基于802.1x認(rèn)證技術(shù)的數(shù)字校園身份認(rèn)證平臺(tái)研究

楊幸，譚愛平，成亞玲

（湖南工業(yè)職業(yè)技術(shù)學(xué)院，湖南長沙，410208）

1 引言

目前，國內(nèi)大多數(shù)高校已實(shí)現(xiàn)部門業(yè)務(wù)管理信息化，但校園網(wǎng)中現(xiàn)存的各個(gè)子系統(tǒng)的擴(kuò)展性和系統(tǒng)間的交互性比較差。各信息系統(tǒng)可能部署在不同的平臺(tái)之上，采用不同的數(shù)據(jù)庫進(jìn)行數(shù)據(jù)存儲(chǔ)，以不同的技術(shù)進(jìn)行系統(tǒng)的開發(fā)，這些異構(gòu)性造成了各個(gè)系統(tǒng)之間的通信和數(shù)據(jù)交換、數(shù)據(jù)共享困難，數(shù)據(jù)冗余度大等弊端，從而形成了相互獨(dú)立的“信息孤島”。解決“信息孤島”問題，最好的辦法就是形成統(tǒng)一的認(rèn)證授權(quán)平臺(tái)、統(tǒng)一的數(shù)據(jù)交換和共享平臺(tái)以及統(tǒng)一的展示平臺(tái)，如文獻(xiàn)[1-4]詳細(xì)介紹了目前校園網(wǎng)重用的認(rèn)證方式；而認(rèn)證授權(quán)平臺(tái)中的認(rèn)證方式的選擇會(huì)影響認(rèn)證過程的準(zhǔn)確性和有效性。

2 常用的認(rèn)證方式

2.1 PPPoE認(rèn)證

PPPoE[1]是 Point-to-Point Protocolover Ethernet的簡稱，通過該認(rèn)證，可以讓主機(jī)通過一個(gè)普通的橋接設(shè)備連到一個(gè)遠(yuǎn)端的接入集中器上，利用遠(yuǎn)端接入設(shè)備對(duì)每個(gè)接入用戶進(jìn)行認(rèn)證和計(jì)費(fèi)。

目前，小區(qū)寬帶一般都采用ADSL接入方式，其采取的認(rèn)證方式就是PPPoE。通過把最經(jīng)濟(jì)、成熟的以太網(wǎng)技術(shù)和點(diǎn)對(duì)點(diǎn)協(xié)議的可擴(kuò)展性及管理控制功能結(jié)合在一起，網(wǎng)絡(luò)服務(wù)提供商和電信運(yùn)營商便可利用可靠和熟悉的技術(shù)來加速部署高速互聯(lián)網(wǎng)業(yè)務(wù)。它使服務(wù)提供商在通過數(shù)字用戶線、電纜調(diào)制解調(diào)器或無線連接等方式，提供支持多用戶的寬帶接入服務(wù)時(shí)更加簡便易行。同時(shí)該技術(shù)亦簡化了最終用戶在選擇這些服務(wù)時(shí)的配置操作。

但其存在不足之處：

1、PPPoE認(rèn)證方式在發(fā)起認(rèn)證階段，會(huì)產(chǎn)生大量的廣播，嚴(yán)重影響了網(wǎng)路性能。

2、PPPoE對(duì)發(fā)展視頻會(huì)議、視頻教學(xué)等視頻業(yè)務(wù)也有一定的阻礙，因視頻業(yè)務(wù)大部分是基于組播的，而基于PPPoE的組播業(yè)務(wù)開展困難。

3、PPPoE認(rèn)證一般需要外置BAS，但該設(shè)備比較昂貴，并且認(rèn)證完成后，業(yè)務(wù)數(shù)據(jù)流也必須經(jīng)過BAS，這樣容易造成單點(diǎn)瓶頸和故障。

4、需要客戶端。

2.2 Portal認(rèn)證

Portal[5-6]認(rèn)證也稱為Web認(rèn)證。未認(rèn)證用戶上網(wǎng)時(shí)，設(shè)備強(qiáng)制用戶登錄到特定站點(diǎn)，用戶可以免費(fèi)訪問其中的服務(wù)。當(dāng)用戶需要使用互聯(lián)網(wǎng)中的其它信息時(shí)，必須在門戶網(wǎng)站進(jìn)行認(rèn)證，只有認(rèn)證通過后才可以使用互聯(lián)網(wǎng)資源。

Portal認(rèn)證方式不需要額外的客戶端，直接用Web瀏覽器即可發(fā)起認(rèn)證，避免因?yàn)榭蛻舳塑浖鸬恼J(rèn)證故障。

但其也存在不足之處：

1、承載在七層協(xié)議上，對(duì)設(shè)備要求搞，建網(wǎng)成本高。

2、IP地址的分配在用戶認(rèn)證前，如果用戶不是上網(wǎng)用戶，則會(huì)造成地址的浪費(fèi)，而且不便于多ISP的支持。

3、認(rèn)證前后業(yè)務(wù)流和數(shù)據(jù)流無法區(qū)分。

2.3 802.1x認(rèn)證

802.1x是基于Client/Server的訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問LAN/MAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前，802.1x對(duì)連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過之前，802.1x只允許EAPoL(基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)數(shù)據(jù)通過設(shè)備連接的交換機(jī)端口；認(rèn)證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。

通過802.1x認(rèn)證后，認(rèn)證系統(tǒng)將與業(yè)務(wù)數(shù)據(jù)流分離，這樣可以有效的避免網(wǎng)絡(luò)瓶頸的產(chǎn)生。同時(shí)，其作為二層協(xié)議，不需要到達(dá)三層，而且接入層交換機(jī)無需支持802.1q的VLAN，對(duì)設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本。

但其不足之處為：

1、需要特定客戶端。

2、因其是二層協(xié)議，只負(fù)責(zé)完成對(duì)用戶端口的認(rèn)證控制，一旦完成認(rèn)證，后續(xù)的IP地址分配等問題需要其他設(shè)備支持。

3、只支持基于時(shí)間的計(jì)費(fèi)。

3 基于802.1x技術(shù)認(rèn)證平臺(tái)的改進(jìn)

3.1 選擇802.1x認(rèn)證技術(shù)的原因

校園網(wǎng)的業(yè)務(wù)比較豐富，且安全要求很高，為了保證準(zhǔn)確進(jìn)行行為記錄，會(huì)要求每一個(gè)校園網(wǎng)用戶必須保證唯一性，即：帳戶、MAC地址和IP地址必須綁定。另外，學(xué)生使用校園網(wǎng)時(shí)，都是采取包月、包季度、包學(xué)年等基于時(shí)間的計(jì)費(fèi)方式，不會(huì)涉及基于流量的計(jì)費(fèi)方式。最后，現(xiàn)有的校園網(wǎng)網(wǎng)絡(luò)設(shè)備，均支持802.1x協(xié)議，無需另外購置網(wǎng)絡(luò)設(shè)備。因此，基于以上三種認(rèn)證技術(shù)的對(duì)比，選擇802.1x認(rèn)證技術(shù)是校園網(wǎng)認(rèn)證平臺(tái)最好的選擇。

3.2 基于802.1x技術(shù)認(rèn)證平臺(tái)的改進(jìn)

雖然802.1x認(rèn)證技術(shù)[7] 能很好的適應(yīng)校園網(wǎng)認(rèn)證平臺(tái)，但也存在相當(dāng)多的缺陷，其主要缺陷有：

1、當(dāng)客戶端因異常情況死機(jī)，無法正常下線。

2、當(dāng)帳號(hào)過期但用戶未下線時(shí)，服務(wù)端無法通知客戶端正常斷線。

3、無法阻止基于Wi-Fi共享方式的共享網(wǎng)絡(luò)行為。

為了使基于802.1x技術(shù)認(rèn)證平臺(tái)更好的適應(yīng)數(shù)字化校園的要求，必須進(jìn)行一定的改進(jìn)，這種改進(jìn)主要是針對(duì)以上3個(gè)主要缺陷。

3.2.1 定時(shí)重新發(fā)起認(rèn)證

為了防止因?yàn)橛脩舳嗽O(shè)備發(fā)生故障造成異常死機(jī)，或者在用戶使用期間帳戶到期而不能正常斷線，從而影響到對(duì)用戶計(jì)費(fèi)的準(zhǔn)確性，認(rèn)證點(diǎn)應(yīng)當(dāng)定期重新發(fā)起認(rèn)證過程，該過程對(duì)于用戶是透明的，即用戶無需再次輸入帳號(hào)和密碼。重新認(rèn)證時(shí)間值可以在認(rèn)證平臺(tái)中手動(dòng)/自動(dòng)設(shè)置。認(rèn)證的過程如圖1所示：

圖1 802.1x透明認(rèn)證流程

具體認(rèn)證流程描述如下：

步驟①：客戶端自動(dòng)將上一次用戶登陸時(shí)輸入的用戶名和密碼，封裝成EAP報(bào)文向接入交換機(jī)發(fā)送。

步驟②：接入交換機(jī)接收并解封客戶端發(fā)送的EAP報(bào)文，然后將賬號(hào)、MAC等信息重新封裝成Radius報(bào)文并發(fā)送至認(rèn)證服務(wù)器。

步驟③：認(rèn)證服務(wù)器接收Radius報(bào)文，與安全賬號(hào)數(shù)據(jù)庫進(jìn)行匹配，核對(duì)用戶身份。

步驟④：核實(shí)身份成功后，認(rèn)證服務(wù)器下發(fā)Radius報(bào)文至接入交換機(jī)通知該用戶認(rèn)證通過，接入交換機(jī)將繼續(xù)保持相對(duì)應(yīng)的端口打開，允許用戶上網(wǎng)，客戶端仍然使用原有的IP地址、網(wǎng)關(guān)、DNS服務(wù)器地址等信息。

如果在規(guī)定的時(shí)間內(nèi)客戶端未能發(fā)起認(rèn)證，則認(rèn)證服務(wù)器判定客戶端已經(jīng)下線，并通知接入交換機(jī)關(guān)閉相對(duì)應(yīng)的端口。

3.2.2 限定線程連接數(shù)

雖然802.1x支持帳號(hào)、IP地址和MAC地址的相互綁定，從一定程度上阻止了多臺(tái)計(jì)算機(jī)共用一個(gè)帳號(hào)的情況出現(xiàn)，但通過Wi-Fi方式共享網(wǎng)絡(luò)的情況，卻無法處理。

目前，有很多工具可以讓帶有無線網(wǎng)卡的計(jì)算機(jī)生成Wi-Fi熱點(diǎn)，并且這些工具都是工作在底層，使得很多認(rèn)證客戶端無法準(zhǔn)確判斷Wi-Fi共享網(wǎng)絡(luò)的行為。雖然銳捷認(rèn)證客戶端、星空極速等主流客戶端采取了動(dòng)態(tài)加密賬戶、隨機(jī)生成密碼等措施，仍然不能阻止基于Wi-Fi共享網(wǎng)絡(luò)的行為。

其實(shí)，最簡單的方法往往是最有效的方法。我們完全可以采取限制線程連接數(shù)的方法來最大限度的阻止基于Wi-Fi共享網(wǎng)絡(luò)的行為。當(dāng)然，采取這種方法最大的問題是如何設(shè)定連接數(shù)的上限。上限過高，則依然無法組織基于Wi-Fi共享網(wǎng)絡(luò)的行為，上限過低，則會(huì)影響用戶正常訪問網(wǎng)絡(luò)。

微軟曾經(jīng)對(duì)Windows XP操作系統(tǒng)進(jìn)行過連接數(shù)的限制，其限制值為128，而單線程連接的下載速度在未作任何限制的情況下，速度一般在50KB/S左右，則Windows XP操作系統(tǒng)支持的最大速度為6.25M/S（按1M=1024K計(jì)算）。目前校園網(wǎng)用戶一般為4M，按照滿負(fù)荷計(jì)算，最多需要82個(gè)線程連接數(shù)。很多成為Wi-Fi熱點(diǎn)的計(jì)算機(jī)的線程連接數(shù)往往超過82，因?yàn)槎嗯_(tái)計(jì)算機(jī)需要通過其接入網(wǎng)絡(luò)，同時(shí)使用多種應(yīng)用，線程連接數(shù)必然超過82。因此，線程連接數(shù)的上限設(shè)置成82為宜。

4 總結(jié)

本文對(duì)基于802.1x技術(shù)的數(shù)字校園認(rèn)證平臺(tái)進(jìn)行了優(yōu)化設(shè)計(jì)，該身份認(rèn)證技術(shù)廣泛應(yīng)用政府、學(xué)校、商業(yè)等多個(gè)領(lǐng)域以提高工作效率，使多個(gè)應(yīng)用系統(tǒng)在統(tǒng)一用戶信息基礎(chǔ)上進(jìn)行一次身份認(rèn)證，實(shí)現(xiàn)對(duì)資源的共享利用，使用戶能夠便捷地訪問和使用這些共享資源，減少了冗余數(shù)據(jù)，有效避免了各個(gè)應(yīng)用系統(tǒng)進(jìn)行獨(dú)立認(rèn)證所造成的重復(fù)開發(fā).

[1] 郭政慧.基于校園網(wǎng)的安全統(tǒng)一身份認(rèn)證研究[J] .光通信研究,2010,(05).

[2] 郭楚杰.數(shù)字化校園中統(tǒng)一身份認(rèn)證平臺(tái)的設(shè)計(jì)[J] .湖南工業(yè)大學(xué)學(xué)報(bào),2010,(03).

[3] 周志敏，陳忠文.校園網(wǎng)絡(luò)的安全問題解決策略研究[J] .浙江水利水電?？茖W(xué)校學(xué)報(bào),2009,(1).

[4] 鄧小莉,黃正榮.論校園網(wǎng)網(wǎng)絡(luò)安全的現(xiàn)狀及對(duì)策[J] .科技信息,2009,(04):503.

[5] 王靜.校園網(wǎng)中用戶統(tǒng)一身份認(rèn)證技術(shù)的研究[J] .赤峰學(xué)院學(xué)報(bào),2010,(2).

[6] 張應(yīng)祥.數(shù)字校園統(tǒng)一身份認(rèn)證系統(tǒng)及管理平臺(tái)設(shè)計(jì)[J] .情報(bào)雜志,2010,(3).

[7] 吳賢平.基于802_1x的校園網(wǎng)用戶身份認(rèn)證設(shè)計(jì)與實(shí)現(xiàn)[J] .制造業(yè)自動(dòng)化,2012,(15).