劉　暢，安澄全

（哈爾濱工程大學(xué)信息與通信工程學(xué)院，哈爾濱150001）

Radius服務(wù)器中EAP認(rèn)證子系統(tǒng)的設(shè)計(jì)

劉暢，安澄全

（哈爾濱工程大學(xué)信息與通信工程學(xué)院，哈爾濱150001）

無線網(wǎng)絡(luò)的信息安全問題一直是限制它發(fā)展的一個(gè)重要因素.解決這個(gè)問題的一個(gè)辦法是在認(rèn)證服務(wù)器中部署EAP認(rèn)證子系統(tǒng).Radius是目前應(yīng)用最廣泛的AAA協(xié)議，提供用戶的認(rèn)證，授權(quán)和計(jì)費(fèi)服務(wù).基于EAP協(xié)議，可以在Radius服務(wù)器上支持多種不同安全性能的身份驗(yàn)證方法.在Radius服務(wù)器上設(shè)計(jì)了一種EAP認(rèn)證子系統(tǒng)，該系統(tǒng)支持EAP-MD5、EAP-MSCHAPv2、EAP-TLS、EAP-TTLS、EAP-PEAP五種認(rèn)證方法，并且具有良好的安全性和可擴(kuò)展性.

Radius；AAA；EAP；信息安全

無線網(wǎng)絡(luò)已經(jīng)迅速發(fā)展成為我們生活中的一部分，相比于有線網(wǎng)絡(luò)，它具有方便性，機(jī)動(dòng)性和靈活性.然而，無線網(wǎng)絡(luò)的信息安全問題一直是限制它發(fā)展的一個(gè)重要因素.信息安全包括三個(gè)重要的目標(biāo)：機(jī)密性（confidentiality）、完整性（integrity）和可用性（availability）.機(jī)密性要求信息只有被經(jīng)過認(rèn)證和授權(quán)的設(shè)備訪問；完整性則是要求保證收到的信息必須是正確和完全的，保持在最初的形式而沒有被修改，完整性還要求信息的修改要在特定的和授權(quán)的狀態(tài)下進(jìn)行；機(jī)密性和完整性指的都是數(shù)據(jù)的安全，可用性則要求信息在需要時(shí)能夠及時(shí)獲得以滿足業(yè)務(wù)需求.保護(hù)信息安全的一個(gè)方法是對(duì)接入網(wǎng)絡(luò)的用戶進(jìn)行身份認(rèn)證，只有經(jīng)過認(rèn)證的用戶才能訪問該用戶被授權(quán)的數(shù)據(jù)，這些都可以通過Radius［1］服務(wù)器來實(shí)現(xiàn).Radius是目前應(yīng)用最廣泛的AAA［2］協(xié)議，AAA即認(rèn)證（Authentication）、授權(quán)（Authorization）、計(jì)費(fèi)（Accounting）.在Radius服務(wù)器中，EAP［3］協(xié)議為身份認(rèn)證提供了一個(gè)框架，在這個(gè)框架上，可以使用不同的EAP認(rèn)證方法對(duì)用戶進(jìn)行認(rèn)證，EAP認(rèn)證相比于傳統(tǒng)的 PAP［4］（Password Authentication Protocol，密碼驗(yàn)證協(xié)議）和 CHAP［5］（Challenge Handshake AuthenticationProtocol，質(zhì)詢握手驗(yàn)證協(xié)議），具有更高的安全性，可以更好的保證無線網(wǎng)絡(luò)中信息的安全［6］.

1　技術(shù)綜述

1.1Radius協(xié)議

Radius（Remote Authentication Dial In User Service接入用戶遠(yuǎn)程身份鑒明業(yè)務(wù)）是一種在網(wǎng)絡(luò)接入設(shè)備和認(rèn)證服務(wù)器之間承載認(rèn)證、授權(quán)、計(jì)費(fèi)和配置信息的協(xié)議.Radius協(xié)議是在認(rèn)證、授權(quán)、計(jì)費(fèi)方面應(yīng)用最為廣泛的協(xié)議之一.Radius采用典型的客戶/服務(wù)器（Client/Server）結(jié)構(gòu)，它的客戶端最初就是NAS（Net Access Server）服務(wù)器，現(xiàn)在任何運(yùn)行Radius客戶端軟件的計(jì)算機(jī)都可以成為Radius的客戶端.NAS上運(yùn)行的AAA程序?qū)τ脩魜碇v為服務(wù)器端，或者可以由單獨(dú)的認(rèn)證服務(wù)器.客戶端負(fù)責(zé)傳輸用戶信息到指定的Radius服務(wù)器，然后根據(jù)從服務(wù)器返回的信息進(jìn)行相應(yīng)處理（如接入/掛斷用戶）.Radius服務(wù)器負(fù)責(zé)接收用戶連接請(qǐng)求，認(rèn)證用戶，然后給NAS返回所有需要的信息［7］.

1.2EAP協(xié)議

EAP（Extensible Authentication Protocol，可擴(kuò)展身份驗(yàn)證協(xié)議）協(xié)議基于PPP協(xié)議機(jī)制，是支持多種認(rèn)證機(jī)制的PPP協(xié)議擴(kuò)展.EAP支持客戶端向?qū)嶋H用戶多次請(qǐng)求認(rèn)證信息，由服務(wù)器端執(zhí)行具體的認(rèn)證方法.這樣，客戶端通過EAP協(xié)議，在服務(wù)器端和用戶之間透傳認(rèn)證信息.EAP本身并不可以作為一種認(rèn)證協(xié)議，它是一種被廣泛應(yīng)用于局域網(wǎng)環(huán)境中的認(rèn)證框架或者標(biāo)準(zhǔn)，被定義于IETF的RFC3748文件中.在EAP認(rèn)證框架中，密鑰材料由具體的認(rèn)證算法生成的，這些密鑰材料可以被EAP認(rèn)證方法使用，也可以被導(dǎo)出.EAP可以支持多種認(rèn)證協(xié)議以提供認(rèn)證過程的信息安全，安全的特點(diǎn)和加密的強(qiáng)度因不同的認(rèn)證協(xié)議而異.下面將概述本文實(shí)現(xiàn)的幾種EAP認(rèn)證方法：EAP-MD5、EAP-MSCHAPv2、EAP-TLS、EAP-TTLS以及EAP-PEAP.

EAP-MD5是一種EAP支持的最基本的認(rèn)證方法，定義在RFC3748中，使用MD5算法來實(shí)現(xiàn)認(rèn)證的安全性［8］，即使用MD5哈希函數(shù)來對(duì)用戶進(jìn)行認(rèn)證匹配.任何支持EAP認(rèn)證的設(shè)備都必須支持EAP-MD5認(rèn)證，當(dāng)設(shè)備沒有配置具體的EAP認(rèn)證方法時(shí)，EAP-MD5將默認(rèn)被使用.EAP -MD5的特點(diǎn)之一是，只支持服務(wù)器對(duì)客戶端進(jìn)行身份驗(yàn)證，即不支持雙向認(rèn)證，而且該協(xié)議也不支持密鑰導(dǎo)出功能.因?yàn)檫@些原因，該種認(rèn)證方法很容易受到黑客的字典攻擊，其安全性還有待于進(jìn)一步提高［9］.

EAP-MSCHAPv2（Microsoft EAPCHAPExtension Protocol Version 2，微軟EAP CHAP擴(kuò)展協(xié)議版本2）是一種基于密碼的質(zhì)詢-響應(yīng)式雙向的相互認(rèn)證協(xié)議，使用工業(yè)標(biāo)準(zhǔn)的MD4［10］（Message Digest 4，信息摘要 4）和 DES［11］（Data Encryption Standard，數(shù)據(jù)加密標(biāo)準(zhǔn)）算法來加密響應(yīng)，且支持密鑰導(dǎo)出功能，密鑰生成使用MPPE［12］（Microsoft Point-to-Point Encryption，微軟點(diǎn)對(duì)點(diǎn)加密），MPPE在RFC3079中定義.在認(rèn)證過程中，首先，由服務(wù)器先對(duì)客戶端進(jìn)行驗(yàn)證，然后由客戶端再對(duì)服務(wù)器進(jìn)行驗(yàn)證，只要其中任一驗(yàn)證失敗，則這個(gè)連接會(huì)被拒絕.

EAP-TLS（EAP-Transport Layer Security，EAP安全傳輸層協(xié)議）是一種使用數(shù)字證書的認(rèn)證方法，是一種雙向的認(rèn)證機(jī)制，要求服務(wù)器和客戶端都必須擁有有效的證書，并且支持導(dǎo)出密鑰的功能，協(xié)議規(guī)范文檔是RFC5216.EAP-TLS在其上層采用TLS（Transport Layer Security，安全傳輸層協(xié)議）的認(rèn)證方法，TLS用于在兩個(gè)通信應(yīng)用程序之間提供保密性和數(shù)據(jù)完整性，該協(xié)議由兩層組成：TLS記錄協(xié)議（TLS Record）和TLS握手協(xié)議（TLSHandshake）.

EAP_TTLS（EAP-Tunneled Transport Layer Security，EAP隧道安全傳輸層協(xié)議）是EAP-TLS的一種擴(kuò)展，是一種支持雙向認(rèn)證，支持?jǐn)?shù)字證書和密鑰導(dǎo)出功能的認(rèn)證方法，而且只需要客戶端提供證書，而對(duì)客戶端的證書是可選的.EAP-TTLS是一個(gè)復(fù)合的認(rèn)證方法，主要包括兩個(gè)階段.第一個(gè)階段是在用戶和認(rèn)證服務(wù)器之間建立TLS隧道，第二階段是在已經(jīng)建立的隧道內(nèi)使用其他的認(rèn)證方法進(jìn)行認(rèn)證.

EAP-PEAP（Protected EAPProtocol，受保護(hù)的EAP）是一種支持雙向認(rèn)證，支持?jǐn)?shù)字證書和密鑰導(dǎo)出功能的認(rèn)證方法，而且只需要客戶端提供證書，而對(duì)客戶端的證書是可選的.EAP-PEAP是一個(gè)復(fù)合的認(rèn)證方法，主要包括兩個(gè)階段.第一個(gè)階段是在用戶和認(rèn)證服務(wù)器之間建立TLS隧道，第二階段是在已經(jīng)建立的隧道內(nèi)使用其他的EAP方法進(jìn)行認(rèn)證，通常是使用EAP-MSCHAPv2進(jìn)行認(rèn)證.

2　EAP子系統(tǒng)的設(shè)計(jì)

本文設(shè)計(jì)的EAP認(rèn)證子系統(tǒng)分為以下的幾個(gè)模塊：EAP任務(wù)模塊，EAP處理模塊，EAP認(rèn)證模塊，EAP公共業(yè)務(wù)模塊.其中EAP認(rèn)證模塊又分為幾個(gè)認(rèn)證子模塊，圖1為EAP認(rèn)證子系統(tǒng)的模塊圖.

圖1 EAP認(rèn)證子模塊模型

圖2為EAP任務(wù)模塊模型圖，在圖2中Radius Listener的作用是監(jiān)聽Radius報(bào)文，Radius Handler的作用是對(duì)Radius報(bào)文進(jìn)行分類，將EAP認(rèn)證的報(bào)文交付給EAP認(rèn)證子系統(tǒng)的EAP任務(wù)模塊，EAP任務(wù)模塊的作用是建立數(shù)據(jù)庫連接，從EAP隊(duì)列（EAPMessage Queue）中讀取消息并將報(bào)文封裝成對(duì)應(yīng)的格式，并在之后會(huì)調(diào)用EAP處理模塊（EAP Processor）進(jìn)行認(rèn)證處理，在認(rèn)證處理完成后，組裝報(bào)文并發(fā)送報(bào)文.

EAP處理模塊由 EAP任務(wù)模塊調(diào)用，進(jìn)行EAP認(rèn)證的處理.EAP處理模塊的作用是建立EAP處理對(duì)象（CEapProcess），創(chuàng)建和管理會(huì)話信息（Session Data），每一個(gè)會(huì)話信息中又包括當(dāng)前的EAP方法的接入服務(wù)，當(dāng)前認(rèn)證方法和當(dāng)前EAP會(huì)話狀態(tài)等一些必要的信息.在運(yùn)行期間，該模塊會(huì)根據(jù)EAP認(rèn)證的類型來加載相應(yīng)的EAP認(rèn)證模塊并調(diào)用相應(yīng)的EAP認(rèn)證模塊進(jìn)行對(duì)接入用戶的認(rèn)證.會(huì)話信息的管理包括三個(gè)操作，添加，刪除和查找.因?yàn)镋AP支持客戶端向?qū)嶋H用戶多次請(qǐng)求認(rèn)證信息，由服務(wù)器端執(zhí)行具體的認(rèn)證方法，所以需要將每一次的請(qǐng)求認(rèn)證報(bào)文封裝成會(huì)話信息，提供下一個(gè)報(bào)文到來時(shí)需要的信息，比如用戶名，認(rèn)證方法等.本文中設(shè)計(jì)的會(huì)話信息鏈表的結(jié)構(gòu)是一個(gè)鏈表數(shù)組，每一個(gè)數(shù)組元素就是一個(gè)鏈表，數(shù)組的索引是Radius報(bào)文State屬性值得第一位，當(dāng)查找一個(gè)具體的會(huì)話信息時(shí)，需要先通過索引值找到數(shù)組元素，因?yàn)閿?shù)組元素是一個(gè)鏈表，所以接著還需要根據(jù)設(shè)備IP，報(bào)文ID等值來來匹配正確的會(huì)話信息.使用State屬性值的第一位作為索引值是因?yàn)楸疚氖褂玫腞adius服務(wù)器在給用戶發(fā)送報(bào)文的時(shí)候都會(huì)攜帶有這個(gè)屬性，且用戶回應(yīng)時(shí)也會(huì)返回同樣的State屬性值.至于設(shè)計(jì)成數(shù)組元素是一個(gè)鏈表，則是因?yàn)檎麄€(gè)是系統(tǒng)多用戶同時(shí)在線的，所以不同用戶的State值可能是一樣的，所以只能再在鏈表中根據(jù)設(shè)備IP，報(bào)文ID等值來繼續(xù)匹配相應(yīng)的認(rèn)證信息了.

EAP認(rèn)證模塊的作用是執(zhí)行具體的認(rèn)證，包含以下五種認(rèn)證方法：EAP_MD5，EAP_TLS，EAP_ MSCHAPv2，EAP_TTLS，EAP_PEAP.并且結(jié)合實(shí)際應(yīng)用，在EAP_TTLS與EAP_PEAP實(shí)現(xiàn)了對(duì)EAP_ MD5和EAP_MSCHAPv2的嵌套支持.在設(shè)計(jì)的過程中，定義了一個(gè)認(rèn)證的基類CEapAuthen，EAPMD5，EAP-MSCHAPv2和EAP-TLS的認(rèn)證類都直接繼承于這個(gè)類，EAP-TTLS和EAP-PEAP的認(rèn)證類都繼承于EAP-TLS類，首先定義一個(gè)認(rèn)證基類的目的是便于以后進(jìn)行擴(kuò)展，支持更多的EAP方法，以后想增加一種EAP類型時(shí)，可以直接繼承CEapAuthen就行了，至于EAP-TTLS和EAP -PEAP的認(rèn)證類是繼承EAP-TLS認(rèn)證類，是因?yàn)檫@兩種認(rèn)證方法的認(rèn)證都是分為兩個(gè)階段：第一階段是建立TLS連接，第二階段是在通道內(nèi)進(jìn)行認(rèn)證，直接繼承EAP-TLS認(rèn)證類，就可以繼承EAP-TLS認(rèn)證類的方法建立TLS連接了.圖3為EAP認(rèn)證模塊中的繼承層次.

圖2　任務(wù)模塊模型圖

圖3　EAP認(rèn)證模塊中的繼承層次

實(shí)現(xiàn)EAP-TTLS和EAP-PEAP這兩種認(rèn)證方法在TLS通道內(nèi)進(jìn)行具體認(rèn)證的方法時(shí)，定義有一個(gè)全局的回調(diào)指針，在TLS通道內(nèi)使用回調(diào)指針調(diào)用EAP處理模塊進(jìn)行嵌套的EAP認(rèn)證方法的處理.

EAP公共業(yè)務(wù)模塊負(fù)責(zé)處理業(yè)務(wù)相關(guān)的事務(wù)，包括黑名單處理、時(shí)間限制、區(qū)域限制、密碼策略等的處理.還包括一些公共的功能函數(shù)以及EAP各種數(shù)據(jù)結(jié)構(gòu)和消息類型的宏定義等.

總的來說，圖4展示了EAP認(rèn)證子系統(tǒng)的四個(gè)模塊的關(guān)系.EAP任務(wù)模塊調(diào)用EAP處理模塊進(jìn)行EAP報(bào)文的認(rèn)證處理，EAP處理模塊在進(jìn)行一系列的處理后且得到EAP認(rèn)證的類型后，調(diào)用EAP認(rèn)證模塊進(jìn)行相應(yīng)的認(rèn)證處理，對(duì)于EAPTTLS和EAP-PEAP這兩種認(rèn)證方法，還將使用回調(diào)指針調(diào)用EAP處理對(duì)象對(duì)EAP嵌套認(rèn)證類型的認(rèn)證處理，這些都處理完成后，則繼續(xù)EAP處理模塊的處理，這部分處理完成后，再繼續(xù)完成EAP認(rèn)證模塊的處理，將處理完成的報(bào)文發(fā)送出去.在整個(gè)的過程中，EAP任務(wù)模塊，EAP處理模塊，EAP認(rèn)證模塊都需要EAP公共業(yè)務(wù)處理模塊的支撐.

圖4　EAP認(rèn)證子系統(tǒng)的四個(gè)模塊的關(guān)系

3　結(jié)語

本文首先對(duì)Radius協(xié)議，EAP協(xié)議以及幾種常用的EAP認(rèn)證方法進(jìn)行了簡單的介紹，接著提出了一種Radius服務(wù)器中EAP認(rèn)證子系統(tǒng)的設(shè)計(jì)方法，該系統(tǒng)能有效的支持EAP-MD5T、EAPMSCHAPv2、EAP-TLS、EAP-TTLS、EAP-PEAP這五種認(rèn)證方法，具有靈活性和可擴(kuò)展性等特性.接下來的工作將著重于根據(jù)現(xiàn)有的EAP方法，提出更安全，更高效的EAP認(rèn)證方法.

［1］RIGNEY C，WILLENSS，RUBENSA，etal.Remote Authentication Dial In User Service（RADIUS），Request for Comments 2138，April 1997.

［2］ DELAAT C，GROSSG，GOMMANS L，et al.Generic AAA Arhitecture，Request for Comments2903，August2000.

［3］L BLUNK，VOLLBRECHT J.Extensible Authentication Protocol （EAP）［R］.Request for Comments 3748，June 2004.

［4］LLOYD B，SIMPSON W.PPP Authentication Protocols，Request for Comments 1334，October 1992.

［5］W SIMPSON.PPPChallenge Handshake Authentication Protocol （CHAP）［R］.Request for Comments 1994，August1996.

［6］ZORN G.Microsoft PPPCHAP Extensions，Version 2，Request for Comments 2759［R］.January 2000.

［7］ SIMON D，ABOBA B，HURST R.The EAP-TLS Authentication Protocol［R］.Request for Comments 5216，March 2008.

［8］KAMATH V，PALEKAR A，WODRICH M.Microsoft's PEAP version 0（Implementation in Windows XPSP1），draft-kamath -pppext-peapv0-00.txt［R］.October 2002.

［9］FUNK P，BLAKE-WILSON S.Extensible Authentication Protocol Tunneled Transport Layer Security Authenticated Protocol Version 0（EAP-TTLSv0），Request for Comments 5281［R］. August2008.

［10］RIVEST R.The MD4 Message-Digest Algorithm，Request for Comments1320［R］.April1992.

［11］KELLY S.Security Implications of Using the Data Encryption Standard（DES），Request for Comments4772［R］.December 2006.

［12］G ZORN.Deriving Keys for use with Microsoft Point-to-Point Encryption（MPPE），Request for Comments 3079［R］. March 2001.

Design of EAP authentication subsystem in Radius server

LIU Chang，AN Cheng-quan
（School of Information and Communication Engineering，Harbin Engineering University，Harbin 150001，China）

Information security of wireless network has been an important factor that limits its development.A solution to this problem is to deploy the EAP authentication subsystem in the authentication server.Radius is themostwidely used AAA protocol to provide user authentication，authorization and accounting services.Based on EAP protocol，it can support a variety of different security authentication methods on the Radius server.In this paper，an EAP authentication subsystem was presented on the Radius server.This system supports five authentication methods including EAP-MD5，EAP-MSCHAPv2，EAP-TLS，EAP-TTLS，EAP-PEAP，and has good security and expansibility.

Radius；AAA；EAP；information security

TP393

A

1672-0946（2016）02-0212-04

2015-05-06.

劉暢（1992-），女，碩士，研究方向：現(xiàn)代通信系統(tǒng)與通信技術(shù)、網(wǎng)絡(luò)通信技術(shù).