基于混合认证的实验室无线接入方案
张蔷(西北农林科技大学风景园林艺术学院 陕西杨凌 712100)
摘 要:无线网络技术近年来发展迅速,已成为人们日常生活中不可获取的一部分。802.11ac的出现已将无线传输速率提升至1Gbps,其应用范围更为宽广,无线网接入安全和方式同时也遇到挑战。本文将以无线网络在实验室的应用为场景,探讨设计无线接入方案。其中包括无线网络认证结构和方法,认证流程设计和实践。
关键词:实验室无线网络;混合认证;接入技术;设计
无线网络技术已经历了802.11a到802.11ac的阶段,传输速率从最早的11M已发展到1G。传输频段也由2.4G发展到2.4和5G两个。实验室中,计算机、移动终端和设备也都向无线网络过渡,所承载的应用和数据日益庞大,越来越多的设备和终端都有接入无线网络的需求,随之而来的无线接入、安全问题日益突出。根据实验室不同需求,在接入、认证、授权等方面需要根据特点进行设计和应用。
目前,在认证方面已有MAC、802.1X二层认证和PPPOE、portal三层认证方式,各有优缺点。如果能灵活对不同设备、不同用户采用多样性的认证和管理方式,将全面提升无线网络的安全和管理性。
一、需求分析
实验室大体可分为两类,一类是设备系统种类多,如常见的台式电脑、笔记本电脑、移动平板和不常见检测仪器,如服务器,嵌入式系统,模拟机等,系统则包括windows、linux、windows
mobile、android、ios等。这是指实验室功能特点。一类是人员种类多,是指在实验室中工作的人种类多样。如不同专业的学生,老师,研究员以及参观学者等。
根据以上特点,我们可将实验室中对无线网络接入认证需求明确如下:
1.可兼容不同PC操作系统、不同嵌入式系统;
2.可兼容不同类型设备的认证入网,且保证安全性和管理性;
3.可提供多种认证模式,应用于不同场景;
4.可对接入网的无线设备统一管控;
二、解决方案
说到认证方案,首先是AAA协议。AAA是认证(Authentication)、授权(Authorization)和计费(Accounting)的简称,是网络安全中进行访问控制的一种安全管理机制,提供认证、授权和计费三种安全服务。AAA一般采用C/S(客户端/服务器)模式,这种模式结构简单、扩展性好,便于集中管理用户信息。RADIUS协议就是在AAA框架下产生的认证协议。
本次设计方案将以RADIUS协议为核心,多种方式组合认证的思路进行设计和实现。
|
名称
|
特点
|
SSID
|
SSID类型
|
认证方式
|
|
综合实验室
|
公共使用、人员复杂、外入电脑多
|
zh_lab
|
公开
|
portal
|
|
专业实验室
|
专业设备多、实验电脑多
|
zy_lab
|
公开
|
MAC+多元或portal
|
|
教学实验室
|
教学上课使用、使用时间固定、人员数量多
|
jx_lab
|
公开
|
portal
|
|
重点实验室
|
设备多、电脑不得带入、管理严格
|
zd_lab
|
隐藏
|
MAC+多元或
MAC+portal
|
表1 实验室类型
通过表1中对实验室需求分类,规划出相对应的认证方式。
综合类实验室一般为学生公共使用,使用人数多。实验室本身配置有台式电脑,也有人员携带笔记本电脑进入。有接入网络需求。此类环境适合应用portal认证方式,入网时向终端推送认证页面,页面内容包含实验室注意事项和管理办法,使用者填入用户名和密码后即可入网。
专业实验室多为专业学科实验室,一般配置有专业使用的仪器、设备和电脑。使用者相对固定,且有外部带入电脑情况。此类环境适合应用MAC+多元或portal认证方式。其中,MAC+多元认证应用于仪器、设备;portal认证方式应用于电脑和手持移动终端。
教学实验室一般为实验课教室,每天固定时间内有老师、学生出入。实验室配置有台式电脑,且有外带电脑情况,同一时间内入网需求量大。此类环境适合应用portal认证方式,但在认证并发量上有较高需求。
重点实验室一般是各单位的核心实验室,配置有各类贵重仪器、设备,有安全等级要求的电脑,不准携带电脑进出,管理严格,数据保密等级高。此类环境适合应用MAC+多元或portal认证方式,且SSID应为隐藏状态。仪器设备类统一使用MAC+多元方式认证。PC和移动终端使用MAC+portal认证方式。所以入网设备需要在管理员处手工入网后才可。
针对以上入网认证方式方案设计,网络拓扑结构如下:
图1 认证网络拓扑
从拓扑可以看出,整个认证构架符合AAA协议模式。无线控制器、RADIUS认证服务器和portal服务器旁挂于核心交换机。核心交换机启用DHCP服务功能。在整个网络中,无线AP负责发布SSID和终端接入,AC控制器负责管理AP和下发配置,核心交换机负责DHCP地址分配和数据交换,RADIUS认证服务器负责终端认证和授权,portal服务器负责推送认证页面。通过各设备间功能分明的有效协助可实现同一网络环境中多种认证方式的共存,以达到对不同终端不同系统的灵活接入和统一管控。
三、认证流程
认证流程设计可分为两个部分,一个是MAC认证,另一个是portal认证。无操作系统的终端设备仪器则在管理端直接记录MAC地址和端口后直接入网,其他电脑和移动终端使用portal认证,通过网页消息推送可兼容所有操作系统。下面重点介绍终端认证入网过程。
1.仪器、设备入网认证
(1)仪器、设备入网需记录MAC地址和多元信息。首先到管理员处登记,由管理员统一在管理后台进行手工入网。
(2)管理员在准入授权界面审核待入网设备。通过记录MAC地址后给其分配IP地址入网。
(3)入网后的仪器、设备还将上报多元信息(如:MAC地址+操作系统+生成厂商+SN号),并将多元信息和MAC地址共同组成认证列表记录在RADIUS认证服务器中。
(4)由RADIUS认证服务器下发授权并开始审计。
至此,整个认证过程完毕,仪器、设备已入网。下次重新入网时RADIUS认证服务器将首先查询MAC地址,匹配后分配对应的IP地址。通讯后在进行多元匹配认证,在完成MAC+多元认证后才完成整个认证过程。
2.电脑、移动终端入网认证
(1)终端在申请接入无线网后,由DHCP服务器分配一个在受限域的IP地址。portal服务器向终端推送认证页面,要求用户填入用户名和密码。
(2)RADIUS认证服务器获取信息并与数据库中的信息列表进行比对。如果该终端未注册则由portal服务器返回提示页面,如通过则将该IP划入生产网络域。
(3)由RADIUS认证服务器下发授权并开始审计。
电脑、移动终端的认证过程完毕。下次重新入网时将重复以上过程。
四、方案特点
该无线认证方案具有两大特点:一是在同一个网络环境中通过使用不同的SSID,满足各类认证需求,网络逻辑结构简单,故障点少。二是通过多样认证方式,达到兼容设备的网络接入,既保证了用户使用体验,也保证无线网络安全。使用MAC+多元认证方式,可以满足多样的设备种类,通过提取设备间网络属性的共性元素,将多种元素组合进行认证。
五、结论
通过对实验室类型分析和归纳,对不同类型的实验室设计对应的认证方式。让仪器、设备、电脑和移动终端都能便捷接入网络,同时提供授权和审计功能,为网络安全提供保障。认证服务器采用RADIUS协议,其具备良好的兼容性和扩展性,对未来的系统升级和计费能无缝支持。
参考文献
[1]王强、何才辉.高校开放型网络实验室的构建与实施[J].实验技术与管理, 2007,24(8):138-141
[2]刘旭健.实验室中无线网络的组建与设计[J].电子设计工程,2014, (21):118-120
[3]林仙土.实验室无线网络的组建研究[J].信息通信, 2013, (4):116-117
[4]任伟.无线网络安全问题初探[J].信息网络安全,2012, (1):10-13
[5]傅扬、潘敏、史晓翠. WIFI网络技术与安全问题分析[J].电脑编程技巧与维护, 2010, (18):121-122
[6]刘文杰、惠煌、薛强、孙伟峰.基于802.1X混合认证体系的无线网络实验研究[J].实验技术与管理,2012, 29(10):89-92
[7]朱小明、林捷、张弘.高校网络实验室的建设与探讨[J].实验技术与管理, 2006, 23(10):67-68
[8]黄荣.基于802.1x和Web Portal认证技术的校园网用户端点准入控制系统的设计及应用[J].福州大学学报:自然科学版,2008,
36(5):673-676
[9]崔艺馨、樊孝仁、张政、胡改蝶.基于Portal认证技术在校园WLAN组网中的应用实践[J].电脑开发与应用,2015,(3):23-24
[10]任治洪.局域网Portal认证研究及应用[J].甘肃科技,2012,(12):25-27
[11]王斐、陈玲、陆建德.基于802.1x的无线园区网AAA系统的设计与实现[J].计算机技术与发展,2008, 18(10):143-147
[12]杜民.802.1x和web/portal认证协同打造校园网认证系统[N].山东商业职业技术学院学报,2010,10(6):104-107
[13]穆镭.无线网络接入设备管理系统的设计与实现[N].苏州科技学院学报:工程技术版,2009,22(2):78-80
[14]张水平、张晓斌.校园无线网络接入控制管理方案的初步探索与实践[J].电脑知识与技术,2014,(2):735-739
[15]王黎、刘春晓.无线网络接入认证技术及攻击方法研究[J].无线电工程,2011, 41(7):11-12
|
百度百科
