校園網認證技術的應用和發展

申健++朱婧

摘 要：校園網是高校信息化建設的基礎設施。隨著網絡技術的不斷發展，其應用服務已經深入教學科研、行政管理及師生員工工作、學習和生活的各個方面。多種多樣的網絡服務及各式智能網絡終端的使用，對校園網不斷提出新的要求。介紹長安大學校園網自建立以來認證系統的發展變化情況。在當前有線網絡及無線網絡共存的形勢下，如何選擇符合校園網需求的認證系統，以滿足用戶使用各種智能終端，安全、便捷的享受校園網服務，是高校校園網建設和管理必須面對和解決的重要問題。

關鍵詞：校園網；認證技術；智能網絡終端；應用和發展

中圖分類號：TP393.1 文獻標識碼：A 文章編號：2095-1302（2015）05-00-03

0 引 言

互聯網技術的飛速發展使得網絡服務已涵蓋到工作、生活的各個方面，多種多樣的網絡服務、無處不在的應用和信息交流，使得國民經濟的運行、各行各業的生產和人們的生活越來越依賴于網絡這個交流平臺，校園網也同樣如此。校園網不僅是高校對外交流的重要平臺之一，也是展現學校風貌和特點的窗口。隨著近年來國家對高校信息化建設投入的增加，中國高校校園網開始進入高速發展階段，規模不斷擴大，應用領域日益增多，而眾多信息系統的建設為教學科研、實驗實習、行政管理、娛樂生活提供了一個方便、快捷、穩定、安全、高效的信息交流和資源共享平臺。但是網絡高速發展也帶來了很多問題，主要表現在網絡資源不能合理分配、非校園網用戶的接入影響了正常網絡秩序，以及校園網內部信息的安全等。面對這些問題，各高校都采用了用戶認證接入系統，可以在一定程度上確保網絡服務只能由校園網合法用戶使用，從而對網絡秩序的建立、資源的合理分配和網絡信息的安全起到了保障作用。本文以長安大學校園網認證系統為例，介紹了在當前互聯網飛速發展階段校園網認證技術的應用發展。

1 認證系統的必要性

經過多年發展，互聯網現在已經成為人類生活不可缺少的交流平臺之一。據CNNIC（中國互聯網絡信息中心）中國互聯網絡發展狀況統計調查顯示：截至2013年12月，我國網民規模已達6.18億，全年共計新增網民5358萬人。而在高校校園內，隨著信息化建設的不斷推進，網絡應用已經遍及教學科研、行政管理、師生員工學習和生活的方方面面：從學生報到后的食宿安排、每學期開學的排課選課，到教師上課安排教室、聯系實驗實習，教學名師網上授課、課件查詢與答疑，行政單位發送、接收通知公告和辦公文件、科研項目管理，到實驗數據的處理和資源利用與支配，以及后勤保障等，基本涵蓋了學校正常運行的所有機構和行為。以長安大學為例，目前校內擁有的網絡終端已超過2.4萬臺。龐大的網絡用戶數量和繁多的應用需求，給校園網的有序、規范和安全發展帶來了一定的混亂和影響。為此，必須對網絡用戶進行管理。

1.1 國家相關法規對網絡管理的要求

根據國家網絡安全管理的相關法規，互聯網使用單位必須落實上網人員身份認證和日志留存等相關技術措施，并對上網內容和網上行為提供審計功能。因此，上網人員身份認證和日志留存是國家對互聯網安全管理的強制規定[1]。

1.2 有利于網絡地址的規劃使用

校園網為師生的教學科研、行政管理和學習生活提供網絡服務及互聯網資源，其中IP地址是連接網絡的基本需要，相當于用戶的網絡身份號碼。但有的用戶基于各種原因，在沒有得到網絡管理人員許可的情況下，擅自更改自己的IP地址，造成其他用戶網絡中斷的現象時有發生。實行認證制度，將每一位用戶的用戶名、口令和唯一的IP地址綁定，對于IP地址的規劃、利用和避免地址資源浪費起到了重要作用。

1.3 有利于規范用戶上網行為，降低網絡資源浪費

由于規模和用戶不斷增加，為了確保校園網能夠穩定、正常運行，學校每年都要投入大量經費以支付出口線路租用和網絡設備的升級維護。流量數據的分析表明，生活娛樂方面的網絡應用占據了較多帶寬資源，使教學科研和行政管理等受到了很大影響。本著更好的實現校園網規范化管理，合理利用現有網絡帶寬資源和降低運行成本的目的，必須對出口總流量進行控制，將網絡資源向教學、科研和行政管理傾斜，生活娛樂等方面消耗帶寬資源的租賃費用由用戶自行承擔，在不以盈利為目地的前提下對校園網用戶實行認證計費，是有效控制網絡資源分配的重要手段。

2 常見的認證技術

目前，校園網認證計費系統主要有三種認證技術，即PPPoE認證、Web+ Portal（網頁）認證和802.1x認證，這三種認證利用不同的運行平臺和技術特點在應用方面具有各自的優勢[2]。

2.1 PPPoE認證技術

PPPoE（Point-to-Point Protocol over Ethernet）即以太網點對點通信協議，通過PPPoE協議可以在以太網上實現點對點協議的主要功能，使以太網主機通過一個簡單的橋接設備連到一個遠端的接入集中器上，而遠端接入設備則能夠實現對每個接入用戶的控制。

PPPoE的通信過程分為發現和會話兩個階段，當主機準備開始一個PPPoE會話時它首先要進入發現階段，主機以廣播方式尋找可以連接的接入設備[3]，其步驟如下：

（1）主機廣播發起分組（PADI）向接入設備提出要求提供的服務；

（2）接入設備收到PADI后，發送PPPoE有效發現提供包（PADO）分組來響應要求；

（3）主機在收到的PADO分組中選擇合適的一個，向所選擇的接入設備發送PPPoE有效發現請求分組（PADR）；

（4）接入設備收到PADR分組后準備開始會話，并發送一個PPPoE有效發現會話確認分組（PADS）。

在發現階段主機獲得接入設備以太網MAC地址并建立一個會話標識號碼（PPPoE SESSION-ID），從會話開始主機發送PPP數據直到會話結束SEESION-ID不能改變。PPPoE有一個PADT分組可以在會話建立后的任何時間通過主機或接入設備發送，用來終止會話。PPPoE通信流程如圖1所示。

圖1 PPPoE通信流程

接入設備收到用戶的認證信息后將其傳遞給指定的RADIUS（Remote Authehtication Dial In User Service，遠程認證接入用戶服務）服務器，RADIUS在接受請求進行用戶身份驗證的同時開始審計和記賬，并將處理結果響應給接入設備。

2.2 Web+Portal認證技術

Web+Portal是一種業務類型的認證，這種認證方式不需要特定的客戶端軟件來執行。主機連接到網絡通過BRAS（Broadband Remote Access Server）寬帶遠程接入服務器提供的DHCP服務獲得一個IP地址，登陸到指定的Portal Server認證頁面進行用戶名和密碼認證，Portal Server得到用戶信息與后臺認證服務器通信驗證并完成認證過程[4]。具體流程如圖2所示。

圖2 Web+Portal認證流程

2.3 802.1x認證技術

802.1x協議是一種使用客戶端和服務器進行訪問控制的協議，它通過端口訪問實體PAE（port access entity），根據認證服務器認證過程的結果，控制主機與接入交換機鏈接端口的開啟和關閉來限制非注冊用戶訪問網絡[5]。支持802.1x的接入交換機擁有兩個邏輯端口，即受控端口和非受控端口，在認證未通過前，802.1x允許非受控端口傳遞EAPoL（EAP OVER LAN），即基于局域網的擴展認證協議來確保認證數據能夠通過，認證通過后受控端口打開用來傳遞網絡服務和資源[6]。整個認證體系由客戶端、認證服務器和交換機三部分組成[7]。認證的具體流程為：

（1）用戶輸入用戶名和口令通過客戶端發起連接請求，客戶端將請求認證報文發送給交換機；

（2）交換機接收到請求報文后，會要求客戶端發送用戶身份信息過來；

（3）交換機將客戶端發送的用戶身份信息提交認證服務器處理；

（4）認證服務器比對確認交換機發送的身份信息，如通過認證則將確認信息發送回交換機；

（5）交換機收到認證通過的信息后將客戶端連接交換機的受控端口打開，并向客戶端發送認證通過信息；

（6）客戶端收到認證通過信息后即可獲取IP地址等網絡信息，開始正常網絡通信[8]。802.1x認證體系結構如圖3所示。

3 認證技術在校園網中的應用和發展

長安大學校園網建立至今已經歷了20年的時間，從2003年實行認證計費開始認證系統的選擇標準就一直伴隨著校園網的不斷發展和用戶需求的不斷提高而變化。

3.1 初期認證系統

建網初期，使用基于802.1x的CAMS認證系統，購置了能夠兼容認證系統的接入層交換機，在交換機上開啟802.1x協議對下連用戶的交換機端口實現控制管理，用戶通過CAMS專用認證客戶端進行認證。每位用戶都能得到一個靜態IP地址，認證系統綁定用戶名、口令、IP地址和網卡的MAC地址。這一措施實現了網絡賬號的實名制管理，規范了上網行為，為校園網發展初期階段整個網絡能夠安全、穩定的運行提供了保障。

圖3 802.1x認證體系結構

3.2 發展階段認證系統

隨著互聯網的不斷發展和各種網絡應用服務的日益豐富，學校的教學科研、行政管理、學習交流、生活娛樂等各個方面都在迅速向網絡化轉變，統一的教學、科研和辦公系統讓工作流程變得更加規范、合理和透明，各種網絡服務也讓生活娛樂更加多彩。在此快速發展階段校園網規模迅速擴大、用戶數量急劇增長，對網絡服務的要求也不斷提升，用戶希望網絡的使用不再局限于電腦終端和有線網絡，筆記本電腦、平板電腦、手機等便攜式智能終端也能通過無線方式使用校園網。

面對用戶這種新的需求，校園網技術人員對PPPoE、Web+Portal和802.1x三種常見認證方式進行了測試和對比，得出如下結果：

（1）三種認證方式都是通過賬號和密碼來進行用戶身份確認。

（2）認證客戶端的差異：以原有認證系統為例，基于802.1x技術的CAMS專用客戶端軟件，由于存在不同操作系統之間的差異，除windows系統之外的其他操作系統不能支持普通的CAMS客戶端，必需由認證系統廠家重新進行研發；PPPoE認證方式可以由各個操作系統自帶的認證客戶端進行認證；而Web+Portal認證方式則不需要客戶端軟件。

（3）在實際使用中， 802.1x認證系統必須使用同一個生產商的接入層交換機才能達到校園網的安全認證要求，而PPPoE和Web+Portal兩種認證方式則不需要。

（4）PPPoE與原有窄帶網絡用戶接入認證體系一致，使用操作系統自帶客戶端軟件，這對于用戶來說比較容易接受和認可。

由此，確定了校園網有線網絡認證從802.1x專用客戶端方式更換為PPPoE認證方式。兩種認證方式雖然都是用客戶端，但PPPoE利用的是操作系統自帶的客戶端，且大多數路由器都支持這一認證方式，用戶在房間里即可以通過帶有無線功能的路由器發起認證。而手機、平板電腦和筆記本等各種便攜式智能終端，則可以通過路由器的無線連接方式接入校園網。無線網絡選擇的認證方式是Web+Portal認證，在校園的公共場所如圖書館、體育館、操場、會議室、道路和露天休息區域等地方，已經實現無線網絡信號的全覆蓋，各類智能終端都可以通過連接校園網無線信號發起申請，登陸到指定的Portal Server認證頁面進行用戶名和密碼認證，當認證通過后便可以進入校園網服務體系。

3.3 認證系統現狀

目前，認證系統更換后已運行近一年時間，通過對這段時間校園網運行情況的觀察和用戶使用新認證方式后反饋的信息分析表明，這兩種認證方式配合在一起大大提高了網絡使用的便捷度，滿足了用戶隨時隨地享受校園網服務的需求，擴大了服務范圍，提高了服務質量。

4 結 語

高校校園網是一個結構復雜、地理區域分散、設備品牌不統一和網絡需求多樣的環境，且用戶規模較大對網絡的要求也較高，而在網絡技術高速發展的今天，用戶使用網絡的智能終端多種多樣，如何滿足各種類型智能終端接入校園網的需求，并能夠保持穩定連接和優質的網絡速度是每一所高校校園網建設和管理部門必須不斷解決的問題。本文所介紹的長安大學校園網認證計費系統，從最初802.1x認證技術到現在的PPPoE和Web+Portal兩種認證方式并存的發展變化情況，都是這種問題的一種解決思路。隨著網絡技術的發展，更加安全、高效的認證技術會不斷出現，既能夠適應有線和無線網絡，又能滿足各種智能終端上網需求的認證方式也會出現，如何選擇能夠適應校園網發展的認證方式，是網絡建設和管理人員需要長期面對的問題。

參考文獻

[1] 郭欣， 戴冶. 淺談我校校園網認證計費體系的構建[J]. 數理醫藥學雜志，2010，23（6）：714-716.

[2] 石幫榮. 基于網橋和www方式的校園網認證管理系統的研究與開發[J].桂林師范高等專科學校學報（綜合版），2006，20（1）：127-131.

[3] 劉志雄.校園網PPPOE接入認證系統的研究與實現[J].信息安全與技術，2013，4（8）：36-39.

[4] 杜民. 802.1X和web/portal認證協同打造校園網認證系統[J].山東商業職業技術學院學報，2010，10（6）：104-107.

[5] 柏軍洋，杜慶東.校園網認證系統的安全分析與研究[J].沈陽師范大學學報（自然科學版），2013，31（2）：263-267.

[6] 黃慧武，趙詠虹，陳世坤.基于IEEE802.1x技術的校園網認證計費的實現[J].中國科技信息，2005（2）：40-41.

[7]吳賢平. 基于802.1x的校園網用戶身份認證設計與實現[J].制造業自動化，2012，34（5）：47-49.

[8] 彭偉. 使用802.1x實現校園網認證[J].計算機應用，2003，23（3）：85-87.