基于8021x协议的Radius认证原理及实现.pdf

《基于8021x协议的Radius认证原理及实现.pdf》由会员分享，可在线阅读，更多相关《基于8021x协议的Radius认证原理及实现.pdf（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2 0 1 0 年第4 期中图分类号：T P 3 9 3 0 8文献标识码：A文章编号：1 0 0 9-2 5 5 2 2 0 1 0)0 4-0 1 1 1 0 2基于8 0 2 1x 协议的R a d i u s 认证原理及实现华镔1，曹娜2(1 南京莱斯信息技术股份有限公司，南京2 1 0 0 0 7；2 中国电子科技集团公司信息中心，南京2 1 0 0 0 7)摘要：介绍了几种常用的认证方式的优缺点，并阐述了无线接入协议8 0 2 1 x 的原理和认证实现的过程，完成了其R a d i u s 认证管理技术在企业内网中的应用设计。关键词：8 0 2 1 x；认证；访问控制；R a d

2、i u sR a d i u sa u t h e n t i c a t i o np r i n c i p l ea n di t si m p l e m e n t a t i o nb a s e do n8 0 2 1Xp r o t o c o lH U AB i n l，C A ON a 2(1 N a n j l n gL a i s lI n f o r m a t i o nT e c h n o l o g yC o，L t d，S a n j i a g2 1 0 0 0 7，C h i n a；2 I n f o r m a t i o nC e n t e ro

3、 fC h i n aE l e c t r o n i cS c i e n c ea n dT e c h n o l o g yC o r p o r a t i o n，N a n j i n g2 1 0 0 0 7，C h i n a)A b s t r a c t：T h i sp a p e ri n t r o d u c e dt h ea d v a n t a g e sa n ds h o r t c o m i n g sO fs e V e r a lc o m m o na u t h e n t i c a t i o nm e t h o d s，e l a

4、 b o r a t e dt h ep r i n c i p l eo fI E E E 8 0 2 1xw i r e l e s sa c c e s sc o n t r o lp r o t o c o la n dt h ea u t h e n t i c a t i o np r o c e s s，c o m p l e t e dt h ea p p l i c a t i o nd e s i g no fR a d i u sa u t h e n t i c a t i o nm a n a g e m e n tt e c h n o l o g yi ni n

5、t r a n e t K e yw o r d s：8 0 2 1 x；a u t h e n f i e a f i o n；a c c e s sc o n t r o l；R a d i u sl几种主要认证方式的介绍1 1W e b 认证W e b 认证是较传统，也是早期应用最普遍的一种认证方式，客户端不需要安装代理软件，只需要通过浏览器就可以完成认证，对于用户来讲使用起来比较方便。但是W e b 认证方式存在一些缺陷。首先，为了实现8 0 2 1 x 必须使用能够支持七层协议的网络设备，而该类型的设备往往造价较高，从而导致建网成本的增加；其次，W e b 认证方式要求客户端在认证前

6、先获取口地址，因此负责分配m 地址的D H C P 服务器将直接面对客户端，从而容易造成被恶意攻击。最后，W e b 认证用户的连接性较差，不容易检测用户是否离线，并且认证前后业务流量和数据流量难以区分。所以，W e b 认证只适合在简单的网络中使用。1 2P P P O E 认证P P P o E(P o i n t t o P o i n tP r o t o c o lo v e rE t h e r n e t)是在以太网上建立P P P 连接，由于它在传统的拨号上网应用中显示出良好的可扩展性和优质的管理控制机制，因此得到了宽带接入运营商的认可并被广为采用。但是该协议是从窄带网引入到宽

7、带网的，因此虽然在窄带网中的应用较普遍，但将其应用于宽带网，必然会有其局限性和弊端。对于用户发出的数据包，认证系统必须使用价格昂贵的B A S 设备将其拆解后才能判断和识别用户的合法性。认证完成后，业务数据流也必须通过B A S 设备传输，很容易造成网络单点故障。如果用户数量不断增大或者数据包增大，封装速度必然落后，从而造成对网络访问的迟滞。另外P P P 协议和E t h e m e t 技术本质上存在差异，P P P 协议需要被再次封装到以太帧中，所以封装效率很低。该认证方式与W e b 认证不同的是，需要提供客户端认证软件，这也造成了维护和管理上的工作量过大。1 38 0 2 1 x 认

8、证8 0 2 1 x 即基于端口的访问控制协议(p o r tb a s e dn e t w o r ka c c e s sc o n t r o lp r o t o c 0 1)，用于解决无线局域网用户的接入认证问题，它提供了在网络多点环境中点到点的认证方式，从而实现接收合法用户认证，收稹日期：2 0 0 9 1 0 一1 6作者简介：华镔(1 9 8 0 一)，男，东南大学本科生，助理工程师，主要研究方向为U n i x 系统和网络安全。一1 1 1 万方数据墩|ili；端口U 端旷ii!图18 0 2 1 x 认证系统8 0 2 1 x 是一种基于端口的认证协议，是一种对用户进行认

9、证的方法和策略。在未认证或者认证失败情况下，端口处于“受控端口”状态，只允许8 0 2 1 x 的认证协议报文通过；如果端口认证成功那么就处于“非受控端口”状态，允许所有的报文通过。8 0 2 1 x 认证系统中包括申请者系统、认证系统和认证服务器系统，各系统间的通信是P A E(P o r ta c c e s se n t i r e)采用E A P 协议封装于E A P o L(E A Po v e rL A N)中，分组在L A N 上进行的。(1)请求者系统请求者一般是网络中的客户终端，由网络中的的认证系统对它进行认证。请求者必须支持8 0 2 1 x 认证，当需要连接认证网络时，用

10、户通过客户端软件发送8 0 2 1 x 认证请求。(2)认证系统认证系统通常为支持8 0 2 1 x 协议的网络设备，如接入交换机或者无线A P，它为请求者提供服务端口，并起到认证请求的传递作用。(3)认证服务器系统认证服务器是为认证系统提供认证服务的实一l】2 体，建议使用R A D I U S(R e m o t eA u t h e n t i c a t i o nD i a l I nU s e rS e r v i c e)远程用户拨号认证服务器来实现认证服务器的认证和授权功能。当认证系统工作于中继方式时，认证系统与认证服务器之间也运行E A P 协议，E A P 帧中封装认证数据

11、，将该协议承载在其它高层次协议中，以便通过网络到达认证服务器；当认证系统工作于终结方式时，认证系统终结E A P o L 消息，并转换为其它认证协议，传递用户认证信息给认证服务器系统。3典型8 0 2 1 x 认证系统的实现3 1 认证过程8 0 2 I x 认证系统的认证步骤为：(1)首先由客户端使用E A P 协议发送请求帧到交换机端口，交换机检测到请求帧后，要求客户端发出身份标识。(2)客户端发送身份标识信息，交换机收到后将身份标识信息打包，通过受控端b 向认证服务器(R a d i u sS e r v e r)发送请求验证。(3)认证服务器收到请求后，先对客户机认证，再通过A c c

12、 e s sR e q u e s t 消息中的信息验证用户，并返回认证结果给交换机。(4)如果认证通过，端口更改为非受控状态，允许通过该端口通信。(5)客户机向D H C P 服务器请求分配I P 地址。(6)接收到客户机的D H C P 广播帧后，交换机作为中继代理，将请求转发至D H C P 服务器。(7)交换机通知计费服务器开始计费。(8)客户端关闭连接后，交换机向认证服务器发送注销信息，通知计费服务器停止计费，关闭端口。3 2 认证在无线网中的应用目前，不少企业出于使用便利和建设成本的考虑，较普遍地将无线局域网引入企业网，但同时也带来了一些安全和管理问题。通过8 0 2 I x 认证

13、系统有效地解决了上述问题。某企业为实现移动办公部署了一套无线局域网，主要设备有接入层交换机C i s c oC 3 5 6 0 G 和无线A P，需要进行安全认证的P C 所连接的交换机端口被配置为8 0 2 1 xA u t h e n t i c a t o r 管理，这些端口初始为受控端口状态，只允许通过8 0 2 1 x 的控制协议报文。(下转第1 1 5 页)万方数据R F I I)四读器卜数掘-4 幽像显示l。纨弋处理-4 定位信息上作 红外1 垄l 像处理甲台I 丝少站一I 数据侔图2 矿工位置确定系统的组成系统软件的运行主流程是：采集程序外部中断服务程序中交替对摄像头的奇偶场视

14、频信号进行采集，主程序交替对数据进行处理和计算并给出控制量，周期2 0 m s。主程序检测到完成一场采集数据准备好标志后，对相应的数据进行处理并计算控制量，与R F I D 读卡器获取的人员信息进行对照匹配，然后清除数据准备好标志，同时等待下一场数据的到来。主程序流程如图3 所示。图3 工作站软件主流程5双系统的工程实现采用加除潮装置或采用密闭式气室等方式，以保证红外瓦斯检测设备的正常工作，将井下环境恶劣，水气、煤尘、震动等的影响降至最低。按照国家要求，矿山井下设备必须防爆，传统上常采用密闭式设计，设备中有抽气装置，这样设备电功率以及体积庞大，再加上防爆壳，不便安装使用，所以要使用轻巧的材质做

15、材料。R F I D 设备的选取需要使用经过煤矿安全检测认证的产品，红外摄像机的选用也要满足此安全要求。此外，有条件的矿井可与煤矿现行视频监测系统兼容，以便于设备升级改造和节省系统成本。参考文献：1 胡圣波，郑志平一种井下R F I D 定位系统的读卡器防碰撞算法 J 工矿自动化，2 0 0 6(4)2 曾宪武，包淑萍煤矿综合安全监控装置设计与研制 J 。电测与仪表，2 0 0 6(9)3 李小伟。马海燕，孙宗罡，等基于非分散红外(N D I R)原理的便携式瓦斯检测仪 J 山东科学，2 0 0 8(1)4 王汝琳矿井瓦斯传感器的近代研究方法及方向 J 煤矿自动化，1 9 9 8(4)：1 6

16、 一1 8 责任编辑：么丽苹(上接第1 1 2 页)P C 机作为申请者，利用W i n d o w s 的身份认证系统将用户名和口令信息通过接入交换机发送到认证服务器。认证服务器通过对比自身配置库中的信息，将认证结果和相关附属配置下发到接入交换机，交换机根据认证结果选择是否开放端口。如果开放端口，交换机会将诸如V L A N I D，A C L 访问控制列表等信息配置到该端口。其中V L A N 配置可以通过动态V L A N 协议自动分配到其他交换机。通过这种方式，用户可方便地在企业网的任何位置安全地接入工作网络。而管理人员只需要通过对认证服务器的配置库管理，就能轻松实现对企业网所有用户的

17、管理。另外8 0 2 1 x 通过对R a d i u s 的支持，还能提供计费等扩展应用功能。通过监测接入端口的会话时间和流量，向计费服务器发出计费报文，从而方便地实现对流量、时间计费等需求。4结束语随着网络技术的不断更新，网络的规模不断扩大，形式也趋于多样化，如何建设便于管理的、可靠的、高性能的网络，为用户的使用带来更多的便利，是网络管理部门必须考虑的内容。8 0 2 1 x 认证的应用，使有线网络和无线网络领域中的接入访问控制和安全管理问题得到了很好的解决。更重要的是，通过将数据帧加密技术以及认证算法结合使用，网络的管理达到了可升级、易管理、可移动特性。基于8 0 2 1 x 标准认证协

18、议的认证形式，完全解决了传统认证所存在的问题，为建设可靠的、高性能的网络提供了很好的支持。参考文献：【1 I E E ES t d8 0 2 1 x-2 0 0 4 基于端1 2 1 的网络访问控制 s I E E E标准(2 毛拥华8 0 2 1 x 认证技术分析及其应用建议 J 通信世界，2 0 0 4(8)3】李鉴增，包红刚宽带网络技术 M 北京：中国广播电视出版社，2 0 0 3 4 B L U N K L，V O L L B R E C H T J I E T FR F C2 2 M，P P PE x t e n s i b l eA u t h e n f i e a f i o

19、nP r o t o c o l(r A P)S I E T F，1 9 9 8 5 柏刚基于以太网端1 2 I 的用户访问控制技术 J 宽带城域网，2 0 0 2，3 9：5 6 5 责任编辑：么丽苹一1 1 5 万方数据基于802.1x协议的Radius认证原理及实现基于802.1x协议的Radius认证原理及实现作者：华镔，曹娜作者单位：华镔(南京莱斯信息技术股份有限公司,南京,210007)，曹娜(中国电子科技集团公司信息中心,南京,210007)刊名：信息技术英文刊名：INFORMATION TECHNOLOGY年，卷(期)：2010，(4)被引用次数：0次 参考文献(5条)参考文献

20、(5条)1.IEEE Std 802.1x-2004.基于端口的网络访问控制2.毛拥华 802.1x认证技术分析及其应用建议 2004(8)3.李鉴增.包红刚 宽带网络技术 20034.BLUNKL,VOLLBRECHTJ PPP Extensible Authentication Protocol(EAP)19985.柏刚 基于以太网端口的用户访问控制技术 2002 相似文献(10条)相似文献(10条)1.期刊论文 李昕.左明.LI Xin.ZUO Ming Web认证及802.1x认证的比较-现代计算机（专业版）2003,(11)本文介绍了传统的Web认证及基于以太网端口的用户访问控制协议

21、802.1x认证的认证过程,通过对比总结了各自的技术特点,表明了802.1x认证协议的优越性.2.学位论文 刘兆风 基于802.1x的认证客户端研究及实现 2006 IEEE 802.1x是IEEE为了解决基于端口的接入控制而定义的一个标准，其起源于无线局域网认证，现开始应用于一般的有线局域网的接入认证。802.1x认证基于逻辑端121把认证流和业务流进行分离。802.1x认证因其实现简单、认证效率高和支持多业务等优点，在大型网络运营中获得了广泛的应用。广州大学校园网络部署采用核心、分布和接入的三层架构，约有1200台接入层交换机，采用了基于802.1x的CBMS平台认证计费解决方案。但在应用

22、过程中存在着无Linux客户端和兼容性等问题。本文的工作就是通过对认证系统的研究和报文分析，实现Linux平台下的客户端，并解决应用中的一些问题。本文首先研究了802.1x的工作原理、体系结构和认证机制。802.1x是基于端口的访问控制协议，认证系统端口有两种逻辑状态，对应着非受控和受控两种逻辑端口。非受控端口只传输认证协议报文，受控端口只有在认证通过之后才能传输业务报文。802.1 x采用了客户端系统、认证系统和认证服务器三级体系架构，客户端和认证系统之间传输EAPOL协议报文。认证机制主要包括认证发起、退出、重新认证、报文重传和异常下线检测等机制。本文利用Sniffer工具深入分析了802

23、.1x认证的发起报文、在线检测报文、下线报文和Foundry认证系统的报文扩展属性。802.1x协议的EthernetType为888E。认证系统产品都在标准协议的技术上做了私有协议的扩展和功能的扩展实现。客户端利用EAPOL-Start的扩展属性向认证系统报告客户端的情况。认证系统通过EAP-Success的扩展属性向客户端发出一些告知。在此基础上，设计了符合IEEE 802.1x标准的客户端状态机，明确了客户机的几种状态和触发转换机制。利用Libpcap和Libnet开发包在Linux平台下实现了客户端，该系统支持Foundry报文扩展属性以及Keep alive机制。该系统在几个月的试用

24、过程中，运行稳定，解决了原先存在的一些问题，满足了应用需求，实现了预定的目标。对系统的更好理解和分析，提供更多的功能扩展和更好的兼容性将是后续的工作方向。3.期刊论文 张敬伟.周德新.ZHANG Jing-wei.ZHOU De-xin 基于VxWorks的802.1X认证者实现-兵工自动化2005,24(3)基于VxWorks的802.1X认证者,认证阶段在申请者和认证服务器间认证请求和响应信息.认证后根据认证服务器结果控制端口开放状态,并通知申请者使用网络资源.其设计包括受控和非受控端口状态、收发数据链路层帧和传输层数据包、应用加密算法、状态机的实现与融合等.以实现认证安全性,及认证和业务

25、数据流的分离.4.期刊论文 侯效礼.安计永.边永涛.张其泽.张中华.HOU Xiao-li.AN Ji-yong.BIAN Yong-tao.ZHANG Qi-ze.ZHANG Zhong-hua 基于推送式802.1x认证系统的设计与实现-计算机工程与设计2006,27(13)802.1x认证的缺点是认证前需要用户事先把客户端认证软件下载到本地,这给大量的前端用户造成太多的麻烦.提出了基于推送式的802.1x认证计费系统,该系统结合Web认证的优点,通过采用GUEST-VLAN方法和策略路由,使用户在认证前可以访问认证服务器,在服务器端智能推送802.1x客户端,从而有效地克服了802.1x

26、固有的弱点,让802.1x认证计费得到更好的扩展与普及.目前该系统运行正常,达到了设计要求.5.学位论文 钟碧磊 基于802.1x的三层交换机认证系统与无线局域网认证系统的研究与实现 2005 文章分为两大部分，第一部分讨论802.1x在三层交换机上的实现问题。首先，综述了三层交换技术和交换机安全认证技术的进展与研究现状，概括说明了802.1x的体系结构和端口访问控制思想，重点描述了802.1x的协议机制和认证流程。在此基础上构建了基于802.1x的三层交换机认证系统功能结构图，引出笔者负责的认证方模块。对实现中的重传问题和状态机问题进行研究，并对共享式以太网环境下的“搭载”安全隐患进行深入研

27、究，提出在此环境下实现802.1x的优化方案。使用标准C语言设计并实现该认证系统。第二部分讨论了802.1x在无线局域网认证系统中的实现。首先概要介绍了无线局域网的安全问题，引出无线局域网中著名的中间人攻击问题，通过研究中间人攻击问题的产生原因提出采用客户端和服务器相互认证的解决方案。给出多种802.1x和不同的EAP(可扩展身份验证协议)协议相结合解决中间人攻击问题的方案。最后，对论文研究的主要内容进行总结，对今后的研究方向作了设想。6.期刊论文 于承斌.尚年.杨慧慧.崔萌.YU Cheng-bin.SHANG Nian.YANG Hui-hui.CUI Meng 基于802.1x协议的认证

28、系统的研究与改进-计算机工程2008,34(17)在以太网接入控制技术中,基于IEEE802.1x协议的认证系统有较大的优势,但在网络接入管理的实际中存存缺陷与不足.该文对基于802.1x协议的认证管理系统进行研究,介绍802.1x协议的体系结构,分析802.1x协同RADIUS协议应用于认证计费系统的工作原理、认证机制与流程,针对存在的问题给出一个改进的方案,通过增加网络流量作为新的认证元素,达到主动认证、高效控制的效果.7.期刊论文 于承斌.YU Cheng-bin 对基于802.1x协议的认证机制及缺陷的研究-信息技术2006,(11)简要介绍802.1x协议的认证结构与认证机制,研究该

29、认证机制下的一些问题与缺陷.首先,介绍基于端口控制的802.1x协议的认证原理及特点优势;其次,结合网管实践及调查研究分析探讨802.1x标准下认证存在的问题与缺陷.结论是基于802.1x协议的认证机制比传统认证有优势,但在安全控制与网络管理上暴露出一些问题与缺陷.8.学位论文 高晓琦 802.1x协议分析及windows平台下客户端设计 2004 随着以太网技术的飞速发展,其应用也日益广泛.目前以太网技术既是使用最广泛的组网技术,也几乎毫无例外地成为用户计算机入网的接入技术.然而以太网接入的特点是用户只要能接入以太网交换机,就可以访问Internet网上的资源.它不提供对接入用户的身份进行认

30、证的功能.出于网络安全的考虑和计费的需要,网络管理者和运营商都明显地感到了对以太网端口进行控制的需求.在这样的背景下,802.1x标准应运而生,从而为以太网环境提供了一种标准的基于端口的访问控制机制和认证手段.802.1x的出现有效解决了传统的PPPOE和Web/Portal认证方式带来的问题如网络认证瓶颈,优化了认证过程,降低了建网成本,增强了网络安全.因此802.1x认证方式可为运营商建设可运营、可管理的电信级宽带网络提供很好的支持.目前802.1x协议已成为主流交换机的标准配置,也是用户在选型时考察设备的一个指标.因此该论文选择802.1x协议作为毕业论文设计的目的,在于深入学习802.

31、1x这种新兴的以太网接入认证方式,通过对该协议进行分析研究,以解决实际应用中遇到的问题,为802.1x认证方式的应用提供参考.该论文首先较全面地分析了802.1x标准产生的背景、协议的设计思路、认证体系结构和该标准采用的通信协议.在此基础上,将802.1x协议与传统接入认证技术如PPPOE、Web/Portal进行比较,总结出802.1x认证技术的特点与优势,以及该技术的应用前景;然后详细分析了802.1x客户端软件在基于802.1x的接入认证过程中必不可少的重要作用以及其应提供的基本功能,并在Windows2000平台下设计了该客户端软件;接着针对利用代理共享上网这种现象,分析了代理机制与代

32、理服务器的一般配置,在此基础上提出在802.1x客户端上防止代理服务器上网的具体解决办法;最后对802.1x客户端软件提出扩展功能的建议,将主机漏洞检测与桌面防火墙功能集成与802.1x客户端软件中,使其在保证合法用户使用网络的同时,确保合法接入用户系统的安全.9.期刊论文 白万建.刘冰 局域网中802.1x认证方式研究与实现-计算机系统应用2006,(7)802.1x协议网络认证方式是一种具有发展潜力的认证方式.本文介绍了802.1x协议在局域网认证中的工作原理和认证过程,分析了与其他认证方式的差异,并对认证过程中可能存在的问题及解决方案进行了讨论,最后给出了802.1x认证客户端在linu

33、x下的实现.10.学位论文 蒋玉玲 802.1x在以太网接入认证中的应用研究 2003 该文的工作主要集中在以下几个方面:1、通过对各种宽带接入技术的比较,分析了以太网接入的优势及其存在的安全问题,提出了接入认证的作用和意义,并简要论述了接入认证技术的发展现状.2、较全面地阐述了IEEE 802.1x协议的体系结构、工作机制和认证各方所采用的通信协议.3、对目前主要认证技术(PPPoE,WEB和802.1x)的性能进行了分析比较,指出802.1x在以太网接入认证中所具有优势.4、讨论了采用802.1x认证的以太接入网的网络结构,对其中主要设备的工作机制和功能做了简要阐述,总结了在现有网络中实现802.1x认证需要考虑的硬件兼容问题和相应的解决方法.针对常见的网络安全漏洞提出了802.1x接入认证的防范措施.5、在深刻理解IEEE 802.1x协议的基础上,通过对802.1x请求方功能的分析,在Windows下实现了802.1x认证客户端,给出了客户端软件的总体结构,各模块的主要功能和工作流程.在对这些功能模块的论述过程中还做了以下工作:讨论了基于MD5算法的身份验证法MD5-Challenge的工作机制、描述了请求方PAE状态机和密钥接收状态机.本文链接：http:/