校園網無感知認證安全研究

陽甫軍　劉科　張藝　黃慶

摘 要：隨著高校信息化的不斷發展，校園網絡管理員的工作日益繁重，校園網安全顯得越來越重要。為簡化用戶的網絡接入認證過程，確保用戶登錄安全，提出一種基于DHCP與無感知認證相結合的網絡安全接入方案。該方法首先依據MAC地址作為用戶接入網絡的安全標志，以Portal認證方式接入校園網，結合DHCP協議，對認證方式進行改進和二次驗證，從理論上論證了方案的可行性。最后通過實際實驗的模擬驗證，驗證了該方法的可行性，實現了用戶的無感知安全認證，提高了校園網的安全性。

關鍵詞：MAC地址;Portal認證;DHCP協議;無感知認證研究

中圖分類號：TB 文獻標識碼：Adoi：10.19311/j.cnki.1672-3198.2020.01.090

近年來隨著高校信息化建設不斷加快，高校各種智能終端設備的使用也日益廣泛，校園用戶對校園網接入要求也越來越高。由于目前大多數校園網依舊采用傳統的Portal認證方式，用戶登錄方式較為繁瑣，登錄后安全性較低，故本文提出一種校園網無感知認證方案。

1 技術背景

1.1 DHCP原理概述

DHCP是基于BOOTP的拓展版本，其主要由兩個部分組成：

（1）服務器端：DHCP服務器負責集中管理網絡IP的所有數據。并且處理客戶端發來的DHCP請求。

（2）客戶端：使用服務器分配的IP環境數據。

當DHCP服務器與用戶進行交互的過程中，DHCP對應的報文中會產生options字段，而options字段里會帶有基本參數，除了基礎的IP地址等信息外，還會有網關地址、子網掩碼等信息，這些字段信息也可以在認證過程中進行驗證。

1.2 Portal認證

Portal認證系統主要由終端、接入設備、Portal Server、DHCP Server、Radius Server、WEB Server組成，其具體組成如圖1所示。

用戶采用Portal認證技術可以直接通過瀏覽器進行主動或者被動的認證，顯得更加方便快捷。現高校中大多采用Portal認證方式進行網絡接入，但是，如果用戶出現網絡中斷的話，當用戶再次接入網絡則需要重新進行認證，這也是Portal認證的不足之處。

1.3 MAC地址認證

校園網絡管理員在交換機內部設置一張MAC地址表，當用戶接入校園網時，就需要驗證該用戶終端的MAC地址是否與MAC地址表中的地址匹配，若匹配成功，則認為合法用戶，若匹配失敗，則不允許訪問網絡。在局域網內，MAC地址認證的方式顯得快捷、實用。但是如果用戶登錄終端發生變化的話，修改MAC地址表顯得更加復雜，所以MAC地址認證在實際網絡管理中也顯得不夠靈活。

2 基于DHCP和Portal相結合的無感知認證

通過對常見的認證方式進行具體分析，若在校園網日常管理過程中采用Portal認證、MAC地址認證的方式，則顯得不夠靈活，用戶的無感知體驗也較差，網絡安全性不高。本文提出一種基于DHCP和Portal相結合的無感知認證研究方案，首先依據MAC地址作為用戶接入網絡的安全標志，以Portal認證方式接入校園網，結合DHCP協議，對認證方式進行改進和二次驗證。其具體過程如圖2所示。

3 局域網驗證

為了驗證本方案的可行性，本文通過搭建一個小型局域網來驗證。具體驗證過程如下：

（1）將Portal認證服務和DHCP服務同時部署在同一服務器上，當用戶首次采用某一終端接入校園網的時候，用戶向服務器發起認證請求，服務器通過請求獲取用戶終端的IP、MAC信息，并將其儲存在對應服務器的數據庫中。

（2）服務器通過捕捉DHCP協議中request包、discover包和options字段的55標簽記錄用戶終端的參數請求列表和，包括用戶的系統版本、內核版本等基礎信息，某次實驗環境下的認證信息數據如表1所示。

（3）當用戶發生網絡中斷，再次連接服務器的時候，服務器先驗證用戶的MAC地址、系統版本、內核版本等信息。若驗證成功，則用戶之間接入校園網，不需要再次進行Portal認證。并且在后續網絡中斷過程中，步驟3是自動完成的，不需要用戶主動二次登錄。達到無感知認證的效果。

4 結論

隨著校園網的建設發展，校園網的無感知認證需要有安全、方便、快捷、靈活等多種特點。而無感知認證對于校園的安全建設顯得尤為重要，既增加了校園網絡的安全性，又為全校師生帶來了便利性，大大提高了校園網用戶的體驗感。

此外，本認證方案也具有一定的局限性，由于未限制用戶終端的數量，未考慮用戶使用一次性終端的情況，若用戶認證的終端較多，導致終端泛濫，會大大降低校園網的安全性。同時，由于無感知認證是在用戶不知情的情況下自動登錄的，由于校園網往往存在一定的流量限制，需要與校園具體情況相結合，設計合理的流量控制提醒，方能解決用戶過量使用校園網流量的問題，提高校園無感知認證的合理性。

參考文獻

[1]馮雷，林初建，趙君，等.MAC與Portal相結合的無感知認證技術研究[J].華中師范大學學報（自然科學版），2017，（S1）：4-8.

[2]王道佳，馬嚴，黃小紅.基于DHCP的校園網準入及無感知方案研究[J].華中科技大學學報（自然科學版），2016，44（S1）：181-185.

[3]胡建龍，王莎莎，王宇翔.基于無感知的校園無線網絡認證策略研究[J].科技創新導報，2015，12（32）：120-121.

[4]李鵬，李曉風，譚海波.基于DHCP和MAC地址動態綁定的用戶自助接入認證系統[J].計算機系統應用，2012，21（10）：27-30.

[5]任鳳姣，王洪，賈卓生.DHCP安全系統[J].計算機工程，2004，（17）：127-129.