1 引言

802.1X協(xié)議的最初目的是為了解決無線局域網(wǎng)用戶的接入認證問題，它提供了一種用戶接入認證的手段，并簡單地通過控制接入端口的開/關(guān)狀態(tài)來實現(xiàn)，這種簡化不僅適用于無線局域網(wǎng)的接入認證、點對點物理或邏輯端口的接入認證，而且在可運營、可管理的寬帶IP城域網(wǎng)或園區(qū)網(wǎng)中作為一種認證方式具有相當?shù)膶嵱眯浴?/p>

2 802.1X協(xié)議的體系結(jié)構(gòu)

802.1X的體系結(jié)構(gòu)包括三部分：客戶端、認證者系統(tǒng)和認證服務(wù)系統(tǒng)。基本的認證過程為：客戶端通過內(nèi)部的 PAE發(fā)出認證請求，PAE將用戶信息和請求參數(shù)等作為一系列請求消息流發(fā)送至認證服務(wù)器。認證服務(wù)器收到消息后，首先由認證服務(wù)器PAE處理相關(guān)的連接建立請求，再由認證服務(wù)器查詢控制信息數(shù)據(jù)庫，完成用戶身份鑒定，并根據(jù)授權(quán)規(guī)則對通過認證的用戶進行授權(quán)。圖1描述了三者之間的關(guān)系以及相互之間的通信：

3 基于802.1X協(xié)議的校園網(wǎng)認證系統(tǒng)

近年來802.1X接入認證技術(shù)在高校校園網(wǎng)中得到了非常廣泛的應(yīng)用，國內(nèi)的高校校園網(wǎng)經(jīng)過多年的發(fā)展和建設(shè)，根據(jù)自身特點逐漸形成了相應(yīng)的技術(shù)方案和管理制度。而目前大多數(shù)高等院校所采取的認證計費系統(tǒng)模式如下：

(1) 接入層和匯聚層交換機均支持基于MAC地址802.1X功能和基于端口802.1X功能，以此保證用戶賬號的唯一性，在性能上一般還要求適應(yīng)大量用戶并發(fā)認證及復(fù)雜的工作環(huán)境；

(2) 認證服務(wù)器采用RADIUS認證服務(wù)器 + SQL數(shù)據(jù)庫 + jboss管理服務(wù)器的組合，可以實現(xiàn)完整的認證計費策略，以及多種認證要素的綁定；

(3) 校園網(wǎng)用戶作為認證端安裝802.1X客戶端軟件接入校園網(wǎng)；

(4) 計費策略上提供支持基于時長、流量以及包月等多種計費模式。

實踐證明利用802.1X認證技術(shù)能夠較好地解決現(xiàn)階段校園網(wǎng)所面臨的用戶身份認證、IP和MAC盜用及病毒防范等一系列安全問題，增強了網(wǎng)絡(luò)的可控性和安全性，同時也消除了網(wǎng)絡(luò)瓶頸，減輕了網(wǎng)絡(luò)封裝開銷，使校園網(wǎng)更加簡潔高效、安全可靠、易于運營。

任何一項技術(shù)都不可能解決目前所面臨的所有問題，因此在實施802.1X后也存在一些問題，主要集中在以下幾點：

(1) 在一定程度上增加了管理工作量：如用戶賬號綁定功能，當賬號綁定與用戶上網(wǎng)點變動發(fā)生矛盾時需要管理員手工解除賬號綁定；

(2) 實施802.1X的端口認證，用戶端需要安裝專用的認證軟件，軟件的分發(fā)和使用故障等問題增加了用戶的上網(wǎng)難度；

(3) 網(wǎng)絡(luò)中的交換設(shè)備屬于不同廠商的情況下其完整實現(xiàn)有很大難度，由于802.1X接入控制方案需要二層接入交換機支持802.1X協(xié)議，但校園網(wǎng)中交換機型號較多，一些老設(shè)備不支持802.1X，不同廠家設(shè)備的802.1X擴展功能也不盡相同，缺乏通用性，給全校實施統(tǒng)一的802.1X控制措施帶來一定困難。

由此可見僅僅依靠802.1X這項技術(shù)來解決用戶身份認證和應(yīng)用終端所面臨的所有安全問題是不現(xiàn)實的。作為網(wǎng)絡(luò)管理者，必須采取多項技術(shù)和相關(guān)管理規(guī)定的有機結(jié)合， 從多個方面考慮802.1X的技術(shù)和管理問題，采用全局化、智能化的安全體系來替代陳舊、孤立的安防措施，才能構(gòu)建一個真正安全、可靠的網(wǎng)絡(luò)環(huán)境。

4 結(jié)束語

基于802.1X協(xié)議的認證方式還是一個年輕的技術(shù)，其潛在的技術(shù)和市場優(yōu)勢在各大高校開始迅速普及，可以肯定，在很長一段時間里，作為寬帶網(wǎng)接入的安全解決方案，802.1X仍是高校校園網(wǎng)認證技術(shù)發(fā)展的主流，具有相當寬廣的發(fā)展前景。將其用于校園網(wǎng)認證系統(tǒng)也必將發(fā)揮其巨大作用，給校園網(wǎng)帶來新氣象。

參考文獻

[1]孟學(xué)軍.802.1X認證管理方式分析及實現(xiàn).現(xiàn)代計算機，2005，8.

[2]董學(xué)森.校園網(wǎng)的身份認證及IP地址管理方案.泰州職業(yè)技術(shù)學(xué)院學(xué)報，2006，3.

[3]吳偉斌.校園網(wǎng)AAA系統(tǒng)設(shè)計與實現(xiàn).中國教育網(wǎng)絡(luò)，2007，2.

[4]劉素平，唐鶴權(quán)，顧愛萍.利用802.1X技術(shù)加強校園網(wǎng)安全管理.信息技術(shù)，2007，4.