北京交大校园无线网8021x无感知认证操作手册v北京交通大学

校园网基于802.1x无感知认证的研究与实现作者：曹忠华来源：《中国教育信息化·高教职教》2015年第05期摘要：随着教育信息化建设加快推进，各中小学校数字化校园硬件和软件系统也得到了不断完善，在办公及学习区域都有一定数量的无线AP，方便老师移动办公和学生的数字化学习。

但无线网络相对于有线网络没有固定边界，在没有任何安全策略情况下只要进入无线覆盖范围内就可以关联无线，存在身份无法确认的巨大安全隐患。

同时数据通过电磁波进行传输，黑客可以通过无线抓包软件探测周围无线数据报文，数据传输同样存在安全隐患。

本文给出一种基于802.1x协议的校园网无线认证方法，并阐述了其实现步骤。

关键词：802.1x；EAP；PEAP；AP；无感知认证中图分类号：TP393.18 文献标志码：B 文章编号：1673-8454（2015）09-0062-04一、现状与需求分析随着智能终端的普及，接入校园网络的终端类型正在逐渐发生变化。

智能终端需要通过3G、GPRS、WIFI接入Internet网络。

但目前3G、GPRS上网资费较贵，所以WIFI成为校园网中智能终端的主要接入方式。

为了保障无线网络及用户数据传输的安全，需要对接入终端身份进行校验，同时对传输数据进行加密。

校园网中常见的无线身份验证方式为：预共享密钥的方式、Portal方式（Web认证）。

（1）预共享密钥：学校网络管理员提前配置无线安全密钥，用户接入网络时输入提前配置的密钥进行身份验证。

由于密钥为静态管理方式，如果该密钥泄露，将失去用户身份验证的作用，该方式在大型无线网络中已经很少使用。

（2）Portal方式：用户使用浏览器进行认证（Web认证），不存在系统兼容性的问题，但是用户每次接入网络都需要打开浏览器进行一次Portal认证，如果每次都需要进行Portal认证将大大降低用户的无线体验。

根据老师们使用习惯和应用场景分析，能不能给我们的老师提供一种快速“无感知”的接入方式，即终端进入无线覆盖范围内即可自动连接无线网络，不再需要输入用户名、密码或者预共享密钥等信息即可完成终端身份识别。

802.1X认证原理802.1X(dot1x) 技术简介802.1X认证，又称为EAPOE（Extensible Authentication Protocol Over Ethernet）认证，主要目的是为了解决局域网用户接入认证问题。

802.1X认证时采用了RADIUS协议的一种认证方式，典型的C/S结构，包括终端、RADIUS客户端和RADIUS服务器。

802.1x简介：IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题，提出了802. 1X协议。

后来，802.1X协议作为局域网接口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。

802.1X协议是一种基于接口的网络接入控制协议。

“基于接口的网络接入控制”是指，在局域网接入设备的接口这一级，接入设备通过认证来控制用户对网络资源的访问。

802.1X认证的特点：o安全性高，认证控制点可部署在网络接入层或汇聚层。

o需要使用802.1x认证客户端或操作系统自带的802.1X客户端。

使用AnyOffice 时可以根据终端检查结果规格隔离于和后域。

o技术成熟，被广泛应用于各类型园区网员工接入。

802.1X认证应用场景：o有线接入层：安全性最高，设备管理复杂。

o有线汇聚层：安全性中高，设备少，管理方便。

o无线接入：安全性高，设备少，管理方便。

802.1X系统架构：802.1X系统为典型的Client/Server结构，包括三个实体：客户端、接入设备和认证服务器。

o客户端是位于局域网段一端的一个实体，由该链路另一端的接入设备对其进行认证。

客户端一般为一个用户终端设备，用户可以通过启动客户端软件发起802.1X认证。

客户端必须支持局域网上的可扩展认证协议EAPOL（Extensible Authentication Protocol over LAN）。

o接入设备是位于局域网段一端的另一个实体，对所连接的客户端进行认证。

校园无线网802.1x 认证登录配置说明清华大学信息化技术中心2018.7目录一、基本配置步骤 (3)二、Win10操作系统下的配置 (4)三、Windows8和Windows8.1配置界面相同如下设置 (8)四、Windows 7操作系统下的配置 (21)五、Windows XP操作系统下的配置 (31)六、Android系统下的配置 (35)七、iphone、iPad下的配置 (36)八、MacOS下的配置 (37)一、基本配置步骤和现在的无线校园网有啥不一样？… …. …（此处省略888字）只说一件事：手机、iPad、电脑等使用新的802.1x认证登陆无线校园网，只要一次登陆，之后同设备没有更改密码情况下不用每次联网都登陆认证了，直接上!第一步，登陆自服务系统网站，自注册并设置802.1x密码，建议密码不要和网络密码一样（如果以后更改密码也在这里）。

第二步，搜索无线信号：Tsinghua-Secure 连接之；第三步，根据不同操作系统，登陆进行配置二、Win10操作系统下的配置1.首先需要确保在信号覆盖范围，如果原来已经连接过但配置不成功的请先删除(忘记)。

2.环境确认后，通过“网上和Internet”进入“网络和共享中心”，如图1图2图3所示。

图1图2图33.选择“设置新的网络连接”，选择“手动连接到无线网络”如图4所示。

图44.进入无线网络设置，具体设置如图5所示，完成之后进入图6所示，然后按图一步步执行。

图5图6图7图8图9图10图11 图125、在连接网络里选择网络名为Tsinghua-Secure的无线网，点击“连接”6、在弹出的网络身份验证中输入自己在刚刚设置的802.1x的用户名及密码点击确定完成连接三、Windows8和Windows8.1配置界面相同如下设置将鼠标指针放到Windows8系统的桌面右下角或右上角屏幕右侧会弹出如下菜单根据红色方框进行设置如下列图例所示。

选择“设置新的网络连接”，选择“手动连接到无线网络”如图4所示。

校园无线网络认证说明
一、首先，确认是否在无线网络覆盖范围内，校园室外无线网络信号的SSID为NetCenter。

非此SSID的信号，请按有线认证的方式连接。

二、安装认证客户端软件，安装完成后运行此软件，界面如下，认证方式选择“无线认证”，网卡选择笔记本的无线网卡，然后点击“设置”。

三、点击“无线网络配置”，点击“自动搜索”。

四、弹出无线网络配置窗口，界面如下。

刷新网络，将会看到SSID，自定义配置名称，勾选“NetCenter”，点击“确定”。

五、返回无线网络配置界面，点击“确定”。

六、选择刚定义的无线配置。

七、填写用户名和密码（与统一身份认证系统账号相同），点击“连接”。

八、弹出提示窗口，点击“确定”。

九、正在连接认证中，界面如下。

十、恭喜！认证成功！可以遨游网络的海洋了。

-802.1X+CA证书认证过程关于PEAP认证的过程说明关于PEAP认证的过程说明1 证书获取证书主要用来进行终端和网络的相互认证。

Radius服务器首先向CA 证书颁发机构申请服务器证书，用来代表Radius服务器的合法性。

客户端向CA证书颁发机构下载CA 根证书，用来验证Radius服务器下发的证书是否合法（一般情况下，如果终端不需要对网络进行认证的情况下，根证书可以不用下载和安装）。

2 无线接入客户端通过开放系统接入的方法（OPEN SYSTEM）和AP之间建立好物理连接。

3 认证初始化1) Client向AP设备发送一个EAPoL-Start报文，开始802.1x接入的开始。

2) AP向客户端发送EAP-Request/Identity报文，要求客户端将用户信息送上来。

3) Client回应一个EAP-Response/Identity给AP的请求，其中包括用户的网络标识。

用户ID，对于EAP-mschchap v2认证方式的用户ID是由用户在客户端手动输入或者配置的。

用户ID通常的格式是username@domain，其中username是运营商提供给用户的身份ID，domain是运营商的域名（如“”）。

4)AP以EAP Over RADIUS的报文格式将EAP-Response/Identity发送给认证服务器Radius,并且带上相关的RADIUS的属性。

5)Radius收到客户端发来的EAP-Response/Identity，根据配置确定使用EAP-PEAP认证，并向AP发送RADIUS-Access-Challenge报文，里面含有Radius发送给客户端的EAP-Request/Peap/Start的报文，表示希望开始进行EAP-PEAP的认证。

6) AP设备将EAP-Request/PEAP/Start发送给认证客户端。

4 建立TLS通道7) Client收到EAP-Request/Peap/Start报文后，产生一个随机数、客户端支持的加密算法列表、TLS协议版本、会话ID、以及压缩方法（目前均为NULL），封装在EAP-Response/Client Hello报文中发送给AP设备。

新图书馆无线网络接入使用说明（根证书认证方式）方式二：是基于802.1x的认证方式，无线信号SSID名称是SJTUdot1xAuth.安装根证书可以在Web认证方式的安装，但请特别慎重，建议读者在可靠的网络连接下（如有线网络）安装。

安装时请看清浏览器地址栏的地址一定要包含，为防止地址栏欺骗我们建议你在地址栏内手工输入上述网址。

步骤一：上海交通大学网络信息中心数字根证书安装请特别注意：因为证书的有效期是从2004-4-1到2024-4-1，所以您的电脑的系统时间必须在这一时间范围内才可以通过802.1x认证。

按下右边的链接上海交通大学网络信息中心数字根证书，此时弹出以下对话框按下[打开]，出现新的对话框，注意图中的红叉，表明该根证书目前不受信任。

按下[安装证书]，将进入安装证书的步骤，请按下[下一步]。

选择[将所有的证书放入下列存储区]，按下[浏览]。

选中[显示物理存储区]，在[受信任的根证书颁发机构]中选中[Local Computer](本地计算机)，按下[确定]，再按下[下一步]。

说明：采用默认的数字证书安装向导时，数字证书将被安装到注册表中，有些802.1x客户端，例如我们使用的SecureW2，为提高安全性不信任注册表中的数字证书，会要求你重新下载数字证书。

按下[完成]。

打开IE浏览器，选择[工具]=>[Internet选项]=>[内容]=>[证书]=>[受信任的根证书颁发机构]，找到[ CA Root Certficate]的证书，按下[查看]，下图中[证书信息]旁的红叉已经没有了，表明根证书已经正确安装。

步骤二：Windows XP SP2下的802.1x配置向导图片按安装顺序标示图1、图2......图片右侧是图片操作说明。

图1 打开网络连接鼠标点[开始]菜单，从[控制面板]里找到[网络连接]，鼠标右键选中并单击[打开]。

鼠标右键点中[无线网络连接]图标，并右键单击[属性]。

北京交通大学校园无线网络使用指南1. 校园无线网络介绍1.1 无线覆盖范围北京交通大学校园无线网络覆盖区域大致如下：1）室内部分✓计算中心✓思源楼✓思源东楼✓思源西楼✓机械楼✓逸夫楼✓电气楼✓综合实验楼✓学生活动中心✓1号教学楼✓5号教学楼✓7号教学楼✓8号教学楼✓9号教学楼✓17号教学楼✓7号公寓楼✓8号公寓楼✓9号公寓楼✓机械试验馆、隧道中心✓主校区图书馆、东校区图书馆✓外办、招办、学和装备处✓科学会堂✓天佑会堂✓中心报告厅✓主校区体育馆✓远程学院办公楼、远程技术部✓东1教✓东区1-5公寓2）室外部分✓主校区体育场✓主校区第二体育场✓思源楼南✓思源楼北✓思源东楼北✓计算中心东✓图书馆南✓主席像✓小树林✓天佑会堂北✓天佑会堂南✓明湖1.2 支持的协议无线目前全面支持双栈协议，同时广播纯v6环境以供科研实验用。

2．无线用户如何接入IPv4网络2.1 Windows Xp sp3操作系统2.1.1Windows XP SP3系统的计算机，正确安装好无线驱动后，将在操作系统的右下角出现一个无线网络连接图标，未建立无线网络连接前，图标上会出现一个叉符号。

2.1.2为建立无线网络连接，用户可以点击“开始”→“设置”→“网络连接”→“无线网络连接”，如下图所示，接着，弹出如下窗口，选择左侧“刷新网络列表”，稍等片刻，右侧选择无线网络列表框中将出现本机无线网卡搜索到的无线接入点，其中有北京交大校园无线网络提供的接入点，也可能有其他的接入点。

目前，北京交大无线校园网络提供的接入点为“web.wlan.bjtu”，需要通过web方式认证才可以连接上校园无线网络，认证的用户名和口令为计费网关的账号和口令。

用户选择web.wlan.bjtu，然后点击“连接”按钮，出现正在连接窗口，当显示如下已连接上窗口时，表示无线网络连接成功：2.1.3 打开浏览器，随便输入一个网址，按回车后，会跳转到如下认证窗口（有些系统会提示网站不安全，是因为证书的问题。

1.802.1x简介 (1)1.1 引言 (1)1.2 802.1X认证体系 (1)1.3 802.1X认证流程 (2)2.802.1x测试步骤 (4)3.802.1x测试注意事项 (4)Windows部分设置 (4)Dd-wrt的web界面 (7)Pxa1826端的web界面 (8)Client 端设置: (9)1.802.1x简介1.1 引言802.1X协议起源于802.11协议，后者是IEEE的无线局域网协议，制订802.1X协议的初衷是为了解决无线局域网用户的接入认证问题。

IEEE802LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制设备(如LANS witch)，就可以访问局域网中的设备或资源。

这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。

随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行控制和配置。

尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必要对端口加以控制以实现用户级的接入控制，802.1X就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Control)而定义的一个标准。

1.2 802.1X认证体系802.1X是一种基于端口的认证协议，是一种对用户进行认证的方法和策略。

端口可以是一个物理端口，也可以是一个逻辑端口(如VLAN)。

对于无线局域网来说，一个端口就是一个信道。

802.1X认证的最终目的就是确定一个端口是否可用。

对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，即只允许802.1X的认证协议报文通过。

802.1X的体系结构如图1所示。

它的体系结构中包括三个部分，即请求者系统、认证系统和认证服务器系统三部分：图1 802.1X认证的体系结构1.请求者系统请求者是位于局域网链路一端的实体，由连接到该链路另一端的认证系统对其进行认证。