张东升，张宝军，阮一凡

（1.中国铁道科学研究院 铁道科学技术研究发展中心，北京 100081；2.中国铁道科学研究院 标准计量研究所，北京 100081）

随着无线移动技术的不断进步，特别是移动终端的迅猛发展，无线局域网（W LAN）应用日趋普及，机场、商场、酒店等各种公共场所都提供了WLAN服务，很多单位和家庭也都搭建了自己的移动热点，提供无线上网服务。这些服务大多只提供了较简单的认证加密方式，存在一定安全风险。企业WLAN不同于社会公共无线服务网络，它是一个较封闭的、必须确保企业内部数据安全的服务支撑网络。这就需要从企业对W LAN的特殊需求入手，对网络架构、认证方式和抗干扰措施等方面加以研究，得出适合企业专用的WLAN解决方案。

1 企业WLAN特点

1.1 业务安全性

信息社会企业数据安全关系到企业的生命，每个企业都有自己的核心数据和内部资源，例如办公系统、资产管理系统、人事系统等，只提供企业内部员工访问，不提供对外服务，有封闭性的特点。如何保护自己的这些数据和资源，是企业构建专用WLAN中非常重要的环节。

企业W LAN安全性管理主要涉及2个环节，（1）网络出口管理，主要体现在边界网关，对于出入数据的安全控制；（2）用户私建热点的影响，随着无线路由器的大量普及，企业内部个人私建热点不可避免，如何有效杜绝其造成的安全隐患，也是需要研究的问题。

1.2 稳定与高效

作为服务支撑网络，企业WLAN应稳定高效，提高工作生产效率。企业W LAN作为有线网络的延伸，应提供与有线网络相当的服务等级，不应在无线接入环节产生瓶颈，特别是在大数据传输、视频会议、网络教学课堂等环节要保证无线接入带宽要求。工作期间的企业网络应用相对集中，需要平衡无线网络负荷，分散网络接入需求。

无线网络应用环境复杂，多径传输及网络时延都会影响无线接入服务质量，特别是W LAN技术及产品都是针对公众开放的2.4 G和5 G民用频段，因此无论是同频干扰还是邻频干扰都将在用户端产生网络不稳定、经常掉线、网络接入慢甚至无法提供网络服务等各种无线接入服务体验。

1.3 可溯源性

在当前的社会安全形势下，企业网络不能独善其身。在有线网络监控技术手段日臻完善的前提下，空口接入的随意性要求无线网络服务更需要处于可溯源的可控范围内。特别是企业数据信息泄密及员工互联网络非法使用都是企业W LAN需要特别关注的问题，无论对于防范于未然还是调查取证，网络日志都成为必不可少的安全环节。

2 组网方案

W LAN基本框架由AC（无线控制器）、AP和POE（以太网供电）交换机组成。AP通过AC实现集中管理和自动配置，POE交换机为AP供电。此外，提供验证、授权和记账服务的Radius（远程身份验证拨号服务）服务器、负责AP和移动客户终端IP地址分配的DHCP（动态主机配置协议）服务器和负责直观查看系统使用情况与告警状况的网管系统必不可少。

建设企业专用W LAN，还需在网络边界布置硬件防火墙，配置安全策略、访问控制列表、病毒防护等功能，提高安全性；配置网关认证设备，绑定IP地址和网卡MAC地址，强调唯一性；部署日志服务器，记录员工的历史访问记录，解决可溯源需求；添加证书管理系统，实现安全性更高的认证与加密管理。网络拓扑图如图1所示。

图1 企业专用WLAN网络拓扑图

3 系统原理及关键技术

3.1 系统原理

系统上电后，AP首先需要自动获取网络信息。通过DHCP服务器，可以得到AC、AP、网关和DNS（域名服务）的IP地址信息。获得AC的IP地址后，AP向AC发送发现请求，AC收到后检查该AP是否有接入权限，如果有则发送发现响应给AP。AP收到后，即可与AC建立隧道连接。

由于AP和AC是采用隧道模式传输数据，网络中的交换机并不对用户的数据进行处理，数据报文的解封和转发均在AC中进行，所以只需在AC和核心交换机上为AP创建一个VLAN，其它接入交换机上不用添加该VLAN。

AP首次与AC建立隧道后，AC会将无线业务参数、射频参数和软件版本等配置信息下发至AP，完成AP与AC的连接建立过程。

3.2 无线认证方式

通过建立多个不同SSID（服务集标识）服务，分别采取不同认证方式的办法，来解决企业专用W LAN认证时的安全性需求。访问含有企业核心数据和内部资源的网络，可以采用高安全级别的EAP-TLS（传输层安全的扩展认证协议）的认证方式，为员工配置含有数字证书的USBKEY（USB接口的钥匙）。非重要网络可以采用低安全级别的Web Portal（网络入口）的认证方式。2个网络之间通过设置实现互不访问，逻辑隔离。

3.2.1 EAP-TLS认证

EAP即扩展认证协议，是一个使用非常普遍的认证框架，常被用于W LAN连接中。EAP 支持多种认证方法，其中EAP-TLS由于其基于证书的双向认证功能，被认为是最安全的EAP标准，可为接入的客户端提供极高的安全保障。

USBKEY是一个硬件设备，内含CPU和安全存储空间，可以实现加密、解密和签名的各种算法，存储数字证书和密钥的数据。USBKEY是在硬件内部进行计算，密钥不出现在计算机内存中，避免了被盗取的可能性。

USBKEY里面除了包含自身的序列号，还有员工的数字证书和与这个证书对应的私钥。数字证书主要是由员工的公钥和CA（证书颁发机构）对该证书的签名组成，还有算法、颁发者和有效期等其它信息。私钥一般设置为不可导出，保证了USBKEY使用者的唯一性。

数字证书有根证书、客户端证书和服务器证书等多种形式。在W LAN中，USBKEY里的数字证书和Radius服务器上的服务器证书，最好是同一个CA颁发的，相互认证时可以信任。

EAP-TLS认证方式的基本业务流程是：

（1）移动客户端插入含有证书和密钥信息的USBKEY，携带合法的身份标识，如员工姓名等，向AP发出请求；

（2）AP收到该信息后，将数据封装传给AC，AC转发给Radius服务器；

（3）Radius服务器验证信息合法后，将自己的服务器证书发给客户端；

（4）客户端通过USBKEY内的自身证书验证该服务器证书的身份，如果可以信任，则向Radius服务器发送自己的数字证书；

（5）此时客户端计算机上应弹出选择证书的对话框，并要求输入pin（个人识别）码，因为客户端需要私钥才能将证书提取出来并发送出去；

（6）Radius服务器通过自身证书验证客户端证书的身份，如果可以信任，则完成了EAP-TLS的双向认证；

（7）认证成功后，Radius服务器向AC和AP发送允许客户端接入的信息，从而完成客户端接入企业专用W LAN的整个过程。EAP-TLS认证过程如图2所示。

图2 EAP-TLS认证过程

3.2.2 Web Portal认证

Web Portal认证的基本业务流程是：

（1）客户端直接通过DHCP协议就可获取IP地址，无需任何认证即可接入到网络里；

（2）但此时客户端因为AC访问控制列表控制，并不能通过W LAN访问其它资源，在认证通过前只能访问Portal服务器的IP地址；

（3）在客户端会自动弹出Portal服务器的登录界面，只要输入用户名和密码并提交，就会被Web客户端上传至Portal服务器；

（4）Po rtal服务器从内部数据库查找并验证该用户数据的合法性，实现用户的认证和上线过程。

Portal认证的优点是不需要特殊的客户端软件，只需通过W eb浏览器即可实现，操作简单。缺点是只要用户名和密码即可完成认证，安全性低。

3.3 反制Rogue（欺骗）AP

如何解决企业防干扰的需求，比较理想的办法就是反制Rogue AP，通过反干扰使其功能失效。

通过RF信号检测到的干扰AP，可以分为以下3种类别：Rogue AP、Suspect AP（怀疑AP）和Neighbor AP（邻居AP）。Rogue AP就是需要反制的AP，它的判定规则可以管理者自己定义，例如冒充企业正常SSID的AP；未经允许就私自接入企业网络里的AP；起用Ad Hoc（点对点）模式的无线终端等，都可以设定为Rogue AP。Neighbor AP即信任AP，不会被反制。Suspect AP是未知的AP或者还没有被分类的AP，可以通过手动添加变成Rogue AP或Neighbor AP。

反制的基本业务流程是：

（1）首先在AC中配置反制规则；

（2）AP开始扫描所有信道并把接收到的信息数据传给AC。这些信息数据包括BSSID（基本服务集标识）、设备类型、信道、RSSI（接收信号强度）、SSID等；

（3）AC根据预先制定的反制规则对设备分类，判断其是否是Rogue AP并将结果回送给AP；

（4）AP根据判断结果，冒充Rogue AP的信息数据，发送虚假的、解除认证的报文给正与之关联的移动客户端，通知其“下线”，如图3所示；

（5）移动客户端误以为Rogue AP失去了可连接功能，达到了反制的效果。

图3 反制技术效果示意图

4 测试、维护和优化

企业专用W LAN想具备稳定性特点，需要后期的系统测试、故障维护和网络优化逐步完善。

4.1 系统测试

系统测试包括功能测试和性能测试。功能测试主要是检测一些正常的连接和认证的功能。例如员工能否正常连接网络SSID；能够正常获取IP地址；EAP-TLS认证时能否弹出选择证书并输入pin码的提示界面；Web Portal认证前访问任何网页能否自动跳转到Portal认证页面，输入用户名密码后是否能访问网络等。性能测试主要是检测信号强度、信噪比、接入带宽、时延和丢包率等性能指标。

4.2 故障维护

故障维护需要对整个系统的设备参数、软硬件配置、无线接入过程和认证过程充分了解，才能分析和解决具体问题。例如客户端连接不上网络；连接后经常掉线；无法通过认证；无法获取IP地址；虽然能连接上网络，但是速度很慢等诸多问题，都需要具体措施来解决。分析问题的思路包括：是否是个别现象；是否存在干扰源；信号强度是否稳定；是否处在覆盖边缘；客户端电脑是否配置正确；AC、AP、POE交换机等硬件设备是否正常运行等。

4.3 网络优化

客户端和网络的一些问题自身无法解决，需要进行网络优化。网络优化是对现有网络的小幅度调整。例如通过调整AP的功率、信道、位置和天线朝向等手段，解决信号覆盖和信号质量的问题；单个AP在线用户数量过多时，在无线接入的负载均衡功能无法解决的情况下，可通过减少单个AP的发射功率，增加AP数量的方式；可以建立只允许802.11 a/n终端访问的5 G频段SSID服务，供有条件的用户选择，避开干扰较多的2.4 G频段；同频干扰或邻频干扰时调整信道，及时找到并关闭干扰源等一系列网络优化手段。

5 结束语

安全高效是企业局域网的建设宗旨。通过使用EAP-TLS无线认证方式提高安全性；做好系统维护和网络优化，提高稳定性；施加反制能力，增加抗干扰性；部署网管系统和日志服务器，增加可溯源性，由此基本形成了一个比较完善的企业专用W LAN解决方案。随着W LAN技术的飞速发展，企业专用W LAN技术将不断完善，为服务企业生产提供强大的业务支撑。

[1] 石 颖.基于EAP-TLS认证的无线网络安全接入[J].计算机安全，2009（9）：26-30.

[2] 徐 刚.构建安全无线环境，让钓鱼Wi-Fi无处藏身[J].信息通信技术，2013（4）：61-65.