在高速接入CERNET和CNGI-CERNET2的基础上,各高校校园网升级到下一代互联网,建立安全、可控、可管和可运营的下一代校园网试商用环境,实现校园网用户IPv6的普遍访问和校园网信息资源的IPv6普遍服务,使其成为学校新一代先进的教学和科研信息基础设施,继续支持下一代互联网的技术试验和应用示范,为我国下一代互联网向深度和广度发展做出贡献。在现有网络基础上升级到下一代互联网的过程中,用户接入网络的验证是必不可少的前提条件。
技术介绍
随着真实源地址技术在国内主流厂商的网络设备中的功能实现,对IPv6技术的推广起到至关重要的作用,同时对于以真实源地址作为基础的IPv6-Web认证实现的五元组绑定功能提供攻击溯源手段也可行之有效地打击网络攻击行为。
操作系统日新月异,在用户上网认证时,若采用客户端方式认证,则要求认证客户端有多种版本,常见的Windows版本、Linux版本等,再加上各种小版本,对开发者压力巨大。因此,为了更好的突出体现我们的技术特点和应用普及性,以真实源地址为基础,采用了基于Web的以太网接入身份认证技术,实现了在IPv6下的真实源地址认证。
体系结构
组成结构
基于Web的以太网接入身份认证系统包括5个逻辑组件:网络接入客户端(NAC)、网络接入设备(NAD)、接入门户网站、认证客户端、认证服务器。
在不同的网络环境下,网络接入设备的性能和配置不同、管理模式不同,5个逻辑组件在物理设备中的分配也不同。存在3种网络结构:
1. 网络接入设备与与认证门户网站是两台独立的设备,由门户网站集成认证客户端(即RADIUS客户端)功能,如图1所示。这种结构便于集中管理,网络接入设备因不需要实现RADIUS客户端而变得简单,但是认证门户网站的负载较高。