高校认证方式探讨与实践.docVIP

高校认证方式探讨 与实践 季镇宇、卞银兵、唐仁红 2011年6月 一、项目背景 目前我公司与越来越多的高校展开宽带业务，高校宽带对于有效捆绑学生用户，稳定校园市场份额至关重要。其中认证计费问题是双方合作的关键与焦点，主要原因不仅仅在于网络状况、需求的差异，最关键的在于认证系统与学校对学生的掌控、经济利益等息息相关，因此计费认证事实上是各种利益的平衡与博弈的结果，基于以上的情况，导致高校宽带认证计费方式很难用一种简单模式以概括，因此我公司针对前期高校宽带接入情况，对各类情况进行了研究，根据场景对认证计费实现方式进行了汇总，希望可以对于省内其他兄弟公司起到借鉴作用。 二、高校认证难点分析 高校认证计费难点在于情况各异，需求各异。高校网络从网络形态上可分为有线网络和WLAN网络，有线网络可采用PPPOE、WEB、802.1X认证，无线网络因为要考虑到根据智能手机、IPAD等上网，一般采用WEB认证。 网络按照功能分类可分为教学网和宿舍网，二者的认证方式与要求各校都有不同，一般宿舍网一般都要求采用防代理技术。教学网一般采用WEB认证。 此外高校接入运营商情况也不一，有些学校只与移动一家合作，有的与电信、联通都有合作，基础网络为学校所有，学校要求学生可自主选择运营商网络上网并与学校进行分成。 在合作范围上，高校也不相同，有的高校将全校所有网络都开放给运营商，有的仅仅是局部网络，而且有的学校同意将部分网络独立给运营商单独运营，有的仍然要在学校校园网统一管理下，作为校园网的一个接入部分。 在认证平台选取上，有的学校开放给移动，采用手机号码至省平台认证，有的学校坚持采用采用学号或一卡通号码认证，平台为学校自建平台。 此外，随着数字化校园的建设，一些学校要求将网络准入认证与学校单点登录（SSO）系统统一起来，因此本文将针对以上场景进行逐一研究，由简单至复杂，逐一给出合适的解决方案。 三、各类场景解决方案 场景1：学校将校园宿舍网、或WLAN网络交由移动自行运营，只要求宿舍网或WLAN必须与校园网实现免认证互联，典型案例：南通电大、南通航院。 方案描述：宿舍网采用普通EPON方式接入，接入城域网BAS，由BAS进行认证，另由于是宿舍网，需有防代理要求，因此在城域网内架设防代理服务器，通过radius代理技术将账号、密码送至防代理服务器，由防代理服务器进行防代理确认后，转交省radius认证。 另在BAS上新增一条链路与学校核心路由相连，增加去学校校园网路由，并在城域网内对该路由加以过滤，以此实现宿舍网与校园网的互联。此外根据校方要求，学校要求免认证可访问校园网，在bas上配置认证前域中加入校园网段，实现免认证访问校园网。 宿舍网与无线不同之处： （1）宿舍网采用防代理，而无线无需防代理，采用WEB方式认证。 （2）宿舍网可采用城域网任意BAS，WLAN必须为省公司指定的5200G设备。 对于宿舍网学生上网采用客户端方式，用户名为手机号码，在营业前台开户，对于WLAN用户，采用WEB认证，采用手机号码认证。 场景2：学校将WLAN网络由移动建设，但是由于学校已有认证平台，学校要求WLAN网络作为校园网的一部分纳入学校统一管理，典型案例：南通大学。 方案一、 方案描述： 用户在有线、无线网内都采用学校认证，由校方认证平台识别用户为有线或无线，若为有线，则开启所有网络访问功能，若为无线（可通过识别源地址以及NAS_PORT_TYPE属性，仅仅开放移动BAS地址，不允许访问互联网。 无线WLAN用户上网采用校园网地址，采用学校学号认证，用户认证通过后可访问校园网，如无线用户访问互联网可采用L2TP拨号方式，拨号至移动BAS，由BAS二次分配地址，实现其上网。 此种情况下，用户必须先至学校开户，方可访问校园网，与学校统一管理不冲突，保证了学校既得利益。无线用户如需访问互联网，用户需至营业厅开户，采用L2TP拨号至移动BAS认证。 小结:此种方法最合适场景为多家运营商同时接入，由学生自由选择时，学生可根据需求，接入任意运营商的网络。 方案二 本解决方案为利用校方radius提供的SAM平台，进行二次开发，与移动radius对接，用户开户时需至学校开户并同时至营业厅开户，在校方radius平台上将校内账号（学号）与手机号码做捆绑，用户认证时输入用户名、密码，如用户只访问校园网，直接将用户名、密码发送至校方认证平台认证，如用户选择访问互联网，则将该用户名、密码发送至后台认证，后台认证通过后，由其radius服务器启用radius代理功能，将该学号对应的手机号码与设定的固定密码发送至移动平台认证，并将移动平台反馈的raidus信息送回校方bas，实现用户的认证计费功能。 场景3、学校既有WLAN又有有线网络，其中宿舍网为移动运营，但是需纳入校方统一管理；WLAN