当前位置:文档之家› 基于802.1x协议的网络认证技术研究

基于802.1x协议的网络认证技术研究

基于802.1x协议的网络认证技术研究

作者:班勇吕盛槐

来源:《中国科技纵横》2013年第07期

【摘要】本文是依据802.1x、EAP、和RADIUS等协议的工作原理,在网络接入层实现安全接入控制方案,对接入网络的用户进行验证。借助802.1x协议、EAP协议及RADIUS协议的工作原理,在网络接入层实现安全接入控制方案,对接入网络的用户进行验证,设计出认证模型的实现方案。

【关键词】 802.1x协议 RADIUS协议网络认证

1 引言

由于internet的普及扩展校园网的规模也得到了越来越大的发展,对其功能的开发也越来越强。目前的网络结构可以分为3个层次,分别为核心层、汇聚层和接入层。用户的认证管理过程一般都在接入层进行。虽然网络的发展使人们的工作生活变的更加的轻松,然而没有管理的网络是不可能达到它应有的功能的。因此,网络认证及计费系统由此而诞生。

2 系统分析和设计

2.1 方案设计

当前该领域存在三种主要的审核验证方式,即PPPoE、web和802.lx技术。通过分析研究明确了802.lx技术的优势,该技术易于实现,系统工作效率高,理所当然的成为校园网布局的理想选择。该系统使用RADIUS+802.lx的组合审核计费方案。每个内网使用者通过用户端输入用户名和通行码,系统自动把用户资料经NAS端传送至RADIUS端进行审核验证,一旦身份信息通过审核,将由DHCP服务器自动分配给申请用户恰当的静态地址或动态地址,并对用户开放整个网络资源。

2.2 系统环境

(1)硬件系统平台:硬件系统主要包括:客户端计算机,交换机,服务器和其他的辅助设备。硬件环境主要的目的是使用在物理上互联。(2)软件系统平台:软件系统平台主要包括:操作系统、数据库、开发工具、编程语言、RADIUS服务器、网络通信协议及网络管理软件等几部分。软件系统平台是把操作系统、网络通信协议、数据库,以及通信接口与应用程序融为一体的集成平台,构成了应用软件赖以开发和生存的软件平台,对于应用软件和系统的整体性能起着直接的影响。

2.3 总体设计

客户端软件主要分为用户登录模块,EAPOL模块,EAP模块,EAPMD5模块,用户配置模块和数据发送/接收模块。

各模块关系如图1所示。

用户通过输入的账号和密码方可登录界面,客户端把用户输入的账号、密码信息传递给用户配置模块并进行保存,以便在以后使用这些信息。

EAPOL模块的功能是通过802.1x来认证关于客户端在PAE方面的功能,这个功能可以通过数据的发生已经接收来获取,来自认证官方系统的一些消息,我们根据这些消息,并对其进行部分处理就可以达到数据传输的目的。

2.4 数据库设计

在我们常见的计费系统中,我们主要是通过路由器和交换机获得的,这种设备包含了计费过程中所需要的全部信息,在这个系统中,这些计费信息是通过某些特定的协议来发送到服务器上的。这个服务器会把最初的数据存在库中,以便以后我们可以用它来进行计算相关费用。FreeRadius服务器在默认的情况下是可以有8个数据库表的:radacct,radcheck,radgroupcheck,radgroupreply,radreply,usergroup,radpostauth,nas。

3 系统实现

3.1 开发环境

该系统的客户端程序基于微软的.NET平台进行开发,使用C#为开发语言。在程序开发中使用了WinPcap库,它是一个Windows平台下免费的公共的网络访问系统。

3.2 认证过程设计与实现

(1)认证过程设计:整个的认证过程由DevHelper类完成,认证过程如下:1)获取网卡。其过程主要由DevHelper类的构造函数完成;2)客户端向交换机发送连接请求

EAPOL_Start包,以说明客户端希望接入网络。其过程只要由DevHelper类的(StartAuthe ntication)方法完成;3)监听网络数据包。其主要过程由DevHelper类的时间响应函数device_PcapPackArrival(object sender, Packet packet)完成;4)处理EAPOL数据包。其主要过程由DealEAPO LPacket(EAPOLPacket inEAPOLPacket)函数完成;5)用户下线。当用户使用完网络的时候可以主动下线。其主要过程由DevHelper类的(LogOff)函数完成。

(2)认证过程实现:客户端完成整个认证过程需要处理4个主要过程:1)发起认证:系统从用户点击链接按钮后,客户端程序创建并发送EAPOL_Start包开始认证过程。2)验证用户名:当收到EAPOL_Request/Identify的包后,客户端程序创建并回复

EAPOL_Response/Identify包开始验证用户名的过程。3)验证用户密码:当收到

EAPOL_Request/MD5Challenge的包后,客户端程序创建并回复

EAPOL_Response/MD5Challenge包开始验证用密码的过程。4)用户主动下线:用户主动下线的过程,客户端程序创建并发送EAPOL_LogOff包向服务器请求下线。

参考文献:

[1]肖义.3种接入认证技术的浅析与比较[J].光通信研究,2006年,(3):25-28.

[2]秦艳飞,张有根,王玉霞.802.1x认证技术分析及其在校园网中的应用[J].有线电视技术,2006年09月20日.

相关主题