校园无线网络Portal二次身份认证的设计与实现

唐 强，叶小花，尹 祥

(四川农业大学信息与教育技术中心，四川 雅安 625014)

0 引言

无线网络的普及已成为校园网络的一个重要组成部分，我校计费系统目前注册用户数达3万人左右，上网高峰同时在线IP数达2万人。为满足用户所使用的笔记本、手机、Pad等终端设备在网络中上网的需求，其认证是关键。目前校园网中最常用的认证方式是网页认证，不需要安装不同系统的客户端而通过网页作为客户端使用，极大地减少了网络管理人员的维护工作量并降低了维护成本。其认证过程是:用户连接到该区域的无线信号后获取到IP地址，再进行计费网关Portal认证，输入用户名和密码即可实现用户外网访问。这种方式虽然简单，但无线AP没有采用WEP和EPA2等加密方式，安全性较低。因此需要无线AC控制器采用加密方式与启用Portal认证，保证用户认证信息传输过程的安全。因此我校结合无线AC控制器实现了校园网网内第一次认证的准入与计费网关第二次认证的外网访问，用户端一次通过的流程。

1 体系结构

无线二次认证体系结构如图1所示，由无线AC控制器、核心交换机、DHCP、Portal、Radius、Oracle、ABMS Bras组成。它涵盖了数据业务的用户IP获取、加密方式、认证方式、数据查询、业务计费、数据管理等的一套完整运营支撑系统。

(1)无线AC控制器:无线网络的核心，负责管理无线网络的AP与无线网络用户的准入。实现Portal认证、业务控制，接收Portal Server发起的认证请求，完成用户Portal认证功能。

(2)核心交换机:网络主干部分，其目的在于通过高速的转发通信，提供可靠的骨干传输结构，使网络资源合理地分配给多台交换机，使更多的用户顺利快速地获取资源。

(3)DHCP服务器:使用户自动获得由服务器控制的IP地址、子网掩码、网关、DNS等信息。

(4)Portal服务器:Web门户网站，推送统一的认证页面，接收WLAN用户的认证信息，向无线AC控制器与计费网关发起用户认证请求和用户下线通知。

(5)Radius服务器:配合无线 AC控制器与ABMS Bras的Radius认证，完成系统中的用户认证、授权、计费的功能。

(6)Oracle服务器:计费认证系统中用户数据存储的服务器，采用Oracle数据库。

(7)ABMS Bras计费网关:网关认证服务器，配合Portal服务器的认证请求，做Radius认证并返回认证结果。提供用户接入、带宽管理、P2P控制、Radius Client等接入控制功能。

图1 认证体系结构图

2 工作原理与实现过程

2.1 工作原理

用户连接到该区域的无线信号后，经过AC由DHCP服务器下发用户IP等信息，AC启用Portal认证，由AC重定向Portal认证页面，Portal Server同时与AC控制器、Bras做Radius认证，并将认证结果返回给用户，实现后续上网过程。Portal认证方式有PAP认证和CHAP认证，本次实验采用PAP认证。

2.2 实现过程

用户认证上线流程如图2所示。

图2 用户认证上线流程

(1)DHCP报文经AC控制器与核心交换机将请求转发给DHCP服务器，使用户获取合法的IP地址。AC控制器虚接口启用Portal，用户在访问网站时，通过AC控制器重定向认证页面到Portal Server。

(2)由Portal Server推送统一的认证网页，向用户提供认证页面。

(3)用户得到推送的认证网页，填入用户名与密码，提交该页面信息给服务器向Portal Server发起连接请求。

(4)Portal Server向Oracle数据库查询用户名与密码等信息，对用户的合法性进行检查。如果查询失败，或账户不可用，Portal结束认证流程，并直接返回提示信息给用户。

(5)查询成功后，Portal Server把账号同时送到内网AC控制器和外网Bras发起认证请求。

(6)内网AC控制器进行Radius认证，获得Radius认证结果;外网Bras进行Radius认证，获得Radius认证结果。

(7)内网AC控制器向Portal Server返回认证结果，外网Bras向Portal Server返回认证结果。认证通过后实现两次身份认证一次通过。

3 体系特点

系统采用统一数据库管理，不同的认证平台及特有的免数据库认证，适用于跨地校区的统一管理。对用户的各种访问进行授权与统一的认证和收费管理，一套系统多点部署，分散各业务功能而提供一套完整的综合业务管理系统。本系统具有以下特点:

(1)只维护一套中心数据库，省略了异地数据同步、备份的过程，降低了系统的风险和维护人员的劳动强度。

(2)高并发大容量分布式接入、实时操作系统和相应的主备系统，提高系统的高可用性和安全性。

(3)控制流和业务流完全分离，易于实现多业务运营，少量改造传统包月制网络即可升级成运营级网络。

(4)在二层网络上实现用户认证，结合IP地址或范围、MAC、端口、账户和密码绑定技术，使网络具有很高的安全性。

(5)网络访问服务器NAS与Radius服务器配合，可以对用户身份进行认证，只有合法用户才能使用网络，并在此基础上进行计费，体现了用网的公平性。

(6)用户IP地址合法性，根据IP规划，不同无线区域用户IP地址由DHCP服务器指定下发。AC控制器开启 DHCP Snooping、ARP-Snooping、ARP Detection等功能，可对局域网内假冒DHCP Server屏蔽，同时基于ARP应答表项对用户合法性检查和ARP报文有效性检查与强制转发，使用户IP地址具有合法性与唯一性。

4 结束语

本文设计了校园无线网络Portal二次身份认证计费体系方案，实现了系统各主要功能，并为系统的进一部完善提供了方便。随着技术的发展和有线无线网络认证统一的实施，将逐步完善校园网认证、计费管理系统的功能。

为了验证系统的稳定性和可靠性，通过对学校1000名学生的资料录入作为测试用例，对系统进行了功能测试、性能测试、安全测试和认证流程测试，并针对测试的结果作出相应的系统设计调整，最终达到系统最初的预计需求和效果。

[1] Morrison J E，Allen Jr R R，Wilkins D E，et al.Conservation planter，drill and air-type seeder selection guideline[J].Applied Engineering in Agriculture，1988，4(4):300-309.

[2] Kanodia V，Li C Z，Sabharwal A，et al.Distributed priority scheduling and medium access in Ad-Hoc networks[J].Wireless Networks，2002，8(5):455-466.

[3] 李兴国.基于802.1x的宽带网认证计费系统设计与实现[D].成都:电子科技大学，2004.

[4] 田志英.基于RADIUS协议的校园网用户认证计费系统的实现[D].西安:西安科技大学，2010.

[5] 梁裕，熊伟建，阳琼芳.校园网安全认证计费系统选型及应用[J].福建电脑，2007(4):112-113.

[6] 周增国，刘铁忠，王健.校园网系统安全的研究及应用[J].大连大学学报，2003，24(2):29-31.

[7] 田志英，廖晓群，赵安新.校园网认证计费系统的研究与实现[J].计算机技术与发展，2010，20(5):202-206.

[8] 李洪伟，孙世新，杨浩森.基于身份的无线局域网认证协议设计与实现[J].计算机应用研究，2007，24(12):183-185.

[9] 唐磊，金连甫.大型拨号认证计费服务器的设计与实现[J].计算机工程与设计，2004，25(7):1159-1161.

[10] 赵宇，刘刚，杨宗凯.一种基于Linux的Radius客户端的设计与实现[J].计算机工程，2003，29(15):112-114.

[11] 伍银，杨厚云，王遵刚.认证计费技术在校园网中的应用[J].北京机械工业学院学报，2006，21(3):47-50.

[12] 刘雪晖，尹超，何彦，等.网络化制造集成平台集中式身份认证策略研究[J].计算机集成制造系统，2005，11(6):885-890.

[13] 邹宗惠，唐学文，肖书成，等.校园网计费系统的研究与实现[J].计算机工程与设计，2005，26(l):132-134.

[14] 陈传峰，李增智.基于用户管理的网络计费系统[J].计算机工程，2000，26(9):97-99.

[15] 李卫国，曹志毅，高健.浅谈认证技术在校园网中的应用——802.1X与AAA认证的结合应用[J].西安欧亚学院学报，2005，3(3):90-92.