陽甫軍　劉科　張藝　黃慶

摘 要：隨著高校信息化的不斷發(fā)展，校園網(wǎng)絡(luò)管理員的工作日益繁重，校園網(wǎng)安全顯得越來越重要。為簡化用戶的網(wǎng)絡(luò)接入認(rèn)證過程，確保用戶登錄安全，提出一種基于DHCP與無感知認(rèn)證相結(jié)合的網(wǎng)絡(luò)安全接入方案。該方法首先依據(jù)MAC地址作為用戶接入網(wǎng)絡(luò)的安全標(biāo)志，以Portal認(rèn)證方式接入校園網(wǎng)，結(jié)合DHCP協(xié)議，對認(rèn)證方式進行改進和二次驗證，從理論上論證了方案的可行性。最后通過實際實驗的模擬驗證，驗證了該方法的可行性，實現(xiàn)了用戶的無感知安全認(rèn)證，提高了校園網(wǎng)的安全性。

關(guān)鍵詞：MAC地址;Portal認(rèn)證;DHCP協(xié)議;無感知認(rèn)證研究

中圖分類號：TB 文獻標(biāo)識碼：Adoi：10.19311/j.cnki.1672-3198.2020.01.090

近年來隨著高校信息化建設(shè)不斷加快，高校各種智能終端設(shè)備的使用也日益廣泛，校園用戶對校園網(wǎng)接入要求也越來越高。由于目前大多數(shù)校園網(wǎng)依舊采用傳統(tǒng)的Portal認(rèn)證方式，用戶登錄方式較為繁瑣，登錄后安全性較低，故本文提出一種校園網(wǎng)無感知認(rèn)證方案。

1 技術(shù)背景

1.1 DHCP原理概述

DHCP是基于BOOTP的拓展版本，其主要由兩個部分組成：

（1）服務(wù)器端：DHCP服務(wù)器負(fù)責(zé)集中管理網(wǎng)絡(luò)IP的所有數(shù)據(jù)。并且處理客戶端發(fā)來的DHCP請求。

（2）客戶端：使用服務(wù)器分配的IP環(huán)境數(shù)據(jù)。

當(dāng)DHCP服務(wù)器與用戶進行交互的過程中，DHCP對應(yīng)的報文中會產(chǎn)生options字段，而options字段里會帶有基本參數(shù)，除了基礎(chǔ)的IP地址等信息外，還會有網(wǎng)關(guān)地址、子網(wǎng)掩碼等信息，這些字段信息也可以在認(rèn)證過程中進行驗證。

1.2 Portal認(rèn)證

Portal認(rèn)證系統(tǒng)主要由終端、接入設(shè)備、Portal Server、DHCP Server、Radius Server、WEB Server組成，其具體組成如圖1所示。

用戶采用Portal認(rèn)證技術(shù)可以直接通過瀏覽器進行主動或者被動的認(rèn)證，顯得更加方便快捷?，F(xiàn)高校中大多采用Portal認(rèn)證方式進行網(wǎng)絡(luò)接入，但是，如果用戶出現(xiàn)網(wǎng)絡(luò)中斷的話，當(dāng)用戶再次接入網(wǎng)絡(luò)則需要重新進行認(rèn)證，這也是Portal認(rèn)證的不足之處。

1.3 MAC地址認(rèn)證

校園網(wǎng)絡(luò)管理員在交換機內(nèi)部設(shè)置一張MAC地址表，當(dāng)用戶接入校園網(wǎng)時，就需要驗證該用戶終端的MAC地址是否與MAC地址表中的地址匹配，若匹配成功，則認(rèn)為合法用戶，若匹配失敗，則不允許訪問網(wǎng)絡(luò)。在局域網(wǎng)內(nèi)，MAC地址認(rèn)證的方式顯得快捷、實用。但是如果用戶登錄終端發(fā)生變化的話，修改MAC地址表顯得更加復(fù)雜，所以MAC地址認(rèn)證在實際網(wǎng)絡(luò)管理中也顯得不夠靈活。

2 基于DHCP和Portal相結(jié)合的無感知認(rèn)證

通過對常見的認(rèn)證方式進行具體分析，若在校園網(wǎng)日常管理過程中采用Portal認(rèn)證、MAC地址認(rèn)證的方式，則顯得不夠靈活，用戶的無感知體驗也較差，網(wǎng)絡(luò)安全性不高。本文提出一種基于DHCP和Portal相結(jié)合的無感知認(rèn)證研究方案，首先依據(jù)MAC地址作為用戶接入網(wǎng)絡(luò)的安全標(biāo)志，以Portal認(rèn)證方式接入校園網(wǎng)，結(jié)合DHCP協(xié)議，對認(rèn)證方式進行改進和二次驗證。其具體過程如圖2所示。

3 局域網(wǎng)驗證

為了驗證本方案的可行性，本文通過搭建一個小型局域網(wǎng)來驗證。具體驗證過程如下：

（1）將Portal認(rèn)證服務(wù)和DHCP服務(wù)同時部署在同一服務(wù)器上，當(dāng)用戶首次采用某一終端接入校園網(wǎng)的時候，用戶向服務(wù)器發(fā)起認(rèn)證請求，服務(wù)器通過請求獲取用戶終端的IP、MAC信息，并將其儲存在對應(yīng)服務(wù)器的數(shù)據(jù)庫中。

（2）服務(wù)器通過捕捉DHCP協(xié)議中request包、discover包和options字段的55標(biāo)簽記錄用戶終端的參數(shù)請求列表和，包括用戶的系統(tǒng)版本、內(nèi)核版本等基礎(chǔ)信息，某次實驗環(huán)境下的認(rèn)證信息數(shù)據(jù)如表1所示。

（3）當(dāng)用戶發(fā)生網(wǎng)絡(luò)中斷，再次連接服務(wù)器的時候，服務(wù)器先驗證用戶的MAC地址、系統(tǒng)版本、內(nèi)核版本等信息。若驗證成功，則用戶之間接入校園網(wǎng)，不需要再次進行Portal認(rèn)證。并且在后續(xù)網(wǎng)絡(luò)中斷過程中，步驟3是自動完成的，不需要用戶主動二次登錄。達(dá)到無感知認(rèn)證的效果。

4 結(jié)論

隨著校園網(wǎng)的建設(shè)發(fā)展，校園網(wǎng)的無感知認(rèn)證需要有安全、方便、快捷、靈活等多種特點。而無感知認(rèn)證對于校園的安全建設(shè)顯得尤為重要，既增加了校園網(wǎng)絡(luò)的安全性，又為全校師生帶來了便利性，大大提高了校園網(wǎng)用戶的體驗感。

此外，本認(rèn)證方案也具有一定的局限性，由于未限制用戶終端的數(shù)量，未考慮用戶使用一次性終端的情況，若用戶認(rèn)證的終端較多，導(dǎo)致終端泛濫，會大大降低校園網(wǎng)的安全性。同時，由于無感知認(rèn)證是在用戶不知情的情況下自動登錄的，由于校園網(wǎng)往往存在一定的流量限制，需要與校園具體情況相結(jié)合，設(shè)計合理的流量控制提醒，方能解決用戶過量使用校園網(wǎng)流量的問題，提高校園無感知認(rèn)證的合理性。

參考文獻

[1]馮雷，林初建，趙君，等.MAC與Portal相結(jié)合的無感知認(rèn)證技術(shù)研究[J].華中師范大學(xué)學(xué)報（自然科學(xué)版），2017，（S1）：4-8.

[2]王道佳，馬嚴(yán)，黃小紅.基于DHCP的校園網(wǎng)準(zhǔn)入及無感知方案研究[J].華中科技大學(xué)學(xué)報（自然科學(xué)版），2016，44（S1）：181-185.

[3]胡建龍，王莎莎，王宇翔.基于無感知的校園無線網(wǎng)絡(luò)認(rèn)證策略研究[J].科技創(chuàng)新導(dǎo)報，2015，12（32）：120-121.

[4]李鵬，李曉風(fēng)，譚海波.基于DHCP和MAC地址動態(tài)綁定的用戶自助接入認(rèn)證系統(tǒng)[J].計算機系統(tǒng)應(yīng)用，2012，21（10）：27-30.

[5]任鳳姣，王洪，賈卓生.DHCP安全系統(tǒng)[J].計算機工程，2004，（17）：127-129.