摘 要：一種通過(guò)用戶(hù)身份驗(yàn)證的靈活訪問(wèn)控制是校園必備的無(wú)線局域網(wǎng)的漫游機(jī)制。一般情況下，通過(guò)VLAN標(biāo)記和防火墻來(lái)實(shí)現(xiàn)它。然而，常規(guī)的VLAN機(jī)制是可擴(kuò)展性較低的較大系統(tǒng)。一個(gè)基于OpenFlow建立的系統(tǒng)是我們所要研究的問(wèn)題。在本篇文章中，我們指出常規(guī)系統(tǒng)的一些局限性并創(chuàng)建新的訪問(wèn)控制系統(tǒng)。我們還實(shí)施我們的系統(tǒng)，并證明它正常工作時(shí)可接受服務(wù)器的負(fù)載和高可用性。

關(guān)鍵詞：無(wú)線局域網(wǎng)；網(wǎng)絡(luò)漫游；訪問(wèn)控制；OpenFlow

中圖分類(lèi)號(hào)：TN925.93

1 介紹

校園無(wú)線寬帶漫游系統(tǒng)[1]是為研究和教育機(jī)構(gòu)研發(fā)的，它的基礎(chǔ)是各機(jī)構(gòu)之間的信度關(guān)系。在2003年，跨歐洲研究和教育網(wǎng)絡(luò)協(xié)會(huì)研發(fā)出校園無(wú)線寬帶漫游系統(tǒng)[1]。在國(guó)際無(wú)線漫游中，用戶(hù)的首頁(yè)機(jī)構(gòu)是一個(gè)ID（Idp），訪問(wèn)上是服務(wù)提供商（SP）。SP為了實(shí)現(xiàn)漫游，要求Idp使用者提供用戶(hù)身份驗(yàn)證。舉個(gè)例子，IdP的政策，IdP可能禁止他們的學(xué)生訪問(wèn)一些網(wǎng)站（比如非法視頻網(wǎng)站）。因此，訪問(wèn)控制是反應(yīng)SP和IdP的政策所需要的。

G.Lopez[2]等人，在基于SAML（安全斷言標(biāo)記語(yǔ)言）的控制下，啟用訪問(wèn)擴(kuò)展的國(guó)際無(wú)線漫游。他們?cè)L問(wèn)控制側(cè)重于一個(gè)應(yīng)用程序?qū)?，例如單點(diǎn)登錄功能。有人提出了yanmasaki`s系統(tǒng)[3]，Yamasaki等人使用OpenFlow[4]，一種新的網(wǎng)絡(luò)控制機(jī)制，并且讓OpenFlow和eduroam（國(guó)際無(wú)線漫游）合作以啟用訪問(wèn)控制。在這篇文章中，我們提出一個(gè)新的訪問(wèn)控制系統(tǒng)。我們的系統(tǒng)幾乎不受協(xié)議限制并且數(shù)據(jù)庫(kù)維護(hù)成本較低。我們?nèi)匀焕^續(xù)實(shí)施我們的系統(tǒng)，并且完善其評(píng)價(jià)的功能和性能。

2 OPENFLOW NETWORK（開(kāi)放流量網(wǎng)絡(luò)）

OpenFlow Network包括某些OpenFlow Switches（OFSs，開(kāi)放流量交換機(jī)），其中僅有轉(zhuǎn)發(fā)功能和一個(gè)OpenFlow Controller（OFC，開(kāi)放流量控制器）功能，它控制著所有的OFSs。OFSs中的流量表可以顯示如何處理每點(diǎn)流量，并且OFC安裝了流量表?xiàng)l目。條目指示下一個(gè)躍點(diǎn)、QoS控制、數(shù)據(jù)包的缺失等等。舉個(gè)例子，OFS批轉(zhuǎn)有關(guān)此表的數(shù)據(jù)包。

圖1顯示了OpenFlow`s流量傳輸?shù)睦?。?dāng)一個(gè)OFS接收數(shù)據(jù)包時(shí)，OFS指的是它的使用流程表。如果表格中存在與數(shù)據(jù)包有關(guān)的流量信息，那么OFS可以通過(guò)它來(lái)傳輸數(shù)據(jù)。否則，OFS將數(shù)據(jù)包傳輸給OFC來(lái)咨詢(xún)流量的使用情況。OFC決定流量的使用，并且在OFSs的表格中添加流量使用記錄。然后，OFS傳輸同樣流量的數(shù)據(jù)包。

圖1 OpenFlow`s流量傳輸

3 靈活的網(wǎng)絡(luò)訪問(wèn)控制屬性

我們介紹一種基于組ID（基于ID）訪問(wèn)控制技術(shù)。同樣，我們還介紹SP政策的角色信息，讓管理IdP政策的IdP去解決以上所述的問(wèn)題。

所有網(wǎng)絡(luò)節(jié)點(diǎn)都有GIDs，GIDs正如下面所敘述的那樣。資源服務(wù)器有自己組和用戶(hù)的GID，并且用戶(hù)想訪問(wèn)這里時(shí)，終端具有所允許的組的GID。在這里，當(dāng)用戶(hù)訪問(wèn)幾個(gè)資源服務(wù)器組時(shí)，幾個(gè)GID被分配到用戶(hù)的終端。當(dāng)OFC從OFS中接收流量查詢(xún)時(shí)，OFC檢索資源的GIDs和GID—DB流量的目標(biāo)節(jié)點(diǎn)。如果存在共同的GID，OFC指示OFSs轉(zhuǎn)發(fā)流量，以及其他方式消耗流量。這時(shí)候應(yīng)該檢查用戶(hù)的訪問(wèn)權(quán)限。IdP的政策是由GIDs頒布的，GIDs表示允許訪問(wèn)，并且儲(chǔ)存在對(duì)應(yīng)用戶(hù)名稱(chēng)的Policy—DB中。Policy—DB通過(guò)在IdP的管理員來(lái)配置。在這里，我們假設(shè)每個(gè)GID的定義由在SP和IdP的管理員實(shí)現(xiàn)初步共享實(shí)現(xiàn)的。這種假設(shè)是合理的，因?yàn)榛赟P和IdP之間的相互信任，國(guó)際無(wú)線漫游已經(jīng)實(shí)施了。

4 實(shí)施和評(píng)價(jià)

我們第一次確認(rèn)我們的系統(tǒng)可以靈活訪問(wèn)控制。下一步，我們?cè)u(píng)估了服務(wù)器的負(fù)載和可用性。我們分別用組1、組2和組3來(lái)登陸3個(gè)資源服務(wù)器，服務(wù)器1、服務(wù)器2和服務(wù)器3。表1顯示機(jī)器的詳細(xì)信息，表2描述了軟件的安裝和配置。

每個(gè)系統(tǒng)中完成十次試驗(yàn)，平均連接時(shí)間見(jiàn)表1。我們系統(tǒng)的連接時(shí)間需求比舊版本系統(tǒng)多出大約80%的時(shí)間。然而，在可用性方面，所需的281ms的時(shí)間仍然很小。對(duì)于該延遲，Yamasaki的第一次回聲循環(huán)時(shí)間和我們系統(tǒng)的回聲時(shí)間都比較長(zhǎng)。第二次回聲的循環(huán)時(shí)間近似等于舊版本系統(tǒng)的。這是因?yàn)榱髁块_(kāi)始使用從OFS到OFC開(kāi)始計(jì)時(shí)，雖然OFS轉(zhuǎn)發(fā)數(shù)據(jù)包指的是它在第二個(gè)數(shù)據(jù)包情況下的流量表。我們確認(rèn)，我們系統(tǒng)的延遲與舊版本系統(tǒng)是一樣的。因此，我們的系統(tǒng)具有較高的可用性。

表1 系統(tǒng)對(duì)比測(cè)試結(jié)果

1st echo[ms]2nd echo[ms]

legacy1.231.22

Yamasaki8.031.19

提出的方法8.851.16

5 結(jié)束語(yǔ)

我們指出無(wú)線LAN漫游傳統(tǒng)的訪問(wèn)控制系統(tǒng)與EAP方法相比仍有一些局限性，并且需要消耗維修的成本，所以我們提出一種新的訪問(wèn)控制系統(tǒng)區(qū)解決問(wèn)題。在我們的系統(tǒng)中，角色信息首次定義為SP的策略，并且IdP的策略歸IdP管理。在這項(xiàng)工作中，我們采用了基于GID訪問(wèn)政策，其中GIDs是初步定義的。在改進(jìn)我們的系統(tǒng)中，我們意識(shí)到未來(lái)工作將包括實(shí)現(xiàn)這種訪問(wèn)控制技術(shù)。

參考文獻(xiàn)：

[1]韓鵬，田華，謝威.異構(gòu)認(rèn)知網(wǎng)絡(luò)中基于非隨機(jī)接入方式的對(duì)等接入策略分析[J].應(yīng)用科學(xué)學(xué)報(bào)，2013（06）：551-558.

[2]王曉飛，張希，張權(quán).認(rèn)知無(wú)線網(wǎng)絡(luò)隨機(jī)接入MAC協(xié)議建模與性能分析[J].電子與信息學(xué)報(bào)，2013（04）：1007-1011.

[3]H.Meyerhenke，B.Monien，S.Schamberger.Graph partitioning and disturbed diffusion[J].Parallel Computing，35，2009：544-569.

[4]T.Verbelen，T.Stevens，P.Simoens，F(xiàn).De Turck，B.Dhoedt.Dynamic deployment and quality adaptation for mobile augmented reality applications[J].Journal of Systems and Software，84，2011：1871-1882.

作者簡(jiǎn)介：趙高權(quán)（1985-），男，四川成都人，碩士，助教，主要研究方向：形式化方法、信息安全。

作者單位：西華大學(xué)應(yīng)用技術(shù)學(xué)院，四川彭州 611930