關(guān)于校際移動(dòng)漫游的研究與實(shí)現(xiàn)

1、關(guān)于校際挪動(dòng)遨游的研究與實(shí)現(xiàn)高校信息化的高速開展，挪動(dòng)設(shè)備的全面普及，無線網(wǎng)絡(luò)已經(jīng)成為高校校園網(wǎng)絡(luò)的重要組成部分，大量科研和教育信息資源的使用都依賴于挪動(dòng)網(wǎng)絡(luò)平臺(tái). 出于信息網(wǎng)絡(luò)平安管理的需要，在已建的高校無線校園網(wǎng)中，使用了一些網(wǎng)絡(luò)平安接入管理機(jī)制，以確保用戶實(shí)名制登錄注冊(cè)，并限制未授權(quán)用戶的訪問. 現(xiàn)有的這種管理方式雖然滿足了校內(nèi)師生員工的使用，但隨著校際間的交流和訪問日益頻繁，對(duì)于校際間互訪人員的挪動(dòng)網(wǎng)絡(luò)使用、遠(yuǎn)間隔 教學(xué)和學(xué)生跨校選課非常不方便. 高校師生在其他高校訪學(xué)交流時(shí)，可以通過校際間的挪動(dòng)遨游、使用該校無線資源實(shí)現(xiàn)教學(xué)交流的愿望越來越強(qiáng)烈.將來的挪動(dòng)網(wǎng)絡(luò)已經(jīng)不再是傳統(tǒng)的無線接入

2、功能，無區(qū)域限制的. 可遨游的挪動(dòng)網(wǎng)絡(luò)已經(jīng)成為終端設(shè)備的主要接入方式，所以校園無線網(wǎng)絡(luò)要具備充分的挪動(dòng)性，不僅局限在本學(xué)校的辦公室，需擴(kuò)展至室外區(qū)域、操場(chǎng)、甚至是其他兄弟院校具有無線網(wǎng)絡(luò)的任何地方.1 校際挪動(dòng)遨游分析目前各重點(diǎn)高校已經(jīng)根本完成無線網(wǎng)絡(luò)的全校覆蓋，根據(jù)建立的匯總歸類，新建立的無線網(wǎng)絡(luò)主要使用瘦AP + 認(rèn)證計(jì)費(fèi)網(wǎng)關(guān)的方式，但各高校對(duì)訪問控制、平安要求等的支持各不一樣，各個(gè)廠商對(duì)認(rèn)證接口的支持有一定的差異性.在接入認(rèn)證方面，根據(jù)高校使用的各個(gè)廠商或集成商的應(yīng)用方案匯總歸類，大部分高校使用Web認(rèn)證. 即用戶首次使用網(wǎng)絡(luò)時(shí)會(huì)翻開認(rèn)證網(wǎng)頁，要求用戶輸入賬戶進(jìn)展認(rèn)證接入. 但Web 頁

3、的后端認(rèn)證方式，各個(gè)高校存在較大差異. 主要有Radius 認(rèn)證、LDAP 認(rèn)證和數(shù)據(jù)庫認(rèn)證等幾種方式，另外還有個(gè)別學(xué)校使用802. 1x 認(rèn)證，即在用戶連接網(wǎng)絡(luò)時(shí)要求用戶提供賬戶. 這些差異性給設(shè)計(jì)、開發(fā)和集成統(tǒng)一跨校認(rèn)證帶來了難度，所需要的底層平臺(tái)必須兼容各個(gè)高校的主流認(rèn)證構(gòu)架，同時(shí)還能支持跨校應(yīng)用.因此，用戶需要一種校際間網(wǎng)絡(luò)平安接入控制和挪動(dòng)無線接入解決方案. 該網(wǎng)絡(luò)平安接入控制和挪動(dòng)無線接入解決方案必須可以充分滿足如下建立需求:( 1) 采用國際標(biāo)準(zhǔn)技術(shù)體系;( 2) 充分利用現(xiàn)有各高校網(wǎng)絡(luò)構(gòu)造與資源，不單獨(dú)組網(wǎng). 并且不對(duì)現(xiàn)有各高校網(wǎng)絡(luò)構(gòu)造以及設(shè)備配置做任何改動(dòng)變化，新建的校際間系

4、統(tǒng)不對(duì)現(xiàn)有網(wǎng)絡(luò)產(chǎn)生任何影響;( 3) 采用集中控管技術(shù)，集中統(tǒng)一管理的終端設(shè)備;( 4) 系統(tǒng)必須具有高可用性設(shè)計(jì)，保證在設(shè)備單點(diǎn)故障條件下可以無縫自愈，保障業(yè)務(wù)的連續(xù)性;( 5) 系統(tǒng)必須可以支持多種靈敏的用戶認(rèn)證方式，并且能結(jié)合現(xiàn)有高校網(wǎng)絡(luò)認(rèn)證系統(tǒng)協(xié)同工作;( 6) 系統(tǒng)必須可以靈敏支持各種無線認(rèn)證加密技術(shù)標(biāo)準(zhǔn)，可以為不同種類、不同性能的終端設(shè)備提供平安的無線連接;( 7) 系統(tǒng)要可以方便和靈敏地調(diào)整與擴(kuò)展，充分考慮投資保護(hù).2 校際挪動(dòng)遨游組網(wǎng)設(shè)計(jì)2. 1 組網(wǎng)設(shè)計(jì)分析校際挪動(dòng)遨游的實(shí)現(xiàn)，主要涉及3 個(gè)方面:( 1) 校際挪動(dòng)遨游網(wǎng)絡(luò)的平安接入. 遨游網(wǎng)絡(luò)對(duì)遨游用戶進(jìn)展鑒別，同時(shí)遨游用戶

5、也對(duì)遨游網(wǎng)絡(luò)進(jìn)展鑒別;( 2) 校際挪動(dòng)遨游網(wǎng)絡(luò)的認(rèn)證. 包括外校的學(xué)生遨游到本校，通過無線網(wǎng)接入訪問互聯(lián)網(wǎng)這個(gè)認(rèn)證過程的實(shí)現(xiàn)和本校學(xué)生遨游到其他學(xué)校后，需要為用戶接入無線網(wǎng)絡(luò)提供身份認(rèn)證;( 3) 遨游中心的建立. 遨游中心需要一個(gè)平臺(tái)，對(duì)沒有建立直接認(rèn)證信任關(guān)系的高校需要實(shí)現(xiàn)各校遨游用戶的賬號(hào)認(rèn)證中轉(zhuǎn).第1 個(gè)要解決的問題是其他學(xué)校的用戶遨游到本校后，本校無線網(wǎng)絡(luò)如何鑒定用戶的身份，從而為用戶提供網(wǎng)絡(luò)效勞. 這就對(duì)提供接入的設(shè)備( 包括無線控制器) 功能提出要求.第2 個(gè)要解決的問題是本校用戶遨游到其他院校后，如何為其他學(xué)校的網(wǎng)絡(luò)提供身份驗(yàn)證效勞，分2 種情況: 返回歸屬地認(rèn)證和遨游中心認(rèn)

6、證. 在接入地認(rèn)證，認(rèn)證系統(tǒng)應(yīng)保存完好的認(rèn)證記錄及統(tǒng)計(jì)記錄，以便復(fù)查; 返回歸屬地認(rèn)證，那么按歸屬地學(xué)校原有的上網(wǎng)記錄統(tǒng)計(jì)和平安審計(jì).第3 個(gè)要解決的問題是遨游平臺(tái)的構(gòu)架，成員之間的鏈路流量問題. 遨游系統(tǒng)需要可以提供各高校無線網(wǎng)絡(luò)遨游效勞的情況統(tǒng)計(jì)，包括各成員提供遨游效勞的時(shí)長及遨游所產(chǎn)生的流量，應(yīng)保存完好的認(rèn)證記錄及統(tǒng)計(jì)記錄，以便高校大數(shù)據(jù)搜集分析.2. 2 平安的接入無線信號(hào)是不可見的，如何在無線網(wǎng)絡(luò)中識(shí)別用戶，如何保證用戶的匿名性等，為理解決這些平安接入問題，許多無線網(wǎng)絡(luò)認(rèn)證協(xié)議被提出.WAPI ( Wireless LAN Authentication and PrivacyInfr

7、astructure) 無線局域網(wǎng)鑒別和保密根底構(gòu)造，是一種平安協(xié)議，同時(shí)也是中國無線局域網(wǎng)平安強(qiáng)迫性標(biāo)準(zhǔn).WAPI 技術(shù)特點(diǎn)在于: 在用戶接入過程中，采用雙向鑒別的方式. 不僅僅是網(wǎng)絡(luò)對(duì)用戶進(jìn)展鑒別，用戶也要對(duì)網(wǎng)絡(luò)進(jìn)展鑒別. 防止用戶接入不合法的網(wǎng)絡(luò)或者偽造的網(wǎng)絡(luò)，解決了無線網(wǎng)絡(luò)接入中合法用戶接入合法網(wǎng)絡(luò)的問題.2. 3 遨游認(rèn)證平安和快速的認(rèn)證是實(shí)現(xiàn)無縫遨游切換的一個(gè)關(guān)鍵技術(shù)，由于WAPI 提供了基于證書和預(yù)共享密鑰的平安機(jī)制，但只做鏈路層認(rèn)證和加密，保護(hù)空中數(shù)據(jù)不被竊取或非法接入，因此需要在WAPI 國家標(biāo)準(zhǔn)的根底上進(jìn)展擴(kuò)展，疊加LDAP 或RAIDUS遨游認(rèn)證，解決WAPI 平安機(jī)制的

8、證書遨游認(rèn)證鑒別問題，提供一種基于WAPI 證書的遨游認(rèn)證鑒別.2. 4 遨游認(rèn)證中心的建立校區(qū)間假設(shè)沒有找到直接信任的用戶認(rèn)證，那么需要建立統(tǒng)一的遨游認(rèn)證中心，把遨游鑒別懇求發(fā)往遨游認(rèn)證中心，由遨游認(rèn)證中心交換存儲(chǔ)認(rèn)證證書或預(yù)置共享密鑰建立信任關(guān)系，遨游認(rèn)證中心再把遨游證書鑒別懇求發(fā)給歸屬地AS ( AuthenticationServer) 鑒權(quán)效勞器進(jìn)展證書鑒別，疊加LDAP 或RAIDUS 遨游認(rèn)證.2. 5 校際遨游系統(tǒng)架構(gòu)校際遨游系統(tǒng)架構(gòu)分2 種情況，第1 種情況是遨游學(xué)校認(rèn)證數(shù)據(jù)流和網(wǎng)絡(luò)數(shù)據(jù)流都返回歸屬學(xué)校，無需部署認(rèn)證中心，無結(jié)算和對(duì)帳，認(rèn)證記錄及統(tǒng)計(jì)記錄由各學(xué)校自己保存. 第

9、2 種是遨游學(xué)校認(rèn)證數(shù)據(jù)流到遨游中心認(rèn)證，網(wǎng)絡(luò)數(shù)據(jù)流從遨游學(xué)校出去.3 校際挪動(dòng)用戶遨游實(shí)現(xiàn)首先統(tǒng)一校際挪動(dòng)遨游的SSID，各高校按要求播送本校和校際挪動(dòng)遨游統(tǒng)一的SSID，接入校際挪動(dòng)遨游統(tǒng)一的SSID 接入將推送校際挪動(dòng)遨游的Portal 認(rèn)證頁面，校際挪動(dòng)遨游的Portal 認(rèn)證頁面統(tǒng)一進(jìn)展配置管理. 要求各高校無線控制器實(shí)現(xiàn)不同SSID 接入的用戶可以推送不同的Portal 頁面，控制器與Portal 系統(tǒng)的交互要滿足Portal 標(biāo)準(zhǔn).結(jié)合遨游學(xué)校和歸屬學(xué)校的網(wǎng)絡(luò)實(shí)際情況，分為2 種遨游實(shí)現(xiàn)情況，第1 種情況是在有鏈路鏈接的學(xué)校之間，遨游學(xué)校和歸屬學(xué)校AS 直接建立信任關(guān)系，遨游用戶

10、實(shí)現(xiàn)跨校遨游.步驟如下:無線用戶訪問互聯(lián)網(wǎng)，無線控制器AC 或AP網(wǎng)關(guān)向用戶發(fā)送鑒別激活;用戶發(fā)出鑒別懇求，懇求平安的可信接入;根據(jù)用戶接入的SSID 不同，重定向至不同登錄頁面，用戶接入無線遨游的SSID，推送Portal效勞器上統(tǒng)一的無線遨游認(rèn)證頁面;用戶點(diǎn)擊WAPI 證書申請(qǐng)的鏈接;遨游學(xué)校的AS 返回證書申請(qǐng)頁面，需要用戶使用用戶名和密碼登陸;用戶選擇歸屬學(xué)校，填寫用戶名和密碼，系統(tǒng)自動(dòng)在用戶輸入的賬號(hào)添加歸屬學(xué)校標(biāo)識(shí)的后綴;遨游學(xué)校的AS 記錄著其他建立信任關(guān)系的AS 地址，發(fā)送到歸屬學(xué)校的AS 驗(yàn)證;歸屬學(xué)校認(rèn)證平臺(tái)找LDAP 或RAIDUS 效勞器進(jìn)展認(rèn)證;LDAP 或RAIDU

11、S 效勞器返回用戶認(rèn)證成功信息;返回綁定用戶名與證書信息( 系統(tǒng)為每一個(gè)用戶和AP /AC 均下發(fā)一張證書，AS 再將其證書與自己生成的證書相綁定，這樣既可以保證CA 頒發(fā)證書，又可以順利完成遨游鑒別功能) ;11提供用戶證書下載鏈接;12用戶下載證書并安裝( WAPI 使用X. 509 證書，大小約為2K) ;13用戶接入使用互聯(lián)網(wǎng);14第一次安裝好證書后，用戶訪問互聯(lián)網(wǎng)業(yè)務(wù)以后都可免登陸認(rèn)證，無感知上網(wǎng).第2 種遨游情況的實(shí)現(xiàn)需要建立遨游中心AS，由遨游中心AS 負(fù)責(zé)中間各遨游學(xué)校AS 之間的遨游鑒別消息. 用戶實(shí)現(xiàn)遨游情況和第一種情況的步驟根本一樣，遨游中心的認(rèn)證平臺(tái)做LDAP /RAD

12、IUS PROXY，判斷用戶賬號(hào)攜帶的后綴名后將賬號(hào)以LDAP /RADIUS 認(rèn)證懇求包轉(zhuǎn)發(fā)給賬號(hào)后綴對(duì)應(yīng)的學(xué)校認(rèn)證效勞器，或者遨游中心的認(rèn)證平臺(tái)找學(xué)校的LDAP /RAIDUS 效勞器進(jìn)展認(rèn)證. 遨游中心的LDAP /RADIUS 認(rèn)證系統(tǒng)要維護(hù)一張賬號(hào)后綴與對(duì)應(yīng)學(xué)校認(rèn)證效勞器IP 的對(duì)應(yīng)表，實(shí)現(xiàn)根據(jù)后綴將賬號(hào)去后綴后轉(zhuǎn)向不同的學(xué)校認(rèn)證效勞器. 遨游用戶所屬學(xué)校認(rèn)證效勞器返回給遨游中心認(rèn)證平臺(tái)認(rèn)證結(jié)果，遨游中心認(rèn)證平臺(tái)將認(rèn)證結(jié)果返回給網(wǎng)關(guān)或無線控制器，控制器或認(rèn)證網(wǎng)關(guān)根據(jù)認(rèn)證結(jié)果控制用戶是否允許接入互聯(lián)網(wǎng)，假設(shè)認(rèn)證通過，認(rèn)證網(wǎng)關(guān)或無線控制器發(fā)送計(jì)費(fèi)開始包給遨游中心認(rèn)證計(jì)費(fèi)平臺(tái)，平臺(tái)轉(zhuǎn)發(fā)計(jì)費(fèi)

13、開始報(bào)文給用戶所屬學(xué)校的LDAP /RADIUS 系統(tǒng).用戶發(fā)出下線懇求后，認(rèn)證網(wǎng)關(guān)或無線控制器器發(fā)送網(wǎng)絡(luò)遨游完畢始包給遨游中心認(rèn)證審計(jì)平臺(tái)，同時(shí)傳遞用戶在線的時(shí)長及使用的信息給遨游中心平臺(tái)，并通過遨游中心平臺(tái)傳遞到用戶所在學(xué)校的LDAP / RADIUS 認(rèn)證效勞器.在遨游認(rèn)證中心系統(tǒng)上實(shí)驗(yàn)遨游認(rèn)證通過，截取到的遨游認(rèn)證日志，其中202. 38. 192. 182為遨游中心AS 的IP 地址，202. 116. 45. 253 為到我校遨游認(rèn)證AS 的IP 地址自2021 年9 月在廣東省3 所重點(diǎn)高校部署并試運(yùn)行后，高校師生即可在多個(gè)公共區(qū)域內(nèi)2 000余個(gè)無線接入點(diǎn)使用各校的有效賬號(hào)登陸實(shí)現(xiàn)跨校無線遨游，系統(tǒng)發(fā)放證書200 多份，總計(jì)有1 000 余次的使用量.跨校挪動(dòng)遨游的實(shí)現(xiàn)，極大地方便了各高校師生的跨校交流，得到了師生的一致好評(píng).4 結(jié)論跨校挪動(dòng)遨游系統(tǒng)先進(jìn)的挪動(dòng)性，增強(qiáng)與改善了現(xiàn)有高校的教學(xué)形