董延華，畢 娜，曾 軒，李曉佳，呂 凱

(吉林師范大學(xué)計(jì)算機(jī)學(xué)院，吉林四平 136000)

基于Web 安全認(rèn)證的無(wú)線網(wǎng)絡(luò)覆蓋方案

董延華，畢 娜，曾 軒，李曉佳，呂 凱

(吉林師范大學(xué)計(jì)算機(jī)學(xué)院，吉林四平 136000)

為實(shí)現(xiàn)相對(duì)有線網(wǎng)絡(luò)的靈活性與3G/4G移動(dòng)網(wǎng)絡(luò)的廉價(jià)性，滿足企事業(yè)單位對(duì)無(wú)線網(wǎng)絡(luò)覆蓋的迫切需求，針對(duì)無(wú)線WiFi(Wireless Fidelity)覆蓋方案進(jìn)行對(duì)比研究，給出了適于不同需求條件下WiFi覆蓋方案。同時(shí)提出了一種基于Web的強(qiáng)制安全認(rèn)證系統(tǒng)實(shí)現(xiàn)方法，為大范圍無(wú)線WiFi覆蓋提供了理論支持。該無(wú)線覆蓋方案實(shí)用、高效、安全，為中小企事業(yè)單位提供了實(shí)現(xiàn)借鑒。

無(wú)線中繼;無(wú)線覆蓋;強(qiáng)制認(rèn)證

0 引 言

隨著網(wǎng)絡(luò)迅速普及，網(wǎng)絡(luò)通信的“最后1 km”問(wèn)題成為應(yīng)用網(wǎng)絡(luò)資源的關(guān)鍵。網(wǎng)絡(luò)通信的“最后1 km”是指從網(wǎng)絡(luò)服務(wù)提供商ISP(Internet Service Provider)到用戶終端設(shè)備的連接。相對(duì)于Internet骨干網(wǎng)絡(luò)廣泛采用的光纖通信方式不同，目前，用戶終端接入Inetrnet的方式主要有3種方式。1)有線接入。主要采用寬帶xDSL(x Digital Subscriber Line)線路、有線電視CATV(Cable Television)、電力線等接入技術(shù)。有線接入的優(yōu)點(diǎn)是網(wǎng)絡(luò)穩(wěn)定，帶寬有保證，網(wǎng)絡(luò)資費(fèi)比較便宜，但受接入線路的限制，不適于流動(dòng)終端用戶的靈活接入［1］。2)3G/4G無(wú)線接入。利用支持高速數(shù)據(jù)傳輸?shù)姆涓C移動(dòng)通信基站等線路和設(shè)備構(gòu)建的通信網(wǎng)絡(luò)。其優(yōu)點(diǎn)是只要手機(jī)信號(hào)在可覆蓋范圍即可通過(guò)3G/4G終端接入Internet，靈活性強(qiáng)。但其網(wǎng)絡(luò)帶寬有限，入網(wǎng)資費(fèi)高。3)無(wú)線局域網(wǎng)接入。無(wú)線局域網(wǎng)絡(luò) WLAN(Wireless Local Area Network)主要實(shí)現(xiàn)方式是WiFi(Wireless Fidelity)，符合802.11標(biāo)準(zhǔn)的無(wú)線互聯(lián)技術(shù)，其基本工作原理是將有線接入信號(hào)轉(zhuǎn)換成支持WiFi終端所能接收的無(wú)線信號(hào)［2］。支持WiFi無(wú)線信號(hào)接入的設(shè)備又稱為無(wú)線接入點(diǎn)AP(Access Point)。無(wú)線局域網(wǎng)絡(luò)接入既保證有線接入的速度(帶寬)，又兼顧了無(wú)線接入的可移動(dòng)性和靈活性。

無(wú)線局域網(wǎng)接入方式面臨的最大問(wèn)題是無(wú)線局域網(wǎng)的有效覆蓋范圍有限，受無(wú)線接入點(diǎn)AP接入距離的限制，一般為幾米到幾十米，且受空間障礙物(如墻壁)影響。同時(shí)，無(wú)線局域網(wǎng)接入的安全性也是影響無(wú)線局域網(wǎng)應(yīng)用的潛在問(wèn)題。

為了提高無(wú)線局域網(wǎng)的覆蓋范圍，加強(qiáng)無(wú)線局域網(wǎng)接入的安全性，筆者提出了一種基于Web認(rèn)證的無(wú)線WiFi覆蓋解決方案。

1 無(wú)線WiFi覆蓋方案

作為有線接入與3G/4G無(wú)線接入的有機(jī)結(jié)合，無(wú)線局域網(wǎng)絡(luò)WiFi得到了越來(lái)越廣泛的應(yīng)用。為了解決WiFi覆蓋范圍與接入速度兩個(gè)關(guān)鍵問(wèn)題，提出以下3種覆蓋模式并進(jìn)行了對(duì)比。

1 )單無(wú)線接入點(diǎn)(路由)單點(diǎn)接入模式。該模式是WiFi無(wú)線接入點(diǎn)(路由器)典型應(yīng)用，適用于小范圍如普通家庭、單間辦公室等，其垂直覆蓋范圍一般不適用于越層建筑，其連接拓?fù)鋱D如圖1所示［3］。

該模式下，無(wú)線接入點(diǎn)(路由)獨(dú)享整個(gè)Internet接入帶寬并將其轉(zhuǎn)為WiFi無(wú)線或普通以太有線網(wǎng)絡(luò)信號(hào)輸出。這種模式在有效覆蓋范圍內(nèi)有帶寬保證，但其覆蓋范圍有限。

2 )多無(wú)線接入點(diǎn)(路由)單點(diǎn)接入模式。通過(guò)無(wú)線分布式系統(tǒng)WDS(Wireless Distribution System)可通過(guò)無(wú)線連接方式有效擴(kuò)大網(wǎng)絡(luò)覆蓋范圍。WDS主要采用無(wú)線橋接(Bridge)和無(wú)線中繼(Repeater)兩種方法［4，5］。無(wú)線橋接主要是通過(guò)無(wú)線接入點(diǎn)(路由)連接兩個(gè)不同網(wǎng)絡(luò)，以擴(kuò)展無(wú)線覆蓋范圍;無(wú)線中繼主要采用擴(kuò)大同一無(wú)線網(wǎng)絡(luò)覆蓋范圍。用于中繼的無(wú)線接入點(diǎn)(路由)可以同時(shí)接收其他終端的接入，其實(shí)現(xiàn)拓?fù)淙鐖D2所示。

圖1 單無(wú)線接入點(diǎn)(路由)單點(diǎn)接入模式Fig.1 Single wireless access point(router)single-point accessmode

圖2 多無(wú)線接入點(diǎn)(路由)單點(diǎn)接入模式Fig.2 Multiple wireless access point(router)a single point of accessmode

該模式在有效擴(kuò)大無(wú)線網(wǎng)絡(luò)覆蓋范圍的同時(shí)，還便于單點(diǎn)接入的集中管理，實(shí)現(xiàn)統(tǒng)一的Web認(rèn)證。但隨著網(wǎng)絡(luò)范圍及接入終端數(shù)量的增加，網(wǎng)絡(luò)訪問(wèn)的速度(帶寬)無(wú)法保證。

3 )多無(wú)線接入點(diǎn)(路由)多點(diǎn)接入模式。為有效擴(kuò)大無(wú)線網(wǎng)絡(luò)的覆蓋范圍并確保接入終端網(wǎng)絡(luò)訪問(wèn)速度，在模式2的基礎(chǔ)上，采用按物理空間結(jié)構(gòu)，如樓層等分隔區(qū)域?qū)崿F(xiàn)多點(diǎn)接入，構(gòu)成多個(gè)小型無(wú)線邏輯網(wǎng)絡(luò)疊加，實(shí)現(xiàn)大范圍無(wú)線覆蓋，同時(shí)可有效提高每個(gè)小型無(wú)線網(wǎng)絡(luò)傳輸帶寬，其實(shí)現(xiàn)拓?fù)鋱D如圖3所示。

在這種模式下，需要針對(duì)多個(gè)小型無(wú)線邏輯網(wǎng)絡(luò)進(jìn)行統(tǒng)一認(rèn)證管理，以確保同一個(gè)終端用戶從一個(gè)邏輯網(wǎng)漫游到另一個(gè)邏輯網(wǎng)時(shí)，采用同一身份認(rèn)證，減輕終端用戶的負(fù)擔(dān)［6］。

圖3 多無(wú)線接入點(diǎn)(路由)多點(diǎn)接入模式Fig.3 Multiple wireless access point(router)multi-accessmode

2 Web認(rèn)證原理

隨著無(wú)線局域網(wǎng)絡(luò)發(fā)展，許多中小型企事業(yè)單位都開(kāi)始著手構(gòu)建本區(qū)域的無(wú)線覆蓋，用以方便移動(dòng)用戶的接入，提升本單位的工作效率和影響范圍。但隨之暴露出來(lái)的網(wǎng)絡(luò)安全問(wèn)題日趨嚴(yán)重，特別是針對(duì)移動(dòng)用戶客戶端而使用的無(wú)線網(wǎng)絡(luò)所具有的不定向性(與有線網(wǎng)絡(luò)相對(duì)比)，在進(jìn)行電子支付等敏感操作時(shí)，信息更容易泄露或者被竊取、監(jiān)聽(tīng)，信息安全問(wèn)題尤其顯得重要［7］。

提高無(wú)線網(wǎng)絡(luò)安全問(wèn)題主要手段是采用無(wú)線加密方式和基于Web等方式的安全認(rèn)證機(jī)制。

1 )無(wú)線加密方式。無(wú)線加密是由無(wú)線路由(AP：Access Point)提供的保護(hù)無(wú)線網(wǎng)絡(luò)信息傳輸安全的安全機(jī)制。目前主要有無(wú)線等效加密WEP(Wireless Encryption Protected)和保護(hù)無(wú)線網(wǎng)絡(luò)安全系統(tǒng)WPA(WiFi Protect Access)。其中 WPA 又分為 WPA 及符合802.11i的WPA2［8］。

無(wú)線加密方式為所有接入的無(wú)線終端提供統(tǒng)一的無(wú)線訪問(wèn)密鑰，隨著無(wú)線接入用戶的增加，密鑰泄露的風(fēng)險(xiǎn)加大。另外，密鑰只能統(tǒng)一分發(fā)，移動(dòng)客戶端只能被動(dòng)接受，不能自主更改和控制，不適用于對(duì)流動(dòng)性大的用戶進(jìn)行安全防護(hù)，在多用戶分散訪問(wèn)時(shí)，失去認(rèn)證的作用。

2 )基于Web的強(qiáng)制安全認(rèn)證。鑒于無(wú)線路由自身加密方式單一、密鑰認(rèn)證方式不適用于大范圍內(nèi)多用戶進(jìn)行訪問(wèn)安全保護(hù)的問(wèn)題，有效的解決辦法是采用不同用戶個(gè)體的基于Web強(qiáng)制認(rèn)證(Web Captive Portal)。

基于Web的強(qiáng)制安全認(rèn)證是指針對(duì)用戶通過(guò)HTTP(Hyper Text Transfer Protocol)協(xié)議訪問(wèn)Web資源時(shí)需要用戶進(jìn)行強(qiáng)制的認(rèn)證過(guò)程，是一種基于端口對(duì)用戶訪問(wèn)網(wǎng)絡(luò)的權(quán)限進(jìn)行控制的認(rèn)證方法。其工作流程如下［9，10］。

前期準(zhǔn)備工作要設(shè)定Web認(rèn)證服務(wù)器，并在網(wǎng)絡(luò)接入網(wǎng)關(guān)中登記。

①在認(rèn)證前，接入網(wǎng)關(guān)將截獲未認(rèn)證用戶發(fā)出的所有HTTP請(qǐng)求，并重定向到Web認(rèn)證服務(wù)器，認(rèn)證服務(wù)器返回用戶端認(rèn)證界面。

②用戶在認(rèn)證頁(yè)面上輸入不同的認(rèn)證信息(用戶名、口令、校驗(yàn)碼等)并提交給認(rèn)證服務(wù)器進(jìn)行身份認(rèn)證。

③合法用戶通過(guò)認(rèn)證后，接入網(wǎng)關(guān)將允許用戶訪問(wèn)互聯(lián)網(wǎng)資源。

基于Web的強(qiáng)制安全認(rèn)證方式適用于針對(duì)不同用戶提供不同認(rèn)證密鑰，有效提高了系統(tǒng)安全。

3 基于Web認(rèn)證的無(wú)線覆蓋實(shí)現(xiàn)

綜合以上無(wú)線覆蓋方案和安全認(rèn)證方案對(duì)比，筆者實(shí)現(xiàn)了基于Web安全認(rèn)證的無(wú)線覆蓋方案。

無(wú)線覆蓋采用多無(wú)線接入點(diǎn)(路由)多點(diǎn)接入模式，以確?？蛻舳藷o(wú)線接入的速度;安全認(rèn)證采用無(wú)線加密與基于Web的強(qiáng)制安全認(rèn)證相結(jié)合方式提高無(wú)線覆蓋系統(tǒng)安全性。

3.1 基于Web認(rèn)證的實(shí)現(xiàn)方案

3.2 系統(tǒng)工作過(guò)程

1 )移動(dòng)終端用戶首先通過(guò)統(tǒng)一的無(wú)線加密密鑰邏輯上接入無(wú)線覆蓋網(wǎng)絡(luò)中。

2 )當(dāng)用戶發(fā)出Web請(qǐng)求后，接入網(wǎng)關(guān)將用戶請(qǐng)求重定向到Web認(rèn)證服務(wù)器進(jìn)行二次認(rèn)證(見(jiàn)圖4)。

3 )用戶通過(guò)認(rèn)證后，認(rèn)證系統(tǒng)返回認(rèn)證成功界面，用戶正常訪問(wèn)Web資源。

基于本方案的用戶在不同物理空間(如樓層)流動(dòng)時(shí)，可選擇信號(hào)強(qiáng)度最強(qiáng)的接入點(diǎn)接入無(wú)線覆蓋系統(tǒng)，以保證無(wú)線訪問(wèn)的速度。

圖4 用戶請(qǐng)求重定向到Web認(rèn)證服務(wù)器進(jìn)行二次認(rèn)證Fig.4 Web user request is redirected to the authentication server for secondary certification

4 結(jié) 語(yǔ)

筆者提出了多點(diǎn)接入無(wú)線加密與基于Web的強(qiáng)制安全認(rèn)證相結(jié)合安全無(wú)線覆蓋方案。多點(diǎn)接入滿足移動(dòng)用戶靈活接入的要求，確保了用戶訪問(wèn)網(wǎng)絡(luò)資源的速度;無(wú)線加密與基于Web的強(qiáng)制安全認(rèn)證相結(jié)合的方式確保用戶訪問(wèn)網(wǎng)絡(luò)資源的安全性，阻止非法用戶的非授權(quán)訪問(wèn)。實(shí)驗(yàn)說(shuō)明，提出的無(wú)線覆蓋方案實(shí)用、高效、安全，為中小企事業(yè)單位提供了實(shí)現(xiàn)借鑒。

［1］MATTBEW SGAST.802.11無(wú)線網(wǎng)絡(luò)權(quán)威指南［M］.2版.南京：東南大學(xué)出版社，2007：78-126.MATTBEW SGAST.802.11 Wireless Network Definitive Guide［M］.2nd ed.Nanjing：Southeast University Press，2007：78-126.

［2］蘇聰，吳延昌，劉君瑞.基于EAP-TTLS的 WLAN安全系統(tǒng)的研究與設(shè)計(jì)［J］.微電子學(xué)與計(jì)算機(jī)，2006(3)：174-177.

SU Cong，WU Yanchang，LIU Junrui.Research and Design of WLAN Security System Based on EAP-TTLS ［J］.Microelectronics and Computer，2006(3)：174-177.

［3］謝銳，汪為農(nóng).Web認(rèn)證下的無(wú)線用戶規(guī)?？蓴U(kuò)展性研究［J］.中國(guó)海洋大學(xué)學(xué)報(bào)，2008(S1)：211-213.

XIE Rui，WANGWeinong.Reasearch on the Scalability of Wireless Users Based on Web Authentication ［J］.Periodical of Ocean University of China，2008(S1)：211-213.

［4］李昕，左明.Web認(rèn)證及802.1x認(rèn)證的比較［J］.現(xiàn)代計(jì)算機(jī)，2003(11)：52-54.

LIXin，ZUO Ming.The Comparison on Study of Web Authentication and 802.1x Authentication Protocol［J］.Modern Computer，2003(11)：52-54.

［5］高琴，夏文忠.基于Web認(rèn)證的高校圖書(shū)館無(wú)線網(wǎng)絡(luò)設(shè)計(jì)［J］.電腦知識(shí)與技術(shù)，2013(21)：21-35.

GAO Qin，XIA Wenzhong.University Library's Wireless Network Design Based on Web Authentication ［J］.Computer Knowledge and Technology，2013(21)：21-35.

［6］CONGDON P.RADIUS Attributes for Virtual LAN and Priority Support［C］∥ IETF RFC3580.［S.l.］：Microsoft Corporation，2006：623-700.

［7］夏亮，韓冬，馬書(shū)才.基于神經(jīng)網(wǎng)絡(luò)的多因素身份認(rèn)證方法［J］.吉林大學(xué)學(xué)報(bào)：信息科學(xué)版，2011，29(2)：169-173.

XIA Liang，HAN Dong，MA Shucai.Method of Multi-Factor Authenticaiton Based on Neural Network ［J］.Journal of Jilin University：Information Science Edition，2011，29(2)：169-173.

［8］王德民，何立東，劉菲菲，等.基于消息的加權(quán)負(fù)載均衡算法［J］.吉林大學(xué)學(xué)報(bào)：工學(xué)版，2012，42(1)：140-144.

WANG Demin，HE Lidong，LIU Feifei，et al.Message-Oriented Load Balancing Algorithm ［J］.Journal of Jilin University：Engineering and Technology Edition，2012，42(1)：140-144.

［9］劉銘，劉越西，王秋爽，等.基于VPN的移動(dòng)多媒體城域網(wǎng)建設(shè)［J］.吉林大學(xué)學(xué)報(bào)：信息科學(xué)版，2011，29(4)：388-392.

LIU Ming，LIU Yuexi，WANG Qiushuang，et al.Multimedia Field Network Construction Based on Movement of VPN ［J］.Journal of Jilin University：Information Science Edition，2011，29(4)：388-392.

［10］董延華，李曉佳，張曄.基于MPICH并行計(jì)算系統(tǒng)安全通信策略研究［J］.吉林大學(xué)學(xué)報(bào)：信息科學(xué)版，2011，29(5)：481-483.

DONG Yanhua，LIXiaojia，ZHANG Ye.Research on Security Telecommunication of MPICH Parallel Compution System［J］.Journal of Jilin University：Information Science Edition，2011，29(5)：481-483.

Web-Based Wireless Network Coverage of Security Certification

DONG Yanhua，BINa，ZENG Xuan，LIXiaojia，Lü Kai

(College of Computer，Jilin Normal University，Siping 136000，China)

In order to achieve the flexibility for relative cable network and the inexpensiveness for 3G/4Gmobile network，contenting to the urgent needs of the wireless network coveraging to the enterprises and units，we carry out the comparison research，give the implement under different conditions for the WiFi(Wireless Fidelity)coverage.To improve the security of wireless coverage systems，we carry out a scheme for the wireless WiFi coverage and offer to the concrete implementationmethod system based on Webmandatory safety certification.It provides theoretical reference and technical support for a wide range of wireless WiFi coverage，and offers practical，efficient and safe wireless coverage solutions，it also provides implement support for small business institutions.

wireless repeater;wireless fidelity(WiFi)coverage;mandatory certification

TP393

A

1671-5896(2014)03-0298-05

2013-12-16

吉林省發(fā)展計(jì)劃基金資助項(xiàng)目(20130101179JC;201105083);吉林省公共計(jì)算平臺(tái)基金資助項(xiàng)目(20130101179JC-17)

董延華(1971— )，男，吉林扶余人，吉林師范大學(xué)副教授，主要從事信息處理研究，(Tel)86-15694348686(E-mail)Yunpengdong@gmail.com。

劉俏亮)