（计算机应用技术专业论文）基于PIC单片机的8021x接入认证技术研究.pdf

摘要 当前，随着园区网络，尤其是校园网的飞速发展，传统宽带接入 认证方式( 如：p p p o e ) 越来越凸显出其固有的缺陷。而基于i e e e 8 0 2 1 x 协议的以太网接入认证技术，实现了分散的用户控制和集中的 认证管理，可有效解决传统认证方式存在的问题。当前宽带接入嵌入 式设备被传统接入方式所垄断，因此基于8 0 2 1 x 协议的嵌入式认证 设备有待进一步研究开发。本文主要研究内容如下： 本文开始部分详细分析了传统宽带接入认证与8 0 2 1 x 认证协议 各自特点，全面分析8 0 2 1 x 协议认证原理、认证机制。同时使用 e t h e r e a l 协议分析器分析8 0 2 1 x 协议报文四次“握手”过程。 在硬件系统设计部分，采用高性能p i c l 8 f 2 4 5 5 单片机做为主控 器，配备e n c 2 8 j 6 0 为硬件系统的以太网控制器。在该章节中详细研 究了e n c 2 8 j 6 0 外围电路连接设计，如复位电路、时钟振荡器、l e d 配置和输入输出电平。最后重点研究p i c l8 f 2 4 5 5 单片机与e n c 2 8 j 6 0 之间连接s p i 通信协议，并给出详细的s p i 通信的源代码。 在软件系统设计部分，通过分析8 0 2 1 x 认证中e a p ( e x t e n s i b l e a u t h e n t i c a t i o np r o t o c 0 1 ) 协议报文，分析各个交互报文结构，研究每 个字段所表示含义，设计四次“握手”交互报文流程图，研究每个报 文在p i c 单片机中的实现过程。8 0 2 1 x 协议第三次“握手”交互中， 认证系统使用基于加5 加密请求机制，在研究5 加密算法应用 中。考虑到5 的复杂性和单片机资源有限性，在设计5 算法 时对该算法进行优化设计，如存储空间安排、“零拷贝等技术。 本系统通过运行测试，表明系统运行稳定，认证可靠，使用过程 安全。该系统的软硬件设计为8 0 2 1 x 认证的后续开发和研究提供了 客户端的支持和源代码级资料，具有较为重要的参考价值。 关键字：p i c l 8 f 2 4 5 5 ，e n c 2 8 j 6 0 ，m d 5 算法，8 0 2 1 x a b s t r a c t a t p r e s e n t ， w i t ht h ei n t e r n e t ， e s p e c i a l1 y t h e r a p i d d e v e l o p m e n to fc a m p u sn e t w o r k s ， t h et r a d i t i o n a lb r o a d b a n d a c c e s sa u t h e n t i c a t i o nm e t h o d s( s u c ha s ：p p p o e )i n c r e a s i n 9 1 y e x p o s e t h ei rv a r io u sd e f e c t s a n dt h ee t h e r n e ta c c e s si n g t e c h n o l o g yb a s e do nt h ei e e e8 0 2 1 xa u t h e n t ic a ti o np r o t o c 0 1c a n i m d l e m e n td is c r e t ec o n t r 0 1a n dc e n t r a liz e da u t h e n tic a ti o n m o s to ft h ec u r r e n tb r o a d b a n da c c e s se m b e d d e dd e v i c e su s et h e t r a d i t i o n a lb r o a d b a n da c c e s sa u t h e n t i c a t i o n s ot h ee m b e d d e d d e v i c e sb a s e do nt h e8 0 2 1 xa u t h e n t i c a t i o nd r o t o c 0 1n e e dt ob e r e s e a r c h e da n dd e v e l o p e d t h i sp a p e ri sa r r a n g e da sf o l l o w ： a tt h eb e g i n n i n g ，t h i st h e s i sa n a l y z e st h ec h a r a c t e r i s t i c s o ft h et r a d it i o n a la u t h e n ti c a ti o n f o ra c c e s s i n gb r o a d b a n d n e t w o r ka n dt h o s eo f8 0 2 1 xa u t h e n t i c a t i o np r o t o c 0 1i nd e t a i l ， t h e n ， i tr e s e a r c h e st h ea u t h e n t i c a t i o np r i n c i p l ea n dm e c h a n i s m o f8 0 2 1 xp r o t o c 0 1 a f t e rt h a t ，t h et h e s i ss t u d i e st h e4t i m e s h a n d s h a k i n gp r o c e s so ft h e8 0 2 1 xp r o t o c 0 1w i t ht h ee t h e r e a l p r o t o c o 1a n a ly z e r t h ed e s i g no ft h eh a r d w a r es y s t e ma d o p t sp i c l 8 f 2 4 5 5 m c u ( m i c r o c o n t r 0 1 1 e ru n i t )a st h em a s t e rc o n t r 0 1 l e r ， w i t h e n c 2 8 j 6 0b e i n ge i i l p l o y e da st h eh a r d w a r es y s t e m se t h e r n e t c o n t r 0 11 e r i nt h isc h a p t e r ，p e r i p h e r a lc i r c u i t sc o n n e c t e dt o e n c 2 8 j 6 0a r es t u d i e di nd e t a i l ，s u c ha st h er e s e tc i r c u i t ，t i m e r o s c i l l a t o r ， l e dc o n f i g u r a t i o n ， i n p u ta n do u t p u tl e v e l ， a n ds o o n i nt h el a s tp a r to ft h eh a r d w a r ed e sig n ，t h es p i ( s e r i a l p e r i p h e r a li n t e r f a c e )p r o t o c o l f o rt h ec o n n e c ti o nb e t w e e n p i c l 8 f 2 4 5 5a n de n c 2 8 j 6 0i sr e s e a r c h e dh e a v i l y ，r e l e v a n ts o u r c e l i c o d eo fs p ic o m m u n i c a t i o nb e i n gp r o v i d e d i n t h er e l e v a n tc h a p t e r sa b o u ts o f t w a r ed e s i g nf o r t h e s y s t e m ， t h i st h e s i sa n a l y z e st h es t r u c t u r eo fe a c hi n t e r a c t i v e p a c k e t ， a n dt h em e a n i n go fe a c hf ie l di nt h er e l e v a n tp a c k e t s t h et h e s i sa l s o d e s i g n s t h ef l o wc h a r to ft h e4 一t i m e s h a n d s h a k i n g ，a n dr e s e a r c h e sh o wt oi m p l e m e n te a c hp a c k e ti na p 工cs i n g l e c h i p w ek n o wt h a ti nt h et h i r dh a n d s h a k i n go f8 0 2 1 x p r o t o c 0 1 ， t h ea u t h e n t i c a t i o ns y s t e ma d o p t st h em e c h a n i s mo f e n c r y p t i n gr e q u e s tb a s e do nm d 5 c o n s i d e r i n gt h ec o m p l e x i t yo f m d 5a n dt h el i m i t e dr e s o u r c e si nas i n 9 1 e c h i pc o m p u t e r ，t h i s t h e s i so p t i m i z e st h ei m p l e m e n t a t i o no ft h ea l g o r i t h m ， s u c ha s m e m o r ya r r a n g e m e n ta n d“z e r o c o p y ”， e t c t h ee x p e r i m e n ts h o w st h a tt h es y s t e miss t a b l e ，t h e a u t h e n t i c a t i o ni sr e l i a b l e ，a n dt h ep r o c e s so fa u t h e n t i c a t i o n iss a f e t h ed e s i g no fh a r d w a r ea n ds o f t w a r ef o rt h iss y s t e m p r o v i d e sc 1i e n ts u p p o r ta n ds o u r c ec o d e1 e v e ld a t af o rf u r t h e r s t u d i e so ft h ea u t h e n t i c a t i o nb a s e do n8 0 2 1 x t h u s ，i th a s i m d o r t a n tr e f e r e n c ev a l u e k e yw o r d s ：p i c l 8 f 2 4 5 5 ，e n c 2 8 j 6 0 ， m d 5a 1 9 0 r i t h m ，8 0 2 1 x i 湖南师范大学学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下， 5 虫立进行研究工作所取得的成果。除文中已经注明引用的内容外，本 沦文不含任何其他个人或集体已经发表或撰写过的作品成果。对本文 的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本 人完全意识到本声明的法律结果由本人承担。 学位论文作者签名：沙1 多。发口7 年夕月厶g 日 i f 湖南师范大学学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定， 研究生在校攻读学位期间论文工作的知识产权单位属湖南师范大学。 同意学校保留并向国家有关部门或机构送交论文的复印件和电子版， 允许论文被查阅和借阅。本人授权湖南师范大学可以将本学位论文的 全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫 描等复制手段保存和汇编本学位论文。 本学位论文属于 1 、保密口，在年解密后适用本授权书。 2 、不保密阢 ( 请在以上相应方框内打“ ”) 作者签名：飞蛩日期：加7 年岁月z 吕日 导师签名：肜沪日期：川年0 月琊日 t 。 基于p i c 单片机的8 0 2 1 x 接入认证技术研究 1 1 引言 1 绪论 随着信息技术的发展，人们已经习惯于从i n t e r n e t 上获取重要 的信息，网络用户呈指数增长，网络提供的服务越来越丰富。但是， 网络信息的获取离不开快捷的网络接入手段，人们对网络带宽提出了 更高的要求，宽带网络成为网络建设的热点。因此，安全、快捷、高 效的接入认证管理成为许多网络运营商急需解决的棘手问题，如何对 用户进行认证管理成为了网络建设中的一项重要内容。本文在引用 8 0 2 1 x 宽带接入认证，并在此基础上实现宽带认证程序在嵌入式系 统中的实现。 1 2 研究背景 迅速发展的网络技术，特别是以i n t e r n e t 为代表的互联网正突 破以往以p c 为网络节点的概念，连通性、网络化正逐渐成为各类测 控装置、现场仪表仪器以及家用电器设计的发展方向。设备网络化设 计的最终目标是面向i n t e r n e t 的，因此，网络化设备必须符合当今 最流行的i n t e r n e t 技术，才能使人们能够在更大范围管理和使用这 些设备。利用嵌入式矗t e r n e t 技术可以真正实现设备的远程管理和 控制，允许重新下载或更新智能设备的运行程序而这一切的控制操 作只需通过标准的i n t e r n e t 浏览器就能实现，替代了传统的，复杂 的上位机系统既然设备接入网络的最终目标是面向i n t e r n e t 的，首 先很自然会想到i n t e r n e t 接入方式，嵌入式宽带接入最大的困难【l 】： 网络接入认证协议对于计算机存储器，运算速度等要求比较高，而嵌 入式系统中大量存在的不同类别的单片机，资源非常有限，同时还要 满足实时性要求，所以必须合理分配系统有限的资源、优化组合各个 系统认证模块，实现有限资源的”无限”发展。 硕士学位论文 1 3 常用的宽带接入认证协议介绍 常用的认证技术有三种：w e b 认证、p p p o e 认证和8 0 2 1 x 认证。 三种认证技术各有优缺点，不同的应用环境可以采用不同的认证技 术，但就以太网而言，8 0 2 1 x 认证从安全性、方便性和管理维护方 面来说更为合适。 1 3 1w 印认证方式及其特点 基于w e b 的认证是一种应用层的认证方法，与介入的介质和网络 环境没有直接的关系，用户通过d h c p 获得i p 地之后，通过通用浏览 器访问制定的w e b 页面地址、端口及u r l ，或者由业务接入节点自动 导向运营商的p o a r a l 页面，w e b 认证方式的用户接入方案如图1 1 所示。 图1 1w e b 认证接入方案 w e b 认证的主要有以下优点【2 】： ( 1 ) 不需要客户端软件，有通用浏览器即可； ( 2 ) 应用层认证技术，不受具体的网络环境的影响。 基于p i c 单片机的8 0 2 1 x 接入认证技术研究 w e b 认证的主要缺点： ( 1 ) 认证前就为用户分配了i p 地址，造成i p 地址浪费； ( 2 ) d h c p ( d y n a m i ch o s t i n gc o n f i g u r a t i o np r o t o c 0 1 ) 服务器对 用户而言是暴露的，容易受到攻击； ( 3 ) 不容易检测到用户离线，计费不准确； ( 4 ) 用户使用如t e l n e t 、f t p 等业务时，必须使用浏览器进行w e b 认证，易用性不够好； ( 5 ) 认证前后业务流和数据流无法区分。 1 3 2p p p o e 认证方式及其特点 p p p 主要是用来在窄带网络中通过拨号或专线方式建立点对点连 接发送数据。r e d b a c k 网络公司联合u u n e t 公司和r o u t e r w a r e 软件 公司将p p p 与其他协议相结合，开发了以太网点对点协议p p p o e 技术， 协议自身包括了对用户的认证和管理。p p p o e 认证的用户接入方案如 图1 2 所示。 图1 2p p p o e 认证的一种用户接入方案 p p p o e 认证的特点【3 】： ( 1 ) 建立在己被广泛接受的p p p 协议基础之上，实现简单，便于拨 号网络的改造； ( 2 ) 有效的防止了i p 冲突和i p 盗用。 硕士学位论文 ( 3 ) b a s ( b r o a d b a n dr e m o t ea c c e s ss e r v e r ) 服务器需要终结大量 的p p p 会话，并转发i p 数据包，成为网络的“瓶颈 ； ( 4 ) b a s 服务器连接着巨大的广播域，需要通过v l a n 技术来隔离广 播域，但目前最多只能支持4 0 9 6 个v l a n ，无法支持过多的用户群体； ( 5 ) p p p o e 的点到点特性，使组播视频业务的开展受到很大限制； ( 6 ) 需要专门的客户端软件。 1 3 38 0 2 1x 认证方式及其特点 目前，广泛采用的宽带接入方式有h f c 、x d s l 、l a n 接入等。上 述传统的以太网接入方式由于采用广播机制，其安全性较差。为了解 决这个问题i e e e 8 0 2 1 委员会提出的8 0 2 1 x 协议，其实现基于以太 网交换机，可以对用户进行认证、授权，从而为运营商提供一种更安 全、更实用的用户管理机制。i e e e8 0 2 1 x 称为基于端口的访问控制 协议( p o r tb a s e dn e t w o r ka c c e s sc o n t r 0 1p r o t o c 0 1 ) ，是一种简 单高效，适合开展宽带业务的认证协议。目前，8 0 2 1 x 以其协议安 全、实现简单以及控制流和业务流分离等诸多电信级特性，可以将 a d s l 、l a n 等多种宽带接入方式的认证计费融为一体，极大地简化了 网络结构而日渐流行。 8 0 2 1 x 主要特点【4 】： ( 1 ) 纯以太网技术内核，保持i p 网络无连接特性，去除冗余昂 贵的多业务网关设备，消除网络认证计费瓶颈和单点故障。 ( 2 ) 8 0 2 1 x 协议为二层协议，不需要到达三层，对设备的整体 性能要求不高，有效降低建网成本。 ( 3 ) 认证过程通过组播实现，对组播业务的支持性很好。 ( 4 ) 管理与业务分离，用户通过认证后，系统对后续的数据包 无特殊处理，有效的解决了网络瓶颈，易于支持多业务。 实达锐捷网络有限公司是最早在其系列交换机和i pd s l a m 设备 中将i e e e8 0 2 1 x 认证系统商用化的公司之一，并对其认证方式和认 证体系结构上进行了优化，实现了基于用户m a c 地址的访问控制，可 基于p i c 单片机的8 0 2 1 x 接入认证技术研究 以对设备一个端口上的多个接入用户分别进行认证和管理，提供对用 户接入的灵活控制，同时能够与动态主机配置协议中继代理( d h c p r e l a y ) 相结合，为计费服务器提供用户的i p 地址。作者所在学校校 园网认证系统也采用实达锐捷网络8 0 2 1 x 认证机制。 1 4 本文的研究内容 本文主要研究了i e e e8 0 2 1x 的原理、体系结构和认证 机制及t c p i p 协议分析，在此基础上，选取m i c r o c h i p 公司生产的 p i c l 8 f 2 4 5 5 单片机和e n c 2 8 j 6 0 以太网控制器搭建高效、廉价、快捷、 实用的嵌入式硬件平台，最后对该系统具体实现进行了详细的描述。 1 5 本文组织结构 本文共分为6 章 ( 1 )绪论 总体概述嵌入式宽带认证客户端系统设计的研究背景，详细讨论 了常见的几种宽带接入认证方式各自的主要特点等。 ( 2 ) 8 0 2 1 x 协议分析 详细分析了i e e e 8 0 2 1 x 宽带接入认证协议的相关工作原理、常 见的术语介绍，借助e t h e r e a l 网络协议分析器分析8 0 2 1 x 认证过程。 ( 3 ) 嵌入式硬件平台设计 首先详述p i c l 8 f 2 4 5 5 单片机和e n c 2 8 j 6 0 的主要特点，其次重点 研究e n c 2 8 j 6 0 硬件连接设计，最后设计p i c l 8 f 2 4 5 5 单片机与 e n c 2 8 j 6 0 之间的s p i 接口软硬件设计。 ( 4 ) m d 5 算法在p i c 单片机中的应用 本章首先分析了m d 5 加密算法的原理，重点研究该算法在嵌入式 系统当中的应用实现。考虑到单片机有限的系统资源，在该算法设计 过程中，作者从技术角度上对该算法进行有效合理设计，如字长、指 针移位等技术的创新。 硕士学位论艾 ( 5 ) 8 0 2 1 x 协议在p i c 单片机中应用 该章节为本文中最重点内容，为有效利用单片机和e n c 2 8 丁6 0 以 太网控制器内存资源，首先合理设计内存空间使用；再次作者分析 8 0 2 1 x 认证过程四次“握手”机制每个报文格式分析，设计各个阶 段报文处理流程图和整个系统认证状态机；最后详细给出相关报文设 计步骤及源代码实现。 ( 6 )总结 全面概述本文作者所做的主要工作以及对未来工作的展望等。 基于p i c 单片机的8 0 2 1 x 接入认证技术研究 28 0 2 1x 协议原理机制与分析 8 0 2 1 x 协议是基于c s 模式的访问控制和认证协议。它可以限 制未经授权的用户或设备通过接入端口访问局域网或广域网。在获得 交换机或网络提供的各种服务之前，8 0 2 1 x 对连接到交换机端口上 的永和或设备进行认证。在认证通过之前，8 0 2 1 x 只允许e a p o l 报 文通过设备连接的交换机端口；认证通过后，正常的数据才可顺利的 通过以太网交换机端口。 2 1le e e 8 0 2 1x 工作原理简介 8 0 2 1 x 是一种基于端口的访问控制协议。基于端口的访问控制【1 6 】 ( p o r tb a s e dn e t w o r ka c c e s sc o n t r 0 1 ) 台邑够在禾0 用i e e e8 0 2 3l a n 的优势基础上提供一种对连接到局域网( l a n ) 设备或用户进行认证 和授权的手段。通过这种方式的认证，能够在l a n 这种多点访问环境 中提供一种点到点的识别用户的方式。这里的端口是指连接到l a n 的 一个单点结构，可以是一个物理端口，可以是被认证系统的m a c 地址， 也可以是一个逻辑端口( 如v l a n ) ，对于无线局域网来说，一个端口 就是一个信道。8 0 2 1 x 认证的最终目的就是确定一个端口是否可用。 认证系统的一个端口有两种逻辑状态，因此有两种逻辑端口：受 控端口和非受控端口。非受控端口只能传送认证协议相关的协议报 文，而不管此时受控端口的状态是已认证状态( a u t h o r i z e d ) 还是未 认证状态( u n a u t h o r i z e d ) 。 受控端口传送业务报文，如果用户通过认证，则受控端口的状态 为已认证状态，可以传送业务报文。如果用户未通过认证，则受控端 口的状态为未认证状态，不能传送业务报文。 受控端口有两种状态：即已认证状态与未认证状态。当用户未通 过认证时，受控端口处于开路，端口状态为未认证状态，此时交换机 的交换功能是关闭的，也就是说交换机无法像传统的通过查找目标 m a c 地址来进行交换，如果用户有业务报文是无法通过的。 硕士学位论文 当用户通过认证后，受控端口闭合，端口状态为通过认证状态， 此时交换机的交换功能打开，就和传统的交换方式一致了，用户的业 务报文就可以顺利通过。 基于物理端口的控制方式，每个物理端口包含两个逻辑端口：受 控端口和不受控端口。不受控端口传递认证的协议报文，受控端口传 递业务报文。采用这种端口控制方式，则必须在与最终用户直接相连 的交换机实现8 0 2 1 x 认证，在相应的端口进行控制。这样会导致低 端交换机的成本上升，势必增加整个网络的建网成本。 另一种端口控制方式就是基于用户设备的m a c 地址进行控制。把 用户设备的m a c 地址看成端口，每个m a c 地址有两个逻辑端口：受控 和不受控端口。 如果用户要访问l a n 的资源，则首先其m a c 地址必须处于激活状 态，然后才能有协议报文通过不受控的端口传递，开始整个认证过程。 如果其m a c 地址未激活或者被管理性的禁止，则无法进行认证。一种 可能的实现是当有用户通过认证了，则为此用户创建一条静态m a c 地 址表。 图2 1 描述了端口的两种工作状态。 图2 1 端口的两种工作状态 2 2ie e e 8 0 2 1x 相关术语介绍 ( 1 ) a u t h e n t i c a t o r 认证系统：指在l a n 连接的一端用于认证另一端设备的实体。 8 基于p i c 单片机的8 0 2 1 x 接入认证技术研究 ( 2 ) a u t h e n t i c a t i o ns e r v e r 认证服务器，指为认证系统提供认证服务的实体。这里认证服务 器所提供的服务是指通过检验客户端发送来的身份标识，来判断该请 求者是否有权使用认证系统所提供的网络服务。 认证服务器与认证系统配合工作，可以集成在一起，也可以分开 放在认证系统通过网络可以远程访问的地方 ( 3 ) n e t w o r ka c c e s sp o r t 网络访问端口，指用户系统连接到l a n 的访问端口。访问端口可 以是物理端口，例如连接到用户的网络设备端口；也可以是逻辑端口， 例如用户设备的m a c 地址。 ( 4 ) p o r ta c c e s se n t i t y ( p a e ) 端口访问实体，指一个端口的相关协议实体。一个给定的p a e 能 够支持与a u t h e n t i c a t o r 、s u p p l i c a n t 的协议功能或者两者功能同 时具备 ( 5 ) s u p p l i c a n tp a e 在客户端中，p a e 主要负责响应来自认证系统建立信任关系的请 求，称为客户端p a e 。 ( 6 ) a u t h e n t i c a t i o np a e 在认证系统中，p a e 负责与客户端的通信，把从客户端收至| j 的信 息传送给认证服务器以便完成认证。该p a e 称为认证系统p a e 。 认证系统p a e 根据认证服务器提供的关于用户合法性的信息来 控制受控端口的状态是认证状态或未认证状态。 ( 7 ) s u p p l i c a n t 客户端，指l a n 所连接的一端的实体( e n t i t y ) ，它被连接的另 一端的一个a u t h e n t i c a t o r 所认证。 ( 8 ) e a p e x t e n s i b l ea u t h e n t i c a t i o np r o t o c o l ，扩展认证协议。 ( 9 ) r a d i u s r e m o t ea u t h e n t i c a t i o nd i a li nu s e rs e r v i c e 为了完成一个 o 硕士学位论文 认证交换，s u p p l i c a n t 、a u t h e n t i c a t o r 、a u t h e n t i c a t o rs e r v e r 这 三种角色都是必需的。一个特定的系统能够充当一个或多个角色。比 如一个端口能够在一个认证交换中充当s u p p l i c a n t 角色，也能成为 a u t h e n tic a t o r 。 2 3i 旺e 8 0 2 1x 体系结构介绍 8 0 2 1 x 协议的体系结构包括三个重要的组成部分【6 】： ( 1 ) 客户端s u p p l i c a n t ，即请求者系统； ( 2 ) 认证系统a u t h e n t i c a t o rs y s t e m ； ( 3 ) 认证服务器a u t h e n t i c a t i o ns e r v e r ； 图2 2 描述了三者之间的相互关系和通信。 图2 28 0 2 1 x 认证体系结构图 请求者系统( 客户端) 请求者是位于局域网链路一端的实体，由连接到该链路另一端的 认证系统对其进行认证。请求者通常是支持8 0 2 1 x 认证的用户终端 设备，用户通过启动客户端软件发起8 0 2 1 x 认证，后文的认证请求 者和客户端二者表达相同含义。8 0 2 1 x 请求者需支持e a p o l ( e x t e n s i b l ea u t h e n t i c a t i o np r o t o c 0 10 v e rl a n ) 协议。 基于p i c 单片机的8 0 2 1 x 接入认证技术研究 认证系统 认证系统对连接到链路对端的认证请求者进行认证。认证系统通 常为支持8 0 2 1 x 协议的网络设备( 如本文中的h a 埘e r1 0 0 0 0 ) ，一 般在用户接入设备( 如l a ns w i t c h 、i pd s l a m 、a p ) 上实现8 0 2 1 x 认证。后文的认证系统、认证点和接入设备三者表达相同含义。 认证系统为请求者提供服务端口，该设备对应于不同用户的端口 ( 可以是物理端口，也可以是用户设备的m a c 地址) 有两个逻辑端口： 受控( c o n t r 0 1 1 e dp o r t ) 端口和不受控端口( u n c o n t r 0 1 1 e dp o r t ) 。 不受控端口始终处于双向连通状态，主要用来传递e a p o l 协议帧， 可保证客户端始终可以发出或接受认证。受控端口只有在认证通过 的状态下才打开，用于传递网络资源和服务。如果用户未通过认证， 则受控端口处于未认证状态，则用户无法访问认证系统提供的服务。 认证系统的p a e 通过不受控端口与s u p p l i c a n tp a e 进行通信， 二者之间运行e a p o l 协议。认证系统的p a e 与认证服务器之间运行 e a p ( e x t e n s i b l ea u t h e n t i c a t i o np r o t o c 0 1 ) 协议。 认证服务器 认证服务器是为认证系统提供认证服务的实体，一般使用r a d i u s 服务器来实现认证服务器的认证和授权功能。当用户通过认证后，认 证服务器会把用户的相关信息传递给认证系统，由认证系统构建动态- “ 的访问控制列表，用户的后续流量将接受上述参数的监管。 认证服务器和r a d i u s 服务器之间通过e a p 协议进行通信，请求 者和认证系统之间运行8 0 2 1 x 定义的e a p o l ( e x t e n s i b l e a u t h e n t i c a t i o np r o t o c o l o v e rl a n ) 协议。认证系统终结e a p o l 消息， 并转换为r a d i u s 协议，传递用户认证信息给认证服务器系统。 其中，请求者和认证系统之间的的e a p o l 协议是我们所关心的， 只要知道了e a p o l 报文，就可以设计出兼容客户端。 2 48 0 2 1x 认证机制 根据i e e e8 0 2 1 x2 0 0 1s t d ，8 0 2 1 x 协议采用e a p 协议在客户 1 1 硕士学位论文 端、认证系统和认证服务器之间进行通信。e a p ( e x t e n s i b l e a u t h e n t i c a t i o np r o t o c 0 1 扩展的认证协议，r f c2 2 8 4 ) 是p p p 认证 的一个通用协议，支持多种认证机制。e a p 在链路控制( l c p ) 阶段 并不选择好一种认证机制，而是把这一步推迟到认证阶段，这就允许 认证系统在确定某种特定认证机制之前请求更多的信息。 通过支持e a p 协议，认证系统只需控制其受控端口的状态，而并 不干涉通过非受控端口在客户端和认证服务器之间传递的认证信息， 这样可实现认证流和业务流的完全分离。可以使用认证服务器来实现 各种认证机制，认证系统仅需要传送认证信息，并根据认证返回的结 果控制受控端口的状态。 8 0 2 1 x 作为一种认证协议，在实现的过程中有很多重要的工作 机制，这里主要讨论其中的e a p _ m d 5 认证机制。 2 4 1 认证发起机制 认证过程可以由用户主动发起，也可以由认证系统发起。一方面 当认证系统探测到有未经过认证的用户使用网络时，就会主动发起认 证，另一方面客户端可以通过客户端软件向认证系统发送 e a p o l s t a r t 报文发起认证。作者所在校园网是使用后者发起认证。 由客户端发起认证：如果用户要上网，则可以通过客户端软件向认证 系统发送e a p o l s t a r t 报文主动发起认证。认证系统在收到客户端发 送的e a p o l s t a r t 报文后，会发送e a p r e q u e s t i d e n t i t y 报文响应 用户请求，要求用户发送身份标识，这样就启动了一个认证过程。 2 4 28 0 2 1x 认证过程简介 通常情况下8 0 2 1 x 认证有三种方式【7 】：p a p 方式、c h a p 方式和 e a p - m d 5 方式。缺省配置下，8 0 2 1 x 的身份验证方式为e a p m d 5 ，所 以后文中只讨论e a p m d 5 验证方式。e a p m d 5 方式是由认证服务器产 生，并通过a c c e s s c h a l l e n g e 报文发送给交换机，然后交换机将密 钥信息封装在e a p r e q u e s t c h a l l e n g e 报文中发送给用户，并通知用 基于p i c 单片机的8 0 2 1 x 接入认证技术研究 户使用e a p m d 5 方式验证身份，这也是e a p _ m d 5 方式和其他两种方式 报文交互过程不同的原因所在。作者所在学校也是使用基于e a p m d 5 方式进行认证。 e a pm d 5 认证过程： 首先用户终端向h 锄e r 交换机发送e a p o l s t a r t 报文请求接入 服务，交换机返回e a p r e q u e s t i d e n t i t y 报文到用户终端，要求用 户提供身份标识，用户终端回复e a p r e s p o n s e i d e n t i t y 表示连接建 立。然后由交换机发送a c c e s s r e q u e s t 到r a d 工u s 服务器，r a d 工u s 服务器生成c h a l l e n g e 信息，并将a c c e s s c h a l l e n g e 报文发送给交 换机。接下来，交换机向用户终端发送e a p r e q u e s t c h a l l e n g e 报文 通知用户使用e a p m d 5 方式验证身份，终端返回 e a p r e s p o n s e m d 5 一c h a l l e n g e 报文作为响应。交换机将来自用户终 端的e a p r e s p o n s e m d 5 一c h a l l e n g e 报文封装到a c c e s sr e q u e s t 报文 中，并发送到r a d i u s 服务器。r a d i u s 服务器对用户进行认证，如果 认证通过，则返回a c c e s sa c c e p t 报文给交换机，由交换机完成相应 操作以允许用户接入，同时发送e a p s u c c e s s 报文到用户终端通知 用户接入成功。 从图2 3 能更直观了解基于e a p - m d 5 认证过程。 1 3 硕士学位论文 亘一孕一冀 阁户终端系统 h r 空按帆 r 仰j r s 务g l|eapol r a d i u s ：f = 日： f 譬受鲁 吲f f ：夺巫婴巫告牟z 婴剖： 岳莶垂吲岛；耍酬： 牟= 壬乍3 未： 目23 基于e p m d 5 进行身份验证的实现过程 258 0 21x 报文分析 251 网络监视工具e t h e r e a i 简介 e t h e r e a l 是一个开放源码的网络分析系统，也是是目前最好的 开放源码的网络协议分析器，支持l i n u x 和w i n d o w s 平台。e t h e r e a l 起初由g e r a l dc o m b s 开发，随后由一个松散的e t h e r a l 团队组织进 行维护开发。它目前所提供的强大的挤议分析功能完全可以媲美商业 的网络分析系统，自从1 9 9 8 年发布最早的02 版本至今，大量的志 愿者为e t h e r e a l 添加新的协议解析器，如今e t h e r e a l 已经支持五百 多种协议解析。本文将使用e t h r e a l 网络监视工具进行报文分析。 252 使用e t h r e a i 进行报文分析 从图24 中能清楚得看到整个认证过程： 基于p i c 单片机的8 0 2l x 接入认证技术研究 喜 7 -_ ，。7一 出0 囝 e e dn 州o o 附 a 恤g 目s b c sh ep 哥甜罾烈国 臼岛f 国吕国审串旬否曼目日qq q e l e te a p o 【 。e m 啪s 。n 啪口h 圈24 80 2 1 x 协议认证交互过程 利用e t h e r e a l 工具在p c 机w i n d 0 w s 系统下抓取实达锐捷客户 端认证时的交互报文，可以发现第一个报文是e a p o l s t a r t 报文 ( 7 6 ) 。这表示是由用户主动通过客户端软件向认证系统发送 e a p o l - s t a r t 报文发起的认证流程。由于尚不知道认证设备的地址， 所以用的是组播的方式，组播的目的地址是0 l ：d 0 ：f 8 ：0 0 ：0 0 ：0 3 嗍， e t h e r n e tt y p e 为8 8 8 e ，表示承载的协议类型为8 0 2 1 x 协议，后面 我们的程序实现也将以这个类型作为8 0 2 1 x 报文的判断依据。 认证系统在收到客户端发送的队p o l s t a r t 报文后，会发送 e a p r e q u e s t i d e n t i t y ( 7 7 ) 报文响应用户请求，要求用户发送身 份标识( 用户名) 。客户端收到验证设备的响应后，会提供身份标识 ( 用户名，此处名字为2 0 0 6 2 1 0 0 0 7 3 ) 给验证设备( 图3 6r e s p o n s e i d e n t i f y 报文结构) 。由于此时客户端还未经过验证，因此认证流 只能从验证设备的未受控的逻辑端口经过。验证设备通过e a p 协议将 认证流转发到认证服务器，进行认证。 硕十学位论文 彦固雷 “ee d n 帅岫e h c e 日d p 搴一斟b 口x 国吕b 每串铂吞璺国日qqq 口 r 。一 e l i e o p a le 1 0 1 a o 目m r 一 n om e “u n ed o s nr m c o 睡l n 吐粤掣团焉田圈雩目雪胃日曲蛆越垭越由掣_ 正面_ 猛霉- _ v k ( 1 0 0 0b m e ，1 0 0 0h ”o u o | i n h e i i s q 一c oe 。：z c ( o o1 6 ，6 ：c o “：z c ) _ d s d o ：f 8 ：o oo o ：o j ( 0 1 d of 8 ：o o ：o o ：0 3 ) l s t l n a “o d 。f 80 0 ：0 ，( ：d 0 + f e ：o o ：0 0 ：