白骏烈 陈适

摘  要 鉴于原有认证系统难以有效满足需求，在原有认证系统的基础上进行重新设计開发，以实现通过统一账号进行用户与设备管理的有线无线一体化统一认证。本认证系统的开发与应用对其他地区具有一定的借鉴意义。

关键词 教育信息化;云平台认证系统;教育城域网;无感知认证;泛在学习

中图分类号：G434    文献标识码：B

文章编号：1671-489X（2020）11-0020-03

1 前言

2015年，浙江省教育厅提出建设无线城域网，为师生泛在学习提供基础环境保障。温州市瓯海区提前三年就完成了教育无线城域网建设，基本实现覆盖全区所有学校的主要教学和办公场所。温州市瓯海区的无线城域网建设以“顶层设计、统一标准、分步实施”为原则，以“实名认证、集中管理、无线漫游”为目标，以“强中心，弱学校”为思路。通过区级层面部署认证系统实现用户准出认证，解决用户实名上网的认证管理要求。2018年，网络安全法和网络等级保护2.0制度对城域网用户认证和日志管理提出新的要求，原来的认证系统已不能很好地满足需求，主要体现为用户设备指纹（如MAC地址）无法自动获取、用户无法实现自主管理、有线设备无法管控、用户设备无法无感知使用等。为此，温州市瓯海区决定在原有认证系统的基础上进行重新设计开发，以实现通过统一账号进行用户与设备管理的有线无线一体化统一认证。本认证系统的开发与应用对其他地区具有一定的借鉴意义。

2 认证系统的设计框架

设计系统框架  本系统实现有线无线一体化统一认证，采用Web Portal认证方式，在不安装C/S端程序的情况下跨三层获取设备指纹信息，同时将设备、账号、用户、日志等进行关联，最终实现用户无感知认证的优秀体验，如图1所示。

确定开发原则

1）云平台紧密结合。2019年，温州市瓯海区完成“智慧教育云平台V 2.0”建设，实现云平台各类应用的统一组织、统一用户、统一标准和统一入口，实现平台内各类应用数据互联互通。认证系统将与云平台紧密结合，成为云平台的一个功能模块，用户使用唯一的云平台账号实现设备注册、认证和管理，提升使用体验。

2）实现用户自主管理。平台根据组织层级分三级管理模式进行开发设计：个人用户通过系统进行自主设备管理和上网记录查看;学校管理员对本校用户进行集中管理和上网行为统计分析;区级管理员对用户的上线信息、身份分组、权限分组、系统日志、接口账号、统计分析等进行全面管理。

3）实现无感知认证。无感知认证是指用户设备进入教育城域网环境，认证系统能自动识别设备的归属用户并进行自动认证，减少用户输入用户名和密码的步骤。此项功能为认证系统开发的亮点和难点。

明确设计要求  一体化认证系统设计采用“三方联动”实现，部署在城域网骨干网络节点。本系统不改变学校原有网络结构，实现改动最小化、效益最大化。系统明确采用云平台认证系统进行用户控制，采用迪讯CNS系统进行DDI准入控制，采用深信服AC进行上网行为准出控制，三方进行有效联动，完成对入网设备、用户信息、上网日志的统一管理。

3 认证系统的开发思路

认证系统设计难度大，联动方式复杂，涉及多方系统的数据通信、数据接口、数据传输和加密等多个敏感性问题，必须确定严谨的开发思路，以确保在安全性、稳定性和有效性上得到最大保障。

确定三方联动模式  选择采用松耦合的模式设计认证系统体系，确定云平台认证系统为核心系统，迪讯CNS和深信服AC相互之间不进行直接通信，这样既可以避免多方交叉通信引起数据同步问题，又可以减少三方开发的人员多方协调，缩短开发时间。

1）云平台认证系统与迪讯CNS联动完成准入授权，如图2所示。用户新设备首次进入教育城域网，由迪讯CNS系统对该设备进行准入授权操作，迪讯CNS分给该设备一个隔离区的IP，在ACL的访问控制限制下，该设备此时只能和迪讯CNS进行通信，避免非法接入用户对城域网内其他设备产生影响。

用户通过Web Portal页面向迪讯CNS提交用户名、密码，迪讯CNS向云平台认证系统进行身份验证，成功后双方会将用户标识ID、设备MAC、设备OS、设备类型等信息各自写入本地库，完成授权操作。

设备授权成功后，迪讯CNS会在很短的时间内重新发放正常区IP给用户设备（此后该设备再次入网将直接分配正常区IP，无须重复授权），同时会通知云平台认证系统，该设备正在进行CNS上线操作，双方将该设备确定为CNS在线状态。

在设备DHCP租期到期时，若设备没有进行续租，迪讯CNS将通知云平台认证系统该设备租期到期，双方将该设备确定为CNS离线状态。

用户可以通过云平台认证系统将不再使用的设备进行授权信息删除操作，迪讯CNS会同步进行删除。

为预防特殊情况引起的双方信息不同步现象，迪讯CNS提供授权信息和在线信息的同步接口以供云平台认证系统进行同步。

2）云平台认证系统与深信服AC联动完成准出认证，如图3所示。

正常授权后的用户设备访问互联网资源时，深信服AC会对其做准出认证，用户同样通过Web Portal页面向深信服AC提交用户名密码，深信服AC向云平台认证系统进行验证。成功后，AC从云平台认证系统获得该设备对应的MAC、用户标识ID等基本信息，双方同时将该设备设为AC在线。本设计有效地解决了深信服AC在城域网跨三层结构下无法取得设备真实MAC信息的弊端，实现了深信服AC上的用户名、IP、MAC三者相对应。

深信服AC准确地记录下认证用户的ID、昵称账号、真实姓名、手机号、终端类型、MAC、上线时间、上网行为等信息，做到可查可追溯。

为预防特殊情况引起的双方信息不同步现象，深信服AC提供在线信息的同步接口以供云平台认证系统进行同步。

制定安全通信方式  信息安全是教育城域网建设中的一个重点内容，与用户个人相关的敏感性信息更要特别注意，因此要求认证系统体系之间的通信遵循以下几点要求。

1）身份验证采用Token机制。认证系统体系之间的通信选用基于Token的身份验证机制，本验证方法目前很多大型网站都在使用，如Facebook、Twitter、Google+，Github等。迪讯CNS和深信服AC作为请求方，定期通过用户名、密码向云平台认证系统进行身份验证，成功后云平台认证系统将产生一个对应的Token给对方，请求方凭借这个Token可以在有效时间内和云平台认证系统进行通信，云平台认证系统可以通过Token值确认出通信对象的身份。每次获取到的Token值有固定的有效时间，过期后将会失效，迪讯CNS和深信服AC必须在失效前定时重新获取或失效后第一时间重新获取。Token机制大大减少了通信中用户名、密码的验证传递，可以有效保障用户名、密码安全。

2）通信内容加密机制。为保障通信内容的安全，防止非法人员抓包分析，认证系统体系所有系统之间的通信内容都会进行DES对称加密，采用多层混淆的方式使密文的统计特性与密钥的取值之间的关系尽可能复杂化，以使密钥和明文以及密文之间的依赖性对非法人员来说无法利用，有效避免在通信过程中引起的信息泄露。

3）通信主机IP限制机制。认证系统体系启用了通信IP限制，除预设好的成员IP以外，来自其他IP的认证请求将全部被拒绝。

实现无感知认证  为避免他人非法使用，保障用户信息安全，教育城域网内的设备如果一定的时间没有访问互联网，认证系统体系将默认用户已暂时离开该设备，深信服AC将会对其做离线操作，该设备再次访问互联网将需要重新认证。但对于用户的私人设备如手机等，正常情况下极少会被他人非法使用，却因为该安全机制经常需要进行重复认证。

针对该情况，推出私人设备无感知认证服务，用户在保证个人设备不会被他人使用的前提下，并愿意为该设备的上网行为负责，可以通过云平台认证系统对该设备进行无感知设置。设置后的设备进入教育城域网，迪讯CNS發放DHCP给该设备上线的同时，云平台认证系统将会通知深信服AC自动模拟该用户的AC上线操作，此后用户设备访问互联网将不再需要进行准出认证，达到无感知的认证效果。

4 成效与方向

区域一体化认证系统现已在瓯海区教育城域网全面投入使用，网内通过一体化认证系统进行认证的日常在线设备超过10 000台，已经成为瓯海区教育信息化不可或缺的重要组成部分。完善的统一认证体系，为瓯海区教育城域网的网络信息安全提供了强有力的保障，也为泛在学习环境的建设打下坚实的安全基础。

下一步，计划对认证系统中的数据进行进一步的分析汇总，并实现认证系统的数据可视化，借助图形化手段，将用户的组成、设备的分类、用户的行为等清晰地呈现，使整个认证系统的运行情况一目了然，为瓯海区教育信息化下一步发展提供支撑。

参考文献

[1]杨朋.高校有线无线一体化网络认证实现方式研究[J].网络安全技术与应用，2019（1）：65，67.

[2]刘庚.无线网络安全风险研究及关键技术应用[J].网络安全技术与应用，2019（11）：80-82.