8021x寬帶接入防代理技術(shù)

802.1x寬帶接入防代理技術(shù)周峰、李金龍、薛勝琦克拉瑪依石化公司信息所摘要：本文講述和分析了802.1X協(xié)議的體系結(jié)構(gòu)，并介紹如何對(duì)通過(guò)sniffer抓包的數(shù)據(jù)分析，配合交換認(rèn)證設(shè)備的配置，設(shè)計(jì)出專用的客戶端程序防止用戶非法使用代理。關(guān)鍵詞：802.1x;EAP;sniffer一、背景需求現(xiàn)有一小區(qū)LAN寬帶網(wǎng)絡(luò)，采用802.1x認(rèn)證方式驗(yàn)證用戶，規(guī)模約1000用戶，隨著生活水平的提高和電腦的普及，用戶的上網(wǎng)需求不斷增長(zhǎng)，但是同時(shí)也出現(xiàn)一問(wèn)題，由于用戶都是樓房住戶，居住比較密集，許多用戶購(gòu)買一帶認(rèn)證功能的SOHO路由器或使用各種SyGate、WinGate等共享上網(wǎng)的軟件，私自實(shí)現(xiàn)多用戶共享接入，很大程度的影響了小區(qū)寬帶營(yíng)運(yùn)商用戶數(shù)量的發(fā)展和營(yíng)業(yè)利潤(rùn)的增長(zhǎng)。二、技術(shù)分析現(xiàn)有的共享寬帶接入主要分為軟件共享和硬件共享兩類。軟件共享就是在接入Internet的計(jì)算機(jī)上安裝SyGate、WinGate等共享上網(wǎng)的軟件，讓該計(jì)算機(jī)作為服務(wù)器首先認(rèn)證上網(wǎng)，其它計(jì)算機(jī)都通過(guò)雙網(wǎng)卡與之連接實(shí)現(xiàn)共享代理上網(wǎng)。所謂硬件共享，就是指局域網(wǎng)中的計(jì)算機(jī)通過(guò)寬帶路由器共享上網(wǎng)，它的設(shè)置比共享軟件簡(jiǎn)單，而且不需要服務(wù)器，任意一臺(tái)計(jì)算機(jī)都可以實(shí)現(xiàn)單獨(dú)上網(wǎng)。針對(duì)這兩種方式，常用的解決方案是有以下幾種：認(rèn)證方式上采用802.1X認(rèn)證客戶端的擴(kuò)展版，強(qiáng)制用戶使用專門的客戶端軟件，由客戶端軟件來(lái)檢測(cè)終端用戶計(jì)算機(jī)的網(wǎng)絡(luò)配置、雙網(wǎng)卡配置，實(shí)現(xiàn)對(duì)PROXY的檢查。同時(shí)這種方法也會(huì)使得使用帶標(biāo)準(zhǔn)認(rèn)證的SOHO路由器立即失效。用戶帶寬流量限制的方式，采用兩元組（源IP/目的IP）的方式對(duì)每用戶帶寬進(jìn)行限制，造成PROXY用戶共享帶寬時(shí)速度緩慢感到不方便，同時(shí)也可以考慮采用按流量計(jì)費(fèi)的方式。限制用戶連接數(shù)，通過(guò)對(duì)接入設(shè)備進(jìn)行配置，限制接入用戶TCP連接數(shù)目，如一個(gè)用戶分配10個(gè)連接，這樣PROXY代理將會(huì)造成最終用戶的不方便而無(wú)法正常使用。根據(jù)實(shí)際情況，我們決定采用第一種方式，通過(guò)與認(rèn)證交換機(jī)的配合強(qiáng)制用戶使用專門的上網(wǎng)客戶端驗(yàn)證軟件，通過(guò)檢查客戶端的網(wǎng)絡(luò)和硬件配置在認(rèn)證階段實(shí)現(xiàn)防代理、防共享的目的。以下我們來(lái)詳細(xì)分析802.1x認(rèn)證系統(tǒng)的實(shí)現(xiàn)原理。（一）、IEEE802.1概述IEEE802.1X是IEEE2001年6月通過(guò)的基于端口訪問(wèn)控制的接入管理協(xié)議標(biāo)準(zhǔn)。IEEE802.1x協(xié)議具有完備的用戶認(rèn)證、管理功能，可以很好地支撐寬帶網(wǎng)絡(luò)的計(jì)費(fèi)、安全、運(yùn)營(yíng)和管理要求，對(duì)寬帶P城域網(wǎng)等電信級(jí)網(wǎng)絡(luò)的運(yùn)營(yíng)和管理具有極大的優(yōu)勢(shì)。IEEE802.1x是一種基于端口的網(wǎng)絡(luò)接入控制技術(shù)，在LAN設(shè)備的物理接入級(jí)對(duì)接入設(shè)備進(jìn)行認(rèn)證和控制，此處的物理接入級(jí)指的是LanSwitch設(shè)備的端口。連接在該類端口上的用戶設(shè)備如果能通過(guò)認(rèn)證，就可以訪問(wèn)LAN內(nèi)的資源；如果不能通過(guò)認(rèn)證，則無(wú)法訪問(wèn)LAN內(nèi)的資源，相當(dāng)于物理上斷開連接。（二）、IEEE802.1X體系結(jié)構(gòu)IEEE802.1x的體系結(jié)構(gòu)中包括三個(gè)部分：SupplicantSystem，用戶接入設(shè)備；AuthenticatorSystem，接入控制單元；AuthenticationSeverSystem，認(rèn)證服務(wù)器。Authenticator每個(gè)物理端口內(nèi)部有受控端口

(ControlledPort)和非受控端口(uncontrolledPort)等邏輯劃分。非受控端口始終處于雙向連通狀態(tài)，主要用來(lái)傳遞EAPOL協(xié)議幀，可保證隨時(shí)接收Supplicant發(fā)出的認(rèn)證EAPOL報(bào)文。受控端口只有在認(rèn)證通過(guò)的狀態(tài)下才打開，用于傳遞網(wǎng)絡(luò)資源和服務(wù)。值得注意的是，在IEEE802.1x協(xié)議中的“可控端口”與“非可控端口”是邏輯上的理解，設(shè)備內(nèi)部并不存在這樣的物理開關(guān)。對(duì)于每個(gè)用戶而言，IEEE802.1x協(xié)議均為其建立一條邏輯的認(rèn)證通道，該邏輯通道其他用戶無(wú)法使用，不存在端口打開后被其他用戶利用問(wèn)題。(三)、IEEE802.1X的認(rèn)證過(guò)程基于802.1x的認(rèn)證系統(tǒng)在客戶端和認(rèn)證系統(tǒng)之間使用EAPOL格式封裝EAP協(xié)議傳送認(rèn)證信息，認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間通過(guò)RADIUS協(xié)議傳送認(rèn)證信息。由于EAP協(xié)議的可擴(kuò)展性，基于EAP協(xié)議的認(rèn)證系統(tǒng)可以使用多種不同的認(rèn)證算法，如EAP-MD5,EAP-TLS，EAP-SIM，EAP-TTLS以及EAP-AKA等認(rèn)證方法。以EAP-MD5為例，描述802.1x的認(rèn)證流程。EAP-MD5是一種單向認(rèn)證機(jī)制，可以完成網(wǎng)絡(luò)對(duì)用戶的認(rèn)證，但認(rèn)證過(guò)程不支持加密密鑰的生成?；贓AP-MD5的802.1x認(rèn)證系統(tǒng)功能實(shí)體協(xié)議棧如圖2所示?；贓AP-MD5的802.1x認(rèn)證流程如圖3所示，認(rèn)證流程包括以下步驟：EAP-MD5?*EAP-MD5EAPOLEAPOLRADIUSRADIUSi■-UDPUDPIPIPMACMACMACMACPHYPHYPHYPHY客戶端接入設(shè)備RADIUS客戶端攙人設(shè)備分配地址DHCP分配勉能計(jì)費(fèi)開始^APoL-StartAccess-AcceptfAccept/RefectyEAP-Success/Failure計(jì)費(fèi)開％俏求ii費(fèi)開始應(yīng)答EAP-技equesVlD認(rèn)讓過(guò)程EAP-Requcst/MD5-Challenge客戶端攙人設(shè)備分配地址DHCP分配勉能計(jì)費(fèi)開始^APoL-StartAccess-AcceptfAccept/RefectyEAP-Success/Failure計(jì)費(fèi)開％俏求ii費(fèi)開始應(yīng)答EAP-技equesVlD認(rèn)讓過(guò)程EAP-Requcst/MD5-ChallengeEAF-RcqinHV'MD5-ChaJlcnpcEAP-Success/F&iluruAccess-Chal(enga^EAPResponse/MDS'CballengeFha｝】g[cdpassword)Acccss-Requesl/EAP-Response/LD(ChallengedPassword)EAP■RcsponscZIDAcwss-Req^es(/EAP-Rcs[Min5c.1D1、客戶端向接入設(shè)備發(fā)送一個(gè)EAPoL-Start報(bào)文，開始802.1x認(rèn)證接入；2、接入設(shè)備向客戶端發(fā)送EAP-Request/Identity報(bào)文，要求客戶端將用戶名送上來(lái)；3、客戶端回應(yīng)一個(gè)EAP-Response/Identity給接入設(shè)備的請(qǐng)求，其中包括用戶名；4、接入設(shè)備將EAP-Response/Identity報(bào)文封裝到RADIUSAccess-Request報(bào)文中，發(fā)送給認(rèn)證服務(wù)器；5、認(rèn)證服務(wù)器產(chǎn)生一個(gè)Challenge，通過(guò)接入設(shè)備將RADIUSAccess-Challenge報(bào)文發(fā)送給客戶端，其中包含有EAP-Request/MD5-Challenge；6、接入設(shè)備通過(guò)EAP-Request/MD5-Challenge發(fā)送給客戶端，要求客戶端進(jìn)行認(rèn)證；7、客戶端收到EAP-Request/MD5-Challenge報(bào)文后，將密碼和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回應(yīng)給接入設(shè)備；8、接入設(shè)備將Challenge，ChallengedPassword和用戶名一起送到RADIUS服務(wù)器，由RADIUS服務(wù)器進(jìn)行認(rèn)證：9、RADIUS服務(wù)器根據(jù)用戶信息，做MD5算法，判斷用戶是否合法，然后回應(yīng)認(rèn)證成功/失敗報(bào)文到接入設(shè)備。如果成功，攜帶協(xié)商參數(shù)，以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán)。如果認(rèn)證失敗，則流程到此結(jié)束；10、如果認(rèn)證通過(guò)，用戶通過(guò)標(biāo)準(zhǔn)的DHCP協(xié)議（可以是DHCPRelay），通過(guò)接入設(shè)備獲取規(guī)劃的IP地址；11、如果認(rèn)證通過(guò)，接入設(shè)備發(fā)起計(jì)費(fèi)開始請(qǐng)求給RADIUS用戶認(rèn)證服務(wù)器；12、RADIUS用戶認(rèn)證服務(wù)器回應(yīng)計(jì)費(fèi)開始請(qǐng)求報(bào)文。用戶上線完畢。（四）、EAPOL協(xié)議的介紹1、IEEE802.1x定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議，需要注意的是該協(xié)議僅適用于接入設(shè)備與接入端口間點(diǎn)到點(diǎn)的連接方式。為了在點(diǎn)到點(diǎn)鏈路上建立通信，在鏈路建立階段PPP鏈路的每一端都必須首先發(fā)送LCP數(shù)據(jù)包來(lái)對(duì)該數(shù)據(jù)鏈路進(jìn)行配置。在鏈路已經(jīng)建立起來(lái)后，在進(jìn)入網(wǎng)絡(luò)層協(xié)議之前，PPP提供一個(gè)可選的認(rèn)證階段。而EAPOL就是PPP的一個(gè)可擴(kuò)展的認(rèn)證協(xié)議。2、下面是一個(gè)典型的PPP協(xié)議的幀格式:FlagAddressControlProtocolInformation當(dāng)PPP幀中的protocol域表明協(xié)議類型為C227(PPPEAP)時(shí)，在PPP數(shù)據(jù)鏈路層幀的Information域中封裝且僅封裝PPPEAP數(shù)據(jù)包，此時(shí)表明將應(yīng)用PPP的擴(kuò)展認(rèn)證協(xié)議EAP。這個(gè)時(shí)候這個(gè)封裝著EAP報(bào)文的information域就擔(dān)負(fù)起了下一步認(rèn)證的全部任務(wù)，下一步的EAP認(rèn)證都將通過(guò)它來(lái)進(jìn)行。3、一個(gè)典型的EAP認(rèn)證的過(guò)程分為：request、response>success或者failure階段，每一個(gè)階段的報(bào)文傳送都由Information域所攜帶的EAP報(bào)文來(lái)承擔(dān)。EAP報(bào)文的格式為：CodeIdentifierLengthData、Code域?yàn)橐粋€(gè)字節(jié)，表示了EAP數(shù)據(jù)包的類型，EAP的Code的值指定和意義如下：Code=1RequestCode=2ResponseCode=3SuccessCode=4Failure、Indentifier域?yàn)橐粋€(gè)字節(jié)，輔助進(jìn)行request和response的匹配(每一個(gè)request都應(yīng)該有一個(gè)response相對(duì)應(yīng))，這樣的一個(gè)Indentifier域就建立了這樣的一個(gè)對(duì)應(yīng)關(guān)系即相同的Indentifier相匹配。、Length域?yàn)閮蓚€(gè)字節(jié)，表明了EAP數(shù)據(jù)包的長(zhǎng)度，包括Code,Identifier,Length以及Data等各域。超出Length域范圍的字節(jié)應(yīng)該視為數(shù)據(jù)鏈路層填充(padding)，在接收時(shí)應(yīng)該被忽略掉。、Data域?yàn)?個(gè)或者多個(gè)字節(jié)，Data域的格式由Code的值來(lái)決定。當(dāng)code域?yàn)?或者2的時(shí)候，報(bào)文格式為IdentifierLengthTypeTypeDateCodeType域的說(shuō)明如下：Type域總共分為6個(gè)值域，其中頭3種Type被認(rèn)為特殊情形的Type，其余的Type定義了認(rèn)證的交換流量。Nak類型僅對(duì)Response數(shù)據(jù)包有效，不允許把它放在Request中發(fā)送。Type=1IdentifierType=2NotificationType=3Nak(ResponseOnly)Type=4MD5-ChallengeType=5One-TimePassword(OTP)Type=6GenericTokenCard三、具體實(shí)現(xiàn)(一)、交換機(jī)配置：要達(dá)到強(qiáng)制用戶使用特定的客戶端的目的，必須在客戶端和認(rèn)證端增加交互通訊，以驗(yàn)證客戶端的有效性。在實(shí)例中使用港灣的16i，交換機(jī)配置項(xiàng):configdotlxsupp-secret{<select>}*1，可以配置客戶端密鑰，通過(guò)此配置可以實(shí)現(xiàn)對(duì)客戶端軟件版本的檢查、升級(jí)及合法性的檢查，實(shí)現(xiàn)強(qiáng)制用戶使用特定的客戶

端的目的。（二）、客戶端實(shí)現(xiàn)：1、Sniffer抓包分析使用Snifferpro4.7可以獲取客戶端認(rèn)證過(guò)程的數(shù)據(jù)包收發(fā)流程。|目標(biāo)地址LI180C200LI0LI300047642DDBC00047642DDBC0180020000030180C20000LI300047642DDBC0180C200000300047642DDBC|目標(biāo)地址LI180C200LI0LI300047642DDBC00047642DDBC0180020000030180C20000LI300047642DDBC0180C200000300047642DDBC'[10.187.193.3][255.255.255.25源地址|00047642DDBC00053B58046D00053B58046D00047642DDBC00047642DDBC00053B58046D00047642DDBC00053B5S046DJT-Z6R7UC85HE4T[0.0.0.0][10.187.209.254JT-ZhR7UC85HS4T[0.0.0.0][10.187.209.25400047642DDBC00047642DDBC[255.255.2E5.25JT-ZbR7UC85HE4TBroadcastBroadcast摘要CODE1(RequestPacket)IDENTIFIER=1CODE1(RequestPacket.)IDENTIFIER=1CODE2(ResponsePacket)IDENTIFIER=CODE2(ResponsePacket)IDENTIFIER=CODE1(RequestPacket)IDENTIFIER=2CODE2(ResponsePacket)IDENTIFIER=CODE3(SuccessPacket)IDENTIFIER=0IX:EAPOL-Start2PPPPPPPn-r-A*15l-il1M^1M^1±11AI11I-EEEEEEEDHCP:Request..Messagetype:DHCPReleaseDHCP:RequestMessagetype:DHCPDiscoverDHCP:Reply.Messagetype:DHCPOfferDHCP:Request..Messagetype:DHCPRequestDHCP:Reply,Messagetype:DHCPAckARP:CPA=[1LI.187.208.3]JT-Z6R7UC85HS4TPRO=：ARP:CPA=[10.187.208.3]JT-Z6R7UC85HS4TPRO=：Len尊64646464646464643423433423673426060其中，源地址是數(shù)據(jù)包發(fā)送端設(shè)備的MAC；目標(biāo)地址是數(shù)據(jù)包接收端設(shè)備的MAC；Len是數(shù)據(jù)包總長(zhǎng)；摘要是數(shù)據(jù)包內(nèi)容摘要說(shuō)明。認(rèn)證流程如下：、點(diǎn)擊認(rèn)證按鈕，客戶端發(fā)送EAPOL-START包，請(qǐng)求認(rèn)證。、交換機(jī)發(fā)送64字節(jié)請(qǐng)求用戶名包。、客戶端發(fā)送含用戶名的包。、交換機(jī)發(fā)送含MD5-Challenge的包。、客戶端發(fā)送含經(jīng)MD5加密后的密碼和用戶名的包。、如果帳號(hào)、IP合法，交換機(jī)發(fā)送成功認(rèn)證包，和失敗包離線包。以上發(fā)送的包中，均為64字節(jié)，發(fā)現(xiàn)有個(gè)別情況EAPOL-START包為80字節(jié)，經(jīng)過(guò)分析發(fā)現(xiàn)是由于客戶端發(fā)送的IE代理和客戶端靜態(tài)IP地址信息，由于本系統(tǒng)采用現(xiàn)驗(yàn)證再分配IP地址，所以這點(diǎn)不用考慮。包結(jié)構(gòu)為：、0x00-0x056字節(jié)源MAC（客戶端發(fā)送的數(shù)據(jù)包里該地址為客戶端MAC,交換發(fā)出的數(shù)據(jù)包里為交換機(jī)MAC）、0x06-0x0b6字節(jié)目標(biāo)MAC（在客戶端發(fā)送的數(shù)據(jù)包里該地址均為組播地址：0180。2000003,交換發(fā)出的數(shù)據(jù)包里均為客戶端MAC）、0x0c-0x0d2字節(jié)協(xié)議（888e，聲明是802.1x協(xié)議類型）、0x0e1字節(jié)版本（01）、0x0f1字節(jié)包類型（01表示認(rèn)證開始，02表示請(qǐng)求斷開，00表示EAP數(shù)據(jù)包）、0x10-0x112字節(jié)包長(zhǎng)度（按照IEEE標(biāo)準(zhǔn)議是從下面一下字節(jié)開始計(jì)算，到最后一個(gè)字節(jié)）7、0x121字節(jié)Code（01：請(qǐng)求，02：回復(fù)，03：成功，04：失?。?、0x131字節(jié)Identifier標(biāo)識(shí)（從01開始，每成功收發(fā)一次，自動(dòng)加一，到FF后清零重新開始，似乎并不嚴(yán)格要求。）⑨、0x14-0x152字節(jié)Length包長(zhǎng)度（通常情況下與（6）的內(nèi)容相同）⑩、0x16EAP數(shù)據(jù)類型(01Identity,02Notification,03Nak(Responseonly),04MD5-Challenge,05One-TimePassword(OTP)(RFC1938),06GenericTokenCard)從這個(gè)字節(jié)開始為EAP數(shù)據(jù)(可包含用戶名、加密后的密碼、IP、出錯(cuò)信息等)，其中在請(qǐng)求在請(qǐng)求和回應(yīng)用戶名數(shù)據(jù)包里，第一個(gè)字節(jié)均為01Identitytype，請(qǐng)求和回應(yīng)密碼數(shù)據(jù)包第一個(gè)字節(jié)為04MD5-Challenge。在請(qǐng)求連接和斷開連接，以及驗(yàn)證成功和離線失敗數(shù)據(jù)包內(nèi)，該段數(shù)據(jù)均可以為空。2、編程實(shí)現(xiàn)客戶端在VC6.0下開發(fā)，要求安裝Winpcap3.01a軟件環(huán)境，調(diào)用winpcap庫(kù)完成發(fā)包認(rèn)證過(guò)程.首先初始化構(gòu)造認(rèn)證請(qǐng)求包、斷開連接包、版本信息包、用