校際無線漫游認證研究

鄭家淼

摘 要：近幾年，無線網絡迅速發展并已趨于成熟。在學校交流越發頻繁的今天，伴隨著學術研討和開放式大學的建設，校園無線網絡支持跨校認證的需求越發強烈。本課題在RADIUS代理基礎上實現跨校認證平臺，結合多所高校自身無線網絡認證的建設情況，集成跨校認證和各高校內部無線認證，實現跨校認證接入外校無線網絡，避免了異地認證的繁瑣，簡化了業務流程。

關鍵詞：無線網絡；漫游認證；RADIUS代理；城域網

1 研究背景及意義

隨著各高校自身無線網絡建設的逐步完成，在校師生對無線網絡的使用越發頻繁，人們對無線網絡的認知度與依賴性逐漸加強。大多數高校建立無線校園網是為了解決公共區域的上網問題。而這些區域的校外用戶較多，對移動上網的需求更加迫切。顯而易見，因安全考慮設置的屏障，使這些校外用戶無法使用無線網，一定程度上違背了學校在公共區域建設無線網的初衷[1]。通過統一身份認證來開放無線網絡訪問權限進而共享校園網絡資源。這將為高校其他教育資源的共享奠定基礎，成為全面資源共享的重要契機。無線網絡可以成為組建高校聯盟的原動力。

2 關鍵技術

與本地認證相同，漫游認證也需要借助于RADIUS協議來進行用戶的身份確認。實現漫游認證功能的技術核心是依靠RADIUS代理機制，完成不同認證服務器間的數據轉發。RADIUS代理的轉發流程如圖1所示。

經過調研分析發現，目前主流無線產品都能較好的支持中國移動Portal協議標準[2]。并且使用Web Portal的認證方式能夠擺脫客戶端軟件對用戶和移動設備的限制，大大降低網絡管理人員在客戶端軟件方面的維護量。因此，在實現校際無線漫游認證聯盟的過程中，主要采用了RADIUS代理和Web Portal兩種關鍵技術。

3 設計實現

校際無線漫游認證聯盟借助城域網的數據傳輸能力，通過構建漫游認證中心來提供RADIUS代理與Web Portal頁面登錄服務。漫游認證中心的RADIUS代理服務器主要用于存儲各單位認證服務器信息以及進行相應的認證數據轉發工作。用戶在進行漫游認證登陸時，通過登陸頁面填寫用戶名和密碼信息。用戶的身份描述采用“uid@realm”的方式，其中“uid”是用戶在其本地認證機構的登記名稱，“realm”是用戶所在單位的機構名稱。

以高校B用戶到高校A進行漫游認證登陸為例，漫游認證過程如圖2所示。首先該用戶接入高校A的無線網絡，通過網關設備獲取到漫游中心Portal服務器推送的登陸頁面。在登陸頁面提交“uid@realm”形式的信息后，網絡設備會將該信息進行封裝并以RADIUS協議形式提交給漫游認證中心的RADIUS代理服務器。RADIUS代理服務器通過查詢各認證機構的信息，最終將該認證報文轉發到高校B的AAA服務器。在轉發過程中RADIUS代理服務器會將“uid@realm”中的機構信息“realm”去掉，只保留用戶的“uid”。因為只有這樣高校B的AAA服務器才能正確處理該用戶的認證請求。高校B的認證系統將“認證通過”或“認證失敗”的信息，經由RADIUS代理服務器原路返回至高校A的網關設備。網關設備根據該返回信息對用戶進行“放行”或“拒絕”。

4 安全性研究

在整個認證過程中，用戶的密碼僅僅在用戶本地進行明文處理，離開用戶終端后的RADIUS協議中都是經過加密處理的密文信息，因此整個認證過程是相對安全的。由于漫游架構的提出，使用戶數據必須通過城域網傳遞到遠端。在保證本地系統安全的同時，也需要保護用戶數據在城域網上傳遞的安全與穩定。MPLS VPN[3]技術便很適合用于在城域網級別來處理類似問題。通過將認證信息特有的地址和端口進行標記，使用戶數據在固定的MPLS VPN通道中交互。在MPLS VPN中通信的主機甚至可以使用私有地址。使用該技術可以將漫游認證信息與其他城域網信息進行隔離。不法分子想要通過城域網攻擊認證服務器的難度將大大增加。使用此種方式既保證用戶信息的私密性，又能通過QoS調度策略來實現認證數據通信的穩定性和高可用性。

無線網絡相對開放的使用環境導致其安全問題尤為凸顯。為了在安全問題發生后及時追溯到責任人，認證系統就起到了至關重要的作用。在實際使用過程中發現，漫游認證中心可以記錄全部漫游認證信息，但是大部分單位的園區網絡在提供漫游用戶訪問互聯網時，往往會使用NAT等技術手段來處理用戶IP地址。當用戶的實際使用IP經過NAT處理后，就很難通過漫游認證信息來追查到該IP的具體使用者了，因為產生安全問題記錄的公網IP地址可能指向了多個漫游認證用戶。

為了實現對漫游用戶的溯源，需要在用戶認證過程中對用戶的認證地址進行修改，將用戶設備獲取到的實際IP封裝到認證的RADIUS請求報文中。此時漫游認證中心的RADIUS代理服務器就能夠記錄下，包含每個漫游用戶實際使用IP地址的認證信息。再配合各單位出口的NAT日志就能夠實現完整的漫游用戶溯源功能。

5 總結

從總體來看，無線網絡和漫游認證尚屬新鮮事物。隨著無線網絡的發展以及用網需求的不斷提升，漫游認證的應用范圍將會越來越廣泛。未來使用過程中，整個漫游認證體系在認證協議、認證記錄和管理手段等多個層面還存在著許多問題需要不斷優化。完善的漫游認證將會使網絡更加開放，使用戶更加高效、便捷地共享網絡資源。

參考文獻

[1]中國教育網絡.無線聯盟初露端倪[J].中國教育網絡，2006，（4）：9-10.

[2]中國移動通信.中國移動WLAN業務Portal協議規范[S].中國移動通信企業標準，2008

[3]陳雪非，黃河，李蓬.MPLS VPN關鍵技術研究[J].計算機工程與設計，2007，（13）：3138～3140，3150.