局域網(wǎng)安全認(rèn)證技術(shù)的比較研究

林 荔，楊劍爐

（莆田學(xué)院 電子信息工程系，福建 莆田 351100）

局域網(wǎng)安全認(rèn)證技術(shù)的比較研究

林 荔，楊劍爐

（莆田學(xué)院 電子信息工程系，福建 莆田 351100）

網(wǎng)絡(luò)安全管理是網(wǎng)絡(luò)管理的一個(gè)重要組成部分.身份認(rèn)證無疑是建立安全可信網(wǎng)絡(luò)的前提條件.在分析局域網(wǎng)中的兩種不同安全認(rèn)證技術(shù)的基礎(chǔ)上，探討根據(jù)網(wǎng)絡(luò)中不同的用戶訪問需求，建立起多樣化的網(wǎng)絡(luò)接入機(jī)制和安全認(rèn)證方式，以實(shí)現(xiàn)更為靈活、安全、有效的網(wǎng)絡(luò)管理.

局域網(wǎng)；安全認(rèn)證；WEB認(rèn)證

隨著信息交換的深入和交換范圍的擴(kuò)大，網(wǎng)絡(luò)安全事件不斷升級(jí)，網(wǎng)絡(luò)安全越來越被人們所關(guān)注.建造一個(gè)可信網(wǎng)絡(luò)進(jìn)行有效地控制成為許多人探討的對(duì)象，保障數(shù)據(jù)的安全性成為了一個(gè)突顯的話題.身份認(rèn)證無疑是建立安全可信網(wǎng)絡(luò)的前提條件.身份認(rèn)證是指在計(jì)算機(jī)網(wǎng)絡(luò)中確認(rèn)操作者身份的過程.計(jì)算機(jī)通過識(shí)別用戶的數(shù)字身份或通用戶數(shù)字身份的授權(quán)信息，來辨別用戶的合法性，保證操作者的物理身份與數(shù)字身份相對(duì)應(yīng).真實(shí)可信的身份認(rèn)證體系不僅能使惡意者有所顧忌，起到防微杜漸的作用;也可以讓管理者在安全事件發(fā)生后能準(zhǔn)確及時(shí)地找到肇事者，在一定程度上防止安全事件的再次發(fā)生.目前局域網(wǎng)中常用的認(rèn)證技術(shù)有802.1x技術(shù)和WEB認(rèn)證技術(shù)等.

1 WEB認(rèn)證技術(shù)

WEB認(rèn)證是當(dāng)前應(yīng)用最廣泛的認(rèn)證接入方式之一，它是一種基于HTTP協(xié)議以及HTTPS安全協(xié)議的認(rèn)證接入方式，用于以太網(wǎng)用戶的認(rèn)證接入.WEB認(rèn)證控制的核心是用戶，它是通過數(shù)據(jù)報(bào)文中的用戶信息來識(shí)別用戶，并對(duì)用戶開展接入和業(yè)務(wù)控制.在客戶端，用戶使用WEB瀏覽器作為客戶端，通過HTTP以及HTTPS協(xié)議和WEB認(rèn)證服務(wù)器進(jìn)行交互，發(fā)送認(rèn)證信息并接收認(rèn)證結(jié)果.如果認(rèn)證成功，WEB認(rèn)證服務(wù)器和間需要通過協(xié)議交互認(rèn)證信息，并由對(duì)用戶進(jìn)行權(quán)限控制和業(yè)務(wù)控制.

WEB認(rèn)證過程是一個(gè)對(duì)訪問者身份進(jìn)行確認(rèn)的過程，通常與DHCPServer和Portalserver配合使用，最典型的方式是通過用戶名和密碼.其認(rèn)證步驟如下：⑴客戶機(jī)啟動(dòng)，系統(tǒng)程序通過BAS做出DHCP-Relay，向DHCPServer索取IP地址；⑵BAS構(gòu)造對(duì)應(yīng)該用戶表項(xiàng)信息，添加用戶ACL服務(wù)策略；⑶Portalserver向用戶提供認(rèn)證頁面，要求用戶輸入帳號(hào)和口令登陸，或不輸入由帳號(hào)和口令，直接登陸；⑷登陸后portalserver啟動(dòng)自身的Java程序，將用戶信息（IP、帳號(hào)、口令等）送給網(wǎng)絡(luò)中心設(shè)備BAS；⑸BAS利用IP地址得到客戶機(jī)的二層地址和物理端口號(hào)，并對(duì)用戶的合法性進(jìn)行檢查.如果用戶通過帳號(hào)登陸，則使用帳號(hào)和口令去與Radiusserver表項(xiàng)比對(duì)來進(jìn)行用戶認(rèn)證，如果未輸入帳號(hào)，網(wǎng)絡(luò)設(shè)備則利用VlanID查找用戶表得到用戶帳號(hào)和口令，將帳號(hào)送到Radiusserver進(jìn)行認(rèn)證.⑹Radius Server返回認(rèn)證結(jié)果給BAS；⑺認(rèn)證通過后，BAS修改該用戶的ACL，用戶可以訪問外部因特網(wǎng)或特定的網(wǎng)絡(luò)服務(wù)；⑻用戶離開網(wǎng)絡(luò)，則系統(tǒng)停止計(jì)費(fèi)，刪除用戶的ACL和轉(zhuǎn)發(fā)信息，限制用戶不能訪問外部網(wǎng)絡(luò).

280 2.1x技術(shù)

802.1 x技術(shù)是一種基于Client/Server的訪問控制和認(rèn)證協(xié)議.主要目的是為了解決局域網(wǎng)用戶的接入認(rèn)證問題. 802.1x控制的核心是邏輯端口，基本思路是用戶直接與端口相連.局域網(wǎng)中的每個(gè)物理端口被分為受控和非受控的兩個(gè)邏輯端口，物理端口收到的每個(gè)幀都被送到受控和非受控端口.非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞EAPOL協(xié)議幀，接收客戶端發(fā)出的認(rèn)證EAPOL報(bào)文.而對(duì)受控端口的訪問則受限于受控端口的授權(quán)狀態(tài).在用戶開始訪問局域網(wǎng)時(shí)，802.1x先對(duì)用戶接入端口進(jìn)行身份認(rèn)證.如果用戶通過認(rèn)證，認(rèn)證服務(wù)器會(huì)把用戶的相關(guān)信息傳遞給認(rèn)證系統(tǒng)，認(rèn)證系統(tǒng)的設(shè)備端根據(jù)認(rèn)證服務(wù)器認(rèn)證的結(jié)果決定受控端口的授權(quán)和非授權(quán)狀態(tài).如果用戶通過認(rèn)證，受控端口就“打開”，此時(shí)允許文所有的報(bào)文通過，允許用戶傳遞網(wǎng)絡(luò)資源和服務(wù)；如果不能通過認(rèn)證，則該端口為未授權(quán)狀態(tài)的受控端口，則保持“關(guān)閉”狀態(tài)，拒絕用戶或設(shè)備訪問局域網(wǎng)中的資源.此時(shí)只允許認(rèn)證報(bào)文E A P O L(基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)數(shù)據(jù)通過端口.

802.1 x協(xié)議的認(rèn)證體系結(jié)構(gòu)包括三個(gè)部分：Supplicant System客戶端、Authenticator System認(rèn)證系統(tǒng)、Authenticator System認(rèn)證服務(wù)器.

認(rèn)證系統(tǒng)——通常為支持802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備，一般由用戶接入層設(shè)備（如交換機(jī)）實(shí)現(xiàn).該設(shè)備對(duì)應(yīng)于不同用戶的端口，并對(duì)接入的用戶或設(shè)備進(jìn)行認(rèn)證的端口.

請(qǐng)求者——被認(rèn)證的用戶或設(shè)備，一般為一個(gè)用戶終端系統(tǒng)，該終端系統(tǒng)通常要安裝一個(gè)支持基于端口的接入控制（EAPOL協(xié)議）的客戶端軟件.用戶通過啟動(dòng)客戶端軟件發(fā)起IEEE802.1x協(xié)議的認(rèn)證過程.典型的為Windows XP操作系統(tǒng)自帶的客戶端.

認(rèn)證服務(wù)器——認(rèn)證服務(wù)器通常為Radius服務(wù)器，該服務(wù)器存儲(chǔ)有關(guān)用戶的信息，例如用戶所屬的VLAN、優(yōu)先級(jí)、用戶的訪問控制列表等.它根據(jù)認(rèn)證者的信息，負(fù)責(zé)對(duì)請(qǐng)求訪問網(wǎng)絡(luò)資源的用戶或設(shè)備進(jìn)行實(shí)際認(rèn)證.當(dāng)用戶通過認(rèn)證后，認(rèn)證服務(wù)器會(huì)把用戶的相關(guān)信息傳遞給認(rèn)證系統(tǒng)，由認(rèn)證系統(tǒng)構(gòu)建動(dòng)態(tài)的訪問控制列表，用戶的后續(xù)訪問就將接受上述參數(shù)的監(jiān)管.

其認(rèn)證過程如下：⑴開始訪問時(shí)，用戶打開802.1x客戶端，輸入已申請(qǐng)或登記過的用戶名和口令，發(fā)起連接請(qǐng)求報(bào)文.客戶端程序發(fā)出請(qǐng)求認(rèn)證的報(bào)文給交換機(jī)，開始啟動(dòng)一次認(rèn)證過程.⑵交換機(jī)收到請(qǐng)求認(rèn)證數(shù)據(jù)幀后，將發(fā)出一個(gè)請(qǐng)求幀要求用戶的客戶端程序發(fā)送輸入的用戶名.⑶客戶端程序響應(yīng)交換機(jī)發(fā)出的請(qǐng)求，將用戶名信息通過數(shù)據(jù)幀送給交換機(jī).⑷交換機(jī)將客戶端送上來的數(shù)據(jù)幀經(jīng)過封包處理后，送給Radius服務(wù)器進(jìn)行處理.⑸Radius服務(wù)器收到交換機(jī)轉(zhuǎn)發(fā)的用戶名信息后，將該信息與數(shù)據(jù)庫中的用戶名表比對(duì)，找出該用戶名對(duì)應(yīng)的口令信息，并用隨機(jī)生成的一個(gè)加密字對(duì)它進(jìn)行加密處理，同時(shí)將此加密字與加密后的口令信息一同傳送給認(rèn)證系統(tǒng)，由認(rèn)證系統(tǒng)傳給客戶端程序.⑹客戶端程序收到由認(rèn)證系統(tǒng)傳來的加密字后，用該加密字對(duì)口令部分進(jìn)行加密處理（這種加密算法通常是不可逆的），并通過認(rèn)證系統(tǒng)傳給Radius服務(wù)器.⑺Radius服務(wù)器將收到的加密后的口令信息和自己經(jīng)過加密運(yùn)算后的口令信息進(jìn)行對(duì)比，如果相同，則認(rèn)為該用戶為合法用戶，反饋認(rèn)證通過的消息.同時(shí),認(rèn)證系統(tǒng)將端口狀態(tài)改為授權(quán)狀態(tài)，允許用戶的業(yè)務(wù)流通過該端口訪問網(wǎng)絡(luò).否則拒絕用戶的業(yè)務(wù)流通過.當(dāng)服務(wù)需求結(jié)束時(shí)，客戶端可發(fā)送結(jié)束請(qǐng)求報(bào)文給認(rèn)證系統(tǒng)，主動(dòng)終止已認(rèn)證狀態(tài)，認(rèn)證系統(tǒng)則將端口狀態(tài)從授權(quán)狀態(tài)改變成未授權(quán)狀態(tài).

3 兩種身份認(rèn)證的比較

WEB身份認(rèn)證基于應(yīng)用層的控制，其控制核心是用戶，采用WEB瀏覽器作為認(rèn)證客戶端，無需特定客戶端支持，對(duì)組網(wǎng)沒有限制，設(shè)備關(guān)聯(lián)性較弱，因此維護(hù)工作量低小，成本低，操作簡(jiǎn)單.它實(shí)現(xiàn)了控制流和數(shù)據(jù)流徹底分離，控制流在WEB認(rèn)證服務(wù)器上進(jìn)行處理，而數(shù)據(jù)流由寬帶接入服務(wù)器進(jìn)行處理，管理方便.但是因?yàn)椴捎谩叭刖W(wǎng)即認(rèn)證”的方式，因此在內(nèi)網(wǎng)安全性上比較弱.而且它要求用戶必須獲得地址才能訪問服務(wù)器.因此認(rèn)證下線后，只要用戶聯(lián)接好的，地址會(huì)一直被占用，不被釋放，造成了地址的浪費(fèi).

802.1 X身份認(rèn)證以邏輯端口為控制核心，在第二層上實(shí)現(xiàn)對(duì)用戶接入端口的控制，采用分布式部署，需要部署三方包括認(rèn)證服務(wù)器，接入設(shè)備及用戶，部署范圍廣.也需要相關(guān)的設(shè)備支持，啟用相應(yīng)的客戶端程序（WINDOWSXP自帶此功能），工作量大，維護(hù)成本高.在信息傳輸過程中，口令信息采用不可逆加密算法處理，大大提高了網(wǎng)絡(luò)的安全性和可靠性.由于通過認(rèn)證后的報(bào)文是無需封裝的純數(shù)據(jù)包，直接通過可控端口進(jìn)行交換，進(jìn)而增強(qiáng)了系統(tǒng)的性能度.在管理上，無需多業(yè)務(wù)網(wǎng)管設(shè)備，就能保證IP網(wǎng)絡(luò)的無縫相連，去除冗余昂貴的多業(yè)務(wù)網(wǎng)關(guān)設(shè)備，消除網(wǎng)絡(luò)認(rèn)證計(jì)費(fèi)瓶頸和單點(diǎn)故障.采用“先認(rèn)證后分配”的方式，能有效地利用地址資源.由于認(rèn)證流和業(yè)務(wù)流不分離，因此需要對(duì)各個(gè)用戶接入口進(jìn)行管理，范圍廣，復(fù)雜度高.

4 結(jié)論

通過以上比對(duì)，可以發(fā)現(xiàn)兩種認(rèn)證方式在實(shí)現(xiàn)和應(yīng)用上各有優(yōu)缺點(diǎn).在面對(duì)日益多樣化的用戶需求，選擇什么樣的認(rèn)證方式是與用戶需求密切相關(guān)的，針對(duì)不同的用戶需求實(shí)現(xiàn)差別化的信息安全管理機(jī)制尤為重要.結(jié)合以上兩者的特點(diǎn)，在局域網(wǎng)的管理上，針對(duì)不同的用戶群體（接入地域）或是不同的網(wǎng)絡(luò)資源，采取不同的準(zhǔn)入認(rèn)證方式，進(jìn)而最終實(shí)現(xiàn)統(tǒng)一的管理和控制.首先對(duì)局域網(wǎng)內(nèi)的用戶按不同級(jí)別、群體或地域進(jìn)行分類管理.再對(duì)不同級(jí)別的用戶進(jìn)行區(qū)別化安全認(rèn)證.對(duì)于一般用戶在入網(wǎng)訪問時(shí)，在用戶接入的入口采用了端口控制功能，實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證的分離，進(jìn)行精細(xì)的控制，采用“先認(rèn)證再入網(wǎng)”的方式，確保合法用戶才能進(jìn)入內(nèi)部網(wǎng)絡(luò)，同時(shí)采用動(dòng)態(tài)綁定用戶（物理或邏輯）端口或劃分VLAN等訪問控制方式，以確保用戶IP地址的真實(shí)性，和對(duì)內(nèi)網(wǎng)進(jìn)行有效地管理.對(duì)于高級(jí)用戶則采用Web準(zhǔn)入的方式進(jìn)行認(rèn)證和接入控制，將Web認(rèn)證控制到網(wǎng)絡(luò)的邊緣，以減少部署范圍，降低維護(hù)的工作量，加強(qiáng)Web認(rèn)證的安全性.同時(shí)也可對(duì)網(wǎng)絡(luò)資源按用戶群體區(qū)別控制，對(duì)一般性資源要求用戶WEB形式的登陸訪問，而對(duì)安全性要求較高的資源則采用端口限定（如VLAN，IP或MAC等）或用戶限定訪問的方式.這樣根據(jù)用戶身份的不同分配不同的資源使用權(quán)限，有利地實(shí)現(xiàn)對(duì)網(wǎng)內(nèi)有限資源的再分配，避免網(wǎng)絡(luò)資源的濫用和管理混亂.

〔1〕鄒潔.寬帶接入認(rèn)證和計(jì)費(fèi)方式分析[J].廣東通信技術(shù)，2002，22(6):15—20.

〔2〕丁妮.Web應(yīng)用安全研究[D].中國(guó)優(yōu)秀碩士學(xué)位論文全文數(shù)據(jù)庫,2007-5:11-15.

〔3〕朱海龍，張國(guó)清.基于802.1x的以太網(wǎng)接入技術(shù)[J].計(jì)算機(jī)工程，2003，29(18):130-32.

〔4〕余秦勇.802.1x協(xié)議分析及其應(yīng)用[J].信息安全與通信保密,2005(11):85-89.

TP393.08

A

1673-260X（2010）08-0043-02