在線輔導　面授招生　考試大綱　指定教材　報名時間

5.5.2 接入認證子系統設計
接入認證子系統為MN提供網絡接入服務，同時對MN是否是合法接入服務的用戶進行認證，該子系統的功能是MN繼續使用MlPv6服務的前提。
接入認證子系統涉及的實體如圖5-14所示。MN同時作為PaC, NAS同時作為PAA，箭 頭1表示PANA協議交互，箭頭2表示Diameter協議交互。

IETF成立PANA工作組致力于制定一個基于網絡層的接入認證承載協議PANA,認證 報文承載在獨立于數據鏈路層的PANA協議之上，這種認證方式將數據鏈路層接入技術的差 異屏蔽起來，從而適用于各種接入網絡。PANA協議作為一個認證承栽協議，可以為各種認 證方法提供統一的承栽平臺，PANA工作組己經將EAP ( Extensive Authentication Protocol) 作為所承載的認證協議。
PANA 由 PANA 客戶端（PANA Client, PaC)、PANA 認證代理（PANA Authentication Agent, PAA)、增強點（Enforcement Point，EP)、認證版務器（Authentication Server, AS) 4個功能實體組成，如圖5-15所示? PAA作為AS的客戶端與后錐AS交互認證消息。后 端服務器對用戶進行實際的認證確定用戶的權限，最終由服務器認證結果通知PAA通過 EP對用戶授權。
為了驗證用戶的身份，PAA需要咨詢認證服務器。認證服務器與PAA如果部署在同一個設備上，可以使用API進行交互；也可部署在不同的設備上（在公共接入網中更為常見)， 本方案采用Diameter作為PAA與AS間的通信協議。
PAA可以部署在與PaC處于同一子網中的任何一個IP設備上，但是通常部署在局域網 中稱為NAS的設備上。
EP使用加密或者非加密的過濾器對數據包進行選擇，允許一些數據包通過，禁止另一些 數據包通過。EP可以和PAA部署在同一設備上，通過API進行通信：也可部署在不同設備 上，通過運行SNMP協議進行通信PANA協議專為網絡訪問提供認證和授權服務。它的主要任務是執行認證功能的EAP 協議，并幫助PaC和PAA建立起EAP會話*它定義了一套自己的笊傳機制來保證傳輸數據可靠性。傳輸在PaC和PAA之間的PANA消息構成了 PANA會話的一部分，一個PANA 會話包括5個不同的階段，如圖5-16所示。

發現和握手階段：PANA會話的建立階段，即執行PAA發現和握手階段，用于建立 一個新的PANA會話。PaC可以使用如下兩種 方式之一來執行PAA發現，即PaC主動發送 PAA發現請求，或者PaC被動監聽PAA通告。
認證和授權階段：在認證和授權階段，PaC向PAA提交認證信息，PAA可能在本地 執行認證授權操作，也可能把認證信息轉發給 認證服務器，由認證服務器對用戶進行認證授 權。如果認證授權失敗，轉入PANA會話終止 階段。如果認證授權成功，PAA通知EP授予 該用戶相應權限，允許用戶訪問授權資源，PANA會話轉入接入階段。
接入階段：在成功地通過了認證授權 之后，PANA會話轉入接入階段，用戶獲得了 接入網絡服務，可以通過EP發送和接收IP數據包。在接入階段的任何時刻，PaC和PAA都 可以向對方發送活躍檢測報文，檢測PANA會話是否依然有效。
重認證階段：在授權時間到期之前，PaC和PAA都可以主動向對方發送重新認證請 求，使會話轉入重新認證階段。如果重新認證失畋，會話轉入終止階段：否則，會話轉入接 入階段。
終止階段：在PANA會話的任何階段，PaC和PAA都可以主動向對方發送終止會 話請求，使會話進入終止階段。當PANA會話成功終止后，PAA釋放與該會話有關的所有資 源，并且通知EP禁止該會話所對應的用戶的網絡接入。
本子系統中，PANA和Diameter作為EAP的承栽協議，在PaC和AS之間建立EAP 會話，對用戶進行認證。EAP協議的包封裝在PANA及Diameter消息中，其格式如圖5-17 所示，其中前4個字節分別是8比特的報文類型、8比特的報文標識符，以及16比特的 報文長度。報文標識符用于在同一個EAP會話中對請求和應答報文進行匹配，以便實現 報文的重復和丟失檢測。在報文長度字段之后，是報文的數據部分，其格式由報文類型 決定。

冃前 EAP 協議定義了4種報文，即EAP-Request、EAP-Response、EAP-Success 和 EAP-Failurc。EAP作為一種框架協議，具體的認證方法作為基本報文的Data部分實現。本 子系統以EAP-Archie作認證算法，認證者和認證服務器以不同實體存在，認證者工作于穿透模式，在PaC和AS間轉發EAP報文，并且識別EAP-Success和EAP-Failure報文以控制用戶接入。
EAP協議本身并沒有定義任何認證方法，它只提供了一種支持多種認證方法的標準機 制，通過其在Diameter協議上的應用擴展能夠增強AAA系統的安全性，保證合法用戶對網 絡資源的訪問。
Diameter EAP應用協議通過定義Diameter應用協議，規定了 EAP協議在Diameter協議 平臺上的使用，從而使得支持Diameter EAP應用的Diameter AAA系統能夠通過一致的EAP 協議平臺支持多種認證算法，且擴展性好。通過Diameter EAP應用，可以方便地將Diameter AAA網絡引入現有支持EAP協議的系統（如IEEE802.1]i、IEEE 802.lxs PPP、IKEv2等）中，從而為這些系統提供AAA功能。
Diameter的EAP應用，用于實現網絡接入環境下的認證授權，規范了 Diameter客戶和 Diameter服務器之間EAP報文的傳輸機制，實現用戶和家鄉Diameter服務器之間的端到端 認證?在Diameter的EAP應用中，EAP用于在NAS和Diameter認證服務器之間傳輸用戶 的認證信息，NAS充連EAP協議中的認證者，Diameter服務器充當EAP協議中的認證服務器。
在Diameter的EAP應用中，認證發生在EAP用戶和家鄉Diameter服務器之間。這種端 到端的認證減少了認證欺騙的可能性，例如重放攻擊、中間人攻擊端到端認證為相互認證 提供了…種可能性*在漫游環境中，使用PAP、CHAP是做不到相互認證的。

返回目錄： 通信工程師考試移動互聯網安全技術匯總

編輯特別推薦：

中級通信專業實務 互聯網技術教程匯總

中級通信專業實務傳輸與接入教程匯總

通信專業實務考試設備與環境教程匯總

通信專業實務考試交換技術教程匯總