Eduroam技术架构

文/陈萍

Eduroam技术架构

文/陈萍

Eduroam的技术基础是802.1X标准和层次化的RADIUS代理服务器。它允许来自于某个Eduroam机构的用户在支持Eduroam的伙伴机构中获得使用无线网络的权限。为访客提供Eduroam无线网络的机构可以针对Eduroam访客设置自己的管理策略。

图1 802.1X和RADIUS的基本关系

图2 RADIUS层次架构

图1展示了802.1X和RADIUS的基本关系。其中，Client为用户终端/Supplicant，NAS为用户要接入无线网络的无线控制器，RADIUS服务器为用户身份权威机构的认证服务器。

RADIUS层次架构如图2所示，其中的Home Institution为Eduroam IdP（用户身份权威机构）。Visited Institution为Eduroam sp（用户访问机构）。IdP/HI通过所在国家的顶级RADIUS proxy Server、顶级RADIUS Server和SP所在国家的顶级RADIUS proxy server与SP/VI建立通道，完成用户在访问机构的认证过程，支持用户接入访问机构的Eduroam网络。

RADIUS层次架构的作用是：把用户身份转发到用户身份所属的机构，在那里验证用户身份的有效性。通常，Eduroam采用的用户身份描述方式是“uid@realm”，其中的“uid”是用户在身份权威机构的本地身份，“realm”是机构域名。比如一个北京大学用户的Eduroam ID是testuid@pku.edu.cn。RADIUS层次架构的转发动作依据realm（即pku.edu.cn）完成。

从逻辑上看，Client和NAS在用户作为访客所在的网络中，RADIUS服务器在用户身份权威机构中。用户访问机构和用户身份权威机构可以是任何支持Eduroam的机构，可以是一个国家中两个不同的机构，也可以是在不同国家中，如图3所示。

每一个想要加入Eduroam的机构需要把它的RADIUS服务器连接到所在国家的FLR（Federation Level RADIUS服务器）。FLR通常由国家教育科研网运行。FLR有这个国家中参加Eduroam机构的完整清单。通过这种机制保证了不同国家Eduroam机构之间的成功漫游。

对于国际漫游来讲，还需要配置地区级别的顶级RADIUS服务器，它的作用是实现地区之间的用户请求漫游。目前，两个顶级TLR（Top Level RADIUS）部署在欧洲。中国和TLR之间的逻辑关系如图4所示。

以北京大学某位老师到欧洲某个学校访问为例，演示Eduroam工作流程，如图5所示。首先，北京大学的某位老师到欧洲访问，希望通过当地的Eduroam无线网络接入到互联网。当地Eduroam无线网络的RADIUS服务器@tenera.nl检测到有ID为testuid@pku.edu.cn的用户申请使用Eduroam，根据realm（pku. edu.cn），通过RADIUS服务器的层次关系和TLR找到.cn的RADIUS服务器，进一步找到.edu. cn和pku.edu.cn的 RADIUS服务器。pku.edu.cn的RADIUS服务器验证用户身份。验证结果以同样的路径返回到@tenera.nl的RADIUS服务器，允许用户接入当地Eduroam无线网络。

（作者单位为北京大学计算中心）

图3 Eduroam逻辑架构

图4 Eduroam@cn和全球Eduroam TLR的逻辑关系

图5 eduroam工作流程样例