校园无线网络接入控制管理方案的初步探索与实践

张水平　张晓斌

摘要：在高校中，“无线校园”的建设也成为了各大高校在数字化校园建设中的一个重要环节。无线校园的建设本着以方便师生实时交流沟通，促进教学方式的改革，提升教学质量和效率为目的，确保正常的教学工作的顺利进行的同时也要确保运营商的业务能正常进行，而不是为学生提供一个随时随地都能访问互联网娱乐的网络环境，因此必须有严格的接入控制管理方案。该方案应该能区分老师和学生（基于角色），又能区分教学区和生活区（基于地点），最好还能分时段处理（基于时间）。

关键词：无线局域网；基于角色接入；无感知认证；接入控制

中图分类号 TP393 文献标识码：A 文章编号：1009-3044（2014）04-0735-05

校园数字化的建设不仅在办公中大大方便了老师们，更是促进了师生之间在教学上的交流。无线网络技术的兴起为校园的数字化建设提供了更多便利，比起有线网络，无线网络更能体现校园数字化的优越性：实时，便捷。然而，高校无线网络与公共区域的开放式网络不同，对校园自身的网络资源和互联网资源应该做接入控制而不是任意开放。该文以美国无线厂商ArubaNetworks公司（下文简称Aruba）的无线产品为依托，对校园无线网络的接入控制做初步探索与实践。

1 常用的接入控制方式

1.1 MAC认证方式

MAC认证是一种基于设备物理地址的对用户进行匹配认证的技术。认证过程中，用户不需要手动输入用户名和密码，对用户体验较佳。然而，对于网络管理员而言，需要统计当前整个网络的用户的设备MAC地址并录入，这对于学校这种大型无线网络而言是非常大的一个挑战。因此常规的MAC认证方式的比较适合小环境少用户的网络环境[1]。

1.2 Portal认证方式

Portal认证又称WEB认证，客户端接入到无线网络中，先向DHCP服务器申请到一个IP地址，再进行浏览器的网络访问。此时，客户端只能访问WEB认证服务器和网络中的DNS服务器，输入任何有效的地址都将被重定向到认证服务器，要求用户进行认证。当用户认证通过后，安全策略服务器授予用户访问网络的权限[2]。

1.3 802.1X认证方式

802.1x协议是基于C/S的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口（access port）访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。文献[3]为我们详细的介绍了802.1X的整个认证过程。

从上述认证方式中，我们可以看出，单一的MAC认证会给网络管理员带来巨大的工作量，802.1X则需要用户进行一系列繁琐的设置，对于非专业的人员可能需大量的时间进行设置，用户体验不佳，而Portal认证虽然只需用户在浏览器里弹出的认证页面中输入用户名和密码即可，但是每次都需进行繁琐的输入密码。为了提高用户使用WLAN的体验度，各大建设方都提供WLAN无感知认证的方式，达到不需要用户干涉、在用户无感知的情况下进行透明认证[4]。Aruba也提出了一套完善的无感知认证方式——Portal + MAC认证方式，是一种用户体验比较完美的方式。

Aruba提出的无感知认证：

Aruba的无感知认证由自己的一套ClearPass系统和控制器来完成整个AAA任务，为用户提供无感知认证。

1.4基于角色控制

Aruba作为全球无线网络的领导者，在高校无线网络建设中，有着丰富的经验和完善的解决方案。其中基于角色控制这一技术更是可以满足高校无线网络在接入控制管理上的要求。

高校中，人群角色主要有三大分类：教师、学生、访客。这三种角色人群各自的接入网络的需求是不同的。例如，教师接入无线网络既要访问校园网内部的资源，进行文献查询等，又要访问互联网，了解当前最新的技术和研究成果，帮助自己课题、论文的深入发展。而学生则只需访问校园内网的权限，进行校园网上精品课堂的学习以及课件等其他资源的共享。访客只要开放互联网接入权限即可。这样根据不同的角色来做不同的权限限制可以为整个无线网络带来更高的使用效率和安全性。

Aruba可以在无线控制器上建立多个不同的角色（role）：teacher、student、guest，做针对不同角色进行不同的控制策略（带宽、内外网访问权限、用户间的安全等）的设置，认证接入控制（如图1所示），teacher-logon这个role包含了带宽限制（Up BW和Down BW）、Captive Portal profile（用来设置portal认证的页面和认证服务器）和3条访问控制列表：to-cppm，captiveportal，logon-control。

正是这种基于Role的接入控制使Aruba的无线系统在认证过程中可以根据认证结果的状态派发不同的Role来做出不同的接入控制，也使后面的无感知认证成为了可能。

1.5 ClearPass访问管理系统

ClearPass系统有集中管理平台—PolicyManager，包含Onboard、Profile、OnGuard、Guest等4个软件。其中Onboard可以提供无线终端进到企业内部局域网当中的一些配置，例如证书，VPN配置等。Profile判断入网设备信息并自动派送相应的政策。OnGuard可做对设备进行健康管理和检查，当设备异常时自动隔离，并进行矫正和排除。Guest可以提供访客账号的建立和访客账号的管理。

同时ClearPass还是一个增强型Radius，可以通过配置服务来完成上述三种认证方式的认证（如图4所示）。认证服务由匹配条件，认证（认证方法、认证源），授权，角色和强制执行组成。匹配条件将从控制器端传送过来的认证数据包中的服务标识与系统中的服务进行匹配，条件满足时，该服务被击中，使用服务中配置的认证方法和认证源进行认证；如果匹配失败，则该数据包将被丢弃，返回认证失败。当服务被击中，认证成功时，“强制执行”中的策略会从上到下根据匹配条件被执行，一旦有一个条件满足执行后，不再继续匹配后面的条件（条件之间为或关系）。如图5所示，当认证信息满足条件1：当该台认证设备是此用户名下的第二台或者以后的设备，那么执行“Allow Access Profile”表示允许其接入网络（并没有做Guest MAC Caching）；如果未能满足条件1，即该设备是此用户用该用户名登录的第一台设备，那么继续匹配条件2：如果用户名是以9开头的（为学校教师账号），那么执行“Update Endpoint Known”、“Guest MAC Caching”等策略；此时账号通过认证后，系统就通过MAC Caching策略在后台将账号与该设备的MAC地址绑定；如果账号并不是“9”开头的，那么继续匹配下面的策略，检测是不是以“6”、“1”、“2”等带有学生账号特征，如果满足，则返回一个表示学生权限的Role。

ClearPass系统强大的Profile策略执行软件可以灵活的根据radius认证过程，认证数据包所携带的radius属性字段来匹配策略条件，执行不同的策略（设备状态识别，带宽限制，MAC捆绑等）。Aruba的无感知认证正是利用了里面的MAC Caching策略完成用户名和设备的MAC地址捆绑，从而达到一次认证成功，以后将不再需要重复输入用户名、密码的繁琐步骤就可以完成认证，达到用户无感知的状态。

1.6 Portal+MAC无感知认证

Aruba提供的Portal+MAC无感知认证就是结合控制器和ClearPass系统给用户做一次二层（MAC认证）加三层（Portal认证）的认证。用户接入网络的整个登录认证流程如图6所示。当用户与AP建立了关联，首先会从控制器上拿到一个初始的Role，要求用户进行的是MAC认证。用户的终端设备自发的将自己的MAC地址作为用户名和密码，加入认证数据包，发送到认证服务器（ClearPass系统）进行MAC认证。由于是第一次登录，用户数据库中还没有将用户名与用户终端设备的MAC进行绑定，即认证源中没有该用户名+密码组合的记录，此次MAC认证失败，返回一个认证失败后的角色（Role）。MAC认证对用户来说是透明的。返回的这个角色（Role）要求用户进行Portal认证。于是，用户打开浏览器，输入指定的URL或任意标准的域名和IP地址（将被Role中的captiveportal策略进行重定向到认证页面），按提示输入用户名和密码。认证过程中，ClearPass系统会自动将此次认证与事先设置好的策略条件进行自上而下的匹配，相对应策略被触发执行，例如Guest MAC Caching策略（如图7所示）来提取会话中用户终端的MAC地址，将MAC地址写入该用户的记录中，做用户名绑定。如图8，9120080021该用户此次接入无线网的设备的MAC地址：e4b021c59456就和用户名做了关联。

当用户以后用已经做了MAC捆绑的设备接入网络时，首先从控制器拿到的还是一个要进行MAC认证的Role，发起MAC认证请求，因为此时数据库中已经保存了该终端的MAC，所以此次MAC认证通过，ClearPass系统给控制器返回一个认证通过的消息，控制器给他派发一个有接入网络权限的角色（role），不再触发Portal认证。例如教师进行登录认证后，派发一个authenticated的角色（role），如图9。从图中，我们还可以发现，Aruba无线系统还可以识别用户终端的操作系统，这使得维护整个无线网可以更加高效。

1.7 EAP-PEAP无感知认证

EAP-PEAP无感知认证，也就是通常说的802.1X无感知认证。PEAP是可扩展的身份验证协议 （EAP） 家族的一个成员，目前共有三个版本，分别为V0/V1/V2，已被WPA和WPA2批准的有两个子类型 PEAPV0-MSCHAPV2和PEAPV1-GTC。由于PEAP是一个框架协议，目前业界使用最广的是由微软提出并完善的PEAPV0-MSCHAPV2协议，又被称作MS-PEAP协议，已经被各移动终端的操作系统如iOS，Android、Windows等广泛支持。

EAP-PEAP认证通过客户端和认证服务器之间建立的加密通道，进行安全证书式认证，支持服务器对用户的认证，也支持用户对服务器的认证。因为是证书式认证，所以在用户初次接入网络中，要进行证书的下载和配置，而这对于一些用户来说不一定都能接受。所以相比之下，Portal+MAC方式的无感知认证更加有优势。

1.8 EAP-SIM认证

EAP-SIM认证采用标准的EAP-SIM/EAP-AKA作为WLAN终端接入认证机制，用（U）SIM卡作为认证密钥分发的载体，用户连接WLAN网络不需要手动输入认证信息，通过手机（U）SIM卡自动完成认证，在手机上使用，用户体验好。此外，SIM认证提供了很高的安全性：密钥通过硬件载体（（U）SIM卡）分发，可以有效防止密钥泄露或者被盗；支持双向认证，除了服务器对用户的认证，还支持用户对服务器的认证；支持伪随机用户名，保护用户真实身份不被泄露等。

我们也从中看到了EAP-SIM认证的局限性：只适用于支持SIM卡的手机或者小部分的平板电脑。而在高校这样一个大的网络环境中，用户绝不可能只是手机来接入无线网络，还有很多的笔记本电脑，Pad，甚至装有无线网卡的台式机。所以EAP-SIM认证更多的是应用在运营商的WLAN系统中。

1.9 基于Cookie的Portal无感知

基于Cookie的Portal无感知与普通的Web Portal认证一样：用户需要上网时，打开浏览器、输入网址并回车，浏览器会重定向到强制认证页面，在页面相应输入框内输入用户号、密码。认证通过后浏览器显示用户上线后页面，包括下线按钮，提示用户下线方式、在线时间等信息。不同的是，认证页面上有“开通自动登录”可选框，用户在输入用户名、密码的同时可以钩选。用户本次认证成功后，用户名和密码写在Cookie文件中，保存在终端机子内，后续再使用WLAN时，打开浏览器、输入网址并回车后，即可自动认证通过，终端浏览器显示用户上线后页面，无需再填写用户名、密码。

Cookie是浏览器中的一项功能设置，那么不同终端用户使用不同的浏览器，需要进行不同的设置，这对用户来说又是一个考验，体验度不会太高。当Cookie被用户清除时，用户要进行的又是重复繁琐的用户名和密码输入。

2 结束语

高校无线网络的建设给全校师生都带来了便利，但是网络的控制管理问题也相应而生。该文所论述的Portal+MAC无感知认证相比前文所提到过的MAC认证，Portal认证和802.1X认证，它集成了MAC认证的良好用户体验和Portal认证技术管理员易部署，兼容性好等优点；跟EAP-PEAP无感知认证相比，又赢在简单的用户操作，良好的用户体验上；又比EAP-SIM认证有更好的兼容性；比基于Cookie的Portal无感知有更好的安全持久性，所以在高校这种特殊的环境中部署是有比较明显的优势的。

科技以人为本，好的用户体验与一项技术的普及与发展是相辅相成的。WLAN为数字化校园、移动校园、智慧化校园的建设和发展带来便利的同时，我们也要考虑到控制管理上会存在的问题，积极寻求技术上的创新和解决方法的多样化，为打造一个积极、和谐的校园环境而奋斗。

参考文献：

[1] 王少波，庄重. WLAN认证方案研究[J/OL]. 数据通信，2013（6）：22-25.

[2] 林荔，杨剑炉. 局域网安全认证技术的比较研究[J]. 赤峰学院学报（自然科学版），2010（8）：43-44.

[3] 华镔，曹娜.基于802.1x协议的Radius认证原理及实现[J].信息技术，2010（4）：111-112.

[4] 刘长瑞，聂明. 无感知WLAN业务认证方式的分析[J]. 电信工程技术与标准化，2012（8）：25-29.

[5] 吴秋兵.RADIUS协议原理及其在校园网中的应用[J]. 长江大学学报（自然科学版）理工卷，2010（2）：287-289.

[6] 何南，谷军，丁丽娜.高校WLAN网络规划建议及关键技术研究[J]. 大众科技，2012（5）：45-46.

[7] 张晓艳，施云涛.高校WLAN的网络管理及优化探讨[J]. 江苏通信，2009（6）：61-63.

[8] 何来坤，刘礼芳.基于多运营商共建共享的高校WLAN建设方案的探索[J].杭州师范大学学报（自然科学版），2013（2）：180-183.