（无线电物理专业论文）应用层sla系统的设计与实现.pdf

应用层s l a 系统的设计与实现 专业：无线电物理 硕士生：李忠芳 指导教师：余顺争教授 摘要 网络终端作为网络与用户的接口，是安全保障比较脆弱的地方，也是一般网 络安全解决方案容易忽视的地方，因此，当终端接入网络时，对其合法性的验证 以及对用户使用网络资源的权限进行协商和有效的控制是非常必要的。 本研究课题是国家8 6 3 项目“基于应用行为规范的网络主动实时防护系统” 的一个子课题，旨在实现w i n d o w s 平台下8 0 2 1 x 认证客户端软件的扩展认证功 能和基于此扩展认证的应用层s l a ( s e r v i c el e v e la g r e e m e n t ，服务等级协议) 功能。本文对8 0 2 1 x 的认证机制和s l a 的实现方法进行了深入的研究，利用 w i n d o w s 平台上的8 0 2 1 x 认证客户端软件和l i n u x 平台上的服务器端软件进行功 能模块的开发及扩展，设计并实现了应用层s l a 系统。 实验结果表明，这一系统很好的实现了8 0 2 1 x 扩展认证功能和应用层的s l a 协商功能。它不仅能够对w i n d o w s 平台下用户的用户名、密码以及终端的合法 性进行验证，而且通过用户与s l a s e r v e r 进行应用的协商使网络资源得到了合 理的分配和规范化的使用。 关键词：8 0 2 1 x 协议，r a d i u s ，s l a t h e d e s i g na n di m p l e m e n t a t i o no fa p p l i c a t i o n l e v e l m a j o r ： n a m e ： s u p e r v i s o r ： s l as y s t e m r a d i op h y s i c s z h o n g f a n gl i p r o f e s s o rs h u n z h e n gy u a b s t r a c t t h en e t w o r kt e r m i n a l ，a sa ni n t e r f a c eb e t w e e nt h en e t w o r ka n du s e r , i sa na r e a t h a tc a nb ee a s i l yo v e r l o o k e db yt h eg e n e r a ln e t w o r k s e c u r i t ys o l u t i o n s ，s oi t i s p a r t i c u l a r l yi m p o r t a n tt ov e r i f yi t sl e g i t i m a c yw h e nt h et e r m i n a lt r i e st oa c c e s st h e n e t w o r ka n dc o n d u c tc o n s u l t m i o na n de f f e c t i v ec o n t r o la b o u tt h el i m i t so fa u t h o r i t yo f t h eu s e r st ou s et h en e t w o r kr e s o u r c e t h i sr e s e a r c hp r o j e c ti sw i t h i nt h en a t i o n a l h i g ht e c h n o l o g yr e s e a r c ha n d d e v e l o p m e n tp r o g r a m - ”a p p l i c a t i o n b e h a v i o r - b a s e da c t i v e r e a l - t i m en e t w o r k p r o t e c t i o ns y s t e m ”t h ea p p l i c a t i o n l a y e rs e r v i c el e v e la g r e e m e n ts y s t e mi n t h i s p a p e ri sd e s i g n e dt oa c h i e v et h e e x t e n s i b l ea u t h e n t i c a t i o no fc l i e n to nt h ep l a t f o r mo f w i n d o w sa n di m p l e m e n tt h ef u n c t i o no fa p p l i c a t i o n l e v e ls l a - n e g o t i a t i o n i nt h i s p a p e r , ih a v es t u d i e dt h e8 0 2 1 xa u t h e n t i c a t i o nm e c h a n i s m sa n dt h ei m p l e m e n t a t i o n m e t h o do fs l ai nad e p t h w a y , d e s i g n e da n di m p l e m e n t e dt h ea p p l i c a t i o nl a y e rs l a s y s t e mb yu s i n gt h e8 0 2 1 xa u t h e n t i c a t i o nc l i e n ts o f t w a r eo nw i n d o w sp l a t f o r ma n d s e r v e r - s i d es o f t w a r eo nl i n u xp l a t f o r m t h ee x p e r i m e n t a lr e s u l t ss h o wt h a tt h es y s t e mh a sa c h i e v e dt h ef u n c t i o no f 8 0 2 1xe x t e n s i b l ea u t h e n t i c a t i o na n dt h ea p p l i c a t i o n - l e v e ls l a n e g o t i a t i o nv e r yw e l l i tc a nn o to n l ya u t h e n t i c a t et h eu s e r n a m ea n dp a s s w o r do ft h eu s e r , b u ta l s oc a nv e r i f y t h el e g i t i m a c yo ft h et e r m i n a lo nw i n d o w sp l a t f o r m b e s i d e s ，i tc a na l s oo b t a i na r e a s o n a b l en e t w o r kr e s o u r c e sa i l o c a t i o nb yc o n d u c t i n ga p p l i c a t i o nc o n s u l t a t i o n s b e t w e e nt h eu s e ra n dt h es l a s e r v e r k e yw o r d s ：8 0 2 1xp r o t o c o l ，r a d i u s ，s l a u 本人郑重声明： 原创性声明 所呈交的学位论文，是本人在导师的指导下，独立进行研究工作 所取得的成果。除文中已经注明引用的内容外，本论文不包含任何其 他个人或集体已经发表或撰写过的作品成果。对本文的研究作出重要 贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到本 声明的法律结果由本人承担。 学位论文作者签名： 李思、芳 日期：加o年 么 月 乙 日 学位论文使用授权声明 本人完全了解中山大学有关保留、使用学位论文的规定，即：学 校有权保留学位论文并向国家主管部门或其指定机构送交论文的电 子版和纸质版，有权将学位论文用于非赢利目的的少量复制并允许论 文进入学校图书馆、院系资料室被查阅，有权将学位论文的内容编入 有关数据库进行检索，可以采用复印、缩印或其他方法保存学位论文。 学位论文作者签名：李怠豸 日期：2 , o o 年占月2 日 聊虢歪 日期：加，d 年么月2 一日 绪论 第1 章绪论 1 1课题的研究背景及意义 互联网终端是人们网络行为的起点，信息存储、处理、转发都在网络终端中 执行，所以网络终端往往成为数据泄漏和病毒发布的源头。美国顶级网络安全专 家m a r k s k a d r i c h 在其终端安全一书中，就明确指出终端安全是影响信息系 统安全的根源【l 】。众多权威机构的调查都表明8 0 以上的管理和安全问题来自于 终端。 网络终端安全是一个十分复杂的问题，它涵盖了计算机网络系统中硬件、软 件、系统管理、病毒等一系列问题。根据c n c e r t c c 2 j 的统计，木马、病毒、 系统软件漏洞、网页恶意代码、僵尸网络是影响互联网信息安全的几个主要因素。 由于网络终端经常通过w e b 浏览器、电子邮件、移动存储介质等方式与外界进 行数据交互，所以其非常容易受到病毒、木马、垃圾邮件和黑客的攻击。除了外 部攻击，网络终端也面临着许多来自内部人为或非人为的安全威胁，比如操作不 当导致的信息泄露、不安全文件的共享等1 3 】。 目前已经存在的信息安全类产品，如防病毒系统、入侵检测系统、服务器存 储备份类系统等等，主要都是为了防御来自网络端的攻击和保护服务器数据而设 计的，而对接入网络的终端的自身安全性的考虑就非常少【2 】。网络终端作为信息 存储、传输、应用处理的基础设施，其自身的安全性涉及到系统安全、数据安全、 网络安全等各个方面，任何一个终端都有可能影响整个网络的安全。而网络终端 由于其分散性、不被重视、安全手段缺乏的特点，已成为信息安全体系的薄弱环 节。因此，终端的安全要引起我们足够的重视。 除此之外，随着社会和技术的发展，用户对服务质量( q o s ) 的要求也越来 越高。这就要求网络服务供应商不仅能给不同的用户提供不同等级的服务，而且 还要很好的保证各等级的服务质量。同时，为了更好的考虑到用户的喜好，使得 网络资源能够得到合理的分配，并可以让服务提供者对用户的应用行为进行更好 的管理，引入服务等级协议( s e r v i c el e v e la g r e e m e n t ，s l a ) 非常必要。 中山人学硕i ：学位论文 1 2 国内外研究现状 针对互联网终端安全问题，世界各国积极部署管理措施和防御策略。其中美 国最为突出，近十年来，美国国会已经通过涉及计算机、互联网和信息安全问题 的法律文件3 7 9 个。另外，法国成立了由决策层、操作层、技术层及工业层组成 的计算机终端信息安全机构。我国也于19 9 9 年年底成立了国家信息化工作领导 小组，大力推进了我国计算机终端安全工作，实现了我国计算机终端安全技术与 管理的双发展1 3 】。 2 0 0 9 年7 月2 2 日，国家信息中心联合中国信息安全测评中心和行业领先企 业举行推介会，推出了一套全新的政务终端安全护理方案。该方案通过网络终端 安全护理平台，向政府部门和企事业单位提供终端安全状态监测、补丁测评分发、 安全策略配置、病毒木马查杀等全方位的安全护理服务。 除此之外，华为公司针对终端安全及其管理问题也提出了一套自己的终端安 全解决方案s e c o s p a c e 终端安全管理系统 4 1 。此系统可以通过身份认证和安 全策略检查的方式，对未通过身份认证或不符合安全策略检查的用户终端进行网 络隔离，并帮助终端进行安全修复，在系统补丁管理以及软件分发上实现补丁和 必需安装软件的协助安装，以防范不安全网络用户终端给安全网络带来的安全威 胁。s e c o s p a c e 终端安全管理系统也实现了对终端安全控制和终端安全的审计监 控，使用户终端安全得到有效的控制，同时还提供资产管理功能，协助企业管理 者实现企业内部终端资产可控可管，防止资产和信息外泄，保障企业信息安全。 在s l a 协议方面，早在1 9 9 8 年帧中继论坛的服务水平定义及实施协议中就 出现了s l a 协议。t m f ( t e l em a n a g e m e n tf o r u m ，电信管理论坛) 在服务等级 协议方面进行了多年的研究工作，它提出了众多关于服务等级协议的规范，并得 到了各国的认可。电信管理论坛的t m f 7 0 1 5 】主要研究的是服务等级协议的参数 框架和生命周期；g b 9 1 7 1 6 1 主要给出了服务等级协议中服务可用性参数和性能报 告的内容；i n t e r a c td r a f t 7 】【8 】则主要指出了服务等级协议表示方法的重要性，但它 仅仅只是研究了s l s ( s e r v i c el e v e ls p e c i f i c a t i o n ，服务等级规范) 的表示方法【9 】。 近些年，s l a 在国际上得到了普遍推广，它逐步成为了全球网络运营业的 共识，从电信界到i p 网络界，网络服务供应商们都纷纷推出了自己相应的服务 等级协议，他们通过保证不同等级的网络服务质量来提高自身的市场竞争力，进 2 绪论 而吸引更多的网络用户。 据i s p 的统计报告显示，在美国仅1 9 9 7 年就有3 3 的网络服务供应商与其 网络用户签订了服务等级协议，2 0 0 2 年有8 0 的外包协定都包括了服务等级协 议，9 4 的互联网用户认为网络服务供应商与用户之间签订服务等级协议显得非 常必要，更有8 4 的网络用户表示他们愿意为网络服务供应商提供的更好的服务 等级协议保障而额外付费【1 0 1 。由以上数据可以看出，s l a 的需求越来越多、发 展越来越迅速，并且网络服务供应商和用户也都越来越重视s l a 。 s l a 能够得到保障的一个重要的基础就是对网络的监测，只有通过对网络 实行实时监测，网络服务供应商们才知道其提供的网络质量是否有达到相应s l a 等级的要求，而用户也可以从监测报告中得知其所要求的服务是否有被正常提 供。目前市场上已经有许多对网络性能、服务等级进行监测和报告的工具，如 r e s p o n s en e t w o r k s 公司的v e r i s e r v 、i n f o v i s t ac o r p 公司的l n f o v i s t as y s t e m s 、 m i c r o m u s e 公司的n e t c o o l 、v i t a l s i g n ss o f t w a r e 公司的v i t a l s u i t e 、v i s u a ln e t w o r k s 的v i s u a li pi n s i g h t 、c o n c o r dc o m m u n i c a t i o n s 公司的n e t w o r kh e a l t hr e p o r t e r 、 h e w l e t tp a c k a r d 公司的h pf i r e h u n t e r 、n p s 的e q o s p r o 及g i l e n t t e c h n o l o g i e s 的f i r e h u n t e r 等等【1 0 1 。它们在传统的网管系统的基础上进行了 升级，逐步转向以服务为基准的管理手段，它们对服务质量的关注也越来越多。 上面提到的这些系统工具能实时的监测整个网络的运行状态，网络管理者可 从系统中直观的查看到当前网络运行的相关性能参数。这些系统还可以通过对网 络进行实时的检测和分析，动态的调整服务等级协议相关的性能参数指标，并根 据网络的历史观察数据和参数模型，对网络未来的运行状态进行预测。有的系统 还可以对网络用户的各种应用服务进行实时的监控，当然，这种监控需要建立在 对网络监控的基础之上。除此之外，它们能够根据特定用户与服务提供商签订的 服务等级协议的具体参数指标，输出相应的参数信息，便于不同用户去查看【l o l 。 随着社会的发展和技术的进步，网络服务的种类越来越多，并且用户对服务 质量的要求也越来越高，在这种情况下，网络服务供应商们必须提供各自相应的 s l a 解决方案以保证不同等级的服务质量，以此来提高其品牌竞争力进而吸引 更多的网络用户。目前，像b t 、a t & t 、s # n t 等国外一些大型的网络服务供应 商都纷纷推出了各自的s l a 解决方案。以美国移动运营商s p r i n t 公司为例，它 3 中山人学硕 ：学位论文 利用自己搭建的网络为网络用户提供不同等级的服务质量和业务，并保证处于不 同等级的网络用户能够享用到其应得到的服务。由于各地方的网络用户所拥有的 网络质量不尽相同，s p r i n t 公司也根据具体情况，为这些网络用户提供符合他们 要求、适合他们的服务质量【9 1 。图1 1 为s p r i n t 公司根据各个地区用户的不同需 求和所处网络环境的不同，指定的不同服务等级协议相关的性能参数值： c o m m i t t e dm e t r i c s n e t w o r kl a t e n c yn e t w o r kp a c k e tl o s s u n i t e ds t a t e s5 5 m s0 3 0 t r a n s a t l a n t i c9 5 m s0 3 0 i n t r a e u r o p e 4 5 m s0 3 0 u n i t e ds t a t e st oj a p a n13 0 m s0 3 0 h a w a i it oc o n t i n e n t a lu n i t e ds t a t e s8 5 m s 0 3 0 u n i t e ds t a t e st oa u s t r a l i a21 0 m s0 3 0 u n i t e ds t a t e st oh o n gk o n g19 0 m s0 3 0 u n i t e ds t a t e st os i n g a p o r e3 0 0 m s0 3 0 i n d i at on o r t ha m e r i c a3 5 0 m s0 3 0 图l - ls p r i n t 公司提供的s l a 指标 除此之外，s l a 在国内也有了相应的应用，虽然国内在这方面起步稍微晚 些。世纪互联网于2 0 0 0 年年初成功地建立了国内首家互联网数据中心，并将服 务等级协议带入到了国内的网络服务供应商产业。另外，深圳电信凭借着其提供 的星级的网络服务质量，吸引了众多的大型企业用户。例如，华为公司与其签订 了服务等级协议，要求其负责企业网络的管理维护工作，当然，如果华为公司要 求深圳电信为其提供更好的星级服务，其需要额外付一定的费用，即服务等级的 高低与所需费用是相对应的。现阶段，国内各大网络运营商并不是对其所有网络 用户均支持s l a 业务，他们只是向少数特定的用户提供服务等级协议这项服务， 原因如下：第一，网络运营商们经营环境的转变，这就需要网络运行商转变其服 务观念、增强服务意识、并形成与此环境相适应的管理手段和技术支持，这是一 个相对持久的过程；此外，随着各项技术的发展，网络的覆盖范围越来越广，涵 盖的内容也越来越多，虽然在q o s 技术方面已有一些研究成果，但想要在大范 4 绪论 ， 围内开展s l a 服务还存在着许多困难】【l2 1 。 1 3 本文的主要工作及组织结构 本研究课题是国家8 6 3 项目“基于应用行为规范的网络主动实时防护系统” 的一个子课题。本文设计的应用层s l a 系统旨在实现w i n d o w s 平台下对8 0 2 1 x 认证客户端软件的扩展和基于此扩展认证的应用层s l a 协商功能。扩展后的认 证软件能够对w i n d o w s 平台下用户的用户名、密码以及终端信息进行验证，只 有当接入主机的用户信息和终端特征均合法时，认证彳+ 能通过。对认证不通过的 主机，则通知s w i t c h 相应端口切断其连接。对于通过认证的用户，s l a s e r v e r 则根据其选择的应用，联合其他两个模块传递的参数，算出该用户的s l a 等级， 并将结果传递给另外两个模块用作后续的控制。 本文的结构安排如下： 第l 章：绪论，介绍课题的研究背景和意义、国内外研究现状及本文的主要 工作和组织结构。 第2 章：介绍i e e e8 0 2 1 x 协议的体系结构、认证流程，并分析8 0 2 1 x 相关 协议的结构及报文格式，然后叙述s l a 的定义及相关的基本理论，最后介绍国 内在s l a 方面的一些研究成果。本章为后文的研究提供理论基础。 第3 章：本文的核心首先介绍s l a 系统设计的总体思路、拓扑架构及 实现平台，然后将整个s l a 系统分为两个模块认证模块和协商模块进行详 细的阐述，认证模块主要描述8 0 2 1 x 客户端认证软件的功能扩展及实现方法， s l a 系统协商模块则在整体设计的思路上给出各部分的具体实现方法。 第4 章：主要叙述应用层s l a 系统平台的搭建过程，其中包括r a d i u s 服务 器、w i n d o w s 客户端、s l a 。s e r v e r 、锐捷$ 3 7 6 0 三层智能交换机的安装与配置以 及一些相关的软件，并给出两个典型的实验案例来验证应用层s l a 系统的扩展 认证功能和应用层s l a 协商功能。 第5 章：主要对前文进行总结，指出文中的一些局限性，并提出有待改进的 地方。 5 中山人学硕i ：学位论文 1 4本章小结 本章首先介绍了此课题的研究背景和意义，分析了互联网终端安全在整个网 络安全中的重要位置以及互联网终端安全作为信息安全体系的薄弱环节。同时， 为了更好的考虑用户的喜好和不同用户对服务质量的不同要求，说明了引入s l a 协议的必要性。接着就终端安全问题和s l a 协议阐述了国内外的一些研究现状。 最后介绍了本论文的主要研究工作及论文各章节内容的组织结构。 6 8 0 2 i x 协议及s l a 介绍 第2 章8 0 2 1 x 协议及s l a 介绍 为了解决w l a n 用户接入认证问题，i e e e 修订了8 0 2 1 1 协议。i e e e8 0 2 1 x 协谢1 3 】【14 1 ，即基于端口的访问控制( p o r tb a s e dn e t w o r ka c c e s sc o n t r 0 1 ) 则将这种 思想应用到广义局域网中，为用户提供一种局域网接入认证和授权访问的解决方 案。本文对基于8 0 2 1 x 协议的认证扩展进行了研究，这种基于端口的认证策略 要求接入设备硬件以及用户信息都合法，才予以用户访问的权限【1 5 】f 1 6 】。以下是 对8 0 2 1 x 协议的体系结构、认证流程、其涉及到的相关协议及报文格式等重要 理论的介绍。 2 1i e e e8 0 2 1 x 体系结构 a u t h e n t i c a t i o n s e r v e rs y s t e m 图2 - 18 0 2 i x 协议的体系结构 图2 1 指出了i e e e8 0 2 1 x 协议体系结构的三个重要组成部分【m ，即客户端 系统( s u p p l i c a n ts y s t e m ) 、认证系统( a u t h e n t i c a t o rs y s t e m ) 、认证服务器系统 ( a u t h e n t i c a t i o ns e r v e rs y s t e m ) ，并且说明了三者之问的相互联系。 s u p p l i c a n ts y s t e m ：就是指要求接入网络共享数据的设备，通常是工作站。 它需要通过客户端软件向认证系统发出认证请求，而该客户端软件则运行 e a p o l 协议【1 3 】和e a p 协议。 a u t h e n t i c a t o rs y s t e m ：就是运行8 0 2 1x 协议的网络端设备，通常是l a n 交 7 中山人学颀i j 学位论文 换机，负责控制接入设备与共享网络之间的通断。认证系统具备两个逻辑端口， 即受控端口( c o n t r o l l e dp o r t ) 和非受控端口( u n c o n t r o l l e dp o r t ) o s l o 受控端口为 合法用户提供网络资源和服务共享的通道。非受控端口则无条件接收接入设备的 认证信息( 不管是合法还是非法用户) 。若为合法用户，则受控端口连通；否则 受控端口断开，如图2 1 中，非法用户无法访问网络。 a u t h e n t i c a t i o ns e r v e rs y s t e m ：主要存放用户信息以及访问权限。网络管理员 可以通过修改该服务器的对应用户的信息，达到添加用户、删除用户、限制用户 权限f j 9 】等网络控制的目的。当接入设备提交的认证信息与认证服务器记录的对 应用户信息一致时，认证服务器通知认证系统打开相应的受控端口，即合法用户 成功接入。否则，要求认证系统断丌受控端口，即非法用户接入失败。 2 2i e e e8 0 2 i x 工作机制 在一个开启了8 0 2 1 x 认证机制的网络中，若终端用户想访问网络上的资源 或利用其服务，则其必须经历下面的过程1 2 0 l ： 8 a u t h e n t i c a t o ra u t h e n t i c a t i o ns e r v e r ( 1 ) e a p o l - s t a r t ( 2 ) e a p - r e q u e s t i d e n t i t y ( 3 ) e a p - r e s p o n s e i d e n t i t y r a d i u s - a c c e s s - r e q u e s t 。 e a p r e q u e s t m d 5 一c h a l l e n g e( 4 ) r a d i u s - a c c e s s c h a l l e n g e ( 5 ) e a p - r e s p o n s e m d 5 - c h a l l e n g ： r a d i u s - a c c e s s r e q u e s t e a p s u c c e s s( 6 ) r a d i u s a c c e s s - a c c e p t e a p f a i l u r e ( 6 ) r a d i u s - a c c e s s - r e j e c t ( 7 ) e a p o l l o g o f f f a i l u r e l o g o f f 图2 - 28 0 2 1 x 协议认证过程 ( 1 ) 认证的发起：认证可以由s u p p l i c a n t 发起，也可以由a u t h e n t i c a t o r 发起， 8 0 2 i x 协议及s l a 介绍 本设计由客户端s u p p l i c a n t 向a u t h e n t i c a t o r 发出认证请求( e a p o l s t a r t ) 。 ( 2 ) a u t h e n t i c a t o r 收到认证请求后就会向s u p p l i c a n t 发送一个e a p - r e q u e s t i d e n t i t y 帧，要求s u p p l i c a n t 提供用户名。 ( 3 ) s u p p l i c a n t 响应a u t h e n t i c a t o r 发出的请求，通过数据帧( e a p - r e s p o n s e i d e n t i f y ) 将用户名信息发送给a u t h e n t i c a t o r 。a u t h e n t i c a t o r 将s u p p l i c a n t 发 送来的数据帧经过封包处理后通过( r a d i u s a c c e s s r e q u e s t ) 数据包送给 a u t h e n t i c a t i o ns e r v e r 去处理。 ( 4 ) a u t h e n t i c a t i o ns e r v e r 收到a u t h e n t i c a t o r 发来的用户标识，判断该用户是 否存在，若存在，则从数据库中找出与此用户标识相对应的密码，并生 成一个1 6 字节的随机数，填充到r a d i u s a c c e s s c h a l l e n g e 数据包中传送 给a u t h e n t i c a t o r ，由a u t h e n t i c a t o r 通过e a p r e q u e s t m d 5 一c h a l l e n g e 帧传 给s u p p l i c a n t 。 ( 5 ) s u p p l i c a n t 收到由a u t h e n t i c a t o r 传来的随机数后，用该值对口令部分进行 加密处理，并通过e a p - r e s p o n s e m d 5 一c h a l l e n g e 帧回传给a u t h e n t i c a t o r ， 再由a u t h e n t i c a t o r 通过r a d i u s a c c e s s r e q u e s t 包传给a u t h e n t i c a t i o n s e r v e r 。 ( 6 ) a u t h e n t i c a t i o ns e r v e r 将收到的经过m d 5 加密后的值和自己得出的值进 行对比，如果结果一致，则判定该用户属于合法用户，发送 r a d i u s a c c e s s a c c e p t 给a u t h e n t i c a t o r ，a u t h e n t i c a t o r 随即开启相应端e l ， 并发送e a p s u c c e s s 帧给s u p p l i c a n t ，此时用户便可正常访问网络资源。 否则，即发送r a d i u s a c c e s s r e j e c t 包给a u t h e m i c a t o r 说明认证失败，并 保持a u t h e n t i c a t o r 端口为受限状态，只允许认证信息通过而不允许业务 数据通过，a u t h e n t i c a t o r 向s u p p l i c a n t 发送e a p f a i l u r e 帧。 ( 7 ) 当用户要求下线或者是用户系统关机等需要断开网络连接时，s u p p l i c a n t 发送一个断网请求e a p o l l o g o f f 给a u t h e n t i c a t o r ，然后a u t h e m i c m o r 即 把端口设为非授权状态，从而断开连接。 2 38 0 2 1 x 相关协议分析 由上述讨论可知，客户端( s u p p l i c a n t ) 在接入l a n 时会向认证系统 9 中山人学硕一i ：学位论文 ( a u t h e n t i c a t o r ) 发送认证请求，本文讨论的认证策略是基于e a p ( e x t e n s i b l e a u t h e n t i c a t i o np r o t o c 0 1 ) 的，即可扩展认证协议【2 。 2 3 1e a p 协议的结构 图2 3e a p 协议结构 e a p 作为一种可扩展的认证协议，它可以支持多种认证方式，其结构如图 2 3 所示口o l 。从严格意义上来讲，e a p 只是一种数据帧的封装格式，而并没有规 定具体的认证机制。事实上，很多认证机制都采用e a p 封装结构，例如： e a p m d 5 、l e a p 、p e a p 、e a p t l s 、e a p t t l s 、e a p a k a 、e a p f a s t 、e a p t n c 等。采用不同的e a p 类型进行认证时，其认证方式、效率以及达到的安全性效 果都将不同，本文讨论的8 0 2 1 x 认证采用的是m d 5 c h a l l e n g e 认证。 l o 2 3 2e a p 帧结构 e a p 帧结构如图2 - 4 所示【2 2 1 。 ll2n 图2 _ 4e a p 帧结构 8 0 2 i x 协汉及s l a 介绍 e a p 帧各字段定义如下： 1 c o d e ：此字段长度为1 个字节，用来表示e a p 帧所属类型，各种类型 以及对应的值如下： r e q u e s t ( 0 1 ) ，r e s p o n s e ( 0 2 ) ，s u c c e s s ( 0 3 ) ，f a i l u r e ( 0 4 ) 。 2 i d e n t i f i e r ：此字段长度为1 个字节，用来标识r e q u e s t 数据包和r e s p o n s e 数据包之间的对应关系，属于同一组请求和回复数据包的此i d 值一致。 3 l e n g t h ：此字段长度为2 个字节，它用来表示整个e a p 数据包的长度， 根据不同的认证机制而有所不同。 4 d a t a ：此字段长度视具体情况而变化，它包含具体的认证信息。以下列 举了c o d e 域为r e q u e s t 或r e s p o n s e 类型的e a p 包中d a t a 字段首字节 t y p e 的可选类型： t y p e 值 对应的类硝 1 = i d e n t i t y 2 = n o t i f i c a t i o n 3 = n a k ( r e s p o n s eo n l y ) 4 = m d 5 - c h a l l e n g e 5 = o n et i m ep a s s w o r d ( o t p ) 6 = g e n e r i ct o k e nc a r d ( g t c ) 13 = t r a n s p o r tl a y e rs e c u r i t y ( t l s ) 17 = c i s c ol i g h t w e i g h te a p ( l e a p ) l8 = s u b s c r i b e ri d e n t i f i c a t i o nm o d u l e 21= t u n n e l e d t l s ( t t l s ) 2 5= p r o t e c t e de a p ( p e a p ) 2 5 4 = e x p a n d e dt y p e s 2 5 5 = e x p e r i m e n t a lu s e d a t a 字段的其余字节是以上各类型具体的认证信息；而对于c o d e 域为 s u c c e s s 或者f a i l u r e 类型的e a p 包，d a t a 字段为0 字节。 中山人学硕： ：学位论文 2 3 3e a p o l 帧结构 客户端与认证系统是通过l a n 连接的，为了使包含具体认证信息的e a p 报 文能够在l a n 上传送，需要将其封装在e a p o l ( e a po v e rl a n ) 帧中。e a p o l 帧结构如图2 - 5 1 2 3 1 。 1 2 2112n 图2 - 5e a p o l l i 贞格式 e a p o l 帧结构分析如下： ( 1 ) p a ee t h e r n e tt y p e ：此字段长度为2 个字节，它是p a ee t h e r n e t 类型，取 值范围为0 x 8 8 - - 0 x 8 e ( 2 ) p r o t o c o lv e r s i o n ：此字段长度为1 个字节，它指的是协议版本号，此时 取值为0 x 0 1 ( 3 ) p a c k e tt y p e ：此字段长度为1 个字节，它表示e a p o l 数据包所属的类型。 以下是各种帧类型及对应的字段值： 字段值帧类型 0 = e a p p a c k e t l = e a p o l s t a r t 2 = e a p o l - l o g o f f 3 = e a p o l - k e y 4 = e a p o l - e n c a p s u l a t e d - a s f - a l e r t ( 4 ) p a c k e tb o d yl e n g t h - 此字段长度为2 个字节，指的是后面的数据体的长 度 ( 5 ) p a c k e tb o d y ：此字段长度视具体情况而改变，如果e a p o l 数据包所属 类型为e a p p a c k e t ，e a p o l - k e y 或e a p o l e n c a p s u l a t e d - a s f a l e r t ， 则数据体部分的内容即为相应类型所包含的数据信息；对于另外两种数 据包类型e a p o l s t a r t 和e a p o l l o g o f f ，该字段为空。 8 0 2 i x 协议及s l a 介绍 2 3 4r a d i u s 协议分析 从2 2 节分析的8 0 2 1 x 工作机制中可以看到，认证系统与认证服务器之间是 通过r a d i u s 协议进行数据交换的。r a d i u s ( r e m o t ea u t h e n t i c a t i o nd i a li nu s e r s e r v i c e ) ，即远程验证拨入用户服务，是一个应用非常广泛的协议，它主要用于 对请求接入网络用户的身份进行验证。r f c 标准r f c 2 8 6 5 1 2 4 1 和r f c 2 8 6 6 f 2 5 j 描述 了r a d i u s 协议的基本功能及数据包格式。 r a d i u s 协议主要提供三个基本功能：a u t h e n t i c a t i o n ( 认证) 、a u t h o r i z a t i o n ( 授权) 和a c c o u n t i n g ( 计费) ，即a a a 功能，该协议采用客户端服务器类型 的结构。r a d i u s 协议是t c p i p 协议中的应用层协议，其利用u d p 协议作为传 输层的载体并采用1 8 1 2 作为认证的目的端口，1 8 1 3 作为计费的目的端口【2 4 】1 2 5 1 。 r a d i u s 包封装格式为e t h e r n e t ：i p ：u d p ：r a d i u s ：e a p ，其数据包格式如 图2 - 6 所示： 1l2 c o d ei d e n t i f i e r l e n g t h a u t h e n t i c a t o r ( 1 6 ) a t t r i b u t e ( n ) 图2 6r a d i u s 协议的数据包格式 r a d i u s 报文中主要内容定义如下： ( 1 ) c o d e ：此字段长度为1 个字节，它用来表示认证者和认证服务器之前传 递的r a d i u s 数据包所属的类型。以下是各种类型及对应的字段值： l = a c c e s s r e q u e s t 2 = a c c e s s a c c e p t 3 = a c c e s s r e j e c t 1 3 中山人学硕l 学位论文 1 4 4 2 a c c o u n t i n g 。r e q u e s t 5 = a c c o u n t i n g - r e s p o n s e 11 = a c c e s s c h a l l e n g e 12 = s t a t u s s e r v e r ( e x p e r i m e n t a l ) 13 = s t a t u s c l i e n t ( e x p e r i m e n t a l ) 2 5 5 = r e s e r v e d ( 2 ) i d e n t i f i e r ：此字段长度为1 个字节，它用来标识r e q u e s t 数据包和r e s p o n s e 数据包之自j 的对应关系，属于同一组请求和回复数据包的此i d 值一致。 例如，当认证者给认证服务器发送一个r a d i u s a c c e s s r e q u e s t 帧，其 i d e n t i f i e r 字段取值为1 时，认证服务器回复给认证者的数据帧中 i d e n t i f i e r 字段取值也为1 。 ( 3 ) l e n g t h ：此字段长度为2 个字节，它指的是整个r a d i u s 数据包的长度， 是c o d e 字段( 1 个字节) 、p a c k e ti d e n t i f i e r 字段( 1 个字节) 、l e n g t h 字 段( 2 个字节