无线校园网中基于身份认证技术的研究与应用

合集下载

网络安全中的身份认证技术与应用研究

网络安全中的身份认证技术与应用研究在当今数字化时代，网络已经成为人们生活和工作中不可或缺的一部分。

随着网络应用的不断扩展和深入，网络安全问题日益凸显。

其中，身份认证技术作为保障网络安全的第一道防线，起着至关重要的作用。

身份认证技术的核心目标是确认用户的真实身份，防止非法用户的入侵和欺诈行为。

在网络环境中，由于用户与服务提供者之间往往无法直接面对面交流，因此需要通过特定的技术手段来验证用户的身份。

常见的身份认证技术包括基于口令的认证、基于令牌的认证、生物特征认证以及数字证书认证等。

基于口令的认证是最为常见和简单的一种方式。

用户通过输入预先设定的用户名和密码来证明自己的身份。

然而，这种方式存在着明显的安全隐患。

如果用户设置的密码过于简单或者在多个平台使用相同的密码，一旦其中一个平台的密码被泄露，其他平台的账户也将面临风险。

此外，黑客还可以通过网络监听、字典攻击等手段获取用户的口令。

为了提高认证的安全性，基于令牌的认证技术应运而生。

令牌可以是硬件设备，如 U 盾，也可以是软件生成的动态密码。

硬件令牌通常具有更高的安全性，但成本较高且携带不便。

软件令牌则相对灵活，但可能受到手机病毒、恶意软件的影响。

无论是硬件令牌还是软件令牌，其工作原理都是在用户登录时生成一个一次性的密码，有效时间通常较短，从而大大降低了密码被窃取和破解的风险。

生物特征认证技术是近年来发展迅速的一种身份认证方式，它利用人体固有的生理特征或行为特征来进行身份识别，如指纹识别、人脸识别、虹膜识别、语音识别等。

生物特征具有唯一性和稳定性，难以被伪造和模仿，因此具有较高的安全性。

然而，生物特征认证技术也并非完美无缺。

例如，指纹识别可能会受到手指受伤、污垢等因素的影响；人脸识别可能会受到光线、角度等因素的干扰。

此外，生物特征数据的采集和存储也需要严格的安全措施，一旦数据泄露，将对用户的隐私造成极大的威胁。

数字证书认证是一种基于公钥基础设施（PKI）的认证方式。

LDAP的研究与在校园网统一身份认证中的应用

本文由flydr贡献第9卷2期第2004 年4 月株洲师范高等专科学校学报J OU RNAL O F ZHU ZHOU T EACH ERS COLL E GEVol. 9 No . 2 Apr. 2004LDA P 的研究与在校园网统一身份认证中的应用陈,杨贯中莉①( 湖南大学软件学院,长沙410082)摘要: 简要介绍了LDAP 协议以及LDAP 的四种基本模型,阐述了统一身份认证的思想,并将LDAP 应用到校园网统一身份认证系统中.关键词:LDAP ; 统一身份认证; 目录服务中图分类号: TP312文献标识码:A文章编号:1009 - 1432 ( 2004) 02 - 0048 - 03( Software School , Hunan University , Changsha , Hunan 410082 , China) Abstract : The article briefly int roduces Lightweight Directory Access Protocol and it s four basic models and pus2network uniform identity aut hentication. expatiates on uniform identity aut hentication. It also discusses how to apply LDAP to t he system of cam2 Key words :LDAP ;uniform identity aut hentication ;directory serviceLDAP 的英文全称是Lightweight Directory Access Protocol , 即轻量级目录访问协议, 简称为LDAP.LDAP 技术发展得很快, 在企业系统范围内实现LDAP , 可使运行在几乎所有计算机平台上的任何应用程序从LDAP 目录中获取信息. LDAP 目录服务技术成为许多新型技术实现信息存储、管理和查询的首选方案. 基于LDAP 的校园网统一身份认证系统, 利用分布式的目录信息树结构,对用户身份信息和系统控制信息进行有效组织和管理,可提供高效、安全的目录访问.1LDAP 简介LDAP 是一个运行在TCP/ IP 上的目录访问协议,是基于X. 500 协议标准的, 但它比X. 500简单且可根据需要定制. 与X. 500 不同,LDAP 支持TCP/ IP 协议, 这对访问Internet 是必须的.LDAP 的核心规范在RFC 中都有定义. [ 1 ]LDAP 服务器是用来处理查询和更新LDAP目录的. 严格地说,LDAP 根本不是数据库而是用来访问存储在LDAP 目录中的信息的协议. LDAP 协议的第三个版本LDAP V3 不仅仅作为X. 500 的简化版出现, 同时提供了许多X. 500 所不具有的特性, 使LDAP 协议功能更完备, 更具有实用性. [ 2 ]2统一身份认证的思想统一身份认证的主要思想是由一个全校范围内唯一的认证服务系统接管应用各自的认证模块,各应用只需要遵循统一认证服务调用接口,即可实现用户身份的认证过程. 至于用户身份信息、密码的存储及在网络上传输的安全性, 由身份认证服务提供的安全认证协议来保证. LDAP 通过SSL/ TL S 认证机制来保护数据的完整性和私密3. 4 安全模型LDAP 的安全模型主要是基于绑定操作的,绑定操作的不同使得安全机制有所不同. [ 3 ] 一般有下述三种: ( 1) 无认证. 这种方法只在没有数据安全问题且不涉及访问控制权限的时候才能使用. ( 2 ) 基本认证. 当使用LDAP 的基本安全认证时,客户进程通过网络向服务进程发送一个分辨名( DN ) 和口令来标识自己. 服务进程检查客户进程发送的分辨名( DN ) 和密码是否与目录中存储的分辨名( DN ) 和密码相匹配,如果匹配则认为通过了认证; (3) SASL 认证. 即LDAP 提供的在SSL 和TL S 安全通道基础上进行的身份认证, 包括数字证书的认证.性. 校园网中所有的用户数据在LDAP 服务器中被统一管理,所有的应用程序通过网络访问同一个用户数据库, 数据的管理和安全保证放在LDAP 服务器上进行统一的维护.3LDAP 四种基本模型LDAP 的体系结构由四种基本模型组成: 信息模型描述LDAP 的信息表示方式, 命名模型描述LDAP 的数据如何组织, 功能模型描述LDAP 的数据操作访问方式, 安全模型描述LDAP 的安全机制.3. 1 信息模型LDAP 信息模型定义能够在目录中存储的数4LDAP 在校园网统一身份认证中的应用为实现校园网用户身份的统一认证, 本系统开发选择OPENLDAP 软件, 它是一个开放源码的免费软件,其中包括一个跨平台的轻量级目录访问服务器SLAPD ( 8 ) , 它支持LDAP V3 协议, 还包括主从备份服务器和数据库管理工具等.据类型和基本的信息单位. 在LDAP 中信息以树状方式组织,基本数据单元是条目( ent ry) ———即关于对象的信息集合,而每个条目由属性构成,属性中存储属性值. 通常, 条目中的信息说明真实世界的对象,比如一个人、、部门服务器、打印机等等,它们与组织中的真实对象相符合.4. 1 LDAP 自定义模式模式( Schema ) 是一个按相似性原则进行分组的对象类的集合. 模式中定义了属性类型和对象类. 每个在统一身份认证信息库中有合法身份的人, 对应着LDAP 目录信息树中的一个节点. 节点的属性包括这个人的身份信息以及一些控制信息. 目录设计的目标就是决定如何将这些节点组织成一个结构合理的目录信息树.Person 的LDAP 对象类以及一组该对象类可用的RFC2758 文档中定义了一个名为InetOrg2493. 2 命名模型LDAP 中的命名模型, 即LDAP 中的条目定位方式. 在LDAP 中每个条目均有自己的DN (Distinguished Name , 标识名) 和RDN ( RelativeDistinguished Name ,相对标识名) . DN 是该条目在整个树中的唯一名称标识,RDN 是条目在父节点下的唯一名称标识,如同文件系统中,带路径的文件名就是DN ,文件名就是RDN.3. 3 功能模型我们需要对目录树中的信息进行访问,LDAP 功能模型说明了能够使用LDAP 协议对目属性. 这些属性都是目录服务中经常要用到的信InetOrgPerson 对象类中已有的属性所能表示的录执行某些操作. 在LDAP 中共有四类操作( 共10 种) : ( 1) 查询类操作,如搜索、比较;( 2) 更新类操作,如添加条目、删除条目、修改息. 针对校园网统一身份认证系统的实际应用, 信息很难直接用标准模式中定义的属性来表示.因此系统中需引入自定义模式, 因为它能够恰当地描述系统的需求,并具有很好的可扩展性. 自定义模式的方法是在配置文件slapd. conf 的全局定入新的模式文件newschema. schema. 义部分加入:include ～/ newschema. schema , 即引条目、修改条目名; ( 3) 认证类操作,如绑定、解绑定;( 4) 其它操作,如放弃和扩展操作.除扩展操作,另外9 种是LDAP 标准操作.4. 2 系统结构设计统一身份认证系统的设计和实现需要涉及身份认证、访问控制、加密、通信以及数据库等多项[2 ] 技术. 具体分析了校园网应用的情况后, 笔者认为下面的结构可以建立校园网的统一身份认证系统见图1.个到若干个LDAP 从目录服务器, 以本地化地响应各种应用对LDAP 的操作, 从目录服务器的数据由主目录服务器自动复制而来. 使用统一身份认证服务, 把通常由多个管理员在许多应用之间进行的管理工作整合到一个管理控制台之中, 形成了一个集成化高、灵活性强、又较为安全的环境. 统一身份认证服务使各种应用能够使用所有受支持的身份认证方法; 提供单点进行所有身份认证尝试, 单点登录方法允许用户仅需登录一次即可访问其经过授权的多种应用,并可检测到并阻止暴力攻击,从而可以提高整体安全性和用户的工作效率.5结语目前,LDAP 已应用在北京大学、大连理工大图1基于LDAP 的统一身份认证系统校园的软件和应用系统是基于Web , 需灵活的体系结构,校园网络应用系统采用三层体系结构. 物理结构采用分布式实施模式,但逻辑上采用统一用户管理. [ 4 ] 网络应用系统整体分为三个层次,分别为: ( 1) 表现层: 门户服务将为校园网系统建立会员制,使能基于角色进行访问控制; ( 2 ) 应用层: 是关键性业务应用服务器, 它是校园网关键性应用逻辑的“容器”; (3) 数据层: 包括数据库服务器、LDAP 目录服务器、份识别服务器、子证书服务器. 身电LDAP 目录服务器和身份识别服务器将提供统一学、清华大学以及上海交大等高校的校园网络用户管理系统中,将LDAP 目录服务的特点引入到校园网统一身份认证中, 便于用户登录校园网络系统,及管理员维护系统. 随着校园网的各种应用不断涌现和进一步发展, 基于LDAP 的校园网统一身份认证系统会有很好的发展前景, 是未来实现数字化校园的基础.参考文献:[ 1 ] M. Wahl , T. Howes ,S. Kille. Lightweight Directory Ac2 cess Protocol ( V3 ) [ S ] . IETF RFC 2251. Network Working Group . 1997. [ 2 ] Michael Donnelly. An Introduction to LDAP[ EB/ OL ] . - 04 - 28. [ 3 ] 宋志强,陈怀楚,沈锡臣. 校园网统一身份认证结构及用户管理. 电子证书管理是基于LDAP 目录服务器和X. 509 标准颁发、管理和恢复用户的电子证书. 在统一身份认证方面, 采用基于LDAP 的目录管理是目前Internet 应用身份认证事实上的标准. 本系统中,在数据层配置LDAP 服务器作为主目录服务器,用于用户数据的统一管理和更新. 为进一步提高系统的效率,在应用层的主机上,配置一基于此结构的应用漫游的实现[J ] , 计算机工程与应用,2002.[4 ] 张慧宇,等. LDAP 研究及其在CA 中的应用, 计算机应用研究[J ] ,2002 , ( 10) .50http :/ / dapman. org/ rticles/ intro2to2ldap . ht ’ ml. 2000( 责任编辑: 易华容英文编校: 文爱军)。

校园网统一身份认证系统的研究与实现

综述256 2015年55期校园网统一身份认证系统的研究与实现黄娈天津城市建设管理职业技术学院，天津 300134摘要：随着校园建设规模的不断扩大，很多业务部门独立建成了涵盖教学、科研、管理、服务在内的多个业务系统，很大程度上改变了以往的教学及办公模式。

但是随着各种业务系统和用户数量的增加，网络规模也不断扩大，产生的跨部门协同办公和信息孤岛问题严重影响了校园建设进程，访问控制和用户信息安全问题也愈显突出，原有分散的“独立认证、独立授权、独立帐号管理”模式已经不能满足发展需求，因此建设一种完整统一、高效稳定、安全可靠的统一身份认证系统是校园网建设的重要目标。

关键词：校园网；身份认证系统；LDAP；；kerberos中图分类号：TP311.52 文献标识码：A 文章编号：1671-5810(2015)55-0256-02引言互联网技术的飞速发展使得网络服务已涵盖到工作、生活的各个方面，多种多样的网络服务、无处不在的应用和信息交流，使得国民经济的运行、各行各业的生产和人们的生活越来越依赖于网络这个交流平台，校园网也同样如此。

校园网不仅是高校对外交流的重要平台之一，也是展现学校风貌和特点的窗口。

随着近年来国家对高校信息化建设投入的增加，中国高校校园网开始进入高速发展阶段，规模不断扩大，应用领域日益增多，而众多信息系统的建设为教学科研、实验实习、行政管理、娱乐生活提供了一个方便、快捷、稳定、安全、高效的信息交流和资源共享平台。

但是网络高速发展也带来了很多问题，主要表现在网络资源不能合理分配、非校园网用户的接入影响了正常网络秩序，以及校园网内部信息的安全等。

面对这些问题，各高校都采用了用户认证接入系统，可以在一定程度上确保网络服务只能由校园网合法用户使用，从而对网络秩序的建立、资源的合理分配和网络信息的安全起到了保障作用。

1 存在的问题1.1 统一认证模式的问题统一认证模式是以统一身份认证服务为核心的服务使用模式。

网络实名认证在校园网中的应用

随着新一代互联网技术不断兴起及日益成熟，网络虚拟平台成为信息交流和共享主要
ＲＣＯＭ２１６６认证网关，通过认证后，应身份的交易日益重要而已经成为一项趋势，其到Ｄ
手段，其虚拟性和匿名性给用户对信息的交流
和共享带来了负面的影响。目前，我校校园内
上网完全处于自由进出状态，大量上网用户身
很大程度上带来了安全保障，但另一方面其对用服务器会自动记录该用户的上网行为，并设
个人隐私可能的侵犯也需要人们去探索研究。近年来，在各个领域开始探索实行实名制模式置保存６Ｏ天。
份无法鉴别，上网场所基本上是不受管理和限制，给校园网的管理带来极大麻烦，也给校园网的安全稳定带来隐患。所以，结合柳州师范
上网目志要保存至少６Ｏ天。因此，解决用户
参考文献
【ｌ】陈远，邹晶．网络实名制：规范网络
在校园网实行网络实名制是切实可行的。以柳州师专为例，有成熟的校园网网络基础环境和网络技术，可以保障网络实名认证顺利实
施；在实现的方式上，为了更好地兼容各种操作系统平台，我们选择采用Ｂ／Ｓ的架构，实名
方面有利于校园网环境安全稳定发展，另一
方面有利于规范校园网上网秩序，向健康良性
的网络发展，避免了上网中出现的储多不可管式和堆叠，负责用户的认证，授权和计费，数
控的问题。据采集、实时控制和执行各种网络和计费策略，
使ＩＰ网成为一个可运营、可管理的网络。它

校园无线网安全认证研究和应用

陈江，１７一）男，（９５，福建厦门人，学士学位，程师，工主要研究领域为网络安全、目管理。项
第３期
顾
鸿等：校园无线网安全认证研究和应用访问策略，利用登录设备、户组、Ａ用ＥＰ隧道建立类型这三个条件进行判断，获得对应的授权结果。
２１０２年第３期第３４卷总第２３期１
物流工程与管理ＮＡＧＥＥＭＮＴＬＯＧＩＴＣＮＩＥＥＲＩＧＡＮＤＭＡＮＳＩＳＥＧＮ
安全管理与技术 — 目— Ｊ ’ 工＾＿
ｄｉ１．９９ｊｉｎ１７４９．０２０．７ｏ：０３６／．ｓ．６４— ９３２１．３０５ｓ
数字证书，而不需要对每个客户端进行复杂ＰＩ的维护。从Ｋ
家用无线网络常用的静态ＷＥＰ共享密钥早已被证明是
没有安全可言，ＷＰ —ＰＫＷＰ２一ＰＫ的静态密钥虽然而ＡＳ／ＡＳ
具有较高的安全性，其静态的属性同样无法适应高校基于但个人的身份验证。在８２１ｉ０．无线网络安全标准集下，Ａ／１ＷＰ２ＡＳ企业版即提供了高强度加密算法，Ｅ又利用８２Ｉ０．Ｘ强制使
②添加ＬＡＤＰ服务器，置ＬＡ设ＤＰ服务器连接参数，括包
Ｉ址、ｄｉＮ、码；置目录组织中的ＳｂｅｔＳｒｈＰ地ＡｍｎＤ密设ｕｊｃｅｃ
Ｂｓａｅ及ＧｏｐＳｒｈＢｓ，明ＬＡｒｕｅｃａｅ指ＤＰ用户及用户组查询路径；

统一身份认证在大学校园网安全中的应用研究

统一身份认证在大学校园网安全中的应用研究在大学校园网安全中，统一身份认证系统的应用研究随着互联网和信息技术的快速发展，大学校园网安全问题日益凸显。

为了确保学生、教职工和校园信息的安全，在大学校园网中，引入统一身份认证系统已经成为一种常见的做法。

本文将探讨统一身份认证系统在大学校园网安全中的应用研究。

一、统一身份认证系统的基本原理统一身份认证系统（Unified Identity Authentication System）是一种集中式的用户身份认证与管理系统。

它使用一套统一的认证标准，通过集成各种身份认证机制和技术，实现对用户的身份信息进行统一管理和认证，为用户提供方便快捷、安全可靠的身份验证服务。

二、统一身份认证系统在大学校园网安全中的应用意义1. 用户身份统一管理统一身份认证系统可以集中管理学生、教职工等校园用户的身份信息，包括用户名、密码、权限等，实现身份信息的统一认证和管理。

通过这种方式，可以避免用户在多个系统中使用不同的账号和密码，提高用户的使用便利性和系统安全性。

2. 授权认证机制统一身份认证系统可以实现对不同用户的权限管理，根据用户身份的不同，控制其对系统资源的访问权限。

比如，教职工可以访问教学系统、科研系统等，而学生只能访问学习平台等。

这样可以有效控制用户的访问范围，保障系统资源的安全性。

3. 强化网络安全防护统一身份认证系统可以集成各种身份认证技术和加密算法，确保用户的身份信息在传输过程中不被窃取或篡改。

同时，通过日志记录和监控功能，可以及时发现和阻挡不正常的登录行为，提高大学校园网的整体安全性。

三、统一身份认证系统在大学校园网安全中的具体应用1. 单一登录系统单一登录系统是统一身份认证系统的核心应用。

它允许用户通过一套账号和密码即可访问校园网中的多个应用系统，不再需要针对每个系统进行独立认证。

这不仅提高了用户的使用便捷性，还减轻了用户的记忆负担，同时降低了系统的维护成本。

2. 网络资源统一管理统一身份认证系统还可以实现对大学校园网中的各种网络资源的统一管理。

无线网络安全的身份认证技术分析

无线网络安全的身份认证技术分析随着无线网络的普及，人们对于无线网络安全问题的关注也与日俱增。

其中，身份认证技术是保护无线网络免受未经授权访问和攻击的关键环节。

本文将对无线网络安全的身份认证技术进行详细分析，并列举一些常用的身份认证技术。

身份认证是指确认用户或设备的身份，以确保只有被授权的用户可以访问无线网络。

在无线网络中，身份认证的目的是验证用户的身份，并确定用户是否具有访问网络资源的权限。

下面我们将分别介绍几种常用的身份认证技术。

1. 密码认证密码认证是无线网络中最常见的身份认证技术之一。

它基于用户输入的密码进行认证，用户在连接无线网络时需要提供正确的密码，以通过认证并获得访问权限。

密码认证相对简单，但是存在一定的安全风险。

如果密码太简单或被泄露，可能会导致未经授权的用户访问网络。

2. RADIUS认证RADIUS（Remote Authentication Dial-In User Service）认证是一种广泛应用于无线网络中的身份认证技术。

它通过RADIUS服务器来验证用户的身份，并授权用户进行访问。

RADIUS服务器与无线访问点之间建立安全的连接，保护用户的身份信息免受未经授权访问和窃听。

3. EAP认证EAP（Extensible Authentication Protocol）认证是一种在无线网络中常用的身份认证协议。

它支持多种身份验证方法，包括密码、数字证书和智能卡等。

EAP认证提供了更高的安全性，可以有效防止中间人攻击和数据窃听。

4. 无线接入控制列表无线接入控制列表（Wireless Access Control List，简称ACL）是一种基于MAC地址的身份认证技术。

它要求无线设备的MAC地址必须在ACL列表中进行注册，只有注册的设备才能连接到无线网络。

ACL可以有效地防止未经授权设备的接入，提高无线网络的安全性。

5. 802.1X认证802.1X认证是一种使用端口级别身份认证的技术。

学校校园网络安全管理的身份认证与访问控制

学校校园网络安全管理的身份认证与访问控制在当今数字化时代，学校校园网络已成为教学、研究和信息交流的重要平台。

然而，随之而来的网络安全风险也变得愈发严峻。

为了确保学校网络系统的安全性和无障碍使用，学校校园网络安全管理需要依靠身份认证和访问控制等措施来加强保护。

本文将探讨学校校园网络安全管理中身份认证与访问控制的重要性以及实施方法。

首先，身份认证对于学校校园网络安全而言至关重要。

通过身份认证，可以确认用户身份和权限，从而保证只有授权用户才能访问网络系统。

身份认证可以采用多种方式，例如用户名和密码、指纹识别、身份证刷卡等。

其中，用户名和密码是最常见的身份认证方式，但也存在一定的风险，例如密码泄露和密码猜测。

因此，学校可以通过使用双因素认证来加强安全性，如结合密码和手机验证码的方式，以确保身份认证的可靠性。

其次，访问控制是校园网络安全的重要组成部分。

通过访问控制，学校可以限制用户的访问权限，防止未经授权的访问和攻击行为。

访问控制可以通过防火墙、入侵检测系统和访问策略等手段来实现。

防火墙作为网络边界的一道防线，可以根据设定的规则过滤和阻止不明来源的网络流量。

入侵检测系统可以监测和识别可能的攻击行为，并及时采取相应的措施进行阻止。

同时，学校还可以根据用户的身份和权限，制定相应的访问策略，将不同用户分组，并根据需求和安全级别给予不同的访问权限。

另外，学校还可以采用一些辅助措施来增强网络安全管理。

例如，定期对网络设备和系统进行检查和更新，及时修补安全漏洞；部署入侵防御系统，实时监测和处理潜在的攻击行为；加密敏感数据的传输，防止数据泄露和不当使用；定期进行网络安全培训，提高师生对网络安全的认知和技能等。

这些辅助措施能够全面提升学校校园网络的安全性，并保护师生的个人信息和学校敏感数据。

综上所述，学校校园网络安全管理的身份认证与访问控制是确保学校网络系统安全的关键步骤。

通过身份认证，可以确认用户身份和权限，防止非法访问。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

无线校园网中基于身份认证技术的研究与应用作者：黄锦煜来源：《电脑知识与技术》2019年第12期摘要：随着网络技术的发展，无线局域网的普及，高校无线校园网成为高校信息化建设和构建现代化校园的一个重要标准。

在校园网的信息安全建设中，无线网络安全成为目前研究的热点，在分析当前我校无线网络安全现状的基础上，深入研究了无线网络安全的相关技术，结合了实际情况和需求，提出基于身份认证技术的应用，对高校无线校园网建设提供参考。

关键词：无线校园网；网络安全；安全接入；身份认证中图分类号：TP393 文献标识码：A文章编号：1009-3044（2019）12-0021-02随着高校信息化建设的发展需要，无线校园网建设作为校园网基础设施已在各大高校陆续部署实施。

网络安全问题一直是网络技术发展中重要的研究课题，而无线网络安全相对于成熟的有线局域网来说，更是一个漫长探索的研究过程。

高校日益扩大的办学规模，网络应用领域日益增多，各種信息系统和共享资源的合理使用，无线校园网的接入势必影响了校内正常的网络秩序，以及校园网内部信息的安全。

本文将通过对当前无线校园网现状的分析，结合我校无线网络接入的实际情况，对无线网络安全中关键技术的研究，提出一种基于身份认证管理技术，可以在一定程度上区分接入用户，通过对不同用户的认证实现不同的网络服务权限，从而对校园网络秩序的建立、资源的合理分配和网络信息的安全起到一定的保证作用。

1 无线校园网现状无线网络的普及，给学校的教学、办公、科研带来了一定的作用，也为师生的学习、工作和娱乐提供了便捷。

在校园内搭建AP全覆盖，提供wifi信号接入，让全校师生在覆盖范围内无时无刻接入校园网，通过校园网接入互联网。

这样的接入方式给校园网的管理带来了很大的问题，其中的网络安全问题尤其凸显，主要存在诸如非法连接、网络监听、密码破解、网络攻击等等一系列安全问题。

[1]以我校目前实施的无线网络方案为例，随着数字化校园的建设过程，校园网络经历了多厂商多种无线接入的方式达到信号全覆盖。

其中，通过SSID，用户可以选择“Chinanet”中国电信或“cmcc”中国移动的信号接入，在特定信号覆盖区域接入各自的认证平台访问互联网资源，按时长按流量收费；用户也可以选择“gzcc”广州商学院的无线信号接入到校园网中，通过校园网访问互联网资源，没有任何认证，不收取费用。

本文将重点讨论后者的接入方式，给校园网带来的极大安全和管理的问题有：（1）日益增多的用户数量，分布在校园内的每个AP接入点的接入数是有限的，在用户长时间占有该连接的情况下，接入数达到上限后其他用户则无法进行连接；（2）有限的带宽资源，用户接入信号后，即可快速接入互联网，在非法攻击或恶意占用网络带宽的情况下，造成其他合法用户无法正常访问网络资源；（3）合理的网络访问权限，无论教师、学生或者校内校外的无线用户，都可以在覆盖范围内随意接入无线信号，访问校内外资源，造成特定用户的需求无法满足，而非法用户的权限没有受到限制。

所以，有必要对“gzcc”信号的无线接入方式进行安全的接入认证，根据现有的实际情况，对无线安全认证相关技术做了分析研究，目标是让无线校园网的管理更加可靠完善。

2 安全接入技术研究无线校园网络不同于普通的家用无线网络，早期的静态WEP共享密钥和常用WPA/WPA2-PSK静态密钥验证都无法适应对安全性要求较高的企业级无线网络，校园无线局域网一般使用Web Portal方式+ 802.1x认证进行准入管理，强制用户必须进行个人身份认证，这无疑是无线校园网最合适的安全认证方式[2]。

Web Portal是一种认证业务类型，属于应用层的认证，它不需要特定的客户端软件来执行。

主机连接到网络通过BRAS（Broadband Remote Access Server）宽带远程接入服务器提供的DHCP服务获得一个IP地址，登录指定的Portal Server认证页面进行用户名和密码认证，Portal Server得到用户信息与后台认证服务器通信验证并完成认证过程。

[3]通常在无线设备中，AC（AP Controller）作为BAS系统中Raidus Server的客户端，将用户通过Web页面传递过来的用户名和密码信息发送到Raidus Server进行校验，如果信息与Raidus Server信息一致则认证成功，AC将控制AP，允许该用户通过该AP访问校园网。

[4]然而往往会出现不进行认证的用户占用了IP地址的现象，校园内用户密集，容易产生单个AP的可用IP地址被耗尽的情况，从而影响正常用户的使用。

目前，中国电信的“Chinanet”和中国移动的“cmcc”信号均采用此认证方式，Raidus服务器部署在远端，不经过校园局域网，当用户在特定区域内连接信号，在Web页面输入正确的用户名和密码，直接可以被允许访问互联网，并按运营商的资费计费使用。

整个认证过程对用户来说是透明的，用户只需要输入正确用户名和密码。

802.1x协议是一种使用客户端和服务器进行访问控制的协议，它通过端口访问实体PAE （port access entity），根据认证服务器认证过程的结果，控制主机与接入交换机链接端口的开启和关闭来限制非注册用户访问网络。

[5]在无线局域网中，部署802.1x认证有两种选择：一种是与AP直接连接的交换机端口启用802.1x模式，让接入交换机完成802.1x；另外一种是在AP上启用802.1x，认证信息经AP和AC的控制通道，传送至AC，再由AC向Radius Server 发起802.1x的校验认证工作。

[6]考虑到现有网络的实际情况，对网络设备的有效管理和合理配置，可采用后者基于802.1x标准的无线局域网安全认证方式，在校园核心层部署AC无线控制器。

校内的无线网络用户使用自带支持802.1x协议客户端的移动终端（Windows系统、IOS 系统、安卓系统）选择802.1x认证方式，即可完成802.1x认证过程。

用户在“gzcc”信号覆盖的范围内请求连接，认证请求接入AP访问点，AP通过关闭802.1x功能的汇聚层交换机关联至AC访问控制器，建立CAP WAP协议隧道；由AC与Radius服务器交互认证信息，对用户进行认证；AC通知AP与无线终端建立安全网络连接，实现无线认证接入校园网的核心设备，通过校园局域网的安全策略访问到互联网。

整个认证过程对用户来说是也透明的。

3 基于身份认证管理校园用户通过“gzcc”认证后接入校园网，可以访问校内网络资源，通过防火墙和VPN可以访问互联网，但随着用户的增多，访问区域集中，在有限的带宽限制下，需要将无线用户划分为不同的群体，根据群体需求的不同，提供不同的访问权限。

这样能更有效地管理用户，合理地分配网络资源，提高网络的安全性。

对于用户群的管理，通常也有多种方式。

比如可以采用以各接入点的频段来划分各用户群，每个接入点使用一个特定的频率，每个用户只能使用其中一个接入点，不同区域接入点的覆盖区域可以相互重叠，只要使用的是不同频率就不会相互影响，用此方法来划分用户群，相当于一个AP就是一个用户群，优点可以避免大量的用户挤到一个特定的区域，这样可以平衡各个接入点的负载。

[7]缺点是用户的移动性差，无法为用户群设置相应权限，用户群过多也难以管理。

为了更好结合现有的校园网，增强有效管理性和安全性，可采用已得到成熟广泛使用的无线VLAN技术。

用VLAN可以把不同用户划分到不同工作组，同个工作组的用户也不必局限于某个固定的物理范围，VLAN技术节省了带宽同时也提高了网络处理能力。

为了方便用户群的管理，无线动态VLAN +接入认证技术，成为我校解决基于身份认证的无线接入管理方案。

首先根据用户需求，可把用户归类为在校教师、学生、来宾等，角色不同，访问权限不同，所分配到的带宽也不尽相同，比如教师可以满足正常教学、办公，访问校内外资源；学生只能访问校内图书馆、教务系统等校内资源；来宾只能访问互联网，无法访问校内资源。

用户通过“gzcc_student”“gzcc_teacher”“gzcc_guest”多个无线信号选择请求接入，请求页面自动转接到Web+Portal认证页面，AP要求用户填写正确的用户名和密码，将信息转发到Radius服务器进行认证，服务器查询数据库并记录，若用户存在且密码验证成功，服务器向用户发送准入信息，通过AP转发到用户端，该用户接入到校园无线网；Radius服务器在准入的同时，根据用户所在的群组，划分到指定的VLAN中去，不同VLAN有对应的访问权限。

Radius服务器中的数据库可以挂接到学校的统一身份认证数据库（LDAP），与校园网核心设备中的授权访问策略对应上，包括访问的端口、带宽限速、VLAN信息等，根据这样才能达到限制用户访问校内外资源的目的。

4 结束语本文通过对目前主流无线局域网安全标准的研究基础上，结合我校校园网的实际情况，在基于Web+Portal方式和802.1x认证技术上，提出根据不同用户群体采用基于身份认证和权限管理的方案，提高了无线网络安全。

校园网用户在无线信号覆盖的范围内，可以根据需要选择各种接入方式，通过认证后，实现安全上网，給校园网的管理和安全性带来一定的作用，也为后续的无线校园网升级改造和信息化数字化校园建设提供可行的参考方案。

参考文献：[1] 单家凌.基于身份的认证在无线校园网中的应用研究[J].软件，2013，34（10）：108-110.[2] 顾鸿，陈江.校园网无线网安全认证研究和应用[J].物流工程与管理，2012，34（213）：202-203.[3] 严世强.校园无线局域网部署及接入认证方式的研讨[J].石家庄铁道大学学报，2013，26（4）：102-104.[4] 王凤霞.校园网无线网络管理与应用优化[D].复旦大学，2012.[5] 许浒.部署安全的无线校园网[D].南京理工大学，2006[6] 聂得欣.基于802.1X标准的高校无线局域网安全认证方案分析[J].河南财政税务高等专科学校学报，2015，29（5）：93-95.[7] 陈玮.无线校园网异区漫游管理与应用技术研究[D].复旦大学，2009.【通联编辑：代影】。