基于Portal認(rèn)證的校園WLAN安全設(shè)計及應(yīng)用

摘 要：隨著校園各類信息資源的不斷豐富，以及一些云服務(wù)類的系統(tǒng)在一些校園內(nèi)的引入和應(yīng)用，無線網(wǎng)絡(luò)的設(shè)計就逐漸成為了實現(xiàn)全面建設(shè)數(shù)字化校園過程中的一項重要內(nèi)容。而在無線網(wǎng)絡(luò)的組建過程中網(wǎng)絡(luò)的安全設(shè)計是不容忽視的，在本文中作者主要結(jié)合本身實踐對基于Portal認(rèn)證的校園WLAN安全設(shè)計及應(yīng)用進(jìn)行了探究。

關(guān)鍵詞：Portal認(rèn)證；校園WLAN；安全設(shè)計；應(yīng)用

中圖分類號：TN925.93

信息資源的不斷的擴充、網(wǎng)絡(luò)接入用戶的不斷增多、各類WEB應(yīng)用系統(tǒng)等在校園內(nèi)的應(yīng)用給校園內(nèi)網(wǎng)絡(luò)管理以及網(wǎng)絡(luò)安全都帶來很大問題。而最近幾年來在校園內(nèi)因為WLAN方面的應(yīng)用越來越多，更加劇了校園網(wǎng)帶寬、網(wǎng)絡(luò)安全管理等方面的壓力。在這樣的背景下，如果還是采取簡單身份認(rèn)證的方式設(shè)計WLAN的接入是很難從根本上改善網(wǎng)絡(luò)資源浪費、缺乏有效安全管理、管理壓力巨大等諸多問題[1]。 而用戶端準(zhǔn)入機制的介入?yún)s恰恰在某種程度上緩解了目前校校園WLAN建設(shè)與運行中的這些問題，而Portal技術(shù)作為用戶端點準(zhǔn)入系統(tǒng)中的一個重要組成部分， 在基于Portal認(rèn)證的校園網(wǎng)WLAN中用戶端點準(zhǔn)入系統(tǒng)以用戶身份檢查和相關(guān)策略檢查的方式阻斷非法登錄，這樣一來在終端安全得到了有效保證的同時校園網(wǎng)本身的安全也得到了很大程度上的保證。

1 802.1X以及Web Portal認(rèn)證

在WLAN安全設(shè)計領(lǐng)域在用戶端點準(zhǔn)入方面的控制系統(tǒng)一般都是基于802. 1x 協(xié)議的，而W eb Portal技術(shù)則作為其輔助和補充，以達(dá)到網(wǎng)絡(luò)安全管理中用戶準(zhǔn)入的控制[2]。

1.1 802.1X 協(xié)議的主要認(rèn)證流程

終端接入用戶將自己的IP地址配置為動態(tài)獲取，該地址由DHCP服務(wù)器的地址池所提供，在終端接入到網(wǎng)絡(luò)后其會得到一個私有的IP地址；有了這個私有的IP地址之后，實際上此時終端用戶是可以獲取有限的網(wǎng)絡(luò)資源的—以私有IP訪問W eb Porta服務(wù)器，從Web Portal服務(wù)器下載認(rèn)證軟件，并輸入認(rèn)證信息、提交發(fā)送認(rèn)證信息[3]。認(rèn)證服務(wù)器在檢驗了認(rèn)證信息的合法性之后，將相關(guān)的認(rèn)證信息發(fā)送給回應(yīng)接入交換機的報文中。接入交換機收到報文信息后， 利用DHCP Relay 功能，發(fā)送一個DHCP請求報文給DHCP服務(wù)器。而DHCP服務(wù)器在收到該請求后， 會根據(jù)具體的權(quán)限值與DHCP地址池的對應(yīng)關(guān)系分配公有的IP地址給接入交換機，，并由接入交換機將其轉(zhuǎn)送給用戶，完成這些之后相應(yīng)的邏輯業(yè)務(wù)端口是會被打開的[4]，這樣一來終端用戶就獲得了有訪問相關(guān)網(wǎng)絡(luò)資源權(quán)限的IP地址實施網(wǎng)絡(luò)資源的共享和獲取了。

1.2 基于Portal的WLAN安全設(shè)計以及應(yīng)用

在無線網(wǎng)絡(luò)的安全管理中認(rèn)證管理中，Web Portal因為其使用方便等方面的原因使其成為了校園網(wǎng)認(rèn)證中不可或缺的重要補充手段[5]。在具體的設(shè)計方面，Portl認(rèn)證的運行主要是依靠DHCP、Portal、AAA以及 BAS服務(wù)器的相互配合，具體結(jié)構(gòu)如下圖1所示：

在用戶終端啟動后，用戶的操作系統(tǒng)將會向DHCP服務(wù)器請求并經(jīng)過BAS轉(zhuǎn)化為DHCP-Relay，以此獲取可用的IP地址，負(fù)責(zé)BAS的設(shè)備根據(jù)分配的IP地址以及主機的MAC 地址、端口號等信息生成表項信息以此建立ACL策略。通過這樣的機制用戶端僅僅局限于訪問Portal、DNS等一些內(nèi)部服務(wù)器[6]。用戶打開瀏覽器后一般即可登錄Portal服務(wù)器，服務(wù)器為用戶提供登陸的web頁面（主要通過BAS設(shè)備確認(rèn)用戶端是否登錄），用戶在頁面輸入輸用戶名、密碼，并將用戶表單中的用戶名、密碼以及用戶主機的IP地址傳送給BAS設(shè)備；該設(shè)備在通過IP地址的形式驗證用戶，如果該用戶是屬于合法的并且屬于未認(rèn)證的用戶， 則將用戶名、密碼等數(shù)據(jù)傳送給AAA服務(wù)器進(jìn)行下一步的認(rèn)證。認(rèn)證成功后，BAS設(shè)備接收確認(rèn)結(jié)果并修改ACL策略（僅限于該用戶），完成這些步驟后，正常情況下用戶就可以接入網(wǎng)絡(luò)享受WLAN上網(wǎng)服務(wù)了。

2 基于Portal認(rèn)證的校園WLAN 安全應(yīng)用價值

校園網(wǎng)一般上其結(jié)構(gòu)都是比較復(fù)雜的，ARP攻擊、偽DHCP服務(wù)器接入等不安全因素是隨時存在并可能發(fā)生的[7]。加上WLAN是屬于開放性接入的，網(wǎng)絡(luò)安全隱患更為嚴(yán)重，因此在實際的工作中，我們可以在基于Portal認(rèn)證的基礎(chǔ)上實現(xiàn)多種WLAN上網(wǎng)的安全管理和控制：

2.1 實現(xiàn)用戶的跟蹤

在用戶端使用賬號進(jìn)行認(rèn)證登陸后實際上Portal服務(wù)器設(shè)備的后臺是會記錄該用戶其上網(wǎng)的時間、線路的，結(jié)合流控、抓包工具和設(shè)備等在發(fā)現(xiàn)上網(wǎng)異常行為后可以鎖定用戶所在的地點并限制該用戶的登錄。

2.2 非法地址的過濾

認(rèn)證服務(wù)搭建成功后，可以對BRAS、AP設(shè)備等進(jìn)行配置，以此實現(xiàn)對對internet上外線路由指向AP的IP地址訪問請求進(jìn)行過濾。AP設(shè)備上，可以只設(shè)置對網(wǎng)管IP 地址的回應(yīng)進(jìn)而丟非法IP地址的訪問。這樣網(wǎng)管就可以實現(xiàn)對WLAN的AP的訪問，而對于AP而言其僅僅只是對網(wǎng)管服務(wù)器進(jìn)行回應(yīng)，減少了AP請求與回應(yīng)信息帶來的不安全因素[8]。

2.3 更好的數(shù)據(jù)的隔離

通過認(rèn)證服務(wù)的介入，完全可以實現(xiàn)校園WLAN工作數(shù)據(jù)信息與網(wǎng)絡(luò)管理信息數(shù)據(jù)之間的隔離。這樣就有效的預(yù)防了網(wǎng)管系統(tǒng)受惡意攻擊、修改的問題。實現(xiàn)這樣的配置方法有很多，可以考慮采用AP Trunk上聯(lián)雙VLAN的方式，不同的VLAN負(fù)責(zé)不同的數(shù)據(jù)信息交換（業(yè)務(wù)數(shù)據(jù)信息的交換和管理數(shù)據(jù)信息的傳送、接收）。

對于校園網(wǎng)中的Portal認(rèn)證而言，作為一種應(yīng)用層上的協(xié)議，其在實現(xiàn)WLAN用戶安全認(rèn)證的過程中其利用自帶的重傳機制很好的保證了暢通、快速的無線網(wǎng)絡(luò)登錄與共享服務(wù)，同時其認(rèn)證過程的體驗也是比較好的，因此，目前基于Portal認(rèn)證的WLAN安全設(shè)計與應(yīng)用都是比較普遍的。該無線網(wǎng)接入方式具備了低投資高回報的特點，可以很好的滿足實際的管理需要，保證了校園網(wǎng)和校園WLAN的可持續(xù)性運行。

參考文獻(xiàn)：

[1]董兆殷.基于Portal認(rèn)證的校園WLAN安全設(shè)計及應(yīng)用[J].中國新技術(shù)新產(chǎn)品，2010（11）：20.

[2]黃榮.基于802.1x和WebPortal認(rèn)證技術(shù)的校園網(wǎng)用戶端點準(zhǔn)入控制系統(tǒng)的設(shè)計及應(yīng)用[J].福州大學(xué)學(xué)報（自然科學(xué)版），2008（05）：673-676.

[3]譚榮藝.高校校園無線網(wǎng)絡(luò)的構(gòu)建和應(yīng)用[D].華南理工大學(xué)，2012.

[4]劉人源.集中式WLAN架構(gòu)下802.1X認(rèn)證系統(tǒng)的設(shè)計與實現(xiàn)[D].華南理工大學(xué)，2012.

[5]關(guān)則洛.集中式WLAN系統(tǒng)AP與STA接入的設(shè)計與實現(xiàn)[D].華南理工大學(xué)，2013.

[6]劉蕓華.Portal和WebServices的企業(yè)協(xié)同辦公系統(tǒng)的構(gòu)建[D].山東大學(xué)，2013.

[7]盧暢.Portal認(rèn)證系統(tǒng)的設(shè)計與實現(xiàn)[D].華中科技大學(xué)，2013.

[8]秦文勝，辛繼勝.基于Portal認(rèn)證的電信寬帶接入在校園網(wǎng)中的應(yīng)用[J].中國教育信息化，2011（21）：79-80.

作者簡介：杭中士（1981.10-），男，江蘇揚州人，科長，講師，工程碩士，研究方向：計算機應(yīng)用技術(shù)。

作者單位：揚州高等職業(yè)技術(shù)學(xué)校，江蘇揚州 225003