校园无线网络无感知认证方式分析与应用
——以云南师范大学为例
2020-12-02陈彬丁雪肖梦雄
陈彬, 丁雪, 肖梦雄
(云南师范大学 网络与信息中心,云南 昆明 650500)
1 引言
随着社会的发展,各种智能终端的使用日益普及[1],对于校园网管理者来说,校园无线网的建设势在必行.无线网络的接入将给学校的教学带来很大的便利,但由于它比有线网络更具开放性[2],随着覆盖范围的扩大,无线用户的数量将不断增加,无线网络安全管理问题日益突出,已经成为校园网络管理必须面对的问题[3].需要找到一个高效合理的无线网络解决方案,实现无线网络的可控性与安全性[4].
要提高无线网络的可控性与安全性,首先要加强认证访问的控制.校园无线网络的用户基本分为校内师生固定用户和交流学习临时用户两部分,所以为提升无线网络的安全性与可控性,在管理中要针对所有用户做好认证访问的控制工作,需要对用户实现统一认证、统一管理,真正让用户在校园内享受安全的无感知漫游服务.目前,主要的认证技术有如下三种.
1.1 802.1X无感知认证
802.1X认证无须人为干预自动完成身份认证,用户只需要首次进行无线相关参数设置和用户信息的校验[5].此认证一般使用EAP-PEAP协议进行用户身份的认证,常见的PEAP协议有两种:PEAP-MSCHAPV2(用户信息加密)、PEAP-GTC(用户信息明文)[6].它基于双向认证和密钥交换机制,易于维护,安全性高,适用于规模较大的网络环境.
1.2 MAC认证
MAC认证是一种基于物理地址对用户进行身份匹配认证的技术.它基于接口和MAC地址对用户的网络访问权限进行控制,不需要安装任何客户端软件[7].在认证的过程中,不需要用户手动输入用户名和密码,提升用户网络体验,易于维护.但因为MAC地址容易被仿冒,安全性不高.在认证上,无线控制器(AC)[8]与Radius服务器之间采用PAP的方式进行用户身份的校验.
1.3 Portal认证
Portal认证通常也称为Web认证.用户访问外网时,必须在Portal界面进行认证,只有认证成功后才可以访问外网,输入任何有效的互联网地址都将被重定向到认证服务器的Portal界面,要求用户进行认证.当用户认证通过后,用户才有访问网络的权限[9].这种认证方式不需要安装客户端,直接使用Web页面认证,使用方便,减少客户端的维护工作量.
以上是目前网络环境中比较常用的三种认证方式,但如果是无线终端来接入校园网,三种方式就各有弊端;802.1X认证方式需要用户安装客户端软件,客户端软件还需根据终端操作系统版本和类型而有所不同,要求太多不够灵活;MAC地址认证方式兼容性比较好,认证过程也简单,但存在地址被黑客冒用的风险,安全性较差;Portal认证方式相对便捷、安全,但用户每次上网之前都需要通过浏览器进行认证,认证过程较为烦琐;所以在校园无线网络的建设中,要慎重挑选认证方式.
目前,云南师范大学注册用户数4万余人,上网高峰人数达到1.2万余人,主要是有线用户.校园网使用的认证方式是802.1X认证和Portal认证.学校学生区域使用802.1X客户端认证,教学及办公区域使用Portal认证.随着无线网络应用越来越广泛,校园无线网络建设势在必行,结合现有学校网络认证的实际情况,选择Portal+MAC组合的认证方式,用户首次通过WEB认证后,SMP自动在移动终端中绑定用户账号及终端MAC地址,后续终端关联对应SSID成功后AC自动发起认证[10],AC与Radius服务器[11]之间采用PAP的方式进行用户身份校验.
2 认证过程
首次认证过程如图1所示.
图1 MAC无感知首次认证过程
用户首次连接SSID时,由终端向STA向无线控制器发起MAC认证请求,无线控制器获取到用户的MAC地址后向SMP/ESS Radius请求.如果Radius服务器中没有该用户终端MAC地址,SMP/ESS会拒绝该用户认证,MAC认证失败.
当用户通过浏览器访问外网时,无线控制器会首先查找MAC地址认证失败的记录,拦截用户访问外网,并重定向到认证界面,要求用户向Portal服务器提交用户名/密码.
在用户提交用户名/密码后,Portal协议将用户名/密码返回给无线控制器,再由无线控制器向SMP/ESS 发起Radius认证请求(PAP),身份认证成功后,SMP/ESS将学习记录终端信息.
后续认证过程如图2所示.
图2 MAC无感知后续认证过程
用户终端STA在后续连接SSID时,通过无线扫描/认证/关联和无线控制器交互用户信息,由无线控制器向SMP/ESS Radius服务器发送认证请求,Radius服务器发现数据库里已有用户终端信息,认证成功,无线控制器打开上网通道,允许用户访问外网,用户不需要再进行Portal认证.无感知后续认证不需要用户参与,由用户终端、无线控制器和Radius服务器共同完成,对用户来说是无感知的.
3 Portal+MAC认证应用
云南师范大学此次无线网络实施部署采用无线控制器+瘦AP[12]和无线控制器+本分体AP模式[13].在教室、走廊等区域采用无线控制器+瘦AP模式,在办公楼等类学生宿舍区域采用无线控制器+本分体AP模式,保证不同场景下无线信号达到最优.最后,再结合Portal+MAC认证,实现无线网络一体化解决方案,保证了设备性能的稳定性,更好的解决了用户无感知认证以及用户终端的漫游问题,让用户在不知情的情况下完成认证,实现一次认证,永久接入,方便用户操作.相关性能测试如图3所示.
图3 性能测试
图3中,在登录界面中打开本机无感认证,即可进行无感知认证,用户只用首次接入,后续免认证.此外,在无线网络覆盖区域,实现无感知漫游.抗干扰方面,选择合适的信道,并对设备功率进行调优,降低各AP间的相互干扰,保证用户网络体验.
4 结语
通过Portal+MAC认证以及相关部署方案,能很好地消除干扰,优化终端接入,在用户后续认证、漫游切换中用户无感知,大大简化了用户的Portal接入流程,可以使得校园无线用户一次认证,永久接入,省去了访问外网时在页面中输入用户名和密码的验证过程,既保证了用户的合法性,又提升了用户的无线网络体验.
