试论如何利用802.1x协议解决校园网安全问题.doc

试论如何利用802.1x协议解决校园网安全问题 摘要：二战过后，互联网从政治军事用途渐渐的融入到我们生活、学习和工作当中，并在最近的一二十年间得到了本质性的发展，成为现代生活不可或缺的一部分，这可能是最初研发它来建立一种，可以抵御核攻击的通信方式的研究人员所没有想到的。在这种情况下我们国家各个高等院校的校园网事业也突飞猛进的发展着，可随着网络越来越复杂，业务样式种类和用户的接入量日渐加大，在发展和使用校园网的过程当中，其安全问题也渐渐变得明显，当中还存在着教多的隐患，网络的自身各个方面还不够完善，查找、分析用户身份比较困难，最重要的是易受到病毒、黑客攻击等一系列的问题。想要解决这些网络安全问题离不开认证技术，认证技术是以太网实现可管理和网络信息安全的基本条件。在众多的以太网接入访问认证控制技术中，首先撇开其自身的缺陷不谈，基于Client/Server的端口访问认证控制技术802.1x很大地改善了网络接入的复杂性和安全性。 关键词：802.1x协议；校园网安全；认证服务器 中图分类号：TP393.08文献标识码：A文章编号：1007-9599 (2012) 06-0000-02 随着网络信息的发展，人们生活、工作、学习的需要，在高校生活中网络的重要性日渐突出。网络越来越复杂，业务样式种类和用户接入量日渐加大，伴随而来的安全性问题和网络管理问题也渐渐增多。在过去校园网中的记费和认证模式有着诸多漏洞，如网络地址、硬件地址或登录账号被盗、某些学生私自设置代理，给网络的正常运行、管理和收费带来诸多不便。802.1x基于端口的接入控制利用了IEEE 802.3局域网架构的物理接入特征，为连接到局域网端口并具有P2P接入特征的设备提供认证和授权，并且防止设备在认证和授权失败的情形下接入网络，能够有效的解决校园网网络在以往运行和管理中存在的一些漏洞和不足。并具有简洁高效、容易实现、安全可靠、易于运营等特点优势。 一、802.1x认证协议及结构简述 802.1x协议基于802.11是国际电子电器工程师协会制定的基于端口的网络接入控制标准，802.1X最初设计是用于对无线网络的身份验证和接入问题，但现在也主要用于有线接入的局域网。它仅仅只是控制网络端口的打开或关闭，对于通过用户名和密码验证的用户打开端口允许接入，对于恶意接入，或是没有用户接入时，端口就会被关闭。 802.1x认证协议基于典型的Client/Server体系结构。主要由三个实体部分组成：客户端系统（Supplicant System）、认证者系统（Authenticator System）、认证服务器系统（Authentication Server System）。 图1 802.1x认证协议体系结构 客户端系统是在局域网段一段的一个实体，由该链路另一端的设备对其进行验证，一般为用户终端设备，多为PC。该终端系统通常要安装一个客户端软件，其必须支持EAPOL（Extensible Authentication Protocol Over Lan），即局域网上的可扩展认证协议，通过启动这个软件发起802.1x认证。 认证者系统通常指的是支持IEEE 802.1x协议的网络设备，比如边缘交换机或无线接入访问设备，用于验证想要接入的客户端是否合法。该设备对应于不同用户的端口被分为两个逻辑端口：受控端口(controlled Port)和非受控端口(uncontrolled Port)。第一个非受控端口，于传递EAPOL协议帧，它始终处于双向连通状态，以保证客户端始终能够发出认证请求或接受认证服务信息，允许验证者和局域网上其它计算机之间交换数据，而无需考虑计算机的身份验证状态如何。第二个受控端口，受控端口可以更具应用软件的不同需要被配置为两种方式：双向受控或仅输入受控。该端口只能在接入用户通过验证过来才开启，用于局域网用户和验证者系统之间交换数据。如果有用户非法接入未通过认证，受控端口则始终处于未认证的关闭状态，不能连接访问认证者系统所提供的服务。 认证服务器系统通常为RADIUS远程认证拨号用户服务服务器，它用于保存用户所属的虚拟局域网、用户名和用户口令、优先级和访问控制列表等一系列的相关数据。它主要用于通过验证客户端系统请求接入所上传的用户名和用户密码等身份标识，用以识别该请求接入的用户是不是有接入网络、使用网络系统服务的权限，然后根据验证的结果来确定对该接入用户的接入权限发放管理。事实上认证者系统仅是在客户端系统和认证服务器系统传递身份权限的认证数据，如果用户验证者通过身份权限验证，获取到了接入权限，认证服务器系统便会把该接入用户的有关数据反馈给认证者系统，由其构建动态的访问控制列表，该用户便可访问使用接入的网络。反之