孫亮

摘要：當(dāng)前校園內(nèi)無線接入的需求和范圍正全面增加，保障無線接入終端和無線局域網(wǎng)的安全成為了校園網(wǎng)絡(luò)建設(shè)和管理的一個(gè)重要內(nèi)容。確定無線接入者身份能有效實(shí)現(xiàn)安全策略的規(guī)劃和部署，提升校園內(nèi)無線局域網(wǎng)安全水準(zhǔn)。該文分析了當(dāng)前校園無線局域網(wǎng)身份認(rèn)證的主要技術(shù)和面臨的挑戰(zhàn)，并提出相應(yīng)的解決思路。

關(guān)鍵詞：身份認(rèn)證；無線接入

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）12-0042-02

Campus Wireless LAN Security Present Situation Analysis

SUN Liang

（Network Center， Zhejiang Ocean University， Zhoushan 316022，China）

Abstract： Demand and scope of wireless access is increase overall security， wireless access terminal and security become important part of network construction management. Identity of wireless access effectively achieve planning and deployment of security policy， enhance security level of wireless. We analyzes main techniques of Wireless LAN Authentication and challenges， and corresponding solutions.

Key words： identity authentication； wireless access

1 需求與目標(biāo)

隨著移動(dòng)終端設(shè)備的快速發(fā)展，越來越多的人隨身攜帶者手機(jī)、平板、筆記本等移動(dòng)終端。在大學(xué)校園里，手機(jī)已經(jīng)成為學(xué)生必備的日常工具之一，在學(xué)生中的擁有量很高。XX大學(xué)及承建校園網(wǎng)絡(luò)的聯(lián)通公司結(jié)合校園實(shí)際情況，計(jì)劃在原有的校園網(wǎng)絡(luò)的基礎(chǔ)上增加無線網(wǎng)絡(luò)，使其能夠覆蓋教學(xué)樓、宿舍樓、圖書館、運(yùn)動(dòng)場、食堂等大部分區(qū)域，以方便學(xué)生隨時(shí)隨地的接入到校園無線網(wǎng)絡(luò)中去。

無線網(wǎng)絡(luò)的建立不僅僅是為學(xué)生和教師提供無線上網(wǎng)，同時(shí)也可以承載學(xué)校日常的通知通告的下發(fā)等工作，未來如果連接學(xué)生學(xué)籍、成績管理系統(tǒng)，通過無線接入認(rèn)證的方式，可以為學(xué)生提供更多更人性化的服務(wù)措施。同時(shí)作為承建方聯(lián)通公司，也可以在此項(xiàng)目上獲益，為自己的聯(lián)通用戶提供免費(fèi)的無線上網(wǎng)服務(wù)，可謂一舉多得。

但是傳統(tǒng)的無線網(wǎng)絡(luò)的接入方式，用戶上網(wǎng)需要得知無線密碼或者不需要密碼直接接入到無線網(wǎng)絡(luò)中，不僅在安全上存在一定的隱患，網(wǎng)絡(luò)運(yùn)行也不夠穩(wěn)定更不能對接入用戶進(jìn)行管理控制，實(shí)際操作起來也不夠方便。更重要的是校方并沒有通過無線網(wǎng)絡(luò)跟學(xué)生建立一種良性互動(dòng)，沒有發(fā)揮其應(yīng)有的作用，使無線網(wǎng)絡(luò)的效果大打折扣。因此如何部署一套可運(yùn)營、可管理、可靠高效的無線網(wǎng)絡(luò)已經(jīng)成為校園網(wǎng)絡(luò)建設(shè)的當(dāng)務(wù)之急。

2 常見身份認(rèn)證技術(shù)在校園無線環(huán)境下的優(yōu)缺點(diǎn)

當(dāng)前無線局域網(wǎng)身份認(rèn)證有以下幾大類：

一是無線接入設(shè)備上的接入控制，主要包括基于統(tǒng)一用戶名和密碼的WEP/WPA技術(shù)。此種接入認(rèn)證方式配置簡便，與上層交換設(shè)備和路由設(shè)備無關(guān)，并且作為無線局域網(wǎng)的標(biāo)準(zhǔn)技術(shù)，可以良好的兼容各類無線客戶端。但是，此類認(rèn)證方案主要基于每個(gè)無線接入的設(shè)備的認(rèn)證控制，帳號(hào)不具備整體校園范圍的通用性。同時(shí)難以針對校園內(nèi)數(shù)量大的師生實(shí)現(xiàn)一人一帳號(hào)的唯一認(rèn)證，并且難以配合其他的訪問控制策略。因而不適合作為校園范圍內(nèi)整體的無線訪問身份認(rèn)證方案技術(shù)基礎(chǔ)。

二是在協(xié)議層上的撥入控制，典型的應(yīng)用為基于PPPOE協(xié)議的撥號(hào)接入以及相關(guān)衍生應(yīng)用，如電信開發(fā)的閃訊客戶端等。此類接入方案使用專用的接入?yún)f(xié)議，各無線客戶端之間隔離性好，網(wǎng)絡(luò)數(shù)據(jù)傳輸較為穩(wěn)定，并且可以連接數(shù)據(jù)庫實(shí)現(xiàn)賬戶管理。但PPPOE是一種先接入再撥號(hào)的認(rèn)證模式，在校園無線環(huán)境下，各類無線終端無論是否通過認(rèn)證都可以連入無線網(wǎng)絡(luò)，在終端密度較高時(shí)，容易導(dǎo)致網(wǎng)絡(luò)速度和穩(wěn)定性下降，所以此種模式不是非常適合于校園內(nèi)的無線環(huán)境。

三是以WEB認(rèn)證為基礎(chǔ)的應(yīng)用層身份認(rèn)證。此類認(rèn)證讓所有的無線數(shù)據(jù)經(jīng)過一個(gè)專有的BRAS服務(wù)器進(jìn)行路由轉(zhuǎn)發(fā)，而在BRAS服務(wù)器里面通過相應(yīng)的PORTAL認(rèn)證頁面驗(yàn)證客戶端的身份。這種身份認(rèn)證方法無需專用軟件，只要有網(wǎng)頁瀏覽器即可實(shí)現(xiàn)。但其缺點(diǎn)主要為所有的數(shù)據(jù)流量均通過BRAS進(jìn)行轉(zhuǎn)發(fā)，其最大性能受限于BRAS服務(wù)器性能。如校園無線局域網(wǎng)規(guī)模較大，可能會(huì)影響網(wǎng)絡(luò)響應(yīng)。

四是基于802.1X和RADIUS數(shù)據(jù)庫技術(shù)實(shí)現(xiàn)的身份認(rèn)證接入。此認(rèn)證方法可以在無線接入終端至路由核心的任一匯聚點(diǎn)進(jìn)行設(shè)置，開啟802.1X之后將相應(yīng)的認(rèn)證報(bào)文發(fā)送至RADIUS服務(wù)器進(jìn)行驗(yàn)證，只有通過驗(yàn)證的無線終端，無線接入設(shè)備才對其開放端口。這樣較好的解決了校園環(huán)境下無線局域網(wǎng)身份驗(yàn)證和接入控制兩個(gè)安全方面的問題。以下探討以802.1X為基礎(chǔ)實(shí)現(xiàn)基于身份認(rèn)證的校園無線接入。

3 校園無線身份認(rèn)證方案和訪問控制策略

在身份賬戶的分類上，應(yīng)當(dāng)確定按照一人一帳號(hào)的原則，實(shí)現(xiàn)每個(gè)帳號(hào)和人的一一對應(yīng)。在人員分類上，主要按照教工和學(xué)生進(jìn)行兩大類區(qū)分。根據(jù)不同的身份，可以對允許接入?yún)^(qū)域，訪問速率，訪問范圍，以及流量和使用時(shí)間等進(jìn)行控制。比如對學(xué)生帳號(hào)，可設(shè)置只允許在圖書館，教室等場所進(jìn)行使用，同時(shí)設(shè)定每個(gè)月流量上限或者時(shí)間上限。使校園無線局域網(wǎng)在方便學(xué)生生活，學(xué)習(xí)的同時(shí)，不會(huì)過于沉迷于網(wǎng)絡(luò)。而對于教工使用的帳號(hào)，則可以在整個(gè)校園內(nèi)均開放，但是需對網(wǎng)絡(luò)速度進(jìn)行一定的限制，以避免過大的流量擠占帶寬。在賬戶的控制策略下，對于有需要的賬戶，可以設(shè)置同時(shí)的并發(fā)撥入連接數(shù)為兩個(gè)或更多，以保障教學(xué)科研等活動(dòng)的進(jìn)行，而對于一般賬戶，應(yīng)當(dāng)設(shè)置同時(shí)撥入數(shù)量為一，防止出現(xiàn)一個(gè)賬戶在多個(gè)終端上接入，確保無線網(wǎng)絡(luò)賬戶和使用者身份的相統(tǒng)一。

在訪問控制策略上，根據(jù)校園環(huán)境的特殊性，可以將策略路由劃分為校園內(nèi)網(wǎng)和外網(wǎng)兩個(gè)區(qū)域。根據(jù)802.1X具有配置GUEST VLAN的功能，可在某些特定的區(qū)域無線設(shè)備上進(jìn)行開啟，當(dāng)無線終端沒有進(jìn)過身份認(rèn)證時(shí)，只能訪問校園內(nèi)網(wǎng)或者校園內(nèi)網(wǎng)里某些特定區(qū)域。只有進(jìn)過了認(rèn)證，才能實(shí)現(xiàn)對校園內(nèi)外整體網(wǎng)絡(luò)的訪問。

4 整體架構(gòu)設(shè)計(jì)思路

針對校園內(nèi)部署無線局域網(wǎng)身份認(rèn)證的具體情況，再兼顧到將來無線局域網(wǎng)發(fā)展后所帶來的管理和維護(hù)要求，方案設(shè)計(jì)時(shí)需要考慮到以下方面：

1）校園內(nèi)有相當(dāng)多的校外訪客，對這類臨時(shí)性網(wǎng)絡(luò)訪問需求，可以設(shè)置根據(jù)手機(jī)號(hào)碼來獲取一個(gè)臨時(shí)性的上網(wǎng)帳號(hào)，從而取得一定時(shí)間段的無線局域網(wǎng)使用權(quán)限。

2）對用戶提供一個(gè)自助服務(wù)頁面，使得用戶可以登錄進(jìn)去進(jìn)行簡單的自助服務(wù)，如修改密碼，查看上網(wǎng)的歷史記錄等。這樣也能減輕網(wǎng)絡(luò)管理人員的工作負(fù)荷。

3）對帳號(hào)可以進(jìn)行分類分組管理，根據(jù)不同的用戶組，配置相應(yīng)的網(wǎng)絡(luò)訪問策略和訪問控制策略。包括上傳下載速率，數(shù)據(jù)包轉(zhuǎn)發(fā)率，訪問時(shí)間控制，總流量限制等。

4）與校內(nèi)的各運(yùn)營商進(jìn)行合作，充分利用校園網(wǎng)內(nèi)部署的其他無線接入設(shè)備，在核心轉(zhuǎn)發(fā)時(shí)做路由選擇，使得用戶可以根據(jù)不同的賬戶選擇運(yùn)營商鏈路上網(wǎng)或?qū)W校提供的鏈路上網(wǎng)。

5）要具有部署和實(shí)施上的可行性，在有限的經(jīng)費(fèi)條件下，能夠充分利用現(xiàn)有的有線和無線架構(gòu)進(jìn)行擴(kuò)充和建設(shè)，在工程上具備可操作性。同時(shí)應(yīng)當(dāng)盡量避免對校內(nèi)現(xiàn)有有線網(wǎng)絡(luò)的影響，在設(shè)計(jì)上具備隔離性，防止無線和有線的數(shù)據(jù)包回路。

在具體的技術(shù)指標(biāo)上，應(yīng)該按照行業(yè)內(nèi)標(biāo)準(zhǔn)的的規(guī)范進(jìn)行規(guī)劃，避免因預(yù)期不足出現(xiàn)二次建設(shè)而導(dǎo)致經(jīng)費(fèi)的浪費(fèi)。

1）校內(nèi)無線局域網(wǎng)設(shè)備既有部署于室內(nèi)的，也有部署于室外的，因而各類設(shè)備應(yīng)當(dāng)具有高可靠性和耐用性，按照全天不間斷運(yùn)行的標(biāo)準(zhǔn)進(jìn)行選擇，避免因物理設(shè)備的不穩(wěn)定而影響網(wǎng)絡(luò)體驗(yàn)。

2）設(shè)備技術(shù)上需要具備一定的前瞻性，在能夠兼容當(dāng)前主流無線終端的同時(shí)，能夠預(yù)期到不遠(yuǎn)的將來使用的技術(shù)，以免投資的有效生命期過短而造成浪費(fèi)。

3）良好的兼容性，既要考慮到電腦無線終端對應(yīng)的各類操作系統(tǒng)的兼容，也要注意現(xiàn)有手機(jī)等其他各類啟動(dòng)無線終端的認(rèn)證兼容性，使得認(rèn)證系統(tǒng)的部署不影響原有各無線終端的正常使用。

4）靈活的擴(kuò)展性和升級(jí)性能，在將來對無線網(wǎng)規(guī)模進(jìn)行擴(kuò)展時(shí)，可以充分利用現(xiàn)有的設(shè)備進(jìn)行擴(kuò)充，同時(shí)可與有線局域網(wǎng)交換設(shè)備實(shí)現(xiàn)良好的兼容。在校內(nèi)的應(yīng)用中，根據(jù)需求可以隨時(shí)對無線網(wǎng)絡(luò)進(jìn)行補(bǔ)充和加強(qiáng)。

5 總結(jié)和展望

一套設(shè)計(jì)合理、運(yùn)行狀態(tài)良好的校園內(nèi)無線局域網(wǎng)身份認(rèn)證系統(tǒng)可以有效改善校園內(nèi)無線網(wǎng)絡(luò)的運(yùn)行質(zhì)量和效率，更好的為廣大師生提供穩(wěn)定，安全，便捷的網(wǎng)絡(luò)服務(wù)，為校園內(nèi)的教學(xué)，科研，辦公和生活進(jìn)行有效的支持和幫助。但網(wǎng)絡(luò)技術(shù)現(xiàn)正處于飛速發(fā)展的階段，新的技術(shù)和新的挑戰(zhàn)同時(shí)并存，校園內(nèi)無線局域網(wǎng)認(rèn)證又存在著物理環(huán)境復(fù)雜，終端密度高，用戶身份多樣化等特點(diǎn)。因而需要持續(xù)對校園網(wǎng)絡(luò)內(nèi)身份認(rèn)證系統(tǒng)的運(yùn)行情況進(jìn)行跟蹤和分析，及時(shí)對出現(xiàn)的問題進(jìn)行響應(yīng)，必要時(shí)對相應(yīng)系統(tǒng)改進(jìn)和升級(jí)。這樣，才能使校園內(nèi)無線局域網(wǎng)身份認(rèn)證系統(tǒng)能滿足不斷進(jìn)化的網(wǎng)絡(luò)安全和應(yīng)用需求，實(shí)現(xiàn)網(wǎng)絡(luò)的有效管理和運(yùn)行。

參考文獻(xiàn)：

[1] 胡云東，王培波.基于無線局域網(wǎng)的認(rèn)證方法研究[J].計(jì)算機(jī)工程與應(yīng)用，2008，44（8） ：158-161.

[2] 黃錦煜.數(shù)字化校園建設(shè)和數(shù)字化信息平臺(tái)的探究[J].科技信息，2012（7）：169-170.