文/王雁軍

基于開源軟件打造無(wú)感知認(rèn)證無(wú)線網(wǎng)

文/王雁軍

隨著通訊技術(shù)的飛速發(fā)展以及筆記本、IPad、手機(jī)等智能移動(dòng)終端的普及，校園網(wǎng)用戶對(duì)無(wú)線網(wǎng)的使用需求越來(lái)越強(qiáng)烈。為了給廣大用戶提供基于移動(dòng)信息服務(wù)的學(xué)習(xí)、生活環(huán)境，學(xué)校加大了校園無(wú)線網(wǎng)的建設(shè)力度，實(shí)現(xiàn)了教學(xué)、辦公、生活區(qū)域的無(wú)線網(wǎng)全覆蓋，校園無(wú)線網(wǎng)擴(kuò)建的同時(shí)在線用戶數(shù)也呈現(xiàn)出爆發(fā)式的增長(zhǎng)。

出于校園網(wǎng)安全保障的考慮，學(xué)校對(duì)校園無(wú)線網(wǎng)采取了準(zhǔn)入認(rèn)證模式，但是由于無(wú)線覆蓋區(qū)域廣，覆蓋樓宇相對(duì)獨(dú)立而且用戶數(shù)量龐大，無(wú)線網(wǎng)建設(shè)過(guò)程中采取了分區(qū)域建設(shè)的原則，這就為統(tǒng)一管理、統(tǒng)一認(rèn)證，帶來(lái)了難度。

傳統(tǒng)的準(zhǔn)入認(rèn)證方式

基于Web Portal的準(zhǔn)入認(rèn)證

目前比較常用的校園無(wú)線網(wǎng)認(rèn)證模式是采用Web Portal的認(rèn)證方式，該方式用戶終端無(wú)需安裝客戶端，兼容性較好。Web Portal認(rèn)證的原理如圖1所示，未認(rèn)證用戶訪問(wèn)網(wǎng)絡(luò)時(shí)，HTTP請(qǐng)求會(huì)被重新定向到Portal Server的認(rèn)證界面，用戶手動(dòng)輸入認(rèn)證信息后，由接入控制服務(wù)與AAA認(rèn)證服務(wù)器通過(guò)Radius協(xié)議進(jìn)行通信，用戶信息正確，則通過(guò)認(rèn)證，否則就拒絕登錄。

Web Portal認(rèn)證遇到的問(wèn)題

圖1 Web Portal認(rèn)證流程

Web Portal認(rèn)證雖然具有良好的兼容性，但其缺點(diǎn)也很明顯。用戶每次接入都需要進(jìn)行登錄認(rèn)證，對(duì)手機(jī)、智能平板等屏幕較小、輸入不方便的終端設(shè)備的易用性不高，尤其是帶有休眠或鎖屏斷網(wǎng)功能的手機(jī)，需要頻繁地登錄認(rèn)證，非常繁瑣。另外，由于校內(nèi)不同區(qū)域的無(wú)線網(wǎng)由不同的無(wú)線控制器管理，跨區(qū)域漫游也會(huì)要求重復(fù)認(rèn)證，影響了用戶的體驗(yàn)效果。

校園無(wú)線網(wǎng)無(wú)感知認(rèn)證方式

無(wú)感知認(rèn)證模式

隨著接入認(rèn)證技術(shù)的發(fā)展，無(wú)感知認(rèn)證作為一種全新的具有良好用戶體驗(yàn)的認(rèn)證方式，有非常廣闊的應(yīng)用前景。無(wú)感知認(rèn)證，是指用戶首次成功登錄后，系統(tǒng)自動(dòng)關(guān)聯(lián)用戶賬號(hào)與終端信息，當(dāng)用戶再次登錄時(shí)自動(dòng)識(shí)別身份提供服務(wù)的認(rèn)證方式。

實(shí)現(xiàn)原理

在校園內(nèi)，用戶之間對(duì)智能設(shè)備的使用能力和應(yīng)用水平差異較大，這就對(duì)無(wú)線接入認(rèn)證方式的易用性和便捷性提出了較高的要求。無(wú)論是PC、筆記本還是移動(dòng)終端，通訊都是基于MAC地址實(shí)現(xiàn)的，如果對(duì)接入終端的MAC進(jìn)行認(rèn)證，可以在用戶較少的操作下實(shí)現(xiàn)接入認(rèn)證。具體認(rèn)證的流程如下：用戶首次登錄，自動(dòng)彈出認(rèn)證界面，用戶輸入認(rèn)證信息并且選擇是否綁定設(shè)備；用戶再次登錄時(shí)，系統(tǒng)自動(dòng)判斷用戶是否已經(jīng)進(jìn)行綁定，若已經(jīng)綁定，則自動(dòng)登錄；若未綁定，則彈出認(rèn)證界面。使用無(wú)感知認(rèn)證后，終端無(wú)需安裝客戶端程序即可實(shí)現(xiàn)自動(dòng)登錄，認(rèn)證過(guò)程對(duì)用戶透明，具有良好的兼容性，另外也可以有效地解決用戶在跨AC漫游時(shí)重復(fù)彈出認(rèn)證界面的困擾。

圖2 無(wú)線網(wǎng)無(wú)感知認(rèn)證示意流程

圖3 用戶首次登陸認(rèn)證界面

基于開源軟件的無(wú)感知認(rèn)證實(shí)現(xiàn)

要實(shí)現(xiàn)上述的校園網(wǎng)無(wú)感知認(rèn)證功能，主要是對(duì)Radius協(xié)議認(rèn)證部分進(jìn)行更改，實(shí)現(xiàn)用戶信息與終端MAC地址的綁定。本文采用開源軟件TinyRadius來(lái)實(shí)現(xiàn)需求功能。TinyRadius是基于Java語(yǔ)言實(shí)現(xiàn)的簡(jiǎn)單、小巧、強(qiáng)大的Radius類庫(kù)，能夠非常方便的實(shí)現(xiàn)在應(yīng)用程序中發(fā)送和接收所有類型Radius數(shù)據(jù)包的功能，同時(shí)還支持PAP和CHAP認(rèn)證類型。

實(shí)現(xiàn)本文所述無(wú)線網(wǎng)無(wú)感知認(rèn)證的流程如圖2所示，當(dāng)移動(dòng)終端A發(fā)起網(wǎng)絡(luò)連接請(qǐng)求后，由無(wú)線控制器利用終端的MAC地址與Radius認(rèn)證程序進(jìn)行數(shù)據(jù)交互，若Raidus認(rèn)證程序在數(shù)據(jù)服務(wù)器中查到終端的綁定信息，則返回登錄成功包給無(wú)線控制器，并且在數(shù)據(jù)服務(wù)器中記錄本次登錄信息；若Radius認(rèn)證程序沒(méi)有找到終端的綁定信息，則向無(wú)線控制器返回登錄失敗包，無(wú)線控制器將終端的請(qǐng)求重定向到Portal服務(wù)器，發(fā)起Portal認(rèn)證流程，用戶輸入用戶名和密碼后再由無(wú)線控制器向Radius認(rèn)證程序發(fā)起認(rèn)證，Radius認(rèn)證程序?qū)邮盏降男畔⑦M(jìn)行認(rèn)證，并且對(duì)登錄成功的終端進(jìn)行綁定。

在認(rèn)證實(shí)現(xiàn)過(guò)程中，用戶名、密碼、登錄IP地址、終端MAC地址等是最重要的屬性，我們通過(guò)TinyRadius中提供的方法可以非常容易獲取到，示例代碼如下：

//構(gòu)造Radius包AccessRequest方法

AccessRequest accessRequest = new AccessRequest ();

//獲取登錄用戶名

String userName = accessRequest.getUserName();

//獲取登錄密碼

String password = accessRequest.getUserPassword();

//獲取登錄終端MAC

Stringlogin Mac=access Request. getAttributeValue("Calling-Station-Id");

//獲取登錄終端IP地址

String loginIP = accessRequest.getAttributeValue("Framed-IP-Address");

為了實(shí)現(xiàn)用戶自主選擇是否啟用無(wú)感知登錄的功能，我們擴(kuò)展了Radius協(xié)議的161屬性，當(dāng)屬性值為1時(shí)啟用無(wú)感知，當(dāng)屬性值為0時(shí)不啟用無(wú)感知，示例代碼如下：

int isNoPerception =

access Request.get Vendor Attribute(6339). getSubAttribute(161).getAttributeValue().toString();

If(isNoPerception==1){

//此處進(jìn)行無(wú)感知登錄處理

}else{

//此處進(jìn)行非感知登錄處理

}

運(yùn)行效果

校園無(wú)線網(wǎng)無(wú)感知認(rèn)證程序上線以來(lái)，得到了廣大用戶的認(rèn)可，上線首日綁定用戶數(shù)超過(guò)500人，上線一個(gè)月綁定用戶數(shù)達(dá)到4932人。圖3為用戶首次登錄時(shí)，彈出的認(rèn)證界面，用戶可以選擇輸入用戶密碼直接登錄，也可以勾選“下次免認(rèn)證”的選框，實(shí)現(xiàn)綁定終端登錄信息。

圖4是后臺(tái)監(jiān)控程序針對(duì)兩種登錄模式的日志信息，從后臺(tái)數(shù)據(jù)的統(tǒng)計(jì)中我們發(fā)現(xiàn)，使用無(wú)感知的人數(shù)占到了無(wú)線網(wǎng)用戶數(shù)的98%。

圖4 后臺(tái)監(jiān)控：無(wú)感知登錄

總結(jié)與體會(huì)

實(shí)現(xiàn)了跨區(qū)域漫游認(rèn)證

校園網(wǎng)無(wú)線網(wǎng)使用呈現(xiàn)出集中爆發(fā)式，大量用戶在同一段時(shí)間段、同一區(qū)域進(jìn)行集中登錄。8:30至10:30以教學(xué)區(qū)用戶最為集中，18:00至21:00以宿舍區(qū)最為集中，平均每分鐘認(rèn)證用戶數(shù)超過(guò)500人，智能手機(jī)占到了90%，龐大的用戶群體，每天在宿舍區(qū)與教學(xué)區(qū)之間遷移，對(duì)認(rèn)證服務(wù)器形成了沖擊，以往使用Web Portal認(rèn)證時(shí)，經(jīng)常會(huì)由于瞬間并發(fā)太大出現(xiàn)服務(wù)響應(yīng)較慢的情況，用戶體驗(yàn)較差。在實(shí)現(xiàn)無(wú)感知認(rèn)證后，實(shí)現(xiàn)了全網(wǎng)漫游認(rèn)證，用戶無(wú)論移動(dòng)到哪里，手機(jī)加入無(wú)線熱點(diǎn)時(shí)，自動(dòng)登錄認(rèn)證，由于Radius處理程序性能遠(yuǎn)遠(yuǎn)高于Portal認(rèn)證性能，用戶幾乎很少出現(xiàn)登錄不成功的情況。

實(shí)現(xiàn)了跨品牌漫游認(rèn)證

在以往的校園無(wú)線網(wǎng)建設(shè)過(guò)程中，為了保證技術(shù)方案的統(tǒng)一性和用戶使用習(xí)慣的相似性，經(jīng)常使用同一品牌的無(wú)線解決方案，這就對(duì)校園無(wú)線網(wǎng)的擴(kuò)容形成了一定的局限性，在利用開源軟件實(shí)現(xiàn)無(wú)感知認(rèn)證后，認(rèn)證功能轉(zhuǎn)移到Radius服務(wù)器上，實(shí)現(xiàn)了自主管控，從而擺脫了對(duì)品牌的依賴性，可以構(gòu)建多品牌兼容的、具有統(tǒng)一應(yīng)用效果的校園無(wú)線網(wǎng)生態(tài)系統(tǒng)。

使用需求與管理需求一并解決

在校園網(wǎng)環(huán)境中，用戶的使用需求與管理的需求一直對(duì)立存在，用戶希望越來(lái)越簡(jiǎn)單，越來(lái)越開放，而管理卻要求越來(lái)越安全，越來(lái)越精細(xì)。這種對(duì)立在無(wú)線網(wǎng)中體現(xiàn)的更加明顯，無(wú)線網(wǎng)的優(yōu)勢(shì)是不受地域、環(huán)境的限制，可以隨時(shí)隨地的接入網(wǎng)絡(luò)，而校園網(wǎng)環(huán)境中眾多的內(nèi)部資源、私有數(shù)據(jù)又迫使管理者不得不對(duì)接入的終端進(jìn)行細(xì)致的管控，無(wú)線網(wǎng)實(shí)現(xiàn)了統(tǒng)一的無(wú)感知認(rèn)證后，雖然對(duì)用戶來(lái)說(shuō)上網(wǎng)的行為變得非常簡(jiǎn)單，甚至感覺(jué)不到認(rèn)證過(guò)程，但是對(duì)管理者來(lái)說(shuō)，哪個(gè)用戶接入了，從哪里接入的都是清清楚楚，這就既滿足了使用者對(duì)于簡(jiǎn)單、開放的需求，又讓管理者可以精細(xì)地了解網(wǎng)絡(luò)運(yùn)行的狀況，保障了內(nèi)網(wǎng)環(huán)境的完全。

（作者單位為北京林業(yè)大學(xué)信息中心）