摘要:隨著教育信息化建設加快推進,各中小學校數字化校園硬件和軟件系統也得到了不斷完善,在辦公及學習區域都有一定數量的無線AP, 方便老師移動辦公和學生的數字化學習。但無線網絡相對于有線網絡沒有固定邊界,在沒有任何安全策略情況下只要進入無線覆蓋范圍內就可以關聯無線,存在身份無法確認的巨大安全隱患。同時數據通過電磁波進行傳輸,黑客可以通過無線抓包軟件探測周圍無線數據報文,數據傳輸同樣存在安全隱患。本文給出一種基于802.1x協議的校園網無線認證方法,并闡述了其實現步驟。
一、現狀與需求分析
隨著智能終端的普及,接入校園網絡的終端類型正在逐漸發生變化。智能終端需要通過3G、GPRS、WIFI接入Internet網絡。但目前3G、GPRS上網資費較貴,所以WIFI成為校園網中智能終端的主要接入方式。為了保障無線網絡及用戶數據傳輸的安全,需要對接入終端身份進行校驗,同時對傳輸數據進行加密。
校園網中常見的無線身份驗證方式為:預共享密鑰的方式、Portal方式(WEB認證)。
(1)預共享密鑰:學校網絡管理員提前配置無線安全密鑰,用戶接入網絡時輸入提前配置的密鑰進行身份驗證。由于密鑰為靜態管理方式,如果該密鑰泄露,將失去用戶身份驗證的作用,該方式在大型無線網絡中已經很少使用。
(2)Portal方式:用戶使用瀏覽器進行認證(WEB認證),不存在系統兼容性的問題,但是用戶每次接入網絡都需要打開瀏覽器進行一次Portal認證,如果每次都需要進行Portal認證將大大降低用戶的無線體驗。
根據老師們使用習慣和應用場景分析,能不能給我們的老師提供一種快速“無感知”的接入方式,即終端進入無線覆蓋范圍內即可自動連接無線網絡,不再需要輸入用戶名、密碼或者預共享密鑰等信息即可完成終端身份識別。化繁為簡的“無感知”接入,讓用戶幾乎忘了自己是如何上網的,同時安全性卻絲毫沒有妥協,網絡管理員依然可以做到最為安全的無線網絡接入。
二、802.1x無感知認證價值描述
無感知認證的方案有:基于802.1x無感知認證,基于MAC無感知認證。本文主要討論基于802.1x的無感知認證。
市場上大部分智能終端都支持802.1x認證功能,802.1x技術為企業級的網絡提供了安全和便捷的解決方案。用戶希望接入無線網絡時只需要首次進行認證信息配置,后續用戶只要進入無線信號覆蓋范圍內即可自動完成認證。
802.1x協議規定在完成認證之前是不允許信息交互的,因此手持終端與AC在認證之前只能通過802.1x協議規定的EAP(Extensible Authentication Protocol,可擴展認證協議)幀交換認證信息。目前大多數手持終端都支持基于802.1x的EAP認證,輸入相應的用戶名密碼,即可自動完成認證,這種方式稱為EAP-PEAP,即Protected-EAP(受保護的可擴展的身份驗證協議)。已被Wi-FI聯盟WPA和WPA2批準的有兩個子類型:PEAPV0-MSCHAPV2和PEAPV1-GTC。又由于PEAP是一個框架協議,目前業界使用最廣的是由微軟提出的PEAP-MSCHAPV2協議,又被稱作MS-PEAP,也就是我們在iPhone上看到的WPA/WPA2企業級認證方式。
PEAP是可擴展的身份認證協議,認證過程分為兩個階段,第一階段終端與Radius服務器之間建立TLS隧道,通過TLS保護第二階段用戶信息的交互;第二階段完成認證方式的協商及用戶身份的認證。常見的PAEP認證方式有兩種:PEAP-MSCHAPV2、PEAP-GTC。從技術角度而言,PEAP-MSCHAPV2技術是大部分移動終端都支持的無線認證協議,該協議將用戶的認證信息在PEAP保護下傳輸,且用戶密碼無法被解密而被竊取。所以PEAP-MSCHAPV2成為大部分無線項目主推的認證方式。
三、基礎網絡部署
802.1x無感知認證采用標準的PEAP方式進行認證,該功能不是銳捷特有的功能,下面只是以銳捷網絡設備為例。
1.網絡設備
三層核心交換機SW1(S8606),二層接入交換機SW2(S2900),無線AP(RG-AP320-I),無線AC控制器(RG-WS5302),RG-ESS或RG-SMP認證系統。
2.網絡拓撲
網絡拓撲如圖1所示,其功能介紹如表1所示。

圖1 網絡拓撲
表1 功能介紹