软件定义无线网络中接入认证技术的研究进展

［雷特 倪名］

软件定义无线网络中接入认证技术的研究进展

［雷特 倪名］

首先阐述了无线局域网中接入认证技术存在的不足。介绍SDN转发与控制分离的思想。通过将SDN引入WLAN，引出软件定义无线网络（SDWN），并阐明SDWN的优点，以及当前SDWN中接入认证研究现状。在SDWN这种新型网络下解决传统WLAN中接入认证的缺陷与不足。并且初步讨论在SDWN中，接入认证的实现方案。

SDN WLAN Openfow 接入认证技术

雷特

重庆邮电大学通信与信息工程学院。

倪名

重庆邮电大学通信与信息工程学院。

1 引言

无线局域网[1-3]（Wireless Local Area Network，WLAN）主要指以无线信道作为信息传输介质组成的网络， 用IEEE802.11[4]协议标准进行网络连接，组网方式分为分布式和集中式。

接入认证技术，作为网络安全[5]中的第一道防线，甚至是最重要的一道防线。有着重要的地位，可靠的身份认证技术可以确保信息只被正确的“人（用户）”所访问。接入身份认证技术提供了用户身份的保证，阻止了非法用户进入网络，为网络的安全性提供了保障。

在传统WLAN中，早期的分布式网络Fat AP具有很高的智能性，AP本身承担了用户认证、漫游切换、用户数据加密、QoS、网络管理等复杂功能。但是由于网络中Fat AP之间独立工作，在大规模网络部署下，分布式网络缺乏统一集中的用户接入认证和管理，很难实现集中认证和管理功能。

集中式网络使用AC+Fit AP架构，新增无线控制器（Access Controller, AC）作为中央集中控制管理设备，原先将Fat AP自身承载的用户认证、漫游切换、动态密钥等复杂功能转移到无线控制器AC上，AP与AC之间通过隧道方式通信，可以跨越L2，L3网络甚至广域网进行连接，大大提高了整网的工作效率。Fit AP仅提供数据与控制平面的部分功能，剩下的另一半数据与控制平面功能以及全部管理平面功能由AC完成。相对于Fat AP的分布式架构来讲，Fit AP解决了Fat AP分布式网络难于集中认证和管理的问题，但往往AC和AP需要跨越广域网通信，这种架构需要消耗更大的链路带宽来保证低时延，同时也会出现诸如用户认证慢导致漫游性能低下等问题，造成用户体验度下降。

分析发现，传统WLAN中，分布式网络缺乏集中的接入认证与管理。集中式网络解决了分布式网络缺乏集中认证与管理的问题，但这种网络架构中，AP与AC需要跨越广域网通信，链路延时长导致用户认证慢、漫游性能低、用户体验度降低，例如用户终端首先接入了AP1提供的WiFi热点，并携带无线终端从AP1覆盖区域移动向AP2覆盖区域过程中，当终端接收到AP1的信号强度低于漫游倒换阈值时，终端进入漫游过程，终端无线客户端驱动程序会发送探测帧，并等待周围相邻AP2的响应，收到相邻AP2的响应后，对比信号强度，让终端接入信号更强的WiFi热点AP2。漫游步骤如下：

（1）终端停止发送和接收来自原AP( AP1 )的数据，并将数据缓存起来；

（2）终端向目标AP( AP2 )发起关联请求，并建立关联；

（3）终端与原AP解除关联关系；

（4）终端向目标AP发起认证请求；

（5）当终端通过认证后，获取原有的IP地址。

漫游对业务的影响直接体现在漫游花费的时间上。从上面漫游步骤可以看到漫游时间和认证时间息息相关，不同认证方式的漫游时间是不同的，所以不同认证方式的认证时间也是不同的。

软件定义网络[6-8]（Soft Defned Network，SDN）采用集中式的控制与分布式的转发思想，实现控制平面全局优化及高性能的网络转发能力[9]，对整个网络有一个全局的视图，能够实时掌握网络的运行状况，有利于对网络的管理。由此将软件定义思想引入无线局域网中，即软件定义无线网络[10]（Soft Defne Wireless Network，SDWN）。SDWN继承了SDN的网络集中控制和网络可编程等优点，对整个网络有一个全局的视图,提供更加细粒度的网络控制，解放了网络设备，提升了网络设备的扩展性。在SDWN中，控制器代替了集中式网络中AC作用，控制器与AP之间通信不需要跨越广域网通信，如果把接入认证功能移植到控制器上那么认证时间必然会缩短。又由于不同认证技术有不同的认证时间。所以在SDWN下采取哪种认证技术，可以在提供统一集中的接入认证和管理的功能需求下，在一定程度上缩短认证时间是一个丞待解决的问题。

本课题的研究目的是，在SDWN这种新型网络架构下，利用SDN集中管控优势，研究一种接入认证技术。该接入认证技术应满足如下条件：提供统一集中的接入认证和管理；更短的认证时间保证更好的漫游性能和更好的用户体验。

2 研究现状

2.1.接入身份认证研究现状及其应用

(1) IEEE 802.1X接入认证技术

802.1X[11]协议是为了解决无线局域网的安全问题而提出来的。但是随着该技术的广泛应用，目前802.1X协议的接入机制在以太网中被广泛应用，主要用于处理以太网的安全方面和网内认证方面[12]的问题。

802.1X协议是一种基于端口的网络接入控制协议。“基于端口的网络接入控制”指的是在局域网接入设备的端口这一级，对所接入的用户设备通过认证来控制对网络资源的访问。802.1X可以与不同的认证协议结合实现对接入用户的认证，目前在使用802.1X接入时常与RADIUS配合实现对接入用户的认证与授权。

(2) Portal接入认证技术

Portal认证技术[13-14]通常也称为Web认证技术，一般将Portal认证网站称为门户网站。Portal认证是一种三层网络接入认证，在认证之前将用户需要先获取IP地址,这点与802.1X不同。未认证的新用户上网时，接入设备会强制认证用户登录到特定的IP站点，该用户可以免费访问其中的服务。但当该用户需要使用Internet时，那就必须在制定的IP门户（服务器）[15]上进行认证，只有认证通过后才可以访问因特网上的资源。

(3) MAC地址接入认证技术

MAC[16]地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，是一种二层网络接入技术，与802.1X以及Portal不同，用户不需要安装任何客户端软件就可以进行认证。设备在启动了 MAC地址认证的端口上第一次检测出用户的MAC地址以后,就开始对该用户进行认证操作。在认证的过程中,不需要用户去手动输入用户名或者对应的密码。如果该用户成功认证，则允许用户通过端口来访问网络资源，倘若未认证成功，则该用户的MAC地址就会被添加成静默MAC。在静默的时间内，当来自此MAC地址用户的报文到达时，设备直接做丢弃处理，以防止非法MAC短时间内的重复认证。

2.2软件定义无线网络（SDWN）接入认证研究现状

文献[17]旨在分析SDN如何有利于无线没有基础设施的网络环境中，并将其用于无线个人网络环境中。

BeHop[18]旨在提供无线软件定义无线网络的密集部署方式，并评估无线网络管理策略如何影响用户体验和网络行为。

文献[19]提出在一个OpenFlow框架建立无线连接及优化支持，但只针对于802.21网络。这些文献利用SDN思想解决传统WLAN网络架构上问题，却没有提出在SDWN这种新型网络架构下接入认证存在的问题和解决方法。

文献[20]提出了一种SDWN下接入认证的方法，在NOX[26]控制器上实现RADIUS客户端功能，使用RADIUS完成认证。但该作者只是做了实验仿真，并没有做相应的实现，也没用在实际网络中测试。

文献[22]也提到了SDWN中接入认证，但该作者研究重点是SDWN中的安全技术，在SDN架构下利用现有的安全技术，如IPS/防火墙、VPN、加密和认证等，对SDN接入网安全解决方案实例化，解决传统IPS部署问题，对认证没有进行深入的研究。

文献[25]设计了SDWN下的无线网络架构，SDNAP+SDN-AC架构。通过在SDN-AC端自己定义软件接口API，进行控制SDN-AP，利用802.1X技术在SDNAP + SDN-AC这种网络框架下实现了接入认证，但这关于这种架构没有相关标准，稳定性和适用性不得而知，且该作者主要是研究这种新型架构，接入认证只是用来证明这种架构的可行性。

文献[27]提出了一种在SDN网络中，通过Web认证方式来实现用户访问网络的方法，该方法在认证成功后，虽然对整个网络有访问权限，但没有更加精细的网络资源访问控制。

3 目前存在的问题

分析发现，现有的3种接入认证技术均存在着一定问题：

(1) 802.1X认证安全性高，但认证过程较复杂，认证时间长；并且不能实现统一的认证管理，还需要安装客户端软件，不具有扩展性，且不易修改和维护；

(2) MAC地址认证认证流程简单，认证时间短，但这种技术容易被攻击，比如MAC地址伪造就能轻易地获取网络权限，网络安全性很低，用户资料很容易泄露。

(3) Portal认证，可以提供统一集中的认证管理，且认证过程相比802.1X简单，认证时间较短；

综上所述，现有的MAC认证技术和802.1X认证技术不能满足SDWN中对接入认证技术的需求，即在提供统一集中的接入认证和管理功能下；缩短认证时间保障漫游性能和提升用户体验。而SDWN中接入认证技术又不成熟，没有解决漫游中如何实现快速认证的问题。所以在SDWN环境下，如何在提供统一集中的接入认证和管理功能需求下，在一定程度上缩短认证时间提升用户体验，解决漫游中快速认证是亟需解决的问题。Portal认证为满足SDWN接入认证的需求提供了可能。

4 研究目标和内容

4.1 研究目标

在软件定义无线网络（SDWN）的场景下，研究现有用户接入认证技术。在提供统一集中的用户接入认证和管理功能需求下，在一定程度上缩短漫游中认证时间、提升漫游性能，从而解决漫游中如何实现快速认证的问题，提升用户体验。

4.2研究内容

(1) SDWN中接入认证功能模块设计与实现

接入认证功能模块主要包括：数据报文解析模块、数据报文加密模块、用户信息查询模块、用户上下线模块、计时与计费模块等。数据报文解析模块处于认证功能最底层，主要用来解析认证交互报文，提取用户信息。数据报文加密模块主要是用来加密用户数据防止泄露。用户信息查询模块主要是把获得的信息与数据库存贮的数据进行比对，返回相应的结果（成功或失败）。用户上下线模块主要是对用户上下线行为进行响应完成用户上线，下线。计时与计费模块主要是对用户上线时间进行计时，在下线时，从而完成计费。

(2) SDWN中接入认证数据库模块设计与实现

数据库采用MySQL5版本，运行在Ubuntu14.04上，单工模式工作，编码方式为UTF-8。按照功能需求，数据库模块包括：用户表单模块、管理员表单模块、用户关系表单模块、用户日志表单。实现用户的管理、认证和数据记录。

4.3 SDWN接入认证实现方案

由于Portal认证适用性高，只要有浏览器的设备均可以进行认证。Portal界面定制灵活、多变且Portal支持多渠道访问；认证也不需要特殊的客户端软件，降低网络维护工作量。可以提供统一集中的认证管理，且认证过程相比802.1X简单，认证时间较短。

通过在现有的Portal认证上进行二次开发，将Portal认证移植到SDWN网络下，实现SDWN中接入认证。并在这种认证技术下研究合适的漫游认证机制，实现快速漫游。

5 总结

根据上述分析，无线局域网是无线通信的重要组成部分，而接入认证技术又是无线局域网中不可或缺的重要部分。因此本文为解决当前WLAN中接入认证技术存在的不足提供了一种可行的方法，即利用SDN思想结合WLAN引出软件定义无线网络（SDWN），经过对现有接入认证技术的对比，得出在SDWN中portal认证优势更为明显。

1 Cisco Systems公司. 思科网络技术学院教程[M]. 人民邮电出版社, 2004

2 何小玉. 无线局域网技术与应用[J]. 电信科学, 2003, 19(3):42-45

3 谢希仁.计算机网络[M].电子工业出版社.2008

4 Yang D, Xu Y, Gidlund M. Wireless Coexistence between IEEE 802.11- and IEEE 802.15.4-Based Networks: A Survey[J]. International Journal of Distributed Sensor Networks, 2011, 10(3):876-879

5 李湘江. 网络安全技术与管理[J]. 现代图书情报技术, 2002(2):59-61

6 Software-Defned Networking: The New Norm for Networks ONF White Paper[J].2012

7 左青云, 陈鸣, 赵广松,等. 基于OpenFlow的SDN技术研究[J]. 软件学报, 2013(5):1078-1097

8 SDN for Wi-Fi : OpenFlow-enabling the wireless LAN can bring new levels of agility[J].2014,MeruNetworks,Inc.http:// www.merunetworks.com/collateral/white-papers/sdn-forwif-wp.pdf

9 Feamster N, Rexford J, Zegura E. The road to SDN: an intellectual history of programmable networks[J]. Acm Sigcomm Computer Communication Review, 2014, 44(2):87-98

10 Fortinet[EB/OL].http://www.merunetworks.com/collateral/ white-papers/sdn-for-wif-wp.pdf.2014

11 Huang R. Design and applications of campus network user terminal access control system based on 802.1x and Web portal authentication techniques[J]. Journal of Fuzhou University, 2008, 36(5):673-676

12 韩颖铮. PPPoE与802.1X在校园网中的应用分析[J]. 中国教育网络, 2012(2):56-57

13 马燕, 范植华. Web/Portal认证技术研究[J]. 微电子学与计算机, 2004, 21(8):76-79

14 Pickering C. A Look Through the PORTAL[J]. Software Magazine, 2001

15 Strauss H. Web Portals[J]. Serials Librarian, 2003, 44(1):26-35牛晓妍, 薛赟. 基于MAC地址的Radius认证在Linux下的实现[J]. 山西农业大学学报:自然科学版, 2009, 29(5):458-460

16 Costanzo S, Galluccio L, Morabito G, et al. Software Defned Wireless Networks: Unbridling SDNs[C]// EWSDN. 2012:1-6

17 Yiakoumis Y, Bansal M, Covington A, et al. BeHop: a testbed for dense WiFi networks[C]// Proceedings of the 9th ACM

18 international workshop on Wireless network testbeds,experimental evaluation and characterization. ACM, 2014:1-8

19 Guimaraes C, Corujo D, Aguiar R L, et al. Empowering Software Defined Wireless Networks Through Media Independent Handover Management[C]// Globecom. 2013:2204-2209温浩. 基于SDN架构的WLAN组网技术研究[D]. 北京邮电

20 大学, 2013 Cao Z, Fitschen, J&#, rgen, et al. FreeSurf: Application-

21 Centric Wireless Access with SDN[J]. Acm Sigcomm Computer Communication Review, 2015, 45(4):357-358张磊. 基于SDN的接入网安全技术研究[D]. 北京邮电大学, 2014

22 Ju S, Lee K, Kim J, et al. An efficient flow classification

23 algorithm in Software-Defined Networking[C]// Information Networking (ICOIN), 2015 International Conference on. IEEE, 2015:227-232 Jäger B, Röpke C, Adam I, et al. Multi-layer Access Control

24 for SDN-Based Telco Clouds[M]// Secure IT Systems. Springer International Publishing, 2015赵立旺. 基于SDN架构的无线接入网络研究与设计[D]. 电子

25 科技大学, 2014 NOX/POX Controller[EB/OL].[2015.1.26],http://www.

26 noxrepo.org

2016-11-25）

10.3969/j.issn.1006-6403.2016.12.014