基于Ｗｅｂ Ｓｅｒｖｉｃｅ的校園網用戶認證系統

摘 要設計一種基于Web Service和LDAP的分布式用戶認證系統，解決校園網用戶統一身份認證問題。介紹系統的整體架構，重點描述兩種Internet接入認證方式（網關與802.1x）通過Web Service實現的流程，介紹了分布式認證的處理方式以及其它網絡應用系統調用Web Service的方法。

關鍵詞 Web Service; SOAP; 認證; 網關; 802.1x

中圖分類號：TP393文獻標識碼：A文章編號：1671-489X（2006）12-0046-03

An Authentication System for Campus Networks Based on Web Service Technology//LiPengjun， ZhangHai，Guo Wenming

AbstractA distributed authentication system base on Web Service technology and LDAP is designed to realize unique authentication in campus networks. The system structure is introduced， as well as the authentication processes of two main methods， gateway and 802.1x， using the authentication system. This paper also introduced the methods of using this Web Service authentication system to authenticate users for other network application.

Key words Web Service; SOAP; authentication; gateway; 802.1x

Author's address Network Center， Southern Medical University，510515，Guangzhou， China

1 引言

網絡管理是保障計算機網絡正常運轉的必要手段，其中用戶管理是網絡管理的重要組成部分，也是配置管理、安全管理、計費管理的基礎。高校校園網普遍具有規模大、用戶多的特點。很多校園網動輒擁有數萬注冊用戶，另外校園網的應用系統也是復雜多樣，例如Internet接入、電子郵件、教務管理系統、網絡教學系統、BBS等，各種應用互相獨立，都有自己的一套用戶資料和認證系統，造成了管理的困難，用戶使用起來也不方便，因此采用統一的用戶身份認證非常重要。近年來很多高校采用了基于LDAP（輕量級目錄訪問協議）的用戶認證方式[1]，較好地解決了統一身份認證問題，但是直接將LDAP服務器暴露在其它應用系統和用戶面前具有一定的安全風險，例如權限配置錯誤可能導致非法用戶獲取其他用戶的資料甚至口令，另外在分布式環境下LDAP的訪問也有可能受到防火墻的阻擋。Web Service以其通用性和開放性，目前已成為分布式異構環境下構建復雜系統的重要技術，因此我們設計了一種Web Service和LDAP相結合的分布式用戶認證系統，解決校園網用戶統一身份認證問題。

2 校園網Internet接入認證方式

Internet接入是校園網最重要的功能之一，由于用戶數量大，而且上網的時間比較集中（例如中午和晚上下課后），用戶認證對系統的性能要求很高。國內大部分高校都接入CERNet（中國教育科研網），而CERNet的計費策略是國內包月，國際按流量計費，因此很多高校早期采用了粗放型的認證方式，即國內地址直通，不需要賬號，而國際地址則需要設置代理服務器（Proxy），輸入用戶名和密碼后方可訪問。代理服務器的性能較低，一般只能承擔不到1000用戶同時訪問，而且國內直通的方式容易出現安全問題，追查比較困難。目前這種方式已經逐漸被網關認證和802.1x認證方式所取代。

2.1網關+Web認證

網關+Web認證方式是一種簡單易用的認證方式[2]，在校園網的Internet出口處部署一臺多網卡的網關，當用戶訪問Internet時，如果用戶尚未認證，則重定向到Web認證服務器，輸入用戶名和密碼后方可在網關上放開此用戶。使用網關+Web認證方式的優點是部署和管理非常簡單，用戶不需要安裝任何軟件或者配置任何參數，只要將電腦網線插入墻上的以太網接口，即可通過DHCP獲取IP地址，訪問校內資源時不需要認證，只有訪問Internet時才需要認證。這種方式的缺點有兩點：一是網關存在性能瓶頸，根據我們的測試，一臺較高性能的網關（P4 3GHz CPU，1GB內存）只能支持5000用戶同時在線，對于數萬注冊用戶的網絡是難以支撐的；二是客戶端零安裝也造成了管理的弱化，非法用戶可能通過偽造IP地址，或者安裝非法DHCP和代理盜用其它用戶的賬號。

2.2 802.1x認證

802.1x認證是最近幾年才發展起來的一種用戶認證方式，它是一種基于交換機端口或MAC地址的訪問控制協議[3]，最初802.1x是為了解決無線局域網（WLAN）的接入認證而提出的，目前已被應用到有線局域網對用戶進行認證和授權控制。用戶在沒有認證之前與局域網是邏輯斷開的，只有認證過后才能訪問網絡。使用這種方式的優點是具有強大的管理功能，可以通過IP地址、MAC地址、交換機IP、端口等多要素對用戶進行綁定，可有效解決賬號盜用問題，另外認證過程分散到各臺接入層交換機，可以大大提高認證的效能，能夠支持數萬以上的在線用戶。其缺點是對設備的要求高，需要購買支持802.1x認證的交換機，另外管理配置比較復雜。

3 Web Service技術簡介

Web Service是在HTTP、XML和SOAP（簡單對象訪問協議）等開放標準上形成的技術[4]，具有平臺無關性、可跨越防火墻通信和松散耦合的特點，特別適合于分布式異構環境。Web Service的體系結構主要包括SOAP、WSDL和UDDI，如圖1所示。

SOAP以XML格式提供了一個簡單、輕量的用于在分布環境中傳輸信息的機制。SOAP通過HTTP的80端口傳送對遠程進程的調用，解決了通過防火墻傳送消息的問題。WSDL（Web Service描述語言）基于XML格式，用來描述Web Service。它描述了Web Service可以執行的操作以及Web Service可以發送或接收的消息格式。UDDI（統一描述、發現和整合）是發布和使用Web Service的樞紐，它主要用于解決在Internet上查找和定位Web Service的問題。Web Service提供者在UDDI注冊中心注冊后，用戶可以通過UDDI查詢到Web Service，從而通過SOAP調用Web Service。

4 系統實現

4.1 系統架構

綜合考慮到性能和保護現有投資的要求，我校校園網采用了網關認證和802.1x認證相結合的方式：學生宿舍全部部署支持802.1x的交換機，采用802.1x認證；辦公區和家屬宿舍則使用早期購買的不支持802.1x的交換機，采用網關+Web認證。兩套認證系統使用統一的用戶資料，用戶資料存儲在LDAP服務器中，通過Web Service實現用戶身份的認證，如圖2所示。

Web Service通過Java技術實現，運行環境為Tomcat和AXIS框架。Tomcat是JSP和Servlet運行環境，AXIS框架來自Apache開放源代碼組織，它是使用Java語言編寫的基于最新的SOAP 規范（SOAP 1.2）和 SOAP with Attachments 規范的開放源代碼框架。使用AXIS實現Web Service非常簡單，只需編寫認證相關的Java類，然后將文件擴展名改為jws，無需編譯，將文件拷貝到應用程序發布目錄下即可。在客戶端的瀏覽器中輸入Web Service的地址：http:serverip:8080/webservice/authentication.jws wsdl即可列出調用此服務的方法。Web Service服務端主要提供以下三種認證方法：

public class authentication {

//明文認證，客戶端提供明文用戶名和口令

public int authen(String userName， String password){ …

}

//加密認證，客戶端將用戶名、口令、IP、MAC加密后提交，驗證成功后返回一個隨機令牌

public String authen3DES(String encrypedMessage){…

}

//MD5-challenge認證，客戶端提交用戶名和challenged password

public int authenChallenge(String userName， String challengedpasswd){...

}

}

4.2 網關認證流程

為保障系統的安全性，我們舍棄了網關認證的易用性，用戶需要通過客戶端軟件才能認證上網。同時客戶端軟件還用于控制用戶接入和保持用戶狀態。認證過程如圖3所示。①用戶登錄系統時，客戶端將用戶名、密碼、IP地址和MAC地址等信息通過對稱密鑰（3DES）加密后發送給認證系統Web Service；②認證系統Web Service將信息解密后，交給應用服務器的用戶認證Bean，通過JNDI訪問LDAP服務器，對用戶身份進行認證和授權檢測；③檢測通過后通知網關放開此用戶；④向客戶端發送一個隨機生成的令牌（Token）；⑤客戶端隨后即用此令牌和IP地址、MAC地址等信息加密，定時向認證系統發送更新消息；⑥認證系統更新在線用戶數據庫；⑦認證系統后臺定時查詢在線用戶數據庫；⑧一旦超過一定時間沒有更新用戶狀態，或者用戶IP地址、MAC地址發生變動，即通知網關強行斷開此用戶的連接。使用這種方式可以大大提高網關認證系統的安全性，首先加密傳輸的用戶名和密碼難以被Sniffer破解，另外用戶IP地址、MAC地址、用戶名和隨機令牌的綁定傳輸，可以有效防止IP地址盜用和非法DHCP服務器造成的賬號盜用。

4.3 802.1x認證流程

802.1x認證是一種多層結構的認證體系，包括客戶端（Supplicant）、接入設備（Authenticator，即支持802.1x的交換機）和認證服務器（Authentication Server，一般是RADIUS），我們無法修改交換機的程序，因此只能通過修改RADIUS服務器來實現與Web Service的交互。我們使用的RADIUS服務系統是FreeRADIUS 1.0.5，認證流程如圖4所示。傳統的802.1x認證過程[5]這里不作詳細介紹，主要介紹修改的部分。由于RADIUS服務器本身不保存用戶信息，因此用戶認證所使用的MD5 Challenge過程則交給認證系統的Web Service進行處理。RADIUS將用戶名轉發給認證系統，認證系統產生一個Challenge，返回給RADIUS服務器，RADIUS服務器將此Challenge通過交換機發送給客戶端，要求客戶端進行認證，客戶端即將密碼和Challenge做MD5算法后的Challenged-Password，經交換機和RADIUS服務器發送給認證系統，認證系統根據從LDAP服務器取得的用戶密碼，做MD5算法，與收到的Challenged-Password對比，判斷用戶是否合法，然后回應認證成功/失敗信息給RADIUS服務器。如果成功，則根據用戶的相關屬性給用戶授權。如果認證失敗，則流程結束。

4.4 分布式認證

由于Web Service技術的松散耦合的特點，它沒有復雜的消息傳遞、對象引用和垃圾回收機制，因此非常適合于分布式處理。在大型的校園網環境中可以部署多臺Web Service服務器，提供用戶認證服務。考慮到大型校園網在上網高峰期時一分鐘內可能有數千用戶同時登錄，為減輕服務器端進程調度的負擔，我們將服務調度的功能放在客戶端完成。網關客戶端通過配置文件讀取Web Service服務器列表，通過隨機算法調用其中一臺服務器進行認證。802.1x分布式認證則通過修改RADIUS服務器和交換機配置來實現。

4.5 與其它應用系統的集成

Web Service是與平臺和語言無關的一種遠程調用技術，目前幾乎所有的編程語言都支持Web Service，表1列出了利用不同語言開發Web Service客戶端所需要的工具。不同的應用系統可以通過修改相應認證模塊，訪問用戶認證Web Service實現用戶身份的認證和部分授權功能。創建Web Service客戶端應用的第一步一般是先創建代理對象，代理對象具有Web Service所有的數據接口。客戶端通過調用此代理類，實現Web Service的調用，如圖5所示。很多編程工具中都內置了自動生成Web Service代理對象的工具，例如.NET SDK中的WebServiceUtil.exe，AXIS中的org.apache.axis.wsdl.WSDL2Java類等。

目前我校新聞發布系統、研究生管理系統、個人空間、VOD、BBS等網絡應用系統已實現基于Web Service的統一身份認證。由于應用系統的權限控制千差萬別，通過統一身份認證系統只提供一些常用的授權功能，例如IP地址限制、上網時段控制、應用系統訪問權限等，更復雜的授權設置仍然由各應用系統自己完成。

5 結語

Web Service技術為構建分布式系統提供了一個簡單、靈活和開放的基礎平臺。基于Web Service技術的分布式用戶認證系統可以很好地解決高校校園網復雜網絡環境下各類網絡應用的統一身份認證問題。在性能、安全性、靈活性和易管理性方面都有較好的表現。