电台无线网认证系统建设

刘会德+陈粟+王昊

摘 要 本文综合比较了无线网认证加密方式，分析了它们在应用中可能遇到的问题，并结合单位具体需求，建成了使用灵活、管理方便的无线网认证系统。

关键词 无线认证；无线接入；访问控制

中图分类号 G2 文献标识码 A 文章编号 1674-6708（2017）185-0070-02

随着移动办公的不断发展，电台前两年开始建设无线网，但一直没有对无线接入进行认证和加密。由于无线网络固有的开放性，传输的数据利用无线电波在空中辐射传播，只要在无线信号覆盖的范围内，任何无线终端都能接收到信号，导致系统被非法入侵及数据被监听、窃取、篡改的风险非常大。因此，单位决定对无线网接入进行身份认证，解决安全隐患。

1 电台网络现状

电台建设无线网络的初衷是作为有线网络的补充和备份。主要解决以下两个问题：1）有线网络发生故障时，使用无线网络保证采编播工作不受影响；2）在直播区域和录播区域，由于安装了很多隔音材料，在这些区域增加信息点的施工会影响隔音效果，随着终端设备的增加，必须使用无线网络。电台有线网络和无线网络都有自己独立的网络设备、出口及相应的DHCP、DNS服务器，两个网络的终端分别通过各自的网络主干和出口访问互联网，但为了无线网络内的终端设备能使用有线网络内的打印机、办公系统、文件服务器等网络资源，两个网络进行了联通。拓扑图如图1。

因为在无线网络内没有重要的信息资源，对用户的接入控制和数据加密要求不必很高。

电台现有员工近1 000人，还有一些兄弟单位在一块办公，每天嘉宾、工作伙伴等外来访客也非常多。使用有线网络办公的都是台内员工，通过AD域账户登录操作系统和进行网络访问。使用无线网络的包括台内员工、兄弟单位人员和外来访客，人员众多，且流动性大。针对河南人民广播电台网络现状，选用哪种无线网认证加密方式合适呢？

2 无线网认证加密方式对比

现有无线网认证加密方式基本分为三大类：开放系统身份认证、共享密钥身份认证和802.1X身份认证。还有其它两种认证方式也能对网络接入进行认证，即MAC ACL（MAC地址访问控制列表）和Web Redirection（网页重定向）。

2.1 开放系统身份认证

这种方式既不认证也不加密，任何客户端都可以接入无线接入点并使用无线网络，这是最不安全的一种认证方式，当然也是最省事的一种认证方式。

2.2 共享密钥身份认证

这种方式中，所有客户端都使用相同的密码，接入无线接入点前必须输入正确的密码才能进行连接。共享密钥身份认证有3种认证类型：WEP、WPA-PSK和PWA2-PSK。

WEP（Wired Equivalent Privasy），全称有线等效加密，使用这种方式，客户端和接入端必须拥有相同的密钥才能接入网络，密钥分为64bits和128bits两种，最多可以设置4组不同的密钥。WEP加密方式很脆弱，每个客户端都使用相同的加密字，导致WEP容易被破解，现已被WPA淘汰。

WPA-PSK，WPA（Wi-Fi Protected Access）的简化版，使用方法与WEP类似，客户端与无线接入点必须拥有相同密钥，用户输入密钥才能接入网络。该标准的主要改进是使用了可以动态改变钥匙的“零时钥匙完整性协定”（Temporal Key Integrity Protocol，TKIP），加上更長的初向量，减少和钥匙相关的封包个数，安全讯息验证系统，使得入侵无线网络非常困难。

WPA2-PSK，WPA2的简化版，WPA2是WPA的升级版，主要改进为：使用了CCMP（Counter CBCMAC Protocol）算法取代了WPA的MIC算法，AES（Advanced Encryption Standard）加密算法取代了WPA的TKIP加密算法。WPA2-PSK和WPA-PSK的使用方法一致，但安全防护能力更加出色。

共享密钥身份认证实现简单，对设备要求不高，维护及管理工作量小，用户使用方便，缺点是不能实现用户级别的控制，对一些大中型企事业单位来说，由于人员众多，密码容易扩散出去，最后的结果和开放系统认证没有多大区别。

2.3 802.1X身份认证

802.1X是根据用户ID或设备，对网络客户端（或端口）进行鉴权的标准，它采用RADIUS（远程认证拨号用户服务）方法，并将其分为三个部分：请求方、认证方和认证服务器，该标准能实现用户级的接入控制。802.1x与共享密钥身份认证方式最大的不同就是客户端接入网络时，需要输入正确的用户名和密码才能认证通过。802.1X主要有两种认证类型：WPA-Enterprise和WPA2-Enterprise。

使用这种方式不仅非常安全，还能实现可追究性，缺点就是需要增加认证服务器，在部分终端上需要对无线网卡做一些设置，如果启用证书且需要对服务器进行验证，需要安装相应的证书，这也会增加维护管理的工作量。

2.4 MAC ACL（Access Control List）

MAC ACL，即MAC地址访问控制列表，只能用于认证但不能用于加密。在无线接入点输入允许接入的无线网卡MAC地址，只有在此清单中的无线网卡才能接入网络。

这属于简单粗暴的一种认证方式，在小微企业中也比较有效。如果在大中型企事业单位则不适合，因为更新维护MAC地址表的工作量非常大。

2.5 Web Redirection

Web Redirection，即网页重定向，这也是当前许多网络提供商常用的认证方式。无线接入点设置为开放系统认证，但在后台利用网关设备或上网行为管理设备，拦截客户端发出的Web封包（使用浏览器访问网络），并强制重导到认证网页要求输入账号密码，然后向认证服务器来对使用者进行认证，认证通过后才能访问网络，一般需要 Portal服务器提供账户密码认证。现在一些较新的设备还支持微信认证、短信认证、二维码认证等认证方式。

使用这种方式优点是认证方式灵活，可以进行广告推广。缺点主要有以下3点：1）只认证不加密；2）在客户端通过认证前用户其实已经获取到IP地址，已经获得局域网内部分网络资源的访问权限；3）用户通过认证前，使用QQ、微信等网络应用时，不会触发认证，必须打开浏览器访问网页才能重定向到认证页面进行认证。

3 电台无线认证系统选型及实施

综合比较以上几种认证方式：使用共享密钥方式并不能对用户进行身份鉴别，频繁更换密钥会给运维工作和用户使用带来极大不便，长时间不更换密钥的结果就等于形同虚设；如果使用802.1x或MAC ACL方式，管理维护工作量将非常大，用户使用不方便，嘉宾和工作伙伴的临时性上網需求也难以满足。

如何做到既对员工和外来访客进行有效的认证，又不大幅增加管理维护的工作量，我们经过比较和选型，最终决定使用网页重定向的认证方式，选用深信服的AC-3300-HI上网行为管理设备实现该功能。

在无线控制器和防火墙之间串联上网行为管理设备，进行身份认证、上网行为管控和流量管控。该设备支持微软AD域认证，能与有线网络内的原AD域服务器集成，使用原有的域账户密码进行身份认证。在设备上启用密码认证和二维码认证，用户首次打开网页进行网络访问时会弹出认证页面，页面中包括密码认证和二维码认证两个选项。台内员工使用原有的域账户和密码进行密码认证登录；没有账户密码的下属单位员工、兄弟单位员工和外来访客使用无线网络时，由通过认证的终端扫描登录页面上的二维码，备注需认证的上网人员信息，通过审核后方能上网。

上网行为管理的配置比较简单，部署模式设置为网桥模式（即透明模式），这样当设备关机或死机时，通过设备的Bypass功能，网络通路不会中断。设置网桥地址，默认路由的下一跳地址为路由器的lan口地址。在外部认证服务器选项中新增LDAP服务器，IP地址为AD域服务器的IP地址，认证端口为389，输入域管理员账户密码和BaseDN信息，在此可以增加多个LDAP服务器备用，可以定期将AD域服务器上的组织结构和用户自动同步到本地，当AD域出现故障时，认证不受影响；新增二维码认证，审核人为所有域账户，审核时，弹出审核页面，并备注上网人员信息。认证策略的设置比较灵活，认证范围、认证服务器、认证页面、认证后的跳转页面、优先选择哪种认证方式、认证后的用户归属到不同的本地组、自动录入用户和IP/MAC的绑定关系等都可以自定义。为了防止用户需要频繁输入账户密码进行认证，设置自动注销的无流量时间为一个月，每天不强制注销用户，这样员工由于出差、休假等原因短时间未登陆无线网络，再次访问时也不需要重新输入账户密码。

4 结论

通过使用上网行为管理设备进行无线网身份认证，满足了系统的需求，达到了以下目的：1）域账户能对临时用户授权，既解决了外来访客的临时性上网需求，又能进行认证；2）和有线网络使用同一套认证系统，方便用户使用，也减少了管理维护的工作量；3）该系统使用灵活，还能在认证页进行广告宣传、业务介绍、免责声明等；4）该系统还提供上网行为管理、流量管控、上网行为审计等，满足《中华人民共和国反恐怖主义法》和《互联网安全保护技术措施规定》对网络合规性的要求。电台无线认证系统投入运行以来，系统运行稳定，各方反映良好，有效地解决了无线网身份认证的问题。

参考文献

[1]胡建龙.基于无感知的校园无线网络认证策略研究[J].科技创新导报，2015（32）：120-121.