论文部分内容阅读
自1990年代以来,我国的校园网建设经历了接入为主、应用为主和数字化校园三个发展阶段,与此相对应,对校园网用户的管理需求也经历了“简单计费”、“计费和认证”和“计费、认证和授权”三个阶段。目前,认证、授权、计费,即所谓的AAA系统,已经成为校园网管理的重要组成部分,是一个具有实际应用意义的重要研究课题。
本文首先介绍了现有AAA系统的结构框架和技术协议,并从性能、安全性、兼容性、可扩展性与经济性等方面对当前主要的AAA技术做了比较,说明基于802.1x和Diameter协议的AAA系统模型能够满足校园网目前和今后一个阶段的需求,支持该模型的相关技术是该领域研究人员的主要关注点。
接着,本文对802.1x和Diameter协议做了全面的论述,详细分析了最新的Diameter协议的设计思想、关键技术和实现方法。随后,在上述研究的基础上,本文提出了一个基于802.1x和Diameter协议的校园网AAA系统设计方案。该方案的主要内容和特点如下:
(1)系统由802.1x客户端、认证系统(802.1x/AAA客户端)和AAA服务器三个子系统组成。按照模块化设计思想,每个子系统又由多个模块组成,其中,802.1x客户端包括主控模块、代理服务器/双网卡检测模块、802.1x协议处理模块、MD5加/解密模块和通信处理模块;认证系统包括主控模块、802.1x协议处理模块、Diameter客户端系统模块、端口控制模块和通信处理模块;AAA服务器包括主控模块、Diameter协议处理模块、MD5加/解密模块、数据控制模块、授权模块、认证模块、计费模块和通信处理模块。该方案能够支持移动IP、以太网、拨号等校园网常用的接入方式,在可支持的网络规模、系统安全性、可扩展性等方面较现有的AAA系统有很大提高,并且可以与现有的AAA系统兼容,能够满足校园网管理的目前和未来一个阶段的发展需求。
(2)通用的802.1x客户端设计具有自动检测双网卡和代理服务器的功能,通过与认证系统配合工作,可以解决802.1x协议无法控制多个用户通过一个代理出口上网的问题。
(3)在通信方面,系统在传输层采用可靠的TCP/SCTP协议。在安全性方面,网络用户与认证者(Authenticator)之间采用802.1x协议,认证者与认证服务器(AAA Server)之间基于Diameter协议,并采用了EAP、IPSec、TLS、MD5等关键技术,可提高端到端的信息安全,并且可以方便地扩充使用其它安全技术。
本文在最后对全文做了总结,指出本设计方案在安全性和功能方面今后需要继续改进的地方,并提出下一步的研究目标。