基于多校區(qū)多出口的校園網(wǎng)安全認(rèn)證的設(shè)計與實現(xiàn)

◆張 毅

（廣東醫(yī)科大學(xué)教育技術(shù)與信息中心 廣東 524023）

基于多校區(qū)多出口的校園網(wǎng)安全認(rèn)證的設(shè)計與實現(xiàn)

◆張 毅

（廣東醫(yī)科大學(xué)教育技術(shù)與信息中心 廣東 524023）

本文為對當(dāng)前高校校園網(wǎng)用戶上網(wǎng)認(rèn)證存在的安全問題，結(jié)合本校多校區(qū)多出口的校園網(wǎng)現(xiàn)狀，提出了以安全為前提、準(zhǔn)入準(zhǔn)出為思路、用戶賬戶統(tǒng)一管理為原則，應(yīng)用當(dāng)前主流成熟技術(shù)來設(shè)計并實現(xiàn)校園網(wǎng)用戶統(tǒng)一安全認(rèn)證上網(wǎng)。認(rèn)證系統(tǒng)部署后，經(jīng)過一年多的運行、檢驗，獲得了較好的效果，既滿足了校園網(wǎng)對上網(wǎng)用戶統(tǒng)一安全管理的要求，也滿足了校園網(wǎng)用戶便捷、策略化的上網(wǎng)需求。

校園網(wǎng)管理；準(zhǔn)入準(zhǔn)出；安全認(rèn)證

0 引言

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，用戶上網(wǎng)方式出現(xiàn)新變化，我校校園網(wǎng)用戶上網(wǎng)認(rèn)證系統(tǒng)也隨之不斷更新完善，從使用開源免費的代理上網(wǎng)軟件逐步到現(xiàn)今的專業(yè)網(wǎng)關(guān)認(rèn)證管理軟件。隨著近幾年新校區(qū)的建立，校園網(wǎng)有了跨越式的發(fā)展，兩校區(qū)內(nèi)部高速光纖互聯(lián)，分別開通多條不同寬帶的校園網(wǎng)外部出口。校園網(wǎng)的發(fā)展給用戶上網(wǎng)帶來了新的變化，首先校園網(wǎng)的多條出口使得可以根據(jù)兩校區(qū)教工學(xué)生人數(shù)分布的不同、教工學(xué)生上網(wǎng)需求的不同來制定合適的策略，實現(xiàn)不同校區(qū)不同身份的用戶上網(wǎng)走不同帶寬的出口上互聯(lián)網(wǎng)；其次隨著無線上網(wǎng)動態(tài) IP的廣泛使用，使得原來通過固定 IP綁定來識別進(jìn)入校園網(wǎng)的用戶身份的方式不再安全，校園網(wǎng)面臨門戶大開的風(fēng)險[1]。由于我校在用的認(rèn)證系統(tǒng)只是部署在校園網(wǎng)出口，既不能解決不同身份多校區(qū)多出口的上網(wǎng)管理，同時也不能準(zhǔn)確識別進(jìn)入校園網(wǎng)上網(wǎng)用戶的身份，已經(jīng)不再適應(yīng)當(dāng)前校園網(wǎng)的發(fā)展變化對上網(wǎng)用戶的管理要求。

為此，需要根據(jù)校園網(wǎng)現(xiàn)狀對上網(wǎng)認(rèn)證重新設(shè)計，在保障校園網(wǎng)安全的前提下選用合適的認(rèn)證系統(tǒng)，實現(xiàn)校園網(wǎng)用戶都能安全認(rèn)證上網(wǎng)。

1 設(shè)計思想

校園網(wǎng)的建立是為了滿足學(xué)校內(nèi)部師生員工之間信息傳遞、資源共享、信息化教學(xué)、科研及行政辦公的需求。用戶上網(wǎng)首先進(jìn)入校園網(wǎng)訪問資源，訪問外部互聯(lián)網(wǎng)資源時再從校園網(wǎng)出去。考慮到學(xué)校多校區(qū)多出口的現(xiàn)狀以及校園網(wǎng)的特點，我們采取以安全為前提、準(zhǔn)入準(zhǔn)出為基本思路、用戶賬戶統(tǒng)一管理為原則來設(shè)計實現(xiàn)安全管控用戶上網(wǎng)認(rèn)證，即是將校園網(wǎng)做為一棟有前后門的房子，各校區(qū)用戶賬戶統(tǒng)一管理，當(dāng)有用戶要進(jìn)來時，在前門識別用戶提交的賬戶信息并判斷是否允許進(jìn)入，當(dāng)用戶要從后門出去時判斷是否有權(quán)限出去[2]。

圖1 認(rèn)證網(wǎng)絡(luò)邏輯拓?fù)鋱D

用戶賬戶信息可對接學(xué)校教工學(xué)生信息系統(tǒng)、一卡通消費系統(tǒng)等平臺，適應(yīng)學(xué)校對不同校區(qū)用戶賬戶統(tǒng)一化管理的要求。用戶賬戶在校園內(nèi)自由流動保持不變，并可根據(jù)不同身份信息制定不同上網(wǎng)策略。

準(zhǔn)入認(rèn)證可通過上網(wǎng)用戶在網(wǎng)絡(luò)接入端提交的賬戶信息來進(jìn)行安全控制，能有效保障校園網(wǎng)安全，防范內(nèi)部攻擊、非法接入；用戶上網(wǎng)終端不再需要固定 IP地址綁定，更適應(yīng)當(dāng)前無線WIFI的動態(tài)IP的應(yīng)用需求。

準(zhǔn)出控制可根據(jù)用戶賬戶的繳費狀態(tài)、身份信息制定靈活策略，除了允許其是否訪問互聯(lián)網(wǎng)，亦可根據(jù)用戶身份讓其走不同的校園網(wǎng)出口出去。

2 部署實現(xiàn)

當(dāng)前主流網(wǎng)絡(luò)認(rèn)證軟件有許多，包括深瀾軟件、Dr.Com熱點軟件、銳捷認(rèn)證軟件、H3C認(rèn)證軟件，均支持802.1x、PPPoE、Web/Portal等主流認(rèn)證技術(shù)。經(jīng)過對多方功能、性能上的長時間對比測試，最終選定了銳捷認(rèn)證系統(tǒng)，因其軟硬件聯(lián)動、一體化平臺、智能選路的實現(xiàn)方式符合我們準(zhǔn)入準(zhǔn)出的設(shè)計要求。

實現(xiàn)時我們在多臺高性能服務(wù)器分別部署銳捷SAM認(rèn)證計費平臺和ePortal網(wǎng)頁認(rèn)證服務(wù)軟件，各服務(wù)器直連核心設(shè)備以保證數(shù)據(jù)快速交互；并在兩校區(qū)校園網(wǎng)出口位置各部署一臺RSR77硬件網(wǎng)關(guān)路由器。其中SAM平臺與核心設(shè)備、網(wǎng)關(guān)路由器聯(lián)動，用于存放學(xué)校所有上網(wǎng)用戶的賬戶、繳費等的信息，負(fù)責(zé)賬戶的認(rèn)證、計費、授權(quán)等；ePortal與SAM平臺、核心設(shè)備、網(wǎng)關(guān)路由器等進(jìn)行聯(lián)動，負(fù)責(zé)為上網(wǎng)用戶彈出登錄網(wǎng)頁做準(zhǔn)入準(zhǔn)出認(rèn)證；核心設(shè)備與SAM平臺、ePortal聯(lián)動，負(fù)責(zé)上網(wǎng)用戶準(zhǔn)入校園網(wǎng)的控制；網(wǎng)關(guān)路由器與SAM平臺、ePortal聯(lián)動，負(fù)責(zé)上網(wǎng)用戶準(zhǔn)出校園網(wǎng)控制和多出口的智能選路。

當(dāng)用戶在瀏覽器打開某網(wǎng)站網(wǎng)頁上網(wǎng)時，核心設(shè)備會將用戶信息轉(zhuǎn)發(fā)給 ePortal，ePortal返回登錄網(wǎng)頁給用戶輸入賬戶密碼，然后ePortal將用戶提交的信息與SAM平臺驗證，通過后分別返回給用戶驗證成功的信息以及通知核心設(shè)備放通用戶進(jìn)入校園網(wǎng)；當(dāng)用戶需要從校園網(wǎng)出去訪問互聯(lián)網(wǎng)時會經(jīng)過出口的網(wǎng)關(guān)路由器，網(wǎng)關(guān)路由器會從SAM平臺獲取用戶的狀態(tài)（繳費、授權(quán)、身份等信息），根據(jù)策略決定是否放通用戶和走相應(yīng)的網(wǎng)絡(luò)出口[3-4]。

3 完成后的現(xiàn)狀及問題

新的認(rèn)證系統(tǒng)在我校部署完成已正常運行超過一年的時間，用戶反映良好，新系統(tǒng)在性能、功能上均比原系統(tǒng)有較大的改進(jìn)。準(zhǔn)入準(zhǔn)出的安全架構(gòu)很好的適應(yīng)了當(dāng)前網(wǎng)絡(luò)發(fā)展的新變化，同時也考慮了校園網(wǎng)未來發(fā)展對上網(wǎng)認(rèn)證的需求；既符合我校校園網(wǎng)對上網(wǎng)用戶統(tǒng)一安全管理的要求，也能滿足校園網(wǎng)用戶上網(wǎng)的便捷、策略化要求。

圖2 用戶準(zhǔn)入準(zhǔn)出認(rèn)證流程圖

但新的認(rèn)證系統(tǒng)在運行中也暴露了一些問題，例如 SAM平臺與不同品牌的核心設(shè)備對接時存在兼容問題，有時會出現(xiàn)實時數(shù)據(jù)未能同步，導(dǎo)致已上網(wǎng)的用戶被下線、未上網(wǎng)的用戶不能上線；SAM平臺在對同一用戶在不同地區(qū)同時在線的設(shè)置功能上有局限；安裝在Windows系統(tǒng)上的ePortal偶爾出現(xiàn)彈不出認(rèn)證網(wǎng)頁而需要重啟軟件；生成的日志分析功能較弱。

4 結(jié)語

隨著上網(wǎng)用戶對校園網(wǎng)的要求不斷的提高，新問題也不斷出現(xiàn)，如如何運用新的技術(shù)來解決新的需求和新的問題，保障校園網(wǎng)安全穩(wěn)定的運行。這些都需要校園網(wǎng)管理人員主動去了解最新網(wǎng)絡(luò)技術(shù)的發(fā)展，掌握主流技術(shù)，從而更好的為校園網(wǎng)用戶服務(wù)，提高校園網(wǎng)管理的水平。

[1]沈達(dá)峰.校園網(wǎng)多區(qū)域用戶接入認(rèn)證技術(shù)的研究[J].淮陰工學(xué)院學(xué)報，2016.

[2]孫剛凝.基于EAD的校園網(wǎng)準(zhǔn)入/準(zhǔn)出統(tǒng)一認(rèn)證方案的研究[J].計算機(jī)光盤軟件與應(yīng)用，2012.

[3]申健，朱婧.校園網(wǎng)認(rèn)證技術(shù)的應(yīng)用和發(fā)展[J].物聯(lián)網(wǎng)技術(shù)，2015.

[4]李文才，周毅超.基于BRAS設(shè)備的校園網(wǎng)多出口升級方案.計算機(jī)應(yīng)用與軟件，2012.