董延華，畢 娜，曾 軒，李曉佳，呂 凱

(吉林師范大學(xué)計算機學(xué)院，吉林四平 136000)

基于Web 安全認證的無線網(wǎng)絡(luò)覆蓋方案

董延華，畢 娜，曾 軒，李曉佳，呂 凱

(吉林師范大學(xué)計算機學(xué)院，吉林四平 136000)

為實現(xiàn)相對有線網(wǎng)絡(luò)的靈活性與3G/4G移動網(wǎng)絡(luò)的廉價性，滿足企事業(yè)單位對無線網(wǎng)絡(luò)覆蓋的迫切需求，針對無線WiFi(Wireless Fidelity)覆蓋方案進行對比研究，給出了適于不同需求條件下WiFi覆蓋方案。同時提出了一種基于Web的強制安全認證系統(tǒng)實現(xiàn)方法，為大范圍無線WiFi覆蓋提供了理論支持。該無線覆蓋方案實用、高效、安全，為中小企事業(yè)單位提供了實現(xiàn)借鑒。

無線中繼;無線覆蓋;強制認證

0 引 言

隨著網(wǎng)絡(luò)迅速普及，網(wǎng)絡(luò)通信的“最后1 km”問題成為應(yīng)用網(wǎng)絡(luò)資源的關(guān)鍵。網(wǎng)絡(luò)通信的“最后1 km”是指從網(wǎng)絡(luò)服務(wù)提供商ISP(Internet Service Provider)到用戶終端設(shè)備的連接。相對于Internet骨干網(wǎng)絡(luò)廣泛采用的光纖通信方式不同，目前，用戶終端接入Inetrnet的方式主要有3種方式。1)有線接入。主要采用寬帶xDSL(x Digital Subscriber Line)線路、有線電視CATV(Cable Television)、電力線等接入技術(shù)。有線接入的優(yōu)點是網(wǎng)絡(luò)穩(wěn)定，帶寬有保證，網(wǎng)絡(luò)資費比較便宜，但受接入線路的限制，不適于流動終端用戶的靈活接入［1］。2)3G/4G無線接入。利用支持高速數(shù)據(jù)傳輸?shù)姆涓C移動通信基站等線路和設(shè)備構(gòu)建的通信網(wǎng)絡(luò)。其優(yōu)點是只要手機信號在可覆蓋范圍即可通過3G/4G終端接入Internet，靈活性強。但其網(wǎng)絡(luò)帶寬有限，入網(wǎng)資費高。3)無線局域網(wǎng)接入。無線局域網(wǎng)絡(luò) WLAN(Wireless Local Area Network)主要實現(xiàn)方式是WiFi(Wireless Fidelity)，符合802.11標準的無線互聯(lián)技術(shù)，其基本工作原理是將有線接入信號轉(zhuǎn)換成支持WiFi終端所能接收的無線信號［2］。支持WiFi無線信號接入的設(shè)備又稱為無線接入點AP(Access Point)。無線局域網(wǎng)絡(luò)接入既保證有線接入的速度(帶寬)，又兼顧了無線接入的可移動性和靈活性。

無線局域網(wǎng)接入方式面臨的最大問題是無線局域網(wǎng)的有效覆蓋范圍有限，受無線接入點AP接入距離的限制，一般為幾米到幾十米，且受空間障礙物(如墻壁)影響。同時，無線局域網(wǎng)接入的安全性也是影響無線局域網(wǎng)應(yīng)用的潛在問題。

為了提高無線局域網(wǎng)的覆蓋范圍，加強無線局域網(wǎng)接入的安全性，筆者提出了一種基于Web認證的無線WiFi覆蓋解決方案。

1 無線WiFi覆蓋方案

作為有線接入與3G/4G無線接入的有機結(jié)合，無線局域網(wǎng)絡(luò)WiFi得到了越來越廣泛的應(yīng)用。為了解決WiFi覆蓋范圍與接入速度兩個關(guān)鍵問題，提出以下3種覆蓋模式并進行了對比。

1 )單無線接入點(路由)單點接入模式。該模式是WiFi無線接入點(路由器)典型應(yīng)用，適用于小范圍如普通家庭、單間辦公室等，其垂直覆蓋范圍一般不適用于越層建筑，其連接拓撲圖如圖1所示［3］。

該模式下，無線接入點(路由)獨享整個Internet接入帶寬并將其轉(zhuǎn)為WiFi無線或普通以太有線網(wǎng)絡(luò)信號輸出。這種模式在有效覆蓋范圍內(nèi)有帶寬保證，但其覆蓋范圍有限。

2 )多無線接入點(路由)單點接入模式。通過無線分布式系統(tǒng)WDS(Wireless Distribution System)可通過無線連接方式有效擴大網(wǎng)絡(luò)覆蓋范圍。WDS主要采用無線橋接(Bridge)和無線中繼(Repeater)兩種方法［4，5］。無線橋接主要是通過無線接入點(路由)連接兩個不同網(wǎng)絡(luò)，以擴展無線覆蓋范圍;無線中繼主要采用擴大同一無線網(wǎng)絡(luò)覆蓋范圍。用于中繼的無線接入點(路由)可以同時接收其他終端的接入，其實現(xiàn)拓撲如圖2所示。

圖1 單無線接入點(路由)單點接入模式Fig.1 Single wireless access point(router)single-point accessmode

圖2 多無線接入點(路由)單點接入模式Fig.2 Multiple wireless access point(router)a single point of accessmode

該模式在有效擴大無線網(wǎng)絡(luò)覆蓋范圍的同時，還便于單點接入的集中管理，實現(xiàn)統(tǒng)一的Web認證。但隨著網(wǎng)絡(luò)范圍及接入終端數(shù)量的增加，網(wǎng)絡(luò)訪問的速度(帶寬)無法保證。

3 )多無線接入點(路由)多點接入模式。為有效擴大無線網(wǎng)絡(luò)的覆蓋范圍并確保接入終端網(wǎng)絡(luò)訪問速度，在模式2的基礎(chǔ)上，采用按物理空間結(jié)構(gòu)，如樓層等分隔區(qū)域?qū)崿F(xiàn)多點接入，構(gòu)成多個小型無線邏輯網(wǎng)絡(luò)疊加，實現(xiàn)大范圍無線覆蓋，同時可有效提高每個小型無線網(wǎng)絡(luò)傳輸帶寬，其實現(xiàn)拓撲圖如圖3所示。

在這種模式下，需要針對多個小型無線邏輯網(wǎng)絡(luò)進行統(tǒng)一認證管理，以確保同一個終端用戶從一個邏輯網(wǎng)漫游到另一個邏輯網(wǎng)時，采用同一身份認證，減輕終端用戶的負擔［6］。

圖3 多無線接入點(路由)多點接入模式Fig.3 Multiple wireless access point(router)multi-accessmode

2 Web認證原理

隨著無線局域網(wǎng)絡(luò)發(fā)展，許多中小型企事業(yè)單位都開始著手構(gòu)建本區(qū)域的無線覆蓋，用以方便移動用戶的接入，提升本單位的工作效率和影響范圍。但隨之暴露出來的網(wǎng)絡(luò)安全問題日趨嚴重，特別是針對移動用戶客戶端而使用的無線網(wǎng)絡(luò)所具有的不定向性(與有線網(wǎng)絡(luò)相對比)，在進行電子支付等敏感操作時，信息更容易泄露或者被竊取、監(jiān)聽，信息安全問題尤其顯得重要［7］。

提高無線網(wǎng)絡(luò)安全問題主要手段是采用無線加密方式和基于Web等方式的安全認證機制。

1 )無線加密方式。無線加密是由無線路由(AP：Access Point)提供的保護無線網(wǎng)絡(luò)信息傳輸安全的安全機制。目前主要有無線等效加密WEP(Wireless Encryption Protected)和保護無線網(wǎng)絡(luò)安全系統(tǒng)WPA(WiFi Protect Access)。其中 WPA 又分為 WPA 及符合802.11i的WPA2［8］。

無線加密方式為所有接入的無線終端提供統(tǒng)一的無線訪問密鑰，隨著無線接入用戶的增加，密鑰泄露的風(fēng)險加大。另外，密鑰只能統(tǒng)一分發(fā)，移動客戶端只能被動接受，不能自主更改和控制，不適用于對流動性大的用戶進行安全防護，在多用戶分散訪問時，失去認證的作用。

2 )基于Web的強制安全認證。鑒于無線路由自身加密方式單一、密鑰認證方式不適用于大范圍內(nèi)多用戶進行訪問安全保護的問題，有效的解決辦法是采用不同用戶個體的基于Web強制認證(Web Captive Portal)。

基于Web的強制安全認證是指針對用戶通過HTTP(Hyper Text Transfer Protocol)協(xié)議訪問Web資源時需要用戶進行強制的認證過程，是一種基于端口對用戶訪問網(wǎng)絡(luò)的權(quán)限進行控制的認證方法。其工作流程如下［9，10］。

前期準備工作要設(shè)定Web認證服務(wù)器，并在網(wǎng)絡(luò)接入網(wǎng)關(guān)中登記。

①在認證前，接入網(wǎng)關(guān)將截獲未認證用戶發(fā)出的所有HTTP請求，并重定向到Web認證服務(wù)器，認證服務(wù)器返回用戶端認證界面。

②用戶在認證頁面上輸入不同的認證信息(用戶名、口令、校驗碼等)并提交給認證服務(wù)器進行身份認證。

③合法用戶通過認證后，接入網(wǎng)關(guān)將允許用戶訪問互聯(lián)網(wǎng)資源。

基于Web的強制安全認證方式適用于針對不同用戶提供不同認證密鑰，有效提高了系統(tǒng)安全。

3 基于Web認證的無線覆蓋實現(xiàn)

綜合以上無線覆蓋方案和安全認證方案對比，筆者實現(xiàn)了基于Web安全認證的無線覆蓋方案。

無線覆蓋采用多無線接入點(路由)多點接入模式，以確?？蛻舳藷o線接入的速度;安全認證采用無線加密與基于Web的強制安全認證相結(jié)合方式提高無線覆蓋系統(tǒng)安全性。

3.1 基于Web認證的實現(xiàn)方案

3.2 系統(tǒng)工作過程

1 )移動終端用戶首先通過統(tǒng)一的無線加密密鑰邏輯上接入無線覆蓋網(wǎng)絡(luò)中。

2 )當用戶發(fā)出Web請求后，接入網(wǎng)關(guān)將用戶請求重定向到Web認證服務(wù)器進行二次認證(見圖4)。

3 )用戶通過認證后，認證系統(tǒng)返回認證成功界面，用戶正常訪問Web資源。

基于本方案的用戶在不同物理空間(如樓層)流動時，可選擇信號強度最強的接入點接入無線覆蓋系統(tǒng)，以保證無線訪問的速度。

圖4 用戶請求重定向到Web認證服務(wù)器進行二次認證Fig.4 Web user request is redirected to the authentication server for secondary certification

4 結(jié) 語

筆者提出了多點接入無線加密與基于Web的強制安全認證相結(jié)合安全無線覆蓋方案。多點接入滿足移動用戶靈活接入的要求，確保了用戶訪問網(wǎng)絡(luò)資源的速度;無線加密與基于Web的強制安全認證相結(jié)合的方式確保用戶訪問網(wǎng)絡(luò)資源的安全性，阻止非法用戶的非授權(quán)訪問。實驗說明，提出的無線覆蓋方案實用、高效、安全，為中小企事業(yè)單位提供了實現(xiàn)借鑒。

［1］MATTBEW SGAST.802.11無線網(wǎng)絡(luò)權(quán)威指南［M］.2版.南京：東南大學(xué)出版社，2007：78-126.MATTBEW SGAST.802.11 Wireless Network Definitive Guide［M］.2nd ed.Nanjing：Southeast University Press，2007：78-126.

［2］蘇聰，吳延昌，劉君瑞.基于EAP-TTLS的 WLAN安全系統(tǒng)的研究與設(shè)計［J］.微電子學(xué)與計算機，2006(3)：174-177.

SU Cong，WU Yanchang，LIU Junrui.Research and Design of WLAN Security System Based on EAP-TTLS ［J］.Microelectronics and Computer，2006(3)：174-177.

［3］謝銳，汪為農(nóng).Web認證下的無線用戶規(guī)?？蓴U展性研究［J］.中國海洋大學(xué)學(xué)報，2008(S1)：211-213.

XIE Rui，WANGWeinong.Reasearch on the Scalability of Wireless Users Based on Web Authentication ［J］.Periodical of Ocean University of China，2008(S1)：211-213.

［4］李昕，左明.Web認證及802.1x認證的比較［J］.現(xiàn)代計算機，2003(11)：52-54.

LIXin，ZUO Ming.The Comparison on Study of Web Authentication and 802.1x Authentication Protocol［J］.Modern Computer，2003(11)：52-54.

［5］高琴，夏文忠.基于Web認證的高校圖書館無線網(wǎng)絡(luò)設(shè)計［J］.電腦知識與技術(shù)，2013(21)：21-35.

GAO Qin，XIA Wenzhong.University Library's Wireless Network Design Based on Web Authentication ［J］.Computer Knowledge and Technology，2013(21)：21-35.

［6］CONGDON P.RADIUS Attributes for Virtual LAN and Priority Support［C］∥ IETF RFC3580.［S.l.］：Microsoft Corporation，2006：623-700.

［7］夏亮，韓冬，馬書才.基于神經(jīng)網(wǎng)絡(luò)的多因素身份認證方法［J］.吉林大學(xué)學(xué)報：信息科學(xué)版，2011，29(2)：169-173.

XIA Liang，HAN Dong，MA Shucai.Method of Multi-Factor Authenticaiton Based on Neural Network ［J］.Journal of Jilin University：Information Science Edition，2011，29(2)：169-173.

［8］王德民，何立東，劉菲菲，等.基于消息的加權(quán)負載均衡算法［J］.吉林大學(xué)學(xué)報：工學(xué)版，2012，42(1)：140-144.

WANG Demin，HE Lidong，LIU Feifei，et al.Message-Oriented Load Balancing Algorithm ［J］.Journal of Jilin University：Engineering and Technology Edition，2012，42(1)：140-144.

［9］劉銘，劉越西，王秋爽，等.基于VPN的移動多媒體城域網(wǎng)建設(shè)［J］.吉林大學(xué)學(xué)報：信息科學(xué)版，2011，29(4)：388-392.

LIU Ming，LIU Yuexi，WANG Qiushuang，et al.Multimedia Field Network Construction Based on Movement of VPN ［J］.Journal of Jilin University：Information Science Edition，2011，29(4)：388-392.

［10］董延華，李曉佳，張曄.基于MPICH并行計算系統(tǒng)安全通信策略研究［J］.吉林大學(xué)學(xué)報：信息科學(xué)版，2011，29(5)：481-483.

DONG Yanhua，LIXiaojia，ZHANG Ye.Research on Security Telecommunication of MPICH Parallel Compution System［J］.Journal of Jilin University：Information Science Edition，2011，29(5)：481-483.

Web-Based Wireless Network Coverage of Security Certification

DONG Yanhua，BINa，ZENG Xuan，LIXiaojia，Lü Kai

(College of Computer，Jilin Normal University，Siping 136000，China)

In order to achieve the flexibility for relative cable network and the inexpensiveness for 3G/4Gmobile network，contenting to the urgent needs of the wireless network coveraging to the enterprises and units，we carry out the comparison research，give the implement under different conditions for the WiFi(Wireless Fidelity)coverage.To improve the security of wireless coverage systems，we carry out a scheme for the wireless WiFi coverage and offer to the concrete implementationmethod system based on Webmandatory safety certification.It provides theoretical reference and technical support for a wide range of wireless WiFi coverage，and offers practical，efficient and safe wireless coverage solutions，it also provides implement support for small business institutions.

wireless repeater;wireless fidelity(WiFi)coverage;mandatory certification

TP393

A

1671-5896(2014)03-0298-05

2013-12-16

吉林省發(fā)展計劃基金資助項目(20130101179JC;201105083);吉林省公共計算平臺基金資助項目(20130101179JC-17)

董延華(1971— )，男，吉林扶余人，吉林師范大學(xué)副教授，主要從事信息處理研究，(Tel)86-15694348686(E-mail)Yunpengdong@gmail.com。

劉俏亮)