唐 強，葉小花，尹 祥

(四川農業(yè)大學信息與教育技術中心，四川 雅安 625014)

0 引言

無線網(wǎng)絡的普及已成為校園網(wǎng)絡的一個重要組成部分，我校計費系統(tǒng)目前注冊用戶數(shù)達3萬人左右，上網(wǎng)高峰同時在線IP數(shù)達2萬人。為滿足用戶所使用的筆記本、手機、Pad等終端設備在網(wǎng)絡中上網(wǎng)的需求，其認證是關鍵。目前校園網(wǎng)中最常用的認證方式是網(wǎng)頁認證，不需要安裝不同系統(tǒng)的客戶端而通過網(wǎng)頁作為客戶端使用，極大地減少了網(wǎng)絡管理人員的維護工作量并降低了維護成本。其認證過程是:用戶連接到該區(qū)域的無線信號后獲取到IP地址，再進行計費網(wǎng)關Portal認證，輸入用戶名和密碼即可實現(xiàn)用戶外網(wǎng)訪問。這種方式雖然簡單，但無線AP沒有采用WEP和EPA2等加密方式，安全性較低。因此需要無線AC控制器采用加密方式與啟用Portal認證，保證用戶認證信息傳輸過程的安全。因此我校結合無線AC控制器實現(xiàn)了校園網(wǎng)網(wǎng)內第一次認證的準入與計費網(wǎng)關第二次認證的外網(wǎng)訪問，用戶端一次通過的流程。

1 體系結構

無線二次認證體系結構如圖1所示，由無線AC控制器、核心交換機、DHCP、Portal、Radius、Oracle、ABMS Bras組成。它涵蓋了數(shù)據(jù)業(yè)務的用戶IP獲取、加密方式、認證方式、數(shù)據(jù)查詢、業(yè)務計費、數(shù)據(jù)管理等的一套完整運營支撐系統(tǒng)。

(1)無線AC控制器:無線網(wǎng)絡的核心，負責管理無線網(wǎng)絡的AP與無線網(wǎng)絡用戶的準入。實現(xiàn)Portal認證、業(yè)務控制，接收Portal Server發(fā)起的認證請求，完成用戶Portal認證功能。

(2)核心交換機:網(wǎng)絡主干部分，其目的在于通過高速的轉發(fā)通信，提供可靠的骨干傳輸結構，使網(wǎng)絡資源合理地分配給多臺交換機，使更多的用戶順利快速地獲取資源。

(3)DHCP服務器:使用戶自動獲得由服務器控制的IP地址、子網(wǎng)掩碼、網(wǎng)關、DNS等信息。

(4)Portal服務器:Web門戶網(wǎng)站，推送統(tǒng)一的認證頁面，接收WLAN用戶的認證信息，向無線AC控制器與計費網(wǎng)關發(fā)起用戶認證請求和用戶下線通知。

(5)Radius服務器:配合無線 AC控制器與ABMS Bras的Radius認證，完成系統(tǒng)中的用戶認證、授權、計費的功能。

(6)Oracle服務器:計費認證系統(tǒng)中用戶數(shù)據(jù)存儲的服務器，采用Oracle數(shù)據(jù)庫。

(7)ABMS Bras計費網(wǎng)關:網(wǎng)關認證服務器，配合Portal服務器的認證請求，做Radius認證并返回認證結果。提供用戶接入、帶寬管理、P2P控制、Radius Client等接入控制功能。

圖1 認證體系結構圖

2 工作原理與實現(xiàn)過程

2.1 工作原理

用戶連接到該區(qū)域的無線信號后，經(jīng)過AC由DHCP服務器下發(fā)用戶IP等信息，AC啟用Portal認證，由AC重定向Portal認證頁面，Portal Server同時與AC控制器、Bras做Radius認證，并將認證結果返回給用戶，實現(xiàn)后續(xù)上網(wǎng)過程。Portal認證方式有PAP認證和CHAP認證，本次實驗采用PAP認證。

2.2 實現(xiàn)過程

用戶認證上線流程如圖2所示。

圖2 用戶認證上線流程

(1)DHCP報文經(jīng)AC控制器與核心交換機將請求轉發(fā)給DHCP服務器，使用戶獲取合法的IP地址。AC控制器虛接口啟用Portal，用戶在訪問網(wǎng)站時，通過AC控制器重定向認證頁面到Portal Server。

(2)由Portal Server推送統(tǒng)一的認證網(wǎng)頁，向用戶提供認證頁面。

(3)用戶得到推送的認證網(wǎng)頁，填入用戶名與密碼，提交該頁面信息給服務器向Portal Server發(fā)起連接請求。

(4)Portal Server向Oracle數(shù)據(jù)庫查詢用戶名與密碼等信息，對用戶的合法性進行檢查。如果查詢失敗，或賬戶不可用，Portal結束認證流程，并直接返回提示信息給用戶。

(5)查詢成功后，Portal Server把賬號同時送到內網(wǎng)AC控制器和外網(wǎng)Bras發(fā)起認證請求。

(6)內網(wǎng)AC控制器進行Radius認證，獲得Radius認證結果;外網(wǎng)Bras進行Radius認證，獲得Radius認證結果。

(7)內網(wǎng)AC控制器向Portal Server返回認證結果，外網(wǎng)Bras向Portal Server返回認證結果。認證通過后實現(xiàn)兩次身份認證一次通過。

3 體系特點

系統(tǒng)采用統(tǒng)一數(shù)據(jù)庫管理，不同的認證平臺及特有的免數(shù)據(jù)庫認證，適用于跨地校區(qū)的統(tǒng)一管理。對用戶的各種訪問進行授權與統(tǒng)一的認證和收費管理，一套系統(tǒng)多點部署，分散各業(yè)務功能而提供一套完整的綜合業(yè)務管理系統(tǒng)。本系統(tǒng)具有以下特點:

(1)只維護一套中心數(shù)據(jù)庫，省略了異地數(shù)據(jù)同步、備份的過程，降低了系統(tǒng)的風險和維護人員的勞動強度。

(2)高并發(fā)大容量分布式接入、實時操作系統(tǒng)和相應的主備系統(tǒng)，提高系統(tǒng)的高可用性和安全性。

(3)控制流和業(yè)務流完全分離，易于實現(xiàn)多業(yè)務運營，少量改造傳統(tǒng)包月制網(wǎng)絡即可升級成運營級網(wǎng)絡。

(4)在二層網(wǎng)絡上實現(xiàn)用戶認證，結合IP地址或范圍、MAC、端口、賬戶和密碼綁定技術，使網(wǎng)絡具有很高的安全性。

(5)網(wǎng)絡訪問服務器NAS與Radius服務器配合，可以對用戶身份進行認證，只有合法用戶才能使用網(wǎng)絡，并在此基礎上進行計費，體現(xiàn)了用網(wǎng)的公平性。

(6)用戶IP地址合法性，根據(jù)IP規(guī)劃，不同無線區(qū)域用戶IP地址由DHCP服務器指定下發(fā)。AC控制器開啟 DHCP Snooping、ARP-Snooping、ARP Detection等功能，可對局域網(wǎng)內假冒DHCP Server屏蔽，同時基于ARP應答表項對用戶合法性檢查和ARP報文有效性檢查與強制轉發(fā)，使用戶IP地址具有合法性與唯一性。

4 結束語

本文設計了校園無線網(wǎng)絡Portal二次身份認證計費體系方案，實現(xiàn)了系統(tǒng)各主要功能，并為系統(tǒng)的進一部完善提供了方便。隨著技術的發(fā)展和有線無線網(wǎng)絡認證統(tǒng)一的實施，將逐步完善校園網(wǎng)認證、計費管理系統(tǒng)的功能。

為了驗證系統(tǒng)的穩(wěn)定性和可靠性，通過對學校1000名學生的資料錄入作為測試用例，對系統(tǒng)進行了功能測試、性能測試、安全測試和認證流程測試，并針對測試的結果作出相應的系統(tǒng)設計調整，最終達到系統(tǒng)最初的預計需求和效果。

[1] Morrison J E，Allen Jr R R，Wilkins D E，et al.Conservation planter，drill and air-type seeder selection guideline[J].Applied Engineering in Agriculture，1988，4(4):300-309.

[2] Kanodia V，Li C Z，Sabharwal A，et al.Distributed priority scheduling and medium access in Ad-Hoc networks[J].Wireless Networks，2002，8(5):455-466.

[3] 李興國.基于802.1x的寬帶網(wǎng)認證計費系統(tǒng)設計與實現(xiàn)[D].成都:電子科技大學，2004.

[4] 田志英.基于RADIUS協(xié)議的校園網(wǎng)用戶認證計費系統(tǒng)的實現(xiàn)[D].西安:西安科技大學，2010.

[5] 梁裕，熊偉建，陽瓊芳.校園網(wǎng)安全認證計費系統(tǒng)選型及應用[J].福建電腦，2007(4):112-113.

[6] 周增國，劉鐵忠，王健.校園網(wǎng)系統(tǒng)安全的研究及應用[J].大連大學學報，2003，24(2):29-31.

[7] 田志英，廖曉群，趙安新.校園網(wǎng)認證計費系統(tǒng)的研究與實現(xiàn)[J].計算機技術與發(fā)展，2010，20(5):202-206.

[8] 李洪偉，孫世新，楊浩森.基于身份的無線局域網(wǎng)認證協(xié)議設計與實現(xiàn)[J].計算機應用研究，2007，24(12):183-185.

[9] 唐磊，金連甫.大型撥號認證計費服務器的設計與實現(xiàn)[J].計算機工程與設計，2004，25(7):1159-1161.

[10] 趙宇，劉剛，楊宗凱.一種基于Linux的Radius客戶端的設計與實現(xiàn)[J].計算機工程，2003，29(15):112-114.

[11] 伍銀，楊厚云，王遵剛.認證計費技術在校園網(wǎng)中的應用[J].北京機械工業(yè)學院學報，2006，21(3):47-50.

[12] 劉雪暉，尹超，何彥，等.網(wǎng)絡化制造集成平臺集中式身份認證策略研究[J].計算機集成制造系統(tǒng)，2005，11(6):885-890.

[13] 鄒宗惠，唐學文，肖書成，等.校園網(wǎng)計費系統(tǒng)的研究與實現(xiàn)[J].計算機工程與設計，2005，26(l):132-134.

[14] 陳傳峰，李增智.基于用戶管理的網(wǎng)絡計費系統(tǒng)[J].計算機工程，2000，26(9):97-99.

[15] 李衛(wèi)國，曹志毅，高健.淺談認證技術在校園網(wǎng)中的應用——802.1X與AAA認證的結合應用[J].西安歐亞學院學報，2005，3(3):90-92.