面向多認證系統的在線用戶統一管控平臺設計與實現

2020-05-11 11:43:41鄧國強韓穎錚

微型電腦應用 2020年1期

鄧國強韓穎錚

摘要：在校園網中同時部署多套上網認證系統并使用統一的賬號密碼是常見的上網認證部署方案。多套上網認證系統并存時如何對在線用戶進行統一管控、用戶上線軌跡追蹤和分析，以及如何對多套上網認證系統進行統一監控管理是當前校園網管理面臨的共同問題。對此設計和實現了一種面向多認證系統的統一在線用戶管控平臺，并在真實校園網環境中測試使用，測試結果驗證了平臺的有效性。

關鍵詞：多認證系統; 用戶統一管控; 校園網

中圖分類號： TP391.3 ? ? ?文獻標志碼： A

Desgn and mplementaton of Onlne User Unform Management and

Control Platform for Multple Authentcaton System

DENG Guoqang， HAN Yngzheng

（nformaton Network Engneerng and Research Center， South Chna Unversty of Technology， Guangzhou 510640）

Abstract： Deployng multple sets of onlne authentcaton systems and usng unfed account password management s a common soluton n campus networks for user authentcaton. How to conduct unfed management and control of onlne users， user onlne trackng and analyss， and how to conduct unfed montorng and management of multple authentcaton servers are common problems n campus network management when multple authentcaton systems are used together. A unform onlne user management platform for mult-authentcaton system s desgned and mplemented n ths paper， and the effectveness of the platform s verfed by deployng the platform n actual campus network.

Key words： Multple authentcaton system; User unform management; Campus network

0 引言

隨著教育信息技術成為高校教學的必要手段，校園網也成了高校建設和管理的必要基礎設施。為保證網絡安全，校園網通常采用認證上網技術進行用戶實名制管理[1]，主流的上網認證系統有H3C的MC[2]、銳捷的SAM[3]、華為的Controller[4]等。近年來，隨著校園網不斷升級改造、無線網絡全面覆蓋以及校區增建與兼并，校園網上網認證需求由單一化走向多樣化，校園網中不可避免地出現了多個廠商、多個認證系統、多種認證方式并存使用的情況[7-9]。為方便管理和使用，通常采用一套用戶賬號密碼系統與多套認證系統進行同步對接的方法，來實現用戶上網賬號和密碼的統一性，使得用戶無論在何時何地、何種方式接入網絡都可以采用同一套賬號密碼，簡化了管理流程并提升了用戶體驗[10-11]。然而在多套認證系統并存使用的情況下，統一賬號密碼系統只能管理靜態的用戶賬號基礎數據，無法對網絡接入認證用戶產生的動態數據進行統一收集和管控，這帶來管理上的困擾和新的網絡安全問題，例如，管理員要分別登陸到各上網認證系統上進行查詢再匯總，才能描繪出特定賬號的全部上網軌跡;同一個賬號可以同時在不同的上網認證系統管轄的接入網中認證上網，這導致無法保證用戶上網唯一性;無法對用戶上網進行統一管理和監控。為解決多套上網認證系統并用導致的各類問題，本文設計和實現了一種面向多認證系統的在線用戶統一管控平臺，在多套接入認證系統并用的情況下，通過統一管控方法解決了認證接入唯一性問題、實現了用戶上網策略統一管理和軌跡信息統一收集，最終實現對所有接入認證系上的在線用戶進行統一管控的目標。

1 系統整體設計

在線用戶統一管控平臺設計目標是構建整合多種上網認證系統，具備用戶策略集中管控和系統自身安全控制管理功能的統一管控平臺。為實現這些目標，提出以下設計原則：

1）實現用戶認證信息對接、用戶上網控制策略下發，同時集中收集上網認證系統的在線用戶列表、用戶上線與下線記錄數據，構建和維護完整的用戶在線狀態表、用網軌跡日志，并進行統一管控;

2）實現對多套不同的上網認證系統統一管理，監控認證系統運行狀態，這些上網認證系統可以來自不同的廠商、采用不同的認證協議;

3）不對現有網絡及認證計費的系統和結構有影響;

4）具備操作管理后臺、系統管理和角色權限管理功能。

基于以上原則，本文設計的在線用戶統一管控平臺根據依賴關系，自下而上可分為三層，即對接層、實現層和操作層，如圖1所示。

各個層功能描述如下：

對接層：實現與統一賬號數據中心的用戶基礎數據對接、與各上網認證系統的用戶在線數據對接、與各上網認證系統的撥測監控和策略下發等功能對接、日志采集;

實現層：整合對接層收集的數據，實現各項管理功能，包括操作員管理、系統管理、認證服務器管理、用戶基礎信息管理、在線用戶信息對接和管理、認證系統監控、消息管理和推送、黑名單策略和管理、工作臺。

操作層：實現管理操作、審計界面以及告警和通知推送。

1.1 用戶基礎數據對接

用戶基礎數據來自于學校用戶身份權威數據源--統一賬號數據中心，用于用戶身份的鑒別和認證。通過對接語法，實現對用戶數據中的學工號、姓名、用戶類型、所屬學院/部門、授權上網范圍、在校標記信息進行定期同步拉取。平臺對接接口支持用LDAP、RADUS協議或者portal方式，絕大部分統一賬號管理系統都至少支持這三種接口中的一種。

1.2 用戶在線數據對接

平臺通過RADUS接口協議獲取上網認證系統的用戶在線數據。用戶在線數據包括用戶的在線狀態、上下線時間、用網位置、下線原因、日志等。平臺采用RADUS協議與上網認證系統對接，不需要上網認證系統和計費系統做出調整，而且即使平臺發生故障無法正常運行，各上網認證系統也可以不受影響繼續正常運行。由于RADUS協議簡單明確，可擴展性強，H3C、銳捷、華為、城市熱點等主流的上網認證服務系統均支持開源RADUS接口。

1.3 功能對接

平臺通過RADUS接口協議向上網認證系統下發管控指令，以實現撥測監控、策略下發、消息推送、用戶上下線控制等功能。其中，撥測監控是指通過采用上網認證系統的登錄賬號和密碼，對各上網認證服務器監控進行自動化模擬登錄，以驗證上網認證服務是否正常。當登錄失敗次數超過預制閾值時，自動觸發告警，撥測監控功能可以有效對認證系統服務器的“假死”狀態進行準確判斷和告警。

1.4 在線用戶管理

在線用戶管理模塊對各上網認證系統的在線用戶進行集中信息收集和管理，對在線用戶進行實時查詢檢索，上線下線控制，消息下發，準入日志查詢、同時在線查詢等功能。

1.5 認證服務器管理

通過上網認證服務器管理模塊，可以自定義對各類常用的認證系統進行添加、查看、編輯和刪除操作，同時可以設置各個認證系統數據源的參數設置，包括AP接口、更新頻率、監控頻率、異常超時次數、啟用停用等。

1.6 用戶上網服務策略管理

該模塊實現了根據用戶類型或用戶購買的套餐實施對應的用戶上網差異化服務功能，策略細分為時間段策略、區域策略、流量閾值等，針對具有違規行為的用戶實施黑名單策略。通過策略的自動匹配，自動生成本地用戶策略清單自動同步到各上網認證系統上，實現用戶準入準出控制的目的。

1.7 日志留存管理

實現對系統的各類操作日志、監控日志、黑名單變更日志、流量用量日志、用戶準入日志等進行留存和檢索管理，幫助運維團隊進行日志分析，更快地分析出用戶準入問題。

1.8 平臺權限控制

該模塊根據不同的管理角色，進行功能授權控制，根據角色擁有權限，授予管理員對在各個認證系統和各個區域上的數據進行管理，實現片區化運維管理。

2 平臺功能實現

考慮開發的便捷性和使用方便，系統采用B/S架構[12]，制定如下開發運行環境：Wndows 2012 R2 企業版版本操作系統，Mcrosoft SQL Server 2012版本數據庫，S 8.0版本，采用.NET框架，基于Mcrosoft .NET Framework 4.0版本。下面分別闡述各個關鍵模塊的功能實現。

本文實現選擇了LDAP輕量目錄訪問協議實現本系統與中央統一認證系統的用戶資源數據對接，LDAP協議的優勢在于跨平臺、標準化、易實現易維護、讀取性能佳等。

用戶用網數據與管控對接接口采用開源RADUS。以銳捷SAM認證系統為例，通過廠家提供的第三方開發接口開發包，利用多線程（mult-thread）技術實現在線用戶用網數據的實時拉取，并基于統一的數據標準進行數據轉換，然后再與用戶基礎數據進行合并，如圖2所示。

在上網認證服務器管理方面，通過各認證系統的標準化webservce接口，進行重新封裝，通過接口獲取各服務器的底層認證數據。服務器管理界面如圖3所示。

服務器監控界面可以統一地監控和展示多個認證服務器的運行情況，如圖4所示。

同一賬號在多處同時在線被視為違規行為，以下是在平臺上檢索有這種違規行為的賬號并進行相關處理的管理場景：

（1）在平臺上檢索違規用戶，如圖5所示。

（2）對違規賬號進行批量發送警告信息后，再進行批量下線操作，如圖6所示。

通過黑名單策略可以對違規賬號進行禁止登陸管制，管理界面如圖7所示。

平臺管理權限控制設計如圖8所示。

系統可以根據各種功能模塊和特定操作設定權限，然后根據具體運維情況進行角色劃分，并把權限劃分到各種角色中，如一線運維人員、二線運維人員、運維管理員角色等。然后把具體操作員用戶設定到某種角色中，從而實現操作員的權限控制。

3 系統測試和應用

在真實校園網環境中部署了本文設計和開發的在線用戶統一管控平臺，對接的網絡認證系統包括了H3C的MC認證系統和銳捷的sam認證系統。實際運行的在線用戶管控平臺前端界面，如圖9所示。

平臺部署后，通過測試驗證了對不同認證系統上的校園網賬戶進行實時統一監測，并對異常上線的用戶進行監控、預警和控制，降低了異常接入用戶對校園網的影響，保證了校園網穩定運行。

4 總結

本文為解決校園網中的多套上網認證系統并存使用時如何對在線用戶進行統一監控和管理的問題，設計和實現了一個在線用戶統一管控平臺。在已有的校園網環境下進行平臺部署和測試，與多套認證系統進行了對接，運行測試結果表明，本文提出的平臺實現了對在線用戶的統一管理和對多認證服務器的統一監控，提升了校園網網絡安全管理效率。基于本平臺收集的數據可以進一步開展有較高實用價值的大數據分析研究，比如用戶軌跡分析、賬號安全分析等。

參考文獻

[1] 楊海鵬，韓強. 高校網絡實名制管理研究[J]. 吉林工程技術師范學院學報， 2018，34（1）：78-80.

[2] 崔治文，周艷瓊. 基于802.1X+portal校園網認證的原理與應用[J]. 信息通信， 2016（11）：155-156.

[3] 姜建秋，李軍.一種基于SAM+的極簡網絡設計與實現[J].青島大學學報（自然科學版），2018，31（3）：69-73.

[4] 葛雙豪. 基于SDN的Agle Controller網絡管理系統設計與實現[D].南京大學，2019.

[5] 楊玲.高校無線校園網的建設和安全管理[J].網絡空間安全，2018，9（11）：88-92.

[6] 喻鋆.建設無線校園網[J].網絡安全和信息化，2017（10）：61-62.

[7] 楊朋.高校有線無線一體化網絡認證實現方式研究[J].網絡安全技術與應用，2019（1）：65.

[8] 牛建濤. 支持多認證協議的統一認證系統研究[D].西安：西北大學，2008.

[9] 汪翔.高校“三多模式”WLAN業務網絡分流建設模式[J].電信工程技術與標準化，2013，26（10）：11-15.

[10] 方蓓. 多種接入方式下的統一身份認證設計與實現[D].昆明：云南大學，2011.

[11] 沈達峰.校園網多區域用戶接入認證技術的研究[J].淮陰工學院學報，2016，25（5）：10-14.