李獻軍 張峰 趙芳

基金項目：郵政應用技術協(xié)同創(chuàng)新中心資助項目；項目名稱：基于圖形化編程的信號處理裝置自動測試系統(tǒng)研究與實踐；項目編號：YB2022018。

作者簡介：李獻軍（1968— ），男，河北辛集人，教授，碩士；研究方向：計算機開發(fā)與應用，信息安全，網(wǎng)絡系統(tǒng)集成。

摘要：隨著網(wǎng)絡攻擊類型的多樣化，來自企業(yè)網(wǎng)絡內(nèi)部的攻擊不斷增多，作為保障企業(yè)內(nèi)部網(wǎng)絡安全的重要手段，基于RADIUS協(xié)議以及IEEE 802.1x技術實現(xiàn)的低成本用戶認證管理功能，通過對用戶進行接入認證，確保了內(nèi)網(wǎng)接入用戶的合法性，從根源上減少了來自企業(yè)內(nèi)部網(wǎng)絡的攻擊，有效保障了企業(yè)網(wǎng)絡的安全。

關鍵詞：網(wǎng)絡；認證；RADIUS；IEEE 802.1x；安全

中圖分類號：TP393.08? 文獻標志碼：A

0? 引言

隨著網(wǎng)絡技術的快速發(fā)展，基于網(wǎng)絡的各種應用為人們的工作和生活帶來了前所未有的便利，但網(wǎng)絡天生的脆弱性也導致了針對其進行攻擊的安全事件越來越多，嚴重影響了個人、企業(yè)甚至是國家的數(shù)據(jù)信息安全。2018年4月，習近平總書記在全國網(wǎng)絡安全和信息化工作會議上做出重要指示，沒有網(wǎng)絡安全就沒有國家安全，就沒有經(jīng)濟社會穩(wěn)定運行，廣大人民群眾利益也難以得到保障［1］這彰顯了網(wǎng)絡安全居于國家戰(zhàn)略高度的地位，而國家層面的重視恰恰反映了當前網(wǎng)絡安全問題的嚴重性。傳統(tǒng)上，由于大部分的網(wǎng)絡攻擊事件均來自于局域網(wǎng)外部的攻擊，因此網(wǎng)絡安全技術相對更關注如何在網(wǎng)絡的邊界進行防范。但近年來，隨著網(wǎng)絡攻擊類型的多樣化，從局域網(wǎng)內(nèi)部進行攻擊的行為越來越多，這就給企業(yè)網(wǎng)絡安全防護帶來了更大的挑戰(zhàn)。因為在傳統(tǒng)網(wǎng)絡架構中，局域網(wǎng)內(nèi)部所使用的協(xié)議均為開放式協(xié)議，在進行信息交互時并不進行身份的驗證，因此只要攻擊者能夠連接到局域網(wǎng)，就可以對網(wǎng)絡內(nèi)部的各種資源進行訪問，這就帶來了非法用戶入侵的問題。要解決該問題，網(wǎng)絡就必須對連接到其中的用戶進行身份認證，只有通過認證的合法用戶才可以接入網(wǎng)絡，從而避免內(nèi)部攻擊行為的出現(xiàn)［2］。

1? EAD解決方案

EAD全稱為End user Admission Domination，即終端準入控制。它將針對LAN-Access的控制和終端用戶的Security-Policy有機結合在一起，來實現(xiàn)終端用戶安全地進行網(wǎng)絡接入。EAD通過諸如iNode客戶端、作為Security-Policy實施點的網(wǎng)絡設備、Security-Policy Server以及提供加固服務的第三方Server之間的聯(lián)動，對接入終端實施企業(yè)的Security-Policy，并根據(jù)終端的策略匹配度，對相應用戶終端的訪問權限進行限制，提高其主動防御能力，降低企業(yè)網(wǎng)絡面臨的各種潛在的安全威脅。EAD的具體流程如圖1所示。

對于有網(wǎng)絡接入需求的用戶，EAD解決方案首先將驗證用戶的身份，如果其身份認證失敗，則會被判定為非法用戶，并拒絕其接入請求；如果用戶通過了身份認證，則被判定為合法用戶，進入下一步的安全認證環(huán)節(jié)。在安全認證部分將根據(jù)企業(yè)Security-Policy對用戶進行各種系統(tǒng)安全性的檢查，對于安全檢查不合格的用戶會被放入隔離區(qū)進行強制加固，直至滿足企業(yè)安全策略的要求；對于安全檢查合格的用戶進入下一步的動態(tài)授權環(huán)節(jié)。在動態(tài)授權部分針對不同的用戶賦予相應的網(wǎng)絡使用權限，使其可以訪問網(wǎng)絡，并在用戶訪問網(wǎng)絡的過程中對其終端運行情況、網(wǎng)絡使用情況等進行審計和監(jiān)控，及時發(fā)現(xiàn)并處理異常行為［3］。

EAD解決方案的核心同時也是第一道安全防線即對用戶進行接入認證。針對較大型的網(wǎng)絡一般可購買廠商提供的網(wǎng)絡安全管理軟件或服務來實現(xiàn)用戶接入認證管理，而針對中小型企業(yè)，其網(wǎng)絡規(guī)模一般比較小、網(wǎng)絡結構也比較簡單，則可基于認證、授權和計費（Authentication、Authorization and Accounting，AAA）安全架構下的RADIUS協(xié)議以及IEEE 802.1x來實現(xiàn)低成本的用戶認證管理功能，包括對網(wǎng)絡設備進行訪問的認證以及對網(wǎng)絡中的各種資源進行訪問的用戶接入認證。

2? 基于RADIUS的網(wǎng)絡設備訪問認證

RADIUS協(xié)議是一種分布式、C/S結構的信息交互協(xié)議，其主要功能是使網(wǎng)絡免遭未授權的訪問攻擊，其典型的應用場景是需要對遠程用戶提供訪問服務的企業(yè)網(wǎng)絡環(huán)境。RADIUS協(xié)議被廣泛應用于各種不同的用戶接入中，如Ethernet接入、管理用戶登錄等。它基于Authentication和Authorization的功能來為終端用戶提供接入服務，通過Accounting功能來對用戶網(wǎng)絡資源使用情況進行監(jiān)控［4］。

2.1? RADIUS協(xié)議基本工作流程

RADIUS客戶端和RADIUS服務器之間通過共享密鑰（shared-key）的方式來驗證對方身份的合法性并對用戶密碼進行加密，以增強安全性。RADIUS的具體工作流程［5］如圖2所示。

（1）用戶發(fā)起連接請求，并根據(jù)提示輸入User和Password。

（2）RADIUS客戶端（一般是網(wǎng)絡設備）從用戶處獲得的User和Password信息，通過Access-Request，即認證請求包，發(fā)送給服務器，其中包中的Password為被共享密鑰加密后的密文。

（3）RADIUS服務器將接收到的User和Password與自己保存的數(shù)據(jù)庫信息進行對比，如果數(shù)據(jù)庫中存在相應的User和Password，則認證通過，服務器向客戶端發(fā)送包含用戶授權信息的Access-Accept，即認證接受包；如果認證沒有通過，則向客戶端返回Access-Reject，即認證拒絕包。

（4）RADIUS客戶端根據(jù)從服務器收到的包選擇接入/掛斷用戶。如果接受用戶接入，則客戶端向服務器發(fā)送Accounting-Request，即計費開始請求包。

（5）RADIUS服務器向客戶端返回Accounting-Response，即計費開始響應包，并對用戶行為進行計費。

（6）RADIUS客戶端為用戶提供相應的服務。

（7）用戶訪問完畢后，RADIUS客戶端向服務器發(fā)送Accounting-Request，即計費結束請求包。

（8）RADIUS服務器返回Accounting-Response，即計費結束響應包，計費過程結束。

（9）用戶訪問資源結束。

需要注意的是計費開始和結束的請求包均是Accounting-Request，其區(qū)別在于Acct-Status-Type屬性的取值。計費開始請求包中Acct-Status-Type的取值為Start，而計費結束請求包中Acct-Status-Type的取值為Stop。計費開始響應包和計費結束響應包則為相應請求包的響應。

2.2? RADIUS的配置實現(xiàn)

將企業(yè)網(wǎng)絡中涉及RADIUS認證部分的網(wǎng)絡進行簡化，形成如圖3所示的網(wǎng)絡，要求配置RADIUS服務，使PC1在遠程登錄到交換機上時通過RADIUS進行認證、授權和計費。其中要求配置AAA域名為network，RADIUS服務器與RADIUS客戶端之間的shared-key為computer，RADIUS認證使用的User和Password分別是abc和123。

RADIUS客戶端（交換機SWA）上具體配置如下：

［SWA］interface Vlanif 1

［SWA-Vlanif1］ip address 192.168.1.1 24

［SWA-Vlanif1］quit

［SWA］telnet server enable

［SWA］user-interface vty 0 4

［SWA-ui-vty0-4］authentication-mode aaa

［SWA-ui-vty0-4］quit

［SWA］radius-server template tem1

［SWA-radius-tem1］radius-server authentication 192.168.1.100

［SWA-radius-tem1］radius-server accounting 192.168.1.100

［SWA-radius-tem1］radius-server shared-key cipher computer

［SWA-radius-tem1］quit

［SWA］aaa

［SWA-aaa］authentication-scheme sch1

［SWA-aaa-authen-sch1］authentication-mode radius

［SWA-aaa-authen-sch1］quit

［SWA-aaa］accounting-scheme sch2

［SWA-aaa-accounting-sch2］accounting-mode radius

［SWA-aaa-accounting-sch2］quit

［SWA-aaa］domain network

［SWA-aaa-domain-network］authentication-scheme sch1

［SWA-aaa-domain-network］accounting-scheme sch2

［SWA-aaa-domain-network］radius-server tem1

RADIUS服務器采用FreeRADIUS來實現(xiàn)，需要分別對客戶端配置文件和用戶配置文件進行設置。

在clients.conf的末尾需要添加如下信息：

client 192.168.1.1/24 {

secret? = computer

shortname? = SWA

}

在users.conf的開始位置需要添加如下信息：

abc@network? User-Password == "123"

配置完成后，需要重新啟動FreeRADIUS服務。

在客戶端和服務器端均配置完成后，在PC1的命令行界面下使用telnet命令登錄交換機SWA。

其中，PC1上的登錄信息如下：

C：＼＼Documents and Settings＼＼Administrator>telnet 192.168.1.1

Login authentication

Username：abc@network

Password：

從PC1上的登錄信息可以看出，使用用戶名abc@network成功登錄到交換機SWA上，該用戶的登錄是使用RADIUS服務器進行認證實現(xiàn)的。RADIUS服務器對用戶進行認證后，會在FreeRADIUS安裝目錄下的var＼＼log＼＼radius＼＼radacct子目錄中保存相應客戶端的認證和計費信息，可供網(wǎng)管員進行查詢。

3? 基于IEEE 802.1x的用戶接入認證

在以太網(wǎng)中，默認情況下用戶主機只要可以在物理上連接到交換機的端口，就能夠?qū)崿F(xiàn)對網(wǎng)絡中所有資源的訪問。但是在諸如寫字樓中的Ethernet或移動接入等應用場景中，ISP往往要求能夠控制終端用戶的接入行為，即在以太網(wǎng)接入交換機的端口上對所接入的終端進行認證和限制，從而出現(xiàn)了基于端口的網(wǎng)絡接入控制需求。在網(wǎng)絡中，實現(xiàn)這一需求的協(xié)議為IEEE 802.1x。在應用了IEEE 802.1x的交換機端口上，如果該端口連接的終端設備能夠通過認證，就可以獲得對網(wǎng)絡中的資源進行訪問的權限；而如果認證未通過，則不能實現(xiàn)對資源的訪問［6］。

在IEEE 802.1x中，客戶端主機與設備端之間交換認證信息需要使用專門的協(xié)議來進行，該協(xié)議被稱為Extensible Authentication Protocol，即可擴展認證協(xié)議（EAP），其中在客戶端主機和網(wǎng)絡設備之間，EAP協(xié)議報文的封裝模式為EAPOL，即使用以太網(wǎng)封裝來承載EAP報文；而在網(wǎng)絡設備和RADIUS服務器之間則使用RADIUS協(xié)議來對EAP報文進行封裝傳遞［7］。

3.1? IEEE 802.1x基本工作流程

典型的IEEE 802.1x工作流程［8］如圖4所示。

（1）當終端需要接入網(wǎng)絡時，安裝在終端主機上的IEEE 802.1x客戶端程序會要求用戶輸入其User和Password，同時發(fā)送EAPOL-Start報文給設備端，認證開始。

（2）EAPOL-Start報文到達設備端后，設備端會向客戶端發(fā)送EAP-Request/Identity報文，要求其以User進行應答，以進行身份確認。

（3）客戶端對收到的Request進行響應，將User信息封裝在EAP-Response/Identity報文中，并將其反饋給設備端。

（4）設備端收到EAP-Response/Identity報文后，并不將User信息發(fā)送給RADIUS服務器，而是將其暫時存儲起來，并使用EAP-Request/MD5-Challenge報文攜帶隨機生成的加密字向客戶端發(fā)起質(zhì)詢。

（5）客戶端從收到的報文中讀取隨機加密字并使用其對用戶最初輸入的Password進行加密，然后使用EAP-Response/MD5-Challenge報文攜帶加密后的Password向設備端響應。

（6）設備端收到EAP-Response/MD5-Challenge報文后，讀取加密后的Password，并將該Password、暫存的User信息以及隨機生成的加密字使用RADIUS協(xié)議進行封裝形成 Access-Request報文，發(fā)送給RADIUS服務器。

（7）服務器收到Access-Request報文后，從中讀取User、Password以及加密字信息，基于讀取的User查找其數(shù)據(jù)庫，在數(shù)據(jù)庫中找到該User對應的Password并對其使用從Access-Request報文中讀取的加密字進行加密，然后將加密值與讀取的Password進行比較，如果兩者相同，則向設備端發(fā)送RADIUS Access-Accept報文通知用戶認證通過。設備端收到Access-Accept后，向客戶端發(fā)送EAP-Success報文，同時對邏輯上的受控端口進行授權，允許用戶使用該

端口接入網(wǎng)絡訪問資源。

（8）用戶結束訪問后，客戶端向設備端發(fā)送EAPOL-Logoff報文，設備端收到該報文后，對受控端口結束授權，此時用戶將不被允許再使用該端口接入網(wǎng)絡。

3.2? IEEE 802.1x的配置實現(xiàn)

將企業(yè)網(wǎng)絡中涉及IEEE 802.1x認證部分的網(wǎng)絡進行簡化，形成如圖5所示的網(wǎng)絡。要求進行IEEE 802.1x認證的配置，認證方法使用EAP終結方式中的CHAP認證方法，PC1必須在認證通過后才可以對網(wǎng)絡進行訪問，認證使用的User、Password、domain以及shared-key等自行設置，保持設備端與服務器端一致即可。

設備端（交換機SWA）上IEEE 802.1x基本配置如下：

［SWA］dot1x enable

［SWA］interface Ethernet 0/0/1

［SWA-Ethernet0/0/1］dot1x enable

［SWA-Ethernet0/0/1］dot1x port-method mac

［SWA-Ethernet0/0/1］quit

設備端RADIUS部分的配置以及RADIUS服務器的配置除參數(shù)不同外，與“2.2 RADIUS的配置實現(xiàn)”部分基本一致，在此不再贅述。

配置完成后，重新啟動FreeRADIUS服務。

在終端主機PC1上的客戶端軟件中輸入User和Password，開始IEEE 802.1x的認證，IEEE 802.1x認證通過后，在終端主機PC1上測試發(fā)現(xiàn)可以接入網(wǎng)絡。

4? 結語

基于AAA安全架構下的RADIUS協(xié)議以及IEEE802.1x對局域網(wǎng)內(nèi)部的接入用戶進行身份的認證，確保用戶只有通過認證后才能夠?qū)W(wǎng)絡設備以及網(wǎng)絡資源進行訪問，從而確保了內(nèi)網(wǎng)接入用戶的合法性，有效避免了非法用戶的登錄以及合法用戶的越權非法操作，在一定程度上保護了網(wǎng)絡免受來自內(nèi)部的攻擊。

參考文獻

［1］丁利強.習近平網(wǎng)絡安全思想形成邏輯述要［J］.理論導刊，2019（7）：50-55.

［2］張超，孫皓，鹿文楊，等.基于MAC認證的終端網(wǎng)絡準入控制系統(tǒng)方案［J］.通信技術，2021（9）：2208-2213.

［3］葉水勇.網(wǎng)絡接入認證控制系統(tǒng)探究［J］.國網(wǎng)技術學院學報，2020（2）：26-29.

［4］井浩然.基于Radius的安全網(wǎng)關系統(tǒng)探析［J］.科學技術創(chuàng)新，2021（12）：118-120.

［5］晉興飛.基于RADIUS協(xié)議的局域網(wǎng)接入認證系統(tǒng)的設計與實現(xiàn)［D］.南京：東南大學，2022.

［6］謝敬銳，黃佑強，劉星程，等.基于802.1X協(xié)議的局域網(wǎng)入網(wǎng)免費認證方案［J］.電腦知識與技術，2020（17）：51-53.

［7］金鑫，尚旭，王進，等.基于802.1X的虛擬機網(wǎng)絡接入鑒權方案設計［J］.軟件，2021（7）：95-97，100.

［8］白雨石.基于802.1X協(xié)議的局域網(wǎng)安全接入認證的設計與實現(xiàn)［J］.信息與電腦，2020（2）：162-164，169.

（編輯? 李春燕）

Design of low-cost network access authentication system for small and medium-sized enterprises

Li? Xianjun， Zhang? Feng， Zhao? Fang

（Shijiazhuang Posts and Telecommunications Technical College， Shijiazhuang 050021， China）

Abstract：? With the diversification of network attack types， attacks from inside the enterprise network are increasing. As an important means to ensure the security of the enterprises internal network， the low-cost user authentication management function based on RADIUS protocol and IEEE 802.1x technology ensures the legitimacy of users accessing the internal network and reduces the attacks from the enterprises internal network from the root， It effectively ensures the security of the enterprise network.

Key words： network; authentication; RADIUS; IEEE 802.1x; security