黃石平等

摘要： 文章介紹了基于五位一體模式的統(tǒng)一身份認(rèn)證平臺(tái)建設(shè)，包括網(wǎng)絡(luò)現(xiàn)狀、整體架構(gòu)及建設(shè)模式。統(tǒng)一身份認(rèn)證平臺(tái)克服了傳統(tǒng)有線和無線網(wǎng)絡(luò)的賬號(hào)分離、多重計(jì)費(fèi)管理等諸多弊端，對(duì)于校園網(wǎng)管理、提高網(wǎng)絡(luò)用戶體驗(yàn)效果、具有重要的作用。

關(guān)鍵詞：五位一體；統(tǒng)一身份認(rèn)證；SAM

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）15-3485-02

The Unified Identity Authentication Platform Construction Based on the Five in One Mode

HUANG Shi-ping， CHENG Yue， GU Jin-yuan， WU Xue-qian

（Department of Modern Educational Technology， Nanjing Medical University， Nanjing 210029， China）

Abstract： This paper introduces the entire process of the unified identity authentication platform construction based on the five in one mode， including the status quo of network， structure and construction of the whole. Unified identity authentication platform overcomes many disadvantages of traditional network separation， multiple billing management accounting，for campus network management，plays an important role.

Key words： Five in one mode； unified identity authentication； SAM

1 網(wǎng)絡(luò)現(xiàn)狀

南京醫(yī)科大學(xué)連云港校區(qū)校園網(wǎng)建設(shè)已全部完成，隨著校園網(wǎng)應(yīng)用不斷深入，校園網(wǎng)身份認(rèn)證管理成為是一個(gè)重要的建設(shè)內(nèi)容。我?，F(xiàn)有學(xué)生宿舍區(qū)接入了有線網(wǎng)絡(luò)，用戶統(tǒng)一使用銳捷客戶端軟件登錄訪問網(wǎng)絡(luò)。有線網(wǎng)絡(luò)采用的是包月的計(jì)費(fèi)方式，同時(shí)很多學(xué)生又開通了學(xué)校的無線網(wǎng)絡(luò)，無線網(wǎng)絡(luò)采用計(jì)時(shí)策略。對(duì)于學(xué)生網(wǎng)絡(luò)用戶來講，有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)使用兩個(gè)賬號(hào)，分別計(jì)費(fèi)。因此需要校園網(wǎng)內(nèi)建設(shè)統(tǒng)一的身份認(rèn)證管理平臺(tái)，實(shí)現(xiàn)對(duì)校園網(wǎng)用戶的入網(wǎng)和出網(wǎng)的認(rèn)證管理和多種的認(rèn)證方式web或802.1x[1]，以及學(xué)校針對(duì)校園網(wǎng)運(yùn)營(yíng)管理的提供靈活計(jì)費(fèi)方式。

2 統(tǒng)一身份認(rèn)證平臺(tái)建設(shè)

建設(shè)統(tǒng)一管理平臺(tái)是在原有校園網(wǎng)的出口區(qū)部署一臺(tái)銳捷網(wǎng)絡(luò)出口引擎設(shè)備RG-NPE作為出口網(wǎng)關(guān)設(shè)備為內(nèi)網(wǎng)用戶提供上網(wǎng)服務(wù)，銳捷應(yīng)用控制引擎RG-ACE作為流量控制及出口認(rèn)證網(wǎng)關(guān)設(shè)備，和RG-eportal網(wǎng)絡(luò)身份準(zhǔn)入門戶系統(tǒng)，通過NPE、SAM及Eportal的聯(lián)動(dòng)實(shí)現(xiàn)校園網(wǎng)的統(tǒng)一身份認(rèn)證和計(jì)費(fèi)管理平臺(tái)[2]。網(wǎng)絡(luò)架構(gòu)如圖1所示。

此次校園網(wǎng)統(tǒng)一身份認(rèn)證按照五位一體模式建設(shè)，建設(shè)準(zhǔn)入和準(zhǔn)出一體化、靈活的認(rèn)證方式（802.1x和Web認(rèn)證功能）、支持基于IPv4認(rèn)證計(jì)費(fèi)的IPv6兼容、校內(nèi)和校外一體化、有線和無線一體化。五位一體建設(shè)模式如圖2所示。

2.1 準(zhǔn)入和準(zhǔn)出一體化[3]

準(zhǔn)入認(rèn)證是為了驗(yàn)證身份，包括接入網(wǎng)絡(luò)中的用戶標(biāo)識(shí)（User ID）、主機(jī)標(biāo)識(shí)（MAC）、網(wǎng)絡(luò)標(biāo)識(shí)（IP），確保網(wǎng)絡(luò)用戶身份的合法、真實(shí)；并且，可以有效地防止賬號(hào)盜用、防IP篡改、防MAC篡改，實(shí)現(xiàn)內(nèi)網(wǎng)的安全、可控、易定位和強(qiáng)審計(jì)。

準(zhǔn)出是為了區(qū)分權(quán)限，需要針對(duì)某個(gè)網(wǎng)絡(luò)用戶是否可訪問校外、可使用多少流量、可占用多少出口帶寬等進(jìn)行定義。同時(shí)，基于校園網(wǎng)準(zhǔn)出技術(shù)，滿足基于時(shí)長(zhǎng)、流量、帶寬三者獨(dú)立或任意復(fù)合的計(jì)費(fèi)策略，適應(yīng)普遍存在的校內(nèi)免費(fèi)、校外收費(fèi)的計(jì)費(fèi)需求。

結(jié)合學(xué)?，F(xiàn)有網(wǎng)絡(luò)情況，在宿舍區(qū)采用802.1X客戶端方式的準(zhǔn)入和準(zhǔn)出認(rèn)證。學(xué)生可以通過客戶端進(jìn)行自主的選擇校內(nèi)和校外服務(wù)，實(shí)現(xiàn)校內(nèi)免費(fèi)和校外計(jì)費(fèi)的功能。對(duì)于辦公區(qū)考慮使用的靈活性可以采用web方式的準(zhǔn)出認(rèn)證，無需安裝客戶端只對(duì)出網(wǎng)時(shí)通過web頁(yè)面進(jìn)行認(rèn)證管理。

2.2靈活的802.1x和web認(rèn)證方式

通過在校園網(wǎng)內(nèi)的接入交換機(jī)開啟802.1X與RG-SAM系統(tǒng)，實(shí)現(xiàn)校園網(wǎng)的802.1X的認(rèn)證方式，實(shí)現(xiàn)對(duì)802.1X用戶的精細(xì)化管理和控制。

Web認(rèn)證方式與傳統(tǒng)的802.1x認(rèn)證方式相比，對(duì)于用戶的安全控制相對(duì)弱一些，但是無需安裝802.1x的客戶端，所以使用相對(duì)靈活。比較適合需求使用方式方便的教學(xué)科研辦公區(qū)管理。通過在出口部署的RG-ACE作為出口的認(rèn)證網(wǎng)關(guān)設(shè)備和RG-eportal網(wǎng)絡(luò)身份準(zhǔn)入門戶系統(tǒng)，在出口區(qū)實(shí)現(xiàn)web的準(zhǔn)出。

2.3 支持基于IPV4認(rèn)證計(jì)費(fèi)的IPV6兼容[4]

下一代互聯(lián)網(wǎng)的發(fā)展和演進(jìn)勢(shì)不可擋，高校作為下一代互聯(lián)網(wǎng)關(guān)鍵技術(shù)研究及應(yīng)用的主題，要實(shí)現(xiàn)向下一代互聯(lián)網(wǎng)的平滑過渡，以提供更加普遍的IPv6用戶訪問和更加普遍的IPv6用戶服務(wù)，校園網(wǎng)安全運(yùn)營(yíng)管理被要求同時(shí)承載IPv4協(xié)議和IPv6協(xié)議。

本次統(tǒng)一身份認(rèn)證平臺(tái)建設(shè)采用的認(rèn)證和計(jì)費(fèi)軟件，在基于IPv4認(rèn)證計(jì)費(fèi)的基礎(chǔ)上兼容IPv6協(xié)議，確保了有IPv6協(xié)議的網(wǎng)絡(luò)中，可以正常認(rèn)證，并和IPv4協(xié)議同時(shí)計(jì)費(fèi)。

2.4 校內(nèi)和校外一體化

隨著數(shù)字校園建設(shè)和應(yīng)用的深入，校外VPN訪問需求變得越來越普遍。結(jié)合網(wǎng)絡(luò)中實(shí)際的vpn設(shè)備，根據(jù)vpn設(shè)備的類型與SAM系統(tǒng)進(jìn)行兼容性的聯(lián)動(dòng)測(cè)試，以實(shí)現(xiàn)校內(nèi)校外一體化認(rèn)證的功能。

2.5 有線和無線一體化

學(xué)?，F(xiàn)有網(wǎng)絡(luò)包括有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)，結(jié)合實(shí)際情況，用戶IP采用動(dòng)態(tài)獲取認(rèn)證方式，采用web認(rèn)證方式，統(tǒng)一賬號(hào)實(shí)現(xiàn)有

線無線一體化認(rèn)證。并且web認(rèn)證時(shí)進(jìn)行無感知認(rèn)證方式，在用戶第一次進(jìn)行web認(rèn)證成功后，選擇后續(xù)采用MAC地址認(rèn)證，由SAM進(jìn)行自動(dòng)綁定用戶的MAC。后續(xù)再次接入無線網(wǎng)絡(luò)就無需再次輸入用戶名和密碼，后臺(tái)直接進(jìn)行MAC地址認(rèn)證。對(duì)于用戶來說，這一切都是透明的無需進(jìn)行任何操作，既省去認(rèn)證的步驟又能安全的直接訪問網(wǎng)絡(luò)[5]。

3 結(jié)束語(yǔ)

通過建設(shè)網(wǎng)絡(luò)統(tǒng)一身份認(rèn)證平臺(tái)，師生能夠隨時(shí)隨地、無拘束的連接到校園網(wǎng)，通過訪問內(nèi)網(wǎng)和外網(wǎng)各種資源，完成各項(xiàng)辦公事務(wù)和日常生活，提高網(wǎng)絡(luò)管理水平的同時(shí)，也推動(dòng)了高校信息化建設(shè)進(jìn)程[6]。

參考文獻(xiàn)：

[1] 張沖，武超，楊要科.校園網(wǎng)統(tǒng)一身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].中原工學(xué)院學(xué)報(bào).2008（4）.

[2] 洪丹丹.統(tǒng)一身份認(rèn)證服務(wù)器的研究與實(shí)現(xiàn)[J].中國(guó)教育信息化，2011（3）.

[3] 李曉林，楊兵澤，張文婷.統(tǒng)一身份認(rèn)證的設(shè)計(jì)與實(shí)現(xiàn)[J].軟件導(dǎo)刊，2011（6）.

[4] 宿宏毅.校園網(wǎng)統(tǒng)一身份認(rèn)證的研究與實(shí)現(xiàn)[J].內(nèi)蒙古石油化工，2011（4）.

[5] 楊尚森.統(tǒng)一身份認(rèn)證及其在校園網(wǎng)中的應(yīng)用[J].洛陽(yáng)大學(xué)學(xué)報(bào)，2006（2）.

[6] 賈宗星，董麗麗.基于Web Services單點(diǎn)登錄系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)時(shí)代，2006（9）.endprint