（计算机科学与技术专业论文）基于多系统联动的安全接入认证计费系统的研究与实现.pdf

靶京邮电大学磷士研究生毕啦论文 基手多系统联动约安全接入议涯计费系统的硗窕鸯实囊 摘甏 随着以太网以及相关网络系统的迅速发展，黼络接入及认诞计费成为 人 | 、 关注的重点。如傍蠢效地将甥关网络系统诸热入侵监铡系统、活 幼目录系统、网络目志系统等，与认证计费有效结合将是未来的一个重要 发展方向。i 髓e8 0 2 1 x 是基于端口的接入控制协议，正在逐步被各个厂 商接缡稽来稳建嫠入管瑾系统。疑a d l u s 协议麓范是l e 嚣王；8 眺1 x 体系的 认证和授权处理部分的必不可少的后台服务器。 本文总结了一套霹灵滔黧燕鹃基予多系绞联动、l e 班18 0 2 ，l x 鞠 黜山i u s 协议的安全接入认证计费系统框架，并详细分析了各联动协议的 流程。为了验诚麓子系统联动的安全有效性，作者应用时间自动机对联动 协议进行了形式化建模，餍u p p a a i ，进行了验证。通过对联韵协议避行 建模和骏证，证明联动协议无论在网络正常的情况下还是网络故障时都能 满足嚣求。最蜃，恭述了 乍耆参与设计开发豹套基予多系统联凌豹安全 接入认证计费系统，目前这套按入管理系统在许多校园网得到实际应用。 关穗词入侵检狈l 系统，活渤目录，接入认证计费，时间自动机， u p p a a l 北京酃电大学砸士姘究生毕业论文 s t u 羚y a n 势l 瓣p 毛嚣鑫莲嚣n 重篷薹l o no f a c c 嚣s s a u t 联e n t i c a t l 0 na n da c c o u n t l n gs y s t e mb a s e d 0 nt h ei n t e r a c t i o n0 fm u i 夏i - s y s t e m a 五s t l i a c t w i t ht h ef a s td e v e i o p m e n to fe t h e r n e t ， t h e m a n a g e m e n fo f a c c e s s n e t w o r kh a sb e c o 黼ea ni 翔p o f a 难p 麟e m a w oc o m b i n ep f 。p e f l y 矗c e e s s a c c o u n t i n gs y s t e mw i t ho t h e rn e t w o 像s y s t e m s ，s u c ha si d s ，a c “v ed i r e c t o f y a n dn e ti 由w i l lb eah o ft o p i ci nt h ef u t u r e i e e e8 0 2 ，1 xi sa na c c e s sc o n t r o l p f o o c o lb a s o np o n sa 建di th a db e e n 娃s e 巷t oe o n s 蚋l 糖| h e 檬a n a g e m o n t s v s t e mo fa c c e s sn e t w o r k r a d i u si st h ei n d i s p e n s a b l es e v e fo ft h es y s t e m 墨娃s p a p e fe s e 毂s s o 瓣ea e s sa e 攮e n l 至c a l i o n翘d a c c o u 珏l i 秘g t e c h n o l o g i e si n c l u d i n g i e e e8 0 2 1 x ，r a d i u sa n dl h ei n t e r a c t i o no f l n u l t i s y s e m ，a n da n a l y z e 8 h ei n t e r a c t i o no fm u l t i * s y s e mi nd e t a i l 硼l ep a p e r 静f c s e n t saf o f m 羽m o d 翻o ft h ei n t e f a c t i o np f o t o c o lb vl i m e da n t o m a f a ，a 鞋蠢l l s e u p p aa i ，t oc h e c kt h e p r o p e r t i e s o ft h e p r o t o c 0 1 t h em o d e l i n g a n d v 瘫f i 鼹 o n # f o v # 氇采攮ei 瓣e 臻t i o | lp 抛幻c e le a 撼s 鑫i s 鸯l 沁砖毽轾e 瑶。珏| 瀚 m a t t e rt h en e t w o r ki si nn o r m a lo ra b n o f m a lc i r c u m s t a n c e s f i i l a l ly t h ep a p e r i 斑d u c e s出ed e s i g na n dd e v e l o p m e n to fa 辑 a c c e s sa u 出e n 娃c 毅i o na n d a c c o u n t i n gs y s t e f nb a s e do nt h ep r o t o c o l ，w h i c h h a sb e e nu s e di l l m a n y u n i v e r s i t i e s k e y w o r d si d s ，a c t i v ed i r e c t or y a c c e s sa u t h e n t i c a t i o na c c o u n t i n g ，t i m e d 黼t o m a t a 。越p 裂涤蕾 北京邮电大学硕士研究生毕业论文 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究成果。 尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不包含其他人 已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他教育机构的学位 或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均己在论文中 作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：耋墨釜日期：型：! ：! 芝 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保留并向国 家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借阅；学校可以 公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它复制手段保存、汇 编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权书。非保密论文注 释：本学位论文不属于保密范围，适用本授权书。 本人签名 导师签名 日期：丝! ：! ：鲨 醐：刁圳“氇l 北京邮电太学硬士研究生毕业论文 孳l 言 睫麓网络和镶息技术瓣发展，社会的瞬络他、信息他程度越寒越越，传凌的糍攫 电话业势，甚至文件传输、电子邮件等数据业务已不熊满足人们的需求，更高品威的 集视频、图像、声音、文字、甚至动画等为一体的多媒体应用服务，越来越被人们所 麓望。传统静拨号主霹等搂入方式也逐灏会被淘汰，宽带上阏霸m 无线上两将成为主流。 目前，各大电信运营商都在加逋宽带网络和无线湖络的建设，未来悬宽带和无线 瓣世赛。琏藿宽鬻郛无线瓣援术的发震帮成熬，l p 多媒 奉应建耱无处不在，残为a 们生活不可缺少的一部分。以i p 为基础，扩大互联网产业价值链，与合作伙伴共同 推进社会信息化、网络化避程，已经成为宽带运营商的主要发腥目标。 在篷大的市场推动下，各种接入运营商鳓雨后春笋般纷纷出现。为了尽早完成“豳 地”，相关运营商在没有合适的认证、计费技术的情况下普遍采用无用户认证、包月 诗菱等籍荸运营策疆完成稿期嬲络建设和运蘩。随着鬟户量麴增蕊帮韭务静发展及宽 骷网络和无线网络的应用，这种方式越来越不能满足用户和运赞商的需求。因此，如 惋在这秘耘环境下实现安全接入认证帮计费裁成为人们卡分关心的目题，建立完善合 理的认证计费体系是接入网运营管理中急需解决的闷擞。 在上述背景下，我们对目前主流的接入认证技术8 0 2 1 x 和厩台服务r a d i u s 做 了研究努斩。嚣蓠主流静接入识证技术有p p p o e ( p p p o v 目e | h e f i l e t ) 接入认涯、w 曲 + d h c p ( d y n a m j c h o s tc o n f i 窖u r a t i o nn o t o c 0 1 ) 接入认证和8 0 2 ，1 x 接入认证。 8 0 2 。l x 协议是聚e 在2 0 雒年公毒黔一葶孛基子端霜姆网络接入控割据议蠡骥， 该协议只关注l a 削端口的开关( 遭谶认证时，l a n 端口打开，褥则端口处于关闭状 态) ，认证的结果仅仅是l a n 端口状态的改发，不涉及传统认谖技术必须考虑的l p 地址协商与分配闫题。因戴，基于8 0 2 1 x 豹缓入认话方式是目前各种认证控术串最 易实现的一种解决方案。目前，这一技术已得到包括思科、微软等众多业内领先厂商 於大力支持，微软已在w i 砖9 w sx p 搽俸系统磺添了事 对糙毯 8 程1 x 安全协议静吏 持，思科、华为、神州数码等厂商也都推出了支持8 0 2 1 x 协议的交换机。 目静基于8 0 2 1 x 的接入认证方式逐渐开始大规模鹰耀，校园及政府部门宽带接 入也广泛采用基予8 娩1 x 的接入管理系统。因此，需簧一套较为通用的计费模型 适应这些单位的应用需求。如何使得宽带接入网络更加安全，便于审计同志，以及与 涟霪系统融台，毯燕接入试涯计费警灌关注酶瓣题，强藐毒鼓蟪将相关鹅络产品，翔 入侵监测系统、网络闩志系统、活动目录系统婶，与接入认证计赞有效结合将是将柬 瓣一个重簧发展方向。本文慧眼于该点分辑如德基于多系统来联劝实现安全接八帮诙 证计费系统。 j 撩邮电丈学磷士碍 究生毕业建立 本文详细地讲解了入侵检测等相关网络系统与接入认证计费系统联动的工作机 器# 和流程，瘟蠲时润自动枫( 蕾m 甜a u t o m a t a ) 对其联渤进彳亍了形式讫建模、仿真帮 虢涯，论涯了该联劝协议静安全往，最嚣奔绣了彳乍者参每设计开发了一套蒸于多系统 联动的安全接入认涯计赞管理系统。 论文的其余部分组或如下：第一章赍绍了安全接入控割郓认诞诗费嚣糖关技术、 协议标准以及相关嘲络系统；第_ = 章详细分析了基于8 0 2 1 x 协议和多系统联动的接 入试谣计赞系统酌工作枫制和流程；第三章用时问岛动视对联动静议避行形式化建 榛；第话牵用u p 戳a i ，工其对联动游议的时闻自动机模型进行了验证分析；第五辈 分绍了基于多系统联动鲍攘入睡谈涯诗费系统鳇实瑰；第六牵总终了本文瓣工髂。 乾整辩电丈学龋士研究生毕韭谚文 第一肇安全攘入认证计魏系统的相关技术与协议 一个完善的接入认诞计费系统至少包含客户端、网络接入设备、认证服务嚣三 部分，主要涉及接久镶谈、试证协议彝箕它些掰缮技术。零牵对露兹攘灭试程诗费 系统发稽关两络系统一入侵检测系统、网络露志系统、活动强录系统常用静稳燕技术、 按谈、撂准进行了分缨和比较。 1 ，1 童流攘入管理技术 霹髓主流的搂入擦翻技术稻协议色攥p p p 。e 、w 砖+ d h e p 、8 1 x 等，下鬻分 裂进行说明弱比较，分橱了各囟灼优缺点。 1 1 p p p o e 技术 p 辨o e 鼹为了满足越采越多的宽带上弼设备靼越来越袄麴网络之阉的通信两开 发的标准，它基于两个广泛接受的标准：局域网e t h e r n e t 和p p p 点对点协议。p p p 协 议属于数据穗罐鼷协议，它提供了种婚各种高屡协议封装打镪的方法，提供点对点 的连接，僵其本街不蕊备苷址能力。p p p o e 是将p p p 承载割暖太网之上，充分稠用 班太捌技术的寻蛙能力，其实袋是在共摹奔震魏隧终生提供条逻辑一豹焱剿点链 潞，撬供强太瓣中豹每个上网搦户与宽带接入骚务器之闽静一条逻骥黪p 连接，多 个以太网上豹用户同时通过p p p o e 协议获得相应数目的逻辑p p p 连接。 p p 孙e 分为黼个阶段，即地址发现阶段和p p p 会话阶段+ 当某个至机希塑发起 一个p p p o e 会话时，它必颁首先执行地址发现广播米确定对方的以太网m a c 地址并 建立起个 p p 嘴会话标乇冀蓥。虽然p p p 定义静楚端到端豹黠等美系，遣簸发蠛击| 】 是一种客户概崩务器芙添，它兔许主极发糯所有鹩访闫集串嚣 a o s se b n n t m t 髓) 劳从中选择一个作为暇务器。当地址发现阶段成功完成之届，主枫和访随集中嚣两者 都具签了用于在以太网上建立患到点连接所薅的所有信息。一盟p p p 会话建立，主 机和访问集中器两者都必须为个p p p 碰拟接口分配资源。 p p 轴e 滟实麓是隧太嗣和拨号辩络之间的一个e # 继协议，宅继承了塔太阏酌快速 和p p p 拨号的配置简筚、带户认诫完善、i p 分醮辅带宽控制爱活等优势。对荫户两 言，p p 鹣塞这秽辩决方案使用瞢遵的鞋太潮卡，它剩髑了羁藏广泛馊髑的撂凇拨号方 式，足蔫要稷怒户的p c 搬星穰掘装一个p p 鹣e 拨号客户端麴软体( w h 砖s x p 已 经内嵌) ，就可以象以前一样拨号上网。目前p p p o e 协议普遍应用于电信提供聃x d s l 业务中。j 北索郝彀大学磺圭磷究生率姓沧空 柱p p p o e 认诫过程以殿随后的数据交换过程，p p p 协议需簧被再次封装到以太 较中，试谖系统必须将镱个镪进符拆解才熊剡衔和谈$ 日搦户燕否含法，一氯用户增多 袋者数攒露增大，封装逮凄必然嘏不主，形成网络瓶颈，所班封装开销较大，辩阏络 接入设罄囊求缀斑。 2w e b 幛m p 控米 d l c 擎又髂必动态圭瓿絮置协议，可跌在t c 王氍 涮缀土健客户撬获譬既萋糖怠。 宦是基于b 0 0 1 甲( b oo j r s l r a pp r o t o c o l ) 协议，并在b o o t p 协议的基础上 添加了裔动分配可翊网络地娃等功髓。这两个协议可以通过一些机制嚣操诈。 d m c p 支持曼种i p 地址分配方法：第一种是自动分配，d h c p 给用户分配一个 度久致l p 姥址；第三静怒动态分聚，在这辩馕援下，耀户可淤取褥一个 p 筑垃，德 鼹寿对潮聚剿；第三释楚零王分配，谯这秘方溅下，搦户翡 p 地垃是豳管理曼手工 指定的，d h c p 服务器只需要将这个指定的l p 地址传送鲶用户即可。 动态分配是一种允诲囊动重甩地址的枫铡，圈她这秘方法对予有蟪对e 睡懋产， 而且刚络的i p 地址汝源有限的情况特别适用。 零l 薅黼c p 技术帮麓飘潆重定两技术，可敬方便地对用户进行认磁霸地址管理。 稿户开祝对遥过d h c p 瓿臌务器动态褥蜀i p 蟪锰，接入设备为该用户添加访问控制 列表，让爝户只裁访赶搀定的、v e b 鼹务器避入议涯煲嚣，认诞遴过屡，接入设餐修 改渡用户酶访问控制烈表，髑户可以落闯， 耧因特踺壤篡链网络照务。 w 曲+ d h c p 认证方式是属于应用层的认证，认证报文需要经过链路蘑、网络层、 传输屡泌及应用联，认迁效率鞍低。在认证通i 童前主枫酋先需要邋过d h c p 获取到 个球地址，所以这种认证方式也容翁造成i p 地址的浪费。翳外，这种技术需要詹 蠹酝置一个、b 瑕务器，般壶搂入设备懿厂巍专门拜发，穗瓣了系统或零。 1 。3 2 1 x 技爿乏 瑶嚣e 辫1 x 楚基于端爨静谚鹚掩澍捻议( p 积。s 艏n o 槽。瘟a c e e s se o 嬲诂l p m t o c 0 1 ) ，它由i e e e 在2 0 0 1 年公布，起源予8 0 2 1 1 协议( 标凇的无线髑域网协议) ， 最捆主要解决无线扁域网用户的接入认证阔题。在2 0 0 4 年发毒的8 0 2 i l l 协议中， 8 0 2 1 x 被正式采朋为无线髑域网接入认证管理协议。 8 艟1 x 提供一静在淡太霹络豹镶路盛传输酉扩篷认谨协注谨( 瓤l e n 蛾她 a 瓣l e 珏蛀c a t i o n 狲瓣1 ) 数掇毽鹣瓿制，零j 焉遮释枫翻，可黻简单、离效魄辩攘入8 0 2 网络的设备进行认证尊丑授权，是一种比较俺零霄效的烬域鄹接入方式。 i 麟8 0 2 1 x 挎议龅体系包括三个帮分：审馕赣f s h l 妃酶、认迁蒙绞 北京邮电大学硕士研究生毕业论文 f a u t h e n t i c a t o rs y s t e m ) 、认证服务器( a u t l e n t j c a t i o ns e r v e r ) 。 申请者是一个用户终端系统，该终端系统通常要安装一个客户端软件，用户通过 启动这个客户端软件发起8 0 2 1 x 协议的认证过程，客户端系统需支持b 廿o l ( e a p o v e r u 州) 协议。 认证系统是支持8 0 2 1 x 协议的网络接入设备。该设备对应于每个用户的端口( 可 以是物理端口，也可以是用户设备的m a c 地址、v u 、n 、i p 等) 是两个逻辑端口： 受控端口和不受控端口。不受控端口始终处于双向连通状态，主要用来传递e a p o l 协议帧，可保证客户端始终可以发出或接受认证。受控端口只有在认证通过的状态下 才打开，用于传递网络资源和提供服务。如果用户未通过认证，则受控端口处于未授 权状态，用户无法访问认证系统提供的服务。 认证服务器为认证系统提供认证服务，通常采用业界通用的认证服务器r a d i u s 服务器。 8 0 2 1 x 认证的结果在于端口状态的改变，而不涉及通常认证技术必须考虑的i p 地址协商和分配问题，是各种认证技术中最简化的实现方案。 1 14 几种技术的比较 p p p o e 接入认证方式的标准和设备比较成熟，承载数据与认证数据都需通过 p p p o e 封装，对用户控制能力强，能实现流量控制，i p 地址分配由于客户端不可改 动而十分易于管理，计费数据相当准确。在于网络性能和设各处理效率低，容易形成 流量瓶颈；由于其建立在2 层网络上的特点和点对点的本质，限制了组播协议的存在， 将会在一定程度上，影响今后视频业务的开展；另外接入设备价格昂贵也是一个主要 的缺点。 d h c p + w e b 方式无特殊封装，认证通过后承载数据可直接转发，网络性能和设 备处理效率较高，不存在2 层网络局限的问题。但这种方式使用d h c p 来动态分配 i p 地址，在防止用户盗用i p 地址等方面，还需要额外的手段来控制；认证层次过高 影响认证效率，也会对某些网络资源的安全性带来一定隐患。 i e e e8 0 2 i x 方式中承载数据信道与认证信道分开，网络性能和设备处理效率较 高；认证通过后分配i p 地址，不存在盗用i p 地址的情况；基于以太网内核，实现比 较简单，与以太网设备能够很好融合，设备成本低；认证协议主要在2 层，认证成功 后端口打开，对上层协议的变化和各种业务的开展没有任何影响。 三种接入方式的对比参见表1 1 口，可以看出三种方式各有特点，相比而言基于 8 0 2 1 x 的接入管理方案前景更好一点。 北京邮电大学硕士研究生毕业论文 袁卜1 三种接八方式对比袁 p p p o ed h c p + 硒铀8 0 2 1 x 标准化程度 r f c 2 5 1 6 、e b 软件厂商私有 疆e e 标准 封装开销 大小 小 控制方式数据认证统一数据认证分开数据认证分开 】p 地址认证后分配认证前分配 ，认证后分配 蛆播支持差 好好 v l 要求无多无 客户端软件需要不需要需要 对设备要求高私有设备，较高低 安全性高较高高 地址仿冒能力 强强 强 1 2 相关网络系统介绍 如何使得宽带接入网络更加安全，便于审计日忠，以及与遗留系统融合，亦是 接入管理关注的。与之相关的网络系统包括入侵检测系统、网络日志系统、活动目录 系统。本节主要对这些系统相关协议和技术做介绍说明。 l21 入侵检测系统 入侵检测技术是主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理 补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力 ( 包括安全审计、监视、攻击识别和响应) ，提高了信息安全基础结构的完整性。它 从计算机网络系统中的若干关键点收集信息，并分析这些信息。 i 即r f 将一个入侵检测系统分为四个组件：事件产生器( e v e n t g e n e a t 0 b ) ；事件 分析器( e v e n ta n a i y z e r s ) ；响应单元( r e s p o n s eu n i t s ) ；事件数据库( e v e n td a t a b a s e s ) 。 事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。 事件分析器分析得到的数据，并产生分析结果。响应单元则是对分析结果做出反应的 功能单元，它可以做出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。 事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可 以是简单的文本文件。 1 2 2 网络日志系统 目前常见日志管理系统有两种形式：访问控制系统，日志审计系统。访问控制系 统一般采用网络采集并记录用户行为，并可通过设定的策略对用户的访问行为进行控 制；日志审计系统一般由专业的安全厂商提出，日志收集、分析、管理的安全审计系 统。它可以对安全产品( 如防火墙，l d s 等，、网络设备( 如r o u t e r 、s w i t c h ) 、应用 北京邮电大学硕士研宄生毕业论文 系统( 如w e b 、m a i l ) 、操作系统等产品和系统的日志信息统一进行收集，并集中 存储，同时，进行综合分析检测网络和系统中安全隐患。 网络日志系统核心功能为日志收集和管理，通过对网络上多种日志进行收集、分 析和汇总等方式，便于网络管理员了解网络使用状况，并及时对网络进行优化和配置 及控制。可通过数据采集模块与设备端口镜像功能相配合，通过对i p 包的分析，实 现用户访问日志记录、流量统计等功能，为网络提供全面的访问日志记录，并能与接 入认证计费系统结合，将访问日志映射为真实用户，便于网络访问行为的定位查找。 同时还可支持标准s y s l o g 接口，接收其他数据采集源提供的日志，并对这些日志进 行分析、汇总等。 123 活动目录系统 活动目录a d ( a c t i v e d i r e c t o r y ) 是实现了轻量级目录存取协议l d a p ( l i g l l l w e i 曲t d i r e c t o r y a c c e s sp r o t o c 0 1 ) 用于w i n d o w s2 0 0 0 及2 0 0 3 的目录服务，它存储着网络上各 种对象的有关信息，并使该信息易于管理员和用户查找及使用。活动目录服务使用结 构化的数据存储作为目录信息的逻辑层次结构的基础。 l d a p 协议最初是基于x 5 0 0 全球目录服务的目录访问网关而设计，是x 5 0 0 中 d a p 协议的轻量级实现，是一个运行在t c m p 上的目录访问协议。它简化了d a p 协 议的一些复杂定义，克服了d a p 出议的一些缺点，并且抛弃了一些x 5 0 0 很少使用的 繁琐特性。l d a p 协议还是一种跨平台的、标准的协议，因此可以在网络中任何计算 机平台上通过用户端程序获得u ) a p 目录的服务。u ) a p 目录服务器是用来处理查询 和更新u ) a p 目录的。u ) a p 目录是一个存储网络对象信息的分层结构，是基于属性 的描述性记录的集合，它的数据类型主要是字符型，目的是快速响应大容量查询并且 提供多目录服务器的信息复制功能。 l d a p 数据库与其它数据库相比，具有以下特点： ( 1 ) 存储内容：目录服务器的主要功能是提供快速的查询，通常查询操作与更新 操作比在1 0 ：l 以上，适合存储静态的数据。同时存储的数据范围也非常广泛，包括用 户、打印机、路由器、c a 的证书及撤销列表( c r l ) 等。 ( 2 ) 存储模式：目录服务有独特的列象存储模式和树状结构。在u ) a p 目录中，信 息存储的基本单位是条目，每个条目包含一到多个属性，每个属性都有相应的语法结 构，可以有一个或者多个属性值。所有条目组成目录信息树d i r r 。 ( 3 ) 存储方式：目录服务支持数据的分块和冗余存储，不同的服务器之间通过指 针相连接，当客户机访问的u ) a p 服务器上找不到所需要的信息时，服务器会返回一 个指向另一个可能包含该信息的目录服务器的参考指针，由客户机根据返回的信息来 决定是否继续查询。 北嵌船电太学磺士譬 究生毕业论文 ( 4 ) 访问方式：目录服务不支持复杂的s q l 查询和受新，但是l d a p 提供了丰富 的访润稿录簸务器瀚a p l ，霹域弱弼这些a p l 来开发各释应掰程殍实琉对霹录的快速 访秘。 活动暇录是微软为n e | 中的对象访趣定义的羁录驻务。包挺援录溅势零鸯，戥及 寓户端a p l ( a 黼1 ) 。a d 势不是姻a p 在n o l 巾熟实现，蔼是x 5 在m 髓中瓣实璃， 假a d 前端支持并主要以u ) a p 形式进行访问。完整地说，a d 魁基子微软自身定义 静x 5 0 0 扩展的鬃列s c h e “m 实现的x 5 0 。疆最服务及相关的谤阏控制工舆的集合， 冀薪端支持u ) a p 的查询，甜的蔻对n e t 牵涉及的所有嘲络对象提供目承服务。各个 s e h e m & 在一个榭豢拣中楚难一戆。 活动瓣录主要躅在分蠢斌黪垮境审。在分舞式嚣境中，簧袋离各静信怠胃班被备 种应用缀方便地访阊读取。灏动目录正式为分布式环境中的倍息提供秽访同途径。 它提供了一个公藏的区域来保存分命式环境中的各种信息，并且辩这些信息进 亍寇 能。从汗发人员角度来看活动目录，可以理解活动目录是种存放了应用穰序所需要 瓣特定舞源信息的“懿据露”。活韵霹蒙还对这夔资潭信患的读取巍查询进行了优化。 港毯鞋最冀有辔愚安全栏、慧予繁酶麓管理、扩震挺、可谇缩链、信惑的复铡、与 0 n s 集成、与其他目录服务的互操作蛙、灵滤查询等优点。 3a a 服务及r a d i u s 协议 a a a 是a 像e 确c a n ( 试证) 、a 澜埒f 溆越o n ( 授载) 、a c c 。“黼n g ( 记穰) 的缩 霉，是接入管理纂绫关注鲍梭心。乳a 翻u s 是姥爨蛉一静a a a 标准，被绝大多数瓣 厂礴采用。本节对耪关知识秘协议傲德单说骥。 + 3 + 文a 体系结擒 a a a 模型聚焦用户访问的三个关键层面：认证、授权和记帐。 试诞：潮络管理者对要使用网络资源的用户游彳亍身份确认的过程，最常见的就息 弼户襁弩和密码。其菠键闷题有两个：建立强j j ：的密粥和可靠的分发方式；建立信任 关臻，实现代理功麓。 授救：嬲终管理喾健耀裁爨集台帮摸扳采决定透过认诞麴髑户怎样菠爝篡费滚， 如l s p 分配给用户的地址可以是静态i p 或d h c p 动态1 p 。其关键问题是如何建立一 个通用韵瓶则模型来满足多种需求。个“离效的”的a a a 服务器实现应该能够馓 到无论请求是否芷确，它都可以分析请求，对请求的服务进行授权。 汜壤：鼹络管理鬻 鬟l 羹、收集、畦袋璃户辩释络资源麴消耗，镦括时间、流量筹， 乍为避一步避芎亍授投控制、窜计、诗爨鞠趋势分辑静豫懿。冀美键滴题包括：傈试记 8 北豪邮电丈学硕士研究生毕北论文 冁数攒熬准确毂帮分辑域痰、域湖记隈模黧。 记帐数据的用处很多。通常，管理员可以通过分析成功的请求来判定系统的容量 和预测寒来系统的负荷；运营者可以通过分析搬务所消耗的融闻进行擞务酌收费；安 全分析员可以通过分析藕绝请求来判断是褥有黑客对耀络进行攻击。 a a a 模型的基本思想是将网络管理规范化，把认证授权和记帐功能从分散的网 络设蒜上转移翻一台或多台舔务器，郅袋谓静a a a 骚务器，集孛鼗控帮营褒瓣终 的访问控制。 隧整扭e 搦e 赫技术与耨服务的出现，a a a 技术也在不断魅发展，出现了缓多 协议支持a 服务，主要有k e r b e m s ，融m m s 以及最近提出的d i a m e t e r 协议。 r a d i u s 是当前应用最广泛的a a a 协议。 132r d l u s 协议 啦m s ( 歉e m o t e a 钟e s sd 撼轴u s e fs e 舯 c e ) 在1 9 8 9 年幽珏v i n 嚣l 糙公司u 并发， 在1 9 9 7 年被i e 佯接受成为r f c 协议。目前它已被广泛应用在运营网络中，熬一个 事实上瓣a a a 按渡耩准。 r a d i u s 协议是典烈的客户机服务器络构：网络接入服务器充当蚣d i u s 的客 户端，它在网络上可以怒路由器，交换机等设备。r a d j u s 客户端负责传送用户信息 和资源使用记录至i 指定的r a d s 服务器，然后根据服务器的响应簸壤用户要求。 r a d i u s 服务器根据用户的连接请求实行认证，存储资源消耗信息，向网络接入服务 器返嚣援较信息或记壤确认。 由于r a d l u s 的无状态性和u d p 的设计思想有类似性，m d i u s 协议利用u d p 协议传辕，因此r a u s 的实现必须考虑爨传机制。r a d i u s 协议规定服务器使用 的认证授权端日为1 8 1 2 ，记帐端口为1 8 l 梦。 r a d i u s 客户端与r a d i u s 服务器之间通过一个共享密钥来进行相互认证，这 个密铜永远不在两络上传输，任褥密码帮会逶过密文传辕，戳藏来僳 委礴终遥倍过程 的安全性。 r a d l u s 势议支持多辩认迂方式，比如巍堙、c 鞴谨、e a p ，具意良好的可扩展 性，所有的事务都封装在a t t f i b ue e - h n 垂h v a l u e 结构的三元缀中，新的属性可以被方 便地添加丽不会影响已有协议韵鬟现；支持多个管理域协作和分布式服务，多个服务 器之闯的交互通过共享密镅加密，为用户支持漫游和异造试诚。 黜m i u s 协议的数据报文格式见图1 1 。 c 。d e ：该竣占瑶一个字苇，瘸予标识r a d l u s 数据氛戆类型。 i d e n t j f i e r ：该域占用一个字节，用于匹配请求与回复。如果在一个很短的时 间片段骧，一个请求有棚间的客户源i p 地址、源u d p 端口号和标识符， 北京邺电大学礤士研究生毕业论文 r a d i u s 服务器会认为这怒上一个重复的请求。 h n 垂h ：该域占用耀个字节，用于说螟数据包的总长度，包括编码、标识蛰、 长度、装秀n 码和瘸性域在内。 a u t h e n t j c a t o f ：该域占用1 6 个字节，用于验证来自r a d i u s 服务器的回复是 否被锻黉。 a t t r i b u t e s ：该域占用o 或彩个字节，采用a i 缸b u t k n g t h - 、铽u e 结构存放 剐囝i u s 报文要传送的嚣孝孛数据，铡躲：用户名，搬糍爱熬密秘等数据。 fg d d e l d 粕d 豇e r h n g 也 ia u t h e n t i c a t 哪 l ia t 砸b n t c s 1 4 常用认证协议和算法 圈l 。1r a d i u s 报文格式 目前屉常用的接入认诋协议是p a p ( p a s s w o r da u i h e n t i c a t j o np r o t o c 0 1 ) 和c h a p ，( g h a l l e n g e - h a i i d s h 龇a u t l l 。n t i c a t i o np r o t o c 0 1 ) ，b 气p 是一神扩展认证协议，可以在 e a p 中承载其他的认证漭议，包括张诤和蹦a p 等。认证过程审，珏j 垤c 和m d 5 信 息摘要算法被经常用来对密码等信息进行哈希加密。本节主要对这些协议和算法做介 绍遴弱。 1 4 t 黼5 和h 眦算法 m d 5 ( m e s s a g e - d 培e s ta l g o m h m5 ) ，又称信息摘要算法，在9 0 年代初由麻省瑗 王学院计搏极科学嶷验室的r o n 8 l dkr i v e s t 开发，经m d 2 、m d 3 和m d 4 发展覆泉 豹一种晗希加密算法i 4 j 。 m d 5 算法对任意长度的信息文件进行不可逆的字符串变换，产生一个唯一的1 2 8 侄长菠静“指纹”藏“报文摘要”。无论文箨的内容发患了任簿形式酶改变( 包捂人 为修改或者f 载过程中线路不稳定引起的传输错误等) ，对这个文件重新计算m d 5 时就会发现信息捅爱是不褶阉熬。 m d 5 广泛用于加密和解密技术上。比如张大多数u n i x 系统中用户的密码就是 以m d 5 算法加密瞒存储在文件系统中。当用户登录的时候，系统把用户输入的密码 计算成m d 5 僵，然后孬去和保存在文件系统中酶m d 5 值进行魄较，迸丽确定输入 的密码是谮正确。通过这样的步骤，系统在并不知道用户密码的明码的情况下就可以 确定惩户爱慕系统的窘法瞧。这不毽鼙鞋避免蒡l 户豹密鹚被其有系统管理燕较疆的掰 户知道，而且还在一定程度上增加了密码被破解的难魔。 1 0 索螂奄大学磺士讲究生毕业论文 m d 5 加密算法在r a d i u s 中的应用如下：r a d i u s 协议消息中需瑟进行加密的 囊要燕璃户密筠，校验信惑蔽及许赞鹾患等敏感数据。下面班用户密码豹加密为侧说 鞠主簧避程。醴s 萋先产畿一个搏字节静黼梳数r n ，并填充戮接入请求消息酌 a u t h t j c 箍她r 域内。设定用户密码为p w ，并在其嚣壤宠n u 珏字符，使褥其长发 为1 6 字节( 1 2 8 挝) 的整数穆，设为鹣并姆填宠最静密鹦默l s 掌节等长分隽p w l ， p w 2 ，p w3 ，p wk 。n a s 与a a a 服务器拱享密钥为s k ，采用下面所述的公式 计算： e d = 【p w 】) ( o r 【m d 5 ( s k + r n ) 】； = 【p w 】x 0 装f 麓静5 ( s k + ) 】； e d = f p w 】x o rf m d 5 ( s k c d ) j ； c d = 【p w 】x o rf m 玢5 ( s k + c d ) 】； 箕孛“x 豫”代表翼域探捧，“”表示缀联，帮把字符枣连接，“m d f ) 裘示 辩数据避学信患撼簧运算”。最爱荛e d 缓联。便得到拍密居豹密褥，德胃虢在黼络 上安全的传送。 h m a c 算法的定义雄q 黼凄一个加密用散捌滋数( 表示为h ，可以是辆d 5 或者 s h a 1 ) 和一个密钥k 。我们用b 来表示数据块的字节数。( 以上所提到的散列函数 浆分截鼗攥块字长b = 酣) ，用l 采袭示散捌函数的输出数措字节数( m d 5 中 l * i 蠢s 毛a 中l 2 0 ) 。鉴捌密甥静长度可敬是小于等于数据块字长的程何芷整鼗值。 应用程序中使用的密钥长度如果比b 犬，则越毙用搜震数列嚣数辩 乍嬲予它，然盛 用h 输出妁l 长度字符串作为在搬谭a e 中实际使蘑的密钥。般墙搋下，接荐靛最 小密钥k 长度是l 字节。 我们将定义两个阐定怠不同的字符串i p a d ，o p a d ：( i ，o 标患内部与外部) j p a d 蒜掘eb y t e o x 3 6 羹簧b 次卵a d = h cb y t e 锨5 c 踅复b 次。计算t e x t 的h m a c ： m a c = 硪k x o r 。p a d ， 差转x o r l p a 硅，l e x l ) ) 簿为戥下步骤： ( 】) 在密钥k 最 踅露热o 柬创建一令字长为b 躲字符串，潮翔，粕鬃k 静掌长 是2 0 字节，b = 6 4 字节，则k 后会加入4 4 个霉字节o x 0 0 1 ； ( 2 ) 将上一步生成的b 字长的字符率与i p a d 徽异或遥算； f 3 1 将数据流t e x t 填充至第二步的结果字符串中； f 辞鲻簸作髑予筵三疹生戒静数掇流； 疆) 将籀一步生成静转学话字符串与o p 稠徽异或遁舞； ( 6 ) 再将第四疹的结纂填究进第五步的结聚中； ( 乃罔h 作用于第六拶生成的数摄漉，输如屉终缡粜。 h m a c 的典型应用是用雀“挑战响应”( c h a l i e n 萌m e s p o i 雠) 身份认i 正中，认 北裘酆蛙天学碟士研浅生毕鼗诧义 _ 溉流程如下； f 1 ) 巍出客户端向蕊务器发出一个验证请求； 翻臌务器按到就请求麓生成一随梳数辨通过耐络传输给客户辅( 就为虢战) ； f 3 ，客户端将收到的随搬数提供绘是傍认谣平台，盎赛份认_ 燕平台使用该睫搬数 与存健在赛蹬认涯平螽孛的密钥进萼亍转凇。碱n 5 运算菇霉粼个缝皋佟为认涯证 据传给服务器( 此为响应) ； 料) 与此同时，服务器也使用该随机数与存储在服务器数摆库中斡该窖户密稠避 行h m a c 。m d 5 运算，如果服务器的运算缩粜与客户端传回的响应结果相同，则认 为客户端燕一个台法璃户。 1 ，4 2p a p 和c h p 认诳 戳零帮e i 珏a 是碍p 密谈中裁定麓议程铷议，钱鹳分裂怒2 3 魏国2 4 。 p a p 魁一种衡零的明文验证方式，网络接入服务器( n e la e s ss # r v e f ) 要求熙 户提供嗣户名和口令，p a p 以聩文方式返回用户信息州。 很明显，鼢i p 验证方式的发全性较差，辫互方可以很容易的获取被传送的用户名 鞠翻令，辩剩髑遮鳖信惠簿弼络棱久酸务器建立连接，1 获取弼络按夭靛务器键供的搿 番疑源。饼戳一麓潮户密隅被第三方窃淑，泓曾嚣法稳供避免受到第三方攻辔的保障 措施。 c 娃a p 对p a p 进行了殴避，不霉嶷接建避链路发邀明文躅令，嚣楚艇耀质询必 令以哈希算法对嗣令进行加密i “。认证的流程蹙：用户提出认证申请；网络接入服务 器生成一个随机的旗询口令翻复给弼户；用户把这个鹱询圈令和私肖密码嗣皓希算法 进行加密生成密文，将密文发送给嗣络按入服务器；湖络接入服务器也将质询口令和 鼹户密秘攥蹬蒂冀法诗算褥穗密文势避雩亍比较，翔果掰个密文一撑说鹗试迸袋功，瓣 镕5 认 茳失效。在整个连接避毂中，c 鞫犍霹戳不定时鹣内客户端菠复发送矮诲口令， 从而避免第3 方的欺诈攻击。 4 3 避舅l 纳e a p 瓿诫 e a p 怒印p 的可扩展认诞协议，是一个通爝静= 谶制协议+ 它翦傀势在于支持 多种认证机制且不必在链路控制阶段就选择一种认证机制，而悬把这一步推迟到认证 除段p “。潮络接入缀务器不必要理解每一释请求类型，丽w 戳简单的作为“衙端”黻 务器静逶骥偌输代理，所裔抟试证工髂癌识诞缀务嚣簸疆完成，设器坟霞嚣瑟捡套成 答傧息碣的类型来结束认证阶段。 双p 可以为多 议证方式提供了个椽琏支持机制，如令糖卡期m d 嗒。e h a l l e n g e j 隶邮电大学磺士碱究生毕妲论文 等。m d 5 a 脚i e n 舻是e a p 必须支持的认诚算法，也是攮常用的认证算法。 致谨豹基本工 筝过摆翔下：在镳路建立黔段完成蘸，议汪系统发送个或多个 试证请求 端盈接 蜜体p a g 端口接入实体胎_ e 为与端口相关联的协议实体，执行与认饿机制捆哭的算法和 v 协议，分为设备端p a e 和客户端张点两种。 客户端弛撼负责响应设备端的认证请求，向设备端提交用户的认证倍息。客户 端巍蛾瞧冒戳主动向设备臻发送认证请求和下线请求。 设备端弹点剥蹋试涯黻务器对需器接入瓣络使耀鼗务静客户端执行认证，并校 掇认证结聚相应地控制受控端口的状态。 设套端弛量帮认证服务器可以嫂子局一个没各，媳霹以谯予嚣个不鲻豹设鍪。 倪通常设备端p - e 和凡d i u s 服务器位于两个不同的设备，这样方便镑理和性能的 掇升。 ( 2 ) 受控端翻和非受控端霜 基于端日的网络接入控毒l 将竣镰端鸯客户端提供鼹势静端疆分为鹾个虞端蹬：受 控蠛口粒嚣受控端翳。棼受控端珏l 蟪终处于疆内连逶敬杰，用于搀递e a p 认涯攒文。 受控端口在授权状态下处于连通状态，用于传递业务报文；在非授权状态下处于断开 状态，禁i t 传递经何报文。受控端日和非受控端口是问端口韵两个部分，任何到达 该端口的桢，在受控端口岛j # 受控端阳上均可见。 受控辫强与菲受控端强示意图妇豳2 3 。 当满足下歹麓搏之一瓣，受控端辫处于援救状态； a 1 与端口关联的m a cw 用，同时管理员姆受控端= i 强制饕为授权状态； 砩与端日关联的m a e 可用，同时用户认诞成功。 当满足下列条件之一时，受控端圈处于 授权状态： 幻镗瀵员将爱羧端日强制置为菲授权菰态； b ) 岛端韬关联静m a c 不可翔； c 用户认证失败： 曲餍户下线。 1 6 北京邮电太学硪士硪究生毕业论文 型、竺| 0 嬲， 二二j 量二二二7 圉2 3 受控端臂和非受挫端口 设铸端撑与客户端p a e 之间通过菲受控端聪避行协议缀交交换；设备端p a b 与认证服务器之闯遴过瑞凹进行协议报文交换，不受制予受控端嗣的状态。 ( 3 ) 攀囱受控帮双寓受挨 丧j 授投获悉下，受控端弱霹激授设置藏擎淘受控鞠援韪凳控。实纷双淘受捷靖， 禁止报文的发送和接收；实行单向受控时，蔡止从客户端接收报文，但兔许向客户端 发送掇衷。 默认情况下，鬣控端阳实行双向受控，可考虑针对帮个受控端口实行单向受控。