Analysis of the Real -Name Authentication Platform Construction of District -Level Campus Wireless Network
梁彩隆/Liang Cailong
(北京教育学院丰台分院北京100071)
(Fengtai Branch,Beijing Institute of Education,Beijing 100071,China )
1引言
校园无线网络是现有校园有线网络的扩展和
延伸,是计算机网络与无线通信技术相结合的产物,它利用无线多址信道的一种有效方法来支持校园内信息终端设备(如计算机、平板电脑等)之间的通信,并为通信的移动化、个性化和多媒体应用提
供了可能。
2013年,在完成骨干网络万兆升级基础上,丰
台区在部分校址试点进行校园无线覆盖。在校园无线网络覆盖过程中,最为核心的是无线网络认证
塑木生产线问题。在建设初期,试点学校采取的认证方式是本地验证,即学校自主建设验证平台实现本地身份验证,分为WAP (Wireless Application Protocol ,无线应用协议)密码验证和本地入口(Portal )验证。WAP 密码验证方式虽然具有部署简单的优势,只要在无线控制器(Wireless Access Point Controller ,AC )上对SSID 进行简单设置即可,但是无法做到实名验证,不符合公安部82号令对公共Wi -Fi (Wireless Fidelity ,无线保真)覆盖进行实名审计的要求。同时,随着各类Wi -Fi 密码分享软件的兴起,简单的密码验证越来越多地成为网络安全的隐患。而本地Portal 验 ·
·58
图1丰台区校园无线网络总体架构
证则要求使用者每天定期重复输入用户名和密码,严重影响用户的使用体验,同时,用户名和密码由各校管理员手动生成,维护人力成本高。 2丰台区校园无线网拓扑结构
2014年,按照市教委《关于做好2014年基础教
育信息化建设工作的通知》和《优质资源班班通教
光纤调整架室无线接入技术指南》,丰台区大力推进“优质资源班班通”建设,实现中小学校园无线网络覆盖,使数字化教育教学资源能够方便推送到课堂教学中。遵循基础教育信息化集约建设的原则,结合前期试点反馈问题,需要在区级中心新建一套实名认证平台,同时满足实名审计的需要和便利是按照《优质资源班班通教室无线接入技术指南》的要求,结合丰台区现有教育区域网拓扑结构,根据有线网络和无线网络相对独立的原则,建设范围内的每所学校通过出口防火墙上联到教育城域网,无线控制器路由到防火墙,无线接入点(Access Point ,AP )通过PoE (Power over Ethernet ,有源以太网)交换机供电连接,丰台区教委信息中心部署一套统一认证平台实现区级教师实名认证。丰台区校园无线网络拓扑结构如图1所示。 3丰台区校园无线网认证需求
为了满足无线认证的需求,实现全区统一实名身份认证,给全区教师、访客和会议活动带来更好的体验,需要一套身份认证系统满足无线认证的需求。认证需求总结如下。①兼容性需求,满足两家以上设备厂商AC 和AP 设备接入;
②区级无感知漫游,实现无线接入设备一次认证,在全区各学校间无缝漫游;③统一身份认证,实现与现有教师库、邮件系统数据对接;
④分级管理,以校为单位管理各校设备、访客
和会议接入需求。
4
丰台区校园无线网认证解决方案
4.1
认证过程及解决方案
现有的无线认证方案可以分为密码认证、Portal
认证和客户端认证3类,密码认证简单但不安全,客户端认证因需要匹配各操作系统而不易操作。因此,本系统最终选择在Portal 认证的基础上定制化开发,以满足实名认证的需求。
Portal 认证通常被称为Web 认证,当未认证用
户上网时,将被强制访问Portal 认证网站,从而开始Portal 认证过程。Portal 认证流程如图2
所示。
2015年8月第8期
互联网天地
梁彩隆:校园无线网络区级实名认证平台的建设探析
图2Portal 认证流程
Portal 协议包括Portal 接入和Portal 认证两部分,
其中,Portal 接入协议描述了Portal 用户(Client )和Portal 服务器(Server )之间的协议交互;Portal 认证协议描述了Portal 服务器和Portal 接入设备之间的协议交互。目前,各主流厂商设备均支持Portal 协议,但存在部分差异。为了兼容各厂商的Portal 协议,中国移动定义了《中国移动WLAN 业务Portal 协议规范V2.2.0》,该规范作为行业标准统一了各厂家的Portal 标准,有利于在基础上进行应用场景开发。
当采用Portal 认证时,用户每次接入校园无线网络时都需要在Portal 页面中输入用户账号/密码信息,操作较为不便。特别是当前使用网络中Pad 、智能手机等终端设备越来越多,而此类终端受到屏幕、浏览器等资源限制,在Portal 页面中输入用户账号/密码等信息时极为不便,使得用户的上网体验大打折扣。同时为了实现区级漫游,需要在Portal 认证的基础上采用无感知认证技术。无感知认证是一种通过记录用户终端MAC 地址作为后续认证标识,从而略过普通的Web 认证过程,快速完成用户校园无线网接入的认证方式。
在Portal 无感知认证解决方案中,用户接入无线网络具体认证流程如图3所示。
由图3可知,用户关联无线网络SSID ,通过动态主机配置协议(Dynamic Host Configuration Protocol ,DHCP )服务器获取IP 地址信息后,AC 将监控用户的上网流量,并向验证、授权和记账(Authentication 、Authorization 、Accounting ,AAA )服务器发起MAC Byp a s s 查询请求。若终端MAC 地址信息未学习绑定,AC 将按照正常Portal 流程向终端重定向Portal 认证页面;若终端已绑定MAC 地址,则通过MAC
Bypass 认证,用户认证成功,则能正常上网。统一身份认证方面,则采取认证系统定制网络
服务器(Web Server )接口方式与现有教师库、邮件系统数据实现对接。
教师库、邮件系统数据使用的是MySQL 数据库,由于用户名是由数据库中的两个字段拼接而成,身份认证系统现有的接口与教师库、邮件系统数据的MySQL 数据库对接不上,因此,身份认证系统采用了中间件适配的方式来解决。
中间件适配身份认证系统现有的网络服务(WebService )接口,
对身份认证系统传进来的用户
·
·60
图4身份认证系统WebService 实现方式
图3Portal
无感知认证用户接入认证流程熔断器式隔离开关
名及密码参数进行相应处理,再用处理过的用户名到MySQL 数据库进行查询,获取到用户的密码与处理过的用户密码进行比对校验,从而完成用户身份校验。以此来解决身份认证系统无法与教师库、邮件系统无法对接的问题。
身份认证系统定制WebService 与MySQL 数据库对接,WebService 实现方式原理如图4所示。
认证用户输入登录名及密码,身份认证系统开启第三方WebService 认证,将认证用户上传的登录名及密码传给WebService 服务中间件。WebService 服务中间件根据用户名拆分为pw_name 和domain ,到教师、邮件系统的MySQL 数据库中查询信息,教师、邮件系统的MySQL 数据库返回查询结果。身份认证系统得到身份认证结果,继续
后续的认证流程。
分级管理方面以校为单位管理各校设备、访客和会议接入需求,每个学校除了全区的统一教室平台外,区级管理员可以给每个学校创建校级管理员,校级管理员只具有创建本学校使用账号使用的权限,访客则使用实现,会议接入使用公共二维码实现。
校级管理员可以创建统一教师数据库外的账号,主要是实现非丰台区教师库外的职工使用本学校的无
线网络进行移动办公。
伊枯草菌素
校级管理员的创建流程如图5所示,区级管理员创建即可完成。
每天都会有访客来到学校进行拜访和会议,当几位访客来到学校区域通过无线Wi -Fi
访问互联网
2015年8月第8期
互联网天地
梁彩隆:校园无线网络区级实名认证平台的建设探析
图6访客无线网络连接流程
的需求时,则通过的方式使访客快速、安全地接入学校无线进行移动办公。具体流程如图6所示。
当访客连接无线成功后,iOS 系统自动跳转到二维码认证页面(Android 系统需要打开浏览器);启用扫描者设置访客用户有效期后,那么二维码分享者的移动终端将会出现设置访客有效期界面,分享
者可选择访客用户允许使用的上网时长;将二维码认证页面给分享者进行扫描(使用任何工具),扫描时会在分享者的终端上显示访问链接,点击该链接打开即可,认证成功后,分享者的终端上将显示二维码认证成功界面;访客将显示二维码认证成功,可以访问当前网络。认证系统在二维码认证成功后会提示访客用户的在线信息以及可访问网络的时长信息。
三基荧光粉
当学校举办会议和活动时,上述方案已不适用,需要使用公共二维码解决这个问题。只要管理员开通公共二维码开户的权限,二维码分享者可以在自助信息维护平台生成一个公共二维
码,该二维码包含了分享者的身份信息(用户名等)。分享者将公共二维码(电子或纸质形式)给接待的访客,访客连接上二维码的SSID ,并进行扫描,即可上线。具体的操作流程如图7所示。
在教师的账号自动平台上可以生成公共二维码,访客扫描电子或者纸质的公共二维码即可访客网络,如需要填写调查问卷,则可以弹出调查问卷的页面。
4.2
认证方式与流程
4.2.1丰台区校园无线网认证应用场景
wan-107
(1)教师身份无感知认证
教师身份与现有教师库的相关联系:教师对应的唯一教师ID 和邮箱地址为用户名,邮箱登录密码为密码。教师第一次使用校园无线网络时,关联区级统一SSID ——***********,AC 获取用户的MAC 地址,AC 封装该MAC 地址,先到AAA 服务器进行MAC 地址认证。如果认证失败,AC 记录本次用户认证失败的状态,当用户浏览器访问网络时,AC 根据用户MAC 地址认证失败的记录,推送Portal 认证界面给用户,教师填入教师邮箱地址和邮箱密码登录。如果认证成功,AC 记录用户在线状态,不推送Portal 界面给教师,教师可直接上网。认证过程如图8所示。
教师再次进入丰台区校园无线覆盖学校时,AAA 服务器直接MAC 地址认证成功,不推送Portal 界面给教师,教师可直接上网。教师可以体验到无
感知的、全区漫游的无线接入服务。
(2)
访客二维码认证
图5
校级管理员创建流程
·
·62
