admin 管理员组

文章数量: 887021


2024年3月10日发(作者:web前端开发岗位的技能要求)

基于802.1x的校园网用户身份认证设计与实现

吴贤平

【摘 要】当前我国高校校园网事业飞速发展,但随着用户数的急剧增加和业务样式

的增多,校园网的安全问题也日益突出.本文针对标准的802.1x协议在实际应用中

存在不足,提出了适合于校园网身份管理系统中的用户身份认证切实可行的协议改

进方法.提出了校园网认证系统的整体框架,为建造安全可靠的校园网提供了新的思

路和方法.

【期刊名称】《制造业自动化》

【年(卷),期】2012(034)009

【总页数】3页(P47-49)

【关键词】802.1x认证;PPPoE认证;Radius认证;认证系统;校园网

【作 者】吴贤平

【作者单位】温州大学,温州325035

【正文语种】中 文

【中图分类】TP39

0 引言

由于传统认证(Authentication,又称鉴别)方式对校园网中用户数据包繁琐的处理

造成了网络传输瓶颈,而通过增加其他网络设备来解决传输瓶颈势必造成网络成本

的提升,因此无法满足用户对网络安全性、高效性和低成本的要求。IEEE 802.1x

通过对认证方式和认证体系结构进行优化,有效地解决了传统PPPoE和

Web/Portal认证方式带来的问题,消除了网络瓶颈,减轻了网络封装开销,降低

了建网成本,从而成为当前校园网选型的一个热点。

1 IEEE802.1x技术简介

1.1 IEEE802.1x协议的工作机制

802.1 x作为一个认证协议,在实现的过程中有很多重要的工作机制[1,2](如图1

所示)。

图1 IEEE 802.1x协议的工作机制

认证的发起可以由用户主动发起,也可以由认证系统发起。当认证系统探测到未经

过认证的用户使用网络,就会主动发起认证;用户端则可以通过客户端软件向认证

系统发送EAPOL-Start报文发起认证。

1.2 IEEE802.1x协议的体系结构

图2 802.1x协议的体系结构

IEEE 802.1x协议的体系结构包括三个重要的部分:Supplicant System客户端、

Authenticator System认证系统、Authentication Server System认证服务器。

图2描述了三者之间的关系以及互相之间的通信。

客户端系统一般为一个用户终端系统,该终端系统通常要安装一个客户端软件,用

户通过启动这个客户端软件发起802.1x协议的认证过程。为支持基于端口的接入

控制,客户端系统需支持EAPOL(Extensible Authentication Protocol Over

LAN)协议[3,4]。

2 三种认证方式的比较

常见的宽带接入用户认证方式主要有三种:PPPoE、Web/Portal、802.1x。

1)PPPoE认证方法采用安装在端局BNAS或支持PPPoE的交换机, 负责终结由

用户PC发起的PPPoE进程, 并在BNAS后面连接认证服务器和计费服务器。用

户登录时,BNAS将用户名和密码传送至认证服务器, 验证通过后, 用户接入网络并

开始计费。PPPoE认证操作简单且用户较容易接受,能够很好地实现用户计费、在

线检测和速率控制等功能。但PPP协议与以太网技术存在本质上的差异, 需要被再

次封装到以太网的帧里, 存在封装效率问题。

2)Web/Portal认证是一种业务类型的认证, 通过启动一个Web页面输入用户名

和密码, 实现身份认证。该认证方式无需特殊的客户端软件, 降低了网络维护工程

量; 无需多层数据封装, 保证效率。但Web认证基于应用层协议, 建网成本高, 易用

性不够好, 开放性不够好, 没有统一标准。

3)802.1x认证的特点: 协议为两层协议, 对设备的整体性能要求不高, 但要求认证

系统内的所有设备都必须支持802.1x协议, 用户需要安装客户端软件; 对组播业务

的支持性很好, 易于支持多业务和新兴流媒体业务; 可以映射不同的用户认证等级

到不同的VLAN; 不需要进行协议间的多层封装; 认证与业务分离, 用户通过认证后,

系统对后续的数据包无特殊处理, 有效地解决了网络“瓶颈”。

3 802.1x协议的改进

3.1 基于改进方案的客户端的设计

客户端在逻辑结构上分为两部分:第一部分是底层的协议实现,第二部分是与用户

交互的界面设计。底层部分参照802.1x协议设计,并进行相应的修改,最终生成

一个动态链接库方便上层调用[6]。下面就数据包封装、数据包发送和功能设计等

进行详细说明。

3.1.1 数据包封装

用户接入认证的客户端主要完成对二层数据帧的封装以及发送,并响应NAS的数

据帧。设计的客户端程序修改原有认证过程中第三步(如图1)的数据帧EAP-

Response/Identity,在其中加入认证需要的用户IP和MAC地址,即在响应

NAS发送EAP-Request/Identity的时候。修改后的数据帧如图3所示。

图3 修改后的EAP-Response数据帧结构

3.1.2 数据包发送

数据包发送功能利用了Winpcap(Windows packet capture)提供的免费接口来实

现底层数据包的收发工作,Winpcap是windows平台下一个免费、公共的网络

访问系统。开发Winpcap这个项目的目的在于为win32应用程序提供访问网络

底层的能力。它提供了以下的各项功能:

1)捕获原始数据包,包括在共享网络上各主机发送/接收的以及相互之间交换的

数据包;

2)在数据包发往应用程序之前,按照自定义的规则将某些特殊的数据包过滤掉:

3)在网络上发送原始的数据包;

4)收集网络通信过程中的统计信息。

Winpcap提供了一系列的API,我们可以通过这些API在没有任何另外中间层参

与的情况下实现Ethernet网络报文的截取。

3.2 FreeRadius功能设计

在应用开源的项目FreeRadius时,考虑实际需要,添加如下功能:

3.2.1 分阶段认证功能

在FreeRadius中实现了分阶段认证,第一阶段的主机认证(IP和MAC)在数据

库中做认证,第二阶段的用户信息认证(用户名和密码)也在数据库中做认证。

3.2.2 日志导出功能

在用户通过认证后,FreeRadius中实现了把用户连接后的日志信息记录到数据库

中,包括用户登录时间、下线时间、用户IP和MAC地址、用户连接的NAS地址

等信息。

3.2.3 单一用户登录功能

当用户连接而没有发出下线请求,同时相同的用户名(在另一台计算机上)再次登

录时,会提示出错信息。这样可以设定相同用户名可以同时登录的数目,防止帐号

盗用。

3.2.4 帐号到期功能

分配帐号时,会预先设置帐号到期时间,过期后用户将不能再登录。这样可以设定

用户帐号使用的有效日期。

4 基于802.1x协议改进后的技术实现

4.1 FreeRadius服务器的部署

FreeRadius是开源的免费使用的RADIUS服务器。FreeRadius已经具有了商业

化RADIUS大部分的功能。FreeRadius支持LDAP、MySQL、PostgreSQL和

Oracle数据库;它还支持多种加密类型,如EAP-MD5、EAP-TTLS和Cisco

LEAP。本文中RADIUS服务器正是采用了FreeRadius 1.1.7,并在此基础上做出

修改。

4.2 其他服务器等部署情况

数据库服务器采用oracle9.2.0.1,认证时可以用于存储用户的帐号信息和计算机

认证信息。用户帐号数据库服务器保存所有用户上网的用户名和密码,不但对安全

性要求很高,而且对于日后的网络日常使用、管理和维护有很大的影响。因此,将

数据库服务器部署在网络中心,并且与认证计费服务器Radius分开,再由核心交

换机的ACL功能允许认证计费服务器Radius访问它,从而进一步提高后台数据

的安全性。

Web服务器用于客户端软件的升级,采用Apache Server作为升级服务器。在

Web服务器上使用双网卡。内网网卡与数据服务器连接,交换数据。外网网卡接

入校园网服务器区,提供给校园网系统通过TCP/IP可以访问的Web服务器。测

试用的客户端操作系统为WinXP。

测试用的NAS为华为的S系列的S3300交换机。

4.3 测试用例

为了测试客户端和服务器是否能正常工作,以及是否实现了预期的功能,设计了一

些实际中出现的一些情况来加以测试,测试如下。

1)用户A用计算机C上网时,利用用户A的帐号、密码和计算机C的IP和

MAC地址进行认证,当两个认证都通过,才能够接入网络;另外一个用户B也可

以利用自己的帐号在计算机C上网,此时认证的则是B的用户名和密码,以及计

算机C的IP和MAC地址。A也可以在校园网内任何一台IP和MAC设置正确的

计算机上利用自己的帐号上网。测试目的:检测用户信息认证和主机认证是否能分

开进行,以及认证信息在整个校园网中的统一性。

2)用户A用计算机C上网时,同时用户B用计算机D上网,但是B盗用A的帐

户,则此时会给出错误提示。测试目的:检测用户帐号重登录数,即默认情况下设

置用户帐号只能登录一次。

3)用户A用计算机C上网时,当超过预期帐号的合法日期后,就会提示出错。测

试目的:检测用户帐号有效日期的正确性,即用户只能在帐号合法日期内进行认证。

4)用户A用计算机C上网时,可以连接 WEB服务器来检测是否有新版本的客户

端程序,如果有则进行升级,升级后仍旧可以正常访问网络资源。测试目的:检测

WEB服务器是否正常工作,以及客户端升级是否正常。

5)上述过程在另一台NAS上也能够达到预期的目的。

5 结束语

改进后的802.1x认证技术能够比较好地解决现阶段所面临的用户身份认证和应用

终端的安全性问题,而且改进后的协议也能进一步增强网络安全性,达到了设计要

求和实现目的。但正如大家所共知的,任何一项技术都不可能解决目前所面临的全

部问题。因此,仅仅依靠802.1x这项技术来解决校园身份管理系统中的用户身份

认证和应用终端所面临的所有安全问题是不现实的。只有多项技术和相关的管理规

定有机结合,才能构建一个真正安全、可靠的网络环境。

参考文献:

[1]许亦镜.802.1x协议在校园网中的应用[J].闽江学院学报,2008,(2):13.

[2]韩荣珍.深入剖析802.1x协议[J].计算机安全,2008,(11):25.

[3]严小英,温川.基于802.1x网络的一卡通实现[J].中国教育网络,2008,(5):36.

[4]何江.基于802.1x的校园网认证系统研究与实现[D].山西: 太原理工大学, 2003.

[5]张毅,高东怀,许卫中,等.校园网网络用户安全身份认证体系分析[J].医疗卫生装备,

2008,(4):23.


本文标签: 认证 用户 网络 服务器