（计算机应用技术专业论文）基于8021x的网络用户分组的研究与设计.pdf

中文摘要 摘要 当今社会，网络的触角已经深入人们社会生活的各个方面，同时，使用网络 的人群也在逐步扩大，很多企事业单位对网络的依赖性越来越强。随着网络用户 的增多，用户与用户之间对网络资源的访问权限的区分，就逐渐成为整个行业所 面临的一个巨大问题。 本论文的研究课题：“基于8 0 2 1 x 的网络用户分组的研究与设计”j 下是在此 背景下提出的。 8 0 2 1 x 体系是目前一种具有代表性的网络身份认证体系，该体系仅仅对用户 的访问权限作出了粗略的区分，并没有对通过验证的网络用户进行必要的网络资 源的访问控制。而在同常的网络管理工作中，访问控制是最常见而且最重要的组 成部分，它也是网络受到攻击后的一种抵御手段。本文针对8 0 2 1 x 的这点不足， 采用了认证过程与v l a n 分配相结合的途径，以端口分配v l a n 的方法，使每个不同 v l 锄与用户组相对应，从而达到了通过区分不同v l a n 而将用户分组的目的。 本论文首先分析了网络资源访问控制的技术现状，然后深入讨论了当前可行 的网络资源访问控制方法，并且将网络用户认证过程和网络用户分组过程互相结 合进行了深入详细的研究，最后根据分析所得出的结论，提出了在网络用户身份 认证的基础上能够实现网络用户分组的一种解决方案( a c c o u n tg r o u p i n gs y s t e m ， a g s ) ，并且进行了对该方案的可行性的测试。 在论文的结论部分对课题的完成情况，以及进一步的工作做出了说明。 关键字：8 0 2 1 x ；网络用户分组；访问控制；v l a n ；a g s 英文摘要 r e s e a r c ha n dd e s i g no ng r o u p i n gn e t w o r ku s e r sb a s e do n8 0 2 1x a b s t r a c t t o d a y , t h en e t w o r kp l a y sav e r yi m p o r t a n tr o l ei np e o p l e sd a i l yl i f e a tt h es a m e t i m e ，t h en u m b e ro fp e o p l ew h ou s et h en e t w o r kh a sg r e a t l yg r e wi nt h ep a s tf e wy e a r s ， m a n ye n t e r p r i s e sb e c o m i n gi n c r e a s i n g l yd e p e n d e n to nn e t w o r k s w i t ht h ei n c r e a s eo f t h en u m b e ro fi n t e r n e tu s e r s ，d i s t i n c t i o no ft h ea c c e s so fd i f f e r e n tu s e r st on e t w o r k r e s o u r c e sh a sb e c o m eah u g ep r o b l e mt h a tt h ee n t i r ei n d u s t r yf a c e s 。 t h i st h e s i si su n d e rs u c hb a c k g r o u n dt h a tw ep r e s e n tt h et o p i co fo u rw o r k 8 0 2 1x s y s t e mi sar e p r e s e n t a t i v en e t w o r ka u t h e n t i c a t i o ns y s t e m ，t h i ss y s t e mo n l y m a k ear o u g hd i s t i n c t i o n ，b u tn oc o n t r o lo ft h ei n t e m e tu s e r sw h oh a sp a s s e dt h e a u t h e n t i c a t i o n i nt h ed a i l ym a n a g e m e n to ft h en e t w o r k ，a c c e s sc o n t r o li st h em o s t c o m m o na n dm o s ti m p o r t a n tc o m p o n e n to ft h en e t w o r k ，i ti sa l s oav e r yi m p o r t a n tw a y a g a i n s tt h ea t t a c k s a c c o r d i n gt ot h i sd e f i c i e n c y ，t h i st h e s i sc o m b i n e st h ep r o c e s so f a u t h e n t i c a t i o nw i t hv l a n l dd i s t r i b u t i o n ，m a k es u r et h a te a c hv l a n l di sa s s o c i a t e dw i t ha u s e rg r o u p ，s ot h eg o a lo fa c c o u n tg r o u p i n gi sa c h i e v e d t h et h e s i sf i r s ta n a l y z e st h en e t w o r kr e s o u r c ea c c e s sc o n t r o lt e c h n o l o g ys t a t u s ，a n d t h e ni n d e p t hd i s c u s s i o no ft h ec u r r e n tf e a s i b l em e t h o do fa c c e s sc o n t r o ln e t w o r k r e s o u r c e sa r em a d e ， a tl a s tb a s e do nt h ef i n a lc o n c l u s i o n so ft h ea n a l y s i s ，a c c o u n t g r o u p i n gn e t w o r ku s e r ss o l u t i o n s ( a g s ) c a nb ea c h i e v e do nt h eb a s i so ft h en e t w o r k u s e ra u t h e n t i c a t i o n ，m e a n w h i l ea t e s t i n go ft h ef e a s i b i l i t yo ft h ep r o g r a mi sc a r r i e do u t a tt h ev e r ye n d ，t h i st h e s i sa n a l y s e st h i sp r o j e c ti ns y s t e m i cv i e w , p r o p o s e ss o m e w o r ki nt h ef u t u r e k e yw o r d s ：8 0 2 1 x ；g r o u p i n gn e t w o r ku s e r s ；a c c e s sc o n t r o l ；v l a n ；a g s 大连海事大学学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：本论文是在导师的指导下，独立进行研究工作所取得的成果， 撰写成博士硕士学位论文= = 基王墨q 2 ：! 丕的圆终囝应盆组的硒究量逡让= = 一。除 论文中已经注明引用的内容外，对论文的研究做出重要贡献的个人和集体，均已 在文中以明确方式标明。本论文中不包含任何未加明确注明的其他个人或集体已 经公开发表或未公开发表的成果。 本声明的法律责任由本人承担。 n 论文作者虢蜘谲年月叼日 f 学位论文版权使用授权书 本学位论文作者及指导教师完全了解“大连海事大学研究生学位论文提交、 版权使用管理办法”，同意大连海事大学保留并向国家有关部门或机构送交学位论 文的复印件和电子版，允许论文被查阅和借阅。本人授权大连海事大学可以将本 学位论文的全部或部分内容编入有关数据库进行检索，也可采用影印、缩印或扫 描等复制手段保存和汇编学位论文。 絮甄游砻f t 名仁 日期吻辨年3 月叼1 基于8 0 2 1 x 的网络用户分组的研究与设计 第1 章绪论 1 1 选题背景 在过去二十年中，互联网从一个专用的低速数据通信网络迅速发展为一个几 乎覆盖世界每一角落的公用数据通信平台，其骨干带宽则从最初的t i ( 1 5 4 m b p s ) 链路提升为o c 1 9 2 ( 1 0 g b p s c a p a b l e ) 光纤链路，而带宽更大的o c 一7 6 8 ( 4 0 g b p s c a p a b l e ) j - i ：在建设中。 伴随这一过程的是网络用户的急速增长和网络应用的同益多样化，网络已成 为现代人工作、学习、生活和娱乐中越来越重要的工具和载体。为了跟上信息时 代的步伐，政府、企业、学校、甚至居民小区都已经接入了i n t e m e t ，网络已经延 伸到的人们生活中的每个角落，这无疑为人们的工作和生活带来了极大的好处。 随着i n t e m e t 的发展，越来越多的计算机应用通过网络得以实现，拨号用户、 专线用户以及各种商用业务的发展使i n t e r n e t 面临许多挑战。如何安全、有效、可 靠的保证计算机网络信息资源存取及用户如何以合法身份登陆、怎样授予相应的 权限，又怎样记录用户做过什么的过程成为任何网络服务提供者需要考虑和解决 的问题。而且，一个全面的网络策略应当能够阻止外部攻击者并保持内部人员的 诚实性。它的目标应当包括： ( 1 ) 只允许经过授权的用户进入网络。 ( 2 ) 为不同种类的用户提供不同级别的访问权限。 ( 3 ) 防止来自内部的网络攻击。 j 下是基于此需求，a a a 体系逐渐发展完善起来，成为很多网络设备解决该类 问题的标准。a a a 即为a u t h e n t i c a t i o n ( 认证) ，a u t h o r i z a t i o n ( 授权) ，a c c o u n t i n g ( 记账) 。其中的a u t h e n t i c a t i o n ( 认证) ，a u t h o r i z a t i o n ( 授权) 的主要目的是对持 有各种特征的用户进行网络访问控制，而在a u t h e n t i c a t i o n ( 认证) 过程之后对用 户进行分组是旨在实行网络访问控制所实施的一种手段。 1 2 目的和意义 网络用户的分组在任何网络体系内都是一项极其重要的、缺一不可的组成部 分，它不但涉及到网络的安全性，也涉及到网络的可用性及网络的使用效率，历 第1 章绪论 来被人们所重视，因此对其区分方法以及过程的研究，具有极其重要的意义。 本论文针对8 0 2 1 x 体系的特点，指出了其在网络用户分组和网络资源访问控 制中所存在的局限性，并且提出一个相对有效而且便捷的用户分组方案( a g s ) ， 并对该解决方案给与描述和分析。 1 3 论文概述 本文共分为六章，各章的主要内容如下： 第二章是问题的定义和相关技术的现状，提出网络用户分组的目的，意义， 以及对当前可行方法的比较和分析。 第三章是对用户验证过程相关技术的分析，并在此基础之上指出了8 0 2 1 x 体 系在网络用户分组工作中的研究方向。 第四章是对用户分组过程相关技术的分析，对v l a n 相关技术和方法的讨论， 并且指出网络用户分组的优势所在。 第五章是a g s 系统总体的设计和分析，分别论述了a g s 的总体结构，工作 原理，网络分组相关协议格式等问题。 第六章是总结和展望，对整个课题的完成情况进行总结，并提出了进一步的 工作。 基于8 0 2 1 x 的网络用户分组的研究与设计 第2 章网络用户分组 2 1 从a 体系 a a a 即为a u t h e n t i c a t i o n ( 认证) ，a u t h o r i z a t i o n ( 授权) ，a c c o u n t i n g ( 记账) 。 认证( a u t h e n t i c a t i o n ) 即辨别用户是谁的过程。通常该过程通过输入有效的用户 名和密码实现；授权( a u t h o r i z a t i o n ) ：对完成认证过程的用户授予相应权限，解 决他能做什么的问题。在一些身份认证的实现中，认证和授权是统一在一起的； 计帐( a c c o u n t i n g ) ：统计用户做过什么的过程，例如用户使用的时间和费用。通 常可以用用户占用系统时间、接受和发送的信息量来衡量。 a a a 通过a u t h e n t i c a t i o n ，a u t h o r i z a t i o n ，a c c o u n t i n g 控制了用户在自己特定角 色特点所遵循的原则下如何访问多个网络以及特定网络下的某个平台以及某种应 用服务。在实际使用中，a a a 服务器都带有一个用户数据库( 可以是某系统用户 数据库或独立的数据库系统) ，这个数据库中含有用户的初始化信息，它可以反映 合法的属性值以及每个用户所享有的权限。通过它和客户端软件的数据交流来实 施相关操作。a u t h e n t i c a t i o n 通过终端用户的识别属性来判定它是否有进入网络的 权限。终端用户一般需要提供一个用户名( 该用户名在这个认证系统中应该是唯 一的) 和对应该用户名的口令。a a a 服务器将用户提交的信息和储存在数据库中 的用户相关联的信息比较，如果匹配成功的话该次登陆生效，否则拒绝用户请求。 当用户通过认证以后，a u t h o r i z a t i o n 就决定了该用户访问网络的权限范围及享有何 种服务。在a a a 管理模式下a u t h e n t i c a t i o n 和a u t h o r i z a t i o n 通常在一起执行。 a c c o u n t i n g 提供了收集用户使用网络资源情况信息的方法。通过该类数据的收集， 可以提供网络审查、发展以及结构调整的一些依据【1 。2 1 。a a a 中，a u t h e n t i c a t i o n 是防止非法用户进入网络进行非法活动的第一道防线，a u t h o r i z a t i o n 是为合法用户 提供应有网络资源的手段，是网络管理工作中的重心之一，其目的是对用户进行 访问控制( a c c e s sc o n t r 0 1 ) 。 2 2 网络用户分组和访问控制 访问控制是对系统资源使用的限制，决定访问主体( 用户、进程、服务等) 是否 被授权对客体( 文件、系统等) 执行某种操作：只有经授权的访问主体，才允许访问 第2 章网络用户分组 特定的系统资源。访问控制包含以下三方面含义，一是机密性控制，保证数据资 源不被非法读出；二是完整性控制，保证数据资源不被非法增加、改写、删除和 生成；三是有效性控制，保证资源不被非法访问主体使用和破坏。访问控制对系 统而言，可以有效地将未经授权的非法访问主体拒之于系统之外；对系统资源而 言，保证资源不被非法访问和使用。以身份认证作为访问控制的前提，将各种安 全策略相互配合才能真正起到信息资源的保护作用。而8 0 2 1 x 体系仅仅对用户的 访问权限作出了粗略的区分，并没有对通过验证的网络用户进行必要的网络资源 的访问控制。 网络访问控制是网络安全防范和保护的主要策略【3 羽，它的主要任务是保证网 络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控 制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属 性控制等多种手段。 1 ) 入网访问控制策略 入网访问控制是网络访问的第1 层安全机制。它控制哪些用户能够登录到服务 器并获准使用网络资源，控制准许用户入网的时间和位置。用户的入网访问控制 通常分为三步执行：用户名的识别与验证；用户口令的识别与验证；用户账户的 默认权限检查。三道控制关卡中只要任何一关未过，该用户便不能进入网络。 对网络用户的用户名和口令进行验证是防止非法访问的第一道关卡。用户登 录时首先输入用户名和口令，服务器将验证所输入的用户名是否合法。用户的口 令是用户入网的关键所在。口令最好是数字、字母和其他字符的组合，长度应不 少于6 个字符，必须经过加密。口令加密的方法很多，最常见的方法有基于单向 函数的口令加密j 基于测试模式的口令加密、基于公钥加密方案的口令加密、基 于平方剩余的口令加密、基于多项式共享的口令加密、基于数字签名方案的口令 加密等。经过各种方法加密的口令，即使是网络管理员也不能够得到。系统还可 采用一次性用户口令，或使用如智能卡等便携式验证设施来验证用户的身份。 网络管理员应该可对用户账户的使用、用户访问网络的时间和方式进行控制 和限制。用户名或用户账户是所有计算机系统中最基本的安全形式。用户账户应 只有网络管理员才能建立。用户口令是用户访问网络所必须提交的准入证。用户 应该可以修改自己的口令，网络管理员对口令的控制功能包括限制口令的最小长 基于8 0 2 1 x 的网络用户分组的研究与设计 度、强制用户修改口令的时问间隔、口令的惟一性、口令过期失效后允许入网的 宽限次数。针对用户登录时多次输入口令不正确的情况，系统应按照非法用户入 侵对待并给出报警信息，同时应该能够对允许用户输入口令的次数给予限制。 用户名和口令通过验证之后，系统需要进一步对用户账户的默认权限进行检 查。网络应能控制用户登录入网的位置、限制用户登录入网的时间、限制用户入 网的主机数量。当交费网络的用户登录时，如果系统发现“资费用尽，还应能 对用户的操作进行限制。 2 ) 操作权限控制策略 操作权限控制是针对可能出现的网络非法操作而采取安全保护措施。用户和 用户组被赋予一定的操作权限。网络管理员能够通过设置，指定用户和用户组可 以访问网络中的哪些服务器和计算机，可以在服务器或计算机上操控哪些程序， 访问哪些目录、子目录、文件和其他资源。网络管理员还应该可以根据访问权限 将用户分为特殊用户、普通用户和审计用户，可以设定用户对可以访问的文件、 目录、设备能够执行何种操作。特殊用户是指包括网络管理员的对网络、系统和 应用软件服务有特权操作许可的用户；普通用户是指那些由网络管理员根据实际 需要为其分配操作权限的用户；审计用户负责网络的安全控制与资源使用情况的 审计。系统通常将操作权限控制策略，通过访问控制表来描述用户对网络资源的 操作权限。 3 ) 目录安全控制策略 访问控制策略应该允许网络管理员控制用户对目录、文件、设备的操作。目 录安全允许用户在目录一级的操作对目录中的所有文件和子目录都有效。用户还 可进一步自行设置对目录下的子控制目录和文件的权限。对目录和文件的常规操 作有：读取( r e a d ) 、写, k ( w r i t e ) 、创建( c r e a t e ) 、删除( d e l e t e ) 、修改( m o d i f y ) 等。网 络管理员应当为用户设置适当的操作权限，操作权限的有效组合可以让用户有效 地完成工作，同时又能有效地控制用户对网络资源的访问。 4 ) 属性安全控制策略 访问控制策略还应该允许网络管理员在系统一级对文件、目录等指定访问属 性。属性安全控制策略允许将设定的访问属性与网络服务器的文件、目录和网络 设备联系起来。属性安全策略在操作权限安全策略的基础上，提供更进一步的网 第2 章网络，l j 户分组 络安伞保障。网络i ：的资源都应预先标出一组安令属，陀，用，、t 义寸网络资源的操作 权限对心。张访问控制表，属性安全控制级别高于用，操作权限设胃级别。属性 砹尚：经常控制的权：陵他玉：向文件! 戈l1 录1 了入、文什复制、| | 爿之或文件删除、夼 订| j 求! 戈文件、执行艾什、隐含艾什、j 匕文什或 f 爿乏锋，。允y f ：例络管删员化系 统4 级 j ，；蚓小文什或| | 爿之等的访i jj 属性，i j j 以保护m 络系统 ，一e 要的li 录和文件， 维持系统对普通 j ，1 的控制牛义，防i 川- 刈几求j j f i i 义什的误删除等操作。 5 ) i 叫络服务器安伞# 孙i j 策略 f x q 络系统允许仃服务器摔制台l i 执行系列操作。川户j 匝过 缁洲台i ij 以力拽 和卸找系统模块，可以奠装和删除软件。网络服务器的安全控制包括可以设苒! 1 令锁定j i 务器控制台，以防i ： 卜法用户修改系统、删除雨要信息或破坏数w 。系 统i 砭孩提供服务器登录限制、| 卜法坊品榆洲等功能。 6 ) n j 络雌测和锁定控制策略 h2 1 | “j 络川，1 分引 f i g 2 1 f h ec o n c e p t0 1 1a g c o u n l5 ；g r c r o p i n g h - 铆：f i r ”t , = f l ! - jj 、v 能够肘例络实施监控，例络服务器应对仃，、- 巩问h 络资源的。腑 况进i 九己录，对r 川f ，j 川络访j 、u j ，服务器j 、j i 以h 形、文。1 ；_ ：或，t 等j | ：! ；- 州陡警， 。i ，世例络毹：j = | | ! - ，j ；i ：，澎刈于1 i 上分，j ，试j 韭入h 络f 门；l lz 力，川2 牛j j i _ 务烈j 、矿f 光勺多 基于8 0 2 1 x 的网络用户分组的研究与设计 自动记录这种活动的次数，当次数达到设定数值，该用户账户将被自动锁定。 7 ) 防火墙控制策略 防火墙是一种保护计算机网络安全的技术性措施，是用来阻止网络黑客进入 企业内部网的屏障。防火墙分为专门设备构成的硬件防火墙和运行在服务器或计 算机上的软件防火墙。无论哪一种，防火墙通常都安置在网络边界上，通过网络 通信监控系统隔离内部网络和外部网络，以阻挡来自外部网络的入侵。 网络用户分组则是上述网络访问控制七个控制策略中实现操作权限控制策略 的一种方法，如图2 1 所示。他根据用户的特征，经过一定的处理过程，使本来是 互相独立连接入网的用户，变为包含若干个以用户为元素的集合，每个集合内的 成员对网络资源的访问都要受到一定的控制，同一集合内的用户具有相同的访问 权限，不同集合内的用户之间不能通信，而且访问权限也互不相同。 第3 章8 0 2 1 x 认证过程的分析 第3 章8 0 2 1x 认证过程的分析 3 。18 0 2 1x 体系分析 i e e e 8 0 2 1x 出现于2 0 0 1 年6 月，起源于i e e e 8 0 2 1 1 协议，i e e e 8 0 2 1x 协 议的主要目的是为了解决无线局域网用户的接入认证问题。i e e e 8 0 2 1 1 是标准的 无线局域网协议，由于无线局域网的网络空间具有丌放性和终端可移动性，很难 通过网络物理空间来界定终端是否属于该网络，因此，如何通过端口认证来防止 其他公司的计算机接入本公司无线网络就成为一项非常现实的问题，i e e e 8 0 2 1x 正是基于这一需求而出现的一种认证技术。就是认证用户从网络边界接入网络， 网络管理员也可以确保没有认证的用户无法访问网络，让所有用户的认证都可以 集中在一个验证服务器上完成。 虽然这种客户服务器的验证方式为网络资源提供了一种安全的访问方式，但 它不能提供整网的安全机制，很多设备厂商采取了其他技术来保证整网的安全， 这些就要求管理员必须制定详细的安全策略。如果使用i e e e 8 0 2 1x 来实现整网的 安全，管理员就可以确保即使最边界的访问也是安全的，而且因为8 0 2 1 x 是i e e e 标准，所以也可以保证各个厂商之间的互操作性。i e e e 在2 0 0 1 年j 下式颁布了i e e e 8 0 2 1x 标准协议草案( t o n yj e f f r e e ，2 0 0 1 ) 用于基于以太的局域网、城域网和各种宽 带接入手段的用户设备接入认证。该协议最初假定的应用环境是交换式以太网中， 但是在标准化过程中也考虑到了像8 0 1 1 i b 和c a b l e 接入等共享式以太网络应用环 境对认证的要求。 8 0 2 1 x 认证采用基于以太网端口的用户访问控制技术，可以克服p p p o e 方式 带来的诸多问题，并避免引入集中式宽带接入服务器所带来的巨大投弹7 9 1 。在传 统以太网设备基础上，基于端口的网络访问控制技术采用i e e e8 0 2 1 x 协议，提供 了对基于以太网的点到点连接的端口用户进行认证和授权的能力，从而使以太网 设备达到电信运营要求。用户侧的以太网交换机上放置一个扩展认证协议( e a p ) 代 理，用户p c 机运行e a p o l ( e a po v e rl a n ) 的客户端软件与交换机通信。基于端 口的网络访问技术的基本思想是网络系统可以控制面向最终用户的以太网端口， 使得只有网络系统允许并授权的用户可以访问网络系统的各种业务( o n 以太网连 接，网络层路由，i n t e r n e t 接入等业务) 。8 0 2 1 x 协议是基于c l i e n t s e r v e r 的访问控 基y - 8 0 2 1 x 的网络用户分组的研究与设计 制和认证协议。它町以限制未经授权的用户设备通过接入端fj 访问l a n m a n 。 在获得交换机或l a n 提供的各种业务之i 订，8 0 2 1x 对连接到交换机端li ：的用户 设备进行认证，征认证通过之i ，j ，8 0 2 1x 只允许：e a p o l ( 基于局域肛硼勺扩腱认诩： j 、议) 数撕通过设备连接的交换yl g j 【】：认通过以后，一“i ，j 数据i j + 以顺利地通过 以太川端；rl 。 3 1 18 0 2 1x 体系结构 i e e e 8 0 2 1x 叻、议的体系结构包括二个重要的组成部分( t o n yj e f i c r e e ， 2 0 0 1 ) s u p p l i c a n ts y s t e m 客户端、a u t h e n t i c a t o rs y s t e m 认证系统、a u t h e n t i c a t i o n s e r v e rs y s t e m 认证服务器0 1 。图3 1 清晰形象的描述了i e e e8 0 2 1x 体系的二个 纰成部分在川络打i 扑结构 1 的位日，以及各个纵成部分以! 认征过程rt - 的作用。图 3 2 描述了i 哲之问的关系以及棚之n i j i i 的通信。 纠3 18 0 2 1 x 的细成部分n ：l 叫络i i 的关系 f i g 3 1r e l a t i o n so ft h ec o m p o n e n t so f8 0 2 1xi nt h en e t w o r k 客，1 端系统一般- f l i , j tj 户终端系统，陔终端系统通常需要安装一个客户，端软什， 川通过芹；动这个客户端软件发起8 0 2 1x 协议的认证过程。为了支持基于端l 1 的 接入控嗣j ，客j 、l 端系统需支持e a p o l ( e x t c n s i b l ca u t h e n t i c a t i o np r o t o c o lo v e rl a n ) j 、议。 认讧e 系统通常指那l l 蔓支持8 0 2 1 xm 议的m 络改蓊。支持8 0 2 1 x1 办议的网络 第3 章8 0 2 1 x 认证过程的分析 设备对应不同的用户端口有两个逻辑端口：受控端n ( c o n t r o l l e dp o r t ) 和非受控端口 ( u n c o n t r o l l e dp o r t ) 。非受控端口始终处于双向连通状态，主要用来传递e a p o l 协 议帧，可保证客户端始终能够发出或接受认证。受控端口只有在认证通过的状态 下才可打丌，用于传递网络资源和服务。如果用户未通过认证则受控端口处于未 认证状态，用户无法访问认证系统提供的服务。 li ； u p p l i c a n t s l| a u t h e n t i c a t o r ss y s t e ma u t h e n t i c a t i o n i s y s t e ml； s e r v e r ss y 瓣e m “ li s e r v i c e so 瓠宅r e d s u p p l i c a n t | i b ya u t h o a l i c a l t o r a u t h e n t k a t o ra t t l h e a li c a t i o n 弘e f o 。鏊b r i d g er e l a y ) 驴a e s e r v e r j ll 孓= 广 i j i j l li j j -啊h-h 1r ， r 图3 28 0 2 1 x 上作原理 f i g 3 2o p e r a t i o n a lp r i n c i p l eo f8 0 2 1 x 图3 3 中认证系统的受控端口处于未认证状态，因此客户端无法访问认证系统 提供的服务。 图3 4 中认证系统的受控端口处于认证成功状态，因此客户端可以访问认证系 统提供的服务。 p a e 是端口访问实体( ( p o r ta c c e s se n t i t y ) 分为客户端p a e 和认证系统p a e ：客 户端p a e ：位于客户端，主要负责响应来自认证系统建立信任关系的请求。认证系 统p a e ：位于认证系统，负责与客户端的通信，把从客户端收到的信息传送给认 证服务器以完成认证。 认证系统的p a e 通过非受控端口与客户端p a e 进行通信，二者之间运行 e a p o l 协议。认证系统的p a e 与认证服务器之间运行e a p ( e x t e n s i b l e a u t h e n t i c a t i o np r o t o c 0 1 ) 协议。认证系统和认证服务器之间的通信可以通过网络进 基于8 0 2 1 x 的网络用户分组的研究与设计 行，也可以使用其他的通信通道。例如当认证系统和认证服务器集成在一起时， 两个实体之间的通信就可以不采用e a p 协议。 图3 3 端口未认证状态 f i g 3 3p o r tu n a u t h e n t i c a t e d 认证服务器通常为r a d i u s 服务器，该服务器可以存储有关用户的信息，例如 用户所属的v l a n ，c a r 参数、优先级、用户的访问控制列表等等。当用户通过认 证后，认证服务器会把用户的相关信息传递给认证系统，由认证系统构建动态的 访问控制列表，用户的后续流量将接受上述参数的监管。 3 1 28 0 2 1x 的认证机制 8 0 2 1x 作为一种认证协议，在实现的过程中有很多重要的工作机制，这里论 述四种机制：认证发起机制、退出认证机制、重新认证机制、认证报文丢失重传机 制。 ( 1 ) 认证发起机制 第3 章8 0 2 1 x 认证过程的分析 认证的发起可以由用户主动发起，也可以由认证系统发起。当认证系统探测 到有未经认证的用户使用网络时，就会主动发起认证。用户端可以通过客户端软 件向认证系统发送e a p o l s t a r t 报文发起认证。 图3 4 端口认证成功状态 f i g 3 4p o r ta u t h e n t i c a t e d 第一种情况，由认证系统发起的认证。当认证系统检测到有未经认证的用户 使用网络时，就会发起认证。在认证开始之前端口的状态被强制为未认证状态。 如果客户端的身份标识不可知，则认证系统会发送e a p r e q u e s t i d e n t i t y 报文，请 求客户端发送身份标识。这样就开始了典型的认证过程。 客户端在收到来自认证系统的e a p r e q u e s t 报文后，将发送e a p r e s p o n s e 报 文响应认证系统的请求。认证系统支持定期的重新认证，可以随时对一个端口发 起重新认证的过程。如果端口状态为已认证状态，则当认证系统发起重新认证时， 该端口通过认证，状态保持不变；如果未通过认证，贝0 端口的状态改变为未认证状 态。 基于8 0 2 1 x 的网络用户分组的研究与设计 第二种情况，由客户端发起认证。如果用户要上网，则可以通过客户端软件 向认证系统发送e a p o l s t a r t 报文主动发起认证。认证系统在收到客户端发送的 e a p o l s t a r t 报文后，会发送e a p r e q u e s t i d e n t i t y 报文响应用户请求，要求用户 发送身份标识，这样就启动了一个认证过程。 ( 2 ) 退出认证机制 有以下几种方式可以造成认证系统把端口状念从已认证状态改变成未认证状 态： 客户端未通过认证服务器的认证 管理性的控制端口始终处于未认证状态 与端口对应的m a c 地址出现故障( 管理性禁止或硬件故障) 客户端与认证系统之间的连接失败，造成认证超时 重新认证超时 客户端未响应认证系统发起的认证请求 客户端发送e a p o l l o g o f f 报文，主动下线 退出已认证状态的直接结果就是导致用户下线，如果用户要继续上网，则要 再发起一个认证过程。之所以要专门提供一个e a p o l - l o g o f f 机制主要是出于如下 安全的考虑：当一个用户从一台终端退出后，很可能其他用户不通过发起一个新的 登录请求，就可以利用该设备访问网络。提供专门的退出机制，以确保用户与认 证系统专有的会话进程被中止，可以防止用户的访问权限被他人盗用。通过发送 e a p o l l o g o f f 报文，可以使认证系统将对应的端口状态改变为未认证状态。 ( 3 ) 重新认证机制 为了保证用户和认证系统之间的链路处于激活状态，而不因为用户端设备发 生故障造成异常死机，从而影响对用户计费的准确性，认证系统可以定期发起重 新认证过程，该过程对于用户是透明的，即用户无需再次输入用户名和密码。重 新认证由认证系统发起，时间是从最近一次成功认证后算起。 ( 4 ) 认证报文丢失重传机制 对于认证系统和客户端之问通信的e a p 报文，如果发生丢失，由认证系统负 责进行报文的重传，通过一个超时计数器来完成对重传时间的设定。考虑到网络 的实际环境，一般认为认证系统和客户端之问报文丢失的几率比较低，且传送延 第3 章8 0 2 1 x 认证过程的分析 迟低，因此设定默认的重传时间为3 0 秒钟。 由于对用户身份合法性的认证最终由认证服务器执行，因此认证系统和认证 服务器之间的报文丢失重传也很重要，通过建立另一个超时计数器来实现对认证 系统和认证服务器之间重传报文时问的设定。 另外需要注意的是，如果客户端需要通过d h c ps e r v e r 动态获取i p 地址，那 么在执行8 0 2 ix 认证过程中，只有客户端认证通过后，才会有d h c p 发起和i p 地址分配的过程。对于未通过认证的客户端，其所连接的认证系统的端口将丢弃 任何d h c p 请求报文。 3 1 38 0 2 1 x 的工作机制 ls u p p l i c a a t0 f , a b d l ja u t h e n t i c a t o rl 型蛾f 黝址lr a d i u ss e r x ：e r| o _ _ _ _ _ _ 1t o _ _ _ - - _ - - _ _ _ _ _ _ _ - o l _ _ _ _ _ _ _ _ _ _ _ _ 1 e a p o l s t a r t 。 2 。e a p - r e q u e s t d e n t i t y 3 e a p - r e s p o n s e i d e n t i t y 4 。r a d i u sa c c e s s r e q u e s t 5 r a d i u sa c c e s s 一c h a l l e n g e 6 。e a p r e q u e s t 7 e a p r e s p o n s e g r a d i u sa c c e s s r e q u e s t 1o ，e a p s u c c e s s 9 r a d i u sa c c e s s a c c e p t 1i e a p o l - l o g o f 图3 58 0 2 1 x 认证流程 f i g 3 5a u t h e n t i c a t i o na r r a n g e m e n to f8 0 2 i x 下面以a u t h e n t i c a t o r 与a u t h e n t i c a t i o ns e r v e r 分离且它们之间使用r a d i u s 协议 ( 也可以使用其它高层协议) 封装e a p 协议包为例，详细叙述基于8 0 2 1 x 认证的工 作机制( 当使用某些认证协议时，整个认证过程可能稍有不同，比如k e r b e r o s5 认 基于8 0 2 1 x 的网络用户分组的研究与设计 证协议) 。如图3 5 所示的认证流程描述如下： ( 1 ) s u p p l i c a n t 发起认证过程( 如果连续发送多次都没有收到来自a u t h e n t i c a t o r 的e a p - r e q u e s t i d e n t i t y ，s u p p l i c a n t 就认为认证通过，这是因为a u t h e n t i c a t o r 可能 并不支持8 0 2 1 。认证也可以由a u t h e n t i c a t o r 发起，但它不会发送e a p o l s t a r t ， 而是直接发送e a p r e q u e s v i d e n t i t y 。事实上，a u t h e n t i c a t o r 在检测到端口从d i s a b l e 状态转移到“e n a b l e d ”状态时就发送认证请求。如果s u p p l i c a n t 没有收到来自 a l l m e n t i c a t o r 的认证请求，它就会在合适的时候通过e a p o l s t a r t 消息发起认证请 求。 ( 2 ) 当a u t h e n t i c a t o r 不知道用户名时就发送该消息，如果知道，第2 ，3 步也 可省掉，以加速认证过程。 ( 3 ) 客户端在收到标识符请求消息时就用用户输入的用户名响应。 ( 4 ) a u t h e n t i c a t o r 把包含用户名的e a p 响应包重新封装在r a d i u s 协议包中并由 n a s 发送至r a d i u s 服务器。发送数据包类型是r a d i u sa c c e s s r e q u e s t 属性类型 是e a p m e s s a g e ，属性值是客户端发送到n a s 的e a p 数据包，罩面封装了客户端 认证信息。说明n a s 把客户端发送的用户信息封装到r a d i u s 数据包中并转发给 r a d i u s 服务器。 ( 5 ) r a d i u s 服务器在收到该消息后将选择具体的认证机制，并把相应的e a p 请 求包发送给a u t h e n t i c a t o r 。发送数据包类型是r a d i u sa c c e s s c h a l l e n g e ，属性类 型是e a p m e s s a g e ，属性值是请求类型为m d s - c h m l e n g e 的e a p 数据包，里面封 装了一个随机字符串。说明r a d i u s 需要客户端进一步提供认证信息，并且发送 给客户端一个随机字符串，用户客户端使用此字符串作为m d 5 加密的密钥。 ( 6 ) a u t h e n t i c a t o r 并不会解释e a p 包内的具体内容，而只检查r a d i u s 协议包的 类型。由于是质询包，因此将其毫不改变地转发给s u p p l i c a n t 。 ( 7 ) s u p p l i c a n t 在收到上述请求包后，如果支持服务器选择的认证机制，就根据 认证机制的要求做出响应，并通过e a p 封装后发送给a u t h e n t i c a t o r 。如果不支持， 则发送n a k 。这样，服务器将重新选择认证机制并从第五步重新开始。 ( 8 ) a u t h e n t i c a t o r 把来自s u p p l i c a n t 的e a p 响应包中继到r a d i u s 服务器。此时 捕获数据包中源地址是n a s ，目标地址是r a d i u s 服务器，发送数据包类型是 r a d i u s a c c e s s r e q u e s t ，属性类型是e