引 言

互聯(lián)網(wǎng)技術的飛速發(fā)展使得網(wǎng)絡服務已涵蓋到工作、生活的各個方面，多種多樣的網(wǎng)絡服務、無處不在的應用和信息交流，使得國民經(jīng)濟的運行、各行各業(yè)的生產(chǎn)和人們的生活越來越依賴于網(wǎng)絡這個交流平臺，校園網(wǎng)也同樣如此。校園網(wǎng)不僅是高校對外交流的重要平臺之一，也是展現(xiàn)學校風貌和特點的窗口。隨著近年來國家對高校信息化建設投入的增加，中國高校校園網(wǎng)開始進入高速發(fā)展階段，規(guī)模不斷擴大，應用領域日益增多，而眾多信息系統(tǒng)的建設為教學科研、實驗實習、行政管理、娛樂生活提供了一個方便、快捷、穩(wěn)定、安全、高效的信息交流和資源共享平臺。但是網(wǎng)絡高速發(fā)展也帶來了很多問題，主要表現(xiàn)在網(wǎng)絡資源不能合理分配、非校園網(wǎng)用戶的接入影響了正常網(wǎng)絡秩序，以及校園網(wǎng)內(nèi)部信息的安全等。面對這些問題，各高校都采用了用戶認證接入系統(tǒng)，可以在一定程度上確保網(wǎng)絡服務只能由校園網(wǎng)合法用戶使用，從而對網(wǎng)絡秩序的建立、資源的合理分配和網(wǎng)絡信息的安全起到了保障作用。本文以長安大學校園網(wǎng)認證系統(tǒng)為例，介紹了在當前互聯(lián)網(wǎng)飛速發(fā)展階段校園網(wǎng)認證技術的應用發(fā)展。

1 認證系統(tǒng)的必要性

經(jīng)過多年發(fā)展，互聯(lián)網(wǎng)現(xiàn)在已經(jīng)成為人類生活不可缺少的交流平臺之一。據(jù) CNNIC（中國互聯(lián)網(wǎng)絡信息中心）中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計調(diào)查顯示 ：截至 2013 年 12 月，我國網(wǎng)民規(guī)模已達 6.18 億，全年共計新增網(wǎng)民 5358 萬人。而在高校校園內(nèi)，隨著信息化建設的不斷推進，網(wǎng)絡應用已經(jīng)遍及教學科研、行政管理、師生員工學習和生活的方方面面 ：從學生報到后的食宿安排、每學期開學的排課選課，到教師上課安排教室、聯(lián)系實驗實習，教學名師網(wǎng)上授課、課件查詢與答疑， 行政單位發(fā)送、接收通知公告和辦公文件、科研項目管理，到實驗數(shù)據(jù)的處理和資源利用與支配，以及后勤保障等，基本涵蓋了學校正常運行的所有機構(gòu)和行為。以長安大學為例，目前校內(nèi)擁有的網(wǎng)絡終端已超過 2.4 萬臺。龐大的網(wǎng)絡用戶數(shù)量和繁多的應用需求，給校園網(wǎng)的有序、規(guī)范和安全發(fā)展帶來了一定的混亂和影響。為此，必須對網(wǎng)絡用戶進行管理。

1.1 國家相關法規(guī)對網(wǎng)絡管理的要求

根據(jù)國家網(wǎng)絡安全管理的相關法規(guī)，互聯(lián)網(wǎng)使用單位必須落實上網(wǎng)人員身份認證和日志留存等相關技術措施，并對上網(wǎng)內(nèi)容和網(wǎng)上行為提供審計功能。因此，上網(wǎng)人員身份認證和日志留存是國家對互聯(lián)網(wǎng)安全管理的強制規(guī)定[1]。

1.2 有利于網(wǎng)絡地址的規(guī)劃使用

校園網(wǎng)為師生的教學科研、行政管理和學習生活提供網(wǎng)絡服務及互聯(lián)網(wǎng)資源，其中IP 地址是連接網(wǎng)絡的基本需要， 相當于用戶的網(wǎng)絡身份號碼。但有的用戶基于各種原因，在沒有得到網(wǎng)絡管理人員許可的情況下，擅自更改自己的 IP 地址， 造成其他用戶網(wǎng)絡中斷的現(xiàn)象時有發(fā)生。實行認證制度，將每一位用戶的用戶名、口令和唯一的IP 地址綁定，對于IP 地址的規(guī)劃、利用和避免地址資源浪費起到了重要作用。

1.3 有利于規(guī)范用戶上網(wǎng)行為，降低網(wǎng)絡資源浪費

由于規(guī)模和用戶不斷增加，為了確保校園網(wǎng)能夠穩(wěn)定、正常運行，學校每年都要投入大量經(jīng)費以支付出口線路租用和網(wǎng)絡設備的升級維護。流量數(shù)據(jù)的分析表明，生活娛樂方面的網(wǎng)絡應用占據(jù)了較多帶寬資源，使教學科研和行政管理等受到了很大影響。本著更好的實現(xiàn)校園網(wǎng)規(guī)范化管理，合理利用現(xiàn)有網(wǎng)絡帶寬資源和降低運行成本的目的，必須對出口總流量進行控制，將網(wǎng)絡資源向教學、科研和行政管理傾斜，生活娛樂等方面消耗帶寬資源的租賃費用由用戶自行承擔，在不以盈利為目地的前提下對校園網(wǎng)用戶實行認證計費，是有效控制網(wǎng)絡資源分配的重要手段。

2 常見的認證技術

目前，校園網(wǎng)認證計費系統(tǒng)主要有三種認證技術，即PPPoE 認證、Web+ Portal（網(wǎng)頁）認證和 802.1x 認證，這三種認證利用不同的運行平臺和技術特點在應用方面具有各自的優(yōu)勢[2]。

2.1 PPPoE 認證技術

PPPoE（Point-to-PointProtocoloverEthernet）即以太網(wǎng)點對點通信協(xié)議，通過PPPoE協(xié)議可以在以太網(wǎng)上實現(xiàn)點對點協(xié)議的主要功能，使以太網(wǎng)主機通過一個簡單的橋接設備連到一個遠端的接入集中器上，而遠端接入設備則能夠?qū)崿F(xiàn)對每個接入用戶的控制。

PPPoE 的通信過程分為發(fā)現(xiàn)和會話兩個階段，當主機準備開始一個PPPoE 會話時它首先要進入發(fā)現(xiàn)階段，主機以廣播方式尋找可以連接的接入設備[3]，其步驟如下：

(1)主機廣播發(fā)起分組（PADI）向接入設備提出要求提供的服務；

(2)接入設備收到PADI 后，發(fā)送PPPoE有效發(fā)現(xiàn)提供包（PADO）分組來響應要求 ；

(3)主機在收到的 PADO分組中選擇合適的一個，向所選擇的接入設備發(fā)送PPPoE有效發(fā)現(xiàn)請求分組（PADR）；

(4)接入設備收到PADR分組后準備開始會話，并發(fā)送一個PPPoE有效發(fā)現(xiàn)會話確認分組（PADS）。

在發(fā)現(xiàn)階段主機獲得接入設備以太網(wǎng)MAC 地址并建立一個會話標識號碼（PPPoE SESSION-ID），從會話開始主機發(fā)送PPP 數(shù)據(jù)直到會話結(jié)束 SEESION-ID 不能改變。PPPoE 有一個PADT 分組可以在會話建立后的任何時間通過主機或接入設備發(fā)送，用來終止會話。PPPoE 通信流程如圖 1 所示。

接入設備收到用戶的認證信息后將其傳遞給指定的RADIUS（Remote Authehtication Dial In User Service， 遠程認證接入用戶服務）服務器，RADIUS 在接受請求進行用戶身份驗證的同時開始審計和記賬，并將處理結(jié)果響應給接入設備。

2.2 Web+Portal認證技術

Web+Portal是一種業(yè)務類型的認證，這種認證方式不需要特定的客戶端軟件來執(zhí)行。主機連接到網(wǎng)絡通過 BRAS（BroadbandRemoteAccessServer）寬帶遠程接入服務器提供的DHCP 服務獲得一個IP 地址，登陸到指定的Portal Server 認證頁面進行用戶名和密碼認證，Portal Server 得到用戶信息與后臺認證服務器通信驗證并完成認證過程[4]。具體流程如圖 2 所示。

2.3 802.1x認證技術

802.1x 協(xié)議是一種使用客戶端和服務器進行訪問控制的協(xié)議，它通過端口訪問實體PAE（port access entity），根據(jù)認證服務器認證過程的結(jié)果，控制主機與接入交換機鏈接端口的開啟和關閉來限制非注冊用戶訪問網(wǎng)絡 [5]。支持 802.1x 的接入交換機擁有兩個邏輯端口，即受控端口和非受控端口， 在認證未通過前，802.1x 允許非受控端口傳遞EAPoL（EAP OVER LAN），即基于局域網(wǎng)的擴展認證協(xié)議來確保認證數(shù)據(jù)能夠通過，認證通過后受控端口打開用來傳遞網(wǎng)絡服務和資源[6]。整個認證體系由客戶端、認證服務器和交換機三部分組成[7]。認證的具體流程為：

(1)用戶輸入用戶名和口令通過客戶端發(fā)起連接請求，客戶端將請求認證報文發(fā)送給交換機；

(2)交換機接收到請求報文后，會要求客戶端發(fā)送用戶身份信息過來；

(3)交換機將客戶端發(fā)送的用戶身份信息提交認證服務器處理；

(4)認證服務器比對確認交換機發(fā)送的身份信息，如通過認證則將確認信息發(fā)送回交換機；

(5)交換機收到認證通過的信息后將客戶端連接交換機的受控端口打開，并向客戶端發(fā)送認證通過信息；

(6)客戶端收到認證通過信息后即可獲取IP 地址等網(wǎng)絡信息，開始正常網(wǎng)絡通信 [8]。802.1x認證體系結(jié)構(gòu)如圖 3所示。

3 認證技術在校園網(wǎng)中的應用和發(fā)展

長安大學校園網(wǎng)建立至今已經(jīng)歷了 20 年的時間， 從2003 年實行認證計費開始認證系統(tǒng)的選擇標準就一直伴隨著校園網(wǎng)的不斷發(fā)展和用戶需求的不斷提高而變化。

3.1 初期認證系統(tǒng)

建網(wǎng)初期，使用基于 802.1x 的CAMS 認證系統(tǒng)，購置了能夠兼容認證系統(tǒng)的接入層交換機，在交換機上開啟 802.1x 協(xié)議對下連用戶的交換機端口實現(xiàn)控制管理，用戶通過 CAMS 專用認證客戶端進行認證。每位用戶都能得到一個靜態(tài) IP地址，認證系統(tǒng)綁定用戶名、口令、IP地址和網(wǎng)卡的MAC 地址。這一措施實現(xiàn)了網(wǎng)絡賬號的實名制管理，規(guī)范了上網(wǎng)行為，為校園網(wǎng)發(fā)展初期階段整個網(wǎng)絡能夠安全、穩(wěn)定的運行提供了保障。

3.2 發(fā)展階段認證系統(tǒng)

隨著互聯(lián)網(wǎng)的不斷發(fā)展和各種網(wǎng)絡應用服務的日益豐富， 學校的教學科研、行政管理、學習交流、生活娛樂等各個方面都在迅速向網(wǎng)絡化轉(zhuǎn)變，統(tǒng)一的教學、科研和辦公系統(tǒng)讓工作流程變得更加規(guī)范、合理和透明，各種網(wǎng)絡服務也讓生活娛樂更加多彩。在此快速發(fā)展階段校園網(wǎng)規(guī)模迅速擴大、用戶數(shù)量急劇增長，對網(wǎng)絡服務的要求也不斷提升，用戶希望網(wǎng)絡的使用不再局限于電腦終端和有線網(wǎng)絡，筆記本電腦、平板電腦、手機等便攜式智能終端也能通過無線方式使用校園網(wǎng)。

面對用戶這種新的需求， 校園網(wǎng)技術人員對 PPPoE、Web+Portal 和 802.1x 三種常見認證方式進行了測試和對比， 得出如下結(jié)果：

(1)三種認證方式都是通過賬號和密碼來進行用戶身份確認。

(2)認證客戶端的差異 ：以原有認證系統(tǒng)為例， 基于802.1x技術的 CAMS專用客戶端軟件，由于存在不同操作系統(tǒng)之間的差異，除 windows系統(tǒng)之外的其他操作系統(tǒng)不能支持普通的CAMS客戶端，必需由認證系統(tǒng)廠家重新進行研發(fā)； PPPoE認證方式可以由各個操作系統(tǒng)自帶的認證客戶端進行認證 ；而 Web+Portal認證方式則不需要客戶端軟件。

(3)在實際使用中，802.1x認證系統(tǒng)必須使用同一個生產(chǎn)商的接入層交換機才能達到校園網(wǎng)的安全認證要求，而PPPoE和Web+Portal兩種認證方式則不需要。

(4)PPPoE與原有窄帶網(wǎng)絡用戶接入認證體系一致，使用操作系統(tǒng)自帶客戶端軟件，這對于用戶來說比較容易接受和認可。

由此，確定了校園網(wǎng)有線網(wǎng)絡認證從802.1x 專用客戶端方式更換為PPPoE 認證方式。兩種認證方式雖然都是用客戶端，但 PPPoE 利用的是操作系統(tǒng)自帶的客戶端，且大多數(shù)路由器都支持這一認證方式，用戶在房間里即可以通過帶有無線功能的路由器發(fā)起認證。而手機、平板電腦和筆記本等各種便攜式智能終端，則可以通過路由器的無線連接方式接入校園網(wǎng)。無線網(wǎng)絡選擇的認證方式是Web+Portal 認證，在校園的公共場所如圖書館、體育館、操場、會議室、道路和露天休息區(qū)域等地方，已經(jīng)實現(xiàn)無線網(wǎng)絡信號的全覆蓋，各類智能終端都可以通過連接校園網(wǎng)無線信號發(fā)起申請，登陸到指定的Portal Server 認證頁面進行用戶名和密碼認證，當認證通過后便可以進入校園網(wǎng)服務體系。

3.3 認證系統(tǒng)現(xiàn)狀

目前，認證系統(tǒng)更換后已運行近一年時間，通過對這段時間校園網(wǎng)運行情況的觀察和用戶使用新認證方式后反饋的信息分析表明，這兩種認證方式配合在一起大大提高了網(wǎng)絡使用的便捷度，滿足了用戶隨時隨地享受校園網(wǎng)服務的需求，擴大了服務范圍，提高了服務質(zhì)量。

4 結(jié) 語

高校校園網(wǎng)是一個結(jié)構(gòu)復雜、地理區(qū)域分散、設備品牌不統(tǒng)一和網(wǎng)絡需求多樣的環(huán)境，且用戶規(guī)模較大對網(wǎng)絡的要求也較高，而在網(wǎng)絡技術高速發(fā)展的今天，用戶使用網(wǎng)絡的智能終端多種多樣，如何滿足各種類型智能終端接入校園網(wǎng)的需求，并能夠保持穩(wěn)定連接和優(yōu)質(zhì)的網(wǎng)絡速度是每一所高校校園網(wǎng)建設和管理部門必須不斷解決的問題。本文所介紹的長安大學校園網(wǎng)認證計費系統(tǒng)，從最初 802.1x 認證技術到現(xiàn)在的PPPoE 和Web+Portal 兩種認證方式并存的發(fā)展變化情況， 都是這種問題的一種解決思路。隨著網(wǎng)絡技術的發(fā)展，更加安全、高效的認證技術會不斷出現(xiàn)，既能夠適應有線和無線網(wǎng)絡，又能滿足各種智能終端上網(wǎng)需求的認證方式也會出現(xiàn)，如何選擇能夠適應校園網(wǎng)發(fā)展的認證方式，是網(wǎng)絡建設和管理人員需要長期面對的問題。