朱岭　周洁雨

摘 要：随着高校信息化建设持续深入，如何实现校园网安全准入是高校网络管理面临的首要课题。作者运用开源软件构建了高校校园网络准入认证系统，包含了四个模块：Radius认证模块，数字证书管理模块，VPN远程访问模块和基于802.1X协议的内网认证模块，解决了如何从校外远程访问校园网资源与保证校园网有线或无线安全接入这两个高校网络安全准入的核心问题。

关键词：FreeRADIUS； OpenCA； OpenVPN； 802.1X

中图分类号：TP393 文献标志码：A 文章编号：1673-8454（2013）18-0084-03

随着计算机和通信技术的飞速发展，各种网络应用系统在高校中日益普及，极大提高了高校教学、科研、日常办公的效率。然而，虽然网络提供了极大的便利，但其开放性与易受攻击性导致了网络随意接入和网络非法入侵，带来了巨大的安全威胁。例如，2011年网络黑客先后多次非法入侵沈阳某高校网络与教学管理系统，对该校16名学生的20门学科考试补考成绩进行修改。因此如何实现校园网络安全准入是高校网络管理面临的首要课题。

一、高校网络安全准入的问题

高校网络安全准入涉及到两个方面：一是如何实现安全地从校外远程访问校园网资源（教学系统、科研系统、数字化图书馆等）；二是如何保证校园网内部接入的安全。

由于考虑到高校信息系统的安全以及数字资源的知识产权问题，往往只有在校园网中才有权限访问这些网络资源，校外则无法访问，这种地域的限制严重影响了数字化校园信息资源使用的便捷性。与此同时，校园网内部接入疏于防护，只要能接入到交换机等网络设备，就可以访问校园网中的资源，给了病毒传播、黑客木马、内网渗透攻击可乘之机，尤其是校园无线网络（WLAN）的广泛应用，更加降低了对校园网内部随意接入的门槛。

二、网络安全准入技术与相关协议简介

1.虚拟专用网络

虚拟专用网络（Virtual Private Network）是利用封装加密技术在因特网上建立一个虚拟的、临时的、加密的专用数据通讯网络的技术。虚拟专用网适用于移动用户的因特网接入，无论用户是在外地出差还是在家中办公，只要能上因特网就能利用VPN服务器作为跳板进入校园网，从而可以非常方便地访问校园网资源。

2.EAP与802.1X协议

EAP（Extensible Authentication Protocol）不是认证协议，只是一种请求端和认证服务器之间认证信息交换的标准。IEEE 802.1X协议是一种基于端口的网络接入控制协议，在局域网接入设备端口对所接入的用户设备进行认证和控制，实现了认证数据与业务数据分离。认证通过之前，只允许EAP认证数据通过接入设备的端口；认证通过之后，业务数据才能通过，从而达到了只接受合法的认证用户访问网络资源的目的。

3.RADIUS协议

RADIUS（Remote Authentication Dial In User Service）是一种C/S结构的协议。RADIUS协议认证机制灵活，可以采用PAP、CHAP或者Unix登录认证等多种方式。RADIUS协议简单明确、可扩充，因此在PPPoE认证、VPN认证、IEEE 802.1X认证等业务中广泛应用。RADIUS认证服务器保存了用户名、密码及相应的授权信息，可为多个认证者提供认证服务，实现了用户的集中管理。

4.数字证书认证机构

数字证书认证机构（CA， Certificate Authority）是负责发放和管理数字证书的权威机构。数字证书中含有密钥（公钥和私钥）对所有者的识别信息，通过验证识别信息的真伪实现对证书持有者身份的认证，并为安全通信提供了信息加密。目前，证书的格式和验证方法普遍遵循X.509国际标准。

三、基于开源软件的网络准入认证系统的设计与实现

为实现可远程访问校园网资源并保证校园网内部接入的安全，本文使用多种开源软件构建了适合于高校网络管理的网络准入认证系统。系统主要包含四个模块：Radius认证模块，数字证书管理模块，VPN远程访问模块和基于802.1X协议的内网认证模块。系统组成与网络拓扑如图1所示。

1.RADIUS认证模块

FreeRADIUS是一款开源、模块化、高性能、易扩展且功能丰富的RADIUS套件，包含一个RADIUS服务器，一个遵循BSD协议的RADIUS客户端函数库，一个PAM函数库，一个Apache模块以及众多的RADIUS相关工具和开发函数库，并支持所有流行的EAP验证类型，包括PEAP（受保护的EAP）和EAP-TTLS（隧道TLS身份验证协议）。目前最新版本是2.2.0。

本文采用FreeRADIUS服务器作为RADIUS认证模块。对高校网络的本地用户和远程用户进行统一的身份验证，将用户、远程访问服务器、VPN及其他资源的身份验证信息保存在一个中心数据库中，实现了用户的集中管理，降低了身份验证的管理成本。

通常RADIUS服务器和客户端之间采用MD5-Challenge认证，认证时需输入用户名和口令，安全性相对薄弱。本文将FreeRADIUS配置使用EAP-TLS隧道技术。虽然PEAP和EAP-TLS都使用了TLS/SSL隧道，但PEAP只使用了服务器端的认证，即服务器端拥有证书并向用户提供证明。而EAP-TLS使用了双向认证，Radius服务器和客户端都拥有证书并进行相互身份证明。EAP-TLS隧道技术的使用提高了身份认证的安全性。

使用daloRADIUS作为FreeRADIUS的Web前端管理平台，目前最新版本为0.9.9。它具有用户管理、图形化报表、审计和计费引擎等功能。daloRADIUS提升了FreeRADIUS管理的便捷性与易操作性。

2.数字证书管理模块

用户名密码是最简单也最普遍的身份认证方式，同时也是非常不安全的认证方式。一方面，采用诸如生日、电话号码、车牌号码等有意义的字符串作为密码，容易被猜到或者被暴力破解。另一方面，在验证过程中密码需要在计算机内存中和网络中传输，而每次验证过程使用的验证信息都是相同的，因此很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此，本文采用被实践证明行之有效的数字证书来解决用户认证安全性的问题，并使用OpenCA作为数字证书管理模块。

OpenCA 是一个健壮的、功能强大的开源数字证书管理系统。OpenCA包括两个最基本的实体：CA（Certification Authority）和RA（Registration Authority）。CA节点不连接任何网络，主要负责签发证书、撤销证书、与RA数据交换以及CA自身节点的管理。RA节点连接网络包含三个接口：PUB接口主要面向用户，用户可通过Web接口提交证书申请，证书撤销申请，下载签发后的证书以及CA的证书。RA接口主要面向RA管理员，RA管理员审核用户的证书请求，审核通过后签发申请，然后把数据传给CA，以及RA节点自身的管理。LDAP接口也是面向RA管理员，负责把证书从LDAP数据库中导入导出，并将OpenCa生成的数字证书导入USB Key，既方便了数字证书的保管、携带与使用，又能保证数字证书的安全（无法导出或复制）。

3.OpenVPN远程访问模块

OpenVPN是一个用于创建虚拟专用网络加密通道的开源软件，大量使用了OpenSSL加密库中的SSLv3/TLSv1协议函数库，具有穿越网络地址转换（NATs）和防火墙的功能，并提供了远程访问、站点与站点间VPN及企业级远程访问的解决方案。其创建的VPN可以使用预享私钥、数字证书、或者用户名密码来进行身份验证。

本文采用OpenVPN作为VPN服务端软件，建立校园网资源远程访问的虚拟专用通道。校外用户只需要连接到Internet，然后通过OpenVPN建立的虚拟专用通道就能使用教学系统、科研系统、数字化图书馆等校园网资源，有效地解决了校外用户无法访问图书馆的电子资源的问题。

OpenVPN客户端使用包含OpenCa数字证书的USB Key，这样就省了记住和输入账号密码的麻烦，大大简化了建立VPN连接的操作，提升了VPN的易用性和安全性。

4.基于802.1X协议的内网认证模块

IEEE 802.1X认证系统由请求端、认证端和认证服务器三部分组成。请求端是支持802.1X认证的用户或设备，认证端是对请求者进行认证的支持802.1X协议的有线接入交换机或无线接入AP等网络设备，认证服务器是对请求访问网络资源的请求者进行实际认证功能的设备，通常是RADIUS认证服务器。802.1X的工作机制为：请求端发起认证请求，认证端在请求端和认证服务器之间充当代理角色，认证服务器会接受由认证者转发过来的身份认证信息，根据用户信息数据库中的资料进行核对，然后回应认证成功或失败报文到认证端。如果认证成功，则向认证端发出打开端口的指令，允许请求端的业务流通过端口访问网络。否则，保持认证端端口的关闭状态，只允许认证信息数据通过。

因此，只需在请求端的设备上安装802.1X客户端软件，并在有线接入交换机或无线接入AP启用802.1X认证功能，最后使用OpenCA数字证书管理系统与FreeRADIUS认证服务器对接入设备进行认证，即可实现校园网内部安全接入的目的。

四、结束语

本文运用开源软件构建了高校校园网络准入认证系统。该系统在现有硬件资源条件基础上，大量使用开源软件，不仅解决了校园网用户外网VPN接入、内网有线无线接入的身份认证、授权等网络应用中的核心问题，而且节省了购买的商业软件开支，同时也便于系统的更新、定制与二次开发。

参考文献：

[1]杨艳，杨秋翔，史广. 应用开源软件实现高校内网资源远程访问技术的研究[J].微计算机应用，2011，32（2）：75-80.

[2]袁建国，朱恺，方宁生，吴国新.802.1x/EAP-PEAP 的研究与应用[J].计算机工程与设计，2006，27（10）：1818-1820.

[3]孔宁，毛伟.用OpenCA构建自己的PKI[J].微电子学与计算机，2005，22（8）：71-75.（编辑：鲁利瑞）