利用WAPI实现高校间无线漫游

文/邓国强 叶昭 陆以勤

利用WAPI实现高校间无线漫游

文/邓国强 叶昭 陆以勤

随着移动互联网的发展，校园无线网络在高校信息化建设中显得越来越重要，校园无线网络的普及也引发了在不同高校间进行无线漫游的需求。本文介绍了笔者单位在发改委下一代互联网技术研发、产业化和规模商用专项项目“基于IPv6的下一代绿色无线智慧校园应用示范”的支撑下，WAPI无线网络在高校中的建设方案以及利用WAPI在不同高校间进行无线漫游的实践。

项目背景

基于IPv6的下一代绿色无线智慧校园应用示范项目由华南理工大学牵头，联合广东省电化教育馆、广东省8所高校（包括已实施IPv6驻地网和校园网升级其余的4所高校）、深圳大学城管理中心等。项目在广州9所大学，深圳大学城（1所大学和4所高校的研究生院以及中国科学院的科研机构），深圳市南山区的20所左右中小学建设基于IPv6的无线校园规模化应用示范, 发展基于IPv6的下一代互联网校园用户。项目在CNGIGDERNET2核心节点的有利前提下，在广东省基于IPv6的下一代宽带教育骨干网、高校IPv6驻地网、高校校园网IPv6升级、教育城域网IPv6升级、广东移动教育网和区域无线教育网建设的基础上，结合教育行业在开展无线智慧校园建设实践中面临的一些问题，采用先进的技术，开展基于IPv6的可信、绿色的下一代移动校园网的建设和应用，探索下一代无线园区网的建设和应用模式，推动下一代移动互联网产业的试商用；研究下一代移动校园网的高密度无线接入问题、校际漫游问题、运营商漫游问题、多运营商接入问题、基于Wi-Fi/WAPI双模的可信无线接入问题、IPv6的跨网内容分发问题、应用系统IPv6升级问题、IPv4-IPv6互通问题；实现IPv4/IPv6双接入，满足下一代互联网新型应用的支撑环境，可控组播、超宽带到桌面；实现IPv4/ IPv6兼容的用户管理，支持双栈的安全、可控、可查网络环境，建设校园网无线覆盖网络，建立基于全校统一认证的无线网络接入认证和无线管理系统。本文的工作是在该项目的支撑下进行的IPv4/IPv6双栈接入，Wi-Fi/WAPI双认证方式的无线网络建设，以及利用WAPI进行高校间漫游认的实践。

图1 WAPI接入认证过程

具备Wi-Fi/WAPI双模接入的IPv4/IPv6无线网络建设

Wi-Fi是目前使用最为广泛的无线局域网接入标准，笔者所在单位已完成了主校区的大部分教学楼、办公楼内、会议厅、展厅等Wi-Fi无线网络的部署和覆盖工作。Wi-Fi无线局域网采用瘦A P的方式部署，接入认证访问采用基于Portal的统一认证。凡具有统一认证账号的学校师生和员工，均可以在Wi-Fi覆盖的公共场所享受到无线接入的服务。

图2 Wi-FiWAPI双模接入的IPv4/IPv6无线网络部署架构

然而Wi-Fi存在安全性方面的问题，网络容易受到攻击，为了解决移动互联网的安全与可控问题，我国推出了具有自主知识产权的国家标准WAPI（WLAN Authenticationand Privacy Infrastructure），即无线局域网鉴别与保密基础结构，该标准已由ISO/IEC授权的机构IEEE Registration Authority审查并获得认可。自2008年起，各大型网络设备生产商集生产的AP设备均支持WAPI功能，获得了入网证的手机终端都已支持WAPI功能，通过了CCCI认证的PC终端也支持WAPI功能。WAPI的网络接入认证过程如图1所示。

其中STA是指支持WAPI协议的无线终端，AP为支持WAPI的无线接入点，AS是指同时具备证书颁发和证书鉴权功能的服务器。

我们在Wi-Fi网络的基础上叠加WAPI网络，构建具备Wi-Fi/WAPI双模接入能力同时支持IPv4/IPv6的绿色智慧校园无线网络，其部署示意图如图2所示。

部署方案的关键步骤如下：

1.部署本地AS服务器，负责WAPI证书颁发和鉴权。证书包括AS证书、AP证书和STA(终端)证书。

2.增加一个新的WAPI网络的ssid，部署在需要的热点区域；

3.在AS上生成AP证书并导入至AC，在AC上配置WAPI相关的认证授权参数；

4.搭建终端所需的证书颁发和管理系统。

其中1～3点因当前支持WAPI的相关设备均比较成熟，容易实施，而第4点对WAPI推广使用比较关键，也对后续高校间的WAPI网络漫游设计影响比较大。我们设计的终端证书管理方案关键步骤如下描述：

1.规定STA证书要求同时绑定MAC地址，同时所获取的STA证书具有固定有效时长（如1年）；

2.用户使用有线或者校园Wi-Fi网络，通过统一认证用户和密码验证后，进入证书获取页面。其中AS证书为公共证书，可以直接下载；STA证书需要绑定MAC地址。这里还可以再增加一些简单有效的安全策略，如通过统一认证的用户组的识别，限制可获取STA证书的用户组；设定不同组所获取的证书的有效时长；限制可同时获取的STA证书数量。

图3 WAPI终端接入实例

图4 同一中心AS 下的WAPI漫游认证流程

3.记录STA证书颁发日志，包括用户账号、证书标识号，MAC地址等，以及WAPI接入时的认证日志，包括接入点、MAC地址、获取IP等。结合这些日志可以对WAPI的接入用户进行审计。例如，通过追踪源IP时对应的MAC，可以关联上统一认证的用户名。

4.用户在支持WAPI的终端安装STA证书，保证绑定MAC的一致，即可直接接入合法的WAPI热点。

上述方案中用户如果泄露或者主动公开AS证书、自己的STA证书和绑定的MAC，可以被他们非法利用，但与账号和密码的泄露相比，密码可以被修改，证书和MAC则不能；同时证书设置了有效时长，可以减少泄露后的影响时长。

图3为笔者所在单位的Wi-Fi/WAPI无线热点下，合法安卓手机用户接入下WAPI的实例图。其中scut为Wi-Fi热点，采用统一认证接入；scut_wapi为WAPI热点，采用证书认证接入。

高校间的WAPI漫游实践

校园网无线网络的普及化方便了校内师生的学习和生活，推动了校园信息化的发展。在资源的进一步开放和共享的时代，高校之间的学生和科研人员往来越来越频繁，在其他高校访问时，无论是项目演示还是互动会议，通过无线网络接入所在学校的校园网的需求越来越大。目前大部分高校的无线接入网采用了基于Portal的统一认证方式，要求输入校内认证账号和密码，部分高校的无线接入认证还需要先安装特定的客户端。在这种情况下，外来的访客要想访问本校的无线网络，通常采取的方法是针对某个区域的接入点，临时去掉认证方式或者增加临时的公共账户和密码，事后再恢复原状，这个方法效率低下也不安全；采用类似运营商的做法，通过个人手机获得临时的账号和密码，可以达到外来用户身份认证的目的，但部署和运营的复杂性使得其并不适合在高校中使用；如果各个高校间进行统一平台互认证，实施难度就更大。

基于WAPI的无线网络支持STA证书在不同AS服务器间的漫游。通过建立中心AS，将在不同高校AS联系在一起。具有一个中心AS的WAPI漫游认证流程如图4所示。

在本文前面所述的WAPI网络建设的基础上，设计不同高校间的漫游认证方案如下：

1.增加中心AS，将加入漫游联盟的其他AS列入中心AS的信任列表；

2.按本文上面所述，不同高校间遵循相同的STA证书获取规则，建立中心日志服务器，记录用户获取证书时的信息，包括所在高校、用户标识、绑定MAC、证书标识、有效时长；

3.在支持漫游认证的WAPI接入点配置为证书认证通过即可接入网络的方式。因此漫游过来的用户在接入联盟下的WAPI网络时，只需持有合法的本校证书即可无缝地接入漫游高校的WAPI网络；

基于上述方案，在笔者所在单位部署了中心AS服务器，并与合作学校参与了STA证书互相漫游测试。测试结果表明，该方案完成了不同高校无线用户的漫游接入的目标，具备基本的安全和审计功能，用户体验良好。

总结与展望

为满足下一代互联网新型应用的支撑环境，在“基于IPv6的下一代绿色无线智慧校园应用示范项目”的支撑下，我们进行了校园网无线覆盖网络建设，实现无线网络的IPv4/IPv6双接入和Wi-Fi/WAPI双模支持和不同高校间的WAPI漫游验证，提供基于安全认证及控制环境下的跨域无线漫游服务，支持校园网际漫游。后续计划将对当前漫游方案进一步完善，建立多个高校联盟的WAPI热点区域和漫游平台。

（作者单位为华南理工大学信息网络工程研究中心）