基于EAD的校園網(wǎng)準(zhǔn)入/準(zhǔn)出統(tǒng)一認(rèn)證方案的研究

摘要：現(xiàn)在的校園網(wǎng)中，隨著網(wǎng)絡(luò)應(yīng)用的增多，網(wǎng)絡(luò)安全問題層出不窮，而網(wǎng)絡(luò)安全問題不僅僅來源于校園網(wǎng)外部，因此絕大多數(shù)校園網(wǎng)部署了準(zhǔn)入和準(zhǔn)出系統(tǒng)，而將兩套系統(tǒng)如何在認(rèn)證上做到統(tǒng)一，是管理員所關(guān)心的問題。本文將給出一種基于EAD的校園網(wǎng)準(zhǔn)入/準(zhǔn)出統(tǒng)一認(rèn)證方案，據(jù)此可實現(xiàn)校園網(wǎng)準(zhǔn)入和準(zhǔn)出系統(tǒng)的統(tǒng)一認(rèn)證。

關(guān)鍵詞：校園網(wǎng)；準(zhǔn)入/準(zhǔn)出認(rèn)證；統(tǒng)一認(rèn)證

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9599 （2012） 17-0000-02

1 引言

現(xiàn)在的校園網(wǎng)中，隨著網(wǎng)絡(luò)應(yīng)用的增多，網(wǎng)絡(luò)安全問題層出不窮，雖然部署了防火墻、入侵檢測系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)和漏洞掃描系統(tǒng)，仍然難以抵擋越來越多的網(wǎng)絡(luò)攻擊，網(wǎng)絡(luò)應(yīng)用的可持續(xù)性根本無法保證，在分析眾多的網(wǎng)絡(luò)攻擊事件后，發(fā)現(xiàn)絕大多數(shù)網(wǎng)絡(luò)攻擊并不是用戶有意發(fā)出的，而是在不知情的情況下被種植木馬或病毒造成的，雖然可以安裝網(wǎng)絡(luò)版殺毒軟件進(jìn)行查殺，但是現(xiàn)實情況是部分網(wǎng)絡(luò)用戶不能夠及時的更新系統(tǒng)補丁和升級病毒庫，導(dǎo)致每一個網(wǎng)絡(luò)用戶均有可能成為網(wǎng)絡(luò)攻擊的受害者，甚至是網(wǎng)絡(luò)攻擊發(fā)起者，因此只有從終端入手才可以解決內(nèi)部網(wǎng)絡(luò)安全性問題，網(wǎng)絡(luò)準(zhǔn)入的核心問題就是從網(wǎng)絡(luò)接入客戶端的安全控制開始，使用認(rèn)證服務(wù)器，安全策略服務(wù)器和網(wǎng)絡(luò)設(shè)備，以及第三方的軟件系統(tǒng)，綜合完成接入客戶端的強(qiáng)制認(rèn)證和安全性檢查，以保證網(wǎng)絡(luò)安全。

因此在2003年思科公司首先提出網(wǎng)絡(luò)準(zhǔn)入控制（NAC-Network Admission Control）的概念，并聯(lián)合其他廠商開發(fā)并推廣NAC。隨后微軟也提出了相應(yīng)的網(wǎng)絡(luò)準(zhǔn)許接入保護(hù)方案（NAP-Network Access Protection），在國內(nèi)華三也推出了“終端準(zhǔn)入控制（EAD）”系統(tǒng)。

現(xiàn)在國內(nèi)外安全準(zhǔn)入應(yīng)用分為兩大陣營，一部分是基于網(wǎng)絡(luò)硬件設(shè)備的，主要代表有H3C的EAD和CISCO的NAC；另一部份是基于軟件的，主要代表有Symantec的SEP和微軟的NAP。

無論是基于軟件還是硬件，最終如果想控制到端口，都需要應(yīng)用802.1X技術(shù)。據(jù)統(tǒng)計，目前國內(nèi)高校中超過700所高校采用了802.1X技術(shù)進(jìn)行準(zhǔn)入認(rèn)證。很大程度上是緣于這種技術(shù)可以很好地做到“入網(wǎng)即認(rèn)證”，在用戶接入的入口，進(jìn)行精細(xì)的控制。

準(zhǔn)入/準(zhǔn)出統(tǒng)一認(rèn)證系統(tǒng)的研究，可實現(xiàn)用戶在訪問網(wǎng)絡(luò)時通過用戶名和密碼進(jìn)行網(wǎng)絡(luò)準(zhǔn)入認(rèn)證后，在需要進(jìn)行準(zhǔn)出認(rèn)證訪問互聯(lián)網(wǎng)資源時，系統(tǒng)自動進(jìn)行用戶認(rèn)證，無需用戶再次輸入用戶名和密碼，保證了用戶在訪問網(wǎng)絡(luò)時的連續(xù)性，增強(qiáng)了準(zhǔn)入/準(zhǔn)出認(rèn)證系統(tǒng)的用戶體驗。另外由于準(zhǔn)入和準(zhǔn)出的用戶名統(tǒng)一，管理員在建立、修改、刪除網(wǎng)絡(luò)訪問策略時，做到各個用戶在準(zhǔn)入/準(zhǔn)出控制策略上的一致。

2 設(shè)計背景

校園網(wǎng)準(zhǔn)入認(rèn)證采用H3C的EAD認(rèn)證，其基于802.1X認(rèn)證，用戶在訪問校園網(wǎng)是需要進(jìn)行終端認(rèn)證，認(rèn)證成功后才可以訪問校園網(wǎng)。802.1X認(rèn)證策略建立在接入交換機(jī)中。當(dāng)用戶需要訪問互聯(lián)網(wǎng)時，用戶需要通過計費網(wǎng)關(guān)進(jìn)行計費認(rèn)證，計費認(rèn)證是基于WEB的網(wǎng)關(guān)認(rèn)證，認(rèn)證策略建立在學(xué)院網(wǎng)絡(luò)出口服務(wù)器中。

兩次認(rèn)證的網(wǎng)絡(luò)拓?fù)鋱D如下：

客戶端訪問校園網(wǎng)時首先發(fā)起準(zhǔn)入系統(tǒng)認(rèn)證，認(rèn)證通過后準(zhǔn)入系統(tǒng)返回數(shù)據(jù)給客戶端，此時用戶可以訪問校園網(wǎng)內(nèi)資源；當(dāng)客戶端需訪問互聯(lián)網(wǎng)時，客戶端發(fā)起準(zhǔn)出系統(tǒng)認(rèn)證，認(rèn)證通過后準(zhǔn)出系統(tǒng)返回數(shù)據(jù)給客戶端，此時用戶可訪問互聯(lián)網(wǎng)。

兩次認(rèn)證的工作流程如圖：

3 設(shè)計方案探討

當(dāng)進(jìn)行軟件開發(fā)時，若想將兩套應(yīng)用系統(tǒng)進(jìn)行對接，最常用的方法是開發(fā)第三方中間件，兩套系統(tǒng)之間的數(shù)據(jù)通過中間件進(jìn)行傳遞，因此需將兩次認(rèn)證的工作流程進(jìn)行改造以保證客戶端只進(jìn)行一次賬號認(rèn)證，即可完成準(zhǔn)入和準(zhǔn)出系統(tǒng)的認(rèn)證。

根據(jù)系統(tǒng)認(rèn)證流程分析，客戶端發(fā)起準(zhǔn)入系統(tǒng)認(rèn)證無法改變，關(guān)鍵在于準(zhǔn)出系統(tǒng)如何獲得客戶端的準(zhǔn)入系統(tǒng)賬號。準(zhǔn)出系統(tǒng)獲取客戶端的準(zhǔn)入賬號方式有兩種：一種是準(zhǔn)入系統(tǒng)推送賬號，另外一種是準(zhǔn)出系統(tǒng)調(diào)用賬號。

3.1 準(zhǔn)入系統(tǒng)推送賬號

當(dāng)使用準(zhǔn)入系統(tǒng)推送賬號方案時，客戶端訪問校園網(wǎng)時首先發(fā)起準(zhǔn)入系統(tǒng)認(rèn)證，此時需要用戶輸入賬號，認(rèn)證通過后準(zhǔn)入系統(tǒng)返回數(shù)據(jù)給客戶端，此時用戶可以訪問校園網(wǎng)內(nèi)資源，同時準(zhǔn)入系統(tǒng)將客戶端賬號發(fā)送給中間件；當(dāng)客戶端需訪問互聯(lián)網(wǎng)時，客戶端發(fā)起準(zhǔn)出系統(tǒng)認(rèn)證，此時用戶不需再次輸入賬號，賬號由準(zhǔn)出系統(tǒng)向中間件調(diào)取，調(diào)取成功后將賬號傳遞給準(zhǔn)出系統(tǒng)，認(rèn)證通過后準(zhǔn)出系統(tǒng)返回數(shù)據(jù)給客戶端，此時用戶可訪問互聯(lián)網(wǎng)。具體方案如圖3-1所示：

此方案存在的問題是當(dāng)多數(shù)用戶不訪問互聯(lián)網(wǎng)，而是只訪問校園網(wǎng)，中間件中會存留大量的用戶信息，進(jìn)行準(zhǔn)出系統(tǒng)認(rèn)證時會延長準(zhǔn)出系統(tǒng)查詢用戶的時間，訪問量大時還需考慮中間件的性能。

3.2 準(zhǔn)出系統(tǒng)調(diào)用賬號

當(dāng)使用準(zhǔn)出系統(tǒng)調(diào)用賬號方案時，客戶端訪問校園網(wǎng)時首先發(fā)起準(zhǔn)入系統(tǒng)認(rèn)證，此時需要用戶輸入賬號，認(rèn)證通過后準(zhǔn)入系統(tǒng)返回數(shù)據(jù)給客戶端，此時用戶可以訪問校園網(wǎng)內(nèi)資源；當(dāng)客戶端需訪問互聯(lián)網(wǎng)時，客戶端發(fā)起準(zhǔn)出系統(tǒng)認(rèn)證，此時用戶不需再次輸入賬號，賬號由準(zhǔn)出系統(tǒng)向中間件調(diào)取，中間件如果沒有查詢到賬號信息，再向準(zhǔn)入系統(tǒng)調(diào)取，調(diào)取成功后將賬號返回給中間件，最后傳遞給準(zhǔn)出系統(tǒng)，認(rèn)證通過后準(zhǔn)出系統(tǒng)返回數(shù)據(jù)給客戶端，此時用戶可訪問互聯(lián)網(wǎng)。具體方案如圖3-2所示：

此方案存在的問題是當(dāng)用戶訪問互聯(lián)網(wǎng)時，數(shù)據(jù)需要從準(zhǔn)入系統(tǒng)、中間件、準(zhǔn)出系統(tǒng)中往來幾次大大延長了準(zhǔn)出系統(tǒng)調(diào)用用戶的時間，訪問量大時也需要考慮中間件的性能。

4 最終設(shè)計方案

根據(jù)以上兩個方案分析，賬號在傳遞過程中會存在查詢延時的問題，嚴(yán)重影響用戶體驗，因此如果能夠只進(jìn)行一次查詢即可完成賬號傳遞是最優(yōu)方案。

可將準(zhǔn)入系統(tǒng)與中間件合并，由中間件直接在準(zhǔn)入系統(tǒng)中進(jìn)行賬號查詢，查詢后由準(zhǔn)入系統(tǒng)調(diào)用準(zhǔn)出系統(tǒng)的認(rèn)證過程，將返回數(shù)據(jù)傳遞給客戶端即可。具體方案如圖4-1所示：

5 結(jié)束語

校園網(wǎng)準(zhǔn)入和準(zhǔn)出認(rèn)證的統(tǒng)一，在為用戶提供安全的網(wǎng)絡(luò)應(yīng)用環(huán)境的基礎(chǔ)上，提高了網(wǎng)絡(luò)應(yīng)用的用戶體驗，雖然僅進(jìn)行了兩套系統(tǒng)的統(tǒng)一認(rèn)證，但隨著技術(shù)的不斷更新，多異構(gòu)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的統(tǒng)一認(rèn)證問題會逐步解決，統(tǒng)一認(rèn)證的應(yīng)用也會在各種網(wǎng)絡(luò)環(huán)境中應(yīng)用，從而為提高網(wǎng)絡(luò)的應(yīng)用水平發(fā)揮更大的作用。

[作者簡介]孫剛凝（1979.4-），男，北京人，現(xiàn)職稱：講師，研究方向：校園網(wǎng)的安全管理、監(jiān)控和量化應(yīng)用。