北京建筑大學(xué)扁平網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)Eduroam的溯源審計(jì)

文/牟綜磊 任彥龍

Eduroam概述

多年來(lái)，通過(guò)實(shí)施“211工程”、“985工程”以及“優(yōu)勢(shì)學(xué)科創(chuàng)新平臺(tái)”和“特色重點(diǎn)學(xué)科項(xiàng)目”等重點(diǎn)建設(shè)，國(guó)家的高等教育水平有了顯著的提高，同時(shí)涌現(xiàn)一批重點(diǎn)高校和重點(diǎn)學(xué)科建設(shè)，為經(jīng)濟(jì)社會(huì)持續(xù)健康發(fā)展作出了重要貢獻(xiàn)。隨著信息化時(shí)代的到來(lái)，黨中央、國(guó)務(wù)院做出建設(shè)“世界一流大學(xué)”和“一流學(xué)科”的重大戰(zhàn)略決策。國(guó)內(nèi)高校之間以及與國(guó)際高校之間的合作交流日趨增加，隨著相互之間合作的不斷深入，高校師生在國(guó)內(nèi)和國(guó)際流動(dòng)更加頻繁，訪(fǎng)問(wèn)學(xué)者和交換生的數(shù)量不斷增長(zhǎng)，國(guó)內(nèi)國(guó)外學(xué)術(shù)研討會(huì)議日漸頻繁，對(duì)網(wǎng)絡(luò)的需求也在迅速的增長(zhǎng)。當(dāng)訪(fǎng)問(wèn)者來(lái)校進(jìn)行訪(fǎng)問(wèn)學(xué)習(xí)時(shí)，學(xué)校需要給其建立臨時(shí)網(wǎng)絡(luò)賬號(hào)，這給學(xué)校的網(wǎng)絡(luò)管理帶來(lái)很多的不便和運(yùn)維成本。全球無(wú)線(xiàn)漫游聯(lián)盟為了更好地解決這一問(wèn)題，提出全球教育無(wú)線(xiàn)網(wǎng)漫游聯(lián)盟（Education roaming），簡(jiǎn)稱(chēng)Eduroam。

Eduroam的實(shí)現(xiàn)，很好地解決了高校教育機(jī)構(gòu)之間跨區(qū)域?qū)W術(shù)交流，所有已加入Eduroam聯(lián)盟的機(jī)構(gòu)，用戶(hù)可以使用原單位提供的網(wǎng)絡(luò)賬號(hào)，在全球范圍內(nèi)連接已加入Eduroam機(jī)構(gòu)的無(wú)線(xiàn)網(wǎng)絡(luò)。Eduroam很好地滿(mǎn)足了授權(quán)用戶(hù)在成員教育機(jī)構(gòu)可以安全暢享無(wú)線(xiàn)網(wǎng)絡(luò)，從而減輕了訪(fǎng)問(wèn)高校網(wǎng)絡(luò)的工作，提高了各項(xiàng)辦事效率。目前，歐美國(guó)家和日本幾乎所有大學(xué)都是Eduroam成員，我國(guó)的跨域無(wú)線(xiàn)漫游技術(shù)還處于發(fā)展階段，但是隨著國(guó)內(nèi)外高校的交流增多，提供便利的網(wǎng)絡(luò)接入、加入Eduroam聯(lián)盟將是大勢(shì)所趨。

認(rèn)證機(jī)制

Eduroam是由歐洲研究與教育協(xié)會(huì)提出的，一種應(yīng)用了802.1x協(xié)議的專(zhuān)為研究和教育機(jī)構(gòu)開(kāi)發(fā)的國(guó)際無(wú)線(xiàn)漫游接入認(rèn)證服務(wù)。Eduroam認(rèn)證機(jī)制是在全球范圍內(nèi)為加入的機(jī)構(gòu)建立了Radius代理服務(wù)器的樹(shù)形結(jié)構(gòu)，該架構(gòu)主要包括下面幾部分：頂級(jí)認(rèn)證服務(wù)器（TLR）、聯(lián)盟級(jí)的認(rèn)證服務(wù)器（FLRS）、校園級(jí)認(rèn)證服務(wù)器、級(jí)聯(lián)認(rèn)證服務(wù)器、身份管理系統(tǒng)。用戶(hù)在連接到訪(fǎng)機(jī)構(gòu)的無(wú)線(xiàn)網(wǎng)絡(luò)時(shí)，身份認(rèn)證信息將從到訪(fǎng)機(jī)構(gòu)的認(rèn)證服務(wù)器通過(guò)上述的樹(shù)形架構(gòu)傳送用戶(hù)認(rèn)證信息到所在機(jī)構(gòu)的認(rèn)證服務(wù)器中進(jìn)行身份的識(shí)別。具體認(rèn)證過(guò)程如圖1所示。

圖1 Eduroam認(rèn)證過(guò)程

1.當(dāng)來(lái)自機(jī)構(gòu)B的用戶(hù)在機(jī)構(gòu)A連接無(wú)線(xiàn)網(wǎng)時(shí)，發(fā)起Eduroam網(wǎng)絡(luò)認(rèn)證請(qǐng)求，機(jī)構(gòu)B用戶(hù)的認(rèn)證信息含有機(jī)構(gòu)B的域名通過(guò)無(wú)線(xiàn)AP發(fā)送到Authenticator，啟動(dòng)802.1x認(rèn)證過(guò)程。

2.交換機(jī)將請(qǐng)求信息發(fā)送到機(jī)構(gòu)A認(rèn)證服務(wù)器，對(duì)認(rèn)證信息進(jìn)行判斷，將認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)到聯(lián)盟級(jí)認(rèn)證服務(wù)器以及頂級(jí)認(rèn)證服務(wù)器，對(duì)訪(fǎng)問(wèn)請(qǐng)求信息進(jìn)行判斷，如果@機(jī)構(gòu)B域名屬于聯(lián)盟用戶(hù)，轉(zhuǎn)發(fā)到機(jī)構(gòu)B認(rèn)證服務(wù)器。

3.機(jī)構(gòu)B認(rèn)證服務(wù)器對(duì)請(qǐng)求進(jìn)行認(rèn)證，認(rèn)證完畢將認(rèn)證信息通過(guò)Radius代理服務(wù)器轉(zhuǎn)發(fā)回機(jī)構(gòu)A認(rèn)證服務(wù)器。

4.機(jī)構(gòu)A將結(jié)果轉(zhuǎn)發(fā)到Authenticator。Authenticator對(duì)機(jī)構(gòu)B用戶(hù)授權(quán)無(wú)線(xiàn)網(wǎng)絡(luò)。

使用特色

訪(fǎng)問(wèn)學(xué)者和訪(fǎng)問(wèn)學(xué)生日漸增加，國(guó)際國(guó)內(nèi)相互間交流非常頻繁，學(xué)校交換生數(shù)量逐年遞增，校內(nèi)師生國(guó)內(nèi)外開(kāi)會(huì)學(xué)習(xí)時(shí)使用網(wǎng)絡(luò)的需求也在日益增加，部署Eduroam無(wú)線(xiàn)漫游認(rèn)證可以很好的解決以上問(wèn)題，同時(shí)，我們學(xué)校根據(jù)學(xué)校實(shí)際情況，為更好地實(shí)現(xiàn)網(wǎng)絡(luò)安全和審計(jì)，搭建了扁平化網(wǎng)絡(luò)架構(gòu)。

扁平化網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

當(dāng)前很多學(xué)校網(wǎng)絡(luò)采用三層網(wǎng)絡(luò)架構(gòu)，即接入—匯聚—核心。接入至匯聚為二層鏈路，匯聚至核心為三層鏈路，為了確保終端用戶(hù)的安全接入以及網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，往往在接入與匯聚設(shè)備上部署特別多的完全策略，并且盡可能地簡(jiǎn)化核心的配置，確保核心高速轉(zhuǎn)發(fā)流量（包括正常流量、異常攻擊流量、非法接入的流量）。同時(shí)，校園網(wǎng)采用上述粗放型的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)，網(wǎng)絡(luò)仍然存在無(wú)法實(shí)現(xiàn)差異化服務(wù)，簡(jiǎn)單互通，無(wú)法針對(duì)不同群體用戶(hù)實(shí)現(xiàn)不同的服務(wù)；用戶(hù)之間互相影響，網(wǎng)絡(luò)中的攻擊泛濫；無(wú)序使用，訪(fǎng)問(wèn)過(guò)程沒(méi)有完整的記錄、審計(jì)和基于用戶(hù)的控制等諸多問(wèn)題。

結(jié)合上述問(wèn)題，經(jīng)過(guò)多方調(diào)研和探討，決定采用扁平化網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)來(lái)解決傳統(tǒng)校園網(wǎng)的問(wèn)題。全新的網(wǎng)絡(luò)業(yè)務(wù)處理流程如圖2所示，可以很好地定位和溯源網(wǎng)絡(luò)用戶(hù)，解決了安全審計(jì)等問(wèn)題。

對(duì)于學(xué)校未來(lái)的網(wǎng)絡(luò)發(fā)展，我們?yōu)閷W(xué)校引入了IPoE的接入方式。IPoE是一種新型的接入方式，后臺(tái)BAS在給前端每一個(gè)接入用戶(hù)分配IP地址時(shí)，BAS都將配合后臺(tái)的Radius進(jìn)行相關(guān)DHCP Option信息認(rèn)證，然后會(huì)在內(nèi)部生成一個(gè)針對(duì)此用戶(hù)的邏輯通道DSI（Dynamic Service Interface），并可以配合認(rèn)證結(jié)果在此邏輯DSI接口上下發(fā)相應(yīng)的用戶(hù)策略，從而實(shí)現(xiàn)差異化的服務(wù)和精細(xì)化的管理。每個(gè)用戶(hù)的DSI通道完全獨(dú)立和隔離，換個(gè)角度而言這實(shí)際上是：“賬號(hào)—IP地址—MAC地址—DSI session ID”的綁定，任何盜用IP甚至盜用賬號(hào)的問(wèn)題將不復(fù)存在，真正實(shí)現(xiàn)了PUPSPV（Per User Per Service Per VLAN）。

圖2 網(wǎng)絡(luò)業(yè)務(wù)處理流程

SSID使用隱藏式發(fā)布

Eduroam的SSID是隱藏式的發(fā)布，并沒(méi)有對(duì)全校師生進(jìn)行公開(kāi)。只有涉外的部門(mén)掌握Eduroam的使用方法，通知官方訪(fǎng)問(wèn)團(tuán)或交換生使用，訪(fǎng)客信息可控。Eduroam只是針對(duì)于來(lái)校的訪(fǎng)問(wèn)學(xué)者和訪(fǎng)問(wèn)學(xué)生以及到其他高校訪(fǎng)問(wèn)的我校師生使用，并不需要面向全校師生，隱藏式發(fā)布同時(shí)可以使網(wǎng)絡(luò)更加的安全。因此，Eduroam的SSID是隱藏式的發(fā)布。

在Eduroam審計(jì)上的思考

采用扁平化網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)，學(xué)校實(shí)現(xiàn)了“賬號(hào)—IP地址—MAC地址—DSI session ID”的關(guān)聯(lián)，通過(guò)接入端口的采集信息，可以查詢(xún)接入用戶(hù)獲得的IP地址、終端MAC、上線(xiàn)準(zhǔn)確的時(shí)間、甚至從哪個(gè)設(shè)備來(lái)、出口在哪里，這樣利于接入定位。其次，還可以通過(guò)計(jì)費(fèi)系統(tǒng)進(jìn)行數(shù)據(jù)的采集信息，可以記錄IP、用戶(hù)的賬號(hào)及上線(xiàn)的時(shí)間等。最后，通過(guò)出口日志采集到的信息與接口采集信息、計(jì)費(fèi)系統(tǒng)采集信息關(guān)聯(lián)進(jìn)行查詢(xún)，最終能得到哪一個(gè)用戶(hù)、在什么時(shí)候、從哪兒接入網(wǎng)絡(luò)最終去了哪里，更有效地實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)的監(jiān)控，可以分層次、分等級(jí)的多維梯次審計(jì)。另外，校園網(wǎng)絡(luò)結(jié)構(gòu)的不同，對(duì)Eduroam的服務(wù)支持也會(huì)有所差異，我們的網(wǎng)絡(luò)結(jié)構(gòu)支撐審計(jì)策略。

Eduroam展現(xiàn)的是一個(gè)高校的情懷，不應(yīng)拒絕，而應(yīng)敞開(kāi)懷抱，同時(shí)，也是高校意識(shí)形態(tài)和辦學(xué)理念的一種體現(xiàn)形式，基于Eduroam無(wú)線(xiàn)漫游認(rèn)證很好地為高校師生的訪(fǎng)學(xué)提供網(wǎng)絡(luò)資源。本文主要針對(duì)學(xué)校Eduroam的部署和特點(diǎn)的考慮做了闡述，用戶(hù)的使用體驗(yàn)是Eduroam得以發(fā)展壯大的基本前提，分層級(jí)、分等級(jí)的多維梯次的審計(jì)，能更有效地控制訪(fǎng)客的信息。