馬菲

摘要：該文通過對(duì)PPPoE和DHCP + Web及802.1x + Radius等認(rèn)證協(xié)議的探討和分析，提出采用較先進(jìn)的802.1x + Radius 技術(shù)的認(rèn)證計(jì)費(fèi)體系設(shè)計(jì)方案。該方案針對(duì)該校網(wǎng)絡(luò)結(jié)構(gòu)，提高了計(jì)費(fèi)的準(zhǔn)確性和操作的可管理性，降低了網(wǎng)絡(luò)協(xié)議的開銷，提供了更好的網(wǎng)絡(luò)性能，實(shí)現(xiàn)了管理要求。經(jīng)應(yīng)用證明，效果良好，提高了網(wǎng)絡(luò)安全性能。

關(guān)鍵詞：校園網(wǎng)；802.1x協(xié)議；Radius協(xié)議；身份認(rèn)證；授權(quán)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）22-0030-02

1 引言

隨著校園網(wǎng)絡(luò)的發(fā)展，一些問題隨之凸顯，主要表現(xiàn)為在管理模式上缺乏合理行，在計(jì)費(fèi)策略上缺乏靈活性，另外網(wǎng)絡(luò)在安全性和穩(wěn)定性方面也存在一定程度的缺陷。因此對(duì)網(wǎng)絡(luò)中的資源如何進(jìn)行有效的管理與分配，成為一個(gè)丞待解決的難題。本文通過對(duì)PPPoE、DHCP + Web和802.1x + Radius三種認(rèn)證方式進(jìn)行技術(shù)分析，總結(jié)它們各自的優(yōu)缺點(diǎn)，在此基礎(chǔ)上提出基于802.1x + Radius協(xié)議體系結(jié)構(gòu)的校園網(wǎng)認(rèn)證及計(jì)費(fèi)管理系統(tǒng)的設(shè)計(jì)思路，并給出系統(tǒng)的具體設(shè)計(jì)方案。

2 用戶認(rèn)證過程和方式

2.1 用戶認(rèn)證過程

對(duì)用戶的認(rèn)證管理（AAA）包含：認(rèn)證是指用戶網(wǎng)絡(luò)訪問權(quán)限的驗(yàn)證工作；授權(quán)是指賦予用戶可以使用的網(wǎng)絡(luò)服務(wù)功能；計(jì)費(fèi)是指根據(jù)計(jì)算得出的用戶使用網(wǎng)絡(luò)資源情況進(jìn)行合理計(jì)費(fèi)的功能。其基本模型如圖1所示：

接入服務(wù)器和認(rèn)證計(jì)費(fèi)系統(tǒng)間的通信協(xié)議多采用Radius協(xié)議，它是解決AAA最常用的通信協(xié)議。目前主流的認(rèn)證方式有PPPoE、WEB、802.1x。其中，基于PPPoE協(xié)議的方式，其系統(tǒng)管理性較強(qiáng)，同時(shí)對(duì)于計(jì)費(fèi)比較準(zhǔn)確，但其缺點(diǎn)是協(xié)議本身限制了網(wǎng)絡(luò)環(huán)境的拓展和組播業(yè)務(wù)開發(fā)?；贒HCP + Web協(xié)議的認(rèn)證對(duì)網(wǎng)絡(luò)環(huán)境無影響，但在可管理性、異常情況計(jì)費(fèi)等方面存在缺陷。而基于802.1x協(xié)議的系統(tǒng)是采用以太網(wǎng)技術(shù)，計(jì)費(fèi)的準(zhǔn)確性和管理性都有較高性能，能比較好的實(shí)現(xiàn)用戶管理。

2.2 認(rèn)證方式研究

Radius是一個(gè)針對(duì)網(wǎng)絡(luò)用戶進(jìn)行身份驗(yàn)證的標(biāo)準(zhǔn)，能安全地、有效地實(shí)現(xiàn)用戶登錄和收費(fèi)等功能，是對(duì)AAA的技術(shù)層面的重要支撐。Radius符合客戶機(jī)/服務(wù)器模型，它利用一臺(tái)服務(wù)器管理存儲(chǔ)著許多客戶機(jī)身份驗(yàn)證數(shù)據(jù)的倉庫。與其他很多客戶機(jī)/服務(wù)器解決方案不同，Radius協(xié)議是運(yùn)行在UDP上的。之所以選擇UDP，是為了簡化服務(wù)器的實(shí)現(xiàn)，為用戶頻繁進(jìn)出的場所提供更好的環(huán)境，并提供有關(guān)超時(shí)的靈活性。如果利用面向連接的會(huì)話維護(hù)客戶機(jī)/服務(wù)器會(huì)話，將增加服務(wù)器實(shí)現(xiàn)的復(fù)雜度，并產(chǎn)生過多的額外開銷。

Radius計(jì)費(fèi)對(duì)Radius協(xié)議進(jìn)行了擴(kuò)展，為計(jì)費(fèi)數(shù)據(jù)提供了可編程的接口。Radius計(jì)費(fèi)也采用客戶機(jī)/服務(wù)器模型結(jié)構(gòu)，客戶機(jī)是網(wǎng)絡(luò)訪問服務(wù)器，采用簡單的賬戶請(qǐng)求包協(xié)議來實(shí)現(xiàn)服務(wù)器與客戶機(jī)的數(shù)據(jù)交換，使用賬戶應(yīng)答包作為數(shù)據(jù)接收成功反饋。賬戶應(yīng)答包中包含從賬戶申請(qǐng)包中獲得的一個(gè)標(biāo)示符，客戶機(jī)利用該標(biāo)示符進(jìn)行“匹配”，它標(biāo)志著相應(yīng)的請(qǐng)求已順利結(jié)束，不必再采取重發(fā)等操作。利用賬戶應(yīng)答包中的數(shù)據(jù)可以實(shí)現(xiàn)計(jì)費(fèi)功能，典型的數(shù)據(jù)有：輸入字節(jié)數(shù)/包數(shù)，輸出字節(jié)數(shù)/包數(shù)，以及會(huì)話時(shí)間。Radius計(jì)費(fèi)采用可擴(kuò)展的代碼/長度/值的格式傳輸計(jì)費(fèi)數(shù)據(jù)。

3 系統(tǒng)總體設(shè)計(jì)

3.1 系統(tǒng)分析

總結(jié)以往校園網(wǎng)建設(shè)中的經(jīng)驗(yàn)，針對(duì)實(shí)際用戶身份驗(yàn)證以及相關(guān)費(fèi)用計(jì)算的要求，對(duì)所設(shè)計(jì)的系統(tǒng)進(jìn)行了認(rèn)真的需求分析：首先，系統(tǒng)必須能實(shí)現(xiàn)對(duì)用戶申請(qǐng)的安全性控制，確保使用網(wǎng)絡(luò)的必須是經(jīng)過認(rèn)證的有效用戶。經(jīng)過身份認(rèn)證的用戶必須綁定其賬號(hào)/密碼、IP地址、交換機(jī)IP等各種信息，以確保用戶身份的唯一性。另外，校園網(wǎng)管理者一般會(huì)要求在滿足用戶身份認(rèn)證、收費(fèi)計(jì)算等功能的同時(shí)，還必須增加自助查詢服務(wù)的功能，同時(shí)可以對(duì)不同的管理者設(shè)定不同的管理權(quán)限和優(yōu)先級(jí)。同時(shí)在系統(tǒng)的安全方面要重點(diǎn)考慮IP地址沖突及賬號(hào)被盜等問題，防止私下設(shè)定代理服務(wù)器的現(xiàn)象發(fā)生。

3.2 系統(tǒng)策略選擇

網(wǎng)絡(luò)計(jì)費(fèi)策略采用按流量和時(shí)間兩種基本計(jì)費(fèi)方式，用戶可以自由選擇。認(rèn)證方式上，采用802.1x + Radius認(rèn)證計(jì)費(fèi)體系方案。其方案設(shè)計(jì)為用NAS將各處的用戶信息傳遞給Radius服務(wù)器，但服務(wù)器用戶身份確認(rèn)成功后，再通過DHCP服務(wù)器配置給不同的用戶一一對(duì)應(yīng)的IP地址，此時(shí)表明用戶申請(qǐng)有效。在實(shí)現(xiàn)方案上根據(jù)Radius協(xié)議，AAA認(rèn)證服務(wù)器配置HTTP服務(wù)和數(shù)據(jù)庫系統(tǒng)，為了防止IP地址沖突現(xiàn)象的出現(xiàn)，使用DHCP服務(wù)器實(shí)現(xiàn)上述功能。而在用戶端采用802.1x協(xié)議，通過交換機(jī)實(shí)現(xiàn)基于端口訪問控制的最終用戶管理，因此用戶要配備一個(gè)802.lx協(xié)議的客戶程序來進(jìn)行網(wǎng)絡(luò)接入認(rèn)證。

3.3 認(rèn)證及計(jì)費(fèi)管理系統(tǒng)網(wǎng)絡(luò)構(gòu)架

校園認(rèn)證系統(tǒng)與計(jì)費(fèi)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示。

將客戶端和交換機(jī)連接，系統(tǒng)利用非受控端口將用戶使用請(qǐng)求等信息傳送給Radius服務(wù)器，用戶認(rèn)證工作成功后打開交換機(jī)的受控端口進(jìn)行數(shù)據(jù)通信，交換機(jī)實(shí)時(shí)將相關(guān)信息發(fā)送給Radius服務(wù)器，實(shí)現(xiàn)收費(fèi)等系統(tǒng)功能。

3.4 校園網(wǎng)計(jì)費(fèi)系統(tǒng)軟件結(jié)構(gòu)圖

校園網(wǎng)計(jì)費(fèi)系統(tǒng)軟件結(jié)構(gòu)如圖3所示。

當(dāng)用戶申請(qǐng)登錄成功的時(shí)候，系統(tǒng)會(huì)通過調(diào)用訪問費(fèi)用判斷模塊進(jìn)行網(wǎng)絡(luò)金額查詢，用來判斷用戶賬號(hào)費(fèi)用是否充足，從而決定用戶端受控端口的網(wǎng)絡(luò)連接狀態(tài)。當(dāng)用戶主動(dòng)斷開用戶網(wǎng)絡(luò)或服務(wù)器強(qiáng)制斷開網(wǎng)絡(luò)連接的情況下，系統(tǒng)會(huì)自動(dòng)實(shí)時(shí)更新數(shù)據(jù)庫的信息，包括流量、使用時(shí)間等數(shù)據(jù)。同時(shí)通過計(jì)費(fèi)策略模塊，實(shí)時(shí)計(jì)算用戶的相關(guān)網(wǎng)絡(luò)費(fèi)用，不斷實(shí)時(shí)修改用戶網(wǎng)絡(luò)金額數(shù)據(jù)。

4 認(rèn)證及計(jì)費(fèi)管理系統(tǒng)主要功能

在校園網(wǎng)的用戶認(rèn)證系統(tǒng)設(shè)計(jì)中采用了基于802.1x + Radius的核心技術(shù)。當(dāng)用戶進(jìn)行系統(tǒng)登錄認(rèn)證時(shí)，用戶名和密碼等信息報(bào)文送達(dá)交換機(jī)端口，該端口當(dāng)前還未授權(quán)，配置上相應(yīng)端口的PVID報(bào)文被系統(tǒng)送到與用戶相對(duì)應(yīng)的域中進(jìn)行身份比對(duì)，該域如果采用radius認(rèn)證方式，則交換機(jī)把該報(bào)文轉(zhuǎn)化生成為radius報(bào)文，送給認(rèn)證和計(jì)費(fèi)服務(wù)器進(jìn)行認(rèn)證，服務(wù)器中如有相應(yīng)的用戶信息，就將成功消息返回給交換機(jī)，此時(shí)端口變?yōu)槭跈?quán)狀態(tài)，如系統(tǒng)無用戶信息或密碼不正確，則返回認(rèn)證失敗消息，端口還是非授權(quán)狀態(tài)。

后臺(tái)計(jì)費(fèi)系統(tǒng)主要是根據(jù)預(yù)先定義的規(guī)則將數(shù)據(jù)庫中的收費(fèi)等信息匯總后計(jì)算，形成計(jì)費(fèi)賬單，并以此為依據(jù)實(shí)現(xiàn)實(shí)時(shí)扣除用戶費(fèi)用等功能。在系統(tǒng)實(shí)現(xiàn)中，采用STRUTS 的結(jié)構(gòu)框架以及MVC關(guān)鍵技術(shù)，既實(shí)現(xiàn)了目前系統(tǒng)管理、計(jì)費(fèi)、安全等性能要求，也為系統(tǒng)今后的擴(kuò)展提供了方便。

5 結(jié)束語

本文研究并設(shè)計(jì)了基于802.1x + Radius的認(rèn)證收費(fèi)體系方案，該系統(tǒng)采用了較靈活的計(jì)算用戶費(fèi)用策略，以方便在校大學(xué)生的學(xué)習(xí)和生活為核心，同時(shí)提升了學(xué)校的網(wǎng)絡(luò)現(xiàn)代化管理水平，實(shí)現(xiàn)了集多種操作功能于一個(gè)系統(tǒng)的目的。本文研究并設(shè)計(jì)的校園網(wǎng)認(rèn)證計(jì)費(fèi)系統(tǒng)在天津工業(yè)大學(xué)進(jìn)行實(shí)施，目前系統(tǒng)運(yùn)行狀況良好，達(dá)到預(yù)期目標(biāo)。

參考文獻(xiàn)：

[1] 董延華，畢娜，王春曉. 基于802.1x協(xié)議的校園網(wǎng)安全認(rèn)證設(shè)計(jì)與實(shí)現(xiàn)[J]. 吉林師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2016，1：124-127.

[2] 蔣華，張樂乾，阮玲玲. 基于公鑰密碼體制的802.1x雙向認(rèn)證研究[J]. 計(jì)算機(jī)應(yīng)用與軟件，2016，2：290-293.

[3] 陳金明，曾煒. 基于802.1x的信息網(wǎng)絡(luò)接入控制安全認(rèn)證系統(tǒng)設(shè)計(jì)[J]. 微型電腦應(yīng)用，2016，2：61-62.

[4] 曹忠華. 校園網(wǎng)基于802.1x無感知認(rèn)證的研究與實(shí)現(xiàn)[J]. 中國教育信息化，2015，9：62-65.

[5] 梁超. 多種認(rèn)證模式相結(jié)合的高校網(wǎng)絡(luò)出口計(jì)費(fèi)系統(tǒng)的研究[D].暨南大學(xué)，2015.

[6] Jiange Zhang，Yuanbo Guo，Yue Chen，Jun Ma. AAA Based on 802.1x Authentication[A]. 重慶環(huán)球聯(lián)合科學(xué)技術(shù)研究院.Proceedings of 2015 Joint International Mechanical，Electronic and Information Technology Conference（JIMET 2015）[C].重慶環(huán)球聯(lián)合科學(xué)技術(shù)研究院，2015：4.

[7] Qinggui Hu. The new method to prevent ARP spoofing based on 802.1X protocol[A]. 重慶環(huán)球聯(lián)合科學(xué)技術(shù)研究院.Proceedings of 2015 Joint International Mechanical，Electronic and Information Technology Conference（JIMET 2015）[C].重慶環(huán)球聯(lián)合科學(xué)技術(shù)研究院，2015：5.