基于802.1x的校园网用户身份认证设计与实现.pdf

1、 l 匐 似 基于8 0 2 1 x 的校园网用户身份认证设计与实现 Desi gn and i m pl em ent at i on of cam pus net w or k us er i dent i t y aut hent i cat i on base d on 802 1 X 吴贤平 W U Xi a n p i n g ( 温 州大 学，温州 3 2 5 0 3 5 ) 摘要 ：当前我国高校校园网事业飞速发展 ，但随着用户数的急剧增加和业务样式的增多，校园网的安 全问题也日益突出。本文针对标准的8 0 2 1 x 协议在实际应用中存在不足，提出了适合于校园 网身份管理系统中

2、的用户身份认证切实可行的协议改进方法。提出了校园网认证系统的整体 框架，为建造安全可靠的校园网提供了新的思路和方法。 关键词 ：8 0 2 1 x 认证；PP P o E 认证；R a d i u s 认证；认证系统；校园网 中图分类号：T P 3 9 文献标识码：A 文章编号：1 0 0 9 - 0 1 3 4 ( 2 0 1 2 ) 0 5 ( 上) 一0 0 4 7 - 0 3 Do i ： 1 0 3 9 6 9 J i s s n 1 0 0 9 -0 1 3 4 2 0 1 2 5 ( 上) 1 5 0 引言 由于 传统认证( Au t h e n t i c a t i o n

3、，又称鉴别) 方 式对校 园网中用户数据 包繁琐的处理造 成 了网络 传输瓶颈 ，而通过增加其 他网络设备来 解决传输 瓶颈势必造 成网络 成本 的提升 ，因此无 法满足用 户对 网络安全性、高效性和低成本的要求。I E E E 8 0 2 1 x 通过对认证方式和认证体系结构进行优化， 有效地解决 了传统P P P o E 和We b P o r t a l 认证方式带 来 的问题 ，消除了网络瓶 颈，减轻了网络封装开 销 ，降低 了建 网成本 ，从 而成为当前校 园网选 型 的一个热点。 1 I E E E 8 0 2 1 x 技术简介 1 1 I E E E 8 0 2 1 X 协议的工

4、作机制 8 0 2 1 x 作为一个认证协议，在实现的过程 中有 很多重要的工作机制 ( 如图1 所示) 。 一 P o rt c o t 啤啤 一 图1 I E E E 8 0 2 1 x 协 议的工作机制 认证的发起可 以由用户主动发起 ，也可 以由 认证 系统发起 。当认证系统探 测到 未经过认证 的 用户使用 网络 ，就会主动发起认证；用户端则可 以通过客户端软件向认证系统发送E A P OL S t a r t 报 文 发起认 证 。 1 2 I E E E 8 0 2 1 x l#议的体系结构 r 一一一一一1 r 一一一一一一一一一一一 l p 口 llc 帅I I I u lh

5、 l l曲 s 拍 l 图 2 8 0 2 1 x 协 议 的 体 系结 构 I E E E 8 0 2 1 x 协 议的体 系结构包括三 个重要 的部分 ：S u p p l i c a n t S y s t e m客户端 、Au t h e n t i c a t o r S y s t e m认证系统 、Au t h e n t i c a t i o n S e r v e r S y s t e m认 证 服务 器 。 图2 描 述 了三者 之 间 的关 系 以及 互 相之 间的通信 。 客户端 系统一般为一个用户终端 系统 ，该终 端系统通常要安装一个客户端软件 ，用户通过启 动

6、这个客户端软件发起8 0 2 1 x 协议的认证过程 。 为支 持基 于端 口的接 入控 制 ，客户 端 系统 需支 持E AP O L ( E x t e n s i b l e A u t h e n t i c a t i o n P r o t o c o l Ov e r L A N) 协议 。 收稿日期：2 0 1 2 - 0 3 -1 2 基金项目：2 0 1 2 年浙江省教育科学规划资助项目 ( S C G1 5 4 ) 作者简介：吴贤平( 1 9 7 8 一) ，男，实验师，硕士研究生，研究方向为计算机应用技术。 第3 4 卷第5 期2 0 1 2 0 5 ( 上) 【 4

7、7 】 学兔兔 w w w .x u e t u t u .c o m l 甸 似 2 三种认证方式的比较 常 见 的宽 带接 入 用户认 证 方式 主要 有三 种 ： PPPo E、 W e b Po r t a l 、 8 02 1 x。 1 )P P P o E 认 证 方 法 采 用 安 装 在 端 局 B NAS 或 支 持P P P o E的交换 机，负责终结 由用 户P C发起 的 P P P o E 进程， 并在BNAS 后面连 接认证服务器 和计 费服 务器 。用户登录时， BNAS 将用户名和密码传 送至认证服 务器， 验证通过后， 用户接入网络 并开 始计费 。P P P

8、 o E 认证操作 简单且用户较容 易接 受， 能够很好地实现用 户计 费、在线检测和速率控 制 等功能 。但P P P 协议与以太网技术存在本质上的差 异， 需要被再次封 装到 以太 网的帧里， 存在封装效 率 问题 。 2 )We b P o r t a l 认证是一种业务类型的认证， 通 过启动一个We b 页面输入用户名和密码， 实现身份 认证 。该认证方式无需特殊的客户端软件， 降低 了 网络维护工程量； 无需多层数 据封 装， 保证效率 。 但We b 认证基 于应用层协议， 建 网成本高， 易用性 不够好， 开放性不够好， 没有统一标准。 3 )8 0 2 1 x 认证的特点：

9、协议为两层协议， 对设 备的整体性能要求不高， 但要求认证系统 内的所 有 设备都必须支持8 0 2 1 x 协议， 用户需要安装客户端 软件 ； 对组播业务 的支持性很好， 易于支持多业务 和新兴流媒体业务； 可 以映射不同的用户认证等级 到不同的V L AN； 不需要进行协议 问的多层封装； 认 证 与业务分 离， 用 户通过认证后，系统对后续的数 据包无特殊处理， 有效地解决了网络 “ 瓶颈 ”。 3 8 0 2 1 x 协议 的改进 3 1基于改进方案的客户端的设计 客户端在逻辑结构上分为两部分： 第一部分是 底层 的协议实现 ，第二部分是与用户交互的界面设 计 。底层部分参照8 0

10、2 1 x 协议设计 ，并进行相应的 修改，最终生成一个动态链接库方便上层调用。 。 。 下面就数 据包封 装、数据包发送 和功能设计等进 行详 细 说 明 。 3 1 1数据包封装 用 户接入认证 的客户端主要 完成对二层数 据 帧 的封装 以及发送 ，并 响应NAS 的数据 帧。设计 的客户端程序修 改原 有认证过程 中第三步( 如 图1 ) 的数 据帧E AP Re s p o n s e I d e n t i t y ，在其 中加 入认 证需要的用户I P 和MAC地址 ，即在响应NAS 发送 E AP R e q u e s t I d e n t i t y 的时候 。修改后的数

11、据帧如图 4 8 1 第3 4 卷第5 期2 0 1 2 0 5 ( 上) 3 N示。 L e n g t h I I d e n t i t y I P + MAC 图3 修改后的E AP R e s p o n s e 数据帧 结构 3 1 2数据包发送 数 据 包发送 功能 利 用 了Wi n p c a p ( Wi n d o ws p a c k e t c a p t u r e ) 提供的免费接 口来实现底层数据包 的 收发工作 ，Wi n p c a p 是wi n d o ws 平 台下一个 免 费、公共 的网络访 问系统 。开发Wi n p c a p 这个项 目 的 目

12、的在于为w i n 3 2 应用程序提供访问网络底层的 能力。它提供 了以下的各项功能： 1 )捕获原始数据包，包括在共享网络上各主 机发送 接收的以及相互之 间交换的数据包； 2 )在数据包发往应用程 序之前 ，按照 自定义 的规则将某些特殊的数据包过滤掉： 3 )在网络上发送原始的数据包； 4 )收集网络通信过程 中的统计信息 。 Wi n p c a p 提供 了一 系列的AP I ，我们可以通过 这些AP I 在没有任何另外 中间层参与的情况下实现 E t h e me t 网络报文的截取 。 3 2 F r e e R a d i u s 功能设计 在应用开源的项 目F r e e

13、Ra d i u s 时 ，考虑 实际需 要 ，添 加 如下 功 能： 3 _ 2 _ 1 分 阶段 认证功能 在F r e e Ra d i u s 中实现 了分阶段认证 ，第一阶段 的主机认证 ( I P f H MAC)在数据库 中做认证 ，第 二 阶段的用户信息认证( 用户名和密码 )也在数 据库中做认证。 3 2 2日志导出功能 在 用 户通 过认 证 后 ，F r e e R a d i u s 中实 现 了把 用 户连接后的 日志信 息记录 到数据库 中，包 括用户 登录时间、下线时间、用户I P 和MAC地址 、用户 连接的NAS 地址等信息。 3 2 3单一用户登录功能 当用

14、 户连接而没有发 出下线请求 ，同时相 同 的用 户名 ( 在另一台计算机上 )再 次登录时 ，会 提示 出错信 息 。这样可 以设 定相同用户名可 以同 时登录的数 目，防止帐号盗用。 3 2 4帐号到期功能 分配帐号时 ，会预 先设置帐号 到期时 间，过 期后用户将不能再登录 。这 样可以设定用户帐 号 使用的有效 日期 。 学兔兔 w w w .x u e t u t u .c o m l 訇 化 4 基于8 0 2 1 x t ,) J ,议改进后的技术实现 4 1 F r e e Ra d I u s 服务器的部署 F r e e Ra d i u s 是 开 源 的 免 费 使 用

15、 的 RADI US 服 务器 。F r e e Ra d i u s 已经具 有 了商业化RADI US 大 部 分 的功 能 。F r e e Ra d i u s 支 持L DAP 、My S QL、 P o s t g r e S QL 和Or a c l e 数据库；它还支持 多种加密类 型 ，如E AP MD 5 、E A P T T L S 和 C i s c o L E AP。本 文 中R ADI US H 务器正是采用了F r e e Ra d i u s 1 1 7 ， 并 在此 基 础上做 出修 改 。 4 2 其他服务器等部署情况 数据库服务器采用o r a c l e

16、 9 2 0 1 ，认证时可 以 用于存储用 户的帐号信 息和计算机认证信息 。用 户帐号数据库服 务器保 存所有用户上网的用户名 和密码 ，不 但对安全性要求很高 ，而且对于 日后 的网络 日常使用、管理 和维护有很大的影响 。因 此 ，将数据 库服务器部署在网络 中心 ，并且与认 证 计 费服 务器 R a d i u s 分开 ，再 由核 心交换 机 的AC L 功能允许认证计费服务器R a d i u s 访问它 ，从而进一 步提高后台数据的安全性 。 We b 服 务器 用 于 客 户端 软 件 的升 级 ，采 用 Ap a c h e S e r v e r 作为升级服务器 。在W

17、e b 务器上使 用双 网卡。内网网卡与数据服务器连接 ，交换数 据 。外 网网卡接入校园网服务器区 ，提供给校 园 网 系统 通 过 T CP I P 可 以访 问的 We b 服 务 器 。 测试 用的客户端操作系统为Wi n XP 。 测试 用的NAS 为华 为的S系列 的S 3 3 0 0 交换 机 。 4 3 测试用例 为了测试客户端 和服 务器是否能正常工作 ， 以及是否实现 了预期的功能 ，设计 了一些 实际中 出现 的一 些情 况 来加 以测试 ， 测试如 下 。 1 )用户A用计算机C 上网时，利用用户A的帐 号、密码和计算机c的I P 和MAC地址进行认证 ， 当两个认 证

18、都通过 ，才能够接入 网络 ；另外一个 用户B 也可 以利用 自己的帐号在计算机C上网，此 时认证的则是B的用户名和密码 ，以及计算机C的 I P 和MAC 地址。A也可以在校园网内任何一台I P 和 MAC 设置正确的计算机上利用 自己的帐号上网。 测试 目的 ： 检 测用户 信息认 证和主机 认证 是否 能 分开进行 ，以及认证信息在整个校园网中的统一 性 。 2 )用户A用计算机C 上 网时，同时用户B用计 算机D上网 ，但是B盗用A的帐 户，则此时会给 出 错误提示。测试 目的： 检测用户帐号重登录数 ，即 默认情况下设置用户帐号只能登录一次。 3 )用户A用计 算机C上 网时，当超过

19、 预期帐 号 的合法 日期 后，就会提 示出错 。测试 目的： 检测 用户帐号有效 日期 的正确性 ，即用户 只能在帐号 合法 日期内进行认证 。 4 )用户A用计算机C 上网时，可以连接 WE B 服 务器来检 测是 否有新版本的客户端程序 ，如果 有则进行升级 ，升级后仍 旧可 以正常访问网络资 源。测试 目的： 检测wE B 服务器是否正常工作，以 及客户端升级是否正常 。 5 )上述过程在另一台NAS 上也能够达到预期 的目的。 5 结束语 改进后的8 0 2 1 x 认证技术能够比较好地解决现 阶段所面临的J j 身份认证和 应用终端 的安全性 问题，而且 改进 后的协议也能进一步增

20、强 网络安 全性 ，达 到了设 计要求和实现 目的。但正如大家 所 共知的 ，任何 一项技术都不可 能解决 目前所面 临的全部 问题。因此 ，仅仅依靠8 0 2 I x 这项技术来 解 决校园身份管理 系统 中的用 户身份认证和应用 终端 所面临的所有安全问题 是不现实 的。只有 多 项技术和相关的管理规定有机 结合，才能构建一 个真正安全、可靠的网络环境。 参考文献 ： 【 l 】许亦镜 8 0 2 1 x 协议在校 园网 中的应用 【 J J 闽江学院学报， 2 0 0 8 ， ( 2 ) ： 1 3 【 2 1韩荣珍 深入剖析8 0 2 I x 协议 J 1 计算机安全， 2 0 0 8 ， ( 1 1 ) ： 2 5 3 】严小英， 温川 基 于8 0 2 1 x 网络的一卡通实现【 J J 中国教育 网络， 2 0 0 8 ， ( 5 ) ： 3 6 【 4 何江 基 于8 0 2 1 x 的校 园 网认证 系统研 究与实现 【 D】 山 西： 太原理 工大学， 2 0 0 3 5 】张毅， 高 东怀， 许 卫中， 等 校园 网网络用户安 全身份认证 体系分析【 J 】 医疗卫生装备， 2 0 0 8 ， ( 4 ) ： 2 3 第3 4 卷第5 期2 0 1 2 0 5 ( 上) 4 g l 学兔兔 w w w .x u e t u t u .c o m