无线智能终端对校园WLAN的挑战

摘要：随着无线智能终端用户的高速增长，校园WLAN在新形势下面临着新的挑战。目前大部分国内高校的WLAN接入认证方式以IEEE802.1X和Web Portal + DHCP认证为主，而针对无线智能终端接入的实践并不多。该文对目前校园WLAN接入认证方式及其存在的问题进行了阐述，并对未来校园WLAN建设中应该考虑的无线智能终端接入问题提出了改良的Web Portal + DHCP认证和简易化的Mac地址认证的解决方案。

关键词:无线智能终端; WLAN;认证接入;挑战

中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)03-0576-03

Challenge of Campus WLAN by Wireless Intelligent Terminal

WANG Ji，ZHOU Chi-jia，JIANG Xiao-qiang

(Zhejiang University, Hangzhou 310027, China)

Abstract: With the rapid growth of wireless intelligent terminal users , the campus WLAN in the new situation faced with new challenges. At present, most domestic colleges and universities used IEEE802.1X authentication and Web Portal + DHCP authentication , and access for wireless intelligent terminal were not much to practice . In paper, the current campus WLAN access authentication and its problems were described . In the future construction of the campus WLAN, wireless intelligent terminal access should be considered , and improved Web Portal + DHCP authentication and simplified Mac address authentication solutions were proposed.

Key words：wireless intellignet terminal；WLAN；authentification；challenge

随着谷歌Android和苹果iOS智能操作系统的盛行，手机、平板电脑等无线智能终端迎来了发展的春天。在这一环境下，移动互联网和无线智能终端的结合成为了必然趋势，越来越多的用户开始通过智能终端享受着移动互联网所带来的便捷的生活方式。与2G/3G等运营商提供的无线网络相比，校园WLAN可以带来更高的上网速率和更低的上网资费，成为了无线智能终端接入移动互联网的重要方式。但校园WLAN的发展仍处于初级阶段，更多注重“硬件”层面的建设，在用户体验等“软件”方面与用户的需求仍有较大的差距。无线智能终端的迅速普及给校园WLAN带来了新的挑战。

图1 Web Portal + DHCP认证过程

1无线智能终端接入校园WLAN

1.1校园WLAN概况

校园WLAN需充分考虑整个网络的可靠性、冗余能力、自愈能力以及可能面临的各种不安全因素，同时又要具备高性能的扩展能力。现阶段国内院校在大范围建设校园WLAN时，均会考虑采取单独无线链路组网、“瘦AP”的覆盖和统一用户身份认证的模式。不仅分担了校园有线网的上网压力，也便于网络的管理和维护，同时实现了校园网用户的漫游。

1.2校园WLAN认证方式

为了提高校园WLAN的安全性，必须引入安全可靠的认证机制、加密机制以及控制机制。同时，校园WLAN需要对用户实现统一认证、统一管理，从而让用户真正在校园WLAN享受漫游服务。目前主要的安全认证技术有以下几种：Web Portal，IEEE802.1X，Mac地址认证，PPPOE/VPN等。

1.2.1 Web Portal + DHCP认证

基于Web方式的认证需通过Portal Server实现认证页面的强制托送来实现用户认证。Portal Server可以是专门的服务器，也可以是支持此功能的无线控制（AC）。客户端的

认证信息可以通过SSL进行加密到达Portal服务器，然后Portal服务器与Radius服务器之间通过支持安全性较强的CHAP协议完成用户的认证过程。Web认证的最大优点是用户不需要安装客户端软件，为用户尤其是访客提供方便的接入认证。Web认证过程如图1所示。

1.2.2 IEEE802.1X认证

IEEE802.1X协议在2001年提出，是一种基于端口的访问控制协议，此协议仅仅关注端口的打开和关闭，对于合法的用户接入时，该端口打开，而对于非法用户接入或者没有用户接入时，则该端口处于关闭状态。认证结果在于端口状态的改变，而不涉及通常认证技术必须考虑的IP地址协商和分配问题，是各种认证技术中最简化的实现方案。校园WLAN用户关联到AP（Access Point）之后，对应AP上都有一个可控逻辑端口，用户认证前，该端口处于关闭状态，用户无法上网，而当用户正确认证后，无线用户对应的逻辑端口打开，用户即可上网。802.1X协议认证过程如图2所示。

图2 IEEE802.1X认证过程

1.2.3 Mac地址认证

Mac地址访问控制的认证方式是一种基于端口和Mac地址对用户的网络访问权限进行控制的认证方式。Mac地址认证并不是IEEE802.11标准里规定的安全机制，但是几乎所有的WLAN设备生产厂商都支持该技术。通常情况下，无线网络适配器的Mac地址是一个不重复的唯一值，只要将允许访问的用户的Mac地址输入到校园WLAN控制列表中，就可以有效的阻止没有注册的Mac地址的非法用户接入校园WLAN。

2无线智能终端为校园WLAN带来的挑战

2.1无线智能终端发展

随着智能操作系统和无线通讯技术的迅速发展，无线智能终端发生了巨大的变化，朝着智能化的方向不断迈进。2007年，iPhone改写了智能手机的定义；2009年，Android开启了智能手机系统的大门；2010年，iPad横空出世，开拓了个人电脑向平板电脑转变的新领域；2011年，iOS和Android系统加起来的市场份额已近62%，去年同期仅为31%，这两大智能操作系统因易用性收到广大消费者的信赖。无线智能终端的市场呈现了四大特点，首先，无线智能终端的市场份额快速递增；其次，无线智能终端价格普降，性价比优势明显；再次，终端销售渠道社会化也正在促进无线智能终端的发展，此外，无线智能终端的应用的数量日益增多、质量显著提高，也推动了其迅速发展。

2.2目前无线智能终端接入校园WLAN存在的问题

在无线智能终端的崛起前，校园WLAN的主要服务对象为使用笔记本电脑的用户，因此所有的WLAN接入设计都是针对PC操作系统用户，主要是以Windows操作系统为主，许多客户端和插件都是在Windows平台上开发的，在无线智能终端此类非Windows智能操作系统上无法使用。

在校园WLAN建设的早期，高校可能采用Mac地址认证这种简单的方法，但是由于管理上存在漏洞，经过近些年的发展，已经不再是主流的校园WLAN接入认证方式。目前主流的校园WLAN接入方式是IEEE802.1X和Web Portal + DHCP认证方式。

2.2.1 IEEE802.1X存在的问题

IEEE802.1X认证由于安全级别高，在Windows平台上倍受推崇，成为了前期校园WLAN长期用户的重要认证方式。然而802.1X认证需要安装特定客户端软件，即使同为802.1X认证，不同公司的产品，其认证客户端也有所不同。侏儒访客之类的智能终端用户流动性较强，同时智能终端的操作系统的种类和版本众多，安装客户端对于初次接入的用户非常不方便，有时甚至没有合适的版本可适用，这成为了802.1X认证方式的致命缺陷。

2.2.2 Web Portal + DHCP存在的问题

Web Portal + DHCP认证方式的最大优点就是用户无需安装客户端，成为了校园WLAN接入灵活度较高区域的首选方式。然后与802.1X类似，目前校园的Web Portal都是在PC层面开发定制的，当利用无线智能终端登录时，弹出Portal可能会存在也页面字体太小等显示问题，同时Web认证用户连续性差的老问题依然存在，不容易检测用户离线状态，当用户利用无线移动终端接入认证后，如果无法及时离线，势必导致其账号无法再次利用PC登录，这大大降低了用户体验，也使网络管理工作量增大。

2.3未来校园WLAN对无线智能终端解决的解决方案

现在WLAN的主流认证方式是Web Portal认证，这种方式在实际使用中具备可行性。此外，Mac地址认证，用户首次认证绑定 后，下次连接无需重新进行繁琐的认证即可上网，令该种认证方式在无线智能终端认证领域迅速回归。未来校园网WLAN对无线智能终端接入主要解决方案是改良版的Web Portal + DHCP认证方式和简易化的Mac地址认证。

2.3.1 Web Portal + DHCP认证改良方式

无线智能终端用户接入与传统的PC用户接入存在明显差异，包括终端接入数量和用户下线方式等，因此要对校园WLAN接入的Web Portal + DHCP认证方式进行改良。首先，Web Portal页面需要进行改良：1）无线智能终端的Web登录页面应该定制成分辨率、字体大小等与终端的小屏幕相适应的页面；2）Web Portal应该更为简单，不免出现任何页面插件；3）由于单一AP下无线智能终端的接入数量将远超过PC数量，因此DHCP地址池应该相应扩大，避免用户拿不到IP地址，同时DHCP租约应该相应缩短以节约IP地址；4）用户下线方式也应进行优化，提供简易的Web下线方式，同时用户停止使用WLAN，未主动下线时，应该在较短时间将用户下线，避免由于未及时下线而导致的账号并发问题。

2.3.2 Mac地址认证的简易化方式

校园WLAN可开放简易化的Mac地址认证，针对不同的终端用户（笔记本电脑或手机等智能终端），灵活控制用户认证报文是否需要进行简易化认证功能，实现管控的差异化区分。Mac地址认证可以用户访问网站为触发条件，也可以以流量为触发条件，后者与前者相比，触发条件范围更广，可以是浏览器访问网站，也可以是QQ等其他无线应用程序。简易化的Mac地址认证的绑定过程通过短信告知用户的方式来实现，具有一定的安全级别，同时实现了用户再次接入的完全零配置，避免了无线环境比较差的情况下用户频繁掉线引起的频繁认证问题。同时系统可开发为支持短线下线功能，增加了用户下线的可选择性。

3结束语

无线智能终端用户与日俱增，终端用户接入校园WLAN需求也越来越大，现有的校园WLAN架构建设初期未考虑到如此之多的无线智能终端用户的接入，存在较多的问题，使校园WLAN面临着巨大的挑战。如何改善用户体验，成为了未来校园WLAN建设维护升级的重要方向。

参考文献:

[1]高,韩晓亮.WLAN对无线智能终端发展的促进作用[J].数字通讯,2011(5):25-26.

[2]杭州华三通讯技术有限公司.智能终端WLAN接入简化认证方式的探讨[J].通讯世界,2011(25):35.

[3]厉延民.试论无线校园网的设计和实施[J].电脑知识与技术,2011(11):2519-2510.

[4]滕步炜.无线局域网的安全分析和解决方案[J].电脑知识与技术,2008(33):1355-1357.

[5]周克夏,王尚平,秦波.WLAN安全认证的管理方案的设计与实现[J].现代电子技术,2006(9):50-52.

[6]高波,张正风,徐旭.基于WLAN接入的DHCP + Web认证关键技术分析[J].电信科学,2008(5):32-36.

[7]张东黎.无线网络安全与认证[J].网络安全技术与应用,2005(4):60-62.

[8]胡云波,王培东,朱海燕.无线局域网的认证方法研究[J].计算机工程与应用,2008(8):158-160.

[9]吴越,曹秀英,胡爱群,毕光国.无线局域网安全技术研究[J].电信科学,2002(6):37-40.

[10]宋宇波,胡爱群,杨晓辉.基于接入控制器模式的公共无线局域网安全体系设计[J].中国工程科学,2008(8):56-59.

[11]王遵刚,伍银,杨厚云.校园无线专网的设计与实现[J].北京机械工业学院学报,2009(1):76-80.

[12]朱锋.试谈Mac地址认证[J].电脑编程技巧与维护,2011(10):82-83.