校园网部署集中式身份认证的利弊探讨

国内校园网通常采用802.1x认证或集中式身份认证这两种认证方式来对网络用户进行认证和计费, 大多数的校园网采用的是集中式身份认证。集中式身份认证由于其所处网络结构中位置的特殊性, 作为校园网的认证计费方式, 具有很多优点, 但是同样因为这种部署位置的特殊性, 不可避免的存在很多问题。

1 体系结构

集中式身份认证是一种基于连接的认证, 组网方式可以是集中式, 也可以是分布式。用户开机后通过DHCP服务器获得IP地址, 通过对该IP地址进行强制URL访问, 用户打开浏览器时只能打开充值、下客户端页面, 通过该页面, 用户能够实现查看储值、充值、下载客户端等功能。用户充值后登陆客户端, 认证系统基于I P地址和用户组集中对接入用户进行认证、授权和计费。北京城市热点的D R.C O M控制网关、北大的IP控制网关、清华大学的千兆计费网关等等, 都属于集中式身份认证方式。

下面是采用集中式身份认证下的网络结构示意图。

从上图可以看出, 集中式身份认证的认证计费系统部署在网络的出口处, 对用户访问外网资源进行访问控制, 在功能上像一个网关, 所以这种认证方式通常也称为出口网关控制方式或者I P网关控制方式。

2 集中式身份认证的优点

相比8 0 2.1 X认证而言, 由于下层网络是畅通的, 集中式身份认证的客户端发放非常容易, 可以直接进行网络推送, 大大减少了网络管理员的工作量。这种认证计费方式实现了基于I P地址的对用户的访问控制和计费, 因而拥有完善的用户管理功能和丰富的计费策略, 能够基于时长、流量对用户进行计费, 提供不同形式的包天、包月等多种计费服务, 支持按国内国际流量计费, 支持用户自行 (在没有充值的情况下) 充值、查看余额、查看缴费记录和上网记录等业务及用户报停功能。这种认证计费方式还有一个很大的优点, 就是计费系统能够实时监控用户的在/离线状态, 因而能够保证计费的准确性和有效性。

集中式身份认证通过软件实现, 使用通用开放的平台 (主流服务器等) , 易于升级和移植。另外其对下面网络设备, 无论是核心交换机还是汇聚层、接入层交换机, 都没有什么要求, 能适应不同厂家的不同产品, 因而便于网络的维护和升级。集中式身份认证其认证计费系统由许多独立的模块组成, 有良好的可扩展性。

由于认证前用户已经获取I P地址, 这样能够将校园网的内网和外网有效的分离, 将网络服务划分不同的层次, 让用户可以免费或者有限的访问内网资源, 也可以付费访问外网资源。越来越多的校园网用户呼吁在访问外网的时候才进行认证和计费, 由学校共享一些优势的免费内网资源, 比如O A系统、教学管理平台、精品课程、图书馆资源等等。在集中式身份认证方式下很容易实现这种网络服务, 这种内网、外网分离的服务方式, 也是局域网服务的一种发展趋势。

3 存在的缺点和弊端

由于内网的畅通, 集中式身份认证方式不可避免的存在安全性较差的问题。它很难确认接入网络的用户身份是否合法, 而且不易定位用户的上网位置。由于它是面向用户的访问控制, 不能在网络边缘 (接入层) 对用户进行管理和控制, 认证前是无法区分接入网络的是合法用户还是非法用户。另外接入用户在认证前就可以获取IP地址, 因而无法避免二层的网络风暴、A R P攻击等问题, 可能形成较差的下层网络环境, 从而影响校园网用户对网络的正常接入和访问。而且一旦因为用户乱接线出现交换机之间的冗余连接, 形成网络环路, 就可能导致整层楼甚至整栋楼的用户不能访问网络。虽然采用生成树协议可以解决网络环路带来的问题, 但是按照图中的结构, 一旦网络环路跨三层, 那么必须对核心交换机也做生成树协议的配置, 这无疑会增加核心交换机的负担。出现这些安全问题, 网络管理人员通常无法从远程判断出问题的源头, 也就是说无法知道是哪个用户的电脑中了病毒或者接错了网线, 因而不能远程解决这些问题。

集中式身份认证由硬件和软件共同完成, 相对8 0 2.1 x而言, 成本比较高。其认证计费系统对出口的畅通性有较大影响, 尤其是随着网络规模的扩大, 高峰期上网人数和网络流量都很大, 可能形成流量颈瓶。目前主流的集中式身份认证产品都支持1 G双向线速转发, 但是很多高校都使用多出口, 总带宽远远超过1 G, 一旦出口流量接近千兆 (不谈超过) , 出口设备的稳定性和运行能力将受到很大威胁, 极有可能导致整个网络的崩溃。现在已经有的公司已经开发出支持4 G双向线速转发的产品, 甚至是万兆级安全网关产品, 网络瓶颈问题可望得到解决, 只是成本更高。

集中式身份认证方式下, 如果使用公网的IP地址, 很容易造成IP地址的浪费。虽然现在已经推出了IPV6, 但是大部分的高校目前都是使用的IPV4的IP地址, 其地址资源有限。大量并不需要访问网络的用户接入 (具体表现在用户习惯性的网线连接或者学生用户彼此连局域网等) , 在I P地址不够得情况下, 无疑会影响其他用户正常使用网络。

集中式身份认证具有高性能、高可用的特性, 这些特性在一定程度上牺牲了网络的稳定性和强壮性。但是总体而言, 作为对用户的访问控制和计费, 集中式身份认证仍旧是一种比较理想的认证方式, 虽然其最大的弊端是不能对准入用户进行控制, 但是因其综合性能优良, 还是为大多数校园网和许多大中型企业网所采用。随着技术的不断发展与改进, 集中式身份认证带来的网络安全、流量瓶颈等问题有望得到改善或解决, 那么其应用将会越来越广泛。

摘要：网络的认证和计费是网络应用中不可缺少的一个部分, 网络认证的目的除了是对网络用户的可管理与可控制, 还有一个重要的目的就是为了计费, 并且认证的可靠性直接决定了计费的准确性。集中式身份认证因为认证可靠、计费准确、便于管理等高性能、高可用的特性为大多数校园网所采用, 但是在校园网部署这种认证方式对网络的的应用来说同样存在许多的缺点和弊端。

关键词：校园网,集中式身份认证,出口控制网关,IP控制网关