电台无线网认证系统建设

-精选财经经济类资料- -最新财经经济资料-感谢阅读- 1 电台无线网认证系统建设 摘 要 本文综合比较了无线网认 证加密方式，分析了它们在应用中可能 遇到的问题，并结合单位具体需求，建 成了使用灵活、管理方便的无线网认证 系统。 中国论文网 /8/view-12936963.htm 关键词 无线认证；无线接入； 访问控制 中图分类号 G2 文献标识码 A 文章编号 1674-6708（2017 ）185-0070- 02 随着移动办公的不断发展，电台 前两年开始建设无线网，但一直没有对 无线接入进行认证和加密。由于无线网 络固有的开放性，传输的数据利用无线 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 2 电波在空中辐射传播，只要在无线信号 覆盖的范围内，任何无线终端都能接收 到信号，导致系统被非法入侵及数据被 监听、窃取、篡改的风险非常大。因此， 单位决定对无线网接入进行身份认证， 解决安全隐患。 1 电台网络现状 电台建设无线网络的初衷是作为 有线网络的补充和备份。主要解决以下 两个问题：1）有线网络发生故障时， 使用无线网络保证采编播工作不受影响； 2）在直播区域和录播区域，由于安装 了很多隔音材料，在这些区域增加信息 点的施工会影响隔音效果，随着终端设 备的增加，必须使用无线网络。电台有 线网络和无线网络都有自己独立的网络 设备、出口及相应的 DHCP、DNS 服务 器，两个网络的终端分别通过各自的网 络主干和出口访问互联网，但为了无线 网络内的终端设备能使用有线网络内的 打印机、办公系统、文件服务器等网络 资源，两个网络进行了联通。拓扑图如 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 3 图 1。 因为在无线网络内没有重要的信 息资源，对用户的接入控制和数据加密 要求不必很高。 电台现有员工近 1 000 人，还有 一些兄弟单位在一块办公，每天嘉宾、 工作伙伴等外来访客也非常多。使用有 线网络办公的都是台内员工，通过 AD 域账户登录操作系统和进行网络访问。 使用无线网络的包括台内员工、兄弟单 位人员和外来访客，人员众多，且流动 性大。针对河南人民广播电台网络现状， 选用哪种无线网认证加密方式合适呢？ 2 无线网认证加密方式对比 现有无线网认证加密方式基本分 为三大类：开放系统身份认证、共享密 钥身份认证和 802.1X 身份认证。还有 其它两种认证方式也能对网络接入进行 认证，即 MAC ACL（MAC 地址访问 控制列表）和 Web Redirection（网页重 定向） 。 2.1 开放系统身份认证 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 4 这种方式既不认证也不加密，任 何客户端都可以接入无线接入点并使用 无线网络，这是最不安全的一种认证方 式，当然也是最省事的一种认证方式。 2.2 共享密钥身份认证 这种方式中，所有客户端都使用 相同的密码，接入无线接入点前必须输 入正确的密码才能进行连接。共享密钥 身份认证有 3 种认证类型： WEP、WPA-PSK 和 PWA2-PSK。 WEP（Wired Equivalent Privasy） ， 全称有线等效加密，使用这种方式，客 户端和接入端必须拥有相同的密钥才能 接入网络，密钥分为 64bits 和 128bits 两种，最多可以设置 4 组不同的密钥。 WEP 加密方式很脆弱，每个客户端都 使用相同的加密字，导致 WEP 容易被 破解，现已被 WPA 淘汰。 WPA-PSK ，WPA（ Wi-Fi Protected Access）的简化版，使用方法 与 WEP 类似，客户端与无线接入点必 须拥有相同密钥，用户输入密钥才能接 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 5 入网络。该标准的主要改进是使用了可 以动态改变钥匙的“ 零时钥匙完整性协 定”（Temporal Key Integrity Protocol，TKIP） ，加上更L 的初向量， 减少和钥匙相关的封包个数，安全讯息 验证系统，使得入侵无线网络非常困难。 WPA2-PSK ，WPA2 的简化版， WPA2 是 WPA 的升级版，主要改进为： 使用了 CCMP（Counter CBCMAC Protocol）算法取代了 WPA 的 MIC 算 法，AES（Advanced Encryption Standard）加密算法取代了 WPA 的 TKIP 加密算法。WPA2-PSK 和 WPA- PSK 的使用方法一致，但安全防护能力 更加出色。 共享密钥身份认证实现简单，对 设备要求不高，维护及管理工作量小， 用户使用方便，缺点是不能实现用户级 别的控制，对一些大中型企事业单位来 说，由于人员众多，密码容易扩散出去， 最后的结果和开放系统认证没有多大区 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 6 别。 2.3 802.1X 身份认证 802.1X 是根据用户 ID 或设备， 对网络客户端（或端口）进行鉴权的标 准，它采用 RADIUS（远程认证拨号用 户服务）方法，并将其分为三个部分： 请求方、认证方和认证服务器，该标准 能实现用户级的接入控制。802.1x 与共 享密钥身份认证方式最大的不同就是客 户端接入网络时，需要输入正确的用户 名和密码才能认证通过。802.1X 主要有 两种认证类型：WPA-Enterprise 和 WPA2-Enterprise。 使用这种方式不仅非常安全，还 能实现可追究性，缺点就是需要增加认 证服务器，在部分终端上需要对无线网 卡做一些设置，如果启用证书且需要对 服务器进行验证，需要安装相应的证书， 这也会增加维护管理的工作量。 2.4 MAC ACL（Access Control List） MAC ACL，即 MAC 地址访问 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 7 控制列表，只能用于认证但不能用于加 密。在无线接入点输入允许接入的无线 网卡 MAC 地址，只有在此清单中的无 线网卡才能接入网络。 这属于简单粗暴的一种认证方式， 在小微企业中也比较有效。如果在大中 型企事业单位则不适合，因为更新维护 MAC 地址表的工作量非常大。 2.5 Web Redirection Web Redirection ，即网页重定向， 这也是当前许多网络提供商常用的认证 方式。无线接入点设置为开放系统认证， 但在后台利用网关设备或上网行为管理 设备，拦截客户端发出的 Web 封包 （使用浏览器访问网络） ，并强制重导 到认证网页要求输入账号密码，然后向 认证服务器来对使用者进行认证，认证 通过后才能访问网络，一般需要 Portal 服务器提供账户密码认证。现在一些较 新的设备还支持微信认证、短信认证、 二维码认证等认证方式。 使用 这种方式优点是认证方式灵活，可以进 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 8 行广告推广。缺点主要有以下 3 点： 1）只认证不加密；2）在客户端通过认 证前用户其实已经获取到 IP 地址，已 经获得局域网内部分网络资源的访问权 限；3）用户通过认证前，使用 QQ、微 信等网络应用时，不会触发认证，必须 打开浏览器访问网页才能重定向到认证 页面进行认证。 3 电台无线认证系统选型及实施 综合比较以上几种认证方式：使 用共享密钥方式并不能对用户进行身份 鉴别，频繁更换密钥会给运维工作和用 户使用带来极大不便，长时间不更换密 钥的结果就等于形同虚设；如果使用 802.1x 或 MAC ACL 方式，管理维护工 作量将非常大，用户使用不方便，嘉宾 和工作伙伴的临时性上W 需求也难以 满足。 如何做到既对员工和外来访客进 行有效的认证，又不大幅增加管理维护 的工作量，我们经过比较和选型，最终 决定使用网页重定向的认证方式，选用 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 9 深信服的 AC-3300-HI 上网行为管理设 备实现该功能。 在无线控制器和防火墙之间串联 上网行为管理设备，进行身份认证、上 网行为管控和流量管控。该设备支持微 软 AD 域认证，能与有线网络内的原 AD 域服务器集成，使用原有的域账户 密码进行身份认证。在设备上启用密码 认证和二维码认证，用户首次打开网页 进行网络访问时会弹出认证页面，页面 中包括密码认证和二维码认证两个选项。 台内员工使用原有的域账户和密码进行 密码认证登录；没有账户密码的下属单 位员工、兄弟单位员工和外来访客使用 无线网络时，由通过认证的终端扫描登 录页面上的二维码，备注需认证的上网 人员信息，通过审核后方能上网。 上网行为管理的配置比较简单， 部署模式设置为网桥模式（即透明模式） ，这样当设备关机或死机时，通过设备 的 Bypass 功能，网络通路不会中断。 设置网桥地址，默认路由的下一跳地址 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 10 为路由器的 lan 口地址。在外部认证服 务器选项中新增 LDAP 服务器，IP 地址 为 AD 域服务器的 IP 地址，认证端口 为 389，输入域管理员账户密码和 BaseDN 信息，在此可以增加多个 LDAP 服务器备用，可以定期将 AD 域 服务器上的组织结构和用户自动同步到 本地，当 AD 域出现故障时，认证不受 影响；新增二维码认证，审核人为所有 域账户，审核时，弹出审核页面，并备 注上网人员信息。认证策略的设置比较 灵活，认证范围、认证服务器、认证页 面、认证后的跳转页面、优先选择哪种 认证方式、认证后的用户归属到不同的 本地组、自动录入用户和 IP/MAC 的绑 定关系等都可以自定义。为了防止用户 需要频繁输入账户密码进行认证，设置 自动注销的无流量时间为一个月，每天 不强制注销用户，这样员工由于出差、 休假等原因短时间未登陆无线网络，再 次访问时也不需要重新输入账户密码。 4 结论 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 11 通过使用上网行为管理设备进行 无线网身份认证，满足了系统的需求， 达到了以下目的：1）域账户能对临时 用户授权