【正文】 另一方面也可以讓校園網(wǎng)網(wǎng)絡(luò)管理者在安全事件發(fā)生后能準(zhǔn)確及時地找到肇事者 ，是 在一定程度上防止具有 惡意行為的事件的再次發(fā)生 。 系統(tǒng)在獲取用戶的帳號與密碼等身份后 ， 可以根據(jù)用戶身份的不同 ， 分配不同的資源使用權(quán)限 ，這樣即 避免網(wǎng)絡(luò)資源的濫用也可以使管理者不會造成管理混亂 。 而且高校校園網(wǎng)是高校信息化建設(shè)的基礎(chǔ)，只有在一個安全可靠、性能良好和管理完善的校園網(wǎng)絡(luò)，才能使高校的信息化建設(shè)順利進(jìn)行。經(jīng)過多年的發(fā)展，大多數(shù)高校的校園網(wǎng)都已經(jīng)規(guī)?；?，不少校園網(wǎng)已延伸到學(xué)生宿舍或正在向?qū)W生宿舍延伸。學(xué)生宿舍上網(wǎng)的最大問題就是上網(wǎng)的認(rèn)證方式和計(jì)費(fèi)管理 。 基于 的高校校園網(wǎng) AAA 認(rèn)證設(shè)計(jì)與實(shí)現(xiàn) 2 第一章 高校校園網(wǎng)的現(xiàn)狀 隨著 國內(nèi)和國 外 的 網(wǎng)絡(luò)安全事 件 在 不斷 的 升級和網(wǎng)絡(luò)應(yīng)用的普及 ， 由于用戶群密集且活躍 ， 現(xiàn)代 校園網(wǎng) 的 安全 方面己成為大家所 關(guān)注 的 大問題 ， 管理者在 管理也越來越 復(fù)雜 、 困難 。 這種狀況表現(xiàn) 有 ： 1) 校園網(wǎng)必須 要求實(shí)現(xiàn)實(shí)名 制 入網(wǎng) ， 防止 他人 盜用 ， 禁止發(fā)生各種帶有惡意操作的行為 ； 2) 校園網(wǎng)應(yīng)該 要求能夠有效地防止 用戶對其它入網(wǎng) 用戶 、 網(wǎng)絡(luò)設(shè)備進(jìn)行非法操作 和欺騙攻擊 ， 如 arp攻擊和廣播風(fēng)暴 ； 3) 校園網(wǎng)應(yīng)該 要求能夠有效地防止 某些 非 法授權(quán) ，以防 他人 使用次 身份或二次代理現(xiàn)象 ； 4) 校園網(wǎng)應(yīng)該 要求 入網(wǎng) 認(rèn)證本身對 現(xiàn)有的 網(wǎng)絡(luò)帶寬 有較小的占用率 ， 而 內(nèi)網(wǎng)用戶 應(yīng)該 不受限制地 使用網(wǎng)絡(luò) ； 5) 校園 網(wǎng)要 能夠?qū)崿F(xiàn)有線無線的一體化 入網(wǎng) 認(rèn)證 方式 ； 6) 校園網(wǎng)的 業(yè)務(wù)數(shù)據(jù)和管理數(shù)據(jù)的 必須分開管理 。 現(xiàn)代 高校校園網(wǎng)經(jīng)過多年的發(fā)展 ， 已經(jīng) 逐漸形成了許多 有效的身份認(rèn)證技術(shù)和 管理 系統(tǒng) 技術(shù) 。 但由于政策和管理模式 的各有 不同 ， 所采取的技術(shù)方案和管理制度也 較為 相同 。 使用 靜態(tài) IP地址 入網(wǎng) 使用靜態(tài) IP地址 分配模式進(jìn)行組網(wǎng) ， 往往是采用二級網(wǎng)絡(luò)模式 ， 核心以下的都在一個 vlan里面 。 主要是受制于學(xué)校的設(shè)備缺陷，其更新速度慢 、 設(shè)備參數(shù)較低 、 會使大量的 IP地址出現(xiàn)盜用現(xiàn)象 ，如 arp攻擊猖獗 、 廣播風(fēng)暴明顯 ，這樣就會 給用戶和管理者帶來諸多 的不便 。 校園網(wǎng)校內(nèi)的開放和訪問 只在用戶訪問校外資源時進(jìn)行認(rèn)證 ， 一般在校園網(wǎng)出口處安裝認(rèn)證網(wǎng)關(guān)設(shè)備 。 這種方法比較適合 CERNET流量計(jì)費(fèi)政策 ， 但是無法防止用戶通過代理訪問外部資源 ， 不能防止外來用戶濫用校園網(wǎng)中的資源 ， 對于校內(nèi)發(fā)生的安全事件也無法追查和落地 。 校園網(wǎng)內(nèi)基于 MAC地址的身份認(rèn)證 XXXXXXX 學(xué)院 計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì) 3 可在三層交換機(jī)上綁定用戶的 MAC地址 ， 只有授權(quán)的主機(jī)才可以訪問外網(wǎng)資 源 ，可 在用戶數(shù)量較多的高校 ，有些 用戶還可能頻繁地修改 mac地址 ，所以這種管理方式對于管理者來說有很大的難度 。 使用 PPPOE撥 號認(rèn)證訪問 由于 PPPOE采用 的是 動態(tài)分配 IP地址 上網(wǎng)形 式 ， 所以 用戶撥號后無需手動配置 IP地址 、 網(wǎng)關(guān) 、 域名等 ， 它們都 是自動生成 ， 便 不 會存 在 有 用戶自行更改 IP地址的問題 ， 這樣 對用戶管理 比較 方便 。 但存在的不足是 PPPOE撥號 認(rèn)證會 在包頭和用戶數(shù)據(jù)直接插入了 PPPOE和 PPP封裝 ， 這 對一些特殊業(yè)務(wù)和網(wǎng)絡(luò)利用率 都 有一定影響 。 ，后者是 IEEE的無線局域網(wǎng)協(xié)議， 制訂 之 初 的 原因 是為了解決 無線網(wǎng) 接入認(rèn)證 的 問題 。 IEEE802協(xié)議 定義的局域網(wǎng)并不 能夠提供接入認(rèn)證， 用戶 只要 接入 了 局域網(wǎng) 的 控制設(shè)備 (如 LANS witch) ， 用戶就可以訪問局域網(wǎng)中的設(shè)備或資源。 有線 LAN在 早期的 企業(yè)網(wǎng)中的 應(yīng)用環(huán)境下 ， 安全隱患 并不明顯 。但是隨著移動辦公 設(shè)備 及駐地網(wǎng)運(yùn)營等應(yīng)用的大規(guī)模發(fā)展 下 ，服務(wù)提供者需要對用戶的接入進(jìn)行控制和配置。尤其是 WLAN的應(yīng)用和 LAN接入在電信網(wǎng)上大規(guī)模開展，有必要對端口加以控制以實(shí)現(xiàn)用戶級的接入控制， IEEE為了解決基于端口的接入控制(PortBased Network Access Contro1)而定義的一 個標(biāo)準(zhǔn)。 IEEE ID或設(shè)備，對網(wǎng)絡(luò)客戶端進(jìn)行鑒權(quán)的標(biāo)準(zhǔn)。該流程被稱為“端口級別的鑒權(quán)”。它采用 RADIUS(遠(yuǎn)程認(rèn)證撥號用戶服務(wù) )方法，并將其劃分為三個不同小組 :請求方、認(rèn)證方和授權(quán)服務(wù)器。 標(biāo)準(zhǔn)應(yīng)用于試圖連接到端口或其它設(shè)備 (如 Cisco Catalyst交換機(jī)或 Cisco Airo系列接入點(diǎn) )(認(rèn)證方 )的終端設(shè)備和用戶 (請求方 )。認(rèn)證和授權(quán)都通過鑒權(quán)服務(wù)器 (如 Cisco Secure ACS)后端通信實(shí)現(xiàn)。 IEEE 提供自動用戶身份識別，集中進(jìn)行 鑒權(quán)、密鑰管理和 LAN連接配置。 基于 的高校校園網(wǎng) AAA 認(rèn)證設(shè)計(jì)與實(shí)現(xiàn) 4 第二章 協(xié)議的介紹 基于以太網(wǎng)端口認(rèn)證的 的 優(yōu)勢 1． 二層協(xié)議 ， 不需要到達(dá)三層 ， 并且 對設(shè)備的整體性能要求不 是很 高 ， 可以有效的減少組 網(wǎng)成本 ； 2． 可 借用 EAP（ 擴(kuò)展認(rèn)證協(xié)議 ）， 為其 提供良好的擴(kuò)展性和適應(yīng)性 ， 并兼容傳統(tǒng) 的 PPP認(rèn)證架構(gòu) 體系 ； 3． “ 受控端口 ” 和 “ 非控端口 ” 的邏輯功能 ， 可 實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證 的 分離 ， 由于 對用戶的認(rèn)證與控制 是 RADIUS和交換機(jī)利用不可控的邏輯端口 來 共同完成 的 ， 所以 業(yè)務(wù)報(bào)文直接承載著 正常的二層報(bào)文上通過可控端口進(jìn)行交換 ， 而 其通過認(rèn)證后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包 ； 后臺認(rèn)證系統(tǒng)降低部署的成本 的使用 ， 并 且還 有豐富的業(yè)務(wù)支持 ； 使用 映射不同的用戶認(rèn)證等級到不同的 VLAN中 ； LAN都 具有安全的認(rèn)證接入功能 。 基于以太網(wǎng)端口認(rèn)證的 的 特點(diǎn) ： 以 純 以 太網(wǎng)技術(shù)的 內(nèi)核，保持了 使用 IP 地址 網(wǎng) 絡(luò) 連接特性， 是 不需要進(jìn)行協(xié)議間的多層封裝， 使其減少 了不必要的開銷和冗余； 也 消除 了 網(wǎng)絡(luò)認(rèn)證計(jì)費(fèi)瓶頸和 單點(diǎn)故障， 更便于 支持多業(yè)務(wù)和新興流媒體業(yè)務(wù)。 ：可在普通 L L IPDSLAM 上實(shí)現(xiàn)，網(wǎng)絡(luò) 的 綜合造價(jià)成本低， 傳統(tǒng) AAA 認(rèn)證的網(wǎng)絡(luò)架構(gòu) 也得了保留 ， 這樣便 可以利用現(xiàn)有的RADIUS 設(shè)備 了 。 ：在二層 的 網(wǎng)絡(luò)上實(shí)現(xiàn)用戶認(rèn)證，結(jié)合 了 MAC 地址 、端口號 、賬戶、 VLAN 和密碼等； 便成了 安全性 較高的 綁定技術(shù)，在無線 局 域網(wǎng)網(wǎng)絡(luò)環(huán)境中 的 結(jié)合 EAP－ TLS， EAP－ TTLS,可以實(shí)現(xiàn)對 WEP 證書密鑰的動態(tài)分配，克服 了 無線局域網(wǎng) 在 接入中 存在 的安全漏洞。 ： IEEE 標(biāo)準(zhǔn)，和以太網(wǎng)標(biāo)準(zhǔn)同源，可以實(shí)現(xiàn)和以太網(wǎng)技術(shù)的無縫融合，幾乎所有的主流數(shù)據(jù)設(shè)備廠商 都 在其設(shè)備 上 ，包括路由器、 交換機(jī) 和無線 AP 上都提供對該協(xié)議的支持。在客戶端方面微軟windows XP 操作系統(tǒng)內(nèi)置支持， Linux 也提供了對該協(xié)議的支持。 XXXXXXX 學(xué)院 計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì) 5 ：可以靈活控制認(rèn)證的顆粒度，用于對單個用戶 的 連接、用戶 ID 或者是對接入設(shè)備進(jìn)行認(rèn)證，認(rèn)證的層次可以進(jìn)行靈活的組合，可 滿足特定的接入技術(shù)或者是業(yè)務(wù)的需要。 ：控制流和業(yè)務(wù)流 的 完全分離，易于多業(yè)務(wù)跨平臺實(shí)現(xiàn) 與運(yùn) 營，少量 的 改造傳統(tǒng)包月制等單一收費(fèi)制網(wǎng)絡(luò)即可升級成運(yùn)營級網(wǎng)絡(luò)了， 而且網(wǎng)絡(luò)的運(yùn)營成本也有 所 降低。 ： 請求者 ： 它是 連接到網(wǎng)絡(luò)和 請求其服務(wù)的設(shè)備 ， 通常是終端站 。 它是最終用戶所扮演的角色 ， 一般是個人 的 PC機(jī) 。 它 會 請求對網(wǎng)絡(luò)服務(wù)的訪問 ， 并對 所有的 認(rèn)證者的請求報(bào)文進(jìn)行應(yīng)答 。 懇請者 所使用的軟件必須是 符合 IEEE 的標(biāo)準(zhǔn) 軟件 。 認(rèn)證者 ： 認(rèn)證者一般 都是作 為交換機(jī)等接入設(shè)備 。 該設(shè)備的職責(zé)是根據(jù)客戶端當(dāng)前的認(rèn)證狀態(tài) 來 控制其與網(wǎng)絡(luò)的連接狀態(tài) 。 該 設(shè)備 所扮演的是 中介者的角色 ， 從客戶端要求 使用 用戶名 與密碼 ， 來 核實(shí)從服務(wù)器端所接收到的認(rèn)證信息 ， 再 轉(zhuǎn)發(fā)給客戶端 。 因此 ， 設(shè)備 扮演 著兩種角色，一是 的認(rèn)證者的角色 ， 二是 扮演 著 RADIUS Client角色 。 該種設(shè)備有兩種類型的端口 ： 受控端口 （ controled Port） 和非受控端口 （ uncontrolled Port）。 而要訪問網(wǎng)絡(luò)資原的用戶只有在 連接 到 受控端口才可使其訪問 ； 如要讓 用戶無須經(jīng)過認(rèn)證便可以直接訪問網(wǎng)絡(luò)資源 便使其連接到非受控端口便可 。 驗(yàn)證服務(wù)器 ： 它是負(fù)責(zé) 向驗(yàn)證者 提供 申請驗(yàn)證服 務(wù)的實(shí)體 ， RADIUS服務(wù)器 一般都會作為認(rèn)證服務(wù)器 ， 認(rèn)證過程中與認(rèn)證者配合 ， 為用戶提供認(rèn)證服務(wù) 。 認(rèn)證服務(wù)器 會保存用戶的 用戶名 和 密碼 ， 以及相應(yīng)的授權(quán)信息 ， 一臺服務(wù)器 還 可以對多臺認(rèn)證者提供認(rèn)證服務(wù) ， 這樣就可以實(shí)現(xiàn)對 多用戶的集中管理 。 認(rèn)證服務(wù)器還 會 負(fù)責(zé)管理從認(rèn)證者 所 發(fā)來的記帳數(shù)據(jù) 。 在實(shí)際應(yīng)用中 ３ 者為工作站 （ client）、 交換機(jī) （ work access server）和 Radius－ Server。 EAP的工作 過 程 IEEE有 一種 自定義的 封裝模式 ， 是 允許 EAP通過 LAN傳輸 數(shù)據(jù) ， EAP over LAN (EAPoL)于是應(yīng)運(yùn)而生 。 各種驗(yàn)證服務(wù)都可以通過這種協(xié)議運(yùn)行 ， 包括用戶名 ／ 口令 、 Kerberos、 數(shù)字證書 和 一次性口令等服務(wù) 。 EAP數(shù)據(jù)包 是 在請求基于 的高校校園網(wǎng) AAA 認(rèn)證設(shè)計(jì)與實(shí)現(xiàn) 6 者和驗(yàn)證者之間的鏈路層上傳輸 數(shù)據(jù) ， 并通過驗(yàn)證者與驗(yàn)證服務(wù)器之間的IP/RADIUS的 連接 。 圖 ３ 個角色之間的關(guān)系 圖 ２ .2 EAP和 EAPol工作過程 EAP本身并不為流量傳輸明確規(guī)定任何保護(hù)機(jī)制 ， 相反 ， EAP內(nèi)運(yùn)行的驗(yàn)證協(xié)議 （ 在 RFC2284當(dāng)中定義為驗(yàn)證類型 ） 為安全操作提供了數(shù)據(jù)的機(jī)密性和完整性 。 基于 AAA認(rèn)證過程 1) 客戶端 在 開啟認(rèn)證 后 ， 即 發(fā)送 EAPOLStart報(bào)文 ， 則 開始 向 證接入 ； 2) 在 接入設(shè)備收到 EAPOLStart報(bào)文后 ， 便會向所連接的 客戶端發(fā)送 EAPRequest/Identity報(bào)文 ， 并 要求客戶端將用戶 的 賬號信息傳送過 來 ； 3) 客戶端 在接收到數(shù)據(jù)后會 回應(yīng)一個 EAPResponse/Identity給接入設(shè)備的請求 ， 其中包括 用戶的 賬號 信息 ； 4) 接入設(shè)備 會 將 接收到的 EAPResponse/Identity數(shù)據(jù) 報(bào)文封裝到 RADIUS accessRequest報(bào) 文中 ， 并 發(fā)送給認(rèn)證服務(wù)器 ； XXXXXXX 學(xué)院 計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì) 7 5) 認(rèn)證服務(wù)器 還會 產(chǎn)生一個 Challenge， 通過接入設(shè)備 RADIUS access Challenge報(bào)文發(fā)送給客戶端 ， 其中 有EAPRequest/MD5Challenge； 6) 接入設(shè)備 會 通過 EAPRequest/MD5Challenge發(fā)送給客戶端 ， 并會要求客戶端進(jìn)行認(rèn)證 ； 7) 客戶端 在 收到 EAPRequest/MD5Challenge發(fā)送過來的 報(bào)文后 ， 則將密碼和 Challenge做 MD5算法后的 Challenged－ Pass－ word， 在EAPRequest/MD5Challenge回應(yīng)給接入設(shè)備 ； 8) 接入設(shè)備將 Challenge， Challenged Password和用戶 的用戶 名一起傳送到 RADIUS服務(wù)器 ， 并 由 RADIUS服務(wù)器進(jìn)行 數(shù)據(jù) 認(rèn)證 ； 9) RADIUS服務(wù)器 會 根據(jù)用戶 的相關(guān) 信息 ， 做 MD5算法 ， 判斷用戶是否合法 ， 然后 將 回應(yīng) 認(rèn)證成功 ／ 失敗報(bào)文到接入設(shè)備 。 如果成功 ， 則 攜帶協(xié)商參數(shù) ， 以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán) 。 如果認(rèn)證失敗 ，則流程到此結(jié)束 ； 10) 認(rèn)證通過 ， 則 用戶通過標(biāo)準(zhǔn)的 DHCP協(xié)議 （ 可以是 DHCP Relay， 通過所連的 接入設(shè)備 來獲取合法 的 IP地址 ； 11) 如果認(rèn)證通過 ， 接入設(shè)備 則 發(fā)起計(jì)費(fèi)開始請求給 RADIUS用戶認(rèn)證服務(wù)器 ；