校園網身份認證系統的實現與研究

摘要:通過802.1x協議的體系結構及其工作原理的介紹，提出了一種基于802.1X協議的校園網身份認證系統的實現方法，提高了校園網的安全性和管理性。

關鍵詞:802.1X協議;身份認證;校園網

中圖法分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)21-5988-02

Implementation and Research on the User Identity Authentication of Campus Network

ZHANG Yi

(Qinhuangdao Institute Of Technology， Qinhuangdao 066100， China)

Abstract: After introduced the protocol of IEEE 802.1X framework and principle of work，.It gives a implemention Method of campus Network identity authentication based on 801.1X protocol， and improve the campus network security and metadata.

Key words: 802.1X protocol; identity authentication; campus network

隨著高校對校園網安全管理要求不斷提升，校園網安全管理系統功能急需日趨完善。現有的校園網管理軟硬件僅僅能夠從硬件防火墻、三層交換機、出口路由設備上對計算機終端用戶進行策略添加、端口限制、網站限制等管理，但諸多校園網用戶采用了靜態IP分配，三層交換機VLAN劃分等形式進行上網，缺乏一整套有效地管理機制對內網人員上網進行認證管理(包括接入控制和訪問授權)。而通過校園網的實際運行情況來看，保證校園網安全穩定運行的重要方面就是要推行校園網用戶實名制認證管理。

802.1X協議提供了完整對接入到局域網設備進行認證、授權的機制，身份認證使用的EAPOL(EAP encapsulation oveLANS)幀承載于以太報文之上，比較容易應用于以太網環境[1]。因此將交換機采用802.1X協議認證的機制，通過智能網管型對局域網用戶進行管理是一種非常有效的用戶管理策略。同時，802.1X作為交換機安全策略的一部分，可以有效防止非法用戶訪問在沒有取得授權的情況下訪問資源，并且保證了校園網網絡資源的合理使用。

本文根據目前高校校園網現狀，提出了一種基于802.1X協議的認證系統應用于校園網管理的設計方案，將認證協議中基于端口的控制擴展為基于用戶的控制，在硬件防火墻、智能網管型接入交換機、校園網身份認證系統的配合下，實現校園網管理系統對801.2X協議的檢測，對校園網使用終端用戶的認證、授權、鑒別等方面進行有效管理，使校園網管理系統具有強大的終端管理功能。

1 802.1X協議的原理

1.1 體系結構[2]

IEEE 802.1X源于IEEE 802.1是一種位于第2層的端口接入(port based network access control protocol)。端口指1個邏輯端口或是1個物理端口。而對無線局域網接入時，一個端口代表著一個信道。

IEEE 802.1X協議的認證體系結構有三個重要組成部分:客戶端(請求者supplicant)、認證系統(認證者authenticator)和認證服務器(authentication server)，如圖1所示。

1)客戶端

客戶端通常是指支持802.1X認證的用戶終端設備，比如說各類計算機、服務器、小型網絡設備等，也包含了嵌入802.1x撥號功能的小型路由器設備。這些設備通過啟動802.1X客戶端軟件請求802.lX認證，從而得到授權訪問受控的網絡資源。客戶端支持有線、無線認證兩種方式。

2)認證系統

認證系統通常是指為支持802.lX協議的網絡設備，如智能網管型交換機等。為請求方提供端口進行服務，該端口包括是物理端口和邏輯端口。認證系統可以提供兩種端口，一種為開放端口(未開啟認證服務)，一種為受控端口(開啟認證服務)，開放端口始終處于雙向連通狀態，保證了客戶端能夠發出和認證。受控端口分為輸入受控和雙向受控兩種方式。受控端口在認證通過時下才打開，這時能夠傳輸網絡數據包。當認證失敗時，受控端口始終未能取得認證，終端用戶無法聯入網絡。

3)認證服務器

認證服務器是提供認證系統的“服務器端”。又稱為Radius(Remote Address Dial-In User Service)服務器，通過撥號認證的協議，提供用戶認證、授權、記錄的功能。在高校校園網拓撲結構中，認證服務器普遍存放于網絡中心機房內，直接連接到核心交換機。網絡管理員在認證服務器平臺設置接入校園網用戶的IP地址、用戶名及密碼等參數。根據具體設置，可對用戶進行身份-IP地址-MAC地址-PORT地址四方綁定，用戶通過認證以后，認證服務器將用戶的相關信息發送給認證系統，通過認證系統建立動態的訪問控制列表，終端用戶的連結就將接受上述參數的監管。認證服務器與認證系統通過EAP協議進行通信。

1.2 認證流程

使用可擴展的身份驗證協議(EAP)，任意身份驗證機制都可以對遠程訪問連接進行身份驗證。通過遠程 VPN 客戶端和驗證程序(ISA 服務器或 RADIUS 服務器)協商要使用的確切身份驗證方案。

EAP協議具有較好的擴展性，基于802.1X協議的認證系統支持多種認證算法，例如EAP-AKA，EAP-SIM，EAP-TTLS，EAP-TLS，EAP-MD5等。下面以高校常用的EAP協議身份認證為例，介紹基于EAP協議的802.1X認證流程[3]，具體過程如圖2。

1)終端計算機向接入交換機發送EAP Start報文，請求802.1X認證;

2)接入交換機向終端計算機送EAP-Request/Identity報文，請求終端認證;

3)端通計算機通過EAP-Response/Identity將終端標識發送給交換機;

4)交換機在RADIUS Access-Request報文中封裝EAP-Response/Identity報文，發送給認證服務器，請求認證;

5)認證服務器產生Challenge，通過RADIUS-Access-Challenge將報文發送給交換機;

6)交換機通過EAP-Request負責把Challenge發送給終端計算機;

7)終端計算機收到包含Challenge的EAP-Request報文之后，根據算法生成應答消息EAP-Response回應給交換機;

8)接入交換機將包含用戶憑證的EAP-Response消息轉發給Radius服務器;

9)認證服務器根據用戶憑證信息對用戶進行認證，判斷終端計算機的用戶身份及密碼是否合法，最后將回應認證成功/失敗報文發送到交換機。

10)身份認證如果成功，由接入交換機發送攜帶協商參數，以及用戶的相關業務屬性給計算機終端，打開認證端口開始上網，如身份認證不成功，接入交換機也將具體失敗信息給計算機終端。

2 基于802.1X協議的校園網身份認證系統的實現

2.1 校園網身份認證系統實現基礎

隨著信息技術的推廣與發展，為了構建現代化教育與管理模式，大部分高校都建成了較為現代化的校園網。校園網終端計算機分布于行政辦公樓、教學樓、圖書館、體育場、學生宿舍樓等地，隨著校園網用戶的增多。校園網的規范化管理已經被越來越多的高校網絡管理部門所重視，對于校園網用戶的各項管理中，最重要的一個方面就是能對終端個人用戶的身份進行認證，對上網行為進行內容審核、日志記錄、規范化管理。

在帶有認證系統的校園網中，教生使用計算機終端設備，如果想聯入校園網，訪問網絡資源時必須通過校內審核的身份賬號及密碼，通過取得身份認證系統的授權后方可進行上網。因此目前眾多高校校園網都在建設成熟完善的校園網身份認證系統。隨著IEEE802.1x認證技術的成熟并廣泛推廣，如思科、華為、H3C、銳捷、神州數碼等國內外眾多網絡設備制造商均推出了支持802.1x認證的網絡設備和一體化校園網解決方案，并已有實際成功校園網案例。計算機終端用戶所使用的微軟公司Windows XP操作系統也整合了IEEE802.1x客戶端軟件。以上這些因素均為校園網身份認證系統的實現提供了良好的理論與實踐基礎。

2.2 校園網身份認證系統的具體實現

目前高校校園網拓撲結構一般分為三層:核心、匯聚和接入層。核心層是由百兆及以上容量的三層核心交換機構成;匯聚層由百兆及以上匯聚交換機構成;接入層一般采用智能網管型接入交換機。認證服務器與核心三成交換機連接，認證服務器負責對高校校園網中上網用戶進行身份認證、流量計費。接入層交換機分布在各樓宇中，通過雙絞線與各房間的網絡模塊進行相連，終端計算機用戶通過網線把網卡和墻體網絡模塊連接后實現與接入交換機的連接。

在基于802.1x協議的校園網身份認證系統方案中，一個重要的環節就是接入型智能可網管交換機的配置。以銳捷公司的RG-S2126交換機為例[4]，一個小型局域網配置要求如下:在交換機的24個端口中，1-20號端口連接計算機設備，需要經過“認證”上網，對交換機的端口進行MAC地址綁定認證并設置允許聯入的最多用戶數量;21-23號端口與服務器相連，端口始終開放，上網不需認證;24號端口與匯聚層交換機鏈接，不需要認證設置。并在全端口下設置安全線路，即無需開啟認證形勢下訪問局域網內資源。

認證服務器提供對校園網用戶進行身份認證和管理的功能，可以采用主流配置并能穩定運行的服務器作為軟件安裝平臺，以銳捷公司的SAM系統為例，需安裝Windows2003 Server操作系統和SQL Server數據庫，并安裝全部補丁程序。通過安裝殺毒軟件、防火墻軟件來確保認證服務器的網絡安全性。在安裝身份認證系統服務器端軟件時，要對服務器進行開機后自動啟動認證服務功能。將全部接入交換機的IP地址、校園網用戶賬號、密碼、MAC地址等詳細信息統一后，才能完成認證服務器平臺的構建。

在校園網的各類計算機終端上需安裝身份認證系統客戶端軟件，客戶端計算機運行的操作系統一般是Win-dows2000和Windows XP，在計算機終端網卡驅動程序設置完畢后，收集MAC地址上報校園網管理部門，由管理部門統一審核分配制定IP地址、用戶名、密碼后對計算機終端進行相應IP地址設置，通過校園網身份認證系統在取得授權后方可訪問網絡資源。

2.3 校園網身份認證系統的實現效果

基于802.1x協議的身份認證系統在校園網中實施后，用戶需在網絡中心開通個人上網賬號，在取得授權后方能使用網絡資源。沒有取得授權用戶即使將終端計算機聯入校園網，也無法取得身份認證，與終端計算機鏈接的上層交換機端口處始終處于關閉狀態，不能訪問網絡資源。可達到禁止私自修改IP地址、私自接入校園網訪問網絡資源的問題，以實現校園網的規范化管理。

3 結束語

基于802.1x協議的校園網身份認證系統提供了一種高校校園網內部用戶身份認證的有效手段，通過IP地址、MAC地址、PORT號、用戶名四方綁定，由高校網絡管理部門統一審核發放上網賬號，判斷校園網用戶是否為授權用戶，以此來決定接入層交換機端口的“開放”和“關閉”狀態，進而可保證高校上網用戶在審核與監督下進行網絡資源訪問，進而全面提高校園網的安全性和可管理性。

參考文獻:

[1] 董貞良，呂述望，王昭順.基于802.1X的內網安全管理系統認證模塊設計[J].計算機工程，2007，33(12):193-195.

[2] Mishra A，Arbaugh W A.An Initial Security Analysis of the IEEE802.1X Standard[D].MaryLand，USA:University of MaryLand Colledge Park，2002.

[3] Aboba B，Simon D，Microsoft Co.PPP EAP TLS Authentication Protoco[S].RFC2716，1999.

[4] 銳捷網絡有限公司[EB/OL].http://www.ruijie.com.cn.

注:本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文