文/陳萍

Eduroam技術(shù)架構(gòu)

文/陳萍

Eduroam的技術(shù)基礎(chǔ)是802.1X標準和層次化的RADIUS代理服務(wù)器。它允許來自于某個Eduroam機構(gòu)的用戶在支持Eduroam的伙伴機構(gòu)中獲得使用無線網(wǎng)絡(luò)的權(quán)限。為訪客提供Eduroam無線網(wǎng)絡(luò)的機構(gòu)可以針對Eduroam訪客設(shè)置自己的管理策略。

圖1 802.1X和RADIUS的基本關(guān)系

圖2 RADIUS層次架構(gòu)

圖1展示了802.1X和RADIUS的基本關(guān)系。其中，Client為用戶終端/Supplicant，NAS為用戶要接入無線網(wǎng)絡(luò)的無線控制器，RADIUS服務(wù)器為用戶身份權(quán)威機構(gòu)的認證服務(wù)器。

RADIUS層次架構(gòu)如圖2所示，其中的Home Institution為Eduroam IdP（用戶身份權(quán)威機構(gòu)）。Visited Institution為Eduroam sp（用戶訪問機構(gòu)）。IdP/HI通過所在國家的頂級RADIUS proxy Server、頂級RADIUS Server和SP所在國家的頂級RADIUS proxy server與SP/VI建立通道，完成用戶在訪問機構(gòu)的認證過程，支持用戶接入訪問機構(gòu)的Eduroam網(wǎng)絡(luò)。

RADIUS層次架構(gòu)的作用是：把用戶身份轉(zhuǎn)發(fā)到用戶身份所屬的機構(gòu)，在那里驗證用戶身份的有效性。通常，Eduroam采用的用戶身份描述方式是“uid@realm”，其中的“uid”是用戶在身份權(quán)威機構(gòu)的本地身份，“realm”是機構(gòu)域名。比如一個北京大學(xué)用戶的Eduroam ID是testuid@pku.edu.cn。RADIUS層次架構(gòu)的轉(zhuǎn)發(fā)動作依據(jù)realm（即pku.edu.cn）完成。

從邏輯上看，Client和NAS在用戶作為訪客所在的網(wǎng)絡(luò)中，RADIUS服務(wù)器在用戶身份權(quán)威機構(gòu)中。用戶訪問機構(gòu)和用戶身份權(quán)威機構(gòu)可以是任何支持Eduroam的機構(gòu)，可以是一個國家中兩個不同的機構(gòu)，也可以是在不同國家中，如圖3所示。

每一個想要加入Eduroam的機構(gòu)需要把它的RADIUS服務(wù)器連接到所在國家的FLR（Federation Level RADIUS服務(wù)器）。FLR通常由國家教育科研網(wǎng)運行。FLR有這個國家中參加Eduroam機構(gòu)的完整清單。通過這種機制保證了不同國家Eduroam機構(gòu)之間的成功漫游。

對于國際漫游來講，還需要配置地區(qū)級別的頂級RADIUS服務(wù)器，它的作用是實現(xiàn)地區(qū)之間的用戶請求漫游。目前，兩個頂級TLR（Top Level RADIUS）部署在歐洲。中國和TLR之間的邏輯關(guān)系如圖4所示。

以北京大學(xué)某位老師到歐洲某個學(xué)校訪問為例，演示Eduroam工作流程，如圖5所示。首先，北京大學(xué)的某位老師到歐洲訪問，希望通過當?shù)氐腅duroam無線網(wǎng)絡(luò)接入到互聯(lián)網(wǎng)。當?shù)谽duroam無線網(wǎng)絡(luò)的RADIUS服務(wù)器@tenera.nl檢測到有ID為testuid@pku.edu.cn的用戶申請使用Eduroam，根據(jù)realm（pku. edu.cn），通過RADIUS服務(wù)器的層次關(guān)系和TLR找到.cn的RADIUS服務(wù)器，進一步找到.edu. cn和pku.edu.cn的 RADIUS服務(wù)器。pku.edu.cn的RADIUS服務(wù)器驗證用戶身份。驗證結(jié)果以同樣的路徑返回到@tenera.nl的RADIUS服務(wù)器，允許用戶接入當?shù)谽duroam無線網(wǎng)絡(luò)。

（作者單位為北京大學(xué)計算中心）

圖3 Eduroam邏輯架構(gòu)

圖4 Eduroam@cn和全球Eduroam TLR的邏輯關(guān)系

圖5 eduroam工作流程樣例