校园网Portal接入认证的安全防御.pdfVIP

校园网Portal接入认证的安全防御

胡育涛

（福建师范大学网络与数据中心，福州350117）

摘要：网络接入认证是保障网络安全的首要条件，Portal认证因其简单易用的特性而在高校校园网中

广泛运用。研究介绍Portal认证的流程，分析了Portal认证存在的安全隐患，并针对安全隐患提出了

ARP检测、IP防御等具体的防御措施，保证了Portal认证应用的安全有效。

关键词：Portal认证；安全防御；ARP检测防御；接入认证；IP防御

1概述当网络是二层时，认证交换机可以获取终端用户的

随着高校信息化的发展，网络已成为师生生活、学MAC地址，此时认证后可以设置放行IP+MAC；而三层

习不可或缺的一部分。随着应用场景及用户数的增加，网络由于中间存在三层转发设备，所以认证交换机无法

网络安全问题日趋突出，为此大多数高校结合技术及管获取到终端用户的MAC地址，因此只能设置放行仅IP。

理手段来保证网络安全。校园网的接入认证已成为普遍IP+MAC的匹配方式相比于仅IP，多了MAC属性，安全

方式，只有合法用户才能使用校园网。性更高。

接入认证是一种对用户访问网络的权限进行控制的2.2认证过程

身份认证方法，常用的接入认证有PPPOE、802.1X及PPPOE、802.1X有标准协议规范，目前对于Portal

Portal认证3种。认证，业界并无统一标准协议，广泛运用的有Wifidog

Portal认证(又称Web认证)[1~2]相比于其他接入认证及中国移动二代Portal认证协议，两者主要是认证流

（例如，802.1X[3]），不需要安装专用的客户端软件，使程及交互协议的区别。Wifidog[5]主要用于广告推广

用浏览器就可以进行认证，同时可以方便地进行Portal等增值服务的无线商业场景；在国内校园网中普遍

界面定制及广告等增值业务，部署及使用方式简单，有使用中国移动二代Portal认证，Portal认证流程如图1

着广泛的运用场景。从认证安全性角度来说，Portal认所示。

证安全性相对较差，由于Portal认证建立在应用层之上，

客户端认证交换机PORTAL服务器认证/计费服务器

所以用户的账号安全容易受到钓鱼攻击、注入式攻击等

[4]

黑客行为的威胁。因此Portal认证需要采用更多的安1.发起HTTP/HTTPS请求

全防御机制。

2.响应重定向地址

2Portal认证原理及过程

2.1认证原理3.访问PORTAL页面，提交认证请求

当前各大厂商对于Portal认证主要是基于有线端4.用户认证信息

口或者无线WiFi的WLAN口进行控制。Portal认证需

5.RADIUS协议的认证交互

要在受控口开启认证功能，当认证开启时会放通

DHCP、DNS等协议报文(使终端能在认证前正常通过6.设置上网权限

DHCP获取IP地址)，拦截其他报