钟灿雄，肖勇

(1、湖南邮电职业技术学院，湖南长沙，410015；2、湖南现代物流职业技术学院，湖南长沙，410131)

1、引言

门户（Portal）技术是当前企业和校园网络中主推的一种集成应用的信息管理技术，是企业及学校给自己的员工、合作伙伴提供应用平台、数据与业务流程的集成系统。门户它能提供内容与应用的集成，实现各个应用系统的融合；对用户进行安全策略管理，检查用户终端的安全状态和防御能力，隔离“危险”和“易感”终端，强制修复系统补丁、升级防病毒软件等[1]。总体来说，门户系统是一个提供异构系统集成、WEB登录、单个用户业务定制的综合业务管理平台[2][3]。

Portal与轻量级目录管理服务协议（LightweightDirectory Access Protocol,LDAP）[4]构建的系统实现对用户的统一身份认证，即接入用户在访问多系统和各受限资源时。只需要用户进行一次上网身份验证，并将用户的上网认证重新定向至用户的LDAP服务器，实现上网帐号和应用系统帐号的统一[5][6]。统一身份认证把原本分散的用户集中管理，统一认证，并使用统一的权限系统管理用户权限。进而避免各应用系统分别需要进行身份验证，同时，用户也无需记忆众多的账号和口令，方便了用户的使用，同时给系统管理人员减轻了工作量[7][8]。

随着企事业单位业务的拓展，应用系统越来越多，尤其是数字化校园概念的提出，使得高校都在加强信息化建设。本文针对企事业单位网络中采用802.1X（Port-based Network Acess Control）[9]、PPPOE（Point-to-pointProtocolover Ethernet）技术对接入用户认证繁锁、不能提供增值业务等问题。提出了采用Portal接入认证解决方案，有效的解决接入用户验证繁琐等问题，给企事业单位网络接入认证提供了一种解决方案[10]。

2、系统组成

Portal认证也称之为Web认证，通常将Portal认证网站称之为门户网站。用户上网时，被设备强制登录到特定网页，用户可以免费使用其中的服务。当用户需要访问互联网中的其它资源时，必须通过门户网站进行认证，用户只有认证通过后才可以访问互联网资源。Portal业务可以为运营商网络提供方便的管理功能，在门户网站可以实现广告、社区服务等增值业务。

Portal组网，一般由五个基本要素组成：认证客户端、接入设备（Network Access Server，NAS）、Portal服务器、验证、授权、计费（Authentication,Authorization and Accounting，AAA）和安全策略服务器。五个基本要素构建了一个Portal网络，该网络访问控制系统支持网络用户多种认证接入方式，典型认证有直连认证和三层认证。以下是直连和三层认证的流程图。

图1 Portal认证过程图

直接认证和三层Portal认证过程如下：

（1）需认证的用户使用HTTP协议发起接入认证请求。该用户请求报文到达NAS时，对于被Portal服务器免费访问的HTTP报文，NAS允许其通过；而对于其它地址的HTTP报文，NAS将其重定向到Portal服务器，Portal服务器要求用户输入用户名和密码来进行认证。（2）Portal服务器与NAS之间进行质询握手验证协议（Challenge Handshake Authentication Protocol，CHAP）报文交互。（3）Portal服务器把接入用户的用户名和密码转发给NAS，并开启定时器等待认证应答报文。（4）NAS与AAA服务器之间进行RADIUS协议报文的交互。（5）NAS向Portal服务器发送认证应答报文。（6）Portal服务器向认证客户端发送认证通过报文，并通知认证客户端通过认证。（7）Portal服务器向NAS发送认证应答确认报文。（8）认证客户端和安全策略服务器之间进行报文交互。安全策略服务器检测接入的认证客户端的安全性，检测客户端是否安装杀毒软件、病毒库是否更新、系统是否安装了非法软件、是否更新操作系统补丁等。（9）安全策略服务器根据用户的安全状态，授权用户可以访问资源，授权信息保存到NAS中，NAS将使用该信息控制用户的访问。

3、方案评估

3.1 评估方案分析

为了验证该方案的可行性，通过在某运营的校园网中应用该方案，对该方案的可行性进行实践验证。某高校已完成了学校数字化校园网络建设，已建好并投入使用的信息管理系统有802.1X的认证与计费系统、图书管理系统、教务管理系统等。如图二所示。

图2 校园网信息系统图

这些信息系统运营一定时间后，管理人员发现存在有如下几个问题。

（1）认证与计费系统当终端主机系统重装后，每次都需安装认证的客户端程序，配置繁琐，工作量大。

（2）认证与计费的服务器出现故障时，新上线的客户端不能进行认证，使得客户端无法访问网络，在线的客户端无法下线。

（3）众多的信息管理系统，分布在校园网络中，每用户在使用这些系统时需记住这些系统的用户名和密码，用户使用起来不方便。

（4）与用户连接的接入设备出现故障时，会引起单点故障。

针对上述的第一个问题，采用Portal认证来解决，且新的方案只需要在原有的802.1X方案基础上作以下两个改进就可以实现。1、把接入设备的认证方式将原来的802.1X认证方式改为Portal认证；2、新增一台Portal服务器，接入设备NAS收到用户请求时，就会把用户请求重定向给Portal服务器。Portal服务器会要求用户输入用户名和密码进行身份认证，而对于用户身份的验证，还是采用原有的RADIUS服务器进行验证。验证通过，用户可以上线。

对于上述问题二接入设备NAS与Portal服务器的通信中断时，导致新用户无法上线，已经在线的Portal用户无法正常下线的问题。设置“心跳”报文检测机制，如图三所示：

图3 服务器心跳机制图

当Portal服务器出现故障或接入设备（NAS）与Portal服务器连接中断，该认证系统采用Portal协议提供逃生认证方案，让在线用户仍然可以正常使用网络，新上线的用户不用认证也可以访问网络。具体的实现方法在接入设备（NAS）上设置超时定时器，定期接收并检查来自Portal服务器发过来的心跳报文。如果在定时器1的超时范围内，没有接收到来自接入设备（NAS）的心跳报文，则接入设备（NAS）切换至逃生状态，并关闭Portal认证，同时允许所有用户均可访问网络。在逃生模式下，如果接入设备收到Portal服务器的心跳报文，则立刻切换至Portal认证模式，并对已经在线的用户进行身份验证，合法的用户允许访问网络，不合法的用户则强制其下线。

针对问题三信息管理系统繁多，管理困难，用户使用起来不便等诸多问题。采用统一帐号的管理方式，采用目录服务器来统一身份认证。对所有的用户信息进行集中管理，保证数据的完整性和一致性。使用轻量级目录管理服务协议（Light weightDirectory Access Protocol,LDAP），将各信息管理系统的用户信息以层次结构、面向对象数据库的方法来收集和管理。通过LDAP实现对指定的数据结构进行存储，并对数据进行优化。当客户端用户上网认证通过后，将该信息重定向至LDAP服务器，实现上网帐号和管理信息系统的帐号统一。这样通过使用LDAP，用户可使用存储在LDAP服务器中的帐号信息，进行网络的物理层接入认证。LDAP组件实现LDAP服务器中的用户帐号信息与认证系统的用户帐号信息同步，并将用户的接入认证请求重定向至LDAP服务器处理。该认证过程如图四所示。

图4 用户认证示意图

针对问题四：接入设备（NAS）上存储了众多的用户数据，并且与Portal服务器、AAA服务器交互报文才能完成接入用户正常的上线和下线。一般情况下，只提供一台接入设备连接接入用户。如果该接入设备出现故障时，影响用户不能正常的使用网络。因此，采用主、备的方式来解决该单点故障，在主设备上，除了完成对接入用户的认证、授权、计费和用户信息的存储外，还要把接入用户的这些信息同步到备用设备上，做到主、备设备上的用户数据一致。当主设备上的用户数据变化时，也需要实时的同步到备用设备上，实现数据的持续备份。当主设备出现故障时，备份设备接替主设备完成认证业务。同时，发现告警信息，告诉网络管理人员及时处理主设备的故障。

3.2 评估性能分析

根据上述规划与设计，完成了对原方案的网络改造。构建的系统是否可靠与安全，并与传统分散管理以及802.1x技术相比该技术存在哪些方面的优势。下面对该系统进行性能测试与性能分析。

性能测试

测试所需的PC两台、华三AR2811路由器一台、电源线、网线若干。测试环境的网络拓扑如图五所示：

图5 PORTAL认证组网

根据拓扑图，在电脑和网络设备接口上分别设置与之对应的IP地址，并在PORTAL服务器上完成RADIUS、认证的IP地址组、设备信息、端口信息、增加用户配置。最后在AR-2811路由器上完成对设备的配置，设备的配置如表1所示。

表1 设备的PORTAL认证配置

完成上述配置后，在客户机的浏览器中输入任意IP地址，出现如图六的界面，说明成功实现了PORTAL认证。

根据接入认证控制系统的需求分析和测试内容采用黑盒方法测试该系统，对系统的功能、性能、异常情况进行测试，测试该系统是否满足预期目标，其测试结果如表2所示。

图6 PORTAL认证界面

表2 测试结果

从测试的结果来看，该接入认证网络访问控制系统基本上实现了预期的功能测试和性能需求，由于该组网环境简化了原有的方案，使得其测试结果和原本设计的方案存在有一定的出入。

性能分析

通过上述理论与实践相结合的研究给性能分析提供了基础，下述从认证方式、接入方式、网络管理等方面来分析该技术与传统技术相比，存在哪些方面的优势。

（1）认证方式

分散的认证方式随着应用系统的增多，用户在不同的应用系统上分别需要创建不同的用户名和密码，管理人员管理起来繁杂，工作量大。而对于采用PORTAL与LDAP结合起来使用的统一的统一认证方式，解决上述问题。以下是统一认证方式与分散认证方式的对比。如表3所示。

表3 统一认证方式与分散认证方式的对比

通过表3的分析，分散认证方式不管是已有的应用系统，还是新应用系统，在管理上都存在麻烦，且成本高。而统一认证方式不存在上述问题。

（2）接入方式

PORTAL认证的方式是基于WEB的认证方式，该认证方式不需要安装客户端软件，且支持增值业务，很适合在企事业单位和小区应用该技术。这接入方式相比802.1X和PPPOE接入方式，存在如下方面的优势，如表四所示。从表四中可以看出，相对于802.1X、PPPOE认证，PORTAL认证的方式优势较为明显，是理想的低成本运营解决方案。

表4 802.1X、PPPOE认证和WEB认证的对比

4、结语

针对用户使用多个应用系统的便捷性和系统可靠性两方面因素的考虑，有必要把多个不同的应用系统进行统一的身份认证。本文利用PORTAL认证方法和LDAP协议实现了用户单点登录，减少了系统管理员和用户的工作量。使应用系统使用起来更加的方便、快捷，提高了工作效率，经实践证明，该方案具有一定的实用性和推广价值。

[1]Le Xuan-hung,Giang Phoduc,Zhung Yonil,etal.Trust-based Security Architecture for Ubiquitous Computing Systems[J].Berlin,Germany: Springer-Verlag,2006:753-754.

[2]刘润达，诸云强，宋佳.一种简单跨域单点登录系统的实现[J].计算机应用，2007，27（2）：288-291.

[3]于洪淳，曹作良.基于Cookie的Web服务统一认证系统[J].天津理工大学学报，2008，24(4)：42-44.

[4]李翔，晁爱农,刘孟强.LDAP的研究及其在统一身份认证系统中的应用[J].计算机应用，2008，28(B06)：98-100.

[5]李继勇,陶然.一种单点登录协议的设计[J].计算机工程,2008,34 (14):152-154.

[6]韩涛,郭荷清.Web服务安全模型的研究与实现[J].计算机工程, 2006,32(10):130-134.

[7]Zhang Hong，Li Xiao-dong，Li Heng，et a1.Particle swarm optimization-based schemes for resource-constrained projectscheduling[J].Automation in Construction,2005,14:393-404.

[8]Iliano C,Aaron D J,Ander S,et al.Specifying Kerberos 5 Cross-realm Authentication[C]//Proc.of the 2005Workshop on Issues in the Theory of Security.Long Beach,California,USA:ACM Press,2005:12-26.

[9]李培峰，朱巧明.基于Web服务的校园信息化平台的设计和实现[J].计算机工程与设计，2006，27(19)：3564-3567.

[10]韩伟,范植华.基于SAML的单点登录技术在Web服务中的应用研究[J].计算机工程与设计,2005,26(3):634-636.