通信工程师考试培训接入认证子系统设计
摘要:通信工程师考试培训接入认证子系统设计:接入认证子系统为MN提供网络接入服务,同时对MN是否是合法接入服务的用户进行认证,该子系统的功能是MN继续使用MlPv6服务的前提。
5.5.2 接入认证子系统设计
接入认证子系统为MN提供网络接入服务,同时对MN是否是合法接入服务的用户进行认证,该子系统的功能是MN继续使用MlPv6服务的前提。
接入认证子系统涉及的实体如图5-14所示。MN同时作为PaC, NAS同时作为PAA,箭 头1表示PANA协议交互,箭头2表示Diameter协议交互。
IETF成立PANA工作组致力于制定一个基于网络层的接入认证承载协议PANA,认证 报文承载在独立于数据链路层的PANA协议之上,这种认证方式将数据链路层接入技术的差 异屏蔽起来,从而适用于各种接入网络。PANA协议作为一个认证承栽协议,可以为各种认 证方法提供统一的承栽平台,PANA工作组己经将EAP ( Extensive Authentication Protocol) 作为所承载的认证协议。
PANA 由 PANA 客户端(PANA Client, PaC)、PANA 认证代理(PANA Authentication Agent, PAA)、增强点(Enforcement Point,EP)、认证版务器(Authentication Server, AS) 4个功能实体组成,如图5-15所示? PAA作为AS的客户端与后锥AS交互认证消息。后 端服务器对用户进行实际的认证确定用户的权限,最终由服务器认证结果通知PAA通过 EP对用户授权。
为了验证用户的身份,PAA需要咨询认证服务器。认证服务器与PAA如果部署在同一个设备上,可以使用API进行交互;也可部署在不同的设备上(在公共接入网中更为常见), 本方案采用Diameter作为PAA与AS间的通信协议。
PAA可以部署在与PaC处于同一子网中的任何一个IP设备上,但是通常部署在局域网 中称为NAS的设备上。
EP使用加密或者非加密的过滤器对数据包进行选择,允许一些数据包通过,禁止另一些 数据包通过。EP可以和PAA部署在同一设备上,通过API进行通信:也可部署在不同设备 上,通过运行SNMP协议进行通信PANA协议专为网络访问提供认证和授权服务。它的主要任务是执行认证功能的EAP 协议,并帮助PaC和PAA建立起EAP会话*它定义了一套自己的笊传机制来保证传输数据可靠性。传输在PaC和PAA之间的PANA消息构成了 PANA会话的一部分,一个PANA 会话包括5个不同的阶段,如图5-16所示。
发现和握手阶段:PANA会话的建立阶段,即执行PAA发现和握手阶段,用于建立 一个新的PANA会话。PaC可以使用如下两种 方式之一来执行PAA发现,即PaC主动发送 PAA发现请求,或者PaC被动监听PAA通告。
认证和授权阶段:在认证和授权阶段,PaC向PAA提交认证信息,PAA可能在本地 执行认证授权操作,也可能把认证信息转发给 认证服务器,由认证服务器对用户进行认证授 权。如果认证授权失败,转入PANA会话终止 阶段。如果认证授权成功,PAA通知EP授予 该用户相应权限,允许用户访问授权资源,PANA会话转入接入阶段。
接入阶段:在成功地通过了认证授权 之后,PANA会话转入接入阶段,用户获得了 接入网络服务,可以通过EP发送和接收IP数据包。在接入阶段的任何时刻,PaC和PAA都 可以向对方发送活跃检测报文,检测PANA会话是否依然有效。
重认证阶段:在授权时间到期之前,PaC和PAA都可以主动向对方发送重新认证请 求,使会话转入重新认证阶段。如果重新认证失畋,会话转入终止阶段:否则,会话转入接 入阶段。
终止阶段:在PANA会话的任何阶段,PaC和PAA都可以主动向对方发送终止会 话请求,使会话进入终止阶段。当PANA会话成功终止后,PAA释放与该会话有关的所有资 源,并且通知EP禁止该会话所对应的用户的网络接入。
本子系统中,PANA和Diameter作为EAP的承栽协议,在PaC和AS之间建立EAP 会话,对用户进行认证。EAP协议的包封装在PANA及Diameter消息中,其格式如图5-17 所示,其中前4个字节分别是8比特的报文类型、8比特的报文标识符,以及16比特的 报文长度。报文标识符用于在同一个EAP会话中对请求和应答报文进行匹配,以便实现 报文的重复和丢失检测。在报文长度字段之后,是报文的数据部分,其格式由报文类型 决定。
冃前 EAP 协议定义了4种报文,即EAP-Request、EAP-Response、EAP-Success 和 EAP-Failurc。EAP作为一种框架协议,具体的认证方法作为基本报文的Data部分实现。本 子系统以EAP-Archie作认证算法,认证者和认证服务器以不同实体存在,认证者工作于穿透模式,在PaC和AS间转发EAP报文,并且识别EAP-Success和EAP-Failure报文以控制用户接入。
EAP协议本身并没有定义任何认证方法,它只提供了一种支持多种认证方法的标准机 制,通过其在Diameter协议上的应用扩展能够增强AAA系统的安全性,保证合法用户对网 络资源的访问。
Diameter EAP应用协议通过定义Diameter应用协议,规定了 EAP协议在Diameter协议 平台上的使用,从而使得支持Diameter EAP应用的Diameter AAA系统能够通过一致的EAP 协议平台支持多种认证算法,且扩展性好。通过Diameter EAP应用,可以方便地将Diameter AAA网络引入现有支持EAP协议的系统(如IEEE802.1]i、IEEE 802.lxs PPP、IKEv2等)中,从而为这些系统提供AAA功能。
Diameter的EAP应用,用于实现网络接入环境下的认证授权,规范了 Diameter客户和 Diameter服务器之间EAP报文的传输机制,实现用户和家乡Diameter服务器之间的端到端 认证?在Diameter的EAP应用中,EAP用于在NAS和Diameter认证服务器之间传输用户 的认证信息,NAS充连EAP协议中的认证者,Diameter服务器充当EAP协议中的认证服务器。
在Diameter的EAP应用中,认证发生在EAP用户和家乡Diameter服务器之间。这种端 到端的认证减少了认证欺骗的可能性,例如重放攻击、中间人攻击端到端认证为相互认证 提供了…种可能性*在漫游环境中,使用PAP、CHAP是做不到相互认证的。
返回目录:
编辑特别推荐:
延伸阅读
通信工程师微信公众号
通信工程师备考资料免费领取
去领取
距离2025 通信工程师考试
还有- 1
- 3
- 1
专注在线职业教育24年
APP 
微信群 
扫描二维码
扫描二维码
