基于EAD的校园网准入/准出统一认证方案的研究

摘要：现在的校园网中，随着网络应用的增多，网络安全问题层出不穷，而网络安全问题不仅仅来源于校园网外部，因此绝大多数校园网部署了准入和准出系统，而将两套系统如何在认证上做到统一，是管理员所关心的问题。本文将给出一种基于EAD的校园网准入/准出统一认证方案，据此可实现校园网准入和准出系统的统一认证。

关键词：校园网；准入/准出认证；统一认证

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599 （2012） 17-0000-02

1 引言

现在的校园网中，随着网络应用的增多，网络安全问题层出不穷，虽然部署了防火墙、入侵检测系统、网络防病毒系统和漏洞扫描系统，仍然难以抵挡越来越多的网络攻击，网络应用的可持续性根本无法保证，在分析众多的网络攻击事件后，发现绝大多数网络攻击并不是用户有意发出的，而是在不知情的情况下被种植木马或病毒造成的，虽然可以安装网络版杀毒软件进行查杀，但是现实情况是部分网络用户不能够及时的更新系统补丁和升级病毒库，导致每一个网络用户均有可能成为网络攻击的受害者，甚至是网络攻击发起者，因此只有从终端入手才可以解决内部网络安全性问题，网络准入的核心问题就是从网络接入客户端的安全控制开始，使用认证服务器，安全策略服务器和网络设备，以及第三方的软件系统，综合完成接入客户端的强制认证和安全性检查，以保证网络安全。

因此在2003年思科公司首先提出网络准入控制（NAC-Network Admission Control）的概念，并联合其他厂商开发并推广NAC。随后微软也提出了相应的网络准许接入保护方案（NAP-Network Access Protection），在国内华三也推出了“终端准入控制（EAD）”系统。

现在国内外安全准入应用分为两大阵营，一部分是基于网络硬件设备的，主要代表有H3C的EAD和CISCO的NAC；另一部份是基于软件的，主要代表有Symantec的SEP和微软的NAP。

无论是基于软件还是硬件，最终如果想控制到端口，都需要应用802.1X技术。据统计，目前国内高校中超过700所高校采用了802.1X技术进行准入认证。很大程度上是缘于这种技术可以很好地做到“入网即认证”，在用户接入的入口，进行精细的控制。

准入/准出统一认证系统的研究，可实现用户在访问网络时通过用户名和密码进行网络准入认证后，在需要进行准出认证访问互联网资源时，系统自动进行用户认证，无需用户再次输入用户名和密码，保证了用户在访问网络时的连续性，增强了准入/准出认证系统的用户体验。另外由于准入和准出的用户名统一，管理员在建立、修改、删除网络访问策略时，做到各个用户在准入/准出控制策略上的一致。

2 设计背景

校园网准入认证采用H3C的EAD认证，其基于802.1X认证，用户在访问校园网是需要进行终端认证，认证成功后才可以访问校园网。802.1X认证策略建立在接入交换机中。当用户需要访问互联网时，用户需要通过计费网关进行计费认证，计费认证是基于WEB的网关认证，认证策略建立在学院网络出口服务器中。

两次认证的网络拓扑图如下：

客户端访问校园网时首先发起准入系统认证，认证通过后准入系统返回数据给客户端，此时用户可以访问校园网内资源；当客户端需访问互联网时，客户端发起准出系统认证，认证通过后准出系统返回数据给客户端，此时用户可访问互联网。

两次认证的工作流程如图：

3 设计方案探讨

当进行软件开发时，若想将两套应用系统进行对接，最常用的方法是开发第三方中间件，两套系统之间的数据通过中间件进行传递，因此需将两次认证的工作流程进行改造以保证客户端只进行一次账号认证，即可完成准入和准出系统的认证。

根据系统认证流程分析，客户端发起准入系统认证无法改变，关键在于准出系统如何获得客户端的准入系统账号。准出系统获取客户端的准入账号方式有两种：一种是准入系统推送账号，另外一种是准出系统调用账号。

3.1 准入系统推送账号

当使用准入系统推送账号方案时，客户端访问校园网时首先发起准入系统认证，此时需要用户输入账号，认证通过后准入系统返回数据给客户端，此时用户可以访问校园网内资源，同时准入系统将客户端账号发送给中间件；当客户端需访问互联网时，客户端发起准出系统认证，此时用户不需再次输入账号，账号由准出系统向中间件调取，调取成功后将账号传递给准出系统，认证通过后准出系统返回数据给客户端，此时用户可访问互联网。具体方案如图3-1所示：

此方案存在的问题是当多数用户不访问互联网，而是只访问校园网，中间件中会存留大量的用户信息，进行准出系统认证时会延长准出系统查询用户的时间，访问量大时还需考虑中间件的性能。

3.2 准出系统调用账号

当使用准出系统调用账号方案时，客户端访问校园网时首先发起准入系统认证，此时需要用户输入账号，认证通过后准入系统返回数据给客户端，此时用户可以访问校园网内资源；当客户端需访问互联网时，客户端发起准出系统认证，此时用户不需再次输入账号，账号由准出系统向中间件调取，中间件如果没有查询到账号信息，再向准入系统调取，调取成功后将账号返回给中间件，最后传递给准出系统，认证通过后准出系统返回数据给客户端，此时用户可访问互联网。具体方案如图3-2所示：

此方案存在的问题是当用户访问互联网时，数据需要从准入系统、中间件、准出系统中往来几次大大延长了准出系统调用用户的时间，访问量大时也需要考虑中间件的性能。

4 最终设计方案

根据以上两个方案分析，账号在传递过程中会存在查询延时的问题，严重影响用户体验，因此如果能够只进行一次查询即可完成账号传递是最优方案。

可将准入系统与中间件合并，由中间件直接在准入系统中进行账号查询，查询后由准入系统调用准出系统的认证过程，将返回数据传递给客户端即可。具体方案如图4-1所示：

5 结束语

校园网准入和准出认证的统一，在为用户提供安全的网络应用环境的基础上，提高了网络应用的用户体验，虽然仅进行了两套系统的统一认证，但随着技术的不断更新，多异构网络应用系统的统一认证问题会逐步解决，统一认证的应用也会在各种网络环境中应用，从而为提高网络的应用水平发挥更大的作用。

[作者简介]孙刚凝（1979.4-），男，北京人，现职称：讲师，研究方向：校园网的安全管理、监控和量化应用。