高校校园无线网络认证系统研究.doc

高校校园无线网络认证系统研究 　　摘要：无线网络是目前各大高校骨干网络建设后的主要建设项目之一，因为无线上网具有比传统网络连接方式很大的便利性，但是在移动认证上具有一定的挑战，也是高校校园内规划网络时主要衡量的因素，该文提出了以web-based并以使用者身份认证基础的研究，采用Linux、PHP/MYSQL、IPTables等技术，避免权限设置问题，并运用到高校的校园网络环境，为今后其他高校使用无线网络提供了方案策略。 　　关键词：网络认证；无线网络；IPTables； 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）13-0041-02 　　1 前言 　　随着科技的发展，网络在社会中的普及，从有线网络到随处可以上网的无线网络，上网人数在不断增加，尤其是在校园资源有限，人数增多的情况下，网络管理人员如何将提供给广大师生优质是网络信号进行服务，避免资源浪费，除了应用网络设备之外，必须建立全方位网络管理系统，促进管理者维护网络效能策略的提高。 　　在校园内部，由于每年学生人数的不断增加，学生上网需要不断加大，而且上网时间较长，对于目前校园内使用的IPv4网络已经出现不能满足校园网络的需求，因此，为了能够解决此问题，适度的使用网络资源，建立一个无线的网络系统并进行无线认证是迫在眉睫。 　　本文通过Web based 认证系统来取代原有的MAC的方式，全校的师生只要通过输入自己的账号和密码就能上网，这样操作简单，而且即使有外来人员，也可以单独开发一个账号进行上网[1]，这样方便学校对账号进行管理，学生和教师进行认证必须通过学校提供的名单进行实名认证，这样不仅仅解决上网问题，还可以对网络信息和网络资源等进行跟踪，挖掘出上网者的上网时间和模式等情况。 　　2 无线网络的研究 　　目前无线网络管理主要是通过网络监控锁MAC技术及采用的EAP等认证方式，大多数使用者都是采用的MAC模式，[2]网络管理人员对其管理比较繁琐，而EAP是目前IEEE802.1X 　　所制定的标准，是可以加密的协议，通过RADIUS服务器来对使用者进行集中管理，使用者必须通过认证方可上网。 　　EAP的优点是它可以和学校的账号密码相结合，并且还可以在分校区进行跨网合作，无论是哪个校区，都可以使用无线网络，网络的服务器可以是互相连通的[3]。但是目前EAP不是普遍使用的技术，有些网卡不能支持EAP的认证方式，所以需要购买无线网卡。 　　本文在两种无线认证的方式为基础开发了一套以web based为基础，利用linux IPTables 及LDAP的网络环境认证管理系统，进行人性化、方便操作的认证系统。 　　3 校园WLAN系统架构 　　本文结合校园WLAN的实际情况，将校园内部网络欲对外连线的封包全部挡下，并转向至linux server的 80端口，如图1所。使用者需要通过认证后才能上网，在网页关了方面我们使用PHP +MYSQL，硬件方面需要安装两个网卡，一个需要连接虚拟IP，另一个网卡则连接到对外的Switch上，挡虚拟Ip的封包经过ethi进入linux时，系统会因为IPTables的PREROUTING Chain 锁定，而将封包挡下并转向到本机的80端口，以Web based方式让使用者进行认证，通过PHP 将使用者输入的账号密码与LDAP的信息进行对比[4]。当使用者通过认证之后，PHP会在MYSQL数据库中存储信息，并更改IPTables的设定，让使用者能够上网，最后经过Source NAT连接出去。 　　为了维护网络资源，我们使用了一个机制，系统会根据网络管理人员所设定的时间去侦测每位上网者的连线情况，并根据ICMP的回应来判断使用者是否还在线上，如果发现某位上网者已经连续两次没有回应，此时为了避免资源的浪费，我们会将使用者自MYSQL及IPTables的名单中删除，使用者以后再次上网时，必须通过认证才能上网。 　　这些使用者信息我们将进行保存在mysql里面，并在下面列出几个重要设置的说明： 　　1）id：记录使用者的学号； 　　2）login_ip ：使用者上网所使用的ip； 　　3）login_time：使用者开始上网的时间； 　　4）checked：判断使用者是否已通过认证； 　　5）idle_time：闲置次数，若使用者超过两次会被强制离线。 　　3.1 OpenLDAP的相关设置 　　在建立LDAP的Entry时，我们利用cn及userpassword等相关属性，如下列所示： 　　dn：cn=m303016101@stut.edu.tw，dc=stut，dc=edu，dc=tw 　　cn：m303016101 　　userpassword：{