基于802.1x的校园网接入认证机制

基于802.1x的校园网接入认证机制

摘 要：该文通过分析校园网面临的安全问题，强调接入认证的重要性，并介绍了801.1x认证的原理，给出801.1x认证在校园网中的具体使用实例。

关键词：校园网，接入认证，802.1x

1. 序言

目前，我国校园网事业飞速发展，至2003年初，几乎所有的大专院校和条件稍好的中小学都建立了自己的校园网,并在其上开展了多种服务和应用。
校园网的建设丰富了学习资源、提高了教育效率。但随着用户数的急剧增加和业务样式的增多，校园网的安全问题也日益突出,如IP仿冒，端口探测，非法攻击，发布不良信息等，无时无刻不在威胁校园网络的健康发展，而成为教育信息化建设中不容忽视的问题。

要解决这些问题，无疑离不开认证技术，通过认证确认用户的身份后，它在网络中所做的一切就有据可查，一方面使用户在接入网络时，就意识到自己是被认证的，自己所有的操作都是可以被定位的，在心理上给其敲响警钟；另一方面，一旦真的出了问题，可以根据接入认证的信息查到责任人。

传统认证方式（PPPOE,VLAN+WEB）需要对校园网中用户数据包进行繁琐的处理，对网络性能的影响很大，而通过增加高档网络设备来解决传输速度就必然导致网络成本的提升，因此在网络安全性、高效性和低成本上很难做到统一。IEEE 802．1x协议的诞生很好满足了用户在这些方面的需求,为校园网提供了一个良好的解决方案。

2. 802.1x技术介绍

IEEE802.1x又名为基于端口的访问控制协议（Port based network access control protocol）,是目前网络领域最新的安全认证协议, 它起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的产生主要是为了解决无线局域网用户的接入认证问题。

无线局域网的网络空间具有开放性和终端可移动性，所以很难通过网络物理空间来界定终端是否属于该网络，因此，需要通过端口认证来防止非法的计算机接入本地无线网络。

802.1x认证在无线局域网中应用后，又被推广到有线的以太网上。它不同于传统的PPPoE、Web认证，认证流和业务流不分离。802.1x认证基于逻辑端口把认证流和业务流进行分离。在认证通过之前，逻辑端口的状态为unauthorized，此时只能通过EAPOL的802.1x认证报文；认证通过后，逻辑状态切换为authorized，此时远端认证服务器可以下发用户的属性信息，如VLAN、CAR参数、优先级、用户访问控制列表等；在认证通过后，用户的流量将接受上述参数的监管，此时逻辑端口可以通过任何报文，即业务流可以通过。它的认证方式就是通过认证前后打开/关闭受控端口对业务流的通过性，来实现对用户接入的控制，从而实现对用户的物理端口的认证和控制。

802.1x协议又叫the Extensible Authentication Protocol encapsulation over LANs (EAPOL)，它包括以下三个元素：

1. 客户端（Supplicant）：一般安装在用户的工作站上，当用户有上网需求时，客户端程序要求用户输入必要的用户名和口令，然后送出连接请求。

2. 认证系统（Authenticator）：在以太网系统中指认证交换机，主要作用是完成用户认证信息的上传、下达工作，并根据认证的结果打开或关闭端口。

3. 认证服务器（Authentication Server）：通过检验客户端发送来的用户名和口令来判别用户的身份是否合法，并将认证结果发给认证系统，使认证交换机决定是打开或保持端口关闭的状态。

在具有802.1X认证功能的网络系统中，当一个用户需要对网络资源进行访问之前的具体认证过程有如下六步：

1. 当用户有上网需求时打开802.1X客户端程序，输入已经申请、登记过的用户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。

2. 交换机收到请求认证的数据帧后，将发出一个请求帧要求客户端程序将用户输入的用户名送上来。

3. 客户端程序响应交换机发出的请求，将用户名信息传送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。

4. 认证服务器收到交换机转发上来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给交换机，由交换机传给客户端程序。

5. 客户端程序收到由交换机传来的加密字后，用该加密字对口令部分进行加密处理，并通过交换机传给认证服务器。

6. 认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息，交换机则打开端口，允许用户的业务流通过端口访问网络。否则，反馈认证失败的消息，交换机则保持端口的关闭状态，只允许认证信息数据通过而不允许业务数据通过。

802.1x认证的突出优点就是实现简单、认证效率高、安全可靠；无需多业务网管设备，就能保证IP网络的无缝相连；同时，它在二层网络上实现用户认证，大大降低了整个网络的建网成本；而且由于客户端与认证服务器交换口令信息时，没有将口令以明文直接送到网络上进行传输，而是对口令信息进行了不可逆的加密算法处理，使在网络上传输的敏感信息有了更高的安全保障，杜绝了敏感信息泄漏的危险。

802.1x协议与传统的认证方式相比，最大的不同在：他是先认证，在认证通过后才能获得IP地址，这在网络安全上有了更好的保障。

3. 802。1x在校园网中的应用

根据802.1x和校园网的特点，对于校园网络，可以采取如下的连接方式

802.1x认证的服务器使用Windows2000的IAS来提供标准的Radius认证。

中心交换机及会聚交换机（本图中省略）使用普通交换机即可，无需对802.1x认证的支持。

接入层则全部采用支持802.1x认证的交换机，在用户开机接入时，就需要认证，通过认证才能接入网络，并获得DHCP分配的IP地址，同时，用户的接入时间和所用IP地址也记录在认证服务器上。

上网计算机需要安装客户端软件，才能配合交换机的认证（windows xp已经集成了802.1x协议的支持，无需客户端软件）。

这样，所有校园网内的机器，上网前必须通过802.1x体系的认证，其上网的接入时间和所用IP地址都记录在服务器上。

任何用户都无法冒充他人的IP，而在网络内进行破坏活动的，根据IP地址和时间，也会马上被网管查到具体的人。

此外，再通过在可管理的交换机上，综合采用MAC地址绑定、IP地址绑定、VLAN、ACL访问控制等多种网络安全手段，就可以使得整个校园网变得更加安全。

4. 存在的问题

通过802.1x来实现接入认证，虽然原理简单，实现方便，但也存在一些问题，最主要的是802.1x认证是基于端口的，而不是基于数据帧的，所以，如果一个端口连接多个用户时，只要一个用户通过了认证，该端口的状态就为打开，其他用户将不需要再认证。这就决定了一个支持802.1x的交换机的端口，只能连接一个用户，而不能在其下面使用普通交换机或集线器来展开，致使建网成本相对过高。

近期有通过MAC地址+IP地址的绑定功能来防止此问题的报道，原理上就是在认证通过后，记录其MAC地址和IP地址，认证交换机只对符合这两个条件的机器开放端口，不符合的还需要认证，这样可以大大降低认证的成本，必将促进802.1x的推广。

五、结束语

由上述可见，802.1x认证有着很广泛的应用前景，虽然目前还存在一些问题，但随着技术的进步，其协议必将更趋完善。

特别是在以太网（Ethernet）大行其道的情况下，为了克服其设计上的安全性缺乏，以获得更好的用户管理特性，802.1x认证以其简单、方便必将得到大量的应用。