作者:郭 欣 戴 冶 作者单位:(大连医科大学现代教育技术部 大连116044)
【摘要】 阐述我校构建的基于802.1X和Radius的认证计费体系及适合我校实际情况的认证计费策略。通过实践证明,该系统具有较好的稳定性、安全性及可管理性。
【关键词】 认证计费; 802.1X; Radius; 计费策略
校园网是学校和外界交流的重要平台,也是展现学校面貌的重要舞台。随着学校网络规模的不断扩大及硬件设备的不断健全,网络应用日益增多,校园网为广大教师、学生和科研管理人员提供了一个全新的工作环境,从根本上改变了原有的信息获取方式,促进了信息交流、资源共享和科研合作。用户的复杂性及多样性,对校园网络提出了安全认证的需求,网络需要运营,因此也有了认证计费的需要。
1 构建校园网认证计费体系的重要性
1.1 实名登录互联网是国家相关法规的要求
根据国家网络安全管理的相关法规,国家公安部、国家教育部的相关文件要求和省市公安、教育、文化等部门的要求,互联网使用单位必须落实上网人员身份认证和日志留存等相关技术措施,并对上网内容和网上行为提供审计功能,记录备份需保存60天以上;必须健全安全组织、安全管理员、信息审核员的安全责任制度。因此,上网人员身份认证和日志留存是国家对互联网安全管理的强制规范。
1.2 认证计费有助于控制流量、缓解出口拥堵
随着网络用户的不断增多,出口流量骤然增大。根据网络中心流量信息统计,校园网日常流通量中的很大一部分与教学、科研、管理无关。这部分流量对于校园网的正常运行构成了很大的冲击,经常造成校园网流量过大,甚至出口阻塞。为保证校园网的正常运行,必须实施校园网出口总体流量控制,采用认证计费是有效控制流量、缓解出口拥堵的有效途径之一。
1.3 认证计费有助于加强和规范校园网管理、控制随意浪费
为保障校园网的正常运行以满足教育、教学、科研和管理工作的需要,学校每年都要投入巨额经费来支付线路租用、IP地址使用、网络设备升级维护等费用。为了更好地实现校园网的规范化管理,学校将对校园网的使用实行成本核算,办公、教学、管理和科研等公用联网用户产生的合理费用由学校承担;学生宿舍用户和流动用户实行适度收费服务,但不以盈利为目的。
2 我校校园网认证计费体系的构建
目前校园网常用的计费方法主要有基于路由器、基于代理服务器、基于防火墙等几种形式,使用的认证技术主要有IPMAC绑定、PPPoE、VPN和802.1X等。802.1X认证技术是在二层网络上实现用户认证, 与以太网中传统的PPPoE和Web/Portal等身份认证方式相比,具有简洁高效、容易实现、安全可靠、应用灵活和管理方便等优点[1]。通过认证之后的数据包是无需封装的纯数据包,简化了PPPoE认证方式中对每个数据包进行拆包和封装等繁琐的工作,所以802.1X封装效率高,消除了网络瓶颈。因此,我校校园网采用802.1X +Radius的认证计费体系,使用Radius服务器实时采集数据,制定了灵活的计费策略对用户进行计费。校园网计费管理系统和用户自助服务子系统全面解决了上网用户的身份认证、授权、上网时间/流量计费、收费结算与费用查询、接入管理等问题。
2.1 802.1X认证协议
IEEE802.1X又名为基于端口的访问控制协议(Port based network access control protocol)[2],该协议的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能,从而可以实现认证与业务的分离,保证了网络传输的效率。用户通过认证后,业务流和认证流分开,对后续的数据包处理没有特殊要求,所有业务很灵活,都不受认证方式限制,易于实现多业务运行。
802.1X协议是基于Client/Server的访问控制和认证协议,采用纯以太网技术内核,保持IP网络无连接特性,去除冗余昂贵的多业务网关设备,它作为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本。它可以限制未授权的用户或设备通过接入端口访问网络。802.1X协议作为一种基于端口的网络接入控制技术,只关注LAN端口的开关,在认证通过之前,只允许EAPOL (基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过时,远端认证服务器可以下发用户的属性信息,如IP地址、VLAN、用户访问控制列表等;认证通过以后,正常的数据才可以顺利地通过交换机端口。认证的结果仅仅是LAN端口状态的改变,不涉及传统认证技术必须考虑的IP地址协商与分配问题。因此,802.1X也是目前各种认证技术中最易实现的一种解决方案之一[3]。
2.2 Radius认证
Radius(Remote authentication dial in user service)即远程拨入用户认证服务[4],是一个应用广泛的标准。它是一套由IE IF(Internet工程任务组)颁布的协议规范,用于对网络用户的身份验证。Radius服务器提供安全性、身份认证和计费管理,提供对AAA(即认证、授权、计费)的支持。它的实现采用Client/Server模型,通过将Radius协议流封装在UDP数据报文中实现远程的接入认证服务,其中客户机是网络访问服务器,服务器是接收并存储来自一个或多个NAS的计费数据的进程。他们之间的通信协议利用简单的AccountRequest包实现客户机到服务器的数据通信,利用AccountResponse包作为回应,表示数据已成功接收。
2.3 基于802.1X和Radius的认证计费体系
基于Radius认证原理,我们采用支持802.1X认证的交换机作为网络的汇聚层,进行分布式认证,各子网内的用户通过运行客户端软件输入用户名和密码,系统自动将该信息经由NAS(Network access server)传送至Radius服务器进行认证,身份验证通过后,允许用户使用整个网络资源,如图1所示。图1 基于802.1X和Radius的认证流程图2 校园网认证计费体系的部署图构建的校园网认证计费体系由认证计费系统后台服务器(认证计费服务器、认证计费自助服务器、数据库服务器)、安全认证计费交换机(NAS)、用户认证客户端软件(SU)三大元素组成,如图2所示。
针对校园网中经常出现的IP地址冲突、IP盗用、私设代理、非法设备接入等问题,可以在认证计费系统中将IP、MAC、NasIP、NasPort与用户绑定,从而保证网络的使用安全,但是此种方法使得用户上网只能在固定的地点使用固定的机器。
也可以结合DHCP来部署认证计费系统,用户在通过认证之前获取不到DHCP地址,交换机端口是逻辑关闭的;通过认证后,立刻获取到正确的地址,交换机端口逻辑打开。这样通过DHCP服务器分配地址,可以减少管理者地址分配的麻烦。
2.4 认证计费策略的制定
校园网的有效管理不仅要依靠技术手段,还要充分运用行政管理手段。计费策略的制定合理与否,直接影响到认证计费系统是否能够发挥其管理作用。因此计费策略的制定要充分考虑到学校的管理体制、用户上网行为等综合因素。目前,计费策略可以采取按时段、按流量、按包天/包月、区分内外网流量、区分国内外流量等形式,也可以对多种计费策略进行组合。
综合我校的教育教学特点及网络运营环境,我们采用了包月限流量及区分内外网流量的组合计费策略,即内网不限流量、外网包月限流量。实践证明,这一认证计费策略有效地抑制了用户在互联网上大量的P2P应用,缓解了校园网的出口压力。
3 结束语
我校校园网自2007年乔迁入新校址开始引入认证计费系统,经过了近3年的探索,构建了适合我校实际情况的认证计费体系。近3年的运营实践证明,我们构建的基于802.1X和Radius的认证计费体系极大地增强了校园网的可管理性,保证了校园网的可持续运营。但是,随着校园网用户数量的不断增多、数字化校园建设的不断深入,将会逐渐出现一些新问题,例如,我们急需解决认证计费系统与其他应用系统认证数据库的对接问题,这将是我们下一步的工作重点。
【参考文献】 1 彭伟.使用802.1X实现校园网认证.计算机应用,2003,23(3):85~87.
2 潘虹旭,罗娅虹,夏莉莉.校园网计费管理及认证技术应用.通信与信息技术,2007,11:100~103.
3 朱海龙,张国清.基于802.1X的以太网接入技术.计算机工程,2003,10:130~132.
4 郭旭东,刘建伟.RADIUS 集群式认证研究及其在校园网中的应用.通信技术,2008,41(11):120~122. |