（计算机科学与技术专业论文）基于8021x协议的接入管理系统的分析与实现.pdf

北京邮电大学硕士研寅生毕业论文 基于8 0 2 1 x 协议的接入管理系统的分析与实现 摘要 随着以太网的迅速发展，网络接入成为人们关注的重点。8 0 2 1 x 是基 于端口的接入控制协议，正在逐步被各个厂商接纳用来构建接入管理系 统。 本文对8 0 2 1 x 协议和其他常见的接入认证协议做了介绍对比，并详 细分析了8 0 2 1 x 协议的典型认证流程。为了验证8 0 2 1 x 协议的安全性， 作者应用时间自动机对协议进行了形式化建模，在u p p a a l 软件工具中 进行了验证和故障分析。时间自动机是用来对实时系统进行建模和验证的 理论系统。u p p a a l 是对时间自动机进行建模、仿真和验证的软件工具。 通过在u p p a a l 中对8 0 2 1 x 协议进行建模和验证，证明8 0 2 1 x 协议 无论在网络正常的情况下还是网络故障时都能满足需求。最后，作者参与 设计开发了一套基于8 0 2 1 x 协议的接入管理系统，该系统提供了从认证、 访问控制到费用计算、业务管理的一体化解决方案，目前这套接入管理系 统在许多校园网得到实际应用。 关键词接入网，8 0 2 1 x ，形式化方法，时闻自动机，模型验证，i s p p a a l 北京邮电大学硕士研究生毕业论文 a n a l y s i sa n di m p l e m e n t a t i o no f a c c e s sm a n a g e m e n ts y s t e mb a s e do n8 0 2 1 x a b s t r a c t w i mt h e 】：h s t d e v e l o p m e n t o fe t h e m e t t h e m a n a g e m e n t o fa c c e s s n e t w o r kh a sb e c o m ea l li m p o r t a n tp r o b l e m i e e e8 0 2 1xi sa l la c c e s sc o n t r o l p r o t o c o lb a s e do np o r t sa n di t h a db e e nu s e dt oc o n s t r u c tt h em a n a g e m e n t s y s t e mo f a c c e s sn e t w o r k t h i sp a p e rp r e s e n t ss o m ea c c e s sa u t h e n t i c a t i o n t e c h n o l o g i e si n c l u d i n g 8 0 2 1 x ，a n da n a l y z e st h e8 0 2 1 xs t a n d a r di nd e t a i l t h ep a p e rc r e a t e saf o r m a l m o d e lo f 8 0 2 1 xb yt i m e da u t o m a t a a n du s eu p p a a lt oc h e c kt h e p r o p e r t i e s o ft h ep r o t o c 0 1 t i m e da u t o m a t ai sat h e o r yf o rm o d e l i n ga n dv e r i f i c a t i o no f r e a lt i m e s y s t e m u p p a a i i sat o o lb o xf o r m o d e l i n g s i m u l a t i o n a n d v e r i f i c a t i o no ft i m e da u t o m a t a t h e m o d e l i n ga n d v e r i f i c a t i o ni nu p p a a l p r o v e t h a t8 0 2 1 xc a r ls a t i s f y t h er e q u i r m e n t sn om a t t e rt h en e t w o r ki si ni l o r m a lo ra b n o r m a lc i r c u m s t a n c e s ? f i n a l l y ，t h ep a p e r i n t r o d u c e st h e d e s i g n a n d d e v e l o p m e n t o fa na c c e s s m a n a g e m e n ts y s t e mb a s e do n8 0 2 1 x ，a n dt h es y s t e mh a sb e e nu s e di nm a n y l i d i v e r s i t i e s k e 3 州o r d s a c c e s sn e t w o r k ，8 0 2 1 x ，f o r m a lm e t h o d ，t i m e da u t o m a t a ， m o d e l c h e c k i n g ，u p p a a l 北京邮电大学硕士研究生毕业论文y7 5 7 5 3 9 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究成果。 ；我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不包含其他人 ! 经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他教育机构的学位 e 证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中 了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处， 本人签名： 石凌。垫 本人承担一切相关责任。 日期：! 丛，! ! ! 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即：研究 兰在校攻读学位期间论文工作的知识产权单位属北京邮电大学a 学校有权保留并向国 彖有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借阅；学校可以 公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它复制手段保存、汇 痛学位论文。( 保密的学位论文在解密后遵守此规定) 释 非保密论文注 北京郾电大学硕士研究生毕业论文 引言 随着网络和信息技术的发展，社会的网络化、信息化程度越来越高，传统的电报 电话业务，甚至文件传输、电子邮件等数据业务己不能满足人们的需求，更高品质的 集视频、图像、声音、文字、甚至动画等为一体的多媒体应用服务，越来越被人们所 期望。传统的拨号上网等接入方式也逐渐会被淘汰，宽带上网和无线上网将成为主流。 目前，各大电信运营商都在加速宽带网络和无线网络的建设，未来是宽带和无线 的世界。随着宽带和无线i p 技术的发展和成熟，i p 多媒体应用将无处不在，成为人 们生活不可缺少的一部分。以i p 为基础，扩大互联网产业价值链，与合作伙伴共同 推进社会信息化、网络化进程，已经成为宽带运营商的主要发展目标。 在巨大的市场推动下，各种接入运营商如雨后春笋般纷纷出现。为了尽早完成“圈 地”，相关运营商在没有合适的认证、计费技术的情况下普遍采用无用户认证、包月 计费等简单运营策略完成初期网络建设和运营。随着用户量的增加和业务的发展，这 种方式越来越不能满足用户和运营商的需求。因此，建立完善合理的认证计费体系， 是接入网运营管理中急需解决的问题。接入认证系统的主要要求为： 支持多种认证授权方式，方便对用户进行各种控制； 支持多种计费策略，满足各种用户的需求； 支持目前各种主要业务，并方便以后扩展新业务。 在上述背景下，我们对目前主流的接入认证技术做了研究分析。目前主流的接入 认证技术有p p p o e ( p p po v e re t h e m e t ) 接入认证、w e b + d h c p ( d y n a m i ch o s t c o n f i g u r a t i o np r o t o c 0 1 ) 接入认证和8 0 2 1 x 接入认证。 p p p o e 又称为以太网点对点协议，是将p p p ( t h e p o i n t t o p o i n tp r o t o c 0 1 ) 承载到 以太网之上，充分利用以太网技术的寻址能力，其实质是在共享介质的网络上提供一 条逻辑上的点到点链路【l 】。在p p p o e 认证中，认证系统必须将每个包进行拆解，以验 证用，t 的合法性，一旦用户数量剧增或数据包增大、封装速度跟不上，就很容易形成 网络瓶颈。而且这种认证方式的大量拆解包过程需要通过价格昂贵的设备完成，因而 增加了艮络部署与运营成本。 w e b f d h c p 是一种基于业务类型的认证，无需特定客户端软件，只需浏览器 即可完成，极大地方便了用户。但这种认证方式需要七层协议支持，为实现二层连接 与认证而跑到七层，不符合网络逻辑，这种基于七层的认证对四层以下的网络问题往 往检测不到。同时，在这种认证体系中，用户首先获得i p 地址，再通过客户端认证， 是对i p 地址资源的浪费；而且分配i p 地址的w e b 认证服务器对用户而言完全裸露， 极易遭受恶意攻击，导致整个认证系统的瘫痪。 8 0 2 1 x 协议是i e e e 在2 0 0 1 年公布的一种基于端口的网络接入控制协议标准， 北京邮电大学硕士研究生毕业论文 该协议只关注l a n 端口的开关( 通过认证时，l a n 端口打开，否则端口处于关闭状 态) ，认证的结果仅仅是l a n 端口状态的改变，不涉及传统认证技术必须考虑的i p 地址协商与分配问题。因此，基于8 0 2 1 x 的接入认证方式是目前各种认证技术中最 易实现的一种解决方案。目前，这技术已得到包括思科、微软等众多业内领先厂商 的大力支持，微软已在w i n d o w sx p 操作系统增添了针对i e e e8 0 2 1 x 安全协议的支 持，思科、华为、神州数码等厂商也都推出了支持8 0 2 1 x 协议的交换机。 目前基于8 0 2 1 x 的接入认证方式逐渐开始大规模应用。那么8 0 2 1 x 协议究竟能 不能满足接入控制的需求，是不是一个可靠的接入认证协议呢? 本文详细的讲解了8 0 2 1 x 协议的工作机制和流程，应用时间自动机( t i m e d a u t o m a t a ) 对其进行了形式化建模、仿真和验证，论证了该协议的安全性，最后介绍 了作者参与设计开发了一套基于8 0 2 1 x 的接入管理系统。 论文的其余部分组成如下：第一章介绍了接入控制和认证计费的相关技术、协议 标准；第二章详细分析了8 0 2 ，l x 协议的工作机制和流程；第三章用时间自动机对 8 0 2 1 x 协议进行形式化建模；第四章用u p p a a l 工具对8 0 2 1 x 协议的时间自动机模 型进行了验证分析；第五章介绍了基于8 0 2 1 x 的接入网认证计费系统的实现：第六 章总结了本文的工作。 北京邮电大学硕士研究生毕业论文 第一章接入管理系统相关技术与协议 一个完善的接入管理系统至少包含客户端、网络接入设备、认证服务器三部分， 主要涉及接入协议、认证协议和其他一些网络技术。本章对目前接入管理系统常用的 相关技术、协议、标准进行了介绍和比较。 1 1 主流接入管理技术 目前主流的接入控制技术和协议包括p p p o e 、w e b + d h c p 、8 0 2 1 x 等，下面 分别进行说明和比较，分析了各自的优缺点。 1 1 1p p p o e 技术 p p p o e 是为了满足越来越多的宽带上网设备( 如a d s l ，无线等) 和越来越快的 网络之间的通信而开发的标准，它基于两个广泛接受的标准：局域网e t h e m e t 和p p p 点对点功议。p p p 协议属于数据链路层协议，它提供了一种将各种高层协议封装打包 的方法，提供点对点的连接，但其本身不具备寻址能力。p p p o e 是将p p p 承载到以 太网之上，充分利用以太网技术的寻址能力，其实质是在共享介质的网络上提供一条 逻辑上的点到点链路，提供以太网中的每个上网用户与宽带接入服务器之间的一条逻j 辑p p p 连接，多个以太网上的用户同时通过p p p o e 协议获得相应数目的逻辑p p p 连 接。 p p p o e 分为两个阶段，即地址发现( d i s c o v e r y ) 阶段和p p p 会话阶段。当某个 主机希望发起一个p p p o e 会话时，它必须首先执行地址发现广播来确定对方的以太 网m a c 地址并建立起一个p p p o e 会话标识符。虽然p p p 定义的是端到端的对等关 系，地址发现却是一种客户机服务器关系，它允许主机发现所有的访问集中器( a c c e s s c o n c e n t r a t o r ) 并从中选择一个作为服务器。当地址发现阶段成功完成之后，主机和 访问集中器两者都具备了用于在以太网上建立点到点连接所需的所有信息。一旦p p p 会话建立，主机和访问集中器两者都必须为个p p p 虚拟接口分配资源。 p p p o e 的实质是以太网和拨号网络之间的一个中继协议，它继承了以太网的快速 和p p p 拨号的配置简单、用户认证完善、i p 分配和带宽控制灵活等优势。对用户而 言，p p p o e 这种解决方案使用普通的以太网卡，它利用了目前广泛使用的标准拨号方 式，只需要在用户的p c 机里面加装一个p p p o e 拨号客户端的软件( w i n d o w sx p 已 经内嵌) ，就可以象以前一样拨号上网。目前p p p o e 协议普遍应用于电信提供的x d s l 业务中。 北京邮电大学硕士研究生毕业论文 在p p p o e 认证过程以及随后的数据交换过程，p p p 协议需要被再次封装到以太 帧中，认证系统必须将每个包进行拆解才能判断和识别用户是否合法，一旦用户增多 或者数据包增大，封装速度必然跟不上，形成网络瓶颈，所以封装开销较大，对网络 接入设备要求很高。 11 2w e b + d h c p 技术 d h c p 又称为动态主机配置协议，可以在t c p i p 网络上使客户机获得配置信息。 它是基于b o o t p ( b o o t s t r a pp r o t o c o l ) 协议，并在b o o t p 协议的基础上 添加了自动分配可用网络地址等功能。这两个协议可以通过一些机制互操作【2 】。 d h c p 支持三种i p 地址分配方法：第一种是自动分配，d h c p 给用户分配一个 永久的i p 地址；第二种是动态分配，在这种情况下，用户可以取得一个i p 地址，但 是有时间限制；第三种是手工分配，在这种方法下，用户的i p 地址是由管理员手工 指定的，d h c p 服务器只需要将这个指定的i p 地址传送给用户即可。 动态分配是一种允许自动重用地址的机制，因此这种方法对于有临时上网用户， 而且网络的i p 地址资源有限的情况特别适用。 利用d h c p 技术和h t t p 重定向技术，可以方便的对用户进行认证和地址管理。 用户开机时通过d h c p 从服务器动态得到i p 地址，接入设备为该用户添加访问控制 列表，让用户只能访问指定的w e b 服务器进入认证页面，认证通过后，接入设备修 改该用户的访问控制列表，用户可以访问外部因特网或其他网络服务。 w e b + d h c p 认证方式是属于应用层的认证，认证报文需要经过链路层、网络 层、传输层以及应用层，认证效率较低。在认证通过前主机首先需要通过d h c p 获 取n - 个i p 地址，所以这种认证方式也容易造成i p 地址的浪费。另外，这种技术需 要后台配置一个w e b 服务器，一般由接入设备的厂商专门开发，增加了系统成本。 1 1 38 0 2 1 x 技术 i e e e8 0 2 1 x 是基于端口的访问控制协议( p o r t b a s e dn e t w o r ka c c e s sc o n t r n l p r o t o c o lj ，它由i e e e 在2 0 0 1 年公布，起源于8 0 2 1 1 协议( 标准的无线局域网协议l 最初主要解决无线局域网用户的接入认证问题。在2 0 0 4 年发布的8 0 2 1 1 i 协议中， 8 0 2 1 x 被正式采用为无线局域网接入认证管理协议【3 。 8 0 2 i x 提供一种在以太网络的链路层传输可扩展认证协议e a p ( e x t e n s i b l e a u t h e n t i c a t i o n p r o t o c 0 1 ) 数据包的机制，利用这种机制，可以简单、高效地对接入8 0 2 网络的设备进行认证和授权，是一种比较简单有效的局域网接入方式。 i e e e8 0 2 1 x 协议的体系包括三个部分：申请者( s u p p l i c a n t ) 、认证系统 北京邮电大学硕士研究生毕业论文 ( a u t h e n t i c a t o rs y s t e m ) 、认证服务器( a u t h e n t i c a t i o ns e r v e r ) 。 申请者是一个用户终端系统，该终端系统通常要安装一个客户端软件，用户通过 启动这个客户端软件发起8 0 2 1 x 协议的认证过程，客户端系统需支持e a p o l ( e a p o v e rl a n ) 协议。 认证系统是支持8 0 2 1 x 协议的网络接入设备。该设备对应于每个用户的端口( 可 以是物理端口，也可以是用户设备的m a c 地址、v l a n 、i p 等) 是两个逻辑端口： 受控端口和不受控端口。不受控端口始终处于双向连通状态，主要用来传递e a p o l 协议帧，可保证客户端始终可以发出或接受认证。受控端口只有在认证通过的状态下 才+ 打开，用于传递网络资源和提供服务。如果用户未通过认证，则受控端口处于未授 权状态，用户无法访问认证系统提供的服务。 认证服务器为认证系统提供认证服务，通常采用业界通用的认证服务器r a d i u s 服务器。 8 0 2 1 x 认证的结果在于端口状态的改变，而不涉及通常认证技术必须考虑的i p 地址协商和分配问题，是各种认证技术中最简化的实现方案。 1 1 4 几种技术的比较 p p p o e 接入认证方式的标准和设备比较成熟，承载数据与认证数据都需通过 p p p o e 封装，对用户控制能力强，能实现流量控制，i p 地址分配由于客户端不可改 动而十分易于管理，计费数据相当准确。在于网络性能和设各处理效率低，容易形成 流量瓶颈；由于其建立在2 层网络上的特点和点对点的本质，限制了组播协议的存在， 将会在一定程度上，影响今后视频业务的开展：另外接入设备价格昂贵也是一个主要 的缺点。 d h c p + w e b 方式无特殊封装，认证通过后承载数据可直接转发，网络性能和设 各处理效率较高，不存在2 层网络局限的问题。但这种方式使用d h c p 来动态分配 i p 地址，在防止用户盗用i p 地址等方面，还需要额外的手段来控制；认证层次过高 影响认证效率，也会对某些网络资源的安全性带来一定隐患。 i e e e8 0 2 i x 方式中承载数据信道与认证悟道分开，网络性能和设各处理效率较 高；认证通过后分配i p 地址，不存在盗用p 地址的情况：基于以太网内核，实现比 较简单，与以太网设备能够很好融合，设备成本低：认证协议主要在2 层，认证成功 后端口打开，对上层协议的变化和各种业务的开展没有任何影响。 三种接入方式的对比参见表2 1 ，可以看出三种方式各有特点，相比而言基于 8 0 2 1 x 的接入管理方案前景更好一点。 北京邮电大学硕士研究生毕业论文 表2 - 1 三种接八方式对比表 p p p o ed h c p + w e b8 0 2 1 x 标准化程度 r f c 2 5 t 6w e b 软件厂商私有i e e e 标准 封装开销大小小 控制方式数据认证统一数据认证分开数据认证分开 i p 地址认证后分配认证前分配认证后分配 组播支持差 好好 v l a n 要求无多无 客户端软件需要不需要需要 对设备要求 高私有设备，较高低 安全性高较高 地址仿冒能力 强强强 1 2 常用认证协议和算法 目前最常用的接入认证协议是p a p ( p a s s w o r d a u t h e n t i c a t i o np r o t o c 0 1 ) 和c h a p ( c h a l l e n g e h a n d s h a k ea u t h e n t i c a t i o np r o t o c 0 1 ) , e a p 是一种扩展认证协议，可以在 e a p 中承载其他的认证协议，包括p a p 和c h a p 等。认证过程中，m d 5 信息摘要算 法被经常用来对密码等信息进行哈希加密。本节主要对这些协议和算法做介绍说明。 12 1m d 5 算法 m d 5 ( m e s s a g e d i g e s t a l g o r i t h m5 ) ，又称信息摘要算法，在9 0 年代初由麻省理 工大学计算机科学实验室的r o n a l dl r i v e s t 开发，经m d 2 、m d 3 和m d 4 发展丽来 的一种哈希加密算法一j 。 m d 5 算法对任意长度的信息文件进行不可逆的字符串变换，产生个唯一的1 2 8 位长度的“指纹”或“报文摘要”。无论文件的内容发生了任何形式的改变( 包括人 为修改或者下载过程中线路不稳定引起的传输错误等) ，对这个文件重新计算m d 5 时就会发现信息摘要是不相同的。 m d 5 广泛用于加密和解密技术上。l k , 女n 在大多数u n i x 系统中用户的密码就是 以m d 5 算法加密后存储在文件系统中。当用户登录的时候，系统把用户输入的密码 计算成m d 5 值，然后再去和保存在文件系统中的m d 5 值进行比较，进而确定输入 北京邮电大学硕士研究生毕业论文 的密码是否正确。通过这样的步骤，系统在并不知道用户密码的明码的情况下就可以 确定用户登录系统的合法性。这不但可以避免用户的密码被具有系统管理员权限的用 户知道，而且还在一定程度上增加了密码被破解的难度。 122p a p 和c h a p 认证 p a p 和c h a p 是p p p 协议中规定的认证协议，代码分别是c 0 2 3 和c 0 2 4 。 p a p 是一种简单的明文验证方式，网络按入服务器( n e ta c c e s ss e r v e r ) 要求用 户提供用户名和口令，p a p 以明文方式返回用户信息f 9 1 。 很明显，p a p 验证方式的安全性较差，第三方可以很容易的获取被传送的用户名 和口令，并利用这些信息与网络接入服务器建立连接，获取网络接入服务器提供的所 有资源。所以一旦用户密码被第三方窃取，p a p 无法提供避免受到第三方攻击的保障 措施。 c h a p 对p a p 进行了改进，不再直接通过链路发送明文口令，而是使用质询口 令以哈希算法对口令进行加密【l 。认证的流程是：用户提出认证申请；网络接入服务 器生成一个随机的质询口令回复给用户；用户把这个质询口令和私有密码用哈希算法 进行加密生成密文，将密文发送给网络接入服务器；网络接入服务器也将质询口令和 用户密码用哈希算法计算得出密文并进行比较，如果两个密文一样说明认证成功，否 则认证失败。在整个连接过程中，c h a p 可以不定时的向客户端反复发送质询口令， 从而避免第3 方的欺诈攻击。 12 3 通用的e a p 认证 e a p 是p p p 的可扩展认 正协议，是一个通用的二进制协议，它的优势在于支持 多种认证机制且不必在链路控制阶段就选择一种认证机制，而是把这一步推迟到认证 阶段 1 “。网络接入服务器不必要理解每一种请求类型，而可以简单的作为“后端”服 务器的透明传输代理，所有的认证工作由认证服务器处理完成，设备仅仅需要检查应 答信息码的类型来结束认证阶段。 e a p 可以为多种认证方式提供了一个标准支持机制，如令牌卡和m d 5 一c h a l l e n g e 等。m d 5 c h a l l e n g e 是e a p 必须支持的认证算法，也是最常用的认证算法。 e a p 的基本工作过程如下：在链路建立阶段完成后，认证系统发送一个或多个 认证请求( 认证请求中有一个类型域，表明请求的类型。即上面所提到的算法) ，典 型情况下，认证系统首先发送一个i d e n t i t y 请求，然后是一个或多个带有算法信息的 认证请求；客户端针对认证请求，发送一个响应数据包，响应包中的类型域与对应的 认证请求的类型域相同；认证系统校验后，发送一个s u c c e s s 或f a i l u r e 数据包结束认 北京邮电大学硕士研究生毕业论文 证阶段。 通过e a p 与强壮的认证算法结合，可以更好的保证数据安全性和免受攻击。目 前，e a p 是8 0 2 1 x 上的主要认证协议。1 。 e a p 报文的格式如图卜1 所示，传输时各域从左到右依次传输。 图1 1e a p 报文格式 c o d e ：该域占用一个字节，用于标识e a p 报文的类型。该域包含以下四种类 型值：l - r e q u e s t ，2 - r e s p o n s e ，3 - s u c c e s s ，4 - - f a i l u r e 。 i d e n t i f i e r ：该域占用一个字节，用于将r e q u e s t 和r e s p o n s e 对应起来。在认证 和重认证过程中该域的值保持不变。 l e n g t h ：该域占用两个字节，用于说明e a p 报文的总长度，包括c o d e 、 k t e n t i f i e r 、l e n g t h 年f l d a t a j 或。 d a t a ：该域占用零个或多个字节，该域采用的格式与c o d e 域的类型值相关。 t y p e ：该域占用一个字节，主要定义了各种认证机制，在r f c 2 2 8 4 中定义了 6 种：1 - 1 i d e n t i f i e r ，2 - n o t i f i c a t i o n ，3 - n a k ( r e s p o n s eo n l y ) ，4 - m d 5c h a l l e n g ：e ， 5 - o n et i m ep a s s w o r d ，6 - g e n e r i ct o k e n c a r d 。可以根据需要定义新的认证代 码。 t y p e d a t a ：该域占用零个或多个字节，该域的数据和t y p e 域使用的认证方式 相关联，采用三元组的格式存放数据。 1 3r a d i u s a a a 服务 a a a 是a u t h e n t i c a t i o nf 认证) 、a u t h o r i z a t i o n ( 授权) 、a c c o u n t i n g ( 记帐) 的缩 写，是接入管理系统关注的核心。r a d i u s 是业界的一种a a a 标准，被绝大多数的 厂商采用。本节对相关知识和协议做简单说明。 131 a a a 体系结构 a a a 模型聚焦用户访问的三个关键层面：认证、授权和记帐。 认证：网络管理者对要使用网络资源的用户进行身份确认的过程，最常见的就是 北京邮电大学硕士研究生毕业论文 用户帐号和密码。其关键问题有两个：建立强壮的密码和可靠的分发方式：建立信任 关系，实现代理功能。 授权：网络管理者使用规则集合和模板来决定通过认证的用户怎样使用其资源， 如i s p 分配给用户的地址可以是静态i p 或d h c p 动态i p 。其关键问题是如何建立一 个通用的规则模型来满足多种需求。一个“高效的”的a a a 服务器实现应该能够做 到无论请求是否正确，它都可以分析请求，对请求的服务进行授权。 记帐：网络管理者测量、收集、记录用户对网络资源的消耗，包括时间、流量等， 作为进一步进行授权控制、审计、计费和趋势分析的依据。其关键问题包括：保证记 帐数据的准确性和分析域内、域间记帐模型。 记帐数据的用处很多。通常，管理员可以通过分析成功的请求来判定系统的容量 和预测未来系统的负荷：运营者可以通过分析服务所消耗的时间进行服务的收费：安 全分析员可以通过分析拒绝请求来判断是否有黑客对网络进行攻击。 a a a 模型的基本思想是将网络管理规范化，把认证授权和记帐功能从分散的网 络设备h 转移到一台或多台服务器上，即所谓的a a a 服务器，集中监控和管理网络 的访问控制。 13 2r a d i u s 协议 r a d i u s ( r e m o t e a c c e s s d i a l i n u s e r s e r v i c e ) 在1 9 8 9 年由l i v i n g s t o n 公司开发， 在1 9 9 7 年被i e t f 接受成为r f c 协议。目前它已被广泛应用在运营网络中，是一个 事实上的a a a 协议标准。 r a d i u s 协议是典型的客户机n 务器结构( c l i e n t s e r v e r ) ：网络接入服务器充当 r a d i u s 的客户端，它在网络上可以是路由器，交换机等设备。r a d i u s 客户端负责 传送用户信息和资源使用记录到指定的r a d i u s 服务器，然后根据服务器的响应处 理用户要求。r a d i u s 服务器根据用户的连接请求实行认证，存储资源消耗信息，向 网络接入服务器返回授权信息或记帐确认。 由于r a d i u s 的无状态性和u d p 的设计思想有类似性，r a d i u s 协议剥用u d p 协议传输，因此r a d i u s 的实现必须考虑重传机制。r a d i u s 协议规定服务器使用 的认证授权端口为1 8 1 2 ，记帐端口为1 8 1 3 【1 2 】。 r a d i u s 客户端与r a d i u s 服务器之间通过一个共享密钥来进行相互认证，这 个密钥永远不在网络上传输，任何密码都会通过密文传输，以此来保证网络通信过程 的安全性。 r a d i u s 协议支持多种认证方式，比如p a p 、c h a p 、e a p ，具有良好的可扩展 性，所有的事务都封装在a t t r i b u t e l e n g t h v a l u e 结构的三元组中，新的属性可以被方 便地添加而不会影响已有协议的实现；支持多个管理域协作和分布式服务，多个服务 北京邮电大学硕士研究生毕业论文 器之间的交互通过共享密钥加密，为用户支持漫游和异地认证。 r a d i u s 协议的数据报文格式见图1 2 。 图卜2r a d il s 报文格式 c o d e ：该域占用一个字节，用于标识r a d i u s 数据包的类型。 i d e n t i f i e r ：该域占用一个字节，用于匹配请求与回复。如果在一个很短的时 间片段里，一个请求有帽同的客户源i p 地址、源u d p 端口号和标识符， r a d i u s 服务器会认为这是上一个重复的请求。 l e n g t h ：该域占用两个字节，用于说明数据包的总长度，包括编码、标识符、 长度、鉴别码和属性域在内。 a u t h e n t i c a t o r ：该域占用1 6 个字节，用于验证来自r a d i u s 服务器的回复是 否被假冒。 a t t r i b u t e s ：该域占用0 或多个字节，采用a t t r i b u t e l e n g t h v a l u e 结构存放 r a d i u s 报文要传送的各种数据，例如：用户名，加密后的密码等数据。 1 4 小结 本章对接入认证管理系统可能使用的技术和协议做了介绍和分析，可以看出采用 8 0 2 1 x 协议和r a d i u sa a a 服务器构造接a n 管理系统是一种简单易行并安全高效 的解决方案。因为8 0 2 1 x 是基于端口的m a c 层控制协议，可以很方便的在该系统上 扩展其他业务，端口授权以后对网络性能没有任何影响。下一章将对8 0 2 1 x 协议做 详细的分析说明。 北京邮电大学硕士研究生毕业论文 第二章8 0 2 。1x 协议分析 8 0 2 1 x 协议标准定义的接入系统包括认证申请者、认证系统和认证服务器三部 分，标准定义了三者之间的通信协议和端口控制机制。本章分别从体系结构、工作机 制和工作流程三个方面对8 0 2 1 x 协议进行了详细解释和分析。 2 18 0 2 1 x 体系结构 i e e e 在2 0 0 1 正式颁布了8 0 2 1 x 标准，用于基于以太的局域网、城域网和各种 宽带接入手段的用户设备接入认证。该协议最初假定的应用环境是交换式以太网中， 但是在标准化过程中也考虑到了像8 0 t 1 l b 和c a b r e 接入等共享式以太网络应用环境 对认证的要求。8 0 2 1 x 认证采用基于以太网端口的用户访问控制技术，可以克服 p p p o e 方式带来的诸多问题，并避免引入集中式宽带接入服务器所带来的巨大投资。 在传统以太网设备基础上，基于端口的网络访问控制技术对端口用户进行认证和 授权，从而使以太网设备达到电信运营要求。用户侧的以太网交换机上放置一个e a p 代理，用户p c 机运行e a p o l ( e a po v e rl a n ) 的客户端软件与交换机通信。基于 端口的网络访问技术的基本思想是网络系统可以控制面向最终用户的以太网端口，使 得只有网络系统允许并授权的用户可以访问网络系统的各种业务，如以太网连接、网 络层路由、i n t e m e t 接入等业务。 8 0 2 1 x 协议是c l i e n t s e r v e r 结构的访问控制和认证协议。它可以限制未经授权的 用户、设备通过接入端口访问l a n m a n 。在认证通过之前，8 0 2 1 x 只允许e a p o l 数据通过设备连接的交换机端口；认证通过以后，正常的数据可以) i l 骄e d 地通过以太网 端口。 以太网的每个物理端口被分为受控和不受控的两个逻辑端口，物理端口收到的每 个帧都被送到受控和不受控端口。对受控端口的访问，受限于受控端口的授权状态。 认证系统根据认证服务器认证过程的结果，控制“受控端口”的授权，未授权状态， 处在未授权状态的控制端口将拒绝用户设备的访问。 上述端口可以是物理端口，如以太网交换机上的一个端口；也可以是逻辑端口， 例如，用户的m a c 地址、v l a n 、i e e e 8 0 2 1 1 接入点( a c c e s sp o i m ) 与终端( s t a t i o n ) 之间的关联等。通过将物理端口扩展为逻辑端口，可以增强认证授权控制的力度。 网络访问的核心部分是端口访问实体p a e ( p o r t a c c e s s e n t i t y ) 。p a e 可能充当申 请者的角色或认证系统的角色：位于设备端的p a e 充当认证系统的角色；位于客户 端的p a e 充当申请者的角色。 北京邮电大学硕士研究生毕业论文 2 1 。 1 e e e8 0 2 1 x 认证系统包括客户端、设备端和认证服务器三部分，体系结构见图 客户端设备端服务器端 客户端p a e 设备端提供的服务卜一设备端p a e 卜一 d 认证服务器 jljl 受控端口 非受控端口 1r 0 lan 图2 - 18 0 2 1 x 体系结构 客户端是位于局域网上点对点链路一端的一个实体，由连接到该链路另一端的接 入网设备对其进行认证。客户端一般为一个用户终端设备，用户通过启动客户端软件 发起8 0 2 1 x 认证。 设备端是位于局域网上点对点链路一端的一个实体，对连接到该链路另一端的客 户端进行认证。设备端通常为支持8 0 2 1 x 协议的网络接入设备，它为客户端提供接 入网络获取服务的端口，该端口可以是物理端口，也可以是逻辑端口。 队证服务器是为设备端提供认证服务的实体。认证服务器用于实现用户的认证、 授权和计费，一般使用r a d i u s 服务器，r a d i u s 服务器已经成为a a a 服务器的标 准选择。 211端口接入实体p a e 端口接入实体为与端口相关联的协议实体，执行与认证机制相关的算法和协议， 分为设备端p a e 和客户端p a e 两种。 客户端p a e 负责响应设备端的认证请求，向设备端提交用户的认证信息。客户 端p a e 也可以主动向设备端发送认证请求和下线请求。 设备端p a e 利用认证服务器对需要接入网络使用服务的客户端执行认证，并根 据认证结果相应地控制受控端口的状态。 设备端p a e 和认证服务器可以位于同一个设备，也可以位于两个不同的设备。 但通常设备端p a e 和r a d i u s 服务器位于两个不同的设备，这样方便管理和性能的 提升。 北京邮电大学硕士研究生毕业论文 2 12受控端口和非受控端口 基于端口的网络接入控制将设备端为客户端提供服务的端口分为两个虚端口：受 控端口和非受控端口。非受控端口始终处于双向连通状态，用于传递e a p 认证报文。 受控端1 5 1 在授权状态下处于连通状态，用于传递业务报文；在非授权状态下处于断开 状态，禁止传递任何报文。受控端口和非受控端i ；3 是同一端口的两个部分，任何到达 该端口的帧，在受控端口与非受控端口上均可见。 受控端口与非受控端口示意图如图2 2 ： 图2 2 爱控端口和非受控端口 当满足下列条件之一时，受控端口处于授权状态： a ) 与端口关联的m a c 可用，同时管理员将受控端曰强制置为授权状态； b ) 与端口关联的m a c 可用，同时用户认证成功。 当满足下列条件之一时，受控端口处于非授权状态： a ) 管理员将受控端口强制置为非授权状态： b 1 与端口关联的m a c 不可用； c 1 用户认证失败； d 1 用户下线。 设备端p a e 与客户端p a e 之间通过非受控端口进行协议报文交换；设备端p a e 与认证服务器之间通过端口进行协议报文交换，不受制于受控端口的状态。 21 3单向受控和双向受控 在非授权状态下，受控端口可以被设置成单向受控和双向受控。实行双向受控时， 禁止报文的发送和接收；实行单向受控时，禁止从客户端接收报文，但允许向客户端 发送报文。 默认情况下，受控端口实行双向受控，可考虑针对每个受控端口实行单向受控。 北京邮电大学硕士研究生毕业论文 2 28 0 2 1 x 认证系统工作机制 221协议体系 1 e e e8 0 2 1 x 认证系统利用e a p 协议，作为在客户端和网络接入服务器之间交换 认证信息的手段。在客户端p a e 与设备端p a e 之间，e a p 协议报文使用e a p o l 封 装格式，直接承载于l a nm a c 环境中。在设备端p a e 与r a d i u s 服务器之间，e a p 协议报文可以使用e a p o r 封装格式( e a po v e r r a d i u s ) ，承载于r a d i u s 协议中： 也可以由设备端p a e 对e a p 报文进行终结，在设备端p a e 与r a d i u s 服务器之间 通过r a d i u s 协议传送p a p 协议报文或c h a p 协议报文等。 设备端p a e 和认证功能相分离，r a d i u s 服务器可以使用多种不同的认证机制 对客户端p a e 进行认证，包括m d 5 c h a l l e n g e 、t l s ( t r a n s p o r tl a y e rs e c u r i t y ) 、p a p 、 s m a r tc a r d s 、k e r b e r o s 、p u b l i ck e ye n c r y p t i o n 、o t p ( o n et i m ep a s s w o r d s ) 等等。 为了兼顾认证的安全性、简单性和通用性，通常采用m d 5 c h a l l e n g e 认证机制( 属于 c t t a p 认证方式，哈希算法采用m d 5 ) ，暂不考虑实现双向认证，双向认证的机制还 有待研究。 8 0 2 1 x 认证系统的协议体系如图2 - 3 。 r a d i u s u 2 、议承载的 i 一鬯吗r 磊；1 0 竺竺竺望v i 五百嘉 【。，1 。，一j 【。，+ 一 2 2 2认证发起 图2 - 380 2 1 x 协议体系 在i e e e8 0 2 1 x 标准中，认证过程可以由客户端p a e 主动发起，也可以由设备 端p a e 主动发起，但实际应用中认证过程一般都是由客户端p a e 主动发起。 客户端在需要使用设备端提供的服务时，主动发起认证。 客户端p a e 必须首先向设备端p a e 发送一个e a p o l s t a r t 报文，表明准备认证。 设备端p a e 收到e a p o l s t a r t 报文后，必须发送一个e a p r e q u e s t i d e n t i t y 报文作为 响应，即报文中包含一个i d e n t i t y 属性，用来唯一标识本次认证。 在认证发起的时候端口还处于关闭状态，认证发起