徐方南+蘇星曄

【摘要】 現(xiàn)如今網(wǎng)絡(luò)系統(tǒng)的應(yīng)用遍布各行各業(yè)，越來越多的信息通過網(wǎng)絡(luò)來進(jìn)行交換和和處理，所以必須保證網(wǎng)絡(luò)具有足夠的可信性、安全性，才能發(fā)揮出它的重要作用。而網(wǎng)絡(luò)接入認(rèn)證是保障網(wǎng)絡(luò)系統(tǒng)整體安全的先決條件，也是其重要的一環(huán)。本文通過網(wǎng)絡(luò)接入認(rèn)證的相關(guān)技術(shù)進(jìn)行研究，梳理了實現(xiàn)網(wǎng)絡(luò)接入認(rèn)證的主要方式。

【關(guān)鍵字】 網(wǎng)絡(luò)接入 認(rèn)證

一、引言

網(wǎng)絡(luò)中的大多數(shù)攻擊行為都是由終端接入者本身不安全而引起的，這些不安全終端接入者不僅會成為被攻擊的對象，還可能被攻擊者利用，成為病毒傳播、黑客攻擊的中間媒介，嚴(yán)重影響整個網(wǎng)絡(luò)的正常運(yùn)行?？梢?，如何在終端接入時進(jìn)行有效認(rèn)證，以保證終端的接入安全，減少網(wǎng)絡(luò)安全事件的發(fā)生是迫切需要研究的。

二、網(wǎng)絡(luò)接入認(rèn)證的實現(xiàn)方式

2.1 PPPoE接入認(rèn)證方式

PPPoE（PPP over Ethernet）是一種在以太網(wǎng)上進(jìn)行PPP點對點撥號連接的協(xié)議。PPPoE技術(shù)最早是由Redback網(wǎng)絡(luò)公司、客戶端軟件開發(fā)商RouterWare公司以及Redback子公司“UUNET Technologies”公司，于1998年后期在IETF RFC基礎(chǔ)上聯(lián)合開發(fā)的。

PPPoE得到了IETF的認(rèn)可，于1999年2月被IETF接收，被定義在RFC2526中。該協(xié)議出臺后，各網(wǎng)絡(luò)設(shè)備制造商也相繼推出自己品牌的寬帶接入服務(wù)器，使得PPPoE這種靈活的ADSL接入方式迅速得到了廣泛應(yīng)用。

由于協(xié)議中集成了PPP協(xié)議，所以實現(xiàn)了傳統(tǒng)以太網(wǎng)不能提供的身份驗證、加密以及壓縮等功能，也可用于纜線調(diào)制解調(diào)器和數(shù)字用戶線路等以以太網(wǎng)協(xié)議向用戶提供接入服務(wù)的協(xié)議體系。

2.2 IEEE 802.1X接入認(rèn)證方式

最早于2001年6月出現(xiàn)了IEEE 802.1X協(xié)議，起源于IEEE 802.11協(xié)議[1]，其可以限制未經(jīng)授權(quán)的終端通過接入端口訪問LAN/WLAN，主要目的是解決局域網(wǎng)用戶的接入認(rèn)證問題。

隨著該技術(shù)的廣泛應(yīng)用，目前IEEE 802.1X協(xié)議作為局域網(wǎng)接入控制機(jī)制在以太網(wǎng)中被廣泛應(yīng)用，主要解決以太網(wǎng)內(nèi)認(rèn)證和安全方面的問題。

2.3 WEB接入認(rèn)證方式

Web認(rèn)證技術(shù)也稱為Portal技術(shù)，一般將Portal認(rèn)證網(wǎng)站稱為門戶網(wǎng)站。在認(rèn)證之前用戶首先要獲取地址，這點與 IEEE802.1X接入認(rèn)證不同。

未認(rèn)證用戶上網(wǎng)時，設(shè)備強(qiáng)制用戶登錄到特定站點，用戶可以免費(fèi)訪問其中的服務(wù)。當(dāng)用戶需要使用互聯(lián)網(wǎng)中的其它信息時，必須在門戶網(wǎng)站進(jìn)行認(rèn)證，只有認(rèn)證通過后才可以使用互聯(lián)網(wǎng)資源。WEB接入認(rèn)證目前已經(jīng)成為運(yùn)營商網(wǎng)絡(luò)平臺的認(rèn)證方式，通過WEB頁面實現(xiàn)對用戶是否有使用網(wǎng)絡(luò)權(quán)限的認(rèn)證。

2.4 MAC接入認(rèn)證方式

MAC地址認(rèn)證是一種基于端口和MAC地址對用戶的網(wǎng)絡(luò)訪問權(quán)限進(jìn)行控制的認(rèn)證方法，是一種二層網(wǎng)絡(luò)接入認(rèn)證技術(shù)，與802.1X以及Portal不同，用戶不需要安裝任何客戶端軟件就可進(jìn)行認(rèn)證。設(shè)備在啟動了MAC地址認(rèn)證的端口上首次檢測到用戶的MAC地址以后，即啟動對該用戶的認(rèn)證操作。

認(rèn)證過程中，不需要用戶手動輸入用戶名或者密碼。若該用戶認(rèn)證成功，則允許其通過端口訪問網(wǎng)絡(luò)資源，否則該用戶的MAC地址就被添加為靜默MAC。在靜默時間內(nèi)（可通過靜默定時器配置），來自此MAC地址的用戶報文到達(dá)時，設(shè)備直接做丟棄處理，以防止非法MAC短時間內(nèi)的重復(fù)認(rèn)證。

2.5 RADIUS接入認(rèn)證方式

RADIUS 是英文（Remote Authentication Dial In User Service）的縮寫，是網(wǎng)絡(luò)遠(yuǎn)程接入設(shè)備的客戶和包含用戶認(rèn)證與配置信息的服務(wù)器之間信息交換的標(biāo)準(zhǔn)客戶 / 服務(wù)器模式。

它包含有關(guān)用戶的專門文檔，如：用戶名、接入口令、接入權(quán)限等。這是保持遠(yuǎn)程接入網(wǎng)絡(luò)的集中認(rèn)證、授權(quán)、計費(fèi)和審查得到接受的標(biāo)準(zhǔn)。RADIUS 認(rèn)證系統(tǒng)包含三個方面：認(rèn)證部分、客戶協(xié)議以及計費(fèi)部分。

三、結(jié)束語

根據(jù)上述對實現(xiàn)網(wǎng)絡(luò)接入認(rèn)證的各種方式的分析，可以看到各方式的優(yōu)缺點，具體如何選擇認(rèn)證方式應(yīng)結(jié)合具體工作的實際情況，從而確保網(wǎng)絡(luò)具有足夠的可信性、安全性。

參 考 文 獻(xiàn)

[1] 肖政，李景霞，劉小杰，陳軍，侯紫峰，一種可信網(wǎng)絡(luò)接入認(rèn)證模型和改進(jìn)的OSAP協(xié)議設(shè)計與研究，計算機(jī)科學(xué)，2006年第33期期：56-60.