1、常用准入认证技术原理分析1 前言在数据网络中,小型网络如企业网、家用网等,追求的是网络简单、开放,所有人可以自由接入和使用;而在中型及大型网络如城域网、政府网和电信数据网络中,用户关心的是网络的可运营和可管理,要管理每个用户的接入、业务使用、流量等等。在可运营、可管理网络中,引入了针对用户管理的 AAA 技术,包括认证、授权和计费三个技术: 认证(Authentication):在用户开始使用网络时对其身份进行的确认动作 授权(Authorization):授权某用户以特定的方式与某网络系统通信 计费(Accounting):记录并提供关于经济活动的确切清单或数据认证是识别用户身份的过程,而授
2、权是根据认证识别后的用户情况授予对应的网络使用权限(QoS、带宽限制、访问权限、用户策略),而计费也是根据认证后的用户身份采用对应的计费策略并记录、提供计费信息(时长、流量、位置等等),三个技术紧密联系但又相互独立的。认证技术是用户管理最基本的技术。由于本次文档重点是普教行业的准入认证分析,不对计费系统进行赘述。2 为什么使用认证2.1 用户的困惑在普教城域网中,服务提供商(教育局)关心的是网络可运营和可管理,要管理每个用户的接入、业务使用、流量等等。而数据网络中大量使用的是以太网交换机、路由器等设备,遵循的是典型的数据网络理念,追求的是网络简单、开放,自由接入和使用。怎么才能够在数据网络中针
3、对用户进行运营、管理呢?最基本的技术就是通过认证识别用户身份。2.2 成熟的认证技术目前市面上最为普遍主流认证技术有三种:PPPoE 认证、WEB 认证和802.1X 认证,这三种认证从标准状态、商用情况看,技术上都已经成熟。3 认证方式简介当前最为普遍主流认证技术有三种:PPPoE 认证、WEB 认证和 802.1X 认证。严格意义上讲,这三种认证技术并不是真正的认证方式,每种认证技术都支持两种以上的认证方式,具体认证技术和认证方式关系如下表所示:认证技术 认证方式PPPoE 认证 PAP、CHAP、EAPWEB 认证 PAP、CHAP802.1X 认证 EAP PAP 认证:密码认证协议,
4、客户端直接发送包含用户名/ 口令的认证请求,服务器端处理并作回应。 CHAP 认证:挑战握手协议,先由服务器端给客户端发送一个随机码challenge,客户端根据 challenge,对自己掌握的口令、 challenge、会话 ID进行单向散例,即 md5(password1,challenge,ppp_id),然后把这个结果发送给服务器端。服务器端从数据库中取出库存口令 password2,进行同样的算法,即 md5(password2,challenge,ppp_id),最后,比较加密的结果是否相同;如相同,则认证通过。 EAP 认证:可扩展的认证协议,EAP 可以增加对许多身份验证方案
5、的支持,其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身份验证。最安全的认证方法就是和智能卡一起使用的“可扩展身份验证协议传输层安全协议”,即 EAP-TLS 认证。4 认证技术原理分析4.1 WEB 接入认证原理4.1.1 认证系统架构接入服务器对来自 STA 的 HTTP 请求重定向到 POTRAL 服务器中,利用PORTAL 页面对用户进行认证。认证系统架构图如下:基于 WEB 的认证系统架构基于 WEB 的认证系统功能实现协议栈如下:基于 WEB 的认证系统功能实体协议栈4.1.2 WEB 接入认证流程用户在 WEB 认证之前,必须先通过 DHCP、静态配置等获得 I
6、P 地址。用户认真界面提交了用户名和密码之后,接入服务器与 WEB 认证服务器协调工作,对用户进行认证,其步骤如下:VLAN 用户接入流程(WEB 认证)1-4:用户通过 DHCP 协议获取地址的过程(静态用户手工配置地址即可);5:用户访问 WEB 认证服务器的认证页面,并在其中输入用户名、密码,点击登陆按钮;6:WEB 认证服务器将用户的信息通过内部协议,通知接入服务器;7:接入服务器到相应的 AAA 服务器对该用户进行认证;8:AAA 服务器返回认证结果给接入服务器;9:入服务器将认证结果通知 WEB 认证服务器;10:WEB 认证服务器通过 HTTP 页面将认证结果通知用户;11:如果
7、认证成功用户即可正常访问互联网资源。4.1.3 三层用户的 WEB 认证用户没有与接入服务器二层相连,中间存在路由器等三层设备,这样用户到接入服务器的报文中只有用户的 IP 地址没有 MAC 地址信息,这种类型的用户称为三层认证用户。与二层认证用户不同的是三层认证用户的 MAC 地址接入服务器获取不到,因而不能进行 MAC、IP 的绑定检查安全性不高容易仿冒;ARP 请求不能穿透路由器因而不能对用户进行 ARP 探测确定是否在线。对此,接入服务器要求三层认证用户必须进行 WEB 认证,不能通过绑定认证等方式上线。另外,接入服务器支持当网络发生问题用户原先的线路不同,但有另一条线路可以访问接入服
8、务器的情况,此时接入服务器可以通过新的 IP 包找到到达用户的新路径更新相关的信息。IP 报文触发三层用户上线的流程如下图所示:1:用户的 IP 报文到达接入服务器,接入服务器为其分配资源建立预连接;2:用户的 HTTP 请求被强制到 WEB 认证服务器的认证页面,并在其中输入用户名、密码,点击登陆按钮;3:WEB 认证服务器将用户的信息通过内部协议,通知接入服务器;4:接入服务器到相应的 AAA 服务器对该用户进行认证;5:AAA 服务器返回认证结果给接入服务器;6:入服务器将认证结果通知 WEB 认证服务器;7:WEB 认证服务器通过 HTTP 页面将认证结果通知用户;8:如果认证成功用户
9、即可正常访问互联网资源。4.1.4 WEB 认证用户下线流程WEB 认证用户下线流程包括用户主动下线和异常下线 两种情况。用户主动下线流程如下图所示。1:当用户需要下线时,可以点击认证结果页面上的下线机制,向 Portal 服务器发起一个下线请求;2:Portal 服务器向接入服务器发起下线请求;3:接入服务器返回下线结果给 Portal 服务器;4:Portal 服务器根据下线结果,推送含有对应的信息的页面给用户;(不含计费系统的 WEB 认证下线流程只有上面 4 步,下面是计费结束的介绍)5:当接入服务器收到下线请求时,向 RADIUS 服务器发计费结束报文;6:RADIUS 服务器回应接
10、入服务器的计费结束报文。异常下线由包含以下两种情况:、接入服务器侦测到用户下线1:接入服务器检测到用户下线,向 WEB 服务器发出下线请求;2:WEB 服务器回应下线成功;3:当接入服务器收到下线请求时,向 AAA 服务器发计费结束报文;4:AAA 服务器回应接入服务器的计费结束报文。、WEB 认证服务器侦测到用户下线1:WEB 认证服务器检测到用户下线,向接入服务器发出下线请求;2:接入服务器回应下线成功;3:当接入服务器收到下线请求时,向 AAA 服务器发计费结束报文;4:AAA 服务器回应接入服务器的计费结束报文。4.2 802.1X 接入认证原理4.2.1 认证系统架构基于 802.1x 的认证系统架构见下图。在此种架构下,系统实现 IEEE 802.1x中定义的认证请求者、认证点和认证服务器的三元结构。认证请求者对应客户终端,认证点可以对应接入服务器,认证服务器对应 AAA 服务器。基于 802.1x 的认证系统架构基于 802.1x 的认证系统利用 EAP 协议的扩展能力可以选用不同的认证算法。基于 802.1x 的认证系统功能实体透传方式协议栈4.2.1 802.1X 接入认证流程基于 802.1x 的认证系统利用 EAP 协议的扩展能力可以选用不同的认证算法。以 EAP-MD5 为例:
