基于無感知的校園無線網絡認證策略研究

胡建龍　王莎莎　王宇翔

摘 要：校園無線網絡建設是未來校園網基礎網絡建設的重點，無線網絡接入是未來校園網用戶上網的主要接入方式。通過對校園網主流認證方式802.1X認證、Portal認證及MAC認證優缺點的分析，提出使用Portal+MAC認證的方式實現用戶的無感知認證，在用戶不參與操作的情況下完成身份認證，提高了用戶體驗。

關鍵詞：無線網 無感知 認證

中圖分類號：TP393.0 文獻標識碼：A 文章編號：1674-098X（2015）11（b）-0120-02

Abstract：Campus wireless network construction is the future campus network focused on network infrastructure， wireless network access is the future of the main campus network usersInternet access. Through the mainstream campus network authentication 802.1X authentication， Portal authentication and MAC authentication analyze the advantages and disadvantages of proposed use Portal + MAC authentication means to achieve userauthentication without perception， identity authentication in case the user does not participate in the operation， to improve the user experience.

Key Words：Wireless network；No perception；Authentication

隨著信息技術的發展和高校信息化進程的推進，校園網建設已經進入了一個新的階段。校園網用戶已經不滿足于僅僅使用臺式機和筆記本在布有固定信息點的區域上網，而是希望使用手機、平板電腦等手持終端在校園里隨時隨地輕松地接入網絡。對于校園網的規劃者和建設者而言，校園無線網絡的建設迫在眉睫。在現階段，校園無線網絡建設已經不僅僅是有線網絡的補充，而是未來校園網的主要接入方式，是校園網基礎設施建設的重點。而對于校園無線網絡建設而言，如何向用戶提供方便、安全的認證方式，正是目前無線網絡建設中的一個重要研究課題。

1 校園無線網絡認證方式現狀分析

目前，在高校的校園無線網環境下，比較主流的認證方式有802.1X認證，Portal認證和MAC地址認證。

1.1 802.1x認證

802.1x認證是基于C/S架構的訪問控制和認證模式，它可以通過接入設備的端口對未通過認證的用戶進行限制。配置了802.1x協議的交換機端口被分為物理端口和邏輯端口兩部分，在認證成功之前，雖然物理端口是打開的，但邏輯端口處于關閉狀態。此時，物理端口只允許EAPoL數據包通過，當認證成功以后，邏輯端口打開，允許正常數據包通過。

802.1x認證方式，用戶終端需要安裝客戶端，適用于臺式機、筆記本等個人PC，常用于有線網絡和胖AP模式的無線網絡。

1.2 Portal認證

Portal認證方式是最常用、最便捷的認證方式，在認證過程中，用戶無需在終端上安裝客戶端，直接通過瀏覽器進行認證。用戶在認證成功之前，所有的http請求均被重定向到Portal認證頁面，認證成功后方可訪問網絡資源。Portal認證模式在校園無線網絡環境中部署較多。

1.3 MAC地址認證

MAC地址認證是以用戶終端的MAC地址作為特征，對用戶的合法性進行驗證。網絡管理人員需要在接入交換機內部或者是遠程數據庫維護一張MAC地址表，將所有需要接入網絡的終端MAC地址記錄下來。當有用戶接入網絡時，首先要驗證其終端的MAC地址是否與MAC地址表中的地址匹配，只有匹配成功的終端才被允許訪問網絡，在小規模的無線網絡環境下，MAC地址認證方式方便、快捷，較為實用。

以上3種認證方式是目前校園網環境中使用比較多的，但對于以無線接入方式為主的移動終端來說，3種認證方式各有弊端。其中，802.1x認證方式需要安裝客戶端軟件，對終端操作系統版本及接入設備類型的要求較多，不夠靈活。Portal認證方式相對較為便捷、安全，但用戶在每次上網之前，都需要通過瀏覽器打開認證頁面，輸入用戶名、密碼進行認證，對于手機APP軟件來說，此認證過程較為繁瑣。MAC地址認證方式兼容性較好，認證過程簡單，但存在被黑客偽造MAC地址的情況，安全性較差。

2 無感知認證方式

隨著無線網絡應用越來越廣泛，在當前校園無線網絡建設中，如何部署認證系統，使得在認證過程中降低操作的復雜度，減少用戶的參與度，做到用戶無感知的情況下完成身份認證，是目前業界較為關注的課題。

經過對主流認證方式特點的分析，結合筆者學校無線網絡設備實際情況，選擇使用Portal+MAC組合的認證方式，通過兩次認證，實現首次認證用戶參與、后續認證自動完成的無感知認證。

具體認證過程如圖1所示。

（1）用戶首次連接SSID時，由用戶終端向AC發起認證請求，AC獲取用戶終端的MAC地址并向RADIUS服務器發起MAC認證請求，此時，由于RADIUS服務器的數據庫中尚未記錄用戶終端的MAC地址，因此會拒絕認證，MAC地址認證失敗。

（2）當用戶訪問瀏覽器訪問網絡時，AC查找之前的MAC地址認證失敗記錄，攔截用戶的URL請求，并將其重定向至Portal認證頁面，提示用戶輸入賬號、密碼。

（3）Portal服務器將接收到的賬號、密碼信息以Portal協議發送給AC，由AC向RADIUS發起認證請求，認證成功后，RADIUS服務器后臺數據庫將記錄此用戶的賬號、MAC地址等信息。

（4）用戶在后續連接SSID時，依然先由AC向RADIUS服務器發送MAC認證請求，此時由于RADIUS服務器后臺數據庫已有用戶的賬號、MAC地址等信息的記錄，認證成功，用戶上線，不需要再進行Portal認證。后續認證是在用戶連接SSID后，由終端、AC、RADIUS自動完成的，不需要用戶進行參與，因此對用戶來說是無感知的。

從認證過程中可以看到，無感知認證不是免認證，是在認證過程中減少用戶的參與度，降低操作的復雜度，在用戶毫無感知的情況下完成的身份認證，既保證了對用戶上網的安全管理，同時提高了用戶的上網體驗，適合于為教師和學生服務的校園無線網環境。

3 結語

無線網絡全覆蓋是未來校園網建設的大趨勢，在建設校園無線網的過程中，如何更好地方便用戶使用，提高用戶體驗，是校園無線網建設者應該思考的問題。無感知認證方式，將Portal認證方式的安全性與MAC認證方式的便捷性相結合，提高了用戶體驗。但是，無感知認證是在用戶不知情的情況下完成的，對于按流量或按時長計費的高校來說，會在用戶不知情的情況下產生流量或上網時長，造成用戶經濟損失。因此，在部署無感知認證的校園無線網絡環境下，需要結合該校實際情況，合理地設置用戶下線策略和計費模式，才能避免用戶流量或上網時長的損失，提高用戶使用的滿意度。

參考文獻

[1] 楊秀梅，鄭劍.校園無線網部署方案研究[J].華東師范大學學報：自然科學版，2015（s1）：174-179.

[2] 劉長瑞，聶明.無感知WLAN業務認證方式的分析[J].電信工程技術與標準化，2012（8）：25-29.

[3] 邱知文，張杰.基于校園無線網的BYOD認證系統設計與實現[J].計算機應用與軟件，2015（2）：94-96，147.

[4] 柏軍洋，杜慶東.校園網認證系統的安全分析與研究[J].沈陽師范大學學報：自然科學版，2013（2）：263-267.

[5] 梁根.基于RADIUS的校園網認證管理系統的研究與實現[J].計算機技術與發展，2006（6）：43-44，47.