面向多认证系统的在线用户统一管控平台设计与实现

邓国强 韩颖铮

摘 要： 在校园网中同时部署多套上网认证系统并使用统一的账号密码是常见的上网认证部署方案。多套上网认证系统并存时如何对在线用户进行统一管控、用户上线轨迹追踪和分析，以及如何对多套上网认证系统进行统一监控管理是当前校园网管理面临的共同问题。对此设计和实现了一种面向多认证系统的统一在线用户管控平台，并在真实校园网环境中测试使用，测试结果验证了平台的有效性。

关键词： 多认证系统; 用户统一管控; 校园网

中图分类号： TP391.3      文献标志码： A

Desgn and mplementaton of Onlne User Unform Management and

Control Platform for Multple Authentcaton System

DENG Guoqang， HAN Yngzheng

（nformaton Network Engneerng and Research Center， South Chna Unversty of Technology， Guangzhou 510640）

Abstract： Deployng multple sets of onlne authentcaton systems and usng unfed account password management s a common soluton n campus networks for user authentcaton. How to conduct unfed management and control of onlne users， user onlne trackng and analyss， and how to conduct unfed montorng and management of multple authentcaton servers are common problems n campus network management when multple authentcaton systems are used together. A unform onlne user management platform for mult-authentcaton system s desgned and mplemented n ths paper， and the effectveness of the platform s verfed by deployng the platform n actual campus network.

Key words： Multple authentcaton system; User unform management; Campus network

0 引言

随着教育信息技术成为高校教学的必要手段，校园网也成了高校建设和管理的必要基础设施。为保证网络安全，校园网通常采用认证上网技术进行用户实名制管理[1]，主流的上网认证系统有H3C的MC[2]、锐捷的SAM[3]、华为的Controller[4]等。近年来，随着校园网不断升级改造、无线网络全面覆盖以及校区增建与兼并，校园网上网认证需求由单一化走向多样化，校园网中不可避免地出现了多个厂商、多个认证系统、多种认证方式并存使用的情况[7-9]。为方便管理和使用，通常采用一套用户账号密码系统与多套认证系统进行同步对接的方法，来实现用户上网账号和密码的统一性，使得用户无论在何时何地、何种方式接入网络都可以采用同一套账号密码，简化了管理流程并提升了用户体验[10-11]。然而在多套认证系统并存使用的情况下，统一账号密码系统只能管理静态的用户账号基础数据，无法对网络接入认证用户产生的动态数据进行统一收集和管控，这带来管理上的困扰和新的网络安全问题，例如，管理员要分别登陆到各上网认证系统上进行查询再汇总，才能描绘出特定账号的全部上网轨迹;同一个账号可以同时在不同的上网认证系统管辖的接入网中认证上网，这导致无法保证用户上网唯一性;无法对用户上网进行统一管理和监控。为解决多套上网认证系统并用导致的各类问题，本文设计和实现了一种面向多认证系统的在线用户统一管控平台，在多套接入认证系统并用的情况下，通过统一管控方法解决了认证接入唯一性问题、实现了用户上网策略统一管理和轨迹信息统一收集，最终实现对所有接入认证系上的在线用户进行统一管控的目标。

1 系统整体设计

在线用户统一管控平台设计目标是构建整合多种上网认证系统，具备用户策略集中管控和系统自身安全控制管理功能的统一管控平台。为实现这些目标，提出以下设计原则：

1）实现用户认证信息对接、用户上网控制策略下发，同时集中收集上網认证系统的在线用户列表、用户上线与下线记录数据，构建和维护完整的用户在线状态表、用网轨迹日志，并进行统一管控;

2）实现对多套不同的上网认证系统统一管理，监控认证系统运行状态，这些上网认证系统可以来自不同的厂商、采用不同的认证协议;

3）不对现有网络及认证计费的系统和结构有影响;

4）具备操作管理后台、系统管理和角色权限管理功能。

基于以上原则，本文设计的在线用户统一管控平台根据依赖关系，自下而上可分为三层，即对接层、实现层和操作层，如图1所示。

各个层功能描述如下：

对接层：实现与统一账号数据中心的用户基础数据对接、与各上网认证系统的用户在线数据对接、与各上网认证系统的拨测监控和策略下发等功能对接、日志采集;

实现层：整合对接层收集的数据，实现各项管理功能，包括操作员管理、系统管理、认证服务器管理、用户基础信息管理、在线用户信息对接和管理、认证系统监控、消息管理和推送、黑名单策略和管理、工作台。

操作层：实现管理操作、审计界面以及告警和通知推送。

1.1 用户基础数据对接

用户基础数据来自于学校用户身份权威数据源--统一账号数据中心，用于用户身份的鉴别和认证。通过对接语法，实现对用户数据中的学工号、姓名、用户类型、所属学院/部门、授权上网范围、在校标记信息进行定期同步拉取。平台对接接口支持用LDAP、RADUS协议或者portal方式，绝大部分统一账号管理系统都至少支持这三种接口中的一种。

1.2 用户在线数据对接

平台通过RADUS接口协议获取上网认证系统的用户在线数据。用户在线数据包括用户的在线状态、上下线时间、用网位置、下线原因、日志等。平台采用RADUS协议与上网认证系统对接，不需要上网认证系统和计费系统做出调整，而且即使平台发生故障无法正常运行，各上网认证系统也可以不受影响继续正常运行。由于RADUS协议简单明确，可扩展性强，H3C、锐捷、华为、城市热点等主流的上网认证服务系统均支持开源RADUS接口。

1.3 功能对接

平台通过RADUS接口协议向上网认证系统下发管控指令，以实现拨测监控、策略下发、消息推送、用户上下线控制等功能。其中，拨测监控是指通过采用上网认证系统的登录账号和密码，对各上网认证服务器监控进行自动化模拟登录，以验证上网认证服务是否正常。当登录失败次数超过预制阈值时，自动触发告警，拨测监控功能可以有效对认证系统服务器的“假死”状态进行准确判断和告警。

1.4 在线用户管理

在线用户管理模块对各上网认证系统的在线用户进行集中信息收集和管理，对在线用户进行实时查询检索，上线下线控制，消息下发，准入日志查询、同时在线查询等功能。

1.5 认证服务器管理

通过上网认证服务器管理模块，可以自定义对各类常用的认证系统进行添加、查看、编辑和删除操作，同时可以设置各个认证系统数据源的参数设置，包括AP接口、更新频率、监控频率、异常超时次数、启用停用等。

1.6 用户上网服务策略管理

该模块实现了根据用户类型或用户购买的套餐实施对应的用户上网差异化服务功能，策略细分为时间段策略、区域策略、流量阈值等，针对具有违规行为的用户实施黑名单策略。通过策略的自动匹配，自动生成本地用户策略清单自动同步到各上网认证系统上，实现用户准入准出控制的目的。

1.7 日志留存管理

实现对系统的各类操作日志、监控日志、黑名单变更日志、流量用量日志、用户准入日志等进行留存和检索管理，帮助运维团队进行日志分析，更快地分析出用户准入问题。

1.8 平台权限控制

该模块根据不同的管理角色，进行功能授权控制，根据角色拥有权限，授予管理员对在各个认证系统和各个区域上的数据进行管理，实现片区化运维管理。

2 平台功能实现

考虑开发的便捷性和使用方便，系统采用B/S架构[12]，制定如下开发运行环境：Wndows 2012 R2 企业版版本操作系统，Mcrosoft SQL Server 2012版本数据库，S 8.0版本，采用.NET框架，基于Mcrosoft .NET Framework 4.0版本。下面分别阐述各个关键模块的功能实现。

本文实现选择了LDAP轻量目录访问协议实现本系统与中央统一认证系统的用户资源数据对接，LDAP协议的优势在于跨平台、标准化、易实现易维护、读取性能佳等。

用户用网数据与管控对接接口采用开源RADUS。以锐捷SAM认证系统为例，通过厂家提供的第三方开发接口开发包，利用多线程（mult-thread）技术实现在线用户用网数据的实时拉取，并基于统一的数据标准进行数据转换，然后再与用户基础数据进行合并，如图2所示。

在上网认证服务器管理方面，通过各认证系统的标准化webservce接口，进行重新封装，通过接口获取各服务器的底层认证数据。服务器管理界面如图3所示。

服务器监控界面可以统一地监控和展示多个认证服务器的运行情况，如图4所示。

同一账号在多处同时在线被视为违规行为，以下是在平台上检索有这种违规行为的账号并进行相关处理的管理场景：

（1）在平台上检索违规用户，如图5所示。

（2）对违规账号进行批量发送警告信息后，再进行批量下线操作，如图6所示。

通过黑名单策略可以对违规账号进行禁止登陆管制，管理界面如图7所示。

平台管理权限控制设计如图8所示。

系统可以根据各种功能模块和特定操作设定权限，然后根据具体运维情况进行角色划分，并把权限划分到各种角色中，如一线运维人员、二线运维人员、运维管理员角色等。然后把具体操作员用户设定到某种角色中，从而实现操作员的权限控制。

3 系统测试和应用

在真实校园网环境中部署了本文设计和开发的在线用户统一管控平台，对接的网络认证系统包括了H3C的MC认证系统和锐捷的sam认证系统。实际运行的在线用户管控平台前端界面，如图9所示。

平台部署后，通过测试验证了对不同认证系统上的校园网账户进行实时统一监测，并对异常上线的用户进行监控、预警和控制，降低了异常接入用户对校园网的影响，保证了校园网稳定运行。

4 总结

本文为解决校园网中的多套上网认证系统并存使用时如何对在线用户进行统一监控和管理的问题，设计和实现了一个在线用户统一管控平台。在已有的校园网环境下进行平台部署和测试，与多套认证系统进行了对接，运行测试结果表明，本文提出的平台实现了对在线用户的统一管理和对多认证服务器的统一监控，提升了校园网网络安全管理效率。基于本平台收集的数据可以进一步开展有较高实用价值的大数据分析研究，比如用户轨迹分析、账号安全分析等。

参考文献

[1] 杨海鹏， 韩强. 高校网络实名制管理研究[J]. 吉林工程技术师范学院学报， 2018，34（1）：78-80.

[2] 崔治文， 周艳琼. 基于802.1X+portal校园网认证的原理与应用[J]. 信息通信， 2016（11）：155-156.

[3] 姜建秋，李军.一种基于SAM+的极简网络设计与实现[J].青岛大学学报（自然科学版），2018，31（3）：69-73.

[4] 葛双豪. 基于SDN的Agle Controller网络管理系统设计与实现[D].南京大学，2019.

[5] 杨玲.高校无线校园网的建设和安全管理[J].网络空间安全，2018，9（11）：88-92.

[6] 喻鋆.建設无线校园网[J].网络安全和信息化，2017（10）：61-62.

[7] 杨朋.高校有线无线一体化网络认证实现方式研究[J].网络安全技术与应用，2019（1）：65.

[8] 牛建涛. 支持多认证协议的统一认证系统研究[D].西安：西北大学，2008.

[9] 汪翔.高校“三多模式”WLAN业务网络分流建设模式[J].电信工程技术与标准化，2013，26（10）：11-15.

[10] 方蓓. 多种接入方式下的统一身份认证设计与实现[D].昆明：云南大学，2011.

[11] 沈达峰.校园网多区域用户接入认证技术的研究[J].淮阴工学院学报，2016，25（5）：10-14.

[12] 林伟婷.C/S与B/S架构技术比较分析[J].科技资讯，2018，16（13）：15-16.

（收稿日期： 2019.06.24）

基金项目：广东省重点领域研发计划（2019B010137001）;赛尔网络下一代互联网技术创新项目（NG20180111）

作者简介：邓国强（1984-），男，工程师，研究方向：网络安全、自动化运维。

通信作者：韩颖铮（1984-），女，高级工程师，研究方向：网络安全、软件定义网络。文章编号：1007-757X（2020）01-0022-04