摘要:
Web和802.1X认证在双栈无线校园网中的应用研究,Web和802... Web和802.1X认证在双栈无线校园网中的应用研究 摘要简述了IPv4向IPv6过渡过程中用到的IPv4/IPv6双 栈技术原理,分析了Web认证和802.1X认证在双栈无线网 中存在的问题和缺陷,并探讨了改进的步骤和方法,比较了这两种认证方式的优缺点,对IPv6网络建设有一定的帮助。 【关键词】IPv4/IPv6双协议栈Web认证802.1X认证 随着智能手机和平板电脑的普及,越来越多的基于无线网络的应用得到迅速发展,移动学习也逐步被推广。很多院校为了教学工作的需要铺设了校园无线网,在校师生和外来培训人员可以随时随地通过无线接入设备获取网络资源。从无线网络安全角度考虑,必须要对接入用户的身份进行认证,目前无线网络认证主要有PPPoE、Web和802.1X三种方式。 由于IPv4地址资源的紧缺,IPv6网络将会逐步取代IPv4成为下一代网络。将正在使用的IPv4校园网络升级为IPv6 网络不能一蹴而就,它是一项复杂的系统工程,需要在保障现有各项服务正常运行和尽量节省经济成本的原则下稳步 过渡。IPv4/IPv6双协议栈技术是使用较广泛的过渡策略,它是指一个网络节点同时启用IPv4和IPv6协议栈。
IPV4和IPv6协议都是基于相同的数据链路层和物理层的网络层协议,所具有的功能颇为相近,其上层的TCP协议和UDP协议也几乎 无差别,所以支持双协议栈的节点既可以收发IPv4数据报也可以收发IPv6数据报,完成与支持IPv4和IPv6协议节点的通信。 既然校园网络有一个双栈共存的阶段,那么双栈模式下的无线网络认证接入是一个必须要研究的课题,本文着重就Web和802.1X认证在双栈无线校园网络中的应用进行探讨。 1 Web认证在IPv4/IPv6双栈网络中的应用 1.1 IPv4无线网络中Web+Portal认证技术 Web+Portal认证通常也叫做Portal认证或Web认证,是校园无线网中常用的认证技术,其基本的认证流程如下。 (1)用户连接到无线网络后,向DHCP Server申请IPv4地址,申请成功后并不能立即访问Internet网络,只能访问Web认证服务器指定的页面。 (2)当用户通过浏览器发起HTTP请求时,需要对该用户进行认证。其发出的HTTP请求会被BRAS强制到Portal Server的Web认证页面,在该页面输入用户信息并提交, Portal Server将用户的帐号、密码和IP地址传送到BRAS设备, BRAS设备再把这些数据提交到Radius Server检查用户的合法性,认证结果报文通过BRAS反馈到Portal Server,Portal Server收到认证成功的报文后授予用户访问Internet网的权限,客户端重新得到一个访问Internet网的地址,至此,整个认证过程结束。
(3)用户在结束访问Internet网时,可以通过Web认证页面显式登出,主动下线,也可以用非显式登出的方式直接关闭应用,当DHCP服务器检测到用户异常下线会告知后台系统停止计费。 1.2 IPv4/IPv6双栈网络中Web认证技术 由于原有的无线校园网是基于IPv4环境的,其Web认证技术并没有考虑IPv6网络,在实现双栈接入时会有诸多问题。首先,IPv4/IPv6双栈用户可能会先以IPv4地址发起访问,认证结束后再把IPv6地址提交到Portal Server进行认证,这样就导致用户一次HTTP请求出现两个会话。其次,基于IPv4的Web认证过程中所涉及到的Portal Server、Radius Server 和Portal私有协议等都是在IPv4协议的基础上设计的,并不支持IPv6,必须对相应的软硬件升级改造。 IPv4向IPv6过渡需要经过3个阶段,第一阶段是IPv6发展初期,校园网络扔以IPv4为主;第二阶段是IPv4和IPv6共存时期,双栈技术得到广泛应用;第三阶段是IPv4孤岛时期,IPv6网络构成了校园网络的主体,只有很少的IPv4用户的存在。相应的Web认证技术的改造也要逐阶段完成,以适应这3个阶段的网络架构。
可以把对Web认证技术的改造分为两个阶段,第一阶段是IPv4/IPv6共存时期,通过对原有Web认证技术实行部分更新来适应双栈无线网的特征。不全面变更IPv4环境下的 Web认证方案,只改写BRAS的软件系统,加入对双栈协议的支持。这一阶段纯IPv6单栈用户较少,该方案暂时只支持IPv4单栈用户和双栈用户。认证过程如图1。 (1)用户通过无线AP连接到校园无线网,软件升级后的BRAS设备分配IPv4及IPv6地址给用户,这个地址暂时不能访问外部的Internet网。 (2)IPv4/IPv6用户发起访问外网的HTTP请求,BRAS 设备侦听到该请求后对IP地址进行判断,如果是IPv4和IPv6地址,则重定向到IPv4 Portal Server进行认证;如果只是IPv6地址,由于只升级了BRAS的软件部分,Portal Server仍然是基于IPv4环境的,并不支持IPv6,所以它们之间不能完成基于IPv6的认证会话,认证接入就会失败,即不能实现IPv6单栈用户的认证接入请求。这就需要修正BRAS与用户之间的会话机制,一旦发现仅有IPv6地址,立即给出提示信息并引导用户重新获得IPv4地址。
(3)其后的认证过程和IPv4单栈认证过程相同。认证成功后IPv4/IPv6用户获得访问Internet权限。 由于认证过程整体而言仍然依赖于IPv4,当Portal Server 监测到IPv4地址长时间不在线,不论用户是否正在用IPv6地址访问网络,均强制用户下线,这是它的一个缺陷。但这种改造模式资金投入少,不会大规模变动原有网络体系,是解决IPv4向IPv6过渡初中期的简单易行的方案。第二阶 段改进的关键是使Portal协议、BRAS、Radius等支持IPv6,从而解决不能正常受理IPv6单栈HTTP访问请求的情况,为此需要做如下的更新: (1)在Portal协议中增加一个用来标识IP地址版本的 字段,根据此字段的值来区别用户使用的是IPv4还是IPv6。 (2)修改原有的只支持IPv4地址的Portal协议报文字段,如UserIp字段用来记录用户的IP地址,从用户提交的数据段中读取IPv6地址并按照Portal协议报文格式组装,发送给BRAS设备。 (3)Radius Server应支持改进后的Portal协议,根据IP 地址版本向用户推送IPv4或IPv6页面。 (4)Radius协议合并了认证和授权过程,且具有计费功能,与此相关的数据都是通过属性向量传送,只要增加或修改相关的IPv6属性向量,IPv4环境下的Radius Server仍然能完成对IPv6用户的计费。
这些需要支持的属性是用于标识IPv6地址的Framed-IPv6-Address和用于标识IPv6前缀的Delegated-IPv6-Prefix。当双栈用户的IPv4流量和IPv6流量需要分别统计时,还要支持各自流量的单独传送。 (5)BRAS的升级任务主要是支持改进后的Portal协议,从Portal Server提交的用户认证数据中解析用户源IPv6地址,确认发起Web认证的用户;同时还要支持与BRAS设备相对应的Radius IPv6属性。
