林 荔，杨剑炉

（莆田学院 电子信息工程系，福建 莆田 351100）

局域网安全认证技术的比较研究

林 荔，杨剑炉

（莆田学院 电子信息工程系，福建 莆田 351100）

网络安全管理是网络管理的一个重要组成部分.身份认证无疑是建立安全可信网络的前提条件.在分析局域网中的两种不同安全认证技术的基础上，探讨根据网络中不同的用户访问需求，建立起多样化的网络接入机制和安全认证方式，以实现更为灵活、安全、有效的网络管理.

局域网；安全认证；WEB认证

随着信息交换的深入和交换范围的扩大，网络安全事件不断升级，网络安全越来越被人们所关注.建造一个可信网络进行有效地控制成为许多人探讨的对象，保障数据的安全性成为了一个突显的话题.身份认证无疑是建立安全可信网络的前提条件.身份认证是指在计算机网络中确认操作者身份的过程.计算机通过识别用户的数字身份或通用户数字身份的授权信息，来辨别用户的合法性，保证操作者的物理身份与数字身份相对应.真实可信的身份认证体系不仅能使恶意者有所顾忌，起到防微杜渐的作用;也可以让管理者在安全事件发生后能准确及时地找到肇事者，在一定程度上防止安全事件的再次发生.目前局域网中常用的认证技术有802.1x技术和WEB认证技术等.

1 WEB认证技术

WEB认证是当前应用最广泛的认证接入方式之一，它是一种基于HTTP协议以及HTTPS安全协议的认证接入方式，用于以太网用户的认证接入.WEB认证控制的核心是用户，它是通过数据报文中的用户信息来识别用户，并对用户开展接入和业务控制.在客户端，用户使用WEB浏览器作为客户端，通过HTTP以及HTTPS协议和WEB认证服务器进行交互，发送认证信息并接收认证结果.如果认证成功，WEB认证服务器和间需要通过协议交互认证信息，并由对用户进行权限控制和业务控制.

WEB认证过程是一个对访问者身份进行确认的过程，通常与DHCPServer和Portalserver配合使用，最典型的方式是通过用户名和密码.其认证步骤如下：⑴客户机启动，系统程序通过BAS做出DHCP-Relay，向DHCPServer索取IP地址；⑵BAS构造对应该用户表项信息，添加用户ACL服务策略；⑶Portalserver向用户提供认证页面，要求用户输入帐号和口令登陆，或不输入由帐号和口令，直接登陆；⑷登陆后portalserver启动自身的Java程序，将用户信息（IP、帐号、口令等）送给网络中心设备BAS；⑸BAS利用IP地址得到客户机的二层地址和物理端口号，并对用户的合法性进行检查.如果用户通过帐号登陆，则使用帐号和口令去与Radiusserver表项比对来进行用户认证，如果未输入帐号，网络设备则利用VlanID查找用户表得到用户帐号和口令，将帐号送到Radiusserver进行认证.⑹Radius Server返回认证结果给BAS；⑺认证通过后，BAS修改该用户的ACL，用户可以访问外部因特网或特定的网络服务；⑻用户离开网络，则系统停止计费，删除用户的ACL和转发信息，限制用户不能访问外部网络.

280 2.1x技术

802.1 x技术是一种基于Client/Server的访问控制和认证协议.主要目的是为了解决局域网用户的接入认证问题. 802.1x控制的核心是逻辑端口，基本思路是用户直接与端口相连.局域网中的每个物理端口被分为受控和非受控的两个逻辑端口，物理端口收到的每个帧都被送到受控和非受控端口.非受控端口始终处于双向连通状态，主要用来传递EAPOL协议帧，接收客户端发出的认证EAPOL报文.而对受控端口的访问则受限于受控端口的授权状态.在用户开始访问局域网时，802.1x先对用户接入端口进行身份认证.如果用户通过认证，认证服务器会把用户的相关信息传递给认证系统，认证系统的设备端根据认证服务器认证的结果决定受控端口的授权和非授权状态.如果用户通过认证，受控端口就“打开”，此时允许文所有的报文通过，允许用户传递网络资源和服务；如果不能通过认证，则该端口为未授权状态的受控端口，则保持“关闭”状态，拒绝用户或设备访问局域网中的资源.此时只允许认证报文E A P O L(基于局域网的扩展认证协议)数据通过端口.

802.1 x协议的认证体系结构包括三个部分：Supplicant System客户端、Authenticator System认证系统、Authenticator System认证服务器.

认证系统——通常为支持802.1x协议的网络设备，一般由用户接入层设备（如交换机）实现.该设备对应于不同用户的端口，并对接入的用户或设备进行认证的端口.

请求者——被认证的用户或设备，一般为一个用户终端系统，该终端系统通常要安装一个支持基于端口的接入控制（EAPOL协议）的客户端软件.用户通过启动客户端软件发起IEEE802.1x协议的认证过程.典型的为Windows XP操作系统自带的客户端.

认证服务器——认证服务器通常为Radius服务器，该服务器存储有关用户的信息，例如用户所属的VLAN、优先级、用户的访问控制列表等.它根据认证者的信息，负责对请求访问网络资源的用户或设备进行实际认证.当用户通过认证后，认证服务器会把用户的相关信息传递给认证系统，由认证系统构建动态的访问控制列表，用户的后续访问就将接受上述参数的监管.

其认证过程如下：⑴开始访问时，用户打开802.1x客户端，输入已申请或登记过的用户名和口令，发起连接请求报文.客户端程序发出请求认证的报文给交换机，开始启动一次认证过程.⑵交换机收到请求认证数据帧后，将发出一个请求帧要求用户的客户端程序发送输入的用户名.⑶客户端程序响应交换机发出的请求，将用户名信息通过数据帧送给交换机.⑷交换机将客户端送上来的数据帧经过封包处理后，送给Radius服务器进行处理.⑸Radius服务器收到交换机转发的用户名信息后，将该信息与数据库中的用户名表比对，找出该用户名对应的口令信息，并用随机生成的一个加密字对它进行加密处理，同时将此加密字与加密后的口令信息一同传送给认证系统，由认证系统传给客户端程序.⑹客户端程序收到由认证系统传来的加密字后，用该加密字对口令部分进行加密处理（这种加密算法通常是不可逆的），并通过认证系统传给Radius服务器.⑺Radius服务器将收到的加密后的口令信息和自己经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息.同时,认证系统将端口状态改为授权状态，允许用户的业务流通过该端口访问网络.否则拒绝用户的业务流通过.当服务需求结束时，客户端可发送结束请求报文给认证系统，主动终止已认证状态，认证系统则将端口状态从授权状态改变成未授权状态.

3 两种身份认证的比较

WEB身份认证基于应用层的控制，其控制核心是用户，采用WEB浏览器作为认证客户端，无需特定客户端支持，对组网没有限制，设备关联性较弱，因此维护工作量低小，成本低，操作简单.它实现了控制流和数据流彻底分离，控制流在WEB认证服务器上进行处理，而数据流由宽带接入服务器进行处理，管理方便.但是因为采用“入网即认证”的方式，因此在内网安全性上比较弱.而且它要求用户必须获得地址才能访问服务器.因此认证下线后，只要用户联接好的，地址会一直被占用，不被释放，造成了地址的浪费.

802.1 X身份认证以逻辑端口为控制核心，在第二层上实现对用户接入端口的控制，采用分布式部署，需要部署三方包括认证服务器，接入设备及用户，部署范围广.也需要相关的设备支持，启用相应的客户端程序（WINDOWSXP自带此功能），工作量大，维护成本高.在信息传输过程中，口令信息采用不可逆加密算法处理，大大提高了网络的安全性和可靠性.由于通过认证后的报文是无需封装的纯数据包，直接通过可控端口进行交换，进而增强了系统的性能度.在管理上，无需多业务网管设备，就能保证IP网络的无缝相连，去除冗余昂贵的多业务网关设备，消除网络认证计费瓶颈和单点故障.采用“先认证后分配”的方式，能有效地利用地址资源.由于认证流和业务流不分离，因此需要对各个用户接入口进行管理，范围广，复杂度高.

4 结论

通过以上比对，可以发现两种认证方式在实现和应用上各有优缺点.在面对日益多样化的用户需求，选择什么样的认证方式是与用户需求密切相关的，针对不同的用户需求实现差别化的信息安全管理机制尤为重要.结合以上两者的特点，在局域网的管理上，针对不同的用户群体（接入地域）或是不同的网络资源，采取不同的准入认证方式，进而最终实现统一的管理和控制.首先对局域网内的用户按不同级别、群体或地域进行分类管理.再对不同级别的用户进行区别化安全认证.对于一般用户在入网访问时，在用户接入的入口采用了端口控制功能，实现业务与认证的分离，进行精细的控制，采用“先认证再入网”的方式，确保合法用户才能进入内部网络，同时采用动态绑定用户（物理或逻辑）端口或划分VLAN等访问控制方式，以确保用户IP地址的真实性，和对内网进行有效地管理.对于高级用户则采用Web准入的方式进行认证和接入控制，将Web认证控制到网络的边缘，以减少部署范围，降低维护的工作量，加强Web认证的安全性.同时也可对网络资源按用户群体区别控制，对一般性资源要求用户WEB形式的登陆访问，而对安全性要求较高的资源则采用端口限定（如VLAN，IP或MAC等）或用户限定访问的方式.这样根据用户身份的不同分配不同的资源使用权限，有利地实现对网内有限资源的再分配，避免网络资源的滥用和管理混乱.

〔1〕邹洁.宽带接入认证和计费方式分析[J].广东通信技术，2002，22(6):15—20.

〔2〕丁妮.Web应用安全研究[D].中国优秀硕士学位论文全文数据库,2007-5:11-15.

〔3〕朱海龙，张国清.基于802.1x的以太网接入技术[J].计算机工程，2003，29(18):130-32.

〔4〕余秦勇.802.1x协议分析及其应用[J].信息安全与通信保密,2005(11):85-89.

TP393.08

A

1673-260X（2010）08-0043-02