基于802.1x协议的网络认证技术研究

【摘 要】 本文是依据802.1x、EAP、和RADIUS等协议的工作原理，在网络接入层实现安全接入控制方案，对接入网络的用户进行验证。借助802.1x协议、EAP协议及RADIUS协议的工作原理，在网络接入层实现安全接入控制方案，对接入网络的用户进行验证，设计出认证模型的实现方案。

【关键词】 802.1x协议 RADIUS协议 网络认证

1 引言

由于internet的普及扩展校园网的规模也得到了越来越大的发展，对其功能的开发也越来越强。目前的网络结构可以分为3个层次，分别为核心层、汇聚层和接入层。用户的认证管理过程一般都在接入层进行。虽然网络的发展使人们的工作生活变的更加的轻松，然而没有管理的网络是不可能达到它应有的功能的。因此，网络认证及计费系统由此而诞生。

2 系统分析和设计

2.1 方案设计

当前该领域存在三种主要的审核验证方式，即PPPoE、web和802.lx技术。通过分析研究明确了802.lx技术的优势，该技术易于实现，系统工作效率高，理所当然的成为校园网布局的理想选择。该系统使用RADIUS+802.lx的组合审核计费方案。每个内网使用者通过用户端输入用户名和通行码，系统自动把用户资料经NAS端传送至RADIUS端进行审核验证，一旦身份信息通过审核，将由DHCP服务器自动分配给申请用户恰当的静态地址或动态地址，并对用户开放整个网络资源。

2.2 系统环境

（1）硬件系统平台：硬件系统主要包括：客户端计算机，交换机，服务器和其他的辅助设备。硬件环境主要的目的是使用在物理上互联。（2）软件系统平台：软件系统平台主要包括：操作系统、数据库、开发工具、编程语言、RADIUS服务器、网络通信协议及网络管理软件等几部分。软件系统平台是把操作系统、网络通信协议、数据库，以及通信接口与应用程序融为一体的集成平台，构成了应用软件赖以开发和生存的软件平台，对于应用软件和系统的整体性能起着直接的影响。

2.3 总体设计

客户端软件主要分为用户登录模块，EAPOL模块，EAP模块，EAPMD5模块，用户配置模块和数据发送/接收模块。

各模块关系如图1所示。

用户通过输入的账号和密码方可登录界面，客户端把用户输入的账号、密码信息传递给用户配置模块并进行保存，以便在以后使用这些信息。

EAPOL模块的功能是通过802.1x来认证关于客户端在PAE方面的功能，这个功能可以通过数据的发生已经接收来获取，来自认证官方系统的一些消息，我们根据这些消息，并对其进行部分处理就可以达到数据传输的目的。

2.4 数据库设计

在我们常见的计费系统中，我们主要是通过路由器和交换机获得的，这种设备包含了计费过程中所需要的全部信息，在这个系统中，这些计费信息是通过某些特定的协议来发送到服务器上的。这个服务器会把最初的数据存在库中，以便以后我们可以用它来进行计算相关费用。FreeRadius服务器在默认的情况下是可以有8个数据库表的：radacct，radcheck，radgroupcheck，radgroupreply，radreply，usergroup，radpostauth，nas。

3 系统实现

3.1 开发环境

该系统的客户端程序基于微软的.NET平台进行开发，使用C#为开发语言。在程序开发中使用了WinPcap库，它是一个Windows平台下免费的公共的网络访问系统。

3.2 认证过程设计与实现

（1）认证过程设计：整个的认证过程由DevHelper类完成，认证过程如下：1）获取网卡。其过程主要由DevHelper类的构造函数完成；2）客户端向交换机发送连接请求EAPOL_Start包，以说明客户端希望接入网络。其过程只要由DevHelper类的（StartAuthe ntication）方法完成；3）监听网络数据包。其主要过程由DevHelper类的时间响应函数device_PcapPackArrival（object sender， Packet packet）完成；4）处理EAPOL数据包。其主要过程由DealEAPO LPacket（EAPOLPacket inEAPOLPacket）函数完成；5）用户下线。当用户使用完网络的时候可以主动下线。其主要过程由DevHelper类的（LogOff）函数完成。

（2）认证过程实现：客户端完成整个认证过程需要处理4个主要过程：1）发起认证：系统从用户点击链接按钮后，客户端程序创建并发送EAPOL_Start包开始认证过程。2）验证用户名：当收到EAPOL_Request/Identify的包后，客户端程序创建并回复EAPOL_Response/Identify包开始验证用户名的过程。3）验证用户密码：当收到EAPOL_Request/MD5Challenge的包后，客户端程序创建并回复EAPOL_Response/MD5Challenge包开始验证用密码的过程。4）用户主动下线：用户主动下线的过程，客户端程序创建并发送EAPOL_LogOff包向服务器请求下线。

参考文献：

[1]肖义.3种接入认证技术的浅析与比较[J].光通信研究，2006年，（3）：25-28.

[2]秦艳飞，张有根，王玉霞.802.1x认证技术分析及其在校园网中的应用[J].有线电视技术，2006年09月20日.