(一)海洋教育服务平台身份认证系统结构

异构网络身份认证系统为海洋教育服务平台提供一种身份安全管理机制。海洋教育服务平台身份认证系统结构由访问终端、服务协议和应用服务端三部分组成。该认证系统主要提供以下功能服务:用户身份通过认证后，取得相应网络访问授权。异构网络用户身份认证系统在服务管理策略上应用不同等级的访问控制约束规则，为异构网络资源访问提供安全可靠和高效的网络服务。

(二)异构网络身份认证系统工作机制

1.异构网络身份认证系统认证流程

异构网络身份认证系统认证流程如图6-15 所示，认证系统采用网络访问控制设备附带认证的功能对用户请求进行认证。异构网络身份认证系统包含了用户认证和应用授权两个关键应用。用户需要在混合网接入端输入个人信息到认证系统，认证系统负责认证和应用授权，保证了网络教育资源利用的合法性与安全性。

图6-15　异构网络身份认证系统认证流程

2.异构网络身份认证系统工作机制

异构网络身份认证系统工作机制如图6-16 所示，终端计算机首先向以太网交换机或无线AP 发送认证申请命令，接着该认证申请命令被递交到认证服务器，认证服务器执行异构网络身份认证程序，判断终端计算机认证申请命令是否授权，并授权指令或不授权指令通过原链路返回给终端计算机，获得授权指令的终端就可以取得相应网络访问权限。

图6-16　异构网络身份认证系统工作机制(www.daowen.com)

(三)海洋教育服务平台身份认证系统实现

1.实验仿真平台

异构网络身份认证系统网络拓扑结构如图6-17 所示，实验仿真平台创建的客户端包含有线接入电脑及无线接入AP；交换机由接入层交换机和汇聚层交换机组成，边界路由器布置在互联网出口上，Radius 服务器是用来对网络用户进行访问控制的认证服务器。

图6-17　异构网络身份认证系统网络拓扑结构

异构网络身份认证系统的实现与配置过程:①Radius 接入服务器系统的安装；②在Windows Server 2008 的服务器上安装WinRadius 或SIP等认证计费软件；③在客户端安装802.1x 拨号认证软件。实验仿真平台通过“Vmware”“DynamipsGui”“c3640-is-mz.124-10.bin”等计算机软件模拟出相应的设备。异构网络身份认证系统网络配置命令如下所示:

2.实验结果及分析

海洋教育服务平台身份认证系统按实验仿真设计要求组合起来进行单元测试，确保各单元组合在一起后能够按既定意图协作运行。平台基于网络认证协议的体系结构使用连接请求口令挑战码方法进行认证。AAA 服务器数据库中设置不同权限角色的用户名，例如学生角色群组为“student-group”，教师角色群组为“teacher-group”。除了用户名和密码是基本的认证信息，平台还可以对该用户的物理位置、有效期限等信息进行附加认证。

在网络测试中，用户通过基于网络身份认证系统的认证后，就可以取得相应端口的网络访问授权，达到阻止非法用户未经身份认证对平台进行访问的目的。平台通过管理系统实现对用户身份认证和访问策略等进行服务管理，在服务管理策略上应用身份认证控制约束规则，为异构网络资源身份认证提供安全可靠和高效的网络服务。