基于运营商投资无线校园网认证模式研究.docVIP

基于运营商投资的无线校园网认证模式的研究 　　[摘 要] 近年来，电信运营商非常热情地寻求与高校在信息化建设方面的合作，尤其是是无线网（WLAN）等应用服务。这种合作，发展机遇与风险并存。如何能有效抓住机遇，认真规避风险，是各高校管理者应该思考的问题。本文主要对无线校园网的认证模式进行了研究，希望能从技术角度出发，实现高校的需求，规避潜在的风险。 　　[关键词] 高校 运营商 无线 校园网 认证 模式 　　 　　随着笔记本电脑的普及和无线网卡产品的价格逐步降低，越来越多的人拥有无线网络客户端产品。国内很多高校开始思考如何在现有有线网络的基础上建设无线网络。而电信运营商也非常热情地寻求与高校在信息化建设方面的合作，尤其是无线网（WLAN）等应用服务。这对于电信运营商来说，是各公司争夺客户的关键；而对于高校的管理者和建设者来说，关心的是如何在引入运营商投资、减轻学校建设资金压力的同时，建设符合高校管理要求的WLAN。 　　在高校与运营商合作建设WLAN的过程当中，运营商倾向于将WLAN建成一个独立于校园网的无线网络，向无线用户提供收费的互联网访问服务。而大多数高校因为已经建设了有线校园网，更倾向于将WLAN做为现有校园网的一个补充来建设，以便于学校师生能够免费访问丰富的校园网资源，更重要的是，大多数高校希望将WLAN纳入到校园网内进行统一管理。而如何在这一点上实现双方的平衡，其关键在于WLAN认证计费系统实现模式的选择。以下以我校（长沙师范学校）为例进行研究。 　　一、现状与需求 　　我校校园有线网络于2007年建成投入使用，采用三层结构、千兆骨干光纤、百兆到桌面，目前已建成基础网络、网络边界及用户认证管理等几个系统，能实现全网的统一管理。根据上级教育行政主管部门的要求与学校实际应用的需要，所有学校内部的上网主机均应纳入到校园网内进行统一管理，现学校使用校园网认证计费平台对所有上网用户进行管理。因此，我校与运营商合作建设的WLAN，也需要纳入学校校园网认证计费平台统一管理的范畴，使其能够针对网络中的用户进行认证及管理，并与现有校园网各个系统兼容。 ???　二、WLAN认证计费需求分析 　　从学校校园网业务控制的需求角度出发，需要校园网接入校园网认证计费平台和运营商认证计费平台两个系统。运营商开展业务通常仅需要用户身份认证、账户状态认证、用户与业务绑定认证、在线用户唯一性认证即可，但学校的管理需要可能多种多样，集中体现在用户身份多元组绑定、主机安全状态检查、上网时段控制、防网络沉迷控制（具体可以结合上网时段控制、供电时间段控制、账期内累计时长控制、账期内累计流量控制等）、内网网络行为基于用户的审计等等，这些属于学校独有的管控需求应该由学校来制定并应用相关管控策略，光靠运营商无法实现这些需求。而在通常情况下，校园网接入校园网认证计费平台和运营商认证计费平台两个系统都不会互相兼容，这就导致了问题的产生。 　　三、WLAN认证计费系统设计 　　从使用角度来看，校园网主要功能是为学校的教学、研究和管理服务，不宜一上网就计费；而访问外网需要使用学校租用的电信线路，一般要收费。所以根据上述分析，为满足学校和运营商双方的需求，我们将WLAN用户认证过程分为两个阶段。 　　第一阶段为校园网接入身份认证，认证工作由学校现有校园网认证计费平台承担，实现接入时间控制检查、用户七元组绑定检查、主机安全性检查、账期累计时长上限判断等接入策略检查，这部分策略由学校定义和管理；第二阶段基于运营商的管控要求实施用户名密码校验、账户状态校验、用户名绑定校验（用户名与学校服务绑定，防止该用户名用于运营商的其它服务）、用户唯一性校验，此认证工作需要交由运营商AAA平台实现，由运营商AAA平台实现认证策略定义和管理。 　　终端用户接入校园网后，通过校园网认证计费平台的拨号客户端软件发起认证，交换机或无线AP向认证服务器转发认证报文，认证通过，由认证服务器内置的DHCP服务器分配IP地址（校园网私有IP），交换机或AP受控端口打开，终端即可正常访问校园网内的服务器资源。 　　用户访问如需互联网，需要经过第二阶段的运营商PPPoE认证，认证用户建立PPPoE拨号，发送认证请求至运营商的BAS设备，再由运营商的BAS设备、AAA服务器和BOSS联合完成PPPoE认证。认证通过后，用户获得一个公网IP地址，即可访问互联网。 　　 　　图1 　　如图1所示，用户接入的详细流程如下： 　　1.用户开机后，检测到SSID有效，通过802．1x客户端软件发起请求； 　　2.AP检测到该请求后，向AAA发出请求，AAA服务器发出响应； 　　3.用户端弹出对话框，要求输入合法的身份标识，如用户名及其密码。 　　4.用户端将身份标识传送到AP；