孟敏

（无锡工艺职业技术学院电子信息系，江苏无锡214206）

随着计算机网络技术的发展，互联网在社会中的普及率逐步上升，互联网用户不断增加。据中国互联网络信息中心统计，截止至2017年12月，我国互联网用户总量高达7.72亿，互联网普及率为55.8%。在互联网快速发展的同时，也面临着诸多威胁，包括病毒侵袭、黑客的非法闯入、数据窃听和拦截、拒绝服务攻击、垃圾邮件等。因此，如何保证网络访问的安全成为了网络提供商们一个急需解决的问题，该问题在规模不断增大的校园网络中尤其突出[1-5]。目前校园资源数字化程度高，学生通过校园网获取数字资源。此外，校园网信息点多，网络规模较大，网络应用较为复杂，且安全隐患较大，容易遭受网络入侵，造成网络瘫痪与资源被窃取等情况[6-8]。因此，设计一套面向于校园网络接入安全的认证系统尤为重要。

目前，网络安全策略主要采取认证、授权、记账形式[9]。认证是确定访问网络的用户是否为合法的用户，通常用用户标识以及对应的口令来识别合法用户；授权是对不同的用户授予不同的权限以限制用户使用某些应用，避免合法用户破坏系统；记账即记录用户上网的所有操作记录，包括上网时间、IP地址、上网流量等信息，实现上网监视功能。传统认证方式在处理校园网用户数据包时，容易导致网络传输瓶颈。因此，需要耗费额外的硬件资源来提高网络传输能力，无法满足校园网高效性与低成本的要求[10-11]。为此，文中采用IEEE 802.1x协议进行校园网的接入认证，其通过端口对访问校园网的客户端进行认证和控制，防止非法用户对校园网的访问，防范了网络木马程序、病毒对校园网的入侵，从而保证了校园网的安全问题。

1 IEEE 802.1x协议

802.1x协议是一种作用于网络访问设置与认证的协议，其面向于客户机与服务器。802.1x协议主要通过端口，来对校园网访问用户进行认证。当端口通过认证后，网络数据才能通过以太网端口，而未通过认证的端口则将被拒绝访问校园网[12-13]。

如图1所示，802.1x协议认证体系主要由3部分组成，即客户端、认证系统以及认证服务器。客户端主要指LAN端口一端所连接的实体，即上网设备。其向认证系统发出认证申请，由认证系统检验其上网身份的合法性。认证系统位于客户端与认证服务器之间，用于对校园网用户进行认证；认证服务器指为校园网用户进行身份认证的实体。IEEE 802.1X协议的工作机制，如图2所示。

2 校园完安全认证系统

2.1 网络拓扑结构

图1 802.1x协议认证体系结构

图2 IEEE 802.1X协议的工作机制

本文所设计的基于802.1x的校园网认证系统其网络结构，如图3所示。主要由核心交换机、汇聚层交换机、楼层接入交换机以及认证服务器组成。核心交换机为网络的主干部分，即核心层中的交换机。其主要目的在于通过高速转发通信，提供优化、可靠的骨干传输结构。汇聚层交换机是多台接入层交换机的汇聚点，其必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路。因此，汇聚层交换机与接入层交换机比较，需要更高的性能、更少的接口和更快的交换速率。楼层交换机用于提供每一个楼层所有端口的上网接入点。此外，所有交换机均支持802.1x协议端口认证协议。认证服务器用于对校园网用户进行身份认证，其采用ubuntu+Apache+freeRadius+Mysql的模式，对硬件依赖性低。

2.2 认证流程

820.1x校园网认证系统的认证流程，如图4所示。首先，校园网用户通过客户端向认证系统提出认证请求；认证系统将认证请求处理过后，再将处理结果返回给客户端；客户端根据结果判断用户是否为合法用户，并进而对其上网允许做出决定[14]。

图3 校园网802.1x协议网络拓扑结构

图4 认证流程

2.3 认证系统

认证系统是整个校园网认证的核心部件，其包括3个模块，分别为认证模块、计费模块以及认证管理模块，如图5所示。客户端提出认证请求后，认证模块对认证请求进行处理。若未通过认证，则对认证请求不予通过；若通过认证，则向计费模块发起计费申请，并将上网的记录与费用返回给认证管理模块。客户端通过认证管理系统查询账户上网流量与账户余额。

图5 认证系统功能图

对于认证模块，其详细工作详细流程图如图6所示，主要涉及上网记录与费用、接入控制表以及用户信息3方面的内容。首先客户端发起认证请求后，先检验数据包的合法性，确认为有效的数据包后，提取用户账号和口令，判断用户账号信息的合法性。若用户账号信息合法，则认证模块检验用户所在客户端IP和MAC地址的合法性；若不合法，则返回网络连接非法的信号给客户端。若IP和MAC地址合法，则进一步判断用户账号余额是否充足。若账号余额充足，则将IP地址及认证成功的信息返回给客户端，并向计费模块发起计费请求，具体认证流程如图7所示。

图6 认证模块详细功能图

图7 认证流程图

由于802.1x协议是非对称协议，其只对认证请求用户进行账号合法性检验，却并未对认证者所提交认证申请的认证点进行验证。因而攻击者可通过伪装认证点而截取用户账号信息，造成用户信息被窃取。并通过窃取的用户账号信息通过真正的认证点进行身份验证，接收认证点发送的报文，抢占网络资源[15-16]。在该种情况下，用户信息容易泄露，攻击者甚至通过用户账号进行非法工作，造成用户遭遇巨大损失。因此，需要在用户发起认证请求之前，对用户认证点进行认证，确保没有遭受网络攻击。此外，可通过在用户和认证点之间采取预共享密钥的方式来对认证点进行验证，具体方法如图8所示。在认证点通过认证申请者的认证请求后，其将通过预共享密钥并结合自身形象，包括IP地址、MAC地址等产生认证密钥Auth-Kc。并将认证密钥Auth-Kc连同EAP-Success信息一同发送给认证申请者，申请者也计算得到一个认证密钥Auth-Kc，并与认证点发送的认证密钥进行比对。若两者的认证密钥相同，则认证成功，申请者将接入网络；若两者的密钥不相同，则认为认证不成功，申请者将不会接入网络。从而确保用户信息不会被伪装的认证点窃取，保证网络接入认证的安全性。

图8 申请者与认证点的认证原理

3 认证测试

文中对基于802.1x协议的校园网安全认证系统进行测试，采用100 Mbps的局域网，硬件测试环境与软件测试环境如表1所示。

表1 测试环境

首先对校园网用户认证功能进行测试，打开客户端输入账号密码后点击登录。若认证成功，则能够连接网络，页面如图9（a）所示。文中模拟伪造认证点用相同的账号信息进行身份验证，结果无法通过认证，如图9（b）所示。因此，证明本系统能够防止攻击者通过伪造认证点窃取用户信息。认证系统认证成功即可连接网络，系统抓包结果如图10所示，由红色方框内信息可得网络连接已被接受。

图9 客户端登录

图10 系统抓包结果

4 结束语

随着互联网技术以及数字媒体技术的发展，高校资源逐渐实现数字化，并建设形成校园网络以供学生下载分享资源。随着网络规模的不断壮大，其呈现出来的网络安全也日益严重。因此，确保校园网的网络安全成为一个重要的问题。校园网主要通过身份验证的方式来确保网络用户的合法性，从而避免非法用户对校园网的访问，防范了网络木马程序、病毒对校园网的入侵。然而，传统认证方式容易造成网络传输瓶颈。为此，本文通过IEEE 802.1x协议设计了校园网安全认证系统。其通过端口对上网用户进行身份验证，有效防止了非法用户访问校园网。实验测试结果表明，该系统能够满足设计要求，从而实现用户身份验证功能。