基于802.1x的校园网用户身份认证设计与实现.pdf

资源描述

1、 l 匐似基于8 0 2 1 x 的校园网用户身份认证设计与实现 Desi gn and i m pl em ent at i on of cam pus net w or k us er i dent i t y aut hent i cat i on base d on 802 1 X 吴贤平 W U Xi a n p i n g ( 温州大学，温州 3 2 5 0 3 5 ) 摘要：当前我国高校校园网事业飞速发展，但随着用户数的急剧增加和业务样式的增多，校园网的安全问题也日益突出。本文针对标准的8 0 2 1 x 协议在实际应用中存在不足，提出了适合于校园网身份管理系统中

2、的用户身份认证切实可行的协议改进方法。提出了校园网认证系统的整体框架，为建造安全可靠的校园网提供了新的思路和方法。关键词：8 0 2 1 x 认证；PP P o E 认证；R a d i u s 认证；认证系统；校园网中图分类号：T P 3 9 文献标识码：A 文章编号：1 0 0 9 - 0 1 3 4 ( 2 0 1 2 ) 0 5 ( 上) 一0 0 4 7 - 0 3 Do i ： 1 0 3 9 6 9 J i s s n 1 0 0 9 -0 1 3 4 2 0 1 2 5 ( 上) 1 5 0 引言由于传统认证( Au t h e n t i c a t i o n

3、，又称鉴别) 方式对校园网中用户数据包繁琐的处理造成了网络传输瓶颈，而通过增加其他网络设备来解决传输瓶颈势必造成网络成本的提升，因此无法满足用户对网络安全性、高效性和低成本的要求。I E E E 8 0 2 1 x 通过对认证方式和认证体系结构进行优化，有效地解决了传统P P P o E 和We b P o r t a l 认证方式带来的问题，消除了网络瓶颈，减轻了网络封装开销，降低了建网成本，从而成为当前校园网选型的一个热点。 1 I E E E 8 0 2 1 x 技术简介 1 1 I E E E 8 0 2 1 X 协议的工

4、作机制 8 0 2 1 x 作为一个认证协议，在实现的过程中有很多重要的工作机制 ( 如图1 所示) 。一 P o rt c o t 啤啤一图1 I E E E 8 0 2 1 x 协议的工作机制认证的发起可以由用户主动发起，也可以由认证系统发起。当认证系统探测到未经过认证的用户使用网络，就会主动发起认证；用户端则可以通过客户端软件向认证系统发送E A P OL S t a r t 报文发起认证。 1 2 I E E E 8 0 2 1 x l#议的体系结构 r 一一一一一1 r 一一一一一一一一一一一 l p 口 llc 帅I I I u lh

5、 l l曲 s 拍 l 图 2 8 0 2 1 x 协议的体系结构 I E E E 8 0 2 1 x 协议的体系结构包括三个重要的部分：S u p p l i c a n t S y s t e m客户端、Au t h e n t i c a t o r S y s t e m认证系统、Au t h e n t i c a t i o n S e r v e r S y s t e m认证服务器。图2 描述了三者之间的关系以及互相之间的通信。客户端系统一般为一个用户终端系统，该终端系统通常要安装一个客户端软件，用户通过启动

6、这个客户端软件发起8 0 2 1 x 协议的认证过程。为支持基于端口的接入控制，客户端系统需支持E AP O L ( E x t e n s i b l e A u t h e n t i c a t i o n P r o t o c o l Ov e r L A N) 协议。收稿日期：2 0 1 2 - 0 3 -1 2 基金项目：2 0 1 2 年浙江省教育科学规划资助项目 ( S C G1 5 4 ) 作者简介：吴贤平( 1 9 7 8 一) ，男，实验师，硕士研究生，研究方向为计算机应用技术。第3 4 卷第5 期2 0 1 2 0 5 ( 上) 【 4

7、7 】学兔兔 w w w .x u e t u t u .c o m l 甸似 2 三种认证方式的比较常见的宽带接入用户认证方式主要有三种： PPPo E、 W e b Po r t a l 、 8 02 1 x。 1 )P P P o E 认证方法采用安装在端局 B NAS 或支持P P P o E的交换机，负责终结由用户P C发起的 P P P o E 进程，并在BNAS 后面连接认证服务器和计费服务器。用户登录时， BNAS 将用户名和密码传送至认证服务器，验证通过后，用户接入网络并开始计费。P P P

8、 o E 认证操作简单且用户较容易接受，能够很好地实现用户计费、在线检测和速率控制等功能。但P P P 协议与以太网技术存在本质上的差异，需要被再次封装到以太网的帧里，存在封装效率问题。 2 )We b P o r t a l 认证是一种业务类型的认证，通过启动一个We b 页面输入用户名和密码，实现身份认证。该认证方式无需特殊的客户端软件，降低了网络维护工程量；无需多层数据封装，保证效率。但We b 认证基于应用层协议，建网成本高，易用性不够好，开放性不够好，没有统一标准。 3 )8 0 2 1 x 认证的特点：

9、协议为两层协议，对设备的整体性能要求不高，但要求认证系统内的所有设备都必须支持8 0 2 1 x 协议，用户需要安装客户端软件；对组播业务的支持性很好，易于支持多业务和新兴流媒体业务；可以映射不同的用户认证等级到不同的V L AN；不需要进行协议问的多层封装；认证与业务分离，用户通过认证后，系统对后续的数据包无特殊处理，有效地解决了网络 “ 瓶颈 ”。 3 8 0 2 1 x 协议的改进 3 1基于改进方案的客户端的设计客户端在逻辑结构上分为两部分：第一部分是底层的协议实现，第二部分是与用户交互的界面设计。底层部分参照8 0

10、2 1 x 协议设计，并进行相应的修改，最终生成一个动态链接库方便上层调用。。。下面就数据包封装、数据包发送和功能设计等进行详细说明。 3 1 1数据包封装用户接入认证的客户端主要完成对二层数据帧的封装以及发送，并响应NAS 的数据帧。设计的客户端程序修改原有认证过程中第三步( 如图1 ) 的数据帧E AP Re s p o n s e I d e n t i t y ，在其中加入认证需要的用户I P 和MAC地址，即在响应NAS 发送 E AP R e q u e s t I d e n t i t y 的时候。修改后的数

11、据帧如图 4 8 1 第3 4 卷第5 期2 0 1 2 0 5 ( 上) 3 N示。 L e n g t h I I d e n t i t y I P + MAC 图3 修改后的E AP R e s p o n s e 数据帧结构 3 1 2数据包发送数据包发送功能利用了Wi n p c a p ( Wi n d o ws p a c k e t c a p t u r e ) 提供的免费接口来实现底层数据包的收发工作，Wi n p c a p 是wi n d o ws 平台下一个免费、公共的网络访问系统。开发Wi n p c a p 这个项目的目

12、的在于为w i n 3 2 应用程序提供访问网络底层的能力。它提供了以下的各项功能： 1 )捕获原始数据包，包括在共享网络上各主机发送接收的以及相互之间交换的数据包； 2 )在数据包发往应用程序之前，按照自定义的规则将某些特殊的数据包过滤掉： 3 )在网络上发送原始的数据包； 4 )收集网络通信过程中的统计信息。 Wi n p c a p 提供了一系列的AP I ，我们可以通过这些AP I 在没有任何另外中间层参与的情况下实现 E t h e me t 网络报文的截取。 3 2 F r e e R a d i u s 功能设计在应用开源的项目F r e e

13、Ra d i u s 时，考虑实际需要，添加如下功能： 3 _ 2 _ 1 分阶段认证功能在F r e e Ra d i u s 中实现了分阶段认证，第一阶段的主机认证 ( I P f H MAC)在数据库中做认证，第二阶段的用户信息认证( 用户名和密码 )也在数据库中做认证。 3 2 2日志导出功能在用户通过认证后，F r e e R a d i u s 中实现了把用户连接后的日志信息记录到数据库中，包括用户登录时间、下线时间、用户I P 和MAC地址、用户连接的NAS 地址等信息。 3 2 3单一用户登录功能当用

14、户连接而没有发出下线请求，同时相同的用户名 ( 在另一台计算机上 )再次登录时，会提示出错信息。这样可以设定相同用户名可以同时登录的数目，防止帐号盗用。 3 2 4帐号到期功能分配帐号时，会预先设置帐号到期时间，过期后用户将不能再登录。这样可以设定用户帐号使用的有效日期。学兔兔 w w w .x u e t u t u .c o m l 訇化 4 基于8 0 2 1 x t ,) J ,议改进后的技术实现 4 1 F r e e Ra d I u s 服务器的部署 F r e e Ra d i u s 是开源的免费使用

15、的 RADI US 服务器。F r e e Ra d i u s 已经具有了商业化RADI US 大部分的功能。F r e e Ra d i u s 支持L DAP 、My S QL、 P o s t g r e S QL 和Or a c l e 数据库；它还支持多种加密类型，如E AP MD 5 、E A P T T L S 和 C i s c o L E AP。本文中R ADI US H 务器正是采用了F r e e Ra d i u s 1 1 7 ，并在此基础上做出修改。 4 2 其他服务器等部署情况数据库服务器采用o r a c l e

16、 9 2 0 1 ，认证时可以用于存储用户的帐号信息和计算机认证信息。用户帐号数据库服务器保存所有用户上网的用户名和密码，不但对安全性要求很高，而且对于日后的网络日常使用、管理和维护有很大的影响。因此，将数据库服务器部署在网络中心，并且与认证计费服务器 R a d i u s 分开，再由核心交换机的AC L 功能允许认证计费服务器R a d i u s 访问它，从而进一步提高后台数据的安全性。 We b 服务器用于客户端软件的升级，采用 Ap a c h e S e r v e r 作为升级服务器。在W

17、e b 务器上使用双网卡。内网网卡与数据服务器连接，交换数据。外网网卡接入校园网服务器区，提供给校园网系统通过 T CP I P 可以访问的 We b 服务器。测试用的客户端操作系统为Wi n XP 。测试用的NAS 为华为的S系列的S 3 3 0 0 交换机。 4 3 测试用例为了测试客户端和服务器是否能正常工作，以及是否实现了预期的功能，设计了一些实际中出现的一些情况来加以测试，测试如下。 1 )用户A用计算机C 上网时，利用用户A的帐号、密码和计算机c的I P 和MAC地址进行认证，当两个认证

18、都通过，才能够接入网络；另外一个用户B 也可以利用自己的帐号在计算机C上网，此时认证的则是B的用户名和密码，以及计算机C的 I P 和MAC 地址。A也可以在校园网内任何一台I P 和 MAC 设置正确的计算机上利用自己的帐号上网。测试目的：检测用户信息认证和主机认证是否能分开进行，以及认证信息在整个校园网中的统一性。 2 )用户A用计算机C 上网时，同时用户B用计算机D上网，但是B盗用A的帐户，则此时会给出错误提示。测试目的：检测用户帐号重登录数，即默认情况下设置用户帐号只能登录一次。 3 )用户A用计算机C上网时，当超过

19、预期帐号的合法日期后，就会提示出错。测试目的：检测用户帐号有效日期的正确性，即用户只能在帐号合法日期内进行认证。 4 )用户A用计算机C 上网时，可以连接 WE B 服务器来检测是否有新版本的客户端程序，如果有则进行升级，升级后仍旧可以正常访问网络资源。测试目的：检测wE B 服务器是否正常工作，以及客户端升级是否正常。 5 )上述过程在另一台NAS 上也能够达到预期的目的。 5 结束语改进后的8 0 2 1 x 认证技术能够比较好地解决现阶段所面临的J j 身份认证和应用终端的安全性问题，而且改进后的协议也能进一步增

20、强网络安全性，达到了设计要求和实现目的。但正如大家所共知的，任何一项技术都不可能解决目前所面临的全部问题。因此，仅仅依靠8 0 2 I x 这项技术来解决校园身份管理系统中的用户身份认证和应用终端所面临的所有安全问题是不现实的。只有多项技术和相关的管理规定有机结合，才能构建一个真正安全、可靠的网络环境。参考文献：【 l 】许亦镜 8 0 2 1 x 协议在校园网中的应用【 J J 闽江学院学报， 2 0 0 8 ， ( 2 ) ： 1 3 【 2 1韩荣珍深入剖析8 0 2 I x 协议 J 1 计算机安全， 2 0 0 8 ， ( 1 1 ) ： 2 5 3 】严小英，温川基于8 0 2 1 x 网络的一卡通实现【 J J 中国教育网络， 2 0 0 8 ， ( 5 ) ： 3 6 【 4 何江基于8 0 2 1 x 的校园网认证系统研究与实现【 D】山西：太原理工大学， 2 0 0 3 5 】张毅，高东怀，许卫中，等校园网网络用户安全身份认证体系分析【 J 】医疗卫生装备， 2 0 0 8 ， ( 4 ) ： 2 3 第3 4 卷第5 期2 0 1 2 0 5 ( 上) 4 g l 学兔兔 w w w .x u e t u t u .c o m

展开阅读全文