【行业标准】 基于web方式的以太网接入身份认证技术要求

ICS01.040.35
中华人民共和国通信行业标准
YD/T2667-2013
基于WEB的以太网接入身份认证
技术要求
Technical specification for WEB based authentication ofEthernetaccess
2013-10-17发布
2014-01-01实施
中华人民共和国工业和信息化部发布前言
1范围·
2术语、定义与缩略语·
2.1术语和定义
2.2缩略语
3体系结构·
3.1组成结构
逻辑体系结构·
系统流程图·
4.1NAC登录流程
会话保活流程…
4.3NAC退出流程
5消息格式和编码…
5.1NAC与Portal之间的消息格式和编码…次
5.2认证客户端与认证服务器之间的消息格式和编码..5.3NAD与Portal之间的消息格式和编码6级联、哑终端与直通问题
交换机级联的问题
亚终端设备的问题
直通协议
直通地址
7安全性考患·
仿冒攻击
嗅探攻击
7.3NAD的安全性
7.4Web服务器的安全
7.5其他攻击
附录A（资料性附录）RADIUS属性列表附录B（资料性附录）典型应用场景和参考实现YD/T2667-2013
本标准按照GB/T1.1-2009给出的规则起草。本标准由中国通信标准化协会提出并归口。YD/T2667-2013
本标准起草单位：清华大学、福建星网锐捷网络有限公司、杭州华三通信技术有限公司、赛尔网络有限公司、西安邮电学院。
本标准主要起草人：段海新、姚辉、秦丰林、林涛（杭州华三通信技术有限公司）、黄友俊、朱志祥、贾晓巍、祁正林、刘武、姚星昆、林涛（清华大学）、李威、胡松。H
1范围
基于Web的以太网接入身份认证技术要求YD/T2667-2013
本标准规定了基于Web的以太网接入认证相关术语、接入认证系统的结构、协议交互流程、信息交换格式与编码方法、安全机制等。本标准适用于有线以太网环境中的基于Web的接入认证，涉及接入终端中的Web浏览器、以太网交换机、Web服务器、认证服务器（如RADIUS）等产品或系统，包括对IPv4和IPv6协议的支持。2术语、定义与缩略语
2.1术语和定义
下列术语和定义适用于本文件。2.1.1
网络接入客户端NetworkAccessClient网络链路上请求接入网络的计算机系统。本标准中指使用Web浏览器（如IE、Firefox、Opera等）访问网络的用户。
网络接入设备NetworkAccessDevice支持基于Web的接入身份认证技术的网络设备。本标准中指以太网接入交换机。2.1.3
接入门户服务器AccessPortalServer或Porta基于Web接入身份认证技术的Web服务器，用户在通过认证之前所有的访问都会被重定向到该门户服务器，用户输入认证信息（如用户名和口令）。2.1.4
认证客户端 AuthenticationClient向认证服务器发起身份认证请求，并接收认证服务器认证结果的设备。本标准中指RADIUS客户端。2.1.5
认证服务器AuthenticationServer验证用户认证信息的服务器，用来接收认证客户端发起的身份认证请求，并返回认证结果。本标准中指RADIUS服务器。
保活页面KeepAliveWebPage
在认证成功后，网络接入客户端需要周期性地向接入认证门户服务器请求该页面，保持认证会话的活跃状态。
认证凭证 AuthenticatedTicketiiKacaiaiKAca
YD/T2667-2013
在认证成功后，接入门户服务器发给网络接入客户端浏览器的一个凭证信息（比如一个经过数字签名的cookie），用于保存网络接入客户端的认证信息，包括身份标识符、IP地址、时间截等字段。2.1.8
授权的协议AuthorizedProtocol网络接入设备在网络接入客户端通过身份认证前就允许其通过的流量，比如DHCP、DNS等。2.1.9
授权的地址AuthorizedAddress
网络接入设备在网络接入客户端通过身份认证前就允许其访问的地址，比如接入门户网站的地址2.2缩略语
下列缩略语适用于本文件。
DHCPv6
RADIUS
Address Resolution Protocol
Authentication Server
Common Gateway Interface
ChallengeHandshakeAuthenticationProtocolDynamicHostConfigurationProtocolDynamicHostConfigurationProtocolforIPv6Domain Name System
HyperText Markup Language
HyperText Transfer Protocol
HypertextTransferProtocoloverSecureSocket Layer
InternetEngineeringTask ForceInternetProtocol
Intemet Protocol Version4
Intermet Protocol Version6
MessageDigest AlgorithmMD5
Network AccessClient
Network Access Device
Neighbor Discovery Protocol
PasswordAuthentication ProtocolRemoteAuthenticationDial InUserServiceStateless Address Auto-configurationTransmission Control ProtocolUser Datagram Protocol
Uniform Resource Locator
地址解析协议
认证服务器
通用网关接口
询问握手认证协议
动态主机配置协议
IPv6动态主机配置协议
域名系统
超文本标记语言
超文本传输协议
基于安全套接层的超文本传输协议互联网工程任务组
互联网协议
互联网协议版本4
互联网协议版本6
消息摘要算法第五版
网络接入客户端
网络接入设备
邻居发现协议
密码验证协议：
远程用户拨号认证系统
无状态地址自动配置
传输控制协议
用户数据包协议
统一资源定位符
3体系结构
3.1组成结构
YD/T2667-2013
基于Web的以太网接入身份认证系统包括五个逻辑组件：网络接入客户端、网络接入设备、接入门户网站、认证客户端、认证服务器。在不同的网络环境下，网络接入设备的性能和配置不同、管理模式不同，五个逻辑组件在物理设备中的分配也不同。存在三种网络结构：a）网络接入设备与与认证门户网站是两台独立的设备，由门户网站集成认证客户端（即RADIUS客户端）功能，如图1所示。该结构便于集中管理，网络接入设备因不实现RADIUS客户端而简单，但是认证门户网站的负载较高。
b）网络接入设备与门户网站是两台独立的设备，由网络接入设备集成认证客户端（即RADIUS客户端）功能，如图2所示。该结构对认证门户网站的功能要求不高，但要求交换机需要支持认证客户端的功能。
c）网络接入设备集成了门户网站的功能和认证客户端的功能（即RADIUS客户端），如图3所示。该结构适用于工作组环境，不需要集中的认证服务器。前两种网络结构统称为“瘦NAD\结构，主要用于大中型网络，第三种网络结构称之为\胖NAD\结构，主要用于小型网络。
Portal
（WEB服务器）
网络接入客户端
(浏览器）
网络接入客户端
（刹宽器）
网络按入客户端
（微览器）
网络接入设备
(交换机）
认证客户端
RADIUSClieat
图1网络结构一：精简交换机结构网络接入设备
（交换机）
认证客户端
RADntSCient
（WEB服务器）
图2网络结构二：交换机内置认证客户端结构网络接入设备（交换机）
认证客户端
RADIUSCHient
图3网络结构三：交换机内置认证客户端和Web服务器结构认证服务器
(RADIUS服务器）
认证服务器
(RADIUS服务器）
认证服务器
(RADIUS服务器）
3.2逻辑体系结构
逻辑体系结构由NAC、NAD、Portal、认证客户端和认证服务器五个逻辑组件组成如图4所示。对于设备包含逻辑组件组合关系，属于设备内部交互机制，本标准不涉及。NAD应具备HTTP协议、TCP协议的侦听能力，支持Web认证的功能。NAD的受控逻辑端口，初始状态为关闭，不能访问受保护网络资源，认证成功后，受控逻辑端口打开，NAC访问受保护网络资源。受控逻辑端口宜控制到具体协议，例如Pv4协议、IPv6协议等。3bzxZ.net
KacadiaikAca
YD/T2667-2013
YD/T2667-2013
NAD的非受控逻辑端口允许授权协议通过，例如IPv6的邻居发现协议（ICMPND）、DHCPv6、DNS等，和IPv4下的ARP、DHCP等协议，见6.3规定的直通协议；非受控逻辑端口应允许通过访问门户网站的HTTP协议报文，见6.4规定的直通地址。认证服务券
测览器
4系统流程图
受保护资源
认证客户竭
RADIUSClient
受控逻辑端口
物理嘴口
LAN晟域网
NAD端口
访间实体
非受轻逆辑端口
图4逻辑体系结构图
针对4.1定义的三种网络结构，分别描述其系统流程。4.1NAC登录流程
4.1.1Portal和认证客户端外置于交换机（网络结构一）的NAC登录流程门户
(WebServer)
网络结构一的NAC登录流程如图5所示，该结构中Portal集成了认证客户端，外置于NAD交换机，向认证服务器发起身份认证请求，NAD开通HTTP服务，和Portal交互控制端口打开和关闭的命令。1）NAC使用浏览器访问外网网页（假设为http://hostname/url），请求建立TCP连接。由于NAC允许DNS流量通过，因此本过程忽略DNS请求的过程，假设客户端域名解析得到hostname对应的IP地址为hostIP。
2）NAD截获到该请求后，判断该NAC是否为认证用户。若非认证用户，则以用户请求的外网地址(hostIP)与用户建立连接，完成标准的TCP三次握手过程。3）NAC的浏览器发送HTTPGET/HEAD请求外网网页。4）NAD向用户发送一个HTTP重定向响应，将用户的访问重定向到Portal，该重定向地址指向Portal的URL，其CGI参数详见5.1的NAC与Portal之间消息格式编码。5）NAD关闭与NAC的TCP连接.
6）NAC的浏览器通过重定向地址来访问Portal。7）Portal返回一个用户认证界面，该页面含有一个表单（Form），里面包含用户名和密码两个控件。8）NAC输入用户名和密码，以GET或POST方式向Portal提交身份认证请求，该请求包括用户名、用户密码。
9）Portal根据接收到的用户名和密码封装成认证请求报文，采用PAP或者CHAP认证方式，向认证服务器请求认证。
YD/T2667-2013
10）认证服务器依据请求报文内容和数据库信息判断用户合法性，返回认证结果报文。11）如果认证成功，Portal通过HTTP协议向NAD发送控制命令打开NAD的受控逻辑端口，允许该NAC正常访问网络。为了保证攻击者无法假冒Portal向NAD发送控制命令，Portal和NAD之间通过共享密钥来实现消息的认证。该HTTP命令的CGI参数和消息认证机制详见5.3的NAD与Portal之间消息格式和编码。
12）NAD向Portal返回执行HTTP端口打开命令的结果。13）Portal向NAC返回认证结果页面，通知NAC认证结果。如果认证成功，NAC可以正常访间网络。同时，Portal可以选择向NAC写入一个认证cookie，该cookie可以用于保存NAC的认证信息，以用于增强系统的安全性。
1)访问外网网页的请求
（谢求建立TCP连接）
2）微获请求井以外网地址建立连报3）发送HTTPGET/HEAD请求网页
4）发送HTTP重定向响应
（重定向地址为Portal)
5）关闭TCP连接
6）根据重定向地址 向Portal建立连接并请求重定向界面（即认证界面）75Poral返回录贡面
《（用户名/密码）并提交
8）NAC填写认证信息
Portat
（认证客户端）
11）HTTP命全管理交换机端口
12）返回命令执行结果
13）通知身份认证结果
图5网络结构一的NAC暨录流程
9）认证请求
10）认证结果
认证服务器
4.1.2Portal外置于交换机（网络结构二）的NAC登录流程网络结构二的NAC登录流程如图6所示，该结构NAD和Portal独立，NAD作认证客户端向认证服务器发起身份认证请求。NAD应开通HTTP服务，接收Portal发送的用户名和密码等信息。该结构中的端口控制功能由NAD自身完成
rKacadiaiKAca
YD/T2667-2013
YD/T2667-2013
（认证客户端）
I）访间外网网页的请求
（请求建立TCP连接）
2）截获请求并以外网地
止建立连接
3）发送HTTPGET/HEAD请
求网页
4）发送HTTP重定向响应
（量定间地址为Portal）
5）关闭TCP连接
6）根据重定向地址，向Portal建立连接，并请求重定向界面（即认证界面）7）Portal返国登录真面
8）NAC填写认证信息（用户名/密码）并提交9)认证请求
Portal
定时器
10)认证请求
11)认证结果
12）认证应着
13）通知身份认证结果
图6网络结构二的NAC登录流程
1）NAC使用浏览器访问外网网页，请求建立TCP连接。认证服务器
2）NAD截获到该请求后，判断该NAC是否为认证用户。若非认证用户，则以用户请求的外网地址与用户建立连接。
3）NAC的浏览器发送HTTPGET/HEAD请求外网网页。4）NAD向用户发送一个HTTP重定向响应，将用户重定向到Portal，该重定向地址指向Portal的URL，其CGI参数详见5.1的NAC与Portal之间消息格式编码。5）NAD关闭与NAC的TCP连接。
6）NAC的浏览器通过重定向地址来访问Portal。7）Portal返回一个用户认证界面，该页面含有一个表单，里面包含用户名和密码两个控件。8）NAC输入用户名和密码，以GET或POST方式向Portal提交身份认证请求，该请求包括用户名、用户密码。
9）Portal将用户输入的用户名和密码组装成认证请求报文发往NAD，同时开启定时器等待认证应答报文。
10）NAD根据接收到的用户名和密码封装成认证请求报文，向认证服务器请求认证。11）认证服务器依据请求报文内容和数据库信息判断用户合法性，返回认证结果报文。12）NAD向Portal发送认证结果，如果认证成功，NAD打开受控逻辑端口。6
YD/T2667-2013
13）Portal向NAC返回认证结果页面，通知NAC认证结果。如果认证成功，NAC可以正常访问网络。同时，Portal可以选择向NAC写入一个认证cookie，该cookie可以用于保存NAC的认证信息，以用于增强系统的安全性。
4.1.3网络结构三的NAC登录流程网络结构三的NAC登录流程如图7所示。NAD内嵌认证客户端功能，由NAD作为认证客户端向认证服务器发起身份认证请求。NAC
（Portal认证客户端）
1）访间外阴网页的请求（请求建立TCP连赖）2）截获请求并以外网地址建立连技3）发送HTTPGET/HEAD请求网页
4）发送HTTP重定向响应
（重定向地址为Portal）
52关团TCP连接，
6）根据重定向地址，向Portal建立连接，并请求重定向界面（认证界面）7）Portal返回登录真面
8）NAC填写认证信息（用户名/密码）并提交(11)
12）通知身份认证结果
图7网络结构三的NAC登录流程
1）NAC使用浏览器访问外网网页，请求建立TCP连接。9）认证璃求
10）认证结果
认证服务器
2）NAD截获到该请求后，判断该NAC是否为认证用户。若非认证用户，则以用户请求的外网地址与用户建立连接。
3）NAC的浏览器发送HTTPGET/HEAD请求外网网页。4）NAD向用户发送一个HTTP重定向响应，将用户重定向到Portal，该重定向地址指向Portal的URL，其CGI参数详见5.i的NAC与Portal之间消息格式编码。5）NAD关闭与NAC的TCP连接。
6）NAC的浏览器通过重定向地址来访间Portal。7）Portal返回一个用户认证界面，该页面含有一个表单，里面包含用户名和密码两个控件。8）NAC输入用户名和密码，以GET或POST方式向Portal提交身份认证请求，该请求包括用户名、用户密码。
9）Portal根据接收到的用户名和密码封装成认证请求报文，向认证服务器请求认证。10）认证服务器依据请求报文内容和数据库信息判断用户合法性，返回认证结果报文。11）如果认证成功，NAD打开受控逻辑端口，允许来自该NAC的报文通过。rKacadiaiKAca
YD/T2667-2013
12）NAD向NAC返回认证结果页面，通知NAC认证结果。NAC正常访问网络。NAD可向NAC写入认证cookie，该cookie用于保存NAC的认证信息，以增强系统的安全性。4.2会话保活流程
NAC与Portal服务器之间通过HTTP协议进行心跳握手，设置心跳超时。当Portal服务器发现心跳超过设定的心跳超时时间（默认时间为1分钟）就通知交换机切断该NAC的连接，用户可配置。会话保活流程如图8所示。
1）请求保活页面
2）Portal返回保活页面
图8会话保活流程
Portal
1）NAC在认证成功后，周期性地向Portal请求保活页面，以保持该会话的活动状态。2）Portal返回保活页面。
4.3NAC退出流程
4.3.1NAC主动退出流程
NAC主动退出是指用户通过HTTP页面请求下线，主动断开与网络的连接。NAC主动退出流程如图9所示。
1）HTTP主动退出请求
2）关闭连接请求
3）关闭连接响应
4）通知用户退出结果
图9NAC主动退出流程
Portal
1）NAC通过HTTP协议向Portal发送退出请求，该请求URL的CGI参数包括用户名、用户MAC等信息，可选携带认证cookie。2）Portal向NAD发送用户退出关闭连接请求。3）NAD收到Portal的下线请求后，向Portal返回用户退出响应，用户下线。4）Portal向NAC返回退出结果页面，通知用户退出结果。4.3.2NAC被动退出流程
NAC被动退出是指用户未执行主动退出操作而断开网络连接的情形，例如用户关机、重启、系统崩溃等。在这种情况下，需要检测用户是否仍然在线，检测方法：Portal主动检测。用户和Portal之间周期性的传送保活页面，在定义时间内未接收到保活页面请求（默认为5分钟，用户可配置），Portal认为该用户已经下线。NAD流量检测。NAD检测NAC发出的流量，在定义时间（默认为5分钟，用户可配置）内未接收到任何流量，NAD认为用户已经下线。8
Portal主动检测NAC被动退出流程如图10所示。NAD
1）关闭连接请求
2）关闭连接响应
图10NAC被动退出流程
1）Portal向NAD发送用户退出关闭连接请求。Portal
YD/T2667-2013
2）NAD收到Portal的关闭连接请求后，向Portal返回用户退出的关闭连接响应，用户下线。NAD检测NAC被动退出流程：
NAD通过流量检测发现NAC下线，关闭受控逻辑端口。4.3.3NAC强制退出流程
NAC强制下线是指NAD提供命令行强制切断用户连接，或者由于外部事件所引起的NAC设备发现用户已经异常，则需要及时通告Portal。NAC强制退出流程如图11所示。NAC
3）强制下使通知
1)强制退出请求
2）强制退出响应
图11NAC强制退出流程
1）NAD设备向Portal发送强制退出请求报文通知用户已经下线。Portal
2）Portal收到强制退出请求报文，向NAD发送强制退出响应报文。3）Portal向NAC下发强制下线通知。5消息格式和编码
5.1NAC与Portal之间的消息格式和编码Portal作为Web服务器，NAC与Portal之间采用HTTP协议进行通信，为增强安全性两者之间通信宜使用HTTPS协议。基本消息格式是URL+CGI参数（https://[PortalURLJ/index.jsp?switchip=[switchip]&switchport-[switchport]】。表1给出NAC与Portal之间CGI参数中的参数名称、类型和编码方式。表1NAC和Portal之间的CGI参数表名称
NADPort
VLANID
字符申如：202.112.50.112
字符审如：FastEthernet0/15
字符申如：22ab-ef3c-ea3a
字特申如：110
字符串如：
sina.com.cn
NAD的IP地址，即交换机的IP地址有线网络中，NAC连接到NAD的端口号NAC的MAC地址
交换机端口所属的VLAN号
用户最初要访间的Web服务器的URLKacaOiaiKAca-
结构1必选，结构2和3可选
结构1必选，结构2和3可选
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。