ＩＥＥＥ８０２．１ｘ认证在校园网中的应用.doc

ＩＥＥＥ８０２．１ｘ认证在校园网中的应用 　　摘要：IEEE802.1x是基于端口的访问控制协议，由客户端系统、认证系统和认证服务器系统三个部分组成。利用802.1x协议可以实现联网用户的身份认证、授权、计费等功能，全面提高了校园网的安全性和可管理性。 　　关键词：802.1x；认证；协议；Radius；校园网 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)29-0506-03 　　Application of IEEE 802.1XAuthentication In Campus Network 　　WEI Ping1,2 　　(1.Network Center of WSTC,Wuxi 214028,China;2.School of Information Technology Southern Yangtze University,Wuxi 214122,China) 　　Abstract: IEEE 802.1x network access control protocol based on port consists of supplicant,authenticator and authentication sever. 802.1x protocol can be used to achieve the identity of the network user authentication, authorization,billing and other functions, and comprehensively improve the campus network security and manipuility. 　　Key words: 802.1x; authentication; protocol; Radius; campus network 　　 　　1 引言 　　 　　IEEE（美国电气及电子工程师学会）在定义LAN规范的初期，并没有提供“用户联网身份认证”的安全机制。只要用户终端通过物理链路与网络设备（如交换机）端口连接后，就可以访问局域网中的设备或资源。在局域网建设与应用早期阶段，由于接入信息点数量少、分布地理范围集中，安全隐患较少。随着网络技术的高速发展，特别是宽带以太网应用热潮的兴起，联网信息点剧增，因此从接入层端口实现联网用户的身份认证显的非常重要。 　　PPPoE协议提供了在以太网数据链路层上封装PPP 报文分组的技术，由于数据包在网络中传输时需再次封装，对组播支持性能较差，影响了宽带网络的传输效率，常用在ADSL环境中。而Web/Portal认证机制对于未认证用户就通过DHCP服务器获得IP地址，容易造成IP地址浪费，并且网络安全性较差。因此传统的PPPoE和Web/Portal认证方式已经不能适应用户数量剧增和宽带业务多样化的需求。为了提高以太网络（包括无线网络）访问的安全性，IEEE制定了“基于端口的访问控制协议（Portbased Network Access Control Protocol）”，即802.1x协议标准。国际著名网络设备制造商高度重视802.1x的推广与应用，并从产品上进一步对认证方式和认证体系结构进行了大量技术优化。目前802.1x认证技术在企业网、校园网、高校宿舍网、金融网、小区宽带以太网等大中型网络环境中得到了广泛的应用。 　　 　　2 802.1x认证体系结构 　　 　　IEEE 802.1x协议的体系结构包括三个重要部分组成：客户端系统（Supplicant System）、认证系统（Authenticator System）、认证服务器系统（Authentication Server System）。如图1所示。 　　1) 客户端系统 　　客户端系统是指需提供授权并接入网络的“终端设备”，如服务器、台式计算机、笔记本计算机、小型手持网络设备等，或者是嵌入了802.1x拨号功能的小型路由器等设备。客户端系统需配置好网管员统一分配的网络参数（如 IP 地址、用户名、密码等），运行802.1x客户端软件，从而发起认证请求，经认证通过后才能访问网络资源。为支持基于端口的接入控制，客户端系统需支持“基于局域网的可扩展认证协议”，即EAPOL（Extensible Authentication Protocol Over LAN）协议。 　　2) 认证系统 　　认证系统对“终端设备”的802.1x认证请求进行分析处理。认证系统需集成的网络软硬件平台支持，如综合布线、支持802.lx协议的“智能型网管交换机”等。认证系统提供了客户端接入网络的服务端口，包括：受控端口（control