基于Web 安全認(rèn)證的無線網(wǎng)絡(luò)覆蓋方案

董延華，畢 娜，曾 軒，李曉佳，呂 凱

(吉林師范大學(xué)計(jì)算機(jī)學(xué)院，吉林四平 136000)

基于Web 安全認(rèn)證的無線網(wǎng)絡(luò)覆蓋方案

董延華，畢 娜，曾 軒，李曉佳，呂 凱

(吉林師范大學(xué)計(jì)算機(jī)學(xué)院，吉林四平 136000)

為實(shí)現(xiàn)相對有線網(wǎng)絡(luò)的靈活性與3G/4G移動網(wǎng)絡(luò)的廉價(jià)性，滿足企事業(yè)單位對無線網(wǎng)絡(luò)覆蓋的迫切需求，針對無線WiFi(Wireless Fidelity)覆蓋方案進(jìn)行對比研究，給出了適于不同需求條件下WiFi覆蓋方案。同時(shí)提出了一種基于Web的強(qiáng)制安全認(rèn)證系統(tǒng)實(shí)現(xiàn)方法，為大范圍無線WiFi覆蓋提供了理論支持。該無線覆蓋方案實(shí)用、高效、安全，為中小企事業(yè)單位提供了實(shí)現(xiàn)借鑒。

無線中繼;無線覆蓋;強(qiáng)制認(rèn)證

0 引 言

隨著網(wǎng)絡(luò)迅速普及，網(wǎng)絡(luò)通信的“最后1 km”問題成為應(yīng)用網(wǎng)絡(luò)資源的關(guān)鍵。網(wǎng)絡(luò)通信的“最后1 km”是指從網(wǎng)絡(luò)服務(wù)提供商ISP(Internet Service Provider)到用戶終端設(shè)備的連接。相對于Internet骨干網(wǎng)絡(luò)廣泛采用的光纖通信方式不同，目前，用戶終端接入Inetrnet的方式主要有3種方式。1)有線接入。主要采用寬帶xDSL(x Digital Subscriber Line)線路、有線電視CATV(Cable Television)、電力線等接入技術(shù)。有線接入的優(yōu)點(diǎn)是網(wǎng)絡(luò)穩(wěn)定，帶寬有保證，網(wǎng)絡(luò)資費(fèi)比較便宜，但受接入線路的限制，不適于流動終端用戶的靈活接入［1］。2)3G/4G無線接入。利用支持高速數(shù)據(jù)傳輸?shù)姆涓C移動通信基站等線路和設(shè)備構(gòu)建的通信網(wǎng)絡(luò)。其優(yōu)點(diǎn)是只要手機(jī)信號在可覆蓋范圍即可通過3G/4G終端接入Internet，靈活性強(qiáng)。但其網(wǎng)絡(luò)帶寬有限，入網(wǎng)資費(fèi)高。3)無線局域網(wǎng)接入。無線局域網(wǎng)絡(luò) WLAN(Wireless Local Area Network)主要實(shí)現(xiàn)方式是WiFi(Wireless Fidelity)，符合802.11標(biāo)準(zhǔn)的無線互聯(lián)技術(shù)，其基本工作原理是將有線接入信號轉(zhuǎn)換成支持WiFi終端所能接收的無線信號［2］。支持WiFi無線信號接入的設(shè)備又稱為無線接入點(diǎn)AP(Access Point)。無線局域網(wǎng)絡(luò)接入既保證有線接入的速度(帶寬)，又兼顧了無線接入的可移動性和靈活性。

無線局域網(wǎng)接入方式面臨的最大問題是無線局域網(wǎng)的有效覆蓋范圍有限，受無線接入點(diǎn)AP接入距離的限制，一般為幾米到幾十米，且受空間障礙物(如墻壁)影響。同時(shí)，無線局域網(wǎng)接入的安全性也是影響無線局域網(wǎng)應(yīng)用的潛在問題。

為了提高無線局域網(wǎng)的覆蓋范圍，加強(qiáng)無線局域網(wǎng)接入的安全性，筆者提出了一種基于Web認(rèn)證的無線WiFi覆蓋解決方案。

1 無線WiFi覆蓋方案

作為有線接入與3G/4G無線接入的有機(jī)結(jié)合，無線局域網(wǎng)絡(luò)WiFi得到了越來越廣泛的應(yīng)用。為了解決WiFi覆蓋范圍與接入速度兩個(gè)關(guān)鍵問題，提出以下3種覆蓋模式并進(jìn)行了對比。

1 )單無線接入點(diǎn)(路由)單點(diǎn)接入模式。該模式是WiFi無線接入點(diǎn)(路由器)典型應(yīng)用，適用于小范圍如普通家庭、單間辦公室等，其垂直覆蓋范圍一般不適用于越層建筑，其連接拓?fù)鋱D如圖1所示［3］。

該模式下，無線接入點(diǎn)(路由)獨(dú)享整個(gè)Internet接入帶寬并將其轉(zhuǎn)為WiFi無線或普通以太有線網(wǎng)絡(luò)信號輸出。這種模式在有效覆蓋范圍內(nèi)有帶寬保證，但其覆蓋范圍有限。

2 )多無線接入點(diǎn)(路由)單點(diǎn)接入模式。通過無線分布式系統(tǒng)WDS(Wireless Distribution System)可通過無線連接方式有效擴(kuò)大網(wǎng)絡(luò)覆蓋范圍。WDS主要采用無線橋接(Bridge)和無線中繼(Repeater)兩種方法［4，5］。無線橋接主要是通過無線接入點(diǎn)(路由)連接兩個(gè)不同網(wǎng)絡(luò)，以擴(kuò)展無線覆蓋范圍;無線中繼主要采用擴(kuò)大同一無線網(wǎng)絡(luò)覆蓋范圍。用于中繼的無線接入點(diǎn)(路由)可以同時(shí)接收其他終端的接入，其實(shí)現(xiàn)拓?fù)淙鐖D2所示。

圖1 單無線接入點(diǎn)(路由)單點(diǎn)接入模式Fig.1 Single wireless access point(router)single-point accessmode

圖2 多無線接入點(diǎn)(路由)單點(diǎn)接入模式Fig.2 Multiple wireless access point(router)a single point of accessmode

該模式在有效擴(kuò)大無線網(wǎng)絡(luò)覆蓋范圍的同時(shí)，還便于單點(diǎn)接入的集中管理，實(shí)現(xiàn)統(tǒng)一的Web認(rèn)證。但隨著網(wǎng)絡(luò)范圍及接入終端數(shù)量的增加，網(wǎng)絡(luò)訪問的速度(帶寬)無法保證。

3 )多無線接入點(diǎn)(路由)多點(diǎn)接入模式。為有效擴(kuò)大無線網(wǎng)絡(luò)的覆蓋范圍并確保接入終端網(wǎng)絡(luò)訪問速度，在模式2的基礎(chǔ)上，采用按物理空間結(jié)構(gòu)，如樓層等分隔區(qū)域?qū)崿F(xiàn)多點(diǎn)接入，構(gòu)成多個(gè)小型無線邏輯網(wǎng)絡(luò)疊加，實(shí)現(xiàn)大范圍無線覆蓋，同時(shí)可有效提高每個(gè)小型無線網(wǎng)絡(luò)傳輸帶寬，其實(shí)現(xiàn)拓?fù)鋱D如圖3所示。

在這種模式下，需要針對多個(gè)小型無線邏輯網(wǎng)絡(luò)進(jìn)行統(tǒng)一認(rèn)證管理，以確保同一個(gè)終端用戶從一個(gè)邏輯網(wǎng)漫游到另一個(gè)邏輯網(wǎng)時(shí)，采用同一身份認(rèn)證，減輕終端用戶的負(fù)擔(dān)［6］。

圖3 多無線接入點(diǎn)(路由)多點(diǎn)接入模式Fig.3 Multiple wireless access point(router)multi-accessmode

2 Web認(rèn)證原理

隨著無線局域網(wǎng)絡(luò)發(fā)展，許多中小型企事業(yè)單位都開始著手構(gòu)建本區(qū)域的無線覆蓋，用以方便移動用戶的接入，提升本單位的工作效率和影響范圍。但隨之暴露出來的網(wǎng)絡(luò)安全問題日趨嚴(yán)重，特別是針對移動用戶客戶端而使用的無線網(wǎng)絡(luò)所具有的不定向性(與有線網(wǎng)絡(luò)相對比)，在進(jìn)行電子支付等敏感操作時(shí)，信息更容易泄露或者被竊取、監(jiān)聽，信息安全問題尤其顯得重要［7］。

提高無線網(wǎng)絡(luò)安全問題主要手段是采用無線加密方式和基于Web等方式的安全認(rèn)證機(jī)制。

1 )無線加密方式。無線加密是由無線路由(AP：Access Point)提供的保護(hù)無線網(wǎng)絡(luò)信息傳輸安全的安全機(jī)制。目前主要有無線等效加密WEP(Wireless Encryption Protected)和保護(hù)無線網(wǎng)絡(luò)安全系統(tǒng)WPA(WiFi Protect Access)。其中 WPA 又分為 WPA 及符合802.11i的WPA2［8］。

無線加密方式為所有接入的無線終端提供統(tǒng)一的無線訪問密鑰，隨著無線接入用戶的增加，密鑰泄露的風(fēng)險(xiǎn)加大。另外，密鑰只能統(tǒng)一分發(fā)，移動客戶端只能被動接受，不能自主更改和控制，不適用于對流動性大的用戶進(jìn)行安全防護(hù)，在多用戶分散訪問時(shí)，失去認(rèn)證的作用。

2 )基于Web的強(qiáng)制安全認(rèn)證。鑒于無線路由自身加密方式單一、密鑰認(rèn)證方式不適用于大范圍內(nèi)多用戶進(jìn)行訪問安全保護(hù)的問題，有效的解決辦法是采用不同用戶個(gè)體的基于Web強(qiáng)制認(rèn)證(Web Captive Portal)。

基于Web的強(qiáng)制安全認(rèn)證是指針對用戶通過HTTP(Hyper Text Transfer Protocol)協(xié)議訪問Web資源時(shí)需要用戶進(jìn)行強(qiáng)制的認(rèn)證過程，是一種基于端口對用戶訪問網(wǎng)絡(luò)的權(quán)限進(jìn)行控制的認(rèn)證方法。其工作流程如下［9，10］。

前期準(zhǔn)備工作要設(shè)定Web認(rèn)證服務(wù)器，并在網(wǎng)絡(luò)接入網(wǎng)關(guān)中登記。

①在認(rèn)證前，接入網(wǎng)關(guān)將截獲未認(rèn)證用戶發(fā)出的所有HTTP請求，并重定向到Web認(rèn)證服務(wù)器，認(rèn)證服務(wù)器返回用戶端認(rèn)證界面。

②用戶在認(rèn)證頁面上輸入不同的認(rèn)證信息(用戶名、口令、校驗(yàn)碼等)并提交給認(rèn)證服務(wù)器進(jìn)行身份認(rèn)證。

③合法用戶通過認(rèn)證后，接入網(wǎng)關(guān)將允許用戶訪問互聯(lián)網(wǎng)資源。

基于Web的強(qiáng)制安全認(rèn)證方式適用于針對不同用戶提供不同認(rèn)證密鑰，有效提高了系統(tǒng)安全。

3 基于Web認(rèn)證的無線覆蓋實(shí)現(xiàn)

綜合以上無線覆蓋方案和安全認(rèn)證方案對比，筆者實(shí)現(xiàn)了基于Web安全認(rèn)證的無線覆蓋方案。

無線覆蓋采用多無線接入點(diǎn)(路由)多點(diǎn)接入模式，以確?？蛻舳藷o線接入的速度;安全認(rèn)證采用無線加密與基于Web的強(qiáng)制安全認(rèn)證相結(jié)合方式提高無線覆蓋系統(tǒng)安全性。

3.1 基于Web認(rèn)證的實(shí)現(xiàn)方案

3.2 系統(tǒng)工作過程

1 )移動終端用戶首先通過統(tǒng)一的無線加密密鑰邏輯上接入無線覆蓋網(wǎng)絡(luò)中。

2 )當(dāng)用戶發(fā)出Web請求后，接入網(wǎng)關(guān)將用戶請求重定向到Web認(rèn)證服務(wù)器進(jìn)行二次認(rèn)證(見圖4)。

3 )用戶通過認(rèn)證后，認(rèn)證系統(tǒng)返回認(rèn)證成功界面，用戶正常訪問Web資源。

基于本方案的用戶在不同物理空間(如樓層)流動時(shí)，可選擇信號強(qiáng)度最強(qiáng)的接入點(diǎn)接入無線覆蓋系統(tǒng)，以保證無線訪問的速度。

圖4 用戶請求重定向到Web認(rèn)證服務(wù)器進(jìn)行二次認(rèn)證Fig.4 Web user request is redirected to the authentication server for secondary certification

4 結(jié) 語

筆者提出了多點(diǎn)接入無線加密與基于Web的強(qiáng)制安全認(rèn)證相結(jié)合安全無線覆蓋方案。多點(diǎn)接入滿足移動用戶靈活接入的要求，確保了用戶訪問網(wǎng)絡(luò)資源的速度;無線加密與基于Web的強(qiáng)制安全認(rèn)證相結(jié)合的方式確保用戶訪問網(wǎng)絡(luò)資源的安全性，阻止非法用戶的非授權(quán)訪問。實(shí)驗(yàn)說明，提出的無線覆蓋方案實(shí)用、高效、安全，為中小企事業(yè)單位提供了實(shí)現(xiàn)借鑒。

［1］MATTBEW SGAST.802.11無線網(wǎng)絡(luò)權(quán)威指南［M］.2版.南京：東南大學(xué)出版社，2007：78-126.MATTBEW SGAST.802.11 Wireless Network Definitive Guide［M］.2nd ed.Nanjing：Southeast University Press，2007：78-126.

［2］蘇聰，吳延昌，劉君瑞.基于EAP-TTLS的 WLAN安全系統(tǒng)的研究與設(shè)計(jì)［J］.微電子學(xué)與計(jì)算機(jī)，2006(3)：174-177.

SU Cong，WU Yanchang，LIU Junrui.Research and Design of WLAN Security System Based on EAP-TTLS ［J］.Microelectronics and Computer，2006(3)：174-177.

［3］謝銳，汪為農(nóng).Web認(rèn)證下的無線用戶規(guī)?？蓴U(kuò)展性研究［J］.中國海洋大學(xué)學(xué)報(bào)，2008(S1)：211-213.

XIE Rui，WANGWeinong.Reasearch on the Scalability of Wireless Users Based on Web Authentication ［J］.Periodical of Ocean University of China，2008(S1)：211-213.

［4］李昕，左明.Web認(rèn)證及802.1x認(rèn)證的比較［J］.現(xiàn)代計(jì)算機(jī)，2003(11)：52-54.

LIXin，ZUO Ming.The Comparison on Study of Web Authentication and 802.1x Authentication Protocol［J］.Modern Computer，2003(11)：52-54.

［5］高琴，夏文忠.基于Web認(rèn)證的高校圖書館無線網(wǎng)絡(luò)設(shè)計(jì)［J］.電腦知識與技術(shù)，2013(21)：21-35.

GAO Qin，XIA Wenzhong.University Library's Wireless Network Design Based on Web Authentication ［J］.Computer Knowledge and Technology，2013(21)：21-35.

［6］CONGDON P.RADIUS Attributes for Virtual LAN and Priority Support［C］∥ IETF RFC3580.［S.l.］：Microsoft Corporation，2006：623-700.

［7］夏亮，韓冬，馬書才.基于神經(jīng)網(wǎng)絡(luò)的多因素身份認(rèn)證方法［J］.吉林大學(xué)學(xué)報(bào)：信息科學(xué)版，2011，29(2)：169-173.

XIA Liang，HAN Dong，MA Shucai.Method of Multi-Factor Authenticaiton Based on Neural Network ［J］.Journal of Jilin University：Information Science Edition，2011，29(2)：169-173.

［8］王德民，何立東，劉菲菲，等.基于消息的加權(quán)負(fù)載均衡算法［J］.吉林大學(xué)學(xué)報(bào)：工學(xué)版，2012，42(1)：140-144.

WANG Demin，HE Lidong，LIU Feifei，et al.Message-Oriented Load Balancing Algorithm ［J］.Journal of Jilin University：Engineering and Technology Edition，2012，42(1)：140-144.

［9］劉銘，劉越西，王秋爽，等.基于VPN的移動多媒體城域網(wǎng)建設(shè)［J］.吉林大學(xué)學(xué)報(bào)：信息科學(xué)版，2011，29(4)：388-392.

LIU Ming，LIU Yuexi，WANG Qiushuang，et al.Multimedia Field Network Construction Based on Movement of VPN ［J］.Journal of Jilin University：Information Science Edition，2011，29(4)：388-392.

［10］董延華，李曉佳，張曄.基于MPICH并行計(jì)算系統(tǒng)安全通信策略研究［J］.吉林大學(xué)學(xué)報(bào)：信息科學(xué)版，2011，29(5)：481-483.

DONG Yanhua，LIXiaojia，ZHANG Ye.Research on Security Telecommunication of MPICH Parallel Compution System［J］.Journal of Jilin University：Information Science Edition，2011，29(5)：481-483.

Web-Based Wireless Network Coverage of Security Certification

DONG Yanhua，BINa，ZENG Xuan，LIXiaojia，Lü Kai

(College of Computer，Jilin Normal University，Siping 136000，China)

In order to achieve the flexibility for relative cable network and the inexpensiveness for 3G/4Gmobile network，contenting to the urgent needs of the wireless network coveraging to the enterprises and units，we carry out the comparison research，give the implement under different conditions for the WiFi(Wireless Fidelity)coverage.To improve the security of wireless coverage systems，we carry out a scheme for the wireless WiFi coverage and offer to the concrete implementationmethod system based on Webmandatory safety certification.It provides theoretical reference and technical support for a wide range of wireless WiFi coverage，and offers practical，efficient and safe wireless coverage solutions，it also provides implement support for small business institutions.

wireless repeater;wireless fidelity(WiFi)coverage;mandatory certification

TP393

A

1671-5896(2014)03-0298-05

2013-12-16

吉林省發(fā)展計(jì)劃基金資助項(xiàng)目(20130101179JC;201105083);吉林省公共計(jì)算平臺基金資助項(xiàng)目(20130101179JC-17)

董延華(1971— )，男，吉林扶余人，吉林師范大學(xué)副教授，主要從事信息處理研究，(Tel)86-15694348686(E-mail)Yunpengdong@gmail.com。

劉俏亮)