劉會(huì)德+陳粟+王昊

摘 要 本文綜合比較了無(wú)線(xiàn)網(wǎng)認(rèn)證加密方式，分析了它們?cè)趹?yīng)用中可能遇到的問(wèn)題，并結(jié)合單位具體需求，建成了使用靈活、管理方便的無(wú)線(xiàn)網(wǎng)認(rèn)證系統(tǒng)。

關(guān)鍵詞 無(wú)線(xiàn)認(rèn)證；無(wú)線(xiàn)接入；訪(fǎng)問(wèn)控制

中圖分類(lèi)號(hào) G2 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1674-6708（2017）185-0070-02

隨著移動(dòng)辦公的不斷發(fā)展，電臺(tái)前兩年開(kāi)始建設(shè)無(wú)線(xiàn)網(wǎng)，但一直沒(méi)有對(duì)無(wú)線(xiàn)接入進(jìn)行認(rèn)證和加密。由于無(wú)線(xiàn)網(wǎng)絡(luò)固有的開(kāi)放性，傳輸?shù)臄?shù)據(jù)利用無(wú)線(xiàn)電波在空中輻射傳播，只要在無(wú)線(xiàn)信號(hào)覆蓋的范圍內(nèi)，任何無(wú)線(xiàn)終端都能接收到信號(hào)，導(dǎo)致系統(tǒng)被非法入侵及數(shù)據(jù)被監(jiān)聽(tīng)、竊取、篡改的風(fēng)險(xiǎn)非常大。因此，單位決定對(duì)無(wú)線(xiàn)網(wǎng)接入進(jìn)行身份認(rèn)證，解決安全隱患。

1 電臺(tái)網(wǎng)絡(luò)現(xiàn)狀

電臺(tái)建設(shè)無(wú)線(xiàn)網(wǎng)絡(luò)的初衷是作為有線(xiàn)網(wǎng)絡(luò)的補(bǔ)充和備份。主要解決以下兩個(gè)問(wèn)題：1）有線(xiàn)網(wǎng)絡(luò)發(fā)生故障時(shí)，使用無(wú)線(xiàn)網(wǎng)絡(luò)保證采編播工作不受影響；2）在直播區(qū)域和錄播區(qū)域，由于安裝了很多隔音材料，在這些區(qū)域增加信息點(diǎn)的施工會(huì)影響隔音效果，隨著終端設(shè)備的增加，必須使用無(wú)線(xiàn)網(wǎng)絡(luò)。電臺(tái)有線(xiàn)網(wǎng)絡(luò)和無(wú)線(xiàn)網(wǎng)絡(luò)都有自己獨(dú)立的網(wǎng)絡(luò)設(shè)備、出口及相應(yīng)的DHCP、DNS服務(wù)器，兩個(gè)網(wǎng)絡(luò)的終端分別通過(guò)各自的網(wǎng)絡(luò)主干和出口訪(fǎng)問(wèn)互聯(lián)網(wǎng)，但為了無(wú)線(xiàn)網(wǎng)絡(luò)內(nèi)的終端設(shè)備能使用有線(xiàn)網(wǎng)絡(luò)內(nèi)的打印機(jī)、辦公系統(tǒng)、文件服務(wù)器等網(wǎng)絡(luò)資源，兩個(gè)網(wǎng)絡(luò)進(jìn)行了聯(lián)通。拓?fù)鋱D如圖1。

因?yàn)樵跓o(wú)線(xiàn)網(wǎng)絡(luò)內(nèi)沒(méi)有重要的信息資源，對(duì)用戶(hù)的接入控制和數(shù)據(jù)加密要求不必很高。

電臺(tái)現(xiàn)有員工近1 000人，還有一些兄弟單位在一塊辦公，每天嘉賓、工作伙伴等外來(lái)訪(fǎng)客也非常多。使用有線(xiàn)網(wǎng)絡(luò)辦公的都是臺(tái)內(nèi)員工，通過(guò)AD域賬戶(hù)登錄操作系統(tǒng)和進(jìn)行網(wǎng)絡(luò)訪(fǎng)問(wèn)。使用無(wú)線(xiàn)網(wǎng)絡(luò)的包括臺(tái)內(nèi)員工、兄弟單位人員和外來(lái)訪(fǎng)客，人員眾多，且流動(dòng)性大。針對(duì)河南人民廣播電臺(tái)網(wǎng)絡(luò)現(xiàn)狀，選用哪種無(wú)線(xiàn)網(wǎng)認(rèn)證加密方式合適呢？

2 無(wú)線(xiàn)網(wǎng)認(rèn)證加密方式對(duì)比

現(xiàn)有無(wú)線(xiàn)網(wǎng)認(rèn)證加密方式基本分為三大類(lèi)：開(kāi)放系統(tǒng)身份認(rèn)證、共享密鑰身份認(rèn)證和802.1X身份認(rèn)證。還有其它兩種認(rèn)證方式也能對(duì)網(wǎng)絡(luò)接入進(jìn)行認(rèn)證，即MAC ACL（MAC地址訪(fǎng)問(wèn)控制列表）和Web Redirection（網(wǎng)頁(yè)重定向）。

2.1 開(kāi)放系統(tǒng)身份認(rèn)證

這種方式既不認(rèn)證也不加密，任何客戶(hù)端都可以接入無(wú)線(xiàn)接入點(diǎn)并使用無(wú)線(xiàn)網(wǎng)絡(luò)，這是最不安全的一種認(rèn)證方式，當(dāng)然也是最省事的一種認(rèn)證方式。

2.2 共享密鑰身份認(rèn)證

這種方式中，所有客戶(hù)端都使用相同的密碼，接入無(wú)線(xiàn)接入點(diǎn)前必須輸入正確的密碼才能進(jìn)行連接。共享密鑰身份認(rèn)證有3種認(rèn)證類(lèi)型：WEP、WPA-PSK和PWA2-PSK。

WEP（Wired Equivalent Privasy），全稱(chēng)有線(xiàn)等效加密，使用這種方式，客戶(hù)端和接入端必須擁有相同的密鑰才能接入網(wǎng)絡(luò)，密鑰分為64bits和128bits兩種，最多可以設(shè)置4組不同的密鑰。WEP加密方式很脆弱，每個(gè)客戶(hù)端都使用相同的加密字，導(dǎo)致WEP容易被破解，現(xiàn)已被WPA淘汰。

WPA-PSK，WPA（Wi-Fi Protected Access）的簡(jiǎn)化版，使用方法與WEP類(lèi)似，客戶(hù)端與無(wú)線(xiàn)接入點(diǎn)必須擁有相同密鑰，用戶(hù)輸入密鑰才能接入網(wǎng)絡(luò)。該標(biāo)準(zhǔn)的主要改進(jìn)是使用了可以動(dòng)態(tài)改變鑰匙的“零時(shí)鑰匙完整性協(xié)定”（Temporal Key Integrity Protocol，TKIP），加上更長(zhǎng)的初向量，減少和鑰匙相關(guān)的封包個(gè)數(shù)，安全訊息驗(yàn)證系統(tǒng)，使得入侵無(wú)線(xiàn)網(wǎng)絡(luò)非常困難。

WPA2-PSK，WPA2的簡(jiǎn)化版，WPA2是WPA的升級(jí)版，主要改進(jìn)為：使用了CCMP（Counter CBCMAC Protocol）算法取代了WPA的MIC算法，AES（Advanced Encryption Standard）加密算法取代了WPA的TKIP加密算法。WPA2-PSK和WPA-PSK的使用方法一致，但安全防護(hù)能力更加出色。

共享密鑰身份認(rèn)證實(shí)現(xiàn)簡(jiǎn)單，對(duì)設(shè)備要求不高，維護(hù)及管理工作量小，用戶(hù)使用方便，缺點(diǎn)是不能實(shí)現(xiàn)用戶(hù)級(jí)別的控制，對(duì)一些大中型企事業(yè)單位來(lái)說(shuō)，由于人員眾多，密碼容易擴(kuò)散出去，最后的結(jié)果和開(kāi)放系統(tǒng)認(rèn)證沒(méi)有多大區(qū)別。

2.3 802.1X身份認(rèn)證

802.1X是根據(jù)用戶(hù)ID或設(shè)備，對(duì)網(wǎng)絡(luò)客戶(hù)端（或端口）進(jìn)行鑒權(quán)的標(biāo)準(zhǔn)，它采用RADIUS（遠(yuǎn)程認(rèn)證撥號(hào)用戶(hù)服務(wù)）方法，并將其分為三個(gè)部分：請(qǐng)求方、認(rèn)證方和認(rèn)證服務(wù)器，該標(biāo)準(zhǔn)能實(shí)現(xiàn)用戶(hù)級(jí)的接入控制。802.1x與共享密鑰身份認(rèn)證方式最大的不同就是客戶(hù)端接入網(wǎng)絡(luò)時(shí)，需要輸入正確的用戶(hù)名和密碼才能認(rèn)證通過(guò)。802.1X主要有兩種認(rèn)證類(lèi)型：WPA-Enterprise和WPA2-Enterprise。

使用這種方式不僅非常安全，還能實(shí)現(xiàn)可追究性，缺點(diǎn)就是需要增加認(rèn)證服務(wù)器，在部分終端上需要對(duì)無(wú)線(xiàn)網(wǎng)卡做一些設(shè)置，如果啟用證書(shū)且需要對(duì)服務(wù)器進(jìn)行驗(yàn)證，需要安裝相應(yīng)的證書(shū)，這也會(huì)增加維護(hù)管理的工作量。

2.4 MAC ACL（Access Control List）

MAC ACL，即MAC地址訪(fǎng)問(wèn)控制列表，只能用于認(rèn)證但不能用于加密。在無(wú)線(xiàn)接入點(diǎn)輸入允許接入的無(wú)線(xiàn)網(wǎng)卡MAC地址，只有在此清單中的無(wú)線(xiàn)網(wǎng)卡才能接入網(wǎng)絡(luò)。

這屬于簡(jiǎn)單粗暴的一種認(rèn)證方式，在小微企業(yè)中也比較有效。如果在大中型企事業(yè)單位則不適合，因?yàn)楦戮S護(hù)MAC地址表的工作量非常大。

2.5 Web Redirection

Web Redirection，即網(wǎng)頁(yè)重定向，這也是當(dāng)前許多網(wǎng)絡(luò)提供商常用的認(rèn)證方式。無(wú)線(xiàn)接入點(diǎn)設(shè)置為開(kāi)放系統(tǒng)認(rèn)證，但在后臺(tái)利用網(wǎng)關(guān)設(shè)備或上網(wǎng)行為管理設(shè)備，攔截客戶(hù)端發(fā)出的Web封包（使用瀏覽器訪(fǎng)問(wèn)網(wǎng)絡(luò)），并強(qiáng)制重導(dǎo)到認(rèn)證網(wǎng)頁(yè)要求輸入賬號(hào)密碼，然后向認(rèn)證服務(wù)器來(lái)對(duì)使用者進(jìn)行認(rèn)證，認(rèn)證通過(guò)后才能訪(fǎng)問(wèn)網(wǎng)絡(luò)，一般需要 Portal服務(wù)器提供賬戶(hù)密碼認(rèn)證。現(xiàn)在一些較新的設(shè)備還支持微信認(rèn)證、短信認(rèn)證、二維碼認(rèn)證等認(rèn)證方式。

使用這種方式優(yōu)點(diǎn)是認(rèn)證方式靈活，可以進(jìn)行廣告推廣。缺點(diǎn)主要有以下3點(diǎn)：1）只認(rèn)證不加密；2）在客戶(hù)端通過(guò)認(rèn)證前用戶(hù)其實(shí)已經(jīng)獲取到IP地址，已經(jīng)獲得局域網(wǎng)內(nèi)部分網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)權(quán)限；3）用戶(hù)通過(guò)認(rèn)證前，使用QQ、微信等網(wǎng)絡(luò)應(yīng)用時(shí)，不會(huì)觸發(fā)認(rèn)證，必須打開(kāi)瀏覽器訪(fǎng)問(wèn)網(wǎng)頁(yè)才能重定向到認(rèn)證頁(yè)面進(jìn)行認(rèn)證。

3 電臺(tái)無(wú)線(xiàn)認(rèn)證系統(tǒng)選型及實(shí)施

綜合比較以上幾種認(rèn)證方式：使用共享密鑰方式并不能對(duì)用戶(hù)進(jìn)行身份鑒別，頻繁更換密鑰會(huì)給運(yùn)維工作和用戶(hù)使用帶來(lái)極大不便，長(zhǎng)時(shí)間不更換密鑰的結(jié)果就等于形同虛設(shè)；如果使用802.1x或MAC ACL方式，管理維護(hù)工作量將非常大，用戶(hù)使用不方便，嘉賓和工作伙伴的臨時(shí)性上網(wǎng)需求也難以滿(mǎn)足。

如何做到既對(duì)員工和外來(lái)訪(fǎng)客進(jìn)行有效的認(rèn)證，又不大幅增加管理維護(hù)的工作量，我們經(jīng)過(guò)比較和選型，最終決定使用網(wǎng)頁(yè)重定向的認(rèn)證方式，選用深信服的AC-3300-HI上網(wǎng)行為管理設(shè)備實(shí)現(xiàn)該功能。

在無(wú)線(xiàn)控制器和防火墻之間串聯(lián)上網(wǎng)行為管理設(shè)備，進(jìn)行身份認(rèn)證、上網(wǎng)行為管控和流量管控。該設(shè)備支持微軟AD域認(rèn)證，能與有線(xiàn)網(wǎng)絡(luò)內(nèi)的原AD域服務(wù)器集成，使用原有的域賬戶(hù)密碼進(jìn)行身份認(rèn)證。在設(shè)備上啟用密碼認(rèn)證和二維碼認(rèn)證，用戶(hù)首次打開(kāi)網(wǎng)頁(yè)進(jìn)行網(wǎng)絡(luò)訪(fǎng)問(wèn)時(shí)會(huì)彈出認(rèn)證頁(yè)面，頁(yè)面中包括密碼認(rèn)證和二維碼認(rèn)證兩個(gè)選項(xiàng)。臺(tái)內(nèi)員工使用原有的域賬戶(hù)和密碼進(jìn)行密碼認(rèn)證登錄；沒(méi)有賬戶(hù)密碼的下屬單位員工、兄弟單位員工和外來(lái)訪(fǎng)客使用無(wú)線(xiàn)網(wǎng)絡(luò)時(shí)，由通過(guò)認(rèn)證的終端掃描登錄頁(yè)面上的二維碼，備注需認(rèn)證的上網(wǎng)人員信息，通過(guò)審核后方能上網(wǎng)。

上網(wǎng)行為管理的配置比較簡(jiǎn)單，部署模式設(shè)置為網(wǎng)橋模式（即透明模式），這樣當(dāng)設(shè)備關(guān)機(jī)或死機(jī)時(shí)，通過(guò)設(shè)備的Bypass功能，網(wǎng)絡(luò)通路不會(huì)中斷。設(shè)置網(wǎng)橋地址，默認(rèn)路由的下一跳地址為路由器的lan口地址。在外部認(rèn)證服務(wù)器選項(xiàng)中新增LDAP服務(wù)器，IP地址為AD域服務(wù)器的IP地址，認(rèn)證端口為389，輸入域管理員賬戶(hù)密碼和BaseDN信息，在此可以增加多個(gè)LDAP服務(wù)器備用，可以定期將AD域服務(wù)器上的組織結(jié)構(gòu)和用戶(hù)自動(dòng)同步到本地，當(dāng)AD域出現(xiàn)故障時(shí)，認(rèn)證不受影響；新增二維碼認(rèn)證，審核人為所有域賬戶(hù)，審核時(shí)，彈出審核頁(yè)面，并備注上網(wǎng)人員信息。認(rèn)證策略的設(shè)置比較靈活，認(rèn)證范圍、認(rèn)證服務(wù)器、認(rèn)證頁(yè)面、認(rèn)證后的跳轉(zhuǎn)頁(yè)面、優(yōu)先選擇哪種認(rèn)證方式、認(rèn)證后的用戶(hù)歸屬到不同的本地組、自動(dòng)錄入用戶(hù)和IP/MAC的綁定關(guān)系等都可以自定義。為了防止用戶(hù)需要頻繁輸入賬戶(hù)密碼進(jìn)行認(rèn)證，設(shè)置自動(dòng)注銷(xiāo)的無(wú)流量時(shí)間為一個(gè)月，每天不強(qiáng)制注銷(xiāo)用戶(hù)，這樣員工由于出差、休假等原因短時(shí)間未登陸無(wú)線(xiàn)網(wǎng)絡(luò)，再次訪(fǎng)問(wèn)時(shí)也不需要重新輸入賬戶(hù)密碼。

4 結(jié)論

通過(guò)使用上網(wǎng)行為管理設(shè)備進(jìn)行無(wú)線(xiàn)網(wǎng)身份認(rèn)證，滿(mǎn)足了系統(tǒng)的需求，達(dá)到了以下目的：1）域賬戶(hù)能對(duì)臨時(shí)用戶(hù)授權(quán)，既解決了外來(lái)訪(fǎng)客的臨時(shí)性上網(wǎng)需求，又能進(jìn)行認(rèn)證；2）和有線(xiàn)網(wǎng)絡(luò)使用同一套認(rèn)證系統(tǒng)，方便用戶(hù)使用，也減少了管理維護(hù)的工作量；3）該系統(tǒng)使用靈活，還能在認(rèn)證頁(yè)進(jìn)行廣告宣傳、業(yè)務(wù)介紹、免責(zé)聲明等；4）該系統(tǒng)還提供上網(wǎng)行為管理、流量管控、上網(wǎng)行為審計(jì)等，滿(mǎn)足《中華人民共和國(guó)反恐怖主義法》和《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》對(duì)網(wǎng)絡(luò)合規(guī)性的要求。電臺(tái)無(wú)線(xiàn)認(rèn)證系統(tǒng)投入運(yùn)行以來(lái)，系統(tǒng)運(yùn)行穩(wěn)定，各方反映良好，有效地解決了無(wú)線(xiàn)網(wǎng)身份認(rèn)證的問(wèn)題。

參考文獻(xiàn)

[1]胡建龍.基于無(wú)感知的校園無(wú)線(xiàn)網(wǎng)絡(luò)認(rèn)證策略研究[J].科技創(chuàng)新導(dǎo)報(bào)，2015（32）：120-121.