劉越揚(yáng)　胥薇

摘要：Web/Portal協(xié)議相較于第三方認(rèn)證協(xié)議議具有無需客戶端的優(yōu)點(diǎn)。然而運(yùn)行在校園網(wǎng)上的眾多智能設(shè)備并不支持這種協(xié)議，如需重新劃分網(wǎng)段將造成大量人力物力的損耗。該文所探討利用嵌入式設(shè)備Linux的cURL擴(kuò)展實(shí)現(xiàn)校園網(wǎng)Web/Portal認(rèn)證自動(dòng)上下線的功能。

關(guān)鍵詞：Web/Porta；認(rèn)證；Linux；cURL；智能硬件

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）29-0052-03

1研究背景

為了滿足廣大學(xué)生日益增長(zhǎng)的網(wǎng)絡(luò)需求，提高校園網(wǎng)的管理效率，我校聯(lián)合中國(guó)移動(dòng)對(duì)我校的校園網(wǎng)進(jìn)行了升級(jí)，其認(rèn)證由原先的802.1X認(rèn)證變更為Web/Portal認(rèn)證，并采取按時(shí)計(jì)費(fèi)的方法。采用Web/Portal認(rèn)證的計(jì)費(fèi)網(wǎng)關(guān)無需安裝客戶端軟件，減輕了網(wǎng)絡(luò)管理員的工作負(fù)擔(dān)，但每次連接網(wǎng)絡(luò)均需手動(dòng)輸入用戶名和密碼，且下線時(shí)需登錄指定頁(yè)面進(jìn)行下線操作，給眾多校園網(wǎng)內(nèi)不具備瀏覽器功能的智能硬件帶來了網(wǎng)絡(luò)兼容性挑戰(zhàn)。

2 Web/Portal認(rèn)證計(jì)費(fèi)網(wǎng)關(guān)技術(shù)分析

2.1認(rèn)證過程分析

1）用戶從DHCP Server獲取一個(gè)合法的IP地址。

2）用戶在瀏覽器中訪問任意網(wǎng)頁(yè)，BAS設(shè)備得知用戶沒有認(rèn)證后，修改報(bào)文的IP地址將用戶定向至認(rèn)證頁(yè)面。用戶進(jìn)行登錄操作。

3）BAS設(shè)備獲取了用戶名，密碼和用戶機(jī)器的IP地址后，首先使用IP地址對(duì)用戶進(jìn)行合法性檢查。如果該用戶是一個(gè)合法的未認(rèn)證用戶，則使用獲取的用戶名和密碼到AAAServer進(jìn)行認(rèn)證。

4）BAS根據(jù)AAA Server認(rèn)證的結(jié)果，修改該用戶的ACL策略。該用戶可以開始正常地訪問網(wǎng)絡(luò)。認(rèn)證結(jié)束，開始計(jì)費(fèi)。

5）用戶需要離開網(wǎng)絡(luò)時(shí)，需要再次訪問Portal Server，Portal Server通過BAS設(shè)備得知用戶已經(jīng)通過認(rèn)證，則向用戶提供退出登錄頁(yè)面。

6）用戶通過退出登錄頁(yè)面退出網(wǎng)絡(luò)后，BAS設(shè)備修改該用戶的ACL策略，將該用戶恢復(fù)為未認(rèn)證狀態(tài)，計(jì)費(fèi)結(jié)束。

結(jié)論：如果客戶端能夠自主向BAS設(shè)備發(fā)送用戶信息，即可自動(dòng)完成認(rèn)證。

2.2用戶端在線檢測(cè)分析

Web/Portal認(rèn)證通常使用ARP探測(cè)或心跳包的方法檢測(cè)用戶是否在線

1）ARP探測(cè)

用戶端計(jì)算機(jī)響應(yīng)來自BAS設(shè)備的ARP請(qǐng)求報(bào)文，如果BAS設(shè)備連續(xù)若干次沒有收到來自客戶端的ARP應(yīng)答報(bào)文，則判定離線。

2）心跳報(bào)文

在用戶認(rèn)證通過后，推送給用戶一個(gè)連接保持頁(yè)面。連接保持頁(yè)面中嵌入Java Applet，定期向BAS設(shè)備發(fā)送特定心跳報(bào)文表示該用戶在線

結(jié)論：客戶端如能定期向BAS發(fā)送報(bào)文，BAS即判定該客戶端在線。

3實(shí)現(xiàn)環(huán)境

1）采用Web/Portal認(rèn)證的計(jì)費(fèi)網(wǎng)關(guān)

21運(yùn)行Linux系統(tǒng)的智能硬件

OpenWrt是一個(gè)嵌入式設(shè)備的Linux發(fā)行版，主要應(yīng)用于各種路由器和家庭網(wǎng)關(guān)等，具有很強(qiáng)的通用性。選擇OpenWrt系統(tǒng)作為運(yùn)行平臺(tái)，可以最大限度地利用其支持眾多網(wǎng)絡(luò)設(shè)備的特點(diǎn)，而無需重新編寫驅(qū)動(dòng)程序。本文選擇市面上常見的路由器TP-LINK WR720為例，模擬具有聯(lián)網(wǎng)功能的智能硬件。

3）cURL軟件包

cURL（CommandLine Uniform Resource Loeator）是利用URL語(yǔ)法在命令行方式下工作的開源文件傳輸工具。它被廣泛應(yīng)用在Unix、Linux中。cURL可以處理各種情況的認(rèn)證頁(yè)面，例如：用戶名/密碼認(rèn)證方式的頁(yè)面和使用COOKIES登錄的界面等。

4實(shí)現(xiàn)過程

4.1給路由器刷入OpenWrt

訪問OpenWrt的下載頁(yè)面，這里選擇目前最新的ChaosCalmer版本，（本文對(duì)應(yīng)版本為openwrt-15.05-ar71xx-generie-tl-wr720n-v3-squashfs-faetory.bin）進(jìn)人路由器管理界面，然后進(jìn)人固件更新選項(xiàng)，選擇下載的文件，然后點(diǎn)擊更新。

絕大多數(shù)預(yù)先編譯好的OpenWrt不支持cURL命令，為了使OpenWrt支持cURL命令需要先行安裝cURL軟件包。使用winsep登錄路由器，將從OpenWrt官網(wǎng)下載得到的安裝包：lib-安裝軟件包：

opkg install libpolarssl.ipk

opkg install libcurl.ipk

opkg install curl.ipk

至此cURL安裝完成，可利用cURL執(zhí)行有關(guān)命令

4.2登錄

打開網(wǎng)關(guān)登錄界面，通過Chmme的調(diào)試模式尋找發(fā)送的http請(qǐng)求。填入手機(jī)號(hào)，密碼，在Network選項(xiàng)卡中查找登錄接口請(qǐng)求。得到登錄請(qǐng)求接口http：//10.30.45.4：8080/seffservice（圖1）

這里為內(nèi)網(wǎng)，登錄賬戶密碼均為明文傳輸且未進(jìn)行加密。

為了提高成功率可以先使用Postman進(jìn)行模擬登錄測(cè)試。

Postman是一款功能強(qiáng)大的網(wǎng)頁(yè)調(diào)試與發(fā)送網(wǎng)頁(yè)HTFP請(qǐng)求的Chrome插件，該工具不僅可以調(diào)試簡(jiǎn)單的CSS、HTML、腳本等網(wǎng)頁(yè)基本信息，它還可以發(fā)送幾乎所有類型的HTTP請(qǐng)求。

先將地址填入地址欄，方式選擇POST。

在bodv選項(xiàng)卡中填入需要填充的項(xiàng)目。

最后點(diǎn)擊Send即可提交請(qǐng)求，然后在下面查看請(qǐng)求結(jié)果，并且可以以Pretty、Raw、Preview三種方式查看。

測(cè)試成功后按要求編寫cURL命令

4.3保持在線

經(jīng)過對(duì)登錄成功后的頁(yè)面源代碼分析，并未發(fā)現(xiàn)相關(guān)的Java Applet，因而斷定采用的是ARP探測(cè)。由于ARP協(xié)議是無狀態(tài)的，任何主機(jī)即使在沒有請(qǐng)求的時(shí)候也可以做出應(yīng)答，通常情況下可以考慮通過C語(yǔ)言編寫定時(shí)生成發(fā)送ARP包的程序，但路由器的CPU'陛能較弱，再安裝C語(yǔ)言運(yùn)行環(huán)境容易崩潰，這里給出一種逆向解決的方案——每隔一段時(shí)間向網(wǎng)關(guān)發(fā)送ARP請(qǐng)求，經(jīng)過測(cè)試，此方案可以保證用戶的在線狀態(tài)。

以Linux自有ARPING命令實(shí)現(xiàn)：

[root@hnlinux～]#arping-f 10.30.45.4

//向指定IP地址發(fā)送ARP請(qǐng)求，收到第一個(gè)數(shù)據(jù)包后退出

4.4定時(shí)下線

該型計(jì)費(fèi)網(wǎng)關(guān)是在在用戶提交下線申請(qǐng)后引導(dǎo)用戶一個(gè)網(wǎng)站完成下線操作，其提交方式為GET。例如

http：//10.3.4.5/eportal/webGate.domethod=goToLogout

利用cURL命令完成

Linux下可用Crontab命令完成定時(shí)操作，

OpenWrt Crontab命令格式如下：

如每天早327點(diǎn)30分?jǐn)嚅_網(wǎng)絡(luò)的命令：

5總結(jié)

相較于傳統(tǒng)PPPoE/802.1X認(rèn)證，Web/Ponal操作簡(jiǎn)單，管理便捷，既能應(yīng)對(duì)校園網(wǎng)絡(luò)接人數(shù)量眾多的問題，也能保障校園網(wǎng)接入的安全性及網(wǎng)絡(luò)資源使用合理性。且客戶無需安裝各種飽受詬病的第三方撥號(hào)軟件，主流操作系統(tǒng)打開瀏覽器即可完成認(rèn)證工作。但Web/Portal網(wǎng)關(guān)每次使用均需人工登錄，且使用完成后需人工下線，給一些依托于校園網(wǎng)運(yùn)行卻沒有瀏覽器功能的智能硬件（如網(wǎng)絡(luò)攝像機(jī)，智能門禁）的使用帶來了不少兼容性問題。如直接升級(jí)硬件將會(huì)帶來較大的資金損失和環(huán)境污染?？紤]到目前眾多智能設(shè)備均運(yùn)行經(jīng)過定制的Linux系統(tǒng)，且cURL的通用性，可移植性，現(xiàn)有低功耗設(shè)備只需重新編譯少量代碼即可支持cURL模擬登錄網(wǎng)關(guān)，而無需更新硬件，滿足了數(shù)量眾多的IOT設(shè)備的需要。cURL對(duì)系統(tǒng)資源要求不高，并不會(huì)對(duì)設(shè)備能耗造成較大影響，高度契合IOT設(shè)備低功耗，低成本的特點(diǎn)。自動(dòng)化命令也可以有效減輕設(shè)備維保人員的工作強(qiáng)度，從而無需逐一手動(dòng)設(shè)備。但cURL模擬登錄網(wǎng)關(guān)也存在缺點(diǎn)，由于Web/Portal網(wǎng)關(guān)生產(chǎn)廠家眾多，且不同的單位使用的Web登錄模板，BAS設(shè)備TP地址均不相同，登錄代碼不具備通用性，編寫代碼前需要進(jìn)行大量的調(diào)試工作，或與網(wǎng)絡(luò)管理員提前進(jìn)行好溝通。隨著物聯(lián)網(wǎng)的發(fā)展，相關(guān)硬件廠商應(yīng)預(yù)留相應(yīng)的程序接口，提高設(shè)備的兼容能力，以應(yīng)對(duì)愈加復(fù)雜的網(wǎng)絡(luò)情況。