高校认证方式探讨与实践.docx
《高校认证方式探讨与实践.docx》由会员分享,可在线阅读,更多相关《高校认证方式探讨与实践.docx(6页珍藏版)》请在冰豆网上搜索。
高校认证方式探讨与实践
高校认证方式探讨
与实践
季镇宇、卞银兵、唐仁红
2011年6月
一、项目背景
目前我公司与越来越多的高校展开宽带业务,高校宽带对于有效捆绑学生用户,稳定校园市场份额至关重要。
其中认证计费问题是双方合作的关键与焦点,主要原因不仅仅在于网络状况、需求的差异,最关键的在于认证系统与学校对学生的掌控、经济利益等息息相关,因此计费认证事实上是各种利益的平衡与博弈的结果,基于以上的情况,导致高校宽带认证计费方式很难用一种简单模式以概括,因此我公司针对前期高校宽带接入情况,对各类情况进行了研究,根据场景对认证计费实现方式进行了汇总,希望可以对于省内其他兄弟公司起到借鉴作用。
二、高校认证难点分析
高校认证计费难点在于情况各异,需求各异。
高校网络从网络形态上可分为有线网络和WLAN网络,有线网络可采用PPPOE、WEB、802.1X认证,无线网络因为要考虑到根据智能手机、IPAD等上网,一般采用WEB认证。
网络按照功能分类可分为教学网和宿舍网,二者的认证方式与要求各校都有不同,一般宿舍网一般都要求采用防代理技术。
教学网一般采用WEB认证。
此外高校接入运营商情况也不一,有些学校只与移动一家合作,有的与电信、联通都有合作,基础网络为学校所有,学校要求学生可自主选择运营商网络上网并与学校进行分成。
在合作范围上,高校也不相同,有的高校将全校所有网络都开放给运营商,有的仅仅是局部网络,而且有的学校同意将部分网络独立给运营商单独运营,有的仍然要在学校校园网统一管理下,作为校园网的一个接入部分。
在认证平台选取上,有的学校开放给移动,采用手机号码至省平台认证,有的学校坚持采用采用学号或一卡通号码认证,平台为学校自建平台。
此外,随着数字化校园的建设,一些学校要求将网络准入认证与学校单点登录(SSO)系统统一起来,因此本文将针对以上场景进行逐一研究,由简单至复杂,逐一给出合适的解决方案。
三、各类场景解决方案
场景1:
学校将校园宿舍网、或WLAN网络交由移动自行运营,只要求宿舍网或WLAN必须与校园网实现免认证互联,典型案例:
南通电大、南通航院。
方案描述:
宿舍网采用普通EPON方式接入,接入城域网BAS,由BAS进行认证,另由于是宿舍网,需有防代理要求,因此在城域网内架设防代理服务器,通过radius代理技术将账号、密码送至防代理服务器,由防代理服务器进行防代理确认后,转交省radius认证。
另在BAS上新增一条链路与学校核心路由相连,增加去学校校园网路由,并在城域网内对该路由加以过滤,以此实现宿舍网与校园网的互联。
此外根据校方要求,学校要求免认证可访问校园网,在bas上配置认证前域中加入校园网段,实现免认证访问校园网。
宿舍网与无线不同之处:
(1)宿舍网采用防代理,而无线无需防代理,采用WEB方式认证。
(2)宿舍网可采用城域网任意BAS,WLAN必须为省公司指定的5200G设备。
对于宿舍网学生上网采用客户端方式,用户名为手机号码,在营业前台开户,对于WLAN用户,采用WEB认证,采用手机号码认证。
场景2:
学校将WLAN网络由移动建设,但是由于学校已有认证平台,学校要求WLAN网络作为校园网的一部分纳入学校统一管理,典型案例:
南通大学。
方案一、
方案描述:
用户在有线、无线网内都采用学校认证,由校方认证平台识别用户为有线或无线,若为有线,则开启所有网络访问功能,若为无线(可通过识别源地址以及NAS_PORT_TYPE属性,仅仅开放移动BAS地址,不允许访问互联网。
无线WLAN用户上网采用校园网地址,采用学校学号认证,用户认证通过后可访问校园网,如无线用户访问互联网可采用L2TP拨号方式,拨号至移动BAS,由BAS二次分配地址,实现其上网。
此种情况下,用户必须先至学校开户,方可访问校园网,与学校统一管理不冲突,保证了学校既得利益。
无线用户如需访问互联网,用户需至营业厅开户,采用L2TP拨号至移动BAS认证。
小结:
此种方法最合适场景为多家运营商同时接入,由学生自由选择时,学生可根据需求,接入任意运营商的网络。
方案二
本解决方案为利用校方radius提供的SAM平台,进行二次开发,与移动radius对接,用户开户时需至学校开户并同时至营业厅开户,在校方radius平台上将校内账号(学号)与手机号码做捆绑,用户认证时输入用户名、密码,如用户只访问校园网,直接将用户名、密码发送至校方认证平台认证,如用户选择访问互联网,则将该用户名、密码发送至后台认证,后台认证通过后,由其radius服务器启用radius代理功能,将该学号对应的手机号码与设定的固定密码发送至移动平台认证,并将移动平台反馈的raidus信息送回校方bas,实现用户的认证计费功能。
场景3、学校既有WLAN又有有线网络,其中宿舍网为移动运营,但是需纳入校方统一管理;WLAN网络部署在办公教学区,要求账号可漫游,典型案例南通纺织学院。
方案说明:
无线部分单独采用一台BAS,满足无线手机与IPAD上网需求,流量并入校园网,宿舍网单独从移动出口,利用分光器将流量镜像一路送至校方行为审计系统审计,同时在汇聚交换机增加去校园网的路由,地址统一采用校方分配地址。
场景4、学校实现应用系统的单点登录(sso),校方要求将认证与sso结合起来。
典型案例:
南通职业大学。
方案描述;
为学校增加一台BAS,一套radius作为本地认证系统,利用安全账号管理系统(SAM)提供标准的第三方接口,可以通过对接实现基于数字校园门户的单点登陆,实现了网络层面的认证和数字校园应用系统的同步认证。
同时,SAM系统支持LDAP对接,实现了与主流目录服务器的对接,例如:
OpenLDAP、WindowsAD、SUNLDAP;实现了密码的同步更新,确保一致;支持分散同步机制,减轻了LDAP的压力。
注:
此种方式一般要求radius厂家进行二次开发。
四、小结
本文对于高校一些典型的组网的认证计费方式进行了总结,但是高校情况各不相同,难免有所疏漏,希望兄弟公司在具体实施时,能从中有所借鉴。
升级会员 