随着教育信息化建设加快推进,各中小学校数字化校园硬件和软件系统也得到了不断完善,在办公及学习区域都有一定数量的无线AP, 方便老师移动办公和学生的数字化学习。但无线网络相对于有线网络没有固定边界,在没有任何安全策略情况下只要进入无线覆盖范围内就可以关联无线,存在身份无法确认的巨大安全隐患。同时数据通过电磁波进行传输,黑客可以通过无线抓包软件探测周围无线数据报文,数据传输同样存在安全隐患。本文给出一种基于802.1x协议的校园网无线认证方法,并阐述了其实现步骤。
一、现状与需求分析随着智能终端的普及,接入校园网络的终端类型正在逐渐发生变化。智能终端需要通过3G、GPRS、WIFI接入Internet网络。但目前3G、GPRS上网资费较贵,所以WIFI成为校园网中智能终端的主要接入方式。为了保障无线网络及用户数据传输的安全,需要对接入终端身份进行校验,同时对传输数据进行加密。
校园网中常见的无线身份验证方式为:预共享密钥的方式、Portal方式(Web认证)。
(1)预共享密钥:学校网络管理员提前配置无线安全密钥,用户接入网络时输入提前配置的密钥进行身份验证。由于密钥为静态管理方式,如果该密钥泄露,将失去用户身份验证的作用,该方式在大型无线网络中已经很少使用。
(2)Portal方式:用户使用浏览器进行认证(Web认证),不存在系统兼容性的问题,但是用户每次接入网络都需要打开浏览器进行一次Portal认证,如果每次都需要进行Portal认证将大大降低用户的无线体验。
根据老师们使用习惯和应用场景分析,能不能给我们的老师提供一种快速“无感知”的接入方式,即终端进入无线覆盖范围内即可自动连接无线网络,不再需要输入用户名、密码或者预共享密钥等信息即可完成终端身份识别。化繁为简的“无感知”接入,让用户几乎忘了自己是如何上网的,同时安全性却丝毫没有妥协,网络管理员依然可以做到最为安全的无线网络接入。
二、802.1x无感知认证价值描述
无感知认证的方案有:基于802.1x无感知认证,基于MAC无感知认证。本文主要讨论基于802.1x的无感知认证。
市场上大部分智能终端都支持802.1x认证功能,802.1x技术为企业级的网络提供了安全和便捷的解决方案。用户希望接入无线网络时只需要首次进行认证信息配置,后续用户只要进入无线信号覆盖范围内即可自动完成认证。
802.1x协议规定在完成认证之前是不允许信息交互的,因此手持终端与AC在认证之前只能通过802.1x协议规定的EAP(Extensible Authentication Protocol,可扩展认证协议)帧交换认证信息。目前大多数手持终端都支持基于802.1x的EAP认证,输入相应的用户名密码,即可自动完成认证,这种方式称为EAP-PEAP,即Protected-EAP(受保护可扩展的身份验证协议)。已被Wi-FI联盟WPA和WPA2批准的有两个子类型:PEAPV0-MSCHAPV2和PEAPV1-GTC。又由于PEAP是一个框架协议,目前业界使用最广的是由微软提出的PEAP-MSCHAPV2协议,又被称作MS-PEAP,也就是我们在iPhone上看到的WPA/WPA2企业级认证方式。
PEAP是可扩展的身份认证协议,认证过程分为两个阶段,第一阶段终端与Radius服务器之间建立TLS隧道,通过TLS保护第二阶段用户信息的交互;第二阶段完成认证方式的协商及用户身份的认证。常见的PAEP认证方式有两种:PEAP-MSCHAPV2、PEAP-GTC。从技术角度而言,PEAP-MSCHAPV2技术是大部分移动终端都支持的无线认证协议,该协议将用户的认证信息在PEAP保护下传输,且用户密码无法被解密而被窃取。所以PEAP-MSCHAPV2成为大部分无线项目主推的认证方式。
三、基础网络部署
802.1x无感知认证采用标准的PEAP方式进行认证,该功能不是锐捷特有的功能,下面只是以锐捷网络设备为例。
1.网络设备
三层核心交换机SW1(S8606),二层接入交换机SW2(S2900),无线AP(RG-AP320-I),无线AC控制器(RG-WS5302),RG-ESS或RG-SMP认证系统。