网络身份认证技术

《网络身份认证技术》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

身份验证与网络接入控制 主要内容AAARADIUS802.1x 课程议题 基本概念AAAAuthentication、Authorization、Accounting验证、授权、记费PAPPasswordAuthenticationProtocol密码验证协议CHAPChallenge-HandshakeAuthenticationProtocol盘问握手验证协议NASNetworkAccessServer网络接入服务器RADIUSRemoteAuthenticationDialInUserService远程验证拨入用户服务（远程拨入用户验证服务） AAA介绍AAA（Authentication、Authorization、Accounting，认证、授权、计费）提供了对认证、授权和计费功能的一致性框架AAA是一个提供网络访问控制安全的模型，通常用于用户登录设备或接入网络。AAA主要解决的是网络安全访问控制的问题相对与其他的本地身份认证、端口安全等安全策略，AAA能够提供更高等级的安全保护。 AAA介绍-cont.Authentication：认证模块可以验证用户是否可获得访问权。Authorization：授权模块可以定义用户可使用哪些服务或这拥有哪些权限。Accounting：计费模块可以记录用户使用网络资源的情况。可实现对用户使用网络资源情况的记帐、统计、跟踪。 AAA基本模型AAA基本模型中分为用户、NAS、认证服务器三个部分用户向NAS设备发起连接请求NAS设备将用户的请求转发给认证服务器认证服务器返回认证结果信息给NAS设备NAS设备根据认证服务器返回的认证结果对用户采取相应认证、授权、计费的操作 AAA的认证功能AAA服务器本地认证远端认证 AAA的授权功能RADIUS服务器本地授权远端授权 AAA的计费功能远端计费RADIUS服务器/TACACS服务器 课程议题 RADIUS(RemoteAuthenticationDialInUserService远程认证拨号用户服务)是在网络接入设备和认证服务器之间进行认证授权计费和配置信息的协议 RADIUS协议特点客户/服务器模型：网络接入设备（NAS）通常作为RADIUS服务器的客户端。安全性：RADIUS服务器与NAS之间使用共享密钥对敏感信息进行加密，该密钥不会在网络上传输。可扩展的协议设计：RADIUS使用属性-长度-值（AVP，Attribute-Length-Value）数据封装格式，用户可以自定义其他的私有属性，扩展RADIUS的应用。灵活的鉴别机制：RADIUS服务器支持多种方式对用户进行认证，支持PAP、CHAP、UNIXlogin等多种认证方式。 RADIUS:BasicsAuthenticationDataFlowISPUserDatabaseISPModemPoolUserdialsmodempoolandestablishesconnectionUserID:bobPassword:ge55gepUserID:bobPassword:ge55gepNAS-ID:207.12.4.1SelectUserID=bobBobpassword=ge55gepTimeout=3600[otherattributes]Access-AcceptUser-Name=bob[otherattributes]Framed-Address=217.213.21.5TheInternetISPRADIUSServerInternetPPPconnectionestablished RADIUS:BasicsAuthenticationDataFlowISPAccountingDatabaseISPModemPoolAcct-Status-Type=StartUser-Name=bobFramed-Address=217.213.21.5…...SunMay1020:47:411998Acct-Status-Type=StartUser-Name=bobFramed-Address=217.213.21.5…...TheInternetISPRADIUSServerInternetPPPconnectionestablishedAcknowledgementTheAccounting“Start”Record RADIUS:BasicsAuthenticationDataFlowISPAccountingDatabaseISPModemPoolTheInternetISPRADIUSServerInternetPPPconnectionestablishedAcct-Status-Type=StopUser-Name=bobAcct-Session-Time=1432…...SunMay1020:50:491998Acct-Status-Type=StopUser-Name=bobAcct-Session-Time=1432…...AcknowledgementTheAccounting“Stop”RecordUserDisconnects 验证当用户想要通过某个网络(如电话网)与NAS建立连接从而获得访问其他网络的权利时，NAS可以选择在NAS上进行本地认证计费，或把用户信息传递给RADIUS服务器，由Radius进行认证计费；RADIUS协议规定了NAS与RADIUS服务器之间如何传递用户信息和记账信息；RADIUS服务器负责接收用户的连接请求，完成验证，并把传递服务给用户所需的配置信息返回给NAS。 本地（NAS）验证——PAP方式：PAP（PasswordAuthenticationProtocol）是密码验证协议的简称，是认证协议的一种。用户以明文的形式把用户名和他的密码传递给NAS，NAS根据用户名在NAS端查找本地数据库，如果存在相同的用户名和密码表明验证通过,否则表明验证未通过。 本地（NAS）验证——CHAP方式CHAP（ChallengeHandshakeAuthenticationProtocol）是盘问握手验证协议的简称，是我们使用的另一种认证协议。SecretPassword=MD5（ChapID+Password+challenge） 本地（NAS）验证——CHAP方式当用户请求上网时，服务器产生一个16字节的随机码（challenge）给用户（同时还有一个ID号，本地路由器的hostname）。用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密，生成一个SecretPassword传给NAS。NAS根据用户名查找自己本地的数据库，得到和用户端进行加密所用的一样的密码，然后根据原来的16字节的随机码进行加密，将其结果与SecretPassword作比较，如果相同表明验证通过，如果不相同表明验证失败。SecretPassword=MD5（ChapID+Password+challenge） 远端（Radius）验证——PAP方式：远端认证——PAPSecretpassword=PasswordXORMD5（Challenge＋Key）(Challenge就是Radius报文中的Authenticator)我查……我算……我验…… 远端（Radius）验证——CHAP方式：远端认证——CHAPSecretpassword=MD5（ChapID+Password+challenge）我查……我算……我验…… 认证过程 课程议题 概述IEEE802.1x（Port-BasedNetworkAccessControl）是一个基于端口的网络访问控制标准，为LAN接入提供点对点式的安全接入。基于端口的网络接入控制（PortBasedNetworkAccessControl）只有用户通过认证，端口才被”开放“，否则端口处于”关闭“状态802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（ExtensibleAuthenticationProtocoloverLAN）通过。 802.1x认证体系802.1x是一个Client/Server结构􀂃􀂃802.1x认证体系中的组件􀂾􀂾恳求者系统（SupplicantSystem）􀂾􀂾认证系统（AuthenticatorSystem）􀂾􀂾认证服务器系统（AuthenticationServerSystem） 802.1x认证组件恳求者系统（Supplicant）􀂾􀂾也称为客户端（Client）􀂾􀂾通常为支持802.1x认证的用户终端设备􀂾􀂾安装802.1x客户端软件􀃌RuijieSupplicant􀃌WindowsXP􀂃􀂃认证系统（AuthenticatiorSystem）􀂾􀂾对恳求者进行认证􀂾􀂾作为恳求者与认证服务器之间的“中介”􀂾􀂾为恳求者提供服务端口（物理、逻辑）􀂾􀂾非受控端口􀃌始终处于双向连通状态，用来传递EAPoL协议帧 802.1x认证组件受控端口􀃌只有在认证通过的状态下才打开，用于传递网络资源和服务􀂾􀂾认证通过之前只允许EAPoL（ExtensibleAuthenticationProtocoloverLAN）帧通过􀂾􀂾认证系统与认证服务器之间也运行EAP􀂾􀂾认证系统将EAP帧封装到RADIUS报文中发送给认证服务器 802.1X机制ControlledUn-Controlled非受控端口主要是用来连接认证服务器，以便保证服务器与交换机的正常通讯连接在受控端口的用户只有通过认证才能访问网络资源EAPOLEAPOL 802.1x认证组件认证服务器系统（AuthenticationServerSystem）􀂾􀂾提供认证服务􀂾􀂾通常是一个RADIUS服务器􀂾􀂾将认证结果返回给认证系统 EAPEAP（ExtensibleAuthenticationProtocol）􀂾􀂾恳求者与认证系统之间使用EAP承载认证信息􀂾􀂾EAP帧被封装到LAN协议中（例如Ethernet），即EAPoL 802.1x工作机制在客户端与交换机之间，EAP协议报文（承载认证信息）直接被封装到LAN协议中􀂾􀂾在交换机与RADIUS服务器之间，EAP协议报文被封装到RADIUS报文中，即EAPoRADIUS报文􀂾􀂾交换机在整个认证过程中不参与认证，所有的认证工作都由RADIUS服务器完成􀂾􀂾当RADIUS服务器对客户端身份进行认证后，将认证结果（接受或拒绝）返回给交换机，交换机根据认证结果决定受控端口的状态 802.1X认证过程 常用的认证计费技术/方式PPPoE+RadiusWEBPortal+Radius802.1X+Radius PPPoE认证计费技术Internet核心三层交换机PPPoE的BAS设备二层的楼栋交换机PPPoE的客户端软件Radius服务器瓶颈！！ DHCP+Web认证计费技术Internet核心交换机WebPortal的BAS设备Radius服务器普通的接入交换机用户瓶颈！！ 802.1X认证计费技术802.1X交换机认证报文流业务数据流InternetRadius服务器核心交换机汇聚交换机高效！！汇聚交换机 接入层启用802.1x接入层启用802.1x 接入层启用802.1x拓扑需求􀂾􀂾客户端主机需支持802.1x客户端􀂾􀂾接入层（Access）交换机需支持802.1x􀂾􀂾支持标准RADIUS协议的RADIUS服务器配置要点􀂾􀂾接入层连接客户端主机的访问端口需要启用802.1x认证 某公司总部和分公司之间通过PPP链路连接，为了提高接入网络的安全性，公司要求各分公司通过PPP链路接入公司总部时都要进行认证，为了不影响路由器的性能，考虑通过RADIUS服务器进行AAA认证。 某企业􀂾􀂾网络管理员为了防止有公司外部的用户将电脑接入到公司网络中，造成公司信息资源受到损失，希望员工的电脑在接入到公司网络之前进行身份验证，只有具有合法身份凭证的用户才可以接入到公司网络。 某企业􀂾􀂾网络管理员为了防止有公司外部的用户将电脑接入到公司网络中，造成公司信息资源受到损失，希望员工的电脑在接入到公司网络之前进行身份验证，只有具有合法身份凭证的用户才可以接入到公司网络。网络管理员考虑在分布层部署802.1x，安全网络接入。