认证技术白皮书.docx
- 文档编号:17853650
- 上传时间:2023-08-04
- 格式:DOCX
- 页数:28
- 大小:530.02KB
认证技术白皮书.docx
《认证技术白皮书.docx》由会员分享,可在线阅读,更多相关《认证技术白皮书.docx(28页珍藏版)》请在冰点文库上搜索。
认证技术白皮书
认证技术白皮书
目录
1前言2
2为什么使用认证3
3认证相关技术3
3.1PPPoE接入认证原理4
3.2WEB接入认证原理8
3.3802.1X接入认证原理14
3.4绑定认证原理18
3.5各种认证方式比较19
4华为认证方案特点20
4.1华为公司认证解决方案特点20
5华为认证技术解决方案22
5.1PPPoE接入认证典型组网方式23
5.2WEB接入认证典型组网方式24
5.3802.1X接入认证典型组网方式27
5.4绑定认证典型组网方式29
5.5多种认证自由组合29
1
前言
在数据网络中,包括企业网、INTERNET网络等等,追求的是网络简单、开放,所有人可以自由接入和使用。
而在电信数据网络中,运营商(比如网络服务提供商NSP、业务提供商ISP等)关心的是网络可运营和可管理,要管理每个用户的接入、业务使用、费用等等。
在可运营、可管理网络中,引入了针对用户管理的AAA技术,包括认证(Authentication)、授权(Authorization)、计费(Accounting)三个技术:
认证,是在用户开始使用系统时对其身份进行的确认动作。
授权,是在网络安全中,授权某用户以特定的方式与某网络系统通信。
计费,是记录并提供关于经济活动的确切清单或数据。
认证是识别用户身份的过程,而授权是根据认证识别后的用户情况授予对应的网络使用权限(QoS、带宽限制、访问权限、用户策略),而计费也是根据认证后的用户身份采用对应的计费策略并记录、提供计费信息(时长、流量、位置等等),三个技术紧密联系但又相互独立的。
认证技术是用户管理最基本的技术。
目前网络中,有许多设备不支持认证,有许多设备只支持某一种认证,同时认证技术种类繁多、认证要求各不相同,造成网络中认证方案的混淆和混乱。
华为公司经过多年的努力,通过在全球运营商网络中大量的应用,对认证技术进行合作分析、商用、评估等,输出了完整的、成熟的认证技术和方案,有效地提供了认证技术选择、认证方案实施,很好地促进了宽带网络的优化和应用。
本文将从如下几个方面介绍认证技术:
⏹为什么使用认证
⏹认证相关技术
⏹华为认证技术解决方案及特点
⏹华为认证方案相关设备
2为什么使用认证
●电信数据网的困惑
在电信数据网络中,服务提供商(比如网络服务提供商NSP、业务提供商SP等)关心的是网络可运营和可管理,要管理每个用户的接入、业务使用、费用等等。
而电信数据网络中大量使用的是广泛应用在企业网、INTERNET网络中的以太网交换机、路由器等设备,遵循的是典型的数据网络理念,追求的是网络简单、开放,自由接入和使用。
怎么才能够在电信数据网络中针对用户进行运营、管理呢?
最基本的技术就是通过认证识别用户身份。
●成熟的认证技术
当前最为普遍主流认证技术有三种:
PPPoE/PPPoEoA/PPPoA认证、WEB认证和802.1X认证,这三种认证从标准状态、商用情况看,技术上都已经成熟。
3认证相关技术
当前最为普遍主流认证技术有三种:
PPPoE/PPPoEoA/PPPoA认证、WEB认证和802.1X认证。
严格意义上讲,这三种认证技术并不是真正的认证方式,每种认证技术都支持两种以上的认证方式,具体认证技术和认证方式关系如下表所示:
表1认证技术和认证方式关系表
认证技术
认证方式
PPPoE认证
PAP、CHAP、EAP
WEB认证
PAP、CHAP
802.1X认证
EAP
其中,EAP定义了一个认证构架,包含了很多种认证方式:
图2EAP认证方式汇总
同时,针对特殊应用,还有绑定认证和快速认证等技术。
3.1PPPoE接入认证原理
PPP是传统的认证方式之一,PPPoE是利用以太网发送PPP包的传输方法和支持在同一以太网上建立多个PPP连接的接入技术。
PPPoE结合了以太网和PPP连接的综合属性。
PPP协议是一种点到点的链路层协议,它提供了点到点的一种封装、传递数据的一种方法。
PPP协议一般包括三个协商阶段:
LCP(链路控制协议)阶段,认证阶段(比如CHAP/PAP),NCP(网络层控制协议,比如IPCP)阶段。
拨号后,用户计算机和局方的接入服务器在LCP阶段协商底层链路参数,然后在认证阶段进行用户计算机将用户名和密码发送给接入服务器认证,接入服务器可以进行本地认证,可以通过RADIUS协议将用户名和密码发送给AAA服务器进行认证。
认证通过后,在NCP(IPCP)协商阶段,接入服务器给用户计算机分配网络层参数如IP地址等。
经过PPP的三个协商阶段后,用户就可以发送和接受网络报文。
用户收发的所有网络层报文都封装在PPP报文中。
PPP协议的一个重要的功能是提供了身份验证功能。
以太网是一种广播网络,其缺点是通讯双方无法相互验证对方身份,通讯是不安全的。
PPP协议提供了通讯双方身份验证的功能,但是PPP协议是一种点对点的协议,协议中没有提供地址信息。
如果PPP应用在以太网上,必须使用PPPoE再进行一次封装,PPPoE协议提供了在以太网广播链路上进行点对点通讯的能力。
3.1.1认证系统架构
对于基于PPPoE的认证系统,客户终端上的PPPoE客户端到PPPoE服务器之间为二层网络,PPPoE服务器负责终结PPPoE客户端发起的PPPoE协议,并利用PPP协议中支持的认证方法对客户终端的PPP连接请求进行认证。
基于PPPoE的认证系统架构见下图:
图3基于PPPoE的认证系统架构
基于PPPoE的认证系统功能实体协议栈见下图。
在PPP的LCP协商阶段,进行认证。
图4基于PPPoE的认证系统功能实体协议栈
3.1.2接入流程
以PPP-CHAP为例,PPPoE用户的接入流程如下:
图4PPPoE认证流程
1)PPPOE客户端向PPPOE服务器设备发送一个PADI报文,开始PPPoE接入。
2)PPPOE服务器向客户端发送PADO报文。
3)客户端根据回应,发起PADR请求给PPPOE服务器。
4)PPPOE服务器产生一个sessionid,通过PADS发给客户端。
5)客户端和PPPOE服务器之间进行PPP的LCP协商,建立链路层通信。
同时,协商使用CHAP认证方式。
6)PPPOE服务器通过Challenge报文发送给认证客户端,提供一个128bit的Challenge。
7)客户端收到Challenge报文后,将密码和Challenge做MD5算法后的,在Response回应报文中把它发送给PPPOE服务器。
8)PPPOE服务器将Challenge、Challenge-Password和用户名一起送到RADIUS用户认证服务器,由RADIUS用户认证服务器进行认证。
9)RADIUS用户认证服务器根据用户信息判断用户是否合法,然后回应认证成功/失败报文到PPPOE服务器。
如果成功,携带协商参数,以及用户的相关业务属性给用户授权。
如果认证失败,则流程到此结束。
10)PPPOE服务器将认证结果返回给客户端。
11)用户进行NCP(如IPCP)协商,通过PPPOE服务器获取到规划的IP地址等参数。
12)认证如果成功,PPPOE服务器发起计费开始请求给RADIUS用户认证服务器。
13)RADIUS用户认证服务器回应计费开始请求报文。
用户此时通过认证,并且获得了合法的权限,可以正常开展网络业务。
当用户希望终止网络业务的时候,同样也可以通过PPPoE断开网络连接,此时会按照12)、13)中的格式发送计费终止报文。
详细情况,请参见下节。
3.1.3下线流程
PPPoE用户下线流程包括用户主动下线和异常下线两种情况。
用户主动下线流程如下图所示。
图5用户主动下线流程
1)用户通过PPPoE客户端,主动向PPPoE服务器发送Terminate-Request;
2)PPPoE服务器向PPPoE客户端返回Terminate-Ack报文;
3)PPPoE服务器向AAA服务器发送计费停止请求的报文;
4)AAA服务器向认证点回计费停止请求报文的回应。
异常下线流程如下图所示。
图6异常下线流程
1)PPPoE服务器检测到用户已经不在线;
2)PPPoE服务器向AAA服务器发送计费停止请求的报文;
3)AAA服务器向认证点回计费停止请求报文的回应。
3.2WEB接入认证原理
3.2.1认证系统架构
基于WEB的认证系统架构见下图。
接入服务器对来自STA的HTTP请求重定向到POTRAL服务器中,利用PORTAL页面对用户进行认证。
图7基于WEB的认证系统架构
基于WEB的认证系统功能实体协议栈见下图。
图8基于WEB的认证系统功能实体协议栈
3.2.2WEB接入认证流程
用户在WEB认证之前,必须先通过DHCP、静态配置等获得IP地址。
用户如果被配置成强制WEB认证,则用户只需要输入自己喜欢的网页即可,系统自动下载认证网页。
用户提交了用户名和密码之后,接入服务器与WEB认证服务器协调工作,对用户进行认证。
下面以普通动态用户为例,具体步骤如下:
图9VLAN用户接入流程(WEB认证)
(1)-(4)为动态用户通过DHCP协议获取地址的过程(静态用户手工配置地址即可。
);
(5)用户访问WEB认证服务器的认证页面,并在其中输入用户名、密码,点击登陆按钮;
(6)WEB认证服务器将用户的信息通过内部协议,通知接入服务器;
(7)接入服务器到相应的AAA服务器对该用户进行认证;
(8)AAA服务器返回认证结果给接入服务器;
(9)接入服务器将认证结果通知WEB认证服务器;
(10)WEB认证服务器通过HTTP页面将认证结果通知用户;
(11)如果认证成功用户即可正常访问网络资源。
3.2.3三层用户的WEB认证
用户没有与接入服务器2层相连,中间存在路由器等3层设备,这样用户到接入服务器的报文中只有用户的IP地址没有MAC地址信息,这种类型的用户称为3层认证用户。
与2层认证用户不同的是3层认证用户的MAC地址接入服务器获取不到,因而不能进行MAC、IP的绑定检查安全性不高容易仿冒;ARP请求不能穿透路由器因而不能对用户进行ARP探测确定是否在线。
对此,接入服务器要求3层认证用户必须进行WEB认证,不能通过绑定认证等方式上线。
另外,接入服务器支持当网络发生问题用户原先的线路不同,但有另一条线路可以访问接入服务器的情况,此时接入服务器可以通过新的IP包找到到达用户的新路径更新相关的信息。
IP报文触发3层用户上线的流程如下图所示:
图10IP报文触发3层认证用户上线流程
(1)用户的IP报文到达接入服务器,接入服务器为其分配资源建立预连接;
(2)用户的HTTP请求被强制到(或用户主动访问)WEB认证服务器的认证页面,并在其中输入用户名、密码,点击登陆按钮;
(3)WEB认证服务器将用户的信息通过内部协议,通知接入服务器;
(4)接入服务器到相应的AAA服务器对该用户进行认证;
(5)AAA服务器返回认证结果给接入服务器;
(6)接入服务器将认证结果通知WEB认证服务器;
(7)WEB认证服务器通过HTTP页面将认证结果通知用户;
(8)如果认证成功用户即可正常访问网络资源。
3.2.4WEB认证用户下线流程
WEB认证用户下线流程包括用户主动下线和异常下线两种情况。
用户主动下线流程如下图所示。
图11用户正常下线流程
1)当用户需要下线时,可以点击认证结果页面上的下线机制,向Portal服务器发起一个下线请求。
2)Portal服务器向接入服务器发起下线请求。
3)接入服务器返回下线结果给Portal服务器。
4)Portal服务器根据下线结果,推送含有对应的信息的页面给用户。
5)当接入服务器收到下线请求时,向RADIUS服务器发计费结束报文。
6)RADIUS服务器回应接入服务器的计费结束报文。
异常下线包含两种情况:
接入服务器侦测到用户下线
s
图12接入服务器检测到用户异常下线流程
1)接入服务器检测到用户下线,向Portal服务器发出下线请求。
2)Portal服务器回应下线成功。
3)当接入服务器收到下线请求时,向RADIUS用户认证服务器发计费结束报文。
4)RADIUS用户认证服务器回应接入服务器的计费结束报文。
Portal服务器侦测到用户下线
图13Portal服务器检测到用户异常下线流程
1)Portal服务器侦测到用户下线,向接入服务器发出下线请求。
2)接入服务器回应下线成功。
3)当接入服务器收到下线请求时,向RADIUS用户认证服务器发计费结束报文。
4)RADIUS用户认证服务器回应接入服务器的计费结束报文。
3.3802.1X接入认证原理
3.3.1认证系统架构
基于802.1x的认证系统架构见下图。
在此种架构下,系统实现IEEE802.1x中定义的认证请求者、认证点和认证服务器的三元结构。
认证请求者对应客户终端,认证点可以对应接入服务器,认证服务器对应AAA服务器。
基于802.1x的认证系统利用EAP协议的扩展能力可以选用不同的认证算法。
图14基于802.1x的认证系统架构
基于802.1x的EAP认证系统各实体协议栈见下图。
图15基于802.1x的认证系统功能实体透传方式协议栈
3.3.2802.1X接入认证流程
基于802.1x的认证系统利用EAP协议的扩展能力可以选用不同的认证算法。
以EAP-MD5为例:
图16EAP-MD5认证方式交互图
流程描述如下:
1.在用户和接入服务器之间建立好物理连接后,用户客户端向接入服务器发送一个EAPoL-Start报文(如果用户是动态分配地址的,可能是DHCP请求报文;如果用户是手工配置地址的,可能是ARP请求报文),开始802.1x接入的开始。
2.接入服务器向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来。
3.客户端回应一个EAP-Response/Identity给接入服务器的请求,其中包括用户名。
4.接入服务器以EAPOverRADIUS的报文格式向RADIUS认证服务器发送Access-Request报文,里面含有客户端发给接入服务器的EAP-Response/Identity报文,将用户名提交RADIUS认证服务器。
5.接入服务器产生一个128bit的Challenge。
6.RADIUS认证服务器回应接入服务器一个Access-Challenge报文,里面含有EAP-Request/MD5-Challenge报文,送给接入服务器用户对应的Challenge。
7.接入服务器通过EAP-Request/MD5-Challenge发送给认证客户端,送给用户Challenge。
8.客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenge-Password,在EAP-Response/MD5-Challenge回应中把它发送给接入服务器。
9.接入服务器将Challenge-Password通过Access-Request报文送到RADIUS用户认证服务器,由RADIUS用户认证服务器进行认证。
10.RADIUS用户认证服务器根据用户信息判断用户是否合法,然后回应认证成功/失败报文到接入服务器。
如果成功,携带协商参数,以及用户的相关业务属性给用户授权。
11.接入服务器根据认证结果,给用户回应EAP-Success/EAP-Failure,通知用户认证结果。
如果认证失败,则流程到此结束。
如果成功,可以进行后续的授权、计费等流程。
3.3.3用户下线流程
用户下线流程包括用户主动下线和异常下线两类情况。
用户主动下线流程如下图所示。
图17用户主动下线流程
1)客户端主动向认证点发送EAP-Logoff消息;
2)认证点向认证服务器发送计费停止请求的报文;
3)认证服务器向认证点回计费停止请求报文的回应。
异常下线流程如下图所示:
图18认证点检测用户下线流程
1)认证点检测发现用户已经不在线;
2)认证点向认证服务器发送计费停止请求的报文;
3)认证服务器向认证点回计费停止请求报文的回应。
3.4绑定认证原理
所谓绑定认证就是使用用户连接的物理信息进行认证。
系统自动根据用户所在的端口、VLAN等物理信息到对应的AAA服务器进行认证,用户无需手工认证。
3.5各种认证方式比较
表1各种认证方式比较表
认证方式
PPPoE认证
WEB认证
802.1x认证
接入控制粒度
PPP连接
VLAN用户、物理端口
逻辑端口
客户端支持
商用客户端
WinXP集成
标准浏览器
厂商私有客户端
WinXP有限支持
组播支持
组播报文可以不通过PPPoE封装
支持
支持
封装开销
PPP封装
大报文分片
以太网封装
以太网封装
IP地址分配方式
IPCP
DHCP/静态
DHCP/静态(扩展)
IP地址分配流程
先认证后分配IP
先分配IP后认证
二次地址分配
认证后DHCP分配地址
额外的WLAN支持
无
无
重认证机制
密钥传送
EAP-SIM认证
协议标准
标准协议
私有协议
标准认证协议
与RADIUSServer配合
标准协议
标准协议
标准协议
附加设备
RADIUSServer
PORTALServer
RADIUSServer
RADIUSServer
AS(EAP-SIM认证)
用户异常离线检测
LCPECHO报文
WEBkeep-alive检测ARP检测
Keep-alive机制
重认证机制
技术应用情况
成熟
成熟
新技术
附加业务特性
VPDN支持
认证前免费资源访问
认证界面广告业务
服务选择
业务定制
无
同时,需要注意的是,上述认证方式都包含了两部分内容:
1.用户终端和接入服务器之间使用PPPoE、WEB和802.1X认证;
2.接入服务器和AAA服务器之间使用的标准的或者扩展的RADIUS协议。
主要差异都在第一部分中;第二部分除802.1X使用扩展的EAP属性外,其他都一样。
4华为认证技术解决方案
认证应用在所有运营领域,同时结合认证技术本身特点,认证技术的选用有四个原则:
●客户使用习惯
从用户习惯看,窄带用户习惯PPPoE认证客户端,酒店、会议等用户习惯WEB认证界面,WLAN用户习惯802.1x认证认证客户端。
服务器及VIP用户习惯绑定认证。
●网络提供能力
基于ATM的DSLAM支持可以提供PPPoE,以太网交换机可以提供802.1X,多数基于IP的BAS设备提供两种以上的认证技术。
802.1X对应的AAA服务器必须能够提供EAP认证功能。
●客户终端成熟度
PPPoE客户端非常成熟、稳定,WEB认证只要标准商用的WWW浏览器,但802.1x客户端目前还只有WindowsXP和Windows2000SP1有限支持。
●网络维护工作量
PPPoE和802.1x有专用客户终端,需要说明书和维护,有相当的维护工作量;
WEB认证没有专用客户终端,维护工作量小,但由于使用商用的WWW浏览器因此对客户操作系统、浏览器均有一定的要求。
4.1PPPoE接入认证典型组网方式
(1)本地认证组网方式
对于小的局点,Quidway®MA5200系列宽带智能接入服务器对任何接入方式都提供了强大的本地认证功能,从而可以省去RADIUS服务器减少组网成本。
下面是PPPoE用户本地认证的组网示意图:
图19本地认证组网示意图
PPPoE在拨号上网时将用户名和密码送到MA5200,如果本地有该用户并且密码验证通过就允许用户上网,否则拒绝。
(2)RADIUS认证组网方式
Quidway®MA5200系列宽带智能接入服务器同时也支持灵活的RADIUS认证的功能。
下面是PPPoE用户RADIUS认证的组网示意图。
图20RADIUS认证组网示意图
收到用户的认证请求后将用户名和密码发送到RADIUS服务器进行认证,如果认证成功,就根据配置对用户进行分配地址,如果分配成功就通知用户认证成功,进行IPCP协商。
(3)混合组网方式
Quidway®MA5200系列宽带智能接入服务器根据用户的认证信息,可以判断用户需要进行本地认证,还是RADIUS认证,从而可以根据组网需要组合使用本地认证和RADIUS认证。
4.2WEB接入认证典型组网方式
(1)本地认证组网方式
对于小的局点,Quidway®MA5200系列宽带智能接入服务器对任何接入方式都提供了强大的本地认证功能,可以省去RADIUS服务器、Portal服务器、DHCP服务器,从而减少组网成本。
下面是WEB用户本地认证的组网示意图:
图21本地认证组网示意图
WEB认证时将用户名和密码送到MA5200,如果本地有该用户并且密码验证通过就允许用户上网,否则拒绝。
(2)RADIUS认证组网方式
Quidway®MA5200系列宽带智能接入服务器同时也支持灵活的RADIUS认证的功能。
下面是WEB认证用户RADIUS认证的组网示意图。
图22RADIUS认证组网示意图
收到用户的认证请求后将用户名和密码发送到RADIUS服务器进行认证。
(3)混合组网方式
Quidway®MA5200系列宽带智能接入服务器根据用户的认证信息,可以判断用户需要进行本地认证,还是RADIUS认证,从而可以根据组网需要组合使用本地认证和RADIUS认证。
(4)三层WEB认证组网方式
图23三层用户的WEB认证
用户通过路由器等三层网络后,连到接入服务器。
此时,开启三层WEB认证功能即可。
4.3802.1X接入认证典型组网方式
(1)本地认证组网方式
对于小的局点,Quidway®MA5200系列宽带智能接入服务器对任何接入方式都提供了强大的本地认证功能,可以省去RADIUS服务器、DHCP服务器,从而减少组网成本。
下面是802.1X用户本地认证的组网示意图:
图24本地认证组网示意图
802.1X在拨号上网时将用户名和密码送到MA5200,如果本地有该用户并些密码验证通过就进行后续的协商,否则拒绝。
(2)RADIUS认证组网方式
Quidway®MA5200系列宽带智能接入服务器同时也支持灵活的RADIUS认证的功能。
下面是802.1x用户RADIUS认证的组网示意图。
图25RADIUS(终结或者透传)认证组网示意图
收到用户的认证请求后把用户认证信息发送到远端的RADIUSServer认证服务器上,如果认证成功,就通知用户认证成功。
(3)混合组网方式
Quidway®MA5200系列宽带智能接入服务器根据用户的认证信息,可以判断用户需要进行本地认证,还是RADIUS认证,从而可以根据组网需要组合使用本地认证和RADIUS认证。
4.4绑定认证典型组网方式
与PPPoE、802.1X组网方式相同。
4.5多种认证自由组合
Quidway®MA5200系列宽带智能接入服务器提供多种主流认证技术,组
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 认证 技术 白皮书