計(jì)算機(jī)技術(shù)論文:關(guān)于校際移動漫游的研究與實(shí)現(xiàn)
漫游(roaming)指移動臺離開自己注冊登記的服務(wù)區(qū)域,移動到另一服務(wù)區(qū)后,移動通信系統(tǒng)仍可向其提供服務(wù)的功能。漫游只能在網(wǎng)絡(luò)制式兼容且已經(jīng)聯(lián)網(wǎng)的國內(nèi)城市間或已經(jīng)簽署雙邊漫游協(xié)議的地區(qū)或國家之間進(jìn)行。為實(shí)現(xiàn)漫游功能在技術(shù)上是相當(dāng)復(fù)雜的。首先,要記錄用戶所在位置,在運(yùn)營公司之間還要有一套利潤結(jié)算的辦法。以下是學(xué)習(xí)啦小編今天為大家精心準(zhǔn)備的計(jì)算機(jī)技術(shù)論文范文:關(guān)于校際移動漫游的研究與實(shí)現(xiàn)。內(nèi)容僅供參考,歡迎閱讀!
關(guān)于校際移動漫游的研究與實(shí)現(xiàn)全文如下:
高校信息化的高速發(fā)展,移動設(shè)備的全面普及,無線網(wǎng)絡(luò)已經(jīng)成為高校校園網(wǎng)絡(luò)的重要組成部分,大量科研和教育信息資源的使用都依賴于移動網(wǎng)絡(luò)平臺. 出于信息網(wǎng)絡(luò)安全管理的需要,在已建的高校無線校園網(wǎng)中,使用了一些網(wǎng)絡(luò)安全接入管理機(jī)制,以確保用戶實(shí)名制登錄注冊,并限制未授權(quán)用戶的訪問. 現(xiàn)有的這種管理方式雖然滿足了校內(nèi)師生員工的使用,但隨著校際間的交流和訪問日益頻繁,對于校際間互訪人員的移動網(wǎng)絡(luò)使用、遠(yuǎn)距離教學(xué)和學(xué)生跨校選課非常不方便. 高校師生在其他高校訪學(xué)交流時,能夠通過校際間的移動漫游、使用該校無線資源實(shí)現(xiàn)教學(xué)交流的愿望越來越強(qiáng)烈.
未來的移動網(wǎng)絡(luò)已經(jīng)不再是傳統(tǒng)的無線接入功能,無區(qū)域限制的. 可漫游的移動網(wǎng)絡(luò)已經(jīng)成為終端設(shè)備的主要接入方式,所以校園無線網(wǎng)絡(luò)要具備充分的移動性,不僅局限在本學(xué)校的辦公室,需擴(kuò)展至室外區(qū)域、操場、甚至是其他兄弟院校具有無線網(wǎng)絡(luò)的任何地方.
1 校際移動漫游分析
目前各重點(diǎn)高校已經(jīng)基本完成無線網(wǎng)絡(luò)的全校覆蓋,根據(jù)建設(shè)的匯總歸類,新建設(shè)的無線網(wǎng)絡(luò)主要使用瘦AP + 認(rèn)證計(jì)費(fèi)網(wǎng)關(guān)的方式,但各高校對訪問控制、安全要求等的支持各不相同,各個廠商對認(rèn)證接口的支持有一定的差異性.
在接入認(rèn)證方面,根據(jù)高校使用的各個廠商或集成商的應(yīng)用方案匯總歸類,大部分高校使用Web認(rèn)證. 即用戶首次使用網(wǎng)絡(luò)時會打開認(rèn)證網(wǎng)頁,要求用戶輸入賬戶進(jìn)行認(rèn)證接入. 但Web 頁的后端認(rèn)證方式,各個高校存在較大差異. 主要有Radius 認(rèn)證、LDAP 認(rèn)證和數(shù)據(jù)庫認(rèn)證等幾種方式,另外還有個別學(xué)校使用802. 1x 認(rèn)證,即在用戶連接網(wǎng)絡(luò)時要求用戶提供賬戶. 這些差異性給設(shè)計(jì)、開發(fā)和集成統(tǒng)一跨校認(rèn)證帶來了難度,所需要的底層平臺必須兼容各個高校的主流認(rèn)證構(gòu)架,同時還能支持跨校應(yīng)用.
因此,用戶需要一種校際間網(wǎng)絡(luò)安全接入控制和移動無線接入解決方案. 該網(wǎng)絡(luò)安全接入控制和移動無線接入解決方案必須能夠充分滿足如下建設(shè)需求:
( 1) 采用國際標(biāo)準(zhǔn)技術(shù)體系;
( 2) 充分利用現(xiàn)有各高校網(wǎng)絡(luò)結(jié)構(gòu)與資源,不單獨(dú)組網(wǎng). 并且不對現(xiàn)有各高校網(wǎng)絡(luò)結(jié)構(gòu)以及設(shè)備配置做任何改動變化,新建的校際間系統(tǒng)不對現(xiàn)有網(wǎng)絡(luò)產(chǎn)生任何影響;
( 3) 采用集中控管技術(shù),集中統(tǒng)一管理的終端設(shè)備;
( 4) 系統(tǒng)必須具有高可用性設(shè)計(jì),保證在設(shè)備單點(diǎn)故障條件下能夠無縫自愈,保障業(yè)務(wù)的連續(xù)性;
( 5) 系統(tǒng)必須能夠支持多種靈活的用戶認(rèn)證方式,并且能結(jié)合現(xiàn)有高校網(wǎng)絡(luò)認(rèn)證系統(tǒng)協(xié)同工作;
( 6) 系統(tǒng)必須能夠靈活支持各種無線認(rèn)證加密技術(shù)標(biāo)準(zhǔn),能夠?yàn)椴煌N類、不同性能的終端設(shè)備提供安全的無線連接;
( 7) 系統(tǒng)要能夠方便和靈活地調(diào)整與擴(kuò)展,充分考慮投資保護(hù).
2 校際移動漫游組網(wǎng)設(shè)計(jì)
2. 1 組網(wǎng)設(shè)計(jì)分析
校際移動漫游的實(shí)現(xiàn),主要涉及3 個方面:
( 1) 校際移動漫游網(wǎng)絡(luò)的安全接入. 漫游網(wǎng)絡(luò)對漫游用戶進(jìn)行鑒別,同時漫游用戶也對漫游網(wǎng)絡(luò)進(jìn)行鑒別;
( 2) 校際移動漫游網(wǎng)絡(luò)的認(rèn)證. 包括外校的學(xué)生漫游到本校,通過無線網(wǎng)接入訪問互聯(lián)網(wǎng)這個認(rèn)證過程的實(shí)現(xiàn)和本校學(xué)生漫游到其他學(xué)校后,需要為用戶接入無線網(wǎng)絡(luò)提供身份認(rèn)證;
( 3) 漫游中心的建設(shè). 漫游中心需要一個平臺,對沒有建立直接認(rèn)證信任關(guān)系的高校需要實(shí)現(xiàn)各校漫游用戶的賬號認(rèn)證中轉(zhuǎn).
第1 個要解決的問題是其他學(xué)校的用戶漫游到本校后,本校無線網(wǎng)絡(luò)如何鑒定用戶的身份,從而為用戶提供網(wǎng)絡(luò)服務(wù). 這就對提供接入的設(shè)備( 包括無線控制器) 功能提出要求.
第2 個要解決的問題是本校用戶漫游到其他院校后,如何為其他學(xué)校的網(wǎng)絡(luò)提供身份驗(yàn)證服務(wù),分2 種情況: 返回歸屬地認(rèn)證和漫游中心認(rèn)證. 在接入地認(rèn)證,認(rèn)證系統(tǒng)應(yīng)保留完整的認(rèn)證記錄及統(tǒng)計(jì)記錄,以便復(fù)查; 返回歸屬地認(rèn)證,則按歸屬地學(xué)校原有的上網(wǎng)記錄統(tǒng)計(jì)和安全審計(jì).
第3 個要解決的問題是漫游平臺的構(gòu)架,成員之間的鏈路流量問題. 漫游系統(tǒng)需要能夠提供各高校無線網(wǎng)絡(luò)漫游服務(wù)的情況統(tǒng)計(jì),包括各成員提供漫游服務(wù)的時長及漫游所產(chǎn)生的流量,應(yīng)保留完整的認(rèn)證記錄及統(tǒng)計(jì)記錄,以便高校大數(shù)據(jù)收集分析.
2. 2 安全的接入
無線信號是不可見的,如何在無線網(wǎng)絡(luò)中識別用戶,如何保證用戶的匿名性等,為了解決這些安全接入問題,許多無線網(wǎng)絡(luò)認(rèn)證協(xié)議被提出.WAPI ( Wireless LAN Authentication and PrivacyInfrastructure) 無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu),是一種安全協(xié)議,同時也是中國無線局域網(wǎng)安全強(qiáng)制性標(biāo)準(zhǔn).
WAPI 技術(shù)特點(diǎn)在于: 在用戶接入過程中,采用雙向鑒別的方式. 不僅僅是網(wǎng)絡(luò)對用戶進(jìn)行鑒別,用戶也要對網(wǎng)絡(luò)進(jìn)行鑒別. 避免用戶接入不合法的網(wǎng)絡(luò)或者偽造的網(wǎng)絡(luò),解決了無線網(wǎng)絡(luò)接入中“合法用戶接入合法網(wǎng)絡(luò)”的問題.
2. 3 漫游認(rèn)證
安全和快速的認(rèn)證是實(shí)現(xiàn)無縫漫游切換的一個關(guān)鍵技術(shù),由于WAPI 提供了基于證書和預(yù)共享密鑰的安全機(jī)制,但只做鏈路層認(rèn)證和加密,保護(hù)空中數(shù)據(jù)不被竊取或非法接入,因此需要在WAPI 國家標(biāo)準(zhǔn)的基礎(chǔ)上進(jìn)行擴(kuò)展,疊加LDAP 或RAIDUS漫游認(rèn)證,解決WAPI 安全機(jī)制的證書漫游認(rèn)證鑒別問題,提供一種基于WAPI 證書的漫游認(rèn)證鑒別.
2. 4 漫游認(rèn)證中心的建立
校區(qū)間如果沒有找到直接信任的用戶認(rèn)證,則需要建立統(tǒng)一的漫游認(rèn)證中心,把漫游鑒別請求發(fā)往漫游認(rèn)證中心,由漫游認(rèn)證中心交換存儲認(rèn)證證書或預(yù)置共享密鑰建立信任關(guān)系,漫游認(rèn)證中心再把漫游證書鑒別請求發(fā)給歸屬地AS ( AuthenticationServer) 鑒權(quán)服務(wù)器進(jìn)行證書鑒別,疊加LDAP 或RAIDUS 漫游認(rèn)證.
2. 5 校際漫游系統(tǒng)架構(gòu)
校際漫游系統(tǒng)架構(gòu)分2 種情況,第1 種情況是漫游學(xué)校認(rèn)證數(shù)據(jù)流和網(wǎng)絡(luò)數(shù)據(jù)流都返回歸屬學(xué)校,無需部署認(rèn)證中心,無結(jié)算和對帳,認(rèn)證記錄及統(tǒng)計(jì)記錄由各學(xué)校自己保留. 第2 種是漫游學(xué)校認(rèn)證數(shù)據(jù)流到漫游中心認(rèn)證,網(wǎng)絡(luò)數(shù)據(jù)流從漫游學(xué)校出去.
3 校際移動用戶漫游實(shí)現(xiàn)
首先統(tǒng)一校際移動漫游的SSID,各高校按要求廣播本校和校際移動漫游統(tǒng)一的SSID,接入校際移動漫游統(tǒng)一的SSID 接入將推送校際移動漫游的Portal 認(rèn)證頁面,校際移動漫游的Portal 認(rèn)證頁面統(tǒng)一進(jìn)行配置管理. 要求各高校無線控制器實(shí)現(xiàn)不同SSID 接入的用戶能夠推送不同的Portal 頁面,控制器與Portal 系統(tǒng)的交互要滿足Portal 規(guī)范.結(jié)合漫游學(xué)校和歸屬學(xué)校的網(wǎng)絡(luò)實(shí)際情況,分為2 種漫游實(shí)現(xiàn)情況,第1 種情況是在有鏈路鏈接的學(xué)校之間,漫游學(xué)校和歸屬學(xué)校AS 直接建立信任關(guān)系,漫游用戶實(shí)現(xiàn)跨校漫游.
步驟如下:
?、贌o線用戶訪問互聯(lián)網(wǎng),無線控制器AC 或AP網(wǎng)關(guān)向用戶發(fā)送鑒別激活;
?、谟脩舭l(fā)出鑒別請求,請求安全的可信接入;
?、鄹鶕?jù)用戶接入的SSID 不同,重定向至不同登錄頁面,用戶接入無線漫游的SSID,推送Portal服務(wù)器上統(tǒng)一的無線漫游認(rèn)證頁面;
?、苡脩酎c(diǎn)擊WAPI 證書申請的鏈接;
?、萋螌W(xué)校的AS 返回證書申請頁面,需要用戶使用用戶名和密碼登陸;
?、抻脩暨x擇歸屬學(xué)校,填寫用戶名和密碼,系統(tǒng)自動在用戶輸入的賬號添加歸屬學(xué)校標(biāo)識的后綴;
?、呗螌W(xué)校的AS 記錄著其他建立信任關(guān)系的AS 地址,發(fā)送到歸屬學(xué)校的AS 驗(yàn)證;
?、鄽w屬學(xué)校認(rèn)證平臺找LDAP 或RAIDUS 服務(wù)器進(jìn)行認(rèn)證;
⑨LDAP 或RAIDUS 服務(wù)器返回用戶認(rèn)證成功信息;
?、夥祷亟壎ㄓ脩裘c證書信息( 系統(tǒng)為每一個用戶和AP /AC 均下發(fā)一張證書,AS 再將其證書與自己生成的證書相綁定,這樣既可以保證CA 頒發(fā)證書,又可以順利完成漫游鑒別功能) ;
11提供用戶證書下載鏈接;
12用戶下載證書并安裝( WAPI 使用X. 509 證書,大小約為2K) ;
13用戶接入使用互聯(lián)網(wǎng);
14第一次安裝好證書后,用戶訪問互聯(lián)網(wǎng)業(yè)務(wù)
以后都可免登陸認(rèn)證,無感知上網(wǎng).
第2 種漫游情況的實(shí)現(xiàn)需要建立漫游中心AS,由漫游中心AS 負(fù)責(zé)中間各漫游學(xué)校AS 之間的漫游鑒別消息. 用戶實(shí)現(xiàn)漫游情況和第一種情況的步驟基本一樣,漫游中心的認(rèn)證平臺做LDAP /RADIUS PROXY,判斷用戶賬號攜帶的后綴名后將賬號以LDAP /RADIUS 認(rèn)證請求包轉(zhuǎn)發(fā)給賬號后綴對應(yīng)的學(xué)校認(rèn)證服務(wù)器,或者漫游中心的認(rèn)證平臺找學(xué)校的LDAP /RAIDUS 服務(wù)器進(jìn)行認(rèn)證. 漫游中心的LDAP /RADIUS 認(rèn)證系統(tǒng)要維護(hù)一張賬號后綴與對應(yīng)學(xué)校認(rèn)證服務(wù)器IP 的對應(yīng)表,實(shí)現(xiàn)依據(jù)后綴將賬號去后綴后轉(zhuǎn)向不同的學(xué)校認(rèn)證服務(wù)器. 漫游用戶所屬學(xué)校認(rèn)證服務(wù)器返回給漫游中心認(rèn)證平臺認(rèn)證結(jié)果,漫游中心認(rèn)證平臺將認(rèn)證結(jié)果返回給網(wǎng)關(guān)或無線控制器,控制器或認(rèn)證網(wǎng)關(guān)根據(jù)認(rèn)證結(jié)果控制用戶是否允許接入互聯(lián)網(wǎng),如果認(rèn)證通過,認(rèn)證網(wǎng)關(guān)或無線控制器發(fā)送計(jì)費(fèi)開始包給漫游中心認(rèn)證計(jì)費(fèi)平臺,平臺轉(zhuǎn)發(fā)計(jì)費(fèi)開始報文給用戶所屬學(xué)校的LDAP /RADIUS 系統(tǒng).
用戶發(fā)出下線請求后,認(rèn)證網(wǎng)關(guān)或無線控制器器發(fā)送網(wǎng)絡(luò)漫游結(jié)束始包給漫游中心認(rèn)證審計(jì)平臺,同時傳遞用戶在線的時長及使用的信息給漫游中心平臺,并通過漫游中心平臺傳遞到用戶所在學(xué)校的LDAP / RADIUS 認(rèn)證服務(wù)器.
在漫游認(rèn)證中心系統(tǒng)上實(shí)驗(yàn)漫游認(rèn)證通過,截取到的漫游認(rèn)證日志,其中202. 38. 192. 182為漫游中心AS 的IP 地址,202. 116. 45. 253 為到我校漫游認(rèn)證AS 的IP 地址
自2014 年9 月在廣東省3 所重點(diǎn)高校部署并試運(yùn)行后,高校師生即可在多個公共區(qū)域內(nèi)2 000余個無線接入點(diǎn)使用各校的有效賬號登陸實(shí)現(xiàn)跨校無線漫游,系統(tǒng)發(fā)放證書200 多份,總計(jì)有1 000 余次的使用量.跨校移動漫游的實(shí)現(xiàn),極大地方便了各高校師生的跨校交流,得到了師生的一致好評.
4 結(jié)論
跨校移動漫游系統(tǒng)先進(jìn)的移動性,增強(qiáng)與改善了現(xiàn)有高校的教學(xué)模式,為將高校建設(shè)成為“具有鮮明地域特色的教學(xué)研究型”大學(xué)提供信息化支撐與保障. 各高校教職員工和學(xué)生可以使用統(tǒng)一帳號,進(jìn)行校際間的移動漫游,免除了到其他學(xué)校需要申請與設(shè)置的困擾,通過無線網(wǎng)絡(luò)環(huán)境,迅速便捷地獲取各校的網(wǎng)絡(luò)信息資源與資訊,方便了學(xué)校行政人員公文往來,通過教育信息資源的共享,創(chuàng)造更寬廣的學(xué)術(shù)交流環(huán)境,有助于教學(xué)品質(zhì)的提升.