打开文本图片集
【 摘 要 】 无线局域网的应用日益广泛,如何保证无线局域网的安全性一直是用户最为关心的问题。论文详细介绍了目前主流的五种无线局域网接入认证机制,从四个角度分析了它们的优缺点和适用场景,为无线局域网建设者的设计选型提供了参考。
【 关键词 】 无线局域网;认证机制;802.1x
【 Abstract 】 Wireless Local Area Network is increasingly widespread. And how to ensure the safety of WLAN is the most important to the users. In this paper, 5 popular authentication mechanisms in WLAN are detailed and analyzed from 4 aspects. Their advantages and disadvantages as well as suitable situation are proposed. This paper provided references for WLAN construction.
【 Keywords 】 wireless local area network; authentication mechanisms; 802.1x
1 引言
目前,以IEEE 802.11为标准的无线局域网(Wireless Local Area Network,WLAN)为用户提供了越来越高的无线接入带宽。越来越多的用户开始使用WLAN网络,同时也对WLAN的安全性也提出了越来越高的要求。如何保护用户敏感数据的安全,保护用户的隐私,是WLAN用户最为关心的问题。
WLAN的无线信号是在空中自由传播的,这些数据可以被任何合适的接收装置获取的。因此,WLAN由最初发展到现在,其安全性问题一直备受关注,相关的认证、加密技术也不断演进,不断加强。目前,商用的WLAN已具备了一系列的安全机制,以满足各种应用场景的实际需求,小到家庭无线网络,大到企业网WLAN、校园网WLAN,乃至运营商统一建立的广域覆盖WLAN,都有相应合适的认证、加密技术来保护用户数据的安全。
本文重点介绍目前主流的无线局域网接入认证机制,分析其主要特征和适用场景,为无线局域网设计人员选择接入认证机制提供参考。
2 常见的无线局域网接入认证机制
2.1 PSK认证
预共享密钥(Pre-Shared Key , PSK)认证需要实现在无线客户端和设备端配置相同的预共享密钥。客户端申请接入网络时输入密钥,如果密钥相同,PSK 接入认证成功;如果密钥不同,PSK 接入认证失败。
2.2 MAC认证
MAC 地址认证是一种基于端口和MAC 地址对用户的网络访问权限进行控制的认证方法。通过手工维护一组允许访问的MAC 地址列表,实现对客户端物理地址过滤,但这种方法的效率会随着终端数目的增加而降低。MAC 地址认证分为两种方式。
(1)本地 MAC 地址认证:当选用本地认证方式进行MAC 地址认证时,需要在设备上预先配置允许访问的MAC 地址列表,如果客户端的MAC 地址不在允许访问的MAC 地址列表,将被拒绝其接入请求。
(2)通过 RADIUS 服务器进行MAC 地址认证:当MAC 接入认证发现当前接入的客户端为未知客户端,会主动向RADIUS 服务器发起认证请求,在RADIUS服务器完成对该用户的认证后,认证通过的用户可以访问无线网络以及相应的授权信息。
2.3 Portal认证
Portal认证即WEB认证,客户端接入到无线网络中,先向DHCP 服务器申请到一个IP 地址,再进行浏览器的网络访问。此时,客户端只能访问Portal认证服务器,输入任何有效的地址都将被重定向到认证服务器,要求用户进行认证。当用户认证通过后,用户才能访问其他网络资源。Portal认证的主要特点是不需要用户安装客户端,用户通过浏览器进行接入认证,适用于手机、PAD、笔记本电脑等各种移动终端。
无线局域网的Portal认证通常由四个基本要素组成:客户端、接入服务器、Portal服务器、AAA(Authentication,Authorization,Accounting)服务器,具体的认证交互流程如图1所示,其中无线网控制器AC(Wireless Access Point Controller)担当接入服务器。
(1)动态用户通过DHCP协议获取地址的过程(静态用户手工配置地址即可);(2)用户访问Portal认证服务器的认证页面,在其中输入用户名、密码并登录;(3)Portal认证服务器将用户的信息通过内部协议发送给接入服务器;(4).接入服务器到相应的AAA服务器对该用户进行认证;(5)AAA服务器返回认证结果给接入服务器;(6)接入服务器将认证结果通知Portal认证服务器;(7)Portal认证服务器通过HTTP页面将认证结果通知用户;(8).如果认证成功用户即可正常访问网络资源。
2.4 无感知Portal认证
无感知Portal认证是一种Portal+MAC的认证方式。这种认证方式是在移动终端首次接入无线网络时采用Portal认证方式,通过认证后,在认证服务器中记录下移动终端的MAC地址。当移动终端再次申请接入网络时,直接通过MAC认证接入网络。具体的认证流程如2图所示。
2.5 802.1x认证
IEEE 802.1x是一种基于端口的网络接入控制技术,该技术提供一个可靠的用户认证和密钥分发的框架,可以控制用户只有在认证通过以后才能连接网络。IEEE 802.1x本身并不提供实际的认证机制,需要和上层认证协议(EAP)配合来实现用户认证和密钥分发。EAP允许无线终端支持不同的认证类型,能与后台不同的认证服务器进行通信,如远程接入用户服务(Radius)。
IEEE 802.1X协议采用典型的客户端/服务器体系结构,包括三个主要的部分:客户端(Supplicant System)、网络接入系统(Network Access System)以及认证服务器(Authentication Server System)。具体认证流程:(1)客户端向网络接入系统发送一个EAPoL-Start报文,开始802.1x认证接入;(2)网络接入系统向客户端发送EAP-Request/Identity报文,要求客户端提交用户名;(3)客户端回应一个EAP-Response/Identity报文给网络接入系统,其中包括用户名;(4)网络接入系统将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,发送给认证服务器;(5)认证服务器产生一个Challenge,通过网络接入系统将RADIUS Access-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;(6)网络接入系统将EAP-Request/MD5-Challenge报文发送给客户端,要求客户端进行认证;(7)客户端收到EAP-Request/ MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word封装在EAP-Response/ MD5-Challenge报文中回应给网络接入系统;(8)网络接入系统将Challenge,Challenged Password和用户名一起送到认证服务器,由认证服务器进行认证;(9)认证服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到网络接入系统;(10)如果认证成功,客户端通过网络接入系统获取规划的IP地址,用户正常上线;如果认证失败,则返回相关错误信息。
3 对比分析
为了系统地对比五种常用的无线局域网接入认证机制,分析各种机制的应用场景。
本文定义了四个衡量指标:(1)适用规模:主要是指该认证方式能够支持的网络规模,例如MAC认证需要网络管理事先收集全网准入的MAC地址,该方式就无法在大型网络中使用;(2)安全性:主要比较认证方式是否支持不同用户不同口令以及认证过程中的是先入网后认证,还是先认证后入网等不同的安全性差异,以Portal认证为例,这就是一个典型的先入网后认证的机制;(3)易用性:主要比较用户使用上述认证方式时的方便性,以802.1x认证为例,Windows 8之前的Windows用户通常需要安装相应的客户端才能支持,而Portal认证的用户则是每次入网都需要重新进行认证;(4)维护难度:主要指对无线网运维人员的技术要求,维护难度越大,对运维人员的技术要求越高。
从这四个方面对常见的五种无线局域网接入认证机制进行了对比分析,如表1所示。
4 结束语
本文详细介绍目前主流的五种无线局域网接入认证机制,并从适用规模、安全性、易用性、维护难度爱个方面对它们进行了分析。无线局域网的设计人员可以根据自己的实际需求,参考上述分析,选择合适的接入认证机制。
参考文献
[1] 杨璐.校园WLAN无感知认证方式分析[J].信息安全与技术,2015,(1):22-24.
[2] 马逵.无线局域网安全认证的关键技术——802.1x认证系统的研究与实现[D].东南大学,2004.
[3] 任治洪.局域网Portal认证研究及应用[J].甘肃科技,2012,(6):25-27.
作者简介:
徐鹏(1981-),男,江苏海安人,中国科学院软件研究所,博士,中国石油信息技术服务中心,高级工程师;主要研究方向和关注领域:企业信息化、网络管理、信息安全。
余学锋(1982-),男,湖南桃江人,北京大学软件与微电子学院,硕士,中国石油信息技术服务中心,工程师;主要研究方向和关注领域:企业信息化、信息安全、财务管理。