随着网络用户数量急剧增加,网络管理问题和安全问题日趋严峻,针对校园网用户多且分散、流动性强,用户对网络需求各异等特点,亟需营造一个安全可靠、可运营、可管理的网络,给用户提供一个便捷、畅通的网络环境。为实现此目标,迫切需要一种合理、细致的管理机制和计费手段。接入认证系统和收费计费系统结合可达到此要求。
网络上传统的认证系统如PPPoE 和Web/Portal认证方式,越来越不适应网络规模增大和用户需求多样性的要求,使得传统认证的弊端日益突显。基于此背景下,IEEE 802.1X通过对认证方式和认证体系结构进行优化,有效地解决了传统PPPoE和Web/Portal认证方式带来的问题,消除了网络瓶颈,减轻了网络封装开销,降低了建网成本,从而受到当前校园网选择的热捧。然而简单的使用802.1X认证仍然存在一些安全隐患,故需要采用安全防御机制来解决。本文首先介绍了接入认证方式及利弊,然后阐述了802.1X原理及认证过程,接着详细介绍了802.1X在校园网中存在的隐患,最后提出了两种安全防御机制并可兼容802.1X认证。
接入认证方式及利弊
目前主要的接入认证方式有三种:PPPoE 认证方式、Web/Portal认证方式和802.1X 认证方式。
1.PPPoE 认证方式:PPPoE 是在IETF RFC标准基础上研发的点对点协议,是目前应用最为普遍的家庭用户接入方式之一。它将以太网技术、局域网和点对点协议的可扩展性及管理控制功能结合在一起,通过类似拨号方式,为用户提供简单方便的宽带接入服务。此接入方式的优势在于和原有窄带网络用户接入认证体系一致,易于用户接受。然而不足之处在于局端接入设备开销大,容易形成单点瓶颈,且设备昂贵。
2.Web/Portal认证方式:Web认证运用广泛,它依托于Web 浏览器,通过HTTP以及HTTPS协议和Web认证服务器进行交互认证。该认证方式可以很方便地利用Web服务器推出Portal和广告等增值业务,有利于达到引导用户和宣传业务的效果。其优点在于不需要特定的客户端软件,可以降低运营成本,同时可提供Portal等增值业务。缺点是Web/Portal承载于7层协议之上,多采用出口网关设备,内网存在的安全隐患,如BBS论坛出现过激言论或某IP 攻击服务器等行为都无法追踪。
3.802.1X认证方式:802.1X认证,称为基于端口的访问控制协议认证,它将传统的出口控制迁移到入口控制,实现对端口的用户级的接入控制,对大规模的LAN接入和WLAN 应用有很好的安全防护作用。其优势是认证与业务分离有利于解决网络瓶颈,对设备的整体性能要求不高,有效降低建网成本。弱点是需要特定的客户端,ARP攻击、IP伪造等安全问题仍未解决。
802.1X原理及认证过程
802.1X是根据用户账号或设备,对网络客户端(或端口)进行鉴权的标准。此过程又叫做“端口级别的鉴权”,它只适合于此环境:接入用户设备与接入端口间点到点的连接方式。其中的端口可以是物理的端口,也可以是用户设备的MAC 地址。由于基于物理端口的控制方式需要认证交换机直接连接用户来实现,提升了交换机成本,导致建网成本增加。在经费比较短缺的校园领域中,网络认证目前普遍使用基于用户设备的MAC地址控制方式。把用户设备的MAC 地址看成端口,每个MAC地址有两个逻辑端口:受控和不受控端口。MAC地址处于激活状态是认证的前提条件,否则无法进行认证。在802.1X协议体系结构中,必须同时具备客户端、接入认证交换机和认证服务器三者,才能够完成基于端口的访问控制的用户认证和授权。认证过程如图1所示。
图1