網(wǎng)絡(luò)身份認(rèn)證技術(shù).ppt_第1頁
網(wǎng)絡(luò)身份認(rèn)證技術(shù).ppt_第2頁
網(wǎng)絡(luò)身份認(rèn)證技術(shù).ppt_第3頁
網(wǎng)絡(luò)身份認(rèn)證技術(shù).ppt_第4頁
網(wǎng)絡(luò)身份認(rèn)證技術(shù).ppt_第5頁
已閱讀5頁,還剩38頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、身份驗(yàn)證與網(wǎng)絡(luò)接入控制,主要內(nèi)容,AAA RADIUS 802.1x,課程議題,基本概念,AAA Authentication、Authorization、Accounting驗(yàn)證、授權(quán)、記費(fèi) PAPPassword Authentication Protocol 密碼驗(yàn)證協(xié)議 CHAP Challenge-Handshake Authentication Protocol 盤問握手驗(yàn)證協(xié)議 NASNetwork Access Server 網(wǎng)絡(luò)接入服務(wù)器 RADIUS Remote Authentication Dial In User Service 遠(yuǎn)程驗(yàn)證撥入用戶服務(wù)(遠(yuǎn)程撥入用戶驗(yàn)證

2、服務(wù)),AAA介紹,AAA(Authentication、Authorization、Accounting,認(rèn)證、授權(quán)、計(jì)費(fèi))提供了對(duì)認(rèn)證、授權(quán)和計(jì)費(fèi)功能的一致性框架 AAA 是一個(gè)提供網(wǎng)絡(luò)訪問控制安全的模型,通常用于用戶登錄設(shè)備或接入網(wǎng)絡(luò)。 AAA主要解決的是網(wǎng)絡(luò)安全訪問控制的問題 相對(duì)與其他的本地身份認(rèn)證、端口安全等安全策略,AAA能夠提供更高等級(jí)的安全保護(hù)。,AAA介紹-cont.,Authentication:認(rèn)證模塊可以驗(yàn)證用戶是否可獲得訪問權(quán)。 Authorization:授權(quán)模塊可以定義用戶可使用哪些服務(wù)或這擁有哪些權(quán)限。 Accounting:計(jì)費(fèi)模塊可以記錄用戶使用網(wǎng)絡(luò)資源的

3、情況。可實(shí)現(xiàn)對(duì)用戶使用網(wǎng)絡(luò)資源情況的記帳、統(tǒng)計(jì)、跟蹤。,AAA基本模型,AAA基本模型中分為用戶、NAS、認(rèn)證服務(wù)器三個(gè)部分 用戶向NAS設(shè)備發(fā)起連接請(qǐng)求 NAS設(shè)備將用戶的請(qǐng)求轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器 認(rèn)證服務(wù)器返回認(rèn)證結(jié)果信息給NAS設(shè)備 NAS設(shè)備根據(jù)認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果對(duì)用戶采取相應(yīng)認(rèn)證、授權(quán)、計(jì)費(fèi)的操作,AAA的認(rèn)證功能,AAA 服務(wù)器,本地認(rèn)證,遠(yuǎn)端認(rèn)證,AAA的授權(quán)功能,RADIUS 服務(wù)器,本地授權(quán),遠(yuǎn)端授權(quán),AAA的計(jì)費(fèi)功能,遠(yuǎn)端計(jì)費(fèi),RADIUS 服務(wù)器/TACACS服務(wù)器,課程議題,RADIUS ( Remote Authentication Dial In User Ser

4、vice 遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù))是在網(wǎng)絡(luò)接入設(shè)備和認(rèn)證服務(wù)器之間進(jìn)行認(rèn)證授權(quán)計(jì)費(fèi)和配置信息的協(xié)議,RADIUS協(xié)議特點(diǎn),客戶/服務(wù)器模型:網(wǎng)絡(luò)接入設(shè)備(NAS)通常作為RADIUS服務(wù)器的客戶端。 安全性:RADIUS服務(wù)器與NAS之間使用共享密鑰對(duì)敏感信息進(jìn)行加密,該密鑰不會(huì)在網(wǎng)絡(luò)上傳輸。 可擴(kuò)展的協(xié)議設(shè)計(jì):RADIUS使用屬性-長度-值(AVP,Attribute-Length-Value)數(shù)據(jù)封裝格式,用戶可以自定義其他的私有屬性,擴(kuò)展RADIUS的應(yīng)用。 靈活的鑒別機(jī)制:RADIUS服務(wù)器支持多種方式對(duì)用戶進(jìn)行認(rèn)證,支持PAP、CHAP、UNIX login等多種認(rèn)證方式。,RADIU

5、S: BasicsAuthentication Data Flow,ISP User Database,ISP Modem Pool,User dials modem pool and establishes connection,UserID: bobPassword: ge55gep,UserID: bobPassword: ge55gepNAS-ID: 207.12.4.1,Select UserID=bob,Bobpassword=ge55gepTimeout=3600other attributes,Access-AcceptUser-Name=bobother attributes

6、,Framed-Address=217.213.21.5,The Internet,ISP RADIUS Server,Internet PPP connection established,RADIUS: BasicsAuthentication Data Flow,ISP AccountingDatabase,ISP Modem Pool,Acct-Status-Type=StartUser-Name=bobFramed-Address=217.213.21.5.,Sun May 10 20:47:41 1998 Acct-Status-Type=Start User-Name=bob F

7、ramed-Address=217.213.21.5 .,The Internet,ISP RADIUS Server,Internet PPP connection established,Acknowledgement,The Accounting “Start” Record,RADIUS: BasicsAuthentication Data Flow,ISP AccountingDatabase,ISP Modem Pool,The Internet,ISP RADIUS Server,Internet PPP connection established,Acct-Status-Ty

8、pe=StopUser-Name=bobAcct-Session-Time=1432.,Sun May 10 20:50:49 1998 Acct-Status-Type=Stop User-Name=bob Acct-Session-Time=1432 .,Acknowledgement,The Accounting “Stop” Record,User Disconnects,驗(yàn)證,當(dāng)用戶想要通過某個(gè)網(wǎng)絡(luò)(如電話網(wǎng))與 NAS建立連接從而獲得訪問其他網(wǎng)絡(luò)的權(quán)利時(shí),NAS可以選擇在NAS上進(jìn)行本地認(rèn)證計(jì)費(fèi),或把用戶信息傳遞給RADIUS服務(wù)器,由Radius進(jìn)行認(rèn)證計(jì)費(fèi); RADIUS 協(xié)議

9、規(guī)定了NAS與RADIUS 服務(wù)器之間如何傳遞用戶信息和記賬信息; RADIUS服務(wù)器負(fù)責(zé)接收用戶的連接請(qǐng)求,完成驗(yàn)證,并把傳遞服務(wù)給用戶所需的配置信息返回給NAS。,本地(NAS)驗(yàn)證PAP方式:,PAP(Password Authentication Protocol)是密碼驗(yàn)證協(xié)議的簡稱,是認(rèn)證協(xié)議的一種。 用戶以明文的形式把用戶名和他的密碼傳遞給NAS,NAS根據(jù)用戶名在NAS端查找本地?cái)?shù)據(jù)庫,如果存在相同的用戶名和密碼表明驗(yàn)證通過,否則表明驗(yàn)證未通過。,本地(NAS)驗(yàn)證CHAP方式,CHAP(Challenge Handshake Authentication Protocol)是

10、盤問握手驗(yàn)證協(xié)議的簡稱,是我們使用的另一種認(rèn)證協(xié)議。 Secret Password = MD5(Chap ID + Password + challenge),本地(NAS)驗(yàn)證CHAP方式,當(dāng)用戶請(qǐng)求上網(wǎng)時(shí),服務(wù)器產(chǎn)生一個(gè)16字節(jié)的隨機(jī)碼(challenge)給用戶(同時(shí)還有一個(gè)ID號(hào),本地路由器的 host name)。用戶端得到這個(gè)包后使用自己獨(dú)用的設(shè)備或軟件對(duì)傳來的各域進(jìn)行加密,生成一個(gè)Secret Password傳給NAS。NAS根據(jù)用戶名查找自己本地的數(shù)據(jù)庫,得到和用戶端進(jìn)行加密所用的一樣的密碼,然后根據(jù)原來的16字節(jié)的隨機(jī)碼進(jìn)行加密,將其結(jié)果與Secret Password作

11、比較,如果相同表明驗(yàn)證通過,如果不相同表明驗(yàn)證失敗。 Secret Password = MD5(Chap ID + Password + challenge),遠(yuǎn)端(Radius)驗(yàn)證PAP方式:,遠(yuǎn)端認(rèn)證PAP,Secret password =Password XOR MD5(Challenge Key) (Challenge就是Radius報(bào)文中的Authenticator),我查 我算 我驗(yàn),遠(yuǎn)端(Radius)驗(yàn)證CHAP方式:,遠(yuǎn)端認(rèn)證CHAP,Secret password = MD5(Chap ID + Password + challenge),我查 我算 我驗(yàn),認(rèn)證過程,

12、課程議題,概述,IEEE802.1x(Port-Based Network Access Control)是一個(gè)基于端口的網(wǎng)絡(luò)訪問控制標(biāo)準(zhǔn),為LAN接入提供點(diǎn)對(duì)點(diǎn)式的安全接入。 基于端口的網(wǎng)絡(luò)接入控制(Port Based Network Access Control) 只有用戶通過認(rèn)證,端口才被”開放“,否則端口處于”關(guān)閉“狀態(tài) 802.1X的認(rèn)證的最終目的就是確定一個(gè)端口是否可用。對(duì)于一個(gè)端口,如果認(rèn)證成功那么就“打開”這個(gè)端口,允許文所有的報(bào)文通過;如果認(rèn)證不成功就使這個(gè)端口保持“關(guān)閉”,此時(shí)只允許802.1X的認(rèn)證報(bào)文EAPOL(Extensible Authentication Pr

13、otocol over LAN)通過。,802.1x認(rèn)證體系,802.1x是一個(gè)Client/Server結(jié)構(gòu) 802.1x認(rèn)證體系中的組件 懇求者系統(tǒng)(Supplicant System) 認(rèn)證系統(tǒng)(Authenticator System) 認(rèn)證服務(wù)器系統(tǒng)(Authentication Server System),802.1x認(rèn)證組件,懇求者系統(tǒng)(Supplicant) 也稱為客戶端(Client) 通常為支持802.1x認(rèn)證的用戶終端設(shè)備 安裝802.1x客戶端軟件 Ruijie Supplicant Windows XP 認(rèn)證系統(tǒng)(Authenticatior System) 對(duì)懇求

14、者進(jìn)行認(rèn)證 作為懇求者與認(rèn)證服務(wù)器之間的“中介” 為懇求者提供服務(wù)端口(物理、邏輯) 非受控端口 始終處于雙向連通狀態(tài),用來傳遞EAPoL協(xié)議幀,802.1x認(rèn)證組件,受控端口 只有在認(rèn)證通過的狀態(tài)下才打開,用于傳遞網(wǎng)絡(luò)資源和服務(wù) 認(rèn)證通過之前只允許EAPoL(Extensible Authentication Protocol overLAN)幀通過 認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間也運(yùn)行EAP 認(rèn)證系統(tǒng)將EAP幀封裝到RADIUS報(bào)文中發(fā)送給認(rèn)證服務(wù)器,802.1X機(jī)制,Controlled,Un-Controlled,非受控端口主要是用來連接認(rèn)證服務(wù)器,以便保證服務(wù)器與交換機(jī)的正常通訊,連接在受

15、控端口的用戶只有通過認(rèn)證才能訪問網(wǎng)絡(luò)資源,EAPOL,EAPOL,802.1x認(rèn)證組件,認(rèn)證服務(wù)器系統(tǒng)(Authentication Server System) 提供認(rèn)證服務(wù) 通常是一個(gè)RADIUS服務(wù)器 將認(rèn)證結(jié)果返回給認(rèn)證系統(tǒng),EAP,EAP(ExtensibleAuthentication Protocol) 懇求者與認(rèn)證系統(tǒng)之間使用 EAP承載認(rèn)證信息 EAP幀被封裝到LAN協(xié)議中(例如Ethernet),即EAPoL,802.1x工作機(jī)制,在客戶端與交換機(jī)之間,EAP協(xié)議報(bào)文(承載認(rèn)證信息)直接被封裝到LAN協(xié)議中 在交換機(jī)與RADIUS服務(wù)器之間,EAP協(xié)議報(bào)文被封裝到RADIU

16、S報(bào)文中,即EAPoRADIUS報(bào)文 交換機(jī)在整個(gè)認(rèn)證過程中不參與認(rèn)證,所有的認(rèn)證工作都由RADIUS服務(wù)器完成 當(dāng)RADIUS服務(wù)器對(duì)客戶端身份進(jìn)行認(rèn)證后,將認(rèn)證結(jié)果(接受或拒絕) 返回給交換機(jī),交換機(jī)根據(jù)認(rèn)證結(jié)果決定受控端口的狀態(tài),802.1X認(rèn)證過程,常用的認(rèn)證計(jì)費(fèi)技術(shù)/方式,PPPoE + Radius WEB Portal + Radius 802.1X + Radius,PPPoE認(rèn)證計(jì)費(fèi)技術(shù),Internet,核心三層交換機(jī),PPPoE的BAS設(shè)備,二層的樓棟交換機(jī),PPPoE的客戶端軟件,Radius服務(wù)器,瓶頸!,DHCP+Web認(rèn)證計(jì)費(fèi)技術(shù),Internet,核心交換機(jī),W

17、eb Portal的BAS設(shè)備,Radius服務(wù)器,普通的接入交換機(jī),用戶,瓶頸!,802.1X認(rèn)證計(jì)費(fèi)技術(shù),802.1X交換機(jī),認(rèn)證報(bào)文流,業(yè)務(wù)數(shù)據(jù)流,Internet,Radius服務(wù)器,核心交換機(jī),匯聚交換機(jī),高效!,匯聚交換機(jī),接入層啟用802.1x,接入層啟用802.1x,接入層啟用802.1x,拓?fù)湫枨?客戶端主機(jī)需支持802.1x客戶端 接入層(Access)交換機(jī)需支持802.1x 支持標(biāo)準(zhǔn)RADIUS協(xié)議的RADIUS服務(wù)器 配置要點(diǎn) 接入層連接客戶端主機(jī)的訪問端口需要啟用802.1x認(rèn)證,某公司 總部和分公司之間通過PPP鏈路連接,為了提高接入網(wǎng)絡(luò)的安全性,公司要求各分公司通過PP

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論