返回
校际无线漫游认证研究

校际无线漫游认证研究

ID:22609967

大小:63.12 KB

页数:6页

时间:2018-10-30

校际无线漫游认证研究_第1页
校际无线漫游认证研究_第2页
校际无线漫游认证研究_第3页
校际无线漫游认证研究_第4页
校际无线漫游认证研究_第5页
资源描述:

《校际无线漫游认证研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、校际无线漫游认证研究摘要:近几年,无线网络迅速发展并已趋于成熟。在学校交流越发频繁的今天,伴随着学术研讨和开放式大学的建设,校园无线网络支持跨校认证的需求越发强烈。本课题在RADIUS代理基础上实现跨校认证平台,结合多所高校自身无线网络认证的建设情况,集成跨校认证和各高校内部无线认证,实现跨校认证接入外校无线网络,避免了异地认证的繁琐,简化了业务流程。关键词:无线网络;漫游认证;RADIUS代理;城域网1研究背景及意义随着各高校自身无线网络建设的逐步完成,在校师生对无线网络的使用越发频繁,人们对无线网络的认知度与依赖性逐渐加强。大多数高校建立

2、无线校园网是为了解决公共区域的上网问题。而这些区域的校外用户较多,对移动上网的需求更加迫切。显而易见,因安全考虑设置的屏障,使这些校外用户无法使用无线网,一定程度上违背了学校在公共区域建设无线网的初衷[1]。通过统一身份认证来开放无线网络访问权限进而共享校园网络资源。这将为高校其他教育资源的共享奠定基础,成为全面资源共享的重要契机。无线网络可以成为组建高校联盟的原动力。2关键技术与本地认证相同,漫游认证也需要借助于RADIUS协议来进行用户的身份确认。实现漫游认证功能的技术核心是依靠RADIUS代理机制,完成不同认证服务器间的数据转发。RAD

3、IUS代理的转发流程如图1所示。经过调研分析发现,目前主流无线产品都能较好的支持中国移动Portal协议标准[2]。并且使用WebPortal的认证方式能够摆脱客户端软件对用户和移动设备的限制,大大降低网络管理人员在客户端软件方面的维护量。因此,在实现校际无线漫游认证联盟的过程中,主要采用了RADIUS代理和WebPortal两种关键技术。3设计实现校际无线漫游认证联盟借助城域网的数据传输能力,通过构建漫游认证中心来提供RADIUS代理与WebPortal页面登录服务。漫游认证中心的RADIUS代理服务器主要用于存储各单位认证服务器信息以及进

4、行相应的认证数据转发工作。用户在进行漫游认证登陆时,通过登陆页面填写用户名和密码信息。用户的身份描述采用“uid@realm”的方式,其中“uid”是用户在其本地认证机构的登记名称,“realm”是用户所在单位的机构名称。以高校B用户到高校A进行漫游认证登陆为例,漫游认证过程如图2所示。首先该用户接入高校A的无线网络,通过网关设备获取到漫游中心Portal服务器推送的登陆页面。在登陆页面提交“nid@realm”形式的信息后,网络设备会将该信息进行封装并以RADIUS协议形式提交给漫游认证中心的RADIUS代理服务器。RADIUS代理服务器通

5、过查询各认证机构的信息,最终将该认证报文转发到高校B的AAA服务器。在转发过程中RADIUS代理服务器会将“uid@realm”中的机构信息“realm”去掉,只保留用户的“uid”。因为只有这样高校B的AAA服务器才能正确处理该用户的认证请求。高校B的认证系统将“认证通过”或“认证失败”的信息,经由RADIUS代理服务器原路返回至高校A的网关设备。网关设备根据该返回信息对用户进行“放行”或“拒绝”。4安全性研究在整个认证过程中,用户的密码仅仅在用户本地进行明文处理,离开用户终端后的RADIUS协议中都是经过加密处理的密文信息,因此整个认证过

6、程是相对安全的。由于漫游架构的提出,使用户数据必须通过城域网传递到远端。在保证本地系统安全的同时,也需要保护用户数据在城域网上传递的安全与稳定。MPLSVPN[3]技术便很适合用于在城域网级别来处理类似问题。通过将认证信息特有的地址和端口进行标记,使用户数据在固定的MPLSVPN通道中交互。在MPLSVPN中通信的主机甚至可以使用私有地址。使用该技术可以将漫游认证信息与其他城域网信息进行隔离。不法分子想要通过城域网攻击认证服务器的难度将大大增加。使用此种方式既保证用户信息的私密性,又能通过QoS调度策略来实现认证数据通信的稳定性和高可用性。无

7、线网络相对开放的使用环境导致其安全问题尤为凸显。为了在安全问题发生后及时追溯到责任人,认证系统就起到了至关重要的作用。在实际使用过程中发现,漫游认证中心可以记录全部漫游认证信息,但是大部分单位的园区网络在提供漫游用户访问互联网时,往往会使用NAT等技术手段来处理用户IP地址。当用户的实际使用IP经过NAT处理后,就很难通过漫游认证信息来追查到该IP的具体使用者了,因为产生安全问题记录的公网IP地址可能指向了多个漫游认证用户。为了实现对漫游用户的溯源,需要在用户认证过程中对用户的认证地址进行修改,将用户设备获取到的实际IP封装到认证的RADIU

8、S请求报文中。此时漫游认证中心的RADIUS代理服务器就能够记录下,包含每个漫游用户实际使用IP地址的认证信息。再配合各单位出口的NAT日志就能够实现完整的漫游用户

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。