常用准入认证技术原理分析

1、常用准入认证技术原理分析/、八1 前言在数据网络中，小型网络如企业网、家用网等，追求的是网络简单、开放， 所有人可以自由接入和使用； 而在中型及大型网络如城域网、 政府网和电信数据 网络中，用户关心的是网络的可运营和可管理， 要管理每个用户的接入、 业务使 用、流量等等。在可运营、可管理网络中，引入了针对用户管理的 AAA 技术，包括认证、 授权和计费三个技术：? 认证Authentication：在用户开始使用网络时对其身份进行确实认动作? 授权Authorization丨：授权某用户以特定的方式与某网络系统通信? 计费Accounting：记录并提供关于经济活动确实切清单或数据认证是识别用

2、户身份的过程， 而授权是根据认证识别后的用户情况授予对应 的网络使用权限QoS、带宽限制、访问权限、用户策略，而计费也是根据认 证后的用户身份采用对应的计费策略并记录、提供计费信息时长、流量、位置 等等，三个技术紧密联系但又相互独立的。 认证技术是用户管理最根本的技术。 由于本次文档重点是普教行业的准入认证分析，不对计费系统进行赘述。2 为什么使用认证2.1 用户的困惑在普教城域网中，效劳提供商教育局关心的是网络可运营和可管理，要 管理每个用户的接入、 业务使用、 流量等等。 而数据网络中大量使用的是以太网 交换机、路由器等设备，遵循的是典型的数据网络理念，追求的是网络简单、开 放，自由接入和

3、使用。 怎么才能够在数据网络中针对用户进行运营、 管理呢？最 根本的技术就是通过认证识别用户身份。2.2成熟的认证技术目前市面上最为普遍主流认证技术有三种：PPPoE认证、WEB认证和802.1X 认证，这三种认证从标准状态、商用情况看，技术上都已经成熟。3认证方式简介当前最为普遍主流认证技术有三种：PPPoE认证、WEB认证和802.1X认证 严格意义上讲，这三种认证技术并不是真正的认证方式， 每种认证技术都支持两 种以上的认证方式，具体认证技术和认证方式关系如下表所示：认证技术认证方式PPPoE认证PAP CHAP、EAPWE认证PAP CHAPEAP? PAP认证：密码认证协议，客户端直

4、接发送包含用户名/口令的认证请求，服 务器端处理并作回应。? CHAP认证：挑战握手协议，先由效劳器端给客户端发送一个随机码challenge,客户端根据challenge,对自己掌握的口令、challenge会话ID进 行单向散例，即md5(password1,challenge,ppp_id)然后把这个结果发送给效劳 器端。效劳器端从数据库中取出库存口令password2进行同样的算法，即md5(password2,challe nge,ppp_id最后，比拟加密的结果是否相同；如相同 , 那么认证通过。? EAP认证：可扩展的认证协议，EAP可以增加对许多身份验证方案的支持， 其中包括令

5、牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身 份验证。最平安的认证方法就是和智能卡一起使用的“可扩展身份验证协议 传输层平安协议，即EAP-TLS认证。4认证技术原理分析4.1 WEB接入认证原理接入效劳器对来自 STA的请求重定向到 POTRAL效劳器中，禾U用PORTAL页面对用户进行认证。认证系统架构图如下：<PortalM 务器I 丿客户终端丿接入效劳器J(AAA效劳器基于WEB的认证系统架构基于WEB的认证系统功能实现协议栈如下:UI)P/Portal>LDPRADIUS3 丿I DPMACPHYjPortal® 务器 RADIUSHUPI IP&g

6、t;MACPHY、IP<：<>MAC人接入效劳器><IP_<MAC><PHVk>AAA效劳器基于WEB的认证系统功能实体协议栈4.1.2 WEB接入认证流程用户在WEB认证之前，必须先通过 DHCP、静态配置等获得IP地址。用 户认真界面提交了用户名和密码之后，接入效劳器与WEB认证效劳器协调工作，1-4:用户通过DHCP协议获取地址的过程静态用户手工配置地址即可;5:用户访问WEB认证效劳器的认证页面，并在其中输入用户名、密码，点 击登陆按钮；6： WEB认证效劳器将用户的信息通过内部协议，通知接入效劳器；7:接入效劳器到相应的AAA效劳

7、器对该用户进行认证；8： AAA效劳器返回认证结果给接入效劳器；9:入效劳器将认证结果通知 WEB认证效劳器；10: WEB认证效劳器通过页面将认证结果通知用户；11:如果认证成功用户即可正常访问互联网资源。三层用户的WEB认证用户没有与接入效劳器二层相连，中间存在路由器等三层设备，这样用户到 接入效劳器的报文中只有用户的IP地址没有MAC地址信息，这种类型的用户 称为三层认证用户。与二层认证用户不同的是三层认证用户的MAC地址接入服务器获取不到，因而不能进行 MAC、IP的绑定检查平安性不高容易仿冒； ARP 请求不能穿透路由器因而不能对用户进行 ARP探测确定是否在线。对此，接入 效劳器要

8、求三层认证用户必须进行 WEB认证，不能通过绑定认证等方式上线。 另外，接入效劳器支持当网络发生问题用户原先的线路不同，但有另一条线路可以访问接入效劳器的情况，此时接入效劳器可以通过新的IP包找到到达用户的新路径更新相关的信息。IP报文触发三层用户上线的流程如以下图所示:用户 1接人廉务器SVEB认证效劳番1UAV.J1247*3 1L5611:用户的IP报文到达接入效劳器，接入效劳器为其分配资源建立预连接；2:用户的请求被强制到 WEB认证效劳器的认证页面，并在其中输入用户名、密码，点击登陆按钮；3： WEB认证效劳器将用户的信息通过内部协议，通知接入效劳器；4:接入效劳器到相应的AAA效劳

9、器对该用户进行认证；5： AAA效劳器返回认证结果给接入效劳器；6:入效劳器将认证结果通知 WEB认证效劳器；7： WEB认证效劳器通过页面将认证结果通知用户；8:如果认证成功用户即可正常访问互联网资源。4.1.4 WEB认证用户下线流程WEB认证用户下线流程包括用户主动下线和异常下线两种情况。用户主动下线流程如以下图所示。接入效劳器WEBU证效劳器'<z用户通信I HTTP PO »T portal-url用户1P地址斗 2 HEQ LOgCWTJACK LOGUH14 H ET FRespo 血 portal-url5 Accounting-lesqUest'

10、;Sk*6 Aucauiilin-lc*quo(/Slo|)(TS1：当用户需要下线时，可以点击认证结果页面上的下线机制，向Portal服务器发起一个下线请求;2： Portal效劳器向接入效劳器发起下线请求；3:接入效劳器返回下线结果给 Portal效劳器；4： Portal效劳器根据下线结果，推送含有对应的信息的页面给用户;不含计费系统的WEB认证下线流程只有上面4步，下面是计费结束的介绍5:当接入效劳器收到下线请求时，向 RADIUS效劳器发计费结束报文；6： RADIUS效劳器回应接入效劳器的计费结束报文。异常下线由包含以下两种情况：、接入效劳器侦测到用户下线1:接入效劳器检测到用户下

11、线，向 WEB效劳器发出下线请求；2： WEB效劳器回应下线成功；3:当接入效劳器收到下线请求时，向 AAA效劳器发计费结束报文;4： AAA效劳器回应接入效劳器的计费结束报文。、WEB认证效劳器侦测到用户下线UER认证效劳器XX.-用户在线用户迪信卜黴诡程J ACK LOCOIT5 Accuunlim-1*iequest >it(jp1: WEB认证效劳器检测到用户下线，向接入效劳器发出下线请求；2:接入效劳器回应下线成功；3:当接入效劳器收到下线请求时，向 AAA效劳器发计费结束报文;4： AAA效劳器回应接入效劳器的计费结束报文。4.2认证系统架构基于802.1X的认证系统架构见以

12、下图。在此种架构下，系统实现IEEE 802.1x 中定义的认证请求者、认证点和认证效劳器的三元结构。认证请求者对应客户终端，认证点可以对应接入效劳器，认证效劳器对应AAA效劳器认证请求者'f认证点)r认证效劳器客户终端.1 接入效劳器JAAA效劳器.基于802.1X的认证系统利用EAP协议的扩展能力可以选用不同的认证算法认证请求者认证点认证效劳器客户终端接入效劳器AAA效劳器基于802.1X的认证系统利用EAP协议的扩展能力可以选用不同的认证算法以EAP-MD5为例：广认证请求者' 、_ 客户终端丿认证点、接入效劳幕广认证服笔器、 效劳器1 EAPoL-StnrtA42 EA

13、F-RNtitstfldenti(yi E A F- Kc'i pnn te/1 d c ntity V. XEAP- Kes poNK/ld m lityS 产牛ChMlknutAcce»£-Ch*llHfl)e"11 AP-hlAP- urttA hfllrngt1 M L AP-Kn wi mi > 1DS-4 h a JIt11 E 电P-Failure|K絆 11AP-Ref jwnse/MDM. hallcn£el10 Access-Reject802.1X EAP-MD5丨认证方式交互图1:在用户和接入效劳器之间建立好物理连接

14、后，用户客户端向接入效劳 器发送一个EAPoL-Start报文如果用户是动态分配地址的，可能是DHCP 请求报文；如果用户是手工配置地址的，可能是ARP请求报文，开始接入的开始；2：接入效劳器向客户端发送EAP-Request/lde ntity报文，要求客户端将用 户名送上来；3:客户端回应一个 EAP-Respo nse/lde ntity给接入效劳器的请求，其中包 括用户名；4:接入效劳器以EAP Over RADIUS的报文格式向RADIUS认证效劳器发送Access-Request报文，里面含有客户端发给接入效劳器的EAP-Response/Identity报文，将用户名提交 RAD

15、IUS认证效劳器；5:接入效劳器产生一个 128 bit的Challenge；6： RADIUS认证效劳器回应接入效劳器一个 Access-Challenge报文，里 面含有EAP-Request/MD5-Challenge报文，送给接入效劳器用户对应的 Challe nge；7：接入效劳器通过 EAP-Request/MD5-Challenge发送给认证客户端，送给 用户 Challenge；8:客户端收到 EAP-Request/MD5-Challenge报文后，将密码和 Challenge 做 MD5 算法后的 Challenge-Password 在 EAP-Response/MD5-

16、Challenge 回应中把它发送给接入效劳器；9:接入效劳器将Challenge-Password通过 Access-Request报文送到RADIUS用户认证效劳器，由RADIUS用户认证效劳器进行认证；10： RADIUS用户认证效劳器根据用户信息判断用户是否合法，然后回应认证成功/失败报文到接入效劳器。如果成功，携带协商参数，以及用户 的相关业务属性给用户授权；11:接入效劳器根据认证结果，给用户回应 EAP-Success/EAP-Failure通 知用户认证结果。如果认证失败，那么流程到此结束。如果成功，可以进行 后续的授权流程。用户下线流程用户下线流程包括用户主动下线和异常下线两

17、类情况。用户主动下线流程图1:客户端主动向认证点发送 EAP-Logoff消息；2:认证点向认证效劳器发送计费停止请求的报文；3:认证效劳器向认证点回计费停止请求报文的回应异常下线流程图1:认证点检测发现用户已经不在线；2:认证点向认证效劳器发送计费停止请求的报文；3:认证效劳器向认证点回计费停止请求报文的回应4.3二维码认证原理认证流程图这里的二维码认证主要是介绍锐捷网络 BYOD无线接入认证。该种方式是指 访客的Phone/Pad/PC连上SSID，访问网址，弹出二维码图案，已认证上线普职 工接待者的使用二维码扫描工具，帮助访客扫码上网。1：访客关联到二维码认证所在的 SSID；2：访客的

18、终端翻开浏览器访问网络， AC 拦截访问的 URL ，并自动重定向 到二维码认证的 portal 页面，该步骤中存在以下几种情况：? 局部终端会 35 秒内自动翻开浏览器显示二维码页面， 进入第 3)步。如果不 会自动弹出，那么访客需要手动翻开终端的浏览器访问任意一个外网地址例 如 baidu ，将会自动跳转到二维码页面。? 如果您配置的二维码认证的 SSID 所在 VLAN 无法解析 DNS ，那么必须手动翻开终端的浏览器访问一个IP地址或可访问的域名URL,将会跳转到二维 码页面。3：访客将二维码图案给内部职工进行扫描； 4：内部职工使用扫描软件对二维码图案进行扫描,获取到该二维码图案中

19、所含的URL信息，取出UserIP、MAC地址、NASIP到SMP中去读取访客的流 水号(目的是为了创立一个访客账号, 会以流水号进行命名, 例如扫描者 _访客_1, 扫描者_访客_2, 扫描者_访客_3，以此类推；5：SMP 向 AC 发起 portal 认证流程：由于二维码认证不需要密码，但是对 于AC的radius认证又需要密码，因此这里的密码后台固定了。 SMP使用获取到 的访客流水号作为用户名，以及固定的密码 (ruijie_qrcode_)，把用户名和密码通 过portal协议发给AC，AC以二代Web认证的方式把用户名和密码封装到 Radius 报文中进行认证，提交 Radius

20、报文给SMP；6：认证成功后， SMP 分别向内部职工和访客反应认证成功信息 :； 7：翻开访客上网通道，访客上线成功。在上面的整个认证过程中，管理员无须为来访者创立用户名和密码，只需要 接待访客的内部职工为来访者扫描二维码就会自动创立一个包含有接待者信息 的用户名， 可以追溯到该访客是由谁开户并接待的， 从而在减轻管理职工作的情 况下，平安性也有所保障。目前 SMP 支持已经通过 1x 认证成功的用户、 Web 认证成功的用户、 MAC 地址认证成功的用户为访客扫描二维码，而访客是不允 许给其他访客扫描二维码的，以确保网络的平安边界。注意：接待者职工必须在 SMP 是在线的，且必须有在线 I

21、P 地址，否那么无 法扫描。432 URL参数说明? wlanuserip：当前终端获取的IP地址? wlanacname AC 的名称? ssid:所在的 SSID? nasip： NAS(AC)的 IP 地址? mac：终端的MAC地址4.4二维码名片认证原理认证流程图二维码认证的方式可以有效的解决方案用户上网权限问题，但是频繁的职工接待扫描操作在一定程度上造成了用户使用体验差的效果。本节介绍SMP的另外一种二维码认证方式-二维码名片认证：由管理员创立一个对公账户，在 SMP 的自助效劳平台上生成接待二维码， 将扫描的操作转移给访客，减小内部职工的 接待压力。二维码名片认证流程图1:访客关联到二维码认证所在的 SSID；2：访客的终端翻开浏览器访问网络， AC 拦截访问的 URL ，并自动重定向 到二维码名片认证的 portal 页面，该步骤中存在以下几种情况：? 局部终端会 35 秒内自动翻开浏览器显示二维码页面， 进入第 3步。如果不 会