1. 引言
随着高校校园网双栈模式下“互联网+教学”不断推广,校园网逐渐成为师生在教学、科研、生活的必需品。特别是高校智慧校园的建设,要求在校内使用一站式服务的方式访问校内资源[1]。因此必须建立健全双栈网络认证体系,在安全的边界访问控制下快速访问校内资源,无感知访问校内资源。
近年来尽管学校双栈网络有较大改善,但师生体验差的问题学校离优质网络存在差距,受终端等输入的限制,以及WIFI热点间漫游导致的终端IP变化,使得师生需要多次认证,其繁琐的账号输入不但降低了接入效率,更影响了用户师生的体验效果,制约了校园网络的作用。
根据师生的使用习惯,本文设计出一个让师生感知不到认证过程的接入过程,即除了初次使用时需要输入用户名和密码认证外,其余时间自动认证登录,而且在这个过程中,用户也不需要安装额外的客户端。目前校园网最常用的是IPoE认证,IPoE认证可广泛用于有线、无线网中,随着无线网覆盖的普及,如何利用IPoE认证实现无感知认证的同时,又保证网络安全正是本文的研究课题。
2. 关键技术
2.1. IPoE认证
TR101给出了IPoE的封装定义,用户界面封装可以称为IPoE。省略了PPPoE中PPP的封装。IPoE技术是DSL论坛WT-146引入的一种访问认证方法。它基于将DHCP协议转换为Raidus认证消息来实现用户访问认证的方法和控制。为了获取用户的MAC地址和接入设备端口等信息,在接入设备中插入DHCP Option82选项,取代嵌入在用户终端中的传统的PPPoE拨号软件,并将获取所需接入信息的机制移至网络设备,使用户终端继续保持其原有的多功能性和灵活性。在承载视频、长期在线业务等业务方面具有明显优势,为IP网络向多业务承载演进提供了必要的保障。
IPoEWeb可以理解为Potal的一种场景或者升级版,区别就是那是它能实现无感知,普通的Portal是一次认证一次有效,是一种需要用户手工输入用户名/密码进行身份认证的上网方式,将DHCP和Raidus相结合,利用DHCP的多种Option选项携带用户认证信息,通过Bras等接入设备中转,实现与Raidus服务器交互,最终完成用户认证、授权和计费的一种接入认证[2]。
2.2. 无感知认证
“无感知”是针对非首次连接而言的。在进行非首次连接时,用户不需要再输入认证信息,认证系统配合接入服务器为用户自动完成认证过程,在非首次连接的过程中用户感知不到认证过程的,从而实现流畅的接入体验。
随着网络的发展和智能终端的普及,每次上网都需要手工输入用户名、密码的普通认证方式已不能满足当下人们对易用性和便捷性上网方式的要求。IPoE Web无感知认证可以很好地解决上述问题,它是一种基于MAC地址的快速认证方式。它只需用户在首次上网时输入正确的用户名和密码,后续用户再次接入网络时无需输入用户名、密码即可直接上网,真正实现“一次认证,永久使用”的极简用户操作和体验[3]。
3. 实现途径
针对校园无线网络的大二层架构,把Bras充当双栈网络的DHCP网关服务器,针对有线网络的三层传统,配置双栈DHCP服务器。其认证形式采用采用IPoE Web认证取代传统的PPPoE认证,无感知认证模块通过MAC采集和触发实现,整体设计思路通过Bras、Radius、DHCP等相关设备和认证技术实现。
3.1. IPoEWeb认证体系
无线网络采用大二层网络架构,二层设备不对IPoE报文进行任何封装和改变。用户的IP报文在经过用户PC的以太网口的以太网封装后,形成IPoE报文,然后经过二层设备转发到达Bras。Bras充当DHCPv4和DHCPv6服务器,收集终端MAC和地址分配任务,配置Dr.COM Portal认证服务器充当Radius AAA服务器,功能涵盖用Web Server页面服务和Radius Server计费、认证、授权服务,简单来说此次组网模式Bras充当Radius客户端,收集MAC地址,通过前后域的认证触发IPoE的Web认证,Dr.COM Portal认证充当Radius SERVER端,包含IPoE的Web无感知认证、授权和计费[4]。
3.1.1. Bras的认证域设计
在Bras上通过前域“MAC-Domain”和前域“Web-Domain”实现终端认证,认证通过后进入认证后域“After-Domain”,未认证的用户归到认证前缺省域,从认证前缺省域中获取IP地址,并通过认证前缺省域赋予的权限访问Web服务器,完成Web认证[5],简要配置思路如下:
1) 创建Web认证前域
创建Web认证前域“Web-Domain”,终端用户进入Web认证域后,进行重定向至Web服务器进行认证。并放通前域策略,配置全局免认证策略并匹配双向流量。
Radius-server shared-key-cipher //配置Radius服务器的密钥
Radius-server authentication 172.16.253.27 1812 weight 0 //配置Radius服务器认证端口
Radius-server accounting 172.16.253.27 1813 weight 0 //配置Radius服务器计费端口
Radius-server nas-ip-address 192.168.100.11 //绑定Bras地址
Web-auth-server 172.16.253.27 port 2000 key ciphernas-ip-address //配置Web认证服务器
Web-auth-server source-ip 192.168.100.11 //配置设备接收Web认证服务器发送的Web报文的IP地址
2) 创建MAC认证前域
创建MAC认证前域“MAC-domain”。终端用户上线首先通过MAC认证的前域进行MAC地址认证,认证失败后进入Web认证前域“Web-domain”,然后绑定需要分配地址的IP地址池并在域内使能MAC认证功能,定义MAC认证失败后进入Web认证的前域“Web-domain”。
Authentication-scheme radius //绑定认证模板
Accounting-scheme radius //绑定计费模板
Radius-server group radius //绑定Radius服务器组
Ip-pool-group //绑定IP地址池组
MAC-authentication enable //使能MAC认证功能
Autheningauthen-fail online Authen-domain //定义MAC认证失败后进入Web认证的前域
创建Portal Web认证前域“Web-domain”,终端用户进入Portal Web认证域后,进行重定向至Portal Web服务器进行认证;配置重定向Portal Web页面参数;在域内使能MAC认证功能;定义MAC认证失败后进入Portal Web认证的前域“Web-domain”
Ip-pool-group //绑定IP地址池组
User-group //定义未认证的人员属于Per-auth用户组
Web-server 172.16.253.27 //关联Portal Web认证服务器
Web-server urlhttp://172.16.253.27/a79.html //定义MAC失败后关联重定向URL
3) 创建认证域后域
创建认证后域“After-Domain”,当终端用户通过认证后,进入认证后域,认证后域中无需调用其他参数,只需配置基本的认证、计费模板等。
Ip-pool-group //绑定IP地址池组
User-group //定义未认证的人员属于Per-auth用户组
Web-server 172.16.253.27 //关联Portal Web认证服务器
Web-server urlhttp://172.16.253.27/a79.html //关联重定向URL
4) 创建Bras接口
所有未认证的用户都被归到某个缺省域(基于接口配置),称为认证前缺省域。未认证用户可以从认证前缺省域中获取IP地址,并通过认证前缺省域赋予的权限访问Portal Web服务器,完成Portal Web认证,将用户引至MAC认证前域进行MAC认证,认证完成后进入认证后域。
3.1.2. 无感知认证的设计
无感结合MAC地址收集和触发认证的机制来完成。用户在连接到网络之前,首先通过Bras的前域和MAC地址过滤进行验证,然后通过触发认证来完成身份验证。将允许连接到网络的设备的MAC地址添加到Radius认证服务器的白名单中。当设备尝试连接到无线网络时,无线接入点会首先检查设备的MAC地址是否在白名单中。如果设备的MAC地址在白名单中,它将被允许连接到网络,无需进一步的认证。如果设备的MAC地址不在白名单中,触发认证机制将被激活。将被重定向到Radius IPoE认证界面。用户需要提供有效的凭据或者接受特定的使用条款和条件,以完成认证过程。一旦用户通过认证,设备的MAC地址将被添加到白名单中,以便将来的连接不再触发认证过程。
总之无感知认证通过MAC地址过滤,只有经过授权的设备才能连接到网络,提高了网络的安全性。通过触发认证,可以对未经授权的设备进行身份验证,确保只有经过认证的用户可以访问网络资源。
1) 基于MAC地址认证的首次认证流程:
用户首次上网时,首先进入BrasMAC认证域,由于是首次上网,在Radius服务器查找不到用户的MAC地址,则MAC认证失败,强制进入Portal Web认证域,如图1所示。
Figure 1. MAC authentication process
图1. MAC认证流程
Figure 2. Non-first-time accreditation process
图2. 非首次认证流程
用户的服务终端发送一条DHCP Discover消息,其中包含相应的选项60信息;消息通过2层接入设备中继到Bras,2层接入设备根据需要将选项82插入DHCP发现以提供用户线路信息。Bras接收DHCP发现消息并提取相关信息并缓存它。使用Radius协议向Radius服务器发起身份验证,以获取用户的业务控制和QoS策略。身份验证过程完成后,Bras与用户终端交互,完成动态IP地址分配过程,用户终端获取IP地址,Bras将用户的服务控制和QoS策略绑定到该IP地址。
2) 非首次认证无感知流程:
在Portal Web认证前域,用户只能访问Portal Web认证页面,在该页面输入用户名和密码进行认证,通过后,进入MAC认证域即可正常访问,使用相同终端接入的用户后续上网时,在Radius服务器上找到该MAC则认证通过,然后进入MAC认证域即可正常访问网络资源,如图2所示。
3) MAC报文过交互
Bras以MAC地址发起认证,通过WireShark抓包分析认证过程,确保认证的成功,如图3所示。
Figure 3. Perceptionless authentication grab bag
图3. 无感知认证抓包
3.2. DHCP对接
校园有线网络采用三层传统组网模式,与大二层网络不同的是配置专门的DHCPv4和DHCPv6服务器,通过DHCP报文来获取用户的IP和MAC地址,通过Option 1813端口推送到Radius服务器,再根据用户绑定的IP或MAC地址实现无感知认证[6]。
利用Dr.COM Portal服务器来触发Bras发起无感知认证请求,认证请求报文中的账号名仍为MAC地址,DHCP对接Radius配置如表1所示。
Table 1. Docking interfaces
表1. 对接接口
IPv4/IPv6 |
终端IP |
必需 |
MAC |
终端MAC |
必需 |
Leasetype |
操作类型 |
必需 |
DHCPLEASEACTIVE表示分配或DHCPRELEASE表示释放 |
Remain_lease |
剩余租约时间(秒) |
必需 |
Client_hostname |
终端主机名 |
值可为空 |
Vci |
DHCPOption60 |
值可为空 |
Fgr |
DHCP其他指纹 |
值可为空 |
参数实例如下:
{"IP "10.215.17.21","MAC": "f4:8e:38:88:71:d2","leasetype": "DHCPLEASEACTIVE",
"Remain_lease": 2604,"client_hostname":"kitty","vci":"DHCPcd-5.5.6","fgr":"e4da726e8fd47963c168758ba836632a"}
返回信息:
code=0, sip=10.215.17.21, MAC=f4:8e:38:88:71:d2, hn=KHBV2CH2YGWCWVX, rl=5748
其中code=0表示成功。
3.3. 接入安全
3.3.1. MAC地址安全收集
在实施过程中可能出现伪造MAC地址导致无感知认证安全隐患,针对此种情况DHCPSERVER告知Radius服务器,对伪造MAC的终端用户进行认证页面拦截[7];防止伪造MAC地址的终端用户去无感知上网,通过比较指纹和登录限制进行安全防护。
Option chkDHCPhash 1 //本地无感知比较指纹码
Option chkDHCPtype 1 //读取DHCP接口的终端类型,忽略浏览器的终端类型,防止PC仿冒移动终端登录
DHCPhname//DHCP请求地址比较主机名,不相同情况下给不同的IP
通过DHCPcapbuf来查看MAC获取,查看读取DHCP接口是否正常,通过Radius服务器抓TCP包查看DHCP接口传送终端信息是否正确,其中包含终端类型,如图4所示:
Figure 4. Grab MAC
图4. 抓取MAC
3.3.2. MAC地址安全防护
终端使用随机分配MAC地址的无感知方案,防止监听器使用MAC地址来生成设备活动的历史记录,从而加强对用户隐私的保护。无线终端从Android 8.0开始,使用随机分配的MAC地址。在Android 9中,启用开发者选项(默认处于停用状态),使设备在连接到Wi-Fi网络时使用随机分配的MAC地址。在Android 10中,默认为客户端模式、直连启用随机分配MAC地址功能。Windows 10支持随机MAC,通过随机MAC有效防止在无感知MAC伪造。
1) 终端底层设置
#SetMACAddress:配置接口的MAC地址。默认实现会关闭接口、更改MAC地址,然后重新启用接口。
#GetFactoryMACAddress:使用Ictl调用获取Wifi的出厂MAC地址。
#SetMACRandomization:在客户端中开启/关闭点对点随机分配MAC地址功能。
在“设置”Config.xml中,将Config_wifi_p2p_MAC_randomization_supported设置为True。此标志用于控制是否启用Wi-Fi直连随机分配MAC地址功能。
2) 终端软件升级
搭载Android 8、Windows 7或更低版本的设备可能不支持随机分配WIFI MAC地址的功能。将此类设备升级到Android 8或者Windows 7时,可以通过在WIFI供应商HAL make文件中将WIFI_HIDL_FEATURE_DISABLE_AP_MAC_RANDOMIZATION标记设置为True,停用随机分配WIFI MAC地址的功能。
4. 实现效果
4.1. 价值呈现
如果不采用IPoE无感知认证,则意味着用户在每次希望接入网络时都必须主动进行一次完整的认证流程,这种传统的认证方式虽然能够确保网络的安全性,但用户体验较差,尤其是对于那些频繁需要接入网络的用户来说,每次都需要手动登录显得繁琐且低效。此外,这种方式也增加了网络管理员的管理难度和工作量,因为他们需要维护和处理更多的用户认证请求。
使用IPoE无感知认证能够提供便捷的用户体验和安全性。它的核心优势在于用户在首次使用网络时输入一次正确的用户名和密码后,后续再次接入同一网络时就无需重复输入凭证,系统会自动识别用户的设备并允许访问,从而实现“一次认证,永久使用”的效果[8]。
一旦用户Web认证成功,Radius服务器会记录该用户的终端MAC地址并与相应的认证信息关联起来。这样,服务器就能在后续识别并验证此MAC地址对应的用户。当用户再次尝试连接网络时,如果其MAC地址已在服务器上注册过,则无需再次输入用户名和密码即可直接访问网络资源[9]。
总的来说,IPoE无感知认证不仅简化了反复登录的繁琐过程,提高了用户的操作便利性,还有助于保护网络安全,防止未授权的设备接入网络。这种方式尤其适合那些希望为顾客或用户提供无缝网络体验的企业和服务场所。
4.2. 架构落地
中国电信、中国移动、中国联通、中国教育网四家运营商接入校园网四网合一,通过IPoE技术实现无感知认证,具体为通过BrasIPoE前域和后域认证体系,在Radius服务器侧进行多运营商选路实现路径自主控制无感知漫游,在计费方面Bras充当Radius客户端,Dr.COM Portal充当Radius中继,而不同运营商的Radius设备充当服务器,从而完成多网融合的计费选路和无感知切换[10],设计思路如图5所示,呈现效果如图6所示。
同时在Bras上配置策略路由,流分类、流行为及流策略并进行ACL绑定,全局下调用流策略,对设备所有接口匹配中的入向流量进行放通,无感知体验效果,用户首次选择一个运营商如电信,登陆成功后注销,下次再登陆时会自动登陆到电信的运营商,同一终端绑定到电信成功后想换联通时需要在后台删除MAC绑定,终端服务类型选择联通再登陆注销一次即可[11]。该体系按照“先认证后连接”的原则,实现对数据资源的安全访问控制。同时,对实际应用联网体系,一定程度上保证了校内的资源可控、可管、可查。
Figure 5. Multi-network convergence authentication process
图5. 多网融合认证流程
Figure 6. Realization effects
图6. 实现效果
4.3. 成果创新
基于双栈下的IPoE无感知认证有更高效的网络传输和更好的支持长时间在线业务。IPoE作为一种网络接入认证技术,其创新之处在于能够直接在以太网上封装用户的IP报文,形成IPoE报文。这种报文中携带了用于认证和授权的用户物理和逻辑信息,无需用户设备安装特定的客户端软件,从而实现了快速接入。与PPPoE相比,IPoE不需要额外的协议封装,可以更有效地处理组播数据流,这在靠近用户接入侧的二层交换机上进行组播复制时,极大程度地减小了网络开销,提高了传输效率。
随着IPv4地址的逐渐枯竭,IPv6作为新一代的互联网协议,提供了更多的地址空间和更好的服务质量。IPoE无感知认证能够很好地适应IPv6环境,为用户提供更加流畅的网络体验[12]。
改进的安全性:IPv6具有原生的端到端加密和身份验证机制,这意味着在IPoE无感知认证过程中,用户的数据安全性得到了更好的保障。
简化的配置和管理:由于IPv6的自动配置能力,用户在IPoE无感知认证过程中的配置和管理被大大简化,这对于缺乏技术背景的普通用户来说是一个显著的优点。
总的来说,IPv6下的IPoE无感知认证在提高网络传输效率、支持长时间在线业务以及简化用户操作等方面进行了创新,使得网络接入更加高效、安全和用户友好。
5. 总结与反思
本文结合IPoE原理,在校园双栈网络的基础上创建无感知认证架构,研究了Portal认证下基于MAC地址的无感知认证技术,以师生身份数据为中心,实现师生校园内无感知网络访问,并详细研究了该架构原理、工作流程、安全接入控制,结合校园有线无线组网方式的不同,将最终理念应用到校园之中,有效促进了双栈校园有线无线一体化推进,也进一步完善了多网融合下校园内网的安全,未来可以在该架构上更好地推动安全IPv6单栈网络的建设。
基金项目
伊犁师范大学校级科研项目(2023YSYY005)。
NOTES
*通讯作者。