董延华，毕 娜，曾 轩，李晓佳，吕 凯

(吉林师范大学计算机学院，吉林四平 136000)

基于Web 安全认证的无线网络覆盖方案

董延华，毕 娜，曾 轩，李晓佳，吕 凯

(吉林师范大学计算机学院，吉林四平 136000)

为实现相对有线网络的灵活性与3G/4G移动网络的廉价性，满足企事业单位对无线网络覆盖的迫切需求，针对无线WiFi(Wireless Fidelity)覆盖方案进行对比研究，给出了适于不同需求条件下WiFi覆盖方案。同时提出了一种基于Web的强制安全认证系统实现方法，为大范围无线WiFi覆盖提供了理论支持。该无线覆盖方案实用、高效、安全，为中小企事业单位提供了实现借鉴。

无线中继;无线覆盖;强制认证

0 引 言

随着网络迅速普及，网络通信的“最后1 km”问题成为应用网络资源的关键。网络通信的“最后1 km”是指从网络服务提供商ISP(Internet Service Provider)到用户终端设备的连接。相对于Internet骨干网络广泛采用的光纤通信方式不同，目前，用户终端接入Inetrnet的方式主要有3种方式。1)有线接入。主要采用宽带xDSL(x Digital Subscriber Line)线路、有线电视CATV(Cable Television)、电力线等接入技术。有线接入的优点是网络稳定，带宽有保证，网络资费比较便宜，但受接入线路的限制，不适于流动终端用户的灵活接入［1］。2)3G/4G无线接入。利用支持高速数据传输的蜂窝移动通信基站等线路和设备构建的通信网络。其优点是只要手机信号在可覆盖范围即可通过3G/4G终端接入Internet，灵活性强。但其网络带宽有限，入网资费高。3)无线局域网接入。无线局域网络 WLAN(Wireless Local Area Network)主要实现方式是WiFi(Wireless Fidelity)，符合802.11标准的无线互联技术，其基本工作原理是将有线接入信号转换成支持WiFi终端所能接收的无线信号［2］。支持WiFi无线信号接入的设备又称为无线接入点AP(Access Point)。无线局域网络接入既保证有线接入的速度(带宽)，又兼顾了无线接入的可移动性和灵活性。

无线局域网接入方式面临的最大问题是无线局域网的有效覆盖范围有限，受无线接入点AP接入距离的限制，一般为几米到几十米，且受空间障碍物(如墙壁)影响。同时，无线局域网接入的安全性也是影响无线局域网应用的潜在问题。

为了提高无线局域网的覆盖范围，加强无线局域网接入的安全性，笔者提出了一种基于Web认证的无线WiFi覆盖解决方案。

1 无线WiFi覆盖方案

作为有线接入与3G/4G无线接入的有机结合，无线局域网络WiFi得到了越来越广泛的应用。为了解决WiFi覆盖范围与接入速度两个关键问题，提出以下3种覆盖模式并进行了对比。

1 )单无线接入点(路由)单点接入模式。该模式是WiFi无线接入点(路由器)典型应用，适用于小范围如普通家庭、单间办公室等，其垂直覆盖范围一般不适用于越层建筑，其连接拓扑图如图1所示［3］。

该模式下，无线接入点(路由)独享整个Internet接入带宽并将其转为WiFi无线或普通以太有线网络信号输出。这种模式在有效覆盖范围内有带宽保证，但其覆盖范围有限。

2 )多无线接入点(路由)单点接入模式。通过无线分布式系统WDS(Wireless Distribution System)可通过无线连接方式有效扩大网络覆盖范围。WDS主要采用无线桥接(Bridge)和无线中继(Repeater)两种方法［4，5］。无线桥接主要是通过无线接入点(路由)连接两个不同网络，以扩展无线覆盖范围;无线中继主要采用扩大同一无线网络覆盖范围。用于中继的无线接入点(路由)可以同时接收其他终端的接入，其实现拓扑如图2所示。

图1 单无线接入点(路由)单点接入模式Fig.1 Single wireless access point(router)single-point accessmode

图2 多无线接入点(路由)单点接入模式Fig.2 Multiple wireless access point(router)a single point of accessmode

该模式在有效扩大无线网络覆盖范围的同时，还便于单点接入的集中管理，实现统一的Web认证。但随着网络范围及接入终端数量的增加，网络访问的速度(带宽)无法保证。

3 )多无线接入点(路由)多点接入模式。为有效扩大无线网络的覆盖范围并确保接入终端网络访问速度，在模式2的基础上，采用按物理空间结构，如楼层等分隔区域实现多点接入，构成多个小型无线逻辑网络叠加，实现大范围无线覆盖，同时可有效提高每个小型无线网络传输带宽，其实现拓扑图如图3所示。

在这种模式下，需要针对多个小型无线逻辑网络进行统一认证管理，以确保同一个终端用户从一个逻辑网漫游到另一个逻辑网时，采用同一身份认证，减轻终端用户的负担［6］。

图3 多无线接入点(路由)多点接入模式Fig.3 Multiple wireless access point(router)multi-accessmode

2 Web认证原理

随着无线局域网络发展，许多中小型企事业单位都开始着手构建本区域的无线覆盖，用以方便移动用户的接入，提升本单位的工作效率和影响范围。但随之暴露出来的网络安全问题日趋严重，特别是针对移动用户客户端而使用的无线网络所具有的不定向性(与有线网络相对比)，在进行电子支付等敏感操作时，信息更容易泄露或者被窃取、监听，信息安全问题尤其显得重要［7］。

提高无线网络安全问题主要手段是采用无线加密方式和基于Web等方式的安全认证机制。

1 )无线加密方式。无线加密是由无线路由(AP：Access Point)提供的保护无线网络信息传输安全的安全机制。目前主要有无线等效加密WEP(Wireless Encryption Protected)和保护无线网络安全系统WPA(WiFi Protect Access)。其中 WPA 又分为 WPA 及符合802.11i的WPA2［8］。

无线加密方式为所有接入的无线终端提供统一的无线访问密钥，随着无线接入用户的增加，密钥泄露的风险加大。另外，密钥只能统一分发，移动客户端只能被动接受，不能自主更改和控制，不适用于对流动性大的用户进行安全防护，在多用户分散访问时，失去认证的作用。

2 )基于Web的强制安全认证。鉴于无线路由自身加密方式单一、密钥认证方式不适用于大范围内多用户进行访问安全保护的问题，有效的解决办法是采用不同用户个体的基于Web强制认证(Web Captive Portal)。

基于Web的强制安全认证是指针对用户通过HTTP(Hyper Text Transfer Protocol)协议访问Web资源时需要用户进行强制的认证过程，是一种基于端口对用户访问网络的权限进行控制的认证方法。其工作流程如下［9，10］。

前期准备工作要设定Web认证服务器，并在网络接入网关中登记。

①在认证前，接入网关将截获未认证用户发出的所有HTTP请求，并重定向到Web认证服务器，认证服务器返回用户端认证界面。

②用户在认证页面上输入不同的认证信息(用户名、口令、校验码等)并提交给认证服务器进行身份认证。

③合法用户通过认证后，接入网关将允许用户访问互联网资源。

基于Web的强制安全认证方式适用于针对不同用户提供不同认证密钥，有效提高了系统安全。

3 基于Web认证的无线覆盖实现

综合以上无线覆盖方案和安全认证方案对比，笔者实现了基于Web安全认证的无线覆盖方案。

无线覆盖采用多无线接入点(路由)多点接入模式，以确保客户端无线接入的速度;安全认证采用无线加密与基于Web的强制安全认证相结合方式提高无线覆盖系统安全性。

3.1 基于Web认证的实现方案

3.2 系统工作过程

1 )移动终端用户首先通过统一的无线加密密钥逻辑上接入无线覆盖网络中。

2 )当用户发出Web请求后，接入网关将用户请求重定向到Web认证服务器进行二次认证(见图4)。

3 )用户通过认证后，认证系统返回认证成功界面，用户正常访问Web资源。

基于本方案的用户在不同物理空间(如楼层)流动时，可选择信号强度最强的接入点接入无线覆盖系统，以保证无线访问的速度。

图4 用户请求重定向到Web认证服务器进行二次认证Fig.4 Web user request is redirected to the authentication server for secondary certification

4 结 语

笔者提出了多点接入无线加密与基于Web的强制安全认证相结合安全无线覆盖方案。多点接入满足移动用户灵活接入的要求，确保了用户访问网络资源的速度;无线加密与基于Web的强制安全认证相结合的方式确保用户访问网络资源的安全性，阻止非法用户的非授权访问。实验说明，提出的无线覆盖方案实用、高效、安全，为中小企事业单位提供了实现借鉴。

［1］MATTBEW SGAST.802.11无线网络权威指南［M］.2版.南京：东南大学出版社，2007：78-126.MATTBEW SGAST.802.11 Wireless Network Definitive Guide［M］.2nd ed.Nanjing：Southeast University Press，2007：78-126.

［2］苏聪，吴延昌，刘君瑞.基于EAP-TTLS的 WLAN安全系统的研究与设计［J］.微电子学与计算机，2006(3)：174-177.

SU Cong，WU Yanchang，LIU Junrui.Research and Design of WLAN Security System Based on EAP-TTLS ［J］.Microelectronics and Computer，2006(3)：174-177.

［3］谢锐，汪为农.Web认证下的无线用户规模可扩展性研究［J］.中国海洋大学学报，2008(S1)：211-213.

XIE Rui，WANGWeinong.Reasearch on the Scalability of Wireless Users Based on Web Authentication ［J］.Periodical of Ocean University of China，2008(S1)：211-213.

［4］李昕，左明.Web认证及802.1x认证的比较［J］.现代计算机，2003(11)：52-54.

LIXin，ZUO Ming.The Comparison on Study of Web Authentication and 802.1x Authentication Protocol［J］.Modern Computer，2003(11)：52-54.

［5］高琴，夏文忠.基于Web认证的高校图书馆无线网络设计［J］.电脑知识与技术，2013(21)：21-35.

GAO Qin，XIA Wenzhong.University Library's Wireless Network Design Based on Web Authentication ［J］.Computer Knowledge and Technology，2013(21)：21-35.

［6］CONGDON P.RADIUS Attributes for Virtual LAN and Priority Support［C］∥ IETF RFC3580.［S.l.］：Microsoft Corporation，2006：623-700.

［7］夏亮，韩冬，马书才.基于神经网络的多因素身份认证方法［J］.吉林大学学报：信息科学版，2011，29(2)：169-173.

XIA Liang，HAN Dong，MA Shucai.Method of Multi-Factor Authenticaiton Based on Neural Network ［J］.Journal of Jilin University：Information Science Edition，2011，29(2)：169-173.

［8］王德民，何立东，刘菲菲，等.基于消息的加权负载均衡算法［J］.吉林大学学报：工学版，2012，42(1)：140-144.

WANG Demin，HE Lidong，LIU Feifei，et al.Message-Oriented Load Balancing Algorithm ［J］.Journal of Jilin University：Engineering and Technology Edition，2012，42(1)：140-144.

［9］刘铭，刘越西，王秋爽，等.基于VPN的移动多媒体城域网建设［J］.吉林大学学报：信息科学版，2011，29(4)：388-392.

LIU Ming，LIU Yuexi，WANG Qiushuang，et al.Multimedia Field Network Construction Based on Movement of VPN ［J］.Journal of Jilin University：Information Science Edition，2011，29(4)：388-392.

［10］董延华，李晓佳，张晔.基于MPICH并行计算系统安全通信策略研究［J］.吉林大学学报：信息科学版，2011，29(5)：481-483.

DONG Yanhua，LIXiaojia，ZHANG Ye.Research on Security Telecommunication of MPICH Parallel Compution System［J］.Journal of Jilin University：Information Science Edition，2011，29(5)：481-483.

Web-Based Wireless Network Coverage of Security Certification

DONG Yanhua，BINa，ZENG Xuan，LIXiaojia，LÜ Kai

(College of Computer，Jilin Normal University，Siping 136000，China)

In order to achieve the flexibility for relative cable network and the inexpensiveness for 3G/4Gmobile network，contenting to the urgent needs of the wireless network coveraging to the enterprises and units，we carry out the comparison research，give the implement under different conditions for the WiFi(Wireless Fidelity)coverage.To improve the security of wireless coverage systems，we carry out a scheme for the wireless WiFi coverage and offer to the concrete implementationmethod system based on Webmandatory safety certification.It provides theoretical reference and technical support for a wide range of wireless WiFi coverage，and offers practical，efficient and safe wireless coverage solutions，it also provides implement support for small business institutions.

wireless repeater;wireless fidelity(WiFi)coverage;mandatory certification

TP393

A

1671-5896(2014)03-0298-05

2013-12-16

吉林省发展计划基金资助项目(20130101179JC;201105083);吉林省公共计算平台基金资助项目(20130101179JC-17)

董延华(1971— )，男，吉林扶余人，吉林师范大学副教授，主要从事信息处理研究，(Tel)86-15694348686(E-mail)Yunpengdong@gmail.com。

刘俏亮)