校际移动漫游的研究

　　高校信息化的高速发展，移动设备的全面普及，无线网络已经成为高校校园网络的重要组成部分，大量科研和教育信息资源的使用都依赖于移动网络平台. 出于信息网络安全管理的需要，在已建的高校无线校园网中，使用了一些网络安全接入管理机制，以确保用户实名制登录注册，并限制未授权用户的访问. 现有的这种管理方式虽然满足了校内师生员工的使用，但随着校际间的交流和访问日益频繁，对于校际间互访人员的移动网络使用、远距离教学和学生跨校选课非常不方便. 高校师生在其他高校访学交流时，能够通过校际间的移动漫游、使用该校无线资源实现教学交流的愿望越来越强烈.

　　未来的移动网络已经不再是传统的无线接入功能，无区域限制的. 可漫游的移动网络已经成为终端设备的主要接入方式，所以校园无线网络要具备充分的移动性，不仅局限在本学校的办公室，需扩展至室外区域、操场、甚至是其他兄弟院校具有无线网络的任何地方.

　　1 校际移动漫游分析

　　目前各重点高校已经基本完成无线网络的全校覆盖，根据建设的汇总归类，新建设的无线网络主要使用瘦AP + 认证计费网关的方式，但各高校对访问控制、安全要求等的支持各不相同，各个厂商对认证接口的支持有一定的差异性.

　　在接入认证方面，根据高校使用的各个厂商或集成商的应用方案汇总归类，大部分高校使用Web认证. 即用户首次使用网络时会打开认证网页，要求用户输入账户进行认证接入. 但Web 页的后端认证方式，各个高校存在较大差异. 主要有Radius 认证、LDAP 认证和数据库认证等几种方式，另外还有个别学校使用802. 1x 认证，即在用户连接网络时要求用户提供账户. 这些差异性给设计、开发和集成统一跨校认证带来了难度，所需要的底层平台必须兼容各个高校的主流认证构架，同时还能支持跨校应用.

　　因此，用户需要一种校际间网络安全接入控制和移动无线接入解决方案. 该网络安全接入控制和移动无线接入解决方案必须能够充分满足如下建设需求:

　　( 1) 采用国际标准技术体系;

　　( 2) 充分利用现有各高校网络结构与资源，不单独组网. 并且不对现有各高校网络结构以及设备配置做任何改动变化，新建的校际间系统不对现有网络产生任何影响;

　　( 3) 采用集中控管技术，集中统一管理的终端设备;

　　( 4) 系统必须具有高可用性设计，保证在设备单点故障条件下能够无缝自愈，保障业务的连续性;

　　( 5) 系统必须能够支持多种灵活的用户认证方式，并且能结合现有高校网络认证系统协同工作;

　　( 6) 系统必须能够灵活支持各种无线认证加密技术标准，能够为不同种类、不同性能的终端设备提供安全的无线连接;

　　( 7) 系统要能够方便和灵活地调整与扩展，充分考虑投资保护.

　　2 校际移动漫游组网设计

　　2. 1 组网设计分析

　　校际移动漫游的实现，主要涉及3 个方面:

　　( 1) 校际移动漫游网络的安全接入. 漫游网络对漫游用户进行鉴别，同时漫游用户也对漫游网络进行鉴别;

　　( 2) 校际移动漫游网络的认证. 包括外校的学生漫游到本校，通过无线网接入访问互联网这个认证过程的实现和本校学生漫游到其他学校后，需要为用户接入无线网络提供身份认证;

　　( 3) 漫游中心的建设. 漫游中心需要一个平台，对没有建立直接认证信任关系的高校需要实现各校漫游用户的账号认证中转.

　　第1 个要解决的问题是其他学校的用户漫游到本校后，本校无线网络如何鉴定用户的身份，从而为用户提供网络服务. 这就对提供接入的设备( 包括无线控制器) 功能提出要求.

　　第2 个要解决的问题是本校用户漫游到其他院校后，如何为其他学校的网络提供身份验证服务，分2 种情况: 返回归属地认证和漫游中心认证. 在接入地认证，认证系统应保留完整的认证记录及统计记录，以便复查; 返回归属地认证，则按归属地学校原有的上网记录统计和安全审计.

　　第3 个要解决的问题是漫游平台的构架，成员之间的链路流量问题. 漫游系统需要能够提供各高校无线网络漫游服务的情况统计，包括各成员提供漫游服务的时长及漫游所产生的流量，应保留完整的认证记录及统计记录，以便高校大数据收集分析.

　　2. 2 安全的接入

　　无线信号是不可见的，如何在无线网络中识别用户，如何保证用户的匿名性等，为了解决这些安全接入问题，许多无线网络认证协议被提出.WAPI ( Wireless LAN Authentication and PrivacyInfrastructure) 无线局域网鉴别和保密基础结构，是一种安全协议，同时也是中国无线局域网安全强制性标准.

　　WAPI 技术特点在于: 在用户接入过程中，采用双向鉴别的方式. 不仅仅是网络对用户进行鉴别，用户也要对网络进行鉴别. 避免用户接入不合法的网络或者伪造的网络，解决了无线网络接入中“合法用户接入合法网络”的问题.

　　2. 3 漫游认证

　　安全和快速的认证是实现无缝漫游切换的一个关键技术，由于WAPI 提供了基于证书和预共享密钥的安全机制，但只做链路层认证和加密，保护空中数据不被窃取或非法接入，因此需要在WAPI 国家标准的基础上进行扩展，叠加LDAP 或RAIDUS漫游认证，解决WAPI 安全机制的证书漫游认证鉴别问题，提供一种基于WAPI 证书的漫游认证鉴别.

　　2. 4 漫游认证中心的建立

　　校区间如果没有找到直接信任的用户认证，则需要建立统一的漫游认证中心，把漫游鉴别请求发往漫游认证中心，由漫游认证中心交换存储认证证书或预置共享密钥建立信任关系，漫游认证中心再把漫游证书鉴别请求发给归属地AS ( AuthenticationServer) 鉴权服务器进行证书鉴别，叠加LDAP 或RAIDUS 漫游认证.

　　2. 5 校际漫游系统架构

　　校际漫游系统架构分2 种情况，第1 种情况是漫游学校认证数据流和网络数据流都返回归属学校，无需部署认证中心，无结算和对帐，认证记录及统计记录由各学校自己保留. 第2 种是漫游学校认证数据流到漫游中心认证，网络数据流从漫游学校出去.

　　3 校际移动用户漫游实现

　　首先统一校际移动漫游的SSID，各高校按要求广播本校和校际移动漫游统一的SSID，接入校际移动漫游统一的SSID 接入将推送校际移动漫游的Portal 认证页面，校际移动漫游的Portal 认证页面统一进行配置管理. 要求各高校无线控制器实现不同SSID 接入的用户能够推送不同的Portal 页面，控制器与Portal 系统的交互要满足Portal 规范.结合漫游学校和归属学校的网络实际情况，分为2 种漫游实现情况，第1 种情况是在有链路链接的学校之间，漫游学校和归属学校AS 直接建立信任关系，漫游用户实现跨校漫游.

　　步骤如下:

　　①无线用户访问互联网，无线控制器AC 或AP网关向用户发送鉴别激活;

　　②用户发出鉴别请求，请求安全的可信接入;

　　③根据用户接入的SSID 不同，重定向至不同登录页面，用户接入无线漫游的SSID，推送Portal服务器上统一的无线漫游认证页面;

　　④用户点击WAPI 证书申请的链接;

　　⑤漫游学校的AS 返回证书申请页面，需要用户使用用户名和密码登陆;

　　⑥用户选择归属学校，填写用户名和密码，系统自动在用户输入的账号添加归属学校标识的后缀;

　　⑦漫游学校的AS 记录着其他建立信任关系的AS 地址，发送到归属学校的AS 验证;

　　⑧归属学校认证平台找LDAP 或RAIDUS 服务器进行认证;

　　⑨LDAP 或RAIDUS 服务器返回用户认证成功信息;

　　⑩返回绑定用户名与证书信息( 系统为每一个用户和AP /AC 均下发一张证书，AS 再将其证书与自己生成的证书相绑定，这样既可以保证CA 颁发证书，又可以顺利完成漫游鉴别功能) ;

　　11提供用户证书下载链接;

　　12用户下载证书并安装( WAPI 使用X. 509 证书，大小约为2K) ;

　　13用户接入使用互联网;

　　14第一次安装好证书后，用户访问互联网业务

　　以后都可免登陆认证，无感知上网.

　　第2 种漫游情况的实现需要建立漫游中心AS，由漫游中心AS 负责中间各漫游学校AS 之间的漫游鉴别消息. 用户实现漫游情况和第一种情况的步骤基本一样，漫游中心的认证平台做LDAP /RADIUS PROXY，判断用户账号携带的后缀名后将账号以LDAP /RADIUS 认证请求包转发给账号后缀对应的学校认证服务器，或者漫游中心的认证平台找学校的LDAP /RAIDUS 服务器进行认证. 漫游中心的LDAP /RADIUS 认证系统要维护一张账号后缀与对应学校认证服务器IP 的对应表，实现依据后缀将账号去后缀后转向不同的学校认证服务器. 漫游用户所属学校认证服务器返回给漫游中心认证平台认证结果，漫游中心认证平台将认证结果返回给网关或无线控制器，控制器或认证网关根据认证结果控制用户是否允许接入互联网，如果认证通过，认证网关或无线控制器发送计费开始包给漫游中心认证计费平台，平台转发计费开始报文给用户所属学校的LDAP /RADIUS 系统.

　　用户发出下线请求后，认证网关或无线控制器器发送网络漫游结束始包给漫游中心认证审计平台，同时传递用户在线的时长及使用的信息给漫游中心平台，并通过漫游中心平台传递到用户所在学校的LDAP / RADIUS 认证服务器.

　　在漫游认证中心系统上实验漫游认证通过，截取到的漫游认证日志，其中202. 38. 192. 182为漫游中心AS 的IP 地址，202. 116. 45. 253 为到我校漫游认证AS 的IP 地址

　　自2014 年9 月在广东省3 所重点高校部署并试运行后，高校师生即可在多个公共区域内2 000余个无线接入点使用各校的有效账号登陆实现跨校无线漫游，系统发放证书200 多份，总计有1 000 余次的使用量.跨校移动漫游的实现，极大地方便了各高校师生的跨校交流，得到了师生的一致好评.

　　4 结论

　　跨校移动漫游系统先进的移动性，增强与改善了现有高校的教学模式，为将高校建设成为“具有鲜明地域特色的教学研究型”大学提供信息化支撑与保障. 各高校教职员工和学生可以使用统一帐号，进行校际间的移动漫游，免除了到其他学校需要申请与设置的困扰，通过无线网络环境，迅速便捷地获取各校的网络信息资源与资讯，方便了学校行政人员公文往来，通过教育信息资源的共享，创造更宽广的学术交流环境，有助于教学品质的提升.