论文部分内容阅读
摘 要设计一种基于Web Service和LDAP的分布式用户认证系统,解决校园网用户统一身份认证问题。介绍系统的整体架构,重点描述两种Internet接入认证方式(网关与802.1x)通过Web Service实现的流程,介绍了分布式认证的处理方式以及其它网络应用系统调用Web Service的方法。
关键词 Web Service; SOAP; 认证; 网关; 802.1x
中图分类号:TP393文献标识码:A文章编号:1671-489X(2006)12-0046-03
An Authentication System for Campus Networks Based on Web Service Technology//LiPengjun, ZhangHai,Guo Wenming
AbstractA distributed authentication system base on Web Service technology and LDAP is designed to realize unique authentication in campus networks. The system structure is introduced, as well as the authentication processes of two main methods, gateway and 802.1x, using the authentication system. This paper also introduced the methods of using this Web Service authentication system to authenticate users for other network application.
Key words Web Service; SOAP; authentication; gateway; 802.1x
Author’s address Network Center, Southern Medical University,510515,Guangzhou, China
1 引言
网络管理是保障计算机网络正常运转的必要手段,其中用户管理是网络管理的重要组成部分,也是配置管理、安全管理、计费管理的基础。高校校园网普遍具有规模大、用户多的特点。很多校园网动辄拥有数万注册用户,另外校园网的应用系统也是复杂多样,例如Internet接入、电子邮件、教务管理系统、网络教学系统、BBS等,各种应用互相独立,都有自己的一套用户资料和认证系统,造成了管理的困难,用户使用起来也不方便,因此采用统一的用户身份认证非常重要。近年来很多高校采用了基于LDAP(轻量级目录访问协议)的用户认证方式[1],较好地解决了统一身份认证问题,但是直接将LDAP服务器暴露在其它应用系统和用户面前具有一定的安全风险,例如权限配置错误可能导致非法用户获取其他用户的资料甚至口令,另外在分布式环境下LDAP的访问也有可能受到防火墙的阻挡。Web Service以其通用性和开放性,目前已成为分布式异构环境下构建复杂系统的重要技术,因此我们设计了一种Web Service和LDAP相结合的分布式用户认证系统,解决校园网用户统一身份认证问题。
2 校园网Internet接入认证方式
Internet接入是校园网最重要的功能之一,由于用户数量大,而且上网的时间比较集中(例如中午和晚上下课后),用户认证对系统的性能要求很高。国内大部分高校都接入CERNet(中国教育科研网),而CERNet的计费策略是国内包月,国际按流量计费,因此很多高校早期采用了粗放型的认证方式,即国内地址直通,不需要账号,而国际地址则需要设置代理服务器(Proxy),输入用户名和密码后方可访问。代理服务器的性能较低,一般只能承担不到1000用户同时访问,而且国内直通的方式容易出现安全问题,追查比较困难。目前这种方式已经逐渐被网关认证和802.1x认证方式所取代。
2.1网关 Web认证
网关 Web认证方式是一种简单易用的认证方式[2],在校园网的Internet出口处部署一台多网卡的网关,当用户访问Internet时,如果用户尚未认证,则重定向到Web认证服务器,输入用户名和密码后方可在网关上放开此用户。使用网关 Web认证方式的优点是部署和管理非常简单,用户不需要安装任何软件或者配置任何参数,只要将电脑网线插入墙上的以太网接口,即可通过DHCP获取IP地址,访问校内资源时不需要认证,只有访问Internet时才需要认证。这种方式的缺点有两点:一是网关存在性能瓶颈,根据我们的测试,一台较高性能的网关(P4 3GHz CPU,1GB内存)只能支持5000用户同时在线,对于数万注册用户的网络是难以支撑的;二是客户端零安装也造成了管理的弱化,非法用户可能通过伪造IP地址,或者安装非法DHCP和代理盗用其它用户的账号。
2.2 802.1x认证
802.1x认证是最近几年才发展起来的一种用户认证方式,它是一种基于交换机端口或MAC地址的访问控制协议[3],最初802.1x是为了解决无线局域网(WLAN)的接入认证而提出的,目前已被应用到有线局域网对用户进行认证和授权控制。用户在没有认证之前与局域网是逻辑断开的,只有认证过后才能访问网络。使用这种方式的优点是具有强大的管理功能,可以通过IP地址、MAC地址、交换机IP、端口等多要素对用户进行绑定,可有效解决账号盗用问题,另外认证过程分散到各台接入层交换机,可以大大提高认证的效能,能够支持数万以上的在线用户。其缺点是对设备的要求高,需要购买支持802.1x认证的交换机,另外管理配置比较复杂。
3 Web Service技术简介
Web Service是在HTTP、XML和SOAP(简单对象访问协议)等开放标准上形成的技术[4],具有平台无关性、可跨越防火墙通信和松散耦合的特点,特别适合于分布式异构环境。Web Service的体系结构主要包括SOAP、WSDL和UDDI,如图1所示。
SOAP以XML格式提供了一个简单、轻量的用于在分布环境中传输信息的机制。SOAP通过HTTP的80端口传送对远程进程的调用,解决了通过防火墙传送消息的问题。WSDL(Web Service描述语言)基于XML格式,用来描述Web Service。它描述了Web Service可以执行的操作以及Web Service可以发送或接收的消息格式。UDDI(统一描述、发现和整合)是发布和使用Web Service的枢纽,它主要用于解决在Internet上查找和定位Web Service的问题。Web Service提供者在UDDI注册中心注册后,用户可以通过UDDI查询到Web Service,从而通过SOAP调用Web Service。
4 系统实现
4.1 系统架构
综合考虑到性能和保护现有投资的要求,我校校园网采用了网关认证和802.1x认证相结合的方式:学生宿舍全部部署支持802.1x的交换机,采用802.1x认证;办公区和家属宿舍则使用早期购买的不支持802.1x的交换机,采用网关 Web认证。两套认证系统使用统一的用户资料,用户资料存储在LDAP服务器中,通过Web Service实现用户身份的认证,如图2所示。
Web Service通过Java技术实现,运行环境为Tomcat和AXIS框架。Tomcat是JSP和Servlet运行环境,AXIS框架来自Apache开放源代码组织,它是使用Java语言编写的基于最新的SOAP 规范(SOAP 1.2)和 SOAP with Attachments 规范的开放源代码框架。使用AXIS实现Web Service非常简单,只需编写认证相关的Java类,然后将文件扩展名改为jws,无需编译,将文件拷贝到应用程序发布目录下即可。在客户端的浏览器中输入Web Service的地址:http:serverip:8080/webservice/authentication.jws wsdl即可列出调用此服务的方法。Web Service服务端主要提供以下三种认证方法:
public class authentication {
//明文认证,客户端提供明文用户名和口令
public int authen(String userName, String password){ …
}
//加密认证,客户端将用户名、口令、IP、MAC加密后提交,验证成功后返回一个随机令牌
public String authen3DES(String encrypedMessage){…
}
//MD5-challenge认证,客户端提交用户名和challenged password
public int authenChallenge(String userName, String challengedpasswd){...
}
}
4.2 网关认证流程
为保障系统的安全性,我们舍弃了网关认证的易用性,用户需要通过客户端软件才能认证上网。同时客户端软件还用于控制用户接入和保持用户状态。认证过程如图3所示。①用户登录系统时,客户端将用户名、密码、IP地址和MAC地址等信息通过对称密钥(3DES)加密后发送给认证系统Web Service;②认证系统Web Service将信息解密后,交给应用服务器的用户认证Bean,通过JNDI访问LDAP服务器,对用户身份进行认证和授权检测;③检测通过后通知网关放开此用户;④向客户端发送一个随机生成的令牌(Token);⑤客户端随后即用此令牌和IP地址、MAC地址等信息加密,定时向认证系统发送更新消息;⑥认证系统更新在线用户数据库;⑦认证系统后台定时查询在线用户数据库;⑧一旦超过一定时间没有更新用户状态,或者用户IP地址、MAC地址发生变动,即通知网关强行断开此用户的连接。使用这种方式可以大大提高网关认证系统的安全性,首先加密传输的用户名和密码难以被Sniffer破解,另外用户IP地址、MAC地址、用户名和随机令牌的绑定传输,可以有效防止IP地址盗用和非法DHCP服务器造成的账号盗用。
4.3 802.1x认证流程
802.1x认证是一种多层结构的认证体系,包括客户端(Supplicant)、接入设备(Authenticator,即支持802.1x的交换机)和认证服务器(Authentication Server,一般是RADIUS),我们无法修改交换机的程序,因此只能通过修改RADIUS服务器来实现与Web Service的交互。我们使用的RADIUS服务系统是FreeRADIUS 1.0.5,认证流程如图4所示。传统的802.1x认证过程[5]这里不作详细介绍,主要介绍修改的部分。由于RADIUS服务器本身不保存用户信息,因此用户认证所使用的MD5 Challenge过程则交给认证系统的Web Service进行处理。RADIUS将用户名转发给认证系统,认证系统产生一个Challenge,返回给RADIUS服务器,RADIUS服务器将此Challenge通过交换机发送给客户端,要求客户端进行认证,客户端即将密码和Challenge做MD5算法后的Challenged-Password,经交换机和RADIUS服务器发送给认证系统,认证系统根据从LDAP服务器取得的用户密码,做MD5算法,与收到的Challenged-Password对比,判断用户是否合法,然后回应认证成功/失败信息给RADIUS服务器。如果成功,则根据用户的相关属性给用户授权。如果认证失败,则流程结束。
4.4 分布式认证
由于Web Service技术的松散耦合的特点,它没有复杂的消息传递、对象引用和垃圾回收机制,因此非常适合于分布式处理。在大型的校园网环境中可以部署多台Web Service服务器,提供用户认证服务。考虑到大型校园网在上网高峰期时一分钟内可能有数千用户同时登录,为减轻服务器端进程调度的负担,我们将服务调度的功能放在客户端完成。网关客户端通过配置文件读取Web Service服务器列表,通过随机算法调用其中一台服务器进行认证。802.1x分布式认证则通过修改RADIUS服务器和交换机配置来实现。
4.5 与其它应用系统的集成
Web Service是与平台和语言无关的一种远程调用技术,目前几乎所有的编程语言都支持Web Service,表1列出了利用不同语言开发Web Service客户端所需要的工具。不同的应用系统可以通过修改相应认证模块,访问用户认证Web Service实现用户身份的认证和部分授权功能。创建Web Service客户端应用的第一步一般是先创建代理对象,代理对象具有Web Service所有的数据接口。客户端通过调用此代理类,实现Web Service的调用,如图5所示。很多编程工具中都内置了自动生成Web Service代理对象的工具,例如.NET SDK中的WebServiceUtil.exe,AXIS中的org.apache.axis.wsdl.WSDL2Java类等。
目前我校新闻发布系统、研究生管理系统、个人空间、VOD、BBS等网络应用系统已实现基于Web Service的统一身份认证。由于应用系统的权限控制千差万别,通过统一身份认证系统只提供一些常用的授权功能,例如IP地址限制、上网时段控制、应用系统访问权限等,更复杂的授权设置仍然由各应用系统自己完成。
5 结语
Web Service技术为构建分布式系统提供了一个简单、灵活和开放的基础平台。基于Web Service技术的分布式用户认证系统可以很好地解决高校校园网复杂网络环境下各类网络应用的统一身份认证问题。在性能、安全性、灵活性和易管理性方面都有较好的表现。
关键词 Web Service; SOAP; 认证; 网关; 802.1x
中图分类号:TP393文献标识码:A文章编号:1671-489X(2006)12-0046-03
An Authentication System for Campus Networks Based on Web Service Technology//LiPengjun, ZhangHai,Guo Wenming
AbstractA distributed authentication system base on Web Service technology and LDAP is designed to realize unique authentication in campus networks. The system structure is introduced, as well as the authentication processes of two main methods, gateway and 802.1x, using the authentication system. This paper also introduced the methods of using this Web Service authentication system to authenticate users for other network application.
Key words Web Service; SOAP; authentication; gateway; 802.1x
Author’s address Network Center, Southern Medical University,510515,Guangzhou, China
1 引言
网络管理是保障计算机网络正常运转的必要手段,其中用户管理是网络管理的重要组成部分,也是配置管理、安全管理、计费管理的基础。高校校园网普遍具有规模大、用户多的特点。很多校园网动辄拥有数万注册用户,另外校园网的应用系统也是复杂多样,例如Internet接入、电子邮件、教务管理系统、网络教学系统、BBS等,各种应用互相独立,都有自己的一套用户资料和认证系统,造成了管理的困难,用户使用起来也不方便,因此采用统一的用户身份认证非常重要。近年来很多高校采用了基于LDAP(轻量级目录访问协议)的用户认证方式[1],较好地解决了统一身份认证问题,但是直接将LDAP服务器暴露在其它应用系统和用户面前具有一定的安全风险,例如权限配置错误可能导致非法用户获取其他用户的资料甚至口令,另外在分布式环境下LDAP的访问也有可能受到防火墙的阻挡。Web Service以其通用性和开放性,目前已成为分布式异构环境下构建复杂系统的重要技术,因此我们设计了一种Web Service和LDAP相结合的分布式用户认证系统,解决校园网用户统一身份认证问题。
2 校园网Internet接入认证方式
Internet接入是校园网最重要的功能之一,由于用户数量大,而且上网的时间比较集中(例如中午和晚上下课后),用户认证对系统的性能要求很高。国内大部分高校都接入CERNet(中国教育科研网),而CERNet的计费策略是国内包月,国际按流量计费,因此很多高校早期采用了粗放型的认证方式,即国内地址直通,不需要账号,而国际地址则需要设置代理服务器(Proxy),输入用户名和密码后方可访问。代理服务器的性能较低,一般只能承担不到1000用户同时访问,而且国内直通的方式容易出现安全问题,追查比较困难。目前这种方式已经逐渐被网关认证和802.1x认证方式所取代。
2.1网关 Web认证
网关 Web认证方式是一种简单易用的认证方式[2],在校园网的Internet出口处部署一台多网卡的网关,当用户访问Internet时,如果用户尚未认证,则重定向到Web认证服务器,输入用户名和密码后方可在网关上放开此用户。使用网关 Web认证方式的优点是部署和管理非常简单,用户不需要安装任何软件或者配置任何参数,只要将电脑网线插入墙上的以太网接口,即可通过DHCP获取IP地址,访问校内资源时不需要认证,只有访问Internet时才需要认证。这种方式的缺点有两点:一是网关存在性能瓶颈,根据我们的测试,一台较高性能的网关(P4 3GHz CPU,1GB内存)只能支持5000用户同时在线,对于数万注册用户的网络是难以支撑的;二是客户端零安装也造成了管理的弱化,非法用户可能通过伪造IP地址,或者安装非法DHCP和代理盗用其它用户的账号。
2.2 802.1x认证
802.1x认证是最近几年才发展起来的一种用户认证方式,它是一种基于交换机端口或MAC地址的访问控制协议[3],最初802.1x是为了解决无线局域网(WLAN)的接入认证而提出的,目前已被应用到有线局域网对用户进行认证和授权控制。用户在没有认证之前与局域网是逻辑断开的,只有认证过后才能访问网络。使用这种方式的优点是具有强大的管理功能,可以通过IP地址、MAC地址、交换机IP、端口等多要素对用户进行绑定,可有效解决账号盗用问题,另外认证过程分散到各台接入层交换机,可以大大提高认证的效能,能够支持数万以上的在线用户。其缺点是对设备的要求高,需要购买支持802.1x认证的交换机,另外管理配置比较复杂。
3 Web Service技术简介
Web Service是在HTTP、XML和SOAP(简单对象访问协议)等开放标准上形成的技术[4],具有平台无关性、可跨越防火墙通信和松散耦合的特点,特别适合于分布式异构环境。Web Service的体系结构主要包括SOAP、WSDL和UDDI,如图1所示。
SOAP以XML格式提供了一个简单、轻量的用于在分布环境中传输信息的机制。SOAP通过HTTP的80端口传送对远程进程的调用,解决了通过防火墙传送消息的问题。WSDL(Web Service描述语言)基于XML格式,用来描述Web Service。它描述了Web Service可以执行的操作以及Web Service可以发送或接收的消息格式。UDDI(统一描述、发现和整合)是发布和使用Web Service的枢纽,它主要用于解决在Internet上查找和定位Web Service的问题。Web Service提供者在UDDI注册中心注册后,用户可以通过UDDI查询到Web Service,从而通过SOAP调用Web Service。
4 系统实现
4.1 系统架构
综合考虑到性能和保护现有投资的要求,我校校园网采用了网关认证和802.1x认证相结合的方式:学生宿舍全部部署支持802.1x的交换机,采用802.1x认证;办公区和家属宿舍则使用早期购买的不支持802.1x的交换机,采用网关 Web认证。两套认证系统使用统一的用户资料,用户资料存储在LDAP服务器中,通过Web Service实现用户身份的认证,如图2所示。
Web Service通过Java技术实现,运行环境为Tomcat和AXIS框架。Tomcat是JSP和Servlet运行环境,AXIS框架来自Apache开放源代码组织,它是使用Java语言编写的基于最新的SOAP 规范(SOAP 1.2)和 SOAP with Attachments 规范的开放源代码框架。使用AXIS实现Web Service非常简单,只需编写认证相关的Java类,然后将文件扩展名改为jws,无需编译,将文件拷贝到应用程序发布目录下即可。在客户端的浏览器中输入Web Service的地址:http:serverip:8080/webservice/authentication.jws wsdl即可列出调用此服务的方法。Web Service服务端主要提供以下三种认证方法:
public class authentication {
//明文认证,客户端提供明文用户名和口令
public int authen(String userName, String password){ …
}
//加密认证,客户端将用户名、口令、IP、MAC加密后提交,验证成功后返回一个随机令牌
public String authen3DES(String encrypedMessage){…
}
//MD5-challenge认证,客户端提交用户名和challenged password
public int authenChallenge(String userName, String challengedpasswd){...
}
}
4.2 网关认证流程
为保障系统的安全性,我们舍弃了网关认证的易用性,用户需要通过客户端软件才能认证上网。同时客户端软件还用于控制用户接入和保持用户状态。认证过程如图3所示。①用户登录系统时,客户端将用户名、密码、IP地址和MAC地址等信息通过对称密钥(3DES)加密后发送给认证系统Web Service;②认证系统Web Service将信息解密后,交给应用服务器的用户认证Bean,通过JNDI访问LDAP服务器,对用户身份进行认证和授权检测;③检测通过后通知网关放开此用户;④向客户端发送一个随机生成的令牌(Token);⑤客户端随后即用此令牌和IP地址、MAC地址等信息加密,定时向认证系统发送更新消息;⑥认证系统更新在线用户数据库;⑦认证系统后台定时查询在线用户数据库;⑧一旦超过一定时间没有更新用户状态,或者用户IP地址、MAC地址发生变动,即通知网关强行断开此用户的连接。使用这种方式可以大大提高网关认证系统的安全性,首先加密传输的用户名和密码难以被Sniffer破解,另外用户IP地址、MAC地址、用户名和随机令牌的绑定传输,可以有效防止IP地址盗用和非法DHCP服务器造成的账号盗用。
4.3 802.1x认证流程
802.1x认证是一种多层结构的认证体系,包括客户端(Supplicant)、接入设备(Authenticator,即支持802.1x的交换机)和认证服务器(Authentication Server,一般是RADIUS),我们无法修改交换机的程序,因此只能通过修改RADIUS服务器来实现与Web Service的交互。我们使用的RADIUS服务系统是FreeRADIUS 1.0.5,认证流程如图4所示。传统的802.1x认证过程[5]这里不作详细介绍,主要介绍修改的部分。由于RADIUS服务器本身不保存用户信息,因此用户认证所使用的MD5 Challenge过程则交给认证系统的Web Service进行处理。RADIUS将用户名转发给认证系统,认证系统产生一个Challenge,返回给RADIUS服务器,RADIUS服务器将此Challenge通过交换机发送给客户端,要求客户端进行认证,客户端即将密码和Challenge做MD5算法后的Challenged-Password,经交换机和RADIUS服务器发送给认证系统,认证系统根据从LDAP服务器取得的用户密码,做MD5算法,与收到的Challenged-Password对比,判断用户是否合法,然后回应认证成功/失败信息给RADIUS服务器。如果成功,则根据用户的相关属性给用户授权。如果认证失败,则流程结束。
4.4 分布式认证
由于Web Service技术的松散耦合的特点,它没有复杂的消息传递、对象引用和垃圾回收机制,因此非常适合于分布式处理。在大型的校园网环境中可以部署多台Web Service服务器,提供用户认证服务。考虑到大型校园网在上网高峰期时一分钟内可能有数千用户同时登录,为减轻服务器端进程调度的负担,我们将服务调度的功能放在客户端完成。网关客户端通过配置文件读取Web Service服务器列表,通过随机算法调用其中一台服务器进行认证。802.1x分布式认证则通过修改RADIUS服务器和交换机配置来实现。
4.5 与其它应用系统的集成
Web Service是与平台和语言无关的一种远程调用技术,目前几乎所有的编程语言都支持Web Service,表1列出了利用不同语言开发Web Service客户端所需要的工具。不同的应用系统可以通过修改相应认证模块,访问用户认证Web Service实现用户身份的认证和部分授权功能。创建Web Service客户端应用的第一步一般是先创建代理对象,代理对象具有Web Service所有的数据接口。客户端通过调用此代理类,实现Web Service的调用,如图5所示。很多编程工具中都内置了自动生成Web Service代理对象的工具,例如.NET SDK中的WebServiceUtil.exe,AXIS中的org.apache.axis.wsdl.WSDL2Java类等。
目前我校新闻发布系统、研究生管理系统、个人空间、VOD、BBS等网络应用系统已实现基于Web Service的统一身份认证。由于应用系统的权限控制千差万别,通过统一身份认证系统只提供一些常用的授权功能,例如IP地址限制、上网时段控制、应用系统访问权限等,更复杂的授权设置仍然由各应用系统自己完成。
5 结语
Web Service技术为构建分布式系统提供了一个简单、灵活和开放的基础平台。基于Web Service技术的分布式用户认证系统可以很好地解决高校校园网复杂网络环境下各类网络应用的统一身份认证问题。在性能、安全性、灵活性和易管理性方面都有较好的表现。