杨幸，谭爱平，成亚玲

（湖南工业职业技术学院，湖南长沙，410208）

1 引言

目前，国内大多数高校已实现部门业务管理信息化，但校园网中现存的各个子系统的扩展性和系统间的交互性比较差。各信息系统可能部署在不同的平台之上，采用不同的数据库进行数据存储，以不同的技术进行系统的开发，这些异构性造成了各个系统之间的通信和数据交换、数据共享困难，数据冗余度大等弊端，从而形成了相互独立的“信息孤岛”。解决“信息孤岛”问题，最好的办法就是形成统一的认证授权平台、统一的数据交换和共享平台以及统一的展示平台，如文献[1-4]详细介绍了目前校园网重用的认证方式；而认证授权平台中的认证方式的选择会影响认证过程的准确性和有效性。

2 常用的认证方式

2.1 PPPoE认证

PPPoE[1]是 Point-to-Point Protocolover Ethernet的简称，通过该认证，可以让主机通过一个普通的桥接设备连到一个远端的接入集中器上，利用远端接入设备对每个接入用户进行认证和计费。

目前，小区宽带一般都采用ADSL接入方式，其采取的认证方式就是PPPoE。通过把最经济、成熟的以太网技术和点对点协议的可扩展性及管理控制功能结合在一起，网络服务提供商和电信运营商便可利用可靠和熟悉的技术来加速部署高速互联网业务。它使服务提供商在通过数字用户线、电缆调制解调器或无线连接等方式，提供支持多用户的宽带接入服务时更加简便易行。同时该技术亦简化了最终用户在选择这些服务时的配置操作。

但其存在不足之处：

1、PPPoE认证方式在发起认证阶段，会产生大量的广播，严重影响了网路性能。

2、PPPoE对发展视频会议、视频教学等视频业务也有一定的阻碍，因视频业务大部分是基于组播的，而基于PPPoE的组播业务开展困难。

3、PPPoE认证一般需要外置BAS，但该设备比较昂贵，并且认证完成后，业务数据流也必须经过BAS，这样容易造成单点瓶颈和故障。

4、需要客户端。

2.2 Portal认证

Portal[5-6]认证也称为Web认证。未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。

Portal认证方式不需要额外的客户端，直接用Web浏览器即可发起认证，避免因为客户端软件引起的认证故障。

但其也存在不足之处：

1、承载在七层协议上，对设备要求搞，建网成本高。

2、IP地址的分配在用户认证前，如果用户不是上网用户，则会造成地址的浪费，而且不便于多ISP的支持。

3、认证前后业务流和数据流无法区分。

2.3 802.1x认证

802.1x是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/MAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

通过802.1x认证后，认证系统将与业务数据流分离，这样可以有效的避免网络瓶颈的产生。同时，其作为二层协议，不需要到达三层，而且接入层交换机无需支持802.1q的VLAN，对设备的整体性能要求不高，可以有效降低建网成本。

但其不足之处为：

1、需要特定客户端。

2、因其是二层协议，只负责完成对用户端口的认证控制，一旦完成认证，后续的IP地址分配等问题需要其他设备支持。

3、只支持基于时间的计费。

3 基于802.1x技术认证平台的改进

3.1 选择802.1x认证技术的原因

校园网的业务比较丰富，且安全要求很高，为了保证准确进行行为记录，会要求每一个校园网用户必须保证唯一性，即：帐户、MAC地址和IP地址必须绑定。另外，学生使用校园网时，都是采取包月、包季度、包学年等基于时间的计费方式，不会涉及基于流量的计费方式。最后，现有的校园网网络设备，均支持802.1x协议，无需另外购置网络设备。因此，基于以上三种认证技术的对比，选择802.1x认证技术是校园网认证平台最好的选择。

3.2 基于802.1x技术认证平台的改进

虽然802.1x认证技术[7] 能很好的适应校园网认证平台，但也存在相当多的缺陷，其主要缺陷有：

1、当客户端因异常情况死机，无法正常下线。

2、当帐号过期但用户未下线时，服务端无法通知客户端正常断线。

3、无法阻止基于Wi-Fi共享方式的共享网络行为。

为了使基于802.1x技术认证平台更好的适应数字化校园的要求，必须进行一定的改进，这种改进主要是针对以上3个主要缺陷。

3.2.1 定时重新发起认证

为了防止因为用户端设备发生故障造成异常死机，或者在用户使用期间帐户到期而不能正常断线，从而影响到对用户计费的准确性，认证点应当定期重新发起认证过程，该过程对于用户是透明的，即用户无需再次输入帐号和密码。重新认证时间值可以在认证平台中手动/自动设置。认证的过程如图1所示：

图1 802.1x透明认证流程

具体认证流程描述如下：

步骤①：客户端自动将上一次用户登陆时输入的用户名和密码，封装成EAP报文向接入交换机发送。

步骤②：接入交换机接收并解封客户端发送的EAP报文，然后将账号、MAC等信息重新封装成Radius报文并发送至认证服务器。

步骤③：认证服务器接收Radius报文，与安全账号数据库进行匹配，核对用户身份。

步骤④：核实身份成功后，认证服务器下发Radius报文至接入交换机通知该用户认证通过，接入交换机将继续保持相对应的端口打开，允许用户上网，客户端仍然使用原有的IP地址、网关、DNS服务器地址等信息。

如果在规定的时间内客户端未能发起认证，则认证服务器判定客户端已经下线，并通知接入交换机关闭相对应的端口。

3.2.2 限定线程连接数

虽然802.1x支持帐号、IP地址和MAC地址的相互绑定，从一定程度上阻止了多台计算机共用一个帐号的情况出现，但通过Wi-Fi方式共享网络的情况，却无法处理。

目前，有很多工具可以让带有无线网卡的计算机生成Wi-Fi热点，并且这些工具都是工作在底层，使得很多认证客户端无法准确判断Wi-Fi共享网络的行为。虽然锐捷认证客户端、星空极速等主流客户端采取了动态加密账户、随机生成密码等措施，仍然不能阻止基于Wi-Fi共享网络的行为。

其实，最简单的方法往往是最有效的方法。我们完全可以采取限制线程连接数的方法来最大限度的阻止基于Wi-Fi共享网络的行为。当然，采取这种方法最大的问题是如何设定连接数的上限。上限过高，则依然无法组织基于Wi-Fi共享网络的行为，上限过低，则会影响用户正常访问网络。

微软曾经对Windows XP操作系统进行过连接数的限制，其限制值为128，而单线程连接的下载速度在未作任何限制的情况下，速度一般在50KB/S左右，则Windows XP操作系统支持的最大速度为6.25M/S（按1M=1024K计算）。目前校园网用户一般为4M，按照满负荷计算，最多需要82个线程连接数。很多成为Wi-Fi热点的计算机的线程连接数往往超过82，因为多台计算机需要通过其接入网络，同时使用多种应用，线程连接数必然超过82。因此，线程连接数的上限设置成82为宜。

4 总结

本文对基于802.1x技术的数字校园认证平台进行了优化设计，该身份认证技术广泛应用政府、学校、商业等多个领域以提高工作效率，使多个应用系统在统一用户信息基础上进行一次身份认证，实现对资源的共享利用，使用户能够便捷地访问和使用这些共享资源，减少了冗余数据，有效避免了各个应用系统进行独立认证所造成的重复开发.

[1] 郭政慧.基于校园网的安全统一身份认证研究[J] .光通信研究,2010,(05).

[2] 郭楚杰.数字化校园中统一身份认证平台的设计[J] .湖南工业大学学报,2010,(03).

[3] 周志敏，陈忠文.校园网络的安全问题解决策略研究[J] .浙江水利水电专科学校学报,2009,(1).

[4] 邓小莉,黄正荣.论校园网网络安全的现状及对策[J] .科技信息,2009,(04):503.

[5] 王静.校园网中用户统一身份认证技术的研究[J] .赤峰学院学报,2010,(2).

[6] 张应祥.数字校园统一身份认证系统及管理平台设计[J] .情报杂志,2010,(3).

[7] 吴贤平.基于802_1x的校园网用户身份认证设计与实现[J] .制造业自动化,2012,(15).