关于校际移动漫游的研究与实现.docVIP

关于校际移动漫游的研究与实现 　　高校信息化的高速发展，移动设备的全面普及，无线网络已经成为高校校园网络的重要组成部分，大量科研和教育信息资源的使用都依赖于移动网络平台. 出于信息网络安全管理的需要，在已建的高校无线校园网中，使用了一些网络安全接入管理机制，以确保用户实名制登录注册，并限制未授权用户的访问. 现有的这种管理方式虽然满足了校内师生员工的使用，但随着校际间的交流和访问日益频繁，对于校际间互访人员的移动网络使用、远距离教学和学生跨校选课非常不方便. 高校师生在其他高校访学交流时，能够通过校际间的移动漫游、使用该校无线资源实现教学交流的愿望越来越强烈. 　　未来的移动网络已经不再是传统的无线接入功能，无区域限制的. 可漫游的移动网络已经成为终端设备的主要接入方式，所以校园无线网络要具备充分的移动性，不仅局限在本学校的办公室，需扩展至室外区域、操场、甚至是其他兄弟院校具有无线网络的任何地方. 　　1 校际移动漫游分析 　　目前各重点高校已经基本完成无线网络的全校覆盖，根据建设的汇总归类，新建设的无线网络主要使用瘦AP + 认证计费网关的方式，但各高校对访问控制、安全要求等的支持各不相同，各个厂商对认证接口的支持有一定的差异性. 　　在接入认证方面，根据高校使用的各个厂商或集成商的应用方案汇总归类，大部分高校使用Web认证. 即用户首次使用网络时会打开认证网页，要求用户输入账户进行认证接入. 但Web 页的后端认证方式，各个高校存在较大差异. 主要有Radius 认证、LDAP 认证和数据库认证等几种方式，另外还有个别学校使用802. 1x 认证，即在用户连接网络时要求用户提供账户. 这些差异性给设计、开发和集成统一跨校认证带来了难度，所需要的底层平台必须兼容各个高校的主流认证构架，同时还能支持跨校应用. 　　因此，用户需要一种校际间网络安全接入控制和移动无线接入解决方案. 该网络安全接入控制和移动无线接入解决方案必须能够充分满足如下建设需求: 　　( 1) 采用国际标准技术体系; 　　( 2) 充分利用现有各高校网络结构与资源，不单独组网. 并且不对现有各高校网络结构以及设备配置做任何改动变化，新建的校际间系统不对现有网络产生任何影响; 　　( 3) 采用集中控管技术，集中统一管理的终端设备; 　　( 4) 系统必须具有高可用性设计，保证在设备单点故障条件下能够无缝自愈，保障业务的连续性; 　　( 5) 系统必须能够支持多种灵活的用户认证方式，并且能结合现有高校网络认证系统协同工作; 　　( 6) 系统必须能够灵活支持各种无线认证加密技术标准，能够为不同种类、不同性能的终端设备提供安全的无线连接; 　　( 7) 系统要能够方便和灵活地调整与扩展，充分考虑投资保护. 　　2 校际移动漫游组网设计 　　2. 1 组网设计分析 　　校际移动漫游的实现，主要涉及3 个方面: 　　( 1) 校际移动漫游网络的安全接入. 漫游网络对漫游用户进行鉴别，同时漫游用户也对漫游网络进行鉴别; 　　( 2) 校际移动漫游网络的认证. 包括外校的学生漫游到本校，通过无线网接入访问互联网这个认证过程的实现和本校学生漫游到其他学校后，需要为用户接入无线网络提供身份认证; 　　( 3) 漫游中心的建设. 漫游中心需要一个平台，对没有建立直接认证信任关系的高校需要实现各校漫游用户的账号认证中转. 　　第1 个要解决的问题是其他学校的用户漫游到本校后，本校无线网络如何鉴定用户的身份，从而为用户提供网络服务. 这就对提供接入的设备( 包括无线控制器) 功能提出要求. 　　第2 个要解决的问题是本校用户漫游到其他院校后，如何为其他学校的网络提供身份验证服务，分2 种情况: 返回归属地认证和漫游中心认证. 在接入地认证，认证系统应保留完整的认证记录及统计记录，以便复查; 返回归属地认证，则按归属地学校原有的上网记录统计和安全审计. 　　第3 个要解决的问题是漫游平台的构架，成员之间的链路流量问题. 漫游系统需要能够提供各高校无线网络漫游服务的情况统计，包括各成员提供漫游服务的时长及漫游所产生的流量，应保留完整的认证记录及统计记录，以便高校大数据收集分析. 　　2. 2 安全的接入 　　无线信号是不可见的，如何在无线网络中识别用户，如何保证用户的匿名性等，为了解决这些安全接入问题，许多无线网络认证协议被提出.WAPI ( Wireless LAN Authentication and PrivacyInfrastructure) 无线局域网鉴别和必威体育官网网址基础结构，是一种安全协议