计算机与现代化2013年第2期JISUANJI YU XIANDAIHUA总第210期文章编号：1006-2475（2013）02-0220-03收稿日期：2012-10-17作者简介：唐强（1981-），男，四川安县人，四川农业大学信息与教育技术中心助教，本科，研究方向：计算机网络及其应用，信息安全；叶小花（1980-），女，四川雅安人，网络管理员，本科，研究方向：计算机网络及其应用；尹祥（1974-），男，四川洪雅人，讲师，硕士，研究方向：计算机网络及其应用。

校园无线网络Portal 二次身份认证的设计与实现唐强，叶小花，尹祥(四川农业大学信息与教育技术中心，四川雅安625014)摘要：随着高校校园网规模的扩大及WLAN 建设，无线网络已成为校园网的一个重要组成部分。

本文根据我校实际需求，结合无线AC 控制器与ABMS Bras ，简化了用户端操作过程，并对无线网络用户的接入与访问控制采用Web Portal 二次身份认证一次通过的体系结构、工作原理和认证实现流程等进行了阐述。

关键词：ABMS ;无线AC 控制器;移动Portal 协议规范;Radius 协议中图分类号：TP393．08文献标识码：Adoi :10．3969/j．issn．1006-2475．2013．02．054Design and Implementation of Campus Wireless NetworkPortal Secondary Identity AuthenticationTANG Qiang ，YE Xiao-hua ，YIN Xiang（Information and Educational Technology Center ，Sichuan Agricultural University ，Ya ’an 625014，China ）Abstract ：With the expansion of campus network and the construction of WLAN ，the wireless network has become an importantpart of the campus network．Based on the demand of our school ，this paper combines the wireless AC controller with ABMS bras to simplify the operating process of users side ，describes the architecture ，working principle and certification process of wireless network users access and control adopting secondary identity authentications one-pass．Key words ：ABMS ；AC wireless controller ；mobile Portal protocol ；Radius protocol0引言无线网络的普及已成为校园网络的一个重要组成部分，我校计费系统目前注册用户数达3万人左右，上网高峰同时在线IP 数达2万人。

为满足用户所使用的笔记本、手机、Pad 等终端设备在网络中上网的需求，其认证是关键。

目前校园网中最常用的认证方式是网页认证，不需要安装不同系统的客户端而通过网页作为客户端使用，极大地减少了网络管理人员的维护工作量并降低了维护成本。

其认证过程是：用户连接到该区域的无线信号后获取到IP 地址，再进行计费网关Portal 认证，输入用户名和密码即可实现用户外网访问。

这种方式虽然简单，但无线AP 没有采用WEP 和EPA2等加密方式，安全性较低。

因此需要无线AC 控制器采用加密方式与启用Portal 认证，保证用户认证信息传输过程的安全。

因此我校结合无线AC 控制器实现了校园网网内第一次认证的准入与计费网关第二次认证的外网访问，用户端一次通过的流程。

1体系结构无线二次认证体系结构如图1所示，由无线AC控制器、核心交换机、DHCP 、Portal 、Radius 、Oracle 、ABMS Bras 组成。

它涵盖了数据业务的用户IP 获取、加密方式、认证方式、数据查询、业务计费、数据管理等的一套完整运营支撑系统。

（1）无线AC 控制器：无线网络的核心，负责管理无线网络的AP 与无线网络用户的准入。

实现Portal 认证、业务控制，接收Portal Server 发起的认证请求，完成用户Portal 认证功能。

（2）核心交换机：网络主干部分，其目的在于通过高速的转发通信，提供可靠的骨干传输结构，使网2013年第2期唐强等:校园无线网络Portal 二次身份认证的设计与实现221络资源合理地分配给多台交换机，使更多的用户顺利快速地获取资源。

（3）DHCP 服务器：使用户自动获得由服务器控制的IP 地址、子网掩码、网关、DNS 等信息。

（4）Portal 服务器：Web 门户网站，推送统一的认证页面，接收WLAN 用户的认证信息，向无线AC 控制器与计费网关发起用户认证请求和用户下线通知。

（5）Radius 服务器：配合无线AC 控制器与ABMS Bras 的Radius 认证，完成系统中的用户认证、授权、计费的功能。

（6）Oracle 服务器：计费认证系统中用户数据存储的服务器，采用Oracle 数据库。

（7）ABMS Bras 计费网关：网关认证服务器，配合Portal 服务器的认证请求，做Radius 认证并返回认证结果。

提供用户接入、带宽管理、P2P 控制、Radius Client 等接入控制功能。

图1认证体系结构图2工作原理与实现过程2．1工作原理用户连接到该区域的无线信号后，经过AC 由DHCP 服务器下发用户IP 等信息，AC 启用Portal 认证，由AC 重定向Portal 认证页面，Portal Server 同时与AC 控制器、Bras 做Radius 认证，并将认证结果返回给用户，实现后续上网过程。

Portal 认证方式有PAP 认证和CHAP 认证，本次实验采用PAP 认证。

2．2实现过程用户认证上线流程如图2所示。

图2用户认证上线流程（1）DHCP 报文经AC 控制器与核心交换机将请求转发给DHCP 服务器，使用户获取合法的IP 地址。

AC 控制器虚接口启用Portal ，用户在访问网站时，通过AC 控制器重定向认证页面到Portal Server 。

（2）由Portal Server 推送统一的认证网页，向用户提供认证页面。

（3）用户得到推送的认证网页，填入用户名与密码，提交该页面信息给服务器向Portal Server 发起连接请求。

（4）Portal Server 向Oracle 数据库查询用户名与密码等信息，对用户的合法性进行检查。

如果查询失败，或账户不可用，Portal 结束认证流程，并直接返回提示信息给用户。

（5）查询成功后，Portal Server 把账号同时送到内网AC 控制器和外网Bras 发起认证请求。

（6）内网AC 控制器进行Radius 认证，获得Radi-us 认证结果；外网Bras 进行Radius 认证，获得Radius 认证结果。

（7）内网AC 控制器向Portal Server 返回认证结果，外网Bras 向Portal Server 返回认证结果。

认证通过后实现两次身份认证一次通过。

3体系特点系统采用统一数据库管理，不同的认证平台及特有的免数据库认证，适用于跨地校区的统一管理。

对用户的各种访问进行授权与统一的认证和收费管理，一套系统多点部署，分散各业务功能而提供一套完整的综合业务管理系统。

本系统具有以下特点：（1）只维护一套中心数据库，省略了异地数据同步、备份的过程，降低了系统的风险和维护人员的劳222计算机与现代化2013年第2期动强度。

（2）高并发大容量分布式接入、实时操作系统和相应的主备系统，提高系统的高可用性和安全性。

（3）控制流和业务流完全分离，易于实现多业务运营，少量改造传统包月制网络即可升级成运营级网络。

（4）在二层网络上实现用户认证，结合IP地址或范围、MAC、端口、账户和密码绑定技术，使网络具有很高的安全性。

（5）网络访问服务器NAS与Radius服务器配合，可以对用户身份进行认证，只有合法用户才能使用网络，并在此基础上进行计费，体现了用网的公平性。

（6）用户IP地址合法性，根据IP规划，不同无线区域用户IP地址由DHCP服务器指定下发。

AC控制器开启DHCP Snooping、ARP-Snooping、ARP Detec-tion等功能，可对局域网内假冒DHCP Server屏蔽，同时基于ARP应答表项对用户合法性检查和ARP报文有效性检查与强制转发，使用户IP地址具有合法性与唯一性。

4结束语本文设计了校园无线网络Portal二次身份认证计费体系方案，实现了系统各主要功能，并为系统的进一部完善提供了方便。

随着技术的发展和有线无线网络认证统一的实施，将逐步完善校园网认证、计费管理系统的功能。

为了验证系统的稳定性和可靠性，通过对学校1000名学生的资料录入作为测试用例，对系统进行了功能测试、性能测试、安全测试和认证流程测试，并针对测试的结果作出相应的系统设计调整，最终达到系统最初的预计需求和效果。

参考文献：［1］Morrison J E，Allen Jr R R，Wilkins D E，et al．Conser-vation planter，drill and air-type seeder selection guideline［J］．Applied Engineering in Agriculture，1988，4（4）：300-309．［2］Kanodia V，Li C Z，Sabharwal A，et al．Distributed priori-ty scheduling and medium access in Ad-Hoc networks［J］．Wireless Networks，2002，8（5）：455-466．［3］李兴国．基于802．1x的宽带网认证计费系统设计与实现［D］．成都：电子科技大学，2004．［4］田志英．基于RADIUS协议的校园网用户认证计费系统的实现［D］．西安：西安科技大学，2010．［5］梁裕，熊伟建，阳琼芳．校园网安全认证计费系统选型及应用［J］．福建电脑，2007（4）：112-113．［6］周增国，刘铁忠，王健．校园网系统安全的研究及应用［J］．大连大学学报，2003，24（2）：29-31．［7］田志英，廖晓群，赵安新．校园网认证计费系统的研究与实现［J］．计算机技术与发展，2010，20（5）：202-206．［8］李洪伟，孙世新，杨浩森．基于身份的无线局域网认证协议设计与实现［J］．计算机应用研究，2007，24（12）：183-185．［9］唐磊，金连甫．大型拨号认证计费服务器的设计与实现［J］．计算机工程与设计，2004，25（7）：1159-1161．［10］赵宇，刘刚，杨宗凯．一种基于Linux的Radius客户端的设计与实现［J］．计算机工程，2003，29（15）：112-114．［11］伍银，杨厚云，王遵刚．认证计费技术在校园网中的应用［J］．北京机械工业学院学报，2006，21（3）：47-50．［12］刘雪晖，尹超，何彦，等．网络化制造集成平台集中式身份认证策略研究［J］．计算机集成制造系统，2005，11（6）：885-890．［13］邹宗惠，唐学文，肖书成，等．校园网计费系统的研究与实现［J］．计算机工程与设计，2005，26（l）：132-134．［14］陈传峰，李增智．基于用户管理的网络计费系统［J］．计算机工程，2000，26（9）：97-99．［15］李卫国，曹志毅，高健．浅谈认证技术在校园网中的应用———802．1X与AAA认证的结合应用［J］．西安欧亚学院学报，2005，3（3）：檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼檼90-92．。