华南农业大学认证系统是基于IEEE 802.1X 协议，IEEE 802.1X认证被称为“在局域网和城域网中提供基于端口的网络接入控制”。相比于Web和PPPOE等其他的认证方式，IEEE802.1X协议对认证方式和认证体系结构进行了优化，旨在为局域网或城域网提供一种灵活的接入控制方法。IEEE 802.1X 协议的体系结构包括3 个重要的部分，分别是客户端(Supplicant)、认证系统(Authenticator)和认证服务器(AuthenticationServer)。

　　1. 客户端系统：

　　在用户终端系统上安装的一个客户端软件，用户通过启动这个客户端软件发起IEEE802.1X协议的认证过程，为了支持基于端口的接入控制，客户端系统需支持EAPOL协议，因为客户端和认证系统之间采用EAPOL协议进行通信。

　　2. 认证系统：

　　通常为支持IEEE802.1X协议的网络设备，该设备对应于不同用户的端口(可以是物理端口，也可以是用户设备的MAC地址、VLAN、IP等)，每一个端口都有两个逻辑端口：受控端口和不受控端口。不受控端口始终处于双向连通状态，主要用来传递EAPOL协议帧，可保证客户端始终可以发出或接受认证，受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。

　　3. 认证服务器：

　　通常为RADIUS服务器，该服务器存储有关用户的信息，比如用户所属的VLAN、用户的访问控制列表、用户名、密码等。当用户通过认证后，认证服务器会把用户的相关信息传递给认证系统，由认证系统构建动态的访问控制列表，用户的验证后上网流量、上线时间下线时间等参数都要受到认证服务器监控。认证系统和RADIUS服务器之间是通过EAP协议进行通信的。

　　校园网认证的步骤如下：

　　用户启动电脑时，打开认证客户端程序(Supplicant)，然后输入认证账号和密码，向所连接的交换机发出认证请求报文，开始认证过程。

　　交换机接收到认证客户端发出的认证请求数据帧后，将发送一个请求帧给客户端，要求客户端把用户名发过来。认证客户端响应交换机发出的请求，将用户名通过数据帧发送给交换机，交换机将该数据帧经过封包处理后发送给RADIUS认证服务器进行处理。

　　RADIUS认证服务器收到交换机转发过来的用户名信息数据包后，经过解包，将该信息与数据库中的用户名相比对，然后找到该用户名相对应的口令信息，用随机生成的一个加密字对口令进行加密处理，同时把这个加密字发送给交换机，由交换机传送给客户端。

　　客户端收到由交换机传过来的加密字后，用该加密字对用户所输入的密码进行加密处理，然后将加密过的口令信息再上传给交换机发给RADIUS认证服务器。

　　RADIUS认证服务器将收到的客户端加密后的口令信息和自己经过加密后的口令信息相比较，如果相同，说明用户名密码一致，该用户为合法用户，返回认证成功消息，并向交换机发出打开端口的指令，允许用户通过该端口访问网络。

　　第三方开发接口分析

　　一卡通系统的第三方接口分第三方服务端和客户端调用DLL两部分组成，服务端和客户端之间通过TCP/IP协议进行通讯。一卡通系统提供了第三方调用的标准DLL供客户端调用，开发人员可用标准的C++或者C#开发语言调用接口，一卡通系统提供的第三方接口，不仅支持最重要的一卡通扣费功能，还支持查询用户，获取用户详细资料，检查用户白名单，查询用户消费记录等其他功能。

　　认证系统的第三方接口分服务端和客户端两部分，服务端和客户端之间通过TCP/IP协议进行通讯。缴费系统调用的是第三方开发接口的客户端部分。认证系统提供了第三方调用的标准DLL供客户端调用，开发人员可用标准的C++或者C#开发语言调用接口，认证系统提供的第三方接口，不仅能实现向认证系统中的用户充值，还能支持开户、查询用户、修改用户、暂停用户、恢复用户、查询用户上网记录等其他功能。