當前大部分校園網都已經部署了完善的認證計費系統，但是在建設無線校園網后，由于無線介質的開放性和終端的漫游特性，導致無法像有線網絡那樣實現用戶、IP、MAC、端口的綁定。通過對一體化認證方案的分析，講解如何解決無線網絡和有線網絡可以使用同樣的用戶名密碼，以及在增加了接入無線網絡的認證后，用戶實現相同的一次認證流程。

目前大部分校園網都已經部署了完善的認證計費系統，建設無線校園網之后，如何在保證用戶使用方便性的前提下實現有線和無線用戶采用同樣的認證系統，同樣的用戶數據?用戶需要提供一體化認證方案來解決這些問題。

校園網中有線認證流程

無線校園網認證遇到的問題

當用戶建設了無線校園網后，由于無線介質的開放性和終端的漫游特性，導致無線無法向有線網絡那樣實現用戶、IP、MAC、端口的綁定，因此在接入無線網絡時如果不對用戶進行認證，就無法確定用戶的身份，出現問題也就無法定位到用戶，因此和接入有線網絡不同，用戶接入無線網絡時必須先進行認證，然后用戶才能訪問網絡資源，這樣就存在如下問題：

A.無線網絡能否和有線網絡使用同樣的用戶名密碼?

B. 增加了接入無線網絡的認證后，用戶是否仍然使用相同的一次認證流程?

一體化認證

1. 統一身份認證

有線和無線統一身份問題，分三種情況：

***種情況：學校有專門的認證計費服務器，用戶數據存儲在認證服務器中。這種情況下，無線系統和有線系統都通過標準的Radius協議和認證計費系統來進行用戶名密碼的驗證，由于二者采用相同的服務器和數據庫，很容易實現有線和無線統一用戶名和密碼;

第二種情況：學校使用專門的計費網關，用戶數據存儲計費網關的數據庫中，計費網關同時完成用戶流量采集和用戶認證計費工作。這種情況下，由于計費網關沒有和其他系統對接，因此無法確保計費網關采用的協議能夠和無線系統能夠實現完全互通，這種情況下，需要計費網關和無線系統之間實現對接，有可能需要雙方修改軟件才能完成。

第三種情況：學校已經推廣一卡通系統，用戶數據存儲在一卡通系統中。這種情況下，有線的計費網關和無線設備都需要和一卡通系統實現對接。由于大部分一卡通系統都是基于LDAP協議(Lightweight Directory Access Protocol, 輕型目錄訪問協議)，在IBM、HP、Sun的相關平臺上開發或者包裝而成，因此需要無線系統支持通過LDAP協議完成對用戶的認證。目前只有部分廠家無線系統支持使用LDAP協議進行用戶接入認證，部署無線系統時需要確認。

總之，目前有線和無線實現統一身份認證并不是一件很困難的事情，根據用戶使用系統的不同，實現方法會有所不同，但整體來說，方法不外乎以上幾種。

2. 統一認證流程

無線接入和有線接入能否實現相同的接入流程?目前大多數學校都沒有實現無線接入的一次認證，而是采用二次認證流程：

A.用戶連接到無線網絡后獲取用戶名和密碼，但此時用戶不能訪問任何網 絡資源，用戶輸入任何URL都會被重定向到認證頁面，提示用戶輸入用戶名密碼;

B.用戶輸入正確的用戶名密碼后可以訪問校園網和教育網的資源;

C.當用戶有去往Internet或者國際的流量時，出口計費網關彈出認證頁 面，用戶輸入正確的用戶名后可以訪問Internet和國際網段;

無線校園網二次認證流程

整個過程需要兩次相同的用戶名和密碼，給用戶使用帶來了極大的不便，因此大多數學校希望能夠在確保安全性的條件下簡化無線使用流程，實現有線和無線統一的一次認證流程。 如果用戶有線認證沒有采用專門的客戶端，而是基于Web Portal方式，實現一次認證就相對簡單：

A.用戶在做無線網絡的接入認證時，無線系統推送認證頁面，用戶輸入用 戶名密碼等信息后無線系統獲取這些信息;

B.無線系統不直接把用戶名、密碼等信息送給認證系統，而是送給計費網 關;

C.計費網關受到用戶名和密碼信息后在把用戶名密碼送給認證服務器;

D.認證通過后認證系統把認證成功的信息發送到計費網關;

E.計費網關把認證結果返回給無線系統的同時把用戶名、IP標記為認證通 過，開始計費;

F. 如果用戶有流量出Internet，則由于計費網關已經有用戶認證信息， 不會重新進行認證，直接根據用戶流量進行計費;

G.如果用戶沒有流量出Internet，則由于沒有流量，不會對用戶實際產生 計費。

H.用戶正常下線時，無線系統通知計費網關停止計費，計費系統根據用戶 實際流量生成帳單。

圖3 基于Web Portal方式的無線校園網一次認證流程

這種方案要求計費網關能夠支持Radius代理，同時不能因為用戶長時間沒有流量而認為用戶超時退出。

如果用戶有線認證采用了專門的客戶端，那么客戶端和計費網關之間往往都采用私有協議，如果要實現使用客戶端進行一次認證，則必須實現計費客戶端和無線系統之間的協議對接，由于要進行私有協議的對接，需要考慮廠家是否能夠開放接口和對接的具體工作量，如果無法承受，建議放棄客戶端方式，而采用Web Portal方式。

總結

綜合以上分析，有線無線實現一體化認證已經有先例可循，但很多情況下，需要計費網關廠家和無線廠家一起才能實現，因此，選擇相關系統時，***選用自主開發的系統才能更好的實現有線無線一體化認證。