论文部分内容阅读
摘要: 文章介绍了基于五位一体模式的统一身份认证平台建设,包括网络现状、整体架构及建设模式。统一身份认证平台克服了传统有线和无线网络的账号分离、多重计费管理等诸多弊端,对于校园网管理、提高网络用户体验效果、具有重要的作用。
关键词:五位一体;统一身份认证;SAM
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)15-3485-02
The Unified Identity Authentication Platform Construction Based on the Five in One Mode
HUANG Shi-ping, CHENG Yue, GU Jin-yuan, WU Xue-qian
(Department of Modern Educational Technology, Nanjing Medical University, Nanjing 210029, China)
Abstract: This paper introduces the entire process of the unified identity authentication platform construction based on the five in one mode, including the status quo of network, structure and construction of the whole. Unified identity authentication platform overcomes many disadvantages of traditional network separation, multiple billing management accounting,for campus network management,plays an important role.
Key words: Five in one mode; unified identity authentication; SAM
1 网络现状
南京医科大学连云港校区校园网建设已全部完成,随着校园网应用不断深入,校园网身份认证管理成为是一个重要的建设内容。我校现有学生宿舍区接入了有线网络,用户统一使用锐捷客户端软件登录访问网络。有线网络采用的是包月的计费方式,同时很多学生又开通了学校的无线网络,无线网络采用计时策略。对于学生网络用户来讲,有线网络和无线网络使用两个账号,分别计费。因此需要校园网内建设统一的身份认证管理平台,实现对校园网用户的入网和出网的认证管理和多种的认证方式web或802.1x[1],以及学校针对校园网运营管理的提供灵活计费方式。
2 统一身份认证平台建设
建设统一管理平台是在原有校园网的出口区部署一台锐捷网络出口引擎设备RG-NPE作为出口网关设备为内网用户提供上网服务,锐捷应用控制引擎RG-ACE作为流量控制及出口认证网关设备,和RG-eportal网络身份准入门户系统,通过NPE、SAM及Eportal的联动实现校园网的统一身份认证和计费管理平台[2]。网络架构如图1所示。
此次校园网统一身份认证按照五位一体模式建设,建设准入和准出一体化、灵活的认证方式(802.1x和Web认证功能)、支持基于IPv4认证计费的IPv6兼容、校内和校外一体化、有线和无线一体化。五位一体建设模式如图2所示。
2.1 准入和准出一体化[3]
準入认证是为了验证身份,包括接入网络中的用户标识(User ID)、主机标识(MAC)、网络标识(IP),确保网络用户身份的合法、真实;并且,可以有效地防止账号盗用、防IP篡改、防MAC篡改,实现内网的安全、可控、易定位和强审计。
准出是为了区分权限,需要针对某个网络用户是否可访问校外、可使用多少流量、可占用多少出口带宽等进行定义。同时,基于校园网准出技术,满足基于时长、流量、带宽三者独立或任意复合的计费策略,适应普遍存在的校内免费、校外收费的计费需求。
结合学校现有网络情况,在宿舍区采用802.1X客户端方式的准入和准出认证。学生可以通过客户端进行自主的选择校内和校外服务,实现校内免费和校外计费的功能。对于办公区考虑使用的灵活性可以采用web方式的准出认证,无需安装客户端只对出网时通过web页面进行认证管理。
2.2灵活的802.1x和web认证方式
通过在校园网内的接入交换机开启802.1X与RG-SAM系统,实现校园网的802.1X的认证方式,实现对802.1X用户的精细化管理和控制。
Web认证方式与传统的802.1x认证方式相比,对于用户的安全控制相对弱一些,但是无需安装802.1x的客户端,所以使用相对灵活。比较适合需求使用方式方便的教学科研办公区管理。通过在出口部署的RG-ACE作为出口的认证网关设备和RG-eportal网络身份准入门户系统,在出口区实现web的准出。
2.3 支持基于IPV4认证计费的IPV6兼容[4]
下一代互联网的发展和演进势不可挡,高校作为下一代互联网关键技术研究及应用的主题,要实现向下一代互联网的平滑过渡,以提供更加普遍的IPv6用户访问和更加普遍的IPv6用户服务,校园网安全运营管理被要求同时承载IPv4协议和IPv6协议。
本次统一身份认证平台建设采用的认证和计费软件,在基于IPv4认证计费的基础上兼容IPv6协议,确保了有IPv6协议的网络中,可以正常认证,并和IPv4协议同时计费。
2.4 校内和校外一体化
随着数字校园建设和应用的深入,校外VPN访问需求变得越来越普遍。结合网络中实际的vpn设备,根据vpn设备的类型与SAM系统进行兼容性的联动测试,以实现校内校外一体化认证的功能。
2.5 有线和无线一体化
学校现有网络包括有线网络和无线网络,结合实际情况,用户IP采用动态获取认证方式,采用web认证方式,统一账号实现有
线无线一体化认证。并且web认证时进行无感知认证方式,在用户第一次进行web认证成功后,选择后续采用MAC地址认证,由SAM进行自动绑定用户的MAC。后续再次接入无线网络就无需再次输入用户名和密码,后台直接进行MAC地址认证。对于用户来说,这一切都是透明的无需进行任何操作,既省去认证的步骤又能安全的直接访问网络[5]。
3 结束语
通过建设网络统一身份认证平台,师生能够随时随地、无拘束的连接到校园网,通过访问内网和外网各种资源,完成各项办公事务和日常生活,提高网络管理水平的同时,也推动了高校信息化建设进程[6]。
参考文献:
[1] 张冲,武超,杨要科.校园网统一身份认证系统的设计与实现[J].中原工学院学报.2008(4).
[2] 洪丹丹.统一身份认证服务器的研究与实现[J].中国教育信息化,2011(3).
[3] 李晓林,杨兵泽,张文婷.统一身份认证的设计与实现[J].软件导刊,2011(6).
[4] 宿宏毅.校园网统一身份认证的研究与实现[J].内蒙古石油化工,2011(4).
[5] 杨尚森.统一身份认证及其在校园网中的应用[J].洛阳大学学报,2006(2).
[6] 贾宗星,董丽丽.基于Web Services单点登录系统的设计与实现[J].计算机时代,2006(9).
关键词:五位一体;统一身份认证;SAM
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)15-3485-02
The Unified Identity Authentication Platform Construction Based on the Five in One Mode
HUANG Shi-ping, CHENG Yue, GU Jin-yuan, WU Xue-qian
(Department of Modern Educational Technology, Nanjing Medical University, Nanjing 210029, China)
Abstract: This paper introduces the entire process of the unified identity authentication platform construction based on the five in one mode, including the status quo of network, structure and construction of the whole. Unified identity authentication platform overcomes many disadvantages of traditional network separation, multiple billing management accounting,for campus network management,plays an important role.
Key words: Five in one mode; unified identity authentication; SAM
1 网络现状
南京医科大学连云港校区校园网建设已全部完成,随着校园网应用不断深入,校园网身份认证管理成为是一个重要的建设内容。我校现有学生宿舍区接入了有线网络,用户统一使用锐捷客户端软件登录访问网络。有线网络采用的是包月的计费方式,同时很多学生又开通了学校的无线网络,无线网络采用计时策略。对于学生网络用户来讲,有线网络和无线网络使用两个账号,分别计费。因此需要校园网内建设统一的身份认证管理平台,实现对校园网用户的入网和出网的认证管理和多种的认证方式web或802.1x[1],以及学校针对校园网运营管理的提供灵活计费方式。
2 统一身份认证平台建设
建设统一管理平台是在原有校园网的出口区部署一台锐捷网络出口引擎设备RG-NPE作为出口网关设备为内网用户提供上网服务,锐捷应用控制引擎RG-ACE作为流量控制及出口认证网关设备,和RG-eportal网络身份准入门户系统,通过NPE、SAM及Eportal的联动实现校园网的统一身份认证和计费管理平台[2]。网络架构如图1所示。
此次校园网统一身份认证按照五位一体模式建设,建设准入和准出一体化、灵活的认证方式(802.1x和Web认证功能)、支持基于IPv4认证计费的IPv6兼容、校内和校外一体化、有线和无线一体化。五位一体建设模式如图2所示。
2.1 准入和准出一体化[3]
準入认证是为了验证身份,包括接入网络中的用户标识(User ID)、主机标识(MAC)、网络标识(IP),确保网络用户身份的合法、真实;并且,可以有效地防止账号盗用、防IP篡改、防MAC篡改,实现内网的安全、可控、易定位和强审计。
准出是为了区分权限,需要针对某个网络用户是否可访问校外、可使用多少流量、可占用多少出口带宽等进行定义。同时,基于校园网准出技术,满足基于时长、流量、带宽三者独立或任意复合的计费策略,适应普遍存在的校内免费、校外收费的计费需求。
结合学校现有网络情况,在宿舍区采用802.1X客户端方式的准入和准出认证。学生可以通过客户端进行自主的选择校内和校外服务,实现校内免费和校外计费的功能。对于办公区考虑使用的灵活性可以采用web方式的准出认证,无需安装客户端只对出网时通过web页面进行认证管理。
2.2灵活的802.1x和web认证方式
通过在校园网内的接入交换机开启802.1X与RG-SAM系统,实现校园网的802.1X的认证方式,实现对802.1X用户的精细化管理和控制。
Web认证方式与传统的802.1x认证方式相比,对于用户的安全控制相对弱一些,但是无需安装802.1x的客户端,所以使用相对灵活。比较适合需求使用方式方便的教学科研办公区管理。通过在出口部署的RG-ACE作为出口的认证网关设备和RG-eportal网络身份准入门户系统,在出口区实现web的准出。
2.3 支持基于IPV4认证计费的IPV6兼容[4]
下一代互联网的发展和演进势不可挡,高校作为下一代互联网关键技术研究及应用的主题,要实现向下一代互联网的平滑过渡,以提供更加普遍的IPv6用户访问和更加普遍的IPv6用户服务,校园网安全运营管理被要求同时承载IPv4协议和IPv6协议。
本次统一身份认证平台建设采用的认证和计费软件,在基于IPv4认证计费的基础上兼容IPv6协议,确保了有IPv6协议的网络中,可以正常认证,并和IPv4协议同时计费。
2.4 校内和校外一体化
随着数字校园建设和应用的深入,校外VPN访问需求变得越来越普遍。结合网络中实际的vpn设备,根据vpn设备的类型与SAM系统进行兼容性的联动测试,以实现校内校外一体化认证的功能。
2.5 有线和无线一体化
学校现有网络包括有线网络和无线网络,结合实际情况,用户IP采用动态获取认证方式,采用web认证方式,统一账号实现有
线无线一体化认证。并且web认证时进行无感知认证方式,在用户第一次进行web认证成功后,选择后续采用MAC地址认证,由SAM进行自动绑定用户的MAC。后续再次接入无线网络就无需再次输入用户名和密码,后台直接进行MAC地址认证。对于用户来说,这一切都是透明的无需进行任何操作,既省去认证的步骤又能安全的直接访问网络[5]。
3 结束语
通过建设网络统一身份认证平台,师生能够随时随地、无拘束的连接到校园网,通过访问内网和外网各种资源,完成各项办公事务和日常生活,提高网络管理水平的同时,也推动了高校信息化建设进程[6]。
参考文献:
[1] 张冲,武超,杨要科.校园网统一身份认证系统的设计与实现[J].中原工学院学报.2008(4).
[2] 洪丹丹.统一身份认证服务器的研究与实现[J].中国教育信息化,2011(3).
[3] 李晓林,杨兵泽,张文婷.统一身份认证的设计与实现[J].软件导刊,2011(6).
[4] 宿宏毅.校园网统一身份认证的研究与实现[J].内蒙古石油化工,2011(4).
[5] 杨尚森.统一身份认证及其在校园网中的应用[J].洛阳大学学报,2006(2).
[6] 贾宗星,董丽丽.基于Web Services单点登录系统的设计与实现[J].计算机时代,2006(9).