張榮玉++侯整風(fēng)++朱曉玲

摘要：隨著網(wǎng)絡(luò)的飛速發(fā)展，內(nèi)部網(wǎng)絡(luò)安全問題日益突出。防火墻、IDS、IPS等網(wǎng)絡(luò)安全產(chǎn)品重點(diǎn)放在了防范來自外部網(wǎng)絡(luò)的威脅與攻擊。該文設(shè)計(jì)并實(shí)現(xiàn)基于VLAN的內(nèi)部網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)。該平臺(tái)包括準(zhǔn)入控制、用戶/終端健康檢查、安全策略定制、網(wǎng)絡(luò)狀態(tài)監(jiān)控等功能模塊，對(duì)終端實(shí)施允許、阻斷、隔離控制策略。實(shí)驗(yàn)結(jié)果表明，該平臺(tái)能夠有效安全的管理內(nèi)部網(wǎng)絡(luò)，可以作為信息安全專業(yè)本科生網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)，也可作為小型企業(yè)內(nèi)網(wǎng)安全管理工具。

關(guān)鍵詞：網(wǎng)絡(luò)安全；防火墻；IPS；IDS；準(zhǔn)入控制

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）33-0041-05

Design and Implementation of Intranet Security Experiment Platform

ZHANG Rong-yu， HOU Zheng-feng， ZHU Xiao-ling

（School of Computer and Information，Hefei University of Technology， Hefei 230009， China）

Abstract：With the rapid development of network， internal network security problem increasingly prominent. Network security products such as firewalls， IDS， IPS focus on preventing from external network threats and attacks. This thesis designs and implements internal network security experiment platform based on VLAN. The platform includes access control， user/terminal health inspection， security policy customization， network status monitoring， implements control strategy such as allow， block， isolate. The experimental results show that platform can manage internal network security effectively， can be used as an experiment platform for undergraduate of the information securityand can also be used as a small enterprise internal security management tool.

Key words： network security； firewall； IPS； IDS； Access control

1 概述

目前網(wǎng)絡(luò)安全管理重點(diǎn)放在了防范來自外部網(wǎng)絡(luò)的威脅與攻擊，把網(wǎng)絡(luò)安全管理產(chǎn)品部署于網(wǎng)絡(luò)邊界或網(wǎng)關(guān)處，例如防火墻、IPS、IDS[1-2]等。然而隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，內(nèi)部網(wǎng)絡(luò)安全問題日益突出，企業(yè)內(nèi)部網(wǎng)絡(luò)安全威脅更具有危害性。根據(jù)國外權(quán)威媒體對(duì)484家公司進(jìn)行的安全專項(xiàng)調(diào)查統(tǒng)計(jì)顯示，超過85%的安全威脅來自公司內(nèi)部。而我國內(nèi)網(wǎng)安全現(xiàn)狀更令人擔(dān)憂。據(jù)公安部統(tǒng)計(jì)，70%的泄密犯罪來自于內(nèi)部電腦；80%的單位未設(shè)立相應(yīng)的安全管理系統(tǒng)、技術(shù)措施和制度[3]。

內(nèi)網(wǎng)安全管理包括網(wǎng)絡(luò)準(zhǔn)入控制[4-5]、終端健康檢查、進(jìn)程管理、安全策略配置與執(zhí)行、網(wǎng)絡(luò)流量監(jiān)控[6-7]等功能模塊。通過用戶/終端身份認(rèn)證和訪問權(quán)限控制，避免非法用戶/終端接入網(wǎng)絡(luò)；通過終端健康審查，限制存在安全威脅的終端接入網(wǎng)絡(luò)；通過短信和郵件向用戶或管理員發(fā)送消息；實(shí)時(shí)檢查終端上運(yùn)行的黑名單進(jìn)程，強(qiáng)制終止其運(yùn)行。

國內(nèi)相關(guān)產(chǎn)品有網(wǎng)盾IPtrust，該系統(tǒng)側(cè)重于管理，網(wǎng)絡(luò)安全控制和審計(jì)功能較弱；北信源VRV內(nèi)網(wǎng)安全管

理產(chǎn)品[8]，該產(chǎn)品只能阻斷撥號(hào)上網(wǎng)，對(duì)寬帶上網(wǎng)和無線上網(wǎng)等方式不能阻斷。國外安全管理產(chǎn)品有Websense產(chǎn)品，為客戶提供Email Security、Web Security和Data Security；Cisco提出了一種網(wǎng)絡(luò)準(zhǔn)入控制方案C-NAC，核心思想是控制終端訪問權(quán)限，阻止危險(xiǎn)終端接入網(wǎng)絡(luò)或僅獲得有限權(quán)限[9-10]。

上述內(nèi)網(wǎng)安全產(chǎn)品功能豐富，技術(shù)成熟，但是需要專業(yè)的技術(shù)人員操作維護(hù)且部署較為困難，不適合用作信息安全專業(yè)本科生實(shí)驗(yàn)平臺(tái)。

本文實(shí)現(xiàn)的內(nèi)網(wǎng)安全實(shí)驗(yàn)平臺(tái)特點(diǎn)如下：

1）提供圖形化管理界面?；贘2EE架構(gòu)，采用動(dòng)態(tài)樹形菜單表示用戶、終端的組織結(jié)構(gòu)，一目了然，易于管理，適合作為信息安全專業(yè)本科生網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)。

2）控制器以旁路方式接入網(wǎng)絡(luò)，不改變?cè)芯W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，可根據(jù)控制范圍和力度，并聯(lián)接入任何一級(jí)交換機(jī)，系統(tǒng)部署靈活方便，適合學(xué)生反復(fù)、多次進(jìn)行試驗(yàn)。

3）用戶進(jìn)行網(wǎng)絡(luò)訪問時(shí)，平臺(tái)通過重定向技術(shù)向用戶推送認(rèn)證頁面，實(shí)現(xiàn)無客戶端、透明準(zhǔn)入。

2 內(nèi)網(wǎng)安全實(shí)驗(yàn)平臺(tái)關(guān)鍵技術(shù)

2.1準(zhǔn)入控制技術(shù)

早期網(wǎng)絡(luò)準(zhǔn)入控制主要采用ARP技術(shù)[11]，易于實(shí)現(xiàn)。然而客戶端安裝ARP防火墻可能導(dǎo)致ARP準(zhǔn)入控制失效。后來IEEE提出了基于端口訪問控制（Port Control Protocol）的802.1x協(xié)議，用戶需要安裝客戶端軟件，否則無法進(jìn)行身份認(rèn)證[12]，系統(tǒng)安裝和管理較為困難。

本文設(shè)計(jì)的內(nèi)網(wǎng)安全實(shí)驗(yàn)平臺(tái)使用基于VLAN的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)。交換機(jī)設(shè)置兩個(gè)VLAN，VLAN1為正常VLAN，VLAN2為隔離VLAN，接入VLAN1的終端允許正常接入網(wǎng)絡(luò)，接入VLAN2的終端需要進(jìn)行合規(guī)檢查。終端接入交換機(jī)的端口可以在VLAN1和VLAN2之間切換。

控制器并聯(lián)接入交換機(jī)，通過TRUNK口捕獲和分析數(shù)據(jù)包，通過Telnet協(xié)議發(fā)送VLAN配置協(xié)議。如圖1所示。

1） 控制器定期讀取交換機(jī)端口狀態(tài)信息，若端口由“DOWN”變?yōu)椤癠P”，則將該端口切換到VLAN2，從而阻斷終端通過VLAN1接入網(wǎng)絡(luò)，使終端數(shù)據(jù)流進(jìn)入隔離VLAN。

2） 控制器通過TRUNK口捕獲交換機(jī)端口進(jìn)/出的終端數(shù)據(jù)包，分析終端TCP連接過程，將終端重定向至服務(wù)器，彈出登陸界面。

3） 控制器將用戶/終端登錄信息轉(zhuǎn)發(fā)給服務(wù)器，服務(wù)器進(jìn)行安全策略合規(guī)檢查，并將檢查結(jié)果返回給控制器。

4） 控制器根據(jù)檢查結(jié)果執(zhí)行相應(yīng)的準(zhǔn)入控制操作，例如：允許，隔離，阻斷。允許：通過Telnet協(xié)議發(fā)送VLAN配置命令，將VLAN2切換到VLAN1，即終端端口恢復(fù)至正常VLAN；阻斷：丟棄終端數(shù)據(jù)包；隔離：對(duì)數(shù)據(jù)包進(jìn)行過濾，轉(zhuǎn)發(fā)符合隔離要求的數(shù)據(jù)包。

2.2 可視化管理

隨著網(wǎng)絡(luò)規(guī)模的迅速發(fā)展，用戶終端數(shù)目穩(wěn)步增加，網(wǎng)絡(luò)安全管理的難度增加。如何將內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、員工組織關(guān)系清晰的刻畫出來是內(nèi)網(wǎng)安全平臺(tái)易用性設(shè)計(jì)的關(guān)鍵。傳統(tǒng)內(nèi)網(wǎng)安全實(shí)驗(yàn)平臺(tái)的網(wǎng)絡(luò)結(jié)構(gòu)、員工組織關(guān)系的表現(xiàn)大都采用列表形式，由于結(jié)構(gòu)不明確就加大了管理難度。為了解決這個(gè)問題，本文設(shè)計(jì)的內(nèi)網(wǎng)安全平臺(tái)采用動(dòng)態(tài)樹的方式對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、員工組織關(guān)系進(jìn)行刻畫，管理。樹形結(jié)構(gòu)使設(shè)備位置一目了然，人事關(guān)系層次結(jié)構(gòu)直觀明了，大大增加了平臺(tái)的易用性。

本平臺(tái)使用ExtJS的Tree組件，并在該組件基礎(chǔ)上增加一些額外的功能來實(shí)現(xiàn)動(dòng)態(tài)樹的異步加載、拖動(dòng)、排序。樹組件包括樹形面板Ext.tree.Panel和數(shù)據(jù)源Ext.data.TreeStore。其中Ext.tree.Panel擴(kuò)展自Ext.panel.Table面板，設(shè)置簡(jiǎn)單，使用方便。Ext.data.Treestore是Ext.data.Tree接口的實(shí)現(xiàn)，它提供了加載節(jié)點(diǎn)的便利方法，并把它們按樹形的層次結(jié)構(gòu)組織在store中。實(shí)現(xiàn)樹形結(jié)構(gòu)需要使用數(shù)據(jù)庫表如表1所示。

字段User_Terminal用于標(biāo)識(shí)節(jié)點(diǎn)類型，含義如下：

0：所有用戶、部門（root節(jié)點(diǎn)）；1：下線用戶；2：下線終端；3：非受控終端；4：上線用戶；5：上線終端。

孩子節(jié)點(diǎn)與父節(jié)點(diǎn)通過（Code，Parent_code）關(guān)聯(lián)，是多對(duì)一關(guān)系。

3 內(nèi)網(wǎng)安全實(shí)驗(yàn)平臺(tái)體系結(jié)構(gòu)

內(nèi)網(wǎng)安全實(shí)驗(yàn)平臺(tái)包括三個(gè)層次：客戶層、服務(wù)層、控制層。如圖2所示。

1） 客戶層：客戶層包括請(qǐng)求接入內(nèi)網(wǎng)的受控實(shí)體，是指安裝有內(nèi)網(wǎng)安全代理的終端設(shè)備，如臺(tái)式機(jī)、筆記本、平板電腦和智能手機(jī)等。

2） 服務(wù)層：服務(wù)層是內(nèi)網(wǎng)安全平臺(tái)策略定制和管理單元。管理員預(yù)先定制安全策略，例如時(shí)間段策略、郵件和短信提醒策略、IP/MAC綁定策略、流量控制策略等。服務(wù)器依據(jù)定制的安全策略，根據(jù)控制器傳遞的用戶/終端健康狀況檢查結(jié)果做出相應(yīng)的管理決策，并將該決策信息傳遞給控制器。

3） 控制層：控制層是內(nèi)網(wǎng)安全平臺(tái)的策略執(zhí)行單元，決定用戶/終端的上網(wǎng)權(quán)限。控制器檢查用戶/終端的身份信息、健康狀況并把檢測(cè)結(jié)果傳送至服務(wù)器；控制器接收服務(wù)器傳遞過來的決策信息，對(duì)終端進(jìn)行安全控制，包括允許、隔離和阻斷。

通信協(xié)議是服務(wù)器、控制器之間進(jìn)行通信標(biāo)準(zhǔn)接口，包括數(shù)據(jù)單元格式和功能。協(xié)議單元格式如下：

[命令碼（2byte）＼&數(shù)據(jù)（長度可變）＼&]

命令碼2個(gè)字節(jié)，代表服務(wù)器和控制器要執(zhí)行的操作命令。部分命令碼含義如下。

00或99：控制器應(yīng)答服務(wù)器請(qǐng)求數(shù)據(jù)包格式，“00”表示確認(rèn)，“99”表示“否認(rèn)”。

05：服務(wù)器向控制器發(fā)出請(qǐng)求重定向登錄頁面。

06：服務(wù)器向控制器發(fā)出請(qǐng)求隔離命令。

07：服務(wù)器向控制器發(fā)出請(qǐng)求阻斷命令。

08：服務(wù)器向控制器發(fā)出請(qǐng)求允許命令。

11：控制器向服務(wù)器發(fā)出“IP/MAC/用戶”檢查結(jié)果。

12：服務(wù)器向控制器發(fā)送“控制”或“不控制”終端命令。

數(shù)據(jù)字段長度可變，包括命令執(zhí)行的必要信息。如MAC地址、IP、交換機(jī)端口號(hào)、隔離區(qū)號(hào)、用戶名等。

該協(xié)議單元作為數(shù)據(jù)部分封裝在UDP數(shù)據(jù)包中。

4 內(nèi)網(wǎng)安全實(shí)驗(yàn)平臺(tái)工作流程

4.1平臺(tái)工作流程

內(nèi)網(wǎng)安全平臺(tái)工作流程如圖3所示。

內(nèi)網(wǎng)安全平臺(tái)建立后，用戶/終端請(qǐng)求接入網(wǎng)絡(luò)需要經(jīng)過注冊(cè)、接入、隔離、通知、修復(fù)主要過程。

注冊(cè)：控制器向用戶推送登錄/注冊(cè)界面。未注冊(cè)用戶和終端進(jìn)行注冊(cè)；已注冊(cè)的用戶終端填寫身份信息嘗試接入網(wǎng)絡(luò)。

接入：安全接入是內(nèi)網(wǎng)安全策略的實(shí)施點(diǎn)，強(qiáng)制用戶終端進(jìn)行身份認(rèn)證、阻止不安全終端接入網(wǎng)絡(luò)、隔離未通過安全策略審查的終端。

隔離：用戶請(qǐng)求接入網(wǎng)絡(luò)，控制器捕捉到請(qǐng)求信息，然后進(jìn)行安全檢查，如IP/MAC綁定、用戶/終端綁定、終端端健康狀態(tài)。對(duì)未通過安全策略審查的終端，控制器將交換機(jī)端口切換到不存在的VLAN，使終端接入網(wǎng)絡(luò)失敗。

通知：內(nèi)網(wǎng)安全平臺(tái)及時(shí)向終端或管理員發(fā)送管理信息。例如注冊(cè)成功、審核成功、終端等待審核、ARP洪泛等。通知的方式可以分為主動(dòng)通知和被動(dòng)通知。主動(dòng)通知可以通過電子郵件或手機(jī)短信。

修復(fù)：被隔離的終端，讓其進(jìn)行修復(fù)或注冊(cè)登記，使其可以安全接入網(wǎng)絡(luò)。即將合法身份的用戶以及滿足安全規(guī)范的終端接入到網(wǎng)絡(luò)。

4.2功能模塊

內(nèi)網(wǎng)安全實(shí)驗(yàn)平臺(tái)主要功能模塊如圖4所示。

內(nèi)網(wǎng)安全實(shí)驗(yàn)平臺(tái)主要包括用戶/終端身份認(rèn)證，用戶/終端/交換機(jī)/控制器的添加、編輯和刪除，安全策略模塊負(fù)責(zé)安全策略定制，網(wǎng)絡(luò)監(jiān)控模塊實(shí)現(xiàn)網(wǎng)絡(luò)狀態(tài)監(jiān)控功能。管理員可以手動(dòng)控制終端的網(wǎng)絡(luò)連接。模塊具體功能如：

1） 用戶管理：負(fù)責(zé)添加、編輯、刪除用戶，對(duì)用戶的身份進(jìn)行審核，決定用戶的狀態(tài)，是否啟用，是否豁免。

2） 終端管理：管理網(wǎng)段，添加、編輯、刪除網(wǎng)段；添加、編輯、刪除和移除終端，審核終端身份；配置終端安全策略，例如用戶/終端綁定、終端IP/MAC綁定和端口策略設(shè)置等。

3） 通信程序：服務(wù)器和控制器通過通信程序進(jìn)行交互。服務(wù)器通過通信程序向控制器發(fā)送控制命令和配置信息，控制器通過通信程序向服務(wù)器發(fā)送狀態(tài)信息和反饋信息。

4） 網(wǎng)絡(luò)監(jiān)控：監(jiān)控交換機(jī)端口、IP、MAC、用戶名、終端名和上線/下線、登錄時(shí)間等信息；手動(dòng)控制終端的連接狀態(tài)；監(jiān)控網(wǎng)絡(luò)的動(dòng)態(tài)事件如終端的上線和下線；統(tǒng)計(jì)網(wǎng)絡(luò)狀態(tài)信息如控制器名稱、控制網(wǎng)段、在線/離線終端、ARP洪泛/欺騙和異常主機(jī)等。

4.3 用戶/終端準(zhǔn)入控制

內(nèi)網(wǎng)安全平臺(tái)是面向終端的，通過對(duì)終端的管理與控制實(shí)現(xiàn)內(nèi)網(wǎng)安全。用戶企圖接入網(wǎng)絡(luò)需要通過終端健康審查和授權(quán)。終端健康狀態(tài)審查對(duì)內(nèi)網(wǎng)安全平臺(tái)的運(yùn)行起到至關(guān)重要的作用。

首先要檢測(cè)請(qǐng)求接入終端是否為受控終端，如果不是則正常接入網(wǎng)絡(luò)，否則需要進(jìn)行健康檢查。管理員也可以通過網(wǎng)絡(luò)監(jiān)控手動(dòng)控制終端是否受控、終端準(zhǔn)入策略（允許、隔離、阻斷）。終端健康審查流程如圖5所示。

5系統(tǒng)測(cè)試

5.1平臺(tái)首頁

系統(tǒng)管理界面首頁如圖6所示。

5.2 短信郵件提醒

經(jīng)多次實(shí)驗(yàn)，該平臺(tái)能夠及時(shí)有效的實(shí)現(xiàn)短信、郵件提醒功能。管理員可以根據(jù)具體場(chǎng)景定制提醒策略。短信提醒功能適用場(chǎng)景：用戶等待審核、終端等待審核、驗(yàn)證違規(guī)用戶提醒、網(wǎng)絡(luò)運(yùn)行異常提醒等；郵件提醒功能適用場(chǎng)景：用戶等待審核、終端等待審核、ARP洪泛提醒、嚴(yán)重違規(guī)用戶提醒等。實(shí)驗(yàn)結(jié)果如圖7所示。

5.3 用戶/終端準(zhǔn)入控制

用戶請(qǐng)求接入網(wǎng)絡(luò)，首先進(jìn)行身份認(rèn)證（用戶名和

密碼），認(rèn)證三次失敗阻斷接入網(wǎng)絡(luò)；認(rèn)證成功需要進(jìn)行終端健康審查，例如IP/MAC綁定、是否處在允許上網(wǎng)時(shí)間段、用戶/終端綁定等安全策略，如果通過審查則允許接入網(wǎng)絡(luò)，否則阻斷接入網(wǎng)絡(luò)。經(jīng)實(shí)驗(yàn)該平臺(tái)可以有

效對(duì)用戶、終端進(jìn)行身份認(rèn)證、健康檢查，并根據(jù)檢查結(jié)果進(jìn)行管理控制。

5.4 網(wǎng)絡(luò)監(jiān)控

該平臺(tái)能夠?qū)崟r(shí)監(jiān)控網(wǎng)絡(luò)狀態(tài)。管理員通過網(wǎng)絡(luò)監(jiān)控頁面可以決定終端是否受控、手工修改終端準(zhǔn)入策略：允許、隔離、阻斷。實(shí)驗(yàn)結(jié)果如圖8所示。

5.5用戶、終端可視化管理

本文設(shè)計(jì)的內(nèi)網(wǎng)安全管理實(shí)驗(yàn)平臺(tái)對(duì)用戶和終端管理使用樹形結(jié)構(gòu)，層次清晰，易于管理，如圖9所示。

如圖9所示根節(jié)點(diǎn)“所有用戶”的孩子節(jié)點(diǎn)“銷售部”包含員工xiaoshou1，xiaoshou2，xiaowang ，Bob，員工“xiaoshou2”綁定終端“zry”。管理員可以在該界面上對(duì)用戶、終端進(jìn)行管理。

6 結(jié)論

本文設(shè)計(jì)與實(shí)現(xiàn)的內(nèi)網(wǎng)安全管理實(shí)驗(yàn)平臺(tái)易于部署，不需要安裝客戶端軟件，方便維護(hù)；控制器以旁路方式接入網(wǎng)絡(luò)不改變?cè)W(wǎng)絡(luò)拓結(jié)構(gòu)，對(duì)網(wǎng)絡(luò)運(yùn)行速度沒有影響。該平臺(tái)經(jīng)運(yùn)行檢測(cè)可以有效地保護(hù)內(nèi)部網(wǎng)絡(luò)安全，可以用作信息安全專業(yè)本科生網(wǎng)絡(luò)安全實(shí)驗(yàn)平臺(tái)，也可以作為中小型企業(yè)內(nèi)網(wǎng)安全管理工具。

參考文獻(xiàn)：

[1] 張武超.內(nèi)網(wǎng)安全管理系統(tǒng)的研究與實(shí)現(xiàn)[D].北京：北京郵電大學(xué)，2008.

[2] 朱賓.內(nèi)部網(wǎng)絡(luò)安全管理系統(tǒng)的研究與實(shí)現(xiàn)[D].北京：北京郵電大學(xué)，2010.

[3] 周陽.內(nèi)網(wǎng)管理系統(tǒng)關(guān)鍵技術(shù)研究與實(shí)現(xiàn)[D].哈爾濱：哈爾濱工程大學(xué)，2010.

[4] 于微偉，盧澤新，康東明，等.關(guān)于網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的分析與優(yōu)化[J].計(jì)算機(jī)工程與科學(xué)，2012，33（8）：39-44.

[5] 周超，周城，丁晨路.計(jì)算機(jī)網(wǎng)絡(luò)終端準(zhǔn)入控制技術(shù)[J].計(jì)算機(jī)應(yīng)用，2011（1）：89-94.

[6] 趙英，黃九梅，董小國，等.網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用，2004（24）：32-33.

[7] 趙曉峰，徐義東.基于NETFLOW與SNMP的園區(qū)網(wǎng)流量監(jiān)控系統(tǒng)[J].計(jì)算機(jī)技術(shù)與發(fā)展，2008，5（18）：168-172.

[8] 北信源[EB/OL].http：//web.vrv.com.cn/.

[9] Di Benedetto M， Maino F， Mishra C， et al. Method and apparatus for role-based access control： U.S. Patent 8，335，850[P]. 2012-12-18.

[10] Guevin T F， Thakkar S B， Compton D C， et al. Method And Apparatus For Network Access Control： U.S. Patent Application 13/413，813[P]. 2012-03-07.

[11] 郭幽燕，杜曄，王楊，等. 基于 ARP 協(xié)議的內(nèi)網(wǎng)訪問控制系統(tǒng)[J]. 計(jì)算機(jī)工程與科學(xué)， 2010 （1）： 21-24.

[12] Congdon P， Aboba B， Smith A， et al. IEEE 802.1 X Remote Authentication Dial In User Service （RADIUS） Usage Guidelines[Z]. RFC3580， September， 2003.