基于802.1 x協議的校園網安全認證的設計與實現

孟敏

（無錫工藝職業技術學院電子信息系，江蘇無錫214206）

隨著計算機網絡技術的發展，互聯網在社會中的普及率逐步上升，互聯網用戶不斷增加。據中國互聯網絡信息中心統計，截止至2017年12月，我國互聯網用戶總量高達7.72億，互聯網普及率為55.8%。在互聯網快速發展的同時，也面臨著諸多威脅，包括病毒侵襲、黑客的非法闖入、數據竊聽和攔截、拒絕服務攻擊、垃圾郵件等。因此，如何保證網絡訪問的安全成為了網絡提供商們一個急需解決的問題，該問題在規模不斷增大的校園網絡中尤其突出[1-5]。目前校園資源數字化程度高，學生通過校園網獲取數字資源。此外，校園網信息點多，網絡規模較大，網絡應用較為復雜，且安全隱患較大，容易遭受網絡入侵，造成網絡癱瘓與資源被竊取等情況[6-8]。因此，設計一套面向于校園網絡接入安全的認證系統尤為重要。

目前，網絡安全策略主要采取認證、授權、記賬形式[9]。認證是確定訪問網絡的用戶是否為合法的用戶，通常用用戶標識以及對應的口令來識別合法用戶；授權是對不同的用戶授予不同的權限以限制用戶使用某些應用，避免合法用戶破壞系統；記賬即記錄用戶上網的所有操作記錄，包括上網時間、IP地址、上網流量等信息，實現上網監視功能。傳統認證方式在處理校園網用戶數據包時，容易導致網絡傳輸瓶頸。因此，需要耗費額外的硬件資源來提高網絡傳輸能力，無法滿足校園網高效性與低成本的要求[10-11]。為此，文中采用IEEE 802.1x協議進行校園網的接入認證，其通過端口對訪問校園網的客戶端進行認證和控制，防止非法用戶對校園網的訪問，防范了網絡木馬程序、病毒對校園網的入侵，從而保證了校園網的安全問題。

1 IEEE 802.1x協議

802.1x協議是一種作用于網絡訪問設置與認證的協議，其面向于客戶機與服務器。802.1x協議主要通過端口，來對校園網訪問用戶進行認證。當端口通過認證后，網絡數據才能通過以太網端口，而未通過認證的端口則將被拒絕訪問校園網[12-13]。

如圖1所示，802.1x協議認證體系主要由3部分組成，即客戶端、認證系統以及認證服務器。客戶端主要指LAN端口一端所連接的實體，即上網設備。其向認證系統發出認證申請，由認證系統檢驗其上網身份的合法性。認證系統位于客戶端與認證服務器之間，用于對校園網用戶進行認證；認證服務器指為校園網用戶進行身份認證的實體。IEEE 802.1X協議的工作機制，如圖2所示。

2 校園完安全認證系統

2.1 網絡拓撲結構

圖1 802.1x協議認證體系結構

圖2 IEEE 802.1X協議的工作機制

本文所設計的基于802.1x的校園網認證系統其網絡結構，如圖3所示。主要由核心交換機、匯聚層交換機、樓層接入交換機以及認證服務器組成。核心交換機為網絡的主干部分，即核心層中的交換機。其主要目的在于通過高速轉發通信，提供優化、可靠的骨干傳輸結構。匯聚層交換機是多臺接入層交換機的匯聚點，其必須能夠處理來自接入層設備的所有通信量，并提供到核心層的上行鏈路。因此，匯聚層交換機與接入層交換機比較，需要更高的性能、更少的接口和更快的交換速率。樓層交換機用于提供每一個樓層所有端口的上網接入點。此外，所有交換機均支持802.1x協議端口認證協議。認證服務器用于對校園網用戶進行身份認證，其采用ubuntu+Apache+freeRadius+Mysql的模式，對硬件依賴性低。

2.2 認證流程

820.1x校園網認證系統的認證流程，如圖4所示。首先，校園網用戶通過客戶端向認證系統提出認證請求；認證系統將認證請求處理過后，再將處理結果返回給客戶端；客戶端根據結果判斷用戶是否為合法用戶，并進而對其上網允許做出決定[14]。

圖3 校園網802.1x協議網絡拓撲結構

圖4 認證流程

2.3 認證系統

認證系統是整個校園網認證的核心部件，其包括3個模塊，分別為認證模塊、計費模塊以及認證管理模塊，如圖5所示。客戶端提出認證請求后，認證模塊對認證請求進行處理。若未通過認證，則對認證請求不予通過；若通過認證，則向計費模塊發起計費申請，并將上網的記錄與費用返回給認證管理模塊。客戶端通過認證管理系統查詢賬戶上網流量與賬戶余額。

圖5 認證系統功能圖

對于認證模塊，其詳細工作詳細流程圖如圖6所示，主要涉及上網記錄與費用、接入控制表以及用戶信息3方面的內容。首先客戶端發起認證請求后，先檢驗數據包的合法性，確認為有效的數據包后，提取用戶賬號和口令，判斷用戶賬號信息的合法性。若用戶賬號信息合法，則認證模塊檢驗用戶所在客戶端IP和MAC地址的合法性；若不合法，則返回網絡連接非法的信號給客戶端。若IP和MAC地址合法，則進一步判斷用戶賬號余額是否充足。若賬號余額充足，則將IP地址及認證成功的信息返回給客戶端，并向計費模塊發起計費請求，具體認證流程如圖7所示。

圖6 認證模塊詳細功能圖

圖7 認證流程圖

由于802.1x協議是非對稱協議，其只對認證請求用戶進行賬號合法性檢驗，卻并未對認證者所提交認證申請的認證點進行驗證。因而攻擊者可通過偽裝認證點而截取用戶賬號信息，造成用戶信息被竊取。并通過竊取的用戶賬號信息通過真正的認證點進行身份驗證，接收認證點發送的報文，搶占網絡資源[15-16]。在該種情況下，用戶信息容易泄露，攻擊者甚至通過用戶賬號進行非法工作，造成用戶遭遇巨大損失。因此，需要在用戶發起認證請求之前，對用戶認證點進行認證，確保沒有遭受網絡攻擊。此外，可通過在用戶和認證點之間采取預共享密鑰的方式來對認證點進行驗證，具體方法如圖8所示。在認證點通過認證申請者的認證請求后，其將通過預共享密鑰并結合自身形象，包括IP地址、MAC地址等產生認證密鑰Auth-Kc。并將認證密鑰Auth-Kc連同EAP-Success信息一同發送給認證申請者，申請者也計算得到一個認證密鑰Auth-Kc，并與認證點發送的認證密鑰進行比對。若兩者的認證密鑰相同，則認證成功，申請者將接入網絡；若兩者的密鑰不相同，則認為認證不成功，申請者將不會接入網絡。從而確保用戶信息不會被偽裝的認證點竊取，保證網絡接入認證的安全性。

圖8 申請者與認證點的認證原理

3 認證測試

文中對基于802.1x協議的校園網安全認證系統進行測試，采用100 Mbps的局域網，硬件測試環境與軟件測試環境如表1所示。

表1 測試環境

首先對校園網用戶認證功能進行測試，打開客戶端輸入賬號密碼后點擊登錄。若認證成功，則能夠連接網絡，頁面如圖9（a）所示。文中模擬偽造認證點用相同的賬號信息進行身份驗證，結果無法通過認證，如圖9（b）所示。因此，證明本系統能夠防止攻擊者通過偽造認證點竊取用戶信息。認證系統認證成功即可連接網絡，系統抓包結果如圖10所示，由紅色方框內信息可得網絡連接已被接受。

圖9 客戶端登錄

圖10 系統抓包結果

4 結束語

隨著互聯網技術以及數字媒體技術的發展，高校資源逐漸實現數字化，并建設形成校園網絡以供學生下載分享資源。隨著網絡規模的不斷壯大，其呈現出來的網絡安全也日益嚴重。因此，確保校園網的網絡安全成為一個重要的問題。校園網主要通過身份驗證的方式來確保網絡用戶的合法性，從而避免非法用戶對校園網的訪問，防范了網絡木馬程序、病毒對校園網的入侵。然而，傳統認證方式容易造成網絡傳輸瓶頸。為此，本文通過IEEE 802.1x協議設計了校園網安全認證系統。其通過端口對上網用戶進行身份驗證，有效防止了非法用戶訪問校園網。實驗測試結果表明，該系統能夠滿足設計要求，從而實現用戶身份驗證功能。