是什么让西南大学校园网超3万终端认证识别准确度99%以上？

互联网+时代需要灵活、安全的上网环境

学校在2016年实现了校园网骨干链路扩容与全网无线覆盖，也是为了提升校园信息化水平，提供高质、灵活、便利的信息化服务。本着这一宗旨，合理化的上网管理改善迫在眉睫；同时，基于账号滥用、恶意盗号等安全考虑，西南大学最终采取两种类型终端的同时使用，即一个电脑终端、一个移动终端，以满足学生上网使用的需要和学校安全管理的要求。那么支撑这一上网制度调整，首要难题就是校园网的认证计费运营平台需要具备两个层面的满足：

1.      终端类型的精准识别

//识别错误不仅给网络中心带来巨大的报修工作，还会引起学生的大量投诉；

2.      终端类型的访问控制

//认证计费运营平台不支持终端类型的策略管控，一切都是空谈。

 高精度的终端识别

谈起终端识别技术的应用，都会想到利用浏览器UA(UserAgent相关版本信息标识符)或MAC地址的匹配方式，由于浏览器的跨操作系统使用、MAC厂商注册信息不符、虚拟MAC应用及相关信息篡改等众多因素，造成这种识别技术的精准度很低，同时手动调整还非常艰难，根本无法满足当下的使用要求。面对这样的困局，另一种高精度的识别技术孕育而生，就是利用DHCP 的option字段中的终端标识符来智能识别。

DHCP组件拥有很高的准确性，其原理为DHCP组件在终端请求地址的过程中获取终端的众多基本信息，包括但不限于MAC地址、主机名、厂商标识、系统指纹等，基于这些判别元素，RG-SAM+ DHCP组件内置20多万条指纹信息，并建立多元素的综合分析机制，确保每个终端的精准识别，同时也加大了用户伪造终端的难度。

图1：终端类型分析与统计

 认证计费系统实现终端类型的控制管理

       RG-SAM+内置DHCP数据调用模块，将精准识别的终端类型作用于用户管理控制中，实现一个用户仅能登陆一个电脑终端和一个移动终端的使用，同时用户每月可以自助解绑1次终端信息，确保用户终端更换的便捷，同时规避学生间账号借用情况的发生。既满足了学生的多终端上网的使用需要，又满足了避免账号滥用的管理审计诉求。

图2：入网终端情况

安全无感知

       无感知认证又称作MAB认证，即当用户首次通过用户名/密码认证通过后，会自动绑定其终端设备的MAC地址，后续再上网时就以该MAC地址做为用户的校验信息，无须输入用户名/密码来提升用户入网的易用性。但MAC地址篡改的技术门槛很低，造成大量伪造MAC以冒充合法用户上网，这就是长期以来无感知提供易用、便捷的同时伴随的安全短板。通过DHCP则可以获得更多的信息，并作为MAC认证的校验元素，大大提升其安全性，实现了易用与安全的兼得。

图3：用户MAB信息

       认证计费系统、DHCP这两大跨领域产品的结合，不仅使得IP地址发布与管理更加灵活和方便（如：基于用户/用户组的IP管理），也提升了认证计费系统的安全性与策略应用的灵活性。

 
       为此，学校给出了高度评价：“2016年10月份实施以来，在线用户规模已超过2万，在线终端达3万以上，基本没收到过学生因为识别问题的反馈，可以说是接近100%的效果帮助学校顺利完成了校园网管理策略整改的落地。锐捷网络的认证计费整体解决方案超出了我们的预期。”