集群环境下的认证报文研究_报文认证

　　摘要：本文结合学校校园网建设实际，分析、研究了集群环境下802.1x在校园网认证中的数据报文流形式，给出了认证上网报文流的全过程。 　　关键词：集群；802.1x协议；认证报文流
　　中图分类号：TP393 文献标识码：A文章编号：1009-3044(2007)18-31601-03
　　Authentication Datagram Protocol Research in Cluster
　　YANG Yong,CHENG Gang,ZOU Chun-An,ZHOU Jian-guo
　　(Huazhong university of Science and Technology,Wuhan 430074,China)
　　Abstract：According to the construction practice of campus network, In the cluster,This paper research and Analyze Authenticating datagram Protocol stream for 802.1x on our campus network. Introducing all process about the logon network data protocol of Authenticating.
　　Key words：cluster；802.1x protocol； Authenticating datagram Protocol stream
　　
　　1 引言
　　
　　伴随着网络技术的飞速发展，网络文化的迅速普及，网络资源的日益丰富，校园网上网规模和有效的网络带宽使用与管理已显现得越来越重要，网络上原有的认证系统已经不能很好地适应用户数量急剧增加和宽带业务多样化的需求。在这种环境背景下，一种新的宽带认证方式――IEEE 802.1x协议便应运而生了。
　　华中科技大学校园网在全国高校校园网中率先实施大规模认证上网系统，成功地在校园学生宿舍网内实现了集群认证系统和大规模802.1x认证实名制上网方式，先后对校园内的80多栋学生宿舍完成了近50000个联网信息点部署，网络几乎覆盖了全校的所有学生宿舍，如此大规模的网络建设和网络覆盖率，对集群系统、802.1x协议、网络二层接入设备、校园网络带宽、网络QoS都是一次严峻的考验。
　　采用认证上网的初衷是为了实现安全、稳定、有序、可控、可管理、实名制上网，有效、合理地利用日益紧缺的网络带宽资源，集群运行环境有效地解决了认证系统的上述要求。
　　
　　2 典型的宽带上网认证方式
　　
　　目前，在认证上网方面，普遍采用以下几种认证解决方案：PPPOA +ADSL+RADIUS，PPPOE+RADIUS，WEB+RADIUS，NetFlow+RADIUS，802.1X+RADIUS等。PPPOA +ADSL+RADIUS为小容量宽带业务接入；PPPOE+RADIUS，WEB +RADIUS由于需要采用设置在网络汇聚层的用户接入服务设备BAS(BroadBand Access Server)而产生网络瓶颈，给大规模网络接入带来阻碍；NetFlow+RADIUS需要配合交换机硬件速率限制的功能，并在相应的记费系统中体现，才能真正实现多层次的计费、控制方案；
　　802.1x认证是IEEE 802协议集的局域网接入控制协议，是基于端口的访问控制协议（Port based network access control protocol）。 其体系结构是一种C/S构架，每个上网用户需要安装一个上网客户端，客户端系统通常为一个客户端软件，用户通过启动这个客户端软件发起802.1x协议的认证过程。为支持基于端口的接入控制，客户端系统需支持基于以太网的扩展认证协议EAPOL（Extensible Authentication Protocol Over LAN）。
　　802.1x协议的体系结构由三个重要的部分组成：认证系统、认证服务器、认证客户端。
　　2.1 典型的802.1x网络拓扑结构
　　典型的802.1x网络拓扑结构如图1所示。
　　在实际组网过程中，也可以将透传EAP报文和端口控制放在汇聚层网络设备来进行，前提是汇聚层网络设备必须支持802.1x协议。
　　图1
　　2.2 宽带认证上网集群解决方案：
　　华中科技大学采用双机集群认证系统+磁盘阵列的解决方案，其特点在于解决单机认证系统可能出现的认证服务器单点故障。集群中的每台服务器中都安装了认证系统和数据库管理系统，数据库放在磁盘阵列中，集群服务器之间分别处理不同的认证处理进程，一旦集群中的某项服务或某台认证服务器出现故障，另一台服务器可以立即接管出现故障服务器的处理任务，无须人工干预，接管进程的任务都是自动进行的。
　　安装集群：建立基于活动目录（Active Directory）的域控制器（Domain Controller ，DC)上的集群名字HUST，集群必须要在域中工作。
　　在节点1(hust-CL1)和节点2(hust-CL2)上用“Internet协议（TCP/IP）”分别配置心跳IP地址192.168.10.1和192.168.10.2与相应的掩码；并在两节点的外网地址上分别配置IP地址172.20.10.201和172.20.10.202与相应的掩码及网关。
　　创建集群资源组，在集群中建立相关组件：
　　(1)集群名字
　　(2)数据备份磁盘
　　(3)虚拟出一个IP为172.20.10.200作为虚拟认证服务器地址
　　(4)虚拟出一个IP为172.20.10.210作为虚拟数据库服务器地址。
　　(5)认证服务进程
　　建立以上集群资源组相关组件后，配置组件之间的相互依存关系，即可实现资源自动接管。
　　以上所有IP地址均采用内部IP，纯属网络安全方面的考虑。
　　认证集群解决方案拓扑结构，如图2所示。
　　
　　3 采用基于EAP＋MD5（message-digest algorithm 5信息-摘要算法）的802.1x认证报文数据流分析：
　　
　　(1)认证客户端软件向接入设备发送一个EAPoL认证开始报文，查询网络上能处理EAPoL数据包的设备，开始802.1x认证接入请求；帧结构为code indentify length type data
　　图2
　　其认证报文数据形式如下：
　　Direction: Out, Time: 10:10:40.510, Size: 1000//定义客户端报文大小1000字节
　　Ethernet II
　　 Destination MAC: 01:A5:8E:22:AA:CC //私有组播地址，生产厂商独有的
　　 Source MAC: E0:51:23:46:AE:B5//本地MAC网卡地址
　　 Ethertype: 0x888E (34958) - EAPOL 802.1X//0x888E表示EAP类型
　　EAPOL 802.1X
　　 Protocol version: 0x01 (1)//协议版本标识
　　 Packet type: 0x01 (1) - EAPOL-Start//0x01表示认证开始报文
　　 Packet length: 0x0000 (0)//包长度为0
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文 　　Raw Data:
　　0x0000 01 A5 8E 22 AA CC E0 51-23 46 AE B5 88 8E 01 01
　　0x0010 00 00 FF FF 37 77 FF 34-3D E7 5E 00 00 00 FF 34//64字节字符串数据
　　0x0020 3D E7 80 AC F1 D7 3E 9E-33 00 00 13 11 38 30 32
　　0x0030 31 78 2E 65 78 65 00 00-00 00 00 00 00 00 00 00
　　0x0040 00 00 00 00 00 00 00 00-00 00 00 00 00 02 01 00
　　0x0050 00 01
　　(2)接入设备向客户端发送EAP-Request/Identity报文，要求用户提供合法的身份标识，如用户名及其密码；认证报文数据形式如下：
　　Direction: In, Time: 10:10:40.512, Size: 64//认证服务器返回报文定义64字节
　　Ethernet II
　　 Destination MAC: E0:51:23:46:AE:B5
　　 Source MAC: 05:FE:A3:6D:67:80 //认证服务器MAC地址
　　 Ethertype: 0x888E (34958) - EAPOL 802.1X
　　EAPOL 802.1X
　　 Protocol version: 0x01 (1)
　　 Packet type: 0x00 (0) - EAP-Packet//表示是EAP类型的报文
　　 Packet length: 0x0005 (5)//包长度
　　EAP
　　 Code: 0x01 (1) - Request //认证服务器发起请求
　　 Identifier: 0x01 (1)// 报文同步序列
　　 Length: 0x0005 (5)//包长度
　　 Type: 0x01 (1) - Identity//请求客户端身份验证
　　Raw Data:
　　0x0000 E0 51 23 46 AE B5 05 FE-A3 6D 67 80 88 8E 01 00
　　0x0010 00 05 01 01 00 05 01 00-00 00 00 00 00 00 00 00
　　0x0020 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00
　　0x0030 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00
　　(3)客户端回应一个EAP-Response/Identity给接入设备的请求，提供用户名和密码；认证流从接入设备的未受控的逻辑端口经过，接入设备将EAP-Response/Identity报文封装到RadiusAccess-Request报文中，通过EAP协议将认证流发送给认证服务器；认证报文数据形式如下：
　　Packet #2265, Direction: Out, Time: 10:10:41.616, Size: 1000
　　Ethernet II
　　 Destination MAC: 05:FE:A3:6D:67:80
　　 Source MAC: E0:51:23:46:AE:B5
　　 Ethertype: 0x888E (34958) - EAPOL 802.1X
　　EAPOL 802.1X
　　 Protocol version: 0x01 (1)
　　 Packet type: 0x00 (0) - EAP-Packet
　　 Packet length: 0x000D (13)
　　EAP
　　 Code: 0x02 (2) - Response//客户端响应
　　 Identifier: 0x01 (1)//于上面客户端报文的同步序列匹配
　　 Length: 0x000D (13)//长度13字节
　　 Type: 0x01 (1) - Identity//类型：验证
　　 Identity: zs011011//发送认证上网用户名给认证服务器
　　Raw Data:
　　0x0000 05 FE A3 6D 67 80 E0 51-23 46 AE B5 88 8E 01 00
　　0x0010 00 0D 02 01 00 0D 01 7A-73 30 31 31 30 31 31 FF
　　0xx020 FF 37 77 FF 34 3D E7 5E-00 00 00 FF 34 3D E7 80
　　0x0030 AC F1 D7 3E 9E 33 00 00-13 11 38 30 32 31 78 2E
　　(4)认证服务器产生一个Challenge，通过接入设备将RadiusAccess-Challenge报文发送给客户端，其中包含有EAP-Request/MD5-Challenge；接入设备通过EAP-Request/MD5-Challenge发送给客户端，要求客户端进行认证；认证报文数据形式如下：
　　Direction: In, Time: 10:10:41.616, Size: 64
　　Ethernet II
　　 Destination MAC: E0:51:23:46:AE:B5
　　 Source MAC: 05:FE:A3:6D:67:80
　　 Ethertype: 0x888E (34958) - EAPOL 802.1X
　　EAPOL 802.1X
　　 Protocol version: 0x01 (1)
　　 Packet type: 0x00 (0) - EAP-Packet
　　 Packet length: 0x0016 (22)
　　EAP
　　 Code: 0x01 (1) - Request
　　 Identifier: 0x02 (2)// 报文同步序列号与上面发生改变
　　 Length: 0x0016 (22)
　　 Type: 0x04 (4) - MD5-Challenge//认证服务器判断用户名发起MD5挑战，也就是把认证服务器存放的密码用MD5算法产生一个伪码发给客户端
　　 Challenge Value: 0F F0 10 3C 0A B5 7E 76 0B AC CC 45 0A 54 72 3D//MD5伪码
　　 Name
　　Raw Data:
　　0x0000 E0 51 23 46 AE B5 05 FE-A3 6D 67 80 88 8E 01 00
　　0x0010 00 16 01 02 00 16 04 10-0F F0 10 3C 0A B5 7E 76
　　0x0020 0B AC CC 45 0A 54 72 3D-00 00 00 00 00 00 00 00
　　0x0030 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00
　　(5)客户端收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenged-Password，用EAP-Response/MD5-Challenge回应给接入设备；接入设备将Challenge，ChallengedPassword和用户名一起发送到认证服务器，由认证服务器根据用户信息，做MD5算法，判断用户是否合法，然后回应认证成功/失败报文到接入设备。如果认证成功，携带协商参数，以及用户的相关业务属性给用户授权；如果认证失败，则认证流程到此结束；认证报文数据形式如下：
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文 　　Packet #2399, Direction: Out, Time: 10:10:42.667, Size: 1000
　　Ethernet II
　　 Destination MAC: 05:FE:A3:6D:67:80
　　 Source MAC: E0:51:23:46:AE:B5
　　 Ethertype: 0x888E (34958) - EAPOL 802.1X
　　EAPOL 802.1X
　　 Protocol version: 0x01 (1)
　　 Packet type: 0x00 (0) - EAP-Packet
　　 Packet length: 0x001E (30)
　　EAP
　　 Code: 0x02 (2) - Response
　　 Identifier: 0x02 (2)//与上面发送的报文序列号同步
　　 Length: 0x001E (30)
　　 Type: 0x04 (4) - MD5-Challenge//MD5挑战
　　 Response Value: B9 E1 95 42 A4 7A CC A1 BE 01 33 03 97 83 B6 F7 //MD5加密本地密码产生伪码反馈给服务端，认证服务端将两个伪码用MD5算法进行比较，若运算结果匹配，则认为客户端密码正确。
　　Name: zs011011 //认证上网用户名
　　Raw Data:
　　0x0000 05 FE A3 6D 67 80 E0 51-23 46 AE B5 88 8E 01 00
　　0x0010 00 1E 02 02 00 1E 04 10-B9 E1 95 42 A4 7A CC A1
　　0x0020 BE 01 33 03 97 83 B6 F7-7A-73 30 31 31 30 31 31
　　0x0030 FF FF 37 77 FF 34 3D E7-5E 00 00 00 FF 34 3D E7
　　(6)如果认证通过，则认证系统的受控逻辑端口打开。如果用户采用静态IP，则可以直接上网索取联网资源；若采用动态IP分配方式，用户通过标准的DHCP协议(可以是DHCPRelay)，通过接入设备获取规划的IP地址。接入设备检测到用户的上网流量，就会向认证服务器发送计费信息，开始对用户计费，认证服务器回应计费开始请求报文；认证报文数据形式如下：
　　Direction: In, Time: 10:10:42.697, Size: 166
　　Ethernet II
　　 Destination MAC: E0:51:23:46:AE:B5
　　 Source MAC: 05:FE:A3:6D:67:80
　　 Ethertype: 0x888E (34958) - EAPOL 802.1X
　　EAPOL 802.1X
　　 Protocol version: 0x01 (1)
　　 Packet type: 0x00 (0) - EAP-Packet
　　 Packet length: 0x0094 (148)
　　EAP
　　 Code: 0x03 (3) - Success //0x04 (4) -Failure表示失败
　　 Identifier: 0x02 (2)// 报文同步序列，不相同丢弃重发
　　 Length: 0x0004 (4)
　　Raw Data:
　　0x0000 E0 51 23 46 AE B5 05 FE-A3 6D 67 80 88 8E 01 00
　　0x0010 00 94 03 02 00 04 00 00-13 11 00 00 00 00 13 11
　　0x0020 00 69 00 00 00 00 00 00-00 00 00 00 00 00 00 00
　　0x0030 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00
　　
　　4 结束语
　　
　　集群是认证系统的安全、可靠、稳定运行的保障，仔细、透彻地分析、研究认证数据报文的传输形式，有利于充分利用认证报文有效数据字段，进一步加强和完善认证系统的整体安全性，提高数字校园带宽的有效使用率，也会给认证系统的开发带来更多的可研究性，将会对IPv4网络环境下的安全认证系统起着积极有益的作用。
　　
　　参考文献：
　　[1]王廷尧.用户接入网技术与工程[M].北京：人民邮电出版社， 2007,5.
　　[2]雷震甲.网络工程师教程[M].北京：清华大学出版社 2006,6.
　　[3]Rigney, C., Willens, S., Rubens, A. and W. Simpson, "Remote Authentication Dial In User Service (RADIUS)", RFC2865, June 2000.
　　[4]Rivest, R. and S. Dusse, "The MD5 Message-Digest Algorithm", RFC1321, April 1992.
　　[5]Vollbrecht, J., Calhoun, P., Farrell, S., Gommans, L., Gross, G., de Bruijn, B., de Laat, C., Holdrege, M. and D. Spence, "AAA Authorization Framework", RFC2904, August 2000.
　　注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文