校园WLAN无感知认证方式分析

校园WLAN无感知认证方式分析作者：杨璐来源：《信息安全与技术》2015年第01期【摘；要】随着时代和高校信息化建设的不断发展，无线网络逐渐成为校园网解决方案的一个重要组成部分。结合校园网实际应用需求，在现有校园网络的基础上，无感认证通过自动绑定学生无线终端网卡MAC技术，从而简化用户的Portal接入流程，以使终端用户实现一次认证，永久接入，保证其零配置再次接入。这种认证方式方便用户操作，提升用户的接入体验。【关键词】校园WLAN;无线局域网;无感知认证TheAnalysisofCampus-WLANCertificationwithoutPerceptionYang;Lu(ChinaYouthUniversityofPoliticalSciences;Beijing;100089)【Abstract】Withthecontinuousdevelopmentofthetimesanduniversityinformationtechnology，wirelessnetworksisbecomingisanimportantcomponentofsolutionsforcampusbinedwithpracticalapplicationrequirementsofcampus-network，basedontheexistingcampus-network，thecertificationwithoutperceptionusetheMactechnologyofboundingstudents'wirelessterminalcardautomaticallytosimplifyuseraccesstothePortalprocessestoenableend-userstoachieve"onecertification，permanentaccessandensurethattheirzero-configurationaccessagain.This？userauthenticationisveryconvenienttooperateandenhanceuseraccessexperience.【Keywords】campus-wlan;wirelesslan;noperceptioncertification1;;引言近年来，信息通信技术的快速发展和互联网的广泛应用，正在深刻改变着人类社会一一改变着人类的生产方式、生活方式、交往方式、学习方式和教育方式。互联网技术的快速发展为终身学习、移动学习、远程学习、网上个性化学习等一系列新型学习方式提供了基础和可能。数字化校园是以数字化信息化为依托而建构的集教学、管理、娱乐为一体的新型数字化的工作、学习和生活的环境，也是学校以及教育管理部门通过信息化手段，实现对各种资源的有效集成、整合和优化;实现资源的有效配置和充分利用;实现教育和校务管理过程的优化、协调，使教学资源得到充分优化利用的一种虚拟教育环境。数字化校园使得现实的校园环境在时间和空间上得到延伸。目前我国高校信息化建设的主要目的是，为了提高教育质量和教育效率，培养学生的创新精神和实践能力，从而实现面向全社会的高等教育，这些对培养新世纪创新人才具有极其重要的意义。数字化校园建立在校园局域网覆盖的基础上，无线网络是解决校园网问题的一个重要组成部分，无线网络实现数字化校园，首先需要解决WLAN认证方式。2;;WLAN认证方式现状WLAN（无线局域网络）是一种利用射频技术进行据传输的系统，取代旧式碍手碍脚的双绞铜线所构成的局域网络，使得无线局域网络能利用简单的存取架构让用户透过它，达到'信息随身化，便利走天下”的理想境界。无线WLAN是高校建设数字化校园的基础建设之一，有利扩大社会影响，更好开展对外学术交流与培训。对于在校师生而言，可随时随地获取到教学资源。校园WLAN需要充分考虑整个网络的可靠性、冗余能力、自愈能力以及可能面临的各种不安全因素，同时又要具备高性能的扩展能力。现阶段国内院校在大范嗣建设校园WLAN时，均会考虑采取单独无线链路组网、“瘦AP”的覆盖和统一用户身份认证的模式。不仅分担了校园有线同的上网压力，也便于网络的管理和维护，同时实现了校园网用户的漫游。为了提高校园WLAN的安全性，必须引入安全可靠的认证机制、加密机制以及控制机制。同时，校园WLAN需要对用户实现统一认证、统一管理.从而让用户真正在校园WLAN享受漫游服务。目前主要的安全认证技术有几种。;MAC认证方式MAC认证是一种基于设备物理地址的对用户进行匹配认证的技术。认证过程中，用户不需要手动输入用户名和密码，对用户体验较佳。然而，对于网络管理员而言，需要统计当前整个网络的用户的设备MAC地址并录入，这对于学校这种大型无线网络而言是非常大的一个挑战。因此常规的MAC认证方式的比较适合小环境少用户的网络环境。;Portal认证方式Portal认证又称Web认证，客户端接入到无线网络中，先向DHCP服务器申请到一个IP地址，再进行浏览器的网络访问。此时，客户端只能访问WEB认证服务器和网络中的DNS服务器，输入任何有效的地址都将被重定向到认证服务器，要求用户进行认证。当用户认证通过后，安全策略服务器授予用户访问网络的权限。2.3;802.1X认证方式802.1x协议是基于C/S的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口（AccessPort）访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1X只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口;认证通过以后，正常的数据可以顺利地通过以太网端口。从上述认证方式中，我们可以看出，单一的MAC认证会给网络管理员带来巨大的工作量，802.1X则需要用户进行一系列繁琐的设置，对于非专业的人员可能需大量的时间进行设置，用户体验不佳，而Portal认证虽然只需用户在浏览器里弹出的认证页面中输入用户名和密码即可，但是每次都需进行繁琐的输入密码。无线网络作为有线网络的补充，在设计方案时需要考虑与现有的有线网络认证系统进行对接。尽量简化无线网络部署的复杂度，减少对现有有线网络结构的变动。无线网络用户进行身份认证时必须实现与有线网络认证系统的对接，从而达到有线网络与无线网络的统一身份认证。现有的学生账号和教师账号能够和无线网络进行无缝对接。因此，我们在设计无线网络认证时，采取Portal认证方式。3;;无感知认证为了提高用户使用WLAN的认可度，各大建设方都提供WLAN无感知认证的方式，达到不需要用户干涉、在用户无感知的情况下进行透明认证。我们也提出了一套完善的无感知认证方式一一Portal+MAC认证方式，是一种用户体验比较完美的方式。我们提供的Portal+MAC无感知认证就是结合控制器和认证服务器给用户做一次二层（MAC认证）加三层（Portal认证）的认证。其主要解决方案在于增加一台MAC绑定服务器，用来完成用户终端的MAC、账号或密码等信息的记录、发起Portal认证等功能，达到简化用户操作的目的。用户接入网络的整个登录认证流程如图1所示。首先，当Portal用户首次接入时，可以自动完成MAC的绑定;之后，当用户再次接入时，后台会自动认证，以此便实现了用户的零配置;最后，通过Idle-Cut方式实现用户的被动下线，即当AC在一段时间内没有检测到用户流量时，则强制用户下线。当用户与AP建立了关联，首先会从控制器上拿到一个初始的Role，要求用户进行的是MAC认证。用户的终端设备自发的将自己的MAC地址作为用户名和密码，加入认证数据包，发送到认证服务器进行MAC认证。由于是第一次登录，用户数据库中还没有将用户名与用户终端设备的MAC进行绑定，即认证源中没有该用户名+密码组合的记录，此次MAC认证失败，返回一个认证失败后的角色（Role）。MAC认证对用户来说是透明的，返回的这个角色（Role）要求用户进行Portal认证。于是，用户打开浏览器，输入指定的URL或任意标准的域名和IP地址（将被Role中的CaptivePortal策略进行重定向到认证页面），按提示输入用户名和密码。认证过程中，认证服务器会自动将此次认证与事先设置好的策略条件进行自上而下的匹配，相对应策略被触发执行，来提取会话中用户终端的MAC地址，将MAC地址写入该用户的记录中，做用户名绑定。该用户此次接入无线网的设备的MAC地址就和用户名做了关联。当用户以后用已经做了MAC捆绑的设备接入网络时，首先从控制器拿到的还是一个要进行MAC认证的Role，发起MAC认证请求，因为此时数据库中已经保存了该终端的MAC，所以此次MAC认证通过，认证服务器给控制器返回一个认证通过的消息，控制器给他派发一个有接入网络权限的角色（Role），不再触发Portal认证。高校无线网络的建设给全校师生都带来了便利，但是网络的控制管理问题也相应而生。上文所论述的Portal+MAC无感知认证相比前文所提到过的MAC认证，Portal认证和802.1X认证，它集成了MAC认证的良好用户体验和Portal认证技术管理员易部署，兼容性好等优点，所以在高校这种特殊的环境中部署是有比较明显的优势的。4;;启示与建议WLAN业务的通信范围不受环境条件的限制，具有传统局域网无法比拟的灵活性，可以满足人们移动办公的梦想，给远程办公的人士创造一个丰富多彩自由交流的平台。目前发展WLAN业务可以通过优化WLAN认证方式提供无感知认证功能，改善和提高用户的使用体验，向用户提供更好的WLAN业务，使用户能够更加方便、快捷、自由的使用WLAN业务。在现有WLAN业务标准资费计费模式下，无感知认证可能会造成用户在不知情情况下长时间在线，损害用户利益。为避免按现有时长计费而引发的问题，可以引入专属套餐（流量封顶）配合无感知认证功能。用户开通无感知认证功能后，可以不限制时长地使用WLAN上网，当流量达到封顶限制后，系统会提示用户不能登录网络。因此，我们应当面向所有具有WLAN功能的手持终端（手机或PAD等非PC操作系统的平板电脑）的用户提供无感知认证功能。从目前的WLAN技术的发展趋势可知，未来的无线网络发展会更加广阔便利，实现更广阔领域和更少资费，给广大用户带来实质性的益处。参考文献刘桂成.WLAN无感知认证[J].科学时代，2012，（5）：116-117.周向军.基于Portlet技术的校园信息门户的设计与实现[J].计算机技术与发展，2013,23（8）：212-219.罗辉琼.基于WebSpherePortal的数字校园信息门户的研究与实现[J].华南师范大学学报（自然科学版），2012，44（1）：67-71.［4］刘长瑞，聂明.无感知WLAN业务认证方式的分析［J］.电信工程技术与标准化，2012,(5)：25-