第12章 用户接入管理协议.ppt

AccNet2020/6/9,第12章用户接入管理协议,12.1引言12.2接入链路协议12.3接入认证/控制协议12.4接入管理协议12.5小结和推荐资料,AccNet2020/6/9,接入网的核心功能之一是对用户进行接入管理IP接入功能、对用户接入实施全面控制接入控制协议：一系列协议，协同完成接入控制功能包括：前台协议、后台协议、认证算法前台认证协议早期PPP，当前PPPoE/802.1X当前协议的核心是EAP，改变了认证的世界EAP内核承载认证算法EAP的外壳协议常采用PPPoE/802.1X后台授权协议：Radius,12.1引言,AccNet2020/6/9,12.1引言,接入控制协议在RSA模型中的地位前后台控制通道与数据通道相互独立独立：可以是物理独立，也可是逻辑独立认证算法：建立特定安全关联具体认证方法，含有用户名、密码、加密方法等参数MD5、OTP、GTC、EAP-TLS、EAP-TTLS、EAP-PSK、参数封装入EAP分组，经由NAS转递Radius分组早期的PAP/CHAP简单协议，也可不加封直接交付,AccNet2020/6/9,用户接入管理的协议模型,用户,BAS,接入管理服务器,接入管理协议,接入认证/控制协议,接入链路协议,物理层,接入链路协议,接入认证/控制协议,物理层,数据链路层,网络层,接入管理协议,物理层,接入链路协议,接入认证/控制协议,物理层,数据链路层,网络层,接入管理协议,AccNet2020/6/9,12.2接入链路协议,接入链路协议作用：提供链路通信服务提供或便于实现基于用户的接入控制功能典型的接入链路协议有：以太网协议：IEEE802.3无线局域网协议：IEEE802.11系列PPP：Point-to-PointProtocol，点到点协议PPPoE：以太网上的点到点协议PointtoPointProtocoloverEthernet本章主要介绍PPP和PPPoE协议。,AccNet2020/6/9,PPP：点对点协议，Point-to-PointProtocolDL层协议包含子协议：LCP、NCP协议文档：RFC1661协议作用范围点对点链路(数据链路),PPP协议概要,功能在点对点链路的两个端点之间实现链路级：建链与拆链，链路质量检测网络级：网络协议的配置与协商(如IP协议的IP的地址等)接入认证：协议重要功能，接入网尤为重要早期：简单认证协议（PAP、CHAP）当前：通用认证协议（EAP）,PPP协议分层模型,PPP协议由两个重要的子协议构成：LCP协议LCP协议是PPP链路操作的关键协议，主要完成链路的建立、协商、配置和终止NCP协议PPP为不同的网络层协议设计了相对应的NCP协议，用来处理不同网络层协议的特殊需求,AccNet2020/6/9,AccNet2020/6/9,链路控制协议，LCPLinkControlProtocol协议功能链路建立链路参数协商与配置如MRU（MaximumReceiveUnit）参数等是否认证或认证协议协商链路拆除等,PPP子协议LCP,AccNet2020/6/9,网络层控制协议，NCPNetworkControlProtocol协议功能：在一个PPP链路上复用多个网络层协议PPP为特定网络层协议设计了相应的NCP，例如：IPCP：对应IP协议的NCPIPXCP：对应IPX协议的NCP不同的NCP处理不同网络层特殊要求如IP地址分配等同一个PPP连接下可启动多个NCP,PPP子协议NCP,AccNet2020/6/9,PPP帧封装在HDLC的UI帧中类似HDLC的UI帧（无编号帧）,地址,控制,协议,数据,FCS,字节,112变长2,地址,控制,数据,FCS,HDLCUI帧,PPP帧,固定值OxFF,固定值Ox03,封装数据的协议类型,PPP帧格式,PPP帧格式,PPP帧：协议字段标识帧中“信息”段内封装的协议类型字段编号由IANA（）定义常用编号：0 x0021IP0 x002bNovellIPX0 x8021IPCP0 x802bIPXCP0 xc021LCP0 xc023PAP0 xc223CHAP0 xc227EAP,AccNet2020/6/9,PPP协议操作过程(协议运行),PPP协议首先需要使用LCP建立数据链路，然后通过NCP选择并配置一个或多个网络层协议，通信结束后PPP协议会使用LCP或NCP终止数据链路。五个阶段及各阶段转换图,AccNet2020/6/9,12,UP,OPEND,SUCCESS/NONE,FAIL,DOWN,CLOSING,链路死亡,链路建立,认证,网络层协议,链路终止,FAIL,AccNet2020/6/9,PPP协议操作过程,死亡阶段物理层未准备好、PPP的初始阶段链路建立阶段，由LCP完成建链请求、协商MRU、认证协议、链路质量监测协议认证阶段，由LCP完成可选项，对用户身份的鉴别。注意：是否选或选择何种认证协议在建立连接阶段协商网络层协议阶段，由NCP完成配置网络层协议，如网络层地址（IP地址）分配链路终止阶段，由LCP完成链路的正常终止由LCP协议完成可以在任何时候终止链路一个NCP的关闭不一定引起链路的关闭,AccNet2020/6/9,概念PPPOverEthernet以太网的点到点的协议目前使用的版本:RFC2516PPPoE的引入使用PPP协议的点到点接入方式使得网络的ISP更易控制用户的接入和用户流量但是PPP只能用于点到点链路，不适用于点到多点链路PPPoE可以实现对点到多点链路的接入控制PPPoE的功能建立PPP会话对以太网上每个接入用户与NAS之间建立一条隧道每个PPP会话由连接标识符唯一标识实现对以太网上每个用户进行单独的管理,PPPoE协议概要,AccNet2020/6/9,协议实体：NAR、NAS前台协议PPPoE称NAS为：PPPoE接入服务器/接入集中器BridgingAccessDevice典型设备：以太网交换机、ADSL网桥AccessConcentrator典型设备：PPPoE服务器、ADSLAM,主机,主机,主机,接入集中器AccessConcentrator,主机,主机,ISP,局域网（以太网）,PPP会话,桥接接入设备BridgingAccessDevice,PPPoE接入模型,PPPoE工作原理,主机通过一个以太网交换机与PPPoE接入服务器建立一个PPP会话（PPPSession），即一条PPP虚拟链路建立过程分为两个阶段：发现（Discovery）阶段和PPP会话阶段。发现阶段中，用户主机以广播方式寻找可以连接的所有PPPoE接入服务器，并获得所选择连接的PPPoE接入服务器的以太网MAC地址，然后建立PPPoE会话标识（SESSION_ID）PPP会话阶段中，用户主机与PPPoE接入服务器在协商建立的PPPoE会话上开始PPP会话过程，传输PPP帧,AccNet2020/6/9,AccNet2020/6/9,PPPoE协议分层模型,PPPoE分组（帧）格式,PPPoE分组封装在以太帧中（以太帧的载荷）,发现阶段类型：0 x8863会话阶段类型：0 x8864,不同阶段的分组类型,与以太网帧中的源、目的MAC地址共同标识一个特定的PPPoE会话,发现阶段：可以为空会话阶段：PPP帧,PPPoE载荷长度,固定值,AccNet2020/6/9,分组类型,PPPoE分组类型PADI：PPPoE有效发现启动PPPoEActiveDiscoveryInitiationPADO：PPPoE有效发现提供PPPoEActiveDiscoveryOfferPADR：PPPoE有效发现请求PPPoEActiveDiscoveryRequestPADS：PPPoE有效发现会话证实PPPoEActiveDiscoverySession-confirmationPADT：PPPoE有效发现终止PPPoEActiveDiscoveryTerminate,AccNet2020/6/9,主机,PPPoE接入服务器,广播PADI,单播PADO,单播PADR,单播PADS,协议运行：连接通信模式三阶段：发现、会话、终止发现阶段获取对方MAC主机广播：PADI寻找合适的PPPoE服务器服务器应答：PADO满足要求的服务器均可应答主机单播：PADR发向选定服务器服务器应答：PADS分配一个唯一的会话标识建立一个P2P隧道,PPPoE协议运行,AccNet2020/6/9,PPPoE协议运行,PPP会话阶段发现阶段结束会话建立，标识以会话ID本质：主机和PPPoE服务器之间的一个专用隧道进入会话阶段承载PPP帧、并在指定隧道中传送隧道：可以建立在以太网、ADSL接入等LAN环境中分组封装PPP帧：封装在PPPoE帧中PPPoE帧：封装在Ethernet帧中PPPoE终止阶段发送PADT，主机或服务器均可,AccNet2020/6/9,PPPoE协议特点,PPPoE运行：两端系统必须位于同一L2网络中发现阶段：使用主机/服务器的MAC地址相互发现L2网络包括：以太网、ADSL，等等端系统之间的P2P信道发现阶段：控制通道会话阶段：数据通道前台信道的隔离程度最低数据帧封装：贯穿会话期全程封装格式：（IP/）PPP/PPPoE/Ethernet会话期全程加拆封：开销沉重、控制粒度细,AccNet2020/6/9,口令认证协议PAP质询认证协议CHAPPAP和CHAP是简单认证协议，通常由PPP协议直接执行可以认为是PPP协议的一部分可扩展的认证协议EAP基于端口的接入认证与控制协议802.1X,12.3接入认证/控制协议,AccNet2020/6/9,PAP（由RFC1334描述）PasswordAuthenticationProtocol（口令认证协议）PAP认证过程认证请求：申请者向认证者发认证请求信息（明文）请求信息含“用户名、口令”认证应答：认证者向申请者发认证应答信息（明文）Auth-Ack（认证成功）orAuth-Nak（认证失败）,认证请求（Auth-Request）,认证成功/失败（Auth-Ack/Auth-Nak）,A（申请者）,B（认证者）,PAP认证的问题明文传输，认证信息容易被窃取，存在安全隐患,口令认证协议PAP,AccNet2020/6/9,CHAPChallengeAuthenticationProtocol质询认证协议由RFC1994描述CHAP认证的特点认证可以是双向的认证信息采用密文传送采用共享密钥与PAP相比安全性更高认证所花时间更长,质询认证协议CHAP,AccNet2020/6/9,质询认证协议CHAP,CHAP认证的交互过程,2)响应（Response）（密文）,1)质询（Challenge）(明文）,A（被认证方）（申请者）,B（认证方）（认证者）,3)认证成功/失败（Auth-Ack/Auth-Nak）,AccNet2020/6/9,可扩展认证协议EAP,EAP：可扩展认证协议，由RFC2284描述ExtensibleAuthenticationProtocol最初仅仅是PPP协议的附属设计目的是：把PPP链路建立阶段的认证协议选择延迟到可选的PPP认证阶段，从而允许认证系统在决定具体的认证机制之前能够请求更多的信息。现在已经发展成接入控制前台协议的核心特点：可扩展性很强可封装在重要的前台外壳协议之中典型的是：PPPoE、802.1X可以与后台的授权协议密切协同EAP是支持多种认证机制的通用协议包括：MD5-Challenge、OTP、GTC、等可承载多种认证算法而非一个具体的认证协议是一个认证协议的封装协议具体的认证协议和认证信息封装在EAP分组中如PAPoverEAP、CHAPoverEAPetc.,AccNet2020/6/9,EAP协议模型,EAP分层模型Fig.1:EAPMultiplexingModel，RFC3748协议实体：前台协议，NAR、NASEAP称NAR为对等端、NAS为认证器peer、authenticator,EAP分层协议模型,下层（lowerlayer）负责收发peer和authenticator间封装EAP分组的帧该层协议可以包括PPP、IEEE802局域网（IEEE802.1X）、UDP和TCPEAP协议不要求其下层提供可靠性或安全性保证EAP层（EAPlayer）经由下层收发EAP分组，实现分组的重复性检测和重传；向EAPpeer/aut.层递交或接收来自EAPpeer/aut.层的EAP报文EAPpeer/authenticator层EAPPeer层为被认证方供peer功能，仅接收EAP请求、成功或失败分组；EAPAuth.层为认证方提供authenticator功能，仅接收EAP响应分组。EAP方法层（EAPmethodlayer）实现多种认证算法，收发EAP报文，支持EAP分组分段和重组，EAP的最小MTU值是1020字节。,AccNet2020/6/9,AccNet2020/6/9,认证方法,EAP多认证算法支持称为认证方法（authenticationmethod），并由IANA统一编号4MD5-Challenge5OTP（One-TimePassword）6GTC（GenericTokenCard）9RSAPublicKeyAuthentication11KEA13EAP-TLS21EAP-TTLS23EAP-AKA27MAKE43EAP-FAST47EAP-PSK48EAP-SAKE49EAP-IKEv250EAP-AKA51EAP-GPSK,AccNet2020/6/9,EAP协议运行,EAP共有4种分组：Request（请求）、Response（响应）、Success（成功）和Failure（失败）EAP是一种“停-等”协议认证器（Authenticator）必须在收到对上一次请求的有效响应后才能向对等端（Peer）发送新的请求。认证过程：在链路建立阶段完成后，认证方发送一个或多个请求（Request）分组来对Peer进行认证该数分组中有一个类型域表明请求的类型Peer发送一个响应（Response）分组对每一个请求做出应答认证方发送一个成功（Success）或失败（Failure）数据包结束认证阶段,AccNet2020/6/9,EAP小结,EAP是一个便于扩展的认证框架定义了认证的标准化封装与标准化交互可装载多种认证方法EAP并未定义也未任何限定特定认证算法在EAP分组中可以封装认证方法数十种可封装在几种前台认证协议外壳中典型的是：PPPoE和IEEE802.1X,AccNet2020/6/9,EAP小结,EAP成为接入控制前台协议的核心前台协议中封装的核心内容：EAP分组前后台协议协同：EAP与后台协议认识EAPEAP的核心价值装载多种认证方法，封装入多种外壳协议标准化封装格式，标准化分组交互对比集装箱：装载多种类货物，使用多种运输手段标准化封装，标准化转运集装箱改变了物流的世界EAP改变了认证的世界,AccNet2020/6/9,概念IEEE802.1X基于端口的接入控制协议最新标准版本:IEEEStd802.1X-2010一个专用于802网络用户接入认证与控制的协议接入要求LAN用户以点到点方式接入到LAN的端口上端口可以是物理端口（如以太网交换机端口）端口也可以是逻辑端口（如WLAN中的AP端口）功能基于端口为LAN用户提供接入认证及授权服务,用户接入控制协议802.1X,AccNet2020/6/9,802.1X协议模型的三种实体,客户系统（SupplicantSystem）运行802.1X客户软件的用户终端系统认证系统（AuthenticatorSystem）为客户接入实施控制，通常为支持802.1X协议的接入设备认证服务器系统（AuthenticationServerSystem）为认证系统提供认证授权服务802.1X与RSA模型的等同性NAR：客户（系统）NAS：认证器（系统）NAA：认证服务器（系统）,AccNet2020/6/9,802.1X协议模型的三种实体,802.1X-2004定义由三种实体构成的系统为三系统架构802.1X-2010取消了三系统架构的总体描述，但未改变三系统地位802.1X仅定义客户与认证器之间的交互,AccNet2020/6/9,PAE:PortAccessEntity，端口接入实体即执行802.1X协议的实体,支持802.1X的网络接入设备为801.1x客户提供授权的接入服务,为认证系统提供认证服务,802.1X的协议运行模型,运行802.1X客户软件的用户终端,802.1X的端口,802.1X协议是基于端口的接入控制802.1X端口是用来连接客户系统和认证系统的LAN端口可以是物理端口，也可以是逻辑端口取决于该端口的接入方式,AccNet2020/6/9,AccNet2020/6/9,基于端口的接入控制在物理端口上定义逻辑端口数据口与控制口分别位于数据平面和控制平面基于逻辑端口实施接入控制控制口：仅承载认证信息非受控口、始终连通数据口：传送用户业务数据受控口、受PAE控制端口默认状态为断开状态：未授权接入认证通过，端口处于接通状态：授权接入,受控端口（数据口）,非受控端口（控制口）,802.1X的不受控/受控端口,AccNet2020/6/9,802.1X协议的运行,协议运行实体客户PAE、认证PAE、认证服务器认证协议封装类型客户PAE与认证PAE之间：EAPOL（EAPOverLAN）认证PAE与认证服务器之间：EAP认证的发起者客户PAE或认证PAE,AccNet2020/6/9,1)客户PAE将认证信息由EAPOL封装，并通过认证系统的非受控端口传输到认证PAE2)认证PAE将认证信息封装成EAP格式，传输到认证服务器3)认证服务器验证用户认证信息，并将认证结果返回到认证PAE（成功或失败）4)认证PAE将认证结果反馈给客户PAE认证成功：受控端口设为授权状态，向用户提供接入服务认证失败：受控端口继续断开，拒绝向用户提供接入服务,802.1X的认证与接入过程,AccNet2020/6/9,通过以太网交换机接入的交换式以太网每台主机以点到点方式接入到交换机每个端口接入点为交换机的物理端口通过AP接入的无线局域网每台无线主机以点到点方式接入AP的同一无线端口控制端口为逻辑端口不同的逻辑端口可由MAC地址区分,注：PC中安装客户PAE交换机或AP中安装认证PAE,802.1X协议的应用,AccNet2020/6/9,概念RADIUS的含义协议的发展协议的功能协议模型协议运行报文格式和类型（自学）RADIUS代理协议应用,12.4接入管理协议,AccNet2020/6/9,RADIUS的含义RemoteAuthenticationDialInUserService远程认证拨号用户服务协议标准：RFC2865，RFC2866扩展版本：RFC2867，RFC2868等协议发展与应用范围最初仅针对拨号用户，实现AAA的管理功能现已发展成一种通用的、广泛使用的实现AAA功能的协议适用于各种方式接入的用户的集中管理协议的功能对接入用户提供认证、授权和记帐功能支持对漫游用户的接入管理,用户接入管理协议RADIUS,AccNet2020/6/9,协议模型,LAN,用户,NAS,RADIUSserver,接入client,接入server,RADIUSclient,用户接入认证协议,RADIUS协议,用户管理数据库,用户接入管理协议RADIUS,模型结构为集中/分布式协议作用范围：NAS与RADIUS服务器之间注意：RADIUS并未对用户与NAS之间的认证协议进行规定可以与多种前台协议协同工作,AccNet2020/6/9,协议数据单元,RADIUS协议数据单元称之为“分组”分组封装在UDP数据报中端口号1812：认证、授权端口号1813：记帐分组格式：如下图,AccNet2020/6/9,RADIUS协议运行NAS与RADIUS服务器之间的操作但必须有用户与NAS之间认证协议的配合协议运行分为两个过程：认证操作（包括授权）记帐操作协议实体交互过程中采用重传机制,用户接入管理协议RADIUS,AccNet2020/6/9,认证操作操作实体NAS与RADIUS认证服务器认证操作的方式请求/响应方式质询/响应方式,用户接入管理协议RADIUS,AccNet2020/6/9,请求/响应方式(一问一答）,用户名、口令,接入认证结果,用户,NAS,RADIUS认证服务器,接入请求报文,接入许可/拒绝报文,NAS从用户处获得用户认证信息NAS将认证信息生成一个RADIUS接入请求报文发向RADIUS认证服务器（含用户名、口令等）RADIUS认证服务器验证用户的合法性，并通过接入许可/拒绝报文回应NASNAS：接受后台授权，控制用户接入,用户接入管理协议RADIUS,AccNet2020/6/9,接入许可/拒绝报文,接入质询报文,质询/响应方式,用户名、口令,接入认证结果,用户,NAS,RADIUS认证服务器,接入请求报文,质询值，提示消息,响应值,接入请求报文,NAS第1次发出的接入请求报文中含用户名和口令信息NAS第2次发出的接入请求报文中将口令换成用户的质询响应值,用户接入管理协议RADIUS,AccNet2020/6/9,记帐请求报文,接入许可开始记帐,RADIUS记帐服务器,记帐响应报文,NAS,a)开始记帐,记帐请求报文,服务终止结束记帐,RADIUS记帐服务器,记帐响应报文,NAS,b)结束记帐,记帐操作操作实体：NAS与RADIUS记帐服务器操作时机：授权许可提供服务开始时和服务终止时,用户接入管理协议RADIUS,AccNet2020/6/9,RADIUS代理一个RADIUS服务器可以同时为某些管理域的中继服务器和其它域的远程服务器一个中继服务器可以为多个远程服务器中继典型应用：为漫游用户提供接入AAA管理,用户接入管理协议RADIUS,AccNet2020/6/9,中继服务器,远程服务器,1)接入请求报文,2)接入请求报文,用户接入管理协议RADIUS,RADIUS代理假设用户A的认证信息存放在一个远程服务器中,AccNet2020/6/9,RADIUS协议的应用,为LAN接入用户、WLAN接入用户、远程拨号用户等进行集中的AAA管理,AccNet2020/6/9,小结,接入控制系统的功能控制用户的接入核心功能是AAA接入控制系统的结构主要是集中/分布式集中授权、分布控制,AccNet2020/6/9,小结,