基于802.1x協(xié)議的用戶認證研究

摘 要： 校園網(wǎng)大量用戶的接入帶來了對接入用戶的認證問題。IEEE 802.1x協(xié)議是一種基于端口的網(wǎng)絡接入控制協(xié)議，能夠?qū)λ尤氲脑O備進行認證和控制。銳捷SAM系統(tǒng)運用基于802.1x協(xié)議，采用“入網(wǎng)即認證”的用戶管理模式，實行用戶訪問任何資源（包括校園網(wǎng)資源）之前都需要認證的用戶身份認證機制，從而確保滿足對信息安全管理的需要，成功地實現(xiàn)了建造安全可靠的校園網(wǎng)的目的。

關(guān)鍵詞： 802.1x協(xié)議； 認證； 銳捷SAM； 網(wǎng)絡安全

中圖分類號：TP393.1 文獻標志碼：A 文章編號：1006-8228（2013）11-26-02

0 引言

伴隨著教育信息化在高校的廣泛普及，校園網(wǎng)絡規(guī)模不斷擴大，接入校園網(wǎng)的計算機臺數(shù)以幾何級規(guī)模增長[1]。大量用戶的接入帶來了校園網(wǎng)安全問題。校園網(wǎng)用戶的認證能保障校園網(wǎng)接入的安全性及網(wǎng)絡資源使用合理性。802.1x是基于端口的接入控制，為連接到局域網(wǎng)端口并具有P2P接入特征的設備提供認證和授權(quán)，并且防止設備在認證和授權(quán)失敗的情形下接入網(wǎng)絡，能夠建造安全可靠的校園網(wǎng)環(huán)境。

1 802.1x技術(shù)綜述

802.1x協(xié)議的客戶機/服務器體系結(jié)構(gòu)，包括三個實體，客戶端、設備端、認證服務器[2]。它可以限制未經(jīng)授權(quán)的用戶/設備通過接入端口訪問LAN/WLAN。在獲得交換機或LAN提供的各種業(yè)務之前，802.1x對連接到交換機端口上的用戶/設備進行認證。在認證通過之前，802.1x只允許EAPoL（基于局域網(wǎng)的擴展認證協(xié)議）數(shù)據(jù)通過設備連接的交換機端口；認證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。

1.1 802.1x體系結(jié)構(gòu)

802.1x在局域網(wǎng)和城域網(wǎng)中提供基于端口的網(wǎng)絡接入控制，旨在為局域網(wǎng)網(wǎng)絡環(huán)境提供一種靈活的接入控制方法。802.1x協(xié)議的體系結(jié)構(gòu)包括三個重要的部分，分別是客戶端（Supplicant）、認證系統(tǒng)（Authenticator）和認證服務器（AuthenticationServer），如圖1所示。

客戶端系統(tǒng)：一般為一個用戶終端系統(tǒng)，該終端系統(tǒng)通常要安裝一個客戶端軟件，用戶通過啟動這個客戶端軟件發(fā)起IEEE 802.1x協(xié)議的認證過程，為了支持基于端口的接入控制，客戶端系統(tǒng)需支持EAPOL協(xié)議，因為客戶端和認證系統(tǒng)之間采用EAPOL協(xié)議進行通信。

認證系統(tǒng)：通常為支持IEEE 802.1x協(xié)議的網(wǎng)絡設備，該設備對應于不同用戶的端口（可以是物理端口，也可以是用戶設備的MAC地址、VLAN、IP等），每一個端口都有兩個邏輯端口：受控端口和不受控端口。不受控端口始終處于雙向連通狀態(tài)，主要用來傳遞EAPOL協(xié)議幀，可保證客戶端始終可以發(fā)出或接受認證；受控端口只有在認證通過的狀態(tài)下才打開，用于傳遞網(wǎng)絡資源和服務。

認證服務器：通常為RADIUS服務器，該服務器可以存儲有關(guān)用戶的信息，比如用戶所屬的VLAN、用戶的訪問控制列表、用戶名、密碼等。當用戶通過認證后，認證服務器會把用戶的相關(guān)信息傳遞給認證系統(tǒng)，由認證系統(tǒng)構(gòu)建動態(tài)的訪問控制列表，用戶的后續(xù)流量就將接受上述參數(shù)的監(jiān)管。認證系統(tǒng)和RADIUS服務器之間通過EAP 協(xié)議進行通信。

1.2 802.1x工作過程[3]

當用戶有上網(wǎng)需求時打開802.1x客戶端程序，輸入已經(jīng)申請、登記過的用戶名和口令，發(fā)起連接請求。此時，客戶端程序?qū)l(fā)出請求認證的報文給交換機，開始啟動一次認證過程。

交換機收到請求認證的數(shù)據(jù)幀后，將發(fā)出一個請求幀要求用戶的客戶端程序?qū)⑤斎氲挠脩裘蜕蟻怼?/p>

客戶端程序響應交換機發(fā)出的請求，將用戶名信息通過數(shù)據(jù)幀送給交換機。交換機將客戶端送上來的數(shù)據(jù)幀經(jīng)過封包處理后送給認證服務器進行處理。

認證服務器收到交換機轉(zhuǎn)發(fā)上來的用戶名信息后，將該信息與數(shù)據(jù)庫中的用戶名表相比對，找到該用戶名對應的口令信息，用隨機生成的一個加密字對它進行加密處理，同時也將此加密字傳送給交換機，由交換機傳給客戶端程序。

客戶端程序收到由交換機傳來的加密字后，用該加密字對口令部分進行加密處理（此種加密算法通常是不可逆的），并通過交換機傳給認證服務器。

認證服務器將送上來的加密后的口令信息和其自己經(jīng)過加密運算后的口令信息進行對比，如果相同，則認為該用戶為合法用戶，反饋認證通過的消息，并向交換機發(fā)出打開端口的指令，允許用戶的業(yè)務流通過端口訪問網(wǎng)絡。否則，反饋認證失敗的消息，并保持交換機端口的關(guān)閉狀態(tài)，只允許認證信息數(shù)據(jù)通過而不允許業(yè)務數(shù)據(jù)通過。

1.3 802.1x優(yōu)點[3]

802.1X協(xié)議在以太網(wǎng)中的引入，解決了傳統(tǒng)的認證方式帶來的問題，消除了網(wǎng)絡瓶頸，減輕了網(wǎng)絡封裝開銷，降低了建網(wǎng)成本。IEEE 802.1x有以下優(yōu)點：它純化了以太網(wǎng)技術(shù)內(nèi)核，使IP網(wǎng)絡具有無連接的特性，去除了冗余昂貴的多業(yè)務網(wǎng)關(guān)設備，消除了網(wǎng)絡認證計費瓶頸和單點故障，易于使業(yè)務支持更加簡潔高效。同時造價低、易實現(xiàn)，在二層網(wǎng)絡上實現(xiàn)用戶認證，綁定技術(shù)很強大，更加安全可靠。此外，IEEE標準是微軟操作系統(tǒng)內(nèi)置支持的行業(yè)標準。最后，這種協(xié)議能使控制流和業(yè)務流完全分離，易于實現(xiàn)多業(yè)務運營。

2 802.1x校園網(wǎng)安全設計

由于802.1x協(xié)議為兩層協(xié)議，對設備的整體性能要求不高，但要求認證系統(tǒng)內(nèi)的所有設備都必須支持802.1x協(xié)議，用戶需要安裝客戶端軟件；對組播業(yè)務的支持性很好，支持多業(yè)務和新興流媒體業(yè)務；可以映射不同的用戶認證等級到不同的VLAN；不需要進行協(xié)議間的多層封裝；認證與業(yè)務分離，用戶通過認證后，系統(tǒng)對后續(xù)的數(shù)據(jù)包無特殊處理，有效地解決了網(wǎng)絡“瓶頸”。

經(jīng)過大量的論證，我們最終選用了基于802.1x協(xié)議的銳捷Sam用戶計費管理系統(tǒng)作為整個校園網(wǎng)的安全準入系統(tǒng)。

2.1 銳捷Sam系統(tǒng)特性

銳捷Sam采用“PC服務器+Windows”的軟硬件平臺，數(shù)據(jù)庫采用SQL Server，為用戶提供了一種低成本、高可用性的解決方案。

銳捷Sam能夠?qū)ι暇W(wǎng)的用戶設定多個服務，即一個用戶可以通過不同的服務進行接入，由Sam實現(xiàn)統(tǒng)一認證和計費。

銳捷Sam計費分類可根據(jù)上網(wǎng)用戶使用的時長和流量（端口流量）計費，可以對用戶進行定期的收費。

銳捷Sam對交互報文和報文中的口令屬性進行加密處理，從而防止報文偽造和口令竊取。

2.2 校園網(wǎng)Sam系統(tǒng)部署

校園網(wǎng)采用三層網(wǎng)絡架構(gòu)，包括核心層、匯聚層和接入層。核心層采用兩臺銳捷交換機S8610系列，相互備份和負載均衡。匯聚層采用S8606匯聚交換機，支持高密度萬兆線速轉(zhuǎn)發(fā)，通過萬兆骨干網(wǎng)提供各區(qū)域之間的高速連接。接入層采用千兆安全智能交換機。出口采用防火墻加路由器的部署方式。對宿舍區(qū)所有學生上網(wǎng)用戶進行統(tǒng)一Sam認證運營管理。數(shù)據(jù)中心配備銳捷SamM平臺和安全策略平臺。其工作原理[4]是，在認證服務器制定認證策略，建立各計算機用戶資料檔案。在每一個用戶上裝入一個客戶端小程序，服務器即可發(fā)現(xiàn)客戶端的用戶計算機，檢查客戶端是否得到授權(quán)允許登錄網(wǎng)絡，如果得到了允許即可通過二層交換機上網(wǎng)訪問，如果未得到允許，即不可訪問內(nèi)網(wǎng)的各種應用以及外網(wǎng)。校園網(wǎng)的網(wǎng)絡拓撲圖如圖2所示。

2.3 銳捷Sam認證系統(tǒng)的應用

這里略去了Sam系統(tǒng)軟件與服務的安裝與啟動、數(shù)據(jù)庫備份的實現(xiàn)、Sam系統(tǒng)nas交換機的配置等內(nèi)容。僅介紹Sam系統(tǒng)客戶端的部署。對于用戶來講，需要做以下幾件事才能上網(wǎng)。用戶填寫開戶申請表；申請開通網(wǎng)絡；配置網(wǎng)絡地址；安裝銳捷認證軟件；用戶在自己計算機中安裝管理員提供的銳捷客戶端的軟件。使用銳捷客戶端認證上網(wǎng)的界面略。

3 結(jié)束語

我校校園網(wǎng)采用銳捷Sam系統(tǒng)進行運營管理，目前已開通帳戶達5000個，成為成功地應用802.1x協(xié)議進行安全、認證、計費的校園網(wǎng)。

銳捷Sam認證系統(tǒng)基于802.1x協(xié)議和純以太網(wǎng)技術(shù)內(nèi)核，不需要進行協(xié)議間的多層封裝，去除了不必要的開銷和冗余，消除網(wǎng)絡認證計費瓶頸和單點故障，支持多業(yè)務和新興流媒體業(yè)務。比較好地解決了現(xiàn)階段所面臨的用戶身份認證和應用終端的安全性問題，增強網(wǎng)絡安全性。

802.1x極大地改善了局域網(wǎng)接入的安全性和復雜性，但其自身也存在一些安全隱患和設計缺陷[5]，如何徹底地解決這些問題，創(chuàng)建更加安全、干凈的網(wǎng)絡環(huán)境，仍是今后需要我們研究的問題。另外隨著校園網(wǎng)不斷擴容，我們還將繼續(xù)總結(jié)經(jīng)驗，研究在線信息交互系統(tǒng)，為用戶提供及時、個性化的咨詢服務和技術(shù)支持，實現(xiàn)校園網(wǎng)的“高安全、可運營、易管理”。

參考文獻：

[1] 趙釗.基于802.1x協(xié)議的校園網(wǎng)安全體系的研究與應用[J].網(wǎng)絡安全技術(shù)與應用，2011.2.

[2] 華三公司主編.路由器交換技術(shù)[M].清華大學出版社，2011.

[3] 百度百科.http：//baike.baidu.com/view/310804.htm.

[4] 童子方等.基于802.1x協(xié)議解決校園網(wǎng)安全的探索[J].網(wǎng)絡安全技術(shù)與應用，2011.5.

[5] 李天俐.試論如何利用802.1x協(xié)議解決校園網(wǎng)安全問題[J].計算機光盤軟件與應用，2012.2.