《锐捷认证过程及相关协议分析》由会员分享,可在线阅读,更多相关《锐捷认证过程及相关协议分析(14页珍藏版)》请在金锄头文库上搜索。
1、“计算机网络”作业报告题 目 关于锐捷认证客户端研究学 生 田 强年 级 2009 级班 级 020931 班学 号 02093083专 业 信息对抗技术学 院 电子工程学院西安电子科技大学2011 年 11 月目 录引言.11. 关于锐捷.12. 802.1x 认证协议.12.1. 802.1x 认证体系的结构.12.2. 802.1x 认证的方式.22.3. 802.1x 认证的过程.33. 认证过程中的协议分析.63.1. 802.1x 认证的协议运用.63.2. EAP 协议.63.3. EAPOL 封装.73.4. RADIUS 协议.73.5. EAPOR 封装.84. 锐捷认证的
2、安全性问题.94.1 安全缺陷.94.2 改进方案.10结论.10 参考文献.11- 1 - 1 -引言随着网络的不断普及,各种上网的认证手段也有很多,大学校园作为上网的集中群体,大多数学校都是采用的基于 802.1x 认证体系的“锐捷认证” 。为了搞清楚锐捷认证的过程及认证过程中涉及的协议,做了此次关于“锐捷认证客户端”的研究报告。报告主要从 802.1x 认证体系出发,分析了 802.1x 认证的流程,及相关协议,再讨论了锐捷客户端的安全性问题等。最后对这次的研究及锐捷认证机制做了相关总结。 第一章 关于锐捷锐捷网络是业界领先的网络设备及解决方案供应商,成立于 2000 年 1 月。十年来
3、,秉承“敏锐把握应用趋势,快捷满足客户需求”的核心经营理念,坚持“应用领先”的发展道路,锐捷网络实现了超常规、跨越式发展,成长为网络设备民族第一品牌,跻身中国网络市场三大供应商之列。锐捷网络是一家拥有包括交换、路由、软件、安全、无线、存储等全系列的网络产品线及解决方案的专业化网络厂商。其产品和解决方案被广泛应用于政府、教育、金融、医疗、企业、运营商等信息化建设领域。基 于 802.1x 协 议 的 锐 捷 安 全 认 证 是 现 在 大 多 数 高 校 采 取 的 上 网 认 证 及 计 费 体 系 。为 了 研 究 基 于 802.1x 的 锐 捷 认 证 , 做 了 此 次 “关 于 锐
4、捷 认 证 客 户 端 的 研 究 ”报 告 ,主 要 对 其 认 证 过 程 和 相 关 协 议 进 行 分 析 和 研 究 。第 二 章 802.1x 协 议 认 证802.1x 协议起源于 802.11 协议,后者是 IEEE 的无线局域网协议,制订 802.1x 协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE802LAN 协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备(如 LANS witch),就可以访问局域网中的设备或资源,这在早期企业网有线 LAN 应用环境下并不存在明显的安全隐患。随着移动办公及驻地网运营等应用的大规模发展,服务提供者需要对用户的接入
5、进行控制和配置。尤其是 WLAN 的应用和 LAN 接入在电信网上大规模开展,有必要对端口加以控制以实现用户级的接入控制,802.lx 就是 IEEE 为了解决基于端口的接入控制(Port-Based Network Access Control)而定义的一种标准。2.1 802.1x 认 证 的 体 系 结 构802.1x 首 先 是 是 一 个 认 证 协 议 , 是 一 种 对 用 户 进 行 认 证 的 方 法 和 策 略 。802.1x 是 基 于 端 口 的 认 证 策 略 , ( 这 里 的 端 口 可 以 是 一 个 实 实 在 在 的 物 理 端 口 也 可以 是 一 个 像
6、 VLAN 一 样 的 逻 辑 端 口 , 对 于 无 线 局 域 网 来 说 这 个 “端 口 ”就 是 一 条 信道 ) 802.1x 的 认 证 的 最 终 目 的 就 是 确 定 一 个 算 口 是 否 可 用 , 对 于 一 个 端 口 如 果 认 证 成功 那 么 就 “打 开 ”这 个 端 口 , 允 许 所 有 的 报 文 通 过 ; 如 果 认 证 不 成 功 就 是 这 个 端 口 保持 “关 闭 ”, 此 时 只 允 许 802.1x 的 认 证 报 文 EAPOL 通 过 。802.1x 认 证 体 系 的 结 构 如 下 图 所 示 , 它 包 括 三 个 部 分 ,
7、 即 请 求 者 系 统 , 认 证 系 统和 认 证 服 务 器 系 统 。- 2 -802.1x 认 证 体 系 结 构( 1) 请 求 者 系 统请 求者是位于局域网链路一端的实体,即是客户端,由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持 802.1x 认证的用户终端设备,用户通过启动客户端软件发起 802.lx 认证,客户端需要支持 EAPOL 协议,客户端必须运行 802.1x 的客户端软件,如:802.1x-Complain,Microsoft Windows XP,H3C802.1x(2)认证系统认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持 8
8、02.lx 协议的根据客户端的认证状态控制物理接入网络设备,它在客户端和认证服务器之间充当代理角色。它为请求者提供服务端口,该端口可以是物理端口也可以是逻辑端口,一般在用户接入设备(如 LAN Switch 和 AP)上实现 802.1x 认证。同时它也把认证信息传给认证服务器。(3)认证服务器系统认证服务器,可以对客户进行实际认证,认证服务器核实用户的身份,通知认证系统是否允许客户端访问 LAN 和交换机提供的服务。认证服务器接受到认证系统发来的认证信息,经过认证后发回给认证系统,完成对端口的管理。2.2 认证的方式802.1x 认证中,端口的状态决定了客户端是否能接入网络,再在启用 802
9、.1x 认证时端口初始状态一般为非授权状态,在该状态下,除了 802.1x 报文和广播报文外并允许任何其他报文通过。当客户端认证通过时,则端口状态切换到授权状态,允许客户端进行正常通讯。现在的设备(s witch)端口有三种认证方式:(1)F orceAuthorized:端口一直维持授权状态,交 换 机 的 认 证 系 统 不主动发起认证;(2)F orceUnauthorized:端口一直维持非授权状态,忽略所有客户端发起的认证请求;(3)A uto: 激活 802.1X,设置端口为非授权状态,同时通知设备管理模块要求进行端口 认证控制,使端口仅允许 EAPOL 报文收发,当发生 UP 事
10、件或接收到 EAPOL-start 报文, 开始认证流程,请求客户端 Identify,并中继客户和认证服务器间的报文。认证通过后端口 切换到授权状态,在退出前可以进行重认证。基于 802.1x 的认证系统在客户端和认证系统之间使用 EAPOL 格式封装 EAP 协议传送认证信息,认证系统与认证服务器之间通过 RADIUS 协议传送认证信息。由于 EAP 协议的可扩- 3 -展性,基于 EAP 协议的认证系统可以使用多种不同的认证算法,如 EAP-MD5,EAP-TLS,EAP-SIM,EAP-TTLS 以及 EAP-AKA 等认证方法。而锐捷客户端就是以 EAP-MD5 的方式进行认证,故下
11、面就以 EAP-MD5 为例进行进一步的分析其认证过程。2.3 802.1x 认证的过程EAP-MD5 是一种单向认证机制,可以完成网络对用户的认证,但认证过程不支持加密密钥的生成。基于 EAP-MD5 锐捷认证系统功能实体协议栈,如下图 2 所示,而基于 EAP-MD5 的锐捷认证流程如下图 3 所示。图 3基于 EAP-MD5 的 802.1x 认证流程具体流程如下:(1)客户端向接入设备发送一个 EAPoL-Start 报文,开始 802.1x 认证接入;- 4 -(2)接入设备向客户端发送 EAP-Request/Identity 报文,要求客户端将用户名送上来;(3)客户端回应一个
12、EAP-Response/Identity 给接入设备的请求,其中包括用户名;(4)接入设备将 EAP-Response/Identity 报文封装到 RADIUS Access-Request 报文中,发送给认证服务器;(5)认证服务器产生一个 Challenge,通过接入设备将 RADIUS Access-Challenge 报文发送给客户端,其中包含有 EAP-Request/MD5-Challenge;(6)接入设备通过 EAP-Request/MD5-Challenge 发送给客户端,要求客户端进行认证;(7)客户端收到 EAP-Request/MD5-Challenge 报文后,将密码和 Challenge 做 MD5 算法后的 Challenged-Pass-word,在 EAP-Response/MD5-Challenge 回应给接入设备;- 5 -(8)接入设备将 Challenge,Challenged Password 和用户名一起送到 RADIUS 服务器,由RADIUS 服务器进行认证:(9)RADIUS 服务器根据用户信息,做 MD5 算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束;(10)如果认证通过,用户通过标
