YD/T 2667-2013
基本信息
标准号:
YD/T 2667-2013
中文名称:基于 WEB 的以太网接入身份认证技术要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:6535777
相关标签:
基于
以太网
接入
身份
认证
技术
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 2667-2013.Technical specification for WEB based authentication of Ethernet access.
1范围
YD/T 2667规定了基于Web的以太网接入认证相关术语、接入认证系统的结构、协议交互流程、信息交换格式与编码方法、安全机制等。
YD/T 2667适用于有线以太网环境中的基于Web的接入认证,涉及接入终端中的Web浏览器、以太网交换机、Web服务器、认证服务器(如RADIUS)等产品或系统,包括对IPv4和IPv6协议的支持。
2术语、定义与缩略语
2.1术语和定义
下列术语和定义适用于本文件.
2.1.1
网络接入客户端 Network Access Client
网络链路上请求接入网络的计算机系统。本标准中指使用Web浏览器(如IE、Firefox、 Opera等)访问网络的用户。
2.1.2
网络接入设备 Network Access Device
支持基于Web的接入身份认证技术的网络设备。本标准中指以太网接入交换机。
2.1.3
接入门户服务器 Access Portal Server或Portal
基于Web接入身份认证技术的Web服务器,用户在通过认证之前所有的访问都会被重定向到该门户服务器,用户输入认证信息(如用户名和口令)。
2.1.4
认证客户端 Authentication Client
向认证服务器发起身份认证请求,并接收认证服务器认证结果的设备。本标准中指RADIUS客户端。
2.1.5
认证服务器Authentication Server
标准内容
ICS01.040.35
中华人民共和国通信行业标准
YD/T2667-2013
基于WEB的以太网接入身份认证
技术要求
Technical specification for WEB based authentication ofEthernetaccess
2013-10-17发布
2014-01-01实施
中华人民共和国工业和信息化部发布前言
1范围
2术语、定义与缩略语
2.1术语和定义
2.2缩略语
3体系结构
3.1组成结构
3.2逻辑体系结构
4系统流程图.
4.1NAC登录流程…
4.2会话保活流程·
4.3NAC退出流程
5消息格式和编码
5.1NAC与Portal之间的消息格式和编码次
5.2认证客户端与认证服务器之间的消息格式和编码5.3NAD与Portal之间的消息格式和编码6级联、哑终端与直通问题
交换机级联的问题·
哑终端设备的问题
直通协议
6.4直通地址
7安全性考虑·
仿冒攻击
嘎探攻击
7.3NAD的安全性..
7.4Web服务器的安全
7.5其他攻击*
附录A(资料性附录)RADIUS属性列表·附录B(资料性附录)典型应用场景和参考实现YD/T2667-2013
本标准按照GB/T1.1-2009给出的规则起草。本标准由中国通信标准化协会提出并归口。YD/T2667-2013
本标准起草单位:清华大学、福建星网锐捷网络有限公司、杭州华三通信技术有限公司、赛尔网络有限公司、西安邮电学院
辉、秦丰林、林涛(杭州华三通信技术有限公司)、黄友俊、本标准主要起草人:段海新、姚朱志祥、贾晓巍、祁正林、刘武、姚星昆、林涛(清华大学)、李威、胡松。H
1范围
基于Web的以太网接入身份认证技术要求YD/T2667-2013
本标准规定了基于Web的以太网接入认证相关术语、接入认证系统的结构、协议交互流程、信息交换格式与编码方法、安全机制等。本标准适用于有线以太网环境中的基于Web的接入认证,涉及接入终端中的Web浏览器、以太网交换机、Web服务器、认证服务器(如RADIUS)等产品或系统,包括对IPv4和IPv6协议的支持。2术语、定义与缩略语
2.1术语和定义
下列术语和定义适用于本文件。2.1.1
网络接入客户端NetworkAccessClient网络链路上请求接入网络的计算机系统。本标准中指使用Web浏览器(如IE、Firefox、Opera等)访问网络的用户。
网络接入设备NetworkAccessDevice支持基于Web的接入身份认证技术的网络设备。本标准中指以太网接入交换机。2.1.3
接入门户服务器AccessPortalServer或Partal基于Web接入身份认证技术的Web服务器,用户在通过认证之前所有的访问都会被重定向到该门户服务器,用户输入认证信息(如用户名和口令)。2.1.4
认证客户端AuthenticationClient向认证服务器发起身份认证请求,并接收认证服务器认证结果的设备。本标准中指RADIUS客户端2.1.5
认证服务器AuthenticationServer验证用户认证信息的服务器,用来接收认证客户端发起的身份认证请求,并返回认证结果。本标准中指RADIUS服务器。
保活页面KeepAliveWebPage
在认证成功后,网络接入客户端需要周期性地向接入认证门户服务器请求该页面,保持认证会话的活跃状态。
认证凭证AuthenticatedTicket
YD/T2667-2013
在认证成功后,接入门户服务器发给网络接入客户端浏览器的一个凭证信息(比如一个经过数字签名的cookie),用于保存网络接入客户端的认证信息,包括身份标识符、IP地址、时间戳等字段。2.1.8
授权的协议AuthorizedProtocol网络接入设备在网络接入客户端通过身份认证前就允许其通过的流量,比如DHCP、DNS等。2.1.9
授权的地址AuthorizedAddress
网络接入设备在网络接入客户端通过身份认证前就允许其访问的地址,比如接入门户网站的地址2.2缩略语
下列缩略语适用于本文件。
Address Resolution Protocol
Authentication Server
Common Gateway Interface
ChallengeHandshakeAuthentication ProtocolDynamicHostConfigurationProtocolDHCPv6DynamicHostConfigurationProtocolforIPv6DNS
Domain Name System
RADIUS
HyperText Markup Language
HyperText Transfer Protocol
HypertextTransferProtocoloverSecureSocket Layer
Internet Engineering Task ForceInternet Protocol
Internet Protocol Version 4
Internet Protocol Version 6
Message Digest Algorithm MD5Network Access Client
Network Access Device
NeighborDiscovery Protocol
Password Authentication ProtocolRemoteAuthenticationDial InUser ServiceStateless Address Auto-configurationTransmission Control ProtocolUser Datagram Protocol
Uniform Resource Locator
地址解析协议
认证服务器
通用网关接口
询问握手认证协议
动态主机配置协议
IPv6动态主机配置协议
域名系统
超文本标记语言
超文本传输协议
基于安全套接层的超文本传输协议互联网工程任务组
互联网协议
互联网协议版本4
互联网协议版本6
消息摘要算法第五版
网络接入客户端
网络接入设备
邻居发现协议
密码验证协议:
远程用户拨号认证系统
无状态地址自动配置
传输控制协议
用户数据包协议
统一资源定位符
3体系结构
3.1组成结构
YD/T2667-2013
基于Web的以太网接入身份认证系统包括五个逻辑组件:网络接入客户端、网络接入设备、接入门户网站、认证客户端、认证服务器。在不同的网络环境下,网络接入设备的性能和配置不同、管理模式不同,五个逻辑组件在物理设备中的分配也不同。存在三种网络结构:a)网络接入设备与与认证门户网站是两台独立的设备,由门户网站集成认证客户端(即RADIUS客户端)功能,如图1所示。该结构便于集中管理,网络接入设备因不实现RADIUS客户端而简单,但是认证门户网站的负载较高。
b)网络接入设备与门户网站是两台独立的设备,由网络接入设备集成认证客户端(即RADIUS客户端)功能,如图2所示。该结构对认证门户网站的功能要求不高,但要求交换机需要支持认证客户端的功能。
c)网络接入设备集成了门户网站的功能和认证客户端的功能(即RADIUS客户端),如图3所示该结构适用于工作组环境,不需要集中的认证服务器。前两种网络结构统称为“瘦NAD\结构,主要用于大中型网络,第三种网络结构称之为“胖NAD\结构,主要用于小型网络。
Portal
(WEB服务器)
网络接入客户端
(浏览器)
网络接入客户端
(浏览器)
网络接入客户端
(浏览器)
3.2逻辑体系结构
网络接入设备
(交换机)
认证客户端
RADIUS Client
图1网络结构一:精简交换机结构网络接入设备
(交换机)
认证客户端
RADIUS Client
(WEB服务器)
图2网络结构二:交换机内重认证客户端结构网络接入设备(交换机)
(Weh Server)
认证客户端
RADIUS Client
图3网络结构三:交换机内置认证客户端和Web服务器结构认证服务器
(RADIUS服务器)
认证服务器
(RADIUS服务器)
认证服务器
(RADIUS服务器)
逻辑体系结构由NAC、NAD、Portal、认证客户端和认证服务器五个逻辑组件组成如图4所示。对于设备包含逻辑组件组合关系,属于设备内部交互机制,本标准不涉及。NAD应具备HTTP协议、TCP协议的侦听能力,支持Web认证的功能。NAD的受控逻辑端口,初始状态为关闭,不能访问受保护网络资源,认证成功后,受控逻辑端口打开,NAC访问受保护网络资源。受控逻辑端口宜控制到具体协议,例如IPv4协议、IPv6协议等。3
YD/T2667-2013
NAD的非受控逻辑端口允许授权协议通过,例如IPv6的邻居发现协议(ICMPND)、DHCPv6、DNS等,和IPv4下的ARP、DHCP等协议,见6.3规定的直通协议;非受控逻辑端口应允许通过访问门户网站的HTTP协议报文,见6.4规定的直通地址。认证服务器
测览器
4系统流程图
受保护资源
认证客户端
RADIUS Client
★受控逻辑端口
物理端口
LAN局城网
NAD端口
访问实体
非受控逻辑端口
图4逻辑体系结构图
针对4.1定义的三种网络结构,分别描述其系统流程。4.1NAC登录流程
4.1.1Portal和认证客户端外置于交换机(网络结构一)的NAC登录流程门户
(WebServer)
网络结构一的NAC登录流程如图S所示,该结构中Portal集成了认证客户端,外置于NAD交换机,向认证服务器发起身份认证请求,NAD开通HTTP服务,和Portal交互控制端口打开和关闭的命令。1)NAC使用浏览器访问外网网页(假设为http://hostname/url),请求建立TCP连接。由于NAC允许DNS流量通过,因此本过程忽略DNS请求的过程,假设客户端域名解析得到hostname对应的IP地址为hostiP。
2)NAD截获到该请求后,判断该NAC是否为认证用户。若非认证用户,则以用户请求的外网地址(hostIP)与用户建立连接,完成标准的TCP三次握手过程。3)NAC的浏览器发送HTTPGET/HEAD请求外网网页。4)NAD向用户发送一个HTTP重定向响应,将用户的访问重定向到Portal,该重定向地址指向Portal的URL,其CGI参数详见5.1的NAC与Portal之间消息格式编码。5)NAD关闭与NAC的TCP连接。
6)NAC的浏览器通过重定向地址来访问Portal。7)Portal返回一个用户认证界面,该页面含有一个表单(Form),里面包含用户名和密码两个控件。8)NAC输入用户名和密码,以GET或POST方式向Portal提交身份认证请求,该请求包括用户名、用户密码。
9)Portal根据接收到的用户名和密码封装成认证请求报文,采用PAP或者CHAP认证方式,向认证服务器请求认证。
YD/T2667-2013
10)认证服务器依据请求报文内容和数据库信息判断用户合法性,返回认证结果报文。11)如果认证成功,Portal通过HTTP协议向NAD发送控制命令打开NAD的受控逻辑端口,允许该NAC正常访问网络。为了保证攻击者无法假冒Portal向NAD发送控制命令,Portal和NAD之间通过共享密钥来实现消息的认证。该HTTP命令的CGI参数和消息认证机制详见5.3的NAD与Portal之间消息格式和编码。
12)NAD向Portal返回执行HTTP端口打开命令的结果。13)Portal向NAC返回认证结果页面,通知NAC认证结果。如果认证成功,NAC可以正常访间网络。同时,Portal可以选择向NAC写入一个认证cookie,该cookie可以用于保存NAC的认证信息,以用于增强系统的安全性。
1)访问外网网页的请求
(请求建立TCP连接)
2)截获请求并以外网地址建立连接3)发送HTTPGET/HEAD请求网页
4)发送HTTP重定向响应
(重定向地址为Portal)
5)关闭TCP连接
6)根据重定向地址
向Portal建立连接,
并请求重定向界面(即认证界面))Portal返回登录页面
)NAC填写认证信息【用户名/密码)并提交Portal
(认证客户端)
11)HTTP命令管理交换机端口
12)返回命令执行结果
13)通知身份认证结果
图5网络结构一的NAC登录流程
4.1.2Portal外置于交换机(网络结构二)的NAC登录流程9)认证请求
10)认证结果
·认证服务器
网络结构二的NAC登录流程如图6所示,该结构NAD和Portal独立,NAD作认证客户端向认证服务器发起身份认证请求。NAD应开通HTTP服务,接收Portal发送的用户名和密码等信息。该结构中的端口控制功能由NAD自身完成。
YD/T2667-2013
(认证客户端)
1)访问外网网页的请求
(请求建立TCP连接)Www.bzxZ.net
2)截获请求井以外网地
址建立连接
3)发送HTTPGET/HEAD请
求网页
4)发送HTTP重定向响应
(重定向地址为Portal)
5)关闭TCP连接
6)根据重定向地址,向Portal建立连接,并请求重定向界面(即认证界面)7)Portal返回登录页面
8)NAC填写认证信息
取(电户名/密码)并提交
9)认证请求
Portal
定时器
10)认证情求
11)认证结果
12)认证应答
13)通知身份认证结果
图6网络结构二的NAC登录流程
1)NAC使用浏览器访问外网网页,请求建立TCP连接。认证服务器
2)NAD截获到该请求后,判断该NAC是否为认证用户。若非认证用户,则以用户请求的外网地址与用户建立连接。
3)NAC的浏览器发送HTTPGET/HEAD请求外网网页。4)NAD向用户发送一个HTTP重定向响应,将用户重定向到Portal,该重定向地址指向Portal的URL,其CGI参数详见5.1的NAC与Portal之间消息格式编码。5)NAD关闭与NAC的TCP连接。
6)NAC的浏览器通过重定向地址来访问Portal。7)Portal返回一个用户认证界面,该页面含有一个表单,里面包含用户名和密码两个控件。8)NAC输入用户名和密码,以GET或POST方式向Portal提交身份认证请求,该请求包括用户名、用户密码。
9)Portal将用户输入的用户名和密码组装成认证请求报文发往NAD,同时开启定时器等待认证应答报文。
10)NAD根据接收到的用户名和密码封装成认证请求报文,向认证服务器请求认证。11)认证服务器依据请求报文内容和数据库信息判断用户合法性,返回认证结果报文。12)NAD向Portal发送认证结果,如果认证成功,NAD打开受控逻辑端口。6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。