校园网认证计费系统(精选8篇)
1.校园网认证计费系统 篇一
校园用户官方认证申请公函
认证类型:学生组织
机构名称:电子科技大学中山学院学生会外联部
机构介绍:电子科技大学中山学院院学生会(以下简称院学生会)是在学院党委领导下,在学院学生工作处、学院团委的指导下,依照法律、学院规章制度和自己的章程独立开展工作的校内最高学生自治组织之一。
院学生会的基本任务是贯彻党的教育方针,结合学院实际情况,代表学院开展同学们喜闻乐见的学术、科技、文体、公益等有益身心的活动,带动同学们“创三好、争先进”,不断提高同学们的思想觉悟和知识水平,充分发挥“自我管理、自我教育、自我服务”的职能作用,维护学院良好的教学秩序和学习、生活环境,维护同学们的正当权益,反映同学们的建议、意见和要求,促进同学们与学院、老师、同学之间的沟通和了解,加强与省、市学联的兄弟院校学生会的联系,加强各系学生会之间的联系,为广大同学的成长、成才发挥重要作用。
院学生会由主席团、秘书部、宣传部、学术部、信息部、文娱部、女生部、外联部组成。各部门之间各尽其责,共同认真完成每一个任务。其中外联部是一个连接学院组织和企事业单位的平台。和企业商家建立良好的合作关系,为学院的活动寻找资金的支持提高活动品质,对外展现我院的品牌形象,提高我院的知名度,对商家负责,做好活动前后的跟进工作,追求双赢效果,对内联系各组织社团,和兄弟院校进行交流,开展联谊活动,增进院校间的良好关系。
微博用途:高校新闻宣传、大学生网络互动平台
微博UID地址:2171101857
本校园微博是由电子科技大学中山学院外联部门注册,并由本校老师负责今后的内容维护。本单位承诺:微博维护原则遵照国家法律法规、政策及新浪网网络安全的相关规定。如违反上述承诺,责任自行承担。
公章
日期
备注:(请在填写前仔细阅读,填写后备注可以删掉再上传)
1、以上为《校园用户认证申请公函》范例,请参照此格式按照申报高校的具体情况撰写。此公函用于新浪微博高校官方用户信息审核及收集存档,绝不用于其它商业用途,请务必如实撰写。
2、认证类型:只选择其一即可,目前校园认证支持学校官方账号、院系、校级社团、校友
会申请。
3、《校园用户认证申请公函》需要加盖公章,后台维护人姓名要填老师或部门领导姓名。
4、申请人请上传加盖公章的《校园用户认证申请公函》扫描件(如不便扫描,也可提供清晰的照片版),我们将根据申请人线上填写的信息及公函进行审核。
5、微博要求:校园官方账号头像应为校徽或者部门标志,官博名称为官方名称或者最被公众熟知且具备高校特征的名称,认证通过后请不要轻易修改昵称。微博数不得少于10条,且每天更新。
6、请根据范例撰写,高校申请资料不全或者公章不符合标准将不能通过认证。
7、培训机构属于企业分类,请到企业关口申请。
8、认证疑问咨询请私信给 @新浪微博校园小秘书。
2.校园网认证计费系统 篇二
作为新技术应用的前沿阵地, 校园网在这几年发展迅速。作为对网络信息最敏感的高等学校, 对网络和知识的需求都促进了网络在校园的发展和应用。为了能充分利用各种资源, 让学校与外界保持更紧密的联系, 在各学校, 特别是各大中院校, 都顺应网络发展的潮流, 在建设自己的校园网络。
网络的建设一方面给学生提供了更好的学习环境, 充分发挥互联网的优势;另一方面, 也给管理带来了新的课题。如果对网络进行管理、如何挖掘网络最大的资源、如果能促进学生更好的利用网络来学习, 这些问题已成为校园网建设的新热点。
该系统使用统一认证管理, 基于数字证书技术实现对分散的多个应用系统的用户进行集中统一管理, 构建分布式的基于角色的授权管理模式, 同时构建各应用系统的统一登录入口, 采用加密及数字签名技术实现对用户身份的可靠统一认证, 同时为通过身份认证的合法用户签发针对可以登录的相应应用系统的安全登录票据, 从而实现多应用系统的单点登录功能, 即“一点登录、多点漫游”。
(二) 校园网建设的现状和问题
校园网是一个功能复杂的网络, 往往需要提供两大服务功能:提供校内信息共享服务和提供Internet接入服务。而且, 校园网用户一群最有活力的用户群体。同时, 以太技术在校园网接入层的普遍采用, 相对来讲, 由于以太技术不是一个具有严格管理能力的组网技术, 这决定了校园网的安全性较低。当两者碰到一起的时候, 校园网遇到比较突出几个问题。
1. 网络出口拥塞, 用户不能正常访问Internet, 需要对出口带宽进行有效管理
鉴于目前的校园网建设情况, 大部分校园网internet出口带宽是有限的, 是校园网络较为稀缺的资源。若干用户无限制的使用出口带宽, 或者使用某些特殊下载工具, 首先造成出口拥塞, 出口的拥塞接着造成更多用户加入带宽的争抢, 致使出口更加拥塞, 这必将导致通信掉包严重, 大量出现重复发送数据包, 进一步拥塞整个网络, 其最终结果就是整个网络:出现拥塞, 所有用户不能正常上网。
2. 网络的安全时刻受到威胁, 网络需要安全控制
校园网的用户绝大多数为求知欲望和动手能力非常强的学生群体, 他们对于网络知识的探求往往在某些情况下会演变成为对于网络安全的攻击行为。同时由于校园网信息流动量大的, 受众特殊的特点, 校园网络也常常成为别有用心的网络攻击者的目标。
同时, 由于大规模使用以太网的网络结构, 其网络管理能力较弱的特点也表现出来。
所以, 如何建设安全的校园网, 保证网络安全是校园网络建设永远不能轻视的重要内容。
3. 计费数据和运营管理的控制难度大
校园网络在一定程度上属于校园的基础设施, 同时又要作为校园进行网络运营, 获取收入的一个载体, 如何同时发挥两方面的功能?
校园网络同时具备了用户密度大, 和用户类型多的特点。针对不同的用户群体, 如:办公区, 学生宿舍, 系院机房, 如何采取不同的运营管理和控制策略, 在保证网络正常运行的情况下保证各项计费数据的采集, 最终达到网络运营的目的, 对于网络中心的管理人员也是极需要考虑的问题。
4. 用户网络行为不规范, 无法控制, 无法进行有效的记录
盗用IP地址, 修改MAC地址, 用户名和密码的丢失, 合法网络用户无法登陆网络, 网络管理者如何解决?谁在访问非法网站?谁在恶意占用带宽?校园的特殊性使校园网的管理者必须对于网络上各种不规范行为进行足够的重视。一旦有相关的非法网络行为被相关部门获得, 如何提交有效的网络访问记录?
当然, 针对不同的校园规模, 针对不同的用户群体, 校园网的问题和需求在不断的变化, 所以提出一套能够为校园网量身定做, 具备校园网运营特点, 针对校园网的独特用户群体, 特殊网络结构的方案是校园网认证计费解决方案的发展方向。同时, 整体的解决方案还需要具备强壮性, 完善性和可扩容性, 可运营性只有这样的解决方案才是真正符合校园网发展方向的理想解决方案。
(三) PPPo E认证、WEB认证和802.1x认证三种技术综述
1. PPPo E认证
PPPo E是一种很成熟的认证技术, 具有完整的技术标准, 不论在x DSL还是LAN接入环境中都得到了广泛的应用。PPPo E具有良好的用户管理能力, 不但能完成用户认证, 还能够实现地址分配管理, 并可实现MAC和VLAN等二层信息的用户绑定, 安全性较高, 比较适合于大用户量的电信级运营。但是由于PPPo E本身点对点的技术特征, 使得组播等应用受到一定的限制, 需要开发商提供PPPo E情况下组播应用解决方案;另外PPPo E在网络组网方面受到一定的限制, 不能跨越三层网络设备。
2. WEB认证
WEB认证直接应用浏览器作为认证客户端, 是一种新兴的认证技术, 目前行业还没有制定统一的技术标准。WEB认证不需要安装任何客户端软件, 并且可以跨三层使用。相对于PPPo E, WEB认证对用户的控制能力和安全性都比较差, 容易遭受针对WEB服务的Do S攻击, 跨三层使用使得宽带接入服务器无法获得用户的二层信息进行绑定管理, 用户抢IP等现象的防范只能靠其它二层设备解决。WEB认证中用户地址的获取一般是DHCP方式或者采用静态IP, 无论用户是否认证通过, 均要占用IP地址。
3.802.1x认证技术
IEEE802.1X认证是由IEEE802.11b无线接入技术发展而来的基于以太网端口控制的宽带接入技术, 目前只有部分通用的技术标准。IEEE802.1X认证需要用户PC安装IEEE802.1X认证客户端软件, 用户认证报文通过接入的以太网交换机送到后台的Radius系统进行认证, 用户认证通过后连接的以太网交换机端口打开, 用户可以正常上网。IEEE802.1X技术从工作原理上比较简单, 但是由于需要采购大量支持的IEEE802.1X交换机进行组网, 同时需要对标准的Radius协议进行改造, 因此目前主要在教育行业进行推广应用。
(四) 集成的RADIUS认证计费系统
1. 认证计费系统设计功能模块
RADIUS模块是整个系统的核心, 负责和RADIUS Client配合完成用户认证、授权、计费信息的采集功能, 实现对用户的控制功能。
系统管理模块主要完成操作员角色权限的设置、操作员管理、数据备份与恢复、批量删除、系统日志等功能。系统设置模块完成系统参数设置、营业区设置、服务设置、服务器设置、充值费率、计费策略设置、RADIUS监控等功能。报表查询模块主要提供强大的查询和报表统计功能, 如:用户清单查询、用户帐单查询、充值报表、欠费报表、用户报表、业务报表等功能。卡管理模块注意提供卡生成、卡下载和卡查询功能。自助服务模块是提供给用户管理和维护自己资料信息的系统, 主要完成密码管理、帐单查询、费用充值、清单查询等用户自助功能。
本文所述方法已经在茂名学院校园网上实现, 系统使用统一的界面和逻辑对用户信息进行集中管理, 为信息化校园的各种网络服务和应用系统提供统一的用户管理平台和身份认证服务。目前已有人事、学生、教务、资产、选课、无线校园网访问等近20个信息化校园应用使用了该系统提供的服务。
经过我们学校校园网的长期测试表明, 本系统长时间运行稳定、可靠, 处理能力达到每秒500个接入认证。同时由于采用了后台数据库技术, 增加了系统的可靠性、可用性和可伸缩性, 能够实现在Free BSD、Linux等各种平台上运行。
(五) 总结
本文设计了一种校园网认证计费管理系统的方法, 具有以下特点:支持标准的RADIUS协议、支持各种用户计费安全措施、丰富的计费策略、强大的用户管理功能、丰富的费用管理功能、强大的系统设置功能、可靠的安全设计等。
摘要:分析校园网建设的现状和问题, 提出了校园网认证计费管理系统的设计原则, 对比了目前主流的几种认证计费方法, 并设计了基于RADIUS的拨号和MIS系统集成的认证计费管理系统, 支持分布式的统一认证。通过实践试用证明, 该系统具有较好的稳定性、可管理性和安全性。
关键词:认证计费,RADIUS,宽带接入,统一认证
参考文献
[1]Rigney C.Radius Accounting.RFC2866, 2000-06.
[2]RFC2865.Remote Authentication Dial In User Service (RADIUS) [S].June2000.
[3]陶智勇.综合宽带接入技术[M].北京邮电大学出版社, 2002:75-83.
[4]唐磊, 金连埔.大型拨号认证计费服务器的设计与实现[J].计算机工程与设计, 2004, 7:160-161.
3.校园网认证计费系统 篇三
关键词:802.1x;EAP;PEAP;AP;无感知认证
中图分类号:TP393.18 文献标志码:B 文章编号:1673-8454(2015)09-0062-04
一、现状与需求分析
随着智能终端的普及,接入校园网络的终端类型正在逐渐发生变化。智能终端需要通过3G、GPRS、WIFI接入Internet网络。但目前3G、GPRS上网资费较贵,所以WIFI成为校园网中智能终端的主要接入方式。为了保障无线网络及用户数据传输的安全,需要对接入终端身份进行校验,同时对传输数据进行加密。
校园网中常见的无线身份验证方式为:预共享密钥的方式、Portal方式(Web认证)。
(1)预共享密钥:学校网络管理员提前配置无线安全密钥,用户接入网络时输入提前配置的密钥进行身份验证。由于密钥为静态管理方式,如果该密钥泄露,将失去用户身份验证的作用,该方式在大型无线网络中已经很少使用。
(2)Portal方式:用户使用浏览器进行认证(Web认证),不存在系统兼容性的问题,但是用户每次接入网络都需要打开浏览器进行一次Portal认证,如果每次都需要进行Portal认证将大大降低用户的无线体验。
根据老师们使用习惯和应用场景分析,能不能给我们的老师提供一种快速“无感知”的接入方式,即终端进入无线覆盖范围内即可自动连接无线网络,不再需要输入用户名、密码或者预共享密钥等信息即可完成终端身份识别。化繁为简的“无感知”接入,让用户几乎忘了自己是如何上网的,同时安全性却丝毫没有妥协,网络管理员依然可以做到最为安全的无线网络接入。
二、802.1x无感知认证价值描述
无感知认证的方案有:基于802.1x无感知认证,基于MAC无感知认证。本文主要讨论基于802.1x的无感知认证。
市场上大部分智能终端都支持802.1x认证功能,802.1x技术为企业级的网络提供了安全和便捷的解决方案。用户希望接入无线网络时只需要首次进行认证信息配置,后续用户只要进入无线信号覆盖范围内即可自动完成认证。
802.1x协议规定在完成认证之前是不允许信息交互的,因此手持终端与AC在认证之前只能通过802.1x协议规定的EAP(Extensible Authentication Protocol,可扩展认证协议)帧交换认证信息。目前大多数手持终端都支持基于802.1x的EAP认证,输入相应的用户名密码,即可自动完成认证,这种方式称为EAP-PEAP,即Protected-EAP(受保护可扩展的身份验证协议)。已被Wi-FI联盟WPA和WPA2批准的有两个子类型:PEAPV0-MSCHAPV2和PEAPV1-GTC。又由于PEAP是一个框架协议,目前业界使用最广的是由微软提出的PEAP-MSCHAPV2协议,又被称作MS-PEAP,也就是我们在iPhone上看到的WPA/WPA2企业级认证方式。
PEAP是可扩展的身份认证协议,认证过程分为两个阶段,第一阶段终端与Radius服务器之间建立TLS隧道,通过TLS保护第二阶段用户信息的交互;第二阶段完成认证方式的协商及用户身份的认证。常见的PAEP认证方式有两种:PEAP-MSCHAPV2、PEAP-GTC。从技术角度而言,PEAP-MSCHAPV2技术是大部分移动终端都支持的无线认证协议,该协议将用户的认证信息在PEAP保护下传输,且用户密码无法被解密而被窃取。所以PEAP-MSCHAPV2成为大部分无线项目主推的认证方式。
三、基础网络部署
802.1x无感知认证采用标准的PEAP方式进行认证,该功能不是锐捷特有的功能,下面只是以锐捷网络设备为例。
1.网络设备
三层核心交换机SW1(S8606),二层接入交换机SW2(S2900),无线AP(RG-AP320-I),无线AC控制器(RG-WS5302),RG-ESS或RG-SMP认证系统。
2.网络拓扑
网络拓扑如图2所示,其功能介绍如表1所示。
(1)在上面的网络中使用了无线AC本地转发部署模式。通常情况下无线用户所有流量都需要先经过AC才能进行转发,这种集中转发的模型有可能会改变客户的流量模型,客户希望无线用户流量不走AC直接通过AP进行转发,这就是本地转发功能。AC只做控制不参与用户数据转发,减轻了AC负担。
(2)无线用户网关位于核心交换机,无线用户数据报文由AP完成802.11到802.3转化。接入交换机和AP互联接口配置为trunk,native vlan修改为AP设备vlan,只放通无线用户vlan和AP vlan。
3.配置要点
(1)核心交换机SW1的配置
创建ap vlan 10、用户vlan 20、AC与核心交换机(SW1)互联的vlan 30:
SW1>enable //进入特权模式
SW1#configure terminal //进入全局配置模式
SW1(config)#vlan 10 //ap的vlan
SW1(config-vlan)#vlan 20 //用户的vlan
SW1(config-vlan)#vlan 30 //AC与核心交换机(SW1)互联的vlan
配置接口和接口地址:
SW1(config)# interface GigabitEthernet 0/1 //与AC互联的接口配置为trunk
SW1(config-if-GigabitEthernet 0/1)#switchport mode trunk
SW1(config)#interface vlan 10 //配置AP网关地址
SW1(config-if-VLAN 10)# ip address 192.168.10.1 255.255.255.0
SW1(config)#interface vlan 20 //无线用户的网关地址
SW1(config-if-VLAN 20)# ip address 192.168.20.1 255.255.255.0
SW1(config)#interface vlan 30 //和AC互联地址,子网掩码30位
SW1(config-if-VLAN 30)# ip address 192.168.30.1 255.255.255.252
地址池相关配置,给AP和无线用户分配地址:
SW1(config)#service dhcp //开启DHCP服务
SW1(config)#ip dhcp pool ap //创建DHCP地址池,名称是ap
SW1(dhcp-config)#option 138 ip 192.168.254.254 //配置option字段,指定AC的地址,即AC的loopback 0地址
SW1(dhcp-config)#network 192.168.10.0 255.255.255.0 //分配给ap的地址
SW1(dhcp-config)#default-route 192.168.10.1 //分配给AP的网关地址
SW1(config-dhcp)#exit
SW1(config)#ip dhcp pool ap_user //无线用户DHCP地址池,名称是ap_user
SW1(dhcp-config)#network 192.168.20.0 255.255.255.0 //分配给无线用户的地址
SW1(dhcp-config)#default-route 192.168.20.1 //分给无线用户的网关
SW1(dhcp-config)#dns-server 8.8.8.8 //分配给无线用户的dns
注意:AP的DHCP中的option字段和网段、网关要配置正确,否则会出现AP获取不到DHCP信息导致无法建立隧道。
配置静态路由:
指明到达AC的loopback 0 的路径, AC环回地址使用32位掩码。
SW1(config)#ip route 192.168.254.254 255.255.255.255 192.168.30.2
(2)AC控制器配置
创建vlan:
AC(config)#vlan 10 //ap的vlan
AC(config-vlan)#vlan 20 //用户的vlan
AC(config-vlan)#vlan 30 //AC与核心交换机(SW1)互联的vlan
配置接口和接口地址:
AC(config)# interface GigabitEthernet 0/1 //与SW1互联的接口配置为trunk
AC(config-if-GigabitEthernet 0/1)#switchport mode trunk
AC(config-if-GigabitEthernet 0/1)#switchport trunk allowed vlan remove 1-9,11-19,21-29,31-4094
AC(config)# interface Loopback 0 //配置AC回环接口地址
AC(config-if-Loopback 0)#ip address 192.168.254.254 255.255.255.255
AC(config)#interface vlan 30 //配置与核心SW1互联地址,子网掩码30位
AC(config-if-VLAN 30)# ip address 192.168.30.2 255.255.255.252
配置默认路由:
AC(config)#ip route 0.0.0.0 0.0.0.0 192.168.30.1 //192.168.30.1是核心交换机的地址
无线SSID配置:
AC(config)#wlan-config 20 ruijie-802.1x //创建SSID为ruijie-802.1x无线信号
AC(config-wlan)#tunnel local //开启wlan-id 20 的本地转发功能
无线ap-group配置,关联wlan-config和用户vlan:
AC(config)#ap-group default
AC(config-ap-group)#interface-mapping 20 20 //把wlan-config 20和vlan 20进行关联
(3)接入交换机(SW2)配置
在本地转发模式中,接入交换机和AP互联接口配置为trunk,native 为AP vlan,只放通无线用户vlan和AP vlan。
SW2(config)# interface GigabitEthernet 0/2
SW2(config-if-GigabitEthernet 0/2)#switchport mode trunk
SW2(config-if-GigabitEthernet 0/2)#switchport trunk native vlan 10 //必须把AP所属于的vlan配置为native vlan
SW2(config-if-GigabitEthernet 0/2)#switchport trunk allowed vlan remove 1-9,11-19,21-29,31-4094
四、802.1x认证配置
基础网络部署配置完成后就可以在AC控制器上配置802.1x认证,在RG-ESS/RG-SMP上完成相应参数的设置,就可实现无感知认证上网。
第一步:启用802.1x AAA认证
AC(config)#aaa new-model //启用AAA认证功能
AC(config)#aaa accounting update //开启记账更新
AC(config)#aaa accounting update periodic 5 //记账更新时间间隔与SMP服务器保持一致,SMP默认为5分钟
AC(config)#aaa accounting network acct-1x start-stop group radius //定义名为acct-1x记账列表
AC(config)#aaa authentication dot1x auth-1x group radius //定义名为auth-1x认证列表
第二步:配置radius服务器IP及KEY
AC(config)#radius-server host 192.168.100.100 key ruijie //配置radius服务器KEY及IP
AC(config)#ip radius source-interface vlan 30 //AC使用vlan30的IP地址和radius对接
第三步:WLAN启用802.1x
AC(config)#wlansec 20 //20为前面配置的wlan-config 20
AC(config-wlansec)#security rsn enable //启用WPA2认证
AC(config-wlansec)#security rsn ciphers aes enable //启用AES加密
AC(config-wlansec)#security rsn akm 802.1x enable //启用802.1X认证
AC(config-wlansec)#dot1x accounting acct-1x //调用第一步定义的记账列表
AC(config-wlansec)#dot1x authentication auth-1x //调用第一步定义的认证列表
第四步:配置SNMP功能
AC(config)#snmp-server host 192.168.100.100 traps version 2c ruijie
AC(config)#snmp-server enable traps
AC(config)#snmp-server community ruijie rw
第五步:其他相关配置
AC(config)#dot1x eapol-tag //AC可以处理带Vlan Tag认证报文,默认都需要配置
AC(config)#ip dhcp snooping //开启dhcp snooping
AC(config)#dot1x dhcp-before-acct enable //获取snooping表中用户的IP地址通过记账开始报文上传
五、RG-ESS/RG-SMP服务器相关配置
AC控制器配置完成后就可以在RG-ESS/RG-SMP认证服务器上完成相关配置,主要包括添加AC设备,添加上网账号。由于其配置使用的是Web方式,所以相对比较简单。
第一步:在系统中添加无线控制器AC
添加无线设备之前需要修改无线设备模版中的相关参数如radius key、portal key等,这些参数是前面在AC中配置的。添加设备截图如图2所示。
第二步:配置无线认证协议
打开认证参数配置,在无线认证方式中选择“PEAP-MSCHAP”,同时“启用Windows XP系统自带客户端无感知认证”,然后根据实际配置无感知认证的SSID、安全类型、加密类型,以及认证协议。
第三步:添加账号
添加上网用户账号,账号属于默认用户组,不需要进行特殊设置。
六、终端功能验证
通过上面一系列的操作,已经完成了802.1x无感知认证的所有关键配置,由于无线接入终端很多,下面就以ios系统为例进行上网验证,Android等其他系统配置差不多。
第一步:进入设置,打开无线局域网,点击“ruijie-802.1x”无线网络,如图3所示。
第二步:在弹出的界面中输入用户名、密码,点击加入,如图4所示。
第三步:如果弹出一张尚未验证的证书,点击接受。此时界面会回到无线局域网连接的界面,且SSID “ruijie-802.1x”前面打个勾说明链接成功。
基于802.1x无感知认证确保上网安全的同时给我们用户提供了一种快速的接入,接入无线网络时只需要首次进行认证信息配置,后续用户只要进入无线信号覆盖范围内即可自动完成认证,大大提高用户的无线体验。非常适合在中小学校部署使用。学校网络管理员要做的是开通上网账号,对上网账号进行有效管理和控制。
4.校园网认证计费系统 篇四
随着Internet技术的发展和CERNET的接入,网络资源越来越丰富,应用功能越来越复杂。这虽然为用户提供了更广泛的资源共享和信息交流的网络平台,但同时对网络管理和网络安全问题提出了新的挑战。作为网络管理的重要组成部分,小区宽带用户认证计费系统的建设势在必行。我们从认证计费系统的关键技术,分析校园网用户认证计费系统的三种模式,在现有的网络硬件设备的基础上,设计并开发的用户认证计费系统。该系统分为管理子系统、用户自助服务子系统和联动子系统三个子系统。它不仅分别为网络管理员和用户提供了可视化的认证计费管理和自助服务的平台,而且实现了接入设备与RADIUS服务器的联动。管理子系统功能主要包括管理员信息管理、用户信息管理、策略管理、系统信息管理和数据库管理,用户自助服务子系统功能主要包括用户信息查询和密码修改,联动子系统功能主要包括认证管理和计费管理。系统利用接入设备在接入控制和流量控制方面的优势,在LAMP开源集成开发环境下,配置freeradius服务,实现了对校园网用户的接入认证和计费管理。目前,很多小区已经使用开发的小区宽带用户认证计费系统,实现了校园网用户Web接入认证计费管理。
提出一种新的小区认证计费方案,并与当前流行的架构进行了优化整合,设计并实现基于PPPoE和802.1x的小区宽带网认证及计费管理系统,包括用户自助系统和用户认证、计费管理系统。
随着网络的快速发展,网络的安全问题也日益突出。在整个网络安全体系中网络接入认证可以在源头上防止非法用户访问网络,承担着基础性的作用。目前,存在三大主流认证技术:PPPoE技术、WEB认证技术和802.1x认证技术。它们分别和RADIUS的结合就构成了三种主要的接入认证方案。本文采用理论分析与实践相结合的方法,通过对三种小区宽带认证计费技术的深入分析,结合公司目前实际情况,一找出了一种小区综合宽带认证计费技术并付诸实施,并在实际中得到了较好的应用。该系统采用三合一的认证计费体系方案,对用户身份进行认证;使用Radius服务器实时采集数据,制定了灵活的计费策略对用户进行计费;结合MVC架构中的基于J2EE的Struts模式设计的用户计费管理系统和用户自助管理系统,全面解决了上网用户身份认证、授权、上网时间、流量计费、收费结算与费用查询、接入管理等网络应用过程中面临的核心问题。
认证计费系统对小区宽带IP网络的运营来说至关重要。随着运营的深入,对认证计费系统重要性会越来越深。一套好的认证计费系统能够解决我公司所面临的用户身份认证、带宽控制、多IP服务的管理与计费等问题,从而吸引用户,拓展市场,提高运营商的市场竞争力。本文首先对宽带认证协议Radius协议进行了介绍,并深入分析了PPPOE、DHCP+WEB、IEEE802.1X三种认证技术的原理和认证过程,并详细对比了它们的优缺点。在此基础上,根据四川网通宽带认证系统现状及
业务发展需求选定了改造工程采取的认证方式。提出并实现了现阶段的优化改造方案,对今后的升级优化和系统的演进进行了规划,尤其为整个系统的安全性保障提出了解决措施。在具体实施中,分析了四川网通互联网业务实际情况,提出了认证系统的组网方案和软硬件选型,从宽带认证系统硬件构架、软件特点、网络改造方面介绍了新建系统的工程实施,并对用户认证、计费基本功能以及典型新业务应用进行了验证。
5.校园网认证计费系统 篇五
培训目标:
1、帮助教师梳理在新《纲要》引领下,中国蒙氏教育的新思路。强化多元教育模式要服务于儿童发展的概念。
2、懂得蒙氏教师的专业特点,正确把握成长的.关键点。
3、通过分析教学研究与实践相结合的教研理念,引导蒙氏教师成为创新型人才
培训内容:
一.解读蒙氏教育。二、蒙氏教育在中国的发展史
三.蒙氏教师的基本素质培养(如何做一名合格的蒙氏教师)
四.蒙氏教育日常、感官、数学、科学、语言文化、地理、历史教育
1、各领域的教育目的2、各领域教具基本操作
3、各领域的指导策略和实践分析、实例参考。4、蒙氏主题活动的设计实施
五、教室环境创设与管理
六、教室观察与教学计划的设定
七、利用园本教研、园本培训和行政教研的有效实施,促幼儿园综合教学质量的不断提高。
八、观摩研讨,解决教师培训后遗留的关键问题以及有针对性的热点问题。
听课提纲:
日常生活练习的主要内容
一、一般物品的放置和教室常规的建立二.生活礼仪的养成教育(建立正确的社交行为)
三.肢体控制练习。四、动作协调练习。五、照顾环境。六.食物的准备。七、烹饪工作
6.校园网认证计费系统 篇六
1、系统概况:
本系统采用客户端登录方式,可做到计算机启动自动登录,无需用户干预。
对于使用一个无线路由器带多台计算机的用户,必须使用WEB登录模式,否则,3.3、登录认证系统:
将计算机的网络信息设置为学校管理员为您为分配的IP地址、子网掩码、网关以及DNS服务器后,在客户端登录软件登录界面上填入学校管理员为您分配的帐号和密码后,选择记住密码(以后可以不再填写密码)、自动登录(启动客户端软件时自动登录),点击“登录”按钮即可登录。
注意:所有信息必须无误才能完成系统登录,否则或登录失败。3.4、登录成功后界面:
3.5、登录成功后界面细节:
3.6、平时使用时的状态:
登录成功后,可以直接点击成功界面右上角的在计算机右下角会出现一个状态图标示主界面。
3.7、用户自助服务:
该系统有一个比较完善的用户自助服务系统,该系统地址为“http://172.17.14.15/Self”,打开IE浏览器,在地址栏输入此地址即可打开自助服务系统(注意大小写,否则登录失败)。输入您的帐号、密码以及页面上显示的验证码即可登录。
关闭该界面,以后双击该图标会重新显
3.7.1、可用的自助服务项目:
登录自助服务系统后,可以查看通知公告、查询本人资料、查询本人的上网详单、修改本人资料、修改密码、设置密码保护、强制离线。其他项目均未启用。
3.7.2、强制离线的使用:
如果你的帐号、密码等信息泄露,可能会造成别人使用你的帐号信息的登录网络,造成你不能使用的窘境,这时可以使用强制离线功能让非法使用你的帐号的人员强制下线,通过更改密码等措施,防止别人在此非法使用您的帐号。
强制离线的使用:登录自助服务系统后,在右上角帐号信息部分即可看到“强制离线”的链接,点击即可。
3.7.3、设置密码保护:
该项目位于“业务办理”菜单下。
采用该业务,可以设置三个问题的答案,通过这三个问题,可以在忘记密码的时候,重新设置密码。
3.7.4、忘记密码的解决:
忘记密码后,点击自助服务系统登陆页面上的“忘记密码”,系统会要求您输入原先设置的密码保护的三个问题,问题回答正确,即可重新设置密码。
3.8、使用技巧: 3.8.1自动启动及登录: 将桌面的快捷方式
复制到“C:Documents and SettingsAll Users「开始」菜单程序启动”文件夹中,以后在系统启动时会自动启动客户端软件,无须手工启动,如果在客户端软件中设置为自动登录,则总的结果就是计算机启动后会自动登录网络认证系统,无须繁琐操作。
3.8.2、部分笔记本计算机的登录技巧:
部分学校校园网内部划分了子网,不同子网的IP地址段是不一样的,当笔记本在不同子网之间移动使用时,频繁更换IP以及帐号比较繁琐,譬如:寿光一中教学楼上的办公室和学生教室就属于两个子网,教师的笔记本计算机从办公室移到教室使用时必须更换IP、帐号、密码,相当繁琐。为此,提出如下解决方案:
3.8.2.1、件中,表明地点,当更换位置时,只需在该软件中进行选择地点即可。
3.8.2.3、安装客户端登录软件后,配置登陆帐号及密码。3.8.2.4、当更换地点时,先用“IP切换器”更换IP地址,再次登陆即可。
3.9、注意问题:
在获得学校管理员分配的IP地址、帐号以及密码后,首先登录自助服务系统修改密码、完善个人信息、设置密码保护。设置密码保护相当重要,由于使用客户端登录,一般不需要记住密码,很容易忘记密码,密码保护可以保证您在忘记密码的时候,很快重新设置密码。
7.校园网认证计费系统 篇七
关键词:单点登录,轻量级目录协议,统一身份认证
从上世纪90年代开始, 随着个人计算机及互联网的不断普及和发展, 信息技术的应用和普及较早地在高校得以实现, 信息化促进了中国高等教育的飞速发展, 目前信息化建设正在向高校的教学、科研、管理等各个方面渗透和 普及。学校的各个部门都不同程度的购置或者研发了相关的信息管理系统来提高工作效率, 高等教育正在走向全面信息化。
从目前信息化应用系统的建设和使用情况来看, 由于高校的信息化是一个长期发展的过程, 不同的系统建设于不同的时期, 数据或资源积累的情况、使用的深度各不相同, 随着各个部门应用系统的建设的逐步深入, 各个部门之间的信息资源难以共享, 同时已经建成的和将要建成的各种数字校园应用系统存在不同的身份认证方式, 用户必须记住不同的账号和密码以及身份。因此, 要建设以目录服务和认证服务为基础的统一用户管理、授权管理和身份认证体系, 将组织信息、用户信息统一存储, 进行分级授权和集中身份认证, 规范应用系统的用户认证方式。提高应用系统的安全性和用户使用的方便性, 实现全部应用的单点登录[1]。
统一身份认证系统是数字化校园的重要组成部分, 为各个应用系统提供集中的身份认证服务和角色权限分配 , 用户只需记住单一的用户名和密码即可访问符合自身权限的应用系统, 从而提高数字化校园应用系统的安全性。通过指定相应的集中认证技术规范, 提供统一的应用系统用户管理接口, 最终实现所有系统用户认证的统一集中化管理, 做到真正意义的集中认证。统一身份认证系统为数字化校园的所有用户提供统一的身份确认与权限交付[2]。用户通过统一信息门户实现单点登录, 整体上避免重复记忆账号和密码。同时面对用户多重帐号的现状, 建立唯一的数字身份, 以及统一的授权机制及方便、安全的口令认证方法, 让用户只要一套用户名和口令就可以使用网络上自身权限范围内的的所有业务系统, 通过统一的安全审计管理, 提高系统整体安全性。
1 统一身份认证平台建设
建立统一的身份认证中心, 实现单点登录, 一个帐号和密码, 一次认证即可访问所授权的所有信息系统。
(1) 建立统一的集中身份认证库即统一身份数据中心 , 对数字化校园信息系统所有用户提供集中和统一管理, 同时根据各个业务应用系统的认证方式的不同提供各种灵活的认证机制。
(2) 在数字化校园信息系统集中身份认证库的基础上 , 通过身份管理技术实现身份库与各个现有业务应用系统 (门户、人事、教务、 学工等系统) 用户身份信息在满足数字化校园信息系统内部业务流程的规则前提下, 实现用户信息的自动同步处理等功能。
(3) 在数字化校园信息系统集中身份认证库基础上 , 提供基于单点登录, 使得用户只需要通过一次身份认证过程就可以访问具有相应权限的所有资源。通过统一身份认证的建设, 将为数字化校园信息系统的建设, 尤其是数字化校园信息系统安全控制与管理打下良好的基础。
2 统一身份认证集成
2.1统一用户身份集成与同步
建立CA (认证中心) 和LDAP (轻量级目录协议) 服务[3], 用户经门户登录学校公共数据库平台, 从一个功能进入到另一个功能应用时, 系统平台已根据用户的角色与权限完成对用户的一次性身份认证SSO (Single Sign On)。
统一用户身份集成首先要实现在各系统中的师生身份的统一, 教师一般用教师职工号, 学生一般用学号, 建立全校统一的 身份认证 库 , 身份认证 库存储在 目录服务 器中 (LDAP), 并实现与一卡通现有的身份转换。
用户身份的集成将利用数据中心数据交换的功能从用户身份的权威数据源 (教师身份信息的权威数据源在人事管理系统, 学生身份信息的权威数据源在招生管理系统或教务系统或学生工作管理系统) 抽取到身份库 (LDAP)。
(2) 通过统一身份认证系统中用户管理实现用户身份信息的同步。
对于学校若存在某些特殊应用系统, 还可以通过统一身份认证系统进行身份转换, 如: 全校其他系统都可以统一身份认证, 但某一系统因为特殊原因不能用教师职工号或学号作为统一身份, 则系统可以为其作身份转换。
3 统一身份认证平台简单流程
如图1所示。
4 CA 认证服务器 php 接口例程
8.校园网认证计费系统 篇八
摘 要:在Linux操作系统中,利用IPTABLES服务实现了防火墙、NAT功能,并将端口转发规则和Web应用服务相结合,实现了用户Web认证功能,保证了内网计算机的安全。经过测试,系统能够高效稳定地运行,实现了设计目标。
关键词:防火墙 网络地址转换 端口转发 访问日志
中图分类号:TP393.08 文献标识码:B 文章编号:1673-8454(2009)03-0056-03
一、引言
随着Internet的迅速发展,宽带网络的接入日益增多,Internet用户的数量也迅速膨胀。尤其对于高校中的网络接入数量也快速增加,学校中网络管理人员面临着IP地址缺乏、用户访问认证、二级单位上网管理以及内部网络安全等一系列问题。特别是公安部门要求对上网用户进行身份认证和上网记录保存的问题,对网管人员提出了严格的要求。Linux操作系统的稳定安全和网络性能优异等特色,使其成为广大网管人员解决上述问题的首选。
IPTABLES是在Linux操作系统下基于2.4内核版本之后集成的网络安全工具,该工具实现了多种网络安全功能,如:数据包过滤、状态保持、NAT(Network Address Translation,网络地址翻译),以及抗攻击等等。利用该工具可以在较低配置下的传统PC机上实现安全稳定、功能强大的防火墙+NAT系统,因此它被企业和高校广泛采用,成为一种比较成熟的技术。然而随着对网络安全性要求的日益提高,用户认证功能越来越受到重视,基于IPTABLES提供的上述功能却不能满足这一需求。
Squid是Linux平台下最为流行的代理服务器,是解决用户上网认证的有效方法。但是Squid也存在着一些缺陷,如:命中率和效率相对低下;支持的协议类型有限;需要在客户端计算机对浏览器或其他网络软件进行设置;某些服务对代理访问有限制等等,使其应用受到很大局限。透明代理是NAT(IPTABLES)和代理(Squid)的完美结合,此种工作方式不需要在客户端浏览器或其他网络工具上进行任何设置,用户感觉不到代理服务器的存在。然而由于Squid不支持在透明代理模式下启用身份认证功能,所以它仍然不能解决用户认证问题,且Squid自身的性能依然存在缺陷。
二、系统应用模块
为了解决上述问题,依据透明代理的实现思路,即利用IPTABLES将发往80端口的数据包转发到Squid服务器的3128端口,将上网认证工作交给Squid处理的方法。该方法实现了基于IPTABLES的Web认证系统,它既发挥了IPTABLES服务NAT性能上的优势,又实现了用户上网认证功能。
该系统主要应用了IPTABLES服务的防火墙功能、NAT功能、端口转发功能,并利用Ulogd工具实现了IPTABLES的日志记录功能。同时在Linux系统中部署了Tomcat服务器,用于实现用户认证和IPTABLES规则修改功能。
利用IPTABLES规则实现防火墙具有很高的灵活性和稳定性,在本系统中防火墙安全政策定义为正面列表,即将INPUT、OUTPUT、FORWARD等规则设置为DROP来禁止所有的数据包通过,然后再分别设置规则来允许合法的数据包通过,这样系统的安全性就被提高。NAT功能将每个内网计算机节点的地址转换成一个外网IP地址,使之能够访问外网的资源,采用该方式能有效地解决二级单位的上网问题。端口转发功能也就是重定向,当IPTABLES服务接收到一个数据包后,不是转发这个包,而是将其重定向到系统上的某一个应用程序,最常见的应用就是和Squid配合使用,使其成为透明代理。Ulogd工具将IPTABLES的访问日志记录到Mysql数据库中,便于对数据进行分析和操作,同时也满足了公安部对上网日志保存的要求,在本系统中依据数据库中的日志记录来判断计算机的上网状态。Tomcat容器是一款优秀的Web服务器,它可与Java语言程序相结合,用来实现用户认证和对Linux系统sh脚本命令的操作,从而实现对IPTABLES规则的动态设置。
三、系统功能及实现方法
1.网络环境
网络环境如图1所示,是典型的三层网络结构。
接入层为Cisco2950设备,负责接入客户端计算机,并划分VLAN;汇聚层为Cisco 3550设备,负责实现各个VLAN之间的互联互通,并接入核心层设备Cisco3750。Linux服务器安装双网卡作为网关,负责内网与外网的连接。在本系统中内网设为192网段,外网设为10网段,Linux服务器内网网卡IP地址设为192.168.1.254(eth0),外网网卡IP地址设为10.80.1.100(eth1)。为了实现在内网网段中的客户端计算机能够访问外网,需在核心层交换机Cisco3750上设置一条路由信息:ip route 0.0.0.0/0 192.168.1.254,将所有访问外网的数据包都转发到Linux服务器上,然后再通过NAT方式上网。
2.系统实现
该系统在Enterprise Linux AS4.0环境下实现,流程如图2所示。
(1)利用IPTABLES实现NAT和防火墙功能:防火墙功能是通过在IPTABLES中配置包的过滤规则来实现;
NAT功能用如下命令实现:
IPTABLES -t nat -A PREROUTING -d 10.80.1.100 -s! 192.168.1.254 -j DNAT --to 192.168.1.254
IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j SNAT --to 10.80.1.100
通过上述配置,内网的计算机(192网段)已经可以通过Linux服务器的NAT功能实现对外网(10网段)的访问,系统在此基础之上实现用户的Web身份认证。
(2)数据端口转发:与透明代理的实现方法类似,利用IPTABLES的端口转发功能,将所有访问80端口的数据包(也可以设置其他端口进行更精细地控制)转向本机Tomcat的8080端口,实现用户认证。
IPTABLES -t nat -A PREROUTING-s 192.168.1.111/32 -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
上述命令实现将IP地址为192.168.1.111的计算机发往外网80端口的请求全部转发到8080端口。通过使用该命令将要控制的客户端计算机IP添加入IPTABLES的规则中,从而实现对该计算机上网控制。
(3)搭建Web用户认证平台:在Linux服务器上用Tomcat实现Web认证平台,设置监听端口为8080,并用JSP语言实现用户认证页面,所有访问外网的请求都被强制转到该页面,进行身份验证,判断用户信息是否合法。
(4)认证功能的实现:在用户认证页面,获取用户信息和客户端计算机的IP地址,如果用户信息合法,由Tomcat容器调用Javabean实现对IPTABLES规则的操作,在Java程序中认证函数和IPTABLES规则修改函数要采用异步方式实现,这样可以减少用户并发认证时的数据混乱问题,提高系统的稳定性。该功能利用Runtime.getRuntime.exec("cmd")函数运行Linux的sh脚本来实现,将用户验证页面获取的IP地址作为参数传入到Javabean中,并将如下命令行(认证通过,取消该计算机的端口转发规则,使其可以正常上网)写入sh脚本。
IPTABLES -t nat -D PREROUTING-s 192.168.1.111/32 -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
用Runtime.getRuntime.exec("chmod a+x sh脚本")提升该脚本文件为可执行权限;之后用Runtime.getRuntime.exec("sh脚本")函数运行该脚本文件,修改IPTABLES规则从而取消掉对该计算机端口转发的限制,通过NAT实现上网功能。
(5)上网日志的记录:通过对Ulogd工具的配置可以将IPTABLES的访问日志记录到Mysql数据库中,在IPTABLES中添加如下规则:
IPTABELS-A INPUT-p tcp --dport 80-j ULOG或者IPTABELS-A FORWARD-j ULOG可以记录通过IPTABLES的访问数据包。
(6)分析访问日志重新认证:通过对Mysql数据库日志表中ip_saddr(IP源地址)字段的分析确定每台计算机是否在持续上网,可以设定一个时间间隔,如果超过该间隔,该IP地址的计算机没有网络访问数据包,便将该IP地址再加入到IPTABLES的转发规则当中,要求用户重新认证。在上述方法的实现中要尽量降低服务器的负担,可在日志表中使用插入触发器,对新插入的日志记录提取其源地址,同时更新计算机IP信息表中对应IP地址的访问时间;在Tomcat设定定时器函数,每隔一定时间间隔轮询该计算机IP信息表,对访问时间与当前时间差值大于限定值的计算机要求重新认证。
(7)通过上述过程实现了基于IPTABLES的Web用户身份验证功能。
四、系统性能与优化
目前该系统认证的IPTABLES服务,Tomcat容器和Mysql数据库都放在同一台Linux服务器上,客户端计算机数量是800台左右,上网用户的并发访问量为100台左右,系统运行稳定。
为了进一步提高系统的性能,可将Web认证服务器与数据库服务器放在另一台Linux服务器上以提高系统效率;同时通过进一步对IPTABELS日志字段信息进行分析可以提高用户上网与重新认证时间计算的精确度,从而在Web认证的基础之上实现计费功能。
五、结束语
基于IPTABLES的Web认证系统解决了用户上网认证、上网记录保存、IP地址资源匮乏和高校内二级单位上网管理不便等问题;同时该系统基于Linux操作系统,对硬件设备的要求不高,网管人员可以自行搭建,非常适合在高校和企业内推广使用。
参考文献:
[1]林慧琛,刘殊.Red Hat Linux服务器配置与应用[M].北京:人民邮电出版社,2007.
[2]索贝尔著.Linux命令、编辑器与Shell编程[M].北京:清华大学出版社,2007.
[3]鸟哥.鸟哥的Linux私房菜——服务器架设篇[M].北京:科学出版社,2005.
[4]刘中兵.精通Tomcat——Java Web应用开发、框架分析与组件配置、系统集成与案例实战[M].北京:清华大学出版社,2007.
【校园网认证计费系统】推荐阅读:
校园网系统集成08-14
清华大学校园网计费07-05
数字校园系统08-28
校园新风系统方案10-22
校园网网络性能管理系统的设计与实现06-23
校园直播系统建设方案09-18
校园路灯系统节能设计探讨07-09
平安校园安防监控系统07-28
校园视频监控系统介绍10-22
校园办公系统说明书07-27