认证技术白皮书

1、认证技术白皮书认证技术白皮书目目 录录1前言前言.22为什么使用认证为什么使用认证.33认证相关技术认证相关技术.33.1PPPOE接入认证原理.43.2WEB接入认证原理.83.3802.1X接入认证原理.143.4绑定认证原理.183.5各种认证方式比较.191 前言前言在数据网络中，包括企业网、INTERNET网络等等，追求的是网络简单、开放，所有人可以自由接入和使用。而在电信数据网络中，运营商(比如网络服务提供商NSP、业务提供商ISP等)关心的是网络可运营和可管理，要管理每个用户的接入、业务使用、费用等等。在可运营、可管理网络中，引入了针对用户管理的AAA技术，包括认证（Authen

2、tication）、授权（Authorization）、计费（Accounting）三个技术：认证，是在用户开始使用系统时对其身份进行的确认动作。授权，是在网络安全中，授权某用户以特定的方式与某网络系统通信。计费，是记录并提供关于经济活动的确切清单或数据。认证是识别用户身份的过程，而授权是根据认证识别后的用户情况授予对应的网络使用权限（QoS、带宽限制、访问权限、用户策略），而计费也是根据认证后的用户身份采用对应的计费策略并记录、提供计费信息（时长、流量、位置等等），三个技术紧密联系但又相互独立的。认证技术是用户管理最基本的技术。目前网络中，有许多设备不支持认证，有许多设备只支持某一种认证，同

3、时认证技术种类繁多、认证要求各不相同，造成网络中认证方案的混淆和混乱。2 为什么使用认证为什么使用认证电信数据网的困惑在电信数据网络中，服务提供商(比如网络服务提供商NSP、业务提供商SP等)关心的是网络可运营和可管理，要管理每个用户的接入、业务使用、费用等等。而电信数据网络中大量使用的是广泛应用在企业网、INTERNET网络中的以太网交换机、路由器等设备，遵循的是典型的数据网络理念，追求的是网络简单、开放，自由接入和使用。怎么才能够在电信数据网络中针对用户进行运营、管理呢？最基本的技术就是通过认证识别用户身份。成熟的认证技术当前最为普遍主流认证技术有三种：PPPoE/PPPoEoA/PPPo

4、A认证、WEB认证和802.1X认证，这三种认证从标准状态、商用情况看，技术上都已经成熟。3 认证相关技术认证相关技术当前最为普遍主流认证技术有三种：PPPoE/PPPoEoA/PPPoA认证、WEB认证和802.1X认证。严格意义上讲，这三种认证技术并不是真正的认证方式，每种认证技术都支持两种以上的认证方式，具体认证技术和认证方式关系如下表所示：表 1 认证技术和认证方式关系表认证技术认证方式PPPoE认证PAP、CHAP、EAPWEB认证PAP、CHAP802.1X认证EAP其中，EAP定义了一个认证构架，包含了很多种认证方式：EAPEAP-MD5EAP-TLS/TTLSEAP-OTPEA

5、P-SIMEAP.PAPCHAP图 2 EAP 认证方式汇总同时，针对特殊应用，还有绑定认证和快速认证等技术。3.1PPPoE 接入认证原理PPP是传统的认证方式之一，PPPoE是利用以太网发送PPP包的传输方法和支持在同一以太网上建立多个PPP连接的接入技术。PPPoE结合了以太网和PPP连接的综合属性。PPP协议是一种点到点的链路层协议，它提供了点到点的一种封装、传递数据的一种方法。PPP协议一般包括三个协商阶段：LCP（链路控制协议）阶段，认证阶段（比如CHAP/PAP），NCP（网络层控制协议，比如IPCP)阶段。拨号后，用户计算机和局方的接入服务器在LCP阶段协商底层链路参数，然后在

6、认证阶段进行用户计算机将用户名和密码发送给接入服务器认证，接入服务器可以进行本地认证，可以通过RADIUS协议将用户名和密码发送给AAA服务器进行认证。认证通过后，在NCP（IPCP）协商阶段，接入服务器给用户计算机分配网络层参数如IP地址等。经过PPP的三个协商阶段后，用户就可以发送和接受网络报文。用户收发的所有网络层报文都封装在PPP报文中。 PPP协议的一个重要的功能是提供了身份验证功能。以太网是一种广播网络，其缺点是通讯双方无法相互验证对方身份，通讯是不安全的。PPP协议提供了通讯双方身份验证的功能，但是PPP协议是一种点对点的协议，协议中没有提供地址信息。如果PPP应用在以太网上，必

7、须使用PPPoE再进行一次封装，PPPoE协议提供了在以太网广播链路上进行点对点通讯的能力。3.1.1认证系统架构对于基于PPPoE的认证系统，客户终端上的PPPoE客户端到PPPoE服务器之间为二层网络，PPPoE服务器负责终结PPPoE客户端发起的PPPoE协议，并利用PPP协议中支持的认证方法对客户终端的PPP连接请求进行认证。基于PPPoE的认证系统架构见下图：PPPoE客户端客户终端PPPoE服务器接入服务器AAA服务器图 3 基于 PPPoE 的认证系统架构基于PPPoE的认证系统功能实体协议栈见下图。在PPP的LCP协商阶段，进行认证。PPPoE客户端客户终端PPPoE服务器接入

8、服务器AAA服务器PHYMACPAP/CHAPPPPPPPOEPHYMACPAP/CHAPPPPPPPOEPHYMACIPRADIUSUDPPHYMACIPRADIUSUDP图 4 基于 PPPoE 的认证系统功能实体协议栈3.1.2接入流程以PPP-CHAP为例，PPPoE用户的接入流程如下：12.Accounting-Request/Start、Stop13.Accounting-Response/Start、StopPPPoE协商计费开始、终止如果失败，流程结束；如果成功，继续后续协商。3.PADR2.PADO4.PADS1.PADI6.Challenge8.Access-Request

9、9.Access-Accept/Access-Reject5.LCP协商（使用CHAP认证）10.Success/Failure11.NCP协商PPP协商7.ResponsePPPoE客户端客户终端PPPoE服务器接入服务器AAA服务器图 1 PPPoE 认证流程1)PPPOE 客户端向 PPPOE 服务器设备发送一个 PADI 报文，开始 PPPoE 接入。2)PPPOE 服务器向客户端发送 PADO 报文。3)客户端根据回应，发起 PADR 请求给 PPPOE 服务器。4)PPPOE 服务器产生一个 session id，通过 PADS 发给客户端。5)客户端和 PPPOE 服务器之间进行

10、 PPP 的 LCP 协商，建立链路层通信。同时，协商使用 CHAP 认证方式。6)PPPOE 服务器通过 Challenge 报文发送给认证客户端,提供一个 128bit 的Challenge。7)客户端收到 Challenge 报文后，将密码和 Challenge 做 MD5 算法后的，在Response 回应报文中把它发送给 PPPOE 服务器。8)PPPOE 服务器将 Challenge、Challenge-Password 和用户名一起送到 RADIUS 用户认证服务器，由 RADIUS 用户认证服务器进行认证。9)RADIUS 用户认证服务器根据用户信息判断用户是否合法，然后回应认

11、证成功/失败报文到 PPPOE 服务器。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束。10)PPPOE 服务器将认证结果返回给客户端。11)用户进行 NCP（如 IPCP）协商，通过 PPPOE 服务器获取到规划的 IP 地址等参数。12)认证如果成功，PPPOE 服务器发起计费开始请求给 RADIUS 用户认证服务器。13)RADIUS 用户认证服务器回应计费开始请求报文。用户此时通过认证，并且获得了合法的权限，可以正常开展网络业务。当用户希望终止网络业务的时候，同样也可以通过PPPoE断开网络连接，此时会按照12）、13）中的格式发送计费终止报文。

12、详细情况，请参见下节。3.1.3下线流程PPPoE用户下线流程包括用户主动下线和异常下线两种情况。用户主动下线流程如下图所示。用户在线1.Terminate-Request3.Accounting-Request/Stop4.Accounting-Response/Stop2.Terminate-AckPPPoE客户端PPPoE服务器AAA服务器图 5 用户主动下线流程1)用户通过PPPoE客户端，主动向PPPoE服务器发送Terminate-Request；2)PPPoE服务器向PPPoE客户端返回Terminate-Ack报文；3)PPPoE服务器向AAA服务器发送计费停止请求的报文；4)

13、AAA服务器向认证点回计费停止请求报文的回应。异常下线流程如下图所示。用户在线2.Accounting-Request/Stop3.Accounting-Response/Stop1.检测用户已不在线PPPoE客户端PPPoE服务器AAA服务器图 6 异常下线流程1)PPPoE服务器检测到用户已经不在线；2)PPPoE服务器向AAA服务器发送计费停止请求的报文；3)AAA服务器向认证点回计费停止请求报文的回应。3.2WEB 接入认证原理3.2.1认证系统架构基于WEB的认证系统架构见下图。接入服务器对来自STA的HTTP请求重定向到POTRAL服务器中，利用PORTAL页面对用户进行认证。客户

14、终端接入服务器AAA服务器Portal服务器图 7 基于 WEB 的认证系统架构基于WEB的认证系统功能实体协议栈见下图。客户终端接入服务器Portal服务器PHYMACHTTPTCPIPPHYMACIPPHYMACIPPHYMACIPHTTPTCPPortal服务器接入服务器AAA服务器PHYMACPortalUDPIPPHYMACPortalUDPIPPHYMACIPRADIUSUDPPHYMACIPRADIUSUDP图 8 基于 WEB 的认证系统功能实体协议栈3.2.2WEB 接入认证流程用户在WEB认证之前，必须先通过DHCP、静态配置等获得IP地址。用户如果被配置成强制WEB认证，

15、则用户只需要输入自己喜欢的网页即可，系统自动下载认证网页。用户提交了用户名和密码之后，接入服务器与WEB认证服务器协调工作，对用户进行认证。下面以普通动态用户为例，具体步骤如下：客户终端 45接入服务器DHCP服务器AAA服务器WEB认证服务器23城域网67891011图 9 VLAN 用户接入流程（WEB 认证）（1）（4）为动态用户通过DHCP协议获取地址的过程（静态用户手工配置地址即可。）；（5）用户访问WEB认证服务器的认证页面，并在其中输入用户名、密码，点击登陆按钮；（6）WEB认证服务器将用户的信息通过内部协议，通知接入服务器；（7）接入服务器到相应的AAA服务器对该用户进行认证；

16、（8）AAA服务器返回认证结果给接入服务器；（9）接入服务器将认证结果通知WEB认证服务器；（10）WEB认证服务器通过HTTP页面将认证结果通知用户；（11）如果认证成功用户即可正常访问网络资源。3.2.3三层用户的 WEB 认证用户没有与接入服务器 2层相连，中间存在路由器等3层设备，这样用户到接入服务器的报文中只有用户的IP地址没有MAC地址信息，这种类型的用户称为3层认证用户。与2层认证用户不同的是3层认证用户的MAC地址接入服务器获取不到，因而不能进行MAC、IP的绑定检查安全性不高容易仿冒；ARP请求不能穿透路由器因而不能对用户进行ARP探测确定是否在线。对此，接入服务器要求3层认

17、证用户必须进行WEB认证，不能通过绑定认证等方式上线。另外，接入服务器支持当网络发生问题用户原先的线路不同，但有另一条线路可以访问接入服务器的情况，此时接入服务器可以通过新的IP包找到到达用户的新路径更新相关的信息。IP报文触发3层用户上线的流程如下图所示： 噒 剅 ) ) ) ) ) ) 湉 整 湲 瑥 ) ) 图10 IP报文触发3层认证用户上线流程（1）用户的IP报文到达接入服务器，接入服务器为其分配资源建立预连接； （2）用户的HTTP请求被强制到（或用户主动访问)WEB认证服务器的认证页面，并在其中输入用户名、密码，点击登陆按钮；（3）WEB认证服务器将用户的信息通过内部协议，通知接

18、入服务器；（4）接入服务器到相应的AAA服务器对该用户进行认证；（5）AAA服务器返回认证结果给接入服务器；（6）接入服务器将认证结果通知WEB认证服务器；（7）WEB认证服务器通过HTTP页面将认证结果通知用户；（8）如果认证成功用户即可正常访问网络资源。3.2.4WEB 认证用户下线流程WEB认证用户下线流程包括用户主动下线和异常下线两种情况。用户主动下线流程如下图所示。1.HTTP POST portal-url下线请求，用户IP地址2.REQ_LOGOUT3.ACK_LOGOUT4.HTTP Response portal-url下线结果5.Accounting-Request/Sto

19、p6.Accounting-Response/Stop下线流程计费结束用户在线用户通信客户终端接入服务器Portal服务器AAA服务器图 11 用户正常下线流程1)当用户需要下线时，可以点击认证结果页面上的下线机制，向Portal服务器发起一个下线请求。2)Portal服务器向接入服务器发起下线请求。3)接入服务器返回下线结果给Portal服务器。4)Portal服务器根据下线结果，推送含有对应的信息的页面给用户。5)当接入服务器收到下线请求时，向RADIUS服务器发计费结束报文。6)RADIUS服务器回应接入服务器的计费结束报文。异常下线包含两种情况：接入服务器侦测到用户下线s4.Accou

20、nting-Request/Stop5.Accounting-Response/Stop下线流程计费结束用户在线用户通信2.NTF_LOGOUT3.ACK_LOGOUT1.接入服务器检测用户已不在线客户终端接入服务器Portal服务器AAA服务器图 12 接入服务器检测到用户异常下线流程1)接入服务器检测到用户下线，向Portal服务器发出下线请求。2)Portal服务器回应下线成功。3)当接入服务器收到下线请求时，向RADIUS用户认证服务器发计费结束报文。4)RADIUS用户认证服务器回应接入服务器的计费结束报文。Portal服务器侦测到用户下线4.Accounting-Request/S

21、top5.Accounting-Response/Stop下线流程计费结束用户在线用户通信3.ACK_LOGOUT2.REQ_LOGOUT1.Portal服务器检测用户已不在线客户终端接入服务器Portal服务器AAA服务器图 13 Portal 服务器检测到用户异常下线流程1)Portal 服务器侦测到用户下线，向接入服务器发出下线请求。2)接入服务器回应下线成功。3)当接入服务器收到下线请求时，向RADIUS用户认证服务器发计费结束报文。4)RADIUS用户认证服务器回应接入服务器的计费结束报文。3.3802.1X 接入认证原理3.3.1认证系统架构基于802.1x的认证系统架构见下图。在

22、此种架构下，系统实现IEEE 802.1x中定义的认证请求者、认证点和认证服务器的三元结构。认证请求者对应客户终端，认证点可以对应接入服务器，认证服务器对应AAA服务器。基于802.1x的认证系统利用EAP协议的扩展能力可以选用不同的认证算法。认证请求者客户终端认证点接入服务器认证服务器AAA服务器图 14 基于 802.1x 的认证系统架构基于802.1x的EAP认证系统各实体协议栈见下图。认证请求者客户终端认证点接入服务器认证服务器AAA服务器PHYMACEAPEAPoLPHYMACEAPEAPoLPHYMACIPRADIUSUDPPHYMACIPRADIUSUDPEAP图 15 基于 8

23、02.1x 的认证系统功能实体透传方式协议栈3.3.2802.1X 接入认证流程基于802.1x的认证系统利用EAP协议的扩展能力可以选用不同的认证算法。以EAP-MD5为例：3.EAP-Response/Identity2.EAP-Request/Identity7.EAP-Request/MD5-Challenge1.EAPoL-Start8.EAP-Response/MD5-Challenge9.Access-Request10.Access-Accept（Access-Reject）5.产生Challenge11.EAP-Success（EAP-Failure）4.Access-Req

24、uestEAP-Message/EAP-Response/Identity6.Access-ChallengeEAP-Message/EAP-Request/MD5-ChallengeEAP-Message/EAP-Response/MD5-ChallengeEAP-Message/EAP-Success（EAP-Failure）认证服务器AAA服务器认证点接入服务器认证请求者客户终端用户是动态分配地址的，可能是DHCP请求报文；用户是手工配置地址的，可能是ARP请求报文图 16 EAP-MD5 认证方式交互图流程描述如下：1.在用户和接入服务器之间建立好物理连接后，用户客户端向接入服务器发送

25、一个EAPoL-Start报文（如果用户是动态分配地址的，可能是DHCP请求报文；如果用户是手工配置地址的，可能是ARP请求报文），开始802.1x接入的开始。2.接入服务器向客户端发送EAP-Request/Identity报文，要求客户端将用户名送上来。3.客户端回应一个EAP-Response/Identity给接入服务器的请求，其中包括用户名。4.接入服务器以EAP Over RADIUS的报文格式向RADIUS认证服务器发送Access-Request报文，里面含有客户端发给接入服务器的EAP-Response/Identity报文，将用户名提交RADIUS认证服务器。5.接入服务器

26、产生一个128 bit的Challenge。6.RADIUS认证服务器回应接入服务器一个Access-Challenge报文，里面含有EAP-Request/MD5-Challenge报文，送给接入服务器用户对应的Challenge。7.接入服务器通过EAP-Request/MD5-Challenge发送给认证客户端,送给用户Challenge。8.客户端收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenge-Password，在EAP-Response/MD5-Challenge回应中把它发送给接入服务器。9.接入服务器将C

27、hallenge-Password通过Access-Request报文送到RADIUS用户认证服务器，由RADIUS用户认证服务器进行认证。10. RADIUS用户认证服务器根据用户信息判断用户是否合法，然后回应认证成功/失败报文到接入服务器。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。11. 接入服务器根据认证结果，给用户回应EAP-Success/EAP-Failure，通知用户认证结果。如果认证失败，则流程到此结束。如果成功，可以进行后续的授权、计费等流程。3.3.3用户下线流程用户下线流程包括用户主动下线和异常下线两类情况。用户主动下线流程如下图所示。计费结束用户通信1.EAP-Logoff2. Accounting-Request / Stop (username)3. Accounting-Response / Stop认证请求者客户终端认证点接入服务器认证服务器AAA服务器图 17 用户主动下线流程1)客户端主动向认证点发送EAP-Logoff消息；2)认证点向认证服务器发送计费停止请求的报文；3)认证服务器向认证点回计费停止请求报文的回应。