（計(jì)算機(jī)應(yīng)用技術(shù)專業(yè)論文）8021x+eaptls部署應(yīng)用.pdf

8 0 2 1xe a p t l s 部署應(yīng)用 中文摘要 8 0 2 1 xe a p t l s 部署應(yīng)用 中文摘要 為了保證網(wǎng)絡(luò)資源的安全可控 網(wǎng)絡(luò)接入控制已經(jīng)成為當(dāng)前主要的安全環(huán)節(jié) 其 中 采用網(wǎng)絡(luò)身份鑒別協(xié)議e a p 同p k i 技術(shù)相結(jié)合 成為了集通用 安全 高性價(jià) 比于一身的做法 目前業(yè)界的看法是 網(wǎng)絡(luò)接入控制是保證網(wǎng)絡(luò)安全的一個(gè)重要環(huán)節(jié) 而接入控制 的關(guān)鍵是身份鑒別 在已有的各種身份鑒別方法中 p k i 是被公認(rèn)為最安全有效的 而可擴(kuò)展認(rèn)證協(xié)議e a p 同p k i 的結(jié)合 能夠?qū)崿F(xiàn)安全的網(wǎng)絡(luò)接入控制 e a p t l s 是以p i g 公鑰為基礎(chǔ)的 p k i 公鑰基礎(chǔ)結(jié)構(gòu)是目前比較成熟 完善的 互聯(lián)網(wǎng)絡(luò)安全解決方案 可以說(shuō) e a p t l s 認(rèn)證方式是f r e e r a d i u s 最安全的認(rèn)證 方式 但p k i 實(shí)施起來(lái)比較繁瑣 并且當(dāng)前實(shí)現(xiàn)p k i 的商用軟件價(jià)格較為昂貴 完 整的p k i 應(yīng)用一般都集中于商業(yè)領(lǐng)域 如銀行 金融和軍事領(lǐng)域 這都阻礙了p k i 的廣泛應(yīng)用 本文針對(duì)這一現(xiàn)狀 對(duì)p k i 的技術(shù)用于f r e e r a d i u s 用戶認(rèn)證做一定的應(yīng)用分析 重點(diǎn)介紹實(shí)現(xiàn)p k i 技術(shù)的開(kāi)源軟件e j b c a 通過(guò)使用e j b c a 和f r e e r a d i u s 配合使 用 介紹了f r e e r a d i u s 和e j b c a 結(jié)合應(yīng)用的配置和使用方法 組建的一套完整的 p k i 用戶證書管理和認(rèn)證系統(tǒng) 本文的研究主要針對(duì)8 0 2 1 x 的接入認(rèn)證 實(shí)踐探索以e a p t l s 為核心的證書認(rèn) 證方式 以及與此相關(guān)c a 用戶證書管理 解決了f r e e r a d i u s 和e j b c a 聯(lián)合工作 所需的實(shí)時(shí)檢查證書有效性的問(wèn)題 為使用證書認(rèn)證的f r e e r a d i u s 提供了較為完整 的開(kāi)源軟件應(yīng)用參考 最后 在前面的基礎(chǔ)上 探索使用u s bk e y 方式的證書存儲(chǔ)和認(rèn)證方式 并且 用于f r e e r a d i u s 認(rèn)證方法 解釋了u s bk e y 和f r e e r a d i u s 結(jié)合使用能夠?yàn)橛脩?認(rèn)證起的飛躍性作用 關(guān)鍵詞 公鑰體系 擴(kuò)展認(rèn)證協(xié)議 傳輸層安全 8 0 2 1 x e j b c a f r e e r a d i u s 作者 楊凌鳳 指導(dǎo)老師 朱巧明 a b s t r a c t d e p l o y m e n t 咝9 2 i xe a p t l s d e p l o y m e n to f8 0 2 1 xe a p t l s a b s t r a c t i no r d e rt os c e n en e t w o r kr e s o u r c e s c o n t r o la c c e s st on e t w o r kh a sb e c o m et h em a i n s e c u r i t ys t a g ea tp r e s e n t e x t e n s i b l ea u t h e n t i c a t i o np r o t o c o lt 衛(wèi)a p w o r k sw i t l li n t e g r a t i o n o fp u b l i ck e yi n f r a s t r u c t u r e p r d w h i c hi sac o m n l o n s a f ew a y a n dc o n t a i n sh i 曲c o s t p e r f o r m a n c e i ti sb e l i e v e di nt h i sf i e l dt h a tc o n t r o lo ft h ea c c e s st on e t w o r ki si m p o r t a n t a n di t sk e y i st od i s t i n g u i s ht h ei d e n t i t y p k ii sr e g a r d e da st h em o s te f f e c t i v ea n ds a f ew a ya m o n gt h e c u r r e n tm e t h o d so fd i s t i n g u i s h i n gt h ei d e n t i t y t h ec o m b i n a t i o no fe a pa n dp k ic a l l e n a b l ea ne x c e l l e n tc o n t r o lo f t h ea c c e s st on e t w o r k e a p t l si sb a s e do np k lw h i c hi sp r e s e n t l yam a t u r ea n dp e r f e c ts o l u t i o nt ot h e s e c u r i t yp r o b l e mo fn e t w o r k i tc a nb es a i dt h a te a p t l si st h em o s ts p 圮l l r ef o ru s e r a u t h e n t i c a t i o n b u ti t sn o ts oc o n v e n i e n tt op u ti n t op r a c t i c e a n dt h ec o m m e r c i a ls o f t w a r e w h i c hp e r f o r m sp k i i se x p e n s i v e a l m o s ta l lc o m p l e t ea p p l i c a t i o n so fp k ia r ef o c u s e do n b a n k f m a n c i a la n dm i l i t a r ya r e a w h i c hh i n d e rt h ep r o g r e s so ft h ee x t e n s i v ea p p l i c a t i o n a i m i n ga tt h i ss i t u a t i o n t h i sp a p e rm a k e s ac e r t a i na n a l y s i so nt h ea p p l i c a t i o no fp k i t ot h ef r e e r a d i u su s e ra u t h e n t i c a t i o n i tg i v e sa ni m p o r t a n ti n t r o d u c t i o no fo p e ns o u r c e s o f t w a r e e j b c aa n do ft h ec o n f i g u r a t i o na n du s a g eo f t h ec o m b i n i n ga p p l i c a t i o no f f r e e r a d i u sa n de j b c a t h r o u g hu s i n ge j b c aa n df r e e r a d i u s a c o m p l e t es y s t e mo f t h em a n a g e m e n to fp k ic e r t i f i c a t ea n du s e ra u t h e n t i c a t i o nm e t h o dh a sb e e nc o n s t r u c t e d 1 1 l i sp a p e rm a i n l ya i m sa tt h ea u t h e n t i c a t i o no ft h ea c c e s so f8 0 2 1x e x p l o r e st h e m e t h o do f c e r t i f i c a t ea u t h e n t i c a t i o nw h i c hf o c u s e so ne a p t l s a n dr e l a t e dm a n a g e m e n t o f c e r t i f i c a t eo f c au s e r s i ta l s os o l v e st h ep r o b l e mo f c h e c k i n gt h ev a l i d i t yo f t h eu s e r s c e r t i f i c a t ei nr e a lt i m e w h i c hi sn e e d e di nt h ea p p l i c a t i o n0 ff r e c r 枷j st o g e t h e r 誦m e j b c a p r o v i d i n gac o m p a r a t i v e l yc o m p l e t ea p p l i c a t i o nr e f e r e n c et ot h eu s i n go f f r e e r a d r u sc e r t i f i c a t ea u t h e n t i c a t i o n f i n a l l y t h i sp a p e rs t u d i e st h em e t h o do fc e r t i f i c a t es t o r ea n da u t h e n t i c a t i o nu s i n g n 8 0 2 i xe a p t l s 部署應(yīng)用 中文摘要 u s bk e y i te x p l a i n st h es u b s t a n t i a lf u n c t i o no fc o m b i n i n gu s eo fu s b k e ya n d f r e e r a d i u se a p t l st ou s e ra u t h e n t i c a t i o i l k e y w o r d s 出 e a p f l s 8 0 2 1x e j b c a f r e e m d i u s i i i w r i t t e n b y y a n gl i n g f e n g s u p e r v i s e db y z h uq i a o m i n g 蘇州大學(xué)學(xué)位論文獨(dú)創(chuàng)性聲明及使用授權(quán)的聲明 學(xué)位論文獨(dú)創(chuàng)性聲明 本人鄭重聲明 所提交的學(xué)位論文是本人在導(dǎo)師的指導(dǎo)下 獨(dú)立進(jìn) 行研究工作所取得的成果 除文中已經(jīng)注明引用的內(nèi)容外 本論文不含 其他個(gè)人或集體已經(jīng)發(fā)表或撰寫過(guò)的研究成果 也不含為獲得蘇州大學(xué) 或其它教育機(jī)構(gòu)的學(xué)位證書而使用過(guò)的材料 對(duì)本文的研究作出重要貢 獻(xiàn)的個(gè)人和集體 均己在文中以明確方式標(biāo)明 本人承擔(dān)本聲明的法律 責(zé)任 研究生簽名 拋 日 期 望 學(xué)位論文使用授權(quán)聲明 蘇州大學(xué) 中國(guó)科學(xué)技術(shù)信息研究所 國(guó)家圖書館 清華大學(xué)論文 合作部 中國(guó)社科院文獻(xiàn)信息情報(bào)中心有權(quán)保留本人所送交學(xué)位論文的 復(fù)印件和電子文檔 可以采用影印 縮印或其他復(fù)制手段保存論文 本 人電子文檔的內(nèi)容和紙質(zhì)論文的內(nèi)容相 致 除在保密期內(nèi)的保密論文 外 允許論文被查閱和借閱 可以公布 包括刊登 論文的全部或部分 內(nèi)容 論文的公布 包括刊登 授權(quán)蘇州大學(xué)學(xué)位辦辦理 研究生簽名 尬 塾 日 期 鯊翌 導(dǎo)師簽名 8 0 2 1 xb 諍 t l s 部署應(yīng)用 第一章緒論 1j 1 背景 第一章緒論 隨著網(wǎng)絡(luò)技術(shù)的不斷成熟以及網(wǎng)絡(luò)應(yīng)用的不斷普及 現(xiàn)在各高校的網(wǎng)絡(luò)除了要滿 足全校教職工的教學(xué)科研外 還要更多的面對(duì)學(xué)生群體 而隨著網(wǎng)絡(luò)用戶數(shù)的急劇增 加 網(wǎng)絡(luò)的安全性問(wèn)題日益突出 建立一個(gè)更加安全可行的 可運(yùn)營(yíng) 可管理的網(wǎng)絡(luò) 環(huán)境便擺在了面前 由于傳統(tǒng)認(rèn)證方式存在著不少的問(wèn)題 許多的認(rèn)證系統(tǒng)架設(shè)在主干出口處 這樣 就不可避免導(dǎo)致許多計(jì)算機(jī)在沒(méi)有預(yù)先經(jīng)過(guò)同意 對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使 用 也就是我們通常所說(shuō)的非授權(quán)訪問(wèn) 采用傳統(tǒng)的網(wǎng)關(guān)身份認(rèn)證的方式也很難對(duì)代 理服務(wù)進(jìn)行防范 在網(wǎng)絡(luò)中如果私自搭建了代理服務(wù)器 那么很多非授權(quán)終端就可以 通過(guò)同一個(gè)代理服務(wù)器取得對(duì)網(wǎng)絡(luò)的訪問(wèn)權(quán) 而在服務(wù)器端看來(lái) 這些訪問(wèn)都來(lái)自正 常的一個(gè)終端機(jī)器的訪問(wèn) 而且傳統(tǒng)的認(rèn)證方式對(duì)校園網(wǎng)中用戶數(shù)據(jù)包繁瑣的處理也 造成了網(wǎng)絡(luò)傳輸瓶頸 如果通過(guò)增加其他網(wǎng)絡(luò)設(shè)備來(lái)解決傳輸瓶頸勢(shì)必造成網(wǎng)絡(luò)成本 的提升 因此無(wú)法滿足用戶對(duì)網(wǎng)絡(luò)安全性 高效性和低成本的要求 目前8 0 2 1 x i l 認(rèn)證已經(jīng)得到了非常廣泛的應(yīng)用 其部署難度小 并且通過(guò)對(duì)認(rèn)證 方式和認(rèn)證體系結(jié)構(gòu)進(jìn)行優(yōu)化 有效地解決了傳統(tǒng)認(rèn)證方式帶來(lái)的問(wèn)題 消除了網(wǎng)絡(luò) 瓶頸 減輕了網(wǎng)絡(luò)封裝開(kāi)銷 降低了建網(wǎng)成本 由于8 0 2 1 x 客戶端部署在客戶終端 上 它能在應(yīng)用層識(shí)別代理行為 從而在終端客戶機(jī)上阻止代理行為的發(fā)生 但在一般的應(yīng)用中 我們都會(huì)使用e a p m d 5 密碼認(rèn)證 這個(gè)方法把用戶密碼儲(chǔ) 存在數(shù)據(jù)庫(kù)中 認(rèn)證的時(shí)候進(jìn)行最基本的對(duì)比即可完成認(rèn)證 這個(gè)方法最簡(jiǎn)單 同時(shí) 也是最脆弱的 潛在多種被攻擊風(fēng)險(xiǎn) 并且 由于密碼都由用戶自己保存 因此帶來(lái) 的一個(gè)帳號(hào)被多人使用 用戶密碼被竊取等后果 給管理工作帶來(lái)很大的不便 因此 在實(shí)際應(yīng)用中 需要尋找更加適合的認(rèn)證方式 盡最大可能保護(hù)賬戶安全 通過(guò)表 2 1 1 的比較可以看出 e a p t l s 為最安全的e a p 協(xié)議 但是在實(shí)用程度 上欠缺一些 因?yàn)樽畎踩ㄙM(fèi)的代價(jià)最高 需要建立p k i 證書管理 每一個(gè)服務(wù) 器端及客戶端維護(hù)成本極高 目前比較讓業(yè)界接受的是e a p 1 幾s 和p e a p 兩者都 第一章緒論 8 0 2 1 xe a p t l s 部署應(yīng)用 有支持雙向認(rèn)證 同時(shí)也只需要具備r a d i u ss e r v e r 的證書即可實(shí)現(xiàn)認(rèn)證信息的加密 傳送驗(yàn)證 e a p m d 5l e a pe a p t 1 l sp e a pe a p 1 l s 服務(wù)器認(rèn)證否h a s h 密碼 公鑰 證書 公鑰 證書 公鑰 證書 質(zhì)詢握手身份 驗(yàn)證協(xié)議 密碼任何e a p 比 認(rèn)證協(xié)議 微軟如微軟質(zhì)詢握公鑰 證書或 客戶端認(rèn)證 h a s h 密碼h a s h 密碼 質(zhì)詢握手身份 手身份驗(yàn)證協(xié)智能卡 驗(yàn)證協(xié)議v 2 議v 2 公鑰 e a p 認(rèn)證屬性單向認(rèn)證雙向認(rèn)證雙向認(rèn)證雙向認(rèn)證雙向認(rèn)證 動(dòng)態(tài)密鑰傳輸 否是 是是是 部署難度簡(jiǎn)單 中等中等 中等 難 身份暴露 字 中間人攻擊 第 典攻擊 中間身份暴露 字 安全風(fēng)險(xiǎn)中間人攻擊一階段潛在身份身份暴露 人攻擊 會(huì)話典攻擊 劫持 暴露 表1 1 各種e a p 認(rèn)證方法比較 1 2 接入認(rèn)證系統(tǒng)的現(xiàn)狀 1 2 1w e b p o r t a l 技術(shù) w e b p o r t a i 認(rèn)證是基于業(yè)務(wù)類型的認(rèn)證 不需要安裝其他客戶端軟件 只需 要瀏覽器就能完成 就用戶來(lái)說(shuō)較為方便 但是由于w e b 認(rèn)證走的是7 層協(xié)議 從 邏輯上來(lái)說(shuō)為了達(dá)到網(wǎng)絡(luò)2 層的連接而跑到7 層做認(rèn)證 這首先不符合網(wǎng)絡(luò)邏輯 其 次由于認(rèn)證走的是7 層協(xié)議 對(duì)設(shè)備必然提出更高要求 增加了建網(wǎng)成本 w e b 是 在認(rèn)證前就為用戶分配了口地址 對(duì)目前網(wǎng)絡(luò)珍貴的i p 地址來(lái)說(shuō)造成了浪費(fèi) 而且 分配p 地址的d h c p 對(duì)用戶而言是完全裸露的 容易造成被惡意攻擊 一旦受攻擊 癱瘓 整個(gè)網(wǎng)絡(luò)就沒(méi)法認(rèn)證 為了解決易受攻擊問(wèn)題 就必須加裝一個(gè)防火墻 這樣 一來(lái)又大大增加了建網(wǎng)成本 w e b p o r t a l 認(rèn)證用戶連接性差 不容易檢測(cè)用戶離 線 基于時(shí)間的計(jì)費(fèi)較難實(shí)現(xiàn) 用戶在訪問(wèn)網(wǎng)絡(luò)前 不管是t e l n e t f t p 還是其 它業(yè)務(wù) 必須使用瀏覽器進(jìn)行w e b 認(rèn)證 易用性不夠好 而且認(rèn)證前后業(yè)務(wù)流和數(shù) 2 8 0 2 1xe a p t l s 部署應(yīng)用第一章緒論 據(jù)流無(wú)法區(qū)分 1 2 2p p p o e 技術(shù) p p p o e 是從基于a t m 的窄帶網(wǎng)引入到寬帶以太網(wǎng)的 由此可以看出 p p p o e 并不是為寬帶以太網(wǎng)量身定做的認(rèn)證技術(shù) 將其應(yīng)用于寬帶以太網(wǎng) 必然會(huì)有其局限 性 雖然其方式較靈活 在窄帶網(wǎng)中有較豐富的應(yīng)用經(jīng)驗(yàn) 但是 它的封裝方式 也 造成了寬帶以太網(wǎng)的種種等問(wèn)題 在p p p o e 認(rèn)證中 認(rèn)證系統(tǒng)必須將每個(gè)包進(jìn)行拆 解才能判斷和識(shí)別用戶是否合法 一旦用戶增多或者數(shù)據(jù)包增大 封裝速度必然跟不 上 造成了網(wǎng)絡(luò)瓶頸 其次這樣大量的拆包解包過(guò)程必須由一個(gè)功能強(qiáng)勁同時(shí)價(jià)格昂 貴的設(shè)備來(lái)完成 這個(gè)設(shè)備就是我們傳統(tǒng)的b a s 每個(gè)用戶發(fā)出的每個(gè)數(shù)據(jù)包b a s 必須進(jìn)行拆包識(shí)別和封裝轉(zhuǎn)發(fā) 為了解決瓶頸問(wèn)題 廠商想出了提高b a s 性能 或 者采用大量分布式b a s 等方式來(lái)解決問(wèn)題 但是b a s 的功能就決定了它是一個(gè)昂貴 的設(shè)備 這樣一來(lái)建設(shè)成本就會(huì)越來(lái)越高 1 2 3i e e e 8 0 2 1 x 技術(shù) 8 0 2 1x 協(xié)議起源于無(wú)線局域網(wǎng) 它也是一項(xiàng)可在以太網(wǎng)上實(shí)現(xiàn)認(rèn)證計(jì)費(fèi)功能的新 技術(shù) 它不同于傳統(tǒng)的p p p o e w e b 認(rèn)證 認(rèn)證流和業(yè)務(wù)流不分離 8 0 2 1 x 認(rèn)證基于 邏輯端口把認(rèn)證流和業(yè)務(wù)流進(jìn)行分離 認(rèn)證系統(tǒng)的端口分成兩個(gè)邏輯端口 受控端口 和不受控端口 不受控端口只能傳送認(rèn)證的協(xié)議報(bào)文 而不管此時(shí)受控端口的狀態(tài)是 已認(rèn)證狀態(tài) a u t h e r i z e d 還是未認(rèn)證狀態(tài) u n a u t h c r i z c d 受控端口傳送業(yè)務(wù)報(bào)文 如 果用戶通過(guò)認(rèn)證 則受控端口的狀態(tài)為已認(rèn)證狀態(tài) 可以傳送業(yè)務(wù)報(bào)文 如果用戶未 通過(guò)認(rèn)證 則受控端口的狀態(tài)為未認(rèn)證狀態(tài) 不能傳送業(yè)務(wù)報(bào)文 它的認(rèn)證方式就是 通過(guò)認(rèn)證前后打開(kāi) 關(guān)閉受控端口來(lái)實(shí)現(xiàn)對(duì)用戶接入的控制 從而實(shí)現(xiàn)對(duì)用戶的物理 端口的認(rèn)證和控制 8 0 2 1 x 認(rèn)證的突出優(yōu)點(diǎn)就是實(shí)現(xiàn)簡(jiǎn)單 認(rèn)證效率高 安全可靠 無(wú)需多業(yè)務(wù)網(wǎng)管 設(shè)備 就能保證i p 網(wǎng)絡(luò)的無(wú)逢相連 同時(shí)消除了網(wǎng)絡(luò)認(rèn)證瓶頸和單點(diǎn)故障 解決了采 用多業(yè)務(wù)網(wǎng)關(guān) 不便于視頻業(yè)務(wù)開(kāi)展的難題 在二層網(wǎng)絡(luò)上實(shí)現(xiàn)用戶認(rèn)證 大大降低 了整個(gè)網(wǎng)絡(luò)的建網(wǎng)成本 1 2 4 針對(duì)普通密碼認(rèn)證的改進(jìn)技術(shù) 由于e a p m d 5 存在身份密碼泄露 中間人攻擊等問(wèn)題 需要使用更好的認(rèn)證方 3 第一章緒論8 0 2 1 xe a p t l s 部署應(yīng)用 式來(lái)取代 很多人對(duì)基于8 0 2 1 x 的其他認(rèn)證方式進(jìn)行了實(shí)踐研究 如 b 廿 t t l s 認(rèn)證方式在w l a n 中的應(yīng)用研究 3 通過(guò)實(shí)踐探索 總結(jié)出了該認(rèn)證方式用于 w l a n 的應(yīng)用前景 并且結(jié)合認(rèn)證 開(kāi)發(fā)了e a p t t l s 認(rèn)證客戶端 盡管實(shí)現(xiàn)e a p t l s 部署成本較高 仍然有很多基于p i g 和r a d i u s 結(jié)合研究 如 p 在校園網(wǎng)中的應(yīng) 用研究 4 文中使用p i g 技術(shù)和r a d i u s 結(jié)合 提出了校園網(wǎng)絡(luò)單點(diǎn)認(rèn)證 給出了 設(shè)計(jì)框架 完整的p k i 構(gòu)建 證書管理和p i g 客戶端設(shè)計(jì)的思路 在 t i n y c ae t f r e e r a d i u se l lm o d ee a p t l s p j 一文中 使用t i n y c a 和f r e e r a d i u s 結(jié)合 實(shí)現(xiàn)了 單機(jī)版的證書管理軟件和f r e e r a d i u s 結(jié)合應(yīng)用的實(shí)例 在 h o ws e c u r ei sy o u rw i r e l e s sn e t w o r k s a f e g u a r d i n gy o u rw i f il a n 6 j 一文 中 詳細(xì)闡述了無(wú)線網(wǎng)絡(luò)環(huán)境中如何使用8 0 2 1 x 和其他安全技術(shù)如v p n 等p i g 技術(shù)加 強(qiáng)企業(yè)網(wǎng)絡(luò)安全 在對(duì)比分析了這些研究之后 并沒(méi)有找到一個(gè)適合網(wǎng)絡(luò)應(yīng)用且部署難度適中的方 案 對(duì)于具體的實(shí)現(xiàn) 也沒(méi)有作更多說(shuō)明 這對(duì)實(shí)際應(yīng)用沒(méi)有帶來(lái)多大的促進(jìn)作用 因此 我們需要摸索一個(gè)適合一般網(wǎng)絡(luò)部署的e a p t l s 認(rèn)證方案 1 3 本論文主要研究的內(nèi)容 本文研究?jī)?nèi)容就是在前人的理論分析和實(shí)踐基礎(chǔ)上 使用開(kāi)源軟件構(gòu)架一個(gè)成席 較低 并且容易管理的8 0 2 1 x 認(rèn)證環(huán)境 在認(rèn)證技術(shù)上使用目前最為可靠的e a p t u 方式 為開(kāi)源軟件規(guī)模應(yīng)用于p i g 的認(rèn)證技術(shù)提供一個(gè)切實(shí)可行的參考 1 學(xué)習(xí)p i g 的原理 選擇合適的c a 軟件 學(xué)習(xí)構(gòu)建成本較低的c a 為c a 和8 0 2 1 聯(lián)合應(yīng)用做一定經(jīng)驗(yàn)積累 2 了解8 0 2 1 x 認(rèn)證的基本原理和過(guò)程 學(xué)習(xí)使用f r e e r a d i u s 實(shí)現(xiàn)f r e e r a d i u s e a p t l s 證書認(rèn)證配置的相關(guān)環(huán)節(jié) 3 進(jìn)行簡(jiǎn)單開(kāi)發(fā) 實(shí)現(xiàn)c a 和f r e e r a d i u s 協(xié)同工作 達(dá)到管理簡(jiǎn)單化的目的 1 4 本文的組織結(jié)構(gòu) 第一章 緒論 介紹了目前8 0 2 1 x 使用和研究的現(xiàn)狀 對(duì)本文要實(shí)現(xiàn)的目標(biāo)進(jìn)行 定位 第二章 8 0 2 1 x 協(xié)議介紹 對(duì)8 0 2 1 x 協(xié)議體系進(jìn)行理解和分析 4 8 0 2 1xe a p t l s 部署應(yīng)用 第一章緒論 第三章 講述p k i 和e a p t l s f l 關(guān)技術(shù) 把e a p t l s 認(rèn)證涉及的技術(shù)框架進(jìn)行說(shuō) 明 并且對(duì)實(shí)現(xiàn)e a p t l s 認(rèn)證之后 引入更加可靠方便的u s bk e y 技術(shù)進(jìn)行了說(shuō)明 第四章 e a p t l s 應(yīng)用設(shè)計(jì) 對(duì)我們要實(shí)現(xiàn)的構(gòu)架進(jìn)行說(shuō)明 對(duì)實(shí)現(xiàn)過(guò)程中需要 的軟件進(jìn)行選擇和說(shuō)明 i 第五章 設(shè)計(jì)中的問(wèn)題和解決方法 對(duì)設(shè)計(jì)框架中需要解決的問(wèn)題進(jìn)行分析 提 出 e j b c a 和f r e e r a d i u s 協(xié)作的解決方案 第六章 系統(tǒng)的具體實(shí)現(xiàn) 對(duì)設(shè)計(jì)的實(shí)現(xiàn)做較為完整的說(shuō)明 以具體例子給實(shí)際 應(yīng)用做出參考 第七章 總結(jié)和展望 總結(jié)我們的設(shè)計(jì)和實(shí)踐工作 并對(duì)這個(gè)設(shè)計(jì)構(gòu)架可能面臨 的問(wèn)題做出預(yù)見(jiàn) 對(duì)解決方法作出展望 給今后的工作提出方向 5 第二章8 0 2 1 x 協(xié)議介紹 8 0 2 1 xe a p t l s 部署應(yīng)用 第二章8 0 2 1x 協(xié)議介紹 2 1 協(xié)議的開(kāi)發(fā)背景 在i e e e8 0 2l a n 所定義的局域網(wǎng)環(huán)境中 只要存在物理的連接口 未經(jīng)授權(quán)的 網(wǎng)絡(luò)設(shè)備就可以接入局域網(wǎng) 或者是未經(jīng)授權(quán)的用戶可以通過(guò)連接到局域網(wǎng)的設(shè)備進(jìn) 入網(wǎng)絡(luò) 例如 一個(gè)可以訪問(wèn)公共網(wǎng)絡(luò)的大廈的辦公網(wǎng) 或者是某個(gè)組織機(jī)構(gòu)與其他 組織連接的網(wǎng)絡(luò) 在這樣的網(wǎng)絡(luò)環(huán)境中 往往不希望未經(jīng)授權(quán)的設(shè)備或用戶連接到網(wǎng) 絡(luò) 使用網(wǎng)絡(luò)提供的服務(wù)m 后來(lái) 隨著局域網(wǎng)技術(shù)的廣泛應(yīng)用 特別是在運(yùn)營(yíng)網(wǎng)絡(luò)中的應(yīng)用 對(duì)其安全認(rèn)證 的要求已經(jīng)提到了議事日程上 如何既能夠利用局域網(wǎng)技術(shù)簡(jiǎn)單 廉價(jià)的組網(wǎng)特點(diǎn) 同時(shí)又能夠?qū)τ脩艋蛟O(shè)備訪問(wèn)網(wǎng)絡(luò)的合法性提供認(rèn)證 是目前業(yè)界討論的焦點(diǎn) i e e e 8 0 2 1 x 協(xié)議正是在這樣的背景下提出的 i e e e8 0 2 1 x 稱為基于端口的訪問(wèn)控制協(xié)議 p o r tb a s e dn e t w o r ka c c e s sc o n t r o l p r o t o c 0 1 基于端口的訪問(wèn)控制 p o r tb a s e dn e t w o r ka c c e s sc o n t r 0 1 能夠在利用i e e e8 0 2 l a n 的優(yōu)勢(shì)基礎(chǔ)上提供一種對(duì)連接到局域網(wǎng) l a n 設(shè)備或用戶進(jìn)行認(rèn)證和授權(quán)的手 段 通過(guò)這種方式的認(rèn)證 能夠在l a n 這種多點(diǎn)訪問(wèn)環(huán)境中提供一種點(diǎn)對(duì)點(diǎn)的識(shí)別 用戶的方式 這里端口是指連接到l a n 的一個(gè)單點(diǎn)結(jié)柯 可以是被認(rèn)證系統(tǒng)的m a c 地址 也可以是服務(wù)器或網(wǎng)絡(luò)設(shè)備連接l a n 的物理端口 或者是在i e e e8 0 2 1 1 無(wú) 線l a n 環(huán)境中定義的工作站和訪問(wèn)點(diǎn) 2 2 幾個(gè)名詞的定義 以下的名詞為8 0 2 1 x 協(xié)議中的重要組成部分1 7 1 s u p p l i c a n t 客戶端 認(rèn)證客戶端指網(wǎng)絡(luò)中所連接的一端的實(shí)體 e n f t y 它向認(rèn)證系統(tǒng) a u t h e n t i c a t o r 如下 發(fā)起請(qǐng)求 對(duì)其身份的合法性進(jìn)行檢驗(yàn) 認(rèn)證客戶端是需要接入l a b 及享受 交換機(jī)提供服務(wù)的設(shè)備 如p c 機(jī)客戶端需要支持e a p o l 協(xié)議客戶端必須運(yùn)行8 0 2 1 x 客戶端軟件 如8 0 2 1 x c o m p l a i nm i c r o s o f tw i n d o w sx p 6 8 0 2 1 xe a p t l s 部署應(yīng)用 第二章8 0 2 1 x 協(xié)議介紹 2 a u t h e n t i c a t o r 認(rèn)證系統(tǒng) 認(rèn)證系統(tǒng)指在l a n 連接的一端用于認(rèn)證另一端設(shè)備的實(shí)體 e n t i t y 邊緣交換機(jī) 或無(wú)線接入設(shè)備是根據(jù)客戶的認(rèn)證狀態(tài)控制物理接入的設(shè)備 交換機(jī)在客戶和認(rèn)證服 務(wù)器間充當(dāng)代理角色 代理交換機(jī)與客戶端之間通過(guò)e a p o l 協(xié)議進(jìn)行通訊 交換機(jī) 與認(rèn)證服務(wù)器間通過(guò)e a po v c rr a d i u s 或e a p 承載在其他高層協(xié)議上 以便穿越復(fù)雜 的網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù) 中繼交換機(jī)要求客戶端提供身份 接收到后將e a p 報(bào)文承載 在r a d i u s 格式的報(bào)文中再發(fā)送到認(rèn)證服務(wù)器 然后根據(jù)認(rèn)證結(jié)果返回給交換機(jī)控制 端口是否可用 需要指出的是我們的8 0 2 1 x 協(xié)議在設(shè)備內(nèi)終結(jié)并轉(zhuǎn)換成標(biāo)準(zhǔn)的 r a d i u s 協(xié)議報(bào)文加密算法采用p p p 的c h a p 認(rèn)證算法 3 a u t h e n t i c a t i o ns e r v e r 認(rèn)證服務(wù)器 認(rèn)證服務(wù)器指為認(rèn)證系統(tǒng)提供認(rèn)證服務(wù)的實(shí)體 這里認(rèn)證服務(wù)器所提供的服務(wù)是 指通過(guò)檢驗(yàn)客戶端發(fā)送來(lái)的身份標(biāo)識(shí) 來(lái)判斷該請(qǐng)求者是否有權(quán)使用認(rèn)證系統(tǒng)所提供 的網(wǎng)絡(luò)服務(wù) 認(rèn)證服務(wù)器對(duì)客戶進(jìn)行實(shí)際認(rèn)證 認(rèn)證服務(wù)器核實(shí)客戶的身份 通知交 換機(jī)是否允許客戶端訪問(wèn)l a n 和交換機(jī)提供的服務(wù) 認(rèn)證服務(wù)器接受認(rèn)證者傳遞過(guò) 來(lái)的認(rèn)證需求 認(rèn)證完成后將認(rèn)證結(jié)果下發(fā)給認(rèn)證者 完成對(duì)端口的管理 由于e a p 協(xié)議較為靈活 除了i e e e8 0 2 1 x 定義的端口狀態(tài)外認(rèn) 證服務(wù)器實(shí)際上也可以用于 認(rèn)證和下發(fā)更多用戶相關(guān)的信息 如v l a nq o s 加密認(rèn)證密鑰d h c p 響應(yīng)等 4 p o r t a c c e s s e n t i t y p a e 端口訪問(wèn)實(shí)體 指一個(gè)端口的相關(guān)協(xié)議實(shí)體 端口訪問(wèn)實(shí)體p a e 負(fù)責(zé)響應(yīng)來(lái)自認(rèn)證方和申請(qǐng)方之 間的請(qǐng)求信息 這些信息用來(lái)建立信任關(guān)系 在認(rèn)證交換過(guò)程中執(zhí)行申請(qǐng)方的角色稱 作申請(qǐng)方p a e 負(fù)責(zé)于申請(qǐng)方通信 并把申請(qǐng)方的信任信息交給相對(duì)應(yīng)的認(rèn)證服務(wù)器 去檢查以決定隨后的認(rèn)證狀態(tài)被稱為認(rèn)證方p a e 認(rèn)證方p a e 依據(jù)認(rèn)證過(guò)程的結(jié)構(gòu)控 制受控端口的授權(quán)和非授權(quán)狀態(tài) p a e 能夠支持的功能包括 客戶端 s u p p l i c a n t 完 成的功能 認(rèn)證系統(tǒng) a u t h e n t i c a t o o 完成的功能或者兩者功能同時(shí)具備 5 n e t w o r ka c c e s sp o r t 網(wǎng)絡(luò)訪問(wèn)端口 網(wǎng)絡(luò)訪問(wèn)端口指用戶系統(tǒng)連接到l a n 的訪問(wèn)端口 訪問(wèn)端口可以是物理端口 例如連接到用戶的網(wǎng)絡(luò)設(shè)備端口 也可以是邏輯端口 例如用戶設(shè)備的m a c 地址 6 s y s t e m 系統(tǒng) 系統(tǒng)是指通過(guò)一個(gè)或更多端口連接到l a n 的設(shè)備 例如 終端 服務(wù)器 交換 7 第二章8 0 2 i x 協(xié)議介紹 8 0 2 i xe a p t l s 部署應(yīng)用 機(jī)或路由器等設(shè)備都稱為系統(tǒng) 2 3 工作機(jī)制 圖2 1i e e e8 0 2 i x 認(rèn)證體系組成部分 i e e e8 0 2 1 x 認(rèn)證過(guò)程的操作是利用e a p 作為申請(qǐng)方和認(rèn)證服務(wù)器之間認(rèn)證信息 交互的手段 在這樣一個(gè)認(rèn)證過(guò)程中有很多重要的機(jī)制 下面作一些具體的說(shuō)明 7 2 3 1 各組成部分的功能 為了便于描述基于端口的訪問(wèn)控制過(guò)程 一個(gè)系統(tǒng)的端口 確切的講應(yīng)該是協(xié)議 實(shí)體p a e 可以在整個(gè)控制過(guò)程中充當(dāng)多個(gè)不同的角色 如下為在基于端口訪問(wèn)控制 過(guò)程中 端口所充當(dāng)?shù)慕巧?i a u t h e n t i c a t o r 在允許用戶訪問(wèn)之前執(zhí)行認(rèn)證的端口 該端口充當(dāng)認(rèn)證系統(tǒng)的 角色 2 s u p p l i c a n t 訪問(wèn)認(rèn)證系統(tǒng)所提供服務(wù)的端口 該端口充當(dāng)客戶端的角色 3 a u t h e n t i c a t i o ns e r v e r 認(rèn)證服務(wù)器代表認(rèn)證系統(tǒng)執(zhí)行對(duì)用戶身份的合法性進(jìn) 行檢驗(yàn)功能 從以上描述可以看出 為了完成一個(gè)認(rèn)證過(guò)程 所有的三個(gè)角色是必須的 一個(gè) 特定系統(tǒng)可以承擔(dān)一種或多種角色 例如 一個(gè)認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器能集成在一個(gè) 系統(tǒng)中 實(shí)現(xiàn)認(rèn)證功能而無(wú)需設(shè)置專門的外置認(rèn)證服務(wù)器 同樣 一個(gè)端口在一個(gè)認(rèn) 證過(guò)程中充當(dāng)客戶端的角色 而在另一個(gè)認(rèn)證過(guò)程中可能充當(dāng)認(rèn)證系統(tǒng)的角色 例如 在一個(gè)橋接l a n 中 一個(gè)新的交換設(shè)備添加到網(wǎng)絡(luò)中 這個(gè)設(shè)備要能夠?qū)B接到其端 8 8 0 2 1 xe a p t l s 部署應(yīng)用 第二章8 0 2 1 協(xié)議介紹 口的設(shè)備實(shí)現(xiàn)認(rèn)證 自身必須先通過(guò)其上端設(shè)備的認(rèn)證 該新設(shè)備通過(guò)上端設(shè)備接入 到l a n 中 2 3 2 受控和非受控的訪問(wèn) i e e e8 0 2 1 x 協(xié)議的精華就是關(guān)于受控和非受控的訪問(wèn) 以下將詳細(xì)描述關(guān)于受 控和非受控的訪問(wèn) 1 端口的類型 如圖2 2 所示 認(rèn)證系統(tǒng)的端口分成兩個(gè)邏輯端口 受控端口和不受控端口 不 受控端口只能傳送認(rèn)證的協(xié)議報(bào)文 它始終處于雙向連通的狀態(tài) 不管是否處于授權(quán) 狀態(tài)都允許申請(qǐng)者和局域網(wǎng)中的其他機(jī)器進(jìn)行數(shù)據(jù)交換 主要用來(lái)傳遞e a p o l 協(xié)議 幀 可保證隨時(shí)接受客戶端發(fā)出的認(rèn)證e a p o l 報(bào)文 而受控制端口只有在認(rèn)證通過(guò) 的狀態(tài)下才打開(kāi) 用于傳遞網(wǎng)絡(luò)資源和服務(wù) i 一 一 1 j l m 棚t 曲舅句嘲帥 圖2 2 受控端e l c o n t r o l l e dp o r t 和不受控端1 u n c o n t r o l l e dp o r t 2 端口控制方式 對(duì)于端口的控制 可以有很多種方式 端口可以是物理的端口 也可以是用戶設(shè) 備的m a c 地址 如果設(shè)備支持全程的v l a n 也可以把v l a ni d 看成是端口 在i e e e8 0 2 1 x 協(xié)議中的受控端口和不受控端口實(shí)際上是邏輯上的理解 端口的 狀態(tài)受相關(guān)的協(xié)議參數(shù) a u t h c o n t r o l l e d p o r t s t a t u s 控制 可設(shè)為強(qiáng)關(guān)狀態(tài) u n a u t h o r i z e d 此時(shí)該端口處于斷開(kāi)狀態(tài) 若端口狀態(tài)設(shè)為a u t h o r i z e d 則此時(shí)該端 口不需要要認(rèn)證即可連通 若端口設(shè)為a u t o 則認(rèn)證端的連接狀態(tài)要取決于申請(qǐng)端 當(dāng)申請(qǐng)通過(guò)認(rèn)證時(shí)網(wǎng)絡(luò)連通 否則斷開(kāi) 9 第二章8 0 2 i x 協(xié)議介紹8 0 2 i xe a p t l s 部署應(yīng)用 如圖2 3 所示 當(dāng)發(fā)起申請(qǐng)認(rèn)證時(shí) 發(fā)起者通過(guò)非受控端口向認(rèn)證服務(wù)器發(fā)送 e a p o l 的8 0 2 1 x 認(rèn)證報(bào)文 當(dāng)用戶未通過(guò)認(rèn)證時(shí) 受控端口處于開(kāi)路 端口狀態(tài)為 未認(rèn)證狀態(tài) 此時(shí)交換機(jī)的交換功能是關(guān)閉的 也就是說(shuō)交換機(jī)無(wú)法像傳統(tǒng)的通過(guò)查 找目標(biāo)m a c 地址來(lái)進(jìn)行交換 如果用戶有業(yè)務(wù)報(bào)文是無(wú)法通過(guò)的 ia t a t m 橢c t t e r 竊廈h m1 i c o n a o e dp o u n c o n l r o l l e c lp o r t i 山肭嗍c 撕8 y i 加m 2 i c c r 黼dp o r tu n c o n t r q i l e dp o r ti 圖2 3 受控端口的狀態(tài)變化 2 3 3i e e e8 0 2 1 x 協(xié)議的體系結(jié)構(gòu) i e e e8 0 2 1 x 協(xié)議的體系結(jié)構(gòu) 通過(guò)上文的說(shuō)明可以知道 包括三個(gè)重要的部分 s u p p l i c a n ts y s t e m 客戶端 a u t h e n t i c a t o rs y s t e m 認(rèn)證系統(tǒng) a u t h e n t i c a t i o ns e r v e rs y s t e m 認(rèn)證服務(wù)器 圖2 4 描述了三者之間的關(guān)系以及互相之間的通信 客戶端系統(tǒng)一般為一個(gè)用戶終端系統(tǒng) 該終端系統(tǒng)通常要安裝一個(gè)客戶端軟件 用戶通過(guò)啟動(dòng)這個(gè)客戶端軟件發(fā)起8 0 2 i x 協(xié)議的認(rèn)證過(guò)程 為支持基于端口的接入 控制 客戶端系統(tǒng)需支持e a f o l e x t e n s i b l ea u t h e n t i c a t i o np r o t o c o lo v e rl a n 協(xié)議 認(rèn)證系統(tǒng)通常為支持8 0 2 1 x 協(xié)議的網(wǎng)絡(luò)設(shè)備 該設(shè)備對(duì)應(yīng)于不同用戶的端口 可 以是物理端口 也可以是用戶設(shè)備的m a c 地址 有兩個(gè)邏輯端口 受控 c o n t r o l l e dp o n 端口和不受控端 l u n c o n t r o l l e d p o r t 不受控端口始終處于雙向連通狀態(tài) 主要用來(lái) 傳遞e a p o l 協(xié)議幀 可保證客戶端始終可以發(fā)出或接受認(rèn)證 受控端口只有在認(rèn) 證通過(guò)的狀態(tài)下才打開(kāi) 用于傳遞網(wǎng)絡(luò)資源和服務(wù) 受控端口可配置為雙向受控 僅 輸入受控兩種方式 以適應(yīng)不同的應(yīng)用環(huán)境 如果用戶未通過(guò)認(rèn)證 則受控端口處于 未認(rèn)證狀態(tài) 則用戶無(wú)法訪問(wèn)認(rèn)證系統(tǒng)提供的服務(wù) 1 0 8 0 2 1 xe a p t l s 部署應(yīng)用第二章8 0 2 1 x 協(xié)議介紹 廣一一一一一1r 一一一一一一一一一一一1 l 1 一 ii b 筐o g e r e d li l 雕 妨臁憎 啪 f 撕岫黻e l i h 黜叫 s y 砷 m i 裂翟i i 0 iii q h 口9 dl 伽州口喇 跚 黜l 吶蹦刪l l l哪 iiixii iii t ii l 爿一 j 一一 憾 圖2 48 0 2 i x 協(xié)議的體系結(jié)構(gòu) 認(rèn)證系統(tǒng)的p a e 通過(guò)不受控端口與s u p p l i c a n tp a e 進(jìn)行通信 二者之間運(yùn)行 e a p o l 協(xié)議 如果認(rèn)證方服務(wù)器與認(rèn)證方不在同一個(gè)系統(tǒng)時(shí) 認(rèn)證方p a e 接著對(duì)e a p 協(xié)議重新打包并向上傳到認(rèn)證方服務(wù)器 r a d i u s 為后者的通信提供合適的手段 也 可以用其他的協(xié)議去實(shí)現(xiàn) 認(rèn)證系統(tǒng)的p a e 與認(rèn)證服務(wù)器之間運(yùn)行e a p e x t e n s i b l e a u t h e m i c a f i o np r o t o c 0 1 協(xié)議 認(rèn)證方p a e 控制受控端口的操作狀態(tài) 但不干涉申請(qǐng)方 p a e 和認(rèn)證服務(wù)器之間的認(rèn)證交換 這種在認(rèn)證方p a e 和認(rèn)證功能的分離允許后端的 認(rèn)證服務(wù)器用不同的認(rèn)證機(jī)制來(lái)對(duì)申請(qǐng)方p a e 進(jìn)行驗(yàn)證 認(rèn)證方p a e 僅僅根據(jù)認(rèn)證交 換的結(jié)果來(lái)控制其受控端口的授權(quán)狀態(tài) 認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器之間的通信可以通過(guò)網(wǎng)絡(luò)進(jìn)行 也可以使用其他的通信通 道 例如如果認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器集成在一起 二個(gè)實(shí)體之間的通信就可以不采用 e a p 協(xié)議 認(rèn)證服務(wù)器通常為r a d i u s 服務(wù)器 該服務(wù)器可以存儲(chǔ)有關(guān)用戶的信息 比如 用戶所屬的v l a n c a r 參數(shù) 優(yōu)先級(jí) 用戶的訪問(wèn)控制列表等等 當(dāng)用戶通過(guò)認(rèn) 證后 認(rèn)證服務(wù)器會(huì)把用戶的相關(guān)信息傳遞給認(rèn)證系統(tǒng) 由認(rèn)證系統(tǒng)構(gòu)建動(dòng)態(tài)的訪問(wèn) 控制列表 用戶的后續(xù)流量就將接受上述參數(shù)的監(jiān)管 對(duì)于終端用戶的認(rèn)證可以采用如上所示的機(jī)制進(jìn)行 而對(duì)于網(wǎng)絡(luò)設(shè)備之間的認(rèn)證 則采用如下的方式 圖2 5 描述了這樣一種情況 當(dāng)一個(gè)網(wǎng)絡(luò)設(shè)備a 要求訪問(wèn)網(wǎng)絡(luò)設(shè)備b 所提供的 第二章8 0 2 1 x 協(xié)議介紹 8 0 2 1 xe a p t l s 部署應(yīng)用 服務(wù) 則系統(tǒng)a 的p a e 就成為客戶端 s u p p l i a n t 系統(tǒng)b 的p a e 為認(rèn)證系統(tǒng) a u t h e n t i c a t o r 如果b 要求訪問(wèn)a 所提供的服務(wù) 則b 的p a e 就成為客戶端 a 的 p a e 就成為認(rèn)證系統(tǒng) 3 r 啊c g f y o r e d i i i 一 一 掃l ya 咖嘣c 咖r ii s e r v i c e sc n y e r e d 1 ab r i d g er e l a y i i t ya u t h e n t i c a t o r ii l t gb r i d g er e l a y 夕 i1 7 一卜 曲 出曲 ii 鬯t 6 枷啪 l l o n h 叫r rlli j l蛔粵p 雎f l i ili l lii li 一一 l 蘋二二且芊一型 一 圖2 5 系統(tǒng)的兩種工作模式 2 3 4i e e e8 0 2 l x 協(xié)議的工作機(jī)制 1 認(rèn)證發(fā)起 認(rèn)證的發(fā)起可以由用戶主動(dòng)發(fā)起 也可以由認(rèn)證系統(tǒng)發(fā)起 當(dāng)認(rèn)證系統(tǒng)探測(cè)到未 經(jīng)過(guò)認(rèn)證的用戶使用網(wǎng)絡(luò) 就會(huì)主動(dòng)發(fā)起認(rèn)證 用戶端則可以通過(guò)客戶端軟件向認(rèn)證 系統(tǒng)發(fā)送e a p o l s t a r t 報(bào)文發(fā)起認(rèn)證 圖2 6i e e e8 0 2 1 x 協(xié)議的工作機(jī)制 1 2 8 0 2 i xe a p t l s 部署應(yīng)用 第二章8 0 2 1 x 協(xié)議介紹 1 由認(rèn)證系統(tǒng)發(fā)起的認(rèn)證 當(dāng)認(rèn)證系統(tǒng)檢測(cè)到有未經(jīng)認(rèn)證的用戶使用網(wǎng)絡(luò)時(shí) 就會(huì)發(fā)起認(rèn)證 在認(rèn)證開(kāi)始之 前 端口的狀態(tài)被強(qiáng)制為未認(rèn)證狀態(tài) 如果客戶端的身份標(biāo)識(shí)不可知 則認(rèn)證系統(tǒng)會(huì)發(fā)送e a p r e q u e s t i d e n t i t y 報(bào)文 請(qǐng)求客戶端發(fā)送身份標(biāo)識(shí) 這樣 就開(kāi)始了典型的認(rèn)證過(guò)程 j 客戶端在收到來(lái)自認(rèn)證系統(tǒng)的e a p r e q u e s t 報(bào)文后 將發(fā)送e a p r e s p o n s e 報(bào)文 響應(yīng)認(rèn)證系統(tǒng)的請(qǐng)求 認(rèn)證系統(tǒng)支持定期的重新認(rèn)證 可以隨時(shí)對(duì)一個(gè)端口發(fā)起重新認(rèn)證的過(guò)程 如果 端口狀態(tài)為已認(rèn)證狀態(tài) 則當(dāng)認(rèn)證系統(tǒng)發(fā)起重新認(rèn)證時(shí) 該端口通過(guò)認(rèn)證 那么狀態(tài) 保持不便 如果未通過(guò)認(rèn)證 則端口的狀態(tài)改變?yōu)槲凑J(rèn)證狀態(tài) 2 由客戶端發(fā)起認(rèn)證 如果用戶要上網(wǎng) 則可以通過(guò)客戶端軟件主動(dòng)發(fā)起認(rèn)證 客戶端軟件會(huì)向認(rèn)證系 統(tǒng)發(fā)送e a p o l s t a r t 報(bào)文主動(dòng)發(fā)起認(rèn)證 認(rèn)證系統(tǒng)在收到客戶端發(fā)送的e a p o l s t a r t 報(bào)文后 會(huì)發(fā)送e a p r e q u e s v i d e n t i t y 報(bào)文響應(yīng)用戶請(qǐng)求 要求用戶發(fā)送身份標(biāo)識(shí) 這樣就啟動(dòng)了一個(gè)認(rèn)證過(guò)程 i2 退出已認(rèn)證態(tài) 有幾種方式可以造成認(rèn)證系統(tǒng)把端口狀態(tài)從已認(rèn)證狀態(tài)改變成未認(rèn)證狀態(tài) 1 客戶端未通過(guò)認(rèn)證服務(wù)器的認(rèn)證 2 由于管理性的控制端口始終處于未認(rèn)證狀態(tài) 而不管是否通過(guò)認(rèn)證 3 與端口對(duì)應(yīng)的m a c 地址出現(xiàn)故障 管理性禁止或硬件故障 4 客戶端與認(rèn)證系統(tǒng)之間的連接失敗 造成認(rèn)證超時(shí) 5 重新認(rèn)證超時(shí) 6 客戶端未響應(yīng)認(rèn)證系統(tǒng)發(fā)起的認(rèn)證請(qǐng)求 7 客戶端發(fā)送e a p o l l o g o f f 報(bào)文 主動(dòng)下線 退出已認(rèn)證狀態(tài)的直接結(jié)果就是導(dǎo)致用戶下線 如果用戶要繼續(xù)上網(wǎng)則要再發(fā)起 一個(gè)認(rèn)證過(guò)程 為什么要專門提供一個(gè)e a p o l l o g o f f 機(jī)制 是處于如下安全的考慮 當(dāng)一個(gè)用戶從一臺(tái)終端退出后 很可能其他用戶不通過(guò)發(fā)起一個(gè)新的登錄請(qǐng)求 1 3 第二章8 0 2 i x 協(xié)議介紹8 0 2 1xe a p t l s 部署應(yīng)用 就可以利用該設(shè)備訪問(wèn)網(wǎng)絡(luò) 提供專門的退出機(jī)制 以確保用戶與認(rèn)證系統(tǒng)專有的會(huì) 話進(jìn)程被中止 可以防止用戶的訪問(wèn)權(quán)限被他人盜用 通過(guò)發(fā)送e a p o l l o g o f f 報(bào)文 可以使認(rèn)證系統(tǒng)將對(duì)應(yīng)的端口狀態(tài)改變?yōu)槲凑J(rèn)證狀態(tài) 3 重新認(rèn)證 根據(jù)時(shí)間 為了保證用戶和認(rèn)證系統(tǒng)之間的鏈路處于激活狀態(tài) 而不因?yàn)橛脩舳嗽O(shè)備發(fā)生故 障造成異常死機(jī) 從而影響對(duì)用戶計(jì)費(fèi)的準(zhǔn)確性 認(rèn)證系統(tǒng)可以定期發(fā)起重新認(rèn)證過(guò) 程 該過(guò)程對(duì)于用戶是透明的 也即用戶無(wú)需再次輸入用戶名 密碼 重新認(rèn)證由認(rèn)證系統(tǒng)發(fā)起 時(shí)間是從最近一次成功認(rèn)證后算起 重新認(rèn)證可以激 活或關(guān)閉 協(xié)議狀態(tài)參數(shù)r e a u t h e n a b l e d 控制是否定期進(jìn)行重新認(rèn)證 重新認(rèn)證的時(shí) 間由參數(shù)r c a u t h p c r i o d 控制 默認(rèn)值為3 6 0 0 秒 一個(gè)小時(shí) 而且默認(rèn)重新認(rèn)證是關(guān)閉的 重新認(rèn)證的時(shí)間設(shè)定需要認(rèn)真的規(guī)劃 認(rèn)證系統(tǒng)對(duì)端口進(jìn)入的m a c 地址的檢測(cè) 能力會(huì)影響到該時(shí)間的設(shè)定 如果對(duì)m a c 地址的檢測(cè)比較可靠 則重新認(rèn)證時(shí)間可 以設(shè)長(zhǎng)一些 4 認(rèn)證報(bào)文丟失重傳 對(duì)于認(rèn)證系統(tǒng)和客戶端之間通信的e a p 報(bào)文 如果發(fā)生丟失 由認(rèn)證系統(tǒng)負(fù)責(zé) 進(jìn)行報(bào)文的重傳 在設(shè)定重傳的時(shí)間時(shí) 考慮網(wǎng)絡(luò)的實(shí)際環(huán)境 通常會(huì)認(rèn)為認(rèn)證系統(tǒng) 和客戶端之間報(bào)文丟失的幾率比較低以及傳送延遲低 因此一般通過(guò)一個(gè)超時(shí)計(jì)數(shù)器 來(lái)設(shè)定 默認(rèn)重傳時(shí)間為3 0 秒鐘 對(duì)于有些報(bào)文的丟失重傳比較特殊 如e a p o l s t a r 報(bào)文的丟失 由客戶端負(fù)責(zé)重 傳 而對(duì)于e a p f a i l u r e 和e a p s u c c e s s 報(bào)文 由于客戶端無(wú)法識(shí)別 認(rèn)證系統(tǒng)不會(huì) 重傳 如果e a p f a i l u r e 或e a p s u c c e s s 報(bào)文發(fā)生丟失 則客戶端會(huì)在a u t h w h i l e 計(jì) 數(shù)器超時(shí)后 自動(dòng)轉(zhuǎn)變?yōu)閏 o n n e c t i n g 狀態(tài) 由于對(duì)用戶身份合法性的認(rèn)證最終由認(rèn)證服務(wù)器執(zhí)行 認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器之 間的報(bào)文丟失重傳也很重要 另外注意 對(duì)于用戶的認(rèn)證 在執(zhí)行8 0 2 1 x 認(rèn)證時(shí) 只有認(rèn)證通過(guò)后 才有d h c p 發(fā)起 如果配置為d h c p 的自動(dòng)獲取 和p 分配的過(guò)程 由于客戶終端配置了d h c p 自動(dòng)獲取 則可能在未啟動(dòng)8 0 2 1 x 客戶端之前 就發(fā)起了d h c p 的請(qǐng)求 而此時(shí)認(rèn) 1 4 8 0 2 1 xe a p t l s 部署應(yīng)用 第二章8 0 2 1 x 協(xié)議介紹 證系統(tǒng)處于禁止通行狀態(tài) 這樣認(rèn)證系統(tǒng)會(huì)丟掉初始化的d h c p