使用IEEE802.1X协议实现校园网认证

1 引言

校园网是教育信息化建设的基础, 但随着用户数量的增加和业务形式的增多, 校园网中的安全和运营管理问题日益突出。如何在校园网环境下实现安全认证成为网络管理人员十分关心的问题。传统的认证方式(P P P o E, Web/Portal)需要对校园网中的用户数据进行频繁的处理, 严重影响了网络性能, 难以做到网络的安全性、性能和成本的统一。IEEE802.1X (基于端口的网络访问控制) 协议的诞生很好的满足了校园网用户的需求, 为在校园网环境下实现安全认证提供了良好的解决方案。

2 IEEE802.1X技术介绍

IEEE802.1X协议是由IEEE于2001年6月通过的基于端口的访问控制协议(Portbased Network Access Control Protocol)。[1]它提供了一种基于端口的网络接入控制技术, 通过在交换机的端口上对接入用户进行访问控制, 从而实现网络安全认证。

2.1 802.1X认证的体系结构

802.1X认证的体系结构由以下三部分组成, 三者之间协同工作, 实现对用户的安全认证。[2]

(1) 请求系统。请求系统是指提出认证请求的用户设备, 一般为用户的终端计算机系统。

(2) 认证系统。认证系统一般为支持802.1 X协议的交换机, 它为客户端提供接入局域网的访问端口。

(3) 认证服务器系统。认证服务器系统一般使用RADIUS (Remote Authentication Dial In User Service, 远程拨号用户认证服务)服务器对用户进行身份认证。

2.2 802.1X的认证过程

(1) 用户在客户端程序中输入用户名和口令, 同时向发出8021.X交换机发出认证请求, 启动认证过程。

(2) 交换机收到客户端程序传来的认证请求后, 要求客户端程序发来接入用户的用户名。

(3) 交换机收到客户端发来的用户名后, 将其经过封包处理后传给RADIUS认证服务器进行处理。

(4) RADIUS认证服务器将收到的用户名与存储在数据库中的用户信息进行比对, 找到该用户名对应的口令信息, 并随机生成的一个加密字对其进行加密处理, 同时将此加密字传给交换机, 由交换机传给客户端程序。

(5) 客户端程序收到由交换机传来的加密字后, 用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的), 并通过交换机传给认证服务器。

(6) 认证服务器将加密后的口令信息和本机加密后的口令信息进行对比, 如果相符, 则反馈认证通过, 打开交换机相应端口, 允许用户通过端口访问网络。否则, 反馈认证失败, 并保持交换机端口的关闭状态, 只允许认证数据通过而不允许业务数据通过。

2.3 802.1X认证方式的优点

(1) 802.1X认证方式真正实现了认证流和数据流的分离, 不需要对用户数据进行频繁的封装和解封缝操作, 网络开销小, 性能高。

(2) 802.1X结合EAP具有很高的安全性。特别是在W L A N环境中8 0 2.1 x结合E A P-T L S, E A P-T T L S, 可以实现对W E P证书密钥的动态分配, 实现局域网的安全接入。

(3) 802.1X具有统一的行业标准, 目前主流的网络设备都提供对该协议的支持, 可以实现和以太网的无缝融合。

(4) 建网成本低, 易于实现。802.1X工作在二层, 对设备要求低, 可在普通交换设备上实现, 而且保留了传统认证的网络架构, 可以利用现有的R A D I U S设备。

3 基802.1X认证的校园网解决方案

在校园网络环境中实现IEEE802.1X认证可以采用集中式认证和分布式认证两种形式, 二者的区别在于认证系统实现的位置不同。[3]

(1) 集中式认证将802.1X认证系统放到层次较高的汇聚层交换机。这种方式的优点在于采用集中式的管理, 降低了管理和维护成本。

(2) 分布式认证将802.1X认证系统放到层次较低的接入层交换机。这种方式的优点在于采用中/高端设备与低端设备相结合的方式, 可以满足复杂的网络环境。认证工作分配给多个设备, 降低中心设备负荷。

4 结语

综上所述, 基于IEEE802.1X协议的校园网方案, 解决了现阶段所面临的用户身份安全认证问题, 增强了校园网安全性, 有助于消除来自校园网内部的安全威胁。

摘要：本文介绍了使用IEEE802.1X协议实现校园网认证的方法, 并对该认证方式的优点进行分析, 认为IEEE802.1X协议可以较好的解决校园网中存在的安全认证问题。

关键词：IEEE802.1X协议,校园网,认证

参考文献

[1] IEEE Standard for Local and Metro-politan Area Networks Portbased Net-work Access Control[s].2001, 06.

[2] 朱海龙, 张国清.基于802.1X的以太网接入技术[J].计算机工程, 2003 (10) .

[3] 田辉, 张彤.基于802.1x认证技术的应用分析[J].电信网技术, 2004 (12) .