張薔（西北農(nóng)林科技大學風景園林藝術學院 陜西楊凌 712100）

基于混合認證的實驗室無線接入方案

張薔（西北農(nóng)林科技大學風景園林藝術學院 陜西楊凌 712100）

無線網(wǎng)絡技術近年來發(fā)展迅速，已成為人們?nèi)粘Ｉ钪胁豢色@取的一部分。802.11ac的出現(xiàn)已將無線傳輸速率提升至1Gbps，其應用范圍更為寬廣，無線網(wǎng)接入安全和方式同時也遇到挑戰(zhàn)。本文將以無線網(wǎng)絡在實驗室的應用為場景，探討設計無線接入方案。其中包括無線網(wǎng)絡認證結構和方法，認證流程設計和實踐。

實驗室無線網(wǎng)絡；混合認證；接入技術；設計

無線網(wǎng)絡技術已經(jīng)歷了802.11a到802.11ac的階段，傳輸速率從最早的11M已發(fā)展到1G。傳輸頻段也由2.4G發(fā)展到2.4和5G兩個。實驗室中，計算機、移動終端和設備也都向無線網(wǎng)絡過渡，所承載的應用和數(shù)據(jù)日益龐大，越來越多的設備和終端都有接入無線網(wǎng)絡的需求，隨之而來的無線接入、安全問題日益突出。根據(jù)實驗室不同需求，在接入、認證、授權等方面需要根據(jù)特點進行設計和應用。

目前，在認證方面已有MAC、802.1X二層認證和PPPOE、portal三層認證方式，各有優(yōu)缺點。如果能靈活對不同設備、不同用戶采用多樣性的認證和管理方式，將全面提升無線網(wǎng)絡的安全和管理性。

一、需求分析

實驗室大體可分為兩類，一類是設備系統(tǒng)種類多，如常見的臺式電腦、筆記本電腦、移動平板和不常見檢測儀器，如服務器，嵌入式系統(tǒng)，模擬機等，系統(tǒng)則包括windows、linux、windows mobile、android、ios等。這是指實驗室功能特點。一類是人員種類多，是指在實驗室中工作的人種類多樣。如不同專業(yè)的學生，老師，研究員以及參觀學者等。

根據(jù)以上特點，我們可將實驗室中對無線網(wǎng)絡接入認證需求明確如下：

1.可兼容不同PC操作系統(tǒng)、不同嵌入式系統(tǒng)；

2.可兼容不同類型設備的認證入網(wǎng)，且保證安全性和管理性；

3.可提供多種認證模式，應用于不同場景；

4.可對接入網(wǎng)的無線設備統(tǒng)一管控；

二、解決方案

說到認證方案，首先是AAA協(xié)議。AAA是認證（Authentication）、授權（Authorization）和計費（Accounting）的簡稱，是網(wǎng)絡安全中進行訪問控制的一種安全管理機制，提供認證、授權和計費三種安全服務。AAA一般采用C/S（客戶端/服務器）模式，這種模式結構簡單、擴展性好，便于集中管理用戶信息。RADIUS協(xié)議就是在AAA框架下產(chǎn)生的認證協(xié)議。

本次設計方案將以RADIUS協(xié)議為核心，多種方式組合認證的思路進行設計和實現(xiàn)。

通過表1中對實驗室需求分類，規(guī)劃出相對應的認證方式。

綜合類實驗室一般為學生公共使用，使用人數(shù)多。實驗室本身配置有臺式電腦，也有人員攜帶筆記本電腦進入。有接入網(wǎng)絡需求。此類環(huán)境適合應用portal認證方式，入網(wǎng)時向終端推送認證頁面，頁面內(nèi)容包含實驗室注意事項和管理辦法，使用者填入用戶名和密碼后即可入網(wǎng)。

表1 實驗室類型

專業(yè)實驗室多為專業(yè)學科實驗室，一般配置有專業(yè)使用的儀器、設備和電腦。使用者相對固定，且有外部帶入電腦情況。此類環(huán)境適合應用MAC+多元或portal認證方式。其中，MAC+多元認證應用于儀器、設備；portal認證方式應用于電腦和手持移動終端。

教學實驗室一般為實驗課教室，每天固定時間內(nèi)有老師、學生出入。實驗室配置有臺式電腦，且有外帶電腦情況，同一時間內(nèi)入網(wǎng)需求量大。此類環(huán)境適合應用portal認證方式，但在認證并發(fā)量上有較高需求。

重點實驗室一般是各單位的核心實驗室，配置有各類貴重儀器、設備，有安全等級要求的電腦，不準攜帶電腦進出，管理嚴格，數(shù)據(jù)保密等級高。此類環(huán)境適合應用MAC+多元或portal認證方式，且SSID應為隱藏狀態(tài)。儀器設備類統(tǒng)一使用MAC+多元方式認證。PC和移動終端使用MAC+portal認證方式。所以入網(wǎng)設備需要在管理員處手工入網(wǎng)后才可。

針對以上入網(wǎng)認證方式方案設計，網(wǎng)絡拓撲結構如下：

從拓撲可以看出，整個認證構架符合AAA協(xié)議模式。無線控制器、RADIUS認證服務器和portal服務器旁掛于核心交換機。核心交換機啟用DHCP服務功能。在整個網(wǎng)絡中，無線AP負責發(fā)布SSID和終端接入，AC控制器負責管理AP和下發(fā)配置，核心交換機負責DHCP地址分配和數(shù)據(jù)交換，RADIUS認證服務器負責終端認證和授權，portal服務器負責推送認證頁面。通過各設備間功能分明的有效協(xié)助可實現(xiàn)同一網(wǎng)絡環(huán)境中多種認證方式的共存，以達到對不同終端不同系統(tǒng)的靈活接入和統(tǒng)一管控。

三、認證流程

認證流程設計可分為兩個部分，一個是MAC認證，另一個是portal認證。無操作系統(tǒng)的終端設備儀器則在管理端直接記錄MAC地址和端口后直接入網(wǎng)，其他電腦和移動終端使用portal認證，通過網(wǎng)頁消息推送可兼容所有操作系統(tǒng)。下面重點介紹終端認證入網(wǎng)過程。

1.儀器、設備入網(wǎng)認證

（1）儀器、設備入網(wǎng)需記錄MAC地址和多元信息。首先到管理員處登記，由管理員統(tǒng)一在管理后臺進行手工入網(wǎng)。

（2）管理員在準入授權界面審核待入網(wǎng)設備。通過記錄MAC地址后給其分配IP地址入網(wǎng)。

（3）入網(wǎng)后的儀器、設備還將上報多元信息（如：MAC地址+操作系統(tǒng)+生成廠商+SN號），并將多元信息和MAC地址共同組成認證列表記錄在RADIUS認證服務器中。

（4）由RADIUS認證服務器下發(fā)授權并開始審計。

至此，整個認證過程完畢，儀器、設備已入網(wǎng)。下次重新入網(wǎng)時RADIUS認證服務器將首先查詢MAC地址，匹配后分配對應的IP地址。通訊后在進行多元匹配認證，在完成MAC+多元認證后才完成整個認證過程。

2.電腦、移動終端入網(wǎng)認證

（1）終端在申請接入無線網(wǎng)后，由DHCP服務器分配一個在受限域的IP地址。portal服務器向終端推送認證頁面，要求用戶填入用戶名和密碼。

（2）RADIUS認證服務器獲取信息并與數(shù)據(jù)庫中的信息列表進行比對。如果該終端未注冊則由portal服務器返回提示頁面，如通過則將該IP劃入生產(chǎn)網(wǎng)絡域。

（3）由RADIUS認證服務器下發(fā)授權并開始審計。

電腦、移動終端的認證過程完畢。下次重新入網(wǎng)時將重復以上過程。

圖1 認證網(wǎng)絡拓撲

四、方案特點

該無線認證方案具有兩大特點：一是在同一個網(wǎng)絡環(huán)境中通過使用不同的SSID，滿足各類認證需求，網(wǎng)絡邏輯結構簡單，故障點少。二是通過多樣認證方式，達到兼容設備的網(wǎng)絡接入，既保證了用戶使用體驗，也保證無線網(wǎng)絡安全。使用MAC+多元認證方式，可以滿足多樣的設備種類，通過提取設備間網(wǎng)絡屬性的共性元素，將多種元素組合進行認證。

五、結論

通過對實驗室類型分析和歸納，對不同類型的實驗室設計對應的認證方式。讓儀器、設備、電腦和移動終端都能便捷接入網(wǎng)絡，同時提供授權和審計功能，為網(wǎng)絡安全提供保障。認證服務器采用RADIUS協(xié)議，其具備良好的兼容性和擴展性，對未來的系統(tǒng)升級和計費能無縫支持。

[1]王強、何才輝.高校開放型網(wǎng)絡實驗室的構建與實施[J].實驗技術與管理, 2007,24(8):138-141

[2]劉旭健.實驗室中無線網(wǎng)絡的組建與設計[J].電子設計工程,2014, (21):118-120

[3]林仙土.實驗室無線網(wǎng)絡的組建研究[J].信息通信, 2013, (4):116-117

[4]任偉.無線網(wǎng)絡安全問題初探[J].信息網(wǎng)絡安全,2012, (1):10-13

[5]傅揚、潘敏、史曉翠. WIFI網(wǎng)絡技術與安全問題分析[J].電腦編程技巧與維護, 2010, (18):121-122

[6]劉文杰、惠煌、薛強、孫偉峰.基于802.1X混合認證體系的無線網(wǎng)絡實驗研究[J].實驗技術與管理,2012, 29(10):89-92

[7]朱小明、林捷、張弘.高校網(wǎng)絡實驗室的建設與探討[J].實驗技術與管理, 2006, 23(10):67-68

[8]黃榮.基于802.1x和Web Portal認證技術的校園網(wǎng)用戶端點準入控制系統(tǒng)的設計及應用[J].福州大學學報:自然科學版,2008, 36(5):673-676

[9]崔藝馨、樊孝仁、張政、胡改蝶.基于Portal認證技術在校園WLAN組網(wǎng)中的應用實踐[J].電腦開發(fā)與應用,2015,(3):23-24

[10]任治洪.局域網(wǎng)Portal認證研究及應用[J].甘肅科技,2012,(12):25-27

[11]王斐、陳玲、陸建德.基于802.1x的無線園區(qū)網(wǎng)AAA系統(tǒng)的設計與實現(xiàn)[J].計算機技術與發(fā)展,2008, 18(10):143-147

[12]杜民.802.1x和web/portal認證協(xié)同打造校園網(wǎng)認證系統(tǒng)[N].山東商業(yè)職業(yè)技術學院學報,2010,10(6):104-107

[13]穆鐳.無線網(wǎng)絡接入設備管理系統(tǒng)的設計與實現(xiàn)[N].蘇州科技學院學報:工程技術版,2009,22(2):78-80

[14]張水平、張曉斌.校園無線網(wǎng)絡接入控制管理方案的初步探索與實踐[J].電腦知識與技術,2014,(2):735-739

[15]王黎、劉春曉.無線網(wǎng)絡接入認證技術及攻擊方法研究[J].無線電工程,2011, 41(7):11-12

10.19312/j.cnki.61-1499/c.2016.12.172