802.1x協議的認證計費系統設計與實現及缺陷改進

皮宗輝

喀什師范學院網絡中心 新疆 844006

0 前言

經過十幾年發(fā)展，國內高校校園網絡迅速發(fā)展壯大，網絡應用服務非常廣泛。校園網在高校教學，科研和管理等各項工作中發(fā)揮著重要作用，同時校園網有限的信息資源面臨非法用戶的訪問，計算機病毒、蠕蟲、黑客入侵以及木馬控制等網絡安全問題使校園網面臨嚴重的安全形勢。

1 802.1x協議相關技術

802.1 X，全稱是Port-Based Networks Access Control，即基于端口的網絡訪問控制。802.1x協議作為局域網端口的接入控制機制在以太網中被廣泛應用，主要解決以太網內認證和安全方面的問題。

1.1 IEEE 802.1x協議體系結構

802.1 x協議是一種典型的基于client/server體系結構，包括三個實體：Supplicant System(客戶端)，Authenticator System(設備端)，Authentication Server System(認證服務器)。

1.2 IEEE 802.1x的工作機制

IEEE 802.1x認證系統利用EAP協議承載交換信息在客戶端、設備端和認證服務器之間進行信息傳遞(如圖 1所示)。

圖1 802.1x認證系統的工作機制

在客戶端PAE與設備端PAE之間，EAP協議報文使用EAPOL封裝格式，直接承載于LAN環(huán)境中。 在設備端PAE與RADIUS服務器之間，EAP協議報文可以使用EAPOl封裝格式，承載于RADIUS協議中；也可以由設備端PAE進行終結，而在設備端PAE與RADIUS服務器之間傳送包含PAP協議或CHAP協議屬性的報文。

1.3 AAA和Radius 協議技術

AAA(Authentication、Authorization、Accounting)是認證、授權、計費的簡稱，運行于 NAS上的客戶端程序，它提供了一個網絡接入用戶身份驗證，授權和記賬三種安全機制進行配置的一致框架。

AAA協議實現了網絡系統對網絡授權用戶的訪問網絡資源的實際情況作了準確的、全面的記錄。一定程度上有效地保障了合法用戶的權益，又能保障網絡系統安全可靠地運行。RADIUS協議是目前應用最廣泛的AAA標準。

2 認證計費系統的設計與實現

認證計費系統模塊功能層次結構圖如圖2所示。

圖2 認證計費系統模塊功能層次結構圖

認證計費管理系統主要分三個模塊：認證模塊、計費模塊、用戶管理模塊，系統的主要功能包括：認證模塊實施802.1x+Radius的網絡用戶接入身份認證，用戶通過用戶名和密碼登錄后獲得訪問權限；計費模塊用于對數據庫中的原始計費信息進行統計匯總，生成用戶的計費賬單；管理模塊包括對用戶管理，用戶賬單管理，計費策略管理和用戶自服務管理的功能。

(1) 認證模塊采用Linux操作系統下基于Radius協議的AAA服務器，安裝Freeradius認證計費軟件用mysql數據庫系統作為后臺數據庫，存放認證計費的數據如：管理員密碼表，用戶個人信息表，上網原始數據記錄表等。

(2) 計費模塊提供包月、按時長、按流量三種計費方式，用戶可根據自己的實際情況，自由選擇最利于自己的計費方式繳納網絡費用。

用戶費用信息主要包含在數據庫中的 radacct表中。radacct表中記錄了用戶的上線時間(AcctStratTime)、下線時間(AcctStopTime)、連接時間(AcctSessionTime)、本次連接流入字節(jié)數(AcctInputOctets)、本次連接流出字節(jié)數(AcctOutputOctets)等信息。根據這些原始數據實現對用戶網費進行計費，例如：

按流量計費策略計算為：用戶總網絡費用=用戶實用網絡總流量*單價/(元/小時)；其中：用戶實用網絡總流量==上行流量之和+下行流量之和，并按四舍五入保留到小數點后2位數。

(3) 用戶管理模塊系統實現開戶、注銷用戶、查詢用戶信息、修改用戶信息等用戶管理的功能，以及查詢用戶賬單和上網記錄的功能。同時提供用戶自服務功能，用戶登錄自服務系統后，可以修改自身用戶信息以及查詢網絡費用賬單、上網記錄清單等服務。

管理模塊開發(fā)環(huán)境為：開發(fā)工具：php ，javascript，數據庫：mysql ，Web服務器：apache，系統環(huán)境：linux。

系統管理員具有系統管理的最高權限，可以進行用戶管理、賬單查詢、計費策略管理。具體來講包括用戶的開戶、修改用戶信息、注銷用戶、查詢用戶賬單和用戶上網的詳細記錄，對用戶的計費策略進行修改。

開戶界面如圖3所示。

新開用戶時，需檢查用戶名不能重名而且用戶信息不能為空才可以進行開戶操作。

自服務系統具體包含查詢網絡詳細清單，網絡費用賬單，修改用戶信息等功能服務。用戶登錄自服務系統后，可以輸入隨機的計費開始日期和計費截止日期，單擊查詢按鈕后，系統會自動生成從計費開始日期到計費截止日期之間的網絡費用清單。用戶查詢賬單如圖4所示。

圖3 新開用戶信息界面

圖4 用戶查詢賬單界面

3 802.1x在校園網中認證的缺陷問題及其改進

3.1 用戶接入認證的缺陷

在幾種主流的認證方式中，雖然802.1x認證具有其它幾種認證方式無法比擬的優(yōu)越性，但是在校園網的應用中存在一些缺陷問題。主要以下幾點：

(1) 缺乏只允許用戶惟一登錄的限制。由于802.1x缺乏限制用戶惟一登錄的機制，就會造成同一賬號在不同的主機上同時可以順利通過認證，訪問網絡資源。無法限制非法用戶的接入。

(2) 認證后的用戶行為缺乏監(jiān)控。由于802.1X認證體系中，業(yè)務流與認證流是分離的。認證通過后的業(yè)務流不再進行合法檢查。因此合法用戶認證通過后，修改自己的IP為其他用戶的IP地址，仍可上網。這樣其后果會造成IP地址盜用和沖突，管理混亂。

(3) IP、MAC地址綁定的缺陷。基于802.1x認證的交換機支持對合法用戶的ip、 mac地址綁定功能。但是這種安全機制也存在嚴重的問題。接入交換機某一端口下的合法用戶認證通過后打開了受控端口時，非法用戶通過修改自己的IP，MAC地址為合法的IP，MAC地址，就可實現上網目的。

3.2 802.1x認證缺陷改進

針對802.1x在接入用戶身份控制中存在著一些缺陷。要在高校中大規(guī)模應用必須盡可能克服其不足，可通過對802.1x和Radius協議進行擴展，進行一系列的安全機制改進，有效解決802.1x認證中的缺陷問題。

(1) 限制freeradius賬號重復登錄

通過啟用radius.conf配置文件中的session模塊中的數據庫驗證文件，在radcheck表中加入一個attribute：Simultaneous-Use，它的值就代表此用戶同時連接數，設置：Simultaneous-Use的值為1，這樣禁止test用戶重復登錄，限制單個用戶認證的惟一性。

(2) 用戶名、mac、ip、端口多重綁定

為了提高網絡的安全性，減少網絡中IP地址沖突問題的最好解決辦法是進行用戶名、Mac，ip port四者綁定。但是在提高網絡安全的同時，也給用戶使用帶來了不方便性。靈活的選擇四者中的兩者進行綁定。

(3) 合理設置NAS設備的重認證功能

NAS(接入交換機)設備在物理端口啟用 802.1x協議后，會打開重認證定時器，啟用重認證功能。每隔該定時器設置的時長，NAS定期發(fā)起 802.1x重認證。系統缺省的重認證時間為 15秒，根據實際網絡環(huán)境設置重認證時間，一般為3-5分鐘。重認證時系統會重新檢測客戶端主機的用戶名，mac，ip、端口是否與數據庫中綁定的數據是否相符合，如果不相符則該主機為非法主機，系統會強制該主機離線。

4 結束語

該系統全面解決了校園網用戶接入身份認證，授權等網絡應用中的核心問題；解決校園網用戶計費問題中的上網費用量化到個人的難題。用戶管理模塊簡化了網絡管理，極大的提高了網絡管理工作效率，同時方便了用戶的使用。

[1] 趙榮芳.基于 IEEE 802.1X的認證技術研究[J].計算機工程應用技術.2010.

[2] [802.1Q] IEEE 802.1Q.Virtual LANS.

[3] IEEE STANDARD 802.1X for LOCAL and METROPOLITAN AREA NETWORKSPORT-BASED NETWORK ACCESS CONTROL, NATIONAL COMMUNICATIONS SYSTEM，Technology and Programs Division ,Arlington, Virginia March 2005．

[4] 禹龍.劉勝全.田生偉.校園網中 802.1X 認證技術的改進[J].計算機工程.2009.