關(guān)于校際移動(dòng)漫游的研究與實(shí)現(xiàn)

1、關(guān)于校際挪動(dòng)遨游的研究與實(shí)現(xiàn)高校信息化的高速開(kāi)展，挪動(dòng)設(shè)備的全面普及，無(wú)線網(wǎng)絡(luò)已經(jīng)成為高校校園網(wǎng)絡(luò)的重要組成部分，大量科研和教育信息資源的使用都依賴于挪動(dòng)網(wǎng)絡(luò)平臺(tái). 出于信息網(wǎng)絡(luò)平安管理的需要，在已建的高校無(wú)線校園網(wǎng)中，使用了一些網(wǎng)絡(luò)平安接入管理機(jī)制，以確保用戶實(shí)名制登錄注冊(cè)，并限制未授權(quán)用戶的訪問(wèn). 現(xiàn)有的這種管理方式雖然滿足了校內(nèi)師生員工的使用，但隨著校際間的交流和訪問(wèn)日益頻繁，對(duì)于校際間互訪人員的挪動(dòng)網(wǎng)絡(luò)使用、遠(yuǎn)間隔 教學(xué)和學(xué)生跨校選課非常不方便. 高校師生在其他高校訪學(xué)交流時(shí)，可以通過(guò)校際間的挪動(dòng)遨游、使用該校無(wú)線資源實(shí)現(xiàn)教學(xué)交流的愿望越來(lái)越強(qiáng)烈.將來(lái)的挪動(dòng)網(wǎng)絡(luò)已經(jīng)不再是傳統(tǒng)的無(wú)線接入

2、功能，無(wú)區(qū)域限制的. 可遨游的挪動(dòng)網(wǎng)絡(luò)已經(jīng)成為終端設(shè)備的主要接入方式，所以校園無(wú)線網(wǎng)絡(luò)要具備充分的挪動(dòng)性，不僅局限在本學(xué)校的辦公室，需擴(kuò)展至室外區(qū)域、操場(chǎng)、甚至是其他兄弟院校具有無(wú)線網(wǎng)絡(luò)的任何地方.1 校際挪動(dòng)遨游分析目前各重點(diǎn)高校已經(jīng)根本完成無(wú)線網(wǎng)絡(luò)的全校覆蓋，根據(jù)建立的匯總歸類(lèi)，新建立的無(wú)線網(wǎng)絡(luò)主要使用瘦AP + 認(rèn)證計(jì)費(fèi)網(wǎng)關(guān)的方式，但各高校對(duì)訪問(wèn)控制、平安要求等的支持各不一樣，各個(gè)廠商對(duì)認(rèn)證接口的支持有一定的差異性.在接入認(rèn)證方面，根據(jù)高校使用的各個(gè)廠商或集成商的應(yīng)用方案匯總歸類(lèi)，大部分高校使用Web認(rèn)證. 即用戶首次使用網(wǎng)絡(luò)時(shí)會(huì)翻開(kāi)認(rèn)證網(wǎng)頁(yè)，要求用戶輸入賬戶進(jìn)展認(rèn)證接入. 但Web 頁(yè)

3、的后端認(rèn)證方式，各個(gè)高校存在較大差異. 主要有Radius 認(rèn)證、LDAP 認(rèn)證和數(shù)據(jù)庫(kù)認(rèn)證等幾種方式，另外還有個(gè)別學(xué)校使用802. 1x 認(rèn)證，即在用戶連接網(wǎng)絡(luò)時(shí)要求用戶提供賬戶. 這些差異性給設(shè)計(jì)、開(kāi)發(fā)和集成統(tǒng)一跨校認(rèn)證帶來(lái)了難度，所需要的底層平臺(tái)必須兼容各個(gè)高校的主流認(rèn)證構(gòu)架，同時(shí)還能支持跨校應(yīng)用.因此，用戶需要一種校際間網(wǎng)絡(luò)平安接入控制和挪動(dòng)無(wú)線接入解決方案. 該網(wǎng)絡(luò)平安接入控制和挪動(dòng)無(wú)線接入解決方案必須可以充分滿足如下建立需求:( 1) 采用國(guó)際標(biāo)準(zhǔn)技術(shù)體系;( 2) 充分利用現(xiàn)有各高校網(wǎng)絡(luò)構(gòu)造與資源，不單獨(dú)組網(wǎng). 并且不對(duì)現(xiàn)有各高校網(wǎng)絡(luò)構(gòu)造以及設(shè)備配置做任何改動(dòng)變化，新建的校際間系

4、統(tǒng)不對(duì)現(xiàn)有網(wǎng)絡(luò)產(chǎn)生任何影響;( 3) 采用集中控管技術(shù)，集中統(tǒng)一管理的終端設(shè)備;( 4) 系統(tǒng)必須具有高可用性設(shè)計(jì)，保證在設(shè)備單點(diǎn)故障條件下可以無(wú)縫自愈，保障業(yè)務(wù)的連續(xù)性;( 5) 系統(tǒng)必須可以支持多種靈敏的用戶認(rèn)證方式，并且能結(jié)合現(xiàn)有高校網(wǎng)絡(luò)認(rèn)證系統(tǒng)協(xié)同工作;( 6) 系統(tǒng)必須可以靈敏支持各種無(wú)線認(rèn)證加密技術(shù)標(biāo)準(zhǔn)，可以為不同種類(lèi)、不同性能的終端設(shè)備提供平安的無(wú)線連接;( 7) 系統(tǒng)要可以方便和靈敏地調(diào)整與擴(kuò)展，充分考慮投資保護(hù).2 校際挪動(dòng)遨游組網(wǎng)設(shè)計(jì)2. 1 組網(wǎng)設(shè)計(jì)分析校際挪動(dòng)遨游的實(shí)現(xiàn)，主要涉及3 個(gè)方面:( 1) 校際挪動(dòng)遨游網(wǎng)絡(luò)的平安接入. 遨游網(wǎng)絡(luò)對(duì)遨游用戶進(jìn)展鑒別，同時(shí)遨游用戶

5、也對(duì)遨游網(wǎng)絡(luò)進(jìn)展鑒別;( 2) 校際挪動(dòng)遨游網(wǎng)絡(luò)的認(rèn)證. 包括外校的學(xué)生遨游到本校，通過(guò)無(wú)線網(wǎng)接入訪問(wèn)互聯(lián)網(wǎng)這個(gè)認(rèn)證過(guò)程的實(shí)現(xiàn)和本校學(xué)生遨游到其他學(xué)校后，需要為用戶接入無(wú)線網(wǎng)絡(luò)提供身份認(rèn)證;( 3) 遨游中心的建立. 遨游中心需要一個(gè)平臺(tái)，對(duì)沒(méi)有建立直接認(rèn)證信任關(guān)系的高校需要實(shí)現(xiàn)各校遨游用戶的賬號(hào)認(rèn)證中轉(zhuǎn).第1 個(gè)要解決的問(wèn)題是其他學(xué)校的用戶遨游到本校后，本校無(wú)線網(wǎng)絡(luò)如何鑒定用戶的身份，從而為用戶提供網(wǎng)絡(luò)效勞. 這就對(duì)提供接入的設(shè)備( 包括無(wú)線控制器) 功能提出要求.第2 個(gè)要解決的問(wèn)題是本校用戶遨游到其他院校后，如何為其他學(xué)校的網(wǎng)絡(luò)提供身份驗(yàn)證效勞，分2 種情況: 返回歸屬地認(rèn)證和遨游中心認(rèn)

6、證. 在接入地認(rèn)證，認(rèn)證系統(tǒng)應(yīng)保存完好的認(rèn)證記錄及統(tǒng)計(jì)記錄，以便復(fù)查; 返回歸屬地認(rèn)證，那么按歸屬地學(xué)校原有的上網(wǎng)記錄統(tǒng)計(jì)和平安審計(jì).第3 個(gè)要解決的問(wèn)題是遨游平臺(tái)的構(gòu)架，成員之間的鏈路流量問(wèn)題. 遨游系統(tǒng)需要可以提供各高校無(wú)線網(wǎng)絡(luò)遨游效勞的情況統(tǒng)計(jì)，包括各成員提供遨游效勞的時(shí)長(zhǎng)及遨游所產(chǎn)生的流量，應(yīng)保存完好的認(rèn)證記錄及統(tǒng)計(jì)記錄，以便高校大數(shù)據(jù)搜集分析.2. 2 平安的接入無(wú)線信號(hào)是不可見(jiàn)的，如何在無(wú)線網(wǎng)絡(luò)中識(shí)別用戶，如何保證用戶的匿名性等，為理解決這些平安接入問(wèn)題，許多無(wú)線網(wǎng)絡(luò)認(rèn)證協(xié)議被提出.WAPI ( Wireless LAN Authentication and PrivacyInfr

7、astructure) 無(wú)線局域網(wǎng)鑒別和保密根底構(gòu)造，是一種平安協(xié)議，同時(shí)也是中國(guó)無(wú)線局域網(wǎng)平安強(qiáng)迫性標(biāo)準(zhǔn).WAPI 技術(shù)特點(diǎn)在于: 在用戶接入過(guò)程中，采用雙向鑒別的方式. 不僅僅是網(wǎng)絡(luò)對(duì)用戶進(jìn)展鑒別，用戶也要對(duì)網(wǎng)絡(luò)進(jìn)展鑒別. 防止用戶接入不合法的網(wǎng)絡(luò)或者偽造的網(wǎng)絡(luò)，解決了無(wú)線網(wǎng)絡(luò)接入中合法用戶接入合法網(wǎng)絡(luò)的問(wèn)題.2. 3 遨游認(rèn)證平安和快速的認(rèn)證是實(shí)現(xiàn)無(wú)縫遨游切換的一個(gè)關(guān)鍵技術(shù)，由于WAPI 提供了基于證書(shū)和預(yù)共享密鑰的平安機(jī)制，但只做鏈路層認(rèn)證和加密，保護(hù)空中數(shù)據(jù)不被竊取或非法接入，因此需要在WAPI 國(guó)家標(biāo)準(zhǔn)的根底上進(jìn)展擴(kuò)展，疊加LDAP 或RAIDUS遨游認(rèn)證，解決WAPI 平安機(jī)制的

8、證書(shū)遨游認(rèn)證鑒別問(wèn)題，提供一種基于WAPI 證書(shū)的遨游認(rèn)證鑒別.2. 4 遨游認(rèn)證中心的建立校區(qū)間假設(shè)沒(méi)有找到直接信任的用戶認(rèn)證，那么需要建立統(tǒng)一的遨游認(rèn)證中心，把遨游鑒別懇求發(fā)往遨游認(rèn)證中心，由遨游認(rèn)證中心交換存儲(chǔ)認(rèn)證證書(shū)或預(yù)置共享密鑰建立信任關(guān)系，遨游認(rèn)證中心再把遨游證書(shū)鑒別懇求發(fā)給歸屬地AS ( AuthenticationServer) 鑒權(quán)效勞器進(jìn)展證書(shū)鑒別，疊加LDAP 或RAIDUS 遨游認(rèn)證.2. 5 校際遨游系統(tǒng)架構(gòu)校際遨游系統(tǒng)架構(gòu)分2 種情況，第1 種情況是遨游學(xué)校認(rèn)證數(shù)據(jù)流和網(wǎng)絡(luò)數(shù)據(jù)流都返回歸屬學(xué)校，無(wú)需部署認(rèn)證中心，無(wú)結(jié)算和對(duì)帳，認(rèn)證記錄及統(tǒng)計(jì)記錄由各學(xué)校自己保存. 第

9、2 種是遨游學(xué)校認(rèn)證數(shù)據(jù)流到遨游中心認(rèn)證，網(wǎng)絡(luò)數(shù)據(jù)流從遨游學(xué)校出去.3 校際挪動(dòng)用戶遨游實(shí)現(xiàn)首先統(tǒng)一校際挪動(dòng)遨游的SSID，各高校按要求播送本校和校際挪動(dòng)遨游統(tǒng)一的SSID，接入校際挪動(dòng)遨游統(tǒng)一的SSID 接入將推送校際挪動(dòng)遨游的Portal 認(rèn)證頁(yè)面，校際挪動(dòng)遨游的Portal 認(rèn)證頁(yè)面統(tǒng)一進(jìn)展配置管理. 要求各高校無(wú)線控制器實(shí)現(xiàn)不同SSID 接入的用戶可以推送不同的Portal 頁(yè)面，控制器與Portal 系統(tǒng)的交互要滿足Portal 標(biāo)準(zhǔn).結(jié)合遨游學(xué)校和歸屬學(xué)校的網(wǎng)絡(luò)實(shí)際情況，分為2 種遨游實(shí)現(xiàn)情況，第1 種情況是在有鏈路鏈接的學(xué)校之間，遨游學(xué)校和歸屬學(xué)校AS 直接建立信任關(guān)系，遨游用戶

10、實(shí)現(xiàn)跨校遨游.步驟如下:無(wú)線用戶訪問(wèn)互聯(lián)網(wǎng)，無(wú)線控制器AC 或AP網(wǎng)關(guān)向用戶發(fā)送鑒別激活;用戶發(fā)出鑒別懇求，懇求平安的可信接入;根據(jù)用戶接入的SSID 不同，重定向至不同登錄頁(yè)面，用戶接入無(wú)線遨游的SSID，推送Portal效勞器上統(tǒng)一的無(wú)線遨游認(rèn)證頁(yè)面;用戶點(diǎn)擊WAPI 證書(shū)申請(qǐng)的鏈接;遨游學(xué)校的AS 返回證書(shū)申請(qǐng)頁(yè)面，需要用戶使用用戶名和密碼登陸;用戶選擇歸屬學(xué)校，填寫(xiě)用戶名和密碼，系統(tǒng)自動(dòng)在用戶輸入的賬號(hào)添加歸屬學(xué)校標(biāo)識(shí)的后綴;遨游學(xué)校的AS 記錄著其他建立信任關(guān)系的AS 地址，發(fā)送到歸屬學(xué)校的AS 驗(yàn)證;歸屬學(xué)校認(rèn)證平臺(tái)找LDAP 或RAIDUS 效勞器進(jìn)展認(rèn)證;LDAP 或RAIDU

11、S 效勞器返回用戶認(rèn)證成功信息;返回綁定用戶名與證書(shū)信息( 系統(tǒng)為每一個(gè)用戶和AP /AC 均下發(fā)一張證書(shū)，AS 再將其證書(shū)與自己生成的證書(shū)相綁定，這樣既可以保證CA 頒發(fā)證書(shū)，又可以順利完成遨游鑒別功能) ;11提供用戶證書(shū)下載鏈接;12用戶下載證書(shū)并安裝( WAPI 使用X. 509 證書(shū)，大小約為2K) ;13用戶接入使用互聯(lián)網(wǎng);14第一次安裝好證書(shū)后，用戶訪問(wèn)互聯(lián)網(wǎng)業(yè)務(wù)以后都可免登陸認(rèn)證，無(wú)感知上網(wǎng).第2 種遨游情況的實(shí)現(xiàn)需要建立遨游中心AS，由遨游中心AS 負(fù)責(zé)中間各遨游學(xué)校AS 之間的遨游鑒別消息. 用戶實(shí)現(xiàn)遨游情況和第一種情況的步驟根本一樣，遨游中心的認(rèn)證平臺(tái)做LDAP /RAD

12、IUS PROXY，判斷用戶賬號(hào)攜帶的后綴名后將賬號(hào)以LDAP /RADIUS 認(rèn)證懇求包轉(zhuǎn)發(fā)給賬號(hào)后綴對(duì)應(yīng)的學(xué)校認(rèn)證效勞器，或者遨游中心的認(rèn)證平臺(tái)找學(xué)校的LDAP /RAIDUS 效勞器進(jìn)展認(rèn)證. 遨游中心的LDAP /RADIUS 認(rèn)證系統(tǒng)要維護(hù)一張賬號(hào)后綴與對(duì)應(yīng)學(xué)校認(rèn)證效勞器IP 的對(duì)應(yīng)表，實(shí)現(xiàn)根據(jù)后綴將賬號(hào)去后綴后轉(zhuǎn)向不同的學(xué)校認(rèn)證效勞器. 遨游用戶所屬學(xué)校認(rèn)證效勞器返回給遨游中心認(rèn)證平臺(tái)認(rèn)證結(jié)果，遨游中心認(rèn)證平臺(tái)將認(rèn)證結(jié)果返回給網(wǎng)關(guān)或無(wú)線控制器，控制器或認(rèn)證網(wǎng)關(guān)根據(jù)認(rèn)證結(jié)果控制用戶是否允許接入互聯(lián)網(wǎng)，假設(shè)認(rèn)證通過(guò)，認(rèn)證網(wǎng)關(guān)或無(wú)線控制器發(fā)送計(jì)費(fèi)開(kāi)始包給遨游中心認(rèn)證計(jì)費(fèi)平臺(tái)，平臺(tái)轉(zhuǎn)發(fā)計(jì)費(fèi)

13、開(kāi)始報(bào)文給用戶所屬學(xué)校的LDAP /RADIUS 系統(tǒng).用戶發(fā)出下線懇求后，認(rèn)證網(wǎng)關(guān)或無(wú)線控制器器發(fā)送網(wǎng)絡(luò)遨游完畢始包給遨游中心認(rèn)證審計(jì)平臺(tái)，同時(shí)傳遞用戶在線的時(shí)長(zhǎng)及使用的信息給遨游中心平臺(tái)，并通過(guò)遨游中心平臺(tái)傳遞到用戶所在學(xué)校的LDAP / RADIUS 認(rèn)證效勞器.在遨游認(rèn)證中心系統(tǒng)上實(shí)驗(yàn)遨游認(rèn)證通過(guò)，截取到的遨游認(rèn)證日志，其中202. 38. 192. 182為遨游中心AS 的IP 地址，202. 116. 45. 253 為到我校遨游認(rèn)證AS 的IP 地址自2021 年9 月在廣東省3 所重點(diǎn)高校部署并試運(yùn)行后，高校師生即可在多個(gè)公共區(qū)域內(nèi)2 000余個(gè)無(wú)線接入點(diǎn)使用各校的有效賬號(hào)登陸實(shí)現(xiàn)跨校無(wú)線遨游，系統(tǒng)發(fā)放證書(shū)200 多份，總計(jì)有1 000 余次的使用量.跨校挪動(dòng)遨游的實(shí)現(xiàn)，極大地方便了各高校師生的跨校交流，得到了師生的一致好評(píng).4 結(jié)論跨校挪動(dòng)遨游系統(tǒng)先進(jìn)的挪動(dòng)性，增強(qiáng)與改善了現(xiàn)有高校的教學(xué)形