基于身份校园网准入控制部署设计.docVIP

基于身份校园网准入控制部署设计 　　摘要：随着网络技术的迅速发展，高校的校园网的安全性受到了严重的威胁。多数的局域网攻击都来自于校园网内部非法计算机与人员的接入，因此如何有效地进行准入控制的部署成为了解决内部攻击的首要任务。该部署设计以上海师范大学天华学院为背景，通过将域控制、802.1X、AAA等技术相结合的方式对计算机、用户的身份进行有效地认证，最终达到杜绝非法接入从而保护内网的安全。 　　关键词:身份认证；网络安全；802.1X；数字证书；AAA 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)13-3024-03 　　The Deployment Design to Permit Accessing The Campus Based on the Identity Authentication 　　SUN Min-feng 　　(Computer Center, Tianhua College ,Shanghai Normal University, Shanghai 201815, China) 　　Abstract：With the rapid development of network technology, the network security of the campus is seriously threatened. Many LAN attacks comes from the access of the illegal computer and people, so how to efficiently deploy the design to permit accessing the campus is the first thing to solve the LAN attacks. This deployment design is based on the background of Shanghai Normal University Tianhua college, it combines the technologies of domain control,802.1X, AAA to authenticate the identity of the computer and people, then it can reuse the illegal access and protect the LAN security. 　　Key words：identity authentication; network security; 802.1X; digital certificate; AAA 　　网络与人们的生活已经息息相关，因此网络的安全一直是备受关注的问题。由于针对局域网攻击的黑客软件的大量存在，且该高校主要通过DHCP分配IP地址，因此在校园网中无论是外来人员或者是普通学生，一旦任何非法计算机接入到校园网，那么整个校园局域网就受到了威胁。所以部署基于身份的准入控制成为解决非法计算机与人员接入的有效方法。 　　1部署所需相关技术 　　基于身份认证的准入控制是一种对局域网访问安全性的解决方法，由于学校采用的是域控制的管理，因此本部署设计主要包含了802.1X、AAA、PKI、域控制等技术的综合应用。 　　1.1 802.1X技术 　　802.1X技术旨在用认证方式解决并提供基于端口的访问控制，它主要有3部分组成：请求者、认证者、认??服务器。 　　请求者：请求访问网络的设备即客户端。 　　认证者：网络登录点设备。 　　认证服务器：对请求者执行认证的设备。 　　请求者与认证者之间运行的EAP协议，在以太网上的EAP称作为EAPOL，它是一种802.1X中的协议且承载了EAP协议，而EAP数据包内包含的是具体的认证信息。EAP提供了一种认证手段，它的常用类型包括：EAP-MD5、EAP-TLS、PEAP等。 　　1.2 AAA技术 　　AAA技术在网络准入控制中的起到了重要的作用，为了验证请求者的合法性，这个认证的任务是有认证服务器完成的，而认证服务器一般是AAA服务器，主要用来指导管理员以统一的方式设置三个独立的安全功能。AAA服务主要是指：认证、授权、审计。 　　认证：负责在用户访问网络或网络服务以前，对用户进行认证。 　　授权：为远程访问控制提供网络服务，包括一次性授权，或者基于每个用户账户列表或用户组为每个服务进行授权。 　　审计：主要是对记录用户对各种网络服务的使用情况提供计费、查账、报告。 　　1.3 PKI技术 　　PKI是一系列基于公钥密码学之上，用来创建、管理、存储、分布和作废证书的