校际无线漫游认证研究.docVIP

校际无线漫游认证研究 　　摘 要：近几年，无线网络迅速发展并已趋于成熟。在学校交流越发频繁的今天，伴随着学术研讨和开放式大学的建设，校园无线网络支持跨校认证的需求越发强烈。本课题在RADIUS代理基础上实现跨校认证平台，结合多所高校自身无线网络认证的建设情况，集成跨校认证和各高校内部无线认证，实现跨校认证接入外校无线网络，避免了异地认证的繁琐，简化了业务流程。 　　关键词：无线网络；漫游认证；RADIUS代理；城域网 　　1 研究背景及意义 　　随着各高校自身无线网络建设的逐步完成，在校师生对无线网络的使用越发频繁，人们对无线网络的认知度与依赖性逐渐加强。大多数高校建立无线校园网是为了解决公共区域的上网问题。而这些区域的校外用户较多，对移动上网的需求更加迫切。显而易见，因安全考虑设置的屏障，使这些校外用户无法使用无线网，一定程度上违背了学校在公共区域建设无线网的初衷[1]。通过统一身份认证来开放无线网络访问权限进而共享校园网络资源。这将为高校其他教育资源的共享奠定基础，成为全面资源共享的重要契机。无线网络可以成为组建高校联盟的原动力。 　　2 关键技术 　　与本地认证相同，漫游认证也需要借助于RADIUS协议来进行用户的身份确认。实现漫游认证功能的技术核心是依靠RADIUS代理机制，完成不同认证服务器间的数据转发。RADIUS代理的转发流程如图1所示。 　　经过调研分析发现，目前主流无线产品都能较好的支持中国移动Portal协议标准[2]。并且使用Web Portal的认证方式能够摆脱客户端软件对用户和移动设备的限制，大大降低网络管理人员在客户端软件方面的维护量。因此，在实现校际无线漫游认证联盟的过程中，主要采用了RADIUS代理和Web Portal两种关键技术。 　　3 设计实现 　　校际无线漫游认证联盟借助城域网的数据传输能力，通过构建漫游认证中心来提供RADIUS代理与Web Portal页面登录服务。漫游认证中心的RADIUS代理服务器主要用于存储各单位认证服务器信息以及进行相应的认证数据转发工作。用户在进行漫游认证登陆时，通过登陆页面填写用户名和密码信息。用户的身份描述采用“uid@realm”的方式，其中“uid”是用户在其本地认证机构的登记名称，“realm”是用户所在单位的机构名称。 　　以高校B用户到高校A进行漫游认证登陆为例，漫游认证过程如图2所示。首先该用户接入高校A的无线网络，通过网关设备获取到漫游中心Portal服务器推送的登陆页面。在登陆页面提交“uid@realm”形式的信息后，网络设备会将该信息进行封装并以RADIUS协议形式提交给漫游认证中心的RADIUS代理服务器。RADIUS代理服务器通过查询各认证机构的信息，最终将该认证报文转发到高校B的AAA服务器。在转发过程中RADIUS代理服务器会将“uid@realm”中的机构信息“realm”去掉，只保留用户的“uid”。因为只有这样高校B的AAA服务器才能正确处理该用户的认证请求。高校B的认证系统将“认证通过”或“认证失败”的信息，经由RADIUS代理服务器原路返回至高校A的网关设备。网关设备根据该返回信息对用户进行“放行”或“拒绝”。 　　4 安全性研究 　　在整个认证过程中，用户的密码仅仅在用户本地进行明文处理，离开用户终端后的RADIUS协议中都是经过加密处理的密文信息，因此整个认证过程是相对安全的。由于漫游架构的提出，使用户数据必须通过城域网传递到远端。在保证本地系统安全的同时，也需要保护用户数据在城域网上传递的安全与稳定。MPLS VPN[3]技术便很适合用于在城域网级别来处理类似问题。通过将认证信息特有的地址和端口进行标记，使用户数据在固定的MPLS VPN通道中交互。在MPLS VPN中通信的主机甚至可以使用私有地址。使用该技术可以将漫游认证信息与其他城域网信息进行隔离。不法分子想要通过城域网攻击认证服务器的难度将大大增加。使用此种方式既保证用户信息的私密性，又能通过QoS调度策略来实现认证数据通信的稳定性和高可用性。 　　无线网络相对开放的使用环境导致其安全问题尤为凸显。为了在安全问题发生后及时追溯到责任人，认证系统就起到了至关重要的作用。在实际使用过程中发现，漫游认证中心可以记录全部漫游认证信息，但是大部分单位的园区网络在提供漫游用户访问互联网时，往往会使用NAT等技术手段来处理用户IP地址。当用户的实际使用IP经过NAT处理后，就很难通过漫游认证信息来追查到该IP的具体使用者了，因为产生安全问题记录的公网IP地址可能指向了多个漫游认证用户。 　　为了实现对漫游用户的溯源，需要在用户认证过程中对用户的认证地址进行修改，将用户设备获取到的实际IP封装到认证的RADIUS请求报文中。此时漫游