认证技术白皮书.docVIP

认证技术白皮书 目 录 1 前言 2 2 为什么使用认证 3 3 认证相关技术 3 3.1 PPPoE接入认证原理 4 3.2 WEB接入认证原理 8 3.3 802.1X接入认证原理 14 3.4 绑定认证原理 18 3.5 各种认证方式比较 19 前言 在数据网络中，包括企业网、INTERNET网络等等，追求的是网络简单、开放，所有人可以自由接入和使用。而在电信数据网络中，运营商(比如网络服务提供商NSP、业务提供商ISP等)关心的是网络可运营和可管理，要管理每个用户的接入、业务使用、费用等等。 在可运营、可管理网络中，引入了针对用户管理的AAA技术，包括认证（Authentication）、授权（Authorization）、计费（Accounting）三个技术： 认证，是在用户开始使用系统时对其身份进行的确认动作。 授权，是在网络安全中，授权某用户以特定的方式与某网络系统通信。 计费，是记录并提供关于经济活动的确切清单或数据。 认证是识别用户身份的过程，而授权是根据认证识别后的用户情况授予对应的网络使用权限（QoS、带宽限制、访问权限、用户策略），而计费也是根据认证后的用户身份采用对应的计费策略并记录、提供计费信息（时长、流量、位置等等），三个技术紧密联系但又相互独立的。认证技术是用户管理最基本的技术。 目前网络中，有许多设备不支持认证，有许多设备只支持某一种认证，同时认证技术种类繁多、认证要求各不相同，造成网络中认证方案的混淆和混乱。 为什么使用认证 电信数据网的困惑 在电信数据网络中，服务提供商(比如网络服务提供商NSP、业务提供商SP等)关心的是网络可运营和可管理，要管理每个用户的接入、业务使用、费用等等。而电信数据网络中大量使用的是广泛应用在企业网、INTERNET网络中的以太网交换机、路由器等设备，遵循的是典型的数据网络理念，追求的是网络简单、开放，自由接入和使用。 怎么才能够在电信数据网络中针对用户进行运营、管理呢？最基本的技术就是通过认证识别用户身份。 成熟的认证技术 当前最为普遍主流认证技术有三种：PPPoE/PPPoEoA/PPPoA认证、WEB认证和802.1X认证，这三种认证从标准状态、商用情况看，技术上都已经成熟。 认证相关技术 当前最为普遍主流认证技术有三种：PPPoE/PPPoEoA/PPPoA认证、WEB认证和802.1X认证。严格意义上讲，这三种认证技术并不是真正的认证方式，每种认证技术都支持两种以上的认证方式，具体认证技术和认证方式关系如下表所示： 认证技术和认证方式关系表 认证技术 认证方式 PPPoE认证 PAP、CHAP、EAP WEB认证 PAP、CHAP 802.1X认证 EAP 其中，EAP定义了一个认证构架，包含了很多种认证方式： EAP认证方式汇总 同时，针对特殊应用，还有绑定认证和快速认证等技术。 PPPoE接入认证原理 PPP是传统的认证方式之一，PPPoE是利用以太网发送PPP包的传输方法和支持在同一以太网上建立多个PPP连接的接入技术。PPPoE结合了以太网和PPP连接的综合属性。 PPP协议是一种点到点的链路层协议，它提供了点到点的一种封装、传递数据的一种方法。PPP协议一般包括三个协商阶段：LCP（链路控制协议）阶段，认证阶段（比如CHAP/PAP），NCP（网络层控制协议，比如IPCP)阶段。拨号后，用户计算机和局方的接入服务器在LCP阶段协商底层链路参数，然后在认证阶段进行用户计算机将用户名和密码发送给接入服务器认证，接入服务器可以进行本地认证，可以通过RADIUS协议将用户名和密码发送给AAA服务器进行认证。认证通过后，在NCP（IPCP）协商阶段，接入服务器给用户计算机分配网络层参数如IP地址等。经过PPP的三个协商阶段后，用户就可以发送和接受网络报文。用户收发的所有网络层报文都封装在PPP报文中。 PPP协议的一个重要的功能是提供了身份验证功能。 以太网是一种广播网络，其缺点是通讯双方无法相互验证对方身份，通讯是不安全的。PPP协议提供了通讯双方身份验证的功能，但是PPP协议是一种点对点的协议，协议中没有提供地址信息。如果PPP应用在以太网上，必须使用PPPoE再进行一次封装，PPPoE协议提供了在以太网广播链路上进行点对点通讯的能力。 认证系统架构 对于基于PPPoE的认证系统，客户终端上的PPPoE客户端到PPPoE服务器之间为二层网络，PPPoE服务器负责终结PPPoE客户端发起的PPPoE协议，并利用PPP协议中支持的认证方法对客户终端的PPP连接请求进行认证。 基于PPPoE的认证系统架构见下图： 基于PPPoE的认证系统架构 基于PPPoE的认证系统功能实体协议栈见下图。在PPP的LCP协商阶段，进行认证。 基于PPP