胡建龙　王莎莎　王宇翔

摘 要：校园无线网络建设是未来校园网基础网络建设的重点，无线网络接入是未来校园网用户上网的主要接入方式。通过对校园网主流认证方式802.1X认证、Portal认证及MAC认证优缺点的分析，提出使用Portal+MAC认证的方式实现用户的无感知认证，在用户不参与操作的情况下完成身份认证，提高了用户体验。

关键词：无线网 无感知 认证

中图分类号：TP393.0 文献标识码：A 文章编号：1674-098X（2015）11（b）-0120-02

Abstract：Campus wireless network construction is the future campus network focused on network infrastructure， wireless network access is the future of the main campus network usersInternet access. Through the mainstream campus network authentication 802.1X authentication， Portal authentication and MAC authentication analyze the advantages and disadvantages of proposed use Portal + MAC authentication means to achieve userauthentication without perception， identity authentication in case the user does not participate in the operation， to improve the user experience.

Key Words：Wireless network；No perception；Authentication

随着信息技术的发展和高校信息化进程的推进，校园网建设已经进入了一个新的阶段。校园网用户已经不满足于仅仅使用台式机和笔记本在布有固定信息点的区域上网，而是希望使用手机、平板电脑等手持终端在校园里随时随地轻松地接入网络。对于校园网的规划者和建设者而言，校园无线网络的建设迫在眉睫。在现阶段，校园无线网络建设已经不仅仅是有线网络的补充，而是未来校园网的主要接入方式，是校园网基础设施建设的重点。而对于校园无线网络建设而言，如何向用户提供方便、安全的认证方式，正是目前无线网络建设中的一个重要研究课题。

1 校园无线网络认证方式现状分析

目前，在高校的校园无线网环境下，比较主流的认证方式有802.1X认证，Portal认证和MAC地址认证。

1.1 802.1x认证

802.1x认证是基于C/S架构的访问控制和认证模式，它可以通过接入设备的端口对未通过认证的用户进行限制。配置了802.1x协议的交换机端口被分为物理端口和逻辑端口两部分，在认证成功之前，虽然物理端口是打开的，但逻辑端口处于关闭状态。此时，物理端口只允许EAPoL数据包通过，当认证成功以后，逻辑端口打开，允许正常数据包通过。

802.1x认证方式，用户终端需要安装客户端，适用于台式机、笔记本等个人PC，常用于有线网络和胖AP模式的无线网络。

1.2 Portal认证

Portal认证方式是最常用、最便捷的认证方式，在认证过程中，用户无需在终端上安装客户端，直接通过浏览器进行认证。用户在认证成功之前，所有的http请求均被重定向到Portal认证页面，认证成功后方可访问网络资源。Portal认证模式在校园无线网络环境中部署较多。

1.3 MAC地址认证

MAC地址认证是以用户终端的MAC地址作为特征，对用户的合法性进行验证。网络管理人员需要在接入交换机内部或者是远程数据库维护一张MAC地址表，将所有需要接入网络的终端MAC地址记录下来。当有用户接入网络时，首先要验证其终端的MAC地址是否与MAC地址表中的地址匹配，只有匹配成功的终端才被允许访问网络，在小规模的无线网络环境下，MAC地址认证方式方便、快捷，较为实用。

以上3种认证方式是目前校园网环境中使用比较多的，但对于以无线接入方式为主的移动终端来说，3种认证方式各有弊端。其中，802.1x认证方式需要安装客户端软件，对终端操作系统版本及接入设备类型的要求较多，不够灵活。Portal认证方式相对较为便捷、安全，但用户在每次上网之前，都需要通过浏览器打开认证页面，输入用户名、密码进行认证，对于手机APP软件来说，此认证过程较为繁琐。MAC地址认证方式兼容性较好，认证过程简单，但存在被黑客伪造MAC地址的情况，安全性较差。

2 无感知认证方式

随着无线网络应用越来越广泛，在当前校园无线网络建设中，如何部署认证系统，使得在认证过程中降低操作的复杂度，减少用户的参与度，做到用户无感知的情况下完成身份认证，是目前业界较为关注的课题。

经过对主流认证方式特点的分析，结合笔者学校无线网络设备实际情况，选择使用Portal+MAC组合的认证方式，通过两次认证，实现首次认证用户参与、后续认证自动完成的无感知认证。

具体认证过程如图1所示。

（1）用户首次连接SSID时，由用户终端向AC发起认证请求，AC获取用户终端的MAC地址并向RADIUS服务器发起MAC认证请求，此时，由于RADIUS服务器的数据库中尚未记录用户终端的MAC地址，因此会拒绝认证，MAC地址认证失败。

（2）当用户访问浏览器访问网络时，AC查找之前的MAC地址认证失败记录，拦截用户的URL请求，并将其重定向至Portal认证页面，提示用户输入账号、密码。

（3）Portal服务器将接收到的账号、密码信息以Portal协议发送给AC，由AC向RADIUS发起认证请求，认证成功后，RADIUS服务器后台数据库将记录此用户的账号、MAC地址等信息。

（4）用户在后续连接SSID时，依然先由AC向RADIUS服务器发送MAC认证请求，此时由于RADIUS服务器后台数据库已有用户的账号、MAC地址等信息的记录，认证成功，用户上线，不需要再进行Portal认证。后续认证是在用户连接SSID后，由终端、AC、RADIUS自动完成的，不需要用户进行参与，因此对用户来说是无感知的。

从认证过程中可以看到，无感知认证不是免认证，是在认证过程中减少用户的参与度，降低操作的复杂度，在用户毫无感知的情况下完成的身份认证，既保证了对用户上网的安全管理，同时提高了用户的上网体验，适合于为教师和学生服务的校园无线网环境。

3 结语

无线网络全覆盖是未来校园网建设的大趋势，在建设校园无线网的过程中，如何更好地方便用户使用，提高用户体验，是校园无线网建设者应该思考的问题。无感知认证方式，将Portal认证方式的安全性与MAC认证方式的便捷性相结合，提高了用户体验。但是，无感知认证是在用户不知情的情况下完成的，对于按流量或按时长计费的高校来说，会在用户不知情的情况下产生流量或上网时长，造成用户经济损失。因此，在部署无感知认证的校园无线网络环境下，需要结合该校实际情况，合理地设置用户下线策略和计费模式，才能避免用户流量或上网时长的损失，提高用户使用的满意度。

参考文献

[1] 杨秀梅，郑剑.校园无线网部署方案研究[J].华东师范大学学报：自然科学版，2015（s1）：174-179.

[2] 刘长瑞，聂明.无感知WLAN业务认证方式的分析[J].电信工程技术与标准化，2012（8）：25-29.

[3] 邱知文，张杰.基于校园无线网的BYOD认证系统设计与实现[J].计算机应用与软件，2015（2）：94-96，147.

[4] 柏军洋，杜庆东.校园网认证系统的安全分析与研究[J].沈阳师范大学学报：自然科学版，2013（2）：263-267.

[5] 梁根.基于RADIUS的校园网认证管理系统的研究与实现[J].计算机技术与发展，2006（6）：43-44，47.