楊幸，譚愛平，成亞玲

（湖南工業(yè)職業(yè)技術學院，湖南長沙，410208）

1 引言

目前，國內大多數(shù)高校已實現(xiàn)部門業(yè)務管理信息化，但校園網(wǎng)中現(xiàn)存的各個子系統(tǒng)的擴展性和系統(tǒng)間的交互性比較差。各信息系統(tǒng)可能部署在不同的平臺之上，采用不同的數(shù)據(jù)庫進行數(shù)據(jù)存儲，以不同的技術進行系統(tǒng)的開發(fā)，這些異構性造成了各個系統(tǒng)之間的通信和數(shù)據(jù)交換、數(shù)據(jù)共享困難，數(shù)據(jù)冗余度大等弊端，從而形成了相互獨立的“信息孤島”。解決“信息孤島”問題，最好的辦法就是形成統(tǒng)一的認證授權平臺、統(tǒng)一的數(shù)據(jù)交換和共享平臺以及統(tǒng)一的展示平臺，如文獻[1-4]詳細介紹了目前校園網(wǎng)重用的認證方式；而認證授權平臺中的認證方式的選擇會影響認證過程的準確性和有效性。

2 常用的認證方式

2.1 PPPoE認證

PPPoE[1]是 Point-to-Point Protocolover Ethernet的簡稱，通過該認證，可以讓主機通過一個普通的橋接設備連到一個遠端的接入集中器上，利用遠端接入設備對每個接入用戶進行認證和計費。

目前，小區(qū)寬帶一般都采用ADSL接入方式，其采取的認證方式就是PPPoE。通過把最經濟、成熟的以太網(wǎng)技術和點對點協(xié)議的可擴展性及管理控制功能結合在一起，網(wǎng)絡服務提供商和電信運營商便可利用可靠和熟悉的技術來加速部署高速互聯(lián)網(wǎng)業(yè)務。它使服務提供商在通過數(shù)字用戶線、電纜調制解調器或無線連接等方式，提供支持多用戶的寬帶接入服務時更加簡便易行。同時該技術亦簡化了最終用戶在選擇這些服務時的配置操作。

但其存在不足之處：

1、PPPoE認證方式在發(fā)起認證階段，會產生大量的廣播，嚴重影響了網(wǎng)路性能。

2、PPPoE對發(fā)展視頻會議、視頻教學等視頻業(yè)務也有一定的阻礙，因視頻業(yè)務大部分是基于組播的，而基于PPPoE的組播業(yè)務開展困難。

3、PPPoE認證一般需要外置BAS，但該設備比較昂貴，并且認證完成后，業(yè)務數(shù)據(jù)流也必須經過BAS，這樣容易造成單點瓶頸和故障。

4、需要客戶端。

2.2 Portal認證

Portal[5-6]認證也稱為Web認證。未認證用戶上網(wǎng)時，設備強制用戶登錄到特定站點，用戶可以免費訪問其中的服務。當用戶需要使用互聯(lián)網(wǎng)中的其它信息時，必須在門戶網(wǎng)站進行認證，只有認證通過后才可以使用互聯(lián)網(wǎng)資源。

Portal認證方式不需要額外的客戶端，直接用Web瀏覽器即可發(fā)起認證，避免因為客戶端軟件引起的認證故障。

但其也存在不足之處：

1、承載在七層協(xié)議上，對設備要求搞，建網(wǎng)成本高。

2、IP地址的分配在用戶認證前，如果用戶不是上網(wǎng)用戶，則會造成地址的浪費，而且不便于多ISP的支持。

3、認證前后業(yè)務流和數(shù)據(jù)流無法區(qū)分。

2.3 802.1x認證

802.1x是基于Client/Server的訪問控制和認證協(xié)議。它可以限制未經授權的用戶/設備通過接入端口訪問LAN/MAN。在獲得交換機或LAN提供的各種業(yè)務之前，802.1x對連接到交換機端口上的用戶/設備進行認證。在認證通過之前，802.1x只允許EAPoL(基于局域網(wǎng)的擴展認證協(xié)議)數(shù)據(jù)通過設備連接的交換機端口；認證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。

通過802.1x認證后，認證系統(tǒng)將與業(yè)務數(shù)據(jù)流分離，這樣可以有效的避免網(wǎng)絡瓶頸的產生。同時，其作為二層協(xié)議，不需要到達三層，而且接入層交換機無需支持802.1q的VLAN，對設備的整體性能要求不高，可以有效降低建網(wǎng)成本。

但其不足之處為：

1、需要特定客戶端。

2、因其是二層協(xié)議，只負責完成對用戶端口的認證控制，一旦完成認證，后續(xù)的IP地址分配等問題需要其他設備支持。

3、只支持基于時間的計費。

3 基于802.1x技術認證平臺的改進

3.1 選擇802.1x認證技術的原因

校園網(wǎng)的業(yè)務比較豐富，且安全要求很高，為了保證準確進行行為記錄，會要求每一個校園網(wǎng)用戶必須保證唯一性，即：帳戶、MAC地址和IP地址必須綁定。另外，學生使用校園網(wǎng)時，都是采取包月、包季度、包學年等基于時間的計費方式，不會涉及基于流量的計費方式。最后，現(xiàn)有的校園網(wǎng)網(wǎng)絡設備，均支持802.1x協(xié)議，無需另外購置網(wǎng)絡設備。因此，基于以上三種認證技術的對比，選擇802.1x認證技術是校園網(wǎng)認證平臺最好的選擇。

3.2 基于802.1x技術認證平臺的改進

雖然802.1x認證技術[7] 能很好的適應校園網(wǎng)認證平臺，但也存在相當多的缺陷，其主要缺陷有：

1、當客戶端因異常情況死機，無法正常下線。

2、當帳號過期但用戶未下線時，服務端無法通知客戶端正常斷線。

3、無法阻止基于Wi-Fi共享方式的共享網(wǎng)絡行為。

為了使基于802.1x技術認證平臺更好的適應數(shù)字化校園的要求，必須進行一定的改進，這種改進主要是針對以上3個主要缺陷。

3.2.1 定時重新發(fā)起認證

為了防止因為用戶端設備發(fā)生故障造成異常死機，或者在用戶使用期間帳戶到期而不能正常斷線，從而影響到對用戶計費的準確性，認證點應當定期重新發(fā)起認證過程，該過程對于用戶是透明的，即用戶無需再次輸入帳號和密碼。重新認證時間值可以在認證平臺中手動/自動設置。認證的過程如圖1所示：

圖1 802.1x透明認證流程

具體認證流程描述如下：

步驟①：客戶端自動將上一次用戶登陸時輸入的用戶名和密碼，封裝成EAP報文向接入交換機發(fā)送。

步驟②：接入交換機接收并解封客戶端發(fā)送的EAP報文，然后將賬號、MAC等信息重新封裝成Radius報文并發(fā)送至認證服務器。

步驟③：認證服務器接收Radius報文，與安全賬號數(shù)據(jù)庫進行匹配，核對用戶身份。

步驟④：核實身份成功后，認證服務器下發(fā)Radius報文至接入交換機通知該用戶認證通過，接入交換機將繼續(xù)保持相對應的端口打開，允許用戶上網(wǎng)，客戶端仍然使用原有的IP地址、網(wǎng)關、DNS服務器地址等信息。

如果在規(guī)定的時間內客戶端未能發(fā)起認證，則認證服務器判定客戶端已經下線，并通知接入交換機關閉相對應的端口。

3.2.2 限定線程連接數(shù)

雖然802.1x支持帳號、IP地址和MAC地址的相互綁定，從一定程度上阻止了多臺計算機共用一個帳號的情況出現(xiàn)，但通過Wi-Fi方式共享網(wǎng)絡的情況，卻無法處理。

目前，有很多工具可以讓帶有無線網(wǎng)卡的計算機生成Wi-Fi熱點，并且這些工具都是工作在底層，使得很多認證客戶端無法準確判斷Wi-Fi共享網(wǎng)絡的行為。雖然銳捷認證客戶端、星空極速等主流客戶端采取了動態(tài)加密賬戶、隨機生成密碼等措施，仍然不能阻止基于Wi-Fi共享網(wǎng)絡的行為。

其實，最簡單的方法往往是最有效的方法。我們完全可以采取限制線程連接數(shù)的方法來最大限度的阻止基于Wi-Fi共享網(wǎng)絡的行為。當然，采取這種方法最大的問題是如何設定連接數(shù)的上限。上限過高，則依然無法組織基于Wi-Fi共享網(wǎng)絡的行為，上限過低，則會影響用戶正常訪問網(wǎng)絡。

微軟曾經對Windows XP操作系統(tǒng)進行過連接數(shù)的限制，其限制值為128，而單線程連接的下載速度在未作任何限制的情況下，速度一般在50KB/S左右，則Windows XP操作系統(tǒng)支持的最大速度為6.25M/S（按1M=1024K計算）。目前校園網(wǎng)用戶一般為4M，按照滿負荷計算，最多需要82個線程連接數(shù)。很多成為Wi-Fi熱點的計算機的線程連接數(shù)往往超過82，因為多臺計算機需要通過其接入網(wǎng)絡，同時使用多種應用，線程連接數(shù)必然超過82。因此，線程連接數(shù)的上限設置成82為宜。

4 總結

本文對基于802.1x技術的數(shù)字校園認證平臺進行了優(yōu)化設計，該身份認證技術廣泛應用政府、學校、商業(yè)等多個領域以提高工作效率，使多個應用系統(tǒng)在統(tǒng)一用戶信息基礎上進行一次身份認證，實現(xiàn)對資源的共享利用，使用戶能夠便捷地訪問和使用這些共享資源，減少了冗余數(shù)據(jù)，有效避免了各個應用系統(tǒng)進行獨立認證所造成的重復開發(fā).

[1] 郭政慧.基于校園網(wǎng)的安全統(tǒng)一身份認證研究[J] .光通信研究,2010,(05).

[2] 郭楚杰.數(shù)字化校園中統(tǒng)一身份認證平臺的設計[J] .湖南工業(yè)大學學報,2010,(03).

[3] 周志敏，陳忠文.校園網(wǎng)絡的安全問題解決策略研究[J] .浙江水利水電專科學校學報,2009,(1).

[4] 鄧小莉,黃正榮.論校園網(wǎng)網(wǎng)絡安全的現(xiàn)狀及對策[J] .科技信息,2009,(04):503.

[5] 王靜.校園網(wǎng)中用戶統(tǒng)一身份認證技術的研究[J] .赤峰學院學報,2010,(2).

[6] 張應祥.數(shù)字校園統(tǒng)一身份認證系統(tǒng)及管理平臺設計[J] .情報雜志,2010,(3).

[7] 吳賢平.基于802_1x的校園網(wǎng)用戶身份認證設計與實現(xiàn)[J] .制造業(yè)自動化,2012,(15).