校园网网络准入认证系统 基于身份的校园网准入控制部署设计
时间:2019-04-20 03:15:59 来源:柠檬阅读网 本文已影响 人 
摘要:随着网络技术的迅速发展,高校的校园网的安全性受到了严重的威胁。多数的局域网攻击都来自于校园网内部非法计算机与人员的接入,因此如何有效地进行准入控制的部署成为了解决内部攻击的首要任务。该部署设计以上海师范大学天华学院为背景,通过将域控制、802.1X、AAA等技术相结合的方式对计算机、用户的身份进行有效地认证,最终达到杜绝非法接入从而保护内网的安全。
关键词:身份认证;网络安全;802.1X;数字证书;AAA
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)13-3024-03
The Deployment Design to Permit Accessing The Campus Based on the Identity Authentication
SUN Min-feng
(Computer Center, Tianhua College ,Shanghai Normal University, Shanghai 201815, China)
Abstract:With the rapid development of network technology, the network security of the campus is seriously threatened. Many LAN attacks comes from the access of the illegal computer and people, so how to efficiently deploy the design to permit accessing the campus is the first thing to solve the LAN attacks. This deployment design is based on the background of Shanghai Normal University Tianhua college, it combines the technologies of domain control,802.1X, AAA to authenticate the identity of the computer and people, then it can reuse the illegal access and protect the LAN security.
Key words:identity authentication; network security; 802.1X; digital certificate; AAA
网络与人们的生活已经息息相关,因此网络的安全一直是备受关注的问题。由于针对局域网攻击的黑客软件的大量存在,且该高校主要通过DHCP分配IP地址,因此在校园网中无论是外来人员或者是普通学生,一旦任何非法计算机接入到校园网,那么整个校园局域网就受到了威胁。所以部署基于身份的准入控制成为解决非法计算机与人员接入的有效方法。
1部署所需相关技术
基于身份认证的准入控制是一种对局域网访问安全性的解决方法,由于学校采用的是域控制的管理,因此本部署设计主要包含了802.1X、AAA、PKI、域控制等技术的综合应用。
1.1 802.1X技术
802.1X技术旨在用认证方式解决并提供基于端口的访问控制,它主要有3部分组成:请求者、认证者、认证服务器。
请求者:请求访问网络的设备即客户端。
认证者:网络登录点设备。
认证服务器:对请求者执行认证的设备。
请求者与认证者之间运行的EAP协议,在以太网上的EAP称作为EAPOL,它是一种802.1X中的协议且承载了EAP协议,而EAP数据包内包含的是具体的认证信息。EAP提供了一种认证手段,它的常用类型包括:EAP-MD5、EAP-TLS、PEAP等。
1.2 AAA技术
AAA技术在网络准入控制中的起到了重要的作用,为了验证请求者的合法性,这个认证的任务是有认证服务器完成的,而认证服务器一般是AAA服务器,主要用来指导管理员以统一的方式设置三个独立的安全功能。AAA服务主要是指:认证、授权、审计。
认证:负责在用户访问网络或网络服务以前,对用户进行认证。
授权:为远程访问控制提供网络服务,包括一次性授权,或者基于每个用户账户列表或用户组为每个服务进行授权。
审计:主要是对记录用户对各种网络服务的使用情况提供计费、查账、报告。
1.3 PKI技术
PKI是一系列基于公钥密码学之上,用来创建、管理、存储、分布和作废证书的软件、硬件、人员、策略和过程的集合。该技术中的核心就是数字证书,它是由一个可信的CA颁发的,包含用户信息、用户公钥信息、以及身份验证机构数字签名数据。它可以认证持有者真实的身份。每一个申请者CA会给每一个用户分配一个唯一的名称并签发一个包含用户名称和公钥的证书。
2部署设计的思路与解决方法
基于身份的准入控制部署是建立在802.1X、AAA、PKI技术之上的,结合该高校的网络拓扑以及实际的管理要求,部署前必须满足以下几个要求:
第一,该部署是基于802.1X技术的应用,那么要求硬件和软件设备能够支持802.1X,由于学校里的交换机都是思科2960系列的,完全支持802.1X技术,客户端系统都为Windows XP,默认带有802.1X客户端,其也支持该技术。
第二,为了能够将请求者的认证信息得以认证,部署中需架设AAA服务器,结合校园网的交换机都是思科设备,于是部署中使用了ACS作为AAA服务器。
第三,在802.1X技术中用来验证的身份信息都被封装在EAP中,而EAP的认证方式有多种,本部署采用PEAP的认证方式,而PEAP又涉及到服务器证书的认证,于是采用Windows 2003自带的证书服务进行搭建,由它来进行数字证书的申请颁发等过程。
综上所述,部署所需的硬件和软件条件已经满足,图1是在该高校拓扑图上进行简化后的部署设计图。
图1基于802.1X的网络部署图
该部署设计最终达到的效果是:终端用户开机后只要通过输入域账户密码便能接入校园网,且又提供账户和机器的安全与合法性。
为了达到最终效果,以下是技术上的难点及解决方法:
第一,由于已加入域的用户必须在登录的时候能够访问域服务器才能够登录进系统,然而,默认情况下端口的状态是处于未授权状态的,端口是只接收EAP相关的控制帧,对于数据平面的数据是不允许通过的,这就导致了客户机无法连接到域而无法进入系统。因此如何使得用户能够一次性登录到域是十分关键的,而采用基于机器账号与域账户认证相结合的方法来解决此问题。
第二,由于用于认证账户的主要是ACS服务器和域服务器,前者掌管的是网络接入所使用的合法性,后者是用于针对接入的用户在域中的合法性,因此如何使得2个数据库合2为1双方使用一个数据库是要解决的问题,而ACS可以通过本地映射外部数据库的方式解决此问题。
第三,由于采用的是PEAP的方法进行身份验证,此方法又是基于证书的。因此如何部署证书服务器以及受信任的根证书的颁发是个繁琐的过程,通过域的组策略使用自动的证书颁发可以解决该问题。
第四,由于涉及到机器认证以及域账户的认证过程,因此在VLAN的规划中也必须考虑到的是机器认证后和所对应的用户认证后的VLAN授权问题以及DHCP服务器、域控制器、数字证书颁发机构的VLAN规划。具体规划如表1。
表1 VLAN分配设计
下面介绍该部署是如何对计算机账户和用户账户进行认证和授权的:
当加入域的计算机开机至欢迎界面后,由于交换机使用了802.1X的基于端口访问的认证,默认端口处于未授权状态,因此通过EAP与ACS进行机器账户的认证。
机器账户认证通过后,交换机将该端口授权打开,同时ACS服务器将该端口授权到与域服务器同一VLAN 110中,并且DHCP服务器会自动分配一个VLAN 110的IP地址,此时便能与域服务器通信了,然后使用域的用户名和密码登陆,用户账户通过了域服务器认证后进入系统,此时机器账户将自动注销,端口又处于未授权状态,此时计算机再次通过在PEAP的认证方式下将域用户名和密码进行认证,认证通过后由ACS服务器根据预先定义好的授权策略授权该计算机至VLAN 10中及自动获得该VLAN的IP地址从而接入校园网,用户账户具体验证过程如图2。
整个认证过程中,所有与ACS服务器通信的密码都是在客户机与服务器在PEAP方法所建立的TLS通道中进行验证的,因此整个验证过程十分安全的,保障了机器和用户账户的安全性,并且可以针对不同的用户名通过ACS实现动态VLAN的效果。
3部署设计的测试结果与分析
通过在交换机上开启802.1X技术以及客户端XP系统开启802.1X身份验证后,计算机登录后在AAA服务器上的日志信息如图3。
图2用户账户的认证
图3计算机与用户账户验证日志
图3中的日志中一共包含了3个过程:
框1的这个过程是开机至欢迎界面,计算机名字为jsj的机器账户由交换机将认证信息传递至认证服务器,并且通过了机器认证的合法性,当前处于机器账户运行下。
框2的这个过程是用户通过输入域的账户和密码登录后进入了XP系统,于是自动将机器账户注销,且XP系统的网络连接要求进行用户账户的认证,用户名为jsj的账户通过了验证后,所以当前运行状态为jsj用户账户。
框3的这个过程是当用户账户注销后,此时再次进入欢迎界面而交换机的端口由于用户账户注销后又是处于非授权状态要求进行802.1X认证,于是计算机再次将机器账号通过交换机传送到认证服务器进行认证通过后又处于计算机账户为jsj的状态下。
4结论
基于身份的校园准入控制部署设计通过实际的应用后发现大大地降低了因为非法计算机和用户的接入而导致的局域网攻击,有效地保护了校园局域网的安全,该部署针对企业网的部署规划也有一定的参考价值。
参考文献:
[1]童子方,李亦杰.基于802.1X协议解决校园网安全的探索[J].网络安全技术与应用,2011(1).
[2]陈莹.校园网安全问题及防范策略[J].信息安全与技术,2011(7).
[3] (美) Cisco公司.信达工作室译. Cisco IOS网络安全[M].北京:人民邮电出版社,2001.
[4]齐铁.高校内网信息安全研究[J].赤峰学院学报:自然科学版,2011(4).
[5]钟永全.高校网络安全初探[J].计算机光盘软件与应用,2011(11).
[6] (美)Eric Vyncke. LAN Switch Security[M] .省略, 2010.
[7]王军号,陆奎. RADIUS协议在AAA系统中的应用研究[J].计算机技术与发展,2009(7).
[8]刘梅.基于802.1X的校园网接入认证安全防御[J].中国教育网络,2012(2).
