认证技术白皮书

1、认证技术白皮书目 录1前言22为什么使用认证33认证相关技术33.1PPPoE接入认证原理43.2WEB接入认证原理8接入认证原理143.4绑定认证原理183.5各种认证方式比较194华为认证方案特点204.1华为公司认证解决方案特点205华为认证技术解决方案225.1PPPoE接入认证典型组网方式235.2WEB接入认证典型组网方式24接入认证典型组网方式275.4绑定认证典型组网方式295.5多种认证自由组合291 前言在数据网络中，包括企业网、INTERNET网络等等，追求的是网络简单、开放，所有人可以自由接入和使用。而在电信数据网络中，运营商(比如网络服务提供商NSP、业务提供商ISP

2、等)关心的是网络可运营和可管理，要管理每个用户的接入、业务使用、费用等等。在可运营、可管理网络中，引入了针对用户管理的AAA技术，包括认证（Authentication）、授权（Authorization）、计费（Accounting）三个技术：认证，是在用户开始使用系统时对其身份进行的确认动作。授权，是在网络安全中，授权某用户以特定的方式与某网络系统通信。计费，是记录并提供关于经济活动的确切清单或数据。认证是识别用户身份的过程，而授权是根据认证识别后的用户情况授予对应的网络使用权限（QoS、带宽限制、访问权限、用户策略），而计费也是根据认证后的用户身份采用对应的计费策略并记录、提供计费信息（

3、时长、流量、位置等等），三个技术紧密联系但又相互独立的。认证技术是用户管理最基本的技术。目前网络中，有许多设备不支持认证，有许多设备只支持某一种认证，同时认证技术种类繁多、认证要求各不相同，造成网络中认证方案的混淆和混乱。华为公司经过多年的努力，通过在全球运营商网络中大量的应用，对认证技术进行合作分析、商用、评估等，输出了完整的、成熟的认证技术和方案，有效地提供了认证技术选择、认证方案实施，很好地促进了宽带网络的优化和应用。本文将从如下几个方面介绍认证技术：n 为什么使用认证n 认证相关技术n 华为认证技术解决方案及特点n 华为认证方案相关设备2 为什么使用认证l 电信数据网的困惑在电信数据网

4、络中，服务提供商(比如网络服务提供商NSP、业务提供商SP等)关心的是网络可运营和可管理，要管理每个用户的接入、业务使用、费用等等。而电信数据网络中大量使用的是广泛应用在企业网、INTERNET网络中的以太网交换机、路由器等设备，遵循的是典型的数据网络理念，追求的是网络简单、开放，自由接入和使用。怎么才能够在电信数据网络中针对用户进行运营、管理呢？最基本的技术就是通过认证识别用户身份。l 成熟的认证技术当前最为普遍主流认证技术有三种：PPPoE/PPPoEoA/PPPoA认证、WEB认证和802.1X认证，这三种认证从标准状态、商用情况看，技术上都已经成熟。3 认证相关技术当前最为普遍主流认证

5、技术有三种：PPPoE/PPPoEoA/PPPoA认证、WEB认证和802.1X认证。严格意义上讲，这三种认证技术并不是真正的认证方式，每种认证技术都支持两种以上的认证方式，具体认证技术和认证方式关系如下表所示：表1 认证技术和认证方式关系表认证技术认证方式PPPoE认证PAP、CHAP、EAPWEB认证PAP、CHAP802.1X认证EAP其中，EAP定义了一个认证构架，包含了很多种认证方式：图2 EAP认证方式汇总同时，针对特殊应用，还有绑定认证和快速认证等技术。3.1 PPPoE接入认证原理PPP是传统的认证方式之一，PPPoE是利用以太网发送PPP包的传输方法和支持在同一以太网上建立多

6、个PPP连接的接入技术。PPPoE结合了以太网和PPP连接的综合属性。PPP协议是一种点到点的链路层协议，它提供了点到点的一种封装、传递数据的一种方法。PPP协议一般包括三个协商阶段：LCP（链路控制协议）阶段，认证阶段（比如CHAP/PAP），NCP（网络层控制协议，比如IPCP)阶段。拨号后，用户计算机和局方的接入服务器在LCP阶段协商底层链路参数，然后在认证阶段进行用户计算机将用户名和密码发送给接入服务器认证，接入服务器可以进行本地认证，可以通过RADIUS协议将用户名和密码发送给AAA服务器进行认证。认证通过后，在NCP（IPCP）协商阶段，接入服务器给用户计算机分配网络层参数如IP地

7、址等。经过PPP的三个协商阶段后，用户就可以发送和接受网络报文。用户收发的所有网络层报文都封装在PPP报文中。 PPP协议的一个重要的功能是提供了身份验证功能。以太网是一种广播网络，其缺点是通讯双方无法相互验证对方身份，通讯是不安全的。PPP协议提供了通讯双方身份验证的功能，但是PPP协议是一种点对点的协议，协议中没有提供地址信息。如果PPP应用在以太网上，必须使用PPPoE再进行一次封装，PPPoE协议提供了在以太网广播链路上进行点对点通讯的能力。3.1.1 认证系统架构对于基于PPPoE的认证系统，客户终端上的PPPoE客户端到PPPoE服务器之间为二层网络，PPPoE服务器负责终结PPP

8、oE客户端发起的PPPoE协议，并利用PPP协议中支持的认证方法对客户终端的PPP连接请求进行认证。基于PPPoE的认证系统架构见下图：图3 基于PPPoE的认证系统架构基于PPPoE的认证系统功能实体协议栈见下图。在PPP的LCP协商阶段，进行认证。图4 基于PPPoE的认证系统功能实体协议栈3.1.2 接入流程以PPP-CHAP为例，PPPoE用户的接入流程如下：图 1 PPPoE认证流程1) PPPOE客户端向PPPOE服务器设备发送一个PADI报文，开始PPPoE接入。2) PPPOE服务器向客户端发送PADO报文。3) 客户端根据回应，发起PADR请求给PPPOE服务器。4) PPP

9、OE服务器产生一个session id，通过PADS发给客户端。5) 客户端和PPPOE服务器之间进行PPP的LCP协商，建立链路层通信。同时，协商使用CHAP认证方式。6) PPPOE服务器通过Challenge报文发送给认证客户端,提供一个128bit的Challenge。7) 客户端收到Challenge报文后，将密码和Challenge做MD5算法后的，在Response回应报文中把它发送给PPPOE服务器。8) PPPOE服务器将Challenge、Challenge-Password和用户名一起送到RADIUS用户认证服务器，由RADIUS用户认证服务器进行认证。9) RADIUS

10、用户认证服务器根据用户信息判断用户是否合法，然后回应认证成功/失败报文到PPPOE服务器。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束。10) PPPOE服务器将认证结果返回给客户端。11) 用户进行NCP（如IPCP）协商，通过PPPOE服务器获取到规划的IP地址等参数。12) 认证如果成功，PPPOE服务器发起计费开始请求给RADIUS用户认证服务器。13) RADIUS用户认证服务器回应计费开始请求报文。用户此时通过认证，并且获得了合法的权限，可以正常开展网络业务。当用户希望终止网络业务的时候，同样也可以通过PPPoE断开网络连接，此时会按照12

11、）、13）中的格式发送计费终止报文。详细情况，请参见下节。3.1.3 下线流程PPPoE用户下线流程包括用户主动下线和异常下线两种情况。用户主动下线流程如下图所示。图5 用户主动下线流程1) 用户通过PPPoE客户端，主动向PPPoE服务器发送Terminate-Request；2) PPPoE服务器向PPPoE客户端返回Terminate-Ack报文；3) PPPoE服务器向AAA服务器发送计费停止请求的报文；4) AAA服务器向认证点回计费停止请求报文的回应。异常下线流程如下图所示。图6 异常下线流程1) PPPoE服务器检测到用户已经不在线；2) PPPoE服务器向AAA服务器发送计费停

12、止请求的报文；3) AAA服务器向认证点回计费停止请求报文的回应。3.2 WEB接入认证原理3.2.1 认证系统架构基于WEB的认证系统架构见下图。接入服务器对来自STA的HTTP请求重定向到POTRAL服务器中，利用PORTAL页面对用户进行认证。图7 基于WEB的认证系统架构基于WEB的认证系统功能实体协议栈见下图。图8 基于WEB的认证系统功能实体协议栈3.2.2 WEB接入认证流程用户在WEB认证之前，必须先通过DHCP、静态配置等获得IP地址。用户如果被配置成强制WEB认证，则用户只需要输入自己喜欢的网页即可，系统自动下载认证网页。用户提交了用户名和密码之后，接入服务器与WEB认证服

13、务器协调工作，对用户进行认证。下面以普通动态用户为例，具体步骤如下：客户终端 145接入服务器DHCP服务器AAA服务器WEB认证服务器23城域网67891011图9 VLAN用户接入流程（WEB认证）（1）（4）为动态用户通过DHCP协议获取地址的过程（静态用户手工配置地址即可。）；（5）用户访问WEB认证服务器的认证页面，并在其中输入用户名、密码，点击登陆按钮；（6）WEB认证服务器将用户的信息通过内部协议，通知接入服务器；（7）接入服务器到相应的AAA服务器对该用户进行认证；（8）AAA服务器返回认证结果给接入服务器；（9）接入服务器将认证结果通知WEB认证服务器；（10）WEB认证服务

14、器通过HTTP页面将认证结果通知用户；（11）如果认证成功用户即可正常访问网络资源。3.2.3 三层用户的WEB认证用户没有与接入服务器 2层相连，中间存在路由器等3层设备，这样用户到接入服务器的报文中只有用户的IP地址没有MAC地址信息，这种类型的用户称为3层认证用户。与2层认证用户不同的是3层认证用户的MAC地址接入服务器获取不到，因而不能进行MAC、IP的绑定检查安全性不高容易仿冒；ARP请求不能穿透路由器因而不能对用户进行ARP探测确定是否在线。对此，接入服务器要求3层认证用户必须进行WEB认证，不能通过绑定认证等方式上线。另外，接入服务器支持当网络发生问题用户原先的线路不同，但有另一

15、条线路可以访问接入服务器的情况，此时接入服务器可以通过新的IP包找到到达用户的新路径更新相关的信息。IP报文触发3层用户上线的流程如下图所示：图10 IP报文触发3层认证用户上线流程（1）用户的IP报文到达接入服务器，接入服务器为其分配资源建立预连接；（2）用户的HTTP请求被强制到（或用户主动访问)WEB认证服务器的认证页面，并在其中输入用户名、密码，点击登陆按钮；（3）WEB认证服务器将用户的信息通过内部协议，通知接入服务器；（4）接入服务器到相应的AAA服务器对该用户进行认证；（5）AAA服务器返回认证结果给接入服务器；（6）接入服务器将认证结果通知WEB认证服务器；（7）WEB认证服务

16、器通过HTTP页面将认证结果通知用户；（8）如果认证成功用户即可正常访问网络资源。3.2.4 WEB认证用户下线流程WEB认证用户下线流程包括用户主动下线和异常下线两种情况。用户主动下线流程如下图所示。图11 用户正常下线流程1) 当用户需要下线时，可以点击认证结果页面上的下线机制，向Portal服务器发起一个下线请求。2) Portal服务器向接入服务器发起下线请求。3) 接入服务器返回下线结果给Portal服务器。4) Portal服务器根据下线结果，推送含有对应的信息的页面给用户。5) 当接入服务器收到下线请求时，向RADIUS服务器发计费结束报文。6) RADIUS服务器回应接入服务器

17、的计费结束报文。异常下线包含两种情况：接入服务器侦测到用户下线s图12 接入服务器检测到用户异常下线流程1) 接入服务器检测到用户下线，向Portal服务器发出下线请求。2) Portal服务器回应下线成功。3) 当接入服务器收到下线请求时，向RADIUS用户认证服务器发计费结束报文。4) RADIUS用户认证服务器回应接入服务器的计费结束报文。Portal服务器侦测到用户下线图13 Portal服务器检测到用户异常下线流程1) Portal 服务器侦测到用户下线，向接入服务器发出下线请求。2) 接入服务器回应下线成功。3) 当接入服务器收到下线请求时，向RADIUS用户认证服务器发计费结束报

18、文。4) RADIUS用户认证服务器回应接入服务器的计费结束报文。3.3 802.1X接入认证原理3.3.1 认证系统架构基于802.1x的认证系统架构见下图。在此种架构下，系统实现IEEE 802.1x中定义的认证请求者、认证点和认证服务器的三元结构。认证请求者对应客户终端，认证点可以对应接入服务器，认证服务器对应AAA服务器。基于802.1x的认证系统利用EAP协议的扩展能力可以选用不同的认证算法。图14 基于802.1x的认证系统架构基于802.1x的EAP认证系统各实体协议栈见下图。图15 基于802.1x的认证系统功能实体透传方式协议栈3.3.2 802.1X接入认证流程基于802.

19、1x的认证系统利用EAP协议的扩展能力可以选用不同的认证算法。以EAP-MD5为例：图16 EAP-MD5认证方式交互图流程描述如下：1. 在用户和接入服务器之间建立好物理连接后，用户客户端向接入服务器发送一个EAPoL-Start报文（如果用户是动态分配地址的，可能是DHCP请求报文；如果用户是手工配置地址的，可能是ARP请求报文），开始802.1x接入的开始。2. 接入服务器向客户端发送EAP-Request/Identity报文，要求客户端将用户名送上来。3. 客户端回应一个EAP-Response/Identity给接入服务器的请求，其中包括用户名。4. 接入服务器以EAP Over

20、RADIUS的报文格式向RADIUS认证服务器发送Access-Request报文，里面含有客户端发给接入服务器的EAP-Response/Identity报文，将用户名提交RADIUS认证服务器。5. 接入服务器产生一个128 bit的Challenge。6. RADIUS认证服务器回应接入服务器一个Access-Challenge报文，里面含有EAP-Request/MD5-Challenge报文，送给接入服务器用户对应的Challenge。7. 接入服务器通过EAP-Request/MD5-Challenge发送给认证客户端,送给用户Challenge。8. 客户端收到EAP-Reque

21、st/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenge-Password，在EAP-Response/MD5-Challenge回应中把它发送给接入服务器。9. 接入服务器将Challenge-Password通过Access-Request报文送到RADIUS用户认证服务器，由RADIUS用户认证服务器进行认证。10. RADIUS用户认证服务器根据用户信息判断用户是否合法，然后回应认证成功/失败报文到接入服务器。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。11. 接入服务器根据认证结果，给用户回应EAP-Success/EAP-F

22、ailure，通知用户认证结果。如果认证失败，则流程到此结束。如果成功，可以进行后续的授权、计费等流程。3.3.3 用户下线流程用户下线流程包括用户主动下线和异常下线两类情况。用户主动下线流程如下图所示。图17 用户主动下线流程1) 客户端主动向认证点发送EAP-Logoff消息；2) 认证点向认证服务器发送计费停止请求的报文；3) 认证服务器向认证点回计费停止请求报文的回应。异常下线流程如下图所示：图18 认证点检测用户下线流程1) 认证点检测发现用户已经不在线；2) 认证点向认证服务器发送计费停止请求的报文；3) 认证服务器向认证点回计费停止请求报文的回应。3.4 绑定认证原理所谓绑定认证

23、就是使用用户连接的物理信息进行认证。系统自动根据用户所在的端口、VLAN等物理信息到对应的AAA服务器进行认证，用户无需手工认证。3.5 各种认证方式比较表2 各种认证方式比较表认证方式PPPoE认证WEB认证802.1x认证接入控制粒度PPP连接VLAN用户、物理端口逻辑端口客户端支持商用客户端WinXP集成标准浏览器厂商私有客户端WinXP有限支持组播支持组播报文可以不通过PPPoE封装支持支持封装开销PPP封装大报文分片以太网封装以太网封装IP地址分配方式IPCPDHCP/静态DHCP/静态（扩展）IP地址分配流程先认证后分配IP先分配IP后认证二次地址分配认证后DHCP分配地址额外的W

24、LAN支持无无重认证机制密钥传送EAP-SIM认证协议标准标准协议私有协议标准认证协议与RADIUS Server配合标准协议标准协议标准协议附加设备RADIUS ServerPORTAL ServerRADIUS ServerRADIUS ServerAS（EAP-SIM认证）用户异常离线检测LCP ECHO报文WEB keep-alive检测ARP检测Keep-alive机制重认证机制技术应用情况成熟成熟新技术附加业务特性VPDN支持认证前免费资源访问认证界面广告业务服务选择业务定制无同时，需要注意的是，上述认证方式都包含了两部分内容：1. 用户终端和接入服务器之间使用PPPoE、WEB和

25、802.1X认证；2. 接入服务器和AAA服务器之间使用的标准的或者扩展的RADIUS协议。主要差异都在第一部分中；第二部分除802.1X使用扩展的EAP属性外，其他都一样。4 华为认证技术解决方案认证应用在所有运营领域，同时结合认证技术本身特点，认证技术的选用有四个原则：l 客户使用习惯从用户习惯看，窄带用户习惯PPPoE认证客户端，酒店、会议等用户习惯WEB认证界面，WLAN用户习惯802.1x认证认证客户端。服务器及VIP用户习惯绑定认证。l 网络提供能力基于ATM的DSLAM支持可以提供PPPoE，以太网交换机可以提供802.1X，多数基于IP的BAS设备提供两种以上的认证技术。802

26、.1X对应的AAA服务器必须能够提供EAP认证功能。l 客户终端成熟度PPPoE客户端非常成熟、稳定，WEB认证只要标准商用的WWW浏览器，但802.1x客户端目前还只有Windows XP和Windows 2000 SP1有限支持。l 网络维护工作量PPPoE和802.1x有专用客户终端，需要说明书和维护，有相当的维护工作量；WEB认证没有专用客户终端，维护工作量小，但由于使用商用的WWW浏览器因此对客户操作系统、浏览器均有一定的要求。4.1 PPPoE接入认证典型组网方式（1）本地认证组网方式对于小的局点，Quidway® MA5200系列宽带智能接入服务器对任何接入方式都提供了

27、强大的本地认证功能，从而可以省去RADIUS服务器减少组网成本。下面是PPPoE用户本地认证的组网示意图：MA 5200 BRASEthernetEthernetNE RouterIP BackboneAAA server图19 本地认证组网示意图PPPoE在拨号上网时将用户名和密码送到MA5200，如果本地有该用户并且密码验证通过就允许用户上网，否则拒绝。（2）RADIUS认证组网方式Quidway® MA5200系列宽带智能接入服务器同时也支持灵活的RADIUS认证的功能。下面是PPPoE用户RADIUS认证的组网示意图。MA 5200 BRASEthernetEthernetN

28、E RouterIP BackboneAAA ServerDHCP Server图20 RADIUS认证组网示意图收到用户的认证请求后将用户名和密码发送到RADIUS服务器进行认证，如果认证成功，就根据配置对用户进行分配地址，如果分配成功就通知用户认证成功，进行IPCP协商。（3）混合组网方式Quidway® MA5200系列宽带智能接入服务器根据用户的认证信息，可以判断用户需要进行本地认证，还是RADIUS认证，从而可以根据组网需要组合使用本地认证和RADIUS认证。4.2 WEB接入认证典型组网方式（1）本地认证组网方式对于小的局点，Quidway® MA5200系列宽

29、带智能接入服务器对任何接入方式都提供了强大的本地认证功能，可以省去RADIUS服务器、Portal服务器、DHCP服务器，从而减少组网成本。下面是WEB用户本地认证的组网示意图：MA 5200 BRASEthernetEthernetNE RouterIP BackboneAAA serverDHCP serverPortal server图21 本地认证组网示意图WEB认证时将用户名和密码送到MA5200，如果本地有该用户并且密码验证通过就允许用户上网，否则拒绝。（2）RADIUS认证组网方式Quidway® MA5200系列宽带智能接入服务器同时也支持灵活的RADIUS认证的功能。下面是WEB认证用户RADIUS认证的组网示意图。MA 5200 BRASEthernetEthernetNE RouterIP BackboneAAA ServerDHCP ServerPortal Server图22 RADIUS认证组网示意图收到用户的认证请求后将用户名和密码发送到RADIUS服务器进行认证。（3）混合组网方式Quidway® MA5200系列宽带智能接入服务器根据用户的认证信息，可以判断用户需要进行本地认证，还是RADIUS认证，从而可