第12天安全认证计费技术.ppt

第12天安全认证计费技术
Radius报文格式
封装在UDP数据域的RADIUS报文：
code
id
length
Authenticator
TLV
TLV
TLV
……
Type
Len
Value
以是一个就像VLAN一样的逻辑端口，对于无线局域网来说个“端口”就是一条信道）
。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，（Extensible Authentication Protocol over LAN）通过。

认证者（交换机）
恳请者
EAPOL
EAPOL
Extensible Authentication
Protocol over LAN
认证服务器

Controlled
Un-Controlled
非受控端口主要是用来连接认证服务器，以便保证服务器与交换机的正常通讯
连接在受控端口的用户只有通过认证才能访问网络资源
EAPOL
EAPOL

认证前后端口的状态
，端口的状态决定了客户端是否能接入网络，（unauthorized），在该状态下， 报文和广播报文外不允许任何业务输入、输出通讯。当客户通过认证后，则端口状态切换到授权状态（authorized），允许客户端通过端口进行正常通讯。

基本的认证过程
认证通过前：通道的状态为unauthorized，；
认证通过时：通道的状态切换为authorized，此时从远端认证服务器可以传递来用户的信息，比如VLAN、CAR参数、优先级、用户的访问控制列表等等；
认证通过后：用户的流量就将接受上述参数的监管，此时该通道可以通过任何报文，注意只有认证通过后才有DHCP等过程。
认证通过后
认证通过之后的保持：
认证端Authenticator可以定时要求Client重新认证，时间可设。重新认证的过程对User是透明的(应该是User不需要重新输入密码)。
下线方式：
物理端口Down；
重新认证不通过或者超时；
客户端发起EAP_Logoff帧；
网管控制导致下线；
PPP帧格式
一个典型的PPP协议的帧格式
Flag
Address
Control
Protocol
Information
protocol域表明协议类型为C227(PPP EAP)时，在PPP数据链路层帧的Information域中封装且仅封装PPP EAP数据包
EAP报文格式
Code域：为一个字节，表示了EAP数据包的类型，EAP的Code的值指定和意义如下：
Code＝1————→Request
Code＝2 ————→Response
Code＝3 ————→Success
Code＝4 ————→Failure
Indentifier域：为一个字节，辅助进行request和response的匹配———每一个request都应该有一个response相对应，这样的一个Indentifier域就建立了这样的一个对应关系———相同的Indentifier相匹配。
Length域：为两个字节，表明了EAP数据包的长度，包括Code,Identifier,Length以及Data等各域。超出Length域范围的字节应该视为数据链路层填充（padding）,在接收时应该被忽略掉。
Data域：为0个或者多个字节，Data域的格式由Code的值来决定。
Code
Identifier
Length
Data
Request和Response报文
Code域
Identifier域
Length域
Type域
Type Data域
Code
Identifier
Length
Type
Type Data
Success和Failure报文
当Code域为3或者4的时候，这个时候为EAP的Success和Failure报文，报文的格式如上：
当Code域为3的时候是Successs报文，当Code为4的时候是Failure报文。
Identifier域为一个字节，辅助匹配Response应答。Identifier域必须与其正在应答的Response域中的Identifier域相匹