張東升，張寶軍，阮一凡

（1.中國鐵道科學研究院 鐵道科學技術(shù)研究發(fā)展中心，北京 100081；2.中國鐵道科學研究院 標準計量研究所，北京 100081）

隨著無線移動技術(shù)的不斷進步，特別是移動終端的迅猛發(fā)展，無線局域網(wǎng)（W LAN）應用日趨普及，機場、商場、酒店等各種公共場所都提供了WLAN服務(wù)，很多單位和家庭也都搭建了自己的移動熱點，提供無線上網(wǎng)服務(wù)。這些服務(wù)大多只提供了較簡單的認證加密方式，存在一定安全風險。企業(yè)WLAN不同于社會公共無線服務(wù)網(wǎng)絡(luò)，它是一個較封閉的、必須確保企業(yè)內(nèi)部數(shù)據(jù)安全的服務(wù)支撐網(wǎng)絡(luò)。這就需要從企業(yè)對W LAN的特殊需求入手，對網(wǎng)絡(luò)架構(gòu)、認證方式和抗干擾措施等方面加以研究，得出適合企業(yè)專用的WLAN解決方案。

1 企業(yè)WLAN特點

1.1 業(yè)務(wù)安全性

信息社會企業(yè)數(shù)據(jù)安全關(guān)系到企業(yè)的生命，每個企業(yè)都有自己的核心數(shù)據(jù)和內(nèi)部資源，例如辦公系統(tǒng)、資產(chǎn)管理系統(tǒng)、人事系統(tǒng)等，只提供企業(yè)內(nèi)部員工訪問，不提供對外服務(wù)，有封閉性的特點。如何保護自己的這些數(shù)據(jù)和資源，是企業(yè)構(gòu)建專用WLAN中非常重要的環(huán)節(jié)。

企業(yè)W LAN安全性管理主要涉及2個環(huán)節(jié)，（1）網(wǎng)絡(luò)出口管理，主要體現(xiàn)在邊界網(wǎng)關(guān)，對于出入數(shù)據(jù)的安全控制；（2）用戶私建熱點的影響，隨著無線路由器的大量普及，企業(yè)內(nèi)部個人私建熱點不可避免，如何有效杜絕其造成的安全隱患，也是需要研究的問題。

1.2 穩(wěn)定與高效

作為服務(wù)支撐網(wǎng)絡(luò)，企業(yè)WLAN應穩(wěn)定高效，提高工作生產(chǎn)效率。企業(yè)W LAN作為有線網(wǎng)絡(luò)的延伸，應提供與有線網(wǎng)絡(luò)相當?shù)姆?wù)等級，不應在無線接入環(huán)節(jié)產(chǎn)生瓶頸，特別是在大數(shù)據(jù)傳輸、視頻會議、網(wǎng)絡(luò)教學課堂等環(huán)節(jié)要保證無線接入帶寬要求。工作期間的企業(yè)網(wǎng)絡(luò)應用相對集中，需要平衡無線網(wǎng)絡(luò)負荷，分散網(wǎng)絡(luò)接入需求。

無線網(wǎng)絡(luò)應用環(huán)境復雜，多徑傳輸及網(wǎng)絡(luò)時延都會影響無線接入服務(wù)質(zhì)量，特別是W LAN技術(shù)及產(chǎn)品都是針對公眾開放的2.4 G和5 G民用頻段，因此無論是同頻干擾還是鄰頻干擾都將在用戶端產(chǎn)生網(wǎng)絡(luò)不穩(wěn)定、經(jīng)常掉線、網(wǎng)絡(luò)接入慢甚至無法提供網(wǎng)絡(luò)服務(wù)等各種無線接入服務(wù)體驗。

1.3 可溯源性

在當前的社會安全形勢下，企業(yè)網(wǎng)絡(luò)不能獨善其身。在有線網(wǎng)絡(luò)監(jiān)控技術(shù)手段日臻完善的前提下，空口接入的隨意性要求無線網(wǎng)絡(luò)服務(wù)更需要處于可溯源的可控范圍內(nèi)。特別是企業(yè)數(shù)據(jù)信息泄密及員工互聯(lián)網(wǎng)絡(luò)非法使用都是企業(yè)W LAN需要特別關(guān)注的問題，無論對于防范于未然還是調(diào)查取證，網(wǎng)絡(luò)日志都成為必不可少的安全環(huán)節(jié)。

2 組網(wǎng)方案

W LAN基本框架由AC（無線控制器）、AP和POE（以太網(wǎng)供電）交換機組成。AP通過AC實現(xiàn)集中管理和自動配置，POE交換機為AP供電。此外，提供驗證、授權(quán)和記賬服務(wù)的Radius（遠程身份驗證撥號服務(wù)）服務(wù)器、負責AP和移動客戶終端IP地址分配的DHCP（動態(tài)主機配置協(xié)議）服務(wù)器和負責直觀查看系統(tǒng)使用情況與告警狀況的網(wǎng)管系統(tǒng)必不可少。

建設(shè)企業(yè)專用W LAN，還需在網(wǎng)絡(luò)邊界布置硬件防火墻，配置安全策略、訪問控制列表、病毒防護等功能，提高安全性；配置網(wǎng)關(guān)認證設(shè)備，綁定IP地址和網(wǎng)卡MAC地址，強調(diào)唯一性；部署日志服務(wù)器，記錄員工的歷史訪問記錄，解決可溯源需求；添加證書管理系統(tǒng)，實現(xiàn)安全性更高的認證與加密管理。網(wǎng)絡(luò)拓撲圖如圖1所示。

圖1 企業(yè)專用WLAN網(wǎng)絡(luò)拓撲圖

3 系統(tǒng)原理及關(guān)鍵技術(shù)

3.1 系統(tǒng)原理

系統(tǒng)上電后，AP首先需要自動獲取網(wǎng)絡(luò)信息。通過DHCP服務(wù)器，可以得到AC、AP、網(wǎng)關(guān)和DNS（域名服務(wù)）的IP地址信息。獲得AC的IP地址后，AP向AC發(fā)送發(fā)現(xiàn)請求，AC收到后檢查該AP是否有接入權(quán)限，如果有則發(fā)送發(fā)現(xiàn)響應給AP。AP收到后，即可與AC建立隧道連接。

由于AP和AC是采用隧道模式傳輸數(shù)據(jù)，網(wǎng)絡(luò)中的交換機并不對用戶的數(shù)據(jù)進行處理，數(shù)據(jù)報文的解封和轉(zhuǎn)發(fā)均在AC中進行，所以只需在AC和核心交換機上為AP創(chuàng)建一個VLAN，其它接入交換機上不用添加該VLAN。

AP首次與AC建立隧道后，AC會將無線業(yè)務(wù)參數(shù)、射頻參數(shù)和軟件版本等配置信息下發(fā)至AP，完成AP與AC的連接建立過程。

3.2 無線認證方式

通過建立多個不同SSID（服務(wù)集標識）服務(wù)，分別采取不同認證方式的辦法，來解決企業(yè)專用W LAN認證時的安全性需求。訪問含有企業(yè)核心數(shù)據(jù)和內(nèi)部資源的網(wǎng)絡(luò)，可以采用高安全級別的EAP-TLS（傳輸層安全的擴展認證協(xié)議）的認證方式，為員工配置含有數(shù)字證書的USBKEY（USB接口的鑰匙）。非重要網(wǎng)絡(luò)可以采用低安全級別的Web Portal（網(wǎng)絡(luò)入口）的認證方式。2個網(wǎng)絡(luò)之間通過設(shè)置實現(xiàn)互不訪問，邏輯隔離。

3.2.1 EAP-TLS認證

EAP即擴展認證協(xié)議，是一個使用非常普遍的認證框架，常被用于W LAN連接中。EAP 支持多種認證方法，其中EAP-TLS由于其基于證書的雙向認證功能，被認為是最安全的EAP標準，可為接入的客戶端提供極高的安全保障。

USBKEY是一個硬件設(shè)備，內(nèi)含CPU和安全存儲空間，可以實現(xiàn)加密、解密和簽名的各種算法，存儲數(shù)字證書和密鑰的數(shù)據(jù)。USBKEY是在硬件內(nèi)部進行計算，密鑰不出現(xiàn)在計算機內(nèi)存中，避免了被盜取的可能性。

USBKEY里面除了包含自身的序列號，還有員工的數(shù)字證書和與這個證書對應的私鑰。數(shù)字證書主要是由員工的公鑰和CA（證書頒發(fā)機構(gòu)）對該證書的簽名組成，還有算法、頒發(fā)者和有效期等其它信息。私鑰一般設(shè)置為不可導出，保證了USBKEY使用者的唯一性。

數(shù)字證書有根證書、客戶端證書和服務(wù)器證書等多種形式。在W LAN中，USBKEY里的數(shù)字證書和Radius服務(wù)器上的服務(wù)器證書，最好是同一個CA頒發(fā)的，相互認證時可以信任。

EAP-TLS認證方式的基本業(yè)務(wù)流程是：

（1）移動客戶端插入含有證書和密鑰信息的USBKEY，攜帶合法的身份標識，如員工姓名等，向AP發(fā)出請求；

（2）AP收到該信息后，將數(shù)據(jù)封裝傳給AC，AC轉(zhuǎn)發(fā)給Radius服務(wù)器；

（3）Radius服務(wù)器驗證信息合法后，將自己的服務(wù)器證書發(fā)給客戶端；

（4）客戶端通過USBKEY內(nèi)的自身證書驗證該服務(wù)器證書的身份，如果可以信任，則向Radius服務(wù)器發(fā)送自己的數(shù)字證書；

（5）此時客戶端計算機上應彈出選擇證書的對話框，并要求輸入pin（個人識別）碼，因為客戶端需要私鑰才能將證書提取出來并發(fā)送出去；

（6）Radius服務(wù)器通過自身證書驗證客戶端證書的身份，如果可以信任，則完成了EAP-TLS的雙向認證；

（7）認證成功后，Radius服務(wù)器向AC和AP發(fā)送允許客戶端接入的信息，從而完成客戶端接入企業(yè)專用W LAN的整個過程。EAP-TLS認證過程如圖2所示。

圖2 EAP-TLS認證過程

3.2.2 Web Portal認證

Web Portal認證的基本業(yè)務(wù)流程是：

（1）客戶端直接通過DHCP協(xié)議就可獲取IP地址，無需任何認證即可接入到網(wǎng)絡(luò)里；

（2）但此時客戶端因為AC訪問控制列表控制，并不能通過W LAN訪問其它資源，在認證通過前只能訪問Portal服務(wù)器的IP地址；

（3）在客戶端會自動彈出Portal服務(wù)器的登錄界面，只要輸入用戶名和密碼并提交，就會被Web客戶端上傳至Portal服務(wù)器；

（4）Po rtal服務(wù)器從內(nèi)部數(shù)據(jù)庫查找并驗證該用戶數(shù)據(jù)的合法性，實現(xiàn)用戶的認證和上線過程。

Portal認證的優(yōu)點是不需要特殊的客戶端軟件，只需通過W eb瀏覽器即可實現(xiàn)，操作簡單。缺點是只要用戶名和密碼即可完成認證，安全性低。

3.3 反制Rogue（欺騙）AP

如何解決企業(yè)防干擾的需求，比較理想的辦法就是反制Rogue AP，通過反干擾使其功能失效。

通過RF信號檢測到的干擾AP，可以分為以下3種類別：Rogue AP、Suspect AP（懷疑AP）和Neighbor AP（鄰居AP）。Rogue AP就是需要反制的AP，它的判定規(guī)則可以管理者自己定義，例如冒充企業(yè)正常SSID的AP；未經(jīng)允許就私自接入企業(yè)網(wǎng)絡(luò)里的AP；起用Ad Hoc（點對點）模式的無線終端等，都可以設(shè)定為Rogue AP。Neighbor AP即信任AP，不會被反制。Suspect AP是未知的AP或者還沒有被分類的AP，可以通過手動添加變成Rogue AP或Neighbor AP。

反制的基本業(yè)務(wù)流程是：

（1）首先在AC中配置反制規(guī)則；

（2）AP開始掃描所有信道并把接收到的信息數(shù)據(jù)傳給AC。這些信息數(shù)據(jù)包括BSSID（基本服務(wù)集標識）、設(shè)備類型、信道、RSSI（接收信號強度）、SSID等；

（3）AC根據(jù)預先制定的反制規(guī)則對設(shè)備分類，判斷其是否是Rogue AP并將結(jié)果回送給AP；

（4）AP根據(jù)判斷結(jié)果，冒充Rogue AP的信息數(shù)據(jù)，發(fā)送虛假的、解除認證的報文給正與之關(guān)聯(lián)的移動客戶端，通知其“下線”，如圖3所示；

（5）移動客戶端誤以為Rogue AP失去了可連接功能，達到了反制的效果。

圖3 反制技術(shù)效果示意圖

4 測試、維護和優(yōu)化

企業(yè)專用W LAN想具備穩(wěn)定性特點，需要后期的系統(tǒng)測試、故障維護和網(wǎng)絡(luò)優(yōu)化逐步完善。

4.1 系統(tǒng)測試

系統(tǒng)測試包括功能測試和性能測試。功能測試主要是檢測一些正常的連接和認證的功能。例如員工能否正常連接網(wǎng)絡(luò)SSID；能夠正常獲取IP地址；EAP-TLS認證時能否彈出選擇證書并輸入pin碼的提示界面；Web Portal認證前訪問任何網(wǎng)頁能否自動跳轉(zhuǎn)到Portal認證頁面，輸入用戶名密碼后是否能訪問網(wǎng)絡(luò)等。性能測試主要是檢測信號強度、信噪比、接入帶寬、時延和丟包率等性能指標。

4.2 故障維護

故障維護需要對整個系統(tǒng)的設(shè)備參數(shù)、軟硬件配置、無線接入過程和認證過程充分了解，才能分析和解決具體問題。例如客戶端連接不上網(wǎng)絡(luò)；連接后經(jīng)常掉線；無法通過認證；無法獲取IP地址；雖然能連接上網(wǎng)絡(luò)，但是速度很慢等諸多問題，都需要具體措施來解決。分析問題的思路包括：是否是個別現(xiàn)象；是否存在干擾源；信號強度是否穩(wěn)定；是否處在覆蓋邊緣；客戶端電腦是否配置正確；AC、AP、POE交換機等硬件設(shè)備是否正常運行等。

4.3 網(wǎng)絡(luò)優(yōu)化

客戶端和網(wǎng)絡(luò)的一些問題自身無法解決，需要進行網(wǎng)絡(luò)優(yōu)化。網(wǎng)絡(luò)優(yōu)化是對現(xiàn)有網(wǎng)絡(luò)的小幅度調(diào)整。例如通過調(diào)整AP的功率、信道、位置和天線朝向等手段，解決信號覆蓋和信號質(zhì)量的問題；單個AP在線用戶數(shù)量過多時，在無線接入的負載均衡功能無法解決的情況下，可通過減少單個AP的發(fā)射功率，增加AP數(shù)量的方式；可以建立只允許802.11 a/n終端訪問的5 G頻段SSID服務(wù)，供有條件的用戶選擇，避開干擾較多的2.4 G頻段；同頻干擾或鄰頻干擾時調(diào)整信道，及時找到并關(guān)閉干擾源等一系列網(wǎng)絡(luò)優(yōu)化手段。

5 結(jié)束語

安全高效是企業(yè)局域網(wǎng)的建設(shè)宗旨。通過使用EAP-TLS無線認證方式提高安全性；做好系統(tǒng)維護和網(wǎng)絡(luò)優(yōu)化，提高穩(wěn)定性；施加反制能力，增加抗干擾性；部署網(wǎng)管系統(tǒng)和日志服務(wù)器，增加可溯源性，由此基本形成了一個比較完善的企業(yè)專用W LAN解決方案。隨著W LAN技術(shù)的飛速發(fā)展，企業(yè)專用W LAN技術(shù)將不斷完善，為服務(wù)企業(yè)生產(chǎn)提供強大的業(yè)務(wù)支撐。

[1] 石 穎.基于EAP-TLS認證的無線網(wǎng)絡(luò)安全接入[J].計算機安全，2009（9）：26-30.

[2] 徐 剛.構(gòu)建安全無線環(huán)境，讓釣魚Wi-Fi無處藏身[J].信息通信技術(shù)，2013（4）：61-65.