高校網絡認證系統(tǒng)建設研究

折波 王強 張哲 李國棟 覃遵穎

摘 ? 要：目前，認證系統(tǒng)已經成為校園網絡的重要基礎組成部分。文章以西安交通大學網絡認證系統(tǒng)建設為例，對高校校園網絡認證系統(tǒng)建設進行了探索研究，以期為各高校網絡認證建設提供經驗參考。文章首先從建設必要性出發(fā)，詳細闡述了認證系統(tǒng)建設是國家法律法規(guī)對網絡管理的需求以及校園網網絡管理的基礎;然后詳細介紹了網絡認證系統(tǒng)的整體架構，系統(tǒng)從功能上劃分為4個模塊：用戶自服務模塊、數(shù)據管理模塊、用戶接入認證模塊以及數(shù)據庫模塊，詳細介紹了每個模塊的實現(xiàn)原理以及使用的技術;最后介紹了西安交通大學網絡認證系統(tǒng)的建設成果和整體運行情況。該系統(tǒng)目前服務于全校所有的網絡接入認證，服務全校教工師生5萬余人，終端數(shù)量超過10萬臺，系統(tǒng)運行穩(wěn)定，3年無大規(guī)模故障發(fā)生。

關鍵詞：校園網絡;網絡認證系統(tǒng);用戶接入認證;radius

中圖分類號：TP393 文獻標志碼：B 文章編號：1673-8454（2020）03-0089-04

一、引言

互聯(lián)網的高速發(fā)展對人們的工作和生活產生了巨大的影響。在高校中，互聯(lián)網正在不斷地改變著教育形態(tài)，推動教育現(xiàn)代化、智慧化?；ヂ?lián)網為教學科研、行政管理、娛樂生活提供了便捷、穩(wěn)定、高效的交流、學習、娛樂以及資源共享平臺。師生的日常工作、科研、學習、生活已然離不開網絡?；ヂ?lián)網的發(fā)展同時也帶來一些問題，主要表現(xiàn)在網絡資源不能合理分配、網絡濫用現(xiàn)象多、非校園網用戶接入影響網絡秩序、網絡安全問題突出等，針對這些問題，各高校都建設了網絡認證系統(tǒng)，以保障校園網用戶合法使用、規(guī)范用戶上網行為、有效控制網絡資源分配、降低網絡資源浪費。

大多數(shù)高校的校園網認證系統(tǒng)都購買公司成熟的產品，如深瀾、城市熱點、銳捷等。成熟的產品具有運行穩(wěn)定、功能多樣、安裝便捷等優(yōu)點，同時也具備不少缺點，如普遍與校內現(xiàn)有數(shù)據系統(tǒng)對接復雜，產品整體靈活性差，擴展性差，使用過程中出現(xiàn)問題后查找問題困難，出現(xiàn)問題一般都需要廠家工程師解決問題，廠家售后團隊成員少，服務參差不齊，出現(xiàn)故障很難保證及時解決問題，影響用戶網絡使用。為了保障校園網的穩(wěn)定、安全、可靠運行，西安交通大學自主研發(fā)了校園網絡認證系統(tǒng)，用于全校校園網絡接入認證以及用戶的網絡管理。

二、網絡認證系統(tǒng)建設

1.網絡認證系統(tǒng)建設的必要性

網絡認證系統(tǒng)建設是國家相關法規(guī)對網絡管理的要求。根據《中華人民共和國網絡安全法》[1]《互聯(lián)網信息服務管理辦法》[2]等有關法律、法規(guī)和制度，以及公安部第82號令[3]要求，互聯(lián)網使用單位必須實行實名制認證上網，日志信息記錄留存12個月，并對上網內容和上網行為提供審計功能。

網絡認證系統(tǒng)建設是校園網絡管理的基礎，網絡認證系統(tǒng)防止了非校園網用戶對校園網的使用，保證了校園網使用用戶都是實名制用戶。網絡認證系統(tǒng)有利于網絡資源帶寬的合理分配，校園網用戶規(guī)模龐大，終端數(shù)多，帶寬不足，西安交通大學高峰期在線終端數(shù)超過5萬臺，校園網租用帶寬不足6G，為了確保校園網的可用性，必須對用戶劃分以施行差異化的訪問控制策略。網絡認證系統(tǒng)綁定了每個用戶的用戶名、口令以及IP地址，系統(tǒng)能夠實現(xiàn)將用戶按類別、區(qū)域劃分，從而保障校園網的可用性、穩(wěn)定性、多樣性。

2.網絡認證系統(tǒng)的整體架構

西安交通大學網絡認證系統(tǒng)整體架構如圖1所示。系統(tǒng)從功能上劃分為4個模塊，分別為用戶自服務模塊、數(shù)據管理模塊、用戶接入認證模塊以及數(shù)據庫模塊。用戶自服務模塊使用校園網用戶自服務系統(tǒng)提供對外服務的窗口，用戶通過自服務系統(tǒng)申請校園網賬號、更改校園網上網密碼、查詢管理個人信息、查詢個人上網繳費信息、管理個人電子郵箱以及VPN等等。數(shù)據操作管理模塊包含了數(shù)據操作中轉服務器以及數(shù)據管理系統(tǒng)，數(shù)據操作中轉服務器用于存儲用戶的操作信息，用戶在自服務系統(tǒng)上針對校園網賬號以及個人信息的增刪改操作都會記錄到數(shù)據操作中轉服務器;數(shù)據管理系統(tǒng)根據數(shù)據中轉服務器中記錄的操作對各類數(shù)據庫進行操作，數(shù)據管理系統(tǒng)定時讀取識別數(shù)據中轉服務器中的增刪改操作后在數(shù)據庫服務器中對用戶數(shù)據進行更改，同時同步校園各類認證服務器中的用戶信息。數(shù)據庫模塊包含用戶數(shù)據庫以及數(shù)據庫備份服務器，數(shù)據庫服務器存儲用戶的個人數(shù)據，數(shù)據備份服務器定期以增量備份及全備份的方式對用戶的數(shù)據進行備份，保障數(shù)據安全。用戶接入認證模塊包括校園有線網絡、無線網絡、學生宿舍有線網絡、圖書館無線網絡、家屬區(qū)有線網絡等20余臺校園網絡認證服務器，用戶上網的時候根據校園網不同的網絡環(huán)境使用PPPOE、Portal或802.1x方式通過不同的認證方式實名制上網。

3.用戶自服務模塊

用戶自服務模塊使用校園網用戶自服務系統(tǒng)提供的對外服務窗口。用戶使用校園統(tǒng)一身份認證登錄自服務系統(tǒng)，還可以使用自服務系統(tǒng)申請校園網賬號、查看個人網絡狀態(tài)信息、更改各類校園網密碼、查看校園網網絡通知、下載各類網絡認證使用說明等等。自服務系統(tǒng)使用PHP開發(fā)。系統(tǒng)對用戶信息的查看是通過查詢用戶數(shù)據庫服務器來實現(xiàn)的，用戶對各類信息的更改操作全部以insert的方式插入到數(shù)據操作中轉服務器，而后由數(shù)據管理系統(tǒng)進行用戶數(shù)據實際的更改操作。

4.用戶接入認證模塊

西安交通大學接入認證模塊包含了對校園有線網絡、無線網絡、學生宿舍有線網絡、圖書館無線網絡、家屬區(qū)有線網絡等所有校園網絡環(huán)境使用的用戶接入認證。不同的校園網絡環(huán)境使用不同的認證方式，如校園有線網絡使用PPPOE撥號認證、校園無線網絡使用802.1x認證以及Portal認證、學生宿舍有線網絡使用PPPOE撥號和Portal組合認證的方式。

西安交通大學所有認證服務器[4][5]都使用開源的freeradius自主搭建。freeradius[6]是一個功能強大的開源radius，世界上大部分的radius服務器都是由freeradius開發(fā)而來，是多樣化radius商業(yè)產品的基礎部分。freeradius具有功能豐富、模塊化、擴展性強、穩(wěn)定性高的特點。西安交通大學搭建的認證服務器總共有20余臺，包括物理實體機和虛擬機。實體機主要用于用戶數(shù)多、網絡認證頻繁的網絡場景，如校園無線網絡802.1x認證、校園有線PPPOE認證等;虛擬機主要用于用戶數(shù)少、認證操作頻次低的網絡場景，如學生宿舍portal認證、家屬區(qū)PPPOE認證的網絡場景。

西安交通大學radius服務器是在Linux Centos6.7版本上使用開源freeradius-2.2.9版本搭建的。數(shù)據庫使用MySQL-5.6.27版本;freeradius使用源碼安裝的方式進行安裝;radius服務器對接校園網BAS設備（華為Me60）進行認證上網;每種網絡場景使用2臺radius服務器;部署方式為主備模式。radius服務器根據網絡使用場景和服務器的不同進行了功能和性能的優(yōu)化。功能優(yōu)化方面主要是對radius服務器進行“針對用戶劃分不同的域、用戶在線終端數(shù)限制、日志記錄、認證方式選擇”等優(yōu)化;性能優(yōu)化方面主要是對radius服務器使用的線程數(shù)、服務器最大請求數(shù)等方面進行優(yōu)化。對radius服務器的功能和性能優(yōu)化主要是對radius.conf、client.conf、sites-enabled/default、sql.conf等文件配置調優(yōu)，對用戶域的劃分需要和華為Me60進行對接，對接freeradius中用戶屬性與Me60 radius屬性值的轉換。

西安交通大學radius服務器都啟用了iptables防火墻。防火墻僅開放了認證和數(shù)據庫所需的1812、1813、3306端口，并且只允許管理員IP地址SSH登錄。radius服務器上同時開發(fā)部署了進程監(jiān)控程序，監(jiān)控程序實時監(jiān)控radius和mysql進程，radius和mysql進程出現(xiàn)問題，監(jiān)控程序會重新啟動，有效保障了radius服務器的安全性和認證的可靠性。

5.數(shù)據操作管理模塊

數(shù)據操作管理模塊包含了數(shù)據操作中轉服務器以及數(shù)據管理系統(tǒng)。

數(shù)據操作中轉服務器用于存儲用戶在自服務平臺對個人信息以及管理員對用戶數(shù)據信息的增刪改操作，一方面可以對用戶和管理員操作數(shù)據庫留痕;另一方面可以充分保障數(shù)據庫的安全性。數(shù)據庫如果出現(xiàn)重大故障，可以使用數(shù)據中轉服務器中的數(shù)據進行數(shù)據庫恢復。數(shù)據操作中轉服務器使用SQL Server2008數(shù)據庫搭建。數(shù)據庫表中有command和commandState兩個重要字段，command字段代表對數(shù)據庫的操作命令，如“insert”代表插入數(shù)據、“update”代表更新數(shù)據、“delete”代表刪除數(shù)據;commandState代表數(shù)據庫操作執(zhí)行情況，如“1”代表用戶數(shù)據庫操作未執(zhí)行、“100”代表用戶數(shù)據庫操作執(zhí)行成功。對數(shù)據的操作以insert方式全部插入到數(shù)據庫表中，如管理員在校園有線網絡中增加一個用戶命令為：

insert into [Wire].[dbo].[fa_command]（command，commandState，userName，password，stuNum，trueName） values（'insert'， 1， 'ceshi01'， 'ceshi01'， 2019050901， '測試'）。

數(shù)據管理系統(tǒng)是校園網認證系統(tǒng)的核心。該系統(tǒng)使用C/C++語言開發(fā)，系統(tǒng)定時（30秒）讀取識別數(shù)據中轉服務器數(shù)據庫中最新的增刪改操作后，在用戶數(shù)據庫服務器中對用戶數(shù)據進行更改，更新數(shù)據中轉服務器中操作的執(zhí)行狀態(tài)，同時同步校園各類認證服務器中的用戶信息，保障用戶認證的時效性。數(shù)據管理系統(tǒng)工作的具體流程圖如圖2所示。系統(tǒng)啟動后啟動數(shù)據管理線程，首先判斷數(shù)據中轉服務器數(shù)據庫中是否有未執(zhí)行操作的數(shù)據，如果沒有，線程休眠30秒，如果有，系統(tǒng)逐條讀取數(shù)據中轉服務器數(shù)據庫中未執(zhí)行操作的數(shù)據并識別數(shù)據操作類型后，在數(shù)據庫服務器中執(zhí)行實際操作，判斷數(shù)據庫執(zhí)行是否成功，如果數(shù)據庫操作執(zhí)行失敗，則線程結束運行，如果數(shù)據庫操作執(zhí)行成功，則更改數(shù)據庫中轉服務器中操作數(shù)據的執(zhí)行狀態(tài)，并且根據用戶操作同步相關radius服務器中的用戶數(shù)據，未執(zhí)行操作數(shù)據執(zhí)行完成后線程休眠30秒，線程休眠后重新判斷數(shù)據中轉服務器中是否有未執(zhí)行操作數(shù)據，如此循環(huán)執(zhí)行，保障數(shù)據實時更新。

6.數(shù)據庫模塊

數(shù)據庫模塊包括了用戶數(shù)據庫和數(shù)據庫備份服務器。用戶數(shù)據庫使用Sql Server2008，用戶數(shù)據庫根據不同的校園網場景建立不同的數(shù)據庫表，如校園有線網絡用戶表、校園無線網絡用戶表、學生宿舍網絡用戶表等。用戶表中存儲了用戶個人基本信息、網絡狀態(tài)信息（包括允許同時在線人數(shù)、網絡狀態(tài)、欠費情況、組別信息等等）。數(shù)據庫只開通了數(shù)據中轉服務器用戶的增刪改操作，只允許數(shù)據中轉服務器對數(shù)據庫進行數(shù)據更改操作，數(shù)據庫允許其他授權用戶進行查詢操作。為了充分保障數(shù)據的安全性，數(shù)據庫設置了定時的增量備份和全備份任務，系統(tǒng)會定時（每天凌晨5點）將數(shù)據庫備份到本地磁盤中。另外，系統(tǒng)使用了cobian backup備份軟件定時（每天凌晨6點）對數(shù)據庫備份文件進行遠程備份，防止數(shù)據庫服務器癱瘓。系統(tǒng)管理員會定期對數(shù)據庫備份文件進行恢復演練，以保障數(shù)據庫備份的可用性、完整性、可靠性。

三、西安交通大學網絡認證系統(tǒng)運行情況

西安交通大學校園網絡認證系統(tǒng)目前已經覆蓋了全校所有的網絡接入認證，包括校園有線網絡、無線網絡、家屬區(qū)網絡、學生宿舍有線網絡、圖書館無線網絡等等。該系統(tǒng)目前服務全校教工師生5萬余人，終端數(shù)量超過10萬臺，校園網絡認證系統(tǒng)使用了1臺服務器用于用戶自服務系統(tǒng)、1臺數(shù)據操作中轉服務器、1臺數(shù)據管理服務器、1臺用戶數(shù)據庫服務器、1臺數(shù)據備份服務器以及20余臺radius服務器。由于服務器數(shù)量多，為了管理便捷性，自主開發(fā)了監(jiān)控程序用于監(jiān)控所有服務器的實時狀態(tài)，服務器狀態(tài)監(jiān)控信息如圖3所示。從圖3可以看出，監(jiān)控程序監(jiān)控的服務器顯示了服務器IP、用途、連接狀態(tài)以及歷史記錄信息。服務器的連接狀態(tài)能夠顯示服務器網絡連接是否正常，綠色代表連接正常，紅色代表出現(xiàn)故障;歷史記錄信息可以顯示服務器網絡連接的歷史通斷信息。教學區(qū)學生PPPOE認證服務器監(jiān)控歷史記錄如圖4所示。從圖4中可以看出，系統(tǒng)在4月6日出現(xiàn)故障10分鐘;2月15-16日有多次網絡故障;4月6日故障是由于機房停電導致的;2月15-16日多次故障是由于機房整理線纜導致的。該系統(tǒng)目前運行穩(wěn)定，3年無大規(guī)模故障發(fā)生。

四、結束語

本文以西安交通大學網絡認證系統(tǒng)建設為例，對高校網絡認證系統(tǒng)進行了探索研究。首先從網絡認證系統(tǒng)建設的必要性出發(fā)，詳細闡述了網絡認證系統(tǒng)建設是國家法律法規(guī)對網絡管理的需求，同時也是校園網網絡管理的基礎。其次介紹了西安交通大學網絡認證系統(tǒng)的整體架構，系統(tǒng)從功能上劃分為4個模塊，用戶自服務模塊、數(shù)據管理模塊、用戶接入認證模塊以及數(shù)據庫模塊，詳細介紹了每個模塊實現(xiàn)的原理和使用到的技術：用戶自服務模塊中的自服務系統(tǒng)提供了對外服務的窗口，提供用戶對校園網賬號以及個人信息的日常管理;用戶接入認證模塊中所有的認證服務器都使用開源freeradius自主搭建;數(shù)據操作管理模塊包含了數(shù)據中轉服務器以及數(shù)據管理系統(tǒng)，數(shù)據中轉服務器提供對用戶以及管理員數(shù)據信息增刪改操作的記錄，數(shù)據管理系統(tǒng)根據數(shù)據中轉服務器中的記錄信息對用戶和radius數(shù)據庫進行操作;數(shù)據庫模塊提供了用戶數(shù)據的數(shù)據庫存儲以及數(shù)據庫備份。本文最后介紹了西安交通大學認證系統(tǒng)的整體運行情況，系統(tǒng)目前服務于全校所有的網絡接入認證，同時自主開發(fā)了服務器日常監(jiān)控程序來保障日常管理的便捷，為各高校的認證系統(tǒng)建設提供了經驗參考。

參考文獻：

[1]中華人民共和國網絡安全法[EB/OL].http：//www.npc.gov.cn/npc/xinwen/2016-11/07/content_2001605.htm.

[2]國務院令第292號.互聯(lián)網信息服務管理辦法[Z].

[3]公安部令第82號.互聯(lián)網安全保護技術措施規(guī)定[Z].

[4]Zhang， Y. Guo， Y. Chen and J. Ma， “Research of AAA messages Based on 802.1x authentication，”2015 IEEE Advanced Information Technology， Electronic and Automation Control Conference （IAEAC）， Chongqing， 2015， pp.618-621.

[5]G. Cristescu， V. Croitoru and V. Sorici， “Implementing an AAA-RADIUS solution based on EAP，” 2016 12th IEEE International Symposium on Electronics and Telecommunications （ISETC）， Timisoara， 2016， pp.81-86.

[6]FreeRADIUS[EB/OL]. http：//freeradius.org/.

（編輯：王曉明）