局域網安全認證技術的比較研究

林 荔，楊劍爐

（莆田學院 電子信息工程系，福建 莆田 351100）

局域網安全認證技術的比較研究

林 荔，楊劍爐

（莆田學院 電子信息工程系，福建 莆田 351100）

網絡安全管理是網絡管理的一個重要組成部分.身份認證無疑是建立安全可信網絡的前提條件.在分析局域網中的兩種不同安全認證技術的基礎上，探討根據網絡中不同的用戶訪問需求，建立起多樣化的網絡接入機制和安全認證方式，以實現更為靈活、安全、有效的網絡管理.

局域網；安全認證；WEB認證

隨著信息交換的深入和交換范圍的擴大，網絡安全事件不斷升級，網絡安全越來越被人們所關注.建造一個可信網絡進行有效地控制成為許多人探討的對象，保障數據的安全性成為了一個突顯的話題.身份認證無疑是建立安全可信網絡的前提條件.身份認證是指在計算機網絡中確認操作者身份的過程.計算機通過識別用戶的數字身份或通用戶數字身份的授權信息，來辨別用戶的合法性，保證操作者的物理身份與數字身份相對應.真實可信的身份認證體系不僅能使惡意者有所顧忌，起到防微杜漸的作用;也可以讓管理者在安全事件發生后能準確及時地找到肇事者，在一定程度上防止安全事件的再次發生.目前局域網中常用的認證技術有802.1x技術和WEB認證技術等.

1 WEB認證技術

WEB認證是當前應用最廣泛的認證接入方式之一，它是一種基于HTTP協議以及HTTPS安全協議的認證接入方式，用于以太網用戶的認證接入.WEB認證控制的核心是用戶，它是通過數據報文中的用戶信息來識別用戶，并對用戶開展接入和業務控制.在客戶端，用戶使用WEB瀏覽器作為客戶端，通過HTTP以及HTTPS協議和WEB認證服務器進行交互，發送認證信息并接收認證結果.如果認證成功，WEB認證服務器和間需要通過協議交互認證信息，并由對用戶進行權限控制和業務控制.

WEB認證過程是一個對訪問者身份進行確認的過程，通常與DHCPServer和Portalserver配合使用，最典型的方式是通過用戶名和密碼.其認證步驟如下：⑴客戶機啟動，系統程序通過BAS做出DHCP-Relay，向DHCPServer索取IP地址；⑵BAS構造對應該用戶表項信息，添加用戶ACL服務策略；⑶Portalserver向用戶提供認證頁面，要求用戶輸入帳號和口令登陸，或不輸入由帳號和口令，直接登陸；⑷登陸后portalserver啟動自身的Java程序，將用戶信息（IP、帳號、口令等）送給網絡中心設備BAS；⑸BAS利用IP地址得到客戶機的二層地址和物理端口號，并對用戶的合法性進行檢查.如果用戶通過帳號登陸，則使用帳號和口令去與Radiusserver表項比對來進行用戶認證，如果未輸入帳號，網絡設備則利用VlanID查找用戶表得到用戶帳號和口令，將帳號送到Radiusserver進行認證.⑹Radius Server返回認證結果給BAS；⑺認證通過后，BAS修改該用戶的ACL，用戶可以訪問外部因特網或特定的網絡服務；⑻用戶離開網絡，則系統停止計費，刪除用戶的ACL和轉發信息，限制用戶不能訪問外部網絡.

280 2.1x技術

802.1 x技術是一種基于Client/Server的訪問控制和認證協議.主要目的是為了解決局域網用戶的接入認證問題. 802.1x控制的核心是邏輯端口，基本思路是用戶直接與端口相連.局域網中的每個物理端口被分為受控和非受控的兩個邏輯端口，物理端口收到的每個幀都被送到受控和非受控端口.非受控端口始終處于雙向連通狀態，主要用來傳遞EAPOL協議幀，接收客戶端發出的認證EAPOL報文.而對受控端口的訪問則受限于受控端口的授權狀態.在用戶開始訪問局域網時，802.1x先對用戶接入端口進行身份認證.如果用戶通過認證，認證服務器會把用戶的相關信息傳遞給認證系統，認證系統的設備端根據認證服務器認證的結果決定受控端口的授權和非授權狀態.如果用戶通過認證，受控端口就“打開”，此時允許文所有的報文通過，允許用戶傳遞網絡資源和服務；如果不能通過認證，則該端口為未授權狀態的受控端口，則保持“關閉”狀態，拒絕用戶或設備訪問局域網中的資源.此時只允許認證報文E A P O L(基于局域網的擴展認證協議)數據通過端口.

802.1 x協議的認證體系結構包括三個部分：Supplicant System客戶端、Authenticator System認證系統、Authenticator System認證服務器.

認證系統——通常為支持802.1x協議的網絡設備，一般由用戶接入層設備（如交換機）實現.該設備對應于不同用戶的端口，并對接入的用戶或設備進行認證的端口.

請求者——被認證的用戶或設備，一般為一個用戶終端系統，該終端系統通常要安裝一個支持基于端口的接入控制（EAPOL協議）的客戶端軟件.用戶通過啟動客戶端軟件發起IEEE802.1x協議的認證過程.典型的為Windows XP操作系統自帶的客戶端.

認證服務器——認證服務器通常為Radius服務器，該服務器存儲有關用戶的信息，例如用戶所屬的VLAN、優先級、用戶的訪問控制列表等.它根據認證者的信息，負責對請求訪問網絡資源的用戶或設備進行實際認證.當用戶通過認證后，認證服務器會把用戶的相關信息傳遞給認證系統，由認證系統構建動態的訪問控制列表，用戶的后續訪問就將接受上述參數的監管.

其認證過程如下：⑴開始訪問時，用戶打開802.1x客戶端，輸入已申請或登記過的用戶名和口令，發起連接請求報文.客戶端程序發出請求認證的報文給交換機，開始啟動一次認證過程.⑵交換機收到請求認證數據幀后，將發出一個請求幀要求用戶的客戶端程序發送輸入的用戶名.⑶客戶端程序響應交換機發出的請求，將用戶名信息通過數據幀送給交換機.⑷交換機將客戶端送上來的數據幀經過封包處理后，送給Radius服務器進行處理.⑸Radius服務器收到交換機轉發的用戶名信息后，將該信息與數據庫中的用戶名表比對，找出該用戶名對應的口令信息，并用隨機生成的一個加密字對它進行加密處理，同時將此加密字與加密后的口令信息一同傳送給認證系統，由認證系統傳給客戶端程序.⑹客戶端程序收到由認證系統傳來的加密字后，用該加密字對口令部分進行加密處理（這種加密算法通常是不可逆的），并通過認證系統傳給Radius服務器.⑺Radius服務器將收到的加密后的口令信息和自己經過加密運算后的口令信息進行對比，如果相同，則認為該用戶為合法用戶，反饋認證通過的消息.同時,認證系統將端口狀態改為授權狀態，允許用戶的業務流通過該端口訪問網絡.否則拒絕用戶的業務流通過.當服務需求結束時，客戶端可發送結束請求報文給認證系統，主動終止已認證狀態，認證系統則將端口狀態從授權狀態改變成未授權狀態.

3 兩種身份認證的比較

WEB身份認證基于應用層的控制，其控制核心是用戶，采用WEB瀏覽器作為認證客戶端，無需特定客戶端支持，對組網沒有限制，設備關聯性較弱，因此維護工作量低小，成本低，操作簡單.它實現了控制流和數據流徹底分離，控制流在WEB認證服務器上進行處理，而數據流由寬帶接入服務器進行處理，管理方便.但是因為采用“入網即認證”的方式，因此在內網安全性上比較弱.而且它要求用戶必須獲得地址才能訪問服務器.因此認證下線后，只要用戶聯接好的，地址會一直被占用，不被釋放，造成了地址的浪費.

802.1 X身份認證以邏輯端口為控制核心，在第二層上實現對用戶接入端口的控制，采用分布式部署，需要部署三方包括認證服務器，接入設備及用戶，部署范圍廣.也需要相關的設備支持，啟用相應的客戶端程序（WINDOWSXP自帶此功能），工作量大，維護成本高.在信息傳輸過程中，口令信息采用不可逆加密算法處理，大大提高了網絡的安全性和可靠性.由于通過認證后的報文是無需封裝的純數據包，直接通過可控端口進行交換，進而增強了系統的性能度.在管理上，無需多業務網管設備，就能保證IP網絡的無縫相連，去除冗余昂貴的多業務網關設備，消除網絡認證計費瓶頸和單點故障.采用“先認證后分配”的方式，能有效地利用地址資源.由于認證流和業務流不分離，因此需要對各個用戶接入口進行管理，范圍廣，復雜度高.

4 結論

通過以上比對，可以發現兩種認證方式在實現和應用上各有優缺點.在面對日益多樣化的用戶需求，選擇什么樣的認證方式是與用戶需求密切相關的，針對不同的用戶需求實現差別化的信息安全管理機制尤為重要.結合以上兩者的特點，在局域網的管理上，針對不同的用戶群體（接入地域）或是不同的網絡資源，采取不同的準入認證方式，進而最終實現統一的管理和控制.首先對局域網內的用戶按不同級別、群體或地域進行分類管理.再對不同級別的用戶進行區別化安全認證.對于一般用戶在入網訪問時，在用戶接入的入口采用了端口控制功能，實現業務與認證的分離，進行精細的控制，采用“先認證再入網”的方式，確保合法用戶才能進入內部網絡，同時采用動態綁定用戶（物理或邏輯）端口或劃分VLAN等訪問控制方式，以確保用戶IP地址的真實性，和對內網進行有效地管理.對于高級用戶則采用Web準入的方式進行認證和接入控制，將Web認證控制到網絡的邊緣，以減少部署范圍，降低維護的工作量，加強Web認證的安全性.同時也可對網絡資源按用戶群體區別控制，對一般性資源要求用戶WEB形式的登陸訪問，而對安全性要求較高的資源則采用端口限定（如VLAN，IP或MAC等）或用戶限定訪問的方式.這樣根據用戶身份的不同分配不同的資源使用權限，有利地實現對網內有限資源的再分配，避免網絡資源的濫用和管理混亂.

〔1〕鄒潔.寬帶接入認證和計費方式分析[J].廣東通信技術，2002，22(6):15—20.

〔2〕丁妮.Web應用安全研究[D].中國優秀碩士學位論文全文數據庫,2007-5:11-15.

〔3〕朱海龍，張國清.基于802.1x的以太網接入技術[J].計算機工程，2003，29(18):130-32.

〔4〕余秦勇.802.1x協議分析及其應用[J].信息安全與通信保密,2005(11):85-89.

TP393.08

A

1673-260X（2010）08-0043-02