（计算机应用技术专业论文）基于8021x的校园网用户身份认证研究与实现.pdf

摘要 随着校园网应用规模和范围的不断拓宽：校园网的用户数量也在不断增加。 因此，对校园网在信息安全上提出了更高的要求。一方面要保护校园网应用系统 的资源不容易受到攻击：另一方面要保证校园网信息只能是校园网合法用户使 用；另外，还要有效阻止校园网信息不被篡改、滥用，确保信息数据的可用性、 完整性、一致性。解决上述问题，较为有效、现实的方案是对校园网的应用系统 进行用户认证。因此，校园网急需有一个统一的、具有较高安全控制的用户认证 系统，以保证校园网应用系统的安全使用和方便用户操作。 传统认证方式如p p p o e 和w e b p o r t a l 认证对校园网中用户数据包繁琐的处 理造成了网络传输瓶颈，而通过增加其他网络设备来解决传输瓶颈势必造成网络 成本的提升，无法满足用户对网络安全性、高效性和低成本的要求。i e e e8 0 2 1 x 通过对认证方式和认证体系结构进行优化，有效地解决了传统认证方式带来的昂 贵、繁琐的不便，缓解了网络瓶颈，减轻了网络封装开销，降低了建网成本，从 而成为当前校园网选型的个热点，但在实际应用中也存在一些问题。 本文在对校园网现状的分析的基础上，结合校园网的认证需求，详细阐述了 8 0 2 1 x 认证协议的工作机制，同时与传统的认证方式作了较详细的比较，并介 绍了与8 0 2 1 x 相关的通信协议：e a p o l 协议和r a d i u s 协议，包括e a p 帧结 构、e a p 的简单认证过程、e a p o l 帧结构和r a d i u s 的数据包结构等。针对标 准的8 0 2 1 x 协议在实际应用中存在的不足，提出了适合于校园网用户身份认证 的切实可行的协议改进方法。基于改进后的8 0 2 1 x 协议，重新设计和开发了客 户端程序，并对认证服务器进行了重新设计。研究了校园网接入用户身份认证系 统，包括认证协议、认证客户端、认证服务器端，提出了校园网认证系统的整体 框架，为建造安全可靠的校园网提供了新的思路和方法。 关键词：8 0 2 1 x ；p p p o e ；r a d i u s ；客户端；认证系统；校园网 a b s t r a c t w i t ht h ec o n t i n u e dw i d e n i n go ft h ea p p l i c a t i o ns c a l ea n ds c o p eo nc a m p u s n e t w o r k ，t h en u m b e ro fc a m p u sn e t w o r ku s e ri sa l s oi n c r e a s i n g s o ，t h eh i g h e r r e q u i r e m e n ti sr a i s e do ni n f o r m a t i o ns e c u r i t yf o rc a m p u sn e t w o r k o nt h eo n eh a n d ， w es h o u l dp r o t e c tt h ea p p l i c a t i o ns y s t e mr e s o u r c eo nc a m p u sn e t w o r kf r o ma t t a c k i n g o nt h eo t h e rh a n d ，o n l yl e g a lu s e r sc a n u s ei n f o r m a t i o no nc a m p u sn e t w o r k a d d i t i o n a l l y , c a m p u sn e t w o r ki n f o r m a t i o ns h o u l db ep r e v e n t e df r o ms o p h i s t i c a t i n g a n da b u s i n ga n db em a d eu s e a b l e ，i n t e g r a t e da n dc o n s i s t t os o l v et h ea b o v ep r o b l e m s ， t h ee f f e c t i v ea n dp r a c t i c a lm e t h o di st oa u t h e n t i c a t ef o rc a m p u sn e t w o r ku s e r t h e r e f o r e ，i ti se s s e n t i a lt h a tc a m p u sn e t w o r kn e e d sau n i f o r ma n dc o n t r o l l a b l eu s e r a u t h e n t i c a t i o ns y s t e ma n dt h e ni ti ss e c u r ea n dc o n v e n i e n tt ou s ea n do p e r a t e a p p l i c a t i o ns y s t e mo nc a m p u sn e t w o r k t h et r a d i t i o n a la u t h e n t i c a t i o nw a y s ，s u c ha sp p p o ea n dw e b p o r t a l ，i nw h i c h p a c k a g e so nc a m p u sn e t w o r ka r ec o m p l i c a t e d l yt r e a t e d t h er e s u l to nt h en e t w o r ki s t h a tn e t w o r kt r a f f i ci sh e a v i l yb u r d e n e da n dt h eb o t t l e n e c ko ft r a n s m i s s i o nc a l lb e e a s i l yf o r m e d w h i l et h er e s o l v e sb ya p p e n d i n gn e t w o r ke q u i p m e n t ，w i l ln o to n l y e n h a n c et h ec o s to fn e t w o r kb u tu n a b l et os a t i s f yu s e r sr e q u i s i t i o no ns e c u r i t y , e f f i c i e n c y , h i g hq u a l i t ya n dl o wc o s t t h r o u g ht h eo p t i m i z a t i o n so fa u t h e n t i c a t i o nw a y a n da r c h i t e c t u r e ，i e e e8 0 2 ixs o l v e st h ep r o b l e m sw i t ht h et r a d i t i o n a la u t h e n t i c a t i o n w a y sa n db e c o m e sah o t s p o t ，b u ti th a ss o m ep r o b l e m si np r a c t i c a la p p l i c a t i o n t h i sp a p e rd i s c u s s e so p e r a t i o nm e c h a n i s mo f8 0 2 1xa u t h e n t i c a t i o np r o t o c o lo n t h eb a s i so fa n a l y z i n gs i t u a t i o na n dr e q u i r e m e n to fc a m p u sn e t w o r k a tt h es a m et i m e i tc o m p a r e st ot h et r a d i t i o n a la u t h e n t i c a t i o nw a y sa n di n t r o d u c e st h ec o m m u n i c a t i o n p r o t o c o l st h o s ea r er e l a t e dt o 8 2 0 1x ，s u c ha se a p o la n dr a d i u sp r o t o c o l ， i n c l u d i n ge a pa n de a p o lf r a m ea r c h i t e c t u r e ，s i m p l ea u t h e n t i c a t i o np r o c e d u r eo f e a p , r a d i u sd a t ap a c k e ta r c h i t e c t u r ea n ds oo n b e c a u s es t a n d a r d8 0 2 1 xp r o t o c o l h a ss o m es h o r t a g ei np r a c t i c a la p p l i c a t i o n ，t h eo p t i m i z a t i o n so f8 0 2 1xp r o t o c o lh a v e b e e np r o p o s e df o rc a m p u sn e t w o r ki d e n t i t ya u t h e n t i c a t i o n b a s e do nt h ea p p r o v e d 8 0 2 1 xp r o t o c o l ，t h ec l i e n ta n da u t h e n t i c a t i o ns e r v e ra r er e d e s i g n e d o nt h er e s e a r c ho f t h ew h o l ea c c e s si d e n t i t ya u t h e n t i c a t i o n ，i n c l u d i n gp r o t o c o l ，c l i e n ta n ds e r v e r , t h e f l a m eo fa u t h e n t i c a t i o ns y s t e mi nw h i c hh a sb e e np u tf o r w a r d t h en e wi d e a sa n d m e t h o d sf o rs e c u r ea n ds t a b l ec a m p u sn e t w o r kh a v e b e e np r o v i d e d k e yw o r d s ：8 2 0 ix ；p p p o e ；r a d i u s ；c l i e n t ；a u t h e n t i c a t o r ；c a m p u sn e t w o r k i i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得或其他教育机构的学位或证书而使用过的材料。与我一同工作 的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表 示谢意。 学位论文作者签名：签字日期：年月 日 学位论文版权使用授权书 本学位论文作者完全了解江西师范大学研究生院有关保留、使用 学位论文的规定，有权保留并向国家有关部门或机构送交论文的复印 件和磁盘，允许论文被查阅和借阅。本人授权江西师范大学研究生院 可以将学位论文的全部或部分内容编入有关数据库进行检索，可以采 用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名： 签字日期：年月 日 导师签名： 签字日期：年 月 日 基丁8 0 2 1 x 的校l 珂网川户身份认证研究与实现 第一章绪论 1 1 研究背景、目的和意义 随着宽带以太网的发展，访问i n t e m e t 网络的用户急速增加，给网络服务的 提供者( i s p ) 们提出了一个无法回避的问题一如何保证远程访问的网络安全。这 一问题对规模日益发展壮大的校园网尤其突出。对于校园网用户，由于其几乎都 是宽带用户，而且一半以一h 是学生，信息点多，网络规模大，网络应用复杂，流量 大，安全隐患大，不易管理。为避免滥用网络带来的危害，很多高校对校园网都 提出了安全认证的功能要求。 由于传统认证( a u t h e n t i c a t i o n ，又称鉴别) 方式对校园网中用户数据包繁琐 的处理造成了网络传输瓶颈，而通过增加其他网络设备来解决传输瓶颈势必造 成网络成本的提升，因此无法满足用户对网络安全性、高效性和低成本的要求。 i e e e8 0 2 1 x 协议的诞生很好地满足了用户在这些方面的需求。i e e e8 0 2 1 x 通 过对认证方式和认证体系结构进行优化，有效地解决了传统p p p o e 和 w e b p o r t a l 认证方式带来的问题，消除了网络瓶颈，减轻了网络封装开销，降低 了建网成本，从而成为当前校园网选型的一个热点。 人们通常把认证( a u t h e n t i c a t i o n ) 、授权( a u t h o r i z a t i o n ) 、记账( a c c o u n t i n g ) 称为“3 a 或“a a a ”，以此作为网络安全策略的一个组成部分n 1 。“认证”是 确认访问用户的身份，判断访问者是否是合法的网络用户，常用的办法是以一 个用户标识和一个与之对应的口令来识别用户。“授权”即对不同用户赋予不同 的权限来限制用户使用某些应用，从而避免了合法用户有意或无意地破坏系统。 “记账”记录了用户使用网络服务中的所有操作，包括使用的服务类型、起始 时间、数据流量等信息，它不仅为网络服务提供者们提供了计费手段，同时对 网络的使用也起到一定地监视作用。 论文研究的目的在于针对校园网的特点解决校园网目前在身份认证中存在 的问题，提出有效的改进方案并予以技术实现，使管理者能够高效的对用户进 行管理并提供更多的增值服务。用户身份认证系统在任何网络体系内都是一项 极其重要的、缺一不可的组成部分，它不但涉及到网络的安全性，也涉及到网 络的可用性及网络的使用效率，历来被人们所重视，因此实现一个统一的校园 网用户身份认证系统，针对不同的应用提供不同的安全性，同时构造一个基本 的安全框架，为未来的应用提供接口，是建设校园信息高速公路的一个重要环 节，也为校园网的发展奠定了安全应用的基础。 硕十学f 节论文 1 2 校园网现状分析 目前，高校校园网的应用越来越重要，同时校园网规模也越来越大，功能 也越来越强，其上支持的应用包括电子身份、校园一卡通、信息服务、网上办 公、网上教学、数字图书馆、电子商务、电子社区服务等，因此如何保证网络 的安全成为高校校园网的重要课题之一。 高校校园网从结构上可以分成核心、汇聚和接入这三个层次。从网络类型 上可划分成教学子网、办公子网、宿舍子网等类型。与传统的企业网相比，校 园网有自己的特色。首先，规模非常大，如一所大学，师生有几万人，几乎都 是有效用户，因此校园网有时比一个城域网还要大；其次，管理复杂，接入用 户类型非常多。另外，高校校园网当前都是双出口的结构，既有电信出口，又 有通过c e r n e t 中心的出口。在用户接入层，更是有校园网自己的特色，学生密 度之高而且思维活跃，接入类型也非常多，有学生用户、教师用户以及家属区 接入用户等，还有第四类用户，即在校园内部商用办公区域的办公人群。 校园网目前存在以下亟需解决的问题： 1 缺乏合理的管理模式 校园网用户数量多，而且分散、流动性强，很难在虚拟的网络世界中实现 统一的管理。学校中的用户身份不同，行政管理人员、教师、各个年级段的学 生，他们对网络的需求是不同的，对他们的管理也应该区别对待，这就使管理 的难度又增加了一个深度。 共享网络带来的弊端，被部分校园网用户利用。他们恶性下载占用了带宽， 当j 下常办公的人上网时，得不到足够带宽，使更多的用户无法体验到一流网络 环境带来的速度，网络变成了少数“网迷”的乐园，网络利用率不足4 0 ，校 园网无法发挥它真正的价值。 许多高校根据多年建设校园网络的实践经验，深刻体会到校园网络的建设 必须紧紧围绕学校的教学、科研和管理，特别要加强各方面项目的应用，而不 仅仅是基础设施的建设。同时，针对网络技术发展快的特点，学校不能盲目追 求热点技术，不要一味追求高档设备，而要根据自己学校的实际需要、网络规 模等因素，合理选择当前比较成熟的技术来解决以上问题。 2 网络的安全性及稳定性得不到保障 网络的安全性包括两点。其一是网络内容的安全。目前i n t e m e t 上，网络资 源良莠不齐，反动网站、黄色网站不断地腐蚀着校园这方净土。如何防止用户 去访问这些站点，跟踪并记录每个用户的上网记录，这已经成为校园网中必备 的功能。其二是网络内信息资源及设备的安全。目前针对校园网用户而言，学 生网络使用技能较高，好奇心强，网络病毒防不胜防，都会对设备造成恶性攻 击，导致网络无法正常运行甚至瘫痪。 2 甚丁8 0 2 1 x 的校i 剧网j j 户身份认证研究与实现 综上所述，校园网急需一个合理的、细致的管理机制和认证手段来完善校 园网的管理和减轻管理者的负担，以保障网络的畅通和高效率的运行。 1 3 论文结构安排 论文由五章组成，各章主要内容如下： 第一章为绪论，主要论述了选题的背景、目的和意义，并对校园网的现状 进行了比较细致地分析。 第二章为i e e e 8 0 2 1 x 协议介绍，主要介绍了i e e e 8 0 2 1 x 协议的提出背景 和工作机制，并讨论了传统的论证方式p p p o e 认证和w e b 认证，最后对这三种 认证方式进行了详细地比较。 第三章为e a p o l 协议和r a d i u s 协议，主要分析了e a p 帧结构、e a p 的简单 认证过程，e a p o l 帧结构、帧的标记、帧发送的目标地址和介绍了e a p 在 i e e e 8 0 2 1 x 的应用、e a p 优点，同时对r a d i u s 协议进行了论述，并对r a d i u s 通信的体系结构、r a d i u s 的运行机制进行了分析，最后讨论了r a d i u s 和 i e e e 8 0 2 1 x 的关系。 第四章为8 0 2 1 x 协议的改进与技术实现，首先探讨了8 0 2 1 x 协议的改进 原因，并提出了改进方案以及所要做的工作，其次重点介绍了系统客户端、 r a d i u s 服务器、数据库服务器和w e b 服务器的具体技术实现，最后分析了系统 测试及运行情况。 第五章为总结与展望，对全文的工作进行了总结，并对下一步工作以及可 能的扩展方向进行了展望。 3 硕卜。何论文 第二章ie e e 8 0 2 1x 协议介绍 2 1 ie e e 8 0 2 1x 的提出背景 在i e e e8 0 2l a n 所定义的局域网环境中，只要存在物理的连接口，未经 授权的网络设备就可以接入局域网，或者是未经授权的用户可以通过连接到局 域网的设备进入网络。然而，在有些网络环境中，往往不希望未经授权的设备 或用户连接到网络，使用网络提供的服务。例如：一个可以访问公共网络的大 厦的办公网，或者是某个组织机构与其他组织连接的网络。 后来，随着局域网技术的广泛应用，特别是在运营网络中的应用，对其安 全认证的要求已经提到了议事日程上。如何既能够利用局域网技术简单、廉价 的组网特点，同时又能够对用户或设备访问网络的合法性提供认证，是目前业 界讨论的焦点。i e e e8 0 2 1 x 协议正是在这样的背景下提出的。 8 0 2 1 x 协议起源于8 0 2 1 1 协议，后者是标准的无线局域网协议，8 0 2 1 x 协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经丌始被 应用于一般的有线l a n 的接入( 微软的w i n d o w sx p 、v i s t a 以及c i s c o 、北电、 港湾、锐捷等厂商的设备已经开始支持8 0 2 1 x 协议) 。 i e e e 8 0 2 i x 称为基于端口的访问控制协议( p o r tb a s e dn e t w o r ka c c e s s c o n t r o lp r o t o c 0 1 ) 。基于端口的访问控制能够在利用i e e e8 0 2l a n 的优势基础上 提供一种对连接到局域网( l a n ) 设备或用户进行认证和授权的手段。通过这种 方式的认证，能够在l a n 这种多点访问环境中提供一种点对点的识别用户的 方式。这里端口是指连接到l 埘的一个单点结构，可以是被认证系统的m a c 地址，也可以是服务器或网络设备连接l a n 的物理端口，或者是在i e e e8 0 2 1 1 无线l a n 环境中定义的工作站和访问点。 2 2 几个名词的定义 以下的名词为8 0 2 1 x 协议中的重要组成部分( 如图2 1 所示) ： s u p p l i c a n t 客户端 客户端指l a n 所连接的一端的实体( e n t i t y ) ，它向认证系统( a u t h e n t i c a t o r ) 发起请求，对其身份的合法性进行检验。 a u t h e n t i c a t o r 认证系统 认证系统指在l a n 连接的一端用于认证另一端设备的实体( e n t i t y ) 。 a u t h e n t i c a t i o ns e r v e r 认证服务器 4 鉴r 8 0 2 1 x 的校州网删户身份认证研究! j 实现 认证服务器指为认证系统提供认证服务的实体。这里认证服务器所提供的 服务是指通过检验客户端发送来的身份标识，来判断该请求者是否有权使用认 证系统所提供的网络服务。 注意：认证服务器与认证系统配合工作，可以集成在一起，也可以分开放 在认证系统通过网络可以远程访问的地方。 n e t w o r ka c c e s sp o r t 网络访问端口 网络访问端口指用户系统连接到l a n 的访问端口。访问端口可以是物理端 口，例如连接到用户的网络设备端口；也可以是逻辑端口，例如用户设备的 m a c 地址。 注意：下文所指的端口均可以是物理端口或用户设备的m a c 地址，如果 设备支持全程v l a n ，也可以指v l a ni d 。 p o r ta c c e s se n t i t y ( p a e ) 端口访问实体 指一个端口的相关协议实体。p a e 能够支持的功能包括：客户端( s u p p l i c a n t ) 完成的功能、认证系统( a u t h e n t i c a t o r ) 完成的功能或者两者功能同时具备。 s y s t e m 系统 系统是指通过一个或更多端口连接到l a n 的设备，例如：终端、服务器、 交换机或路由器等设备都称为系统。 图2 1i e e e8 0 2 1x 认证体系组成部分 2 3 ie e e 8 0 2 1x 工作机制 t 下面将描述基于端口访问控制的结构框架，以及访问控制功能和设备实体 之间的关系。 5 硕 。、位论文 2 3 1 各组成部分的功能 2 3 1 1 系统( s y s t e m s ) 、端口( p o r t s ) 连接到l a n 的设备( 这里指2 2 定义的系统s y s t e m ) 通常与l a n 会有一个或 多个连接点( 这里指2 2 定义的网络访问端1 3 ) 。 注意1 ：一个终端一般通过网卡与l a n 有一个连接点( 有些终端如服务器 可能会有多个网卡，与网络有多个连接) ：一个网络设备与网络一般有两个或多 个连接点。 一个系统的端口与网络连接，该系统就可以通过这个端口获得其他系统的 服务，同时也可以为其他系统提供服务。基于端口的访问控制能够控制系统的 端口状态，以保证只为授权的用户开放自己的服务。 注意2 ：一个系统提供的服务包括根据m a c 地址的转发功能，网络层的路 由功能，文件服务器的功能等。 为了便于描述基于端口的访问控制过程，一个系统的端口( 确切的讲应该是 协议实体p a e ) 可以在整个控制过程中充当多个不同的角色。 以下是在基于端口访问控制过程中，端口所充当的角色： a ) a u t h e n t i c a t o r ：在允许用户访问之前执行认证的端1 3 ，该端口充当认证系 统的角色； b ) s u p p l i c a n t ：访问认证系统所提供服务的端口，该端口充当客户端的角色； c ) a u t h e n t i c a t i o ns e r v e r ：认证服务器代表认证系统执行对用户身份的合法性 进行检验功能； 从以上描述可以看出，为了完成一个认证过程，所有的三个角色是必须的。 一个特定系统可以承担一种或多种角色。例如：一个认证系统和认证服务器能 集成在一个系统中，实现认证功能而无需设置专门的外置认证服务器。同样， 一个端口在一个认证过程中充当客户端的角色，而在另一个认证过程中可能充 当认证系统的角色。例如：在一个桥接l a n 中，一个新的交换设备添加到网络 中，这个设备要能够对连接到其端口的设备实现认证，自身必须先通过其上端 设备的认证( 该新设备通过上端设备接入到l a n 中) 。 注意3 ：尽管理论上认证服务器可以和认证系统集成在一起，但实际使用 中都是分开成两个体系。 2 3 1 2 端口访问实体( p a e p o r ta c c e s se n t i t y ) 在客户端中，p a e 主要负责响应来自认证系统建立信任关系的请求，称为 客户端p a e 。 在认证系统中，p a e 负责与客户端的通信，把从客户端收到的信息传送给 认证服务器以便完成认证。该p a e 称为认证系统p a e 。 认证系统p a e 根据认证服务器提供的关于用户合法性的信息来控制受控端 6 基丁8 0 2 1 x 的授旧网户身份认证研究与实现 口的状态是认证状态或未认证状态。 2 3 2 受控和非受控的访问( c o n t r o | ie da n du n c o n t r oi ie da c c e s s ) i e e e8 0 2 1 x 协议的精华就是关于受控和非受控的访问，以下将详细描述关 于受控和非受控的访问。 2 3 2 1 端口的类型 。一一一一一一一一一一一一一一一一一一一一一一一一一1 a u t h e n u c a t o rs y s t e m c o n b o l l e dp 0 r tu n c o n t r o l l e dp 0 r t 图2 2 受控端口和不受控端口 如图2 2 所示，认证系统的端口分成两个逻辑端口：受控端口和不受控端 口。 不受控端口只能传送认证的协议报文，而不管此时受控端口的状态是已认 证状态( a u t h e r i z e d ) 还是未认证状态( u n a u t h e r i z e d ) 。 受控端口传送业务报文。如果用户通过认证，则受控端口的状态为已认证 状态，可以传送业务报文。如果用户未通过认证，则受控端口的状态为未认证 状态，不能传送业务报文。 i 一。一一一一一。一。一。一一一。1 i a u t h e n t i c a t o rs y s t e m1i i i i c o n t r o i l e dp o r tu n t o n t r o l l e dp o r ti i 。一。一。一。一。一。一 l a u t h e n t i c a t o rs y s t e m2i i l l c o n t r o l l e dp o r tu n t o n t r o l l e dp o r tl 图2 3 受控端口的状态变化 如图2 3 所示，当用户未通过认证时，受控端口处于开路，端口状态为未 认证状态，此时交换机的交换功能是关闭的，也就是说交换机无法像传统的通 7 硕 ? 学位论文 过查找目标m a c 地址来进行交换，如果用户有业务报文是无法通过的。 当用户通过认证后，受控端口闭合，端口状念为通过认证状态，此时交换 机的交换功能打开，就和传统的交换方式一致了，用户的业务报文就可以顺利 通过。 端口的状态受相关的协议参数控制，如a u t h c o n t r o l l e d p o r t s t a t u s 参数控制 交换功能的打开和关闭等，这里不做详细讲解。 2 3 2 2 端口控制方式 对于端口的控制，可以有很多种方式。端口可以是物理的端口，也可以是 用户设备的m a c 地址，如果设备支持全程的v l a n ，也可以把v l a ni d 看成 是端口。 基于物理端口的控制方式，每个物理端口包含两个逻辑端口：受控端口和 不受控端口。不受控端口传递认证的协议报文，受控端口传递业务报文。采用 这种端口控制方式，则必须在与最终用户直接相连的交换机实现8 0 2 1 x 认证， 在相应的端口进行控制。这样会导致低端交换机的成本上升，势必增加整个网 络的建网成本。 - _ - i a u t h e n t i c a t o rs y s t e m i l a u t h e n t i c a t o rs y s t e m1 l i i i i c o n t r o l l e dp o r t u n c o n t r o l l e dp o r ti i c o n t r o l l e dp o r tu n c o n t r o l l e dp o r tl 图2 - 4m a c 地址的激活和禁止 另一种端口控制方式就是基于用户设备的m a c 地址进行控制( 如图2 - 4 所 示) 。把用户设备的m a c 地址看成端口，每个m a c 地址有两个逻辑端口：受 控和不受控端口。 如果用户要访问l a n 的资源，则首先其m a c 地址必须处于激活状态，然 后才能有协议报文通过不受控的端口传递，开始整个认证过程。如果其m a c 地址未激活或者被管理性的禁止，则无法进行认证。 基丁8 0 2 i x 的校吲网h j 户身份认证研究与实现 2 3 3ie e e8 0 2 1x 协议的体系结构 r 一一一一一1r 一一一一一一一一一一一r 一一一一一1 il s e v i c e o 搿e r e d li l 翮眦 lb ya u t h a l o t s a u t h e n t i c a l o t 双 门3 剑煳s e u x ，嘲i n l i c a l i o nl s y s t e m jl 事节一 liw 洲0 铡i l e x c h a n g e s i | 呲l 啪甜o l 渊i 甜d 仪i n 渊hg herport ：| il i r li 一一jl 一一一一毒一一一一一一jl 一一一一 1阱u i ，l a n 图2 - 58 0 2 1 x 协议的体系结构 i e e e8 0 2 1 x 协议的体系结构包括三个重要的部分乜3 ：s u p p l i c a n ts y s t e m 客 户端、a u t h e n t i c a t o rs y s t e m 认证系统、a u t h e n t i c a t i o ns e r v e rs y s t e m 认证服务器。 图2 5 描述了三者之间的关系以及互相之间的通信。 客户端系统一般为一个用户终端系统，该终端系统通常要安装一个客户端 软件，用户通过启动这个客户端软件发起8 0 2 1 x 协议的认证过程。为支持基于 端口的接入控制，客户端系统需支持e a p o l ( e x t e n s i b l ea u t h e n t i c a t i o np r o t o c o l o v e rl a y ) 协议。 认证系统通常为支持8 0 2 1 x 协议的网络设备。该设备对应于不同用户的端 口( 可以是物理端口，也可以是用户设备的m a c 地址) 有两个逻辑端口：受控端 口( c o n t r o l l e dp o r t ) 和不受控端口( u n c o n t r o l l e dp o r t ) 。不受控端口始终处于双向 连通状态，主要用来传递e a p o l 协议帧，可保证客户端始终可以发出或接受 认证。受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。 受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。 如果用户未通过认证，则受控端口处于未认证状态，则用户无法访问认证系统 提供的服务。 图2 5 中认证系统的受控端口处于未认证状态，因此无法访问认证系统提 供的服务。 认证系统的p a e 通过不受控端口与s u p p l i c a n tp a e 进行通信，二者之间运 行e a p o l 协议。认证系统的p a e 与认证服务器之间运行e a p ( e x t e n s i b l e a u t h e n t i c a t i o np r o t o c 0 1 ) 协议。 认证系统和认证服务器之间的通信可以通过网络进行，也可以使用其它的 通信通道。例如：如果认证系统和认证服务器集成在一起，二个实体之间的通 9 硕十学位论文 信就可以不采用e a p 协议。 认证服务器通常为r a d i u s 服务器，该服务器可以存储有关用户的信息， 比如用户所属的v l a n 、c a r 参数、优先级、用户的访问控制列表等等。当用 户通过认证后，认证服务器会把用户的相关信息传递给认证系统，由认证系统 构建动态的访问控制列表，用户的后续流量就将接受上述参数的监管。认证系 统和r a d i u s 服务器之间通过e a p 协议进行通信。 对于终端用户的认证可以采用如图2 - 5 所示的机制进行，而对于网络设备 之问的认证则采用图2 6 所示的方式：当一个网络设备a 要求访问网络设备b 所提供的服务，则系统a 的p a e 就成为客户端( s u p p l i a n t ) ，系统b 的p a e 为 认证系统( a u t h e n t i c a t o r ) ；如果b 要求访问a 所提供的服务，则b 的p a e 就成 为客户端，a 的p a e 就成为认证系统。 一一1 一一一一i i s e r v i c e s0 f r e r e d l i i ib ya u t h e n t i c a t o r i i i l 佟gb r i d g er e l a y ) l i i i i 1 尸u 一纠a u t h e n ( 1 c a t o ra n d i 1 a u t h e f l l t l c a t j o n i s q r v e r i i 一 s u p p l i c a n tp a e 甲； l 1 z = 二二二二二受随二二二二7 图2 - 6 系统的两种工作模式 2 3 4 le e e8 0 2 1x 协议的工作机制 8 0 2 1 x 作为一个认证协议，在实现的过程中有很多重要的工作机制( 如图2 7 所示) 。 l o 幕r8 0 2 l x 的校州叫川户身份认让研究与实现 #_iii萱 “4 ”。”4 ”p 1 n n o 气! ! - + 一一、c c r ”k “i e a p o l s t a n e a i o l 【 - - r 一 胆 e a p ! r e s p o n s & 盏l d e n t i t ，半b l r a d 。u s - a c c y s s - r y q u e s t - 圈27i e e e8 0 21 x 协议的工作机制 234 1 认证发起 认证的发起可以由用户主动发起，也可以由认证系统发起。当认证系统探 测到未经过认证的j f j 户使_ l l j 恻络，就会辛动发起认证：用户端则可以通过客户 端软件向认证系统发送e a p o l s t a r t 报文发起认证。 由认证系统发起的认证 当认证系统检测到有未经认证的用户使用网络时，就会发起认证。在认证 开始之前，端口的状奄被强制为未认证状态。 如果客户端的身份标识不可知，则认证系统会发送e a p r e q u e s t i d e n t i t y 报 文，请求客户端发送身份标识。这样，就开始了典型的认证过程。 客广端在收到来自认证系统的e a p r e q u e s t 报文后，将发送e a p r e s p o n s e 报文响应认证系统的请求。 认证系统支持定期的重新认证，可以随时对一个端口发起藿新认证的过程。 如果端n 状态为已认证状态，则当认证系统发起重新认证时，该端口通过认证， 那么状忐保持不变：如果末通过认证，则端i s i 的状忐改变为未认证状态。 由客户端发起认证 如果用户要上网，则可以通过客户端软件主动发起认证。客广端软件会向 认证系统发送e a p o l s t a r t 报文主动发起认证。 认证系统在收到客户端发送的e a p o l s t a r t 报文后，会发送e a p r e q u e s t i d e n t i t y 报文响应用广请求，要求用户发送身份标识，这样就启动了一个认证过 程。 23 42 退出已认证态 有儿种方式司以使认证系统把端几状态从已认证状态改变成末认证状态： 硕 j 学f 节论艾 幻客户端未通过认证服务器的认证； b ) 由于管理性的控制端口始终处于未认证状态，而不管是否通过认证； c ) 与端口对应的m a c 地址出现故障( 管理性禁止或硬件故障) ： d ) 客户端与认证系统之间的连接失败，造成认证超时； e ) 重新认证超时； d 客户端未响应认证系统发起的认证请求； 蓟客户端发送e a p o l l o g o f f 报文，主动下线： 退出已认证状态的直接结果就是导致用户下线，如果用户要继续上网则要 再发起一个认证过程。 为什么要专门提供一个e a p o l l o g o f f 机制，是处于如下安全的考虑： 当一个用户从一台终端退出后，很可能其他用户不通过发起一个新的登录 请求，就可以利用该设备访问网络。提供专门的退出机制，以确保用户与认证 系统专有的会话进程被中止，可以防止用户的访问权限被他人盗用。通过发送 e a p o l l o g o f f 报文，可以使认证系统将对应的端口状态改变为未认证状态。 2 3 4 3 重新认证( 根据时间) 为了保证用户和认证系统之间的链路处于激活状态，而不因为用户端设备 发生故障造成异常死机，从而影响对用户计费的准确性，认证系统可以定期发 起重新认证过程，该过程对于用户是透明的，也即用户无需再次输入用户名 密码。 重新认证由认证系统发起，时间是从最近一次成功认证后算起。重新认证 可以激活或关闭，协议状态参数r e a u t h e n a b l e d 控制是否定期进行重新认证。重 新认证的时间由参数r e a u t h p e r i o d 控制，默认值为3 6 0 0 秒( 一个小时) 而且默认 重新认证是关闭的。 注意：重新认证的时间设定需要认真的规划，认证系统对端口进入的m a c 地址的检测能力会影响到该时间的设定。如果对m a c 地址的检测比较可靠， 则重新认证时间可以设长一些。 2 3 4 4 认证报文丢失重传 对于认证系统和客户端之间通信的e a p 报文，如果发生丢失，由认证系统 负责进行报文的重传。在设定重传的时间时，考虑网络的实际环境，通常会认 为认证系统和客户端之间报文丢失的几率比较低以及传送延迟低，因此一般通 过一个超时计数器来设定，默认重传时间为3 0 秒钟。 对于有些报文的丢失重传比较特殊，如e a p o l s t a r 报文的丢失，由客户端 负责重传；丽对于e a p f a i l u r e 和e a p s u c c e s s 报文，由于客户端无法识别，认 证系统不会重传。如果e a p f a i l u r e 或e a p s u c c e s s 报文发生丢失，则客户端会 在a u t h w h i l e 计数器超时后，自动转变为c o n n e c t i n g 状态。 1 2 基y - 8 0 2 1 x 的校吲网用户身份认证研究1 0 实现 由于对用户身份合法性的认证最终由认证服务器执行，认证系统和认证服 务器之问的报文丢失重传也很重要。 另外注意，对于用户的认证，在执行8 0 2 1 x 认证时，只有认证通过后，才 有d h c p 发起( 如果配置为d h c p 的自动获取) 和口分配的过程。由于客户 终端配置了d h c p 自动获取，则可能在未启动8 0 2 1 x 客户端之前，就发起了 d h c p 的请求，而此时认证系统处于禁止通行状态，这样认证系统会丢掉初始 化的d h c p 帧，同时会触发认证系统发起对用户的认证。 由于d h c p 请求超时过程为6 4 秒，所以如果8 0 2 1 x 认证过程能在这6 4 秒 内完成，则d h c p 请求不会超时，能顺利完成地址请求；如果终端软件