（計算機應(yīng)用技術(shù)專業(yè)論文）8021x+eaptls部署應(yīng)用.pdf

8 0 2 1xe a p t l s 部署應(yīng)用 中文摘要 8 0 2 1 xe a p t l s 部署應(yīng)用 中文摘要 為了保證網(wǎng)絡(luò)資源的安全可控 網(wǎng)絡(luò)接入控制已經(jīng)成為當前主要的安全環(huán)節(jié) 其 中 采用網(wǎng)絡(luò)身份鑒別協(xié)議e a p 同p k i 技術(shù)相結(jié)合 成為了集通用 安全 高性價 比于一身的做法 目前業(yè)界的看法是 網(wǎng)絡(luò)接入控制是保證網(wǎng)絡(luò)安全的一個重要環(huán)節(jié) 而接入控制 的關(guān)鍵是身份鑒別 在已有的各種身份鑒別方法中 p k i 是被公認為最安全有效的 而可擴展認證協(xié)議e a p 同p k i 的結(jié)合 能夠?qū)崿F(xiàn)安全的網(wǎng)絡(luò)接入控制 e a p t l s 是以p i g 公鑰為基礎(chǔ)的 p k i 公鑰基礎(chǔ)結(jié)構(gòu)是目前比較成熟 完善的 互聯(lián)網(wǎng)絡(luò)安全解決方案 可以說 e a p t l s 認證方式是f r e e r a d i u s 最安全的認證 方式 但p k i 實施起來比較繁瑣 并且當前實現(xiàn)p k i 的商用軟件價格較為昂貴 完 整的p k i 應(yīng)用一般都集中于商業(yè)領(lǐng)域 如銀行 金融和軍事領(lǐng)域 這都阻礙了p k i 的廣泛應(yīng)用 本文針對這一現(xiàn)狀 對p k i 的技術(shù)用于f r e e r a d i u s 用戶認證做一定的應(yīng)用分析 重點介紹實現(xiàn)p k i 技術(shù)的開源軟件e j b c a 通過使用e j b c a 和f r e e r a d i u s 配合使 用 介紹了f r e e r a d i u s 和e j b c a 結(jié)合應(yīng)用的配置和使用方法 組建的一套完整的 p k i 用戶證書管理和認證系統(tǒng) 本文的研究主要針對8 0 2 1 x 的接入認證 實踐探索以e a p t l s 為核心的證書認 證方式 以及與此相關(guān)c a 用戶證書管理 解決了f r e e r a d i u s 和e j b c a 聯(lián)合工作 所需的實時檢查證書有效性的問題 為使用證書認證的f r e e r a d i u s 提供了較為完整 的開源軟件應(yīng)用參考 最后 在前面的基礎(chǔ)上 探索使用u s bk e y 方式的證書存儲和認證方式 并且 用于f r e e r a d i u s 認證方法 解釋了u s bk e y 和f r e e r a d i u s 結(jié)合使用能夠為用戶 認證起的飛躍性作用 關(guān)鍵詞 公鑰體系 擴展認證協(xié)議 傳輸層安全 8 0 2 1 x e j b c a f r e e r a d i u s 作者 楊凌鳳 指導老師 朱巧明 a b s t r a c t d e p l o y m e n t 咝9 2 i xe a p t l s d e p l o y m e n to f8 0 2 1 xe a p t l s a b s t r a c t i no r d e rt os c e n en e t w o r kr e s o u r c e s c o n t r o la c c e s st on e t w o r kh a sb e c o m et h em a i n s e c u r i t ys t a g ea tp r e s e n t e x t e n s i b l ea u t h e n t i c a t i o np r o t o c o lt 衛(wèi)a p w o r k sw i t l li n t e g r a t i o n o fp u b l i ck e yi n f r a s t r u c t u r e p r d w h i c hi sac o m n l o n s a f ew a y a n dc o n t a i n sh i 曲c o s t p e r f o r m a n c e i ti sb e l i e v e di nt h i sf i e l dt h a tc o n t r o lo ft h ea c c e s st on e t w o r ki si m p o r t a n t a n di t sk e y i st od i s t i n g u i s ht h ei d e n t i t y p k ii sr e g a r d e da st h em o s te f f e c t i v ea n ds a f ew a ya m o n gt h e c u r r e n tm e t h o d so fd i s t i n g u i s h i n gt h ei d e n t i t y t h ec o m b i n a t i o no fe a pa n dp k ic a l l e n a b l ea ne x c e l l e n tc o n t r o lo f t h ea c c e s st on e t w o r k e a p t l si sb a s e do np k lw h i c hi sp r e s e n t l yam a t u r ea n dp e r f e c ts o l u t i o nt ot h e s e c u r i t yp r o b l e mo fn e t w o r k i tc a nb es a i dt h a te a p t l si st h em o s ts p 圮l l r ef o ru s e r a u t h e n t i c a t i o n b u ti t sn o ts oc o n v e n i e n tt op u ti n t op r a c t i c e a n dt h ec o m m e r c i a ls o f t w a r e w h i c hp e r f o r m sp k i i se x p e n s i v e a l m o s ta l lc o m p l e t ea p p l i c a t i o n so fp k ia r ef o c u s e do n b a n k f m a n c i a la n dm i l i t a r ya r e a w h i c hh i n d e rt h ep r o g r e s so ft h ee x t e n s i v ea p p l i c a t i o n a i m i n ga tt h i ss i t u a t i o n t h i sp a p e rm a k e s ac e r t a i na n a l y s i so nt h ea p p l i c a t i o no fp k i t ot h ef r e e r a d i u su s e ra u t h e n t i c a t i o n i tg i v e sa ni m p o r t a n ti n t r o d u c t i o no fo p e ns o u r c e s o f t w a r e e j b c aa n do ft h ec o n f i g u r a t i o na n du s a g eo f t h ec o m b i n i n ga p p l i c a t i o no f f r e e r a d i u sa n de j b c a t h r o u g hu s i n ge j b c aa n df r e e r a d i u s a c o m p l e t es y s t e mo f t h em a n a g e m e n to fp k ic e r t i f i c a t ea n du s e ra u t h e n t i c a t i o nm e t h o dh a sb e e nc o n s t r u c t e d 1 1 l i sp a p e rm a i n l ya i m sa tt h ea u t h e n t i c a t i o no ft h ea c c e s so f8 0 2 1x e x p l o r e st h e m e t h o do f c e r t i f i c a t ea u t h e n t i c a t i o nw h i c hf o c u s e so ne a p t l s a n dr e l a t e dm a n a g e m e n t o f c e r t i f i c a t eo f c au s e r s i ta l s os o l v e st h ep r o b l e mo f c h e c k i n gt h ev a l i d i t yo f t h eu s e r s c e r t i f i c a t ei nr e a lt i m e w h i c hi sn e e d e di nt h ea p p l i c a t i o n0 ff r e c r 枷j st o g e t h e r 誦m e j b c a p r o v i d i n gac o m p a r a t i v e l yc o m p l e t ea p p l i c a t i o nr e f e r e n c et ot h eu s i n go f f r e e r a d r u sc e r t i f i c a t ea u t h e n t i c a t i o n f i n a l l y t h i sp a p e rs t u d i e st h em e t h o do fc e r t i f i c a t es t o r ea n da u t h e n t i c a t i o nu s i n g n 8 0 2 i xe a p t l s 部署應(yīng)用 中文摘要 u s bk e y i te x p l a i n st h es u b s t a n t i a lf u n c t i o no fc o m b i n i n gu s eo fu s b k e ya n d f r e e r a d i u se a p t l st ou s e ra u t h e n t i c a t i o i l k e y w o r d s 出 e a p f l s 8 0 2 1x e j b c a f r e e m d i u s i i i w r i t t e n b y y a n gl i n g f e n g s u p e r v i s e db y z h uq i a o m i n g 蘇州大學學位論文獨創(chuàng)性聲明及使用授權(quán)的聲明 學位論文獨創(chuàng)性聲明 本人鄭重聲明 所提交的學位論文是本人在導師的指導下 獨立進 行研究工作所取得的成果 除文中已經(jīng)注明引用的內(nèi)容外 本論文不含 其他個人或集體已經(jīng)發(fā)表或撰寫過的研究成果 也不含為獲得蘇州大學 或其它教育機構(gòu)的學位證書而使用過的材料 對本文的研究作出重要貢 獻的個人和集體 均己在文中以明確方式標明 本人承擔本聲明的法律 責任 研究生簽名 拋 日 期 望 學位論文使用授權(quán)聲明 蘇州大學 中國科學技術(shù)信息研究所 國家圖書館 清華大學論文 合作部 中國社科院文獻信息情報中心有權(quán)保留本人所送交學位論文的 復(fù)印件和電子文檔 可以采用影印 縮印或其他復(fù)制手段保存論文 本 人電子文檔的內(nèi)容和紙質(zhì)論文的內(nèi)容相 致 除在保密期內(nèi)的保密論文 外 允許論文被查閱和借閱 可以公布 包括刊登 論文的全部或部分 內(nèi)容 論文的公布 包括刊登 授權(quán)蘇州大學學位辦辦理 研究生簽名 尬 塾 日 期 鯊翌 導師簽名 8 0 2 1 xb 諍 t l s 部署應(yīng)用 第一章緒論 1j 1 背景 第一章緒論 隨著網(wǎng)絡(luò)技術(shù)的不斷成熟以及網(wǎng)絡(luò)應(yīng)用的不斷普及 現(xiàn)在各高校的網(wǎng)絡(luò)除了要滿 足全校教職工的教學科研外 還要更多的面對學生群體 而隨著網(wǎng)絡(luò)用戶數(shù)的急劇增 加 網(wǎng)絡(luò)的安全性問題日益突出 建立一個更加安全可行的 可運營 可管理的網(wǎng)絡(luò) 環(huán)境便擺在了面前 由于傳統(tǒng)認證方式存在著不少的問題 許多的認證系統(tǒng)架設(shè)在主干出口處 這樣 就不可避免導致許多計算機在沒有預(yù)先經(jīng)過同意 對網(wǎng)絡(luò)設(shè)備及資源進行非正常使 用 也就是我們通常所說的非授權(quán)訪問 采用傳統(tǒng)的網(wǎng)關(guān)身份認證的方式也很難對代 理服務(wù)進行防范 在網(wǎng)絡(luò)中如果私自搭建了代理服務(wù)器 那么很多非授權(quán)終端就可以 通過同一個代理服務(wù)器取得對網(wǎng)絡(luò)的訪問權(quán) 而在服務(wù)器端看來 這些訪問都來自正 常的一個終端機器的訪問 而且傳統(tǒng)的認證方式對校園網(wǎng)中用戶數(shù)據(jù)包繁瑣的處理也 造成了網(wǎng)絡(luò)傳輸瓶頸 如果通過增加其他網(wǎng)絡(luò)設(shè)備來解決傳輸瓶頸勢必造成網(wǎng)絡(luò)成本 的提升 因此無法滿足用戶對網(wǎng)絡(luò)安全性 高效性和低成本的要求 目前8 0 2 1 x i l 認證已經(jīng)得到了非常廣泛的應(yīng)用 其部署難度小 并且通過對認證 方式和認證體系結(jié)構(gòu)進行優(yōu)化 有效地解決了傳統(tǒng)認證方式帶來的問題 消除了網(wǎng)絡(luò) 瓶頸 減輕了網(wǎng)絡(luò)封裝開銷 降低了建網(wǎng)成本 由于8 0 2 1 x 客戶端部署在客戶終端 上 它能在應(yīng)用層識別代理行為 從而在終端客戶機上阻止代理行為的發(fā)生 但在一般的應(yīng)用中 我們都會使用e a p m d 5 密碼認證 這個方法把用戶密碼儲 存在數(shù)據(jù)庫中 認證的時候進行最基本的對比即可完成認證 這個方法最簡單 同時 也是最脆弱的 潛在多種被攻擊風險 并且 由于密碼都由用戶自己保存 因此帶來 的一個帳號被多人使用 用戶密碼被竊取等后果 給管理工作帶來很大的不便 因此 在實際應(yīng)用中 需要尋找更加適合的認證方式 盡最大可能保護賬戶安全 通過表 2 1 1 的比較可以看出 e a p t l s 為最安全的e a p 協(xié)議 但是在實用程度 上欠缺一些 因為最安全所要花費的代價最高 需要建立p k i 證書管理 每一個服務(wù) 器端及客戶端維護成本極高 目前比較讓業(yè)界接受的是e a p 1 幾s 和p e a p 兩者都 第一章緒論 8 0 2 1 xe a p t l s 部署應(yīng)用 有支持雙向認證 同時也只需要具備r a d i u ss e r v e r 的證書即可實現(xiàn)認證信息的加密 傳送驗證 e a p m d 5l e a pe a p t 1 l sp e a pe a p 1 l s 服務(wù)器認證否h a s h 密碼 公鑰 證書 公鑰 證書 公鑰 證書 質(zhì)詢握手身份 驗證協(xié)議 密碼任何e a p 比 認證協(xié)議 微軟如微軟質(zhì)詢握公鑰 證書或 客戶端認證 h a s h 密碼h a s h 密碼 質(zhì)詢握手身份 手身份驗證協(xié)智能卡 驗證協(xié)議v 2 議v 2 公鑰 e a p 認證屬性單向認證雙向認證雙向認證雙向認證雙向認證 動態(tài)密鑰傳輸 否是 是是是 部署難度簡單 中等中等 中等 難 身份暴露 字 中間人攻擊 第 典攻擊 中間身份暴露 字 安全風險中間人攻擊一階段潛在身份身份暴露 人攻擊 會話典攻擊 劫持 暴露 表1 1 各種e a p 認證方法比較 1 2 接入認證系統(tǒng)的現(xiàn)狀 1 2 1w e b p o r t a l 技術(shù) w e b p o r t a i 認證是基于業(yè)務(wù)類型的認證 不需要安裝其他客戶端軟件 只需 要瀏覽器就能完成 就用戶來說較為方便 但是由于w e b 認證走的是7 層協(xié)議 從 邏輯上來說為了達到網(wǎng)絡(luò)2 層的連接而跑到7 層做認證 這首先不符合網(wǎng)絡(luò)邏輯 其 次由于認證走的是7 層協(xié)議 對設(shè)備必然提出更高要求 增加了建網(wǎng)成本 w e b 是 在認證前就為用戶分配了口地址 對目前網(wǎng)絡(luò)珍貴的i p 地址來說造成了浪費 而且 分配p 地址的d h c p 對用戶而言是完全裸露的 容易造成被惡意攻擊 一旦受攻擊 癱瘓 整個網(wǎng)絡(luò)就沒法認證 為了解決易受攻擊問題 就必須加裝一個防火墻 這樣 一來又大大增加了建網(wǎng)成本 w e b p o r t a l 認證用戶連接性差 不容易檢測用戶離 線 基于時間的計費較難實現(xiàn) 用戶在訪問網(wǎng)絡(luò)前 不管是t e l n e t f t p 還是其 它業(yè)務(wù) 必須使用瀏覽器進行w e b 認證 易用性不夠好 而且認證前后業(yè)務(wù)流和數(shù) 2 8 0 2 1xe a p t l s 部署應(yīng)用第一章緒論 據(jù)流無法區(qū)分 1 2 2p p p o e 技術(shù) p p p o e 是從基于a t m 的窄帶網(wǎng)引入到寬帶以太網(wǎng)的 由此可以看出 p p p o e 并不是為寬帶以太網(wǎng)量身定做的認證技術(shù) 將其應(yīng)用于寬帶以太網(wǎng) 必然會有其局限 性 雖然其方式較靈活 在窄帶網(wǎng)中有較豐富的應(yīng)用經(jīng)驗 但是 它的封裝方式 也 造成了寬帶以太網(wǎng)的種種等問題 在p p p o e 認證中 認證系統(tǒng)必須將每個包進行拆 解才能判斷和識別用戶是否合法 一旦用戶增多或者數(shù)據(jù)包增大 封裝速度必然跟不 上 造成了網(wǎng)絡(luò)瓶頸 其次這樣大量的拆包解包過程必須由一個功能強勁同時價格昂 貴的設(shè)備來完成 這個設(shè)備就是我們傳統(tǒng)的b a s 每個用戶發(fā)出的每個數(shù)據(jù)包b a s 必須進行拆包識別和封裝轉(zhuǎn)發(fā) 為了解決瓶頸問題 廠商想出了提高b a s 性能 或 者采用大量分布式b a s 等方式來解決問題 但是b a s 的功能就決定了它是一個昂貴 的設(shè)備 這樣一來建設(shè)成本就會越來越高 1 2 3i e e e 8 0 2 1 x 技術(shù) 8 0 2 1x 協(xié)議起源于無線局域網(wǎng) 它也是一項可在以太網(wǎng)上實現(xiàn)認證計費功能的新 技術(shù) 它不同于傳統(tǒng)的p p p o e w e b 認證 認證流和業(yè)務(wù)流不分離 8 0 2 1 x 認證基于 邏輯端口把認證流和業(yè)務(wù)流進行分離 認證系統(tǒng)的端口分成兩個邏輯端口 受控端口 和不受控端口 不受控端口只能傳送認證的協(xié)議報文 而不管此時受控端口的狀態(tài)是 已認證狀態(tài) a u t h e r i z e d 還是未認證狀態(tài) u n a u t h c r i z c d 受控端口傳送業(yè)務(wù)報文 如 果用戶通過認證 則受控端口的狀態(tài)為已認證狀態(tài) 可以傳送業(yè)務(wù)報文 如果用戶未 通過認證 則受控端口的狀態(tài)為未認證狀態(tài) 不能傳送業(yè)務(wù)報文 它的認證方式就是 通過認證前后打開 關(guān)閉受控端口來實現(xiàn)對用戶接入的控制 從而實現(xiàn)對用戶的物理 端口的認證和控制 8 0 2 1 x 認證的突出優(yōu)點就是實現(xiàn)簡單 認證效率高 安全可靠 無需多業(yè)務(wù)網(wǎng)管 設(shè)備 就能保證i p 網(wǎng)絡(luò)的無逢相連 同時消除了網(wǎng)絡(luò)認證瓶頸和單點故障 解決了采 用多業(yè)務(wù)網(wǎng)關(guān) 不便于視頻業(yè)務(wù)開展的難題 在二層網(wǎng)絡(luò)上實現(xiàn)用戶認證 大大降低 了整個網(wǎng)絡(luò)的建網(wǎng)成本 1 2 4 針對普通密碼認證的改進技術(shù) 由于e a p m d 5 存在身份密碼泄露 中間人攻擊等問題 需要使用更好的認證方 3 第一章緒論8 0 2 1 xe a p t l s 部署應(yīng)用 式來取代 很多人對基于8 0 2 1 x 的其他認證方式進行了實踐研究 如 b 廿 t t l s 認證方式在w l a n 中的應(yīng)用研究 3 通過實踐探索 總結(jié)出了該認證方式用于 w l a n 的應(yīng)用前景 并且結(jié)合認證 開發(fā)了e a p t t l s 認證客戶端 盡管實現(xiàn)e a p t l s 部署成本較高 仍然有很多基于p i g 和r a d i u s 結(jié)合研究 如 p 在校園網(wǎng)中的應(yīng) 用研究 4 文中使用p i g 技術(shù)和r a d i u s 結(jié)合 提出了校園網(wǎng)絡(luò)單點認證 給出了 設(shè)計框架 完整的p k i 構(gòu)建 證書管理和p i g 客戶端設(shè)計的思路 在 t i n y c ae t f r e e r a d i u se l lm o d ee a p t l s p j 一文中 使用t i n y c a 和f r e e r a d i u s 結(jié)合 實現(xiàn)了 單機版的證書管理軟件和f r e e r a d i u s 結(jié)合應(yīng)用的實例 在 h o ws e c u r ei sy o u rw i r e l e s sn e t w o r k s a f e g u a r d i n gy o u rw i f il a n 6 j 一文 中 詳細闡述了無線網(wǎng)絡(luò)環(huán)境中如何使用8 0 2 1 x 和其他安全技術(shù)如v p n 等p i g 技術(shù)加 強企業(yè)網(wǎng)絡(luò)安全 在對比分析了這些研究之后 并沒有找到一個適合網(wǎng)絡(luò)應(yīng)用且部署難度適中的方 案 對于具體的實現(xiàn) 也沒有作更多說明 這對實際應(yīng)用沒有帶來多大的促進作用 因此 我們需要摸索一個適合一般網(wǎng)絡(luò)部署的e a p t l s 認證方案 1 3 本論文主要研究的內(nèi)容 本文研究內(nèi)容就是在前人的理論分析和實踐基礎(chǔ)上 使用開源軟件構(gòu)架一個成席 較低 并且容易管理的8 0 2 1 x 認證環(huán)境 在認證技術(shù)上使用目前最為可靠的e a p t u 方式 為開源軟件規(guī)模應(yīng)用于p i g 的認證技術(shù)提供一個切實可行的參考 1 學習p i g 的原理 選擇合適的c a 軟件 學習構(gòu)建成本較低的c a 為c a 和8 0 2 1 聯(lián)合應(yīng)用做一定經(jīng)驗積累 2 了解8 0 2 1 x 認證的基本原理和過程 學習使用f r e e r a d i u s 實現(xiàn)f r e e r a d i u s e a p t l s 證書認證配置的相關(guān)環(huán)節(jié) 3 進行簡單開發(fā) 實現(xiàn)c a 和f r e e r a d i u s 協(xié)同工作 達到管理簡單化的目的 1 4 本文的組織結(jié)構(gòu) 第一章 緒論 介紹了目前8 0 2 1 x 使用和研究的現(xiàn)狀 對本文要實現(xiàn)的目標進行 定位 第二章 8 0 2 1 x 協(xié)議介紹 對8 0 2 1 x 協(xié)議體系進行理解和分析 4 8 0 2 1xe a p t l s 部署應(yīng)用 第一章緒論 第三章 講述p k i 和e a p t l s f l 關(guān)技術(shù) 把e a p t l s 認證涉及的技術(shù)框架進行說 明 并且對實現(xiàn)e a p t l s 認證之后 引入更加可靠方便的u s bk e y 技術(shù)進行了說明 第四章 e a p t l s 應(yīng)用設(shè)計 對我們要實現(xiàn)的構(gòu)架進行說明 對實現(xiàn)過程中需要 的軟件進行選擇和說明 i 第五章 設(shè)計中的問題和解決方法 對設(shè)計框架中需要解決的問題進行分析 提 出 e j b c a 和f r e e r a d i u s 協(xié)作的解決方案 第六章 系統(tǒng)的具體實現(xiàn) 對設(shè)計的實現(xiàn)做較為完整的說明 以具體例子給實際 應(yīng)用做出參考 第七章 總結(jié)和展望 總結(jié)我們的設(shè)計和實踐工作 并對這個設(shè)計構(gòu)架可能面臨 的問題做出預(yù)見 對解決方法作出展望 給今后的工作提出方向 5 第二章8 0 2 1 x 協(xié)議介紹 8 0 2 1 xe a p t l s 部署應(yīng)用 第二章8 0 2 1x 協(xié)議介紹 2 1 協(xié)議的開發(fā)背景 在i e e e8 0 2l a n 所定義的局域網(wǎng)環(huán)境中 只要存在物理的連接口 未經(jīng)授權(quán)的 網(wǎng)絡(luò)設(shè)備就可以接入局域網(wǎng) 或者是未經(jīng)授權(quán)的用戶可以通過連接到局域網(wǎng)的設(shè)備進 入網(wǎng)絡(luò) 例如 一個可以訪問公共網(wǎng)絡(luò)的大廈的辦公網(wǎng) 或者是某個組織機構(gòu)與其他 組織連接的網(wǎng)絡(luò) 在這樣的網(wǎng)絡(luò)環(huán)境中 往往不希望未經(jīng)授權(quán)的設(shè)備或用戶連接到網(wǎng) 絡(luò) 使用網(wǎng)絡(luò)提供的服務(wù)m 后來 隨著局域網(wǎng)技術(shù)的廣泛應(yīng)用 特別是在運營網(wǎng)絡(luò)中的應(yīng)用 對其安全認證 的要求已經(jīng)提到了議事日程上 如何既能夠利用局域網(wǎng)技術(shù)簡單 廉價的組網(wǎng)特點 同時又能夠?qū)τ脩艋蛟O(shè)備訪問網(wǎng)絡(luò)的合法性提供認證 是目前業(yè)界討論的焦點 i e e e 8 0 2 1 x 協(xié)議正是在這樣的背景下提出的 i e e e8 0 2 1 x 稱為基于端口的訪問控制協(xié)議 p o r tb a s e dn e t w o r ka c c e s sc o n t r o l p r o t o c 0 1 基于端口的訪問控制 p o r tb a s e dn e t w o r ka c c e s sc o n t r 0 1 能夠在利用i e e e8 0 2 l a n 的優(yōu)勢基礎(chǔ)上提供一種對連接到局域網(wǎng) l a n 設(shè)備或用戶進行認證和授權(quán)的手 段 通過這種方式的認證 能夠在l a n 這種多點訪問環(huán)境中提供一種點對點的識別 用戶的方式 這里端口是指連接到l a n 的一個單點結(jié)柯 可以是被認證系統(tǒng)的m a c 地址 也可以是服務(wù)器或網(wǎng)絡(luò)設(shè)備連接l a n 的物理端口 或者是在i e e e8 0 2 1 1 無 線l a n 環(huán)境中定義的工作站和訪問點 2 2 幾個名詞的定義 以下的名詞為8 0 2 1 x 協(xié)議中的重要組成部分1 7 1 s u p p l i c a n t 客戶端 認證客戶端指網(wǎng)絡(luò)中所連接的一端的實體 e n f t y 它向認證系統(tǒng) a u t h e n t i c a t o r 如下 發(fā)起請求 對其身份的合法性進行檢驗 認證客戶端是需要接入l a b 及享受 交換機提供服務(wù)的設(shè)備 如p c 機客戶端需要支持e a p o l 協(xié)議客戶端必須運行8 0 2 1 x 客戶端軟件 如8 0 2 1 x c o m p l a i nm i c r o s o f tw i n d o w sx p 6 8 0 2 1 xe a p t l s 部署應(yīng)用 第二章8 0 2 1 x 協(xié)議介紹 2 a u t h e n t i c a t o r 認證系統(tǒng) 認證系統(tǒng)指在l a n 連接的一端用于認證另一端設(shè)備的實體 e n t i t y 邊緣交換機 或無線接入設(shè)備是根據(jù)客戶的認證狀態(tài)控制物理接入的設(shè)備 交換機在客戶和認證服 務(wù)器間充當代理角色 代理交換機與客戶端之間通過e a p o l 協(xié)議進行通訊 交換機 與認證服務(wù)器間通過e a po v c rr a d i u s 或e a p 承載在其他高層協(xié)議上 以便穿越復(fù)雜 的網(wǎng)絡(luò)到達認證服務(wù) 中繼交換機要求客戶端提供身份 接收到后將e a p 報文承載 在r a d i u s 格式的報文中再發(fā)送到認證服務(wù)器 然后根據(jù)認證結(jié)果返回給交換機控制 端口是否可用 需要指出的是我們的8 0 2 1 x 協(xié)議在設(shè)備內(nèi)終結(jié)并轉(zhuǎn)換成標準的 r a d i u s 協(xié)議報文加密算法采用p p p 的c h a p 認證算法 3 a u t h e n t i c a t i o ns e r v e r 認證服務(wù)器 認證服務(wù)器指為認證系統(tǒng)提供認證服務(wù)的實體 這里認證服務(wù)器所提供的服務(wù)是 指通過檢驗客戶端發(fā)送來的身份標識 來判斷該請求者是否有權(quán)使用認證系統(tǒng)所提供 的網(wǎng)絡(luò)服務(wù) 認證服務(wù)器對客戶進行實際認證 認證服務(wù)器核實客戶的身份 通知交 換機是否允許客戶端訪問l a n 和交換機提供的服務(wù) 認證服務(wù)器接受認證者傳遞過 來的認證需求 認證完成后將認證結(jié)果下發(fā)給認證者 完成對端口的管理 由于e a p 協(xié)議較為靈活 除了i e e e8 0 2 1 x 定義的端口狀態(tài)外認 證服務(wù)器實際上也可以用于 認證和下發(fā)更多用戶相關(guān)的信息 如v l a nq o s 加密認證密鑰d h c p 響應(yīng)等 4 p o r t a c c e s s e n t i t y p a e 端口訪問實體 指一個端口的相關(guān)協(xié)議實體 端口訪問實體p a e 負責響應(yīng)來自認證方和申請方之 間的請求信息 這些信息用來建立信任關(guān)系 在認證交換過程中執(zhí)行申請方的角色稱 作申請方p a e 負責于申請方通信 并把申請方的信任信息交給相對應(yīng)的認證服務(wù)器 去檢查以決定隨后的認證狀態(tài)被稱為認證方p a e 認證方p a e 依據(jù)認證過程的結(jié)構(gòu)控 制受控端口的授權(quán)和非授權(quán)狀態(tài) p a e 能夠支持的功能包括 客戶端 s u p p l i c a n t 完 成的功能 認證系統(tǒng) a u t h e n t i c a t o o 完成的功能或者兩者功能同時具備 5 n e t w o r ka c c e s sp o r t 網(wǎng)絡(luò)訪問端口 網(wǎng)絡(luò)訪問端口指用戶系統(tǒng)連接到l a n 的訪問端口 訪問端口可以是物理端口 例如連接到用戶的網(wǎng)絡(luò)設(shè)備端口 也可以是邏輯端口 例如用戶設(shè)備的m a c 地址 6 s y s t e m 系統(tǒng) 系統(tǒng)是指通過一個或更多端口連接到l a n 的設(shè)備 例如 終端 服務(wù)器 交換 7 第二章8 0 2 i x 協(xié)議介紹 8 0 2 i xe a p t l s 部署應(yīng)用 機或路由器等設(shè)備都稱為系統(tǒng) 2 3 工作機制 圖2 1i e e e8 0 2 i x 認證體系組成部分 i e e e8 0 2 1 x 認證過程的操作是利用e a p 作為申請方和認證服務(wù)器之間認證信息 交互的手段 在這樣一個認證過程中有很多重要的機制 下面作一些具體的說明 7 2 3 1 各組成部分的功能 為了便于描述基于端口的訪問控制過程 一個系統(tǒng)的端口 確切的講應(yīng)該是協(xié)議 實體p a e 可以在整個控制過程中充當多個不同的角色 如下為在基于端口訪問控制 過程中 端口所充當?shù)慕巧?i a u t h e n t i c a t o r 在允許用戶訪問之前執(zhí)行認證的端口 該端口充當認證系統(tǒng)的 角色 2 s u p p l i c a n t 訪問認證系統(tǒng)所提供服務(wù)的端口 該端口充當客戶端的角色 3 a u t h e n t i c a t i o ns e r v e r 認證服務(wù)器代表認證系統(tǒng)執(zhí)行對用戶身份的合法性進 行檢驗功能 從以上描述可以看出 為了完成一個認證過程 所有的三個角色是必須的 一個 特定系統(tǒng)可以承擔一種或多種角色 例如 一個認證系統(tǒng)和認證服務(wù)器能集成在一個 系統(tǒng)中 實現(xiàn)認證功能而無需設(shè)置專門的外置認證服務(wù)器 同樣 一個端口在一個認 證過程中充當客戶端的角色 而在另一個認證過程中可能充當認證系統(tǒng)的角色 例如 在一個橋接l a n 中 一個新的交換設(shè)備添加到網(wǎng)絡(luò)中 這個設(shè)備要能夠?qū)B接到其端 8 8 0 2 1 xe a p t l s 部署應(yīng)用 第二章8 0 2 1 協(xié)議介紹 口的設(shè)備實現(xiàn)認證 自身必須先通過其上端設(shè)備的認證 該新設(shè)備通過上端設(shè)備接入 到l a n 中 2 3 2 受控和非受控的訪問 i e e e8 0 2 1 x 協(xié)議的精華就是關(guān)于受控和非受控的訪問 以下將詳細描述關(guān)于受 控和非受控的訪問 1 端口的類型 如圖2 2 所示 認證系統(tǒng)的端口分成兩個邏輯端口 受控端口和不受控端口 不 受控端口只能傳送認證的協(xié)議報文 它始終處于雙向連通的狀態(tài) 不管是否處于授權(quán) 狀態(tài)都允許申請者和局域網(wǎng)中的其他機器進行數(shù)據(jù)交換 主要用來傳遞e a p o l 協(xié)議 幀 可保證隨時接受客戶端發(fā)出的認證e a p o l 報文 而受控制端口只有在認證通過 的狀態(tài)下才打開 用于傳遞網(wǎng)絡(luò)資源和服務(wù) i 一 一 1 j l m 棚t 曲舅句嘲帥 圖2 2 受控端e l c o n t r o l l e dp o r t 和不受控端1 u n c o n t r o l l e dp o r t 2 端口控制方式 對于端口的控制 可以有很多種方式 端口可以是物理的端口 也可以是用戶設(shè) 備的m a c 地址 如果設(shè)備支持全程的v l a n 也可以把v l a ni d 看成是端口 在i e e e8 0 2 1 x 協(xié)議中的受控端口和不受控端口實際上是邏輯上的理解 端口的 狀態(tài)受相關(guān)的協(xié)議參數(shù) a u t h c o n t r o l l e d p o r t s t a t u s 控制 可設(shè)為強關(guān)狀態(tài) u n a u t h o r i z e d 此時該端口處于斷開狀態(tài) 若端口狀態(tài)設(shè)為a u t h o r i z e d 則此時該端 口不需要要認證即可連通 若端口設(shè)為a u t o 則認證端的連接狀態(tài)要取決于申請端 當申請通過認證時網(wǎng)絡(luò)連通 否則斷開 9 第二章8 0 2 i x 協(xié)議介紹8 0 2 i xe a p t l s 部署應(yīng)用 如圖2 3 所示 當發(fā)起申請認證時 發(fā)起者通過非受控端口向認證服務(wù)器發(fā)送 e a p o l 的8 0 2 1 x 認證報文 當用戶未通過認證時 受控端口處于開路 端口狀態(tài)為 未認證狀態(tài) 此時交換機的交換功能是關(guān)閉的 也就是說交換機無法像傳統(tǒng)的通過查 找目標m a c 地址來進行交換 如果用戶有業(yè)務(wù)報文是無法通過的 ia t a t m 橢c t t e r 竊廈h m1 i c o n a o e dp o u n c o n l r o l l e c lp o r t i 山肭嗍c 撕8 y i 加m 2 i c c r 黼dp o r tu n c o n t r q i l e dp o r ti 圖2 3 受控端口的狀態(tài)變化 2 3 3i e e e8 0 2 1 x 協(xié)議的體系結(jié)構(gòu) i e e e8 0 2 1 x 協(xié)議的體系結(jié)構(gòu) 通過上文的說明可以知道 包括三個重要的部分 s u p p l i c a n ts y s t e m 客戶端 a u t h e n t i c a t o rs y s t e m 認證系統(tǒng) a u t h e n t i c a t i o ns e r v e rs y s t e m 認證服務(wù)器 圖2 4 描述了三者之間的關(guān)系以及互相之間的通信 客戶端系統(tǒng)一般為一個用戶終端系統(tǒng) 該終端系統(tǒng)通常要安裝一個客戶端軟件 用戶通過啟動這個客戶端軟件發(fā)起8 0 2 i x 協(xié)議的認證過程 為支持基于端口的接入 控制 客戶端系統(tǒng)需支持e a f o l e x t e n s i b l ea u t h e n t i c a t i o np r o t o c o lo v e rl a n 協(xié)議 認證系統(tǒng)通常為支持8 0 2 1 x 協(xié)議的網(wǎng)絡(luò)設(shè)備 該設(shè)備對應(yīng)于不同用戶的端口 可 以是物理端口 也可以是用戶設(shè)備的m a c 地址 有兩個邏輯端口 受控 c o n t r o l l e dp o n 端口和不受控端 l u n c o n t r o l l e d p o r t 不受控端口始終處于雙向連通狀態(tài) 主要用來 傳遞e a p o l 協(xié)議幀 可保證客戶端始終可以發(fā)出或接受認證 受控端口只有在認 證通過的狀態(tài)下才打開 用于傳遞網(wǎng)絡(luò)資源和服務(wù) 受控端口可配置為雙向受控 僅 輸入受控兩種方式 以適應(yīng)不同的應(yīng)用環(huán)境 如果用戶未通過認證 則受控端口處于 未認證狀態(tài) 則用戶無法訪問認證系統(tǒng)提供的服務(wù) 1 0 8 0 2 1 xe a p t l s 部署應(yīng)用第二章8 0 2 1 x 協(xié)議介紹 廣一一一一一1r 一一一一一一一一一一一1 l 1 一 ii b 筐o g e r e d li l 雕 妨臁憎 啪 f 撕岫黻e l i h 黜叫 s y 砷 m i 裂翟i i 0 iii q h 口9 dl 伽州口喇 跚 黜l 吶蹦刪l l l哪 iiixii iii t ii l 爿一 j 一一 憾 圖2 48 0 2 i x 協(xié)議的體系結(jié)構(gòu) 認證系統(tǒng)的p a e 通過不受控端口與s u p p l i c a n tp a e 進行通信 二者之間運行 e a p o l 協(xié)議 如果認證方服務(wù)器與認證方不在同一個系統(tǒng)時 認證方p a e 接著對e a p 協(xié)議重新打包并向上傳到認證方服務(wù)器 r a d i u s 為后者的通信提供合適的手段 也 可以用其他的協(xié)議去實現(xiàn) 認證系統(tǒng)的p a e 與認證服務(wù)器之間運行e a p e x t e n s i b l e a u t h e m i c a f i o np r o t o c 0 1 協(xié)議 認證方p a e 控制受控端口的操作狀態(tài) 但不干涉申請方 p a e 和認證服務(wù)器之間的認證交換 這種在認證方p a e 和認證功能的分離允許后端的 認證服務(wù)器用不同的認證機制來對申請方p a e 進行驗證 認證方p a e 僅僅根據(jù)認證交 換的結(jié)果來控制其受控端口的授權(quán)狀態(tài) 認證系統(tǒng)和認證服務(wù)器之間的通信可以通過網(wǎng)絡(luò)進行 也可以使用其他的通信通 道 例如如果認證系統(tǒng)和認證服務(wù)器集成在一起 二個實體之間的通信就可以不采用 e a p 協(xié)議 認證服務(wù)器通常為r a d i u s 服務(wù)器 該服務(wù)器可以存儲有關(guān)用戶的信息 比如 用戶所屬的v l a n c a r 參數(shù) 優(yōu)先級 用戶的訪問控制列表等等 當用戶通過認 證后 認證服務(wù)器會把用戶的相關(guān)信息傳遞給認證系統(tǒng) 由認證系統(tǒng)構(gòu)建動態(tài)的訪問 控制列表 用戶的后續(xù)流量就將接受上述參數(shù)的監(jiān)管 對于終端用戶的認證可以采用如上所示的機制進行 而對于網(wǎng)絡(luò)設(shè)備之間的認證 則采用如下的方式 圖2 5 描述了這樣一種情況 當一個網(wǎng)絡(luò)設(shè)備a 要求訪問網(wǎng)絡(luò)設(shè)備b 所提供的 第二章8 0 2 1 x 協(xié)議介紹 8 0 2 1 xe a p t l s 部署應(yīng)用 服務(wù) 則系統(tǒng)a 的p a e 就成為客戶端 s u p p l i a n t 系統(tǒng)b 的p a e 為認證系統(tǒng) a u t h e n t i c a t o r 如果b 要求訪問a 所提供的服務(wù) 則b 的p a e 就成為客戶端 a 的 p a e 就成為認證系統(tǒng) 3 r 啊c g f y o r e d i i i 一 一 掃l ya 咖嘣c 咖r ii s e r v i c e sc n y e r e d 1 ab r i d g er e l a y i i t ya u t h e n t i c a t o r ii l t gb r i d g er e l a y 夕 i1 7 一卜 曲 出曲 ii 鬯t 6 枷啪 l l o n h 叫r rlli j l蛔粵p 雎f l i ili l lii li 一一 l 蘋二二且芊一型 一 圖2 5 系統(tǒng)的兩種工作模式 2 3 4i e e e8 0 2 l x 協(xié)議的工作機制 1 認證發(fā)起 認證的發(fā)起可以由用戶主動發(fā)起 也可以由認證系統(tǒng)發(fā)起 當認證系統(tǒng)探測到未 經(jīng)過認證的用戶使用網(wǎng)絡(luò) 就會主動發(fā)起認證 用戶端則可以通過客戶端軟件向認證 系統(tǒng)發(fā)送e a p o l s t a r t 報文發(fā)起認證 圖2 6i e e e8 0 2 1 x 協(xié)議的工作機制 1 2 8 0 2 i xe a p t l s 部署應(yīng)用 第二章8 0 2 1 x 協(xié)議介紹 1 由認證系統(tǒng)發(fā)起的認證 當認證系統(tǒng)檢測到有未經(jīng)認證的用戶使用網(wǎng)絡(luò)時 就會發(fā)起認證 在認證開始之 前 端口的狀態(tài)被強制為未認證狀態(tài) 如果客戶端的身份標識不可知 則認證系統(tǒng)會發(fā)送e a p r e q u e s t i d e n t i t y 報文 請求客戶端發(fā)送身份標識 這樣 就開始了典型的認證過程 j 客戶端在收到來自認證系統(tǒng)的e a p r e q u e s t 報文后 將發(fā)送e a p r e s p o n s e 報文 響應(yīng)認證系統(tǒng)的請求 認證系統(tǒng)支持定期的重新認證 可以隨時對一個端口發(fā)起重新認證的過程 如果 端口狀態(tài)為已認證狀態(tài) 則當認證系統(tǒng)發(fā)起重新認證時 該端口通過認證 那么狀態(tài) 保持不便 如果未通過認證 則端口的狀態(tài)改變?yōu)槲凑J證狀態(tài) 2 由客戶端發(fā)起認證 如果用戶要上網(wǎng) 則可以通過客戶端軟件主動發(fā)起認證 客戶端軟件會向認證系 統(tǒng)發(fā)送e a p o l s t a r t 報文主動發(fā)起認證 認證系統(tǒng)在收到客戶端發(fā)送的e a p o l s t a r t 報文后 會發(fā)送e a p r e q u e s v i d e n t i t y 報文響應(yīng)用戶請求 要求用戶發(fā)送身份標識 這樣就啟動了一個認證過程 i2 退出已認證態(tài) 有幾種方式可以造成認證系統(tǒng)把端口狀態(tài)從已認證狀態(tài)改變成未認證狀態(tài) 1 客戶端未通過認證服務(wù)器的認證 2 由于管理性的控制端口始終處于未認證狀態(tài) 而不管是否通過認證 3 與端口對應(yīng)的m a c 地址出現(xiàn)故障 管理性禁止或硬件故障 4 客戶端與認證系統(tǒng)之間的連接失敗 造成認證超時 5 重新認證超時 6 客戶端未響應(yīng)認證系統(tǒng)發(fā)起的認證請求 7 客戶端發(fā)送e a p o l l o g o f f 報文 主動下線 退出已認證狀態(tài)的直接結(jié)果就是導致用戶下線 如果用戶要繼續(xù)上網(wǎng)則要再發(fā)起 一個認證過程 為什么要專門提供一個e a p o l l o g o f f 機制 是處于如下安全的考慮 當一個用戶從一臺終端退出后 很可能其他用戶不通過發(fā)起一個新的登錄請求 1 3 第二章8 0 2 i x 協(xié)議介紹8 0 2 1xe a p t l s 部署應(yīng)用 就可以利用該設(shè)備訪問網(wǎng)絡(luò) 提供專門的退出機制 以確保用戶與認證系統(tǒng)專有的會 話進程被中止 可以防止用戶的訪問權(quán)限被他人盜用 通過發(fā)送e a p o l l o g o f f 報文 可以使認證系統(tǒng)將對應(yīng)的端口狀態(tài)改變?yōu)槲凑J證狀態(tài) 3 重新認證 根據(jù)時間 為了保證用戶和認證系統(tǒng)之間的鏈路處于激活狀態(tài) 而不因為用戶端設(shè)備發(fā)生故 障造成異常死機 從而影響對用戶計費的準確性 認證系統(tǒng)可以定期發(fā)起重新認證過 程 該過程對于用戶是透明的 也即用戶無需再次輸入用戶名 密碼 重新認證由認證系統(tǒng)發(fā)起 時間是從最近一次成功認證后算起 重新認證可以激 活或關(guān)閉 協(xié)議狀態(tài)參數(shù)r e a u t h e n a b l e d 控制是否定期進行重新認證 重新認證的時 間由參數(shù)r c a u t h p c r i o d 控制 默認值為3 6 0 0 秒 一個小時 而且默認重新認證是關(guān)閉的 重新認證的時間設(shè)定需要認真的規(guī)劃 認證系統(tǒng)對端口進入的m a c 地址的檢測 能力會影響到該時間的設(shè)定 如果對m a c 地址的檢測比較可靠 則重新認證時間可 以設(shè)長一些 4 認證報文丟失重傳 對于認證系統(tǒng)和客戶端之間通信的e a p 報文 如果發(fā)生丟失 由認證系統(tǒng)負責 進行報文的重傳 在設(shè)定重傳的時間時 考慮網(wǎng)絡(luò)的實際環(huán)境 通常會認為認證系統(tǒng) 和客戶端之間報文丟失的幾率比較低以及傳送延遲低 因此一般通過一個超時計數(shù)器 來設(shè)定 默認重傳時間為3 0 秒鐘 對于有些報文的丟失重傳比較特殊 如e a p o l s t a r 報文的丟失 由客戶端負責重 傳 而對于e a p f a i l u r e 和e a p s u c c e s s 報文 由于客戶端無法識別 認證系統(tǒng)不會 重傳 如果e a p f a i l u r e 或e a p s u c c e s s 報文發(fā)生丟失 則客戶端會在a u t h w h i l e 計 數(shù)器超時后 自動轉(zhuǎn)變?yōu)閏 o n n e c t i n g 狀態(tài) 由于對用戶身份合法性的認證最終由認證服務(wù)器執(zhí)行 認證系統(tǒng)和認證服務(wù)器之 間的報文丟失重傳也很重要 另外注意 對于用戶的認證 在執(zhí)行8 0 2 1 x 認證時 只有認證通過后 才有d h c p 發(fā)起 如果配置為d h c p 的自動獲取 和p 分配的過程 由于客戶終端配置了d h c p 自動獲取 則可能在未啟動8 0 2 1 x 客戶端之前 就發(fā)起了d h c p 的請求 而此時認 1 4 8 0 2 1 xe a p t l s 部署應(yīng)用 第二章8 0 2 1 x 協(xié)議介紹 證系統(tǒng)處于禁止通行狀態(tài) 這樣認證系統(tǒng)會丟掉初始化的d h c p