圖書館無線網絡認證系統的研究與實現

鐘 明 錢 慶 方 安

(中國醫學科學院醫學信息研究所 北京 100020)

?

圖書館無線網絡認證系統的研究與實現

鐘 明 錢 慶 方 安

(中國醫學科學院醫學信息研究所 北京 100020)

介紹中國醫學科學院圖書館無線局域網的使用現狀，指出無線網絡管理存在的問題，分析圖書館無線網絡認證系統的功能需求，詳細闡述該網絡認證系統的設計和實現，最后對新的圖書館無線網絡認證系統的使用情況進行總結和展望。

無線網絡；Web認證；圖書館管理系統；輕量目錄訪問協議

1 引言

無線技術、計算機技術及通信技術在過去十幾年的進步使無線網絡的發展日新月異、突飛猛進，無線設備層出不窮，無線接入漸成主流，無線網絡已成為國內外最為活躍的研究領域之一。無線局域網(Wireless Local Area Network，WLAN)是指以無線信道作為傳輸媒介并且支持用戶終端移動的數據傳輸系統。相對于傳統的有線局域網，無線局域網具有移動性、部署方便、靈活性和成本低等優點[1]，被越來越廣泛地使用。中國醫學科學院圖書館(簡稱醫科院圖書館)在2008年搭建了圖書館無線局域網為讀者提供無線網絡服務，讀者可以使用筆記本電腦、手機、iPad等移動設備在圖書館內任意位置查閱圖書館的各種網絡信息資源，圖書館館員也可以隨時利用無線網絡進行各項業務工作。然而，由于無線局域網使用無線電波傳播數據，任何WLAN終端只要在AP(Access Point)信號覆蓋的范圍內都可以訪問無線網絡，所以無線局域網在為圖書館的館員和讀者帶來便利的同時，也不可避免地出現了數據安全和用戶管理問題。

目前，醫科院圖書館使用H3C公司的無線網絡接入控制器(Access Controller，AC)和智能管理中心軟件(intelligent Management Center，iMC)來解決無線網絡下無線設備管理、用戶接入認證和用戶管理等問題。經過一段時間使用后，發現該系統出現用戶許可證數目限制、用戶管理不便等問題，并且無法和圖書館管理系統的用戶庫相匹配，導致圖書館用戶信息不統一。為了解決上述問題，基于城市熱點無線網絡認證方案設計新系統，替換H3C無線網絡系統中的用戶接入認證和用戶管理部分，并與圖書館管理系統的用戶庫進行對接，完成醫科院圖書館無線網絡用戶認證和管理的功能。

2 無線網絡接入認證技術應用現狀

2.1 無線網絡用戶認證技術

無線網絡管理中最重要的技術之一，移動終端在物理上很容易接入無線網絡，所以必須采用接入認證技術來識別接入無線網絡的用戶身份，保證授權合法用戶訪問被允許的網絡資源。目前，國內外使用最普遍的接入認證技術有3種，即PPPoE認證、802.1x認證和Web認證，這3種認證技術都可以使用用戶名+密碼的認證方式應用到無線網絡中。

2.2 PPPoE

Point-to-Point Protocol over Ethernet(PPPoE)，即在以太網上承載點對點協議，使以太網中的大量主機通過遠端接入設備連入因特網，并且遠端接入設備能夠對接入的每一臺主機進行控制和計費。PPPoE認證方式是傳統的PSTN窄帶撥號接入技術在以太網接入技術上的延伸，不僅有以太網快速、簡便的優點，而且和原有窄帶網絡用戶接入認證體系一致，用戶認證速度快，計費方式靈活，主要用于電信運營商的ADSL業務中。

2.3 802.1x

由IEEE制定的基于端口的網絡訪問控制協議，應用有線局域網交換機和無線局域網接入點對接入用戶進行認證。該認證技術采用客戶端/服務器模式，客戶端必須運行遵循802.1x標準協議的認證軟件，通過與認證服務器進行加密信息交互，完成安全高效的認證與授權。802.1x認證實現簡單，單點故障出現概率小，對設備的整體性能要求不高，既方便開展組播業務，又節省了建網成本[2]；并且基于端口的方式將認證和業務分開，傳輸效率高。該方式主要用于用戶比較少的網絡中。

2.4 Web認證

一種業務類型的認證方式，利用Web頁面進行接入認證。該認證技術首先為用戶分配一個IP地址，用于訪問允許的站點；如果用戶訪問受限網絡資源，認證節點強制用戶登錄到認證服務器站點進行認證，認證通過后為用戶分配一個可以訪問外網的IP地址。

2.5 3種認證技術的比較[3](表1)

與PPPoE和802.1x相比，Web認證主要有如下優點：(1)不需要安裝客戶端軟件，用戶使用瀏覽器或其他軟件彈出的Web頁面即可以進行接入認證，操作簡單，同時降低了網絡維護的工作量，比較適合圖書館等公共場所使用。(2)采用全3層處理，能夠跨越多個網絡，具有很好的靈活性，特別適合于有多個獨立無線網絡區域的圖書館。(3)允許大規模用戶接入，可以提供高密度用戶接入的解決方案，集中管理，保證服務質量。(4)兼容性好，應用業務擴展性強，其認證服務器可以進行業務推送。因此醫科院圖書館選擇采用Web認證技術對無線網絡用戶進行接入認證。

表1 3種認證技術的比較

3 醫科院圖書館無線網絡認證系統需求分析

3.1 無線網絡管理存在的問題

目前，醫科院圖書館已經利用H3C公司的無線網絡接入控制器WX5002和智能管理中心軟件iMC3.0實現了圖書館無線網絡的設備管理、用戶接入認證和用戶管理，其中無線認證采用Web認證。但隨著無線網絡用戶數量的增加，目前的Web認證系統已經不能滿足圖書館的無線網絡管理需要，主要存在以下問題：(1)注冊用戶數量限制。由于購買的iMC許可證數有限，于是設置了允許多人同時在線的test賬號供無線用戶使用，由此導致了非法用戶蹭網的現象。(2)無線用戶的注冊和審核工作量大。如果為每個用戶注冊無線認證賬號，則需要管理員人工確認每個注冊用戶的身份信息。(3)不能和圖書館管理系統的用戶庫相關聯，造成圖書館用戶信息不統一。(4)管理員無法監控用戶上網行為。認證系統中沒有用戶上網行為管理功能，只能靠IP地址和MAC地址區分用戶，如果出現惡意下載、網絡泄密等違法現象，管理員不能有效地追根溯源。(5)用戶體驗較差。使用手機登錄認證頁面時登錄窗過小，不方便輸入用戶名和密碼；認證頁面顏色對比度較低，看不清登錄按鈕；使用手機認證接入無線網絡時偶爾掉線。

3.2 無線網絡認證系統功能需求

為了解決目前無線網絡的管理問題，需要選擇合理的圖書館無線網絡認證方案，使其能夠取代原有的Web認證系統。圖書館無線網絡認證系統的功能需求有如下幾點：(1)低成本解決無線網絡用戶管理和認證問題，盡量減少購買硬件、軟件和許可證數，保證圖書館網絡管理的完整性和可靠性。(2)使用Web認證，并且不改變用戶認證過程和上網流程。(3)利用圖書館管理系統的用戶庫自動完成用戶的注冊審核，降低管理員的工作量。(4)具有上網行為管理功能，對無線網絡用戶訪問流量進行記錄和控制，保證用戶對圖書館無線網絡的合理使用。(5)優化無線網絡認證頁面和Web認證功能，保證各種移動設備、各種瀏覽器的兼容性，使得用戶體驗良好。(6)提供基于Web頁面的認證服務器管理功能，方便管理員進行無線網絡服務策略配置、用戶在線信息查看、用戶使用量統計等操作。

4 醫科院圖書館無線網絡認證系統設計與實現

4.1 無線網絡認證系統功能模塊劃分

圖書館無線網絡認證系統是多個功能模塊集成的分布式系統，其功能模塊的劃分和模塊間的關系，見圖1。

圖1 圖書館無線網絡認證系統功能模塊劃分

圖書館無線網絡認證系統主要分為3大部分：無線認證服務器模塊、用戶注冊模塊和認證系統管理模塊。其中無線認證服務器模塊是圖書館無線網絡認證系統的核心，負責處理無線用戶的接入認證請求，包括身份認證模塊、流量記賬模塊和訪問控制模塊[4]；用戶注冊模塊實現無線網絡認證系統與圖書館管理系統的輕量目錄訪問協議(Lightweight Direetony Access Protocol, LDAP)數據庫對接，完成自動審核無線用戶注冊信息的工作；認證系統管理模塊負責對圖書館無線網絡認證系統進行Web管理，包括配置無線網絡認證服務器、管理無線用戶賬號和控制上網流量等。

4.2 無線認證服務器模塊設計

無線認證服務器模塊用來實現對所有經由無線接入控制器WX5002進入的無線網絡用戶進行身份驗證、流量記賬和訪問控制，主要完成Web認證的過程。Web認證主要由認證客戶端、無線接入點、無線接入控制器、Portal服務器和認證/計費服務器等幾部分構成，其中Portal服務器提供免費站點服務和認證頁面，認證/計費服務器通常由RADIUS服務器承擔。WLAN Web認證流程，見圖2。WLAN用戶終端連接到無線服務并訪問網站后，經過AC重定向到Portal服務器；Portal服務器向用戶推送統一的認證頁面；用戶在認證頁面輸入用戶名、密碼，向Portal服務器發送連接請求；Portal服務器向RADIUS服務器發送用戶信息查詢請求，由RADIUS服務器進行用戶合法性校驗并向Portal服務器返回查詢到的用戶信息及系統設置的用戶上網時長等信息；如果查詢成功，Portal服務器與AC進行Challenge報文交互；交互完成后，Portal服務器向AC請求認證，AC攜帶用戶名和密碼向RADIUS服務器發起認證；若認證成功，AC將認證結果發至 Portal服務器，Portal服務器推送出定制的門戶頁面[5]。

圖2 WLAN Web認證流程

Web認證具有很好的兼容性和業務擴展性，其認證服務器支持頁面定制和業務推送。為了展示醫科院圖書館無線認證方案的特色，本著功能簡單易用、用戶體驗良好的原則設計了無線網絡的認證頁面，見圖3。該頁面整體以淡藍色為主色調，中間的登錄框以動感時尚的圖案做背景，突顯出具有文字描述的主窗口。主窗口部分，考慮到手機屏幕輸入用戶名和密碼的方便性，設計了較大尺寸的輸入框和按鈕；登錄窗和注銷窗的文字描述和按鈕采用中英文結合的方式，方便外籍讀者使用。對認證成功后的推送頁面進行分類設計：如果用戶在瀏覽器中輸入認證服務器的IP地址，認證成功后，Portal服務器將推送醫學信息研究所/圖書館網站首頁；如果用戶輸入其余網址，認證成功后跳轉到之前輸入的網址。用戶認證成功后就可以使用圖書館無線網絡提供的各類服務。無線認證服務器將用戶訪問記錄以寫文件的方式存儲到數據庫服務器硬盤里，在訪問記錄中可以隨時查詢到用戶名、登錄訪問時間、在線人數、總使用時間、目標網址、目標IP、目標端口、源IP、源MAC地址等信息。

圖3 圖書館無線網絡統一認證頁面

4.3 用戶注冊模塊設計

用戶注冊模塊采用統一身份認證方式，利用圖書館管理系統的用戶庫進行無線網絡用戶的身份認證。醫科院圖書館使用的圖書館管理系統為匯文系統，該系統內部包含LDAP用戶信息庫，其中存放了用戶uid、password等個人信息。用戶注冊模塊通過對圖書館管理系統進行二次開發得到LDAP驗證模塊，完成與無線認證服務器模塊的交互。LDAP認證的通信過程，見圖4。

圖4 LDAP認證的通信過程

當無線用戶在無線網絡認證頁面輸入圖書館管理系統的讀者證號和密碼后，無線認證服務器模塊通過LDAP驗證模塊向LDAP服務器發出驗證查詢請求；經過連接、綁定、檢索等操作后，LDAP服務器將檢索結果送回LDAP驗證模塊；無線認證服務器模塊根據LDAP驗證模塊返回的驗證結果，允許或禁止用戶身份認證的通過。

LDAP驗證模塊采用LdapAuth組件實現，包含了以下主要功能[6]：LdapAuth.SetLdapIP(“192.168.0.1”)——初始化LDAP服務器的IP地址；LdapAuth.LdapInitPort(389)——初始化LDAP服務器的端口；LdapAuth.LdapSearch(“o=isp”, “uid=T0004”)——查找讀者證號為T0004的讀者；Dn=LdapAuth.GetEntryDN——得到讀者證號為T0004的讀者的DN；LdapAuth.AuthUser(User Password, Dn)——檢查該用戶的合法性；Lda-pAuth.LdapFree——釋放相關資源。

無線認證服務器模塊通過調用LdapAuth組件，驗證用戶名與密碼的合法性。如果驗證通過，則用戶可以接入無線網絡，同時用MD5算法對用戶的密碼進行散列，并在本地系統中保存備份，以便用戶下次接入無線網絡時直接在認證系統數據庫中進行身份驗證；如果匯文系統中讀者的密碼有變化，那么讀者下次登錄時在本地認證系統數據庫中身份驗證失敗，需要繼續通過LDAP驗證模塊向匯文用戶信息庫發起檢索請求，如果驗證通過，則用戶可以接入無線網絡，并更新本地認證系統數據庫中的用戶信息。這樣的機制使得認證系統數據庫中的用戶信息與匯文系統用戶庫中的讀者信息保持同步，節省了無線認證的時間，而且在匯文系統出現網絡故障時，用戶也可以順利進行無線認證。

4.4 認證系統管理模塊設計

為了對圖書館無線網絡認證系統進行Web管理，本文搭建了認證服務器的Web管理系統，其設計參考已有的成熟的認證計費管理系統，包括用戶管理、策略管理、設備管理、查詢統計、系統配置等模塊。用戶管理模塊包括用戶查詢和業務受理功能，認證成功的無線網絡用戶在該系統中有賬號記錄，管理員可以查看這些賬號的在線狀態并為其修改個人信息和銷戶；對于特殊用戶，比如臨時入館維修設備的工程師，可以在該系統中人工為其開通無線賬號。策略管理模塊完成帶寬組、時段控制策略、目標地址帶寬策略的配置，實現對用戶或用戶組的流量控制和時段控制。查詢統計模塊包括上網詳單和認證日志的查詢，用戶詳細資料和可用狀態的查詢，使用時長、使用流量、登錄時段分別對應的戶數分布的查詢。

4.5 無線網絡認證系統功能流程(圖5)

圖5 圖書館無線網絡認證系統工作流程

4.6 無線網絡認證系統實現

醫科院圖書館無線網絡認證系統是基于城市熱點無線認證方案實現的，該系統由Dr.COM 2166 B-RAS認證計費服務器、Dr.COM Billingware管理平臺服務器、日志服務器組成，并與H3C無線控制器WX5002、圖書館管理系統LDAP服務器共同組成醫科院圖書館新的無線網絡Web認證運行環境，以實現網絡監控、用戶管理、策略配置、統計輸出報表、互聯網訪問記錄存儲等業務功能。該系統的拓撲圖，見圖6。Dr.COM 2166 B-RAS設備安裝在無線控制器和信息所核心交換機之間，將信息所AP的IP地址段、2166 B-RAS設備IP所在網段、信息所無線用戶IP地址段設置成直通，實現只對圖書館的所有無線終端進行Web認證。用戶的訪問記錄由Dr.COM2166 B-RAS設備寫入日志服務器。

圖6 醫科院圖書館無線認證系統拓撲圖

5 結語

醫科院圖書館無線網絡認證系統是基于城市熱點無線認證解決方案完成的，取代了原有H3C無線網絡認證系統的功能。該方案采用成熟先進的軟硬件系統，具有與主流廠家接入設備良好的兼容性，直觀易用的Web管理界面和完善的用戶訪問日志，有效解決了用戶授權訪問和上網行為管理的問題。

圖書館無線網絡認證系統的用戶注冊模塊通過LDAP機制將圖書館管理系統和無線網絡認證系統統一起來，圖書館管理系統的合法用戶在認證時可以自動通過審核成為圖書館無線網絡用戶，既簡化了管理員的維護工作，又保證了無線網絡認證系統用戶的獨立性。同時，該系統可以對用戶進行分級管理，通過在圖形化的Web管理系統中配置無線網絡服務策略，設定不同用戶的訪問時間和訪問流量，保證圖書館無線網絡的合理利用。該系統已經穩定運行5個多月，系統功能完全達到預期要求，有注冊用戶數6 000多人，每天訪問量200多人次，同時在線近百人次。目前日志服務器中的訪問日志是以記賬形式存在的，下一步還需要開發日志分析工具，根據訪問時間、目標地址快速查找對應的賬號信息及所在的交換機端口，以便更好的進行用戶上網行為管理。

1 Mattbew S.Gast著，O’Reilly Taiwan公司編譯. 802.11無線網絡權威指南[M]. 第2版. 南京：東南大學出版社，2007：13-23.

2 高亞軍. 基于接入交換機的Web認證研究與實現[D]. 廣州：華南理工大學，2013.

3 肖義. 3種接入認證技術的淺析與比較[J]. 光通信研究，2006，(3)：25-28.

4 耶健，李丹，閆曉弟，等. 圖書館無線網絡統一認證系統的研究與實現[J]. 現代圖書情報技術，2012，(7)：121-126.

5 龍滔. 集中式WLAN架構下AP和Station管理的設計與實現[D]. 廣州：華南理工大學，2011.

6 常潘，沈富可. 基于LDAP的校園網統一身份認證的實現[J]. 計算機工程，2007，33(5)：281-283.

Research and Implementation of the Library WLAN Authentication System

ZHONG Ming, QIAN Qing, FANG An,

Institute of Medical Information, Chinese Academy of Medical Sciences, Beijing 100020, China

The paper introduces the current use of Wireless Local Area Networks (WLAN) in the library of Chinese Academy of Medical Sciences, points out problems existing in WLAN management, analyzes the functional demands of the library WLAN authentication system, elaborates the design and implementation of the system, summarizes the use of the new library WLAN authentication system and indicates its prospects.

WLAN; Web authentication; Library management system; LDAP

2015-11-09

鐘明，碩士，實習研究員。

R-056

A 〔DOI〕10.3969/j.issn.1673-6036.2015.12.009