802.1X背景下高校校园网AAA认证设计与实现分析

王雨桥

摘要：该文将在阐述高校校园网的入网认证、管理与安全等方面存在的问题，对当前的各种认证方式进行了比较，从而得出802.1X在高校校园网入网认证中的各个方面的优势。并基设计实现了基于802.1X的高效校园网AAA认证，使用了模拟真实网络接入的计费方式，克服了高校校园网在进行网络认证过程中的认证、管理困难，同时提高了网络维护的效率。

关键词：高校校园网；802.1X；AAA认证；设计

中图分类号：TP391 文献标识码：A 文章编号：1009-3044（2013）09-2068-02

实行身份认证体系于高校校园网访问中，可以实现对有限资源和带宽的优化分配。这一安全认证的实施一方面是为了尽可能降低网络恶意使用者对校园网的威胁性；另一方面就是确保整个网络安全被掌握在高校网络管理部门手中，便于及时的对各种突发事件进行处理，并建立起网络安全规范数据库，防止同样事故的再次出现。另外，就是校园网需要根据不同用户的身份信息，确定用户的不同网络访问权限与范围，在保护一些数据的同时，也优化了资源的分配。

1 高校校园网与802.1X认证访问

高校校园网与其它网络不同，不仅仅体现在用户群体的特殊性，还体现在高校校园网用户的高度密集访问，这种情况会对整个网络的安全管理造成一些困难，同时说明了实名认证访问的必要性。高校校园网在长时间的发展历程中，出现了不少的切实可行的身份认证策略与系统，由于网络管理需求各异，导致了不同网络系统中存在不同的管理模式。主要表现为：（1）静态IP访问；（2）校内用户的开放式入网；（3）以MAC地址为基础的认证访问；（4）PPPOE模式下的拨号认证入网；（5）基于802.1X的身份认证访问。

简单的讲，IEEE802.1X就是一种协议，这种协议被建立在链路层验证机制之上，能够对入网端口（访问连接点）起到一定的控制作用。例如，设置在无线访问连接点的物理交换端口或者逻辑交换端口等。有了网络认证的访问机制，用户就能够在整体安全构架的基础上设置第一层防护。并且在计算机得到安全认证以前，不会得到相应的网络接入且处于完全禁止状态。但是得到认证之后，用户就能够安全的接入到校园网系统，得到相应的服务。

2 802.1X协议背景下的认证优势

802.1X作为以太网的一种认证协议在校园网的接入机制中具有以下优势：（1）IEEE802.1X的认证协议属于两层协议，在接入过程中不需要第三层，因此对网络终端设备的要求不是很高，且能够降低局域网建设成本；（2）利用已有EPA，即扩展认证协议能够提高网络的扩展功能以及适应能力，还能够实现与传统PPP认证模式的兼容；（3）802.1X认证机制采用的是“受控端口”与“非受控端口”逻辑结构，能够保证网络业务和认证系统的有机分离，并利用RADIUS与交换机的非受控端口结合实现对访问的认证和业务控制，将业务报文承载于可控两层报文之上并实施端口的交换，在认证合格之后就将原数据包转化成为无封装可访问数据包；（4）能够兼容已有登录认证系统以降低重新架设的费用，而且支持各类业务；（5）将所有的接入用户划分为不同的等级即VLAN；（6）能够提高无线LAN与交换端口的安全认证与接入能力。

2.1 802.1X协议的构成

IEEE802.1X主要有以下模块组成：

请求者：其功能就是连接入网，对服务器发出请求，一般是终端站点，即用户或者说PC机。当请求者提出网络接入请求时，请求就会以报文的形式上传，并交由IEEE802.1X进行标准审核。

认证者：认证者也是请求者的下一站，通常是交换机或者相应的接入设备。其作为连接用户与网络的纽带，主要功能就是对用户的请求进行认证。或者说中介，根据用户提交的入网报文，判断是否符合服务器的接入要求，并将认证结果反馈给用户终端。

验证服务器：是请求者提交入网报文的最终接收实体，在收到请求者的验证申请之后，连接RADIUS服务器，结合认证者的核对功能，确定用户提交申请的正确性。验证服务器存有用户的用户名与密码，与各种受限信息，每台验证服务器都能够提供多种认证服务，即保证了用户信息的集中管理与安全。同时验证服务器还会自动进行业务的计算。

2.2 802.1X协议背景下的AAA认证步骤

1）用户终端发出网路接入认证请求，请求转化为EAPOL-Start报文并发送，到达802.1X认证端口；2）交换机收到EAPOL-Start报文，向用户终端反馈EAP-Request/Identity报文，并向用户提出账号信息的输入请求；3）用户终端以账号信息回复EAP-Request/Identity报文；4）交换机把EAP-Request/Identity报文处理封装至RADIUS Access-Request报文中，并传送至验证服务器；5）验证服务器接到报文后发出Challenge，并将验证结果以RADIUS Access-Challenge形式反馈给用户终端；6）交换机根据EPA-Request/MD5-Challenge信息发送至用户端，要求用户进行认证；7）用户端就会收到EPA-Request/MD5-Challenge报文，并把密码信息与Challenge进行MD5算法加工后的Challenge-Pass-word，存放于EPA-Response/MD5-Challenge中反馈至交换机；8）交换机再把Challenge、Challenge Password与登录名统一传送至RADIUS服务器，并由此服务器进行核对；9）RADIUS在核对登录名之后，进行MD5算法计算并核对密码信息是否一致；10）若核对成功，用户就能够根据DHCP标准获取入网IP，得到服务器的服务权限。

这时用户就能够获得认证，正常接入网络，获取网络服务。

3 认证的具体设计与实现

本文在设计过程中选用华为生产的93系列的交换机为汇聚，以及33系列的交换机为接入层硬件。IP获取选用配置IP授权的方式进行限定。

3.1 AAA认证配置

因为学生群体具有很强的流动性，因此将无线路由统一选用SSID命名，将工作模式限定为AP模式。能够支持学生无线接入范围内的地方漫游，具有一定的便利性。

参考文献：

[1] 刘梅.基于802.1X的校园网接入认证安全防御[J].中国教育网络.2012（2）.

[2] 吴林峰.浅谈高校校园网中的IEEE802.1X协议[J].科技风.2008（17）.

[3] 陈芬，逯阳.基于802.1X技术的校园网终端认证分析[J].软件工程师.2012（10）.