皮宗輝

喀什師范學(xué)院網(wǎng)絡(luò)中心 新疆 844006

0 前言

經(jīng)過十幾年發(fā)展，國內(nèi)高校校園網(wǎng)絡(luò)迅速發(fā)展壯大，網(wǎng)絡(luò)應(yīng)用服務(wù)非常廣泛。校園網(wǎng)在高校教學(xué)，科研和管理等各項(xiàng)工作中發(fā)揮著重要作用，同時校園網(wǎng)有限的信息資源面臨非法用戶的訪問，計(jì)算機(jī)病毒、蠕蟲、黑客入侵以及木馬控制等網(wǎng)絡(luò)安全問題使校園網(wǎng)面臨嚴(yán)重的安全形勢。

1 802.1x協(xié)議相關(guān)技術(shù)

802.1 X，全稱是Port-Based Networks Access Control，即基于端口的網(wǎng)絡(luò)訪問控制。802.1x協(xié)議作為局域網(wǎng)端口的接入控制機(jī)制在以太網(wǎng)中被廣泛應(yīng)用，主要解決以太網(wǎng)內(nèi)認(rèn)證和安全方面的問題。

1.1 IEEE 802.1x協(xié)議體系結(jié)構(gòu)

802.1 x協(xié)議是一種典型的基于client/server體系結(jié)構(gòu)，包括三個實(shí)體：Supplicant System(客戶端)，Authenticator System(設(shè)備端)，Authentication Server System(認(rèn)證服務(wù)器)。

1.2 IEEE 802.1x的工作機(jī)制

IEEE 802.1x認(rèn)證系統(tǒng)利用EAP協(xié)議承載交換信息在客戶端、設(shè)備端和認(rèn)證服務(wù)器之間進(jìn)行信息傳遞(如圖 1所示)。

圖1 802.1x認(rèn)證系統(tǒng)的工作機(jī)制

在客戶端PAE與設(shè)備端PAE之間，EAP協(xié)議報文使用EAPOL封裝格式，直接承載于LAN環(huán)境中。 在設(shè)備端PAE與RADIUS服務(wù)器之間，EAP協(xié)議報文可以使用EAPOl封裝格式，承載于RADIUS協(xié)議中；也可以由設(shè)備端PAE進(jìn)行終結(jié)，而在設(shè)備端PAE與RADIUS服務(wù)器之間傳送包含PAP協(xié)議或CHAP協(xié)議屬性的報文。

1.3 AAA和Radius 協(xié)議技術(shù)

AAA(Authentication、Authorization、Accounting)是認(rèn)證、授權(quán)、計(jì)費(fèi)的簡稱，運(yùn)行于 NAS上的客戶端程序，它提供了一個網(wǎng)絡(luò)接入用戶身份驗(yàn)證，授權(quán)和記賬三種安全機(jī)制進(jìn)行配置的一致框架。

AAA協(xié)議實(shí)現(xiàn)了網(wǎng)絡(luò)系統(tǒng)對網(wǎng)絡(luò)授權(quán)用戶的訪問網(wǎng)絡(luò)資源的實(shí)際情況作了準(zhǔn)確的、全面的記錄。一定程度上有效地保障了合法用戶的權(quán)益，又能保障網(wǎng)絡(luò)系統(tǒng)安全可靠地運(yùn)行。RADIUS協(xié)議是目前應(yīng)用最廣泛的AAA標(biāo)準(zhǔn)。

2 認(rèn)證計(jì)費(fèi)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

認(rèn)證計(jì)費(fèi)系統(tǒng)模塊功能層次結(jié)構(gòu)圖如圖2所示。

圖2 認(rèn)證計(jì)費(fèi)系統(tǒng)模塊功能層次結(jié)構(gòu)圖

認(rèn)證計(jì)費(fèi)管理系統(tǒng)主要分三個模塊：認(rèn)證模塊、計(jì)費(fèi)模塊、用戶管理模塊，系統(tǒng)的主要功能包括：認(rèn)證模塊實(shí)施802.1x+Radius的網(wǎng)絡(luò)用戶接入身份認(rèn)證，用戶通過用戶名和密碼登錄后獲得訪問權(quán)限；計(jì)費(fèi)模塊用于對數(shù)據(jù)庫中的原始計(jì)費(fèi)信息進(jìn)行統(tǒng)計(jì)匯總，生成用戶的計(jì)費(fèi)賬單；管理模塊包括對用戶管理，用戶賬單管理，計(jì)費(fèi)策略管理和用戶自服務(wù)管理的功能。

(1) 認(rèn)證模塊采用Linux操作系統(tǒng)下基于Radius協(xié)議的AAA服務(wù)器，安裝Freeradius認(rèn)證計(jì)費(fèi)軟件用mysql數(shù)據(jù)庫系統(tǒng)作為后臺數(shù)據(jù)庫，存放認(rèn)證計(jì)費(fèi)的數(shù)據(jù)如：管理員密碼表，用戶個人信息表，上網(wǎng)原始數(shù)據(jù)記錄表等。

(2) 計(jì)費(fèi)模塊提供包月、按時長、按流量三種計(jì)費(fèi)方式，用戶可根據(jù)自己的實(shí)際情況，自由選擇最利于自己的計(jì)費(fèi)方式繳納網(wǎng)絡(luò)費(fèi)用。

用戶費(fèi)用信息主要包含在數(shù)據(jù)庫中的 radacct表中。radacct表中記錄了用戶的上線時間(AcctStratTime)、下線時間(AcctStopTime)、連接時間(AcctSessionTime)、本次連接流入字節(jié)數(shù)(AcctInputOctets)、本次連接流出字節(jié)數(shù)(AcctOutputOctets)等信息。根據(jù)這些原始數(shù)據(jù)實(shí)現(xiàn)對用戶網(wǎng)費(fèi)進(jìn)行計(jì)費(fèi)，例如：

按流量計(jì)費(fèi)策略計(jì)算為：用戶總網(wǎng)絡(luò)費(fèi)用=用戶實(shí)用網(wǎng)絡(luò)總流量*單價/(元/小時)；其中：用戶實(shí)用網(wǎng)絡(luò)總流量==上行流量之和+下行流量之和，并按四舍五入保留到小數(shù)點(diǎn)后2位數(shù)。

(3) 用戶管理模塊系統(tǒng)實(shí)現(xiàn)開戶、注銷用戶、查詢用戶信息、修改用戶信息等用戶管理的功能，以及查詢用戶賬單和上網(wǎng)記錄的功能。同時提供用戶自服務(wù)功能，用戶登錄自服務(wù)系統(tǒng)后，可以修改自身用戶信息以及查詢網(wǎng)絡(luò)費(fèi)用賬單、上網(wǎng)記錄清單等服務(wù)。

管理模塊開發(fā)環(huán)境為：開發(fā)工具：php ，javascript，數(shù)據(jù)庫：mysql ，Web服務(wù)器：apache，系統(tǒng)環(huán)境：linux。

系統(tǒng)管理員具有系統(tǒng)管理的最高權(quán)限，可以進(jìn)行用戶管理、賬單查詢、計(jì)費(fèi)策略管理。具體來講包括用戶的開戶、修改用戶信息、注銷用戶、查詢用戶賬單和用戶上網(wǎng)的詳細(xì)記錄，對用戶的計(jì)費(fèi)策略進(jìn)行修改。

開戶界面如圖3所示。

新開用戶時，需檢查用戶名不能重名而且用戶信息不能為空才可以進(jìn)行開戶操作。

自服務(wù)系統(tǒng)具體包含查詢網(wǎng)絡(luò)詳細(xì)清單，網(wǎng)絡(luò)費(fèi)用賬單，修改用戶信息等功能服務(wù)。用戶登錄自服務(wù)系統(tǒng)后，可以輸入隨機(jī)的計(jì)費(fèi)開始日期和計(jì)費(fèi)截止日期，單擊查詢按鈕后，系統(tǒng)會自動生成從計(jì)費(fèi)開始日期到計(jì)費(fèi)截止日期之間的網(wǎng)絡(luò)費(fèi)用清單。用戶查詢賬單如圖4所示。

圖3 新開用戶信息界面

圖4 用戶查詢賬單界面

3 802.1x在校園網(wǎng)中認(rèn)證的缺陷問題及其改進(jìn)

3.1 用戶接入認(rèn)證的缺陷

在幾種主流的認(rèn)證方式中，雖然802.1x認(rèn)證具有其它幾種認(rèn)證方式無法比擬的優(yōu)越性，但是在校園網(wǎng)的應(yīng)用中存在一些缺陷問題。主要以下幾點(diǎn)：

(1) 缺乏只允許用戶惟一登錄的限制。由于802.1x缺乏限制用戶惟一登錄的機(jī)制，就會造成同一賬號在不同的主機(jī)上同時可以順利通過認(rèn)證，訪問網(wǎng)絡(luò)資源。無法限制非法用戶的接入。

(2) 認(rèn)證后的用戶行為缺乏監(jiān)控。由于802.1X認(rèn)證體系中，業(yè)務(wù)流與認(rèn)證流是分離的。認(rèn)證通過后的業(yè)務(wù)流不再進(jìn)行合法檢查。因此合法用戶認(rèn)證通過后，修改自己的IP為其他用戶的IP地址，仍可上網(wǎng)。這樣其后果會造成IP地址盜用和沖突，管理混亂。

(3) IP、MAC地址綁定的缺陷?；?02.1x認(rèn)證的交換機(jī)支持對合法用戶的ip、 mac地址綁定功能。但是這種安全機(jī)制也存在嚴(yán)重的問題。接入交換機(jī)某一端口下的合法用戶認(rèn)證通過后打開了受控端口時，非法用戶通過修改自己的IP，MAC地址為合法的IP，MAC地址，就可實(shí)現(xiàn)上網(wǎng)目的。

3.2 802.1x認(rèn)證缺陷改進(jìn)

針對802.1x在接入用戶身份控制中存在著一些缺陷。要在高校中大規(guī)模應(yīng)用必須盡可能克服其不足，可通過對802.1x和Radius協(xié)議進(jìn)行擴(kuò)展，進(jìn)行一系列的安全機(jī)制改進(jìn)，有效解決802.1x認(rèn)證中的缺陷問題。

(1) 限制freeradius賬號重復(fù)登錄

通過啟用radius.conf配置文件中的session模塊中的數(shù)據(jù)庫驗(yàn)證文件，在radcheck表中加入一個attribute：Simultaneous-Use，它的值就代表此用戶同時連接數(shù)，設(shè)置：Simultaneous-Use的值為1，這樣禁止test用戶重復(fù)登錄，限制單個用戶認(rèn)證的惟一性。

(2) 用戶名、mac、ip、端口多重綁定

為了提高網(wǎng)絡(luò)的安全性，減少網(wǎng)絡(luò)中IP地址沖突問題的最好解決辦法是進(jìn)行用戶名、Mac，ip port四者綁定。但是在提高網(wǎng)絡(luò)安全的同時，也給用戶使用帶來了不方便性。靈活的選擇四者中的兩者進(jìn)行綁定。

(3) 合理設(shè)置NAS設(shè)備的重認(rèn)證功能

NAS(接入交換機(jī))設(shè)備在物理端口啟用 802.1x協(xié)議后，會打開重認(rèn)證定時器，啟用重認(rèn)證功能。每隔該定時器設(shè)置的時長，NAS定期發(fā)起 802.1x重認(rèn)證。系統(tǒng)缺省的重認(rèn)證時間為 15秒，根據(jù)實(shí)際網(wǎng)絡(luò)環(huán)境設(shè)置重認(rèn)證時間，一般為3-5分鐘。重認(rèn)證時系統(tǒng)會重新檢測客戶端主機(jī)的用戶名，mac，ip、端口是否與數(shù)據(jù)庫中綁定的數(shù)據(jù)是否相符合，如果不相符則該主機(jī)為非法主機(jī)，系統(tǒng)會強(qiáng)制該主機(jī)離線。

4 結(jié)束語

該系統(tǒng)全面解決了校園網(wǎng)用戶接入身份認(rèn)證，授權(quán)等網(wǎng)絡(luò)應(yīng)用中的核心問題；解決校園網(wǎng)用戶計(jì)費(fèi)問題中的上網(wǎng)費(fèi)用量化到個人的難題。用戶管理模塊簡化了網(wǎng)絡(luò)管理，極大的提高了網(wǎng)絡(luò)管理工作效率，同時方便了用戶的使用。

[1] 趙榮芳.基于 IEEE 802.1X的認(rèn)證技術(shù)研究[J].計(jì)算機(jī)工程應(yīng)用技術(shù).2010.

[2] [802.1Q] IEEE 802.1Q.Virtual LANS.

[3] IEEE STANDARD 802.1X for LOCAL and METROPOLITAN AREA NETWORKSPORT-BASED NETWORK ACCESS CONTROL, NATIONAL COMMUNICATIONS SYSTEM，Technology and Programs Division ,Arlington, Virginia March 2005．

[4] 禹龍.劉勝全.田生偉.校園網(wǎng)中 802.1X 認(rèn)證技術(shù)的改進(jìn)[J].計(jì)算機(jī)工程.2009.