论文部分内容阅读
摘要:目前国内各校园基本都建立了自己的校园无线网络系统,学校教职工及学员均能通过无线实现方便快捷的上网、办公、学习、查询信息等功能。为使无线网络的使用更方便、更安全,在建好校园无线网络的同时,无线网络管理系统的建设也尤为重要,如何实现用户无感知认证体验,实现与校园网已有用户数据库平台无缝对接,进行统一身份认证,同时溯源用户上网行为,实现安全审计,是无线网管理系统急需解决的问题。
关键词:无线网络管理;无线认证;安全审计
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2019)09-0059-02
开放科学(资源服务)标识码(OSID):
1 概述
随着信息化的发展,国内无线上网已步入一个高速发展的轨道,特别在学校通过无线上网,教室里、宿舍里、办公室里、走廊里、会议室里,只要是有信号的地方,学校教职工及学员均能通过无线实现方便及快捷的上网、办公、学习、查询信息等功能。为使无线网络的使用更方便、更安全,在建好校园无线网络的同时,无线网络管理系统的建设也尤为重要。本文以浙江行政学院无线网络管理系统建设为例,主要介绍校园无线网二次无感知认证系统的建设,以及统一身份认证平台及上网行为安全审计的实现。
2 校园无线网络系统构架
浙江行政学院无线网络系统在楼宇内采用独立的综合布线系统,无线网络系统的核心交换机与校园有线网络系统核心交换机互联。无线校园网系统拓扑图如下:
浙江行政学院在建设校园无线局域网时,建设的WALN无线网提供2个网络识别号(SSID),一个用于长期用户的使用,包括学校教职工、长训班学员,可直接访问内网并通过校园网出口访问互联网;另一个用于临时用户(访客),通过手机号获取临时密码,只可访问外网(互联网),免费访问外网时间可根据我校要求做相应限制。其中内网用户(长期用户)接入内网SSID,通过IMC认证管理平台进行用户认证,认证通过后即可访问学校内网,同时可以通过学校外网出口访问internet;访问内网特定资源还需要通过学校内网OA认证。内网数据采用本地转发模式,认证后用户数据通过本地转发经过核心交换机直接到达用户内网。访客用户接入外网SSID,外网数据采用集中转发模式,AP和AC之间建立私有隧道,用户数据经过隧道直接送至AC侧,认证后直接送至公网出口。
3 无感知认证管理系统实现
我校使用Portal无感知认证解决方案,用户无线接入终端在首次连入学校无线SSID时,需要输入账号、密码信息进行认证,首次认证成功后,将用户终端MAC地址信息与该Portal账号进行绑定。以后在此账号有效期内该用户终端会自动接入学校无线SSID,无须再输入账号等信息进行认证,并且可设置同一Portal账号可绑定的终端MAC地址数量。
(1)长期用户认证
用户关联学校SSID信号后,访问任意网页时,AC将准入认证portal页面推送至用户进行认证,输入用户名与密码后在学校内网radius进行认证,认证通过后即可访问内网资源,并可通过校园网出口同时访问外网。
流程如下:
1.用户终端通过dhcp server(AC)获取到ip地址。
2.如果是用户首次认证,MAC绑定服务器中无此终端的MAC地址信息,用户发起http请求被AC重定向到内网portal server(IMC),用户终端弹出portal页面。
3.用户输入账号密码,数据经AC封装成radius格式的报文,转发给内网radius server(IMC)。
4.radius server认证通过之后,通知portal server用户认证成功,同时MAC绑定服务器将此用户终端MAC地址信息的与Portal账号的绑定。
5.用户完成认证,可访问内(外)网。
6.如果是用户再次接入,此用户终端MAC信息已绑定,则自动返回此终端的Portal账号、密码等信息向AC发起Portal认证,不需要用户自行再输入账号信息,自动完成二次无感知认证。
(2)访客用户认证
用户关联移动CMCC后,访问任意网址,由AC將准入认证portal页面推送至用户进行认证,输入账号密码,通过认证后即可访问公网资源。
流程如下:
1.用户终端通过dhcp server(AC)获取到ip地址
2.用户发起http请求被AC重定向到移动portal server(移动运营商),用户终端弹出portal页面
3.用户输入账号密码,数据经AC封装成radius格式的报文,转发给radius server(移动运营商)
4. radius server认证通过之后,通知portal server用户认证成功,用户即可访问外网
4 统一身份认证平台
校园无线网建设时,校园有线网络系统及管理应用系统一般均已建好并使用。因此在建校园无线网时,就考虑要与原校园网内网用户数据管理平台实现无缝对接,并支持用户数据管理平台密码加密类型,实现与原校园网内网身份认证统一,避免二次开户。无线网络系统设置固定时间,每天与原校园内网用户数据库平台进行同步,以保证无线网络系统本地用户数据库的实时性与有效性。并支持其他系统如SSL VPN的认证等,以实现校园网统一身份认证平台。
5 上网行为安全审计
无线是一个开放式网络,需要对校内资源和网络提供保护,在边界提供准入控制和安全防护是必要的。因此校园无线网络管理系统还必须具有用户上网安全审计功能,以溯源用户上网行为。 (1)用户实名制上网及访问日志
由于所有用戶采用用户名密码来认证上网,用户名是注册在系统中,对应用户实名。这样所有用户上网的记录都对应到用户个人,用户注册不仅包括用户实名还有用户的电话,地址和邮件等实时信息。
用户访问日志是将用户访问记录存储到数据库服务器,形成访问日志,以实现上网行为的安全审计。用户登录认证成功后,将用户的登录记录和访问记录存放到指定的数据库服务器中。访问记录中包含账户名、登陆访问时间、当前在线人数、总使用时间、登陆的目标网站地址、目标IP、源IP、MAC地址、GET/POST行为等等。另外可根据需要增加所需字段,如用户操作系统标志、交换机标记、楼层标记等字段等。
(2)用户策略及带宽控制
校园无线网络管理系统应具有丰富的基于组或用户的控制策略,可以为不同用户定制不同网络访问权限。 可以控制用户的上网带宽(QoS;802.1x认证支持)、限制用户同时在线数、禁止用户设置和使用代理服务器,有效防止个别用户对网络资源的过度占用。支持最大闲置时长限制,可以实现对用户ACL、VLAN的控制,限制用户对内部敏感服务器和外部非法网站的访问(802.1x认证支持)。限制用户IP地址分配策略,防止IP地址盗用和冲突。同时限制用户的接入时段和接入区域,用户只能在允许的时间和地点上网。并限制终端用户使用多网卡和拨号网络,防止内部信息泄露。限制用户必须使用专用安全客户端,并强制自动升级,确保认证客户端的安全性。
实际使用中,如用户使用P2P、BT、电驴等下载软件下载,会导致其他用户出现上网慢、PING 包延时大等情况。用户限速功能的使用,可以有效控制每用户速率,避免因P2P等应用大流量、小包文过多造成占用无线资源过多的情况,影响其他用户正常接入使用。假设通过配置限制某SSID下每用户静态设置为4Mbps,则两个用户各自最高可用带宽为4Mbps;假设限制某SSID下动态限速设置约8Mbps,则当两个用户接入时,各自分配的最高带宽为4Mbps,依次类推。
(3)支持个性化portal页面定制
校园无线网络管理系统应支持多组portal个性化定制,并且能够根据用户终端不同而弹出不同的认证portal。以使用户有更好的上网体验。
总之,建网重要,管网更重要。对于校园无线网络管理系统来说,能实现便捷、可靠的准入认证,搭建系统统一身份认证平台,并实现对上网行为的安全审计是必须所具备的功能,也是校园网安全、稳定、高效运行的重要保障。
参考文献:
[1] 邱知文,张杰.基于校园无线网的BYOD认证系统设计与实现[J].计算机应用与软件,2015(2).
[2] 赵钊.基于802.1x协议的校园网安全体系的研究与应用[J].网络安全技术与应用,2011(2).
[3] 杨国震.校园无线网络安全建设实践[J].电子技术与软件工程,2017(10).
【通联编辑:代影】
关键词:无线网络管理;无线认证;安全审计
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2019)09-0059-02
开放科学(资源服务)标识码(OSID):
1 概述
随着信息化的发展,国内无线上网已步入一个高速发展的轨道,特别在学校通过无线上网,教室里、宿舍里、办公室里、走廊里、会议室里,只要是有信号的地方,学校教职工及学员均能通过无线实现方便及快捷的上网、办公、学习、查询信息等功能。为使无线网络的使用更方便、更安全,在建好校园无线网络的同时,无线网络管理系统的建设也尤为重要。本文以浙江行政学院无线网络管理系统建设为例,主要介绍校园无线网二次无感知认证系统的建设,以及统一身份认证平台及上网行为安全审计的实现。
2 校园无线网络系统构架
浙江行政学院无线网络系统在楼宇内采用独立的综合布线系统,无线网络系统的核心交换机与校园有线网络系统核心交换机互联。无线校园网系统拓扑图如下:
浙江行政学院在建设校园无线局域网时,建设的WALN无线网提供2个网络识别号(SSID),一个用于长期用户的使用,包括学校教职工、长训班学员,可直接访问内网并通过校园网出口访问互联网;另一个用于临时用户(访客),通过手机号获取临时密码,只可访问外网(互联网),免费访问外网时间可根据我校要求做相应限制。其中内网用户(长期用户)接入内网SSID,通过IMC认证管理平台进行用户认证,认证通过后即可访问学校内网,同时可以通过学校外网出口访问internet;访问内网特定资源还需要通过学校内网OA认证。内网数据采用本地转发模式,认证后用户数据通过本地转发经过核心交换机直接到达用户内网。访客用户接入外网SSID,外网数据采用集中转发模式,AP和AC之间建立私有隧道,用户数据经过隧道直接送至AC侧,认证后直接送至公网出口。
3 无感知认证管理系统实现
我校使用Portal无感知认证解决方案,用户无线接入终端在首次连入学校无线SSID时,需要输入账号、密码信息进行认证,首次认证成功后,将用户终端MAC地址信息与该Portal账号进行绑定。以后在此账号有效期内该用户终端会自动接入学校无线SSID,无须再输入账号等信息进行认证,并且可设置同一Portal账号可绑定的终端MAC地址数量。
(1)长期用户认证
用户关联学校SSID信号后,访问任意网页时,AC将准入认证portal页面推送至用户进行认证,输入用户名与密码后在学校内网radius进行认证,认证通过后即可访问内网资源,并可通过校园网出口同时访问外网。
流程如下:
1.用户终端通过dhcp server(AC)获取到ip地址。
2.如果是用户首次认证,MAC绑定服务器中无此终端的MAC地址信息,用户发起http请求被AC重定向到内网portal server(IMC),用户终端弹出portal页面。
3.用户输入账号密码,数据经AC封装成radius格式的报文,转发给内网radius server(IMC)。
4.radius server认证通过之后,通知portal server用户认证成功,同时MAC绑定服务器将此用户终端MAC地址信息的与Portal账号的绑定。
5.用户完成认证,可访问内(外)网。
6.如果是用户再次接入,此用户终端MAC信息已绑定,则自动返回此终端的Portal账号、密码等信息向AC发起Portal认证,不需要用户自行再输入账号信息,自动完成二次无感知认证。
(2)访客用户认证
用户关联移动CMCC后,访问任意网址,由AC將准入认证portal页面推送至用户进行认证,输入账号密码,通过认证后即可访问公网资源。
流程如下:
1.用户终端通过dhcp server(AC)获取到ip地址
2.用户发起http请求被AC重定向到移动portal server(移动运营商),用户终端弹出portal页面
3.用户输入账号密码,数据经AC封装成radius格式的报文,转发给radius server(移动运营商)
4. radius server认证通过之后,通知portal server用户认证成功,用户即可访问外网
4 统一身份认证平台
校园无线网建设时,校园有线网络系统及管理应用系统一般均已建好并使用。因此在建校园无线网时,就考虑要与原校园网内网用户数据管理平台实现无缝对接,并支持用户数据管理平台密码加密类型,实现与原校园网内网身份认证统一,避免二次开户。无线网络系统设置固定时间,每天与原校园内网用户数据库平台进行同步,以保证无线网络系统本地用户数据库的实时性与有效性。并支持其他系统如SSL VPN的认证等,以实现校园网统一身份认证平台。
5 上网行为安全审计
无线是一个开放式网络,需要对校内资源和网络提供保护,在边界提供准入控制和安全防护是必要的。因此校园无线网络管理系统还必须具有用户上网安全审计功能,以溯源用户上网行为。 (1)用户实名制上网及访问日志
由于所有用戶采用用户名密码来认证上网,用户名是注册在系统中,对应用户实名。这样所有用户上网的记录都对应到用户个人,用户注册不仅包括用户实名还有用户的电话,地址和邮件等实时信息。
用户访问日志是将用户访问记录存储到数据库服务器,形成访问日志,以实现上网行为的安全审计。用户登录认证成功后,将用户的登录记录和访问记录存放到指定的数据库服务器中。访问记录中包含账户名、登陆访问时间、当前在线人数、总使用时间、登陆的目标网站地址、目标IP、源IP、MAC地址、GET/POST行为等等。另外可根据需要增加所需字段,如用户操作系统标志、交换机标记、楼层标记等字段等。
(2)用户策略及带宽控制
校园无线网络管理系统应具有丰富的基于组或用户的控制策略,可以为不同用户定制不同网络访问权限。 可以控制用户的上网带宽(QoS;802.1x认证支持)、限制用户同时在线数、禁止用户设置和使用代理服务器,有效防止个别用户对网络资源的过度占用。支持最大闲置时长限制,可以实现对用户ACL、VLAN的控制,限制用户对内部敏感服务器和外部非法网站的访问(802.1x认证支持)。限制用户IP地址分配策略,防止IP地址盗用和冲突。同时限制用户的接入时段和接入区域,用户只能在允许的时间和地点上网。并限制终端用户使用多网卡和拨号网络,防止内部信息泄露。限制用户必须使用专用安全客户端,并强制自动升级,确保认证客户端的安全性。
实际使用中,如用户使用P2P、BT、电驴等下载软件下载,会导致其他用户出现上网慢、PING 包延时大等情况。用户限速功能的使用,可以有效控制每用户速率,避免因P2P等应用大流量、小包文过多造成占用无线资源过多的情况,影响其他用户正常接入使用。假设通过配置限制某SSID下每用户静态设置为4Mbps,则两个用户各自最高可用带宽为4Mbps;假设限制某SSID下动态限速设置约8Mbps,则当两个用户接入时,各自分配的最高带宽为4Mbps,依次类推。
(3)支持个性化portal页面定制
校园无线网络管理系统应支持多组portal个性化定制,并且能够根据用户终端不同而弹出不同的认证portal。以使用户有更好的上网体验。
总之,建网重要,管网更重要。对于校园无线网络管理系统来说,能实现便捷、可靠的准入认证,搭建系统统一身份认证平台,并实现对上网行为的安全审计是必须所具备的功能,也是校园网安全、稳定、高效运行的重要保障。
参考文献:
[1] 邱知文,张杰.基于校园无线网的BYOD认证系统设计与实现[J].计算机应用与软件,2015(2).
[2] 赵钊.基于802.1x协议的校园网安全体系的研究与应用[J].网络安全技术与应用,2011(2).
[3] 杨国震.校园无线网络安全建设实践[J].电子技术与软件工程,2017(10).
【通联编辑:代影】