校园网身份认证系统是数字化校园中十分关键的部分。现在许多校园多个校区的情况使得校园网划分为多个域,用户的跨域身份认证成为身份认证系统必须解决的问题。无线局域网由于其部署的灵活性也在校园网中广泛使用。因此,一个好的校园网身份认证系统不仅应有高的安全性和可用性,而且应该能够实现有线网络和无线网络中跨域的统一身份认证。另外,身份认证系统也应可以在IPv6环境下运行,以应对IPv6逐渐取代IPv4的趋势。Diameter协议作为替代RADIUS协议的下一代AAA协议标准,充分考虑了未来AAA服务对安全性、可靠性和移动性方面需求。它支持代理、支持漫游,提供明确的消息路由、端到端安全和传输级安全等特性,能够充分满足目前乃至今后IP网络用户访问控制要求。PANA协议作为一个认证承载协议,运行在IP层之上,将二层接入技术的差异屏蔽,认证协议可以穿越三层设备,接入设备可以按照网络环境的需求更加灵活地部署,为各种认证方法提供一个统一的承载平台。本文深入研究了Diameter协议和PANA协议,并在此基础上设计了一个适于校园网环境的统一身份认证系统。该系统基于Diameter基础协议中的消息路由机制实现用户跨域认证;采用PANA协议,使认证系统工作在IP层之上,屏蔽了链路层的差异,也使得部署更加灵活;同时支持有线局域网和无线局域网的身份认证,支持无线局域网IEEE 802.11i安全协议,保证了无线通信的安全;运行于IPv6协议之上,适于未来的通信环境。之后,本文介绍了一个该系统的原型系统的实现过程。通过模拟无线认证申请端的跨域身份认证过程,完成了原型系统主要功能的测试。测试结果表明原型系统基本实现了本文提出的统一身份认证系统的设计。最后,本文还在对EAP-PEAP协议的研究基础上,对统一身份认证系统做了进一步分析,提出一种基于扩展EAP-PEAP协议的身份认证令牌发放机制。