校际移动漫游的研究与实现

黄伟强，叶　昭，陈国良，李瑞维，郑文栋

（1.华南师范大学网络中心，广州510631；2.华南理工大学广东省计算机网络重点实验室，广州510640；3.华南理工大学信息网络工程研究中心，广州510640；4.暨南大学网络与教育技术中心，广州510632）

校际移动漫游的研究与实现

黄伟强1*，叶昭2，3，陈国良4，李瑞维1，郑文栋1

（1.华南师范大学网络中心，广州510631；2.华南理工大学广东省计算机网络重点实验室，广州510640；3.华南理工大学信息网络工程研究中心，广州510640；4.暨南大学网络与教育技术中心，广州510632）

分析研究了高校对校际移动漫游建设的需求，从校际移动漫游的网络安全接入、校际移动漫游的网络认证和校际移动漫游中心的建设等3个方面，提出了使用中国强制性安全标准的WAPI证书，扩展漫游加密鉴权，叠加LDAP/RADIUS漫游认证的方式，结合漫游学校与归属学校的网络实际情况，分别采用返回归属学校认证和漫游中心认证2种漫游系统架构，在校际间实现了安全性能高、运行性能高和投入建设简洁的校际间的移动漫游，通过教育信息资源的共享，创造了更宽广的校际间的学术交流环境.

移动漫游；WAPI；认证鉴别；AS；Portal

高校信息化的高速发展，移动设备的全面普及，无线网络已经成为高校校园网络的重要组成部分，大量科研和教育信息资源的使用都依赖于移动网络平台.出于信息网络安全管理的需要，在已建的高校无线校园网中，使用了一些网络安全接入管理机制，以确保用户实名制登录注册，并限制未授权用户的访问.现有的这种管理方式虽然满足了校内师生员工的使用，但随着校际间的交流和访问日益频繁，对于校际间互访人员的移动网络使用、远距离教学和学生跨校选课非常不方便.高校师生在其他高校访学交流时，能够通过校际间的移动漫游、使用该校无线资源实现教学交流的愿望越来越强烈.

未来的移动网络已经不再是传统的无线接入功能，无区域限制的.可漫游的移动网络已经成为终端设备的主要接入方式，所以校园无线网络要具备充分的移动性，不仅局限在本学校的办公室，需扩展至室外区域、操场、甚至是其他兄弟院校具有无线网络的任何地方.

1　校际移动漫游分析

目前各重点高校已经基本完成无线网络的全校覆盖，根据建设的汇总归类，新建设的无线网络主要使用瘦AP+认证计费网关的方式，但各高校对访问控制、安全要求等的支持各不相同，各个厂商对认证接口的支持有一定的差异性.

在接入认证方面，根据高校使用的各个厂商或集成商的应用方案汇总归类，大部分高校使用Web认证.即用户首次使用网络时会打开认证网页，要求用户输入账户进行认证接入.但Web页的后端认证方式，各个高校存在较大差异.主要有Radius认证、LDAP认证和数据库认证等几种方式，另外还有个别学校使用802.1x认证，即在用户连接网络时要求用户提供账户.这些差异性给设计、开发和集成统一跨校认证带来了难度，所需要的底层平台必须兼容各个高校的主流认证构架，同时还能支持跨校应用.

因此，用户需要一种校际间网络安全接入控制和移动无线接入解决方案.该网络安全接入控制和移动无线接入解决方案必须能够充分满足如下建设需求:

（1）采用国际标准技术体系；

（2）充分利用现有各高校网络结构与资源，不单独组网.并且不对现有各高校网络结构以及设备配置做任何改动变化，新建的校际间系统不对现有网络产生任何影响；

（3）采用集中控管技术，集中统一管理的终端设备；

（4）系统必须具有高可用性设计，保证在设备单点故障条件下能够无缝自愈，保障业务的连续性；

（5）系统必须能够支持多种灵活的用户认证方式，并且能结合现有高校网络认证系统协同工作；

（6）系统必须能够灵活支持各种无线认证加密技术标准，能够为不同种类、不同性能的终端设备提供安全的无线连接；

（7）系统要能够方便和灵活地调整与扩展，充分考虑投资保护.

2　校际移动漫游组网设计

2.1组网设计分析

校际移动漫游的实现，主要涉及3个方面:

（1）校际移动漫游网络的安全接入.漫游网络对漫游用户进行鉴别，同时漫游用户也对漫游网络进行鉴别；

（2）校际移动漫游网络的认证.包括外校的学生漫游到本校，通过无线网接入访问互联网这个认证过程的实现和本校学生漫游到其他学校后，需要为用户接入无线网络提供身份认证；

（3）漫游中心的建设.漫游中心需要一个平台，对没有建立直接认证信任关系的高校需要实现各校漫游用户的账号认证中转.

第1个要解决的问题是其他学校的用户漫游到本校后，本校无线网络如何鉴定用户的身份，从而为用户提供网络服务.这就对提供接入的设备（包括无线控制器）功能提出要求.

第2个要解决的问题是本校用户漫游到其他院校后，如何为其他学校的网络提供身份验证服务，分2种情况:返回归属地认证和漫游中心认证.在接入地认证，认证系统应保留完整的认证记录及统计记录，以便复查；返回归属地认证，则按归属地学校原有的上网记录统计和安全审计.

第3个要解决的问题是漫游平台的构架，成员之间的链路流量问题.漫游系统需要能够提供各高校无线网络漫游服务的情况统计，包括各成员提供漫游服务的时长及漫游所产生的流量，应保留完整的认证记录及统计记录，以便高校大数据收集分析.

2.2安全的接入

无线信号是不可见的，如何在无线网络中识别用户，如何保证用户的匿名性等，为了解决这些安全接入问题，许多无线网络认证协议被提出［1-4］. WAPI［5］（Wireless LAN Authentication and Privacy Infrastructure）无线局域网鉴别和保密基础结构，是一种安全协议，同时也是中国无线局域网安全强制性标准.

WAPI技术特点在于:在用户接入过程中，采用双向鉴别的方式.不仅仅是网络对用户进行鉴别，用户也要对网络进行鉴别.避免用户接入不合法的网络或者伪造的网络，解决了无线网络接入中“合法用户接入合法网络”的问题.

2.3漫游认证

安全和快速的认证是实现无缝漫游切换的一个关键技术［6］，由于WAPI提供了基于证书和预共享密钥的安全机制，但只做链路层认证和加密，保护空中数据不被窃取或非法接入，因此需要在WAPI国家标准的基础上进行扩展，叠加LDAP或RAIDUS漫游认证，解决WAPI安全机制的证书漫游认证鉴别问题，提供一种基于WAPI证书的漫游认证鉴别.

2.4漫游认证中心的建立

校区间如果没有找到直接信任的用户认证，则需要建立统一的漫游认证中心，把漫游鉴别请求发往漫游认证中心，由漫游认证中心交换存储认证证书或预置共享密钥建立信任关系，漫游认证中心再把漫游证书鉴别请求发给归属地AS（Authentication Server）鉴权服务器进行证书鉴别，叠加LDAP或RAIDUS漫游认证.

2.5校际漫游系统架构

校际漫游系统架构分2种情况，第1种情况是漫游学校认证数据流和网络数据流都返回归属学校（图1），无需部署认证中心，无结算和对帐，认证记录及统计记录由各学校自己保留.第2种是漫游学校认证数据流到漫游中心认证，网络数据流从漫游学校出去（图2）.

3　校际移动用户漫游实现

首先统一校际移动漫游的SSID，各高校按要求广播本校和校际移动漫游统一的SSID，接入校际移动漫游统一的SSID接入将推送校际移动漫游的Portal认证页面，校际移动漫游的Portal认证页面统一进行配置管理.要求各高校无线控制器实现不同SSID接入的用户能够推送不同的Portal页面，控制器与Portal系统的交互要满足Portal规范.

结合漫游学校和归属学校的网络实际情况，分为2种漫游实现情况，第1种情况是在有链路链接的学校之间，漫游学校和归属学校AS直接建立信任关系，漫游用户实现跨校漫游（图3）.

图3　可信任归属学校认证的实现Figure 3　Implementation of certification in affiliated schools

步骤如下:

①无线用户访问互联网，无线控制器AC或AP网关向用户发送鉴别激活；

②用户发出鉴别请求，请求安全的可信接入；

③根据用户接入的SSID不同，重定向至不同登录页面，用户接入无线漫游的 SSID，推送 Portal服务器上统一的无线漫游认证页面；

④用户点击WAPI证书申请的链接；

⑤漫游学校的AS返回证书申请页面，需要用户使用用户名和密码登陆；

⑥用户选择归属学校，填写用户名和密码，系统自动在用户输入的账号添加归属学校标识的后缀；

⑦漫游学校的AS记录着其他建立信任关系的AS地址，发送到归属学校的AS验证；

⑧归属学校认证平台找LDAP或RAIDUS服务器进行认证；

⑨LDAP或RAIDUS服务器返回用户认证成功信息；

⑩返回绑定用户名与证书信息（系统为每一个用户和AP/AC均下发一张证书，AS再将其证书与自己生成的证书相绑定，这样既可以保证CA颁发证书，又可以顺利完成漫游鉴别功能）；

⑪提供用户证书下载链接；

⑫用户下载证书并安装（WAPI使用X.509证书，大小约为2K）；

⑬用户接入使用互联网；

⑭第一次安装好证书后，用户访问互联网业务以后都可免登陆认证，无感知上网.

第2种漫游情况的实现需要建立漫游中心AS（图4），由漫游中心AS负责中间各漫游学校AS之间的漫游鉴别消息.用户实现漫游情况和第一种情况的步骤基本一样，漫游中心的认证平台做LDAP/ RADIUS PROXY，判断用户账号携带的后缀名后将账号以LDAP/RADIUS认证请求包转发给账号后缀对应的学校认证服务器，或者漫游中心的认证平台找学校的LDAP/RAIDUS服务器进行认证.漫游中心的LDAP/RADIUS认证系统要维护一张账号后缀与对应学校认证服务器IP的对应表，实现依据后缀将账号去后缀后转向不同的学校认证服务器.漫游用户所属学校认证服务器返回给漫游中心认证平台认证结果，漫游中心认证平台将认证结果返回给网关或无线控制器，控制器或认证网关根据认证结果控制用户是否允许接入互联网，如果认证通过，认证网关或无线控制器发送计费开始包给漫游中心认证计费平台，平台转发计费开始报文给用户所属学校的LDAP/RADIUS系统.

用户发出下线请求后，认证网关或无线控制器器发送网络漫游结束始包给漫游中心认证审计平台，同时传递用户在线的时长及使用的信息给漫游中心平台，并通过漫游中心平台传递到用户所在学校的LDAP/RADIUS认证服务器.

图4　漫游中心认证的实现Figure 4　Implementation of certification in roaming center

在漫游认证中心系统上实验漫游认证通过，截取到的漫游认证日志如图5，其中202.38.192.182为漫游中心AS的IP地址，202.116.45.253为到我校漫游认证AS的IP地址.

图5　漫游认证中心系统日志截图Figure 5　System log of the roaming center authentication

自2014年9月在广东省3所重点高校部署并试运行后，高校师生即可在多个公共区域内2 000余个无线接入点使用各校的有效账号登陆实现跨校无线漫游，系统发放证书200多份，总计有1 000余次的使用量，图6是截止本文撰写时跨校漫游使用统计情况.

图6　漫游认证统计Figure 6　Statistics of the roaming authentication

跨校移动漫游的实现，极大地方便了各高校师生的跨校交流，得到了师生的一致好评.

4　结论

跨校移动漫游系统先进的移动性，增强与改善了现有高校的教学模式，为将高校建设成为“具有鲜明地域特色的教学研究型”大学提供信息化支撑与保障.各高校教职员工和学生可以使用统一帐号，进行校际间的移动漫游，免除了到其他学校需要申请与设置的困扰，通过无线网络环境，迅速便捷地获取各校的网络信息资源与资讯，方便了学校行政人员公文往来，通过教育信息资源的共享，创造更宽广的学术交流环境，有助于教学品质的提升.

［1］He D J，Ma M D，Zhang Y，et al.A user authentication scheme with smart wireless communications［J］.Computer Communications，2011，34（3）:367-374.

［2］Yoon E J，Yoo K Y，Ha K S.A user authentication scheme with anonymity for communications［J］.Computers and Electric Engineering，2011，37（3）:356-364.

［3］屈娟，邹黎敏，王永峰.具有匿名性的无线漫游认证协议的分析和改进［J］.西北师范大学学报:自然科学版，2013，49（6）:55-109. Qu J，Zou L M，Wang Y F.Analysis and improvement on an anonymous authentication scheme for roaming service in wireless network［J］.Journal of Northewest Normal Universiy:Natural Science，2013，49（6）:55-109.

［4］彭华熹，冯登国.匿名无线认证协议的匿名性缺陷和改进［J］.通信学报，2006，27（9）:78-85. Peng H X，Feng D G.Security flaws and improvement to a wireless authentication protocol with anonymity［J］.Journal on Communications，2006，27（9）:78-85.

［5］中华人民共和国国家标准GB15629.11-2003.信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分:无线局域网媒体访问控制和物理层规范［S］.北京.国家标准化管理委员会，2003.

［6］ 吕欣，冯登国.WLAN漫游中的认证技术［J］.信息安全与通信保密，2005（8）:67-69. Lv X，Feng D G.The authentication technology of WLAN in roaming environment［J］.Information Security and Communications Privacy，2005（8）:67-69.

【中文责编：庄晓琼英文责编：肖菁】

Research and Implementation of Mobile Network Roaming between Intercollegiate

Huang Weiqiang1*，Ye Zhao2，3，Chen Guoliang4，Li Ruiwei1，Zheng Wendong1
（1.Network Center，South China Normal University，Guangzhou 510631，China；2.Communication and Computer Network Laboratory of Guangdong Province，South China University of Technology，Guangzhou 510640，China；3.Information Network Engineering and Research Center，South China University of Technology，Guangzhou 510640，China；4.Network and Educational Technology Center，Jinan University，Guangzhou 510632，China）

Through the research on the wireless network construction in several top universities，their demand for the construction of intercollegiate mobile roaming is analyzed.Considering the safety access of intercollegiate mobile roaming，authentication of intercollegiate mobile roaming and construction of intercollegiate mobile roaming center of these three aspects，the certificate of Chinese mandatory safety standards，WAPI，is proposed.The certificate extends roaming authentication encryption and superimposes the method of LDAP/RADIUS roaming authentication. It also combines with the practical situation of roaming campuses and its affiliated schools.It is respectively certificated by the affiliated school and roaming center.The solution can achieve high safety performance，high operation performance and simple construction of intercollegiate mobile network roaming.Through the education information resources sharing，a wider inter school academic communication environment is created.

mobile roaming；WAPI；certification identification；AS；Portal

TP393

A

1000-5463（2015）03-0159-05

2014-10-24《华南师范大学学报（自然科学版）》网址:http://journal.scnu.edu.cn/n

国家发展改革委员会专项项目（CNGI-12-01-01）

黄伟强，高级实验师，hwq@scnu.edu.cn.