孙亮

摘要：当前校园内无线接入的需求和范围正全面增加，保障无线接入终端和无线局域网的安全成为了校园网络建设和管理的一个重要内容。确定无线接入者身份能有效实现安全策略的规划和部署，提升校园内无线局域网安全水准。该文分析了当前校园无线局域网身份认证的主要技术和面临的挑战，并提出相应的解决思路。

关键词：身份认证；无线接入

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）12-0042-02

Campus Wireless LAN Security Present Situation Analysis

SUN Liang

（Network Center， Zhejiang Ocean University， Zhoushan 316022，China）

Abstract： Demand and scope of wireless access is increase overall security， wireless access terminal and security become important part of network construction management. Identity of wireless access effectively achieve planning and deployment of security policy， enhance security level of wireless. We analyzes main techniques of Wireless LAN Authentication and challenges， and corresponding solutions.

Key words： identity authentication； wireless access

1 需求与目标

随着移动终端设备的快速发展，越来越多的人随身携带者手机、平板、笔记本等移动终端。在大学校园里，手机已经成为学生必备的日常工具之一，在学生中的拥有量很高。XX大学及承建校园网络的联通公司结合校园实际情况，计划在原有的校园网络的基础上增加无线网络，使其能够覆盖教学楼、宿舍楼、图书馆、运动场、食堂等大部分区域，以方便学生随时随地的接入到校园无线网络中去。

无线网络的建立不仅仅是为学生和教师提供无线上网，同时也可以承载学校日常的通知通告的下发等工作，未来如果连接学生学籍、成绩管理系统，通过无线接入认证的方式，可以为学生提供更多更人性化的服务措施。同时作为承建方联通公司，也可以在此项目上获益，为自己的联通用户提供免费的无线上网服务，可谓一举多得。

但是传统的无线网络的接入方式，用户上网需要得知无线密码或者不需要密码直接接入到无线网络中，不仅在安全上存在一定的隐患，网络运行也不够稳定更不能对接入用户进行管理控制，实际操作起来也不够方便。更重要的是校方并没有通过无线网络跟学生建立一种良性互动，没有发挥其应有的作用，使无线网络的效果大打折扣。因此如何部署一套可运营、可管理、可靠高效的无线网络已经成为校园网络建设的当务之急。

2 常见身份认证技术在校园无线环境下的优缺点

当前无线局域网身份认证有以下几大类：

一是无线接入设备上的接入控制，主要包括基于统一用户名和密码的WEP/WPA技术。此种接入认证方式配置简便，与上层交换设备和路由设备无关，并且作为无线局域网的标准技术，可以良好的兼容各类无线客户端。但是，此类认证方案主要基于每个无线接入的设备的认证控制，帐号不具备整体校园范围的通用性。同时难以针对校园内数量大的师生实现一人一帐号的唯一认证，并且难以配合其他的访问控制策略。因而不适合作为校园范围内整体的无线访问身份认证方案技术基础。

二是在协议层上的拨入控制，典型的应用为基于PPPOE协议的拨号接入以及相关衍生应用，如电信开发的闪讯客户端等。此类接入方案使用专用的接入协议，各无线客户端之间隔离性好，网络数据传输较为稳定，并且可以连接数据库实现账户管理。但PPPOE是一种先接入再拨号的认证模式，在校园无线环境下，各类无线终端无论是否通过认证都可以连入无线网络，在终端密度较高时，容易导致网络速度和稳定性下降，所以此种模式不是非常适合于校园内的无线环境。

三是以WEB认证为基础的应用层身份认证。此类认证让所有的无线数据经过一个专有的BRAS服务器进行路由转发，而在BRAS服务器里面通过相应的PORTAL认证页面验证客户端的身份。这种身份认证方法无需专用软件，只要有网页浏览器即可实现。但其缺点主要为所有的数据流量均通过BRAS进行转发，其最大性能受限于BRAS服务器性能。如校园无线局域网规模较大，可能会影响网络响应。

四是基于802.1X和RADIUS数据库技术实现的身份认证接入。此认证方法可以在无线接入终端至路由核心的任一汇聚点进行设置，开启802.1X之后将相应的认证报文发送至RADIUS服务器进行验证，只有通过验证的无线终端，无线接入设备才对其开放端口。这样较好的解决了校园环境下无线局域网身份验证和接入控制两个安全方面的问题。以下探讨以802.1X为基础实现基于身份认证的校园无线接入。

3 校园无线身份认证方案和访问控制策略

在身份账户的分类上，应当确定按照一人一帐号的原则，实现每个帐号和人的一一对应。在人员分类上，主要按照教工和学生进行两大类区分。根据不同的身份，可以对允许接入区域，访问速率，访问范围，以及流量和使用时间等进行控制。比如对学生帐号，可设置只允许在图书馆，教室等场所进行使用，同时设定每个月流量上限或者时间上限。使校园无线局域网在方便学生生活，学习的同时，不会过于沉迷于网络。而对于教工使用的帐号，则可以在整个校园内均开放，但是需对网络速度进行一定的限制，以避免过大的流量挤占带宽。在账户的控制策略下，对于有需要的账户，可以设置同时的并发拨入连接数为两个或更多，以保障教学科研等活动的进行，而对于一般账户，应当设置同时拨入数量为一，防止出现一个账户在多个终端上接入，确保无线网络账户和使用者身份的相统一。

在访问控制策略上，根据校园环境的特殊性，可以将策略路由划分为校园内网和外网两个区域。根据802.1X具有配置GUEST VLAN的功能，可在某些特定的区域无线设备上进行开启，当无线终端没有进过身份认证时，只能访问校园内网或者校园内网里某些特定区域。只有进过了认证，才能实现对校园内外整体网络的访问。

4 整体架构设计思路

针对校园内部署无线局域网身份认证的具体情况，再兼顾到将来无线局域网发展后所带来的管理和维护要求，方案设计时需要考虑到以下方面：

1）校园内有相当多的校外访客，对这类临时性网络访问需求，可以设置根据手机号码来获取一个临时性的上网帐号，从而取得一定时间段的无线局域网使用权限。

2）对用户提供一个自助服务页面，使得用户可以登录进去进行简单的自助服务，如修改密码，查看上网的历史记录等。这样也能减轻网络管理人员的工作负荷。

3）对帐号可以进行分类分组管理，根据不同的用户组，配置相应的网络访问策略和访问控制策略。包括上传下载速率，数据包转发率，访问时间控制，总流量限制等。

4）与校内的各运营商进行合作，充分利用校园网内部署的其他无线接入设备，在核心转发时做路由选择，使得用户可以根据不同的账户选择运营商链路上网或学校提供的链路上网。

5）要具有部署和实施上的可行性，在有限的经费条件下，能够充分利用现有的有线和无线架构进行扩充和建设，在工程上具备可操作性。同时应当尽量避免对校内现有有线网络的影响，在设计上具备隔离性，防止无线和有线的数据包回路。

在具体的技术指标上，应该按照行业内标准的的规范进行规划，避免因预期不足出现二次建设而导致经费的浪费。

1）校内无线局域网设备既有部署于室内的，也有部署于室外的，因而各类设备应当具有高可靠性和耐用性，按照全天不间断运行的标准进行选择，避免因物理设备的不稳定而影响网络体验。

2）设备技术上需要具备一定的前瞻性，在能够兼容当前主流无线终端的同时，能够预期到不远的将来使用的技术，以免投资的有效生命期过短而造成浪费。

3）良好的兼容性，既要考虑到电脑无线终端对应的各类操作系统的兼容，也要注意现有手机等其他各类启动无线终端的认证兼容性，使得认证系统的部署不影响原有各无线终端的正常使用。

4）灵活的扩展性和升级性能，在将来对无线网规模进行扩展时，可以充分利用现有的设备进行扩充，同时可与有线局域网交换设备实现良好的兼容。在校内的应用中，根据需求可以随时对无线网络进行补充和加强。

5 总结和展望

一套设计合理、运行状态良好的校园内无线局域网身份认证系统可以有效改善校园内无线网络的运行质量和效率，更好的为广大师生提供稳定，安全，便捷的网络服务，为校园内的教学，科研，办公和生活进行有效的支持和帮助。但网络技术现正处于飞速发展的阶段，新的技术和新的挑战同时并存，校园内无线局域网认证又存在着物理环境复杂，终端密度高，用户身份多样化等特点。因而需要持续对校园网络内身份认证系统的运行情况进行跟踪和分析，及时对出现的问题进行响应，必要时对相应系统改进和升级。这样，才能使校园内无线局域网身份认证系统能满足不断进化的网络安全和应用需求，实现网络的有效管理和运行。

参考文献：

[1] 胡云东，王培波.基于无线局域网的认证方法研究[J].计算机工程与应用，2008，44（8） ：158-161.

[2] 黄锦煜.数字化校园建设和数字化信息平台的探究[J].科技信息，2012（7）：169-170.