iMC EIA认证时漫游至华为认证服务器不能进行安全检查的原因分析

某局点使用华为3A服务器控制用户的接入认证，后面客户出于安全考虑需要需要增加终端安全检查控制策略，于是使用我司EAD终端准入系统与华为3A服务器进行对接，由华为3A完成身份认证后再由EAD进行安全检查。在对接时发现终端使用iNode证书认证通过后无法进行安全检查，如下图所示提示等待“安全认证”。

终端认证通过后无法发起安全检查。

iNode客户端身份认证通过后发起安全检查的前提是可以获取到策略服务器的IP地址和端口号。正常情况下在iNodeSec*.log中可以看到是否获取，如果详细级别日志记录了如下信息：

[2015-10-09 19:20:25] [Info] [71c] SecCheck EAD Proxy IP Adress: 22.28.16.11

的字样，就表示iNode客户端获取到了策略服务器的IP地址。但是在现场的iNodeSec*.log日志里面发现iNode没有获取到策略服务器的IP地址，所以导致终端无法发起安全检查。

iNode客户端获取策略服务器的方式有两种（8021x为例）：

（1）    PAP/CHAP方式：EIA通过Radius 5号报文的61号user-notify属性下发策略服务器相关信息给设备，然后由设备通过EAP报文告诉iNode，如下面所示：

Code = 5----------------Radius 5号报文

ID = 16

ATTRIBUTES:

hw-Connect-Id(26) = 34231

hw_User_Notify(61) =

EAD_EVENT_SEQ_ID = NUEIeNIK

EAD_PROXY_IP = 167915258----------策略服务器IP地址

EAD_PROXY_PORT = 9019-----------策略服务器端口号

EAD_PROXY_IP_PREFERENCE = 0

IF_DEPLOY_EMO = 0

ISP_EMO_UDP_PORT = 0

ISP_EMO_TCP_PORT = 0

（2）EAP方式：EIA通过第一个Radius 11号报文EAP-challenge报文的value字段下发策略服务器相关信息，然后由设备透传给iNode客户端；如果iNode通过11号报文获取不到策略服务器信息，则iNode会继续从后续的Radius 5号报文再次获取一次。

现场是证书认证即EAP认证方式，策略服务器信息可以通过Radius code 11或者code 5号报文获取。首先分析服务器抓包，展开第一个code 11号报文如下，发现value里面并没有策略服务器的相关信息（0607开头的字符串）。

正常情况下包含策略服务器相关信息的抓包如下：

16字节的value字段，前8个字节随机生成，后8个字节由EIA使用用于下发策略服务器的IP地址和端口号，首先是0607开头（作为一种标识，告诉客户端后面是策略服务器的信息），后面6个字节需要倒过来，倒过来以后前两个是端口号，后4个是IP地址，如下图10 71 a8 c0 3b 23，倒过来就是23 3b c0 a8 71 10，即9019 192.168.113.16

而现场属于漫游认证，漫游认证获取策略服务器的流程如下：漫游地EIA通过proxy state属性将EAD IP和端口（进行了加密运算）带给归属地EIA，归属地EIA从中获取到该信息后将其填入“计费开始报文回应报文”中的H3C私有的61号属性（User_Notify）中携带，同时也会在第一个11号报文中封装并返回给漫游地EIA，就是MD5-challenge-value字段”。现场由于归属地是华为的3A服务器，无法解析出策略服务器的相关信息，所以就无法在code 11和code 5号报文里面携带相关信息了，并最终导致终端无法进行安全检查。另外漫游地EIA是不能修改归宿地的CODE 11和5号报文的，只能转发上述报文，否则会导致终端身份验证失败。

注：proxy state属性是一个随机生成的字符串，用来标识是漫游认证的场景，正常情况有漫游地Radius随机生成并传递给归宿地Radius，EIA通过他来传递策略服务器的相关信息。如果不是EIA，则无法从中解析出策略服务器的信息，自然也就不会在Radius报文里面携带。

现场可以在iNode客户端中直接配置EAD服务器的IP地址，如下：

该信息也可以在通过管理中心定制iNode客户端时定制进去建议采用该方法。

在标准协议里面实现私有功能就必须对标准协议进行改动，策略服务器功能就是EIA对EAP报文的challenge字段进行了改动而实现的；

iNode客户端的上传客户端版本号、上传IP地址也是iNode对EAP报文的identity字段进行了扩充实现的功能；

所有漫游用户只能使用同一个漫游策略，且仅仅在EIA漫游给EIA时才支持下发策略服务器IP地址，如果对接其他厂商3A，则需要定制策略服务器IP地址；

漫游认证属于Radius标准属性，原则上EIA可以跟任何厂商实现漫游认证对接。