园区网统一安全认证计费管理方案的设计与实施(2)
1.2 研究意义
统一安全认证计费系统,作为一种高效、合理的管理机制和收费手段,能减少管理员的负担,保障校园网的正常运行以满足学校的一切工作需求,校园网的基础网络的组建和认证计费管理方案的实施,有效的解决了传统认证方式带来的问题,消除了网络瓶颈,减轻了网络封装的开销,降低了建网和文护网络的成本。并且,认证系统还提供了多样化的计费策略,针对不同的用户群设计不同的计费策略,为用户提供个性且满意的服务;通过与流控设备的结合,控制用户上网流量,对校园网出口总体流量控制,缓解拥堵现象;按照国家相关法规的要求用户实名登录互联网,保留用户身份证认证和日志,严格按照国家对互联网安全管理的规范。
2.校园网认证技术
目前校园网的认证计费相关技术协议有802.1x认证、EAP协议、Radius协议,本章针对这三类技术进行介绍。
2.1 802.1X认证体系
IEEE-802.1x(基于端口的网络访问控制协议),是一种针对上网用户进行认证的方法。上网设备连接端口可以是一个物理的端口,也可以是一个逻辑的端口[1]。对于无线局域网而言,一个连接端口就是一个信道。802.1x认证最终的目的是确认一个端口是否可用,比如一个端口,如果用户认证成功,就说明已经打开这个端口,允许所有需要通过的报文通过;如果用户认证失败,802.1x机制就可以让这个端口处于关闭状态,不允许所有认证协议报文通过。
相比PPPoE等比较传统的认证手段,802.1x的最大优势在于做到了分散控制,集中管理。在PPPoE和WEB网页认证等认证系统中,对于上网认证用户的控制、验证和转发数据报文都是有一台BAS(宽带接入服务器)集中转发,所有用户的所有认证报文数据包全都是由BAS进行验证,这样的就对服务器的性能要求就很严格;在802.1x认证体系中,对于用户的控制管理都由下层开启802.1x认证的接入交换机负责处理,而认证服务器仅仅需要对接入交换机报上来的用户信息进行判断,是否该为此用户开放使用网络,并随之将判断结果发给接入交换机执行就可以了,用户在通过认证之后的上网数据报文等就不需要再通过认证服务器解决了,这样的合作认证从很大程度上减轻了认证服务器的工作负担,对校园网用户的上网人数统计和控制就简单多了。
2.2 EAP协议
可扩展认证协议,在RFC 3748中定义的一种认证协议,该协议用于在PPP等点到点网络中的认证,可支持多种认证机制[2]。在802.1x中对EAP进行了简单的修改形成了EAPOL协议,能在广播式的以太网中使用。EAP协议工作在OSI参考模型第二层上,不需要上网用户端首先获取到IP地址,且简单易实现,主要用在客户端和上网认证者之间的认证信息交换。
上一篇:jsp信息采集系统的设计与实现