《网络接入认证》由会员分享,可在线阅读,更多相关《网络接入认证(77页珍藏版)》请在金锄头文库上搜索。
1、第6章 网络接入认证6.1 IEEE 802. 1x认证技术6.2 PPPOE认证6.3 WEB认证 6.4 RADIUS认证服务器6.5 VPN技术简介 IEEE 802. 1x认证技术 IEEE 802.lx出现于2001年6月,起源于IEEE 802.11协议,主要目的是解决无线局域网用户的接 入认证问题。IEEE802.U是标准的无线局域网协议,由于无线 局域网的网络空间具有开放性和终端可移动性,很 难通过网络物理空间来界定终端是否属于该网络。因此,如何通过端口认证来防止其他公司的计算 机接入本公司无线网络就成为一项非常现实的问题 ,IEEE 802.lx正是基于这一需求而出现的一种认
2、 证技术,就是认证用户从网络边界接入网络.IEEE 802. 1x认证技术IEEE 802.1x协议具有完备的用户认证、管理功能,可以很好地支撑宽带网络的计费、安全、运营和 管理要求,对宽带IP城域网等电信级网络的运营和管理具有极大的优势。IEEE 802.1x协议对认证方式和认证体系结构 上进行了优化,解决了传统PPPOE和WEB/PORTAL认证方式带来的问题,更加适合在宽带以太网中的使 用。 IEEE 802.lx体系结构 客户端与认证系统间运行IEEE802.1x定义的EAPOL协议;认证 系统与认证服务器间运行EAP协议,但在EAP 帧中封装了认证数据 ,将该协议承载在其他高层次协议
3、中,如Radius协议,以便穿越复 杂的网络到达认证服务器 基于IEEE 802.lx认证的网络架构 支持802.lx协议的计算机(客户端),支持802.l x 协议的网络交换机(认证系统),RADIUS服务器(认证服务器)三部分(角色)组成 受控端口和非受控端口支持802.lx协议的网络设备(认证系统)有 两种类型的端口:受控端口(controlled Port )和非受控端口(uncontrolled Port) 802.lx认证机制 认证发起机制退出认证机制重新认证机制认证报文丢失重传机制 认证发起机制认证的发起可以由用户主动发起,也可以由认证系 统发起 .用户端可以通过客户端软件向认证
4、系统发送EAPOL -start报文发起认证。 第一种情况是由认证系统发起的认证。当认证系统 检测到有未经认证的用户使用网络时,就会发起认 证,在认证开始之前端口的状态被强制为未认证状 态。认证发起机制第二种情况是由客户端发起认证。如果用户 要上网,则可以通过客户端软件向认证系统 发送EAPOL-start报文主动发起认证。认证系 统在收到客户端发送的EAPOL-start报文后, 会发送Request/Identity报文响应用户请求,要求用户发送身份标识,这样就启动了一个 认证过程。退出认证机制端口状态从已认证状态改变成未认证状态: (1) 客户端未通过认证服务器的认证;(2) 管理性的控
5、制端口始终处于未认证状态;(3) 与端口对应的MAC地址出现故障(管理性禁止或硬件故障 );(4) 客户端与认证系统之间的连接失败,造成认证超时;(5) 重新认证超时;(6) 客户端未响应认证系统发起的认证请求;(7) 客户端发送EAPOL-Logoff报文,主动下线。 重新认证机制 为了保证用户和认证系统之间的链路处于激活状态,而不因为用户端设备发生故障造成异常死机 ,从而影响对用户计费的准确性,认证系统可以定 期发起重新认证过程,该过程对于用户是透明的, 即用户无需再次输入用户名和密码。重新认证由认证系统发起,时间是从最近一次成功认证后算起 认证报文丢失重传机制 对于认证系统和客户端之间通
6、信的EAP报文,如果发生丢失,由认证系统负责进行报 文的重传,通过一个超时计数器来完成对重 传时间的设定。考虑到网络的实际环境,一 般认为认证系统和客户端之间报文丢失的几 率比较低,且传送延迟低,因此设定默认的 重传时间为30秒钟。DHCP与 802.lx认证如果客户端需要通过DHCP Server动态 获取IP地址,那么在执行802.lx认证过程中, 只有客户端认证通过后,才会有DHCP发起 和IP地址分配的过程。对于未通过认证的客 户端,其所连接的认证系统的端口将丢弃任 何DHCP请求报文。 IEEE802.1x认证过程EAP 包类型IEEE802.1x通过EAP包承载认证信息,定义了类型
7、: (1)EAP-Packet,认证信息帧,用于承载认证信息; (2)EAPOL-Start,认证发起帧,Supplicant 和 Authenticator 均可以发起; (3)EAPOL-Logoff,退出请求帧,可主动终止已认证状态 ; (4)EAPOL-Key,密钥信息帧,支持对 EAP 报文的加密; 其中 EAPOL-Start,EAPOL-Logoff 和 EAPOL-Key 仅在客户 端和认证系统间存在,在认证系统和认证服务器间,EAP- Packet报文重新封装承载于Radius协议之上,以便穿越复杂的 网络到达认证服务器。 整个802.1x的认证过程 (1) 客户端向认证系统
8、发送EAPOL-start报文,主动发起认证;(2) 认证系统在收到客户端发送的EAPOL-start报文后,会客户端 发送发送EAP-Request/Identity报文响应用户请求,请求客户端发 送身份标识信息;(3) 客户端向认证系统发送含有身份标识信息的EAP- Request/Identity报文;(4) 认证系统将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,发送给认证服务器;(5) 认证服务器产生一个Challenge,将RADIUS Access- Challenge报文发送给认证系统,其中包含有EAP-Request/M
9、D5- Challenge;(6) 认证系统通过EAP-Request/MD5-Challenge发送给客户端, 要求客户端进行认证; 整个802.1x的认证过程 (7) 客户端收到EAP-Request/MD5-Challenge报文后,将密码和 Challenge做MD5算法后的Challenged-Pass-word,在EAP- Response/MD5-Challenge回应给接入设备;(8) 认证系统将Challenge、Challenged Password和用户名一起 送到RADIUS服务器,由RADIUS服务器进行认证;(9) RADIUS服务器根据用户信息,做MD5算法,判断
10、用户是否合 法,然后回应认证成功/失败报文到认证系统。如果成功,携带协 商参数,以及用户的相关业务属性给用户授权。如果认证失败, 则流程到此结束;(10) 客户端收到EAP-Success,认证通过;(11) 客户端发出EAPOL-Logoff报文,可主动终止已认证状态。 802.lx认证特点 802.lx与传统认证方式最本质的区别就是控制与交换相分离。一旦认证通过,所有的业 务流量就和认证系统分开,有效的解决了网 络瓶颈问题。 暴露出了安全性弱、流量控制能力差、不易 管理等可以说是致命的弱点 802.lx认证特点 1协议实现简单 IEEE 802.1x协议为二层协议,不需要到达三层, 对设备
11、的整体性能要求不高,可以有效降低建网成 本。2认证和业务分离 IEEE 802.1x的认证体系结构中采用了“可控端口”和 “不可控端口”的逻辑功能,从而可以实现业务与认 证的分离 ,尤其在开展宽带组播等方面的业务有很 大的优势,所有业务都不受认证方式限制 802.lx认证特点 3客户端软件802.lx认证需要特定的客户软件,用户使用起来多少有些不便 802.lx认证特点简洁高效:纯以太网技术内核,保持IP网络无连接特性,去除冗余昂贵 的多业务网关设备,消除网络认证计费瓶颈和单点故障,易于支持多业 务。 容易实现:可在普通L3、L2、IP DSLAM上实现,网络综合造价成本低 。 安全可靠:在二
12、层网络上实现用户认证,结合MAC、端口、账户和密码 等,进行精细的控制,防止破解、防止代理、漫游控制等。做到彻底杜 绝非法用户进入。 行业标准:IEEE标准,微软操作系统内置支持。 易于运营:控制流和业务流完全分离,易于实现多业务运营。 PPPoE(PPP over Ethernet) PPPoE是一种在以太网上进行PPP点对点拨号连 接的协议。以太网属于专网,网络是直接连接的,不用拨 号,所以物理层上的连接是没有问题的。但为了确 保连接安全,并且只允许合法用户连接,所以采取 了类似电话拨号方式的身份验证,此时所拨的不是 电话号码,而是用户的账户,属于数据链路层的协 议 PPPOE认证PPPo
13、EPPPoE技术最早是由Redback 网络公司、客户端 软件开发商RouterWare公司以及Worldcom子公司 “UUNET Technologies”公司,于1998年后期在 IETF RFC基础上联合开发的 IETF 的工程师们在秉承窄带拨号上网的运营思路 的基础上,制定出了在以太网上传送PPP 数据包的 协议PPPoE。这个协议出台后,各网络设备制 造商也相继推出自己品牌的宽带接入服务器(BAS ),使得PPPoE这种灵活的ADSL接入方式迅速得 到了广泛应用 ADSL应用最广的桥接接入 PPPoE协议工作原理 PPPoE协议会话的发现和会话两个阶段 1发现(Discovery)
14、阶段在发现阶段中用户主机以广播方式寻找所连 接的所有远程接入服务器(PPPOE服务器),并获 得其以太网MAC地址。然后选择需要连接的主机, 并确定所要建立的PPP会话标识号码。发现阶段有4 个步骤,当此阶段完成,通信的两端都知道 SESSION-ID和对端的以太网地址,他们一起惟一 定义PPPoE会话 PPPoE协议工作原理(1) Host(主机)通过发广播包,等待远程接入服务器的响应。主机广播发起分组(PADI),分组的目的地址 为以太网的广播地址0ffffffffffff,CODE(代码)字 段值为009,SESSION-ID(会话ID)字段值为 00000。PADI分组必须至少包含一个
15、服务名称类 型的标签(标签类型字段值为00101),向远程接入服务器提出所要求提供的服务。PPPoE协议工作原理(2) 所有可以提供服务的远程接入服务器在收到广播包后都 会给Host一个响应。远程接入服务器收到在服务范围内的PADI分组,发送 PPPoE有效发现提供包(PADO)分组,以响应请求。CODE字段值为007,SESSION-ID字段值仍为 00000。PADO分组必须包含一个远程接入服务器名称类型 的标签(标签类型字段值为00102),以及一个或多个服务 名称类型标签,表明可向主机提供的服务种类 PPPoE协议工作原理(3) Host收到响应后,依据一定的原则选择一个远程接入服 务
16、器,向其发请求包。主机在可能收到的多个PADO分组中选择一个合适的 PADO分组,然后向所选择的远程接入服务器发送PPPoE有 效发现请求分组(PADR)。CODE字段为019,SESSION_ID字段值仍为00000。 PADR分组必须包含一个服务名称类型标签,确定向接入集 线器(或交换机)请求的服务种类。当主机在指定的时间内 没有接收到PADO,它应该重新发送它的PADI分组,并且加 倍等待时间,这个过程会被重复期望的次数 PPPoE协议工作原理(4) 被选中的远程接入服务器收到Host的请求包后,产生一 个唯一的Session ID并返回给Host。远程接入服务器收到PADR分组后准备开始PPP会话, 它发送一个PPPoE有效发现会话确认PADS分组。CODE字段值为065,SESSION-ID字段值为远程接 入服务器所产生的一个惟一的PPPoE会话标识号码。PADS 分组也必须包含一个远程接入服务器名称类型的标签以确认 向主机提供的服务。当主机收到PADS分组确认后,双方就 进入PPP会话阶段。P
