Web和802.1X认证在双栈无线校园网中应用研究.docVIP

Web和802.1X认证在双栈无线校园网中应用研究 　　摘 要 简述了IPv4向IPv6过渡过程中用到的IPv4/IPv6双栈技术原理，分析了Web认证和802.1X认证在双栈无线网中存在的问题和缺陷，并探讨了改进的步骤和方法，比较了这两种认证方式的优缺点，对IPv6网络建设有一定的帮助。 　　【关键词】IPv4/IPv6双协议栈 Web认证 802.1X认证 　　随着智能手机和平板电脑的普及，越来越多的基于无线网络的应用得到迅速发展，移动学习也逐步被推广。很多院校为了教学工作的需要铺设了校园无线网，在校师生和外来培训人员可以随时随地通过无线接入设备获取网络资源。从无线网络安全角度考虑，必须要对接入用户的身份进行认证，目前无线网络认证主要有PPPoE、Web和802.1X三种方式。 　　由于IPv4地址资源的紧缺，IPv6网络将会逐步取代IPv4成为下一代网络。将正在使用的IPv4校园网络升级为IPv6网络不能一蹴而就，它是一项复杂的系统工程，需要在保障现有各项服务正常运行和尽量节省经济成本的原则下稳步过渡。IPv4/IPv6双协议栈技术是使用较广泛的过渡策略，它是指一个网络节点同时启用IPv4和IPv6协议栈。IPV4和IPv6协议都是基于相同的数据链路层和物理层的网络层协议，所具有的功能颇为相近，其上层的TCP协议和UDP协议也几乎无差别，所以支持双协议栈的节点既可以收发IPv4数据报也可以收发IPv6数据报，完成与支持IPv4和IPv6协议节点的通信。 　　既然校园网络有一个双栈共存的阶段，那么双栈模式下的无线网络认证接入是一个必须要研究的课题，本文着重就Web和802.1X认证在双栈无线校园网络中的应用进行探讨。 　　1 Web认证在IPv4/IPv6双栈网络中的应用 　　1.1 IPv4无线网络中Web+Portal认证技术 　　Web+Portal认证通常也叫做Portal认证或Web认证，是校园无线网中常用的认证技术，其基本的认证流程如下。 　　（1）用户连接到无线网络后，向DHCP Server申请IPv4地址，申请成功后并不能立即访问Internet网络，只能访问Web认证服务器指定的页面。 　　（2）当用户通过浏览器发起HTTP请求时，需要对该用户进行认证。其发出的HTTP请求会被BRAS强制到Portal Server的Web认证页面，在该页面输入用户信息并提交，Portal Server将用户的帐号、密码和IP地址传送到BRAS设备，BRAS设备再把这些数据提交到Radius Server检查用户的合法性，认证结果报文通过BRAS反馈到Portal Server，Portal Server收到认证成功的报文后授予用户访问Internet网的权限，客户端重新得到一个访问Internet网的地址，至此，整个认证过程结束。 　　（3）用户在结束访问Internet网时，可以通过Web认证页面显式登出，主动下线，也可以用非显式登出的方式直接关闭应用，当DHCP服务器检测到用户异常下线会告知后台系统停止计费。 　　1.2 IPv4/IPv6双栈网络中Web认证技术 　　由于原有的无线校园网是基于IPv4环境的，其Web认证技术并没有考虑IPv6网络，在实现双栈接入时会有诸多问题。首先，IPv4/IPv6双栈用户可能会先以IPv4地址发起访问，认证结束后再把IPv6地址提交到Portal Server进行认证，这样就导致用户一次HTTP请求出现两个会话。其次，基于IPv4的Web认证过程中所涉及到的Portal Server、Radius Server和Portal私有协议等都是在IPv4协议的基础上设计的，并不支持IPv6，必须对相应的软硬件升级改造。 　　IPv4向IPv6过渡需要经过3个阶段，第一阶段是IPv6发展初期，校园网络扔以IPv4为主；第二阶段是IPv4和IPv6共存时期，双栈技术得到广泛应用；第三阶段是IPv4孤岛时期，IPv6网络构成了校园网络的主体，只有很少的IPv4用户的存在。相应的Web认证技术的改造也要逐阶段完成，以适应这3个阶段的网络架构。 　　可以把对Web认证技术的改造分为两个阶段，第一阶段是IPv4/IPv6共存时期，通过对原有Web认证技术实行部分更新来适应双栈无线网的特征。不全面变更IPv4环境下的Web认证方案，只改写BRAS的软件系统，加入对双栈协议的支持。这一阶段纯IPv6单栈用户较少，该方案暂时只支持IPv4单栈用户和双栈用户。认证过程如图1。 　　（1）用户通过无线AP连接到校园无线网，软件升级后的BRAS设备分配IPv4及IPv6地址给用户，这个地址暂时不能访问外部的Internet网。 　　（2）IPv4/IPv6用户发起访问