摘 要:随着校园各类信息资源的不断丰富,以及一些云服务类的系统在一些校园内的引入和应用,无线网络的设计就逐渐成为了实现全面建设数字化校园过程中的一项重要内容。而在无线网络的组建过程中网络的安全设计是不容忽视的,在本文中作者主要结合本身实践对基于Portal认证的校园WLAN安全设计及应用进行了探究。
关键词:Portal认证;校园WLAN;安全设计;应用
中图分类号:TN925.93
信息资源的不断的扩充、网络接入用户的不断增多、各类WEB应用系统等在校园内的应用给校园内网络管理以及网络安全都带来很大问题。而最近几年来在校园内因为WLAN方面的应用越来越多,更加剧了校园网带宽、网络安全管理等方面的压力。在这样的背景下,如果还是采取简单身份认证的方式设计WLAN的接入是很难从根本上改善网络资源浪费、缺乏有效安全管理、管理压力巨大等诸多问题[1]。 而用户端准入机制的介入却恰恰在某种程度上缓解了目前校校园WLAN建设与运行中的这些问题,而Portal技术作为用户端点准入系统中的一个重要组成部分, 在基于Portal认证的校园网WLAN中用户端点准入系统以用户身份检查和相关策略检查的方式阻断非法登录,这样一来在终端安全得到了有效保证的同时校园网本身的安全也得到了很大程度上的保证。
1 802.1X以及Web Portal认证
在WLAN安全设计领域在用户端点准入方面的控制系统一般都是基于802. 1x 协议的,而W eb Portal技术则作为其辅助和补充,以达到网络安全管理中用户准入的控制[2]。
1.1 802.1X 协议的主要认证流程
终端接入用户将自己的IP地址配置为动态获取,该地址由DHCP服务器的地址池所提供,在终端接入到网络后其会得到一个私有的IP地址;有了这个私有的IP地址之后,实际上此时终端用户是可以获取有限的网络资源的—以私有IP访问W eb Porta服务器,从Web Portal服务器下载认证软件,并输入认证信息、提交发送认证信息[3]。认证服务器在检验了认证信息的合法性之后,将相关的认证信息发送给回应接入交换机的报文中。接入交换机收到报文信息后, 利用DHCP Relay 功能,发送一个DHCP请求报文给DHCP服务器。而DHCP服务器在收到该请求后, 会根据具体的权限值与DHCP地址池的对应关系分配公有的IP地址给接入交换机,,并由接入交换机将其转送给用户,完成这些之后相应的逻辑业务端口是会被打开的[4],这样一来终端用户就获得了有访问相关网络资源权限的IP地址实施网络资源的共享和获取了。
1.2 基于Portal的WLAN安全设计以及应用
在无线网络的安全管理中认证管理中,Web Portal因为其使用方便等方面的原因使其成为了校园网认证中不可或缺的重要补充手段[5]。在具体的设计方面,Portl认证的运行主要是依靠DHCP、Portal、AAA以及 BAS服务器的相互配合,具体结构如下图1所示:
在用户终端启动后,用户的操作系统将会向DHCP服务器请求并经过BAS转化为DHCP-Relay,以此获取可用的IP地址,负责BAS的设备根据分配的IP地址以及主机的MAC 地址、端口号等信息生成表项信息以此建立ACL策略。通过这样的机制用户端仅仅局限于访问Portal、DNS等一些内部服务器[6]。用户打开浏览器后一般即可登录Portal服务器,服务器为用户提供登陆的web页面(主要通过BAS设备确认用户端是否登录),用户在页面输入输用户名、密码,并将用户表单中的用户名、密码以及用户主机的IP地址传送给BAS设备;该设备在通过IP地址的形式验证用户,如果该用户是属于合法的并且属于未认证的用户, 则将用户名、密码等数据传送给AAA服务器进行下一步的认证。认证成功后,BAS设备接收确认结果并修改ACL策略(仅限于该用户),完成这些步骤后,正常情况下用户就可以接入网络享受WLAN上网服务了。
2 基于Portal认证的校园WLAN 安全应用价值
校园网一般上其结构都是比较复杂的,ARP攻击、伪DHCP服务器接入等不安全因素是随时存在并可能发生的[7]。加上WLAN是属于开放性接入的,网络安全隐患更为严重,因此在实际的工作中,我们可以在基于Portal认证的基础上实现多种WLAN上网的安全管理和控制:
2.1 实现用户的跟踪
在用户端使用账号进行认证登陆后实际上Portal服务器设备的后台是会记录该用户其上网的时间、线路的,结合流控、抓包工具和设备等在发现上网异常行为后可以锁定用户所在的地点并限制该用户的登录。
2.2 非法地址的过滤
认证服务搭建成功后,可以对BRAS、AP设备等进行配置,以此实现对对internet上外线路由指向AP的IP地址访问请求进行过滤。AP设备上,可以只设置对网管IP 地址的回应进而丢非法IP地址的访问。这样网管就可以实现对WLAN的AP的访问,而对于AP而言其仅仅只是对网管服务器进行回应,减少了AP请求与回应信息带来的不安全因素[8]。
2.3 更好的数据的隔离
通过认证服务的介入,完全可以实现校园WLAN工作数据信息与网络管理信息数据之间的隔离。这样就有效的预防了网管系统受恶意攻击、修改的问题。实现这样的配置方法有很多,可以考虑采用AP Trunk上联双VLAN的方式,不同的VLAN负责不同的数据信息交换(业务数据信息的交换和管理数据信息的传送、接收)。
对于校园网中的Portal认证而言,作为一种应用层上的协议,其在实现WLAN用户安全认证的过程中其利用自带的重传机制很好的保证了畅通、快速的无线网络登录与共享服务,同时其认证过程的体验也是比较好的,因此,目前基于Portal认证的WLAN安全设计与应用都是比较普遍的。该无线网接入方式具备了低投资高回报的特点,可以很好的满足实际的管理需要,保证了校园网和校园WLAN的可持续性运行。
参考文献:
[1]董兆殷.基于Portal认证的校园WLAN安全设计及应用[J].中国新技术新产品,2010(11):20.
[2]黄荣.基于802.1x和WebPortal认证技术的校园网用户端点准入控制系统的设计及应用[J].福州大学学报(自然科学版),2008(05):673-676.
[3]谭荣艺.高校校园无线网络的构建和应用[D].华南理工大学,2012.
[4]刘人源.集中式WLAN架构下802.1X认证系统的设计与实现[D].华南理工大学,2012.
[5]关则洛.集中式WLAN系统AP与STA接入的设计与实现[D].华南理工大学,2013.
[6]刘芸华.Portal和WebServices的企业协同办公系统的构建[D].山东大学,2013.
[7]卢畅.Portal认证系统的设计与实现[D].华中科技大学,2013.
[8]秦文胜,辛继胜.基于Portal认证的电信宽带接入在校园网中的应用[J].中国教育信息化,2011(21):79-80.
作者简介:杭中士(1981.10-),男,江苏扬州人,科长,讲师,工程硕士,研究方向:计算机应用技术。
作者单位:扬州高等职业技术学校,江苏扬州 225003
