基于802.1x的校園網安全設計*

孟小冬

(呼倫貝爾學院 計算機科學與技術學院，內蒙古 呼倫貝爾 021000)

基于802.1x的校園網安全設計*

孟小冬

(呼倫貝爾學院 計算機科學與技術學院，內蒙古 呼倫貝爾 021000)

由于大學互聯網用戶總數大，互聯網上網技術各有差異，一些校園網的黑客等電腦高手，常常有破壞校園網絡安全的不法行為.鑒于此，采用先進的網絡協議技術對校園網進行安全設計非常必要.本文通過對802.1x協議技術的介紹，分析了校園網安全設計存在的問題，最后將802.1x協議技術運用到校園網安全設計中，為校園網安全設計提出了一些建設性的意見.

802.1x協議;校園網;安全設計

近年來，由于大學擴招，我國高校校園網建設發展較快，建設和使用校園網在大學校園已成為一種主流趨勢.網絡應用的廣泛深入，高校數字化建設使得高等院校的教學、科研以及管理部門在傳遞信息時對校園網的依賴性越來越強.但由于校園網在構建時為了節約成本，只注重校園網的功利性，忽視了對校園網的安全體系建設，使其在受到威脅和攻擊時，顯得非常脆弱，當不法分子入侵或者病毒橫行時，安全問題日益嚴重，給網絡用戶造成了巨大損失.如何加強校園網的安全建設已經成為高校網絡用戶最關心的問題.

1 校園網安全設計

由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征，導致網絡容易受到黑客、怪客、惡意軟件和其他不軌的攻擊，所以網上信息的安全是一個至關重要的問題.

1.1 校園網安全威脅

雖然計算機在向著智能化發展，甚至在某一些方面可以代替人工處理事務，開展工作.因為計算機本身的復雜性，使計算機常常遭受一些安全威脅.計算機網絡所面臨的威脅大體可分為兩種:一是對網絡中信息的威脅;二是對網絡中設備的威脅.這些有一些是某些用戶有意的或是無意操作造成的;有一些是外來黑客對網絡系統資源的非法使用引起的.總結起來，這些可能造成網絡安全威脅的因素不外乎就這幾種.

人為的操作失誤.如網絡用戶使用時由于安全配置不當造成的安全漏洞沒有及時修補，用戶網絡安全保護意識不強，沒有對重要文件設置密碼保護，或者將自己的密碼告訴他人等.

人為的惡意攻擊.通常說的計算機犯罪就是指某些用戶的惡意攻擊.主動性的認為惡意攻擊能有選擇地破壞信息的有效性和完整性，對用戶來說可能會造成無可挽回的損失;而被動的惡意攻擊，在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息，也是用戶深惡疼絕的攻擊行為.這兩種攻擊形式都會使機密文件泄露，危害信息安全.

網絡軟件的漏洞威脅.網絡軟件不是完全安全的，有些病毒的程序以軟件的形式出現在用戶面前，稍不注意，便會危害網絡安全.對于這種惡意攻擊行為往往是防范心有余而力不足.

1.2 校園網安全分析

校園網運行之所以出現安全威脅，存在一些安全漏洞，除了外在的人為攻擊和操作失誤造成的數據的損失和文件的泄密外，校園網自身也存在很多安全隱患.

校園網自身網絡結構問題.從網絡結構上看，校園網的終端用戶和服務器處在同一局域網內，沒有安全隔離設置，非授權訪問很容易.由于資金的缺乏問題在內部網和互聯網之間往往只設置了一個防火墻，多數用戶甚至沒有進行網絡安全配置，直接插入互聯網，同時，由于校園網用戶多、規模大、網絡設備多，在管理上也有很大的難度.

網絡協議的缺陷.由于TCP/IP協議出現的年代較早，為廣大用戶所熟知，本身的費用也較低.因此目前，絕大多數的校園網是基于TCP/IP協議的，而 TCP/IP協議在設計之初的網絡環境較安全，沒有必要考慮影響網絡安全等方面的因素.而隨著網絡環境的變化，TCP/IP協議的弱點和缺陷越來越多，很多人都是利用了TCP/IP協議的缺陷，進行網絡攻擊.

操作系統的缺陷.在校園網中，計算機配置什么樣的操作系統對網絡安全和用戶非常重要，現在的操作系統如:Linux、Windows、Unix等，都有一定的漏洞或缺陷，很多攻擊者就是利用這些漏洞對校園網用戶發起攻擊.

1.3 校園網安全設計原則

盡管沒有完全安全的校園網絡，但為了保障校園網的安全運行，校園網在安全設置時要尊重五個方面的原則.首先是前瞻性.就是說對校園網可能遭受的安全隱患進行預測和評估.網絡信息系統具有復雜性，同時又很脆弱.而多用戶網絡系統本身又有資源共享性，因此充分、全面、完整地對系統的安全漏洞和安全威脅進行分析、評估和檢測是設計網絡安全系統的必要前提條件.

實用性.網絡安全必須要保證用戶的操作活動和系統的運行.網絡中的信息安全和信息應用是相對應的.在采取網絡安全措施時，不能過于繁瑣，同時不能對網絡造成影響，要有實用性.

可管理性.就是說網絡設備和安全信任體系要有可管理性.網絡的安全與保密是一項很重要的工作.對網絡進行安全保護時，保證安全策略到設備、安全責任到人、安全機制貫穿整個網絡系統，這樣就利于安全措施的管理與實施，可以最大程度的保證網絡的安全性.

此外，對校園網進行安全設計時，還要遵循系統性和拓展性等設計原則，與時俱進，不斷適應網絡發展的需要.對校園網的長期發展做好規劃，注意網絡功能的升級和擴展.

2 802.1x協議

802.1 x協議，一種基于端口的網絡訪問控制，以其在認證方面的獨特優勢，近年來備受網絡用戶推崇，很多網絡用戶相繼開始實施802.1x接入方式.與傳統的TCP/IP協議相比，802.1x協議有一些明顯的優勢.

2.1 802.1x 協議綜述

所謂的802.1x是IEEE(國際電子電器工程師協會)制定的基于端口的網絡接入控制(Port－Based Access Control)標準.雖然它起源于無線局域網標準IEEE 802.11的安全需求，現在經常用于有線局域網.基于802.1x的認證系統一般包括三個實體:申請者(Supplicant)、驗證者(Authenticator)、認證服務器(Authentication).與傳統的TCP/IP協議相比，802.1x更能適應現代網絡技術發展的需要，對網絡安全設計也有很多優點.

2.2 802.1x 的優點

802.1 x協議在以太網中的引入，解決了傳統的認證方式帶來的問題，消除了網絡瓶頸，減輕了網絡封裝開銷，降低了建網成本.IEEE 802.1x有以下五大優點.首先它純化了太網技術內核，使IP網絡具有無連接的特性，去除冗余昂貴的多業務網關設備，消除網絡認證計費瓶頸和單點故障，易于使業務支持更加簡潔高效.同時造價低也容易實現，在二層網絡上實現用戶認證，綁定技術很強大，更加安全可靠.此外，IEEE標準是微軟操作系統內置支持的行業標準.最后，這種協議能使控制流和業務流完全分離，易于實現多業務運營.

2.3 802.1x工作過程

802.1 x與傳統的網絡協議相比，人機交互性更強.用戶有上網需求時打開802.1x客戶端程序，通過輸入已經申請、登記過的用戶名和口令，發起連接請求.交換機收到請求認證的數據幀后，將發出一個請求幀要求用戶的客戶端程序將輸入的用戶名送上來.客戶端程序響應交換機發出的請求，將用戶名信息通過數據幀送給交換機.最后環節，需要使認證服務器將送上來的加密后的口令信息和其自己經過加密運算后的口令信息進行對比，通過計算機鑒別真偽，有效地防止了非網絡注銷用戶本人的非法操作.

更強的人機交互性，更強的智能化措施，更強的安全設置裝備，保證了網絡用戶在使用校園網時對安全進行自我設置，降低了被黑客攻擊的風險，低價保障了在電腦使用過程中的惡意攻擊.當然，對于一些由人為地操作失誤造成的安全威脅也大大降低，因為802.1x協議技術在用戶登錄時設置了一個用戶確認環節，非經授權的使用網絡行為也受到了限制.

3 802.1x的校園網安全設計

對校園網進行安全設計，首先對校園網進行安全域劃分，根據不同的局域網的安全隱患不同，同時引起校園網安全威脅的因素也不同，具體問題要具體分析.因此，在相同的網絡安全域可以共享一樣的安全策略，這樣可以節約部分安全設計資金;而在不同的安全域之間需要設置防火墻，把不同的安全域隔離開來，防止網絡病毒的相互傳播，以進行安全保護.

3.1 劃分安全域

進行網絡安全設計首先要對網絡和系統進行安全檢查和評估，而安全域則是檢查和評估的基礎.劃分安全域，有利于具體解決問題，也是防止網絡病毒滲透的有效防護方式，建立以安全域為中心的安全防護策略，有利于對網絡和系統進行安全建設的部署.通常在邊界問題較容易發生，因此安全域邊界是災難發生時的抑制點，而安全域邊界的安全隱患主要來自互聯網上的攻擊.網絡邊界防范(例如邊界防火墻系統等)可以大大減小攻擊者通過互聯網訪問校園網的幾率，有效地把安全威脅排除在安全域之外.

3.2 內網安全防范設施

同時還要注意內網安全威脅，這是一種主要源于校園內部的網絡安全威脅.對校園網用戶來說，先控制局域網絡內部的一臺服務器，然后以此為地，對內網中的其他主機發起惡性攻擊行為是比較常見的校園網惡性攻擊事件.因此，為了保護校園網的安全，減少由校園網安全事故造成的損失，應在邊界展開黑客防護措施，例如加密技術、客戶端的安全防范、用戶的身份驗證、權限控制等措施，同時建立并加強內網防范策略.此外，根據不同的安全域和子網的安全要求，還可以由路由交換設備安全配置等在網絡接口實行防范措施.

結語:保證信息流通，同時保障信息流通的安全性，盡量減少在計算機使用過程中存在的安全風險.校園網的普及，為充分利用教育資源提供了可能，方便了現代高等院校的教學，也有利于使廣大學生在課堂學習之余開闊視野，進行交友和娛樂.在信息時代，便于信息的及時公開和公開意見的表達.但也應注意與此同時，網絡犯罪也非常多見，校園網的安全問題關系到高等院校的信息安全和學生的切身利益.校園網設施密集，用戶及訪問流量極大，特別是經常有些網絡愛好者和黑客“光臨”校園網，這些校園網本身的漏洞和不斷惡化的網絡環境給校園網的安全造成了極大的隱患.運用新的思路和方法，改進網絡安全設計，確實提高校園網的安全性.

TP393.18

A

1006－5342(2012)06－0024－02

2012－03－20