校園網(wǎng)認(rèn)證技術(shù)的應(yīng)用和發(fā)展

申健++朱婧

摘 要：校園網(wǎng)是高校信息化建設(shè)的基礎(chǔ)設(shè)施。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，其應(yīng)用服務(wù)已經(jīng)深入教學(xué)科研、行政管理及師生員工工作、學(xué)習(xí)和生活的各個(gè)方面。多種多樣的網(wǎng)絡(luò)服務(wù)及各式智能網(wǎng)絡(luò)終端的使用，對校園網(wǎng)不斷提出新的要求。介紹長安大學(xué)校園網(wǎng)自建立以來認(rèn)證系統(tǒng)的發(fā)展變化情況。在當(dāng)前有線網(wǎng)絡(luò)及無線網(wǎng)絡(luò)共存的形勢下，如何選擇符合校園網(wǎng)需求的認(rèn)證系統(tǒng)，以滿足用戶使用各種智能終端，安全、便捷的享受校園網(wǎng)服務(wù)，是高校校園網(wǎng)建設(shè)和管理必須面對和解決的重要問題。

關(guān)鍵詞：校園網(wǎng)；認(rèn)證技術(shù)；智能網(wǎng)絡(luò)終端；應(yīng)用和發(fā)展

中圖分類號：TP393.1 文獻(xiàn)標(biāo)識碼：A 文章編號：2095-1302（2015）05-00-03

0 引 言

互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展使得網(wǎng)絡(luò)服務(wù)已涵蓋到工作、生活的各個(gè)方面，多種多樣的網(wǎng)絡(luò)服務(wù)、無處不在的應(yīng)用和信息交流，使得國民經(jīng)濟(jì)的運(yùn)行、各行各業(yè)的生產(chǎn)和人們的生活越來越依賴于網(wǎng)絡(luò)這個(gè)交流平臺，校園網(wǎng)也同樣如此。校園網(wǎng)不僅是高校對外交流的重要平臺之一，也是展現(xiàn)學(xué)校風(fēng)貌和特點(diǎn)的窗口。隨著近年來國家對高校信息化建設(shè)投入的增加，中國高校校園網(wǎng)開始進(jìn)入高速發(fā)展階段，規(guī)模不斷擴(kuò)大，應(yīng)用領(lǐng)域日益增多，而眾多信息系統(tǒng)的建設(shè)為教學(xué)科研、實(shí)驗(yàn)實(shí)習(xí)、行政管理、娛樂生活提供了一個(gè)方便、快捷、穩(wěn)定、安全、高效的信息交流和資源共享平臺。但是網(wǎng)絡(luò)高速發(fā)展也帶來了很多問題，主要表現(xiàn)在網(wǎng)絡(luò)資源不能合理分配、非校園網(wǎng)用戶的接入影響了正常網(wǎng)絡(luò)秩序，以及校園網(wǎng)內(nèi)部信息的安全等。面對這些問題，各高校都采用了用戶認(rèn)證接入系統(tǒng)，可以在一定程度上確保網(wǎng)絡(luò)服務(wù)只能由校園網(wǎng)合法用戶使用，從而對網(wǎng)絡(luò)秩序的建立、資源的合理分配和網(wǎng)絡(luò)信息的安全起到了保障作用。本文以長安大學(xué)校園網(wǎng)認(rèn)證系統(tǒng)為例，介紹了在當(dāng)前互聯(lián)網(wǎng)飛速發(fā)展階段校園網(wǎng)認(rèn)證技術(shù)的應(yīng)用發(fā)展。

1 認(rèn)證系統(tǒng)的必要性

經(jīng)過多年發(fā)展，互聯(lián)網(wǎng)現(xiàn)在已經(jīng)成為人類生活不可缺少的交流平臺之一。據(jù)CNNIC（中國互聯(lián)網(wǎng)絡(luò)信息中心）中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)調(diào)查顯示：截至2013年12月，我國網(wǎng)民規(guī)模已達(dá)6.18億，全年共計(jì)新增網(wǎng)民5358萬人。而在高校校園內(nèi)，隨著信息化建設(shè)的不斷推進(jìn)，網(wǎng)絡(luò)應(yīng)用已經(jīng)遍及教學(xué)科研、行政管理、師生員工學(xué)習(xí)和生活的方方面面：從學(xué)生報(bào)到后的食宿安排、每學(xué)期開學(xué)的排課選課，到教師上課安排教室、聯(lián)系實(shí)驗(yàn)實(shí)習(xí)，教學(xué)名師網(wǎng)上授課、課件查詢與答疑，行政單位發(fā)送、接收通知公告和辦公文件、科研項(xiàng)目管理，到實(shí)驗(yàn)數(shù)據(jù)的處理和資源利用與支配，以及后勤保障等，基本涵蓋了學(xué)校正常運(yùn)行的所有機(jī)構(gòu)和行為。以長安大學(xué)為例，目前校內(nèi)擁有的網(wǎng)絡(luò)終端已超過2.4萬臺。龐大的網(wǎng)絡(luò)用戶數(shù)量和繁多的應(yīng)用需求，給校園網(wǎng)的有序、規(guī)范和安全發(fā)展帶來了一定的混亂和影響。為此，必須對網(wǎng)絡(luò)用戶進(jìn)行管理。

1.1 國家相關(guān)法規(guī)對網(wǎng)絡(luò)管理的要求

根據(jù)國家網(wǎng)絡(luò)安全管理的相關(guān)法規(guī)，互聯(lián)網(wǎng)使用單位必須落實(shí)上網(wǎng)人員身份認(rèn)證和日志留存等相關(guān)技術(shù)措施，并對上網(wǎng)內(nèi)容和網(wǎng)上行為提供審計(jì)功能。因此，上網(wǎng)人員身份認(rèn)證和日志留存是國家對互聯(lián)網(wǎng)安全管理的強(qiáng)制規(guī)定[1]。

1.2 有利于網(wǎng)絡(luò)地址的規(guī)劃使用

校園網(wǎng)為師生的教學(xué)科研、行政管理和學(xué)習(xí)生活提供網(wǎng)絡(luò)服務(wù)及互聯(lián)網(wǎng)資源，其中IP地址是連接網(wǎng)絡(luò)的基本需要，相當(dāng)于用戶的網(wǎng)絡(luò)身份號碼。但有的用戶基于各種原因，在沒有得到網(wǎng)絡(luò)管理人員許可的情況下，擅自更改自己的IP地址，造成其他用戶網(wǎng)絡(luò)中斷的現(xiàn)象時(shí)有發(fā)生。實(shí)行認(rèn)證制度，將每一位用戶的用戶名、口令和唯一的IP地址綁定，對于IP地址的規(guī)劃、利用和避免地址資源浪費(fèi)起到了重要作用。

1.3 有利于規(guī)范用戶上網(wǎng)行為，降低網(wǎng)絡(luò)資源浪費(fèi)

由于規(guī)模和用戶不斷增加，為了確保校園網(wǎng)能夠穩(wěn)定、正常運(yùn)行，學(xué)校每年都要投入大量經(jīng)費(fèi)以支付出口線路租用和網(wǎng)絡(luò)設(shè)備的升級維護(hù)。流量數(shù)據(jù)的分析表明，生活?yuàn)蕵贩矫娴木W(wǎng)絡(luò)應(yīng)用占據(jù)了較多帶寬資源，使教學(xué)科研和行政管理等受到了很大影響。本著更好的實(shí)現(xiàn)校園網(wǎng)規(guī)范化管理，合理利用現(xiàn)有網(wǎng)絡(luò)帶寬資源和降低運(yùn)行成本的目的，必須對出口總流量進(jìn)行控制，將網(wǎng)絡(luò)資源向教學(xué)、科研和行政管理傾斜，生活?yuàn)蕵返确矫嫦膸捹Y源的租賃費(fèi)用由用戶自行承擔(dān)，在不以盈利為目地的前提下對校園網(wǎng)用戶實(shí)行認(rèn)證計(jì)費(fèi)，是有效控制網(wǎng)絡(luò)資源分配的重要手段。

2 常見的認(rèn)證技術(shù)

目前，校園網(wǎng)認(rèn)證計(jì)費(fèi)系統(tǒng)主要有三種認(rèn)證技術(shù)，即PPPoE認(rèn)證、Web+ Portal（網(wǎng)頁）認(rèn)證和802.1x認(rèn)證，這三種認(rèn)證利用不同的運(yùn)行平臺和技術(shù)特點(diǎn)在應(yīng)用方面具有各自的優(yōu)勢[2]。

2.1 PPPoE認(rèn)證技術(shù)

PPPoE（Point-to-Point Protocol over Ethernet）即以太網(wǎng)點(diǎn)對點(diǎn)通信協(xié)議，通過PPPoE協(xié)議可以在以太網(wǎng)上實(shí)現(xiàn)點(diǎn)對點(diǎn)協(xié)議的主要功能，使以太網(wǎng)主機(jī)通過一個(gè)簡單的橋接設(shè)備連到一個(gè)遠(yuǎn)端的接入集中器上，而遠(yuǎn)端接入設(shè)備則能夠?qū)崿F(xiàn)對每個(gè)接入用戶的控制。

PPPoE的通信過程分為發(fā)現(xiàn)和會(huì)話兩個(gè)階段，當(dāng)主機(jī)準(zhǔn)備開始一個(gè)PPPoE會(huì)話時(shí)它首先要進(jìn)入發(fā)現(xiàn)階段，主機(jī)以廣播方式尋找可以連接的接入設(shè)備[3]，其步驟如下：

（1）主機(jī)廣播發(fā)起分組（PADI）向接入設(shè)備提出要求提供的服務(wù)；

（2）接入設(shè)備收到PADI后，發(fā)送PPPoE有效發(fā)現(xiàn)提供包（PADO）分組來響應(yīng)要求；

（3）主機(jī)在收到的PADO分組中選擇合適的一個(gè)，向所選擇的接入設(shè)備發(fā)送PPPoE有效發(fā)現(xiàn)請求分組（PADR）；

（4）接入設(shè)備收到PADR分組后準(zhǔn)備開始會(huì)話，并發(fā)送一個(gè)PPPoE有效發(fā)現(xiàn)會(huì)話確認(rèn)分組（PADS）。

在發(fā)現(xiàn)階段主機(jī)獲得接入設(shè)備以太網(wǎng)MAC地址并建立一個(gè)會(huì)話標(biāo)識號碼（PPPoE SESSION-ID），從會(huì)話開始主機(jī)發(fā)送PPP數(shù)據(jù)直到會(huì)話結(jié)束SEESION-ID不能改變。PPPoE有一個(gè)PADT分組可以在會(huì)話建立后的任何時(shí)間通過主機(jī)或接入設(shè)備發(fā)送，用來終止會(huì)話。PPPoE通信流程如圖1所示。

圖1 PPPoE通信流程

接入設(shè)備收到用戶的認(rèn)證信息后將其傳遞給指定的RADIUS（Remote Authehtication Dial In User Service，遠(yuǎn)程認(rèn)證接入用戶服務(wù)）服務(wù)器，RADIUS在接受請求進(jìn)行用戶身份驗(yàn)證的同時(shí)開始審計(jì)和記賬，并將處理結(jié)果響應(yīng)給接入設(shè)備。

2.2 Web+Portal認(rèn)證技術(shù)

Web+Portal是一種業(yè)務(wù)類型的認(rèn)證，這種認(rèn)證方式不需要特定的客戶端軟件來執(zhí)行。主機(jī)連接到網(wǎng)絡(luò)通過BRAS（Broadband Remote Access Server）寬帶遠(yuǎn)程接入服務(wù)器提供的DHCP服務(wù)獲得一個(gè)IP地址，登陸到指定的Portal Server認(rèn)證頁面進(jìn)行用戶名和密碼認(rèn)證，Portal Server得到用戶信息與后臺認(rèn)證服務(wù)器通信驗(yàn)證并完成認(rèn)證過程[4]。具體流程如圖2所示。

圖2 Web+Portal認(rèn)證流程

2.3 802.1x認(rèn)證技術(shù)

802.1x協(xié)議是一種使用客戶端和服務(wù)器進(jìn)行訪問控制的協(xié)議，它通過端口訪問實(shí)體PAE（port access entity），根據(jù)認(rèn)證服務(wù)器認(rèn)證過程的結(jié)果，控制主機(jī)與接入交換機(jī)鏈接端口的開啟和關(guān)閉來限制非注冊用戶訪問網(wǎng)絡(luò)[5]。支持802.1x的接入交換機(jī)擁有兩個(gè)邏輯端口，即受控端口和非受控端口，在認(rèn)證未通過前，802.1x允許非受控端口傳遞EAPoL（EAP OVER LAN），即基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議來確保認(rèn)證數(shù)據(jù)能夠通過，認(rèn)證通過后受控端口打開用來傳遞網(wǎng)絡(luò)服務(wù)和資源[6]。整個(gè)認(rèn)證體系由客戶端、認(rèn)證服務(wù)器和交換機(jī)三部分組成[7]。認(rèn)證的具體流程為：

（1）用戶輸入用戶名和口令通過客戶端發(fā)起連接請求，客戶端將請求認(rèn)證報(bào)文發(fā)送給交換機(jī)；

（2）交換機(jī)接收到請求報(bào)文后，會(huì)要求客戶端發(fā)送用戶身份信息過來；

（3）交換機(jī)將客戶端發(fā)送的用戶身份信息提交認(rèn)證服務(wù)器處理；

（4）認(rèn)證服務(wù)器比對確認(rèn)交換機(jī)發(fā)送的身份信息，如通過認(rèn)證則將確認(rèn)信息發(fā)送回交換機(jī)；

（5）交換機(jī)收到認(rèn)證通過的信息后將客戶端連接交換機(jī)的受控端口打開，并向客戶端發(fā)送認(rèn)證通過信息；

（6）客戶端收到認(rèn)證通過信息后即可獲取IP地址等網(wǎng)絡(luò)信息，開始正常網(wǎng)絡(luò)通信[8]。802.1x認(rèn)證體系結(jié)構(gòu)如圖3所示。

3 認(rèn)證技術(shù)在校園網(wǎng)中的應(yīng)用和發(fā)展

長安大學(xué)校園網(wǎng)建立至今已經(jīng)歷了20年的時(shí)間，從2003年實(shí)行認(rèn)證計(jì)費(fèi)開始認(rèn)證系統(tǒng)的選擇標(biāo)準(zhǔn)就一直伴隨著校園網(wǎng)的不斷發(fā)展和用戶需求的不斷提高而變化。

3.1 初期認(rèn)證系統(tǒng)

建網(wǎng)初期，使用基于802.1x的CAMS認(rèn)證系統(tǒng)，購置了能夠兼容認(rèn)證系統(tǒng)的接入層交換機(jī)，在交換機(jī)上開啟802.1x協(xié)議對下連用戶的交換機(jī)端口實(shí)現(xiàn)控制管理，用戶通過CAMS專用認(rèn)證客戶端進(jìn)行認(rèn)證。每位用戶都能得到一個(gè)靜態(tài)IP地址，認(rèn)證系統(tǒng)綁定用戶名、口令、IP地址和網(wǎng)卡的MAC地址。這一措施實(shí)現(xiàn)了網(wǎng)絡(luò)賬號的實(shí)名制管理，規(guī)范了上網(wǎng)行為，為校園網(wǎng)發(fā)展初期階段整個(gè)網(wǎng)絡(luò)能夠安全、穩(wěn)定的運(yùn)行提供了保障。

圖3 802.1x認(rèn)證體系結(jié)構(gòu)

3.2 發(fā)展階段認(rèn)證系統(tǒng)

隨著互聯(lián)網(wǎng)的不斷發(fā)展和各種網(wǎng)絡(luò)應(yīng)用服務(wù)的日益豐富，學(xué)校的教學(xué)科研、行政管理、學(xué)習(xí)交流、生活?yuàn)蕵返雀鱾€(gè)方面都在迅速向網(wǎng)絡(luò)化轉(zhuǎn)變，統(tǒng)一的教學(xué)、科研和辦公系統(tǒng)讓工作流程變得更加規(guī)范、合理和透明，各種網(wǎng)絡(luò)服務(wù)也讓生活?yuàn)蕵犯佣嗖?。在此快速發(fā)展階段校園網(wǎng)規(guī)模迅速擴(kuò)大、用戶數(shù)量急劇增長，對網(wǎng)絡(luò)服務(wù)的要求也不斷提升，用戶希望網(wǎng)絡(luò)的使用不再局限于電腦終端和有線網(wǎng)絡(luò)，筆記本電腦、平板電腦、手機(jī)等便攜式智能終端也能通過無線方式使用校園網(wǎng)。

面對用戶這種新的需求，校園網(wǎng)技術(shù)人員對PPPoE、Web+Portal和802.1x三種常見認(rèn)證方式進(jìn)行了測試和對比，得出如下結(jié)果：

（1）三種認(rèn)證方式都是通過賬號和密碼來進(jìn)行用戶身份確認(rèn)。

（2）認(rèn)證客戶端的差異：以原有認(rèn)證系統(tǒng)為例，基于802.1x技術(shù)的CAMS專用客戶端軟件，由于存在不同操作系統(tǒng)之間的差異，除windows系統(tǒng)之外的其他操作系統(tǒng)不能支持普通的CAMS客戶端，必需由認(rèn)證系統(tǒng)廠家重新進(jìn)行研發(fā)；PPPoE認(rèn)證方式可以由各個(gè)操作系統(tǒng)自帶的認(rèn)證客戶端進(jìn)行認(rèn)證；而Web+Portal認(rèn)證方式則不需要客戶端軟件。

（3）在實(shí)際使用中， 802.1x認(rèn)證系統(tǒng)必須使用同一個(gè)生產(chǎn)商的接入層交換機(jī)才能達(dá)到校園網(wǎng)的安全認(rèn)證要求，而PPPoE和Web+Portal兩種認(rèn)證方式則不需要。

（4）PPPoE與原有窄帶網(wǎng)絡(luò)用戶接入認(rèn)證體系一致，使用操作系統(tǒng)自帶客戶端軟件，這對于用戶來說比較容易接受和認(rèn)可。

由此，確定了校園網(wǎng)有線網(wǎng)絡(luò)認(rèn)證從802.1x專用客戶端方式更換為PPPoE認(rèn)證方式。兩種認(rèn)證方式雖然都是用客戶端，但PPPoE利用的是操作系統(tǒng)自帶的客戶端，且大多數(shù)路由器都支持這一認(rèn)證方式，用戶在房間里即可以通過帶有無線功能的路由器發(fā)起認(rèn)證。而手機(jī)、平板電腦和筆記本等各種便攜式智能終端，則可以通過路由器的無線連接方式接入校園網(wǎng)。無線網(wǎng)絡(luò)選擇的認(rèn)證方式是Web+Portal認(rèn)證，在校園的公共場所如圖書館、體育館、操場、會(huì)議室、道路和露天休息區(qū)域等地方，已經(jīng)實(shí)現(xiàn)無線網(wǎng)絡(luò)信號的全覆蓋，各類智能終端都可以通過連接校園網(wǎng)無線信號發(fā)起申請，登陸到指定的Portal Server認(rèn)證頁面進(jìn)行用戶名和密碼認(rèn)證，當(dāng)認(rèn)證通過后便可以進(jìn)入校園網(wǎng)服務(wù)體系。

3.3 認(rèn)證系統(tǒng)現(xiàn)狀

目前，認(rèn)證系統(tǒng)更換后已運(yùn)行近一年時(shí)間，通過對這段時(shí)間校園網(wǎng)運(yùn)行情況的觀察和用戶使用新認(rèn)證方式后反饋的信息分析表明，這兩種認(rèn)證方式配合在一起大大提高了網(wǎng)絡(luò)使用的便捷度，滿足了用戶隨時(shí)隨地享受校園網(wǎng)服務(wù)的需求，擴(kuò)大了服務(wù)范圍，提高了服務(wù)質(zhì)量。

4 結(jié) 語

高校校園網(wǎng)是一個(gè)結(jié)構(gòu)復(fù)雜、地理區(qū)域分散、設(shè)備品牌不統(tǒng)一和網(wǎng)絡(luò)需求多樣的環(huán)境，且用戶規(guī)模較大對網(wǎng)絡(luò)的要求也較高，而在網(wǎng)絡(luò)技術(shù)高速發(fā)展的今天，用戶使用網(wǎng)絡(luò)的智能終端多種多樣，如何滿足各種類型智能終端接入校園網(wǎng)的需求，并能夠保持穩(wěn)定連接和優(yōu)質(zhì)的網(wǎng)絡(luò)速度是每一所高校校園網(wǎng)建設(shè)和管理部門必須不斷解決的問題。本文所介紹的長安大學(xué)校園網(wǎng)認(rèn)證計(jì)費(fèi)系統(tǒng)，從最初802.1x認(rèn)證技術(shù)到現(xiàn)在的PPPoE和Web+Portal兩種認(rèn)證方式并存的發(fā)展變化情況，都是這種問題的一種解決思路。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，更加安全、高效的認(rèn)證技術(shù)會(huì)不斷出現(xiàn)，既能夠適應(yīng)有線和無線網(wǎng)絡(luò)，又能滿足各種智能終端上網(wǎng)需求的認(rèn)證方式也會(huì)出現(xiàn)，如何選擇能夠適應(yīng)校園網(wǎng)發(fā)展的認(rèn)證方式，是網(wǎng)絡(luò)建設(shè)和管理人員需要長期面對的問題。

參考文獻(xiàn)

[1] 郭欣， 戴冶. 淺談我校校園網(wǎng)認(rèn)證計(jì)費(fèi)體系的構(gòu)建[J]. 數(shù)理醫(yī)藥學(xué)雜志，2010，23（6）：714-716.

[2] 石幫榮. 基于網(wǎng)橋和www方式的校園網(wǎng)認(rèn)證管理系統(tǒng)的研究與開發(fā)[J].桂林師范高等?？茖W(xué)校學(xué)報(bào)（綜合版），2006，20（1）：127-131.

[3] 劉志雄.校園網(wǎng)PPPOE接入認(rèn)證系統(tǒng)的研究與實(shí)現(xiàn)[J].信息安全與技術(shù)，2013，4（8）：36-39.

[4] 杜民. 802.1X和web/portal認(rèn)證協(xié)同打造校園網(wǎng)認(rèn)證系統(tǒng)[J].山東商業(yè)職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2010，10（6）：104-107.

[5] 柏軍洋，杜慶東.校園網(wǎng)認(rèn)證系統(tǒng)的安全分析與研究[J].沈陽師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2013，31（2）：263-267.

[6] 黃慧武，趙詠虹，陳世坤.基于IEEE802.1x技術(shù)的校園網(wǎng)認(rèn)證計(jì)費(fèi)的實(shí)現(xiàn)[J].中國科技信息，2005（2）：40-41.

[7]吳賢平. 基于802.1x的校園網(wǎng)用戶身份認(rèn)證設(shè)計(jì)與實(shí)現(xiàn)[J].制造業(yè)自動(dòng)化，2012，34（5）：47-49.

[8] 彭偉. 使用802.1x實(shí)現(xiàn)校園網(wǎng)認(rèn)證[J].計(jì)算機(jī)應(yīng)用，2003，23（3）：85-87.