《北航校园网认证系统整合的两个实例》王琪全 北京航空航天大学
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
无法实现账号漫游 无法控制用户在不同平台的同时在线数量 无法实现营帐系统的统一
系统的基本原理
系统的设计思想
– 以同步用户信息数据库为基础 – 实现用户在线用户数的控制和营帐系统的统一
关键是用户信息、在线用户信息以及营帐信息数 关键是用户信息、 据的更新与同步
N
名/密码的检测后, 密码的检测后,
/ N
进一步检测用户 的在线用户信息 以及网络使用权
N 正确
限 – 实现与原有系统 的数据同步更新
营帐系统数据的更新与同步 数据同步的必要性 – 营帐系统是认证计费系统的核心组件 – 记录用户账户的付费信息及资金使用情况 – 是用户能否使用网络的重要凭据
营帐系统数据的更新与同步
安全基础设施
北京航空航天大学信息化建设系统框架结构图
高校信息化建设的相关情况 1、信息化建设的整体框架(根据每个学校的个 信息化建设的整体框架( 性化需求, 性化需求,按照信息化建设的一般内容做了统一 的整体规划) 的整体规划) 2、应用系统建设进度不一(网络及服务器基础 应用系统建设进度不一( 设施基本建设完备,但安全、 设施基本建设完备,但安全、软件基础设施建设 进度不一, 进度不一,应用软件系统的建设大多由于部门各 自为战而显得五花八门,信息孤岛十分明显) 自为战而显得五花八门,信息孤岛十分明显) 3、校园网资源整合已成为信息化建设的主题
统一认证计费系统的认证过程
/
802.1x N
N
/ N
N
正确
用户信息数据库的同步
用户信息数据同步的必要性 – 用户信息数据是进行用户身份识别管理的基础 – 不同的认证系统的用户信息数据库在字段和数据类型上是异构 的 – 有的系统还将用户的密码加密存放 实现方式 – 需要通过数据转换中间件来进行同步
门户接入系统 LDAP目录服务、负载均衡、访问数据统计 校机关部、处管理系统 办 应用 公 人 科 软件 自 事 技 系统 动 处 部 化 管 管 管 理 理 理 系 系 系 统 统 统 软件 基础 设施 硬件 基础 设施 学 生 工 作 部 管 理 系 统 教 务 处 管 理 系 统 研 究 生 院 管 理 系 统 科 技 开 发 部 管 理 系 统 网 络 中 心 管 理 系 统 基于网络的交互应用 对外信息发布系统 各 网络 院 系 网络基础服务 应用 开发 基 DNS、 维护 本 E_mail、 信 FTP、BBS、 管理 息 流媒体等 发 布 系 统 基础 设施 管理
无线网接入认证
邮件系统开户初始认证
校园网格接入认证
谢 谢!
我们的联系方式: 我们的联系方式:
北京航空航天大学网络信息与计算中心 王琪全 wangqiquan@ 黄 韬 huangtao@
实现方式 – 保留原系统营帐信息 – 转发Accounting 转发Accounting Start/Stop 报文 – 实时更新用户网络使 用的时长/ 用的时长/流量等信 息 – 达到限定值后,通知 达到限定值后, 802.1x认证系统强制 802.1x认证系统强制 用户下线
营帐系统数据的更新与同步 统一营帐系统实现的功能 – 取代了原有802.1x认证系统的营帐功能 取代了原有802.1x认证系统的营帐功能 – 用户只需一次付费就可以申请不同网络的服务 – 实现了在不同接入认证系统间的漫游服务 – 简化了用户管理的工作流程
资源整合的主要内容
组织整合(明确职责) 1、组织整合(明确职责) 安全整合(统一认证,统一权限管理) 2、安全整合(统一认证,统一权限管理) 3、数据整合(统一信息标准,统一数据库) 数据整合(统一信息标准,统一数据库) 业务整合(内容整合,个性化服务) 4、业务整合(内容整合,个性化服务) 社会整合(关联社会应用) 5、社会整合(关联社会应用)
Authentication Server 体系结构
802.1x认证系统的简单整合 802.1x认证系统的简单整合 实现用户信息数据库的同步
– 实现关键数据(如用户的帐号、密码等)的同步 实现关键数据(如用户的帐号、密码等) – 自行开发用户管理平台 – 厂商提供数据接口
不能从根本上克服系统不兼容所带来的问题
用户信息数据库的同步机制
在线用户信息数据的同步 数据同步的必要性 – 在线用户信息是用来控制同一用户账号可 以同时登录使用网络的数量(杜绝一号多 以同时登录使用网络的数量( 用,方便日志跟踪) 方便日志跟踪)
在线用户信息数据的同步
/
实现方式 – 保留原系统在线
802.1x N
用户信息 – 完成用户的用户
校园卡身份数据在网络用户管理中的应用 校园卡已经在高校中普及 校园网用户都是持卡人 持卡人身份数据全面准确 是用户在校园中的第一份电子身份信息 每个持卡人都有密码 一卡通身份数据适于身份验证
基于一卡通的身份身份验证系统的应用 无线网接入认证 邮件系统开户初始认证 校园网格接入认证
统一认证计费系统的实现 系统平台 – 基于开源系统FreeRadius 基于开源系统FreeRadius – 数据库采用常用的MySQL 数据库采用常用的MySQL 实现方式 – 自行开发用户AAA处理功能组件 自行开发用户AAA处理功能组件 – 通过FreeRadius的外部调用接口实现挂接 通过FreeRadius的外部调用接口实现挂接 – 自行开发数据同步中间件等功能组件
王琪全 黄韬 北京航空航天大学网络信息与计算中心
高校信息化建设的模式 信息化建设已进入整合时代 北航校园网认证系统的两个整合实例
802.1x网络认证计费系统的整合 校园卡身份数据在网络用户管理中的应用
高校信息化建设的模式 1、自主模式 2、外包模式 3、混合模式
高校信息化建设的相关情况 1、信息化建设的整体框架(根据每个学校的个 信息化建设的整体框架( 性化需求, 性化需求,按照信息化建设的一般内容做了统一 的整体规划) 的整体规划)
有必要在异构的802.1x认证系统平台之上, 有必要在异构的802.1x认证系统平台之上,建立统 802.1x认证系统平台之上 一的用户接入认证计费系统
802.1x认证系统体系结构 802.1x认证系统体系结构
802.1x认证系统体系结构 802.1x认证系统体系结构
802.1x认证系统包括三个实体 802.1x认证系统包括三个实体 – Supplicant System(接入系统) System(接入系统) – Authenticator System(认证系统) System(认证系统) – Authentication Server System(认证服务器系统) System(认证服务器系统) Authentication Server大都基于Radius系统开发的 Server大都基于 大都基于Radius系统开发的
远 程 教 学
网 上 招 生 分 配
网 上 选 课
网 上 学 生 工 作
网 上 办 公
校 园 一 卡 通
数 字 图 书 馆
科 研 信 息 发 布 系 统
教 学 信 息 发 布 系 统
学 生 信 息 发 布 系 统
教 师 信 息 发 布 系 统
各部门本地数据库 公共信息数据库 服务器基础设施 网络基础设施
北航认证系统整合的两个实例
802.1x网络认证计费系统的整合 校园卡身份数据在用户管理中的应用
802.1x网络认证计费系统的整合 问题的提出
校园网分期建设,造成网络设备异构 校园网分期建设, 异构型校园网管理面临的问题 – 用户无法在不同认证系统中漫游 – 校园网用户管理平台无法统一整合,增加运行管理成本 校园网用户管理平台无法统一整合,
北京航空航天大学网络信息与计算中心北京航空航天大学网络信息与计算中心nicbuaaedunicbuaaeduwangqiquanbuaaeduwangqiquanbuaaedu黄黄huangtaobuaaeduhuangtaobuaaedu
北航校园网认证系统整合的两个实例 北航校园网认证系统整合的两个实例 系统
系统的基本原理
系统的设计思想
– 以同步用户信息数据库为基础 – 实现用户在线用户数的控制和营帐系统的统一
关键是用户信息、在线用户信息以及营帐信息数 关键是用户信息、 据的更新与同步
N
名/密码的检测后, 密码的检测后,
/ N
进一步检测用户 的在线用户信息 以及网络使用权
N 正确
限 – 实现与原有系统 的数据同步更新
营帐系统数据的更新与同步 数据同步的必要性 – 营帐系统是认证计费系统的核心组件 – 记录用户账户的付费信息及资金使用情况 – 是用户能否使用网络的重要凭据
营帐系统数据的更新与同步
安全基础设施
北京航空航天大学信息化建设系统框架结构图
高校信息化建设的相关情况 1、信息化建设的整体框架(根据每个学校的个 信息化建设的整体框架( 性化需求, 性化需求,按照信息化建设的一般内容做了统一 的整体规划) 的整体规划) 2、应用系统建设进度不一(网络及服务器基础 应用系统建设进度不一( 设施基本建设完备,但安全、 设施基本建设完备,但安全、软件基础设施建设 进度不一, 进度不一,应用软件系统的建设大多由于部门各 自为战而显得五花八门,信息孤岛十分明显) 自为战而显得五花八门,信息孤岛十分明显) 3、校园网资源整合已成为信息化建设的主题
统一认证计费系统的认证过程
/
802.1x N
N
/ N
N
正确
用户信息数据库的同步
用户信息数据同步的必要性 – 用户信息数据是进行用户身份识别管理的基础 – 不同的认证系统的用户信息数据库在字段和数据类型上是异构 的 – 有的系统还将用户的密码加密存放 实现方式 – 需要通过数据转换中间件来进行同步
门户接入系统 LDAP目录服务、负载均衡、访问数据统计 校机关部、处管理系统 办 应用 公 人 科 软件 自 事 技 系统 动 处 部 化 管 管 管 理 理 理 系 系 系 统 统 统 软件 基础 设施 硬件 基础 设施 学 生 工 作 部 管 理 系 统 教 务 处 管 理 系 统 研 究 生 院 管 理 系 统 科 技 开 发 部 管 理 系 统 网 络 中 心 管 理 系 统 基于网络的交互应用 对外信息发布系统 各 网络 院 系 网络基础服务 应用 开发 基 DNS、 维护 本 E_mail、 信 FTP、BBS、 管理 息 流媒体等 发 布 系 统 基础 设施 管理
无线网接入认证
邮件系统开户初始认证
校园网格接入认证
谢 谢!
我们的联系方式: 我们的联系方式:
北京航空航天大学网络信息与计算中心 王琪全 wangqiquan@ 黄 韬 huangtao@
实现方式 – 保留原系统营帐信息 – 转发Accounting 转发Accounting Start/Stop 报文 – 实时更新用户网络使 用的时长/ 用的时长/流量等信 息 – 达到限定值后,通知 达到限定值后, 802.1x认证系统强制 802.1x认证系统强制 用户下线
营帐系统数据的更新与同步 统一营帐系统实现的功能 – 取代了原有802.1x认证系统的营帐功能 取代了原有802.1x认证系统的营帐功能 – 用户只需一次付费就可以申请不同网络的服务 – 实现了在不同接入认证系统间的漫游服务 – 简化了用户管理的工作流程
资源整合的主要内容
组织整合(明确职责) 1、组织整合(明确职责) 安全整合(统一认证,统一权限管理) 2、安全整合(统一认证,统一权限管理) 3、数据整合(统一信息标准,统一数据库) 数据整合(统一信息标准,统一数据库) 业务整合(内容整合,个性化服务) 4、业务整合(内容整合,个性化服务) 社会整合(关联社会应用) 5、社会整合(关联社会应用)
Authentication Server 体系结构
802.1x认证系统的简单整合 802.1x认证系统的简单整合 实现用户信息数据库的同步
– 实现关键数据(如用户的帐号、密码等)的同步 实现关键数据(如用户的帐号、密码等) – 自行开发用户管理平台 – 厂商提供数据接口
不能从根本上克服系统不兼容所带来的问题
用户信息数据库的同步机制
在线用户信息数据的同步 数据同步的必要性 – 在线用户信息是用来控制同一用户账号可 以同时登录使用网络的数量(杜绝一号多 以同时登录使用网络的数量( 用,方便日志跟踪) 方便日志跟踪)
在线用户信息数据的同步
/
实现方式 – 保留原系统在线
802.1x N
用户信息 – 完成用户的用户
校园卡身份数据在网络用户管理中的应用 校园卡已经在高校中普及 校园网用户都是持卡人 持卡人身份数据全面准确 是用户在校园中的第一份电子身份信息 每个持卡人都有密码 一卡通身份数据适于身份验证
基于一卡通的身份身份验证系统的应用 无线网接入认证 邮件系统开户初始认证 校园网格接入认证
统一认证计费系统的实现 系统平台 – 基于开源系统FreeRadius 基于开源系统FreeRadius – 数据库采用常用的MySQL 数据库采用常用的MySQL 实现方式 – 自行开发用户AAA处理功能组件 自行开发用户AAA处理功能组件 – 通过FreeRadius的外部调用接口实现挂接 通过FreeRadius的外部调用接口实现挂接 – 自行开发数据同步中间件等功能组件
王琪全 黄韬 北京航空航天大学网络信息与计算中心
高校信息化建设的模式 信息化建设已进入整合时代 北航校园网认证系统的两个整合实例
802.1x网络认证计费系统的整合 校园卡身份数据在网络用户管理中的应用
高校信息化建设的模式 1、自主模式 2、外包模式 3、混合模式
高校信息化建设的相关情况 1、信息化建设的整体框架(根据每个学校的个 信息化建设的整体框架( 性化需求, 性化需求,按照信息化建设的一般内容做了统一 的整体规划) 的整体规划)
有必要在异构的802.1x认证系统平台之上, 有必要在异构的802.1x认证系统平台之上,建立统 802.1x认证系统平台之上 一的用户接入认证计费系统
802.1x认证系统体系结构 802.1x认证系统体系结构
802.1x认证系统体系结构 802.1x认证系统体系结构
802.1x认证系统包括三个实体 802.1x认证系统包括三个实体 – Supplicant System(接入系统) System(接入系统) – Authenticator System(认证系统) System(认证系统) – Authentication Server System(认证服务器系统) System(认证服务器系统) Authentication Server大都基于Radius系统开发的 Server大都基于 大都基于Radius系统开发的
远 程 教 学
网 上 招 生 分 配
网 上 选 课
网 上 学 生 工 作
网 上 办 公
校 园 一 卡 通
数 字 图 书 馆
科 研 信 息 发 布 系 统
教 学 信 息 发 布 系 统
学 生 信 息 发 布 系 统
教 师 信 息 发 布 系 统
各部门本地数据库 公共信息数据库 服务器基础设施 网络基础设施
北航认证系统整合的两个实例
802.1x网络认证计费系统的整合 校园卡身份数据在用户管理中的应用
802.1x网络认证计费系统的整合 问题的提出
校园网分期建设,造成网络设备异构 校园网分期建设, 异构型校园网管理面临的问题 – 用户无法在不同认证系统中漫游 – 校园网用户管理平台无法统一整合,增加运行管理成本 校园网用户管理平台无法统一整合,
北京航空航天大学网络信息与计算中心北京航空航天大学网络信息与计算中心nicbuaaedunicbuaaeduwangqiquanbuaaeduwangqiquanbuaaedu黄黄huangtaobuaaeduhuangtaobuaaedu
北航校园网认证系统整合的两个实例 北航校园网认证系统整合的两个实例 系统