第7章認證技術與應用實驗

1、第七章認證技術與應用實驗第七章認證技術與應用實驗計算機網(wǎng)絡工程計算機網(wǎng)絡工程王曉燕第七章認證技術與應用實驗第七章認證技術與應用實驗第七章第七章 認證技術與應用實驗認證技術與應用實驗1 AAA安全體系結(jié)構(gòu)安全體系結(jié)構(gòu)2 Radius協(xié)議協(xié)議3 Tacacs 協(xié)議協(xié)議4 tacacs+和和Radius比較比較5認證技術實驗認證技術實驗第七章認證技術與應用實驗第七章認證技術與應用實驗7.1AAA安全體系結(jié)構(gòu)安全體系結(jié)構(gòu)7.1.17.1.1背景背景 隨著網(wǎng)絡技術的不斷發(fā)展及隨著網(wǎng)絡技術的不斷發(fā)展及InternetInternet應應用的不斷普及，越來越多的用戶通過電話線將用的不斷普及，越來越多的用戶通

2、過電話線將個人微機與網(wǎng)絡接入服務器個人微機與網(wǎng)絡接入服務器NASNAS互聯(lián)，實現(xiàn)撥互聯(lián)，實現(xiàn)撥號訪問號訪問InternetInternet。 遠程訪問因其開放性，對用戶的身份認遠程訪問因其開放性，對用戶的身份認帳和安全管理更加困難和復雜。帳和安全管理更加困難和復雜。第七章認證技術與應用實驗第七章認證技術與應用實驗7.1 遠程撥號訪問系統(tǒng)遠程用戶A遠程用戶B文件Server認證Server第七章認證技術與應用實驗第七章認證技術與應用實驗 為了便于集中認證和管理撥入的用戶，目為了便于集中認證和管理撥入的用戶，目前大多采用前大多采用AAAAAA（AuthenticationAuthenticatio

3、n、AuthorizationAuthorization和和AccountingAccounting）安全體系。）安全體系。AAAAAA是基于協(xié)同網(wǎng)絡安全技術的訪問控制概念，其是基于協(xié)同網(wǎng)絡安全技術的訪問控制概念，其目的是通過某種一致的辦法來配置網(wǎng)絡服務，目的是通過某種一致的辦法來配置網(wǎng)絡服務，控制用戶對路由器或網(wǎng)絡接入服務器的訪問?？刂朴脩魧β酚善骰蚓W(wǎng)絡接入服務器的訪問。目前目前AAAAAA技術已經(jīng)不限于對撥號用戶的認證，技術已經(jīng)不限于對撥號用戶的認證，它廣泛應用于任何需要認證服務的網(wǎng)絡中。它廣泛應用于任何需要認證服務的網(wǎng)絡中。第七章認證技術與應用實驗第七章認證技術與應用實驗7.1.2AAA

4、安全體系結(jié)構(gòu)組成安全體系結(jié)構(gòu)組成1 1 鑒別（鑒別（ AuthenticationAuthentication ）2 2 授權（授權（ AuthorizationAuthorization ）3 3 記帳（記帳（ AccountingAccounting ）第七章認證技術與應用實驗第七章認證技術與應用實驗1 1鑒別鑒別(Authentication)(Authentication) 此過程主要完成用戶身份識別，并為該用此過程主要完成用戶身份識別，并為該用戶指派特權級別，控制該用戶對網(wǎng)絡資源和服戶指派特權級別，控制該用戶對網(wǎng)絡資源和服務的訪問與使用。在允許訪問前，用戶必須首務的訪問與使用。在允許

5、訪問前，用戶必須首先通過鑒別。鑒別服務驗證終端用戶或一個設先通過鑒別。鑒別服務驗證終端用戶或一個設備的聯(lián)機身份，這里設備包括主機、服務器、備的聯(lián)機身份，這里設備包括主機、服務器、交換機、路由器和其他聯(lián)網(wǎng)部件。此任務通過交換機、路由器和其他聯(lián)網(wǎng)部件。此任務通過使用登錄、口令對話框、挑戰(zhàn)和響應、消息支使用登錄、口令對話框、挑戰(zhàn)和響應、消息支持和安全協(xié)議完成的。持和安全協(xié)議完成的。第七章認證技術與應用實驗第七章認證技術與應用實驗2 2 授權（授權（AuthorizationAuthorization） 此過程決定用戶或用戶組可以訪問的指定此過程決定用戶或用戶組可以訪問的指定服務和網(wǎng)絡資源，該過程也定

6、義用戶在資源上服務和網(wǎng)絡資源，該過程也定義用戶在資源上可以執(zhí)行的操作。授權能夠提供遠程網(wǎng)絡訪問可以執(zhí)行的操作。授權能夠提供遠程網(wǎng)絡訪問控制方法，包括一次性授權，支持用戶組，支控制方法，包括一次性授權，支持用戶組，支持持IPIP，IPX,ARAIPX,ARA和和TelnetTelnet等。等。AAAAAA授權使用多組授權使用多組屬性和特權來描述每個用戶被授權訪問的資源，屬性和特權來描述每個用戶被授權訪問的資源，以及每個用戶在哪些資源上可以采取合法動作。以及每個用戶在哪些資源上可以采取合法動作。這些屬性組和特權存儲在數(shù)據(jù)庫中可以是本這些屬性組和特權存儲在數(shù)據(jù)庫中可以是本地數(shù)據(jù)庫地數(shù)據(jù)庫( (位于位

7、于NASNAS或路由器中或路由器中) )，也可以是遠，也可以是遠程數(shù)據(jù)庫（位于安全服務器中）。程數(shù)據(jù)庫（位于安全服務器中）。第七章認證技術與應用實驗第七章認證技術與應用實驗3 3 記帳（記帳（AccountingAccounting） 此過程主要是收集信息，以確定誰在使用此過程主要是收集信息，以確定誰在使用哪些資源。記帳服務還會將收集到的訪問信息哪些資源。記帳服務還會將收集到的訪問信息發(fā)送到安全服務器，這些信息包括用戶身份、發(fā)送到安全服務器，這些信息包括用戶身份、開始和停止時間、執(zhí)行的命令、數(shù)據(jù)包數(shù)目和開始和停止時間、執(zhí)行的命令、數(shù)據(jù)包數(shù)目和字節(jié)數(shù)目等。在一個遠程接入網(wǎng)絡上，記帳也字節(jié)數(shù)目等。

8、在一個遠程接入網(wǎng)絡上，記帳也提供帳單服務。記帳服務對安全的貢獻是審計提供帳單服務。記帳服務對安全的貢獻是審計追蹤。追蹤。第七章認證技術與應用實驗第七章認證技術與應用實驗7.1.3AAA安全服務器安全服務器 實現(xiàn)實現(xiàn)AAAAAA安全的核心是安全的核心是AAAAAA安全服務器，它存儲實安全服務器，它存儲實施施AAAAAA安全策略的訪問控制信息，因此它通常被看成是安全策略的訪問控制信息，因此它通常被看成是一個數(shù)據(jù)庫。一個數(shù)據(jù)庫。1 1 采用本地安全數(shù)據(jù)庫的采用本地安全數(shù)據(jù)庫的AAAAAA2 2 采用遠程安全數(shù)據(jù)庫的采用遠程安全數(shù)據(jù)庫的AAAAAA第七章認證技術與應用實驗第七章認證技術與應用實驗1 1

9、采用本地安全數(shù)據(jù)庫的采用本地安全數(shù)據(jù)庫的AAAAAA 如果只有少量用戶通過一臺或者如果只有少量用戶通過一臺或者2 2臺臺NASNAS訪問內(nèi)部訪問內(nèi)部網(wǎng)絡，可以考慮將用戶名和口令安全信息存儲在網(wǎng)絡，可以考慮將用戶名和口令安全信息存儲在NASNAS上，上，這被稱作在本地安全數(shù)據(jù)庫上的本地認證。這被稱作在本地安全數(shù)據(jù)庫上的本地認證。第七章認證技術與應用實驗第七章認證技術與應用實驗 要使用本地數(shù)據(jù)庫進行認證，必須先在每臺要使用本地數(shù)據(jù)庫進行認證，必須先在每臺NASNAS上的本地上的本地安全數(shù)據(jù)庫中用安全數(shù)據(jù)庫中用AAAAAA命令為想要登錄網(wǎng)絡的每個用戶建立用命令為想要登錄網(wǎng)絡的每個用戶建立用戶名及其口

10、令。戶名及其口令。認證過程如下認證過程如下（1 1）遠程用戶與）遠程用戶與NASNAS建立起一個建立起一個PPPPPP連接。連接。（2 2）NASNAS提示用戶輸入用戶名和口令提示用戶輸入用戶名和口令（3 3）NASNAS通過本地數(shù)據(jù)庫對收到的用戶名和口令進行認證通過本地數(shù)據(jù)庫對收到的用戶名和口令進行認證（4 4）NASNAS根據(jù)其本地數(shù)據(jù)庫中的認證值授權用戶一定的網(wǎng)絡服根據(jù)其本地數(shù)據(jù)庫中的認證值授權用戶一定的網(wǎng)絡服務和可訪問的目的地務和可訪問的目的地（5 5）NASNAS記錄用戶的通信數(shù)據(jù)量并按本地數(shù)據(jù)庫中指定的格式記錄用戶的通信數(shù)據(jù)量并按本地數(shù)據(jù)庫中指定的格式編制審計記錄編制審計記錄第七章

11、認證技術與應用實驗第七章認證技術與應用實驗圖圖7.2執(zhí)行執(zhí)行AAA的一個本地安全數(shù)據(jù)庫的一個本地安全數(shù)據(jù)庫第七章認證技術與應用實驗第七章認證技術與應用實驗本地數(shù)據(jù)庫上本地數(shù)據(jù)庫上AAAAAA的特點：的特點：（1 1）本地安全數(shù)據(jù)庫上的本地認證適合于只有少量用戶）本地安全數(shù)據(jù)庫上的本地認證適合于只有少量用戶和和NASNAS的小網(wǎng)絡的小網(wǎng)絡（2 2）用戶名、口令和授權參數(shù)被存儲在）用戶名、口令和授權參數(shù)被存儲在NASNAS上的本地數(shù)上的本地數(shù)據(jù)庫中。據(jù)庫中。（3 3）根據(jù)本地安全數(shù)據(jù)庫對遠程用戶進行認證和授權）根據(jù)本地安全數(shù)據(jù)庫對遠程用戶進行認證和授權（4 4）本地安全數(shù)據(jù)庫對授權和審計的支持有限

12、。）本地安全數(shù)據(jù)庫對授權和審計的支持有限。（5 5）用本地安全數(shù)據(jù)庫對用戶控制可節(jié)省安裝和維護一）用本地安全數(shù)據(jù)庫對用戶控制可節(jié)省安裝和維護一個遠程安全數(shù)據(jù)庫的費用。個遠程安全數(shù)據(jù)庫的費用。第七章認證技術與應用實驗第七章認證技術與應用實驗 2 2采用遠程安全數(shù)據(jù)庫的采用遠程安全數(shù)據(jù)庫的AAAAAA 當網(wǎng)絡規(guī)模變大、遠程用戶數(shù)目和當網(wǎng)絡規(guī)模變大、遠程用戶數(shù)目和NASNAS數(shù)目增多數(shù)目增多時，比較方便的方法就是使用一個遠程安全數(shù)據(jù)庫來時，比較方便的方法就是使用一個遠程安全數(shù)據(jù)庫來為網(wǎng)絡中的各個為網(wǎng)絡中的各個NASNAS和路由器提供和路由器提供AAAAAA服務。遠程安全服務。遠程安全數(shù)據(jù)庫能夠使管理

13、員集中管理遠程用戶，不必為增加數(shù)據(jù)庫能夠使管理員集中管理遠程用戶，不必為增加和改變一個遠程用戶原型而去更新所有的和改變一個遠程用戶原型而去更新所有的NASNAS。遠程安。遠程安全數(shù)據(jù)庫有助于在公司內(nèi)建立和加強一致的遠程訪問全數(shù)據(jù)庫有助于在公司內(nèi)建立和加強一致的遠程訪問策略。策略。第七章認證技術與應用實驗第七章認證技術與應用實驗通過遠程安全數(shù)據(jù)庫進行認證的工作過程：通過遠程安全數(shù)據(jù)庫進行認證的工作過程：（1 1）用戶和）用戶和NASNAS建立起一條建立起一條PPPPPP連接連接（2 2）NASNAS提示用戶輸入用戶名和口令，用戶對該提示進提示用戶輸入用戶名和口令，用戶對該提示進行回應行回應（3

14、3）NASNAS將用戶名和口令傳遞給安全服務器將用戶名和口令傳遞給安全服務器（4 4）遠程安全數(shù)據(jù)庫對用戶進行認證并授權用戶訪問網(wǎng)）遠程安全數(shù)據(jù)庫對用戶進行認證并授權用戶訪問網(wǎng)絡。該數(shù)據(jù)庫會通過下載相應的命令，并激活絡。該數(shù)據(jù)庫會通過下載相應的命令，并激活NASNAS中的中的訪問控制列表來配置訪問控制列表來配置NASNAS。（5 5）NASNAS按照遠程安全數(shù)據(jù)庫中所指定的格式來編制審按照遠程安全數(shù)據(jù)庫中所指定的格式來編制審計記錄，并將這些記錄發(fā)送給安全服務器。安全服務計記錄，并將這些記錄發(fā)送給安全服務器。安全服務器也可以自己編制審計記錄。器也可以自己編制審計記錄。第七章認證技術與應用實驗第七

15、章認證技術與應用實驗圖圖7.3 執(zhí)行執(zhí)行AAA的一個遠程安全數(shù)據(jù)庫的一個遠程安全數(shù)據(jù)庫第七章認證技術與應用實驗第七章認證技術與應用實驗遠程安全數(shù)據(jù)庫上遠程安全數(shù)據(jù)庫上AAAAAA的特點：的特點：（1 1）用遠程安全數(shù)據(jù)庫認證最適用于擁有較多遠程用戶）用遠程安全數(shù)據(jù)庫認證最適用于擁有較多遠程用戶和和NASNAS的中到大型網(wǎng)絡，在這種場合下，安全數(shù)據(jù)庫的的中到大型網(wǎng)絡，在這種場合下，安全數(shù)據(jù)庫的成本相對來說就比較容易接受成本相對來說就比較容易接受(2)(2)用戶名、口令和授權參數(shù)被集中存放在遠程安全服務用戶名、口令和授權參數(shù)被集中存放在遠程安全服務器上的用戶數(shù)據(jù)庫中器上的用戶數(shù)據(jù)庫中（3 3）根據(jù)

16、遠程安全數(shù)據(jù)庫對遠程用戶進行認證和授權）根據(jù)遠程安全數(shù)據(jù)庫對遠程用戶進行認證和授權（4 4）授權和審計在）授權和審計在NASNAS和遠程安全數(shù)據(jù)庫上均被支持和遠程安全數(shù)據(jù)庫上均被支持（5 5）遠程安全數(shù)據(jù)庫可以控制對）遠程安全數(shù)據(jù)庫可以控制對NASNAS或通過或通過NASNAS的訪問。的訪問。（6 6）遠程安全數(shù)據(jù)庫所賦予的集中控制能力可以節(jié)省在）遠程安全數(shù)據(jù)庫所賦予的集中控制能力可以節(jié)省在網(wǎng)絡上管理每臺網(wǎng)絡上管理每臺NASNAS的成本。的成本。第七章認證技術與應用實驗第七章認證技術與應用實驗7.1.4AAA認證協(xié)議認證協(xié)議圖圖7.4 Tacacs+/Radius安全服務器的應用安全服務器的應

17、用第七章認證技術與應用實驗第七章認證技術與應用實驗7.2Radius協(xié)議協(xié)議（Remote Authentication Dial In User ServerRemote Authentication Dial In User Server） 遠程鑒遠程鑒別撥入用戶服務別撥入用戶服務 是一個分布式的客戶機是一個分布式的客戶機/ /服務器協(xié)議，用于防止網(wǎng)絡被非服務器協(xié)議，用于防止網(wǎng)絡被非授權訪問。授權訪問。 RadiusRadius協(xié)議是將認證和授權結(jié)合在一起的，但是它對審協(xié)議是將認證和授權結(jié)合在一起的，但是它對審計是單獨處理的。計是單獨處理的。RadiusRadius可以與其他可以與其他AA

18、AAAA安全協(xié)議如安全協(xié)議如TacacsTacacs、KerberosKerberos和本地數(shù)據(jù)庫一起使用。和本地數(shù)據(jù)庫一起使用。 RadiusRadius是一個完全開放的協(xié)議，它以源碼形式被發(fā)布，是一個完全開放的協(xié)議，它以源碼形式被發(fā)布，所以可以被人們修改來與任何現(xiàn)有的安全系統(tǒng)一起工作。所以可以被人們修改來與任何現(xiàn)有的安全系統(tǒng)一起工作。RadiusRadius規(guī)定了用于開發(fā)商的特定屬性，允許開發(fā)商支持他們規(guī)定了用于開發(fā)商的特定屬性，允許開發(fā)商支持他們自己的、不通用的擴展屬性。自己的、不通用的擴展屬性。第七章認證技術與應用實驗第七章認證技術與應用實驗7.2.1 Radius7.2.1 Radi

19、us協(xié)議工作過程協(xié)議工作過程1 1認證和授權過程認證和授權過程 RadiusRadius客戶端和客戶端和RadiusRadius安全服務器之間用訪問請求、訪問許安全服務器之間用訪問請求、訪問許可、訪問拒絕、訪問挑戰(zhàn)數(shù)據(jù)包進行通信?？伞⒃L問拒絕、訪問挑戰(zhàn)數(shù)據(jù)包進行通信。圖圖7.5Radius認證和授權過程認證和授權過程第七章認證技術與應用實驗第七章認證技術與應用實驗NASNAS被配置為被配置為RadiusRadius客戶端客戶端（1 1）用戶向）用戶向NASNAS發(fā)起一個發(fā)起一個PPPPPP的認證請求的認證請求（2 2）用戶被提示輸入用戶名和口令）用戶被提示輸入用戶名和口令（3 3）NASNAS

20、通過網(wǎng)絡向通過網(wǎng)絡向RadiusRadius安全服務器發(fā)送一個含有用安全服務器發(fā)送一個含有用戶名和加密口令的訪問請求數(shù)據(jù)包戶名和加密口令的訪問請求數(shù)據(jù)包（4 4）RadiusRadius安全服務器核驗發(fā)送請求的客戶端，對用戶安全服務器核驗發(fā)送請求的客戶端，對用戶進行認證，查證用戶的授權參數(shù)，然后發(fā)出下列幾種進行認證，查證用戶的授權參數(shù)，然后發(fā)出下列幾種響應之一：響應之一： 訪問許可用戶通過認證訪問許可用戶通過認證 訪問拒絕用戶認證失敗，可能會被網(wǎng)絡接入服務器訪問拒絕用戶認證失敗，可能會被網(wǎng)絡接入服務器提示再次輸入用戶名和口令，也可能直接被拒絕提示再次輸入用戶名和口令，也可能直接被拒絕 訪問挑戰(zhàn)

21、訪問挑戰(zhàn)RadiusRadius安全服務器可以發(fā)出一條挑戰(zhàn)信息。安全服務器可以發(fā)出一條挑戰(zhàn)信息。NASNAS再從用戶處收集更多的信息，然后發(fā)給再從用戶處收集更多的信息，然后發(fā)給RadiusRadius安全安全服務器服務器第七章認證技術與應用實驗第七章認證技術與應用實驗（5 5）NASNAS根據(jù)認證參數(shù)進行動作，允許所選的服務根據(jù)認證參數(shù)進行動作，允許所選的服務（6 6）訪問許可和訪問拒絕相應數(shù)據(jù)包還會帶有其他信息。）訪問許可和訪問拒絕相應數(shù)據(jù)包還會帶有其他信息。RadiusRadius認證過程須在認證過程須在RadiusRadius授權過程之前完成?？杀话跈噙^程之前完成?？杀话谠L問許可和

22、訪問拒絕數(shù)據(jù)包中的一些其他數(shù)據(jù)如下：含在訪問許可和訪問拒絕數(shù)據(jù)包中的一些其他數(shù)據(jù)如下： 1 1）用戶可以訪問的服務，包括）用戶可以訪問的服務，包括TelnetTelnet、rloginrlogin和和PPPPPP 2 2）SLIPSLIP或或EXECEXEC服務服務 3 3）包括主機或客戶端）包括主機或客戶端IPIP地址、訪問控制列表和用戶地址、訪問控制列表和用戶超時值的一些連接參數(shù)超時值的一些連接參數(shù)（7 7）RadiusRadius安全服務器可以向安全服務器可以向NASNAS周期性的發(fā)送訪問挑戰(zhàn)周期性的發(fā)送訪問挑戰(zhàn)數(shù)據(jù)包，提示用戶重新輸入用戶名和口令，讓數(shù)據(jù)包，提示用戶重新輸入用戶名和口令

23、，讓NASNAS發(fā)送發(fā)送起狀態(tài)信息，或者執(zhí)行有起狀態(tài)信息，或者執(zhí)行有RadiusRadius服務器可開發(fā)上所決定服務器可開發(fā)上所決定的其他動作。但的其他動作。但RadiusRadius客戶端不可以發(fā)送訪問挑戰(zhàn)數(shù)據(jù)客戶端不可以發(fā)送訪問挑戰(zhàn)數(shù)據(jù)包。包。第七章認證技術與應用實驗第七章認證技術與應用實驗2 2 記帳審計過程記帳審計過程 RadiusRadius協(xié)議將審計信息從協(xié)議將審計信息從RadiusRadius客戶端通過客戶端通過UDPUDP端口端口1813 1813 發(fā)送給發(fā)送給RadiusRadius審計服務器。審計服務器。RadiusRadius客戶端負責使用含有審計請求的數(shù)據(jù)包將用戶審客戶

24、端負責使用含有審計請求的數(shù)據(jù)包將用戶審計信息發(fā)送給指定的計信息發(fā)送給指定的RadiusRadius審計服務器。審計服務器。 RadiusRadius審計服務器負責接受審計請求，并回審計服務器負責接受審計請求，并回送一個表示它已成功收到審計請求的響應，它用送一個表示它已成功收到審計請求的響應，它用審計響應數(shù)據(jù)包來完成該任務。審計響應數(shù)據(jù)包來完成該任務。第七章認證技術與應用實驗第七章認證技術與應用實驗圖圖7.5 Radius記帳審計過程記帳審計過程第七章認證技術與應用實驗第七章認證技術與應用實驗RadiusRadius的記帳審計過程如下：的記帳審計過程如下：（1 1）初始認證過后，）初始認證過后，

25、NASNAS向向RadiusRadius安全服務器發(fā)送一個安全服務器發(fā)送一個審計請求開始數(shù)據(jù)包審計請求開始數(shù)據(jù)包（2 2）RadiusRadius安全服務器用一個審計響應數(shù)據(jù)包確認收到安全服務器用一個審計響應數(shù)據(jù)包確認收到了該審計請求開始數(shù)據(jù)包了該審計請求開始數(shù)據(jù)包（3 3）服務結(jié)束后，）服務結(jié)束后，NASNAS向向RadiusRadius安全服務器發(fā)送一個審安全服務器發(fā)送一個審計請求結(jié)束數(shù)據(jù)包，描述所提供服務的類型和任選的計請求結(jié)束數(shù)據(jù)包，描述所提供服務的類型和任選的統(tǒng)計信息統(tǒng)計信息（4 4）RadiusRadius安全服務器用一個審計響應數(shù)據(jù)包確認收到安全服務器用一個審計響應數(shù)據(jù)包確認收到

26、了該審計請求結(jié)束包。了該審計請求結(jié)束包。第七章認證技術與應用實驗第七章認證技術與應用實驗7.2.2 Radius協(xié)議的特點協(xié)議的特點1 UDP數(shù)據(jù)包，端口號數(shù)據(jù)包，端口號18122 認證與授權相結(jié)合，審計獨立認證與授權相結(jié)合，審計獨立3 PAP和和CHAP認證認證4 廣域網(wǎng)安全廣域網(wǎng)安全5 SLIP、PPP和和ARAP幀協(xié)議、幀協(xié)議、6 回撥回撥7 可擴展可擴展8 確保網(wǎng)絡安全確保網(wǎng)絡安全第七章認證技術與應用實驗第七章認證技術與應用實驗7.2.3 Radius服務器在服務器在VPN中的應用中的應用 VPNVPN是虛擬專用網(wǎng)絡的縮寫，屬于遠程訪問技術，簡單地說是虛擬專用網(wǎng)絡的縮寫，屬于遠程訪問技

27、術，簡單地說就是利用公網(wǎng)鏈路架設私有網(wǎng)絡。例如公司員工出差到外地，他就是利用公網(wǎng)鏈路架設私有網(wǎng)絡。例如公司員工出差到外地，他想訪問企業(yè)內(nèi)網(wǎng)的服務器資源，這種訪問就屬于遠程訪問。怎么想訪問企業(yè)內(nèi)網(wǎng)的服務器資源，這種訪問就屬于遠程訪問。怎么才能讓外地員工訪問到內(nèi)網(wǎng)資源呢？才能讓外地員工訪問到內(nèi)網(wǎng)資源呢？VPNVPN的解決方法是在內(nèi)網(wǎng)中的解決方法是在內(nèi)網(wǎng)中架設一臺架設一臺VPNVPN服務器，服務器，VPNVPN服務器有兩塊網(wǎng)卡，一塊連接內(nèi)網(wǎng)，一服務器有兩塊網(wǎng)卡，一塊連接內(nèi)網(wǎng)，一塊連接公網(wǎng)。外地員工在當?shù)剡B上互聯(lián)網(wǎng)后，通過互聯(lián)網(wǎng)找到塊連接公網(wǎng)。外地員工在當?shù)剡B上互聯(lián)網(wǎng)后，通過互聯(lián)網(wǎng)找到VPNVPN服務

28、器，然后利用服務器，然后利用VPNVPN服務器作為跳板進入企業(yè)內(nèi)網(wǎng)。為了保服務器作為跳板進入企業(yè)內(nèi)網(wǎng)。為了保證數(shù)據(jù)安全，證數(shù)據(jù)安全，VPNVPN服務器和客戶機之間的通訊數(shù)據(jù)都進行了加密服務器和客戶機之間的通訊數(shù)據(jù)都進行了加密處理。有了數(shù)據(jù)加密，我們可以認為數(shù)據(jù)是在一條專用的數(shù)據(jù)鏈處理。有了數(shù)據(jù)加密，我們可以認為數(shù)據(jù)是在一條專用的數(shù)據(jù)鏈路上進行安全傳輸，就好像我們專門架設了一個專用網(wǎng)絡一樣。路上進行安全傳輸，就好像我們專門架設了一個專用網(wǎng)絡一樣。但實際上但實際上VPNVPN使用的是互聯(lián)網(wǎng)上的公用鏈路，因此只能稱為虛擬使用的是互聯(lián)網(wǎng)上的公用鏈路，因此只能稱為虛擬專用網(wǎng)。專用網(wǎng)。第七章認證技術與應用

29、實驗第七章認證技術與應用實驗第七章認證技術與應用實驗第七章認證技術與應用實驗1 Radius服務器安裝服務器安裝首先我們在首先我們在Denver上安裝上安裝Radius服務器，服務器，Radius服服務器并不一定要安裝在域控制器上，我們在此完全是務器并不一定要安裝在域控制器上，我們在此完全是為了實驗方便才把為了實驗方便才把Radius和域控制器集于一身。在和域控制器集于一身。在Denver上依次點擊上依次點擊 控制面板添加或刪除程序添加控制面板添加或刪除程序添加刪除刪除Windows組件，如下圖所示，選擇網(wǎng)絡服務組組件，如下圖所示，選擇網(wǎng)絡服務組件中的件中的“Internet驗證服務驗證服務”

30、，點擊確定后我們就可以，點擊確定后我們就可以在在Denver上安裝上安裝Radius服務了。服務了。第七章認證技術與應用實驗第七章認證技術與應用實驗第七章認證技術與應用實驗第七章認證技術與應用實驗2 Radius服務器添加客戶端服務器添加客戶端想利用想利用Radius服務器對訪問者進行身份驗證，服務器對訪問者進行身份驗證，ISA首首先得成為先得成為Radius的客戶端，下面我們就在的客戶端，下面我們就在Radius服務服務器中把器中把ISA服務器添加為客戶端。在服務器添加為客戶端。在Denver上依次點上依次點擊擊 開始程序管理工具開始程序管理工具Internet驗證服務，如下驗證服務，如下圖

31、所示，右鍵圖所示，右鍵“點擊點擊Radius客戶端客戶端”，選擇，選擇“新建新建Radius客戶端客戶端”。第七章認證技術與應用實驗第七章認證技術與應用實驗第七章認證技術與應用實驗第七章認證技術與應用實驗為為Radius客戶端配置一個易于記憶的名字，并填寫客戶客戶端配置一個易于記憶的名字，并填寫客戶端的端的IP。 第七章認證技術與應用實驗第七章認證技術與應用實驗 在客戶端在客戶端-供應商類型中應選擇供應商類型中應選擇“Microsoft”，注意，注意設置設置Radius服務器和客戶端的共享密碼。服務器和客戶端的共享密碼。Radius服務服務器和客戶端依靠這個密碼進行彼此的身份驗證。這個器和客戶

32、端依靠這個密碼進行彼此的身份驗證。這個密碼并不在網(wǎng)絡上傳遞，如果密碼并不在網(wǎng)絡上傳遞，如果Radius服務器認為有必服務器認為有必要，還會使用挑戰(zhàn)要，還會使用挑戰(zhàn)/響應的機制向響應的機制向Radius客戶端提出身客戶端提出身份驗證請求。具體就是份驗證請求。具體就是Radius服務器生成一個隨機字服務器生成一個隨機字符串，然后用這個共享口令加密，然后把加密后的密符串，然后用這個共享口令加密，然后把加密后的密文傳給客戶端，要求客戶端對密文解密后再回傳給服文傳給客戶端，要求客戶端對密文解密后再回傳給服務器，如果客戶端回送的內(nèi)容和原始的隨機字符串一務器，如果客戶端回送的內(nèi)容和原始的隨機字符串一樣，那客

33、戶端的身份就得到了認可。樣，那客戶端的身份就得到了認可。 第七章認證技術與應用實驗第七章認證技術與應用實驗第七章認證技術與應用實驗第七章認證技術與應用實驗Radius服務器已經(jīng)把服務器已經(jīng)把ISA服務器添加成了客戶端。服務器添加成了客戶端。 第七章認證技術與應用實驗第七章認證技術與應用實驗三三 配置使用配置使用Radius服務器服務器Radius服務器已經(jīng)把服務器已經(jīng)把ISA服務器添加成了客戶端，那服務器添加成了客戶端，那我們接下來就需要在我們接下來就需要在ISA服務器上配置使用服務器上配置使用Radius服務服務器進行身份驗證。如下圖所示，在器進行身份驗證。如下圖所示，在ISA的管理工具中定

34、的管理工具中定位到位到“虛擬專用網(wǎng)絡虛擬專用網(wǎng)絡”，點擊右側(cè)面板中的，點擊右側(cè)面板中的“指定指定Radius配置配置”。第七章認證技術與應用實驗第七章認證技術與應用實驗第七章認證技術與應用實驗第七章認證技術與應用實驗如下圖所示，我們勾選“使用Radius進行身份驗證”以及“使用Radius記賬”，然后點擊“Radius服務器”。 第七章認證技術與應用實驗第七章認證技術與應用實驗點擊下圖中的“添加”按鈕，添加Radius服務器的配置。 第七章認證技術與應用實驗第七章認證技術與應用實驗在服務器名中填寫了在服務器名中填寫了Radius服務器的完全合格域名，在服務器的完全合格域名，在共享的機密中點擊共

35、享的機密中點擊“更改更改”按鈕，填寫了按鈕，填寫了Radius服務服務器設置的共享密碼，點擊確定后完成器設置的共享密碼，點擊確定后完成Radius服務器的服務器的配置。配置。第七章認證技術與應用實驗第七章認證技術與應用實驗四四 配置配置Radius服務器啟用日志服務器啟用日志由于在由于在ISA服務器中配置了使用服務器中配置了使用Radius服務器進行記服務器進行記賬，因此我們在賬，因此我們在Radius服務器中啟用日志功能。在服務器中啟用日志功能。在Denver的管理工具中打開的管理工具中打開Internet驗證，點擊驗證，點擊“遠程訪遠程訪問記錄問記錄”，如下圖所示，我們可以選擇使用文件記錄

36、，如下圖所示，我們可以選擇使用文件記錄或數(shù)據(jù)庫記錄，今天我們只是簡單地實驗一下，因此或數(shù)據(jù)庫記錄，今天我們只是簡單地實驗一下，因此選擇選擇“本地文件本地文件”。第七章認證技術與應用實驗第七章認證技術與應用實驗第七章認證技術與應用實驗第七章認證技術與應用實驗我們選擇在日志中記錄我們選擇在日志中記錄“記賬請求記賬請求”，“身份驗證請求身份驗證請求”和和“周期性狀態(tài)周期性狀態(tài)”。 第七章認證技術與應用實驗第七章認證技術與應用實驗五五 VPN訪問實驗訪問實驗在客戶機在客戶機Istanbul上進行上進行Radius實驗了，如下圖所示，實驗了，如下圖所示，我們在我們在Istanbul上準備以上準備以con

37、tosoadministrator的身份進的身份進行行VPN身份驗證，由于身份驗證，由于ISA服務器在工作組環(huán)境，因此服務器在工作組環(huán)境，因此如果不使用如果不使用Radius服務器，服務器，ISA服務器無法驗證域用戶服務器無法驗證域用戶的身份。點擊連接，看看結(jié)果如何？的身份。點擊連接，看看結(jié)果如何？第七章認證技術與應用實驗第七章認證技術與應用實驗第七章認證技術與應用實驗第七章認證技術與應用實驗Istanbul已經(jīng)成功地撥入了已經(jīng)成功地撥入了VPN服務器，服務器，Radius服務器起服務器起作用了。作用了。 第七章認證技術與應用實驗第七章認證技術與應用實驗 去去Radius服務器看看日志中有沒有

38、記錄這次訪問，服務器看看日志中有沒有記錄這次訪問，Radius的日志文件存儲在的日志文件存儲在C:Windowssystem32logfiles目錄下，如下圖所示，我們打開此目錄中的目錄下，如下圖所示，我們打開此目錄中的IN0808.log，這就是這就是Radius的日志文件。的日志文件。 第七章認證技術與應用實驗第七章認證技術與應用實驗第七章認證技術與應用實驗第七章認證技術與應用實驗第七章認證技術與應用實驗第七章認證技術與應用實驗7.3Tacacs 協(xié)議協(xié)議（Terminal Access Controller Access Control Terminal Access Controlle

39、r Access Control System PlusSystem Plus）終端訪問控制器訪問控制系統(tǒng)）終端訪問控制器訪問控制系統(tǒng)實現(xiàn)了對企圖訪問支持實現(xiàn)了對企圖訪問支持TacacsTacacs的的NASNAS、路由器和其他網(wǎng)、路由器和其他網(wǎng)絡設備的用戶的集中控制絡設備的用戶的集中控制TacacsTacacs有有3 3個工作過程，分別為認證、授權和計費個工作過程，分別為認證、授權和計費第七章認證技術與應用實驗第七章認證技術與應用實驗1 1 認證過程認證過程（1 1）NASNAS向向Tacacs+Tacacs+安全服務器發(fā)送一個開始認證數(shù)據(jù)包，啟安全服務器發(fā)送一個開始認證數(shù)據(jù)包，啟動認證過程

40、動認證過程（2 2）TacacsTacacs安全服務器上的認證進程會向安全服務器上的認證進程會向NASNAS回送一個含回送一個含有用戶名提示的有用戶名提示的GetuserGetuser數(shù)據(jù)包數(shù)據(jù)包（3 3）NASNAS向用戶顯示用戶名提示，并將用戶輸入的用戶名放向用戶顯示用戶名提示，并將用戶輸入的用戶名放在一個在一個ContinueContinue數(shù)據(jù)包中發(fā)送給數(shù)據(jù)包中發(fā)送給TacacsTacacs安全服務器安全服務器（4 4）TacacsTacacs安全服務器通常會再向安全服務器通常會再向NASNAS發(fā)送一個含有口令發(fā)送一個含有口令提示的提示的GetpassGetpass數(shù)據(jù)包。數(shù)據(jù)包。NA

41、SNAS向用戶顯示口令提示。向用戶顯示口令提示。（5 5）NASNAS將用戶輸入的口令放在一個將用戶輸入的口令放在一個ContinueContinue數(shù)據(jù)包中發(fā)送數(shù)據(jù)包中發(fā)送給給TacacsTacacs安全服務器安全服務器（6 6）tacacs+tacacs+安全服務器根據(jù)保存在安全服務器根據(jù)保存在TacacsTacacs配置文件中的配置文件中的信息檢查用戶輸入的口令，以判斷用戶是否通過認證。服信息檢查用戶輸入的口令，以判斷用戶是否通過認證。服務器進程隨后會回送一個相應的通過或失敗數(shù)據(jù)包給務器進程隨后會回送一個相應的通過或失敗數(shù)據(jù)包給NASNAS作作為其最終狀態(tài)。為其最終狀態(tài)。第七章認證技術與

42、應用實驗第七章認證技術與應用實驗Tacacs +認證過程認證過程第七章認證技術與應用實驗第七章認證技術與應用實驗2 2授權過程授權過程（1 1）NASNAS向向TacacsTacacs安全服務器發(fā)送一個安全服務器發(fā)送一個RequestRequest數(shù)據(jù)包。數(shù)據(jù)包。該數(shù)據(jù)包中含有描述用戶或進程真實身份的一組固定該數(shù)據(jù)包中含有描述用戶或進程真實身份的一組固定字段、描述所請求授權的服務及選項的一個可變長參字段、描述所請求授權的服務及選項的一個可變長參數(shù)集。數(shù)集。（2 2）Tacacs+Tacacs+安全服務器進程向安全服務器進程向NASNAS回送一個回送一個ResponseResponse數(shù)數(shù)據(jù)包，

43、該數(shù)據(jù)包含有一個可變長參數(shù)集。這些集合保據(jù)包，該數(shù)據(jù)包含有一個可變長參數(shù)集。這些集合保存在存在TacacsTacacs配置文件中，且已預先為各用戶配置好配置文件中，且已預先為各用戶配置好了權限許可。了權限許可。（3 3）NASNAS使用這些可變長參數(shù)集對用戶所請求的命令進使用這些可變長參數(shù)集對用戶所請求的命令進行服務。行服務。第七章認證技術與應用實驗第七章認證技術與應用實驗Tacacs+協(xié)議的授權過程協(xié)議的授權過程第七章認證技術與應用實驗第七章認證技術與應用實驗3 3 計費過程計費過程（1 1）NASNAS向向TacacsTacacs安全服務器發(fā)送一個審計請求數(shù)據(jù)包，它安全服務器發(fā)送一個審計請

44、求數(shù)據(jù)包，它包含描述用戶或進程真實身份的一組固定字段。該數(shù)據(jù)包還包含描述用戶或進程真實身份的一組固定字段。該數(shù)據(jù)包還含有一個審計記錄，它由一組可變長度的參數(shù)（含有一個審計記錄，它由一組可變長度的參數(shù)（AVAV對）組成，對）組成，這些參數(shù)描述了基于所選事件和審計方式為之編制審計記錄這些參數(shù)描述了基于所選事件和審計方式為之編制審計記錄的服務和選項。審計的服務和選項。審計AVAV對包括哪些用于授權，以及指示開始、對包括哪些用于授權，以及指示開始、結(jié)束、所用時間的參數(shù)。結(jié)束、所用時間的參數(shù)。（2 2）TacacsTacacs安全服務器對安全服務器對NASNAS回送一個響應數(shù)據(jù)包，以確認回送一個響應數(shù)據(jù)

45、包，以確認收到了審計記錄。該響應數(shù)據(jù)包指示收到了審計記錄。該響應數(shù)據(jù)包指示TacacsTacacs安全服務器上安全服務器上的審計功能已經(jīng)完成，審計記錄被記錄和保存起來了。的審計功能已經(jīng)完成，審計記錄被記錄和保存起來了。第七章認證技術與應用實驗第七章認證技術與應用實驗Tacacs+的記賬審計過程的記賬審計過程第七章認證技術與應用實驗第七章認證技術與應用實驗7.4.2Tacacs+協(xié)議的特點協(xié)議的特點1 用用TCP包傳輸數(shù)據(jù)包傳輸數(shù)據(jù)2 鏈路加密鏈路加密3 每一個每一個Tacacs有一個以明文方式傳送的有一個以明文方式傳送的12字節(jié)頭標和一個包含字節(jié)頭標和一個包含Tacacs參數(shù)的可變長度的數(shù)據(jù)體

46、參數(shù)的可變長度的數(shù)據(jù)體4PAP和和CHAP認證認證5LAN和和WAN安全安全6自動命令自動命令7回撥回撥8用戶訪問控制列表用戶訪問控制列表9AAA架構(gòu)架構(gòu)第七章認證技術與應用實驗第七章認證技術與應用實驗7.4 tacacs+和和Radius比較比較功能表功能表Tacacs+RadiusAAA支持支持AAA的的3種服務是分開的種服務是分開的認證和授權結(jié)合在一起，認證和授權結(jié)合在一起，審計是單獨的審計是單獨的傳輸協(xié)議傳輸協(xié)議TCPUDP挑戰(zhàn)挑戰(zhàn)/響應響應雙向雙向單向單向數(shù)據(jù)完整性數(shù)據(jù)完整性整個整個Tacacs數(shù)據(jù)包是數(shù)據(jù)包是被加密的被加密的只有口令被加密只有口令被加密第七章認證技術與應用實驗第七章

47、認證技術與應用實驗7.5認證技術實驗認證技術實驗 用戶從計算機用戶從計算機1 1通過通過Windows 2000ProfessionalWindows 2000Professional的的組件組件“網(wǎng)絡和撥號連接網(wǎng)絡和撥號連接”，由程控交換機撥入到，由程控交換機撥入到Cisco2511Cisco2511異步口。此時，異步口。此時，Cisco2511Cisco2511作為前臺的作為前臺的NASNAS，并通過其以太網(wǎng)口并通過其以太網(wǎng)口E0E0連接到另一臺計算機連接到另一臺計算機2 2，計算機，計算機2 2作為安全服務器（安裝作為安全服務器（安裝RadiusRadius協(xié)議）協(xié)議）第七章認證技術與應

48、用實驗第七章認證技術與應用實驗第七章認證技術與應用實驗第七章認證技術與應用實驗配置路由器上的配置路由器上的Modem將將r2511的的e0端口激活端口激活r2511(config)#interface e0r2511(config-if)#ip addr 192.168.1.5 255.255.255.0r2511(config-if)#no shutdown配置異步端口配置異步端口r2511(config)#line 1r2511(config-line)#loginr2511(config-line)#password ciscor2511(config-line)#modem inout

49、r2511(config-line)#transport input allr2511(config-line)#speed 115200r2511(config-line)#stopbits 1r2511(config-line)#flowcontrol hardwarer2511(config-line)#exitr2511(config)#ip host modem2 2001 192.168.1.5第七章認證技術與應用實驗第七章認證技術與應用實驗R2511#telnet modem 2登陸到登陸到modem2后可以用后可以用at命令集配置命令集配置atat&f 載入出廠時的默認值載入出廠時的默認值ats0=1 modem在受到第一次震鈴時就自動回應進入的呼在受到第一次震鈴時就自動回應進入的呼叫叫at&cl&d3 設置設置Modem控制的控制的DCD和和DTR信號信號at&w 保存設置保存設置第七章認證技術與應用實驗第七章認證技術與應用