随着移动互联网的发展,校园无线网络在高校信息化建设中显得越来越重要,校园无线网络的普及也引发了在不同高校间进行无线漫游的需求。本文介绍了笔者单位在发改委下一代互联网技术研发、产业化和规模商用专项项目“基于IPv6的下一代绿色无线智慧校园应用示范”的支撑下,WAPI无线网络在高校中的建设方案以及利用WAPI在不同高校间进行无线漫游的实践。
项目背景
基于IPv6的下一代绿色无线智慧校园应用示范项目由华南理工大学牵头,联合广东省电化教育馆、广东省8所高校(包括已实施IPv6驻地网和校园网升级其余的4所高校)、深圳大学城管理中心等。项目在广州9所大学,深圳大学城(1所大学和4所高校的研究生院以及中国科学院的科研机构),深圳市南山区的20所左右中小学建设基于IPv6的无线校园规模化应用示范,发展基于IPv6的下一代互联网校园用户。项目在CNGIGDERNET2核心节点的有利前提下,在广东省基于IPv6的下一代宽带教育骨干网、高校IPv6驻地网、高校校园网IPv6升级、教育城域网IPv6升级、广东移动教育网和区域无线教育网建设的基础上,结合教育行业在开展无线智慧校园建设实践中面临的一些问题,采用先进的技术,开展基于IPv6的可信、绿色的下一代移动校园网的建设和应用,探索下一代无线园区网的建设和应用模式,推动下一代移动互联网产业的试商用;研究下一代移动校园网的高密度无线接入问题、校际漫游问题、运营商漫游问题、多运营商接入问题、基于Wi-Fi/WAPI双模的可信无线接入问题、IPv6的跨网内容分发问题、应用系统IPv6升级问题、IPv4-IPv6互通问题;实现IPv4/IPv6双接入,满足下一代互联网新型应用的支撑环境,可控组播、超宽带到桌面;实现IPv4/IPv6兼容的用户管理,支持双栈的安全、可控、可查网络环境,建设校园网无线覆盖网络,建立基于全校统一认证的无线网络接入认证和无线管理系统。本文的工作是在该项目的支撑下进行的IPv4/IPv6双栈接入,Wi-Fi/WAPI双认证方式的无线网络建设,以及利用WAPI进行高校间漫游认的实践。
具备Wi-Fi/WAPI双模接入的IPv4/IPv6无线网络建设
Wi-Fi是目前使用最为广泛的无线局域网接入标准,笔者所在单位已完成了主校区的大部分教学楼、办公楼内、会议厅、展厅等Wi-Fi无线网络的部署和覆盖工作。Wi-Fi无线局域网采用瘦AP的方式部署,接入认证访问采用基于Portal的统一认证。凡具有统一认证账号的学校师生和员工,均可以在Wi-Fi覆盖的公共场所享受到无线接入的服务。
然而Wi-Fi存在安全性方面的问题,网络容易受到攻击,为了解决移动互联网的安全与可控问题,我国推出了具有自主知识产权的国家标准WAPI(WLAN Authenticationand Privacy Infrastructure),即无线局域网鉴别与保密基础结构,该标准已由ISO/IEC授权的机构IEEE Registration Authority审查并获得认可。自2008年起,各大型网络设备生产商集生产的AP设备均支持WAPI功能,获得了入网证的手机终端都已支持WAPI功能,通过了CCCI认证的PC终端也支持WAPI功能。WAPI的网络接入认证过程如图1所示。WAPI其中STA是指支持WAPI协议的无线终端,AP为支持WAPI的无线接入点,AS是指同时具备证书颁发和证书鉴权功能的服务器。
WAPI我们在Wi-Fi网络的基础上叠加WAPI网络,构建具备Wi-Fi/WAPI双模接入能力同时支持IPv4/IPv6的绿色智慧校园无线网络,其部署示意图如图2所示。部署方案的关键步骤如下:
1.部署本地AS服务器,负责WAPI证书颁发和鉴权。证书包括AS证书、AP证书和STA(终端)证书。
2.增加一个新的WAPI网络的ssid,部署在需要的热点区域;
3.在AS上生成AP证书并导入至AC,在AC上配置WAPI相关的认证授权参数;
4.搭建终端所需的证书颁发和管理系统。
其中1-3点因当前支持WAPI的相关设备均比较成熟,容易实施,而第4点对WAPI推广使用比较关键,也对后续高校间的WAPI网络漫游设计影响比较大。我们设计的终端证书管理方案关键步骤如下描述:
1.规定STA证书要求同时绑定MAC地址,同时所获取的STA证书具有固定有效时长(如1年);
2.用户使用有线或者校园Wi-Fi网络,通过统一认证用户和密码验证后,进入证书获取页面。其中AS证书为公共证书,可以直接下载;STA证书需要绑定MAC地址。这里还可以再增加一些简单有效的安全策略,如通过统一认证的用户组的识别,限制可获取STA证书的用户组;设定不同组所获取的证书的有效时长;限制可同时获取的STA证书数量。
3.记录STA证书颁发日志,包括用户账号、证书标识号,MAC地址等,以及WAPI接入时的认证日志,包括接入点、MAC地址、获取IP等。结合这些日志可以对WAPI的接入用户进行审计。例如,通过追踪源IP时对应的MAC,可以关联上统一认证的用户名。
4.用户在支持WAPI的终端安装STA证书,保证绑定MAC的一致,即可直接接入合法的WAPI热点。
上述方案中用户如果泄露或者主动公开AS证书、自己的STA证书和绑定的MAC,可以被他们非法利用,但与账号和密码的泄露相比,密码可以被修改,证书和MAC则不能;同时证书设置了有效时长,可以减少泄露后的影响时长。
图3为笔者所在单位的Wi-Fi/WAPI无线热点下,合法安卓手机用户接入下WAPI的实例图。其中scut为Wi-Fi热点,采用统一认证接入;scut_wapi为WAPI热点,采用证书认证接入。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。