基礎教育城域網實名認證系統應用研究

白駿烈 陳適

摘 ?要 鑒于原有認證系統難以有效滿足需求，在原有認證系統的基礎上進行重新設計開發，以實現通過統一賬號進行用戶與設備管理的有線無線一體化統一認證。本認證系統的開發與應用對其他地區具有一定的借鑒意義。

關鍵詞 教育信息化;云平臺認證系統;教育城域網;無感知認證;泛在學習

中圖分類號：G434 ? ?文獻標識碼：B

文章編號：1671-489X（2020）11-0020-03

1 前言

2015年，浙江省教育廳提出建設無線城域網，為師生泛在學習提供基礎環境保障。溫州市甌海區提前三年就完成了教育無線城域網建設，基本實現覆蓋全區所有學校的主要教學和辦公場所。溫州市甌海區的無線城域網建設以“頂層設計、統一標準、分步實施”為原則，以“實名認證、集中管理、無線漫游”為目標，以“強中心，弱學校”為思路。通過區級層面部署認證系統實現用戶準出認證，解決用戶實名上網的認證管理要求。2018年，網絡安全法和網絡等級保護2.0制度對城域網用戶認證和日志管理提出新的要求，原來的認證系統已不能很好地滿足需求，主要體現為用戶設備指紋（如MAC地址）無法自動獲取、用戶無法實現自主管理、有線設備無法管控、用戶設備無法無感知使用等。為此，溫州市甌海區決定在原有認證系統的基礎上進行重新設計開發，以實現通過統一賬號進行用戶與設備管理的有線無線一體化統一認證。本認證系統的開發與應用對其他地區具有一定的借鑒意義。

2 認證系統的設計框架

設計系統框架 ?本系統實現有線無線一體化統一認證，采用Web Portal認證方式，在不安裝C/S端程序的情況下跨三層獲取設備指紋信息，同時將設備、賬號、用戶、日志等進行關聯，最終實現用戶無感知認證的優秀體驗，如圖1所示。

確定開發原則

1）云平臺緊密結合。2019年，溫州市甌海區完成“智慧教育云平臺V 2.0”建設，實現云平臺各類應用的統一組織、統一用戶、統一標準和統一入口，實現平臺內各類應用數據互聯互通。認證系統將與云平臺緊密結合，成為云平臺的一個功能模塊，用戶使用唯一的云平臺賬號實現設備注冊、認證和管理，提升使用體驗。

2）實現用戶自主管理。平臺根據組織層級分三級管理模式進行開發設計：個人用戶通過系統進行自主設備管理和上網記錄查看;學校管理員對本校用戶進行集中管理和上網行為統計分析;區級管理員對用戶的上線信息、身份分組、權限分組、系統日志、接口賬號、統計分析等進行全面管理。

3）實現無感知認證。無感知認證是指用戶設備進入教育城域網環境，認證系統能自動識別設備的歸屬用戶并進行自動認證，減少用戶輸入用戶名和密碼的步驟。此項功能為認證系統開發的亮點和難點。

明確設計要求 ?一體化認證系統設計采用“三方聯動”實現，部署在城域網骨干網絡節點。本系統不改變學校原有網絡結構，實現改動最小化、效益最大化。系統明確采用云平臺認證系統進行用戶控制，采用迪訊CNS系統進行DDI準入控制，采用深信服AC進行上網行為準出控制，三方進行有效聯動，完成對入網設備、用戶信息、上網日志的統一管理。

3 認證系統的開發思路

認證系統設計難度大，聯動方式復雜，涉及多方系統的數據通信、數據接口、數據傳輸和加密等多個敏感性問題，必須確定嚴謹的開發思路，以確保在安全性、穩定性和有效性上得到最大保障。

確定三方聯動模式 ?選擇采用松耦合的模式設計認證系統體系，確定云平臺認證系統為核心系統，迪訊CNS和深信服AC相互之間不進行直接通信，這樣既可以避免多方交叉通信引起數據同步問題，又可以減少三方開發的人員多方協調，縮短開發時間。

1）云平臺認證系統與迪訊CNS聯動完成準入授權，如圖2所示。用戶新設備首次進入教育城域網，由迪訊CNS系統對該設備進行準入授權操作，迪訊CNS分給該設備一個隔離區的IP，在ACL的訪問控制限制下，該設備此時只能和迪訊CNS進行通信，避免非法接入用戶對城域網內其他設備產生影響。

用戶通過Web Portal頁面向迪訊CNS提交用戶名、密碼，迪訊CNS向云平臺認證系統進行身份驗證，成功后雙方會將用戶標識ID、設備MAC、設備OS、設備類型等信息各自寫入本地庫，完成授權操作。

設備授權成功后，迪訊CNS會在很短的時間內重新發放正常區IP給用戶設備（此后該設備再次入網將直接分配正常區IP，無須重復授權），同時會通知云平臺認證系統，該設備正在進行CNS上線操作，雙方將該設備確定為CNS在線狀態。

在設備DHCP租期到期時，若設備沒有進行續租，迪訊CNS將通知云平臺認證系統該設備租期到期，雙方將該設備確定為CNS離線狀態。

用戶可以通過云平臺認證系統將不再使用的設備進行授權信息刪除操作，迪訊CNS會同步進行刪除。

為預防特殊情況引起的雙方信息不同步現象，迪訊CNS提供授權信息和在線信息的同步接口以供云平臺認證系統進行同步。

2）云平臺認證系統與深信服AC聯動完成準出認證，如圖3所示。

正常授權后的用戶設備訪問互聯網資源時，深信服AC會對其做準出認證，用戶同樣通過Web Portal頁面向深信服AC提交用戶名密碼，深信服AC向云平臺認證系統進行驗證。成功后，AC從云平臺認證系統獲得該設備對應的MAC、用戶標識ID等基本信息，雙方同時將該設備設為AC在線。本設計有效地解決了深信服AC在城域網跨三層結構下無法取得設備真實MAC信息的弊端，實現了深信服AC上的用戶名、IP、MAC三者相對應。

深信服AC準確地記錄下認證用戶的ID、昵稱賬號、真實姓名、手機號、終端類型、MAC、上線時間、上網行為等信息，做到可查可追溯。

為預防特殊情況引起的雙方信息不同步現象，深信服AC提供在線信息的同步接口以供云平臺認證系統進行同步。

制定安全通信方式 ?信息安全是教育城域網建設中的一個重點內容，與用戶個人相關的敏感性信息更要特別注意，因此要求認證系統體系之間的通信遵循以下幾點要求。

1）身份驗證采用Token機制。認證系統體系之間的通信選用基于Token的身份驗證機制，本驗證方法目前很多大型網站都在使用，如Facebook、Twitter、Google+，Github等。迪訊CNS和深信服AC作為請求方，定期通過用戶名、密碼向云平臺認證系統進行身份驗證，成功后云平臺認證系統將產生一個對應的Token給對方，請求方憑借這個Token可以在有效時間內和云平臺認證系統進行通信，云平臺認證系統可以通過Token值確認出通信對象的身份。每次獲取到的Token值有固定的有效時間，過期后將會失效，迪訊CNS和深信服AC必須在失效前定時重新獲取或失效后第一時間重新獲取。Token機制大大減少了通信中用戶名、密碼的驗證傳遞，可以有效保障用戶名、密碼安全。

2）通信內容加密機制。為保障通信內容的安全，防止非法人員抓包分析，認證系統體系所有系統之間的通信內容都會進行DES對稱加密，采用多層混淆的方式使密文的統計特性與密鑰的取值之間的關系盡可能復雜化，以使密鑰和明文以及密文之間的依賴性對非法人員來說無法利用，有效避免在通信過程中引起的信息泄露。

3）通信主機IP限制機制。認證系統體系啟用了通信IP限制，除預設好的成員IP以外，來自其他IP的認證請求將全部被拒絕。

實現無感知認證 ?為避免他人非法使用，保障用戶信息安全，教育城域網內的設備如果一定的時間沒有訪問互聯網，認證系統體系將默認用戶已暫時離開該設備，深信服AC將會對其做離線操作，該設備再次訪問互聯網將需要重新認證。但對于用戶的私人設備如手機等，正常情況下極少會被他人非法使用，卻因為該安全機制經常需要進行重復認證。

針對該情況，推出私人設備無感知認證服務，用戶在保證個人設備不會被他人使用的前提下，并愿意為該設備的上網行為負責，可以通過云平臺認證系統對該設備進行無感知設置。設置后的設備進入教育城域網，迪訊CNS發放DHCP給該設備上線的同時，云平臺認證系統將會通知深信服AC自動模擬該用戶的AC上線操作，此后用戶設備訪問互聯網將不再需要進行準出認證，達到無感知的認證效果。

4 成效與方向

區域一體化認證系統現已在甌海區教育城域網全面投入使用，網內通過一體化認證系統進行認證的日常在線設備超過10 000臺，已經成為甌海區教育信息化不可或缺的重要組成部分。完善的統一認證體系，為甌海區教育城域網的網絡信息安全提供了強有力的保障，也為泛在學習環境的建設打下堅實的安全基礎。

下一步，計劃對認證系統中的數據進行進一步的分析匯總，并實現認證系統的數據可視化，借助圖形化手段，將用戶的組成、設備的分類、用戶的行為等清晰地呈現，使整個認證系統的運行情況一目了然，為甌海區教育信息化下一步發展提供支撐。

參考文獻

[1]楊朋.高校有線無線一體化網絡認證實現方式研究[J].網絡安全技術與應用，2019（1）：65，67.

[2]劉庚.無線網絡安全風險研究及關鍵技術應用[J].網絡安全技術與應用，2019（11）：80-82.