唐 強(qiáng)，葉小花，尹 祥

(四川農(nóng)業(yè)大學(xué)信息與教育技術(shù)中心，四川 雅安 625014)

0 引言

無(wú)線網(wǎng)絡(luò)的普及已成為校園網(wǎng)絡(luò)的一個(gè)重要組成部分，我校計(jì)費(fèi)系統(tǒng)目前注冊(cè)用戶數(shù)達(dá)3萬(wàn)人左右，上網(wǎng)高峰同時(shí)在線IP數(shù)達(dá)2萬(wàn)人。為滿足用戶所使用的筆記本、手機(jī)、Pad等終端設(shè)備在網(wǎng)絡(luò)中上網(wǎng)的需求，其認(rèn)證是關(guān)鍵。目前校園網(wǎng)中最常用的認(rèn)證方式是網(wǎng)頁(yè)認(rèn)證，不需要安裝不同系統(tǒng)的客戶端而通過(guò)網(wǎng)頁(yè)作為客戶端使用，極大地減少了網(wǎng)絡(luò)管理人員的維護(hù)工作量并降低了維護(hù)成本。其認(rèn)證過(guò)程是:用戶連接到該區(qū)域的無(wú)線信號(hào)后獲取到IP地址，再進(jìn)行計(jì)費(fèi)網(wǎng)關(guān)Portal認(rèn)證，輸入用戶名和密碼即可實(shí)現(xiàn)用戶外網(wǎng)訪問(wèn)。這種方式雖然簡(jiǎn)單，但無(wú)線AP沒(méi)有采用WEP和EPA2等加密方式，安全性較低。因此需要無(wú)線AC控制器采用加密方式與啟用Portal認(rèn)證，保證用戶認(rèn)證信息傳輸過(guò)程的安全。因此我校結(jié)合無(wú)線AC控制器實(shí)現(xiàn)了校園網(wǎng)網(wǎng)內(nèi)第一次認(rèn)證的準(zhǔn)入與計(jì)費(fèi)網(wǎng)關(guān)第二次認(rèn)證的外網(wǎng)訪問(wèn)，用戶端一次通過(guò)的流程。

1 體系結(jié)構(gòu)

無(wú)線二次認(rèn)證體系結(jié)構(gòu)如圖1所示，由無(wú)線AC控制器、核心交換機(jī)、DHCP、Portal、Radius、Oracle、ABMS Bras組成。它涵蓋了數(shù)據(jù)業(yè)務(wù)的用戶IP獲取、加密方式、認(rèn)證方式、數(shù)據(jù)查詢、業(yè)務(wù)計(jì)費(fèi)、數(shù)據(jù)管理等的一套完整運(yùn)營(yíng)支撐系統(tǒng)。

(1)無(wú)線AC控制器:無(wú)線網(wǎng)絡(luò)的核心，負(fù)責(zé)管理無(wú)線網(wǎng)絡(luò)的AP與無(wú)線網(wǎng)絡(luò)用戶的準(zhǔn)入。實(shí)現(xiàn)Portal認(rèn)證、業(yè)務(wù)控制，接收Portal Server發(fā)起的認(rèn)證請(qǐng)求，完成用戶Portal認(rèn)證功能。

(2)核心交換機(jī):網(wǎng)絡(luò)主干部分，其目的在于通過(guò)高速的轉(zhuǎn)發(fā)通信，提供可靠的骨干傳輸結(jié)構(gòu)，使網(wǎng)絡(luò)資源合理地分配給多臺(tái)交換機(jī)，使更多的用戶順利快速地獲取資源。

(3)DHCP服務(wù)器:使用戶自動(dòng)獲得由服務(wù)器控制的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS等信息。

(4)Portal服務(wù)器:Web門戶網(wǎng)站，推送統(tǒng)一的認(rèn)證頁(yè)面，接收WLAN用戶的認(rèn)證信息，向無(wú)線AC控制器與計(jì)費(fèi)網(wǎng)關(guān)發(fā)起用戶認(rèn)證請(qǐng)求和用戶下線通知。

(5)Radius服務(wù)器:配合無(wú)線 AC控制器與ABMS Bras的Radius認(rèn)證，完成系統(tǒng)中的用戶認(rèn)證、授權(quán)、計(jì)費(fèi)的功能。

(6)Oracle服務(wù)器:計(jì)費(fèi)認(rèn)證系統(tǒng)中用戶數(shù)據(jù)存儲(chǔ)的服務(wù)器，采用Oracle數(shù)據(jù)庫(kù)。

(7)ABMS Bras計(jì)費(fèi)網(wǎng)關(guān):網(wǎng)關(guān)認(rèn)證服務(wù)器，配合Portal服務(wù)器的認(rèn)證請(qǐng)求，做Radius認(rèn)證并返回認(rèn)證結(jié)果。提供用戶接入、帶寬管理、P2P控制、Radius Client等接入控制功能。

圖1 認(rèn)證體系結(jié)構(gòu)圖

2 工作原理與實(shí)現(xiàn)過(guò)程

2.1 工作原理

用戶連接到該區(qū)域的無(wú)線信號(hào)后，經(jīng)過(guò)AC由DHCP服務(wù)器下發(fā)用戶IP等信息，AC啟用Portal認(rèn)證，由AC重定向Portal認(rèn)證頁(yè)面，Portal Server同時(shí)與AC控制器、Bras做Radius認(rèn)證，并將認(rèn)證結(jié)果返回給用戶，實(shí)現(xiàn)后續(xù)上網(wǎng)過(guò)程。Portal認(rèn)證方式有PAP認(rèn)證和CHAP認(rèn)證，本次實(shí)驗(yàn)采用PAP認(rèn)證。

2.2 實(shí)現(xiàn)過(guò)程

用戶認(rèn)證上線流程如圖2所示。

圖2 用戶認(rèn)證上線流程

(1)DHCP報(bào)文經(jīng)AC控制器與核心交換機(jī)將請(qǐng)求轉(zhuǎn)發(fā)給DHCP服務(wù)器，使用戶獲取合法的IP地址。AC控制器虛接口啟用Portal，用戶在訪問(wèn)網(wǎng)站時(shí)，通過(guò)AC控制器重定向認(rèn)證頁(yè)面到Portal Server。

(2)由Portal Server推送統(tǒng)一的認(rèn)證網(wǎng)頁(yè)，向用戶提供認(rèn)證頁(yè)面。

(3)用戶得到推送的認(rèn)證網(wǎng)頁(yè)，填入用戶名與密碼，提交該頁(yè)面信息給服務(wù)器向Portal Server發(fā)起連接請(qǐng)求。

(4)Portal Server向Oracle數(shù)據(jù)庫(kù)查詢用戶名與密碼等信息，對(duì)用戶的合法性進(jìn)行檢查。如果查詢失敗，或賬戶不可用，Portal結(jié)束認(rèn)證流程，并直接返回提示信息給用戶。

(5)查詢成功后，Portal Server把賬號(hào)同時(shí)送到內(nèi)網(wǎng)AC控制器和外網(wǎng)Bras發(fā)起認(rèn)證請(qǐng)求。

(6)內(nèi)網(wǎng)AC控制器進(jìn)行Radius認(rèn)證，獲得Radius認(rèn)證結(jié)果;外網(wǎng)Bras進(jìn)行Radius認(rèn)證，獲得Radius認(rèn)證結(jié)果。

(7)內(nèi)網(wǎng)AC控制器向Portal Server返回認(rèn)證結(jié)果，外網(wǎng)Bras向Portal Server返回認(rèn)證結(jié)果。認(rèn)證通過(guò)后實(shí)現(xiàn)兩次身份認(rèn)證一次通過(guò)。

3 體系特點(diǎn)

系統(tǒng)采用統(tǒng)一數(shù)據(jù)庫(kù)管理，不同的認(rèn)證平臺(tái)及特有的免數(shù)據(jù)庫(kù)認(rèn)證，適用于跨地校區(qū)的統(tǒng)一管理。對(duì)用戶的各種訪問(wèn)進(jìn)行授權(quán)與統(tǒng)一的認(rèn)證和收費(fèi)管理，一套系統(tǒng)多點(diǎn)部署，分散各業(yè)務(wù)功能而提供一套完整的綜合業(yè)務(wù)管理系統(tǒng)。本系統(tǒng)具有以下特點(diǎn):

(1)只維護(hù)一套中心數(shù)據(jù)庫(kù)，省略了異地?cái)?shù)據(jù)同步、備份的過(guò)程，降低了系統(tǒng)的風(fēng)險(xiǎn)和維護(hù)人員的勞動(dòng)強(qiáng)度。

(2)高并發(fā)大容量分布式接入、實(shí)時(shí)操作系統(tǒng)和相應(yīng)的主備系統(tǒng)，提高系統(tǒng)的高可用性和安全性。

(3)控制流和業(yè)務(wù)流完全分離，易于實(shí)現(xiàn)多業(yè)務(wù)運(yùn)營(yíng)，少量改造傳統(tǒng)包月制網(wǎng)絡(luò)即可升級(jí)成運(yùn)營(yíng)級(jí)網(wǎng)絡(luò)。

(4)在二層網(wǎng)絡(luò)上實(shí)現(xiàn)用戶認(rèn)證，結(jié)合IP地址或范圍、MAC、端口、賬戶和密碼綁定技術(shù)，使網(wǎng)絡(luò)具有很高的安全性。

(5)網(wǎng)絡(luò)訪問(wèn)服務(wù)器NAS與Radius服務(wù)器配合，可以對(duì)用戶身份進(jìn)行認(rèn)證，只有合法用戶才能使用網(wǎng)絡(luò)，并在此基礎(chǔ)上進(jìn)行計(jì)費(fèi)，體現(xiàn)了用網(wǎng)的公平性。

(6)用戶IP地址合法性，根據(jù)IP規(guī)劃，不同無(wú)線區(qū)域用戶IP地址由DHCP服務(wù)器指定下發(fā)。AC控制器開(kāi)啟 DHCP Snooping、ARP-Snooping、ARP Detection等功能，可對(duì)局域網(wǎng)內(nèi)假冒DHCP Server屏蔽，同時(shí)基于ARP應(yīng)答表項(xiàng)對(duì)用戶合法性檢查和ARP報(bào)文有效性檢查與強(qiáng)制轉(zhuǎn)發(fā)，使用戶IP地址具有合法性與唯一性。

4 結(jié)束語(yǔ)

本文設(shè)計(jì)了校園無(wú)線網(wǎng)絡(luò)Portal二次身份認(rèn)證計(jì)費(fèi)體系方案，實(shí)現(xiàn)了系統(tǒng)各主要功能，并為系統(tǒng)的進(jìn)一部完善提供了方便。隨著技術(shù)的發(fā)展和有線無(wú)線網(wǎng)絡(luò)認(rèn)證統(tǒng)一的實(shí)施，將逐步完善校園網(wǎng)認(rèn)證、計(jì)費(fèi)管理系統(tǒng)的功能。

為了驗(yàn)證系統(tǒng)的穩(wěn)定性和可靠性，通過(guò)對(duì)學(xué)校1000名學(xué)生的資料錄入作為測(cè)試用例，對(duì)系統(tǒng)進(jìn)行了功能測(cè)試、性能測(cè)試、安全測(cè)試和認(rèn)證流程測(cè)試，并針對(duì)測(cè)試的結(jié)果作出相應(yīng)的系統(tǒng)設(shè)計(jì)調(diào)整，最終達(dá)到系統(tǒng)最初的預(yù)計(jì)需求和效果。

[1] Morrison J E，Allen Jr R R，Wilkins D E，et al.Conservation planter，drill and air-type seeder selection guideline[J].Applied Engineering in Agriculture，1988，4(4):300-309.

[2] Kanodia V，Li C Z，Sabharwal A，et al.Distributed priority scheduling and medium access in Ad-Hoc networks[J].Wireless Networks，2002，8(5):455-466.

[3] 李興國(guó).基于802.1x的寬帶網(wǎng)認(rèn)證計(jì)費(fèi)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].成都:電子科技大學(xué)，2004.

[4] 田志英.基于RADIUS協(xié)議的校園網(wǎng)用戶認(rèn)證計(jì)費(fèi)系統(tǒng)的實(shí)現(xiàn)[D].西安:西安科技大學(xué)，2010.

[5] 梁裕，熊偉建，陽(yáng)瓊芳.校園網(wǎng)安全認(rèn)證計(jì)費(fèi)系統(tǒng)選型及應(yīng)用[J].福建電腦，2007(4):112-113.

[6] 周增國(guó)，劉鐵忠，王健.校園網(wǎng)系統(tǒng)安全的研究及應(yīng)用[J].大連大學(xué)學(xué)報(bào)，2003，24(2):29-31.

[7] 田志英，廖曉群，趙安新.校園網(wǎng)認(rèn)證計(jì)費(fèi)系統(tǒng)的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)技術(shù)與發(fā)展，2010，20(5):202-206.

[8] 李洪偉，孫世新，楊浩森.基于身份的無(wú)線局域網(wǎng)認(rèn)證協(xié)議設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用研究，2007，24(12):183-185.

[9] 唐磊，金連甫.大型撥號(hào)認(rèn)證計(jì)費(fèi)服務(wù)器的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2004，25(7):1159-1161.

[10] 趙宇，劉剛，楊宗凱.一種基于Linux的Radius客戶端的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程，2003，29(15):112-114.

[11] 伍銀，楊厚云，王遵剛.認(rèn)證計(jì)費(fèi)技術(shù)在校園網(wǎng)中的應(yīng)用[J].北京機(jī)械工業(yè)學(xué)院學(xué)報(bào)，2006，21(3):47-50.

[12] 劉雪暉，尹超，何彥，等.網(wǎng)絡(luò)化制造集成平臺(tái)集中式身份認(rèn)證策略研究[J].計(jì)算機(jī)集成制造系統(tǒng)，2005，11(6):885-890.

[13] 鄒宗惠，唐學(xué)文，肖書(shū)成，等.校園網(wǎng)計(jì)費(fèi)系統(tǒng)的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2005，26(l):132-134.

[14] 陳傳峰，李增智.基于用戶管理的網(wǎng)絡(luò)計(jì)費(fèi)系統(tǒng)[J].計(jì)算機(jī)工程，2000，26(9):97-99.

[15] 李衛(wèi)國(guó)，曹志毅，高健.淺談?wù)J證技術(shù)在校園網(wǎng)中的應(yīng)用——802.1X與AAA認(rèn)證的結(jié)合應(yīng)用[J].西安歐亞學(xué)院學(xué)報(bào)，2005，3(3):90-92.