网络认证管理系统在中职学校校园网中的应用

任宇宁

摘 要随着信息技术的不断发展，中职学校校园网建设进入高速发展阶段。OA系统、虚拟化等最新技术不断在中职学校网络中应用起来，与此同时带来的网络安全问题和网络带宽瓶颈尤为突出。本文规划了一个网络认证管理系统应用于某市卫生学校，以此来研究如何进一步改善中职学校校园网络的安全性和用户的使用体验。

【关键词】网络认证管理系统 中职学校 校园网

近年来，随着政府对于网络信息化建设要求的不断加大，中职学校校园网建设的节奏也在不断提高，但是新技术的应用却是基于陈旧的网络结构，这就导致了网络安全问题和网络带宽瓶颈的出现。

1 某卫校校园网络现状

某市卫生学校是该市唯一所政府全额拨款医学中职学校，2008年新建教学大楼的同时建设校园网络，起初仅为学校行政办公所用，用户数不超过50人。但是近几年移动互联网的发展，手机等移动设备连接网络变成一种趋势，原先仅仅是行政办公室的固定台式电脑需要上网，而现在为了满足教师移动设备上网，每间办公室都安装无线路由器，由于密码设置过于简单甚至没有设置密码，学生移动设备也接入校园网上网，再加上学校附属医院、家属院用户，导致用户数呈指数增长，网络访问内容无节制，学校一再提升出口带宽仍然无法改变网络慢的现状，用户上网体验极差。

2 基于802.1X+RADIUS协议的认证系统

IEEE 802.1x是一个基于端口的网络访问控制协议，这里的端口可以是一个实实在在的物理端口，也可以是一个就像VLAN一样的逻辑端口，对于无线局域网来说这个“端口”就是一条信道。它的出现改进了之前以太网用户不需要进行认证授权就可以直接使用的安全缺陷，通过客户端申请，服务器端授权的模式，实现了用户必须通过认证才能进行访问网络。802.1X的认证的最终目的就是确定一个端口是否可用，在用户没有认证之前，这个端口保持“关闭”，仅允许客户端发送的EAPOL报文可以在网络上进行交换，当在服务器中查询到相应的用户名和密码时，交换机才打开端口，允许业务报文通过。

RADIUS（Remote Authentication Dial In User Service）是目前应用最广泛的AAA协议。AAA是一种管理框架，因此，它可以用多种协议来实现。在实践中，人们最常使用远程访问拨号用户服务来实现AAA。RADIUS是一种客户/服务器结构的协议，它的客户端最初就是NAS（Net Access Server）服务器，任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活，可以采用PAP、CHAP或者Unix登录认证等多种方式。RADIUS协议承载于UDP之上，官方指定端口号为认证授权端口1812、计费端口1813。

3 802.1X+RADIUS认证系统运行原理

在运行该系统之前需要对系统的原理进行简单讲述，通过之前的了解，知道了RADIUS协议是一种客户/服务器结构的协议，而客户端与服务器端之间进行业务数据传输之前必须通过RADIUS服务器的认证，它们之间发送的认证信息是用密文进行传输的，保证了传输的安全性。

（1）当用户需要进行上网的时候，开启用户电脑上的802.1x客户端程序（此程序在不同的操作系统上是不一样的，有系统自带的，还有需要安装的小程序），用户输入单位为自己下发到的用户名和密码后，进行连接认证，此连接将发给上联交换机。

（2）上联交换机接收到客户端程序发送来的连接请求信息后，告诉客户端程序将自己的用户名发送到它，准备与连接的RADIUS服务器进行对照。

（3）客户端将自己的用户名信息发给上联交换机，交换机通过封装，将用户名等数据信息打包封装，并加上信息头一并发送给RADIUS服务器进行数据认证。

（4）当RADIUS服务器收到交换机传输来的信息后，查找此用户名相对应的密码信息，如果找到该用户信息，将会生成一个随机的加密字，并且将该加密后的信息回送给用户。

（5）当客户端程序用RADIUS服务器发送来的加密字对自己的密码进行加密处理，然后将给加密信息发送到交换机，交换机再转发给RADIUS服务器。

（6）RADIUS服务器将交换机发送来的加密密码与自己加密后的信息进行比较，如果一致的话，允许用户的访问请求，否则发送给交换机关闭端口的通知信息，阻止用戶通过，仅允许用户发送下一次的认证信息，而其他业务信息将不允许通过。

如果用户输入的名称和密码都正确后，交换机打开端口，用户可以正常访问网络信息，此时交换机还可以向RADIUS服务器提出计费请求，RADIUS服务器响应交换机的请求，查询自身建立的计费规则，对用户开始计费，同时用户可以进行自己的相关操作。如果用户觉得这种加密方式比较简单，还可以实现用令牌卡、短信等方式实现双层认证加密。

4 实现愿景

通过安装网络认证系统，最终将实现行政办公和教师办公室固定电脑通过IP和MAC地址自动认证上网，教师无线上网实现通过用户名和密码拨号认证上网，而学生上网实行计费拨号上网的形式。出差在外的学校教师可以实现VPN远程接入校园网。全面实行网络精细化管理，对用户、时间、区域分阶段和时间点限制带宽。保证在不同时间段用户都能享受到通畅的网络。

虽然中职学校信息化进程的步伐在逐渐加快，但是相对于高校还有很大的差距，校园网络优化仍然任重道远，如果不进行改革，将会导致网络资源的浪费，导致出钱出力不讨好的状态，网络认证管理系统若能应用在中职学校校园网中，将会改变现在这一尴尬的现状，但这样重大的网络改革，除了需要技术支持，更需要学校领导的果敢和决断才行。

参考文献

[1]杨慧谊.基于802.1x协议网络认证技术研究与实现[D].电子科技大学，2013.

[2]劳建光.山东工业职业学院校园网络认证计费管理系统的设计与实现[D].济南：山东大学，2013.

[3]黄兴谷.计算机网络安全技术在中职学校中的应用[J].电子技术与软件工程，2014（23）.

[4]陈金明，曾炜.基于802.1x的信息网络接入控制安全认证系统设计[J].微型电脑应用，2016（02）.

作者单位

山西省吕梁市卫生学校 山西省吕梁市 033000