鄭家淼

摘 要：近幾年，無(wú)線網(wǎng)絡(luò)迅速發(fā)展并已趨于成熟。在學(xué)校交流越發(fā)頻繁的今天，伴隨著學(xué)術(shù)研討和開(kāi)放式大學(xué)的建設(shè)，校園無(wú)線網(wǎng)絡(luò)支持跨校認(rèn)證的需求越發(fā)強(qiáng)烈。本課題在RADIUS代理基礎(chǔ)上實(shí)現(xiàn)跨校認(rèn)證平臺(tái)，結(jié)合多所高校自身無(wú)線網(wǎng)絡(luò)認(rèn)證的建設(shè)情況，集成跨校認(rèn)證和各高校內(nèi)部無(wú)線認(rèn)證，實(shí)現(xiàn)跨校認(rèn)證接入外校無(wú)線網(wǎng)絡(luò)，避免了異地認(rèn)證的繁瑣，簡(jiǎn)化了業(yè)務(wù)流程。

關(guān)鍵詞：無(wú)線網(wǎng)絡(luò)；漫游認(rèn)證；RADIUS代理；城域網(wǎng)

1 研究背景及意義

隨著各高校自身無(wú)線網(wǎng)絡(luò)建設(shè)的逐步完成，在校師生對(duì)無(wú)線網(wǎng)絡(luò)的使用越發(fā)頻繁，人們對(duì)無(wú)線網(wǎng)絡(luò)的認(rèn)知度與依賴性逐漸加強(qiáng)。大多數(shù)高校建立無(wú)線校園網(wǎng)是為了解決公共區(qū)域的上網(wǎng)問(wèn)題。而這些區(qū)域的校外用戶較多，對(duì)移動(dòng)上網(wǎng)的需求更加迫切。顯而易見(jiàn)，因安全考慮設(shè)置的屏障，使這些校外用戶無(wú)法使用無(wú)線網(wǎng)，一定程度上違背了學(xué)校在公共區(qū)域建設(shè)無(wú)線網(wǎng)的初衷[1]。通過(guò)統(tǒng)一身份認(rèn)證來(lái)開(kāi)放無(wú)線網(wǎng)絡(luò)訪問(wèn)權(quán)限進(jìn)而共享校園網(wǎng)絡(luò)資源。這將為高校其他教育資源的共享奠定基礎(chǔ)，成為全面資源共享的重要契機(jī)。無(wú)線網(wǎng)絡(luò)可以成為組建高校聯(lián)盟的原動(dòng)力。

2 關(guān)鍵技術(shù)

與本地認(rèn)證相同，漫游認(rèn)證也需要借助于RADIUS協(xié)議來(lái)進(jìn)行用戶的身份確認(rèn)。實(shí)現(xiàn)漫游認(rèn)證功能的技術(shù)核心是依靠RADIUS代理機(jī)制，完成不同認(rèn)證服務(wù)器間的數(shù)據(jù)轉(zhuǎn)發(fā)。RADIUS代理的轉(zhuǎn)發(fā)流程如圖1所示。

經(jīng)過(guò)調(diào)研分析發(fā)現(xiàn)，目前主流無(wú)線產(chǎn)品都能較好的支持中國(guó)移動(dòng)Portal協(xié)議標(biāo)準(zhǔn)[2]。并且使用Web Portal的認(rèn)證方式能夠擺脫客戶端軟件對(duì)用戶和移動(dòng)設(shè)備的限制，大大降低網(wǎng)絡(luò)管理人員在客戶端軟件方面的維護(hù)量。因此，在實(shí)現(xiàn)校際無(wú)線漫游認(rèn)證聯(lián)盟的過(guò)程中，主要采用了RADIUS代理和Web Portal兩種關(guān)鍵技術(shù)。

3 設(shè)計(jì)實(shí)現(xiàn)

校際無(wú)線漫游認(rèn)證聯(lián)盟借助城域網(wǎng)的數(shù)據(jù)傳輸能力，通過(guò)構(gòu)建漫游認(rèn)證中心來(lái)提供RADIUS代理與Web Portal頁(yè)面登錄服務(wù)。漫游認(rèn)證中心的RADIUS代理服務(wù)器主要用于存儲(chǔ)各單位認(rèn)證服務(wù)器信息以及進(jìn)行相應(yīng)的認(rèn)證數(shù)據(jù)轉(zhuǎn)發(fā)工作。用戶在進(jìn)行漫游認(rèn)證登陸時(shí)，通過(guò)登陸頁(yè)面填寫用戶名和密碼信息。用戶的身份描述采用“uid@realm”的方式，其中“uid”是用戶在其本地認(rèn)證機(jī)構(gòu)的登記名稱，“realm”是用戶所在單位的機(jī)構(gòu)名稱。

以高校B用戶到高校A進(jìn)行漫游認(rèn)證登陸為例，漫游認(rèn)證過(guò)程如圖2所示。首先該用戶接入高校A的無(wú)線網(wǎng)絡(luò)，通過(guò)網(wǎng)關(guān)設(shè)備獲取到漫游中心Portal服務(wù)器推送的登陸頁(yè)面。在登陸頁(yè)面提交“uid@realm”形式的信息后，網(wǎng)絡(luò)設(shè)備會(huì)將該信息進(jìn)行封裝并以RADIUS協(xié)議形式提交給漫游認(rèn)證中心的RADIUS代理服務(wù)器。RADIUS代理服務(wù)器通過(guò)查詢各認(rèn)證機(jī)構(gòu)的信息，最終將該認(rèn)證報(bào)文轉(zhuǎn)發(fā)到高校B的AAA服務(wù)器。在轉(zhuǎn)發(fā)過(guò)程中RADIUS代理服務(wù)器會(huì)將“uid@realm”中的機(jī)構(gòu)信息“realm”去掉，只保留用戶的“uid”。因?yàn)橹挥羞@樣高校B的AAA服務(wù)器才能正確處理該用戶的認(rèn)證請(qǐng)求。高校B的認(rèn)證系統(tǒng)將“認(rèn)證通過(guò)”或“認(rèn)證失敗”的信息，經(jīng)由RADIUS代理服務(wù)器原路返回至高校A的網(wǎng)關(guān)設(shè)備。網(wǎng)關(guān)設(shè)備根據(jù)該返回信息對(duì)用戶進(jìn)行“放行”或“拒絕”。

4 安全性研究

在整個(gè)認(rèn)證過(guò)程中，用戶的密碼僅僅在用戶本地進(jìn)行明文處理，離開(kāi)用戶終端后的RADIUS協(xié)議中都是經(jīng)過(guò)加密處理的密文信息，因此整個(gè)認(rèn)證過(guò)程是相對(duì)安全的。由于漫游架構(gòu)的提出，使用戶數(shù)據(jù)必須通過(guò)城域網(wǎng)傳遞到遠(yuǎn)端。在保證本地系統(tǒng)安全的同時(shí)，也需要保護(hù)用戶數(shù)據(jù)在城域網(wǎng)上傳遞的安全與穩(wěn)定。MPLS VPN[3]技術(shù)便很適合用于在城域網(wǎng)級(jí)別來(lái)處理類似問(wèn)題。通過(guò)將認(rèn)證信息特有的地址和端口進(jìn)行標(biāo)記，使用戶數(shù)據(jù)在固定的MPLS VPN通道中交互。在MPLS VPN中通信的主機(jī)甚至可以使用私有地址。使用該技術(shù)可以將漫游認(rèn)證信息與其他城域網(wǎng)信息進(jìn)行隔離。不法分子想要通過(guò)城域網(wǎng)攻擊認(rèn)證服務(wù)器的難度將大大增加。使用此種方式既保證用戶信息的私密性，又能通過(guò)QoS調(diào)度策略來(lái)實(shí)現(xiàn)認(rèn)證數(shù)據(jù)通信的穩(wěn)定性和高可用性。

無(wú)線網(wǎng)絡(luò)相對(duì)開(kāi)放的使用環(huán)境導(dǎo)致其安全問(wèn)題尤為凸顯。為了在安全問(wèn)題發(fā)生后及時(shí)追溯到責(zé)任人，認(rèn)證系統(tǒng)就起到了至關(guān)重要的作用。在實(shí)際使用過(guò)程中發(fā)現(xiàn)，漫游認(rèn)證中心可以記錄全部漫游認(rèn)證信息，但是大部分單位的園區(qū)網(wǎng)絡(luò)在提供漫游用戶訪問(wèn)互聯(lián)網(wǎng)時(shí)，往往會(huì)使用NAT等技術(shù)手段來(lái)處理用戶IP地址。當(dāng)用戶的實(shí)際使用IP經(jīng)過(guò)NAT處理后，就很難通過(guò)漫游認(rèn)證信息來(lái)追查到該IP的具體使用者了，因?yàn)楫a(chǎn)生安全問(wèn)題記錄的公網(wǎng)IP地址可能指向了多個(gè)漫游認(rèn)證用戶。

為了實(shí)現(xiàn)對(duì)漫游用戶的溯源，需要在用戶認(rèn)證過(guò)程中對(duì)用戶的認(rèn)證地址進(jìn)行修改，將用戶設(shè)備獲取到的實(shí)際IP封裝到認(rèn)證的RADIUS請(qǐng)求報(bào)文中。此時(shí)漫游認(rèn)證中心的RADIUS代理服務(wù)器就能夠記錄下，包含每個(gè)漫游用戶實(shí)際使用IP地址的認(rèn)證信息。再配合各單位出口的NAT日志就能夠?qū)崿F(xiàn)完整的漫游用戶溯源功能。

5 總結(jié)

從總體來(lái)看，無(wú)線網(wǎng)絡(luò)和漫游認(rèn)證尚屬新鮮事物。隨著無(wú)線網(wǎng)絡(luò)的發(fā)展以及用網(wǎng)需求的不斷提升，漫游認(rèn)證的應(yīng)用范圍將會(huì)越來(lái)越廣泛。未來(lái)使用過(guò)程中，整個(gè)漫游認(rèn)證體系在認(rèn)證協(xié)議、認(rèn)證記錄和管理手段等多個(gè)層面還存在著許多問(wèn)題需要不斷優(yōu)化。完善的漫游認(rèn)證將會(huì)使網(wǎng)絡(luò)更加開(kāi)放，使用戶更加高效、便捷地共享網(wǎng)絡(luò)資源。

參考文獻(xiàn)

[1]中國(guó)教育網(wǎng)絡(luò).無(wú)線聯(lián)盟初露端倪[J].中國(guó)教育網(wǎng)絡(luò)，2006，（4）：9-10.

[2]中國(guó)移動(dòng)通信.中國(guó)移動(dòng)WLAN業(yè)務(wù)Portal協(xié)議規(guī)范[S].中國(guó)移動(dòng)通信企業(yè)標(biāo)準(zhǔn)，2008

[3]陳雪非，黃河，李蓬.MPLS VPN關(guān)鍵技術(shù)研究[J].計(jì)算機(jī)工程與設(shè)計(jì)，2007，（13）：3138～3140，3150.