802.1X背景下高校校園網(wǎng)AAA認(rèn)證設(shè)計(jì)與實(shí)現(xiàn)分析

王雨橋

摘要：該文將在闡述高校校園網(wǎng)的入網(wǎng)認(rèn)證、管理與安全等方面存在的問題，對當(dāng)前的各種認(rèn)證方式進(jìn)行了比較，從而得出802.1X在高校校園網(wǎng)入網(wǎng)認(rèn)證中的各個方面的優(yōu)勢。并基設(shè)計(jì)實(shí)現(xiàn)了基于802.1X的高效校園網(wǎng)AAA認(rèn)證，使用了模擬真實(shí)網(wǎng)絡(luò)接入的計(jì)費(fèi)方式，克服了高校校園網(wǎng)在進(jìn)行網(wǎng)絡(luò)認(rèn)證過程中的認(rèn)證、管理困難，同時提高了網(wǎng)絡(luò)維護(hù)的效率。

關(guān)鍵詞：高校校園網(wǎng)；802.1X；AAA認(rèn)證；設(shè)計(jì)

中圖分類號：TP391 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2013）09-2068-02

實(shí)行身份認(rèn)證體系于高校校園網(wǎng)訪問中，可以實(shí)現(xiàn)對有限資源和帶寬的優(yōu)化分配。這一安全認(rèn)證的實(shí)施一方面是為了盡可能降低網(wǎng)絡(luò)惡意使用者對校園網(wǎng)的威脅性；另一方面就是確保整個網(wǎng)絡(luò)安全被掌握在高校網(wǎng)絡(luò)管理部門手中，便于及時的對各種突發(fā)事件進(jìn)行處理，并建立起網(wǎng)絡(luò)安全規(guī)范數(shù)據(jù)庫，防止同樣事故的再次出現(xiàn)。另外，就是校園網(wǎng)需要根據(jù)不同用戶的身份信息，確定用戶的不同網(wǎng)絡(luò)訪問權(quán)限與范圍，在保護(hù)一些數(shù)據(jù)的同時，也優(yōu)化了資源的分配。

1 高校校園網(wǎng)與802.1X認(rèn)證訪問

高校校園網(wǎng)與其它網(wǎng)絡(luò)不同，不僅僅體現(xiàn)在用戶群體的特殊性，還體現(xiàn)在高校校園網(wǎng)用戶的高度密集訪問，這種情況會對整個網(wǎng)絡(luò)的安全管理造成一些困難，同時說明了實(shí)名認(rèn)證訪問的必要性。高校校園網(wǎng)在長時間的發(fā)展歷程中，出現(xiàn)了不少的切實(shí)可行的身份認(rèn)證策略與系統(tǒng)，由于網(wǎng)絡(luò)管理需求各異，導(dǎo)致了不同網(wǎng)絡(luò)系統(tǒng)中存在不同的管理模式。主要表現(xiàn)為：（1）靜態(tài)IP訪問；（2）校內(nèi)用戶的開放式入網(wǎng)；（3）以MAC地址為基礎(chǔ)的認(rèn)證訪問；（4）PPPOE模式下的撥號認(rèn)證入網(wǎng)；（5）基于802.1X的身份認(rèn)證訪問。

簡單的講，IEEE802.1X就是一種協(xié)議，這種協(xié)議被建立在鏈路層驗(yàn)證機(jī)制之上，能夠?qū)θ刖W(wǎng)端口（訪問連接點(diǎn)）起到一定的控制作用。例如，設(shè)置在無線訪問連接點(diǎn)的物理交換端口或者邏輯交換端口等。有了網(wǎng)絡(luò)認(rèn)證的訪問機(jī)制，用戶就能夠在整體安全構(gòu)架的基礎(chǔ)上設(shè)置第一層防護(hù)。并且在計(jì)算機(jī)得到安全認(rèn)證以前，不會得到相應(yīng)的網(wǎng)絡(luò)接入且處于完全禁止?fàn)顟B(tài)。但是得到認(rèn)證之后，用戶就能夠安全的接入到校園網(wǎng)系統(tǒng)，得到相應(yīng)的服務(wù)。

2 802.1X協(xié)議背景下的認(rèn)證優(yōu)勢

802.1X作為以太網(wǎng)的一種認(rèn)證協(xié)議在校園網(wǎng)的接入機(jī)制中具有以下優(yōu)勢：（1）IEEE802.1X的認(rèn)證協(xié)議屬于兩層協(xié)議，在接入過程中不需要第三層，因此對網(wǎng)絡(luò)終端設(shè)備的要求不是很高，且能夠降低局域網(wǎng)建設(shè)成本；（2）利用已有EPA，即擴(kuò)展認(rèn)證協(xié)議能夠提高網(wǎng)絡(luò)的擴(kuò)展功能以及適應(yīng)能力，還能夠?qū)崿F(xiàn)與傳統(tǒng)PPP認(rèn)證模式的兼容；（3）802.1X認(rèn)證機(jī)制采用的是“受控端口”與“非受控端口”邏輯結(jié)構(gòu)，能夠保證網(wǎng)絡(luò)業(yè)務(wù)和認(rèn)證系統(tǒng)的有機(jī)分離，并利用RADIUS與交換機(jī)的非受控端口結(jié)合實(shí)現(xiàn)對訪問的認(rèn)證和業(yè)務(wù)控制，將業(yè)務(wù)報文承載于可控兩層報文之上并實(shí)施端口的交換，在認(rèn)證合格之后就將原數(shù)據(jù)包轉(zhuǎn)化成為無封裝可訪問數(shù)據(jù)包；（4）能夠兼容已有登錄認(rèn)證系統(tǒng)以降低重新架設(shè)的費(fèi)用，而且支持各類業(yè)務(wù)；（5）將所有的接入用戶劃分為不同的等級即VLAN；（6）能夠提高無線LAN與交換端口的安全認(rèn)證與接入能力。

2.1 802.1X協(xié)議的構(gòu)成

IEEE802.1X主要有以下模塊組成：

請求者：其功能就是連接入網(wǎng)，對服務(wù)器發(fā)出請求，一般是終端站點(diǎn)，即用戶或者說PC機(jī)。當(dāng)請求者提出網(wǎng)絡(luò)接入請求時，請求就會以報文的形式上傳，并交由IEEE802.1X進(jìn)行標(biāo)準(zhǔn)審核。

認(rèn)證者：認(rèn)證者也是請求者的下一站，通常是交換機(jī)或者相應(yīng)的接入設(shè)備。其作為連接用戶與網(wǎng)絡(luò)的紐帶，主要功能就是對用戶的請求進(jìn)行認(rèn)證。或者說中介，根據(jù)用戶提交的入網(wǎng)報文，判斷是否符合服務(wù)器的接入要求，并將認(rèn)證結(jié)果反饋給用戶終端。

驗(yàn)證服務(wù)器：是請求者提交入網(wǎng)報文的最終接收實(shí)體，在收到請求者的驗(yàn)證申請之后，連接RADIUS服務(wù)器，結(jié)合認(rèn)證者的核對功能，確定用戶提交申請的正確性。驗(yàn)證服務(wù)器存有用戶的用戶名與密碼，與各種受限信息，每臺驗(yàn)證服務(wù)器都能夠提供多種認(rèn)證服務(wù)，即保證了用戶信息的集中管理與安全。同時驗(yàn)證服務(wù)器還會自動進(jìn)行業(yè)務(wù)的計(jì)算。

2.2 802.1X協(xié)議背景下的AAA認(rèn)證步驟

1）用戶終端發(fā)出網(wǎng)路接入認(rèn)證請求，請求轉(zhuǎn)化為EAPOL-Start報文并發(fā)送，到達(dá)802.1X認(rèn)證端口；2）交換機(jī)收到EAPOL-Start報文，向用戶終端反饋EAP-Request/Identity報文，并向用戶提出賬號信息的輸入請求；3）用戶終端以賬號信息回復(fù)EAP-Request/Identity報文；4）交換機(jī)把EAP-Request/Identity報文處理封裝至RADIUS Access-Request報文中，并傳送至驗(yàn)證服務(wù)器；5）驗(yàn)證服務(wù)器接到報文后發(fā)出Challenge，并將驗(yàn)證結(jié)果以RADIUS Access-Challenge形式反饋給用戶終端；6）交換機(jī)根據(jù)EPA-Request/MD5-Challenge信息發(fā)送至用戶端，要求用戶進(jìn)行認(rèn)證；7）用戶端就會收到EPA-Request/MD5-Challenge報文，并把密碼信息與Challenge進(jìn)行MD5算法加工后的Challenge-Pass-word，存放于EPA-Response/MD5-Challenge中反饋至交換機(jī)；8）交換機(jī)再把Challenge、Challenge Password與登錄名統(tǒng)一傳送至RADIUS服務(wù)器，并由此服務(wù)器進(jìn)行核對；9）RADIUS在核對登錄名之后，進(jìn)行MD5算法計(jì)算并核對密碼信息是否一致；10）若核對成功，用戶就能夠根據(jù)DHCP標(biāo)準(zhǔn)獲取入網(wǎng)IP，得到服務(wù)器的服務(wù)權(quán)限。

這時用戶就能夠獲得認(rèn)證，正常接入網(wǎng)絡(luò)，獲取網(wǎng)絡(luò)服務(wù)。

3 認(rèn)證的具體設(shè)計(jì)與實(shí)現(xiàn)

本文在設(shè)計(jì)過程中選用華為生產(chǎn)的93系列的交換機(jī)為匯聚，以及33系列的交換機(jī)為接入層硬件。IP獲取選用配置IP授權(quán)的方式進(jìn)行限定。

3.1 AAA認(rèn)證配置

因?yàn)閷W(xué)生群體具有很強(qiáng)的流動性，因此將無線路由統(tǒng)一選用SSID命名，將工作模式限定為AP模式。能夠支持學(xué)生無線接入范圍內(nèi)的地方漫游，具有一定的便利性。

參考文獻(xiàn)：

[1] 劉梅.基于802.1X的校園網(wǎng)接入認(rèn)證安全防御[J].中國教育網(wǎng)絡(luò).2012（2）.

[2] 吳林峰.淺談高校校園網(wǎng)中的IEEE802.1X協(xié)議[J].科技風(fēng).2008（17）.

[3] 陳芬，逯陽.基于802.1X技術(shù)的校園網(wǎng)終端認(rèn)證分析[J].軟件工程師.2012（10）.