基于802.1x協(xié)議的校園網(wǎng)認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

趙良濤

（菏澤學(xué)院 計(jì)算機(jī)與信息工程系，山東 菏澤 274015）

基于802.1x協(xié)議的校園網(wǎng)認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

趙良濤

（菏澤學(xué)院 計(jì)算機(jī)與信息工程系，山東 菏澤 274015）

目前，網(wǎng)絡(luò)安全問(wèn)題成為校園網(wǎng)絡(luò)建設(shè)和管理中亟待解決的突出問(wèn)題.論文在分析了802.1x協(xié)議的體系結(jié)構(gòu)與認(rèn)證機(jī)制的基礎(chǔ)上，針對(duì)我校網(wǎng)絡(luò)建設(shè)與管理的實(shí)際，提出并設(shè)計(jì)了一種基于802.1x協(xié)議的校園網(wǎng)認(rèn)證系統(tǒng)，并闡述了其實(shí)現(xiàn)方法.

認(rèn)證；802.1x協(xié)議；EAP協(xié)議；EAPOL協(xié)議；RADIUS協(xié)議

1 引言

寬帶網(wǎng)絡(luò)的飛速發(fā)展，使校園網(wǎng)的規(guī)模不斷擴(kuò)大，幾乎覆蓋了學(xué)校的全部區(qū)域.但是，規(guī)模擴(kuò)大的同時(shí)，在網(wǎng)絡(luò)建設(shè)和管理中也不斷出現(xiàn)新的問(wèn)題，其中用戶身份的認(rèn)證是目前亟待解決的突出問(wèn)題.目前國(guó)內(nèi)流行的認(rèn)證方式主要有三種：PPPOE認(rèn)證、WEB/PORTAL認(rèn)證、802.1x認(rèn)證.實(shí)踐證明，相對(duì)于PPPOE、WEB/PORTAL認(rèn)證，802.1x認(rèn)證具有簡(jiǎn)潔高效、容易實(shí)現(xiàn)、安全可靠、易于運(yùn)營(yíng)的特點(diǎn).

280 2.1x協(xié)議的體系結(jié)構(gòu)與認(rèn)證機(jī)制

IEEE802.1x稱為基于端口的訪問(wèn)控制協(xié)議，它能夠在利用IEEE 802 LAN的優(yōu)勢(shì)基礎(chǔ)上提供一種對(duì)連接到局域網(wǎng)設(shè)備或用戶進(jìn)行認(rèn)證和授權(quán)的手段.通過(guò)這種方式的認(rèn)證，能夠在LAN這種多點(diǎn)訪問(wèn)環(huán)境中提供一種點(diǎn)對(duì)點(diǎn)的識(shí)別用戶的方式.

2.180 2.1x協(xié)議的體系結(jié)構(gòu)

802.1 x協(xié)議的體系結(jié)構(gòu)包括三個(gè)重要的部分：認(rèn)證客戶端、認(rèn)證系統(tǒng)、認(rèn)證服務(wù)器.

客戶端系統(tǒng) 一般為一個(gè)用戶終端系統(tǒng)，該終端系統(tǒng)通常要安裝一個(gè)客戶端軟件，用戶通過(guò)啟動(dòng)這個(gè)客戶端軟件發(fā)起802.1x協(xié)議的認(rèn)證過(guò)程.客戶端系統(tǒng)需支持EAPOL協(xié)議.

認(rèn)證系統(tǒng) 通常為支持802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備.該設(shè)備對(duì)應(yīng)于不同用戶的端口有兩個(gè)邏輯端口：受控端口和非受控端口.非受控端口始終處于雙向連通狀態(tài)，主要用來(lái)傳遞EAPOL協(xié)議幀；受控端口只有在認(rèn)證通過(guò)的狀態(tài)下才打開(kāi)，用于傳遞網(wǎng)絡(luò)資源和服務(wù)，如果用戶未通過(guò)認(rèn)證，則受控端口處于未認(rèn)證狀態(tài)，用戶無(wú)法訪問(wèn)認(rèn)證系統(tǒng)提供的服務(wù).

認(rèn)證服務(wù)器 通常為RADIUS服務(wù)器，該服務(wù)器可以存儲(chǔ)有關(guān)用戶的信息，比如用戶所屬的VLAN、CAR參數(shù)、優(yōu)先級(jí)、用戶的訪問(wèn)控制列表等等.當(dāng)用戶通過(guò)認(rèn)證后，認(rèn)證服務(wù)器會(huì)把用戶的相關(guān)信息傳遞給認(rèn)證系統(tǒng)，由認(rèn)證系統(tǒng)構(gòu)建動(dòng)態(tài)的訪問(wèn)控制列表，用戶的后續(xù)流量就將接受上述參數(shù)的監(jiān)管.

2.280 2.1x協(xié)議的認(rèn)證機(jī)制

基于802.1x的認(rèn)證系統(tǒng)在客戶端和認(rèn)證系統(tǒng)之間使用EAPOL格式封裝EAP協(xié)議傳送認(rèn)證信息，認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間通過(guò)RADIUS協(xié)議傳送認(rèn)證信息.下面以EAP-MD5為例，描述802.1x的認(rèn)證流程.基于EAP-MD5的802.1x認(rèn)證流程如圖1.

（1）客戶端向認(rèn)證系統(tǒng)發(fā)送一個(gè)EAPOL-Start報(bào)文，開(kāi)始802.1x認(rèn)證接入；

（2）認(rèn)證系統(tǒng)向客戶端發(fā)送EAP-Request/I-dentity報(bào)文，要求客戶端將用戶名送上來(lái)；

（3）客戶端回應(yīng)一個(gè)EAP-Response/Identity給認(rèn)證系統(tǒng)的請(qǐng)求，其中包括用戶名；

（4）認(rèn)證系統(tǒng)將EAP-Response/Identity報(bào)文封裝到RADIUS Access-Request報(bào)文中，發(fā)送給認(rèn)證服務(wù)器；

（5）認(rèn)證服務(wù)器產(chǎn)生一個(gè)Challenge，通過(guò)認(rèn)證系統(tǒng)將RADIUS Access-Challenge報(bào)文發(fā)送給客戶端，其中包含有EAP-Request/MD5-Challenge；

（6）認(rèn)證系統(tǒng)通過(guò)EAP-Request/MD5-Challenge發(fā)送給客戶端，要求客戶端進(jìn)行認(rèn)證；

（7）客戶端收到EAP-Request/MD5-Challenge報(bào)文后，將密碼和Challenge做MD5算法后的Challenged-Password，在EAP-Response/MD5-Challenge回應(yīng)給認(rèn)證系統(tǒng)；

（8）認(rèn)證系統(tǒng)將Challenge，Challenged Password和用戶名一起送到RADIUS服務(wù)器，由RADIUS服務(wù)器進(jìn)行認(rèn)證：

（9）RADIUS服務(wù)器根據(jù)用戶信息，做MD5算法，判斷用戶是否合法，然后回應(yīng)認(rèn)證成功/失敗報(bào)文到認(rèn)證系統(tǒng).如果成功，攜帶協(xié)商參數(shù)，以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán).如果認(rèn)證失敗，則流程到此結(jié)束；

（10）如果認(rèn)證通過(guò)，認(rèn)證系統(tǒng)將端口設(shè)為授權(quán)狀態(tài)（Authorized Port），否則，保持認(rèn)證系統(tǒng)端口的非授權(quán)狀態(tài)（Unauthorized Port）；

（11）當(dāng)用戶離線或斷開(kāi)網(wǎng)絡(luò)，客戶端發(fā)送EAPLogoff給認(rèn)證系統(tǒng)，認(rèn)證系統(tǒng)將端口設(shè)為非授權(quán)狀態(tài)，從而斷開(kāi)網(wǎng)絡(luò).

3 我校實(shí)施基于802.1x協(xié)議的認(rèn)證系統(tǒng)的需求分析

3.1 校園網(wǎng)存在的問(wèn)題

校園網(wǎng)是學(xué)校和外界交流的重要平臺(tái)，也是展現(xiàn)學(xué)校面貌的重要舞臺(tái).作為服務(wù)于全校教育、科研和行政管理的計(jì)算機(jī)信息網(wǎng)絡(luò)，校園網(wǎng)實(shí)現(xiàn)了計(jì)算機(jī)互聯(lián)、信息資源的共享.然而，隨著學(xué)校校園網(wǎng)的建設(shè)與發(fā)展，網(wǎng)絡(luò)中不斷出現(xiàn)新的問(wèn)題.如：帶寬管理的需求問(wèn)題、安全管理的需求問(wèn)題、計(jì)費(fèi)和運(yùn)營(yíng)的需求問(wèn)題、網(wǎng)絡(luò)行為管理和訪問(wèn)日志的需求問(wèn)題等.

3.2 認(rèn)證系統(tǒng)需求分析

針對(duì)我校校園網(wǎng)建設(shè)與管理的實(shí)際，設(shè)計(jì)的認(rèn)證系統(tǒng)至少應(yīng)實(shí)現(xiàn)以下功能：

系統(tǒng)應(yīng)具有強(qiáng)大的處理能力和良好的安全性、可靠性、可擴(kuò)展性，支持目前常用的成熟技術(shù).

接入層網(wǎng)絡(luò)設(shè)備支持基于MAC地址和基于端口的802.1x認(rèn)證功能；同時(shí)，支持遠(yuǎn)程Telnet管理及遠(yuǎn)程開(kāi)關(guān)交換機(jī)端口功能；此外還要求適應(yīng)大量用戶并發(fā)認(rèn)證及復(fù)雜的工作環(huán)境等.

能夠?qū)崿F(xiàn)對(duì)用戶名、IP地址、MAC地址、交換機(jī)端口、交換機(jī)IP的同時(shí)綁定或任意組合綁定.

能解決用戶私自架設(shè)代理服務(wù)器的現(xiàn)象.

網(wǎng)絡(luò)必須具備高可靠、易管理等特征.

4 基于802.1x協(xié)議的認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

4.1 基于802.1x認(rèn)證系統(tǒng)的設(shè)計(jì)

認(rèn)證系統(tǒng)采用基于802.1x協(xié)議的認(rèn)證模型，采用模塊化、分布式設(shè)計(jì)思想，采用萬(wàn)兆核心、萬(wàn)兆/千兆骨干、千兆/百兆到桌面的設(shè)計(jì)理念，在核心層、匯聚層、接入層分別采用了銳捷STAR-S6808、STAR-S3550及STAR-S2126等系列產(chǎn)品，從網(wǎng)絡(luò)的安全性、穩(wěn)定性、擴(kuò)展性以及可管理性上都有很大的提升，有效地保證了網(wǎng)絡(luò)的高速運(yùn)轉(zhuǎn).認(rèn)證系統(tǒng)結(jié)構(gòu)圖如圖2所示.

圖2 認(rèn)證計(jì)費(fèi)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)

在網(wǎng)絡(luò)結(jié)構(gòu)中，骨干設(shè)備采用雙核心雙鏈路，相互之間互為容錯(cuò)備份，并在核心交換機(jī)中采用關(guān)鍵模塊冗余設(shè)計(jì)，核心和匯聚之間采用雙鏈路連接，有效解決了故障時(shí)及時(shí)切換、負(fù)載均衡、快速收斂等問(wèn)題，從而保證網(wǎng)絡(luò)系統(tǒng)運(yùn)行的高可靠性和穩(wěn)定性.

4.2 基于802.1x認(rèn)證系統(tǒng)的實(shí)現(xiàn)

4.2.1 服務(wù)器端配置

服務(wù)器系統(tǒng)采用中文Windows Server 2003操作系統(tǒng)，為保證數(shù)據(jù)存儲(chǔ)的安全性和可靠性，并且能做到備份與恢復(fù)，認(rèn)證系統(tǒng)采用以下措施予以保障.

采用主備兩臺(tái)認(rèn)證服務(wù)器，做到負(fù)載分擔(dān)和提高可用性.

數(shù)據(jù)存儲(chǔ)使用磁盤陣列，實(shí)現(xiàn)冗余.

設(shè)置一應(yīng)用服務(wù)器，兼做管理服務(wù)器.

備份數(shù)據(jù)，可以每天備份一次，當(dāng)系統(tǒng)中的數(shù)據(jù)丟失后，可以恢復(fù)前一天數(shù)據(jù).

4.2.2 數(shù)據(jù)庫(kù)配置

本認(rèn)證系統(tǒng)采用Microsoft SQL Server 2000數(shù)據(jù)庫(kù)系統(tǒng)對(duì)數(shù)據(jù)處理.數(shù)據(jù)庫(kù)是認(rèn)證系統(tǒng)的核心，控制著與RADIUS Server以及后臺(tái)管理的接口.為保證數(shù)據(jù)庫(kù)數(shù)據(jù)的安全性和可靠性，采用數(shù)據(jù)庫(kù)雙機(jī)熱備，主備數(shù)據(jù)庫(kù)服務(wù)器同時(shí)運(yùn)行，共享同一個(gè)磁盤陣列，當(dāng)一臺(tái)數(shù)據(jù)庫(kù)服務(wù)器崩潰時(shí)，另一臺(tái)數(shù)據(jù)庫(kù)可以在很短的時(shí)間內(nèi)接管系統(tǒng)，不中斷服務(wù).

4.2.3 RADIUS服務(wù)器配置

對(duì)于Windows Server 2003操作系統(tǒng)，Internet驗(yàn)證服務(wù)IAS是系統(tǒng)自帶的一種遠(yuǎn)程身份驗(yàn)證撥號(hào)用戶服務(wù)（RADIUS）服務(wù)器.它提供RADIUS客戶端（訪問(wèn)服務(wù)器）和RADIUS服務(wù)器（該服務(wù)器為連接嘗試執(zhí)行用戶身份驗(yàn)證、授權(quán)和記帳）之間的RADIUS消息的路由，支持各種網(wǎng)絡(luò)訪問(wèn)服務(wù)器，實(shí)現(xiàn)了用戶身份驗(yàn)證、授權(quán)以及賬戶的集中管理等功能.

配置使用IAS服務(wù)的過(guò)程非常簡(jiǎn)單，配置步驟如下：

(1)安裝IAS

(2)配置IAS服務(wù)器識(shí)別RADIUS客戶端

(3)在IAS服務(wù)器上創(chuàng)建授權(quán)客戶的遠(yuǎn)程訪問(wèn)策略

(4)配置RADIUS客戶端使用此IAS服務(wù)器

4.2.4 接入控制交換機(jī)配置

接入設(shè)備NAS（網(wǎng)絡(luò)接入服務(wù)器）的配置主要包括兩個(gè)方面：一是針對(duì)802.lx協(xié)議的配置，一是針對(duì)RADIUS協(xié)議的配置.因?yàn)檫@兩種協(xié)議都是國(guó)際標(biāo)準(zhǔn)，所以只要是具有這兩種標(biāo)準(zhǔn)的技術(shù)的交換機(jī)，那么它們的配置基本上是一樣的.下面以銳捷RG-3550交換機(jī)為例進(jìn)行AAA配置.

S3550-48#configure terminal

S3550-48(config)#interface vlan 1

S3550-48(config-if)#ip 192.168.10.2255.255. 255.0

S3550-48(config-if)#radius-server host 192.168.10.11//設(shè)置主Radius server IP地址//

S3550-48(config-if)#radius-server host 192.168.10.12 backup//設(shè)置備Radius server IP地址//

S3550-48(config-if)#radius-server auth-port 1812//設(shè)置認(rèn)證UDP端口為1812//

S3550-48(config-if)#radius-server key test//設(shè)置共享口令test//

S3550-48(config-if)#aaa authentication dot1x default group radius//配置到RADIUS進(jìn)行AAA認(rèn)證//

S3550-48(config-if)#dot1x interface ethernet 0/2//開(kāi)啟0/2端口的802.1x特性//

S3550-48(config-if)#aaa authentication dot1x //打開(kāi)802.1x認(rèn)證功能//

S3550-48(config-if)#dot1x port-control auto S3550-48(config-if)#dot1x port-control-mode mac-based//設(shè)置基于MAC的802.1x認(rèn)證方式//

S3550-48(config-if)#dot1x timeout quiet-period 10//設(shè)置再次認(rèn)證時(shí)間，避免交換機(jī)收到惡意攻擊//

S3550-48(config-if)#dot1x timeout tx-period 3//設(shè)置報(bào)文重傳時(shí)間間隔，默認(rèn)30秒//

S3550-48(config-if)#dot1x timeout supp-timeout 3//設(shè)置與客戶端認(rèn)證交互的超時(shí)時(shí)間，默認(rèn)30秒//

S3550-48(config-if)#dot1x max-req 3//設(shè)置報(bào)文重傳次數(shù)，默認(rèn)2次//

S3550-48(config-if)#dot1x re-authentication //設(shè)置打開(kāi)重認(rèn)證功能//

S3550-48(config-if)#dot1x timeout re-authperiod 1000//設(shè)置重認(rèn)證時(shí)間間隔即認(rèn)證周期，默認(rèn)3600秒//

S3550-48(config-if)#dot1x reauth-max 3//設(shè)置重認(rèn)證最大次數(shù)，默認(rèn)3次//

S3550-48(config-if)#end

5 結(jié)束語(yǔ)

本文所設(shè)計(jì)的認(rèn)證系統(tǒng)是基于802.1x協(xié)議的認(rèn)證系統(tǒng)，是目前多種認(rèn)證系統(tǒng)中較為流行認(rèn)證系統(tǒng)，具有良好的理論前提和可實(shí)施性，可以有效地解決目前網(wǎng)絡(luò)中存在的IP地址盜用和私架代理服務(wù)器的問(wèn)題.但802.1x協(xié)議本身存在的缺陷導(dǎo)致了系統(tǒng)存在著一些不完善的地方，這將是下一步工作的重點(diǎn).

〔1〕范曉寧,劉偉科,林澤東.基于802.1x的校園網(wǎng)認(rèn)證計(jì)費(fèi)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)安全,2007 (11)：5-7.

〔2〕馮雯,鄭炳倫,吳江.基于802.1x的校園網(wǎng)身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)施[J].四川大學(xué)學(xué)報(bào)(自然科學(xué)版),2006(6).

〔3〕李興國(guó).基于802.1x的寬帶網(wǎng)認(rèn)證計(jì)費(fèi)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn) [D],四川成都:成都電子科技大學(xué), 2004:13

〔4〕彭偉.使用802.1x實(shí)現(xiàn)校園網(wǎng)認(rèn)證[J],計(jì)算機(jī)應(yīng)用,2003,23(3):85-87.

〔5〕胡琴芬.IEEE 802.1x客戶端在校園網(wǎng)認(rèn)證計(jì)費(fèi)系統(tǒng)中的研究與實(shí)現(xiàn) [D].北京郵電大學(xué),2005: 13-15.

〔6〕何江.基于802.1x的校園網(wǎng)認(rèn)證系統(tǒng)研究與實(shí)現(xiàn)[D].山西太原:太原理工大學(xué),2003:13-17.

TP393.18

A

1673-260X（2010）08-0034-03