鐘 明 錢 慶 方 安

(中國醫(yī)學(xué)科學(xué)院醫(yī)學(xué)信息研究所 北京 100020)

?

圖書館無線網(wǎng)絡(luò)認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)

鐘 明 錢 慶 方 安

(中國醫(yī)學(xué)科學(xué)院醫(yī)學(xué)信息研究所 北京 100020)

介紹中國醫(yī)學(xué)科學(xué)院圖書館無線局域網(wǎng)的使用現(xiàn)狀，指出無線網(wǎng)絡(luò)管理存在的問題，分析圖書館無線網(wǎng)絡(luò)認(rèn)證系統(tǒng)的功能需求，詳細(xì)闡述該網(wǎng)絡(luò)認(rèn)證系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)，最后對新的圖書館無線網(wǎng)絡(luò)認(rèn)證系統(tǒng)的使用情況進(jìn)行總結(jié)和展望。

無線網(wǎng)絡(luò)；Web認(rèn)證；圖書館管理系統(tǒng)；輕量目錄訪問協(xié)議

1 引言

無線技術(shù)、計(jì)算機(jī)技術(shù)及通信技術(shù)在過去十幾年的進(jìn)步使無線網(wǎng)絡(luò)的發(fā)展日新月異、突飛猛進(jìn)，無線設(shè)備層出不窮，無線接入漸成主流，無線網(wǎng)絡(luò)已成為國內(nèi)外最為活躍的研究領(lǐng)域之一。無線局域網(wǎng)(Wireless Local Area Network，WLAN)是指以無線信道作為傳輸媒介并且支持用戶終端移動(dòng)的數(shù)據(jù)傳輸系統(tǒng)。相對于傳統(tǒng)的有線局域網(wǎng)，無線局域網(wǎng)具有移動(dòng)性、部署方便、靈活性和成本低等優(yōu)點(diǎn)[1]，被越來越廣泛地使用。中國醫(yī)學(xué)科學(xué)院圖書館(簡稱醫(yī)科院圖書館)在2008年搭建了圖書館無線局域網(wǎng)為讀者提供無線網(wǎng)絡(luò)服務(wù)，讀者可以使用筆記本電腦、手機(jī)、iPad等移動(dòng)設(shè)備在圖書館內(nèi)任意位置查閱圖書館的各種網(wǎng)絡(luò)信息資源，圖書館館員也可以隨時(shí)利用無線網(wǎng)絡(luò)進(jìn)行各項(xiàng)業(yè)務(wù)工作。然而，由于無線局域網(wǎng)使用無線電波傳播數(shù)據(jù)，任何WLAN終端只要在AP(Access Point)信號(hào)覆蓋的范圍內(nèi)都可以訪問無線網(wǎng)絡(luò)，所以無線局域網(wǎng)在為圖書館的館員和讀者帶來便利的同時(shí)，也不可避免地出現(xiàn)了數(shù)據(jù)安全和用戶管理問題。

目前，醫(yī)科院圖書館使用H3C公司的無線網(wǎng)絡(luò)接入控制器(Access Controller，AC)和智能管理中心軟件(intelligent Management Center，iMC)來解決無線網(wǎng)絡(luò)下無線設(shè)備管理、用戶接入認(rèn)證和用戶管理等問題。經(jīng)過一段時(shí)間使用后，發(fā)現(xiàn)該系統(tǒng)出現(xiàn)用戶許可證數(shù)目限制、用戶管理不便等問題，并且無法和圖書館管理系統(tǒng)的用戶庫相匹配，導(dǎo)致圖書館用戶信息不統(tǒng)一。為了解決上述問題，基于城市熱點(diǎn)無線網(wǎng)絡(luò)認(rèn)證方案設(shè)計(jì)新系統(tǒng)，替換H3C無線網(wǎng)絡(luò)系統(tǒng)中的用戶接入認(rèn)證和用戶管理部分，并與圖書館管理系統(tǒng)的用戶庫進(jìn)行對接，完成醫(yī)科院圖書館無線網(wǎng)絡(luò)用戶認(rèn)證和管理的功能。

2 無線網(wǎng)絡(luò)接入認(rèn)證技術(shù)應(yīng)用現(xiàn)狀

2.1 無線網(wǎng)絡(luò)用戶認(rèn)證技術(shù)

無線網(wǎng)絡(luò)管理中最重要的技術(shù)之一，移動(dòng)終端在物理上很容易接入無線網(wǎng)絡(luò)，所以必須采用接入認(rèn)證技術(shù)來識(shí)別接入無線網(wǎng)絡(luò)的用戶身份，保證授權(quán)合法用戶訪問被允許的網(wǎng)絡(luò)資源。目前，國內(nèi)外使用最普遍的接入認(rèn)證技術(shù)有3種，即PPPoE認(rèn)證、802.1x認(rèn)證和Web認(rèn)證，這3種認(rèn)證技術(shù)都可以使用用戶名+密碼的認(rèn)證方式應(yīng)用到無線網(wǎng)絡(luò)中。

2.2 PPPoE

Point-to-Point Protocol over Ethernet(PPPoE)，即在以太網(wǎng)上承載點(diǎn)對點(diǎn)協(xié)議，使以太網(wǎng)中的大量主機(jī)通過遠(yuǎn)端接入設(shè)備連入因特網(wǎng)，并且遠(yuǎn)端接入設(shè)備能夠?qū)尤氲拿恳慌_(tái)主機(jī)進(jìn)行控制和計(jì)費(fèi)。PPPoE認(rèn)證方式是傳統(tǒng)的PSTN窄帶撥號(hào)接入技術(shù)在以太網(wǎng)接入技術(shù)上的延伸，不僅有以太網(wǎng)快速、簡便的優(yōu)點(diǎn)，而且和原有窄帶網(wǎng)絡(luò)用戶接入認(rèn)證體系一致，用戶認(rèn)證速度快，計(jì)費(fèi)方式靈活，主要用于電信運(yùn)營商的ADSL業(yè)務(wù)中。

2.3 802.1x

由IEEE制定的基于端口的網(wǎng)絡(luò)訪問控制協(xié)議，應(yīng)用有線局域網(wǎng)交換機(jī)和無線局域網(wǎng)接入點(diǎn)對接入用戶進(jìn)行認(rèn)證。該認(rèn)證技術(shù)采用客戶端/服務(wù)器模式，客戶端必須運(yùn)行遵循802.1x標(biāo)準(zhǔn)協(xié)議的認(rèn)證軟件，通過與認(rèn)證服務(wù)器進(jìn)行加密信息交互，完成安全高效的認(rèn)證與授權(quán)。802.1x認(rèn)證實(shí)現(xiàn)簡單，單點(diǎn)故障出現(xiàn)概率小，對設(shè)備的整體性能要求不高，既方便開展組播業(yè)務(wù)，又節(jié)省了建網(wǎng)成本[2]；并且基于端口的方式將認(rèn)證和業(yè)務(wù)分開，傳輸效率高。該方式主要用于用戶比較少的網(wǎng)絡(luò)中。

2.4 Web認(rèn)證

一種業(yè)務(wù)類型的認(rèn)證方式，利用Web頁面進(jìn)行接入認(rèn)證。該認(rèn)證技術(shù)首先為用戶分配一個(gè)IP地址，用于訪問允許的站點(diǎn)；如果用戶訪問受限網(wǎng)絡(luò)資源，認(rèn)證節(jié)點(diǎn)強(qiáng)制用戶登錄到認(rèn)證服務(wù)器站點(diǎn)進(jìn)行認(rèn)證，認(rèn)證通過后為用戶分配一個(gè)可以訪問外網(wǎng)的IP地址。

2.5 3種認(rèn)證技術(shù)的比較[3](表1)

與PPPoE和802.1x相比，Web認(rèn)證主要有如下優(yōu)點(diǎn)：(1)不需要安裝客戶端軟件，用戶使用瀏覽器或其他軟件彈出的Web頁面即可以進(jìn)行接入認(rèn)證，操作簡單，同時(shí)降低了網(wǎng)絡(luò)維護(hù)的工作量，比較適合圖書館等公共場所使用。(2)采用全3層處理，能夠跨越多個(gè)網(wǎng)絡(luò)，具有很好的靈活性，特別適合于有多個(gè)獨(dú)立無線網(wǎng)絡(luò)區(qū)域的圖書館。(3)允許大規(guī)模用戶接入，可以提供高密度用戶接入的解決方案，集中管理，保證服務(wù)質(zhì)量。(4)兼容性好，應(yīng)用業(yè)務(wù)擴(kuò)展性強(qiáng)，其認(rèn)證服務(wù)器可以進(jìn)行業(yè)務(wù)推送。因此醫(yī)科院圖書館選擇采用Web認(rèn)證技術(shù)對無線網(wǎng)絡(luò)用戶進(jìn)行接入認(rèn)證。

表1 3種認(rèn)證技術(shù)的比較

3 醫(yī)科院圖書館無線網(wǎng)絡(luò)認(rèn)證系統(tǒng)需求分析

3.1 無線網(wǎng)絡(luò)管理存在的問題

目前，醫(yī)科院圖書館已經(jīng)利用H3C公司的無線網(wǎng)絡(luò)接入控制器WX5002和智能管理中心軟件iMC3.0實(shí)現(xiàn)了圖書館無線網(wǎng)絡(luò)的設(shè)備管理、用戶接入認(rèn)證和用戶管理，其中無線認(rèn)證采用Web認(rèn)證。但隨著無線網(wǎng)絡(luò)用戶數(shù)量的增加，目前的Web認(rèn)證系統(tǒng)已經(jīng)不能滿足圖書館的無線網(wǎng)絡(luò)管理需要，主要存在以下問題：(1)注冊用戶數(shù)量限制。由于購買的iMC許可證數(shù)有限，于是設(shè)置了允許多人同時(shí)在線的test賬號(hào)供無線用戶使用，由此導(dǎo)致了非法用戶蹭網(wǎng)的現(xiàn)象。(2)無線用戶的注冊和審核工作量大。如果為每個(gè)用戶注冊無線認(rèn)證賬號(hào)，則需要管理員人工確認(rèn)每個(gè)注冊用戶的身份信息。(3)不能和圖書館管理系統(tǒng)的用戶庫相關(guān)聯(lián)，造成圖書館用戶信息不統(tǒng)一。(4)管理員無法監(jiān)控用戶上網(wǎng)行為。認(rèn)證系統(tǒng)中沒有用戶上網(wǎng)行為管理功能，只能靠IP地址和MAC地址區(qū)分用戶，如果出現(xiàn)惡意下載、網(wǎng)絡(luò)泄密等違法現(xiàn)象，管理員不能有效地追根溯源。(5)用戶體驗(yàn)較差。使用手機(jī)登錄認(rèn)證頁面時(shí)登錄窗過小，不方便輸入用戶名和密碼；認(rèn)證頁面顏色對比度較低，看不清登錄按鈕；使用手機(jī)認(rèn)證接入無線網(wǎng)絡(luò)時(shí)偶爾掉線。

3.2 無線網(wǎng)絡(luò)認(rèn)證系統(tǒng)功能需求

為了解決目前無線網(wǎng)絡(luò)的管理問題，需要選擇合理的圖書館無線網(wǎng)絡(luò)認(rèn)證方案，使其能夠取代原有的Web認(rèn)證系統(tǒng)。圖書館無線網(wǎng)絡(luò)認(rèn)證系統(tǒng)的功能需求有如下幾點(diǎn)：(1)低成本解決無線網(wǎng)絡(luò)用戶管理和認(rèn)證問題，盡量減少購買硬件、軟件和許可證數(shù)，保證圖書館網(wǎng)絡(luò)管理的完整性和可靠性。(2)使用Web認(rèn)證，并且不改變用戶認(rèn)證過程和上網(wǎng)流程。(3)利用圖書館管理系統(tǒng)的用戶庫自動(dòng)完成用戶的注冊審核，降低管理員的工作量。(4)具有上網(wǎng)行為管理功能，對無線網(wǎng)絡(luò)用戶訪問流量進(jìn)行記錄和控制，保證用戶對圖書館無線網(wǎng)絡(luò)的合理使用。(5)優(yōu)化無線網(wǎng)絡(luò)認(rèn)證頁面和Web認(rèn)證功能，保證各種移動(dòng)設(shè)備、各種瀏覽器的兼容性，使得用戶體驗(yàn)良好。(6)提供基于Web頁面的認(rèn)證服務(wù)器管理功能，方便管理員進(jìn)行無線網(wǎng)絡(luò)服務(wù)策略配置、用戶在線信息查看、用戶使用量統(tǒng)計(jì)等操作。

4 醫(yī)科院圖書館無線網(wǎng)絡(luò)認(rèn)證系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

4.1 無線網(wǎng)絡(luò)認(rèn)證系統(tǒng)功能模塊劃分

圖書館無線網(wǎng)絡(luò)認(rèn)證系統(tǒng)是多個(gè)功能模塊集成的分布式系統(tǒng)，其功能模塊的劃分和模塊間的關(guān)系，見圖1。

圖1 圖書館無線網(wǎng)絡(luò)認(rèn)證系統(tǒng)功能模塊劃分

圖書館無線網(wǎng)絡(luò)認(rèn)證系統(tǒng)主要分為3大部分：無線認(rèn)證服務(wù)器模塊、用戶注冊模塊和認(rèn)證系統(tǒng)管理模塊。其中無線認(rèn)證服務(wù)器模塊是圖書館無線網(wǎng)絡(luò)認(rèn)證系統(tǒng)的核心，負(fù)責(zé)處理無線用戶的接入認(rèn)證請求，包括身份認(rèn)證模塊、流量記賬模塊和訪問控制模塊[4]；用戶注冊模塊實(shí)現(xiàn)無線網(wǎng)絡(luò)認(rèn)證系統(tǒng)與圖書館管理系統(tǒng)的輕量目錄訪問協(xié)議(Lightweight Direetony Access Protocol, LDAP)數(shù)據(jù)庫對接，完成自動(dòng)審核無線用戶注冊信息的工作；認(rèn)證系統(tǒng)管理模塊負(fù)責(zé)對圖書館無線網(wǎng)絡(luò)認(rèn)證系統(tǒng)進(jìn)行Web管理，包括配置無線網(wǎng)絡(luò)認(rèn)證服務(wù)器、管理無線用戶賬號(hào)和控制上網(wǎng)流量等。

4.2 無線認(rèn)證服務(wù)器模塊設(shè)計(jì)

無線認(rèn)證服務(wù)器模塊用來實(shí)現(xiàn)對所有經(jīng)由無線接入控制器WX5002進(jìn)入的無線網(wǎng)絡(luò)用戶進(jìn)行身份驗(yàn)證、流量記賬和訪問控制，主要完成Web認(rèn)證的過程。Web認(rèn)證主要由認(rèn)證客戶端、無線接入點(diǎn)、無線接入控制器、Portal服務(wù)器和認(rèn)證/計(jì)費(fèi)服務(wù)器等幾部分構(gòu)成，其中Portal服務(wù)器提供免費(fèi)站點(diǎn)服務(wù)和認(rèn)證頁面，認(rèn)證/計(jì)費(fèi)服務(wù)器通常由RADIUS服務(wù)器承擔(dān)。WLAN Web認(rèn)證流程，見圖2。WLAN用戶終端連接到無線服務(wù)并訪問網(wǎng)站后，經(jīng)過AC重定向到Portal服務(wù)器；Portal服務(wù)器向用戶推送統(tǒng)一的認(rèn)證頁面；用戶在認(rèn)證頁面輸入用戶名、密碼，向Portal服務(wù)器發(fā)送連接請求；Portal服務(wù)器向RADIUS服務(wù)器發(fā)送用戶信息查詢請求，由RADIUS服務(wù)器進(jìn)行用戶合法性校驗(yàn)并向Portal服務(wù)器返回查詢到的用戶信息及系統(tǒng)設(shè)置的用戶上網(wǎng)時(shí)長等信息；如果查詢成功，Portal服務(wù)器與AC進(jìn)行Challenge報(bào)文交互；交互完成后，Portal服務(wù)器向AC請求認(rèn)證，AC攜帶用戶名和密碼向RADIUS服務(wù)器發(fā)起認(rèn)證；若認(rèn)證成功，AC將認(rèn)證結(jié)果發(fā)至 Portal服務(wù)器，Portal服務(wù)器推送出定制的門戶頁面[5]。

圖2 WLAN Web認(rèn)證流程

Web認(rèn)證具有很好的兼容性和業(yè)務(wù)擴(kuò)展性，其認(rèn)證服務(wù)器支持頁面定制和業(yè)務(wù)推送。為了展示醫(yī)科院圖書館無線認(rèn)證方案的特色，本著功能簡單易用、用戶體驗(yàn)良好的原則設(shè)計(jì)了無線網(wǎng)絡(luò)的認(rèn)證頁面，見圖3。該頁面整體以淡藍(lán)色為主色調(diào)，中間的登錄框以動(dòng)感時(shí)尚的圖案做背景，突顯出具有文字描述的主窗口。主窗口部分，考慮到手機(jī)屏幕輸入用戶名和密碼的方便性，設(shè)計(jì)了較大尺寸的輸入框和按鈕；登錄窗和注銷窗的文字描述和按鈕采用中英文結(jié)合的方式，方便外籍讀者使用。對認(rèn)證成功后的推送頁面進(jìn)行分類設(shè)計(jì)：如果用戶在瀏覽器中輸入認(rèn)證服務(wù)器的IP地址，認(rèn)證成功后，Portal服務(wù)器將推送醫(yī)學(xué)信息研究所/圖書館網(wǎng)站首頁；如果用戶輸入其余網(wǎng)址，認(rèn)證成功后跳轉(zhuǎn)到之前輸入的網(wǎng)址。用戶認(rèn)證成功后就可以使用圖書館無線網(wǎng)絡(luò)提供的各類服務(wù)。無線認(rèn)證服務(wù)器將用戶訪問記錄以寫文件的方式存儲(chǔ)到數(shù)據(jù)庫服務(wù)器硬盤里，在訪問記錄中可以隨時(shí)查詢到用戶名、登錄訪問時(shí)間、在線人數(shù)、總使用時(shí)間、目標(biāo)網(wǎng)址、目標(biāo)IP、目標(biāo)端口、源IP、源MAC地址等信息。

圖3 圖書館無線網(wǎng)絡(luò)統(tǒng)一認(rèn)證頁面

4.3 用戶注冊模塊設(shè)計(jì)

用戶注冊模塊采用統(tǒng)一身份認(rèn)證方式，利用圖書館管理系統(tǒng)的用戶庫進(jìn)行無線網(wǎng)絡(luò)用戶的身份認(rèn)證。醫(yī)科院圖書館使用的圖書館管理系統(tǒng)為匯文系統(tǒng)，該系統(tǒng)內(nèi)部包含LDAP用戶信息庫，其中存放了用戶uid、password等個(gè)人信息。用戶注冊模塊通過對圖書館管理系統(tǒng)進(jìn)行二次開發(fā)得到LDAP驗(yàn)證模塊，完成與無線認(rèn)證服務(wù)器模塊的交互。LDAP認(rèn)證的通信過程，見圖4。

圖4 LDAP認(rèn)證的通信過程

當(dāng)無線用戶在無線網(wǎng)絡(luò)認(rèn)證頁面輸入圖書館管理系統(tǒng)的讀者證號(hào)和密碼后，無線認(rèn)證服務(wù)器模塊通過LDAP驗(yàn)證模塊向LDAP服務(wù)器發(fā)出驗(yàn)證查詢請求；經(jīng)過連接、綁定、檢索等操作后，LDAP服務(wù)器將檢索結(jié)果送回LDAP驗(yàn)證模塊；無線認(rèn)證服務(wù)器模塊根據(jù)LDAP驗(yàn)證模塊返回的驗(yàn)證結(jié)果，允許或禁止用戶身份認(rèn)證的通過。

LDAP驗(yàn)證模塊采用LdapAuth組件實(shí)現(xiàn)，包含了以下主要功能[6]：LdapAuth.SetLdapIP(“192.168.0.1”)——初始化LDAP服務(wù)器的IP地址；LdapAuth.LdapInitPort(389)——初始化LDAP服務(wù)器的端口；LdapAuth.LdapSearch(“o=isp”, “uid=T0004”)——查找讀者證號(hào)為T0004的讀者；Dn=LdapAuth.GetEntryDN——得到讀者證號(hào)為T0004的讀者的DN；LdapAuth.AuthUser(User Password, Dn)——檢查該用戶的合法性；Lda-pAuth.LdapFree——釋放相關(guān)資源。

無線認(rèn)證服務(wù)器模塊通過調(diào)用LdapAuth組件，驗(yàn)證用戶名與密碼的合法性。如果驗(yàn)證通過，則用戶可以接入無線網(wǎng)絡(luò)，同時(shí)用MD5算法對用戶的密碼進(jìn)行散列，并在本地系統(tǒng)中保存?zhèn)浞?，以便用戶下次接入無線網(wǎng)絡(luò)時(shí)直接在認(rèn)證系統(tǒng)數(shù)據(jù)庫中進(jìn)行身份驗(yàn)證；如果匯文系統(tǒng)中讀者的密碼有變化，那么讀者下次登錄時(shí)在本地認(rèn)證系統(tǒng)數(shù)據(jù)庫中身份驗(yàn)證失敗，需要繼續(xù)通過LDAP驗(yàn)證模塊向匯文用戶信息庫發(fā)起檢索請求，如果驗(yàn)證通過，則用戶可以接入無線網(wǎng)絡(luò)，并更新本地認(rèn)證系統(tǒng)數(shù)據(jù)庫中的用戶信息。這樣的機(jī)制使得認(rèn)證系統(tǒng)數(shù)據(jù)庫中的用戶信息與匯文系統(tǒng)用戶庫中的讀者信息保持同步，節(jié)省了無線認(rèn)證的時(shí)間，而且在匯文系統(tǒng)出現(xiàn)網(wǎng)絡(luò)故障時(shí)，用戶也可以順利進(jìn)行無線認(rèn)證。

4.4 認(rèn)證系統(tǒng)管理模塊設(shè)計(jì)

為了對圖書館無線網(wǎng)絡(luò)認(rèn)證系統(tǒng)進(jìn)行Web管理，本文搭建了認(rèn)證服務(wù)器的Web管理系統(tǒng)，其設(shè)計(jì)參考已有的成熟的認(rèn)證計(jì)費(fèi)管理系統(tǒng)，包括用戶管理、策略管理、設(shè)備管理、查詢統(tǒng)計(jì)、系統(tǒng)配置等模塊。用戶管理模塊包括用戶查詢和業(yè)務(wù)受理功能，認(rèn)證成功的無線網(wǎng)絡(luò)用戶在該系統(tǒng)中有賬號(hào)記錄，管理員可以查看這些賬號(hào)的在線狀態(tài)并為其修改個(gè)人信息和銷戶；對于特殊用戶，比如臨時(shí)入館維修設(shè)備的工程師，可以在該系統(tǒng)中人工為其開通無線賬號(hào)。策略管理模塊完成帶寬組、時(shí)段控制策略、目標(biāo)地址帶寬策略的配置，實(shí)現(xiàn)對用戶或用戶組的流量控制和時(shí)段控制。查詢統(tǒng)計(jì)模塊包括上網(wǎng)詳單和認(rèn)證日志的查詢，用戶詳細(xì)資料和可用狀態(tài)的查詢，使用時(shí)長、使用流量、登錄時(shí)段分別對應(yīng)的戶數(shù)分布的查詢。

4.5 無線網(wǎng)絡(luò)認(rèn)證系統(tǒng)功能流程(圖5)

圖5 圖書館無線網(wǎng)絡(luò)認(rèn)證系統(tǒng)工作流程

4.6 無線網(wǎng)絡(luò)認(rèn)證系統(tǒng)實(shí)現(xiàn)

醫(yī)科院圖書館無線網(wǎng)絡(luò)認(rèn)證系統(tǒng)是基于城市熱點(diǎn)無線認(rèn)證方案實(shí)現(xiàn)的，該系統(tǒng)由Dr.COM 2166 B-RAS認(rèn)證計(jì)費(fèi)服務(wù)器、Dr.COM Billingware管理平臺(tái)服務(wù)器、日志服務(wù)器組成，并與H3C無線控制器WX5002、圖書館管理系統(tǒng)LDAP服務(wù)器共同組成醫(yī)科院圖書館新的無線網(wǎng)絡(luò)Web認(rèn)證運(yùn)行環(huán)境，以實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)控、用戶管理、策略配置、統(tǒng)計(jì)輸出報(bào)表、互聯(lián)網(wǎng)訪問記錄存儲(chǔ)等業(yè)務(wù)功能。該系統(tǒng)的拓?fù)鋱D，見圖6。Dr.COM 2166 B-RAS設(shè)備安裝在無線控制器和信息所核心交換機(jī)之間，將信息所AP的IP地址段、2166 B-RAS設(shè)備IP所在網(wǎng)段、信息所無線用戶IP地址段設(shè)置成直通，實(shí)現(xiàn)只對圖書館的所有無線終端進(jìn)行Web認(rèn)證。用戶的訪問記錄由Dr.COM2166 B-RAS設(shè)備寫入日志服務(wù)器。

圖6 醫(yī)科院圖書館無線認(rèn)證系統(tǒng)拓?fù)鋱D

5 結(jié)語

醫(yī)科院圖書館無線網(wǎng)絡(luò)認(rèn)證系統(tǒng)是基于城市熱點(diǎn)無線認(rèn)證解決方案完成的，取代了原有H3C無線網(wǎng)絡(luò)認(rèn)證系統(tǒng)的功能。該方案采用成熟先進(jìn)的軟硬件系統(tǒng)，具有與主流廠家接入設(shè)備良好的兼容性，直觀易用的Web管理界面和完善的用戶訪問日志，有效解決了用戶授權(quán)訪問和上網(wǎng)行為管理的問題。

圖書館無線網(wǎng)絡(luò)認(rèn)證系統(tǒng)的用戶注冊模塊通過LDAP機(jī)制將圖書館管理系統(tǒng)和無線網(wǎng)絡(luò)認(rèn)證系統(tǒng)統(tǒng)一起來，圖書館管理系統(tǒng)的合法用戶在認(rèn)證時(shí)可以自動(dòng)通過審核成為圖書館無線網(wǎng)絡(luò)用戶，既簡化了管理員的維護(hù)工作，又保證了無線網(wǎng)絡(luò)認(rèn)證系統(tǒng)用戶的獨(dú)立性。同時(shí)，該系統(tǒng)可以對用戶進(jìn)行分級(jí)管理，通過在圖形化的Web管理系統(tǒng)中配置無線網(wǎng)絡(luò)服務(wù)策略，設(shè)定不同用戶的訪問時(shí)間和訪問流量，保證圖書館無線網(wǎng)絡(luò)的合理利用。該系統(tǒng)已經(jīng)穩(wěn)定運(yùn)行5個(gè)多月，系統(tǒng)功能完全達(dá)到預(yù)期要求，有注冊用戶數(shù)6 000多人，每天訪問量200多人次，同時(shí)在線近百人次。目前日志服務(wù)器中的訪問日志是以記賬形式存在的，下一步還需要開發(fā)日志分析工具，根據(jù)訪問時(shí)間、目標(biāo)地址快速查找對應(yīng)的賬號(hào)信息及所在的交換機(jī)端口，以便更好的進(jìn)行用戶上網(wǎng)行為管理。

1 Mattbew S.Gast著，O’Reilly Taiwan公司編譯. 802.11無線網(wǎng)絡(luò)權(quán)威指南[M]. 第2版. 南京：東南大學(xué)出版社，2007：13-23.

2 高亞軍. 基于接入交換機(jī)的Web認(rèn)證研究與實(shí)現(xiàn)[D]. 廣州：華南理工大學(xué)，2013.

3 肖義. 3種接入認(rèn)證技術(shù)的淺析與比較[J]. 光通信研究，2006，(3)：25-28.

4 耶健，李丹，閆曉弟，等. 圖書館無線網(wǎng)絡(luò)統(tǒng)一認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)[J]. 現(xiàn)代圖書情報(bào)技術(shù)，2012，(7)：121-126.

5 龍?zhí)? 集中式WLAN架構(gòu)下AP和Station管理的設(shè)計(jì)與實(shí)現(xiàn)[D]. 廣州：華南理工大學(xué)，2011.

6 常潘，沈富可. 基于LDAP的校園網(wǎng)統(tǒng)一身份認(rèn)證的實(shí)現(xiàn)[J]. 計(jì)算機(jī)工程，2007，33(5)：281-283.

Research and Implementation of the Library WLAN Authentication System

ZHONG Ming, QIAN Qing, FANG An,

Institute of Medical Information, Chinese Academy of Medical Sciences, Beijing 100020, China

The paper introduces the current use of Wireless Local Area Networks (WLAN) in the library of Chinese Academy of Medical Sciences, points out problems existing in WLAN management, analyzes the functional demands of the library WLAN authentication system, elaborates the design and implementation of the system, summarizes the use of the new library WLAN authentication system and indicates its prospects.

WLAN; Web authentication; Library management system; LDAP

2015-11-09

鐘明，碩士，實(shí)習(xí)研究員。

R-056

A 〔DOI〕10.3969/j.issn.1673-6036.2015.12.009