摘要:隨著教育信息化建設(shè)加快推進(jìn),各中小學(xué)校數(shù)字化校園硬件和軟件系統(tǒng)也得到了不斷完善,在辦公及學(xué)習(xí)區(qū)域都有一定數(shù)量的無(wú)線AP, 方便老師移動(dòng)辦公和學(xué)生的數(shù)字化學(xué)習(xí)。但無(wú)線網(wǎng)絡(luò)相對(duì)于有線網(wǎng)絡(luò)沒(méi)有固定邊界,在沒(méi)有任何安全策略情況下只要進(jìn)入無(wú)線覆蓋范圍內(nèi)就可以關(guān)聯(lián)無(wú)線,存在身份無(wú)法確認(rèn)的巨大安全隱患。同時(shí)數(shù)據(jù)通過(guò)電磁波進(jìn)行傳輸,黑客可以通過(guò)無(wú)線抓包軟件探測(cè)周?chē)鸁o(wú)線數(shù)據(jù)報(bào)文,數(shù)據(jù)傳輸同樣存在安全隱患。本文給出一種基于802.1x協(xié)議的校園網(wǎng)無(wú)線認(rèn)證方法,并闡述了其實(shí)現(xiàn)步驟。
一、現(xiàn)狀與需求分析
隨著智能終端的普及,接入校園網(wǎng)絡(luò)的終端類(lèi)型正在逐漸發(fā)生變化。智能終端需要通過(guò)3G、GPRS、WIFI接入Internet網(wǎng)絡(luò)。但目前3G、GPRS上網(wǎng)資費(fèi)較貴,所以WIFI成為校園網(wǎng)中智能終端的主要接入方式。為了保障無(wú)線網(wǎng)絡(luò)及用戶(hù)數(shù)據(jù)傳輸?shù)陌踩枰獙?duì)接入終端身份進(jìn)行校驗(yàn),同時(shí)對(duì)傳輸數(shù)據(jù)進(jìn)行加密。
校園網(wǎng)中常見(jiàn)的無(wú)線身份驗(yàn)證方式為:預(yù)共享密鑰的方式、Portal方式(WEB認(rèn)證)。
(1)預(yù)共享密鑰:學(xué)校網(wǎng)絡(luò)管理員提前配置無(wú)線安全密鑰,用戶(hù)接入網(wǎng)絡(luò)時(shí)輸入提前配置的密鑰進(jìn)行身份驗(yàn)證。由于密鑰為靜態(tài)管理方式,如果該密鑰泄露,將失去用戶(hù)身份驗(yàn)證的作用,該方式在大型無(wú)線網(wǎng)絡(luò)中已經(jīng)很少使用。
(2)Portal方式:用戶(hù)使用瀏覽器進(jìn)行認(rèn)證(WEB認(rèn)證),不存在系統(tǒng)兼容性的問(wèn)題,但是用戶(hù)每次接入網(wǎng)絡(luò)都需要打開(kāi)瀏覽器進(jìn)行一次Portal認(rèn)證,如果每次都需要進(jìn)行Portal認(rèn)證將大大降低用戶(hù)的無(wú)線體驗(yàn)。
根據(jù)老師們使用習(xí)慣和應(yīng)用場(chǎng)景分析,能不能給我們的老師提供一種快速“無(wú)感知”的接入方式,即終端進(jìn)入無(wú)線覆蓋范圍內(nèi)即可自動(dòng)連接無(wú)線網(wǎng)絡(luò),不再需要輸入用戶(hù)名、密碼或者預(yù)共享密鑰等信息即可完成終端身份識(shí)別。化繁為簡(jiǎn)的“無(wú)感知”接入,讓用戶(hù)幾乎忘了自己是如何上網(wǎng)的,同時(shí)安全性卻絲毫沒(méi)有妥協(xié),網(wǎng)絡(luò)管理員依然可以做到最為安全的無(wú)線網(wǎng)絡(luò)接入。
二、802.1x無(wú)感知認(rèn)證價(jià)值描述
無(wú)感知認(rèn)證的方案有:基于802.1x無(wú)感知認(rèn)證,基于MAC無(wú)感知認(rèn)證。本文主要討論基于802.1x的無(wú)感知認(rèn)證。
市場(chǎng)上大部分智能終端都支持802.1x認(rèn)證功能,802.1x技術(shù)為企業(yè)級(jí)的網(wǎng)絡(luò)提供了安全和便捷的解決方案。用戶(hù)希望接入無(wú)線網(wǎng)絡(luò)時(shí)只需要首次進(jìn)行認(rèn)證信息配置,后續(xù)用戶(hù)只要進(jìn)入無(wú)線信號(hào)覆蓋范圍內(nèi)即可自動(dòng)完成認(rèn)證。
802.1x協(xié)議規(guī)定在完成認(rèn)證之前是不允許信息交互的,因此手持終端與AC在認(rèn)證之前只能通過(guò)802.1x協(xié)議規(guī)定的EAP(Extensible Authentication Protocol,可擴(kuò)展認(rèn)證協(xié)議)幀交換認(rèn)證信息。目前大多數(shù)手持終端都支持基于802.1x的EAP認(rèn)證,輸入相應(yīng)的用戶(hù)名密碼,即可自動(dòng)完成認(rèn)證,這種方式稱(chēng)為EAP-PEAP,即Protected-EAP(受保護(hù)的可擴(kuò)展的身份驗(yàn)證協(xié)議)。已被Wi-FI聯(lián)盟WPA和WPA2批準(zhǔn)的有兩個(gè)子類(lèi)型:PEAPV0-MSCHAPV2和PEAPV1-GTC。又由于PEAP是一個(gè)框架協(xié)議,目前業(yè)界使用最廣的是由微軟提出的PEAP-MSCHAPV2協(xié)議,又被稱(chēng)作MS-PEAP,也就是我們?cè)趇Phone上看到的WPA/WPA2企業(yè)級(jí)認(rèn)證方式。
PEAP是可擴(kuò)展的身份認(rèn)證協(xié)議,認(rèn)證過(guò)程分為兩個(gè)階段,第一階段終端與Radius服務(wù)器之間建立TLS隧道,通過(guò)TLS保護(hù)第二階段用戶(hù)信息的交互;第二階段完成認(rèn)證方式的協(xié)商及用戶(hù)身份的認(rèn)證。常見(jiàn)的PAEP認(rèn)證方式有兩種:PEAP-MSCHAPV2、PEAP-GTC。從技術(shù)角度而言,PEAP-MSCHAPV2技術(shù)是大部分移動(dòng)終端都支持的無(wú)線認(rèn)證協(xié)議,該協(xié)議將用戶(hù)的認(rèn)證信息在PEAP保護(hù)下傳輸,且用戶(hù)密碼無(wú)法被解密而被竊取。所以PEAP-MSCHAPV2成為大部分無(wú)線項(xiàng)目主推的認(rèn)證方式。
三、基礎(chǔ)網(wǎng)絡(luò)部署
802.1x無(wú)感知認(rèn)證采用標(biāo)準(zhǔn)的PEAP方式進(jìn)行認(rèn)證,該功能不是銳捷特有的功能,下面只是以銳捷網(wǎng)絡(luò)設(shè)備為例。
1.網(wǎng)絡(luò)設(shè)備
三層核心交換機(jī)SW1(S8606),二層接入交換機(jī)SW2(S2900),無(wú)線AP(RG-AP320-I),無(wú)線AC控制器(RG-WS5302),RG-ESS或RG-SMP認(rèn)證系統(tǒng)。
2.網(wǎng)絡(luò)拓?fù)?/p>
網(wǎng)絡(luò)拓?fù)淙鐖D1所示,其功能介紹如表1所示。
圖1 網(wǎng)絡(luò)拓?fù)?/p>
表1 功能介紹
