基于802.1x協議的用戶認證研究

摘 要： 校園網大量用戶的接入帶來了對接入用戶的認證問題。IEEE 802.1x協議是一種基于端口的網絡接入控制協議，能夠對所接入的設備進行認證和控制。銳捷SAM系統運用基于802.1x協議，采用“入網即認證”的用戶管理模式，實行用戶訪問任何資源（包括校園網資源）之前都需要認證的用戶身份認證機制，從而確保滿足對信息安全管理的需要，成功地實現了建造安全可靠的校園網的目的。

關鍵詞： 802.1x協議； 認證； 銳捷SAM； 網絡安全

中圖分類號：TP393.1 文獻標志碼：A 文章編號：1006-8228（2013）11-26-02

0 引言

伴隨著教育信息化在高校的廣泛普及，校園網絡規模不斷擴大，接入校園網的計算機臺數以幾何級規模增長[1]。大量用戶的接入帶來了校園網安全問題。校園網用戶的認證能保障校園網接入的安全性及網絡資源使用合理性。802.1x是基于端口的接入控制，為連接到局域網端口并具有P2P接入特征的設備提供認證和授權，并且防止設備在認證和授權失敗的情形下接入網絡，能夠建造安全可靠的校園網環境。

1 802.1x技術綜述

802.1x協議的客戶機/服務器體系結構，包括三個實體，客戶端、設備端、認證服務器[2]。它可以限制未經授權的用戶/設備通過接入端口訪問LAN/WLAN。在獲得交換機或LAN提供的各種業務之前，802.1x對連接到交換機端口上的用戶/設備進行認證。在認證通過之前，802.1x只允許EAPoL（基于局域網的擴展認證協議）數據通過設備連接的交換機端口；認證通過以后，正常的數據可以順利地通過以太網端口。

1.1 802.1x體系結構

802.1x在局域網和城域網中提供基于端口的網絡接入控制，旨在為局域網網絡環境提供一種靈活的接入控制方法。802.1x協議的體系結構包括三個重要的部分，分別是客戶端（Supplicant）、認證系統（Authenticator）和認證服務器（AuthenticationServer），如圖1所示。

客戶端系統：一般為一個用戶終端系統，該終端系統通常要安裝一個客戶端軟件，用戶通過啟動這個客戶端軟件發起IEEE 802.1x協議的認證過程，為了支持基于端口的接入控制，客戶端系統需支持EAPOL協議，因為客戶端和認證系統之間采用EAPOL協議進行通信。

認證系統：通常為支持IEEE 802.1x協議的網絡設備，該設備對應于不同用戶的端口（可以是物理端口，也可以是用戶設備的MAC地址、VLAN、IP等），每一個端口都有兩個邏輯端口：受控端口和不受控端口。不受控端口始終處于雙向連通狀態，主要用來傳遞EAPOL協議幀，可保證客戶端始終可以發出或接受認證；受控端口只有在認證通過的狀態下才打開，用于傳遞網絡資源和服務。

認證服務器：通常為RADIUS服務器，該服務器可以存儲有關用戶的信息，比如用戶所屬的VLAN、用戶的訪問控制列表、用戶名、密碼等。當用戶通過認證后，認證服務器會把用戶的相關信息傳遞給認證系統，由認證系統構建動態的訪問控制列表，用戶的后續流量就將接受上述參數的監管。認證系統和RADIUS服務器之間通過EAP 協議進行通信。

1.2 802.1x工作過程[3]

當用戶有上網需求時打開802.1x客戶端程序，輸入已經申請、登記過的用戶名和口令，發起連接請求。此時，客戶端程序將發出請求認證的報文給交換機，開始啟動一次認證過程。

交換機收到請求認證的數據幀后，將發出一個請求幀要求用戶的客戶端程序將輸入的用戶名送上來。

客戶端程序響應交換機發出的請求，將用戶名信息通過數據幀送給交換機。交換機將客戶端送上來的數據幀經過封包處理后送給認證服務器進行處理。

認證服務器收到交換機轉發上來的用戶名信息后，將該信息與數據庫中的用戶名表相比對，找到該用戶名對應的口令信息，用隨機生成的一個加密字對它進行加密處理，同時也將此加密字傳送給交換機，由交換機傳給客戶端程序。

客戶端程序收到由交換機傳來的加密字后，用該加密字對口令部分進行加密處理（此種加密算法通常是不可逆的），并通過交換機傳給認證服務器。

認證服務器將送上來的加密后的口令信息和其自己經過加密運算后的口令信息進行對比，如果相同，則認為該用戶為合法用戶，反饋認證通過的消息，并向交換機發出打開端口的指令，允許用戶的業務流通過端口訪問網絡。否則，反饋認證失敗的消息，并保持交換機端口的關閉狀態，只允許認證信息數據通過而不允許業務數據通過。

1.3 802.1x優點[3]

802.1X協議在以太網中的引入，解決了傳統的認證方式帶來的問題，消除了網絡瓶頸，減輕了網絡封裝開銷，降低了建網成本。IEEE 802.1x有以下優點：它純化了以太網技術內核，使IP網絡具有無連接的特性，去除了冗余昂貴的多業務網關設備，消除了網絡認證計費瓶頸和單點故障，易于使業務支持更加簡潔高效。同時造價低、易實現，在二層網絡上實現用戶認證，綁定技術很強大，更加安全可靠。此外，IEEE標準是微軟操作系統內置支持的行業標準。最后，這種協議能使控制流和業務流完全分離，易于實現多業務運營。

2 802.1x校園網安全設計

由于802.1x協議為兩層協議，對設備的整體性能要求不高，但要求認證系統內的所有設備都必須支持802.1x協議，用戶需要安裝客戶端軟件；對組播業務的支持性很好，支持多業務和新興流媒體業務；可以映射不同的用戶認證等級到不同的VLAN；不需要進行協議間的多層封裝；認證與業務分離，用戶通過認證后，系統對后續的數據包無特殊處理，有效地解決了網絡“瓶頸”。

經過大量的論證，我們最終選用了基于802.1x協議的銳捷Sam用戶計費管理系統作為整個校園網的安全準入系統。

2.1 銳捷Sam系統特性

銳捷Sam采用“PC服務器+Windows”的軟硬件平臺，數據庫采用SQL Server，為用戶提供了一種低成本、高可用性的解決方案。

銳捷Sam能夠對上網的用戶設定多個服務，即一個用戶可以通過不同的服務進行接入，由Sam實現統一認證和計費。

銳捷Sam計費分類可根據上網用戶使用的時長和流量（端口流量）計費，可以對用戶進行定期的收費。

銳捷Sam對交互報文和報文中的口令屬性進行加密處理，從而防止報文偽造和口令竊取。

2.2 校園網Sam系統部署

校園網采用三層網絡架構，包括核心層、匯聚層和接入層。核心層采用兩臺銳捷交換機S8610系列，相互備份和負載均衡。匯聚層采用S8606匯聚交換機，支持高密度萬兆線速轉發，通過萬兆骨干網提供各區域之間的高速連接。接入層采用千兆安全智能交換機。出口采用防火墻加路由器的部署方式。對宿舍區所有學生上網用戶進行統一Sam認證運營管理。數據中心配備銳捷SamM平臺和安全策略平臺。其工作原理[4]是，在認證服務器制定認證策略，建立各計算機用戶資料檔案。在每一個用戶上裝入一個客戶端小程序，服務器即可發現客戶端的用戶計算機，檢查客戶端是否得到授權允許登錄網絡，如果得到了允許即可通過二層交換機上網訪問，如果未得到允許，即不可訪問內網的各種應用以及外網。校園網的網絡拓撲圖如圖2所示。

2.3 銳捷Sam認證系統的應用

這里略去了Sam系統軟件與服務的安裝與啟動、數據庫備份的實現、Sam系統nas交換機的配置等內容。僅介紹Sam系統客戶端的部署。對于用戶來講，需要做以下幾件事才能上網。用戶填寫開戶申請表；申請開通網絡；配置網絡地址；安裝銳捷認證軟件；用戶在自己計算機中安裝管理員提供的銳捷客戶端的軟件。使用銳捷客戶端認證上網的界面略。

3 結束語

我校校園網采用銳捷Sam系統進行運營管理，目前已開通帳戶達5000個，成為成功地應用802.1x協議進行安全、認證、計費的校園網。

銳捷Sam認證系統基于802.1x協議和純以太網技術內核，不需要進行協議間的多層封裝，去除了不必要的開銷和冗余，消除網絡認證計費瓶頸和單點故障，支持多業務和新興流媒體業務。比較好地解決了現階段所面臨的用戶身份認證和應用終端的安全性問題，增強網絡安全性。

802.1x極大地改善了局域網接入的安全性和復雜性，但其自身也存在一些安全隱患和設計缺陷[5]，如何徹底地解決這些問題，創建更加安全、干凈的網絡環境，仍是今后需要我們研究的問題。另外隨著校園網不斷擴容，我們還將繼續總結經驗，研究在線信息交互系統，為用戶提供及時、個性化的咨詢服務和技術支持，實現校園網的“高安全、可運營、易管理”。

參考文獻：

[1] 趙釗.基于802.1x協議的校園網安全體系的研究與應用[J].網絡安全技術與應用，2011.2.

[2] 華三公司主編.路由器交換技術[M].清華大學出版社，2011.

[3] 百度百科.http：//baike.baidu.com/view/310804.htm.

[4] 童子方等.基于802.1x協議解決校園網安全的探索[J].網絡安全技術與應用，2011.5.

[5] 李天俐.試論如何利用802.1x協議解決校園網安全問題[J].計算機光盤軟件與應用，2012.2.