常用準(zhǔn)入認(rèn)證技術(shù)原理分析報(bào)告文案

1、 常用準(zhǔn)入認(rèn)證技術(shù)原理分析16 / 161 前言在數(shù)據(jù)網(wǎng)絡(luò)中，小型網(wǎng)絡(luò)如企業(yè)網(wǎng)、家用網(wǎng)等，追求的是網(wǎng)絡(luò)簡單、開放，所有人可以自由接入和使用；而在中型與大型網(wǎng)絡(luò)如城域網(wǎng)、政府網(wǎng)和電信數(shù)據(jù)網(wǎng)絡(luò)中，用戶關(guān)心的是網(wǎng)絡(luò)的可運(yùn)營和可管理，要管理每個(gè)用戶的接入、業(yè)務(wù)使用、流量等等。在可運(yùn)營、可管理網(wǎng)絡(luò)中，引入了針對用戶管理的AAA技術(shù)，包括認(rèn)證、授權(quán)和計(jì)費(fèi)三個(gè)技術(shù)：Ø 認(rèn)證（Authentication）：在用戶開始使用網(wǎng)絡(luò)時(shí)對其身份進(jìn)行的確認(rèn)動(dòng)作Ø 授權(quán)（Authorization）：授權(quán)某用戶以特定的方式與某網(wǎng)絡(luò)系統(tǒng)通信Ø 計(jì)費(fèi)（Accounting）：記錄并提供關(guān)于經(jīng)濟(jì)活

2、動(dòng)的確切清單或數(shù)據(jù)認(rèn)證是識(shí)別用戶身份的過程，而授權(quán)是根據(jù)認(rèn)證識(shí)別后的用戶情況授予對應(yīng)的網(wǎng)絡(luò)使用權(quán)限（QoS、帶寬限制、訪問權(quán)限、用戶策略），而計(jì)費(fèi)也是根據(jù)認(rèn)證后的用戶身份采用對應(yīng)的計(jì)費(fèi)策略并記錄、提供計(jì)費(fèi)信息（時(shí)長、流量、位置等等），三個(gè)技術(shù)緊密聯(lián)系但又相互獨(dú)立的。認(rèn)證技術(shù)是用戶管理最基本的技術(shù)。由于本次文檔重點(diǎn)是普教行業(yè)的準(zhǔn)入認(rèn)證分析，不對計(jì)費(fèi)系統(tǒng)進(jìn)行贅述。2 為什么使用認(rèn)證2.1 用戶的困惑在普教城域網(wǎng)中，服務(wù)提供商（教育局）關(guān)心的是網(wǎng)絡(luò)可運(yùn)營和可管理，要管理每個(gè)用戶的接入、業(yè)務(wù)使用、流量等等。而數(shù)據(jù)網(wǎng)絡(luò)量使用的是以太網(wǎng)交換機(jī)、路由器等設(shè)備，遵循的是典型的數(shù)據(jù)網(wǎng)絡(luò)理念，追求的是網(wǎng)絡(luò)簡單、開

3、放，自由接入和使用。怎么才能夠在數(shù)據(jù)網(wǎng)絡(luò)中針對用戶進(jìn)行運(yùn)營、管理呢？最基本的技術(shù)就是通過認(rèn)證識(shí)別用戶身份。2.2 成熟的認(rèn)證技術(shù)目前市面上最為普遍主流認(rèn)證技術(shù)有三種：PPPoE認(rèn)證、WEB認(rèn)證和802.1X認(rèn)證，這三種認(rèn)證從標(biāo)準(zhǔn)狀態(tài)、商用情況看，技術(shù)上都已經(jīng)成熟。3 認(rèn)證方式簡介當(dāng)前最為普遍主流認(rèn)證技術(shù)有三種：PPPoE認(rèn)證、WEB認(rèn)證和802.1X認(rèn)證。嚴(yán)格意義上講，這三種認(rèn)證技術(shù)并不是真正的認(rèn)證方式，每種認(rèn)證技術(shù)都支持兩種以上的認(rèn)證方式，具體認(rèn)證技術(shù)和認(rèn)證方式關(guān)系如下表所示：認(rèn)證技術(shù)認(rèn)證方式PPPoE認(rèn)證PAP、CHAP、EAPWEB認(rèn)證PAP、CHAP802.1X認(rèn)證EAPØ

4、PAP認(rèn)證：密碼認(rèn)證協(xié)議，客戶端直接發(fā)送包含用戶名/口令的認(rèn)證請求，服務(wù)器端處理并作回應(yīng)。Ø CHAP認(rèn)證：挑戰(zhàn)握手協(xié)議，先由服務(wù)器端給客戶端發(fā)送一個(gè)隨機(jī)碼challenge，客戶端根據(jù)challenge，對自己掌握的口令、challenge、會(huì)話ID進(jìn)行單向散例,即md5(password1,challenge,ppp_id)，然后把這個(gè)結(jié)果發(fā)送給服務(wù)器端。服務(wù)器端從數(shù)據(jù)庫中取出庫存口令 password2,進(jìn)行同樣的算法，即md5(password2,challenge,ppp_id),最后，比較加密的結(jié)果是否一樣；如一樣,則認(rèn)證通過。Ø EAP認(rèn)證：可擴(kuò)展的認(rèn)證協(xié)議，

5、EAP可以增加對許多身份驗(yàn)證方案的支持，其中包括令牌卡、一次性密碼、使用智能卡的公鑰身份驗(yàn)證、證書與其他身份驗(yàn)證。最安全的認(rèn)證方法就是和智能卡一起使用的“可擴(kuò)展身份驗(yàn)證協(xié)議傳輸層安全協(xié)議”，即EAP-TLS認(rèn)證。4 認(rèn)證技術(shù)原理分析4.1 WEB接入認(rèn)證原理4.1.1認(rèn)證系統(tǒng)架構(gòu)接入服務(wù)器對來自STA的 請求重定向到POTRAL服務(wù)器中，利用PORTAL頁面對用戶進(jìn)行認(rèn)證。認(rèn)證系統(tǒng)架構(gòu)圖如下：基于WEB的認(rèn)證系統(tǒng)架構(gòu)基于WEB的認(rèn)證系統(tǒng)功能實(shí)現(xiàn)協(xié)議棧如下：基于WEB的認(rèn)證系統(tǒng)功能實(shí)體協(xié)議棧4.1.2 WEB接入認(rèn)證流程用戶在WEB認(rèn)證之前，必須先通過DHCP、靜態(tài)配置等獲得IP地址。用戶認(rèn)真界

6、面提交了用戶名和密碼之后，接入服務(wù)器與WEB認(rèn)證服務(wù)器協(xié)調(diào)工作，對用戶進(jìn)行認(rèn)證，其步驟如下：VLAN用戶接入流程（WEB認(rèn)證）1-4：用戶通過DHCP協(xié)議獲取地址的過程（靜態(tài)用戶手工配置地址即可）；5：用戶訪問WEB認(rèn)證服務(wù)器的認(rèn)證頁面，并在其中輸入用戶名、密碼，點(diǎn)擊登陸按鈕；6：WEB認(rèn)證服務(wù)器將用戶的信息通過部協(xié)議，通知接入服務(wù)器；7：接入服務(wù)器到相應(yīng)的AAA服務(wù)器對該用戶進(jìn)行認(rèn)證；8：AAA服務(wù)器返回認(rèn)證結(jié)果給接入服務(wù)器；9：入服務(wù)器將認(rèn)證結(jié)果通知WEB認(rèn)證服務(wù)器；10：WEB認(rèn)證服務(wù)器通過 頁面將認(rèn)證結(jié)果通知用戶；11：如果認(rèn)證成功用戶即可正常訪問互聯(lián)網(wǎng)資源。4.1.3 三層用戶的WE

7、B認(rèn)證用戶沒有與接入服務(wù)器二層相連，中間存在路由器等三層設(shè)備，這樣用戶到接入服務(wù)器的報(bào)文中只有用戶的IP地址沒有MAC地址信息，這種類型的用戶稱為三層認(rèn)證用戶。與二層認(rèn)證用戶不同的是三層認(rèn)證用戶的MAC地址接入服務(wù)器獲取不到，因而不能進(jìn)行MAC、IP的綁定檢查安全性不高容易仿冒；ARP請求不能穿透路由器因而不能對用戶進(jìn)行ARP探測確定是否在線。對此，接入服務(wù)器要求三層認(rèn)證用戶必須進(jìn)行WEB認(rèn)證，不能通過綁定認(rèn)證等方式上線。另外，接入服務(wù)器支持當(dāng)網(wǎng)絡(luò)發(fā)生問題用戶原先的線路不同，但有另一條線路可以訪問接入服務(wù)器的情況，此時(shí)接入服務(wù)器可以通過新的IP包找到到達(dá)用戶的新路徑更新相關(guān)的信息。IP報(bào)文觸發(fā)

8、三層用戶上線的流程如下圖所示：1：用戶的IP報(bào)文到達(dá)接入服務(wù)器，接入服務(wù)器為其分配資源建立預(yù)連接；2：用戶的 請求被強(qiáng)制到WEB認(rèn)證服務(wù)器的認(rèn)證頁面，并在其中輸入用戶名、密碼，點(diǎn)擊登陸按鈕；3：WEB認(rèn)證服務(wù)器將用戶的信息通過部協(xié)議，通知接入服務(wù)器；4：接入服務(wù)器到相應(yīng)的AAA服務(wù)器對該用戶進(jìn)行認(rèn)證；5：AAA服務(wù)器返回認(rèn)證結(jié)果給接入服務(wù)器；6：入服務(wù)器將認(rèn)證結(jié)果通知WEB認(rèn)證服務(wù)器；7：WEB認(rèn)證服務(wù)器通過 頁面將認(rèn)證結(jié)果通知用戶；8：如果認(rèn)證成功用戶即可正常訪問互聯(lián)網(wǎng)資源。4.1.4 WEB認(rèn)證用戶下線流程WEB認(rèn)證用戶下線流程包括用戶主動(dòng)下線和異常下線兩種情況。用戶主動(dòng)下線流程如下圖所示

9、。1：當(dāng)用戶需要下線時(shí)，可以點(diǎn)擊認(rèn)證結(jié)果頁面上的下線機(jī)制，向Portal服務(wù)器發(fā)起一個(gè)下線請求；2：Portal服務(wù)器向接入服務(wù)器發(fā)起下線請求；3：接入服務(wù)器返回下線結(jié)果給Portal服務(wù)器；4：Portal服務(wù)器根據(jù)下線結(jié)果，推送含有對應(yīng)的信息的頁面給用戶；（不含計(jì)費(fèi)系統(tǒng)的WEB認(rèn)證下線流程只有上面4步，下面是計(jì)費(fèi)結(jié)束的介紹）5：當(dāng)接入服務(wù)器收到下線請求時(shí)，向RADIUS服務(wù)器發(fā)計(jì)費(fèi)結(jié)束報(bào)文；6：RADIUS服務(wù)器回應(yīng)接入服務(wù)器的計(jì)費(fèi)結(jié)束報(bào)文。異常下線由包含以下兩種情況：、接入服務(wù)器偵測到用戶下線1：接入服務(wù)器檢測到用戶下線，向WEB服務(wù)器發(fā)出下線請求；2：WEB服務(wù)器回應(yīng)下線成功；3：當(dāng)接

10、入服務(wù)器收到下線請求時(shí)，向AAA服務(wù)器發(fā)計(jì)費(fèi)結(jié)束報(bào)文；4：AAA服務(wù)器回應(yīng)接入服務(wù)器的計(jì)費(fèi)結(jié)束報(bào)文。、WEB認(rèn)證服務(wù)器偵測到用戶下線1：WEB認(rèn)證服務(wù)器檢測到用戶下線，向接入服務(wù)器發(fā)出下線請求；2：接入服務(wù)器回應(yīng)下線成功；3：當(dāng)接入服務(wù)器收到下線請求時(shí)，向AAA服務(wù)器發(fā)計(jì)費(fèi)結(jié)束報(bào)文；4：AAA服務(wù)器回應(yīng)接入服務(wù)器的計(jì)費(fèi)結(jié)束報(bào)文。4.2 802.1X接入認(rèn)證原理4.2.1 認(rèn)證系統(tǒng)架構(gòu)基于802.1x的認(rèn)證系統(tǒng)架構(gòu)見下圖。在此種架構(gòu)下，系統(tǒng)實(shí)現(xiàn)IEEE 802.1x中定義的認(rèn)證請求者、認(rèn)證點(diǎn)和認(rèn)證服務(wù)器的三元結(jié)構(gòu)。認(rèn)證請求者對應(yīng)客戶終端，認(rèn)證點(diǎn)可以對應(yīng)接入服務(wù)器，認(rèn)證服務(wù)器對應(yīng)AAA服務(wù)器?；?/p>

11、802.1x的認(rèn)證系統(tǒng)架構(gòu)基于802.1x的認(rèn)證系統(tǒng)利用EAP協(xié)議的擴(kuò)展能力可以選用不同的認(rèn)證算法?；?02.1x的認(rèn)證系統(tǒng)功能實(shí)體透傳方式協(xié)議棧4.2.1 802.1X接入認(rèn)證流程基于802.1x的認(rèn)證系統(tǒng)利用EAP協(xié)議的擴(kuò)展能力可以選用不同的認(rèn)證算法。以EAP-MD5為例：802.1X（EAP-MD5）認(rèn)證方式交互圖1：在用戶和接入服務(wù)器之間建立好物理連接后，用戶客戶端向接入服務(wù)器發(fā)送一個(gè)EAPoL-Start報(bào)文（如果用戶是動(dòng)態(tài)分配地址的，可能是DHCP請求報(bào)文；如果用戶是手工配置地址的，可能是ARP請求報(bào)文），開始802.1x接入的開始；2：接入服務(wù)器向客戶端發(fā)送EAP-Reques

12、t/Identity報(bào)文，要求客戶端將用戶名送上來；3：客戶端回應(yīng)一個(gè)EAP-Response/Identity給接入服務(wù)器的請求，其中包括用戶名；4：接入服務(wù)器以EAP Over RADIUS的報(bào)文格式向RADIUS認(rèn)證服務(wù)器發(fā)送Access-Request報(bào)文，里面含有客戶端發(fā)給接入服務(wù)器的EAP-Response/Identity報(bào)文，將用戶名提交RADIUS認(rèn)證服務(wù)器；5：接入服務(wù)器產(chǎn)生一個(gè)128 bit的Challenge；6：RADIUS認(rèn)證服務(wù)器回應(yīng)接入服務(wù)器一個(gè)Access-Challenge報(bào)文，里面含有EAP-Request/MD5-Challenge報(bào)文，送給接入服務(wù)器用

13、戶對應(yīng)的Challenge；7：接入服務(wù)器通過EAP-Request/MD5-Challenge發(fā)送給認(rèn)證客戶端,送給用戶Challenge；8：客戶端收到EAP-Request/MD5-Challenge報(bào)文后，將密碼和Challenge做MD5算法后的Challenge-Password，在EAP-Response/MD5-Challenge回應(yīng)中把它發(fā)送給接入服務(wù)器；9：接入服務(wù)器將Challenge-Password通過Access-Request報(bào)文送到RADIUS用戶認(rèn)證服務(wù)器，由RADIUS用戶認(rèn)證服務(wù)器進(jìn)行認(rèn)證；10：RADIUS用戶認(rèn)證服務(wù)器根據(jù)用戶信息判斷用戶是否合法，然后

14、回應(yīng)認(rèn)證成功/失敗報(bào)文到接入服務(wù)器。如果成功，攜帶協(xié)商參數(shù)，以與用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán)；11：接入服務(wù)器根據(jù)認(rèn)證結(jié)果，給用戶回應(yīng)EAP-Success/EAP-Failure，通知用戶認(rèn)證結(jié)果。如果認(rèn)證失敗，則流程到此結(jié)束。如果成功，可以進(jìn)行后續(xù)的授權(quán)流程。4.2.2 用戶下線流程用戶下線流程包括用戶主動(dòng)下線和異常下線兩類情況。用戶主動(dòng)下線流程圖1：客戶端主動(dòng)向認(rèn)證點(diǎn)發(fā)送EAP-Logoff消息；2：認(rèn)證點(diǎn)向認(rèn)證服務(wù)器發(fā)送計(jì)費(fèi)停止請求的報(bào)文；3：認(rèn)證服務(wù)器向認(rèn)證點(diǎn)回計(jì)費(fèi)停止請求報(bào)文的回應(yīng)。異常下線流程圖1：認(rèn)證點(diǎn)檢測發(fā)現(xiàn)用戶已經(jīng)不在線；2：認(rèn)證點(diǎn)向認(rèn)證服務(wù)器發(fā)送計(jì)費(fèi)停止請求的報(bào)文；3：認(rèn)

15、證服務(wù)器向認(rèn)證點(diǎn)回計(jì)費(fèi)停止請求報(bào)文的回應(yīng)。4.3 二維碼認(rèn)證原理4.3.1 認(rèn)證流程圖這里的二維碼認(rèn)證主要是介紹銳捷網(wǎng)絡(luò)BYOD無線接入認(rèn)證。該種方式是指訪客的Phone/Pad/PC連上SSID，訪問網(wǎng)址，彈出二維碼圖案，已認(rèn)證上線普員工（接待者）的手機(jī)使用二維碼掃描工具，幫忙訪客掃碼上網(wǎng)。1：訪客關(guān)聯(lián)到二維碼認(rèn)證所在的SSID；2：訪客的終端打開瀏覽器訪問網(wǎng)絡(luò)，AC攔截訪問的URL，并自動(dòng)重定向到二維碼認(rèn)證的portal頁面，該步驟中存在以下幾種情況：Ø 部分終端會(huì)35秒自動(dòng)打開瀏覽器顯示二維碼頁面，進(jìn)入第3)步。如果不會(huì)自動(dòng)彈出，則訪客需要手動(dòng)打開終端的瀏覽器訪問任意一個(gè)外網(wǎng)地

16、址（例如.baidu.），將會(huì)自動(dòng)跳轉(zhuǎn)到二維碼頁面。Ø 如果您配置的二維碼認(rèn)證的SSID所在VLAN無法解析DNS，那么必須手動(dòng)打開終端的瀏覽器訪問一個(gè)IP地址或可訪問的域名URL，將會(huì)跳轉(zhuǎn)到二維碼頁面。3：訪客將二維碼圖案給部員工進(jìn)行掃描；4：部員工使用掃描軟件對二維碼圖案進(jìn)行掃描，獲取到該二維碼圖案中所含的URL信息，取出UserIP、MAC地址、NASIP到SMP中去讀取訪客的流水號(hào)(目的是為了創(chuàng)建一個(gè)訪客賬號(hào)，會(huì)以流水號(hào)進(jìn)行命名，例如掃描者_(dá)訪客_1, 掃描者_(dá)訪客_2, 掃描者_(dá)訪客_3，以此類推；5：SMP向AC發(fā)起portal認(rèn)證流程：由于二維碼認(rèn)證不需要密碼，但是對于

17、AC的radius認(rèn)證又需要密碼，因此這里的密碼后臺(tái)固定了。SMP使用獲取到的訪客流水號(hào)作為用戶名，以與固定的密碼(ruijie_qrcode_)，把用戶名和密碼通過portal協(xié)議發(fā)給AC，AC以二代Web認(rèn)證的方式把用戶名和密碼封裝到Radius報(bào)文中進(jìn)行認(rèn)證，提交Radius報(bào)文給SMP；6：認(rèn)證成功后，SMP分別向部員工和訪客反饋認(rèn)證成功信息:；7：打開訪客上網(wǎng)通道，訪客上線成功。在上面的整個(gè)認(rèn)證過程中，管理員無須為來訪者創(chuàng)建用戶名和密碼，只需要接待訪客的部員工為來訪者掃描二維碼就會(huì)自動(dòng)創(chuàng)建一個(gè)包含有接待者信息的用戶名，可以追溯到該訪客是由誰開戶并接待的，從而在減輕管理員工作的情況下，

18、安全性也有所保障。目前SMP支持已經(jīng)通過1x認(rèn)證成功的用戶、Web認(rèn)證成功的用戶、MAC地址認(rèn)證成功的用戶為訪客掃描二維碼，而訪客是不允許給其他訪客掃描二維碼的，以確保網(wǎng)絡(luò)的安全邊界。（注意：接待者員工必須在SMP是在線的，且必須有在線IP地址，否則無法掃描。）4.3.2 URL參數(shù)說明Ø wlanuserip：當(dāng)前終端獲取的IP地址Ø wlanacname：AC的名稱Ø ssid：所在的SSIDØ nasip：NAS(AC)的IP地址Ø mac：終端的MAC地址4.4 二維碼名片認(rèn)證原理4.4.1 認(rèn)證流程圖二維碼認(rèn)證的方式可以有效的解決方案用戶上網(wǎng)權(quán)限問題，但是頻繁的員工接待掃描操作在一定程度上造成了用戶使用體驗(yàn)差的效果。本節(jié)介紹SMP的另外一種二維碼認(rèn)證方式-二維碼名片認(rèn)證：由管理員創(chuàng)建一個(gè)對公賬戶，在SMP的自助服務(wù)平臺(tái)上生成接待二維碼，將掃描的操作轉(zhuǎn)移給訪客，減小部員工的接待壓力。二維碼名片認(rèn)證流程圖1：訪客關(guān)聯(lián)到二維碼認(rèn)證所在的SSID；2：訪客的終端打開瀏覽器訪問網(wǎng)絡(luò)，AC攔截訪問的URL，并自動(dòng)重定向到二維碼名片認(rèn)證的portal頁面，該步驟中存在以下幾種情況：Ø 部分終端會(huì)35秒自動(dòng)打開瀏覽器顯示二維碼頁面，進(jìn)入第3)步。如果不會(huì)自動(dòng)彈出，則訪客需要手動(dòng)打開終端的瀏覽器訪問任意一個(gè)外網(wǎng)地址（例如.b