孟小冬

(呼倫貝爾學(xué)院 計算機(jī)科學(xué)與技術(shù)學(xué)院，內(nèi)蒙古 呼倫貝爾 021000)

基于802.1x的校園網(wǎng)安全設(shè)計*

孟小冬

(呼倫貝爾學(xué)院 計算機(jī)科學(xué)與技術(shù)學(xué)院，內(nèi)蒙古 呼倫貝爾 021000)

由于大學(xué)互聯(lián)網(wǎng)用戶總數(shù)大，互聯(lián)網(wǎng)上網(wǎng)技術(shù)各有差異，一些校園網(wǎng)的黑客等電腦高手，常常有破壞校園網(wǎng)絡(luò)安全的不法行為.鑒于此，采用先進(jìn)的網(wǎng)絡(luò)協(xié)議技術(shù)對校園網(wǎng)進(jìn)行安全設(shè)計非常必要.本文通過對802.1x協(xié)議技術(shù)的介紹，分析了校園網(wǎng)安全設(shè)計存在的問題，最后將802.1x協(xié)議技術(shù)運(yùn)用到校園網(wǎng)安全設(shè)計中，為校園網(wǎng)安全設(shè)計提出了一些建設(shè)性的意見.

802.1x協(xié)議;校園網(wǎng);安全設(shè)計

近年來，由于大學(xué)擴(kuò)招，我國高校校園網(wǎng)建設(shè)發(fā)展較快，建設(shè)和使用校園網(wǎng)在大學(xué)校園已成為一種主流趨勢.網(wǎng)絡(luò)應(yīng)用的廣泛深入，高校數(shù)字化建設(shè)使得高等院校的教學(xué)、科研以及管理部門在傳遞信息時對校園網(wǎng)的依賴性越來越強(qiáng).但由于校園網(wǎng)在構(gòu)建時為了節(jié)約成本，只注重校園網(wǎng)的功利性，忽視了對校園網(wǎng)的安全體系建設(shè)，使其在受到威脅和攻擊時，顯得非常脆弱，當(dāng)不法分子入侵或者病毒橫行時，安全問題日益嚴(yán)重，給網(wǎng)絡(luò)用戶造成了巨大損失.如何加強(qiáng)校園網(wǎng)的安全建設(shè)已經(jīng)成為高校網(wǎng)絡(luò)用戶最關(guān)心的問題.

1 校園網(wǎng)安全設(shè)計

由于計算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征，導(dǎo)致網(wǎng)絡(luò)容易受到黑客、怪客、惡意軟件和其他不軌的攻擊，所以網(wǎng)上信息的安全是一個至關(guān)重要的問題.

1.1 校園網(wǎng)安全威脅

雖然計算機(jī)在向著智能化發(fā)展，甚至在某一些方面可以代替人工處理事務(wù)，開展工作.因?yàn)橛嬎銠C(jī)本身的復(fù)雜性，使計算機(jī)常常遭受一些安全威脅.計算機(jī)網(wǎng)絡(luò)所面臨的威脅大體可分為兩種:一是對網(wǎng)絡(luò)中信息的威脅;二是對網(wǎng)絡(luò)中設(shè)備的威脅.這些有一些是某些用戶有意的或是無意操作造成的;有一些是外來黑客對網(wǎng)絡(luò)系統(tǒng)資源的非法使用引起的.總結(jié)起來，這些可能造成網(wǎng)絡(luò)安全威脅的因素不外乎就這幾種.

人為的操作失誤.如網(wǎng)絡(luò)用戶使用時由于安全配置不當(dāng)造成的安全漏洞沒有及時修補(bǔ)，用戶網(wǎng)絡(luò)安全保護(hù)意識不強(qiáng)，沒有對重要文件設(shè)置密碼保護(hù)，或者將自己的密碼告訴他人等.

人為的惡意攻擊.通常說的計算機(jī)犯罪就是指某些用戶的惡意攻擊.主動性的認(rèn)為惡意攻擊能有選擇地破壞信息的有效性和完整性，對用戶來說可能會造成無可挽回的損失;而被動的惡意攻擊，在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息，也是用戶深惡疼絕的攻擊行為.這兩種攻擊形式都會使機(jī)密文件泄露，危害信息安全.

網(wǎng)絡(luò)軟件的漏洞威脅.網(wǎng)絡(luò)軟件不是完全安全的，有些病毒的程序以軟件的形式出現(xiàn)在用戶面前，稍不注意，便會危害網(wǎng)絡(luò)安全.對于這種惡意攻擊行為往往是防范心有余而力不足.

1.2 校園網(wǎng)安全分析

校園網(wǎng)運(yùn)行之所以出現(xiàn)安全威脅，存在一些安全漏洞，除了外在的人為攻擊和操作失誤造成的數(shù)據(jù)的損失和文件的泄密外，校園網(wǎng)自身也存在很多安全隱患.

校園網(wǎng)自身網(wǎng)絡(luò)結(jié)構(gòu)問題.從網(wǎng)絡(luò)結(jié)構(gòu)上看，校園網(wǎng)的終端用戶和服務(wù)器處在同一局域網(wǎng)內(nèi)，沒有安全隔離設(shè)置，非授權(quán)訪問很容易.由于資金的缺乏問題在內(nèi)部網(wǎng)和互聯(lián)網(wǎng)之間往往只設(shè)置了一個防火墻，多數(shù)用戶甚至沒有進(jìn)行網(wǎng)絡(luò)安全配置，直接插入互聯(lián)網(wǎng)，同時，由于校園網(wǎng)用戶多、規(guī)模大、網(wǎng)絡(luò)設(shè)備多，在管理上也有很大的難度.

網(wǎng)絡(luò)協(xié)議的缺陷.由于TCP/IP協(xié)議出現(xiàn)的年代較早，為廣大用戶所熟知，本身的費(fèi)用也較低.因此目前，絕大多數(shù)的校園網(wǎng)是基于TCP/IP協(xié)議的，而 TCP/IP協(xié)議在設(shè)計之初的網(wǎng)絡(luò)環(huán)境較安全，沒有必要考慮影響網(wǎng)絡(luò)安全等方面的因素.而隨著網(wǎng)絡(luò)環(huán)境的變化，TCP/IP協(xié)議的弱點(diǎn)和缺陷越來越多，很多人都是利用了TCP/IP協(xié)議的缺陷，進(jìn)行網(wǎng)絡(luò)攻擊.

操作系統(tǒng)的缺陷.在校園網(wǎng)中，計算機(jī)配置什么樣的操作系統(tǒng)對網(wǎng)絡(luò)安全和用戶非常重要，現(xiàn)在的操作系統(tǒng)如:Linux、Windows、Unix等，都有一定的漏洞或缺陷，很多攻擊者就是利用這些漏洞對校園網(wǎng)用戶發(fā)起攻擊.

1.3 校園網(wǎng)安全設(shè)計原則

盡管沒有完全安全的校園網(wǎng)絡(luò)，但為了保障校園網(wǎng)的安全運(yùn)行，校園網(wǎng)在安全設(shè)置時要尊重五個方面的原則.首先是前瞻性.就是說對校園網(wǎng)可能遭受的安全隱患進(jìn)行預(yù)測和評估.網(wǎng)絡(luò)信息系統(tǒng)具有復(fù)雜性，同時又很脆弱.而多用戶網(wǎng)絡(luò)系統(tǒng)本身又有資源共享性，因此充分、全面、完整地對系統(tǒng)的安全漏洞和安全威脅進(jìn)行分析、評估和檢測是設(shè)計網(wǎng)絡(luò)安全系統(tǒng)的必要前提條件.

實(shí)用性.網(wǎng)絡(luò)安全必須要保證用戶的操作活動和系統(tǒng)的運(yùn)行.網(wǎng)絡(luò)中的信息安全和信息應(yīng)用是相對應(yīng)的.在采取網(wǎng)絡(luò)安全措施時，不能過于繁瑣，同時不能對網(wǎng)絡(luò)造成影響，要有實(shí)用性.

可管理性.就是說網(wǎng)絡(luò)設(shè)備和安全信任體系要有可管理性.網(wǎng)絡(luò)的安全與保密是一項(xiàng)很重要的工作.對網(wǎng)絡(luò)進(jìn)行安全保護(hù)時，保證安全策略到設(shè)備、安全責(zé)任到人、安全機(jī)制貫穿整個網(wǎng)絡(luò)系統(tǒng)，這樣就利于安全措施的管理與實(shí)施，可以最大程度的保證網(wǎng)絡(luò)的安全性.

此外，對校園網(wǎng)進(jìn)行安全設(shè)計時，還要遵循系統(tǒng)性和拓展性等設(shè)計原則，與時俱進(jìn)，不斷適應(yīng)網(wǎng)絡(luò)發(fā)展的需要.對校園網(wǎng)的長期發(fā)展做好規(guī)劃，注意網(wǎng)絡(luò)功能的升級和擴(kuò)展.

2 802.1x協(xié)議

802.1 x協(xié)議，一種基于端口的網(wǎng)絡(luò)訪問控制，以其在認(rèn)證方面的獨(dú)特優(yōu)勢，近年來備受網(wǎng)絡(luò)用戶推崇，很多網(wǎng)絡(luò)用戶相繼開始實(shí)施802.1x接入方式.與傳統(tǒng)的TCP/IP協(xié)議相比，802.1x協(xié)議有一些明顯的優(yōu)勢.

2.1 802.1x 協(xié)議綜述

所謂的802.1x是IEEE(國際電子電器工程師協(xié)會)制定的基于端口的網(wǎng)絡(luò)接入控制(Port－Based Access Control)標(biāo)準(zhǔn).雖然它起源于無線局域網(wǎng)標(biāo)準(zhǔn)IEEE 802.11的安全需求，現(xiàn)在經(jīng)常用于有線局域網(wǎng).基于802.1x的認(rèn)證系統(tǒng)一般包括三個實(shí)體:申請者(Supplicant)、驗(yàn)證者(Authenticator)、認(rèn)證服務(wù)器(Authentication).與傳統(tǒng)的TCP/IP協(xié)議相比，802.1x更能適應(yīng)現(xiàn)代網(wǎng)絡(luò)技術(shù)發(fā)展的需要，對網(wǎng)絡(luò)安全設(shè)計也有很多優(yōu)點(diǎn).

2.2 802.1x 的優(yōu)點(diǎn)

802.1 x協(xié)議在以太網(wǎng)中的引入，解決了傳統(tǒng)的認(rèn)證方式帶來的問題，消除了網(wǎng)絡(luò)瓶頸，減輕了網(wǎng)絡(luò)封裝開銷，降低了建網(wǎng)成本.IEEE 802.1x有以下五大優(yōu)點(diǎn).首先它純化了太網(wǎng)技術(shù)內(nèi)核，使IP網(wǎng)絡(luò)具有無連接的特性，去除冗余昂貴的多業(yè)務(wù)網(wǎng)關(guān)設(shè)備，消除網(wǎng)絡(luò)認(rèn)證計費(fèi)瓶頸和單點(diǎn)故障，易于使業(yè)務(wù)支持更加簡潔高效.同時造價低也容易實(shí)現(xiàn)，在二層網(wǎng)絡(luò)上實(shí)現(xiàn)用戶認(rèn)證，綁定技術(shù)很強(qiáng)大，更加安全可靠.此外，IEEE標(biāo)準(zhǔn)是微軟操作系統(tǒng)內(nèi)置支持的行業(yè)標(biāo)準(zhǔn).最后，這種協(xié)議能使控制流和業(yè)務(wù)流完全分離，易于實(shí)現(xiàn)多業(yè)務(wù)運(yùn)營.

2.3 802.1x工作過程

802.1 x與傳統(tǒng)的網(wǎng)絡(luò)協(xié)議相比，人機(jī)交互性更強(qiáng).用戶有上網(wǎng)需求時打開802.1x客戶端程序，通過輸入已經(jīng)申請、登記過的用戶名和口令，發(fā)起連接請求.交換機(jī)收到請求認(rèn)證的數(shù)據(jù)幀后，將發(fā)出一個請求幀要求用戶的客戶端程序?qū)⑤斎氲挠脩裘蜕蟻?客戶端程序響應(yīng)交換機(jī)發(fā)出的請求，將用戶名信息通過數(shù)據(jù)幀送給交換機(jī).最后環(huán)節(jié)，需要使認(rèn)證服務(wù)器將送上來的加密后的口令信息和其自己經(jīng)過加密運(yùn)算后的口令信息進(jìn)行對比，通過計算機(jī)鑒別真?zhèn)危行У胤乐沽朔蔷W(wǎng)絡(luò)注銷用戶本人的非法操作.

更強(qiáng)的人機(jī)交互性，更強(qiáng)的智能化措施，更強(qiáng)的安全設(shè)置裝備，保證了網(wǎng)絡(luò)用戶在使用校園網(wǎng)時對安全進(jìn)行自我設(shè)置，降低了被黑客攻擊的風(fēng)險，低價保障了在電腦使用過程中的惡意攻擊.當(dāng)然，對于一些由人為地操作失誤造成的安全威脅也大大降低，因?yàn)?02.1x協(xié)議技術(shù)在用戶登錄時設(shè)置了一個用戶確認(rèn)環(huán)節(jié)，非經(jīng)授權(quán)的使用網(wǎng)絡(luò)行為也受到了限制.

3 802.1x的校園網(wǎng)安全設(shè)計

對校園網(wǎng)進(jìn)行安全設(shè)計，首先對校園網(wǎng)進(jìn)行安全域劃分，根據(jù)不同的局域網(wǎng)的安全隱患不同，同時引起校園網(wǎng)安全威脅的因素也不同，具體問題要具體分析.因此，在相同的網(wǎng)絡(luò)安全域可以共享一樣的安全策略，這樣可以節(jié)約部分安全設(shè)計資金;而在不同的安全域之間需要設(shè)置防火墻，把不同的安全域隔離開來，防止網(wǎng)絡(luò)病毒的相互傳播，以進(jìn)行安全保護(hù).

3.1 劃分安全域

進(jìn)行網(wǎng)絡(luò)安全設(shè)計首先要對網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全檢查和評估，而安全域則是檢查和評估的基礎(chǔ).劃分安全域，有利于具體解決問題，也是防止網(wǎng)絡(luò)病毒滲透的有效防護(hù)方式，建立以安全域?yàn)橹行牡陌踩雷o(hù)策略，有利于對網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全建設(shè)的部署.通常在邊界問題較容易發(fā)生，因此安全域邊界是災(zāi)難發(fā)生時的抑制點(diǎn)，而安全域邊界的安全隱患主要來自互聯(lián)網(wǎng)上的攻擊.網(wǎng)絡(luò)邊界防范(例如邊界防火墻系統(tǒng)等)可以大大減小攻擊者通過互聯(lián)網(wǎng)訪問校園網(wǎng)的幾率，有效地把安全威脅排除在安全域之外.

3.2 內(nèi)網(wǎng)安全防范設(shè)施

同時還要注意內(nèi)網(wǎng)安全威脅，這是一種主要源于校園內(nèi)部的網(wǎng)絡(luò)安全威脅.對校園網(wǎng)用戶來說，先控制局域網(wǎng)絡(luò)內(nèi)部的一臺服務(wù)器，然后以此為地，對內(nèi)網(wǎng)中的其他主機(jī)發(fā)起惡性攻擊行為是比較常見的校園網(wǎng)惡性攻擊事件.因此，為了保護(hù)校園網(wǎng)的安全，減少由校園網(wǎng)安全事故造成的損失，應(yīng)在邊界展開黑客防護(hù)措施，例如加密技術(shù)、客戶端的安全防范、用戶的身份驗(yàn)證、權(quán)限控制等措施，同時建立并加強(qiáng)內(nèi)網(wǎng)防范策略.此外，根據(jù)不同的安全域和子網(wǎng)的安全要求，還可以由路由交換設(shè)備安全配置等在網(wǎng)絡(luò)接口實(shí)行防范措施.

結(jié)語:保證信息流通，同時保障信息流通的安全性，盡量減少在計算機(jī)使用過程中存在的安全風(fēng)險.校園網(wǎng)的普及，為充分利用教育資源提供了可能，方便了現(xiàn)代高等院校的教學(xué)，也有利于使廣大學(xué)生在課堂學(xué)習(xí)之余開闊視野，進(jìn)行交友和娛樂.在信息時代，便于信息的及時公開和公開意見的表達(dá).但也應(yīng)注意與此同時，網(wǎng)絡(luò)犯罪也非常多見，校園網(wǎng)的安全問題關(guān)系到高等院校的信息安全和學(xué)生的切身利益.校園網(wǎng)設(shè)施密集，用戶及訪問流量極大，特別是經(jīng)常有些網(wǎng)絡(luò)愛好者和黑客“光臨”校園網(wǎng)，這些校園網(wǎng)本身的漏洞和不斷惡化的網(wǎng)絡(luò)環(huán)境給校園網(wǎng)的安全造成了極大的隱患.運(yùn)用新的思路和方法，改進(jìn)網(wǎng)絡(luò)安全設(shè)計，確實(shí)提高校園網(wǎng)的安全性.

TP393.18

A

1006－5342(2012)06－0024－02

2012－03－20