宽带接入认证范文(精选9篇)
宽带接入认证 第1篇
关键词:宽带接入认证,PPPOE认证,IEEE802.1X认证,WEB认证
宽带用户接入认证主要是指接入控制设备依据用户的身份特征(如用户名、密码)进行用户接入认证,通过接入控制设备(宽带接入服务器,BAS)与AAA[1]服务器配合,可以实现对每一个不同的用户进行认证,对用户的认证管理(也就是通常所说的AAA包含3个方面,即认证(Authentication):是指验证用户对网络的访问权限;授权(Authorization):是授权用户可以使用的服务;计费(Accounting):是记录用户使用网络资源的情况,包括收发字节数、收发数据包数、上网时长等。
在介绍认证技术前,必须了解一下认证过程:
1 宽带用户接入认证通用过程
首先用户连接到BAS(宽带接入服务器)上,由BAS设备获取用户的身份特征(用户名、口令等);然后,BAS设备将用户的身份特征通过某一特定的AAA协议(RADIUS协议),由IP网络传递到集中放置的AAA服务器;AAA服务器查询用户数据库,依据数据库中的信息对接收到的用户身份特征信息进行认证;若认证通过,则打开相应的通往Internet端口使用户可以接入宽带网络。若认证未通过,则返回用户认证失败信息,禁止用户接入宽带IP网络。
2 几种认证方式
2.1 PPPoE认证方式
2.1.1 PPPoE技术介绍
PPPoE是一个在以太网上传送PPP分组的协议,PPPoE协议是BRAS支持的一个重要的用户接入协议。如果用户通过以太网或者ADSL等接入方式连接到BRAS那么用户就必须使用PPPoE协议,而此时的BRAS将汇聚所有的PPPoE分组,并对这些接入用户提供相应的服务。
2.1.2 PPPoE[2]认证方式介绍
PPPoE认证技术,用户端采用相应的拨号软件发起PPPoE连接请求,该PPPoE连接请求由以太网帧承载,穿越以太网二层设备,最终在BAS设备处终结,由BAS设备与AAA服务器配合,实现基于用户的访问权限、计费和服务类型的控制。
PPPoE认证的过程简述如下:
首先,由接入用户发起PPPoE的建立,PPPoE建立发现阶段。发现阶段完成后,BAS设备给该PPPoE连接分配一个唯一会话标识号A。
然后,进入PPPoE的PPP会话阶段,用户与BAS设备建立PPP连接。在PPP连接的认证阶段,BAS设备通过PAP认证或CHAP认证,获取用户的身份特征信息、用户名、口令;然后,BAS设备将此信息通过RADIUS协议的认证请求消息,传给AAA服务器。AAA服务器将此信息与自身数据库中的用户注册信息比对,若一致则通过RADIUS协议返回BAS设备一个认证接受消息(授权信息)。
BAS设备据此消息内容,通过与客户之间PPP的NCP协商,给客户计算机发送IP地址、网关、DNS等配置信息。同时,BAS设备开放客户到互联网的出口。客户计算机依据此信息进行正确配置后,就可通过BAS设备接入到互联网中。
此时,BAS设备给AAA服务器发送一个计费请求消息,要求AAA服务器开始计费。AAA服务器回送一个计费响应消息,告知BAS设备已接受其请求。
当用户下网时,客户端的PPPo E软件发送给BAS一个PADT包,BAS设备给AAA服务器发送一个计费请求消息,要求AAA服务器停止计费,并将用户上网的原始计费数据发送给AAA服务器。AAA服务器回送一个计费响应消息,告知BAS设备已接受其请求,用户断线。
2.2 Web认证方式
基于Web的认证是一种应用层的认证方法,与接入的介质和网络环境没有直接的关系,用户通过DHCP获得IP地址后,通过WEB页面输入用户名和密码。
Web认证的主要过程描述如下:
2.2.1用户机器启动,通过DHCP由BRAS做DHCP-Relay,向DHCP Server要IP地址(私网或公网);
2.2.2 BRAS为该用户构造对应表项信息(基于端口号、IP),添加用户ACL服务策略(让用户只能访问Portal Server和一些内部服务器,个别外部服务器如DNS);
2.2.3 Portal Server向用户提供认证页面,在该页面中,用户输人账号和口令,并单击“登录”按钮,也可不输入账号和口令,直接单击“登录”按钮;
2.2.4该按钮启动Portal Server上的Java程序,该程序将用户信息(IP地址,账号和口令)送给网络中心设备BRAS;
2.2.5 BRAS利用IP地址得到用户的二层地址、物理端口号(如Vlan ID,ADSL PVC ID,PPP Session ID),利用这些信息,对用户的合法性进行检查,如果用户输入了账号,则认为是卡号用户,使用用户输入的账号和口令到Radius Server对用户进行认证;如果用户未输入账号,则认为用户是固定用户,网络设备利用Vlan ID(或PVC ID)查用户表得到用户的账号和口令,将账号送到Radius Server进行认证;
2.2.6 Radius Server返回认证结果给BRAS;
2.2.7认证通过后,BRAS修改该用户的ACL,用户可以访问Internet或特定的网络服务:
2.2.8用户离开网络前,连接到Portal Server上,单击“断开网络”按钮,系统停止计费,删除用户的ACL和转发信息,限制用户不能访问Internet;
2.2.9在以上过程中,要注意检测用户非正常离开网络的情况,如用户主机死机,网络断掉,直接关机等。
2.3 IEEE 802.1X认证方式
IEEE 802.1X协议是基于端口的访问控制协议(Port Based Network Access Control Protoco1)。
2.3.1 IEEE 802.1X认证基本概念
IEEE 802.1X认证方式在传统共享以太网上对接入用户认证控制的实现,是基于对用户在BAS设备上接入端口的开和关来进行控制的。
2.3.2 用户接入的端口控制原理
首先,客户端在BAS设备上要有一个与其唯一对应的接入端口。接入端口可以是物理上的,也可是间接的虚拟端口。
客户端在BAS设备上唯一的接入端口,又被BAS设备从逻辑上分为两个逻辑端口:受控端口和未受控端口。其中,受控端口为用户接入互联网要使用的端口,它在用户接入认证成功前是断开的,认证通过后闭合。未受控端口为双向连通端口,但用户的应用数据流被禁止在此端口上传递。BAS设备只需控制受控端口的开、关状态,但并不干涉未受控端口的状态,这样实现了业务数据流和认证流的完全隔离。
3 总结
综上所述,在实际应用中根据不同的组网情况,结合各种认证技术的特点,选择最佳的认证方法:
3.1针对ADSL个人用户。若局端DSLAM支持VLAN,则采用VLAN+Wed认证;若局端DSLAM不支持VLA N,则采用PPPoE认证。
3.2针对LAN个人用户。若以太网两/二层交换机支持VLAN,则采用VLAN+Wed认证方式;若以太网两/二层交换机不支持VLAN,则采用PPPoE认证。
3.3针对运营管理要求不高的简单以太网络可采用802.1X认证。
参考文献
[1]刘清,乐燕群.AAA-维系运营商与用户联系的命脉[N].计算机世界报,2003.
[2]RFC-2516.A Method for Transmitting.PPP Over Ethernet[S].
宽带接入认证 第2篇
代维单位姓名分数
一、填空题(20个空,每空1分,共20分)
1.网络故障根据影响范围一般分为重大故障、严重故障、一般故障,具体故障等级划分按照各专业规定执行。
2.IP网接入设备主要包括窄带拨号接入服务器、DSLAM、城域网楼宇(局域网)二层以太网交换机等。
3.EPON最大的特点在于它采用无源光分路器 耦合器(Splitter/Coupler)作为光分支部件。可根据实际地形、用户分布等情况,灵活选用最合适的网络结构。采用EPON 技术可构成星形、树形、链形、环形,以及由它们复合构成的网络,特别适合树形 星形结构。根据EPON 相关标准的建议,EPON的逻辑距离一般为10KM或20KM。
4.IP网络监控管理主要内容包括网络设备监控、中继电路状态监控、网络流量监控、网络性能监控、用户或业务电路状态监控及IP网管系统及设备运行性能监控。
5.佛山联通公司的DNS分别是哪个ip:221.5.88.88和210.21.196.6
6.施工单位必须严格遵守所在局(站)的运维管理、生产规章制度,在承载业务的机房和设备施工时,必须服从随行人员和 机房值班人员的要求,确保通信安全。
7.IP网络安全管理实行统一组织、分级管理、专人负责制。对于远程登录访问控制,要确保在所有登录服务的位置设置口令防护,其中设备登录和认证的通信过程应加密,确保AUX和Console接口设置EXEC口令。对设备的远程登录会话最大无响应连接断开时间应设置为不大于 10分钟。
8.网管系统自身维护对象主要包括网管系统硬件(含与网管配套的数据通信设备)和网管软件及相关数据,接口机设备和配套的数据通信设备及配套的电源设备等。
二、单项选择题(20题,每题1.5分,共计30分)
1.关于割接,下述哪项描述正确(C)
A.网络割接是指对已承载业务或未承载业务的网络资源的维护操作;
B.网络割接操作期间将造成业务中断或影响网络的正常运行;
C.所有的割接操作必须接到有关部门的割接通知书后方可执行,并应在规定的时间内
佛山
完成规定的割接作业内容,不得随意变更割接时间;
D.割接完成后应立即提交割接报告。
2、关于工程初验,下述哪项正确(D)
E.设备初验合格后,交付运维试运行。
F.试运行期一般为3个月。
G.试运行期间,对于试运行期间出现的工程质量问题,由维护部门负责解决。
H.设备终验合格后,正式移交运维部门维护。
3.将双绞线制作成交叉线(一端按ELA/TIA568A线序,另一端按ELA/TIA568B线序),该双绞线连接的两个设备可为(A)。
A.网卡与网卡
B.网卡与交换机
C.网卡与集线器
D.交换机的以太口与下以级交换机UPLLINK口
4.以太网中的帧属于(B)协议数据单元。
A.物理层B.数据链路层C.网络层D.应用层
5.ADSL网络的维护指标中,ADSL故障修复及时率≥(C)%。
A、60B、80C、95D、99
6.ADSL连通时的误码率指标为≤(A)
A、1×10-7B、5×10-7C、1×10-10D、5×10-10
FTTx+LAN接入网采用的传输介质为(D)
A.同轴电缆B.光纤C.5类双绞线D.光纤和5类双绞线
7.交换机端口默认类型为(A)
A.accessB.hybridC.trunkD.none
9.使用traceroute命令测试网络可以(D)
A.检验链路协议是否运行正常
B.检验目标网路是否在路由表中
C.检验应用程序是否正常
D.显示分组到达目标经过的各个路由器
10.能显示IP、ICMP、TCP、UDP统计信息的Windows命令是(A)
A.netstat-sB.netstat-eC.netstat –rD.netstat –a
11.属于网络112.10.200.0/21的地址是(B)。
A.112.10.198.0B.112.10.206.0
C.112.10.217.0D.112.10.224.0
12.下面哪种业务单板是onu的宽带业务单板(C)
A.H563ADGEB.H838ASPBC.H835ADLED.H831CCUB
13.以下哪个为查看ADSl设备M数模板命令(D)
A.show version
B.show patch all
C.show board
D.show adsl line-profile
14-15.在缺省配置的情况下,交换机的所有端口(B)。连接在不同交换机上的、属于同一VLAN的数据帧必须通过(D)传输。
14).A.处于直通状态B.属于同一VLANC.属于不同VLAND.地址都相同
15).A.服务器B.路由器C.Backbone链路D.Trunk链路
16-20.在使用路由器 R 的 TCP/IP 网络中,两主机通过一路由器互联,提供主机 A 和主机 B 应用层之间通信的层是(B),提供机器之间通信的层是(C),具有 IP 层和网络接口层的设备(A);在 A与 R 和 R 与 B 使用不同物理网络的情况下,主机 A 和路由器 R 之间传送的数据帧与路由器 R 和主机 B之间传送的数据帧(A), A 与 R 之间传送的 IP 数据报和 R 与 B 之间传送的 IP 数据报(B)。
16)A.应用层B.传输层C.IP层D.网络接口层
17)A.应用层B.传输层C.IP层D.网络接口层
18)A.包括主机 A、B 和路由器 RB.仅有主机 A、B
C.仅有路由器RD.也应具有应用层和传输层
19)A.是不同的B.是相同的C.有相同的MAC地址D.有相同的介质访问控制方法
20)A.是不同的B.是相同的C.有不同的IP地址D.有不同的路由选择协议
三、多项选择题(10题,每题3分,共计30分)
1.接入网维护管理的基本任务是(ABCD)
A.保证接入网设备的运行正常,设备性能符合维护管理要求;
B.迅速准确地排除各种故障,减少故障引起的损失;
C.保证设备完整、清洁,机房环境条件良好;
D.合理调整设备配置,最大限度地提高设备利用率;
2.DSLAM设备的维护周期正确的是(AD)。
A.B.C.D.每天检查节点告警状况 每天统计DSLAM设备端口占用率 每周配置备份系统数据 每月记录忙时DSLAM上连交换机端口流量
3.DSLAM设备维护测试项目及周期中,以下正确的是(CD)。
A、检查节点告警状况的维护周期是周B、记录忙时DSLAM上连交换机端口流量的维护周期是周C、备份系统配置数据的维护周期是月
D、统计DSLAM设备端口占用率的维护周期是月
4.和ADSL 相比,ADSL2+具有如下特点。(ACD)
A.更高的速率:可支持最高达12Mbit/s 的下行速率。
B.更长的传输距离:ADSL 的最长传输距离为5km 以下,而ADSL2+的最大传输距离为6.5km。
C.更低的功耗:ADSL2+提供了功率管理功能,降低了运行功耗。
D.具有线路诊断能力。
5.ADSL LINK不亮,下面的处理方法哪些是正常的。(ABCD)
A.请检查ADSL 线路连接是否正确。
B.请使用话机检查电话线路进入房间前是否有故障。
C.确认连接MT880 之前,所设接线盒不含有电容、二极管等阻碍高频信号的元件。
D.请检查MT880 和电话之间是否连接正确。
6.接入网维护管理的基本任务是(ABCD)
A、保证接入网设备的运行正常,设备性能符合维护管理要求;
B、迅速准确地排除各种故障,减少故障引起的损失;
C、保证设备完整、清洁,机房环境条件良好;
D、合理调整设备配置,最大限度地提高设备利用率;
7.DSLAM设备的维护周期正确的是(AD)。
A、每天检查节点告警状况
B、每天统计DSLAM设备端口占用率
C、每周配置备份系统数据
D、每月记录忙时DSLAM上连交换机端口流量
8.端口可以设置成哪些端口类型(ABC)
AccessB.hybridC.trunkD.none
9.和ADSL 相比,ADSL2+具有如下特点(ACD)。
E.更高的速率:可支持最高达12Mbit/s 的下行速率。
F.更长的传输距离:ADSL 的最长传输距离为5km 以下,而ADSL2+的最大传输距离为6.5km。G.更低的功耗:ADSL2+提供了功率管理功能,降低了运行功耗。
H.具有线路诊断能力。
10.ADSL LINK不亮,下面的处理方法哪些是正常的(ABCD)
A.请检查ADSL 线路连接是否正确。
B.请使用话机检查电话线路进入房间前是否有故障。
C.确认连接MT880 之前,所设接线盒不含有电容、二极管等阻碍高频信号的元件。
D.请检查MT880 和电话之间是否连接正确。
四、判断题(20题,每题2分,共计20分)
1、网络资源管理的范畴,主要是指网络资源的业务属性以及提供的通信能力,包括网络资源的设备容量、端口信息,不包含其占用的业务信息等。(错)
2、网管维护人员应做好网管设备和系统的管理和使用工作。数据备份等存储的资料应保留半年以上。()
3、在OSI参考模型中,数据链路层处理的数据单位是帧。(对)
4、如果要彻底退出路由器或者交换机的配置模式,输入的命令是exit。(错)
5、LAN ACT 闪烁 表示以太网有数据流量。(对)
6、在onu上启用vlan,默认的vlan类型为smart。()
7、进入华为交换机S3528端口,要将此端口从shutdown状态开启,采用的命令是no shutdown。(错)
8、FTTB表示光纤到户。(对)
9、epon是种有源光网络。(错)
宽带接入认证 第3篇
关键词IPoEDHCP系统电信级
1概述
随着电信重组,3G牌照的发放,使得中国三大电信运营商开始进入了一个全业务激烈竞争的时代。包括IPTV在内的视频、语音、数据业务,成为各大运营商发展的重点。这对承载网络提出了更高的要求,传统的PPPoE接入认证方式将不能满足多种业务接入的要求, 为此,业内提出了IPoE的接入方式,IPoE更适合用于长时间/永远在线、哑终端的新型语音、视频等实时业务。
在协议上,IPoE与PPPoE相比,去除了PPPoE层和PPP层的封装,直接用以太报文承载IP协议。这样降低对终端和设备的要求,减轻终端和设备的压力,并且可以利用以太网本身的一些特性,如二层组播能力,也能够获取终端在接入网络中的位置信息,便于与位置信息绑定。
2IPoE接入认证方式简介
DSL工作组于2006年定义了WT-146用户会话控制机制,设计规划了以DHCP技术为核心,紧密结合当今PPPoE通用的RADIUS协议,建立了一种基于“IP用户会话机制”,“IP数据流的分级机制”及“IP会话鉴权和管理机制”的IPoE认证机制。IPoE通过扩展信息的加入和识别在网络边缘设备上提供用户Session的接入认证授权计费及控制,并实施各种用户策略(如QoS等)。
IPoE接入方式的主要特点有:
(1)IPoE相对于PPPoE在协议层面进行了简化,减少了PPP和PPPoE层,降低了开销,可以简化设备的处理,降低DPI设备的处理要求;
(2)IPoE的使用可以使得iTV业务的跨VLAN组播复制点下移,优化网络的流量模型,减少带宽的消耗;
(3)IPoE可以实现即插即用,可以实现自动配置;更可通过DHCP Server对终端下发相应的业务配置数据;
(4)IPoE可以实现用户session的热备,出现故障时,无需用户重新拨号,提高用户体验。
IPoE根据其协议的发展,业务的安全性、部署能力、可管可控能力,又分成Session级和非Session级两种部署方案。非Session级IPoE方案中,由DHCP Server将DHCP报文中的认证信息转换成Radius属性,送给AAA进行认证,认证成功后分配地址。Session级IPoE方案中,由MSE将DHCP报文中的认证信息转换成Radius属性,送给AAA认证。认证成功后,并通过DHCP Server分配地址。终端与MSE之间还需要建立IP Session。
3电信级DHCP系统建设方案
要部署IPoE接入认证方式,需要MSE(SR、BRAS)、AAA、DHCP Server来共同配合完成,而建设一个电信级DHCP系统则是在运营商中实现IPoE的关键。下面从系统设计和实施部署两个方面来介绍电信级DHCP系统的建设方案。
3.1系统设计
整个DHCP系统从逻辑上分成管理中心和地址分配中心。管理中心负责对整个DHCP系统进行管理和维护,如对地址资源,属地、设备等业务数据,以及地址分配中心及服务器进行管理。地址分配中心负责IP地址的分配。地址分配中心由负载均衡设备、协议解析服务器和地址分配服务器三个部分组成。地址分配请求由负载均衡设备通过局域网根据负载均衡策略送到协议解析服务器,协议解析服务器根据终端需要分配的IP地址,通过数据总线向地址分配服务器请求合适的IP地址。各个地址分配中心内部的地址分配服务器可以实现相互备份,在某台服务器出现故障时不影响业务。具体如图1所示。
3.2部署方案
为了保证系统的冗余性,在实际部署时可考虑建设多个节点,分别部署在不同地市。比如建立三个DHCP节点,分别部署在城市南京、苏州和盐城。南京、苏州、盐城节点分别作为地址分配中心,南京节点同时作为管理中心。可以按照业务的用户量,分别使用三个地址分配中心。三个节点采用完全相同的网络架构, BRAS/SR/MSE设备通过城域网与DHCP系统通信,DHCP系统通过城域网与AAA系统通信。具体如图2 所示。
3.3系统特点
本建设方案充分了解DHCP业务系统的特殊应用特点,在系统设计和实施部署等方面从处理性能、可用性、安全性和可扩展性等几方面进行了综合考虑,实现一个具有高性能、高可用、安全和灵活等特性的电信级系统。
3.3.1高性能
本系统架构采用横向数据分流、纵向处理分层的多层多通道分布式服务处理模式,前端是协议采集,后端是地址分配模块。在各层之间采用多通道并行来实现业务的处理,有效提高系统的运行效率,满足系统的大量并发处理要求和可预见的处理时延要求。
3.3.2高可靠性
整个系统设计为多个处理节点,为系统提供了很强的容错、容灾能力。在每节点内部,网络设备(包括四层负载均衡设备和局域网交换机)部署为两两冗余。当其中一台设备出现故障时,另外一台设备能自动接替故障设备进行工作。协议处理服务器可配置为多台。每台服务器和负载均衡设备之间有健康检查机制。当一台服务器出现故障时,负载均衡设备可自动探测到故障,把其上的相应请求,转发到其他协议处理设备,从而不影响用户业务。
3.3.3高安全性
在系统设计中,充分考虑了安全因素,采用了多种安全措施,保证数据不被非法入侵者破坏和盗用,并保证数据的一致性,从多个层次全面保证整个系统的安全。
3.3.4高可扩展性
系统的主机平台、网络平台、数据库平台等具有良好的可扩充性(升级能力)。系统的应用软件设计方案充分考虑了可扩展性,数据模型的设计充分考虑了系统将来可能的扩展和业务的变动,以适应业务的迅速发展。
4结束语
随着 “三网融合”的推动、新业务新终端的出现、DHCP技术的成熟,以及更灵活的用户控制策略需要,业界正逐步推动IPoE接入认证方式的部署,而建设一个电信级DHCP系统则是在运营商中实现IPoE的关键。
本文在充分了解DHCP业务系统的特殊应用特点的基础上,从系统设计和实施部署等方面综合考虑,提出了一个具有高性能、高可用、安全和灵活等特性的电信级DHCP系统的建设方案。
IPoE Access Authentication Mode Telecom Level DHCP System Construction Scheme
Zheng Dongdong,Bailin,Xu Lianghong
(Jiangsu China telecom operation and maintenance center,Nanjing 210017,China)
Abstractwith the development of IP network from the simple online business to provide video, voice and other streaming media such as real time value-added service ( such as IPTV, VOIP etc. ) development, Uchi Masaho advances the IPoE access modes of deployment, and the construction of a telecom level DHCP system in telecom operators in the implementation of the IPoE key. This article from the system design and implementation and other factors, it has high performance, high availability, security and flexibility characteristics of the telecommunication level DHCP system.
Key wordsIPoE,DHCP system,Telecom
宽带接入认证 第4篇
关键词:动态主机配置协议,扩展字段,接入认证
传统DHCP (动态主机配置协议) 不能进行认证、授权和session控制, 无法支持运营商对用户进行精确控制和管理的需要。因此需要通过对传统DHCP加以改进, 来实现电信级宽带用户接入认证。
1 DHCP及扩展字段
1.1 DHCP工作流程
DHCP是一个处于应用层的客户/服务器协议, 是Boo TP (Bootstrap协议) 的扩展, 增加了自动分配网络地址、重用释放的网络地址的功能, 以及一些安全机制的附加信息。当DHCP客户端在网络上启动时, 它将主动寻找一台DHCP服务器并获得它的TCP/IP配置信息。整个协商过程主要包括以下4个阶段。
1) 请求地址。客户端广播一个DHCPdiscover数据包请求, 寻找网络中的DHCP服务器, 如果路由器支持DHCP中继代理, 这个广播数据包会转换成单播包转发到远程网络上的DHCP服务器。此时客户端还没有IP地址, 所以源地址设为全“0”。
2) 提供地址。如果DHCP服务器能为这台客户端提供IP地址, 将会回送一个广播包DHCP offer作为响应, 该包中包括IP地址、子网掩码、租约时间等信息。
3) 选择地址。客户端从最先收到的数据包中得到配置信息, 并广播一个DHCP request包给服务器确认IP地址的选择。其他的服务器也会收到该数据包, 他们将收回先前提供的IP地址, 并恢复为可用状态。
4) 确认地址。被选择的服务器对收到的DHCP request进行确认, 如果是该服务器分配的配置信息, 它将回送一个DHCP ACK (确认) , 表示接受客户端的请求, 否则回送一个DHCP NAK (不确认) 拒绝请求。
1.2 DHCP扩展字段
DHCP本身并没有用来认证的功能, 但是DHCP可以配合其他技术实现认证, 其中通过DHCP加option扩展字段进行认证的方式, 又称为IPo E (以太网上的IP) 认证方式。用来作为DHCP扩展的option字段主要为option 60 (RFC2132) 和option82 (RFC3046) 。
option 60中带有vendor和service option信息, 是由用户终端发起DHCP请求时携带的信息, 网络设备只需要透传即可。其在应用中的作用是用来识别用户终端类型, 从而识别用户业务类型。DHCP服务器可以依赖于此分配不同的业务IP地址。
option82信息是由网络设备插入在终端发出的DHCP报文中, 主要用来标识用户终端的接入位置, 比如对于交换机而言, 通常插入的是交换机的桥MAC (媒体接入控制) 、用户接入的端口号和DHCP报文所在VLAN (虚拟局域网) 号。DHCPoption82信息可以由DHCPsnooping或DHCPrelay设备进行插入。
2 电信级DHCP接入认证技术的实现
本文以中国电信某分公司的i TV (互动电视) 用户接入认证管理系统为例来介绍电信级DHCP接入认证技术的实现。
2.1 系统部署
图1显示了DHCP技术用于城域网接入认证的应用场景。在该城域网解决方案中, Internet业务以原有PPPo E (以太网上的点对点协议) 方式通过BRAS (宽带接入服务器) 设备接入, Vo IP (网络电话) 、IPTV (网络电视) 等业务以DHCP认证方式接入用户。
2.2 接入认证流程
1) 用户终端发起DHCP discover请求, 插入option 60信息来标识用户和业务;
2) 接入网设备插入option 82信息, 标识线路信息;
3) 业务接入控制层设备BRAS或SR (业务路由器) 设备进行DHCPrelay, 信任option 82信息;
4) DHCP server解析option 60报文, 识别业务类型, 通过后将用户账号、线路等信息转成标准RADIUS (远程认证拨号用户服务) 报文, 转到AAA (认证、授权和计费) 系统认证;
5) AAA校验用户名密码和线路信息, 返回认证结果;
6) DHCP server根据认证结果, 分配相应IP地址。
2.3 终端部署要求
用户终端设备包括家庭网关、机顶盒 (STB) 等。用户业务终端部署主要涉及到对option 60的支持, 通过option 60上报用户的接入账号和密码, 同时option 60信息可以由电信管理员通过交互界面或ITMS (综合终端管理系统) 远程修改, 方便业务的开展, 以及后续的业务部署和变更。
2.4 宽带接入网部署要求
宽带接入网设备主要包括DSLAM (数字用户线接入复用器) 、ONU (光网络单元) 、OLT (光线路终端) 、楼道、园区、汇聚交换机等, 主要为业务及控制信息提供承载, 要求宽带接入网设备实现以下安全控制功能:
1) 需根据相关规范实现option 82的标记, 实现用户的线路绑定动能, 防止账号盗用。
2) 根据用户接入端口限制最大MAC地址数量, 防止用户伪造大量MAC攻击;支持DHCP snooping, 可设置不信任端口, 防止用户私设DHCPserver。
3) 要求ONU、DSLAM、楼道交换机、园区交换机支持跨VLAN组播复制能力以实现i TV用户的组播业务复制点下移。
2.5 DHCP server和AAA部署要求
1) DHCP serve需开发相应的私有接口, 实现提取用户请求中的信息, 形成用户名、密码的格式送给AAA服务器;
2) 或实现RADIUS client功能, 并开发相应的功能将option60和option 82信息转成RADIUS user-name、password、nas-port-id属性送给AAA服务器;
3) 支持根据DHCP请求的option 60信息识别用户的业务, 分配相应的地址段。
AAA服务器根据DHCP server送过来的用户名、密码进行认证, 并校验nas-port-id信息, 确认是同一线路下的用户接入, 返回认证结果。
3 系统特点
1) 用户控制方面, DHCP server通过option 60和option 82构造RADIUS消息, 由AAA根据用户名、密码及线路信息对用户进行认证控制, 通过此方法限制私拉盗接和用户串用等问题, 从而减轻运维压力, 保护合法用户的权益;
2) 网络安全方面, 通过在接入网开启DHCP snooping功能, 防止IP盗用、用户私接、DHCP server仿冒、IP/MAC spoofing攻击、Do S (denyofservice) 攻击, 规避了DHCP的安全缺陷;
预认证线性快速接入方案 第5篇
认证是在终端接入网络时保证终端和网络安全的一种方法。现实生活中,由于环境的不同,我们对接入认证的需求也有所不同,有的突出认证的匿名性,有的突出认证的双向性,而本文关注的是认证的快速性,以满足高速行驶下无线切换的顺利进行,保证高铁、地铁等高速运动环境下的无线服务质量。在此环境下,由于列车行驶的高速特性,为了满足用户的正常网络传输,需要快速地完成接入认证。传统的无线接入认证方案中[1,2,3,4,5],每次切换都需要重新认证和接入,这样势必会带来大量的认证和接入信息流[6,7,8,9,10],尤其在移动设备高速运动的情况下,用户接入更加的频繁,带来的影响更是明显。为了在高速环境下减少切换时延,钱对切换时机进行研究[11],通过切换时机的选择减少切换时延; 李通过简化Wlan接入认证流程和同步传输缩短认证时间[12]; 同时,肖-王基于预共享密钥和证书的双向认证,证明了可信接入认证协议的串空间安全性[13]; 然而,以上安全性认证多基于传统的公钥密码体制,存在证书的存储、传输、管理等问题,并不能完全适用于无线环境。
为了克服传统公钥密码体制中证书存储和管理的问题,shamir于1984 年提出了基于身份的密码体制,并基于整数分解难题给出了第一个基于身份的签名方案[14]。2001 年,Boneh等利用Weil配对技术提出了第一个安全、使用的基于身份的加密方案[15]。之后,基于身份的密码体制得到了迅速发展,并提出了大量基于身份的加密和签名方案。2005 年,Waters首次提出了标准模型下基于身份的加密方案[16],并将其归约于计算Diffie-Hellman假定。2006 年,Paterson等人在Waters基于身份加密方案的基础上,提出了一个标准模型下基于身份的签名方案[17],并给出了该方案基于身份签名的可证安全模型。这也为认证的安全性等提供了技术保证。
本方案,基于身份密码体制,根据多跳网络中多跳的思想[18,19],引入了认证过程中信任传递的思想。在地铁的特殊环境下,通过对认证码和会话信息的提前传递和预验证来完成认证,并减少终端高速切换中的聚集认证问题。相对于前人所提的快速接入方案,本文所提方案中终端在接入点之间切换时,通信量更少,认证时延更少,可以有效地提高切换质量。
1 前提知识
定义1 椭圆曲线上的双线性变换。设( G1,+) 和( G2,·)分别为PKG用双线性Diffie-Hellman参数产生器生成椭圆曲线上的点群G1和有限域上的乘法子群G2; 选择一个生成元P∈ G1并定义两个哈希函数: H1: { 0,1}*→ G1,( 提取椭圆曲线上与ID对应点的摘要) H2: G2→ { 0,1}l,l为明文信息的长度( 生成一段密钥流) ;: G1× G1→ G2为椭圆曲线有限域上的Weil或Tate线性匹配,满足以下性质: ① 双线性性,对任意P1,P2,Q ∈ G1有成立; ② 非退化性,存在p ∈ G1即e( p,p)≠ 1,也即e( p,p)是G2的生成元; ③ 可计算性,对于任意的p1,p2∈ G1,存在有效算法计算。
定义2 计算Diffie-Hellman问题。设G1为q阶( q为一大素数) 的循环群,g为G1的生成元,对于,计算gab,其中a,b ∈ Zq未知( Zq表示整数模q的剩余类所构成的集合) 。
2 预认证线性快速接入方案
方案包括两个阶段:初始化阶段和认证接入阶段。
初始化阶段:
初始化阶段包括: ① 系统建立; ② 终端/接入点私钥生成两步。系统建立由PKG完成,先是由根PKG进行系统初始化,产生根主密钥s0和根系统公钥,并公开根PKG域的系统参数,各子PKG在根PKG域进行注册,验证通过为各合法域产生基于身份的公私钥对{ Qc,Sc} ,Qc= H1(root)( IDc) ,Sc=s0Qc; 然后,各子PKG各自进行子系统初始化,产生各域自己的主密钥s和子系统公钥Ppub,并公开各PKG域的系统参数{ G1,G2,q,P,Ppub,H1,H2} ; 最后,各接入点和终端在相应的PKG域( 家乡域) 根据自己的身份信息进行注册,PKG为合法用户生成基于其身份的私钥,在之后的认证中作为与认证用户之间的安全锚点,并在用户初始接入的时候分发一个随机数y QPKG,作为之后在其他域注册时与原PKG域协商会话密钥的共享参数,防止密钥泄露造成的前向攻击。
认证接入阶段:
方案中认证接入又可以分为三种情况: ( 1) 终端在外地域接入; ( 2) 终端在家乡域接入; ( 3) 终端在域内切换。其具体实现框架如图1 所示,整个系统由多个PKG域组成,为了满足域间通信及切换用户注册,每个合法PKG都在根PKG注册; 每个PKG域中有多个合法接入点AP和合法终端MN。当终端MN接入或切换到新的PKG域时,通过家乡PKG域向接入域发起接入申请,在进行密钥协商的同时通过基于身份生成的认证码隐式完成双向认证,并完成新域内私钥的申请工作; 当终端在同一PKG域的接入点间进行接入或切换时,可以与接入点AP通过基于身份的密钥直接进行会话密钥协商,完成双向认证。
方案描述:
终端在外地接入过程如图2 所示,详细步骤如下:
AP周期性的广播域内信息{ IDAP,IDAS,G1,G2,q,P,Ppub,H1,H2} ;
1) 若MN发现已切换到新的PKG域时,则执行如下操作构造注册请求:
a) 获取设备当前时间TMN; 取出预存的与HA的共享参数y1QHA;
b) 生成随机数r1,r2,r3; 分别计算与HA,AS,AP的会话密钥KMN-HAKMN-ASKMN-AP;
c) 构造信息M1根据KMN - HA生成M1的认证码MAC1; 构造信息M2根据KMN - AS生成M2的认证码MAC2; 构造信息M3根据KMN - AP生成M3的认证码MAC3,通过层层加密来保证信息的安全性,保证仅能由相应接收者查看其相应的信息;
d) MN → AP: M3,MAC3;
2) AP收到MN发来的信息后,进行如下操作:
a) 验证时间戳TMN,在时间范围内则继续执行,否则返回超时信息;
b) 取得M3中的r3P,计算与MN的会话密钥KMN - AP并验证MAC3的完整性确保信息没有被篡改,验证通过继续执行,否则返回错误信息;
c) 选择随机数m1,m2,计算X作为与HA的密钥协商参数,提取与AS的共享参数n1QAS并计算与AS的会话密钥KAP - AS;
d)构造信息M4并根据KAP-AS生成M4的认证码MAC4;
e)AP→AS:M4,MAC4;
3) AS收到AP发来的信息后,进行如下操作:
a) 验证时间戳TMN,在时间范围内则继续执行,否则返回超时信息;
b) 取得M4中的m2QAP,计算与AP的会话密钥KAP - AS,并验证MAC4的完整性; 验证通过继续执行,否则返回错误信息;
c) 取得M2中的r2P,计算与MN的会话密钥KMN - AS,并验证MAC2的完整性,确保信息不被篡改; 验证通过继续执行,否则返回错误信息;
d) 选择随机数n2,计算与终端家乡代理HA的会话密钥KAS-HA;
e)构造信息M5并根据KAS-HA生成M5的认证码MAC5;
f)AS→HA:M5,MAC5
4) HA收到AS发来的信息后,进行如下操作:
a) 验证时间戳TMN,在时间范围内则继续执行,否则返回超时信息;
b) 取得M5中的,计算与AS的会话密钥KAS - HA,并验证MAC5的完整性,以此来完成对AS的认证;
c) 取得M1中的r1QMN,根据与MN的共享参数y1计算其会话密钥KMN - HA,并验证MAC1完整性,完成对MN的认证;
d) 选择随机数y2,y3,y4,分别计算{ y2QHA}KMN - HA和与AP,AS的会话密钥KAP - HA,KAS - HA;
e) 构造信息M6并根据KMN - HA生成M6的认证码MAC6; 构造信息M7并根据KAP - HA生成M7的认证码MAC7; 构造信息M8并根据KAS - HA生成M8的认证码MAC8;
f) HA → AS: M8,MAC8;
5) AS收到HA发来的信息后,进行如下操作:
a) 验证时间戳THA,在时间范围内则继续执行,否则返回超时信息;
b) 取得M8中的,计算由AS和HA双方的随机数和密钥钥共同控制的会话密钥KAS - HA,并验证MAC8的完整性;
c) 选择随机数n4,n5计算与MN的会话密钥KMN - AS和与AP的下一次会话的共享秘密参数n5QAS,并通过其现在的会话密钥KAP - AS加密{ n5QAS}KAP - AS;
d)生成MN的私钥SMN并用与MN的会话密钥KMN-AS加密;
e)构造信息M9并根据KAP-AS生成M9的认证码MAC9;
f) AS → AP: M9,MAC9;
6) AP收到AS发来的信息后,进行如下操作:
a) 验证时间戳THA,在时间范围内则继续执行,否则返回超时信息;
b) 验证MAC9; 取得M7中的Y,计算与HA的会话密钥KAP - HA并验证MAC7;
c) 选择随机数m3,计算m3QAP,作为与MN会话密钥协商的参数并通过KMN - AP加密;
d)构造信息M10并根据KMN-AP生成M10的认证码MAC10;
e)AP→MN:M10,MAC10;
f)解密M9中的n5QAS,作为下一轮会话密钥的共享信息;
7)MN收到AP发来的信息后,进行如下操作:
a) 验证时间戳THA,在时间范围内则继续执行,否则返回超时信息;
b) 解密M10中的m3QAP,并根据KMN - AP验证MAC10的完整性; 通过与AS的会话密钥KMN - AS解密n4QAS和SMN; 通过与HA的会话密钥KMN - HA验证MAC6,解密M6中的y2QHA作为下一轮会话密钥申请的共享秘密;
c) 选择随机数r4,r5,通过m3QAP,n4QAS计算与AS,AP的会话密钥KMN - AS,KMN - AP;
d) 构造信息M11并根据KMN - AS生成M11的认证码MAC11;构造信息M12并根据KMN - AP生成M12的认证码MAC12;
e) MN → AP: M12,MAC12;
8) AP收到MN发来的信息后,进行如下操作:
a) 验证时间戳THA,在时间范围内则继续执行,否则返回超时信息;
b) 取得M12中的r5QMN,计算与MN的会话密钥KMN - AP并验证MAC12的完整性;
c)构造信息M13并根据KAP-AS生成M13的认证码MAC13;
d)AP→AS:M13,MAC13;
AS收到AP发来的信息后,对信息的新鲜性和完整性进行验证,并依次解密信息,完成对终端和用户共享参数的确认,更新密钥协商参数。
终端在家乡接入如图2 阴影部分1,6,7 所示,详细步骤如下:
AP周期性的广播信息{ IDAP,IDAS,G1,G2,q,P,Ppub,H1,H2} ;
( 1) MN发现在家乡PKG域,则执行如下步骤构造注册请求:
a) 获取设备当前时间TMN;
b)生成随机数r1,计算与接入点AP的会话密钥KMN-AP;
c)构造信息M1并根据KMN-AP生成M1的认证码MAC1;
d)MN→AP:M1,MAC1;
( 2) AP收到MN发来的信息后,进行如下操作:
a) 验证时间戳TMN,在时间范围内则继续执行,否则返回超时信息;
b) 取得M1中的r1QMN,计算与MN的会话密钥KMN - AP并验证MAC1完整性;
c) 生成随机数m1,计算与MN的双向控制会话密钥KMN - AP;
d)构造信息M2根据KMN-AP生成M2的认证码MAC2;
e)AP→MN:M2,MAC2;
( 3) MN收到AP发来的信息后,进行后下操作:
a) 验证时间戳TAP,在时间范围内则继续执行,否则返回超时信息;
b) 取得M2中的m1QAP,计算与AP的会话密钥KMN - AP并验证MAC2的完整性;
c)构造信息M3并根据KMN-AP生成M3的认证码MAC3;
d)MN→AP:M3,MAC3;
( 4) AP收到MN发来的信息后,进行如下操作:
验证时间戳TMN,并验证MAC3的完整性,至此双方的会话密钥协商完成,并通过会话密钥协商中公私钥对的使用,进行了双向认证。
终端在域内切换如图3 所示,详细步骤如下:
( 1) AP1根据MN和AP2的最新会话密钥信息向MN的下一接入点AP2发送申请:
AP2通过对AP1发来的信息进行解密,得知下一接入终端的密钥协商信息r1QMN和IDMN,并根据自己的最后发出的会话协商信息l1QAP2,构建其与MN的会话密钥KMN - AP2;
( 2) AP1根据MN和AP2的最新会话密钥信息向MN发送AP2的信息:
MN通过对AP1发来的信息进行解密,得知下一接入点AP2的密钥协商信息l1QAP2和IDAP2,并根据自己最后发出的会话密钥协商信息r1QMN,构建其与AP2的会话密钥KMN - AP2;
AP2周期性的广播域内信息{ IDAP2,IDAS,G1,G2,q,P,Ppub,H1,H2}
( 3) 当MN检测到进入AP2之后,根据AP1的信息构建对AP2的接入申请:
( 4) 当AP2收到MN发来的接入申请之后,根据AP1发来的信息对MN验证,构建确认信息:
当终端从一个域切换到另一个域的接入点时,方案中两PKG域的边界接入点在两个域都进行注册,当终端从一个终端切换到边界接入点时,先完成用户在同一域内的终端切换,恢复数据传输,再进行下一接入域内的注册工作,从而保证服务的不中断,提高切换质量。
3 方案分析
3. 1 安全性分析
3.1.1认证安全
终端在外地域接入:
MN与HA之间的双向认证: 计算KMN - HA需要使用MN的私钥、共享信息y1QHA和单向散列函数H( ) ,因此KMN - HA仅由HA和MN可以计算得到。同时,计算MAC1需要使用KMN - HA,HA通过验证MAC1的完整性来确认M1是由MN生成。M1中包含时间戳TMN,可以保证M1和MAC1的新鲜性。因此,HA可以通过TMN、M1和MAC1认证MN。同理,MN可以通过THA、M6和MAC6来认证HA ;
AP与HA之间的双向认证: AP与HA通过AS进行间接认证。计算KAS - HA需要用到AS的私钥,生成MAC5需要使用KAS - HA,HA通过M5、MAC5对AS进行认证,同时AS通过M4、MAC4对AP进行认证,以此来完成HA对AP的间接认证; 同理,AP通过M9、MAC9对AS进行认证,AS通过M8、MAC8对HA进行认证,以此来完成AP对HA的间接认证;
MN与AP之间的双向认证: MN通过THA验证M10、MAC10的新鲜性,通过MAC10来确认M10的完整性,并通过MAC10对AP进行认证,因为MAC10仅有MN和AP可以通过各自的私钥生成;同理,AP通过验证TMN、M12和MAC12完成对MN的认证。
终端在家乡域接入:
终端在家乡域接入时,仅需MN与AP直接的双向认证,MN通过验证TAP、M2和MAC2完成对MN的认证; AP通过验证TMN、M1和MAC1完成对MN的认证。
终端在域内切换:
终端在域内切换时,如同终端在家乡域接入,MN通过验证TAP2、M4和MAC4完成对MN的认证; AP通过验证TMN、M3和MAC3完成对MN的认证。
3.1.2会话密钥安全
终端在外地域接入:
MN和HA之间会话密钥的安全: MN和HA的会话密钥KMN - HA,生成会话密钥需要使用各自的私钥和共享的随机数r1、y1,因此只有MN和HA可以计算得到共享的会话密钥; 由于MN可以确认r1的新鲜性,HA可以确认y1的新鲜性,因此MN和HA分别可以确认密钥是在当前会话中生成; 同时,由于KMN - HA中的随机数r1、y1分别来自MN、HA ,因此可以实现会话密钥的联合控制; 同时,由于每次会话密钥的构建都由双方的随机数构成,因而可以保证会话的前向安全性。
同理: MN与AP之间的会话密钥: KMN - AP仅有MN与AP才能生成,通过随机数r5、m3保证秘钥的安全性,并实现会话密钥的联合控制;
同理: AP与HA之间的会话密钥,通过m1、y3来实现会话密钥的联合控制。
终端在家乡域接入和域内切换中仅需MN与AP之间的会话密钥协商其安全性同终端在外地域接入中的部分。
3. 1. 3 信息机密性
信息在传输过程中经过层层加密。如在终端注册过程中,发送给HA的信息需经过AP和AS,则首先通过MN与HA之间的会话密钥加密,然后通过与AS会话密钥加密,最后通过与AP的会话密钥加密,通过层层加密的方式来保证只有相应层的节点可以看到其对应层的信息,其他层看到的只是密文信息,从而保证信息的机密性,防止被动攻击。同时,通过此层层加密,可以保证信息的定向传输,防止中间人攻击和截获攻击。
3. 1. 4 可抵抗攻击
通过以上的分析可知,本方案能够抵抗被动攻击、中间人攻击、截获攻击和密钥泄露造成的前向攻击。同时,每次传输的信息中都包含了时间戳,因而可以抵抗重放攻击; 在每次的注册和切换过程中,都经过两两之间直接或间接的双向认证,从而抵抗伪造攻击。
3. 2 性能分析
在数据传输和切换的过程中,认证的时延可分为两部分: 数据传输时延和设备处理时延。
根据协议中数据传输的类型不同,传输时延可以分为三类:( 1) 无线传输时延TMN - AP( 终端与接入点之间的传输时延) ;( 2) 同一域内固定终端之间的传输时延TAP - AP,TAS - AP( 接入点与接入点之间的传输时延、接入点与接入服务器之间的传输时延) ; ( 3) 不同域的接入服务器之间的传输时延TAS - HA( 接入服务器与终端原接入服务器之间的传输时延) 。通常,域内的实体物理位置相对固定且距离比较近,可以近似为一固定值Tin; 不同域之间的传输时延随着两实体间距离的增大而增大,设为Tout,且其可分解为多个固定Tin的组合,设Tout= m Tin; 终端与接入点之间的无线传输为Tw; 一般情况下Tout> Tw> Tin; 同时,数据在不同节点之间传输,需要进行数据的接收等处理,因此还有处理时延,设为TP。
协议中对数据的处理操作有椭圆曲线上的数乘运算Tcm、群上的乘法运算Tqm、双线性匹配操作Tbp、hash函数运算Th、异或运算T⊕等; 根据文献[20]分析,与椭圆曲线上的数乘运算、双线性匹配运算时间相比,其他的hash运算、异或运算等的时间可以忽略不记。
通过对与本方案具有近似安全强度和稳定性的方案2-IBSHMIPv6[1]、c-HIBS-HMIPv6[2]进行性能对比分析如下所示:
域间认证时延:
根据不同协议中对数据的处理进行分析;
2-IBS-HMIPv6[1]需要终端经接入点和接入锚点MAP( 接入域的服务器) 向家乡代理HA申请绑定更新,HA向MAP发送Q值以及签名消息,MAP同样生成签名一并经接入点转发给终端,完成双向认证。在传递的过程中MAP的签名过程和Q值的传输过程以及1 层签名、验证和2 层签名、验证,部分并行进行,减少认证时延,则其最少认证时延为:
c-HIBS-HMIPv6[2]需要终端向接入点提供证书申请接入认证; 接入点向接入锚点( 同一域内的服务器) 转发终端证书; 域内服务器向终端的家乡代理转发终端的远程绑定更新消息; 确认之后,依次经过接入锚点、接入点传给终端完成移动注册; 并在域内更新证书接入列表。接入点之间的证书列表更新和接入点与终端、接入点与接入锚点之间的部分传输可以并行操作,减少认证时延,则其最少认证时延为:
本方案,在接入外地网络的过程中,不需要进行证书的传递以及Q值的信息更新交换; 只需要对相互的认证码MAC和M进行验证,以及为新接入用户生成私钥; 且此过程可以并行操作。同时,如果终端连续跨域切换,无需与家乡网络进行交互,且可以进行预切换; 其切换时延为:
初次跨域接入:
临近跨域切换:
域内认证时延:
2-IBS-HMIPv6 方案中,终端与MAP已经进行过双向认证,MAP记录了其Q值,不需要与其HA进行信息传递,终端可以直接在MAP域内切换,其最少切换时延为:
c-HIBS-HMIPv6 方案中,终端与MAP认证之后,MAP已经将终端证书发送给了所有接入点,当终端切换到其他接入点时,只需要接入点向MAP转发域内更新消息,且与用户签名验证可并行处理,其最少切换时延为:
本方案中,终端在域内接入点间切换,由于终端与下一接入点之间预切换,提前进行了会话密钥的协商,在切换中接入点只需要对认证码和终端接入信息进行解密验证; 且其中加密过程中的双线性匹配操作可预计算,因而两次握手中数据的加解密操作只需要两次异或操作即可完成,因此其切换时延为:
参考文献[20]中参数的设定: Tw= 4 ms,Tin= 2 ms,Tp=0. 5 ms; 以及文献[1]中双线性匹配运算时间Tbp约为椭圆曲线数乘运算的时间Tcm的3 倍; 对总体的时延进行分析,结果如图4、图5 所示。
根据图4 和数据的分析得,在域间初次接入进行双向认证的过程中,本文方案的认证时延比c-HIBS-HMIPv6、2-IBSHMIPv6 方案的时延都要长; 原因为本方案考虑了信息交互中信息的机密性,两两之间的信息都经过密钥加密,同时加密过程中需要进行双线性匹配运算,因而增加了初次注册接入的时间; 然而,在之后的域间切换和域内切换过程中,由于本方案通过预认证规避了对双线性匹配运算时间,有效地减少了切换时延; 同时方案中无需证书的传递,因此数据传输量同比较少,有效地减少了其认证通信量; 再者,在域间切换接入过程中,由于本方案中域边界接入点拥有两个域的私钥,可以先与终端完成双向认证,再为终端申请域内私钥,因而可以有效地减少域间切换时延,保证服务质量。
同时,在域内切换中,本方案中进行预认证,在切换之前已经开始终端与下一接入点的双向认证,切换发生时只需要进行认证码和时间的简单确认,因而本文方案相比其他2 种方案优势明显。
4 结语
在预认证线性快速接入方案中用到了基于身份的密码体制。用户和接入点可以根据相互的信息( 如ID) 计算出对方公钥,无需预分配会话密钥; 通过会话密钥的协商和认证码的验证进行切换的双向接入认证,无需交换证书或者通过认证服务器进行认证,有效地减少了切换时延和通信开销。然而,基于身份的密码体制,虽然解决了证书管理、存储等问题,但是也引入了密钥托管的问题,如何能够在保证快速切换的情况下有效地解决密钥托管问题是下一步需要研究的问题。
摘要:在网络接入方案中,认证是保证实体安全性的重要方面。所谓认证是指:一个实体向另一个实体证明其声称属性的一个过程。在对现有快速接入认证方案分析的基础上,提出一种预认证线性快速接入方案。在该方案中利用基于身份的密码技术,避免了传统公钥密码体制中证书存储和管理的问题,通过认证码保证信息的完整性,在会话密钥的协商过程中完成实体间的双向认证,并对信息进行加密,保证只有指定用户才可以解密。通过对安全性和性能的分析表明,在线性高速切换过程中,所提方案拥有更高的切换效率和安全性,能够有效地提高服务质量。
移动网络接入认证方法的研究 第6篇
1 认证技术
目前存在的的认证技术主要有:PPPOE、Web+Portal和802.1x。下面简要分析下它们的特点。
PPPOE(point-to-point protocol over ethernet)使以太网的主机通过一个简单的桥接设备连到一个远端的接入集中器上。通过PPPOE协议,远端接入设备能够实现对每个接入用户的控制和计费。但是由于PPP协议和Ethernet技术本质上存在差异,PPP协议需要被再次封装到以太帧中,导致封装效率、网络性能低,同时需要运营商提供客户终端软件,维护工作量很大。
Web+Portal认证的基本过程是:客户机首先通过DHCP协议获取到IP地址(也可以使用静态IP地址),但是客户使用获取到的IP地址并不能登上Internet,在认证通过前只能访问特定的IP地址,这个地址通常是Portal服务器的IP地址。Portal认证不需要特殊的客户端软件,降低网络维护工作量,可以提供Portal等业务认证。但是其对设备要求高,建网成本高,用户连接线差,IP地址的分配可能造成浪费。另外,认证层次过高会影响认证效率,也会对某些网络资源的安全性带来一定的隐患。
802.1x协议是基于客户/服务器的访问控制和认证协议。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。但是由于802.1x是比较新的二层协议,它面临着对现存的大量用户交换机有升级处理问题,同时对于用户在线计费方式上存在争议。
2 移动IPv6工作原理
随着移动网络的快速发展,上述这些认证协议已经不能满足移动网络的需求。下面从移动网络的工作原理的角度来分析。
随着Internet规模的发展,IPv4的缺陷日益显现,传统的IPv4协议已经难以支持Internet的进一步发展和新业务的特性。IPv6的出现,弥补了IPv4的诸多不足。所以就以移动IPv6来说明移动网络工作原理。
移动IPv6定义了几个网络实体:移动节点(Mobile Node,MN)、家乡代理(Home Agent,HA)、家乡地址(Home Address,HoA)、转交地址(Care—of Address,CoA)、接入路由器(Access Router,AR)以及家乡链路和外地链路。其中,家乡地址是用来标识节点的永久地址,转交地址是节点移动到外地网络后获得的临时地址,用来标识节点在网络拓扑中的位置。移动IPv6基本框架如图1所示。
当移动节点位于家乡网络时,移动IPv6的运行机制和固定IPv6相同。当移动主机离开家乡网络连接到外地链路后,通过IPv6无状态或有状态地址自动配置机制,移动主机可以获得一个或多个转交地址。转交地址的子网前缀是移动节点正在访问的外地链路的子网前缀。只要移动节点一直连接到这个外地链路,目的地址是这个转交地址的分组都会被转发到移动节点处。
移动节点在外地网络获得转交地址后,需要把转交地址通知给家乡代理,在家乡代理上建立家乡地址和转交地址的绑定,使得其他节点发给移动主机的信息通过家乡代理转发到移动主机的当前位置。在这个过程中使用的转交地址是移动主机的主转交地址,本过程也称为家乡代理注册或家乡代理绑定。
移动IPv6绑定过程如下:移动主机首先向家乡代理发送绑定更新消息请求建立主转交地址和家乡地址的绑定,家乡代理则通过一个绑定确认消息对移动主机的请求进行应答。随后,移动主机的家乡代理使用邻居发现机制,在家乡链路截取目的地址是移动主机家乡地址的所有IPv6分组,并通过隧道将它们转发到移动主机的主转交地址。在隧道中家乡代理对数据分组使用IPv6封装技术,并将外部地址设置为隧道的终点IP地址。
如果返回路由过程成功,才能进行通信对端绑定,“绑定更新”与“绑定确认”消息也可用来让与移动节点通信的IPv6节点即通信节点动态地获知缓存中关于移动节点的绑定信息。
3 接入认证系统分析
根据上述移动原理,在设计移动网络接入认证时,需要同时考虑家乡网络和外地网络。移动IPv6安全接入认证系统由接入点(Access Point,AP)、网络接入服务器(Net Acess Server)、AAA服务器等组成,如图2所示。
当用户首次漫游到其他管理域时,移动节点需要通过本地域接入控制系统的认证并得到授权。为了完成对用户的认证授权,本地AAA服务器需要同用户家乡AAA服务器交互,获得该用户的权限属性。如果用户接入的是家乡网络,则家乡AAA服务器单独完成对其的认证授权。
AP为用户提供网络接人服务,同时执行访问控制功能。NAS处理MN的接入请求,并将认证信息传递给AAA服务器来验证,根据验证结果通知AP是否允许接入。MN的认证信息被封装在EAP报文中,在NAS和AAA服务器,以及AAAL和AAAH之间传递。
4 认证授权过程
MN向NAS发起请求接入消息,当NAS收到此消息后,要求MN发送用户名。MN将用户名发送给NAS,NAS收到此用户名后将其发送给本地认证服务器(AAAF),AAAF检测此用户名,发现并不属于本管理域,遂将此用户名消息转发至其归属域的家乡认证服务器(AAAH)。AAAH通过对用户名的检索,找到匹配项,并向MN发出认证请求。AP发出请求帧,要求MN发送用户名信息至AP,MN响应请求。此信息由AP封装后发送给服务器,服务器在验证用户名的合法性后向MN发送数字证书(假设用户名为A,其公钥为PKA,私钥为SKA)。MN通过此数字证书验证服务器的身份,同时也发送自己的数字证书到服务器,让其验证自己的身份。经过这个过程,实现了服务器和MN的互相认证。
事实上,在相互认证过程中,MN和服务器也实现了主会话密钥的交换。采用这种非对称密码算法进行认证,即使攻击者能发起中间人攻击,协商的密钥也不能被窃听者获得。所以如果认证过程顺利进行,那么服务器允许MN接入网络。具体接入认证过程如图3所示。
5 结语
上述方案实现了移动网络的接入认证。采用客户端、服务器相互认证的设计思想,外加双方可用非对称密码算法进行认证使得整个认证过程更加可靠,安全性更高。
摘要:随着移动网络技术的快速发展,越来越多的电子、IP设备以移动的方式应用到移动网络中。然而,当移动路由器(或其他移动客户端)移动到外地后,存在着外地服务提供者(外地的固定接入路由器)对服务请求者(移动路由器、移动节点等)的鉴别和信任问题。对现有的一些网络认证协议以及移动网络工作原理进行了研究,并提出了一种方案实现了移动网络认证。
关键词:信任,认证,移动网络
参考文献
[1]李晓林.移动路由器接入认证机制的设计与实现[D].北京交通大学硕士生论文,2006.
[2]陈旭明.一体化网络接入认证方案的设计与实现[D].北京交通大学硕士生论文,2007.
[3]杨新宇,徐庆飞,赵睿.WLAN环境下EAP2TLS认证机制的分析与实现.计算机应用,2008.
[4]锁永永,黄江月.移动IPv6环境下接入认证系统的设计信息安全与通信保密,2008.
宽带认证技术的分析与实现 第7篇
宽带, 从一般的角度理解, 它是能够满足人们感观所能感受到的各种媒体在网络上传输所需要的带宽, 因此它也是一个动态的、发展的概念。电信级宽带不是简单免费开放的计算机网络平台。因此, 以信息共享为设计初衷的以态网技术在宽带城域网领域应用就出现了安全方面和实现差别化服务方面的不足。在这样的前提下, 基于宽带接入的各种认证技术的产生就成了必然。
用户认证对宽带接入的意义在于使宽带网络可以像窄带接入一样进行运营管理。用户认证包括认证 (Authentication) 、授权 (Authorization) 和计费 (Accounting) , 又称3A或AAA, 其中认证是验证用户的身份与可使用的网络服务;授权是依据认证结果给用户开放网络服务;计费是记录用户对各种网络服务的用量, 并提供给计费系统。如果没有实现合理的3A接入控制, 宽带网络只能提供基于端口、包月制的资费方案。如果没有基于用户身份的认证, 也很难实现建立增值服务的发展空间。
网络设备与AAA服务器的通信协议采用标准的RADIUS协议, RADIUS协议用来解决, AAA用户认证的, 现在用得最广, 成为事实上的标准。为实现增值功能, 可采用RADIUS+协议。
2 用户认证技术需要完成的功能
运营级的宽带接入网络是一个以盈利为目的的公用网络, 与局域网的认证、计费、用户管理和宽带管理要求有很大的区别, 电信运营网络应具有较强的可运营及可管理性, 主要反映在用户管理、安全管理、业务管理和计费管理等方面。
2.1 用户管理。
通过用户基本信息管理, 系统维护人员可以管理用户的账号、正常还是暂停或待激活等状态用户管理。用户需要到宽带接入网运营商处进行开户登记, 运营商在用户进行通信时对用户进行认证和授权。对于运营商而言, 只有掌握用户的信息才能对用户进行有效的管理, 因此需要对每个用户进行开户登记。而在用户进行通信时, 还要杜绝非法用户接入网络, 占用网络资源, 影响合法用户的使用。因此需要对用户进行合法性认证, 并根据用户属性使用使用户享有相应的权利。
2.2 计费管理。
网管理功能的一个子集。计费管理能够测量网络业务的使用, 并能决定和开列这种使用费用的一组功能。计费管理是指宽带接入网需要提供有关计费的信息, 包括用户的类别 (是账号用户还是固定用户) 、用户使用时长、时间、用户流量等数据, 以支持计费系统对用户的计费管理。可运营的宽带网络, 应提供丰富的计费手段, 实现按实测时长计费、按流量计费甚至按业务类型计费等等, 为实现灵活的计费策略提供基础。
2.3 业务管理。
用户提供接入互联网服务的宽带网络不仅要满足基本的宽带业务, 而且应能支持增值业务需求, 比如:支持用户的多ISP选择、支持组播业务、门户业务、用户区别访问、业务定制, 网络游戏、远程教育、远程医疗、电子商务等业务需求。
2.4 用户安全性保障。
在宽带接入网络中, 用户安全性保障体现在用户数据安全和设备安全。保护用户数据的安全性, 隔离携带用户个人信息的广播消息, 如ARP, DHCP消息等, 防止网络关键设备受到攻击。数据加密可以有效防止数据库信息失密性的有效手段。为了保证数据库系统的安全性, 通常采取的是强制存取检测方式审计是将用户操作数据库的所有记录存储在审计日志。宽带接入网络应通过严格的二层隔离和三层受控访问, 防止用户之间的攻击和黑客对关键服务器的恶性攻击, 同时通过严格的用户控制管理, 防止用户的地址仿冒和地址篡改, 保证宽带城域网的安全。
3 宽带用户认证技术类别
目前常见的用户认证机制按照数据流与控制流的不同流向主要可分为两类:
3.1 基于网关的验证机制:
由某台验证服务器对用户的身份进行验证, 这种认证机制没有区分通信的控制流和数据流, 所有的信息包都要通过一台认证服务器做处理, 这样其吞吐量就会受到比较大的限制。如目前使用广泛的PPPo E, 其中网关设备是宽带接入服务器。
3.2 将用户的数据流和控制信息分开的认证机制:
认证服务器只需对用户的认证信息进行验证, 随后的用户数据包就不再通过认证服务器, 而直接由交换机转发处理。在这种方式中, 认证服务器不会成为网络上数据通信的瓶颈。采用这样的认证机制技术的有DHCP+、Web认证、802.1x等技术。
4 认证方式的实现
4.1 PPPo E。
PPPo E是一种2层链路技术, 由RFC2516文档定义。PPPo E类似于传统的拨号接入方式, 用户端采用一个拨号软件, 发起PPP连接请求, 穿过以太网交换机或者x DSL设备, 终结在集中控制管理层的接入网关设备上, 如果能带接入服务器。接入网关设备负责终结PPP连接, 并与RADIUS服务器配合实现用户管理和策略控制, PPPo E是从窄带技术演化而来, PPPo E是一种过渡技术。
4.2 DHCP+。
DHCP为在中、大型网络, 特别是大型网络中免除客户端主机手工配置上网参数所带来的一系列问题, 而以一台DHCP服务器进行按需自动分配主机上网参数的一种技术, 它可以提高效率, 避免手工配置错误, 缺点是没有认证功能。DHCP是一种高层协议, 其起作用的阶段只是在为用户分配地址的阶段。一旦用户获得IP地址后, DHCP在用户IP地址失效前, 将基本不再起作用。因此, 在IP城域网中直接使用DHCP方式而没有其他辅助技术的配合, DHCP不能发现网络上非DHCP客户机已经在使用的IP地址, 其安全性、用户可管理性较差。
4.3 Web认证。
Web认证方案首先需要给用户分配一个地址, 用于访问门户网站, 在登陆窗口上键入用户名与密码, 然后通过Radius客户端去Radius服务器认证, 如认证通过, 则触发客户端重新发起地址分配请求, 给用户分配一个可以访问外网的地址。在这种认证方式中, 用户可以自设IP地址或通过DHCP获得一个地址, 打开浏览器, 无论输入一个什么地址, 都会被强制转到一个运营商的界面, 要求用户进行认证。认证通过后就可以访问其他站点了。由于这种认证方式不需要客户端软件, 因此可以开发出更多的增值业务, 成为实用性最强的认证技术之一。
4.4 IEEE802.
1X。IEEE802是一种应用于LAN交换机和无线LAN接入点的用户认证技术。如传统的局域网交换机, 用户就可以访问局域网中的设备和资源。这种模式在单位内部网络中, 其安全性尚可接受;但如果作为宽带运营网络的接入手段, 其安全性方面就成了必须考虑的因素, 要求ISP能对用户的接入进行控制和配置。另外, 作为运营商计费也是必须考虑的因素。
从应用程度上来看, 目前电信界主要有3种认证方式:PPPo E、Web、802.1x。关于这3种方式的普及率, 最初以PPPo E为最多;当Web方式得到越来越多的设备厂商的支持之后, 他更加受运营商的青睐;而802.1x作为新的技术, 目前只有少量厂家支持。从认证技术发展的趋势来看, 采用将数据流和控制流分离的认证方式将会在今后的宽带接入认证中得到普遍应用。
参考文献
[1]唐雄燕.面向新型业务的宽带接入网[M].北京:电子工业出版社, 2012.
基于身份认证的校园无线接入研究 第8篇
随着移动终端设备的快速发展,越来越多的人随身携带者手机、平板、笔记本等移动终端。在大学校园里,手机已经成为学生必备的日常工具之一,在学生中的拥有量很高。XX大学及承建校园网络的联通公司结合校园实际情况,计划在原有的校园网络的基础上增加无线网络,使其能够覆盖教学楼、宿舍楼、图书馆、运动场、食堂等大部分区域,以方便学生随时随地的接入到校园无线网络中去。
无线网络的建立不仅仅是为学生和教师提供无线上网,同时也可以承载学校日常的通知通告的下发等工作,未来如果连接学生学籍、成绩管理系统,通过无线接入认证的方式,可以为学生提供更多更人性化的服务措施。同时作为承建方联通公司,也可以在此项目上获益,为自己的联通用户提供免费的无线上网服务,可谓一举多得。
但是传统的无线网络的接入方式,用户上网需要得知无线密码或者不需要密码直接接入到无线网络中,不仅在安全上存在一定的隐患,网络运行也不够稳定更不能对接入用户进行管理控制,实际操作起来也不够方便。更重要的是校方并没有通过无线网络跟学生建立一种良性互动,没有发挥其应有的作用,使无线网络的效果大打折扣。因此如何部署一套可运营、可管理、可靠高效的无线网络已经成为校园网络建设的当务之急。
2 常见身份认证技术在校园无线环境下的优缺点
当前无线局域网身份认证有以下几大类:
一是无线接入设备上的接入控制,主要包括基于统一用户名和密码的WEP/WPA技术。此种接入认证方式配置简便,与上层交换设备和路由设备无关,并且作为无线局域网的标准技术,可以良好的兼容各类无线客户端。但是,此类认证方案主要基于每个无线接入的设备的认证控制,帐号不具备整体校园范围的通用性。同时难以针对校园内数量大的师生实现一人一帐号的唯一认证,并且难以配合其他的访问控制策略。因而不适合作为校园范围内整体的无线访问身份认证方案技术基础。
二是在协议层上的拨入控制,典型的应用为基于PPPOE协议的拨号接入以及相关衍生应用,如电信开发的闪讯客户端等。此类接入方案使用专用的接入协议,各无线客户端之间隔离性好,网络数据传输较为稳定,并且可以连接数据库实现账户管理。但PPPOE是一种先接入再拨号的认证模式,在校园无线环境下,各类无线终端无论是否通过认证都可以连入无线网络,在终端密度较高时,容易导致网络速度和稳定性下降,所以此种模式不是非常适合于校园内的无线环境。
三是以WEB认证为基础的应用层身份认证。此类认证让所有的无线数据经过一个专有的BRAS服务器进行路由转发,而在BRAS服务器里面通过相应的PORTAL认证页面验证客户端的身份。这种身份认证方法无需专用软件,只要有网页浏览器即可实现。但其缺点主要为所有的数据流量均通过BRAS进行转发,其最大性能受限于BRAS服务器性能。如校园无线局域网规模较大,可能会影响网络响应。
四是基于802.1X和RADIUS数据库技术实现的身份认证接入。此认证方法可以在无线接入终端至路由核心的任一汇聚点进行设置,开启802.1X之后将相应的认证报文发送至RA-DIUS服务器进行验证,只有通过验证的无线终端,无线接入设备才对其开放端口。这样较好的解决了校园环境下无线局域网身份验证和接入控制两个安全方面的问题。以下探讨以802.1X为基础实现基于身份认证的校园无线接入。
3 校园无线身份认证方案和访问控制策略
在身份账户的分类上,应当确定按照一人一帐号的原则,实现每个帐号和人的一一对应。在人员分类上,主要按照教工和学生进行两大类区分。根据不同的身份,可以对允许接入区域,访问速率,访问范围,以及流量和使用时间等进行控制。比如对学生帐号,可设置只允许在图书馆,教室等场所进行使用,同时设定每个月流量上限或者时间上限。使校园无线局域网在方便学生生活,学习的同时,不会过于沉迷于网络。而对于教工使用的帐号,则可以在整个校园内均开放,但是需对网络速度进行一定的限制,以避免过大的流量挤占带宽。在账户的控制策略下,对于有需要的账户,可以设置同时的并发拨入连接数为两个或更多,以保障教学科研等活动的进行,而对于一般账户,应当设置同时拨入数量为一,防止出现一个账户在多个终端上接入,确保无线网络账户和使用者身份的相统一。
在访问控制策略上,根据校园环境的特殊性,可以将策略路由划分为校园内网和外网两个区域。根据802.1X具有配置GUEST VLAN的功能,可在某些特定的区域无线设备上进行开启,当无线终端没有进过身份认证时,只能访问校园内网或者校园内网里某些特定区域。只有进过了认证,才能实现对校园内外整体网络的访问。
4 整体架构设计思路
针对校园内部署无线局域网身份认证的具体情况,再兼顾到将来无线局域网发展后所带来的管理和维护要求,方案设计时需要考虑到以下方面:
1)校园内有相当多的校外访客,对这类临时性网络访问需求,可以设置根据手机号码来获取一个临时性的上网帐号,从而取得一定时间段的无线局域网使用权限。
2)对用户提供一个自助服务页面,使得用户可以登录进去进行简单的自助服务,如修改密码,查看上网的历史记录等。这样也能减轻网络管理人员的工作负荷。
3)对帐号可以进行分类分组管理,根据不同的用户组,配置相应的网络访问策略和访问控制策略。包括上传下载速率,数据包转发率,访问时间控制,总流量限制等。
4)与校内的各运营商进行合作,充分利用校园网内部署的其他无线接入设备,在核心转发时做路由选择,使得用户可以根据不同的账户选择运营商链路上网或学校提供的链路上网。
5)要具有部署和实施上的可行性,在有限的经费条件下,能够充分利用现有的有线和无线架构进行扩充和建设,在工程上具备可操作性。同时应当尽量避免对校内现有有线网络的影响,在设计上具备隔离性,防止无线和有线的数据包回路。
在具体的技术指标上,应该按照行业内标准的的规范进行规划,避免因预期不足出现二次建设而导致经费的浪费。
1)校内无线局域网设备既有部署于室内的,也有部署于室外的,因而各类设备应当具有高可靠性和耐用性,按照全天不间断运行的标准进行选择,避免因物理设备的不稳定而影响网络体验。
2)设备技术上需要具备一定的前瞻性,在能够兼容当前主流无线终端的同时,能够预期到不远的将来使用的技术,以免投资的有效生命期过短而造成浪费。
3)良好的兼容性,既要考虑到电脑无线终端对应的各类操作系统的兼容,也要注意现有手机等其他各类启动无线终端的认证兼容性,使得认证系统的部署不影响原有各无线终端的正常使用。
4)灵活的扩展性和升级性能,在将来对无线网规模进行扩展时,可以充分利用现有的设备进行扩充,同时可与有线局域网交换设备实现良好的兼容。在校内的应用中,根据需求可以随时对无线网络进行补充和加强。
5 总结和展望
一套设计合理、运行状态良好的校园内无线局域网身份认证系统可以有效改善校园内无线网络的运行质量和效率,更好的为广大师生提供稳定,安全,便捷的网络服务,为校园内的教学,科研,办公和生活进行有效的支持和帮助。但网络技术现正处于飞速发展的阶段,新的技术和新的挑战同时并存,校园内无线局域网认证又存在着物理环境复杂,终端密度高,用户身份多样化等特点。因而需要持续对校园网络内身份认证系统的运行情况进行跟踪和分析,及时对出现的问题进行响应,必要时对相应系统改进和升级。这样,才能使校园内无线局域网身份认证系统能满足不断进化的网络安全和应用需求,实现网络的有效管理和运行。
摘要:当前校园内无线接入的需求和范围正全面增加,保障无线接入终端和无线局域网的安全成为了校园网络建设和管理的一个重要内容。确定无线接入者身份能有效实现安全策略的规划和部署,提升校园内无线局域网安全水准。该文分析了当前校园无线局域网身份认证的主要技术和面临的挑战,并提出相应的解决思路。
宽带接入认证 第9篇
目前网络中不断出现病毒、木马和各种恶意入侵等行为,严重影响了网络的正常运行,使网络处于不可控状态。一个可信的网络首先要保证终端结点和网络都应该被保护,防止欺骗或者非法访问的发生。网络接入认证是保证网络安全的最基本的安全机制,它是保护网络安全的第一道屏障[1,2]。目前很多研究人员提出了一些解决方案。如思科的网络准入控制技术[3],它是通过设定安全级别来控制不符合安全策略的设备的访问权限。微软的网络接入保护[3]是从用户终端的角度对不符合安全规定的系统进行访问控制。TCG组织的可信网络连接[4]则是自下向上对用户进行认证,认证次序依次是对用户的身份进行认证、对终端平台的身份进行认证、对终端的平台可信状态的评估。这几种接入认证的方式采用的是IEEE 802.1x协议,该协议主要用于用户到网络的认证,已经发现这些协议存在中间人攻击[5]。基于属性的访问控制[6,7,8]提供了一个灵活的安全控制方法,对访问权限的限制是基于主体、客体和环境的属性。与基于属性的访问控制比较接近的有信任协商[9]、基于上下文的访问控制[10]和基于信任的访问控制[11]。信任协商过程也是基于属性,引入上下文信息则可以动态地授权,上下文主要包括用户自身的状态、周围的环境,本质上也是主体和客体的一些属性,基于信任的访问控制是基于用户的属性和行为。这些方法在网络接入控制方面具有良好的灵活性和可扩展性,但是这些方法主要是单向认证,并且需要更多的存储空间。文献[14]提出了一个面向设备的认证框架,文献[15]则提出了一种移动设备接入认证方法,它们的认证过程是双向的,但它们一方面只针对设备的认证,另一方面没有保证认证的持续性。本文提出基于多属性的移动设备终端安全接入网络认证协议,通过绑定主机的属性和用户的属性生成网络访问标识符,移动终端使用访问标识符与接入设备进行双向认证,它能阻止未登记或者恶意用户访问和使用网络,在接入之后,网络采用定期认证的机制来保证认证的连续性。这些方法能保证移动设备和网络之间存在一个互信的环境。另外该协议采用切换接入的方法,支持移动设备跨域认证,从而能够支持主机的移动性。
1 协议描述
认证协议主要包括三个实体,它们分别是移动终端、接入设备和认证中心。为了支持终端的移动快速访问,网络将划分为多个域,每个域包含接入设备和认证中心。认证协议由三个部分组成,即注册过程、认证过程和移动设备跨域切换过程。协议中用到的一些符号含义如表1所示。
1.1 移动终端标识符的生成
移动终端标识符是根据移动设备和用户的属性来生成的,这样绑定的目的是保证对设备和用户具有可控性。移动设备的属性比较多,这些属性也具有共性,如设备类型、设备制作商和设备序列号等。用户的属性主要有身份信息,如身份证号。将移动设备的属性和用户身份属性连接起来,采用哈希算法生成移动终端设备标识符。假设移动设备的属性为A1 ,A2 ,…, An,用户的身份证信息为User-ID,那么移动终端标识符的生成方法如下:
MTU-ID = H (A1‖A2‖…‖An‖User-ID)
其中MTU-ID表示移动终端用户标识符。网络将根据移动终端标识符,分配一个唯一的移动终端访问标识符MTA-ID,移动终端访问标识符并包含所在域信息。
1.2 注册过程
移动终端要访问这个网络,事先必须到认证中心进行注册,移动终端用户将需要认证的信息通过安全信道传送给认证中心,也可以直接到认证中心注册。注册过程需要生成移动终端接入标识符和双方共享主密钥。
(1) MT→AC: 移动终端用户向认证中心提供移动设备的一些属性和用户的身份证信息,设备的属性包括设备类型、生产制造商、产品序列号等。
(2) AC: 认证中心根据移动设备的一些属性和用户的身份证信息(User-ID),用哈希算法生成唯一的移动终端用户标识符(MTU-ID),认证中心并随机产生唯一的移动终端访问标识符()和双方共享主密钥KMT。移动终端访问标识符含有所在域的标识信息,与移动终端用户标识符一一对应。认证中心和接入设备保存移动终端访问标识符的哈希值,即H(MTA-ID)。
(3) AC→MT 认证中心将移动终端访问标识符(MTA-ID)和主密钥KMT传送给移动终端用户。
1.3 认证过程
认证过程是在移动终端、接入设备和认证中心之间进行消息的传递过程,认证过程如图1所示。
(1) MT→SE:移动终端向接入设备发出请求,移动终端生成一个临时交互号(随机数)N1,并通过异或计算S=H(MTA-ID)⊕N1,将S和N1传送给接入设备。采用的N1目的是防止重放攻击。
(2) SE→MT:接入设备接到认证请求后,首先查找H(MTA-ID),并计算H(MTA-ID)⊕N1检验是否等于接收到的S,如果没有找到,有两种可能,一是该移动设备从其他域移动到该域,这个过程将在后一小节讨论,二是该用户没有注册或者是非法用户,这时认证失败,否则,接入设备向移动设备发送消息:H(MTA-ID)⊕N1‖N2,其中N2是接入设备生成的临时交互号,其目的也是防止重放攻击。
(3) MT→SE:{H(MTA-ID)⊕N1‖N2‖EKMT(H(MTU-ID)‖N4))},该消息前面部分与第二个消息一致,表示该消息移动终端应答接入设备,后面部分是用共享密码加密移动终端用户标识符的哈希函数和临时交互号,临时交互号N4的目的不仅仅防止重放攻击,而且为了对接入设备的认证。
(4) SE→AC:{H(MTA-ID)⊕N1‖N2‖EKMT(H(MTU-ID)‖N4))},接入设备将移动终端的认证信息转发到认证中心查询用户信息。
(5) AC→SE:{H(MTA-ID)⊕N1‖N2‖EKMT(H(MTU-ID)‖N4+1‖KS))},认证中心根据接收到消息,根据移动终端访问标识符从认证数据库的列表中查找出其对应的移动终端用户标识身份。认证通过后将临时交互号N4加1,并随机产生一个临时会话钥KS。临时交互号N4加1是应答了消息(4)的询问。
(6) SE→MT:{H(MTA-ID)⊕N1‖N2‖EKMT(N4+1‖N5‖KS)},接入设备从认证中心得到认证通过后,将部分消息内容加上一个临时交互号N5传给移动设备,N4+1是应答消息4,完成了移动设备对接入设备的认证,接入设备同时也加上临时交互号N5,希望移动设备能够应答,以便对移动设备进行认证。
(7) MT→SE:H(MTA-ID)‖EKS(N5+1),移动终端采用会话钥KS加密N5+1传给接入设备,完成了双方的相互认证。到这里为止,对移动设备的接入认证已经完成。在随后的通信过程中,移动终端将采用会话钥加密数据。
为了保证移动设备的可信性,接入设备定期发起认证会话,移动设备需要对会话进行正确应答。这个过程如(8)和(9),如果应答不正确,接入设备将切断网络连接。
(8) SE→MT:H(MTA-ID)‖EKS(N6),接入设备用会话钥加密N6进行询问。
(9) MT→SE:H(MTA-ID)‖EKS(N6+1),移动设备解密N6后,再进行一个变换(如N6+1),用会话钥加密后进行应答。
1.4 切换过程
切换过程是为了支持设备的移动性。移动终端可能从一个域跨越另一个域,它注册所在的域与访问所在的域可能不一致。移动终端跨域访问时,接入设备不能查询到该移动终端的访问标识符,则认为该移动终端可能来自另外一个域,根据访问标识符命名格式,可以知道移动终端的注册域,这时,接入设备向移动终端注册域的认证中心发送认证消息。
2 安全分析
认证是保证实体和消息是所声称的传送的消息并具有真实性和完整性。安全性是认证协议最基本的要求,下面将用常见的攻击模型来分析移动终端安全接入网络认证协议的安全性能。
2.1 双向认证
首先采用随机预言模型来证明协议的双向认证是安全的。对于一个任意的多项式P(K)和足够大的实数K,如果函数T(K)小于1/ P(K),那么可以说函数T(K)是可以忽略的。
如果一个攻击者能够通过伪造移动设备或者认证服务器实现认证事件成功的概率小于T(K),则可以说该协议的双向认证是安全的。
对于本文提出安全接入网络认证协议,如果攻击者计算出S=H(MTA-ID)⊕N1的概率小于T(K),则表示协议是双向认证的。
如果N1是攻击者通过预言机的查询结果自己推测出来的,假设哈希函数的输出长度为l1,攻击者共进行了t1次发送预言机预测,t2次执行预言机预测,根据生日攻击原理,那么攻击者能成功推测出的概率小于(t1+t2)/2l1。
对于随机数N1,假设预言机前后分别查询了t3和t4次,那么随机数N1被推测出的概率小于t3/t4。
如果攻击者能够计算出MTU-ID,假设MTU-ID的长度为l2,则攻击者成功的概率为1/2l2。
因为攻击者成功推测出的概率小于((t1+t2)/2l1+t3/t4+1/2l2),即小于T(K),所以,该协议能够保证双向认证。
2.2 重放攻击
重放攻击是指公攻击者采用已经发送过的消息重新获得服务,达到欺骗系统的目的。攻击者可以通过网络监听,获得认证凭证,再将该消息传送给服务器。为了防止重放攻击,我们在认证协议中的每个流程都采用了临时交互号,临时交互号是一个随机数,只能使用一次,如果攻击者将该消息重放使用,那么临时交互号就使用了多次,接收方则认为该消息是非法访问消息。
2.3 身份伪装
身份伪装指一个实体假冒另一个实体,攻击者通过欺骗手段冒充合法用户。我们的协议双方相互认证来防止攻击者的伪装,在流程(3)和(5)是移动终端对接入设备的认证,流程(6)和(7)是接入设备对移动终端的认证。
2.4 隐私攻击
防止用户隐身泄露就是避免用户信息与访问内容之间的关联性。我们的协议采用了移动终端用户标识符和移动终端访问标识符,首先这两者是通过哈希函数计算,协议中采用加密的方法保证了两者在认证过程中不关联,移动终端认证成功后采用会话钥加密数据,因而攻击者不能知道哪个用户访问了什么资源。
2.5 拒绝服务攻击
拒绝服务攻击是向访问设备发送大量包含无用信息的数据包来阻止正常用户的访问。系统由于接收到大量无用信息的数据包而忙于应付,以至于不能正常处理合法数据包。为了防止拒绝服务攻击,在认证协议的消息中增加了临时交互号,任何包含重复的消息或者错误的应答消息将被丢弃,因此采用这个方法可以降低拒绝服务攻击的可能性。
2.6 中间人攻击
中间人攻击方式中,攻击者通过截取消息,并且篡改消息,并发送给另一方,可能导致让攻击者获得有用的消息,也可能导致认证过程不能正确地进行。在认证协议中,我们采用加密和哈希运算的方法处理消息,攻击者不能解密消息,因此,攻击者无法修改数据进行中间人攻击。
3 性能分析
为了测试认证协议的性能,我们构建了一个简单的实验环境,该环境包括两个域,一台路由器,每个域包括一台接入设备和认证中心,如图2所示。这些设备的主要参数如表2所示。认证协议中哈希算法采用SHA-512,加密算法采用AES。
根据上面搭建的环境,我们主要测试两种情况下的认证延时,即本地域认证延时和跨域认证延时。图3是一共测试40次移动设备在本地域认证的延时,从图3可以看出,整个认证过程所需要的延时在3毫秒到6毫秒之间,平均延时为4.51毫秒。同样,我们也测试了移动设备跨越认证的延时,共测试40次,延时在3毫秒-6毫秒之间,平均延时为4.73毫秒。跨域认证延时与不跨域认证延时差别很小。
为了了解网络对移动设备认证的处理能力,我们还测试了认证吞吐量,用认证移动终端的数量与延时之比来表示认证吞吐量,认证吞吐量越大,表示在单位时间内认证的移动设备越多。图4显示了认证移动设备的数量与所用的认证延时之间的关系,当移动设备增加时,认证延时增大,但延时增大的速率较慢,当需要认证的移动设备达到1 600时,认证延时不超过11ms。因此,该认证协议具有较好的认证吞吐量。
4 结 语
网络接入控制是保证网络安全的最基本条件,本文提出了基于多属性的移动设备网络安全接入认证协议,该协议能在移动设备和网络之间进行双向认证,能够防止多种安全攻击,采用定期更新认证方式,能够对移动设备进行持续鉴别,从而有效地防止了用户假冒、授权访问等问题。从而可以提高网络的安全性和可控性。
摘要:很多网络安全事件是由恶意用户具有较大访问的权限而引起的。为预防网络恶意行为的发生,首先解决好网络安全接入认证。基于此,提出一个基于多属性的移动终端安全接入网络认证协议。该协议将移动设备属性和用户属性映射为一个网络访问标识符,在移动设备和网络之间建立一个双向认证过程,并支持设备的移动性。另外网络在移动终端的访问过程中采取定期认证检验,避免假冒用户现象发生。仿真实验表明,该协议具有较好的安全性和较短的认证延时。
【宽带接入认证】相关文章:
宽带光纤接入07-24
宽带接入方式范文06-02
光纤宽带接入合同07-14
宽带接入服务协议07-21
宽带接入方式对比07-21
常见的宽带接入方式08-23
小区宽带接入合作协议04-28
宽带接入技术论文题目04-02
无线宽带接入通信系统论文04-17
宽带接入有线电视论文05-04