常用准入认证技术原理分析.pdfVIP

[ ] 常用准入认证技术原理分析 学习文档 仅供参考 1 前言 在数据网络中，小型网络如企业网、家用网等，追求的是网络简单、开放， 所有人可以自由接入和使用；而在中型及大型网络如城域网、政府网和电信数据 网络中，用户关心的是网络的可运营和可管理，要管理每个用户的接入、业务使 用、流量等等。 在可运营、可管理网络中，引入了针对用户管理的 AAA 技术，包括认证、 授权和计费三个技术： ➢ 认证〔Authentication〕：在用户开始使用网络时对其身份进行确实认动作 ➢ 授权〔Authorization〕：授权某用户以特定的方式与某网络系统通信 ➢ 计费〔Accounting〕：记录并提供关于经济活动确实切清单或数据 认证是识别用户身份的过程，而授权是根据认证识别后的用户情况授予对应 的网络使用权限〔QoS、带宽限制、访问权限、用户策略〕，而计费也是根据认 证后的用户身份采用对应的计费策略并记录、提供计费信息〔时长、流量、位置 等等〕，三个技术紧密联系但又相互独立的。认证技术是用户管理最基本的技术。 由于本次文档重点是普教行业的准入认证分析，不对计费系统进行赘述。 2 为什么使用认证 2.1 用户的困惑 在普教城域网中，服务提供商〔教育局〕关心的是网络可运营和可管理，要 管理每个用户的接入、业务使用、流量等等。而数据网络中大量使用的是以太网 交换机、路由器等设备，遵循的是典型的数据网络理念，追求的是网络简单、开 放，自由接入和使用。怎么才能够在数据网络中针对用户进行运营、管理呢？最 基本的技术就是通过认证识别用户身份。 学习文档 仅供参考 2.2 成熟的认证技术 目前市面上最为普遍主流认证技术有三种：PPPoE认证、WEB认证和802.1X 认证，这三种认证从标准状态、商用情况看，技术上都已经成熟。 3 认证方式简介 当前最为普遍主流认证技术有三种：PPPoE认证、WEB认证和802.1X认证。 严格意义上讲，这三种认证技术并不是真正的认证方式，每种认证技术都支持两 种以上的认证方式，具体认证技术和认证方式关系如下表所示： 认证技术 认证方式 CHAP EAP PPPoE认证 PAP、 、 WEB认证 PAP、CHAP EAP ➢ PAP认证：密码认证协议，客户端直接发送包含用户名/口令的认证请求，服 务器端处理并作回应。 ➢ CHAP 认证：挑战握手协议，先由服务器端给客户端发送一个随机码 challeng ，客户端根据challeng ，对自己掌握的口令、challeng 、会话ID进 行单向散例,即md5(password1,challenge,ppp_id)，然后把这个结果发送给服务 器端。服务器端从数据库中取出库存口 password2,进行同样的算法，即 md5(password2,challenge,ppp_id),最后，比较加密的结果是否相同；如相同 , 则认证通过。 ➢ EAP认证：可扩展的认证协议，EAP可以增加对许多身份验证方案的支持， 其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身 份验证。最安全的认证方法就是和智能卡一起使用的“可扩展身份验证协议 —传输层安全协议”，即EAP-TLS认证。 学习文档 仅供参考 4 认证技术原理分析 4.1 WEB 接入认证原理 接入服务器对来自 STA 的 请求重定向到 POTRAL 服务器中，利用