无线校园网中基于身份认证技术的研究与应用

黄锦煜

摘要：随着网络技术的发展，无线局域网的普及，高校无线校园网成为高校信息化建设和构建现代化校园的一个重要标准。在校园网的信息安全建设中，无线网络安全成为目前研究的热点，在分析当前我校无线网络安全现状的基础上，深入研究了无线网络安全的相关技术，结合了实际情况和需求，提出基于身份认证技术的应用，对高校无线校园网建设提供参考。

关键词：无线校园网；网络安全；安全接入；身份认证

中图分类号：TP393 文献标识码：A

文章编号：1009-3044（2019）12-0021-02

随着高校信息化建设的发展需要，无线校园网建设作为校园网基础设施已在各大高校陆续部署实施。网络安全问题一直是网络技术发展中重要的研究课题，而无线网络安全相对于成熟的有线局域网来说，更是一个漫长探索的研究过程。高校日益扩大的办学规模，网络应用领域日益增多，各種信息系统和共享资源的合理使用，无线校园网的接入势必影响了校内正常的网络秩序，以及校园网内部信息的安全。本文将通过对当前无线校园网现状的分析，结合我校无线网络接入的实际情况，对无线网络安全中关键技术的研究，提出一种基于身份认证管理技术，可以在一定程度上区分接入用户，通过对不同用户的认证实现不同的网络服务权限，从而对校园网络秩序的建立、资源的合理分配和网络信息的安全起到一定的保证作用。

1 无线校园网现状

无线网络的普及，给学校的教学、办公、科研带来了一定的作用，也为师生的学习、工作和娱乐提供了便捷。在校园内搭建AP全覆盖，提供wifi信号接入，让全校师生在覆盖范围内无时无刻接入校园网，通过校园网接入互联网。这样的接入方式给校园网的管理带来了很大的问题，其中的网络安全问题尤其凸显，主要存在诸如非法连接、网络监听、密码破解、网络攻击等等一系列安全问题。[1]

以我校目前实施的无线网络方案为例，随着数字化校园的建设过程，校园网络经历了多厂商多种无线接入的方式达到信号全覆盖。其中，通过SSID，用户可以选择“Chinanet”中国电信或“cmcc”中国移动的信号接入，在特定信号覆盖区域接入各自的认证平台访问互联网资源，按时长按流量收费；用户也可以选择“gzcc”广州商学院的无线信号接入到校园网中，通过校园网访问互联网资源，没有任何认证，不收取费用。本文将重点讨论后者的接入方式，给校园网带来的极大安全和管理的问题有：（1）日益增多的用户数量，分布在校园内的每个AP接入点的接入数是有限的，在用户长时间占有该连接的情况下，接入数达到上限后其他用户则无法进行连接；（2）有限的带宽资源，用户接入信号后，即可快速接入互联网，在非法攻击或恶意占用网络带宽的情况下，造成其他合法用户无法正常访问网络资源；（3）合理的网络访问权限，无论教师、学生或者校内校外的无线用户，都可以在覆盖范围内随意接入无线信号，访问校内外资源，造成特定用户的需求无法满足，而非法用户的权限没有受到限制。所以，有必要对“gzcc”信号的无线接入方式进行安全的接入认证，根据现有的实际情况，对无线安全认证相关技术做了分析研究，目标是让无线校园网的管理更加可靠完善。

2 安全接入技术研究

无线校园网络不同于普通的家用无线网络，早期的静态WEP共享密钥和常用WPA/WPA2-PSK静态密钥验证都无法适应对安全性要求较高的企业级无线网络，校园无线局域网一般使用Web Portal方式+ 802.1x认证进行准入管理，强制用户必须进行个人身份认证，这无疑是无线校园网最合适的安全认证方式[2]。

Web Portal是一种认证业务类型，属于应用层的认证，它不需要特定的客户端软件来执行。主机连接到网络通过BRAS（Broadband Remote Access Server）宽带远程接入服务器提供的DHCP服务获得一个IP地址，登录指定的Portal Server认证页面进行用户名和密码认证，Portal Server得到用户信息与后台认证服务器通信验证并完成认证过程。[3]通常在无线设备中，AC（AP Controller）作为BAS系统中Raidus Server的客户端，将用户通过Web页面传递过来的用户名和密码信息发送到Raidus Server进行校验，如果信息与Raidus Server信息一致则认证成功，AC将控制AP，允许该用户通过该AP访问校园网。[4]然而往往会出现不进行认证的用户占用了IP地址的现象，校园内用户密集，容易产生单个AP的可用IP地址被耗尽的情况，从而影响正常用户的使用。目前，中国电信的“Chinanet”和中国移动的“cmcc”信号均采用此认证方式，Raidus服务器部署在远端，不经过校园局域网，当用户在特定区域内连接信号，在Web页面输入正确的用户名和密码，直接可以被允许访问互联网，并按运营商的资费计费使用。整个认证过程对用户来说是透明的，用户只需要输入正确用户名和密码。

802.1x协议是一种使用客户端和服务器进行访问控制的协议，它通过端口访问实体PAE（port access entity），根据认证服务器认证过程的结果，控制主机与接入交换机链接端口的开启和关闭来限制非注册用户访问网络。[5]在无线局域网中，部署802.1x认证有两种选择：一种是与AP直接连接的交换机端口启用802.1x模式，让接入交换机完成802.1x；另外一种是在AP上启用802.1x，认证信息经AP和AC的控制通道，传送至AC，再由AC向Radius Server发起802.1x的校验认证工作。[6]考虑到现有网络的实际情况，对网络设备的有效管理和合理配置，可采用后者基于802.1x标准的无线局域网安全认证方式，在校园核心层部署AC无线控制器。校内的无线网络用户使用自带支持802.1x协议客户端的移动终端（Windows系统、IOS系统、安卓系统）选择802.1x认证方式，即可完成802.1x认证过程。用户在“gzcc”信号覆盖的范围内请求连接，认证请求接入AP访问点，AP通过关闭802.1x功能的汇聚层交换机关联至AC访问控制器，建立CAP WAP协议隧道；由AC与Radius服务器交互认证信息，对用户进行认证；AC通知AP与无线终端建立安全网络连接，实现无线认证接入校园网的核心设备，通过校园局域网的安全策略访问到互联网。整个认证过程对用户来说是也透明的。

3 基于身份认证管理

校园用户通过“gzcc”认证后接入校园网，可以访问校内网络资源，通过防火墙和VPN可以访问互联网，但随着用户的增多，访问区域集中，在有限的带宽限制下，需要将无线用户划分为不同的群体，根据群体需求的不同，提供不同的访问权限。这样能更有效地管理用户，合理地分配网络资源，提高网络的安全性。

对于用户群的管理，通常也有多种方式。比如可以采用以各接入点的频段来划分各用户群，每个接入点使用一个特定的频率，每个用户只能使用其中一个接入点，不同区域接入点的覆盖区域可以相互重叠，只要使用的是不同频率就不会相互影响，用此方法来划分用户群，相当于一个AP就是一个用户群，优点可以避免大量的用户挤到一个特定的区域，这样可以平衡各个接入点的负载。[7]缺点是用户的移动性差，无法为用户群设置相应权限，用户群过多也难以管理。为了更好结合现有的校园网，增强有效管理性和安全性，可采用已得到成熟广泛使用的无线VLAN技术。用VLAN可以把不同用户划分到不同工作组，同个工作组的用户也不必局限于某个固定的物理范围，VLAN技术节省了带宽同时也提高了网络处理能力。

为了方便用户群的管理，无线动态VLAN +接入认证技术，成为我校解决基于身份认证的无线接入管理方案。首先根据用户需求，可把用户归类为在校教师、学生、来宾等，角色不同，访问权限不同，所分配到的带宽也不尽相同，比如教师可以满足正常教学、办公，访问校内外资源；学生只能访问校内图书馆、教务系统等校内资源；来宾只能访问互联网，无法访问校内资源。用户通过“gzcc_student”“gzcc_teacher”“gzcc_guest”多个无线信号选择请求接入，请求页面自动转接到Web+Portal认证页面，AP要求用户填写正确的用户名和密码，将信息转发到Radius服务器进行认证，服务器查询数据库并记录，若用户存在且密码验证成功，服务器向用户发送准入信息，通过AP转发到用户端，该用户接入到校园无线网；Radius服务器在准入的同时，根据用户所在的群组，划分到指定的VLAN中去，不同VLAN有对应的访问权限。Radius服务器中的数据库可以挂接到学校的统一身份认证数据库（LDAP），与校园网核心设备中的授权访问策略对应上，包括访问的端口、带宽限速、VLAN信息等，根据这样才能达到限制用户访问校内外资源的目的。

4 结束语

本文通过对目前主流无线局域网安全标准的研究基础上，结合我校校园网的实际情况，在基于Web+Portal方式和802.1x认证技术上，提出根据不同用户群体采用基于身份认证和权限管理的方案，提高了无线网络安全。校园网用户在无线信号覆盖的范围内，可以根据需要选择各种接入方式，通过认证后，实现安全上网，給校园网的管理和安全性带来一定的作用，也为后续的无线校园网升级改造和信息化数字化校园建设提供可行的参考方案。

参考文献：

[1] 单家凌.基于身份的认证在无线校园网中的应用研究[J].软件，2013，34（10）：108-110.

[2] 顾鸿，陈江.校园网无线网安全认证研究和应用[J].物流工程与管理，2012，34（213）：202-203.

[3] 严世强.校园无线局域网部署及接入认证方式的研讨[J].石家庄铁道大学学报，2013，26（4）：102-104.

[4] 王凤霞.校园网无线网络管理与应用优化[D].复旦大学，2012.

[5] 许浒.部署安全的无线校园网[D].南京理工大学，2006

[6] 聂得欣.基于802.1X标准的高校无线局域网安全认证方案分析[J].河南财政税务高等专科学校学报，2015，29（5）：93-95.

[7] 陈玮.无线校园网异区漫游管理与应用技术研究[D].复旦大学，2009.

【通联编辑：代影】