试论如何利用802.1x协议解决校园网安全问题

摘要：二战过后，互联网从政治军事用途渐渐的融入到我们生活、学习和工作当中，并在最近的一二十年间得到了本质性的发展，成为现代生活不可或缺的一部分，这可能是最初研发它来建立一种，可以抵御核攻击的通信方式的研究人员所没有想到的。在这种情况下我们国家各个高等院校的校园网事业也突飞猛进的发展着，可随着网络越来越复杂，业务样式种类和用户的接入量日渐加大，在发展和使用校园网的过程当中，其安全问题也渐渐变得明显，当中还存在着教多的隐患，网络的自身各个方面还不够完善，查找、分析用户身份比较困难，最重要的是易受到病毒、黑客攻击等一系列的问题。想要解决这些网络安全问题离不开认证技术，认证技术是以太网实现可管理和网络信息安全的基本条件。在众多的以太网接入访问认证控制技术中，首先撇开其自身的缺陷不谈，基于Client/Server的端口访问认证控制技术802.1x很大地改善了网络接入的复杂性和安全性。

关键词：802.1x协议；校园网安全；认证服务器

中图分类号：TP393.08文献标识码：A文章编号：1007-9599 (2012) 06-0000-02

随着网络信息的发展，人们生活、工作、学习的需要，在高校生活中网络的重要性日渐突出。网络越来越复杂，业务样式种类和用户接入量日渐加大，伴随而来的安全性问题和网络管理问题也渐渐增多。在过去校园网中的记费和认证模式有着诸多漏洞，如网络地址、硬件地址或登录账号被盗、某些学生私自设置代理，给网络的正常运行、管理和收费带来诸多不便。802.1x基于端口的接入控制利用了IEEE 802.3局域网架构的物理接入特征，为连接到局域网端口并具有P2P接入特征的设备提供认证和授权，并且防止设备在认证和授权失败的情形下接入网络，能够有效的解决校园网网络在以往运行和管理中存在的一些漏洞和不足。并具有简洁高效、容易实现、安全可靠、易于运营等特点优势。

一、802.1x认证协议及结构简述

802.1x协议基于802.11是国际电子电器工程师协会制定的基于端口的网络接入控制标准，802.1X最初设计是用于对无线网络的身份验证和接入问题，但现在也主要用于有线接入的局域网。它仅仅只是控制网络端口的打开或关闭，对于通过用户名和密码验证的用户打开端口允许接入，对于恶意接入，或是没有用户接入时，端口就会被关闭。

802.1x认证协议基于典型的Client/Server体系结构。主要由三个实体部分组成：客户端系统（Supplicant System）、认证者系统（Authenticator System）、认证服务器系统（Authentication Server System）。

图1 802.1x认证协议体系结构

客户端系统是在局域网段一段的一个实体，由该链路另一端的设备对其进行验证，一般为用户终端设备，多为PC。该终端系统通常要安装一个客户端软件，其必须支持EAPOL（Extensible Authentication Protocol Over Lan），即局域网上的可扩展认证协议，通过启动这个软件发起802.1x认证。

认证者系统通常指的是支持IEEE 802.1x协议的网络设备，比如边缘交换机或无线接入访问设备，用于验证想要接入的客户端是否合法。该设备对应于不同用户的端口被分为两个逻辑端口：受控端口(controlled Port)和非受控端口(uncontrolled Port)。第一个非受控端口，于传递EAPOL协议帧，它始终处于双向连通状态，以保证客户端始终能够发出认证请求或接受认证服务信息，允许验证者和局域网上其它计算机之间交换数据，而无需考虑计算机的身份验证状态如何。第二个受控端口，受控端口可以更具应用软件的不同需要被配置为两种方式：双向受控或仅输入受控。该端口只能在接入用户通过验证过来才开启，用于局域网用户和验证者系统之间交换数据。如果有用户非法接入未通过认证，受控端口则始终处于未认证的关闭状态，不能连接访问认证者系统所提供的服务。

认证服务器系统通常为RADIUS远程认证拨号用户服务服务器，它用于保存用户所属的虚拟局域网、用户名和用户口令、优先级和访问控制列表等一系列的相关数据。它主要用于通过验证客户端系统请求接入所上传的用户名和用户密码等身份标识，用以识别该请求接入的用户是不是有接入网络、使用网络系统服务的权限，然后根据验证的结果来确定对该接入用户的接入权限发放管理。事实上认证者系统仅是在客户端系统和认证服务器系统传递身份权限的认证数据，如果用户验证者通过身份权限验证，获取到了接入权限，认证服务器系统便会把该接入用户的有关数据反馈给认证者系统，由其构建动态的访问控制列表，该用户便可访问使用接入的网络。反之用户的接入请求便会被驳回，不能接入网络。

二、802.1x认证协议的特点

基于Client/Server端口访问认证控制技术的802.1x协议借鉴了在RAS（远程访问服务）系统中经常使用的扩展认证协议，有较强的的扩展、适应性，对传统PPP（点对点协议）认证架构实现了兼容；802.1x协议为数据链路层协议，不需要到达网络层，不需要过高的设备整体性能，能够大幅减少网络组建的成本；在802.1x的认证协议中采用了受控端口和非受控端口的逻辑功能，实行了网络业务和接入认证的分离，由RADIUS服务器和交换机使用不可控端口协作进行对用户的认证和控制，接入认证通过之后的网络数据包是不需要进行封装的；能够让无线局域网和交换端口具有安全的认证接入保障；能够使现有的认证系统减少成本，并拥有众多的网络服务支持，并能同时能够映射不同局域网的用户认证等级。

三、802.1x认证协议的认证机制

802.1x认证系统利用可扩展认证协议，在客户端系统和认证服务器系统两者中交换认证数据。

（一）PAE（Physical Address Extension，物理地址扩展）和设备端的PAE之间，EAP(Extensible Authentication Protocol，PPP扩展认证协议）协议报文使用EAPOL封装格式，直接承载于局域网环境中。

（二）在设备端PAE与RADIUS服务器之间，EAP协议报文可以使用EAPOR(EAP over RADIUS)封装格式，承载于RADIUS协议中；也可以由设备端PAE进行终结，而在设备端PAE与RADIUS服务器之间传送PAP（Password Authentication Protocol，密码认证协议）协议报文或CHAP（Challenge Handshake Authentication Protocol，点对点询问握手协议）协议报文。

（三）当用户通过认证后，认证服务器会把用户的相关信息传递给设备端，设备端PAE根据RADIUS服务器的指示接受或驳回用户接入请求，决定受控端口的授权/非授权状态。

四、利用802.1x协议在校园网中的应用

（一）网络拓扑图

图1 网络拓扑图

（二）解决方案。802.1x认证协议接入技术经过多年来在我国各大高校的研究和发展，得到了很大程度上的应用，在校园网的实际运行管理中起到了重要的作用，它的出现弥补了以太网上的点对点协议认证与Web/Portal认证等以往使用的认证方式的不足，并且可以根据各高校自身对校园网的需求情况，采用具体的使用方案，网路当前大多高校所采用的实施方案如下。

1.在证服务器系统上调试认证策略，录入各个用户的数据资料。在每个用户设备上安装802.1x客户端小程序，服务器即可发现客户端的用户计算机。

2.汇接用户流量的接入层和为接入层提供基于策略连接和汇聚层交换机支持基于硬件地址和端口的802.1x功能，可以保证用户账号的唯一性。

3.认证和计费服务器支持标准的远程用户拨号认证系统认证计费，能够连接多种的设备接入。需要支持802.1x认证方式；可以有多种的网络使用计费模式，为校园网网络管理、计费、收费提供高效、安全的策略。

4.客户端系统的802.1x小程序配合其远程用户拨号认证系统认证计费管理系统实现完整安全的认证计费策略，其中多数需要进行绑定(MAC地址、IP地址、VLAN号、用户账号、交换机端口等)。

五、结束语

以往以太网的可接入性太大，不管是谁如果连接到交换机上，都能够通过交换机进入任何网络服务，没有一种可以安全有效地对用户身份进行认证的协议手段。802.1X认证协议的出现，解决以往以太网中存在的这一不足点，在很大程度上方便了校园网的管理。不能忽视的是，802.1x极大地改善了局域网接入的安全性和复杂性，但其自身也存在一些安全隐患和设计缺陷，加之现在蠕虫病毒、木马泛滥，又对网络构成了严重的威胁，如何有效，彻底的解决这些问题，创建更加安全，干净的网络环境，仍是今后我们需要研究的问题。

参考文献：

[1]刘威.802.1x认证技术在高校校园网中的应用[J].理论界,2007,9:97

[2]Arunesh Mishra,William A.Arbaugh an initial security analysis of the IEEE 802.1X Standard.http://citeseer.nj.nec.com,2002-10-06

[3]秦刘,智英建,贺磊,明青.802.1x协议研究及其安全性分析[J].计算机工程,2007,33,7:153