论文部分内容阅读
1 引言
802.1X协议的最初目的是为了解决无线局域网用户的接入认证问题,它提供了一种用户接入认证的手段,并简单地通过控制接入端口的开/关状态来实现,这种简化不仅适用于无线局域网的接入认证、点对点物理或逻辑端口的接入认证,而且在可运营、可管理的宽带IP城域网或园区网中作为一种认证方式具有相当的实用性。
2 802.1X协议的体系结构
802.1X的体系结构包括三部分:客户端、认证者系统和认证服务系统。基本的认证过程为:客户端通过内部的 PAE发出认证请求,PAE将用户信息和请求参数等作为一系列请求消息流发送至认证服务器。认证服务器收到消息后,首先由认证服务器PAE处理相关的连接建立请求,再由认证服务器查询控制信息数据库,完成用户身份鉴定,并根据授权规则对通过认证的用户进行授权。图1描述了三者之间的关系以及相互之间的通信:
3 基于802.1X协议的校园网认证系统
近年来802.1X接入认证技术在高校校园网中得到了非常广泛的应用,国内的高校校园网经过多年的发展和建设,根据自身特点逐渐形成了相应的技术方案和管理制度。而目前大多数高等院校所采取的认证计费系统模式如下:
(1) 接入层和汇聚层交换机均支持基于MAC地址802.1X功能和基于端口802.1X功能,以此保证用户账号的唯一性,在性能上一般还要求适应大量用户并发认证及复杂的工作环境;
(2) 认证服务器采用RADIUS认证服务器 + SQL数据库 + jboss管理服务器的组合,可以实现完整的认证计费策略,以及多种认证要素的绑定;
(3) 校园网用户作为认证端安装802.1X客户端软件接入校园网;
(4) 计费策略上提供支持基于时长、流量以及包月等多种计费模式。
实践证明利用802.1X认证技术能够较好地解决现阶段校园网所面临的用户身份认证、IP和MAC盗用及病毒防范等一系列安全问题,增强了网络的可控性和安全性,同时也消除了网络瓶颈,减轻了网络封装开销,使校园网更加简洁高效、安全可靠、易于运营。
任何一项技术都不可能解决目前所面临的所有问题,因此在实施802.1X后也存在一些问题,主要集中在以下几点:
(1) 在一定程度上增加了管理工作量:如用户账号绑定功能,当账号绑定与用户上网点变动发生矛盾时需要管理员手工解除账号绑定;
(2) 实施802.1X的端口认证,用户端需要安装专用的认证软件,软件的分发和使用故障等问题增加了用户的上网难度;
(3) 网络中的交换设备属于不同厂商的情况下其完整实现有很大难度,由于802.1X接入控制方案需要二层接入交换机支持802.1X协议,但校园网中交换机型号较多,一些老设备不支持802.1X,不同厂家设备的802.1X扩展功能也不尽相同,缺乏通用性,给全校实施统一的802.1X控制措施带来一定困难。
由此可见仅仅依靠802.1X这项技术来解决用户身份认证和应用终端所面临的所有安全问题是不现实的。作为网络管理者,必须采取多项技术和相关管理规定的有机结合, 从多个方面考虑802.1X的技术和管理问题,采用全局化、智能化的安全体系来替代陈旧、孤立的安防措施,才能构建一个真正安全、可靠的网络环境。
4 结束语
基于802.1X协议的认证方式还是一个年轻的技术,其潜在的技术和市场优势在各大高校开始迅速普及,可以肯定,在很长一段时间里,作为宽带网接入的安全解决方案,802.1X仍是高校校园网认证技术发展的主流,具有相当宽广的发展前景。将其用于校园网认证系统也必将发挥其巨大作用,给校园网带来新气象。
参考文献
[1]孟学军.802.1X认证管理方式分析及实现.现代计算机,2005,8.
[2]董学森.校园网的身份认证及IP地址管理方案.泰州职业技术学院学报,2006,3.
[3]吴伟斌.校园网AAA系统设计与实现.中国教育网络,2007,2.
[4]刘素平,唐鹤权,顾爱萍.利用802.1X技术加强校园网安全管理.信息技术,2007,4.
802.1X协议的最初目的是为了解决无线局域网用户的接入认证问题,它提供了一种用户接入认证的手段,并简单地通过控制接入端口的开/关状态来实现,这种简化不仅适用于无线局域网的接入认证、点对点物理或逻辑端口的接入认证,而且在可运营、可管理的宽带IP城域网或园区网中作为一种认证方式具有相当的实用性。
2 802.1X协议的体系结构
802.1X的体系结构包括三部分:客户端、认证者系统和认证服务系统。基本的认证过程为:客户端通过内部的 PAE发出认证请求,PAE将用户信息和请求参数等作为一系列请求消息流发送至认证服务器。认证服务器收到消息后,首先由认证服务器PAE处理相关的连接建立请求,再由认证服务器查询控制信息数据库,完成用户身份鉴定,并根据授权规则对通过认证的用户进行授权。图1描述了三者之间的关系以及相互之间的通信:
3 基于802.1X协议的校园网认证系统
近年来802.1X接入认证技术在高校校园网中得到了非常广泛的应用,国内的高校校园网经过多年的发展和建设,根据自身特点逐渐形成了相应的技术方案和管理制度。而目前大多数高等院校所采取的认证计费系统模式如下:
(1) 接入层和汇聚层交换机均支持基于MAC地址802.1X功能和基于端口802.1X功能,以此保证用户账号的唯一性,在性能上一般还要求适应大量用户并发认证及复杂的工作环境;
(2) 认证服务器采用RADIUS认证服务器 + SQL数据库 + jboss管理服务器的组合,可以实现完整的认证计费策略,以及多种认证要素的绑定;
(3) 校园网用户作为认证端安装802.1X客户端软件接入校园网;
(4) 计费策略上提供支持基于时长、流量以及包月等多种计费模式。
实践证明利用802.1X认证技术能够较好地解决现阶段校园网所面临的用户身份认证、IP和MAC盗用及病毒防范等一系列安全问题,增强了网络的可控性和安全性,同时也消除了网络瓶颈,减轻了网络封装开销,使校园网更加简洁高效、安全可靠、易于运营。
任何一项技术都不可能解决目前所面临的所有问题,因此在实施802.1X后也存在一些问题,主要集中在以下几点:
(1) 在一定程度上增加了管理工作量:如用户账号绑定功能,当账号绑定与用户上网点变动发生矛盾时需要管理员手工解除账号绑定;
(2) 实施802.1X的端口认证,用户端需要安装专用的认证软件,软件的分发和使用故障等问题增加了用户的上网难度;
(3) 网络中的交换设备属于不同厂商的情况下其完整实现有很大难度,由于802.1X接入控制方案需要二层接入交换机支持802.1X协议,但校园网中交换机型号较多,一些老设备不支持802.1X,不同厂家设备的802.1X扩展功能也不尽相同,缺乏通用性,给全校实施统一的802.1X控制措施带来一定困难。
由此可见仅仅依靠802.1X这项技术来解决用户身份认证和应用终端所面临的所有安全问题是不现实的。作为网络管理者,必须采取多项技术和相关管理规定的有机结合, 从多个方面考虑802.1X的技术和管理问题,采用全局化、智能化的安全体系来替代陈旧、孤立的安防措施,才能构建一个真正安全、可靠的网络环境。
4 结束语
基于802.1X协议的认证方式还是一个年轻的技术,其潜在的技术和市场优势在各大高校开始迅速普及,可以肯定,在很长一段时间里,作为宽带网接入的安全解决方案,802.1X仍是高校校园网认证技术发展的主流,具有相当宽广的发展前景。将其用于校园网认证系统也必将发挥其巨大作用,给校园网带来新气象。
参考文献
[1]孟学军.802.1X认证管理方式分析及实现.现代计算机,2005,8.
[2]董学森.校园网的身份认证及IP地址管理方案.泰州职业技术学院学报,2006,3.
[3]吴伟斌.校园网AAA系统设计与实现.中国教育网络,2007,2.
[4]刘素平,唐鹤权,顾爱萍.利用802.1X技术加强校园网安全管理.信息技术,2007,4.