通信工程師考試培訓(xùn)接入認(rèn)證子系統(tǒng)設(shè)計(jì)

　在線輔導(dǎo)　面授招生　考試大綱　指定教材　報(bào)名時(shí)間

5.5.2 接入認(rèn)證子系統(tǒng)設(shè)計(jì)
接入認(rèn)證子系統(tǒng)為MN提供網(wǎng)絡(luò)接入服務(wù)，同時(shí)對(duì)MN是否是合法接入服務(wù)的用戶進(jìn)行認(rèn)證，該子系統(tǒng)的功能是MN繼續(xù)使用MlPv6服務(wù)的前提。
接入認(rèn)證子系統(tǒng)涉及的實(shí)體如圖5-14所示。MN同時(shí)作為PaC, NAS同時(shí)作為PAA，箭 頭1表示PANA協(xié)議交互，箭頭2表示Diameter協(xié)議交互。

IETF成立PANA工作組致力于制定一個(gè)基于網(wǎng)絡(luò)層的接入認(rèn)證承載協(xié)議PANA,認(rèn)證 報(bào)文承載在獨(dú)立于數(shù)據(jù)鏈路層的PANA協(xié)議之上，這種認(rèn)證方式將數(shù)據(jù)鏈路層接入技術(shù)的差 異屏蔽起來，從而適用于各種接入網(wǎng)絡(luò)。PANA協(xié)議作為一個(gè)認(rèn)證承栽協(xié)議，可以為各種認(rèn) 證方法提供統(tǒng)一的承栽平臺(tái)，PANA工作組己經(jīng)將EAP ( Extensive Authentication Protocol) 作為所承載的認(rèn)證協(xié)議。
PANA 由 PANA 客戶端（PANA Client, PaC)、PANA 認(rèn)證代理（PANA Authentication Agent, PAA)、增強(qiáng)點(diǎn)（Enforcement Point，EP)、認(rèn)證版務(wù)器（Authentication Server, AS) 4個(gè)功能實(shí)體組成，如圖5-15所示? PAA作為AS的客戶端與后錐AS交互認(rèn)證消息。后 端服務(wù)器對(duì)用戶進(jìn)行實(shí)際的認(rèn)證確定用戶的權(quán)限，最終由服務(wù)器認(rèn)證結(jié)果通知PAA通過 EP對(duì)用戶授權(quán)。
為了驗(yàn)證用戶的身份，PAA需要咨詢認(rèn)證服務(wù)器。認(rèn)證服務(wù)器與PAA如果部署在同一個(gè)設(shè)備上，可以使用API進(jìn)行交互；也可部署在不同的設(shè)備上（在公共接入網(wǎng)中更為常見)， 本方案采用Diameter作為PAA與AS間的通信協(xié)議。
PAA可以部署在與PaC處于同一子網(wǎng)中的任何一個(gè)IP設(shè)備上，但是通常部署在局域網(wǎng) 中稱為NAS的設(shè)備上。
EP使用加密或者非加密的過濾器對(duì)數(shù)據(jù)包進(jìn)行選擇，允許一些數(shù)據(jù)包通過，禁止另一些 數(shù)據(jù)包通過。EP可以和PAA部署在同一設(shè)備上，通過API進(jìn)行通信：也可部署在不同設(shè)備 上，通過運(yùn)行SNMP協(xié)議進(jìn)行通信PANA協(xié)議專為網(wǎng)絡(luò)訪問提供認(rèn)證和授權(quán)服務(wù)。它的主要任務(wù)是執(zhí)行認(rèn)證功能的EAP 協(xié)議，并幫助PaC和PAA建立起EAP會(huì)話*它定義了一套自己的笊傳機(jī)制來保證傳輸數(shù)據(jù)可靠性。傳輸在PaC和PAA之間的PANA消息構(gòu)成了 PANA會(huì)話的一部分，一個(gè)PANA 會(huì)話包括5個(gè)不同的階段，如圖5-16所示。

發(fā)現(xiàn)和握手階段：PANA會(huì)話的建立階段，即執(zhí)行PAA發(fā)現(xiàn)和握手階段，用于建立 一個(gè)新的PANA會(huì)話。PaC可以使用如下兩種 方式之一來執(zhí)行PAA發(fā)現(xiàn)，即PaC主動(dòng)發(fā)送 PAA發(fā)現(xiàn)請(qǐng)求，或者PaC被動(dòng)監(jiān)聽PAA通告。
認(rèn)證和授權(quán)階段：在認(rèn)證和授權(quán)階段，PaC向PAA提交認(rèn)證信息，PAA可能在本地 執(zhí)行認(rèn)證授權(quán)操作，也可能把認(rèn)證信息轉(zhuǎn)發(fā)給 認(rèn)證服務(wù)器，由認(rèn)證服務(wù)器對(duì)用戶進(jìn)行認(rèn)證授 權(quán)。如果認(rèn)證授權(quán)失敗，轉(zhuǎn)入PANA會(huì)話終止 階段。如果認(rèn)證授權(quán)成功，PAA通知EP授予 該用戶相應(yīng)權(quán)限，允許用戶訪問授權(quán)資源，PANA會(huì)話轉(zhuǎn)入接入階段。
接入階段：在成功地通過了認(rèn)證授權(quán) 之后，PANA會(huì)話轉(zhuǎn)入接入階段，用戶獲得了 接入網(wǎng)絡(luò)服務(wù)，可以通過EP發(fā)送和接收IP數(shù)據(jù)包。在接入階段的任何時(shí)刻，PaC和PAA都 可以向?qū)Ψ桨l(fā)送活躍檢測(cè)報(bào)文，檢測(cè)PANA會(huì)話是否依然有效。
重認(rèn)證階段：在授權(quán)時(shí)間到期之前，PaC和PAA都可以主動(dòng)向?qū)Ψ桨l(fā)送重新認(rèn)證請(qǐng) 求，使會(huì)話轉(zhuǎn)入重新認(rèn)證階段。如果重新認(rèn)證失畋，會(huì)話轉(zhuǎn)入終止階段：否則，會(huì)話轉(zhuǎn)入接 入階段。
終止階段：在PANA會(huì)話的任何階段，PaC和PAA都可以主動(dòng)向?qū)Ψ桨l(fā)送終止會(huì) 話請(qǐng)求，使會(huì)話進(jìn)入終止階段。當(dāng)PANA會(huì)話成功終止后，PAA釋放與該會(huì)話有關(guān)的所有資 源，并且通知EP禁止該會(huì)話所對(duì)應(yīng)的用戶的網(wǎng)絡(luò)接入。
本子系統(tǒng)中，PANA和Diameter作為EAP的承栽協(xié)議，在PaC和AS之間建立EAP 會(huì)話，對(duì)用戶進(jìn)行認(rèn)證。EAP協(xié)議的包封裝在PANA及Diameter消息中，其格式如圖5-17 所示，其中前4個(gè)字節(jié)分別是8比特的報(bào)文類型、8比特的報(bào)文標(biāo)識(shí)符，以及16比特的 報(bào)文長(zhǎng)度。報(bào)文標(biāo)識(shí)符用于在同一個(gè)EAP會(huì)話中對(duì)請(qǐng)求和應(yīng)答報(bào)文進(jìn)行匹配，以便實(shí)現(xiàn) 報(bào)文的重復(fù)和丟失檢測(cè)。在報(bào)文長(zhǎng)度字段之后，是報(bào)文的數(shù)據(jù)部分，其格式由報(bào)文類型 決定。

冃前 EAP 協(xié)議定義了4種報(bào)文，即EAP-Request、EAP-Response、EAP-Success 和 EAP-Failurc。EAP作為一種框架協(xié)議，具體的認(rèn)證方法作為基本報(bào)文的Data部分實(shí)現(xiàn)。本 子系統(tǒng)以EAP-Archie作認(rèn)證算法，認(rèn)證者和認(rèn)證服務(wù)器以不同實(shí)體存在，認(rèn)證者工作于穿透模式，在PaC和AS間轉(zhuǎn)發(fā)EAP報(bào)文，并且識(shí)別EAP-Success和EAP-Failure報(bào)文以控制用戶接入。
EAP協(xié)議本身并沒有定義任何認(rèn)證方法，它只提供了一種支持多種認(rèn)證方法的標(biāo)準(zhǔn)機(jī) 制，通過其在Diameter協(xié)議上的應(yīng)用擴(kuò)展能夠增強(qiáng)AAA系統(tǒng)的安全性，保證合法用戶對(duì)網(wǎng) 絡(luò)資源的訪問。
Diameter EAP應(yīng)用協(xié)議通過定義Diameter應(yīng)用協(xié)議，規(guī)定了 EAP協(xié)議在Diameter協(xié)議 平臺(tái)上的使用，從而使得支持Diameter EAP應(yīng)用的Diameter AAA系統(tǒng)能夠通過一致的EAP 協(xié)議平臺(tái)支持多種認(rèn)證算法，且擴(kuò)展性好。通過Diameter EAP應(yīng)用，可以方便地將Diameter AAA網(wǎng)絡(luò)引入現(xiàn)有支持EAP協(xié)議的系統(tǒng)（如IEEE802.1]i、IEEE 802.lxs PPP、IKEv2等）中，從而為這些系統(tǒng)提供AAA功能。
Diameter的EAP應(yīng)用，用于實(shí)現(xiàn)網(wǎng)絡(luò)接入環(huán)境下的認(rèn)證授權(quán)，規(guī)范了 Diameter客戶和 Diameter服務(wù)器之間EAP報(bào)文的傳輸機(jī)制，實(shí)現(xiàn)用戶和家鄉(xiāng)Diameter服務(wù)器之間的端到端 認(rèn)證?在Diameter的EAP應(yīng)用中，EAP用于在NAS和Diameter認(rèn)證服務(wù)器之間傳輸用戶 的認(rèn)證信息，NAS充連EAP協(xié)議中的認(rèn)證者，Diameter服務(wù)器充當(dāng)EAP協(xié)議中的認(rèn)證服務(wù)器。
在Diameter的EAP應(yīng)用中，認(rèn)證發(fā)生在EAP用戶和家鄉(xiāng)Diameter服務(wù)器之間。這種端 到端的認(rèn)證減少了認(rèn)證欺騙的可能性，例如重放攻擊、中間人攻擊端到端認(rèn)證為相互認(rèn)證 提供了…種可能性*在漫游環(huán)境中，使用PAP、CHAP是做不到相互認(rèn)證的。

返回目錄： 通信工程師考試移動(dòng)互聯(lián)網(wǎng)安全技術(shù)匯總

編輯特別推薦：

中級(jí)通信專業(yè)實(shí)務(wù) 互聯(lián)網(wǎng)技術(shù)教程匯總

中級(jí)通信專業(yè)實(shí)務(wù)傳輸與接入教程匯總

通信專業(yè)實(shí)務(wù)考試設(shè)備與環(huán)境教程匯總

通信專業(yè)實(shí)務(wù)考試交換技術(shù)教程匯總