高校网络认证系统建设研究

折波 王强 张哲 李国栋 覃遵颖

摘   要：目前，认证系统已经成为校园网络的重要基础组成部分。文章以西安交通大学网络认证系统建设为例，对高校校园网络认证系统建设进行了探索研究，以期为各高校网络认证建设提供经验参考。文章首先从建设必要性出发，详细阐述了认证系统建设是国家法律法规对网络管理的需求以及校园网网络管理的基础;然后详细介绍了网络认证系统的整体架构，系统从功能上划分为4个模块：用户自服务模块、数据管理模块、用户接入认证模块以及数据库模块，详细介绍了每个模块的实现原理以及使用的技术;最后介绍了西安交通大学网络认证系统的建设成果和整体运行情况。该系统目前服务于全校所有的网络接入认证，服务全校教工师生5万余人，终端数量超过10万台，系统运行稳定，3年无大规模故障发生。

关键词：校园网络;网络认证系统;用户接入认证;radius

中图分类号：TP393 文献标志码：B 文章编号：1673-8454（2020）03-0089-04

一、引言

互联网的高速发展对人们的工作和生活产生了巨大的影响。在高校中，互联网正在不断地改变着教育形态，推动教育现代化、智慧化。互联网为教学科研、行政管理、娱乐生活提供了便捷、稳定、高效的交流、学习、娱乐以及资源共享平台。师生的日常工作、科研、学习、生活已然离不开网络。互联网的发展同时也带来一些问题，主要表现在网络资源不能合理分配、网络滥用现象多、非校园网用户接入影响网络秩序、网络安全问题突出等，针对这些问题，各高校都建设了网络认证系统，以保障校园网用户合法使用、规范用户上网行为、有效控制网络资源分配、降低网络资源浪费。

大多数高校的校园网认证系统都购买公司成熟的产品，如深澜、城市热点、锐捷等。成熟的产品具有运行稳定、功能多样、安装便捷等优点，同时也具备不少缺点，如普遍与校内现有数据系统对接复杂，产品整体灵活性差，扩展性差，使用过程中出现问题后查找问题困难，出现问题一般都需要厂家工程师解决问题，厂家售后团队成员少，服务参差不齐，出现故障很难保证及时解决问题，影响用户网络使用。为了保障校园网的稳定、安全、可靠运行，西安交通大学自主研发了校园网络认证系统，用于全校校园网络接入认证以及用户的网络管理。

二、网络认证系统建设

1.网络认证系统建设的必要性

网络认证系统建设是国家相关法规对网络管理的要求。根据《中华人民共和国网络安全法》[1]《互联网信息服务管理办法》[2]等有关法律、法规和制度，以及公安部第82号令[3]要求，互联网使用单位必须实行实名制认证上网，日志信息记录留存12个月，并对上网内容和上网行为提供审计功能。

网络认证系统建设是校园网络管理的基础，网络认证系统防止了非校园网用户对校园网的使用，保证了校园网使用用户都是实名制用户。网络认证系统有利于网络资源带宽的合理分配，校园网用户规模庞大，终端数多，带宽不足，西安交通大学高峰期在线终端数超过5万台，校园网租用带宽不足6G，为了确保校园网的可用性，必须对用户划分以施行差异化的访问控制策略。网络认证系统绑定了每个用户的用户名、口令以及IP地址，系统能够实现将用户按类别、区域划分，从而保障校园网的可用性、稳定性、多样性。

2.网络认证系统的整体架构

西安交通大学网络认证系统整体架构如图1所示。系统从功能上划分为4个模块，分别为用户自服务模块、数据管理模块、用户接入认证模块以及数据库模块。用户自服务模块使用校园网用户自服务系统提供对外服务的窗口，用户通过自服务系统申请校园网账号、更改校园网上网密码、查询管理个人信息、查询个人上网缴费信息、管理个人电子邮箱以及VPN等等。数据操作管理模块包含了数据操作中转服务器以及数据管理系统，数据操作中转服务器用于存储用户的操作信息，用户在自服务系统上针对校园网账号以及个人信息的增删改操作都会记录到数据操作中转服务器;数据管理系统根据数据中转服务器中记录的操作对各类数据库进行操作，数据管理系统定时读取识别数据中转服务器中的增删改操作后在数据库服务器中对用户数据进行更改，同时同步校园各类认证服务器中的用户信息。数据库模块包含用户数据库以及数据库备份服务器，数据库服务器存储用户的个人数据，数据备份服务器定期以增量备份及全备份的方式对用户的数据进行备份，保障数据安全。用户接入认证模块包括校园有线网络、无线网络、学生宿舍有线网络、图书馆无线网络、家属区有线网络等20余台校园网络认证服务器，用户上网的时候根据校园网不同的网络环境使用PPPOE、Portal或802.1x方式通过不同的认证方式实名制上网。

3.用户自服务模块

用户自服务模块使用校园网用户自服务系统提供的对外服务窗口。用户使用校园统一身份认证登录自服务系统，还可以使用自服务系统申请校园网账号、查看个人网络状态信息、更改各类校园网密码、查看校园网网络通知、下载各类网络认证使用说明等等。自服务系统使用PHP开发。系统对用户信息的查看是通过查询用户数据库服务器来实现的，用户对各类信息的更改操作全部以insert的方式插入到数据操作中转服务器，而后由数据管理系统进行用户数据实际的更改操作。

4.用户接入认证模块

西安交通大学接入认证模块包含了对校园有线网络、无线网絡、学生宿舍有线网络、图书馆无线网络、家属区有线网络等所有校园网络环境使用的用户接入认证。不同的校园网络环境使用不同的认证方式，如校园有线网络使用PPPOE拨号认证、校园无线网络使用802.1x认证以及Portal认证、学生宿舍有线网络使用PPPOE拨号和Portal组合认证的方式。

西安交通大学所有认证服务器[4][5]都使用开源的freeradius自主搭建。freeradius[6]是一个功能强大的开源radius，世界上大部分的radius服务器都是由freeradius开发而来，是多样化radius商业产品的基础部分。freeradius具有功能丰富、模块化、扩展性强、稳定性高的特点。西安交通大学搭建的认证服务器总共有20余台，包括物理实体机和虚拟机。实体机主要用于用户数多、网络认证频繁的网络场景，如校园无线网络802.1x认证、校园有线PPPOE认证等;虚拟机主要用于用户数少、认证操作频次低的网络场景，如学生宿舍portal认证、家属区PPPOE认证的网络场景。

西安交通大学radius服务器是在Linux Centos6.7版本上使用开源freeradius-2.2.9版本搭建的。数据库使用MySQL-5.6.27版本;freeradius使用源码安装的方式进行安装;radius服务器对接校园网BAS设备（华为Me60）进行认证上网;每种网络场景使用2台radius服务器;部署方式为主备模式。radius服务器根据网络使用场景和服务器的不同进行了功能和性能的优化。功能优化方面主要是对radius服务器进行“针对用户划分不同的域、用户在线终端数限制、日志记录、认证方式选择”等优化;性能优化方面主要是对radius服务器使用的线程数、服务器最大请求数等方面进行优化。对radius服务器的功能和性能优化主要是对radius.conf、client.conf、sites-enabled/default、sql.conf等文件配置调优，对用户域的划分需要和华为Me60进行对接，对接freeradius中用户属性与Me60 radius属性值的转换。

西安交通大学radius服务器都启用了iptables防火墙。防火墙仅开放了认证和数据库所需的1812、1813、3306端口，并且只允许管理员IP地址SSH登录。radius服务器上同时开发部署了进程监控程序，监控程序实时监控radius和mysql进程，radius和mysql进程出现问题，监控程序会重新启动，有效保障了radius服务器的安全性和认证的可靠性。

5.数据操作管理模块

数据操作管理模块包含了数据操作中转服务器以及数据管理系统。

数据操作中转服务器用于存储用户在自服务平台对个人信息以及管理员对用户数据信息的增删改操作，一方面可以对用户和管理员操作数据库留痕;另一方面可以充分保障数据库的安全性。数据库如果出现重大故障，可以使用数据中转服务器中的数据进行数据库恢复。数据操作中转服务器使用SQL Server2008数据库搭建。数据库表中有command和commandState两个重要字段，command字段代表对数据库的操作命令，如“insert”代表插入数据、“update”代表更新数据、“delete”代表删除数据;commandState代表数据库操作执行情况，如“1”代表用户数据库操作未执行、“100”代表用户数据库操作执行成功。对数据的操作以insert方式全部插入到数据库表中，如管理员在校园有线网络中增加一个用户命令为：

insert into [Wire].[dbo].[fa_command]（command，commandState，userName，password，stuNum，trueName） values（'insert'， 1， 'ceshi01'， 'ceshi01'， 2019050901， '测试'）。

数据管理系统是校园网认证系统的核心。该系统使用C/C++语言开发，系统定时（30秒）读取识别数据中转服务器数据库中最新的增删改操作后，在用户数据库服务器中对用户数据进行更改，更新数据中转服务器中操作的执行状态，同时同步校园各类认证服务器中的用户信息，保障用户认证的时效性。数据管理系统工作的具体流程图如图2所示。系统启动后启动数据管理线程，首先判断数据中转服务器数据库中是否有未执行操作的数据，如果没有，线程休眠30秒，如果有，系统逐条读取数据中转服务器数据库中未执行操作的数据并识别数据操作类型后，在数据库服务器中执行实际操作，判断数据库执行是否成功，如果数据库操作执行失败，则线程结束运行，如果数据库操作执行成功，则更改数据库中转服务器中操作数据的执行状态，并且根据用户操作同步相关radius服务器中的用户数据，未执行操作数据执行完成后线程休眠30秒，线程休眠后重新判断数据中转服务器中是否有未执行操作数据，如此循环执行，保障数据实时更新。

6.数据库模块

数据库模块包括了用户数据库和数据库备份服务器。用户数据库使用Sql Server2008，用户数据库根据不同的校园网场景建立不同的数据库表，如校园有线网络用户表、校园无线网络用户表、学生宿舍网络用户表等。用户表中存储了用户个人基本信息、网络状态信息（包括允许同时在线人数、网络状态、欠费情况、组别信息等等）。数据库只开通了数据中转服务器用户的增删改操作，只允许数据中转服务器对数据库进行数据更改操作，数据库允许其他授权用户进行查询操作。为了充分保障数据的安全性，数据库设置了定时的增量备份和全备份任务，系统会定时（每天凌晨5点）将数据库备份到本地磁盘中。另外，系统使用了cobian backup备份软件定时（每天凌晨6点）对数据库备份文件进行远程备份，防止数据库服务器瘫痪。系统管理员会定期对数据库备份文件进行恢复演练，以保障数据库备份的可用性、完整性、可靠性。

三、西安交通大学网络认证系统运行情况

西安交通大学校园网络认证系统目前已经覆盖了全校所有的网络接入认证，包括校园有线网络、无线网络、家属区网络、学生宿舍有线网络、图书馆无线网络等等。该系统目前服务全校教工师生5万余人，终端数量超过10万台，校园网络认证系统使用了1台服务器用于用户自服务系统、1台数据操作中转服务器、1台数据管理服务器、1台用户数据库服务器、1台数据备份服务器以及20余台radius服务器。由于服务器数量多，为了管理便捷性，自主开发了监控程序用于监控所有服务器的实时状态，服务器状态监控信息如图3所示。从图3可以看出，监控程序监控的服务器显示了服务器IP、用途、连接状态以及历史记录信息。服务器的连接状态能够显示服务器网络连接是否正常，绿色代表连接正常，红色代表出现故障;历史记录信息可以显示服务器网络连接的历史通断信息。教学区学生PPPOE认证服务器监控历史记录如图4所示。从图4中可以看出，系统在4月6日出现故障10分钟;2月15-16日有多次网络故障;4月6日故障是由于机房停电导致的;2月15-16日多次故障是由于机房整理线缆导致的。该系统目前运行稳定，3年无大规模故障發生。

四、結束语

本文以西安交通大学网络认证系统建设为例，对高校网络认证系统进行了探索研究。首先从网络认证系统建设的必要性出发，详细阐述了网络认证系统建设是国家法律法规对网络管理的需求，同时也是校园网网络管理的基础。其次介绍了西安交通大学网络认证系统的整体架构，系统从功能上划分为4个模块，用户自服务模块、数据管理模块、用户接入认证模块以及数据库模块，详细介绍了每个模块实现的原理和使用到的技术：用户自服务模块中的自服务系统提供了对外服务的窗口，提供用户对校园网账号以及个人信息的日常管理;用户接入认证模块中所有的认证服务器都使用开源freeradius自主搭建;数据操作管理模块包含了数据中转服务器以及数据管理系统，数据中转服务器提供对用户以及管理员数据信息增删改操作的记录，数据管理系统根据数据中转服务器中的记录信息对用户和radius数据库进行操作;数据库模块提供了用户数据的数据库存储以及数据库备份。本文最后介绍了西安交通大学认证系统的整体运行情况，系统目前服务于全校所有的网络接入认证，同时自主开发了服务器日常监控程序来保障日常管理的便捷，为各高校的认证系统建设提供了经验参考。

参考文献：

[1]中华人民共和国网络安全法[EB/OL].http：//www.npc.gov.cn/npc/xinwen/2016-11/07/content_2001605.htm.

[2]国务院令第292号.互联网信息服务管理办法[Z].

[3]公安部令第82号.互联网安全保护技术措施规定[Z].

[4]Zhang， Y. Guo， Y. Chen and J. Ma， “Research of AAA messages Based on 802.1x authentication，”2015 IEEE Advanced Information Technology， Electronic and Automation Control Conference （IAEAC）， Chongqing， 2015， pp.618-621.

[5]G. Cristescu， V. Croitoru and V. Sorici， “Implementing an AAA-RADIUS solution based on EAP，” 2016 12th IEEE International Symposium on Electronics and Telecommunications （ISETC）， Timisoara， 2016， pp.81-86.

[6]FreeRADIUS[EB/OL]. http：//freeradius.org/.

（编辑：王晓明）