校园网认证体系校园网使用802.1X构建校园网的应用方案毕业论文.doc

校园网认证体系 摘 要： 分析了802.1X协议的体系结构和认证实现的过程，对802.1X协议和高级认证协议的机理和相互关系进行了分析，探讨了利用802.1X技术构建校园网的安全机制，并提出了在校园网使用802.1X构建校园网的应用方案。关键词 ： 802.1X；认证过程；方案应用；交互机配置 Abstract Analyze the process about system structure and authentication of 802.1X protocol. Analyze 802.1x protocol and mechanism about advanced Authentication protocol and their correlation .Discuss safety mechanism of campus network using 802.1x technique, make out application print blue about building campus network using 802.1x protocol in the university Keywords 802.1x protocol authentication process ;print blue; switch configure 目 录1引言 42IEEE 802.1X协议的体系结构和论证过程42.1 IEEE802.1X协议的体系结构 4 2.2 8021X论证过程53802.1X论证技术在校园网的应用6 3.1 VLAN的划分配置 8 3.2网络安全配置.83.3方案特点 83.4交换机的配置.94 与传统身份论证方式比较104.1 PPPOE.114.2 Web+ Portal124.3 802.1X135 802.1x与智能卡14 6 Windows XP系统中如何部署802.1X15结 论19 致 谢20参 考 文 献21 基于802.1X协议的校园网论证体系1、引言 随着校园信息化的发展，高校的普遍扩招，校园的规模不断扩大，使得校园网的管理问题成为一个首先关注问题。 从校园网的功能看，一方面作为公益网络，属于公益设施，是学校网络信息化的载体，担负着学校管理、教学的重任；另一方面，随着校园网向学生宿舍、教职工家庭的延伸，校园网又是一个“电信网”，它是学校这个“小社会”的“电信设施”，因此它要计费，要运营。学生和教师又是上网频度最高，上网时间最长的群体。突然爆发的网络数据流，往使得网络设备不堪重负而瘫痪，传统网络设备已不能满足要求。 从校园网运营的特点来看，学生占据用户数量的比例较大，同时学生也是较难管理和自律较差的用户群体。黑客工具的使用越来越简单，学生的好奇心会让他一次次试用这些攻击手段。对学生来说只不过是没有目的的行为，但是由于盗用IP地址、盗用MAC地址、盗用账户、私设代理现象十分严重，对整个校园网络的管理带来了不可预估的影响和破坏。所以提出一套安全、可靠、高效的校园网认证系统是迫在眉睫。2、IEEE 802.1X协议的体系结构和论证过程2.1、IEEE802.1X协议的体系结构 8021X协议的体系结构包括三个重要的部分：客户端、论证者系统、论证服务器（图1）。RADIUS协议Authenticator systemAuthenticationServer Supplicant论证服务器论证者设备论证系统提供的服务申请者设备受控端口未受控端口EAPOL LAN 图1（1）客户端系统 一般为一个用户终端系统，该终端系统通常要安装一个客户端软件，用户通过启动这个客户端软件来发起802.1X协议的论证过程。为支持基于端口的接入控制，客户端系统必须支持EAPOL（Extensible Authentication Protocol Over LAN ）协议。（2）论证者系统 通常为支持802.1X协议的网络设备。该设备使用端口的概念来对用户进行接入论证（端口可以是物理端口，也可以是用户设备的MAC地址、VLAN、IP等），具有两个逻辑端口：受控（controlled port）端口和不受控端口（uncontrolled Port ）,不受控端口始终处于双向连通状态，主要用来传递EAPOL协议帧，可保证客户端始终可以发出或接受论证。受控端口只有在论证通过的状态下才打开，用于传递网络资源和服务。受控端口要配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。如果用户未通过论证，则受控端口处于未论证状态，用户无法访问论证系统提供的服务。（3）论证服务器 通常为RADUS服务器，该服务器可以存储有关用户的信息，比如所属的VLAN、CAR参数、优先级、用户的访问控制表等等。当用户通过论证后，论证服务器会把用户的相关信息传递给论证系统，由论证系统构建动态的访问控制列表，用户的后续流量就接受上述参数的监管。论证服务器和RADUS服务器之间通过EAP协议进行通信。2.2、8021X论证过程 （1）用户打开802.1X客户端程序，输入用户名和口令，发起连接请求，此时，客户端程序将发出请求论证的报文发送给论证系统（交换机），开始启动一次论证过程。（2）论证系统收到请求论证系统的数据帧后，将发出一个请求报文给用户的客户端程序，要求客户端程序发送用户输入的用户名。（3）客户端程序响应论证系统发出的请求，将用户名信息通过数据帧送给论证系统。论证系统将客户端送上来的数据帧转发给论证服务器进行处理。（4）论证服务器收到论证系统转发上来的用户名信息后，用随机生成的一个加密字对它进行加密处理，同时也将此加密字封装成数据帧传送给论证系统，由论证系统将数据帧传送客户端程序。（5）客户端程序收到论证系统传来的加密字后，用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的），并通过论证系统传给论证服务器。（6）论证服务器收到论证系统发送的加密后的口令信息后，将其和自己经过加密运算后的口令信息进行比较，如果匹配，则认为该用户为合法用户，反馈论证成功信息，并向论证系统发出打开端口的指令，允许用户的业务流通过端口访问网络。否则，反馈论证失败的消息，并保持交换机端口的关闭状态，只允许论证信息数据通过而不允许业务数据通过。交换机Radius服务器器接入者阻止访问EAPOLEAPOL-StartRadius-Access-RequestEAP-Request / IdentityEAP-Response / IdentityRadius-Access-ChallengeEAP-Request Radius-Access-RequestEAP-Response(credentials)EAP-SuccessERadius-Access-Accept 图24、与传统身份论证方式比较认证技术是AAA（认证，授权，计费）的初始步骤，AAA一般包括用户终端、AAAClient、AAA Server和计费软件四个环节。用户终端与AAA Client之间的通信方式通常称为认证方式。目前的主要技术有以下三种：PPPoE、WebPortal、IEEE802.1x。三种方式有其产生的背景原因和技术特点，以下对这三种主要认证技术作一个简要的分析：41、PPPOE1998年后期问世的以太网上点对点协议（PPP over Ethernet）技术是由Redback 网络公司、客户端软件开发商RouterWare公司以及Worldcom子公司UUNET Technologies公司在IETF RFC制的基础上联合开发的。主要目的是把最经济的局域网技术、以太网和点对点协议的可扩展性及管理控制功能结合在一起。它使服务提供商在通过数字用户线、电缆调制解调器或无线连接等方式，提供支持多用户的宽带接入服务时更加简便易行。通过PPPoE（Point-to-Point Protocol over Ethernet）协议，服务提供商可以在以太网上实现PPP协议的主要功能，包括采用各种灵活的方式管理用户。PPPoE（Point-to-Point Protocol over Ethernet）协议允许通过一个连接客户的简单以太网桥启动一个PPP对话。PPPoE的建立需要两个阶段，分别是搜寻阶段（Discovery stage）和点对点对话阶段（PPP Session stage）。当一台主机希望启动一个PPPoE对话，它首先必须完成搜寻阶段以确定对端的以太网MAC地址，并建立一个PPPoE的对话号（SESSION_ID）。在PPP协议定义了一个端对端的关系时，搜寻阶段是一个客户-服务器的关系。在搜寻阶段的进程中，主机（客户端）搜寻并发现一个网络设备（服务器端）。在网络拓扑中，主机能与之通信的可能有不只一个网络设备。在搜寻阶段，主机可以发现所有的网络设备但只能选择一个。当搜索阶段顺利完成，主机和网络设备将拥有能够建立PPPoE的所有信息。 搜索阶段将在点对点对话建立之前一直存在。一旦点对点对话建立，主机和网络设备都必须为点对点对话阶段虚拟接口提供资源。优点：*是传统PSTN窄带拨号接入技术在以太网接入技术的延伸*和原有窄带网络用户接入认证体系一致*最终用户相对比较容易接收缺点：*PPP协议和Ethernet技术本质上存在差异，PPP协议需要被再次封装到以太帧中，所以封装效率很低*PPPoE在发现阶段会产生大量的广播流量，对网络性能产生很大的影响*组播业务开展困难，而视频业务大部分是基于组播的*需要运营商提供客户终端软件，维护工作量过大*PPPoE认证一般需要外置BAS，认证完成后，业务数据流也必须经过BAS设备，容易造成单点瓶颈和故障，而且该设备通常非常昂贵。42Web+ PortalPortal认证的基本过程是：客户机首先通过DHCP协议获取到IP地址（也可以使用静态IP地址），但是客户使用获取到的IP地址并不能登上Internet，在认证通过前只能访问特定的IP地址，这个地址通常是PORTAL服务器的IP地址。采用Portal认证的接入设备必须具备这个能力。一般通过修改接入设备的访问控制表（ACL）可以做到。用户登录到Portal Server后，可以浏览上面的内容，比如广告、新闻等免费信息，同时用户还可以在网页上输入用户名和密码，它们会被WEB客户端应用程序传给 Portal Server，再由Portal Server与NAS之间交互来实现用户的认证。Portal Server在获得用户的用户名和密码外，还会得到用户的IP地址，以它为索引来标识用户。然后Portal Server 与NAS之间用Portal协议直接通信，而NAS又与RADIUS 服务器直接通信完成用户的认证和上线过程。因为安全问题，通常支持安全性较强的CHAP式认证优点：*不需要特殊的客户端软件，降低网络维护工作量*l可以提供Portal等业务认证缺点：*WEB承载在7层协议上，对于设备的要求较高，建网成本高；*用户连接性差，不容易检测用户离线，基于时间的计费较难实现；*易用性不够好，用户在访问网络前，不管是 TELNET、FTP还是其它业务，必须使用浏览器进行WEB认证；* IP地址的分配在用户认证前，如果用户不是上网用户，则会造成地址的浪费，而且不便于多ISP的支持。*认证前后业务流和数据流无法区分43802.1x优点：*802.1x协议为二层协议，不需要到达三层，而且接入层交换机无需支持802.1q的VLAN，对设备的整体性能要求不高，可以有效降低建网成本。*通过组播实现，解决其他认证协议广播问题，对组播业务的支持性好。业务报文直接承载在正常的二层报文上；用户通过认证后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求缺点：*需要特定客户端软件*网络现有楼道交换机的问题：由于802.1x是比较新的二层协议，要求楼道交换机支持认证报文透传或完成认证过程，因此在全面采用该协议的过程中，存在对已经在网上的用户交换机的升级处理问题；*IP地址分配和网络安全问题：802.1x协议是一个2层协议，只负责完成对用户端口的认证控制，对于完成端口认证后，用户进入三层IP网络后，需要继续解决用户IP地址分配、三层网络安全等问题，因此，单靠以太网交换机802.1x，无法全面解决城域网以太接入的可运营、可管理以及接入安全性等方面的问题；*计费问题：802.1x协议可以根据用户完成认证和离线间的时间进行时长计费，不能对流量进行统计，因此无法开展基于流量的计费或满足用户永远在线的要求。三种认证技术比较认证方式 WEB/PORTAL PPPOE 802.1x标准程度 厂家私有 RFC2516 IEEE标准封装开销 小 较大 小接入控制方式 设备端口 用户 用户IP地址 认证前分配 认证后分配 认证后分配多播支持 好 差 好VLAN数目要求 多 无 无支持多ISP 较差 好 好客户端软件 不需要 需要 需要设备支持 厂家私有 业界设备 业界设备用户连接性 差 好 好对设备的要求 高（全程VLAN） 较高（BAS） 低综上所述，由于802.1 x认证的突出优点就是实现简单、认证效率高、安全可靠。无需多业务网管设备，就能保证IP网络的无逢相连。同时消除了网络认证计费瓶颈的单点故障。在二层网络上实现用户认证，大大降低了整个网络的建网成本，目前基于802.1x的认证技术在校园网络应用非常3、802.1X论证技术在校园网的应用 电信宽带 Radius服务器DHCP服务器Fire-Wall RG-S6806 RG-S3550RG-S3550- RG-S2126RG-S2126RG-S2126 用户具 图3 图3是采用锐捷网络公司的RG-S6806、RG-S3550、RG-S2126等设备的组网方案，锐捷网络设备提供基于以太网端口用户论证的校园网接入解决方案，其中RG-S6806、RG-S3550、RG-S2126都支持802.1x协议的锐捷交换机设备，现时也都支持802.1q协议。RG-S6806具有8个插槽，可接8个模块。在此解决方案中，采用了基于MAC地址的端口访问控制模式，所有的论证都是在接入层采用分布式论证。在接入交换机RG-S2126上就做论证，网络安全效果最佳，既提高了论证效率，同时也减轻了上层交换机的负担，这将降低建网成本、降低论证服务器的性能要求。3.1、VLAN的划分配置 了提高网络的安全性，利用802.1x的基于二层的论证方式，本方案采用动态IP地址分配，只有用户论证通过后，才能够分配到IP地址网络地址；同时也为了提高网络性能和管理的方便，把整个论证网络分成多个VLAN： （1）论证子网，包括论证服务器和DHCP服务器，使用内部IP，如/24;(2)一个互联子网，用于与核心交换机互联，使用校园网内的互联IP；（3）一个网络设备管理VLAN，即所有用于论证服务的交换机所组成的子网，这是一个带TAG的VLAN，使用一个内部IP，如/24(4)、用户子网为一个C类IP地址就建立一个VLAN，使用一个电信网所分配的公网IP。3.2、网络安全配置（1）所有的论证交换机的远程管理都配置成只有网管主机才可以进行远程登录管理，使学生不能攻击论证交换机；（2）论证子网，只提供论证、计费和分配IP地址服务，而论证和记账分别使用1812和1813端口，DHCP使用UDP67、68端口，可以在RG-S6806交换机上建立相应ACL，实现对论证计费服务器和DHCP服务器的保护；（3）通过在RG-S6806交换机上建立相应的ACL，禁用病毒常用的端口上的TCP应用，防止病毒在内网上的传播。3.3、方案特点 （1）解决了用户帐号和密码被盗的问题。由于采用用户帐号与MAC地址、端口、VLAN ID进行绑定，所以一个帐号只能在指定位置的计算机上使用，即使知道别人的帐号和密码也不能在别的计算机上使用。（2）解决了DHCP受攻击的问题，本方案是先进行论证，后进行IP地址分配，并且利用RG-S6806交换机上的ACL对DHCP服务器进行了访问保护，只开放DHCP服务器的DHCP服务，同时屏蔽其他服务有效解决了恶意攻击。（3）具有良好的可扩展性，管理方便。由于建立了一个管理VLAN，所有论证交换机不需对配置作任何修改就可在不同的地方进行互换，方便网络管理人员进行设备维护，同时非常方便增加论证用户群，也方便用户群在各VLAN之间的调整。（4）RG-S6806交换机可以作为校园网的核心设备提供业务流分类、端口反查和自动准确关闭端口等能功，阻止病毒在内网的泛滥。同时根据根据锐捷计费系统，可定位可能藏在内网的病毒散播者。如通过在RG-S6806上强行禁用端口135和4444的TCP应用，可防止Internet上的冲击波病毒对内网的攻击。3.4、交换机的配置论证交换机上的主要配置（RG-2126为例）Radius server host 0Aaa authentication dotlxAaa accounting server 0Aaa accountingInterface fastEthernet 0/1Dotlx port-control auto.Interface gigabitEthernet 1/1Swichport mode trunkInterface vlan 100No shutdownIp address 00 Dotlx client-probe enableDotlx probe-timer interval 10Dotlx probe-timer alive 30No dotlx re-authenticationRadius-server key jyuIp default-gateway Snmp-server community public roRG-S6806交换机上的主要配置：Service dhcpIp helper-address Ip access-list extended deny_msblastDeny tcp any any eq 135Deny tcp any any eq 136.Pemint udp any host eq bootpsPemint udp any host eq bootpcDeny ip any host Pemit udp any host eq 1813 Pemit udp any host eq 1812Deny ip any host Pemit ip any anyInterface GigabitEthernet 1/1Speed 1000Duplex fullSwitchport trunk native vlan 3Ip access-group deny_msblast in.Interface vlan 1Ip address 55.0Ip route vlan 41.1enabled. 5 、802.1x与智能卡智能卡通常用在安全性要求比较高的场合，并与认证协议的应用相结合。这首先是由于智能卡能够保护并安全的处理敏感数据；而智能卡能保护密钥也是相当重要的，一切秘密寓于密钥之中，为了能达到密码所提供的安全服务，密钥绝对不能被泄密，但为安全原因所增加的成本却不能太多。智能卡自身硬件的资源极为有限。用其实现安全系统面临着存储器容量和计算能力方面受到的限制。目前市场上的大多数智能卡有128到1024字节的RAM，1k到16k字节的EEPROM，6k到16k字节的ROM，CPU通常为8比特的，典型的时钟频率为3.57MHz。任何存储或者是处理能力的增强都意味着智能卡成本的大幅度提高。另外智能卡的数据传送是相对慢的，为提高应用的效率，基本的数据单元必须要小，这样可以减少智能卡与卡终端之间的数据流量，其传送时间的减少则意味着实用性的增强。将802.1x与智能卡的应用相结合的优点是：认证更加安全；生成和管理密钥方便；节省内存空间；节省带宽，提高实用性；节省处理时间，而不需要增加硬件的处理等方面。802.1x安全认证协议所带来的各优点恰好弥补了智能卡硬件的各种局限，不仅能有效地降低智能卡的生产成本，也能提高智能卡的实用性。6、Windows XP系统中如何部署802.1X802.11 WLAN 协议并不是非常安全，而且您也做不了什么。但幸运的是，IEEE（以及Microsoft、Cisco和其他行业领先的公司）发现了802.11的缺陷；其结果是，IEEE 802.1x标准为无线局域网（WLAN）和普通局域网提供了一套坚固得多的身份验证和安全性机制。您可以使用Windows 2000或Windows Server 2003域控制器和Windows XP客户端的组合，来部署802.1x。2.1x是如何工作的802.1x实施基于端口的访问控制。在WLAN中，端口就是访问点（AP）和工作站之间的连接。在802.1x中拥有两种类型的端口：非控制的和控制的。您现在正在使用的可能就是非控制端口：它允许设备连接到端口，与其他任何网络设备进行通讯。相反，控制端口限制了连接设备所能够通讯的网络地址。您可能已经能够了解到接下来是什么情况了：802.1x允许所有的客户端连接到控制端口，但是这些端口仅将流量发送给身份验证服务器。在客户端通过身份验证以后，才被允许开始使用非控制端口。802.1x的奥秘在于非控制和控制端口是并存于同一个物理网络端口上的逻辑设备。针对身份验证，802.1x进一步为网络设备定义了两种角色：申请者（supplicant) 和认证者（authenticator）。申请者是一个请求访问网络资源的设备（例如配备了802.11b网卡的膝上型计算机）。认证者是对申请者进行身份验证的设备，由它来决定是否授予申请者访问权限。无线 AP 可以作为认证者；但是使用行业标准的远程身份验证拨入用户服务(RADIUS) 协议更灵活一些。这个协议包含在 Windows 2000 中；通过 RADIUS，AP 接收身份验证请求，并将请求转发给 RADIUS 服务器，由这台服务器来根据 Active Directory 对用户进行身份验证。802.1x 在身份验证时并不使用有线等效隐私（Wired Equivalent Privacy，WEP）；作为替代，它使用行业标准的可扩展身份验证协议（Extensible Authentication Protocol，EAP）或更新的版本。在任何一种情况下，EAP/PEAP 都拥有其独特的优势：它们允许选择身份验证方法。在默认情况下，802.1x 使用EAP-TLS (EAP-传输层安全性)，此时所有EAP保护的流量都由TLS协议（非常类似于SSL）进行加密。整个身份验证的过程是这样的：（1）.无线工作站尝试通过非控制端口连接到AP。（由于此时该工作站还没有通过身份验证，因此它无法使用控制端口）。该AP向工作站发送一个纯文本质询。（2）.作为响应，工作站提供自己的身份证明。（3）.AP 将来自工作站的身份信息通过有线 LAN 转发给使用 RADIUS 的认证者。（4）.RADIUS服务器查询指定帐户，确定需要何种凭证（例如，您可能将您的RADIUS服务器配置为仅接受数字证书）。该信息转换成凭证请求，返回到工作站。（5）.工作站通过AP上的非控制端口发送它的凭证。（6）.RADIUS 服务器对凭证进行验证；如果通过验证，则将身份验证密钥发送给AP。这个密钥是加密的，因此只有AP能够对其进行解密。（7）.AP 对密钥进行解密，并用它来为工作站创建一个新的密钥。这个新的密钥将被发送给工作站，它被用来加密工作站的主全局身份验证密钥。定期的，AP 会生成新的主全局身份验证密钥，并将其发送给客户端。这很好地解决了802.11中长寿命固定密钥的问题，攻击者能够很容易地通过暴力破解来攻击固定密钥。在客户端配置802.1x在Windows XP中配置802.1x客户端非常简单；在这里我将简单扼要地介绍一些基本步骤。a.打开网络连接文件夹，然后在您希望使用802.1x的连接上点击右键，选择属性命令。b.切换到无线网络选项卡，然后选择您希望使用802.1x的WLAN连接。点击配置按钮。b.在无线网络属性对话框中，切换到身份验证选项卡。d.确信已经选中了为这个网络启用IEEE 802.1x身份验证复选框，然后选择合适的EAP类型。通常，企业网络将使用具有智能卡或本地存储证书的EAP-TLS，小型网络则可以使用PEAP（只有您已经安装了Windows XP Service Pack 1以后才可以选择。）为小型网络部署802.1x如果您拥有一个小型网络，那么您可能认为802.1x是如此的深奥难懂。好消息是，即使您没有一个完整的公共密钥基础构架，也不需要很多工作，您就可以部署802.1x。这篇文章介绍了您所需要完成的步骤。简单的说，您需要设置您的 Windows XP SP 1或更新版本的客户端来使用 PEAP，然后设置至少一台计算机运行Windows Internet身份验证服务 (IAS)，该服务将提供 RADIUS 连接性。每个IAS服务都必须拥有一个由您签署或从第三方证书颁发机构（CA）购买的数字证书。您所需要做的就这么多了当然，您还需要首先安装IAS，但这个过程很简单。为大型企业部署 802.1x 如果您使用至少拥有一个域控制器的Windows 2000网络，那么您可以设置一个更灵活有力的802.1x基础构架，充分利用Active Directory和Windows 2000对远程访问策略的支持。首先是为您的客户端获得数字证书。幸运的是，您可以很方便地通过创建组策略来获得这些证书，组策略能够自动地为域中的计算机请求机器证书。在完成这个步骤后，您可以部署所需基础结构（包括IAS）的剩余部分，将您的无线AP配置为使用 RADIUS 来与 IAS 服务器进行通讯。然后就可以安心休息了，您的 WLAN 流量已经被安全地保护起来。 总 结IEEE802.1X这项新标准定义了为LAN实施访问控制的机制，允许授权用户进来，而把非授权用户拒之门外。因此，有了802.1X，校园网便不再是一道敞开的门，解决了现阶段所面临的用户身份认证和应用终端的安全性问题，增强了网络安全性。802.1X本身也成为安全架构的一个重要部分，有助于消除来自校园网内部的安全威胁。再考虑到802.1X认证技术的成本较低，运营管理功能较强，不影响正常网络功能等特点，我们采用该技术解决了学校老师和学生接入认证问题。整个学校网络系统多达几万个数据点，接入层采用锐捷网络公司的RG-S2126交换机，基本解决了地址盗用、限制双网卡上网及计时计费等问题，802.1X认证技术作为后起之秀，其标准将会不断完善，成为了校园网首选的认证管理方式。致 谢时间过得真快，四年的本科生活即将结束。在这篇毕业论文完稿之际，首先我要感谢尊敬的导师赵海琳老师的指导！论文从选题到完成的整个过程中，得到了赵老师的热情帮助和精心指导。赵老师扎实的专业功底和严谨的治学态度，使我获益良多，并对我的学习产生极大地促进作用。本论文的顺利完稿更得益于他对论文内容以及结构悉心指导。在论文完成之际，我还要感谢所有任课老师和教辅人员对我在四年学习和生活中的关心和教诲，特向他们的精心授业和辛勤工作，表示深深的敬意和感谢！我将铭记学校老师的谆谆教诲，严谨治学，虚心做人，以期今后用优秀的学习成绩和工作业绩回报师恩。在论文即将完成之际，我的心情无法平静，从开始进入课题到论文的顺利完成，有多少可敬的师长、同学、朋友给了我无言的帮助，在这里请接受我诚挚的谢意！特别感谢我的室友，我们相处的四年中，有过太多难忘的回忆。你们的真诚、热心和包容是我大学生活中一笔巨大的财富。 在此，对你们在生活、学习上给予我的支持和帮助表示衷心的感谢。本文在写作过程中参考了大量的文献资料，主要文献资料已开列出来，本文的有些句子或段落引自这些参考文献。在此向所有的作者表示深深的感谢！ 参考文献： 1基于802。1X论证的校园网的优化 吴华光2基于802。1X论证的校园安全机制的研究 吴华光 邓晋宜3802。1X论证技术在校园以太网中的扩展应用 陈沁群 陈素 周丹云4基于802。1X的论证技术在校园网中的应用 戴书文5校园网网络计费系统的设计与实现 方伟杰 郑强 袁书宏6中南大学认证中心的设计与实现 黄家林 李福芳 黄烟波7校园网认证系统的设计和实现 张露 陈炜 罗霄岚 罗霄峰 罗万伯8校园网计费系统的研究与实现 邹宗惠 肖书成 蔡华9基于加密技术的校园认证体系的研究与实现 张治元 肖如良10基于IEEE802.1X技术的校园网认证计费的实现 黄慧武 赵咏 陈世坤11 WLAN中802.1X协议的安全和应用研究 以下内容与本文档无关！以下内容与本文档无关！。以下为赠送文档，祝你事业有成，财源广进，身体健康，家庭和睦！高效能人士的50个习惯l 在行动前设定目标有目标未必能够成功，但没有目标的肯定不能成功。著名的效率提升大师博思.崔西説：“成功就是目标的达成，其他都是这句话的注释。”现实中那些顶尖的成功人士不是成功了才设定目标，而是设定了目标才成功。一次做好一件事著名的效率提升大师博思.崔西有一个著名的论断：“一次做好一件事的人比同时涉猎多个领域的人要好得多。”富兰克林将自己一生的成就归功于对“在一定时期内不遗余力地做一件事”这一信条的实践。培养重点思维从重点问题突破，是高效能人士思考的一项重要习惯。如果一个人没有重点地思考，就等于无主要目标，做事的效率必然会十分低下。相反，如果他抓住了主要矛盾，解决问题就变得容易多了。发现问题关键在许多领导者看来，高效能人士应当具备的最重要的能力就是发现问题关键能力，因为这是通向问题解决的必经之路。正如微软总裁兼首席软件设计师比尔。盖茨所説：“通向最高管理层的最迅捷的途径，是主动承担别人都不愿意接手的工作，并在其中展示你出众的创造力和解决问题的能力。”把问题想透彻把问题想透彻，是一种很好的思维品质。只要把问题想透彻了，才能找到问题到底是什么，才能找到解决问题最有效的手段。不找借口美国成功学家格兰特纳说过这样的话：“如果你有为自己系鞋带的能力，你就有上天摘星星的机会！”一个人对待生活和工作是否负责是决定他能否成功的关键。一名高效能人士不会到处为自己找借口，开脱责任；相反，无伦出现什么情况，他都会自觉主动地将自己的任务执行到底。要事第一创设遍及全美的事务公司的亨瑞。杜哈提说，不论他出多小钱的薪水，都不可能找到一个具有两种能力的人。这两种能力是：第一，能思想；第二，能按事情的重要程度来做事。因此，在工作中，如果我们不能选择正确的事情去做，那么唯一正确的事情就是停止手头上的事情，直到发现正确的事情为止。运用20/80法则二八法则向人们揭示了这样一个真理，即投入与产出、努力与收获、原因和结果之间，普遍存在着不平衡关系。小部分的努力，可以获得大的收获；起关键作用的小部分，通常就能主宰整个组织的产出、盈亏和成败。合理利用零碎时间所谓零碎时间，是指不构成连续的时间或一个事务与另一事务衔接时的空余时间。这样的时间往往被人们毫不在乎地忽略过去，零碎时间虽短，但倘若一日、一月、一年地不断积累起来，其总和将是相当可观的。凡事在事业上有所成就的人，几乎都是能有效地利用零碎时间的人。习惯10、废除拖延对于一名高效能人士来説，拖延是最具破坏性的，它是一种最危险的恶习，它使人丧失进取心。一旦开始遇事推托，就很容易再次拖延，直到变成一种根深崹蒂固的习惯。习惯11、向竞争对手学习一位知名的企业家曾经说过，“对手是一面镜子，可以照见自己的缺陷。如果没有了对手，缺陷也不会自动消失。对手，可以让你时刻提醒自己：没有最好的，只有更好。”习惯12、善于借助他人力量年轻人要成就一番事业，养成良好的合作习惯是不可少的，尤其是在现代职场中，靠个人单打独斗的时代已经过去了，只有同别人展开良好的合作，才会使你的事业更加顺风顺水。如果你要成为一名高效能的职场人士，就应当养成善于借助他人力量的好习惯。习惯13、换位思考在人际的相处和沟通里，“换位思考”扮演着相当重要的角色。用“换位思考”指导人的交往，就是让我们能够站在他人的立场上，设身处地理解他人的情绪，感同身受地明白及体会身边人的处境及感受，并且尽可能地回应其需要。树立团队精神一个真正的高效能人士，是不会依仗自己业务能力比别人更优秀而傲慢地拒绝合作，或者合作时不积极，倾向于一个人孤军奋战。他明白在一个企业中，只有团队成功，个人才能成功。善于休息休息可以使一个人的大脑恢复活力,提高一个人的工作效能。身处激烈的竞争之中,每一个人如上紧发条的钟表.因此,一名高效能人士应当注意工作中的调节与休息,这不但于自己健康有益,对事业也是大有好处的。及时改正错误一名高效能人士要善于从批评中找到进步的动力.批评通常分为两类,有价值的评价或是无理的责难.不管怎样,坦然面对批评,并且从中找寻有价值、可参考的成分,进而学习、改进、你将获得意想不到的成功。责任重于一切著名管理大师德鲁克认为,责任是一名高效能工作者的工作宣言.在这份工作宣言里,你首先表明的是你的工作态度:你要以高度的责任感对待你的工作,不懈怠你的工作、对于工作中出现的问题能敢于承担.这是保证你的任务能够有效完成的基本条件。不断学习一个人,如果每天都能提高1%,就没有什么能阻挡他抵达成功.成功与失败的距离其实并不遥远,很多时候,它们之间的区别就在于你是否每天都在提高你自己;如果你不坚持每天进步1%的话,你就不可能成为一名高效能人士.让工作变得简单简单一些,不是要你把事情推给别人或是逃避责任,而是当你焦点集中很清楚自己该做那些事情时,自然就能花更小的力气,得到更好的结果.重在执行执行力是决定一个企业成败的关键,同时也是衡量一个人做事是否高效的重要标准.只做适合自己的事找到合适自己的事,并积极地发挥专长,成为行业的能手,是高效能人士应当努力追求的一个目标.把握关键细节精细化管理时代已经到来,一个人要成为一名高效能人士,必须养成重视细节的习惯.做好小事情既是一种认真的工作态度,也是一种科学的工作精神.一个连小事都做不好的人,绝不可能成为一名高效能人士.不为小事困扰我们通常都能够面对生活中出现的危机,但却常常被一些小事搞得垂头丧气,整天心情不快,精神忧闷紧张。一名高效能人士应当及时摆脱小事困扰,积极地面对工作和生活。专注目标美国明尼苏达矿业制造公司(3M)的口号是:写出两个以上的目标就等于没有目标.这句话不仅适用于公司经营,对个人工作也有指导作用。有效沟通人与人之间的交往需要沟通,在公司,无论是员工于员工员工于上司员工与客户之间都需要沟通.良好的沟通能力是工作中不可缺小的,一个高效能人士绝不会是一个性格孤僻的人,相反他应当是一个能设身处地为别人着想充分理解对方能够与他人进行桌有成效的沟通的人。及时化解人际关系矛盾与人际交往是一种艺术,如果你曾为办公室人际关系的难题而苦恼,无法忍受主管的反复无常,看不惯主管的假公济私,那么你要尝试学习如何与不同的人相处,提高自己化解人际矛盾的能力。积极倾听西方有句谚语说：“上帝给我们两只耳朵，却只给了一张嘴巴。”其用意也是要我们小説多听。善于倾听，是一个高效能人士的一项最基本的素质。保持身体健康充沛的体力和精力是成就伟大事业的先决条件。保持身体健康，远离亚健康是每一名高效能人士必须遵守的铁律。杜绝坏的生活习惯习惯有好有坏。好的习惯是你的朋友，他会帮助你成功。一位哲人曾经説过：“好习惯是一个人在社交场合中所能穿着最佳服饰。”而坏习惯则是你的敌人，他只会让你难堪、丢丑、添麻烦、损坏健康或事业失败。释放自己的忧虑孤独和忧虑是现代人的通病。在纷繁复杂的现代社会，只有保持内心平静的人，才能保证身体健康和高效能的工作。合理应对压力身体是革命的本钱，状态是成功的基础。健康，尤其是心理健康，已成为职场人士和企业持续发展的必备保障。学会正确地应对压力就成了高效能人士必备的一项习惯。掌握工作与生活的平衡真正的高效能人士都不是工作狂，他们善于掌握工作与生活平衡。工作压力会给我们的工作带来种种不良的影响，形成工作狂或者完美主义等错误的工作习惯，这会大大地降低一个人的工作绩效。及时和同事及上下级交流工作正确处理自己与上下级各类同事的关系，及时和同事、上下级交流工作，是高效能人士的一项重要习惯。做到上下逢源，正确处理“对上沟通”，与同事保持良好的互动交流是我们提高工作效能的一个关键。注重准备工作一个善于做准备的人，是距离成功最近的人。一个缺乏准备的员工一定是一个差错不断的人，纵然有超强的能力，千载难逢的机会，也不能保证获得成功。守时如果你想成为一名真正的高效能人士，就必须认清时间的价值，认真计划，准时做每一件事。这是每一个人只要肯做就能做到的，也是一个人走向成功的必由之路。高效地搜集并消化信息当今世界是一个以大量资讯作为基础来开展工作的社会。在商业竞争中，对市场信息尤其是市场关键信息把握的及时性与准确性，对竞争的成败有着特殊的意义。一个高效能人士应当对事物保持敏感，这样才能在工作中赢得主动。重完善自己的人际关系网人际能力在一个人的成功中扮演着重要的角色。成功学专家拿破仑.希尔曾对一些成功人士做过专门的调查。结果发现，大家认同的杰出人物，其核心能力并不是他的专业优势，相反，出色的人际策略却是他们成功的关键历练说话技巧有人说：“眼睛可以容纳一个美丽的世界，而嘴巴则能描绘一个精彩的世界。”法国大作家雨果也说：“语言就是力量。”的确，精妙、高超的语言艺术魅力非凡，世界上欧美等发达国家把“舌头、金钱、电脑”并列为三大法宝，口才披公认为现代职场人士必备素质之一。一名高效能人士的好口才加上礼仪礼节，往往可以为自己的工作锦上添花，如果我们能够巧妙运用语言艺术，对协调人际关系、提高工作效能都将大有裨益。善于集思广益、博采众议一件事物往往存在着多个方面，要想全面、客观地了解一个事物，必须兼听各方面的意见，只有集思广益，博采众长，才能了解一件事情的本来面目，才能采取最佳的处理方法。因此，一名高效能人士要时常以“兼听则明，偏听则暗”的谏言提醒自己，多方地听取他人的意见，以确保自己能够做出正确的决定。善于授权善于授权，举重若轻才是管理者正确的工作方式：举轻若重，事必躬亲只会让自己越陷越深，把自己的时间和精力浪费于许多毫无价值的决定上面。制订却实可行的计划许多成功人士的成功经验告诉我们，认真的做一份计划不但不会约束我们，还可以让我们的工作做得更好。当然，同许多其他重要的事情一样，执行计划并不是一件简单容易的事。如果你约束自我，实现了自己制定的计划，你就一定会成为一个卓有成效的高效能人士。经常和成功人士在一起心理学研究表明，环境可以让一个人产生特定的思