基于MAC 認證的終端網絡準入控制系統方案*

張 超，孫 皓，鹿文楊，李雄軍

（1.海裝裝備項目管理中心，北京 100071；2.中國電子科技集團公司第三十研究所，四川 成都，610041）

0 引言

電氣與電子工程協會（Institute of Electrical and Electronics Engineers，IEEE）在定義局域網（Local Area Network，LAN）規范的初期，并沒有提供“用戶聯網身份認證”的安全機制[1]，即只要終端設備通過物理鏈路與網絡設備的端口連接后，就可以訪問LAN 中的設備或資源[2-3]。隨著萬物互聯時代的到來，終端設備呈現出種類繁多、數量巨大、部署分散、安全屬性不統一等趨勢，網絡提供給終端設備的服務也越來越多[4]；但是一個安全的網絡必須提供安全的服務，保證終端設備經過許可并且用戶終端的訪問是經過審計[5]，即只有合法的終端設備才可以訪問提供的服務。因此，終端設備認證是網絡安全服務的一個重要方面，是終端設備提供服務的前提[6]。

局域網介質訪問控制（Media Access Control，MAC）地址認證[7]是一種基于網絡設備端口和終端設備MAC 地址針對終端設備的網絡訪問權限進行控制的認證方法。網絡設備在啟動MAC 認證的端口上首次檢測到終端設備的MAC 地址后，啟動對該終端設備用戶的認證操作。認證過程中，不需要用戶手動輸入用戶名和密碼。

MAC 地址作為用戶名和密碼的方式，針對性更強、靈活性更高，更便于終端設備入網認證管控，有MAC 地址作為用戶名和密碼以及固定用戶名和密碼兩種格式。MAC 地址作為用戶名和密碼是使用終端設備的MAC 地址作為認證時的用戶名和密碼；固定用戶名和密碼就是不論終端設備的MAC 地址為何值，所有終端設備均使用在網絡設備上預先配置的本地用戶名和密碼進行認證。

MAC 認證具有無需安裝任何形式的客戶端[8]；終端設備無需輸入賬號和密碼，認證觸發后自動進行；能夠對不具備802.1X 認證[9]能力的終端設備進行入網認證，如打印機、傳真機等啞終端這3 個優點。

MAC 認證的主要缺點是安全性不高，且低于802.1X 安全性認證標準，其原因是終端設備的MAC 地址容易被仿冒[10]。鑒于MAC 認證的以上特點，MAC 認證通常只用于網絡打印機、IP 電話、攝像頭等終端設備的入網認證[11]。

綜上分析，本方案將以MAC 認證為基礎，使用終端設備的MAC 地址作為用戶名和密碼，設計一套重點針對網絡打印機、IP 電話、攝像頭等終端設備的網絡準入控制系統，通過設計系統自身的工作機制，進一步提升安全性。

1 系統構成

基于MAC 認證的終端設備網絡準入控制系統主要包括終端設備（通常是網絡打印機、IP 電話、攝像頭等）、網絡設備（通常指接入層交換機）、準入認證服務器。系統結構如圖1 所示。

圖1 基于MAC 認證的終端設備網絡準入控制系統結構

在系統結構中，終端設備是“認證”動作的觸發者，通過發送包含MAC 地址的特定數據包（主要是地址解析協議報文）觸發網絡設備進行認證；網絡設備是“認證”機制的執行者和端口授權的實施者，具體包括向準入認證服務器發送認證數據包，根據準入認證服務器的認證結果對端口實施授權控制；準入認證服務器是“認證”系統的判決者，直接決定相應終端設備用戶是否通過網絡準入認證。

2 工作機制和流程

2.1 終端設備入網認證

基于MAC 認證的入網認證交互流程如圖2 所示，主要步驟如下文所述。

圖2 入網認證交互流程

（1）網絡設備首次檢測到終端設備的MAC 地址，進行MAC 地址學習、觸發MAC 認證。

（2）網絡設備對MAC 認證使用MD5 信息摘要算法（Message-Digest Algorithm，MD5）挑戰字對用戶密碼進行處理，并將處理后的信息及MD5挑戰字封裝在認證請求報文中，發送到準入認證服務器，請求對該終端進行MAC 認證。

（3）準入認證服務器使用收到的MD5 挑戰字對本地數據庫中對應MAC認證用戶密碼進行處理，如果與網絡設備發來的相關信息一致，則向網絡設備發送認證成功報文，表示終端設備MAC 認證成功，允許該終端訪問網絡。

（4）網絡設備根據準入認證服務器返回的認證結果進行端口授權。

網絡設備與準入認證服務器之間通過遠程用戶撥號認證系統（Remote Authentication DialIn User Service，RADIUS）報文進行交互，對于MAC 認證用戶密碼的處理，有密碼認證協議（Password Authentication Protocol，PAP）和質詢握手認證協議（Challenge Handshake Authentication Protocol，CHAP）[12]兩種方式。

（1）PAP：設備使用隨機生成MD5 挑戰字對MAC 認證用戶的密碼進行一次加密。

（2）CHAP：設備使用隨機生成的MD5 挑戰字對MAC 認證用戶的密碼進行兩次加密。

2.2 網絡設備周期探測

網絡設備需要對終端設備進行周期性探測，確保終端設備正常在線。如果終端設備已下線，網絡設備需要通知準入認證服務器，更新終端設備狀態，周期探測交互流程如圖3 所示，主要步驟包括：

圖3 網絡設備周期探測交互流程

（1）終端設備發送報文觸發MAC 認證，同時網絡設備啟動探測定時器；

（2）在若干個T時間內，網絡設備均能收到終端設備流量，相應用戶在線；

（3）終端設備最后一次發送報文。在這個T時間結束時，由于有終端設備流量，網絡設備判斷相應用戶在線。重啟定時器；

（4）網絡設備在T時間內未收到終端設備流量，發送第1 次ARP 請求，客戶端無響應。

（5）T時間后，未收到終端設備流量，發送第2 次ARP 請求，終端設備無響應；

（6）T時間后，仍未收到終端設備流量，探測失敗，終端設備對應的用戶下線；

（7）網絡設備向準入認證服務器發送停止計費請求；

（8）準入認證服務器向網絡設備發送停止計費響應；

（9）網絡設備停止對相應端口的授權，在線列表中刪除相應用戶。

3 典型實現

3.1 網絡設備配置

某公司辦公室內終端通過Switch 接入公司內部網絡。如果該公司內存在非法接入和非授權訪問的狀況，將會導致企業業務系統的破壞以及關鍵信息資產的泄露，因此管理員希望Switch 能夠對終端設備的網絡訪問權限進行控制，以保證公司內網的安全，在很大程度上防止外來侵入對信息安全的損害[13]。

由于辦公室內的啞終端（例如打印機）無法安裝認證客戶端，因此在Switch 上部署MAC 認證。終端設備的MAC 地址將作為用戶信息到RADIUS 服務器進行認證，同時用戶接入網絡時，也不需要進行認證操作。辦公室內局域網認證組網圖如圖4 所示。

圖4 配置MAC 認證組網

打印機、攝像頭、音頻裝備等啞終端準入入網的詳細操作步驟如下文所述。

3.1.1 步驟1：配置AAA

# 創建并配置RADIUS 服務器模板[14]“rd1”。

# 測試用戶是否能夠通過RADIUS 模板的認證（已在RADIUS 服務器上配置了測試用戶test，用戶密碼Huawei2012）。

3.1.2 步驟2：配置MAC 認證

# 將NAC 配置模式切換成統一模式。

說明：設備默認為統一模式。傳統模式與統一模式相互切換后，設備會自動重啟。

[Switch]authentication unified-mode

# 配置MAC 接入模板“m1”。

說明：MAC 接入模板中，MAC 認證用戶的用戶名和密碼默認均為不帶分隔符“-”的MAC 地址。需要保證RADIUS 服務器上配置的MAC 用戶名和密碼格式與接入設備上的保持一致。

# 配置認證模板“p1”，并在其上綁定MAC接入模板“m1”、指定認證模板下用戶的強制認證域為“huawei.com”、指定用戶接入模式為多用戶單獨認證接入模式、最大接入用戶數為100。

3.1.3 步驟3：驗證配置結果

（1）用戶啟動終端后，設備會自動獲取用戶終端的MAC 地址作為用戶名和密碼進行認證。

（2）用戶認證成功后即可訪問網絡。

（3）用戶上線后，管理員可在設備上執行命令display access-user access-type macauthen 查看在線MAC 認證用戶信息。

3.2 準入認證服務器實現

本方案中，準入認證服務器采用“Linux+Free Radius+Mysql”方案，由此構建了1 個典型的RADIUS 服務器。

基于MAC 認證的終端設備網絡準入控制系統工作流程參考準入認證服務器已有的“用戶名口令模式”的認證流程，相應準入策略中的認證模式為“用戶名口令”，附加驗證信息有“接入交換機IP和端口”。界面在準入認證服務器管理界面中主要表現為終端設備列表，增加了MAC 地址注冊的管理功能[15]，如圖5 所示。

終端設備列表中，主要包括“狀態”“MAC地址”“準入策略”“接入交換機IP”“接入交換機端口”“上線時間”“下線時間”“備注”。其中，“MAC 地址”是每個終端設備的唯一標識，“備注”支持填寫對應終端設備的備注信息。

網絡設備發起認證，準入認證服務器接收到認證包后自動解析其中包含的終端設備信息（包括MAC 地址、接入交換機IP 和端口），自動將相關信息注冊到終端設備列表中。

準入認證服務器配置中，支持配置“是否為新注冊的終端設備下發默認策略（MAC 認證）”?，F場網絡環境部署初期，設置“是否為新注冊的終端設備下發默認策略（MAC 認證）”為勾選狀態，則相應的終端設備均可順利注冊并通過認證，接入網絡?，F場網絡環境部署完成后，設置“是否為新注冊的終端設備下發默認策略（MAC 認證）”為取消狀態，新接入的終端設備進行入網認證，能夠自動在準入認證服務器上注冊，但是無法認證通過，原因是“未分發準入策略”。如果需要將其接入網絡，則需為該設備分發準入策略。綜上所述，該運行機制能夠實現對未注冊終端設備的入網管理，進一步提升終端網絡準入控制系統的安全性。

4 結語

本文利用交換機MAC 認證機制，設計實現了使用打印機、攝像頭等啞終端MAC 信息作為鑒別憑證的方法。本文方法可以有效解決局域網內部啞終端入網問題，并能實現無感知認證。下一步，可結合終端指紋特征技術，對終端進行更加準確、全面的定義，避免MAC 假冒帶來的非法接入問題。