常用准入认证技术原理分析讲述.doc

1 前言 在数据网络中，小型网络如企业网、家用网等，追求的是网络简单、开放，所有人可以自由接入和使用；而在中型及大型网络如城域网、政府网和电信数据网络中，用户关心的是网络的可运营和可管理，要管理每个用户的接入、业务使用、流量等等。 在可运营、可管理网络中，引入了针对用户管理的AAA技术，包括认证、授权和计费三个技术： 认证（Authentication）：在用户开始使用网络时对其身份进行的确认动作 授权（Authorization）：授权某用户以特定的方式与某网络系统通信 计费（Accounting）：记录并提供关于经济活动的确切清单或数据 认证是识别用户身份的过程，而授权是根据认证识别后的用户情况授予对应的网络使用权限（QoS、带宽限制、访问权限、用户策略），而计费也是根据认证后的用户身份采用对应的计费策略并记录、提供计费信息（时长、流量、位置等等），三个技术紧密联系但又相互独立的。认证技术是用户管理最基本的技术。由于本次文档重点是普教行业的准入认证分析，不对计费系统进行赘述。 2 为什么使用认证 2.1 用户的困惑 在普教城域网中，服务提供商（教育局）关心的是网络可运营和可管理，要管理每个用户的接入、业务使用、流量等等。而数据网络中大量使用的是以太网交换机、路由器等设备，遵循的是典型的数据网络理念，追求的是网络简单、开放，自由接入和使用。怎么才能够在数据网络中针对用户进行运营、管理呢？最基本的技术就是通过认证识别用户身份。 2.2 成熟的认证技术 目前市面上最为普遍主流认证技术有三种：PPPoE认证、WEB认证和802.1X认证，这三种认证从标准状态、商用情况看，技术上都已经成熟。 3 认证方式简介 当前最为普遍主流认证技术有三种：PPPoE认证、WEB认证和802.1X认证。严格意义上讲，这三种认证技术并不是真正的认证方式，每种认证技术都支持两种以上的认证方式，具体认证技术和认证方式关系如下表所示： 认证技术 认证方式 PPPoE认证 PAP、CHAP、EAP WEB认证 PAP、CHAP 802.1X认证 EAP PAP认证：密码认证协议，客户端直接发送包含用户名/口令的认证请求，服务器端处理并作回应。 CHAP认证：挑战握手协议，先由服务器端给客户端发送一个随机码challenge，客户端根据challenge，对自己掌握的口令、challenge、会话ID进行单向散例,即md5(password1,challenge,ppp_id)，然后把这个结果发送给服务器端。服务器端从数据库中取出库存口令 password2,进行同样的算法，即md5(password2,challenge,ppp_id),最后，比较加密的结果是否相同；如相同,则认证通过。 EAP认证：可扩展的认证协议，EAP可以增加对许多身份验证方案的支持，其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身份验证。最安全的认证方法就是和智能卡一起使用的“可扩展身份验证协议—传输层安全协议”，即EAP-TLS认证。 4 认证技术原理分析 4.1 WEB接入认证原理 4.1.1认证系统架构 接入服务器对来自STA的HTTP请求重定向到POTRAL服务器中，利用PORTAL页面对用户进行认证。认证系统架构图如下： 基于WEB的认证系统架构 基于WEB的认证系统功能实现协议栈如下： 基于WEB的认证系统功能实体协议栈 4.1.2 WEB接入认证流程 用户在WEB认证之前，必须先通过DHCP、静态配置等获得IP地址。用户认真界面提交了用户名和密码之后，接入服务器与WEB认证服务器协调工作，对用户进行认证，其步骤如下： VLAN用户接入流程（WEB认证） 1-4：用户通过DHCP协议获取地址的过程（静态用户手工配置地址即可）； 5：用户访问WEB认证服务器的认证页面，并在其中输入用户名、密码，点击登陆按钮； 6：WEB认证服务器将用户的信息通过内部协议，通知接入服务器； 7：接入服务器到相应的AAA服务器对该用户进行认证； 8：AAA服务器返回认证结果给接入服务器； 9：入服务器将认证结果通知WEB认证服务器； 10：WEB认证服务器通过HTTP页面将认证结果通知用户； 11：如果认证成功用户即可正常访问互联网资源。 4.1.3 三层用户的WEB认证 用户没有与接入服务器二层相连，中间存在路由器等三层设备，这样用户到接入服务器的报文中只有用户的IP地址没有MAC地址信息，这种类型的用户称为三层认证用户。与二层认证用户不同的是三层认证用户的MAC地址接入服务器获取不到，因而不能进行MAC、IP的绑定检查安全性不高容易仿冒；ARP请求不能穿透路由器因而不能对用户进行ARP探测确定是否在线。对此，接入服务器要求三层认证用户必须