校際移動漫游的研究與實現(xiàn)

黃偉強，葉　昭，陳國良，李瑞維，鄭文棟

（1.華南師范大學網(wǎng)絡中心，廣州510631；2.華南理工大學廣東省計算機網(wǎng)絡重點實驗室，廣州510640；3.華南理工大學信息網(wǎng)絡工程研究中心，廣州510640；4.暨南大學網(wǎng)絡與教育技術中心，廣州510632）

校際移動漫游的研究與實現(xiàn)

黃偉強1*，葉昭2，3，陳國良4，李瑞維1，鄭文棟1

（1.華南師范大學網(wǎng)絡中心，廣州510631；2.華南理工大學廣東省計算機網(wǎng)絡重點實驗室，廣州510640；3.華南理工大學信息網(wǎng)絡工程研究中心，廣州510640；4.暨南大學網(wǎng)絡與教育技術中心，廣州510632）

分析研究了高校對校際移動漫游建設的需求，從校際移動漫游的網(wǎng)絡安全接入、校際移動漫游的網(wǎng)絡認證和校際移動漫游中心的建設等3個方面，提出了使用中國強制性安全標準的WAPI證書，擴展漫游加密鑒權，疊加LDAP/RADIUS漫游認證的方式，結合漫游學校與歸屬學校的網(wǎng)絡實際情況，分別采用返回歸屬學校認證和漫游中心認證2種漫游系統(tǒng)架構，在校際間實現(xiàn)了安全性能高、運行性能高和投入建設簡潔的校際間的移動漫游，通過教育信息資源的共享，創(chuàng)造了更寬廣的校際間的學術交流環(huán)境.

移動漫游；WAPI；認證鑒別；AS；Portal

高校信息化的高速發(fā)展，移動設備的全面普及，無線網(wǎng)絡已經(jīng)成為高校校園網(wǎng)絡的重要組成部分，大量科研和教育信息資源的使用都依賴于移動網(wǎng)絡平臺.出于信息網(wǎng)絡安全管理的需要，在已建的高校無線校園網(wǎng)中，使用了一些網(wǎng)絡安全接入管理機制，以確保用戶實名制登錄注冊，并限制未授權用戶的訪問.現(xiàn)有的這種管理方式雖然滿足了校內師生員工的使用，但隨著校際間的交流和訪問日益頻繁，對于校際間互訪人員的移動網(wǎng)絡使用、遠距離教學和學生跨校選課非常不方便.高校師生在其他高校訪學交流時，能夠通過校際間的移動漫游、使用該校無線資源實現(xiàn)教學交流的愿望越來越強烈.

未來的移動網(wǎng)絡已經(jīng)不再是傳統(tǒng)的無線接入功能，無區(qū)域限制的.可漫游的移動網(wǎng)絡已經(jīng)成為終端設備的主要接入方式，所以校園無線網(wǎng)絡要具備充分的移動性，不僅局限在本學校的辦公室，需擴展至室外區(qū)域、操場、甚至是其他兄弟院校具有無線網(wǎng)絡的任何地方.

1　校際移動漫游分析

目前各重點高校已經(jīng)基本完成無線網(wǎng)絡的全校覆蓋，根據(jù)建設的匯總歸類，新建設的無線網(wǎng)絡主要使用瘦AP+認證計費網(wǎng)關的方式，但各高校對訪問控制、安全要求等的支持各不相同，各個廠商對認證接口的支持有一定的差異性.

在接入認證方面，根據(jù)高校使用的各個廠商或集成商的應用方案匯總歸類，大部分高校使用Web認證.即用戶首次使用網(wǎng)絡時會打開認證網(wǎng)頁，要求用戶輸入賬戶進行認證接入.但Web頁的后端認證方式，各個高校存在較大差異.主要有Radius認證、LDAP認證和數(shù)據(jù)庫認證等幾種方式，另外還有個別學校使用802.1x認證，即在用戶連接網(wǎng)絡時要求用戶提供賬戶.這些差異性給設計、開發(fā)和集成統(tǒng)一跨校認證帶來了難度，所需要的底層平臺必須兼容各個高校的主流認證構架，同時還能支持跨校應用.

因此，用戶需要一種校際間網(wǎng)絡安全接入控制和移動無線接入解決方案.該網(wǎng)絡安全接入控制和移動無線接入解決方案必須能夠充分滿足如下建設需求:

（1）采用國際標準技術體系；

（2）充分利用現(xiàn)有各高校網(wǎng)絡結構與資源，不單獨組網(wǎng).并且不對現(xiàn)有各高校網(wǎng)絡結構以及設備配置做任何改動變化，新建的校際間系統(tǒng)不對現(xiàn)有網(wǎng)絡產(chǎn)生任何影響；

（3）采用集中控管技術，集中統(tǒng)一管理的終端設備；

（4）系統(tǒng)必須具有高可用性設計，保證在設備單點故障條件下能夠無縫自愈，保障業(yè)務的連續(xù)性；

（5）系統(tǒng)必須能夠支持多種靈活的用戶認證方式，并且能結合現(xiàn)有高校網(wǎng)絡認證系統(tǒng)協(xié)同工作；

（6）系統(tǒng)必須能夠靈活支持各種無線認證加密技術標準，能夠為不同種類、不同性能的終端設備提供安全的無線連接；

（7）系統(tǒng)要能夠方便和靈活地調整與擴展，充分考慮投資保護.

2　校際移動漫游組網(wǎng)設計

2.1組網(wǎng)設計分析

校際移動漫游的實現(xiàn)，主要涉及3個方面:

（1）校際移動漫游網(wǎng)絡的安全接入.漫游網(wǎng)絡對漫游用戶進行鑒別，同時漫游用戶也對漫游網(wǎng)絡進行鑒別；

（2）校際移動漫游網(wǎng)絡的認證.包括外校的學生漫游到本校，通過無線網(wǎng)接入訪問互聯(lián)網(wǎng)這個認證過程的實現(xiàn)和本校學生漫游到其他學校后，需要為用戶接入無線網(wǎng)絡提供身份認證；

（3）漫游中心的建設.漫游中心需要一個平臺，對沒有建立直接認證信任關系的高校需要實現(xiàn)各校漫游用戶的賬號認證中轉.

第1個要解決的問題是其他學校的用戶漫游到本校后，本校無線網(wǎng)絡如何鑒定用戶的身份，從而為用戶提供網(wǎng)絡服務.這就對提供接入的設備（包括無線控制器）功能提出要求.

第2個要解決的問題是本校用戶漫游到其他院校后，如何為其他學校的網(wǎng)絡提供身份驗證服務，分2種情況:返回歸屬地認證和漫游中心認證.在接入地認證，認證系統(tǒng)應保留完整的認證記錄及統(tǒng)計記錄，以便復查；返回歸屬地認證，則按歸屬地學校原有的上網(wǎng)記錄統(tǒng)計和安全審計.

第3個要解決的問題是漫游平臺的構架，成員之間的鏈路流量問題.漫游系統(tǒng)需要能夠提供各高校無線網(wǎng)絡漫游服務的情況統(tǒng)計，包括各成員提供漫游服務的時長及漫游所產(chǎn)生的流量，應保留完整的認證記錄及統(tǒng)計記錄，以便高校大數(shù)據(jù)收集分析.

2.2安全的接入

無線信號是不可見的，如何在無線網(wǎng)絡中識別用戶，如何保證用戶的匿名性等，為了解決這些安全接入問題，許多無線網(wǎng)絡認證協(xié)議被提出［1-4］. WAPI［5］（Wireless LAN Authentication and Privacy Infrastructure）無線局域網(wǎng)鑒別和保密基礎結構，是一種安全協(xié)議，同時也是中國無線局域網(wǎng)安全強制性標準.

WAPI技術特點在于:在用戶接入過程中，采用雙向鑒別的方式.不僅僅是網(wǎng)絡對用戶進行鑒別，用戶也要對網(wǎng)絡進行鑒別.避免用戶接入不合法的網(wǎng)絡或者偽造的網(wǎng)絡，解決了無線網(wǎng)絡接入中“合法用戶接入合法網(wǎng)絡”的問題.

2.3漫游認證

安全和快速的認證是實現(xiàn)無縫漫游切換的一個關鍵技術［6］，由于WAPI提供了基于證書和預共享密鑰的安全機制，但只做鏈路層認證和加密，保護空中數(shù)據(jù)不被竊取或非法接入，因此需要在WAPI國家標準的基礎上進行擴展，疊加LDAP或RAIDUS漫游認證，解決WAPI安全機制的證書漫游認證鑒別問題，提供一種基于WAPI證書的漫游認證鑒別.

2.4漫游認證中心的建立

校區(qū)間如果沒有找到直接信任的用戶認證，則需要建立統(tǒng)一的漫游認證中心，把漫游鑒別請求發(fā)往漫游認證中心，由漫游認證中心交換存儲認證證書或預置共享密鑰建立信任關系，漫游認證中心再把漫游證書鑒別請求發(fā)給歸屬地AS（Authentication Server）鑒權服務器進行證書鑒別，疊加LDAP或RAIDUS漫游認證.

2.5校際漫游系統(tǒng)架構

校際漫游系統(tǒng)架構分2種情況，第1種情況是漫游學校認證數(shù)據(jù)流和網(wǎng)絡數(shù)據(jù)流都返回歸屬學校（圖1），無需部署認證中心，無結算和對帳，認證記錄及統(tǒng)計記錄由各學校自己保留.第2種是漫游學校認證數(shù)據(jù)流到漫游中心認證，網(wǎng)絡數(shù)據(jù)流從漫游學校出去（圖2）.

3　校際移動用戶漫游實現(xiàn)

首先統(tǒng)一校際移動漫游的SSID，各高校按要求廣播本校和校際移動漫游統(tǒng)一的SSID，接入校際移動漫游統(tǒng)一的SSID接入將推送校際移動漫游的Portal認證頁面，校際移動漫游的Portal認證頁面統(tǒng)一進行配置管理.要求各高校無線控制器實現(xiàn)不同SSID接入的用戶能夠推送不同的Portal頁面，控制器與Portal系統(tǒng)的交互要滿足Portal規(guī)范.

結合漫游學校和歸屬學校的網(wǎng)絡實際情況，分為2種漫游實現(xiàn)情況，第1種情況是在有鏈路鏈接的學校之間，漫游學校和歸屬學校AS直接建立信任關系，漫游用戶實現(xiàn)跨校漫游（圖3）.

圖3　可信任歸屬學校認證的實現(xiàn)Figure 3　Implementation of certification in affiliated schools

步驟如下:

①無線用戶訪問互聯(lián)網(wǎng)，無線控制器AC或AP網(wǎng)關向用戶發(fā)送鑒別激活；

②用戶發(fā)出鑒別請求，請求安全的可信接入；

③根據(jù)用戶接入的SSID不同，重定向至不同登錄頁面，用戶接入無線漫游的 SSID，推送 Portal服務器上統(tǒng)一的無線漫游認證頁面；

④用戶點擊WAPI證書申請的鏈接；

⑤漫游學校的AS返回證書申請頁面，需要用戶使用用戶名和密碼登陸；

⑥用戶選擇歸屬學校，填寫用戶名和密碼，系統(tǒng)自動在用戶輸入的賬號添加歸屬學校標識的后綴；

⑦漫游學校的AS記錄著其他建立信任關系的AS地址，發(fā)送到歸屬學校的AS驗證；

⑧歸屬學校認證平臺找LDAP或RAIDUS服務器進行認證；

⑨LDAP或RAIDUS服務器返回用戶認證成功信息；

⑩返回綁定用戶名與證書信息（系統(tǒng)為每一個用戶和AP/AC均下發(fā)一張證書，AS再將其證書與自己生成的證書相綁定，這樣既可以保證CA頒發(fā)證書，又可以順利完成漫游鑒別功能）；

?提供用戶證書下載鏈接；

?用戶下載證書并安裝（WAPI使用X.509證書，大小約為2K）；

?用戶接入使用互聯(lián)網(wǎng)；

?第一次安裝好證書后，用戶訪問互聯(lián)網(wǎng)業(yè)務以后都可免登陸認證，無感知上網(wǎng).

第2種漫游情況的實現(xiàn)需要建立漫游中心AS（圖4），由漫游中心AS負責中間各漫游學校AS之間的漫游鑒別消息.用戶實現(xiàn)漫游情況和第一種情況的步驟基本一樣，漫游中心的認證平臺做LDAP/ RADIUS PROXY，判斷用戶賬號攜帶的后綴名后將賬號以LDAP/RADIUS認證請求包轉發(fā)給賬號后綴對應的學校認證服務器，或者漫游中心的認證平臺找學校的LDAP/RAIDUS服務器進行認證.漫游中心的LDAP/RADIUS認證系統(tǒng)要維護一張賬號后綴與對應學校認證服務器IP的對應表，實現(xiàn)依據(jù)后綴將賬號去后綴后轉向不同的學校認證服務器.漫游用戶所屬學校認證服務器返回給漫游中心認證平臺認證結果，漫游中心認證平臺將認證結果返回給網(wǎng)關或無線控制器，控制器或認證網(wǎng)關根據(jù)認證結果控制用戶是否允許接入互聯(lián)網(wǎng)，如果認證通過，認證網(wǎng)關或無線控制器發(fā)送計費開始包給漫游中心認證計費平臺，平臺轉發(fā)計費開始報文給用戶所屬學校的LDAP/RADIUS系統(tǒng).

用戶發(fā)出下線請求后，認證網(wǎng)關或無線控制器器發(fā)送網(wǎng)絡漫游結束始包給漫游中心認證審計平臺，同時傳遞用戶在線的時長及使用的信息給漫游中心平臺，并通過漫游中心平臺傳遞到用戶所在學校的LDAP/RADIUS認證服務器.

圖4　漫游中心認證的實現(xiàn)Figure 4　Implementation of certification in roaming center

在漫游認證中心系統(tǒng)上實驗漫游認證通過，截取到的漫游認證日志如圖5，其中202.38.192.182為漫游中心AS的IP地址，202.116.45.253為到我校漫游認證AS的IP地址.

圖5　漫游認證中心系統(tǒng)日志截圖Figure 5　System log of the roaming center authentication

自2014年9月在廣東省3所重點高校部署并試運行后，高校師生即可在多個公共區(qū)域內2 000余個無線接入點使用各校的有效賬號登陸實現(xiàn)跨校無線漫游，系統(tǒng)發(fā)放證書200多份，總計有1 000余次的使用量，圖6是截止本文撰寫時跨校漫游使用統(tǒng)計情況.

圖6　漫游認證統(tǒng)計Figure 6　Statistics of the roaming authentication

跨校移動漫游的實現(xiàn)，極大地方便了各高校師生的跨校交流，得到了師生的一致好評.

4　結論

跨校移動漫游系統(tǒng)先進的移動性，增強與改善了現(xiàn)有高校的教學模式，為將高校建設成為“具有鮮明地域特色的教學研究型”大學提供信息化支撐與保障.各高校教職員工和學生可以使用統(tǒng)一帳號，進行校際間的移動漫游，免除了到其他學校需要申請與設置的困擾，通過無線網(wǎng)絡環(huán)境，迅速便捷地獲取各校的網(wǎng)絡信息資源與資訊，方便了學校行政人員公文往來，通過教育信息資源的共享，創(chuàng)造更寬廣的學術交流環(huán)境，有助于教學品質的提升.

［1］He D J，Ma M D，Zhang Y，et al.A user authentication scheme with smart wireless communications［J］.Computer Communications，2011，34（3）:367-374.

［2］Yoon E J，Yoo K Y，Ha K S.A user authentication scheme with anonymity for communications［J］.Computers and Electric Engineering，2011，37（3）:356-364.

［3］屈娟，鄒黎敏，王永峰.具有匿名性的無線漫游認證協(xié)議的分析和改進［J］.西北師范大學學報:自然科學版，2013，49（6）:55-109. Qu J，Zou L M，Wang Y F.Analysis and improvement on an anonymous authentication scheme for roaming service in wireless network［J］.Journal of Northewest Normal Universiy:Natural Science，2013，49（6）:55-109.

［4］彭華熹，馮登國.匿名無線認證協(xié)議的匿名性缺陷和改進［J］.通信學報，2006，27（9）:78-85. Peng H X，F(xiàn)eng D G.Security flaws and improvement to a wireless authentication protocol with anonymity［J］.Journal on Communications，2006，27（9）:78-85.

［5］中華人民共和國國家標準GB15629.11-2003.信息技術系統(tǒng)間遠程通信和信息交換局域網(wǎng)和城域網(wǎng)特定要求第11部分:無線局域網(wǎng)媒體訪問控制和物理層規(guī)范［S］.北京.國家標準化管理委員會，2003.

［6］ 呂欣，馮登國.WLAN漫游中的認證技術［J］.信息安全與通信保密，2005（8）:67-69. Lv X，F(xiàn)eng D G.The authentication technology of WLAN in roaming environment［J］.Information Security and Communications Privacy，2005（8）:67-69.

【中文責編：莊曉瓊英文責編：肖菁】

Research and Implementation of Mobile Network Roaming between Intercollegiate

Huang Weiqiang1*，Ye Zhao2，3，Chen Guoliang4，Li Ruiwei1，Zheng Wendong1
（1.Network Center，South China Normal University，Guangzhou 510631，China；2.Communication and Computer Network Laboratory of Guangdong Province，South China University of Technology，Guangzhou 510640，China；3.Information Network Engineering and Research Center，South China University of Technology，Guangzhou 510640，China；4.Network and Educational Technology Center，Jinan University，Guangzhou 510632，China）

Through the research on the wireless network construction in several top universities，their demand for the construction of intercollegiate mobile roaming is analyzed.Considering the safety access of intercollegiate mobile roaming，authentication of intercollegiate mobile roaming and construction of intercollegiate mobile roaming center of these three aspects，the certificate of Chinese mandatory safety standards，WAPI，is proposed.The certificate extends roaming authentication encryption and superimposes the method of LDAP/RADIUS roaming authentication. It also combines with the practical situation of roaming campuses and its affiliated schools.It is respectively certificated by the affiliated school and roaming center.The solution can achieve high safety performance，high operation performance and simple construction of intercollegiate mobile network roaming.Through the education information resources sharing，a wider inter school academic communication environment is created.

mobile roaming；WAPI；certification identification；AS；Portal

TP393

A

1000-5463（2015）03-0159-05

2014-10-24《華南師范大學學報（自然科學版）》網(wǎng)址:http://journal.scnu.edu.cn/n

國家發(fā)展改革委員會專項項目（CNGI-12-01-01）

黃偉強，高級實驗師，hwq@scnu.edu.cn.