数字化校园3+N+解决方案——公共认证平台.docVIP

数字化校园3＋N＋1解决方案——公共认证平台 大中小 ??? 一.?需求分析 ??? 随着数字化校园建设的全面展开，网络应用的功能不断加强，网上办公、网上管理、网上教学和网上服务已经实现。面对更多业务系统上线使用，相对的问题也逐渐产生，如：? ??? 有线、无线、VPN等网络设备的接入用户分散，各自为政，存在单点风险，怎么规避？? ??? 老师可访问internet视频资源，学生只能访问教学资源视频，如何区分访问身份和权限？? ??? 基础信息数据库如何与网络、应用相结合？? ??? 校园中的带宽流量怎样做限制，怎样限制老师与学生的流量？? ??? 怎样进行对实名的网络行为跟踪和审计？? ??? 二.?方案设计 ??? 融合业务系统的身份信息，打造数字化校园统一身份认证平台，实现有线、无线、VPN等统一认证。 ? ??? ????通过RG-ESS建立校园网公共认证平台，可实现有线用户、无线用户、远程访问的VPN用户的统一认证，每个用户对有线网络、无线网络、VPN等接入访问可以使用同一份身份信息、同一套账号密码；同时，可以实现有线无线的统一拓扑管理、批量配置及实时告警等功能。 ??? 实名认证 ??? 实名认证是为了验证身份，包括接入网络中的用户标识（User ID）、主机标识（MAC）、 网络标识（IP），确保网络用户身份的合法、真实；同时，可以有效地防止账号盗用、防 IP 篡改、防 MAC 篡改，实现内网的安全、可控、易定位和强审计。 ? ??? ??? 实名制认证一体化? ??? 多次认证一体化?在做认证的同时根据用户的需要和权限开放相应的出口权限，将多次认证合为一次完成，用户可以在未认证之前自由的选择本次认证访问的范围，也可以在上网过程中根据需要自由的切换。? ??? 认证方式一体化?认证方式都可使用客户端或浏览器方式认证，在准入 认证中可以使用 SU客户端做 802.1X 认证，也可以使用浏览器做 WEB 认证。在做认证时也同时可以支持SU客户端或浏览器方式认证。? ??? 用户管理一体化?所有认证使用同一个认证管理平台，用户使用同一套账号和口令进行认证。RG-ESS可以灵活的对用户做个性化的设置和管理，在满足管理员精细管理 需求的同时，也保证了网络用户完美的客户体验。? ??? 实名访问权限控制? ??? 通过实名访问权限控制，可实现老师在学校里通过网络在线看Internet视频或下载P2P资源等，而学生则被限制使用；通过实名访问权限控制，可根据学生的账号进行禁止访问任何成人网站和不良信息等。? ??? 实名流控? ??? 通过实名流控可实现，为老师的账号组分配5M带宽，学生的账号组分配1M带宽；即使使用的不是同一台机器、同一个IP地址，也能保障有效合理的分配带宽，提高带宽资源的利用率。? ??? 实名日志审计 ??? 师生访问Internet的日志都能自动进行记录，并和师生的IP地址及实名信息等实现自动绑定，满足公安及上级部门的检查要求。? ??? 无线认证融合? ??? 对于无线网络而言准入和准出认证也是必要的，由于无线网络本身具有移动性和漫游等特点，导致对于网络的准入审计和准出控制都提出了很大的挑战。结合当前无线 AP 和控制器支持的 802.1X 和 WEB 认证，用户可以使用同样一个客户端或浏览器在有线网络和无线网络之间自由的切换，认证入网。也可以使用同一套账号、密码、权限及账户等用户身份信息在两个网络之间同步，管理员可以设置不同网络使用不同策略。? ??? IPv6? 认证融合 ??? 对于 IPv6的大规模应用普及与试用，首先应该考虑的是认证与计费。对于IPv6准入和准出同样是适用的，802.1X 本身是个二层的认证协议与IP层无关，可以平滑升级。而WEB认证是应用层的认证协议，不需要大的改动。目前本方案已经完美的支持了IPv6及双栈认证，并对双栈并存的过渡期做了精心的设计，比如：认证后只授权IPv4权限，只授权IPv6权限，授权IPv4使用权限后免费开放IPv6权限。同样的针对用户的IPv6地址、MAC地址、NAS端口、NAS IPv6地址等用户信息都可以根据规则绑定。对于出口也可以支持基于用户的带宽控制和 IPv6环境下的应用控制。 ??? 三.?方案特点 ??? 实现了网络层面的认证、用户管理的统一 。? ??? 通过认证可以根据实名身份信息进行权限控制。? ??? 可以根据实名身份信息实现精细的带宽分配，有效地保证关键业务的正常使用。? ??? 日志信息记录的信息能够根据实名的身份进行安全事件的反侦察。? ??? 支持IPV4 IPV6的融合认证