鄧國強(qiáng) 韓穎錚

摘 要： 在校園網(wǎng)中同時(shí)部署多套上網(wǎng)認(rèn)證系統(tǒng)并使用統(tǒng)一的賬號(hào)密碼是常見的上網(wǎng)認(rèn)證部署方案。多套上網(wǎng)認(rèn)證系統(tǒng)并存時(shí)如何對在線用戶進(jìn)行統(tǒng)一管控、用戶上線軌跡追蹤和分析，以及如何對多套上網(wǎng)認(rèn)證系統(tǒng)進(jìn)行統(tǒng)一監(jiān)控管理是當(dāng)前校園網(wǎng)管理面臨的共同問題。對此設(shè)計(jì)和實(shí)現(xiàn)了一種面向多認(rèn)證系統(tǒng)的統(tǒng)一在線用戶管控平臺(tái)，并在真實(shí)校園網(wǎng)環(huán)境中測試使用，測試結(jié)果驗(yàn)證了平臺(tái)的有效性。

關(guān)鍵詞： 多認(rèn)證系統(tǒng); 用戶統(tǒng)一管控; 校園網(wǎng)

中圖分類號(hào)： TP391.3 ? ? ?文獻(xiàn)標(biāo)志碼： A

Desgn and mplementaton of Onlne User Unform Management and

Control Platform for Multple Authentcaton System

DENG Guoqang， HAN Yngzheng

（nformaton Network Engneerng and Research Center， South Chna Unversty of Technology， Guangzhou 510640）

Abstract： Deployng multple sets of onlne authentcaton systems and usng unfed account password management s a common soluton n campus networks for user authentcaton. How to conduct unfed management and control of onlne users， user onlne trackng and analyss， and how to conduct unfed montorng and management of multple authentcaton servers are common problems n campus network management when multple authentcaton systems are used together. A unform onlne user management platform for mult-authentcaton system s desgned and mplemented n ths paper， and the effectveness of the platform s verfed by deployng the platform n actual campus network.

Key words： Multple authentcaton system; User unform management; Campus network

0 引言

隨著教育信息技術(shù)成為高校教學(xué)的必要手段，校園網(wǎng)也成了高校建設(shè)和管理的必要基礎(chǔ)設(shè)施。為保證網(wǎng)絡(luò)安全，校園網(wǎng)通常采用認(rèn)證上網(wǎng)技術(shù)進(jìn)行用戶實(shí)名制管理[1]，主流的上網(wǎng)認(rèn)證系統(tǒng)有H3C的MC[2]、銳捷的SAM[3]、華為的Controller[4]等。近年來，隨著校園網(wǎng)不斷升級(jí)改造、無線網(wǎng)絡(luò)全面覆蓋以及校區(qū)增建與兼并，校園網(wǎng)上網(wǎng)認(rèn)證需求由單一化走向多樣化，校園網(wǎng)中不可避免地出現(xiàn)了多個(gè)廠商、多個(gè)認(rèn)證系統(tǒng)、多種認(rèn)證方式并存使用的情況[7-9]。為方便管理和使用，通常采用一套用戶賬號(hào)密碼系統(tǒng)與多套認(rèn)證系統(tǒng)進(jìn)行同步對接的方法，來實(shí)現(xiàn)用戶上網(wǎng)賬號(hào)和密碼的統(tǒng)一性，使得用戶無論在何時(shí)何地、何種方式接入網(wǎng)絡(luò)都可以采用同一套賬號(hào)密碼，簡化了管理流程并提升了用戶體驗(yàn)[10-11]。然而在多套認(rèn)證系統(tǒng)并存使用的情況下，統(tǒng)一賬號(hào)密碼系統(tǒng)只能管理靜態(tài)的用戶賬號(hào)基礎(chǔ)數(shù)據(jù)，無法對網(wǎng)絡(luò)接入認(rèn)證用戶產(chǎn)生的動(dòng)態(tài)數(shù)據(jù)進(jìn)行統(tǒng)一收集和管控，這帶來管理上的困擾和新的網(wǎng)絡(luò)安全問題，例如，管理員要分別登陸到各上網(wǎng)認(rèn)證系統(tǒng)上進(jìn)行查詢再匯總，才能描繪出特定賬號(hào)的全部上網(wǎng)軌跡;同一個(gè)賬號(hào)可以同時(shí)在不同的上網(wǎng)認(rèn)證系統(tǒng)管轄的接入網(wǎng)中認(rèn)證上網(wǎng)，這導(dǎo)致無法保證用戶上網(wǎng)唯一性;無法對用戶上網(wǎng)進(jìn)行統(tǒng)一管理和監(jiān)控。為解決多套上網(wǎng)認(rèn)證系統(tǒng)并用導(dǎo)致的各類問題，本文設(shè)計(jì)和實(shí)現(xiàn)了一種面向多認(rèn)證系統(tǒng)的在線用戶統(tǒng)一管控平臺(tái)，在多套接入認(rèn)證系統(tǒng)并用的情況下，通過統(tǒng)一管控方法解決了認(rèn)證接入唯一性問題、實(shí)現(xiàn)了用戶上網(wǎng)策略統(tǒng)一管理和軌跡信息統(tǒng)一收集，最終實(shí)現(xiàn)對所有接入認(rèn)證系上的在線用戶進(jìn)行統(tǒng)一管控的目標(biāo)。

1 系統(tǒng)整體設(shè)計(jì)

在線用戶統(tǒng)一管控平臺(tái)設(shè)計(jì)目標(biāo)是構(gòu)建整合多種上網(wǎng)認(rèn)證系統(tǒng)，具備用戶策略集中管控和系統(tǒng)自身安全控制管理功能的統(tǒng)一管控平臺(tái)。為實(shí)現(xiàn)這些目標(biāo)，提出以下設(shè)計(jì)原則：

1）實(shí)現(xiàn)用戶認(rèn)證信息對接、用戶上網(wǎng)控制策略下發(fā)，同時(shí)集中收集上網(wǎng)認(rèn)證系統(tǒng)的在線用戶列表、用戶上線與下線記錄數(shù)據(jù)，構(gòu)建和維護(hù)完整的用戶在線狀態(tài)表、用網(wǎng)軌跡日志，并進(jìn)行統(tǒng)一管控;

2）實(shí)現(xiàn)對多套不同的上網(wǎng)認(rèn)證系統(tǒng)統(tǒng)一管理，監(jiān)控認(rèn)證系統(tǒng)運(yùn)行狀態(tài)，這些上網(wǎng)認(rèn)證系統(tǒng)可以來自不同的廠商、采用不同的認(rèn)證協(xié)議;

3）不對現(xiàn)有網(wǎng)絡(luò)及認(rèn)證計(jì)費(fèi)的系統(tǒng)和結(jié)構(gòu)有影響;

4）具備操作管理后臺(tái)、系統(tǒng)管理和角色權(quán)限管理功能。

基于以上原則，本文設(shè)計(jì)的在線用戶統(tǒng)一管控平臺(tái)根據(jù)依賴關(guān)系，自下而上可分為三層，即對接層、實(shí)現(xiàn)層和操作層，如圖1所示。

各個(gè)層功能描述如下：

對接層：實(shí)現(xiàn)與統(tǒng)一賬號(hào)數(shù)據(jù)中心的用戶基礎(chǔ)數(shù)據(jù)對接、與各上網(wǎng)認(rèn)證系統(tǒng)的用戶在線數(shù)據(jù)對接、與各上網(wǎng)認(rèn)證系統(tǒng)的撥測監(jiān)控和策略下發(fā)等功能對接、日志采集;

實(shí)現(xiàn)層：整合對接層收集的數(shù)據(jù)，實(shí)現(xiàn)各項(xiàng)管理功能，包括操作員管理、系統(tǒng)管理、認(rèn)證服務(wù)器管理、用戶基礎(chǔ)信息管理、在線用戶信息對接和管理、認(rèn)證系統(tǒng)監(jiān)控、消息管理和推送、黑名單策略和管理、工作臺(tái)。

操作層：實(shí)現(xiàn)管理操作、審計(jì)界面以及告警和通知推送。

1.1 用戶基礎(chǔ)數(shù)據(jù)對接

用戶基礎(chǔ)數(shù)據(jù)來自于學(xué)校用戶身份權(quán)威數(shù)據(jù)源--統(tǒng)一賬號(hào)數(shù)據(jù)中心，用于用戶身份的鑒別和認(rèn)證。通過對接語法，實(shí)現(xiàn)對用戶數(shù)據(jù)中的學(xué)工號(hào)、姓名、用戶類型、所屬學(xué)院/部門、授權(quán)上網(wǎng)范圍、在校標(biāo)記信息進(jìn)行定期同步拉取。平臺(tái)對接接口支持用LDAP、RADUS協(xié)議或者portal方式，絕大部分統(tǒng)一賬號(hào)管理系統(tǒng)都至少支持這三種接口中的一種。

1.2 用戶在線數(shù)據(jù)對接

平臺(tái)通過RADUS接口協(xié)議獲取上網(wǎng)認(rèn)證系統(tǒng)的用戶在線數(shù)據(jù)。用戶在線數(shù)據(jù)包括用戶的在線狀態(tài)、上下線時(shí)間、用網(wǎng)位置、下線原因、日志等。平臺(tái)采用RADUS協(xié)議與上網(wǎng)認(rèn)證系統(tǒng)對接，不需要上網(wǎng)認(rèn)證系統(tǒng)和計(jì)費(fèi)系統(tǒng)做出調(diào)整，而且即使平臺(tái)發(fā)生故障無法正常運(yùn)行，各上網(wǎng)認(rèn)證系統(tǒng)也可以不受影響繼續(xù)正常運(yùn)行。由于RADUS協(xié)議簡單明確，可擴(kuò)展性強(qiáng)，H3C、銳捷、華為、城市熱點(diǎn)等主流的上網(wǎng)認(rèn)證服務(wù)系統(tǒng)均支持開源RADUS接口。

1.3 功能對接

平臺(tái)通過RADUS接口協(xié)議向上網(wǎng)認(rèn)證系統(tǒng)下發(fā)管控指令，以實(shí)現(xiàn)撥測監(jiān)控、策略下發(fā)、消息推送、用戶上下線控制等功能。其中，撥測監(jiān)控是指通過采用上網(wǎng)認(rèn)證系統(tǒng)的登錄賬號(hào)和密碼，對各上網(wǎng)認(rèn)證服務(wù)器監(jiān)控進(jìn)行自動(dòng)化模擬登錄，以驗(yàn)證上網(wǎng)認(rèn)證服務(wù)是否正常。當(dāng)?shù)卿浭〈螖?shù)超過預(yù)制閾值時(shí)，自動(dòng)觸發(fā)告警，撥測監(jiān)控功能可以有效對認(rèn)證系統(tǒng)服務(wù)器的“假死”狀態(tài)進(jìn)行準(zhǔn)確判斷和告警。

1.4 在線用戶管理

在線用戶管理模塊對各上網(wǎng)認(rèn)證系統(tǒng)的在線用戶進(jìn)行集中信息收集和管理，對在線用戶進(jìn)行實(shí)時(shí)查詢檢索，上線下線控制，消息下發(fā)，準(zhǔn)入日志查詢、同時(shí)在線查詢等功能。

1.5 認(rèn)證服務(wù)器管理

通過上網(wǎng)認(rèn)證服務(wù)器管理模塊，可以自定義對各類常用的認(rèn)證系統(tǒng)進(jìn)行添加、查看、編輯和刪除操作，同時(shí)可以設(shè)置各個(gè)認(rèn)證系統(tǒng)數(shù)據(jù)源的參數(shù)設(shè)置，包括AP接口、更新頻率、監(jiān)控頻率、異常超時(shí)次數(shù)、啟用停用等。

1.6 用戶上網(wǎng)服務(wù)策略管理

該模塊實(shí)現(xiàn)了根據(jù)用戶類型或用戶購買的套餐實(shí)施對應(yīng)的用戶上網(wǎng)差異化服務(wù)功能，策略細(xì)分為時(shí)間段策略、區(qū)域策略、流量閾值等，針對具有違規(guī)行為的用戶實(shí)施黑名單策略。通過策略的自動(dòng)匹配，自動(dòng)生成本地用戶策略清單自動(dòng)同步到各上網(wǎng)認(rèn)證系統(tǒng)上，實(shí)現(xiàn)用戶準(zhǔn)入準(zhǔn)出控制的目的。

1.7 日志留存管理

實(shí)現(xiàn)對系統(tǒng)的各類操作日志、監(jiān)控日志、黑名單變更日志、流量用量日志、用戶準(zhǔn)入日志等進(jìn)行留存和檢索管理，幫助運(yùn)維團(tuán)隊(duì)進(jìn)行日志分析，更快地分析出用戶準(zhǔn)入問題。

1.8 平臺(tái)權(quán)限控制

該模塊根據(jù)不同的管理角色，進(jìn)行功能授權(quán)控制，根據(jù)角色擁有權(quán)限，授予管理員對在各個(gè)認(rèn)證系統(tǒng)和各個(gè)區(qū)域上的數(shù)據(jù)進(jìn)行管理，實(shí)現(xiàn)片區(qū)化運(yùn)維管理。

2 平臺(tái)功能實(shí)現(xiàn)

考慮開發(fā)的便捷性和使用方便，系統(tǒng)采用B/S架構(gòu)[12]，制定如下開發(fā)運(yùn)行環(huán)境：Wndows 2012 R2 企業(yè)版版本操作系統(tǒng)，Mcrosoft SQL Server 2012版本數(shù)據(jù)庫，S 8.0版本，采用.NET框架，基于Mcrosoft .NET Framework 4.0版本。下面分別闡述各個(gè)關(guān)鍵模塊的功能實(shí)現(xiàn)。

本文實(shí)現(xiàn)選擇了LDAP輕量目錄訪問協(xié)議實(shí)現(xiàn)本系統(tǒng)與中央統(tǒng)一認(rèn)證系統(tǒng)的用戶資源數(shù)據(jù)對接，LDAP協(xié)議的優(yōu)勢在于跨平臺(tái)、標(biāo)準(zhǔn)化、易實(shí)現(xiàn)易維護(hù)、讀取性能佳等。

用戶用網(wǎng)數(shù)據(jù)與管控對接接口采用開源RADUS。以銳捷SAM認(rèn)證系統(tǒng)為例，通過廠家提供的第三方開發(fā)接口開發(fā)包，利用多線程（mult-thread）技術(shù)實(shí)現(xiàn)在線用戶用網(wǎng)數(shù)據(jù)的實(shí)時(shí)拉取，并基于統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)進(jìn)行數(shù)據(jù)轉(zhuǎn)換，然后再與用戶基礎(chǔ)數(shù)據(jù)進(jìn)行合并，如圖2所示。

在上網(wǎng)認(rèn)證服務(wù)器管理方面，通過各認(rèn)證系統(tǒng)的標(biāo)準(zhǔn)化webservce接口，進(jìn)行重新封裝，通過接口獲取各服務(wù)器的底層認(rèn)證數(shù)據(jù)。服務(wù)器管理界面如圖3所示。

服務(wù)器監(jiān)控界面可以統(tǒng)一地監(jiān)控和展示多個(gè)認(rèn)證服務(wù)器的運(yùn)行情況，如圖4所示。

同一賬號(hào)在多處同時(shí)在線被視為違規(guī)行為，以下是在平臺(tái)上檢索有這種違規(guī)行為的賬號(hào)并進(jìn)行相關(guān)處理的管理場景：

（1）在平臺(tái)上檢索違規(guī)用戶，如圖5所示。

（2）對違規(guī)賬號(hào)進(jìn)行批量發(fā)送警告信息后，再進(jìn)行批量下線操作，如圖6所示。

通過黑名單策略可以對違規(guī)賬號(hào)進(jìn)行禁止登陸管制，管理界面如圖7所示。

平臺(tái)管理權(quán)限控制設(shè)計(jì)如圖8所示。

系統(tǒng)可以根據(jù)各種功能模塊和特定操作設(shè)定權(quán)限，然后根據(jù)具體運(yùn)維情況進(jìn)行角色劃分，并把權(quán)限劃分到各種角色中，如一線運(yùn)維人員、二線運(yùn)維人員、運(yùn)維管理員角色等。然后把具體操作員用戶設(shè)定到某種角色中，從而實(shí)現(xiàn)操作員的權(quán)限控制。

3 系統(tǒng)測試和應(yīng)用

在真實(shí)校園網(wǎng)環(huán)境中部署了本文設(shè)計(jì)和開發(fā)的在線用戶統(tǒng)一管控平臺(tái)，對接的網(wǎng)絡(luò)認(rèn)證系統(tǒng)包括了H3C的MC認(rèn)證系統(tǒng)和銳捷的sam認(rèn)證系統(tǒng)。實(shí)際運(yùn)行的在線用戶管控平臺(tái)前端界面，如圖9所示。

平臺(tái)部署后，通過測試驗(yàn)證了對不同認(rèn)證系統(tǒng)上的校園網(wǎng)賬戶進(jìn)行實(shí)時(shí)統(tǒng)一監(jiān)測，并對異常上線的用戶進(jìn)行監(jiān)控、預(yù)警和控制，降低了異常接入用戶對校園網(wǎng)的影響，保證了校園網(wǎng)穩(wěn)定運(yùn)行。

4 總結(jié)

本文為解決校園網(wǎng)中的多套上網(wǎng)認(rèn)證系統(tǒng)并存使用時(shí)如何對在線用戶進(jìn)行統(tǒng)一監(jiān)控和管理的問題，設(shè)計(jì)和實(shí)現(xiàn)了一個(gè)在線用戶統(tǒng)一管控平臺(tái)。在已有的校園網(wǎng)環(huán)境下進(jìn)行平臺(tái)部署和測試，與多套認(rèn)證系統(tǒng)進(jìn)行了對接，運(yùn)行測試結(jié)果表明，本文提出的平臺(tái)實(shí)現(xiàn)了對在線用戶的統(tǒng)一管理和對多認(rèn)證服務(wù)器的統(tǒng)一監(jiān)控，提升了校園網(wǎng)網(wǎng)絡(luò)安全管理效率?；诒酒脚_(tái)收集的數(shù)據(jù)可以進(jìn)一步開展有較高實(shí)用價(jià)值的大數(shù)據(jù)分析研究，比如用戶軌跡分析、賬號(hào)安全分析等。

參考文獻(xiàn)

[1] 楊海鵬， 韓強(qiáng). 高校網(wǎng)絡(luò)實(shí)名制管理研究[J]. 吉林工程技術(shù)師范學(xué)院學(xué)報(bào)， 2018，34（1）：78-80.

[2] 崔治文， 周艷瓊. 基于802.1X+portal校園網(wǎng)認(rèn)證的原理與應(yīng)用[J]. 信息通信， 2016（11）：155-156.

[3] 姜建秋，李軍.一種基于SAM+的極簡網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)[J].青島大學(xué)學(xué)報(bào)（自然科學(xué)版），2018，31（3）：69-73.

[4] 葛雙豪. 基于SDN的Agle Controller網(wǎng)絡(luò)管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].南京大學(xué)，2019.

[5] 楊玲.高校無線校園網(wǎng)的建設(shè)和安全管理[J].網(wǎng)絡(luò)空間安全，2018，9（11）：88-92.

[6] 喻鋆.建設(shè)無線校園網(wǎng)[J].網(wǎng)絡(luò)安全和信息化，2017（10）：61-62.

[7] 楊朋.高校有線無線一體化網(wǎng)絡(luò)認(rèn)證實(shí)現(xiàn)方式研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（1）：65.

[8] 牛建濤. 支持多認(rèn)證協(xié)議的統(tǒng)一認(rèn)證系統(tǒng)研究[D].西安：西北大學(xué)，2008.

[9] 汪翔.高?！叭嗄Ｊ健盬LAN業(yè)務(wù)網(wǎng)絡(luò)分流建設(shè)模式[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2013，26（10）：11-15.

[10] 方蓓. 多種接入方式下的統(tǒng)一身份認(rèn)證設(shè)計(jì)與實(shí)現(xiàn)[D].昆明：云南大學(xué)，2011.

[11] 沈達(dá)峰.校園網(wǎng)多區(qū)域用戶接入認(rèn)證技術(shù)的研究[J].淮陰工學(xué)院學(xué)報(bào)，2016，25（5）：10-14.

[12] 林偉婷.C/S與B/S架構(gòu)技術(shù)比較分析[J].科技資訊，2018，16（13）：15-16.

（收稿日期： 2019.06.24）

基金項(xiàng)目：廣東省重點(diǎn)領(lǐng)域研發(fā)計(jì)劃（2019B010137001）;賽爾網(wǎng)絡(luò)下一代互聯(lián)網(wǎng)技術(shù)創(chuàng)新項(xiàng)目（NG20180111）

作者簡介：鄧國強(qiáng)（1984-），男，工程師，研究方向：網(wǎng)絡(luò)安全、自動(dòng)化運(yùn)維。

通信作者：韓穎錚（1984-），女，高級(jí)工程師，研究方向：網(wǎng)絡(luò)安全、軟件定義網(wǎng)絡(luò)。文章編號(hào)：1007-757X（2020）01-0022-04