YD_T 2667-2013基于Web方式的以太网接入身份认证技术要求.pdf

ICS 01.040.35L 04YD中华人民共和国通信行业标准YD/T2667-2013基于WEB的以太网接入身份认证技术要求TechnicalspecificationforWEBbased authentication ofEthernetaccess2013-10-17发布2014-01-01实施中华人民共和国工业和信息化部发布 YD/T 2667201310）认证服务器依据请求报文内容和数据库信息判断用户合法性，返回认证结果报文。11）如果认证成功，Portal通过HTTP协议向NAD发送控制命令打开NAD的受控逻辑端口，允许该NAC正常访间网络，为了保证攻击者无法假目Portal向NAD发送控制命令，Portal和NAD之间通过共享密钥来实现消息的认证。该HTTP命令的CGI参数和消息认证机制详见5.3的NAD与Portal之间消息格式和编码，12）NAD向Portal返回执行HTTP端口打开命令的结果，13）Portal向NAC返回认证结果页面，通知NAC认证结果.如果认证成功，NAC可以正常访间网络。同时，Portal可以选择向NAC写入一个认证cookie，该oookie可以用于保存NAC的认证信息，以用于增强系统的安全性，NACNAD（认证客户陷）Portal，认证服务器1）请间外网网页的清求（请求建立TCP连读）总证为Poral6）根摄重定向总址并速求重定向界口（即认证界围）Por建立连接8）NAC填写认证信息用户名/客码）并员交9）认证请求10）以证结集11）HTTP合令管班交换机缩口12）驱国会令执行结果13）还如身创认证结票图5网络结构一的NAC登录流程4.1.2Portal外置于交换机（网络结构二）的NAC登录流程网络结构二的NAC查录流程如图6所示，该结构NAD和Portal驶立，NAD作认证客户端向认证服务器发起身份认证请求。NAD应开通HTTP服务，接收Portal发送的用户名和密码等信息。该结构中的端口控制功能由NAD自身完成。5 YD/TCNAD（认证客户端）Portal认证服务器1）访间外网网买的请求（请求建立TCP连接）2）截快请求并以外网地址建立违接3)发HTTPGET/HEAD调求网4）发送HTTP室定向响应（向hPortal）5)关闭TCP连接开霸求黑风养面7)Porta1返国登录需名/密码）并文9）认证请求定时装10)认证满求11)认证贴果12)认证座答13)通知身份认证结果图6网络结构二的NAC登录流程1）NAC使用测览器访间外网网页，请求建立TCP连接。2）NAD截获到该请求后，判断该NAC是否为认证用户，若非认证用户，则以用户请求的外网地址与用户建立连接。3）NAC的浏览器发送HTTPGET/HEAD请求外网网页。4）NAD向用户发送一个HTTP重定向响应，将用户重定向到Portal，该重定向地址指向Portal的URL，其CGI参数详见5.1的NAC与Portal之间消息格式编码。5）NAD关闭与NAC的TCP连接。6）NAC的浏览器通过重定向地址来访间Portal。7）Portal返回一个用户认证界面，该页面含有一个表单，里面包含用户名和密码两个控件。8）NAC输入用户名和密码，以GET或POST方式向Portal提交身份认证请求，该请求包括用户名、用户密码。9）Portal将用户输入的用户名和密码组装成认证请求报文发往NAD，同时开启定时器等特认证应答报文。10）NAD根据接收到的用户名和密码封装成认证请求报文，向认证服务器请求认证。11）认证服务器依据请求报文内睿和数据库信息判断用户合法性，返回认证结果报文。12）NAD向Portal发送认证结果，如果认证成功，NAD打开受控逻辑端口。6 YD/T 2667201313）Portal向NAC返回认证结果页面，通知NAC认证结果。如果认证成功，NAC可以正常访间网络。同时，Portal可以选择向NAC写入一个认证cookie，该cookie可以用于保存NAC的认证信息，以用于增强系统的安全性。4.1.3网络结构三的NAC登录流程网络结构三的NAC登录流程如图7所示。NAD内嵌认证客户端功能，由NAD作为认证客户端向认证服务器发起身份认证请求。NACNAD(Poral认证客户瞻）认证服务器1）诺问外网网页的请求（请求建立TCP速接）2）就获请求并以外网站址建立连装3）发送HTTPGETHEAD请求网页4）发送ITTP重定向响座(重定向地址为Portal)5关凯TCR速技6)报据置定向选址，向Portal建文连换，8）NAC填写认证信息（用户名/密码）并提交9）认证请求10认证给果(11) (12）遇知身份认证给票围7网络结构三的NAC登录流程1）NAC使用浏览器访问外网网页，请求建立TC