校园网认证技术的应用和发展

时间：2021-08-07 14:47:54

关键字：关键词校园网认证技术智能网络终端应用和发展

手机看文章

扫描二维码
随时随地手机看文章

[导读]摘要：校园网是高校信息化建设的基础设施。随着网络技术的不断发展，其应用服务已经深入教学科研、行政管理及师生员工工作、学习和生活的各个方面。多种多样的网络服务及各式智能网络终端的使用，对校园网不断提出新的要求。介绍长安大学校园网自建立以来认证系统的发展变化情况。在当前有线网络及无线网络共存的形势下，如何选择符合校园网需求的认证系统，以满足用户使用各种智能终端，安全、便捷的享受校园网服务，是高校校园网建设和管理必须面对和解决的重要问题。

引言

互联网技术的飞速发展使得网络服务已涵盖到工作、生活的各个方面，多种多样的网络服务、无处不在的应用和信息交流，使得国民经济的运行、各行各业的生产和人们的生活越来越依赖于网络这个交流平台，校园网也同样如此。校园网不仅是高校对外交流的重要平台之一，也是展现学校风貌和特点的窗口。随着近年来国家对高校信息化建设投入的增加，中国高校校园网开始进入高速发展阶段，规模不断扩大，应用领域日益增多，而众多信息系统的建设为教学科研、实验实习、行政管理、娱乐生活提供了一个方便、快捷、稳定、安全、高效的信息交流和资源共享平台。但是网络高速发展也带来了很多问题，主要表现在网络资源不能合理分配、非校园网用户的接入影响了正常网络秩序，以及校园网内部信息的安全等。面对这些问题，各高校都采用了用户认证接入系统，可以在一定程度上确保网络服务只能由校园网合法用户使用，从而对网络秩序的建立、资源的合理分配和网络信息的安全起到了保障作用。本文以长安大学校园网认证系统为例，介绍了在当前互联网飞速发展阶段校园网认证技术的应用发展。

1 认证系统的必要性

经过多年发展，互联网现在已经成为人类生活不可缺少的交流平台之一。据 CNNIC（中国互联网络信息中心）中国互联网络发展状况统计调查显示：截至 2013 年 12 月，我国网民规模已达 6.18 亿，全年共计新增网民 5358 万人。而在高校校园内，随着信息化建设的不断推进，网络应用已经遍及教学科研、行政管理、师生员工学习和生活的方方面面：从学生报到后的食宿安排、每学期开学的排课选课，到教师上课安排教室、联系实验实习，教学名师网上授课、课件查询与答疑，行政单位发送、接收通知公告和办公文件、科研项目管理，到实验数据的处理和资源利用与支配，以及后勤保障等，基本涵盖了学校正常运行的所有机构和行为。以长安大学为例，目前校内拥有的网络终端已超过 2.4 万台。庞大的网络用户数量和繁多的应用需求，给校园网的有序、规范和安全发展带来了一定的混乱和影响。为此，必须对网络用户进行管理。

1.1 国家相关法规对网络管理的要求

根据国家网络安全管理的相关法规，互联网使用单位必须落实上网人员身份认证和日志留存等相关技术措施，并对上网内容和网上行为提供审计功能。因此，上网人员身份认证和日志留存是国家对互联网安全管理的强制规定[1]。

1.2 有利于网络地址的规划使用

校园网为师生的教学科研、行政管理和学习生活提供网络服务及互联网资源，其中IP 地址是连接网络的基本需要，相当于用户的网络身份号码。但有的用户基于各种原因，在没有得到网络管理人员许可的情况下，擅自更改自己的 IP 地址，造成其他用户网络中断的现象时有发生。实行认证制度，将每一位用户的用户名、口令和唯一的IP 地址绑定，对于IP 地址的规划、利用和避免地址资源浪费起到了重要作用。

1.3 有利于规范用户上网行为，降低网络资源浪费

由于规模和用户不断增加，为了确保校园网能够稳定、正常运行，学校每年都要投入大量经费以支付出口线路租用和网络设备的升级维护。流量数据的分析表明，生活娱乐方面的网络应用占据了较多带宽资源，使教学科研和行政管理等受到了很大影响。本着更好的实现校园网规范化管理，合理利用现有网络带宽资源和降低运行成本的目的，必须对出口总流量进行控制，将网络资源向教学、科研和行政管理倾斜，生活娱乐等方面消耗带宽资源的租赁费用由用户自行承担，在不以盈利为目地的前提下对校园网用户实行认证计费，是有效控制网络资源分配的重要手段。

2 常见的认证技术

目前，校园网认证计费系统主要有三种认证技术，即PPPoE 认证、Web+ Portal（网页）认证和 802.1x 认证，这三种认证利用不同的运行平台和技术特点在应用方面具有各自的优势[2]。

2.1 PPPoE 认证技术

PPPoE（Point-to-PointProtocoloverEthernet）即以太网点对点通信协议，通过PPPoE协议可以在以太网上实现点对点协议的主要功能，使以太网主机通过一个简单的桥接设备连到一个远端的接入集中器上，而远端接入设备则能够实现对每个接入用户的控制。

PPPoE 的通信过程分为发现和会话两个阶段，当主机准备开始一个PPPoE 会话时它首先要进入发现阶段，主机以广播方式寻找可以连接的接入设备[3]，其步骤如下：

(1)主机广播发起分组（PADI）向接入设备提出要求提供的服务；

(2)接入设备收到PADI 后，发送PPPoE有效发现提供包（PADO）分组来响应要求；

(3)主机在收到的 PADO分组中选择合适的一个，向所选择的接入设备发送PPPoE有效发现请求分组（PADR）；

(4)接入设备收到PADR分组后准备开始会话，并发送一个PPPoE有效发现会话确认分组（PADS）。

在发现阶段主机获得接入设备以太网MAC 地址并建立一个会话标识号码（PPPoE SESSION-ID），从会话开始主机发送PPP 数据直到会话结束 SEESION-ID 不能改变。PPPoE 有一个PADT 分组可以在会话建立后的任何时间通过主机或接入设备发送，用来终止会话。PPPoE 通信流程如图 1 所示。

校园网认证技术的应用和发展

接入设备收到用户的认证信息后将其传递给指定的RADIUS（Remote Authehtication Dial In User Service，远程认证接入用户服务）服务器，RADIUS 在接受请求进行用户身份验证的同时开始审计和记账，并将处理结果响应给接入设备。

2.2 Web+Portal认证技术

Web+Portal是一种业务类型的认证，这种认证方式不需要特定的客户端软件来执行。主机连接到网络通过 BRAS（BroadbandRemoteAccessServer）宽带远程接入服务器提供的DHCP 服务获得一个IP 地址，登陆到指定的Portal Server 认证页面进行用户名和密码认证，Portal Server 得到用户信息与后台认证服务器通信验证并完成认证过程[4]。具体流程如图 2 所示。

校园网认证技术的应用和发展

2.3 802.1x认证技术

802.1x 协议是一种使用客户端和服务器进行访问控制的协议，它通过端口访问实体PAE（port access entity），根据认证服务器认证过程的结果，控制主机与接入交换机链接端口的开启和关闭来限制非注册用户访问网络 [5]。支持 802.1x 的接入交换机拥有两个逻辑端口，即受控端口和非受控端口，在认证未通过前，802.1x 允许非受控端口传递EAPoL（EAP OVER LAN），即基于局域网的扩展认证协议来确保认证数据能够通过，认证通过后受控端口打开用来传递网络服务和资源[6]。整个认证体系由客户端、认证服务器和交换机三部分组成[7]。认证的具体流程为：

(1)用户输入用户名和口令通过客户端发起连接请求，客户端将请求认证报文发送给交换机；

(2)交换机接收到请求报文后，会要求客户端发送用户身份信息过来；

(3)交换机将客户端发送的用户身份信息提交认证服务器处理；

(4)认证服务器比对确认交换机发送的身份信息，如通过认证则将确认信息发送回交换机；

(5)交换机收到认证通过的信息后将客户端连接交换机的受控端口打开，并向客户端发送认证通过信息；

(6)客户端收到认证通过信息后即可获取IP 地址等网络信息，开始正常网络通信 [8]。802.1x认证体系结构如图 3所示。

3 认证技术在校园网中的应用和发展

长安大学校园网建立至今已经历了 20 年的时间，从2003 年实行认证计费开始认证系统的选择标准就一直伴随着校园网的不断发展和用户需求的不断提高而变化。

3.1 初期认证系统

建网初期，使用基于 802.1x 的CAMS 认证系统，购置了能够兼容认证系统的接入层交换机，在交换机上开启 802.1x 协议对下连用户的交换机端口实现控制管理，用户通过 CAMS 专用认证客户端进行认证。每位用户都能得到一个静态 IP地址，认证系统绑定用户名、口令、IP地址和网卡的MAC 地址。这一措施实现了网络账号的实名制管理，规范了上网行为，为校园网发展初期阶段整个网络能够安全、稳定的运行提供了保障。

校园网认证技术的应用和发展

3.2 发展阶段认证系统

随着互联网的不断发展和各种网络应用服务的日益丰富，学校的教学科研、行政管理、学习交流、生活娱乐等各个方面都在迅速向网络化转变，统一的教学、科研和办公系统让工作流程变得更加规范、合理和透明，各种网络服务也让生活娱乐更加多彩。在此快速发展阶段校园网规模迅速扩大、用户数量急剧增长，对网络服务的要求也不断提升，用户希望网络的使用不再局限于电脑终端和有线网络，笔记本电脑、平板电脑、手机等便携式智能终端也能通过无线方式使用校园网。

面对用户这种新的需求，校园网技术人员对 PPPoE、Web+Portal 和 802.1x 三种常见认证方式进行了测试和对比，得出如下结果：

(1)三种认证方式都是通过账号和密码来进行用户身份确认。

(2)认证客户端的差异：以原有认证系统为例，基于802.1x技术的 CAMS专用客户端软件，由于存在不同操作系统之间的差异，除 windows系统之外的其他操作系统不能支持普通的CAMS客户端，必需由认证系统厂家重新进行研发； PPPoE认证方式可以由各个操作系统自带的认证客户端进行认证；而 Web+Portal认证方式则不需要客户端软件。

(3)在实际使用中，802.1x认证系统必须使用同一个生产商的接入层交换机才能达到校园网的安全认证要求，而PPPoE和Web+Portal两种认证方式则不需要。

(4)PPPoE与原有窄带网络用户接入认证体系一致，使用操作系统自带客户端软件，这对于用户来说比较容易接受和认可。

由此，确定了校园网有线网络认证从802.1x 专用客户端方式更换为PPPoE 认证方式。两种认证方式虽然都是用客户端，但 PPPoE 利用的是操作系统自带的客户端，且大多数路由器都支持这一认证方式，用户在房间里即可以通过带有无线功能的路由器发起认证。而手机、平板电脑和笔记本等各种便携式智能终端，则可以通过路由器的无线连接方式接入校园网。无线网络选择的认证方式是Web+Portal 认证，在校园的公共场所如图书馆、体育馆、操场、会议室、道路和露天休息区域等地方，已经实现无线网络信号的全覆盖，各类智能终端都可以通过连接校园网无线信号发起申请，登陆到指定的Portal Server 认证页面进行用户名和密码认证，当认证通过后便可以进入校园网服务体系。

3.3 认证系统现状

目前，认证系统更换后已运行近一年时间，通过对这段时间校园网运行情况的观察和用户使用新认证方式后反馈的信息分析表明，这两种认证方式配合在一起大大提高了网络使用的便捷度，满足了用户随时随地享受校园网服务的需求，扩大了服务范围，提高了服务质量。

4 结语

高校校园网是一个结构复杂、地理区域分散、设备品牌不统一和网络需求多样的环境，且用户规模较大对网络的要求也较高，而在网络技术高速发展的今天，用户使用网络的智能终端多种多样，如何满足各种类型智能终端接入校园网的需求，并能够保持稳定连接和优质的网络速度是每一所高校校园网建设和管理部门必须不断解决的问题。本文所介绍的长安大学校园网认证计费系统，从最初 802.1x 认证技术到现在的PPPoE 和Web+Portal 两种认证方式并存的发展变化情况，都是这种问题的一种解决思路。随着网络技术的发展，更加安全、高效的认证技术会不断出现，既能够适应有线和无线网络，又能满足各种智能终端上网需求的认证方式也会出现，如何选择能够适应校园网发展的认证方式，是网络建设和管理人员需要长期面对的问题。