當(dāng)前大部分校園網(wǎng)都已經(jīng)部署了完善的認(rèn)證計(jì)費(fèi)系統(tǒng)，但是在建設(shè)無線校園網(wǎng)后，由于無線介質(zhì)的開放性和終端的漫游特性，導(dǎo)致無法像有線網(wǎng)絡(luò)那樣實(shí)現(xiàn)用戶、IP、MAC、端口的綁定。通過對(duì)一體化認(rèn)證方案的分析，講解如何解決無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)可以使用同樣的用戶名密碼，以及在增加了接入無線網(wǎng)絡(luò)的認(rèn)證后，用戶實(shí)現(xiàn)相同的一次認(rèn)證流程。

目前大部分校園網(wǎng)都已經(jīng)部署了完善的認(rèn)證計(jì)費(fèi)系統(tǒng)，建設(shè)無線校園網(wǎng)之后，如何在保證用戶使用方便性的前提下實(shí)現(xiàn)有線和無線用戶采用同樣的認(rèn)證系統(tǒng)，同樣的用戶數(shù)據(jù)?用戶需要提供一體化認(rèn)證方案來解決這些問題。

校園網(wǎng)中有線認(rèn)證流程

無線校園網(wǎng)認(rèn)證遇到的問題

當(dāng)用戶建設(shè)了無線校園網(wǎng)后，由于無線介質(zhì)的開放性和終端的漫游特性，導(dǎo)致無線無法向有線網(wǎng)絡(luò)那樣實(shí)現(xiàn)用戶、IP、MAC、端口的綁定，因此在接入無線網(wǎng)絡(luò)時(shí)如果不對(duì)用戶進(jìn)行認(rèn)證，就無法確定用戶的身份，出現(xiàn)問題也就無法定位到用戶，因此和接入有線網(wǎng)絡(luò)不同，用戶接入無線網(wǎng)絡(luò)時(shí)必須先進(jìn)行認(rèn)證，然后用戶才能訪問網(wǎng)絡(luò)資源，這樣就存在如下問題：

A.無線網(wǎng)絡(luò)能否和有線網(wǎng)絡(luò)使用同樣的用戶名密碼?

B. 增加了接入無線網(wǎng)絡(luò)的認(rèn)證后，用戶是否仍然使用相同的一次認(rèn)證流程?

一體化認(rèn)證

1. 統(tǒng)一身份認(rèn)證

有線和無線統(tǒng)一身份問題，分三種情況：

***種情況：學(xué)校有專門的認(rèn)證計(jì)費(fèi)服務(wù)器，用戶數(shù)據(jù)存儲(chǔ)在認(rèn)證服務(wù)器中。這種情況下，無線系統(tǒng)和有線系統(tǒng)都通過標(biāo)準(zhǔn)的Radius協(xié)議和認(rèn)證計(jì)費(fèi)系統(tǒng)來進(jìn)行用戶名密碼的驗(yàn)證，由于二者采用相同的服務(wù)器和數(shù)據(jù)庫(kù)，很容易實(shí)現(xiàn)有線和無線統(tǒng)一用戶名和密碼;

第二種情況：學(xué)校使用專門的計(jì)費(fèi)網(wǎng)關(guān)，用戶數(shù)據(jù)存儲(chǔ)計(jì)費(fèi)網(wǎng)關(guān)的數(shù)據(jù)庫(kù)中，計(jì)費(fèi)網(wǎng)關(guān)同時(shí)完成用戶流量采集和用戶認(rèn)證計(jì)費(fèi)工作。這種情況下，由于計(jì)費(fèi)網(wǎng)關(guān)沒有和其他系統(tǒng)對(duì)接，因此無法確保計(jì)費(fèi)網(wǎng)關(guān)采用的協(xié)議能夠和無線系統(tǒng)能夠?qū)崿F(xiàn)完全互通，這種情況下，需要計(jì)費(fèi)網(wǎng)關(guān)和無線系統(tǒng)之間實(shí)現(xiàn)對(duì)接，有可能需要雙方修改軟件才能完成。

第三種情況：學(xué)校已經(jīng)推廣一卡通系統(tǒng)，用戶數(shù)據(jù)存儲(chǔ)在一卡通系統(tǒng)中。這種情況下，有線的計(jì)費(fèi)網(wǎng)關(guān)和無線設(shè)備都需要和一卡通系統(tǒng)實(shí)現(xiàn)對(duì)接。由于大部分一卡通系統(tǒng)都是基于LDAP協(xié)議(Lightweight Directory Access Protocol, 輕型目錄訪問協(xié)議)，在IBM、HP、Sun的相關(guān)平臺(tái)上開發(fā)或者包裝而成，因此需要無線系統(tǒng)支持通過LDAP協(xié)議完成對(duì)用戶的認(rèn)證。目前只有部分廠家無線系統(tǒng)支持使用LDAP協(xié)議進(jìn)行用戶接入認(rèn)證，部署無線系統(tǒng)時(shí)需要確認(rèn)。

總之，目前有線和無線實(shí)現(xiàn)統(tǒng)一身份認(rèn)證并不是一件很困難的事情，根據(jù)用戶使用系統(tǒng)的不同，實(shí)現(xiàn)方法會(huì)有所不同，但整體來說，方法不外乎以上幾種。

2. 統(tǒng)一認(rèn)證流程

無線接入和有線接入能否實(shí)現(xiàn)相同的接入流程?目前大多數(shù)學(xué)校都沒有實(shí)現(xiàn)無線接入的一次認(rèn)證，而是采用二次認(rèn)證流程：

A.用戶連接到無線網(wǎng)絡(luò)后獲取用戶名和密碼，但此時(shí)用戶不能訪問任何網(wǎng) 絡(luò)資源，用戶輸入任何URL都會(huì)被重定向到認(rèn)證頁(yè)面，提示用戶輸入用戶名密碼;

B.用戶輸入正確的用戶名密碼后可以訪問校園網(wǎng)和教育網(wǎng)的資源;

C.當(dāng)用戶有去往Internet或者國(guó)際的流量時(shí)，出口計(jì)費(fèi)網(wǎng)關(guān)彈出認(rèn)證頁(yè) 面，用戶輸入正確的用戶名后可以訪問Internet和國(guó)際網(wǎng)段;

無線校園網(wǎng)二次認(rèn)證流程

整個(gè)過程需要兩次相同的用戶名和密碼，給用戶使用帶來了極大的不便，因此大多數(shù)學(xué)校希望能夠在確保安全性的條件下簡(jiǎn)化無線使用流程，實(shí)現(xiàn)有線和無線統(tǒng)一的一次認(rèn)證流程。 如果用戶有線認(rèn)證沒有采用專門的客戶端，而是基于Web Portal方式，實(shí)現(xiàn)一次認(rèn)證就相對(duì)簡(jiǎn)單：

A.用戶在做無線網(wǎng)絡(luò)的接入認(rèn)證時(shí)，無線系統(tǒng)推送認(rèn)證頁(yè)面，用戶輸入用 戶名密碼等信息后無線系統(tǒng)獲取這些信息;

B.無線系統(tǒng)不直接把用戶名、密碼等信息送給認(rèn)證系統(tǒng)，而是送給計(jì)費(fèi)網(wǎng) 關(guān);

C.計(jì)費(fèi)網(wǎng)關(guān)受到用戶名和密碼信息后在把用戶名密碼送給認(rèn)證服務(wù)器;

D.認(rèn)證通過后認(rèn)證系統(tǒng)把認(rèn)證成功的信息發(fā)送到計(jì)費(fèi)網(wǎng)關(guān);

E.計(jì)費(fèi)網(wǎng)關(guān)把認(rèn)證結(jié)果返回給無線系統(tǒng)的同時(shí)把用戶名、IP標(biāo)記為認(rèn)證通 過，開始計(jì)費(fèi);

F. 如果用戶有流量出Internet，則由于計(jì)費(fèi)網(wǎng)關(guān)已經(jīng)有用戶認(rèn)證信息， 不會(huì)重新進(jìn)行認(rèn)證，直接根據(jù)用戶流量進(jìn)行計(jì)費(fèi);

G.如果用戶沒有流量出Internet，則由于沒有流量，不會(huì)對(duì)用戶實(shí)際產(chǎn)生 計(jì)費(fèi)。

H.用戶正常下線時(shí)，無線系統(tǒng)通知計(jì)費(fèi)網(wǎng)關(guān)停止計(jì)費(fèi)，計(jì)費(fèi)系統(tǒng)根據(jù)用戶 實(shí)際流量生成帳單。

圖3 基于Web Portal方式的無線校園網(wǎng)一次認(rèn)證流程

這種方案要求計(jì)費(fèi)網(wǎng)關(guān)能夠支持Radius代理，同時(shí)不能因?yàn)橛脩糸L(zhǎng)時(shí)間沒有流量而認(rèn)為用戶超時(shí)退出。

如果用戶有線認(rèn)證采用了專門的客戶端，那么客戶端和計(jì)費(fèi)網(wǎng)關(guān)之間往往都采用私有協(xié)議，如果要實(shí)現(xiàn)使用客戶端進(jìn)行一次認(rèn)證，則必須實(shí)現(xiàn)計(jì)費(fèi)客戶端和無線系統(tǒng)之間的協(xié)議對(duì)接，由于要進(jìn)行私有協(xié)議的對(duì)接，需要考慮廠家是否能夠開放接口和對(duì)接的具體工作量，如果無法承受，建議放棄客戶端方式，而采用Web Portal方式。

總結(jié)

綜合以上分析，有線無線實(shí)現(xiàn)一體化認(rèn)證已經(jīng)有先例可循，但很多情況下，需要計(jì)費(fèi)網(wǎng)關(guān)廠家和無線廠家一起才能實(shí)現(xiàn)，因此，選擇相關(guān)系統(tǒng)時(shí)，***選用自主開發(fā)的系統(tǒng)才能更好的實(shí)現(xiàn)有線無線一體化認(rèn)證。