摘 要：隨著校園各類信息資源的不斷豐富，以及一些云服務(wù)類的系統(tǒng)在一些校園內(nèi)的引入和應(yīng)用，無線網(wǎng)絡(luò)的設(shè)計(jì)就逐漸成為了實(shí)現(xiàn)全面建設(shè)數(shù)字化校園過程中的一項(xiàng)重要內(nèi)容。而在無線網(wǎng)絡(luò)的組建過程中網(wǎng)絡(luò)的安全設(shè)計(jì)是不容忽視的，在本文中作者主要結(jié)合本身實(shí)踐對基于Portal認(rèn)證的校園WLAN安全設(shè)計(jì)及應(yīng)用進(jìn)行了探究。

關(guān)鍵詞：Portal認(rèn)證；校園WLAN；安全設(shè)計(jì)；應(yīng)用

中圖分類號(hào)：TN925.93

信息資源的不斷的擴(kuò)充、網(wǎng)絡(luò)接入用戶的不斷增多、各類WEB應(yīng)用系統(tǒng)等在校園內(nèi)的應(yīng)用給校園內(nèi)網(wǎng)絡(luò)管理以及網(wǎng)絡(luò)安全都帶來很大問題。而最近幾年來在校園內(nèi)因?yàn)閃LAN方面的應(yīng)用越來越多，更加劇了校園網(wǎng)帶寬、網(wǎng)絡(luò)安全管理等方面的壓力。在這樣的背景下，如果還是采取簡單身份認(rèn)證的方式設(shè)計(jì)WLAN的接入是很難從根本上改善網(wǎng)絡(luò)資源浪費(fèi)、缺乏有效安全管理、管理壓力巨大等諸多問題[1]。 而用戶端準(zhǔn)入機(jī)制的介入?yún)s恰恰在某種程度上緩解了目前校校園WLAN建設(shè)與運(yùn)行中的這些問題，而Portal技術(shù)作為用戶端點(diǎn)準(zhǔn)入系統(tǒng)中的一個(gè)重要組成部分， 在基于Portal認(rèn)證的校園網(wǎng)WLAN中用戶端點(diǎn)準(zhǔn)入系統(tǒng)以用戶身份檢查和相關(guān)策略檢查的方式阻斷非法登錄，這樣一來在終端安全得到了有效保證的同時(shí)校園網(wǎng)本身的安全也得到了很大程度上的保證。

1 802.1X以及Web Portal認(rèn)證

在WLAN安全設(shè)計(jì)領(lǐng)域在用戶端點(diǎn)準(zhǔn)入方面的控制系統(tǒng)一般都是基于802. 1x 協(xié)議的，而W eb Portal技術(shù)則作為其輔助和補(bǔ)充，以達(dá)到網(wǎng)絡(luò)安全管理中用戶準(zhǔn)入的控制[2]。

1.1 802.1X 協(xié)議的主要認(rèn)證流程

終端接入用戶將自己的IP地址配置為動(dòng)態(tài)獲取，該地址由DHCP服務(wù)器的地址池所提供，在終端接入到網(wǎng)絡(luò)后其會(huì)得到一個(gè)私有的IP地址；有了這個(gè)私有的IP地址之后，實(shí)際上此時(shí)終端用戶是可以獲取有限的網(wǎng)絡(luò)資源的—以私有IP訪問W eb Porta服務(wù)器，從Web Portal服務(wù)器下載認(rèn)證軟件，并輸入認(rèn)證信息、提交發(fā)送認(rèn)證信息[3]。認(rèn)證服務(wù)器在檢驗(yàn)了認(rèn)證信息的合法性之后，將相關(guān)的認(rèn)證信息發(fā)送給回應(yīng)接入交換機(jī)的報(bào)文中。接入交換機(jī)收到報(bào)文信息后， 利用DHCP Relay 功能，發(fā)送一個(gè)DHCP請求報(bào)文給DHCP服務(wù)器。而DHCP服務(wù)器在收到該請求后， 會(huì)根據(jù)具體的權(quán)限值與DHCP地址池的對應(yīng)關(guān)系分配公有的IP地址給接入交換機(jī)，，并由接入交換機(jī)將其轉(zhuǎn)送給用戶，完成這些之后相應(yīng)的邏輯業(yè)務(wù)端口是會(huì)被打開的[4]，這樣一來終端用戶就獲得了有訪問相關(guān)網(wǎng)絡(luò)資源權(quán)限的IP地址實(shí)施網(wǎng)絡(luò)資源的共享和獲取了。

1.2 基于Portal的WLAN安全設(shè)計(jì)以及應(yīng)用

在無線網(wǎng)絡(luò)的安全管理中認(rèn)證管理中，Web Portal因?yàn)槠涫褂梅奖愕确矫娴脑蚴蛊涑蔀榱诵@網(wǎng)認(rèn)證中不可或缺的重要補(bǔ)充手段[5]。在具體的設(shè)計(jì)方面，Portl認(rèn)證的運(yùn)行主要是依靠DHCP、Portal、AAA以及 BAS服務(wù)器的相互配合，具體結(jié)構(gòu)如下圖1所示：

在用戶終端啟動(dòng)后，用戶的操作系統(tǒng)將會(huì)向DHCP服務(wù)器請求并經(jīng)過BAS轉(zhuǎn)化為DHCP-Relay，以此獲取可用的IP地址，負(fù)責(zé)BAS的設(shè)備根據(jù)分配的IP地址以及主機(jī)的MAC 地址、端口號(hào)等信息生成表項(xiàng)信息以此建立ACL策略。通過這樣的機(jī)制用戶端僅僅局限于訪問Portal、DNS等一些內(nèi)部服務(wù)器[6]。用戶打開瀏覽器后一般即可登錄Portal服務(wù)器，服務(wù)器為用戶提供登陸的web頁面（主要通過BAS設(shè)備確認(rèn)用戶端是否登錄），用戶在頁面輸入輸用戶名、密碼，并將用戶表單中的用戶名、密碼以及用戶主機(jī)的IP地址傳送給BAS設(shè)備；該設(shè)備在通過IP地址的形式驗(yàn)證用戶，如果該用戶是屬于合法的并且屬于未認(rèn)證的用戶， 則將用戶名、密碼等數(shù)據(jù)傳送給AAA服務(wù)器進(jìn)行下一步的認(rèn)證。認(rèn)證成功后，BAS設(shè)備接收確認(rèn)結(jié)果并修改ACL策略（僅限于該用戶），完成這些步驟后，正常情況下用戶就可以接入網(wǎng)絡(luò)享受WLAN上網(wǎng)服務(wù)了。

2 基于Portal認(rèn)證的校園WLAN 安全應(yīng)用價(jià)值

校園網(wǎng)一般上其結(jié)構(gòu)都是比較復(fù)雜的，ARP攻擊、偽DHCP服務(wù)器接入等不安全因素是隨時(shí)存在并可能發(fā)生的[7]。加上WLAN是屬于開放性接入的，網(wǎng)絡(luò)安全隱患更為嚴(yán)重，因此在實(shí)際的工作中，我們可以在基于Portal認(rèn)證的基礎(chǔ)上實(shí)現(xiàn)多種WLAN上網(wǎng)的安全管理和控制：

2.1 實(shí)現(xiàn)用戶的跟蹤

在用戶端使用賬號(hào)進(jìn)行認(rèn)證登陸后實(shí)際上Portal服務(wù)器設(shè)備的后臺(tái)是會(huì)記錄該用戶其上網(wǎng)的時(shí)間、線路的，結(jié)合流控、抓包工具和設(shè)備等在發(fā)現(xiàn)上網(wǎng)異常行為后可以鎖定用戶所在的地點(diǎn)并限制該用戶的登錄。

2.2 非法地址的過濾

認(rèn)證服務(wù)搭建成功后，可以對BRAS、AP設(shè)備等進(jìn)行配置，以此實(shí)現(xiàn)對對internet上外線路由指向AP的IP地址訪問請求進(jìn)行過濾。AP設(shè)備上，可以只設(shè)置對網(wǎng)管IP 地址的回應(yīng)進(jìn)而丟非法IP地址的訪問。這樣網(wǎng)管就可以實(shí)現(xiàn)對WLAN的AP的訪問，而對于AP而言其僅僅只是對網(wǎng)管服務(wù)器進(jìn)行回應(yīng)，減少了AP請求與回應(yīng)信息帶來的不安全因素[8]。

2.3 更好的數(shù)據(jù)的隔離

通過認(rèn)證服務(wù)的介入，完全可以實(shí)現(xiàn)校園WLAN工作數(shù)據(jù)信息與網(wǎng)絡(luò)管理信息數(shù)據(jù)之間的隔離。這樣就有效的預(yù)防了網(wǎng)管系統(tǒng)受惡意攻擊、修改的問題。實(shí)現(xiàn)這樣的配置方法有很多，可以考慮采用AP Trunk上聯(lián)雙VLAN的方式，不同的VLAN負(fù)責(zé)不同的數(shù)據(jù)信息交換（業(yè)務(wù)數(shù)據(jù)信息的交換和管理數(shù)據(jù)信息的傳送、接收）。

對于校園網(wǎng)中的Portal認(rèn)證而言，作為一種應(yīng)用層上的協(xié)議，其在實(shí)現(xiàn)WLAN用戶安全認(rèn)證的過程中其利用自帶的重傳機(jī)制很好的保證了暢通、快速的無線網(wǎng)絡(luò)登錄與共享服務(wù)，同時(shí)其認(rèn)證過程的體驗(yàn)也是比較好的，因此，目前基于Portal認(rèn)證的WLAN安全設(shè)計(jì)與應(yīng)用都是比較普遍的。該無線網(wǎng)接入方式具備了低投資高回報(bào)的特點(diǎn)，可以很好的滿足實(shí)際的管理需要，保證了校園網(wǎng)和校園WLAN的可持續(xù)性運(yùn)行。

參考文獻(xiàn)：

[1]董兆殷.基于Portal認(rèn)證的校園WLAN安全設(shè)計(jì)及應(yīng)用[J].中國新技術(shù)新產(chǎn)品，2010（11）：20.

[2]黃榮.基于802.1x和WebPortal認(rèn)證技術(shù)的校園網(wǎng)用戶端點(diǎn)準(zhǔn)入控制系統(tǒng)的設(shè)計(jì)及應(yīng)用[J].福州大學(xué)學(xué)報(bào)（自然科學(xué)版），2008（05）：673-676.

[3]譚榮藝.高校校園無線網(wǎng)絡(luò)的構(gòu)建和應(yīng)用[D].華南理工大學(xué)，2012.

[4]劉人源.集中式WLAN架構(gòu)下802.1X認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].華南理工大學(xué)，2012.

[5]關(guān)則洛.集中式WLAN系統(tǒng)AP與STA接入的設(shè)計(jì)與實(shí)現(xiàn)[D].華南理工大學(xué)，2013.

[6]劉蕓華.Portal和WebServices的企業(yè)協(xié)同辦公系統(tǒng)的構(gòu)建[D].山東大學(xué)，2013.

[7]盧暢.Portal認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].華中科技大學(xué)，2013.

[8]秦文勝，辛繼勝.基于Portal認(rèn)證的電信寬帶接入在校園網(wǎng)中的應(yīng)用[J].中國教育信息化，2011（21）：79-80.

作者簡介：杭中士（1981.10-），男，江蘇揚(yáng)州人，科長，講師，工程碩士，研究方向：計(jì)算機(jī)應(yīng)用技術(shù)。

作者單位：揚(yáng)州高等職業(yè)技術(shù)學(xué)校，江蘇揚(yáng)州 225003