返回
基于802.1x协议身份认证体系在医院网络管理中应用

基于802.1x协议身份认证体系在医院网络管理中应用

ID:5250198

大小:27.00 KB

页数:5页

时间:2017-12-07

基于802.1x协议身份认证体系在医院网络管理中应用_第1页
基于802.1x协议身份认证体系在医院网络管理中应用_第2页
基于802.1x协议身份认证体系在医院网络管理中应用_第3页
基于802.1x协议身份认证体系在医院网络管理中应用_第4页
基于802.1x协议身份认证体系在医院网络管理中应用_第5页
资源描述:

《基于802.1x协议身份认证体系在医院网络管理中应用》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、基于802.1X协议身份认证体系在医院网络管理中应用  摘要:网络基础架构的建设完成,代表着网络“铺路”阶段已经告一段落,接下来的工作,就是如何丰富网络的应用,来让这条宽阔的马路上车水马龙,物尽其用。而正是随着越来越多的、越来越重要的应用的上线,使得网络管理工作越来越艰巨,网络安全问题越来越突出。其中,网络身份的确认问题尤为重要。构建一个安全的身份认证体系刻不容缓。本文通过对802.1X协及基于802.1X协议的身份认证体系相关概念的阐述,结合在某医院的应用实例,探讨该体系对保护医院网络安全起到的重要作用。关键词:802.1X身份认证网络安全RADIUS服务器交换机

2、中图分类号:TP393.18文献标识码:A文章编号:1007-9416(2013)12-0087-011引言5802.1x协议是基于Client/Server的访问控制和认证协议。身份认证是在计算机网络中确认操作者身份的过程。基于802.1x协议的身份认证体系是根据用户ID,对网络客户端进行鉴权,它采用远程认证拨号用户服务方法,并将其划分为三个不同小组:请求方、认证方和认证服务器。利用该体系可以解决目前大多数医院对于局域网内用户匿名入网,用户上网行为无法受到监控,在发生安全事件后无法准确定位到人等网络安全问题。2基于802.1x协议的身份认证体系根据用户ID,对网络

3、客户端进行鉴权,采用RADIUS方法,并在体系中分配三个不同角色:请求者、认证者和认证服务器。请求者是处于整个网络链路中末端的实体,例如一台安装了支802.1x身份认证系统的PC机。由连接在该链路中的认证系统对其进行认证,用户通过启动客户端软件发起802.1x认证。认证者通常为支持802.1x协议的网络设备,例如一台支持802.1x协议的接入层交换机。它对请求接入网络的请求者进行认证,并为其提供服务端口,该端口可以是物理端口也可以是逻辑端口。认证服务器是为认证系统提供认证服务的实体,通常使用RADIUS服务器,该服务器可以存储相关用户信息,例如ip地址、mac地址、

4、端口等。将这些信息与认证者系统发来的请求者信息进行比对,从而完成认证和授权的过程。3医院网络管理面临的安全威胁5在没有完善的身份认证系统的医院网络环境中,管理者需要面对诸多安全威胁。(1)匿名入网。管理者无法确认在网络中运行的计算机是否合法,究竟有没有医院以外的不法人员擅自将计算机接入医院网络也不得为知。(2)用户上网行为无法受到监控。在网内所有计算机可以随意访问服务器的资源,即使能够在服务器端制定出一些策略加以防范,但是随着应用系统的不算增加,往往防不胜防。(3)在发生安全事件后无法准确定位到人,给安全事件的排查带来很大的难度。4基于802.1X协议的身份认证体系

5、在医院网络管理中的应用实践某医院采用了基于802.1X协议和Radius协议的身份验证体系,以防范上文所提及的网络安全威胁。该体系通过与网络交换机的联动,实现了对于用户访问网络的身份的控制。同时,采用用户名、密码、用户IP、用户MAC、认证交换机IP、认证交换机端口号等多达6个元素的灵活绑定,来保障用户的身份正确性及唯一性,根据用户身份的不同,给于用户相应等级的网络访问权限。同时记录用户使用网络情况的日志,便于日后进行追查。4.1部署方式将身份认证系统客户端软件部署在网络中的所有计算机中,这些安装了身份认证系统的计算机就成为了该体系中的请求者。它们处于网络的最末端,

6、即在支持802.1X的接入层交换机上进行身份认证5,此时接入交换机起到了认证者的作用。同时,在核心交换机上接入认证服务器,以完成用户信息存储、核对、授权的过程。采用强制客户端的方式进行主机完整性检查等安全管理,即无法使用该体系进行身份认证的终端将无法使用网路资源。这种部署模式的好处在于,认证设备处于网络最边缘,能够控制的粒度最细,对用户端的管理权限最强。4.2用户认证上线过程当用户请求接入网络时,安装了认证系统客户端的计算机通过RADIUS协议并使用“三次握手”的方式与接入交换机建立连接,进行身份认证的过程。当认证服务器接收到相关用户的信息时,将与已经存储在服务器上

7、的信息进行比对,并将符合该用户权限等级的规则配置打包成EAP报文附加在SNMPset报文中,并将SNMPset报文向交换机下发。交换机截取收到的SNMP报文中的用户配置,通过EAPOL报文发送给认证系统客户端。在完成以上认证过程后,用户即可在允许的范围使用网络资源。4.3强制用户下线过程认证服务器将通知用户下线信息打包成EAPfailure报文附加在SNMPset报文中,并将SNMPset报文向交换机下发。交换机截取SMP中的EAPfailure报文发送给认证系统客户端。客户端接受到信息后将主机下线,并发送EAP5logoff报文给认证服务器。认证服务器通过SN

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。