鄭家淼

摘 要：近幾年，無線網(wǎng)絡(luò)迅速發(fā)展并已趨于成熟。在學校交流越發(fā)頻繁的今天，伴隨著學術(shù)研討和開放式大學的建設(shè)，校園無線網(wǎng)絡(luò)支持跨校認證的需求越發(fā)強烈。本課題在RADIUS代理基礎(chǔ)上實現(xiàn)跨校認證平臺，結(jié)合多所高校自身無線網(wǎng)絡(luò)認證的建設(shè)情況，集成跨校認證和各高校內(nèi)部無線認證，實現(xiàn)跨校認證接入外校無線網(wǎng)絡(luò)，避免了異地認證的繁瑣，簡化了業(yè)務(wù)流程。

關(guān)鍵詞：無線網(wǎng)絡(luò)；漫游認證；RADIUS代理；城域網(wǎng)

1 研究背景及意義

隨著各高校自身無線網(wǎng)絡(luò)建設(shè)的逐步完成，在校師生對無線網(wǎng)絡(luò)的使用越發(fā)頻繁，人們對無線網(wǎng)絡(luò)的認知度與依賴性逐漸加強。大多數(shù)高校建立無線校園網(wǎng)是為了解決公共區(qū)域的上網(wǎng)問題。而這些區(qū)域的校外用戶較多，對移動上網(wǎng)的需求更加迫切。顯而易見，因安全考慮設(shè)置的屏障，使這些校外用戶無法使用無線網(wǎng)，一定程度上違背了學校在公共區(qū)域建設(shè)無線網(wǎng)的初衷[1]。通過統(tǒng)一身份認證來開放無線網(wǎng)絡(luò)訪問權(quán)限進而共享校園網(wǎng)絡(luò)資源。這將為高校其他教育資源的共享奠定基礎(chǔ)，成為全面資源共享的重要契機。無線網(wǎng)絡(luò)可以成為組建高校聯(lián)盟的原動力。

2 關(guān)鍵技術(shù)

與本地認證相同，漫游認證也需要借助于RADIUS協(xié)議來進行用戶的身份確認。實現(xiàn)漫游認證功能的技術(shù)核心是依靠RADIUS代理機制，完成不同認證服務(wù)器間的數(shù)據(jù)轉(zhuǎn)發(fā)。RADIUS代理的轉(zhuǎn)發(fā)流程如圖1所示。

經(jīng)過調(diào)研分析發(fā)現(xiàn)，目前主流無線產(chǎn)品都能較好的支持中國移動Portal協(xié)議標準[2]。并且使用Web Portal的認證方式能夠擺脫客戶端軟件對用戶和移動設(shè)備的限制，大大降低網(wǎng)絡(luò)管理人員在客戶端軟件方面的維護量。因此，在實現(xiàn)校際無線漫游認證聯(lián)盟的過程中，主要采用了RADIUS代理和Web Portal兩種關(guān)鍵技術(shù)。

3 設(shè)計實現(xiàn)

校際無線漫游認證聯(lián)盟借助城域網(wǎng)的數(shù)據(jù)傳輸能力，通過構(gòu)建漫游認證中心來提供RADIUS代理與Web Portal頁面登錄服務(wù)。漫游認證中心的RADIUS代理服務(wù)器主要用于存儲各單位認證服務(wù)器信息以及進行相應(yīng)的認證數(shù)據(jù)轉(zhuǎn)發(fā)工作。用戶在進行漫游認證登陸時，通過登陸頁面填寫用戶名和密碼信息。用戶的身份描述采用“uid@realm”的方式，其中“uid”是用戶在其本地認證機構(gòu)的登記名稱，“realm”是用戶所在單位的機構(gòu)名稱。

以高校B用戶到高校A進行漫游認證登陸為例，漫游認證過程如圖2所示。首先該用戶接入高校A的無線網(wǎng)絡(luò)，通過網(wǎng)關(guān)設(shè)備獲取到漫游中心Portal服務(wù)器推送的登陸頁面。在登陸頁面提交“uid@realm”形式的信息后，網(wǎng)絡(luò)設(shè)備會將該信息進行封裝并以RADIUS協(xié)議形式提交給漫游認證中心的RADIUS代理服務(wù)器。RADIUS代理服務(wù)器通過查詢各認證機構(gòu)的信息，最終將該認證報文轉(zhuǎn)發(fā)到高校B的AAA服務(wù)器。在轉(zhuǎn)發(fā)過程中RADIUS代理服務(wù)器會將“uid@realm”中的機構(gòu)信息“realm”去掉，只保留用戶的“uid”。因為只有這樣高校B的AAA服務(wù)器才能正確處理該用戶的認證請求。高校B的認證系統(tǒng)將“認證通過”或“認證失敗”的信息，經(jīng)由RADIUS代理服務(wù)器原路返回至高校A的網(wǎng)關(guān)設(shè)備。網(wǎng)關(guān)設(shè)備根據(jù)該返回信息對用戶進行“放行”或“拒絕”。

4 安全性研究

在整個認證過程中，用戶的密碼僅僅在用戶本地進行明文處理，離開用戶終端后的RADIUS協(xié)議中都是經(jīng)過加密處理的密文信息，因此整個認證過程是相對安全的。由于漫游架構(gòu)的提出，使用戶數(shù)據(jù)必須通過城域網(wǎng)傳遞到遠端。在保證本地系統(tǒng)安全的同時，也需要保護用戶數(shù)據(jù)在城域網(wǎng)上傳遞的安全與穩(wěn)定。MPLS VPN[3]技術(shù)便很適合用于在城域網(wǎng)級別來處理類似問題。通過將認證信息特有的地址和端口進行標記，使用戶數(shù)據(jù)在固定的MPLS VPN通道中交互。在MPLS VPN中通信的主機甚至可以使用私有地址。使用該技術(shù)可以將漫游認證信息與其他城域網(wǎng)信息進行隔離。不法分子想要通過城域網(wǎng)攻擊認證服務(wù)器的難度將大大增加。使用此種方式既保證用戶信息的私密性，又能通過QoS調(diào)度策略來實現(xiàn)認證數(shù)據(jù)通信的穩(wěn)定性和高可用性。

無線網(wǎng)絡(luò)相對開放的使用環(huán)境導致其安全問題尤為凸顯。為了在安全問題發(fā)生后及時追溯到責任人，認證系統(tǒng)就起到了至關(guān)重要的作用。在實際使用過程中發(fā)現(xiàn)，漫游認證中心可以記錄全部漫游認證信息，但是大部分單位的園區(qū)網(wǎng)絡(luò)在提供漫游用戶訪問互聯(lián)網(wǎng)時，往往會使用NAT等技術(shù)手段來處理用戶IP地址。當用戶的實際使用IP經(jīng)過NAT處理后，就很難通過漫游認證信息來追查到該IP的具體使用者了，因為產(chǎn)生安全問題記錄的公網(wǎng)IP地址可能指向了多個漫游認證用戶。

為了實現(xiàn)對漫游用戶的溯源，需要在用戶認證過程中對用戶的認證地址進行修改，將用戶設(shè)備獲取到的實際IP封裝到認證的RADIUS請求報文中。此時漫游認證中心的RADIUS代理服務(wù)器就能夠記錄下，包含每個漫游用戶實際使用IP地址的認證信息。再配合各單位出口的NAT日志就能夠?qū)崿F(xiàn)完整的漫游用戶溯源功能。

5 總結(jié)

從總體來看，無線網(wǎng)絡(luò)和漫游認證尚屬新鮮事物。隨著無線網(wǎng)絡(luò)的發(fā)展以及用網(wǎng)需求的不斷提升，漫游認證的應(yīng)用范圍將會越來越廣泛。未來使用過程中，整個漫游認證體系在認證協(xié)議、認證記錄和管理手段等多個層面還存在著許多問題需要不斷優(yōu)化。完善的漫游認證將會使網(wǎng)絡(luò)更加開放，使用戶更加高效、便捷地共享網(wǎng)絡(luò)資源。

參考文獻

[1]中國教育網(wǎng)絡(luò).無線聯(lián)盟初露端倪[J].中國教育網(wǎng)絡(luò)，2006，（4）：9-10.

[2]中國移動通信.中國移動WLAN業(yè)務(wù)Portal協(xié)議規(guī)范[S].中國移動通信企業(yè)標準，2008

[3]陳雪非，黃河，李蓬.MPLS VPN關(guān)鍵技術(shù)研究[J].計算機工程與設(shè)計，2007，（13）：3138～3140，3150.