，此時(shí)，由于RADIUS服務(wù)器的數(shù)據(jù)庫中尚未記錄用戶終端的MAC地址，因此會(huì)拒絕認(rèn)證，MAC地址認(rèn)證失敗。

（2）當(dāng)用戶訪問瀏覽器訪問網(wǎng)絡(luò)時(shí)，AC查找之前的MAC地址認(rèn)證失敗記錄，攔截用戶的URL請(qǐng)求，并將其重定向至Portal認(rèn)證頁面，提示用戶輸入賬號(hào)、密碼。

（3）Portal服務(wù)器將接收到的賬號(hào)、密碼信息以Portal協(xié)議發(fā)送給AC，由AC向RADIUS發(fā)起認(rèn)證請(qǐng)求，認(rèn)證成功后，RADIUS服務(wù)器后臺(tái)數(shù)據(jù)庫將記錄此用戶的賬號(hào)、MAC地址等信息。

（4）用戶在后續(xù)連接SSID時(shí)，依然先由AC向RADIUS服務(wù)器發(fā)送MAC認(rèn)證請(qǐng)求，此時(shí)由于RADIUS服務(wù)器后臺(tái)數(shù)據(jù)庫已有用戶的賬號(hào)、MAC地址等信息的記錄，認(rèn)證成功，用戶上線，不需要再進(jìn)行Portal認(rèn)證。后續(xù)認(rèn)證是在用戶連接SSID后，由終端、AC、RADIUS自動(dòng)完成的，不需要用戶進(jìn)行參與，因此對(duì)用戶來說是無感知的。

從認(rèn)證過程中可以看到，無感知認(rèn)證不是免認(rèn)證，是在認(rèn)證過程中減少用戶的參與度，降低操作的復(fù)雜度，在用戶毫無感知的情況下完成的身份認(rèn)證，既保證了對(duì)用戶上網(wǎng)的安全管理，同時(shí)提高了用戶的上網(wǎng)體驗(yàn)，適合于為教師和學(xué)生服務(wù)的校園無線網(wǎng)環(huán)境。

3 結(jié)語

無線網(wǎng)絡(luò)全覆蓋是未來校園網(wǎng)建設(shè)的大趨勢，在建設(shè)校園無線網(wǎng)的過程中，如何更好地方便用戶使用，提高用戶體驗(yàn)，是校園無線網(wǎng)建設(shè)者應(yīng)該思考的問題。無感知認(rèn)證方式，將Portal認(rèn)證方式的安全性與MAC認(rèn)證方式的便捷性相結(jié)合，提高了用戶體驗(yàn)。但是，無感知認(rèn)證是在用戶不知情的情況下完成的，對(duì)于按流量或按時(shí)長計(jì)費(fèi)的高校來說，會(huì)在用戶不知情的情況下產(chǎn)生流量或上網(wǎng)時(shí)長，造成用戶經(jīng)濟(jì)損失。因此，在部署無感知認(rèn)證的校園無線網(wǎng)絡(luò)環(huán)境下，需要結(jié)合該校實(shí)際情況，合理地設(shè)置用戶下線策略和計(jì)費(fèi)模式，才能避免用戶流量或上網(wǎng)時(shí)長的損失，提高用戶使用的滿意度。

參考文獻(xiàn)

[1] 楊秀梅，鄭劍.校園無線網(wǎng)部署方案研究[J].華東師范大學(xué)學(xué)報(bào)：自然科學(xué)版，2015（s1）：174-179.

[2] 劉長瑞，聶明.無感知WLAN業(yè)務(wù)認(rèn)證方式的分析[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2012（8）：25-29.

[3] 邱知文，張杰.基于校園無線網(wǎng)的BYOD認(rèn)證系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用與軟件，2015（2）：94-96，147.

[4] 柏軍洋，杜慶東.校園網(wǎng)認(rèn)證系統(tǒng)的安全分析與研究[J].沈陽師范大學(xué)學(xué)報(bào)：自然科學(xué)版，2013（2）：263-267.

[5] 梁根.基于RADIUS的校園網(wǎng)認(rèn)證管理系統(tǒng)的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)技術(shù)與發(fā)展，2006（6）：43-44，47.