《网络身份认证技术.ppt》由会员分享,可在线阅读,更多相关《网络身份认证技术.ppt(43页珍藏版)》请在三一办公上搜索。
1、身份验证与网络接入控制,主要内容,AAARADIUS802.1x,课程议题,基本概念,AAA Authentication、Authorization、Accounting验证、授权、记费 PAPPassword Authentication Protocol 密码验证协议 CHAP Challenge-Handshake Authentication Protocol盘问握手验证协议 NASNetwork Access Server 网络接入服务器 RADIUS Remote Authentication Dial In User Service远程验证拨入用户服务(远程拨入用户验证服务),
2、AAA介绍,AAA(Authentication、Authorization、Accounting,认证、授权、计费)提供了对认证、授权和计费功能的一致性框架AAA 是一个提供网络访问控制安全的模型,通常用于用户登录设备或接入网络。AAA主要解决的是网络安全访问控制的问题相对与其他的本地身份认证、端口安全等安全策略,AAA能够提供更高等级的安全保护。,AAA介绍-cont.,Authentication:认证模块可以验证用户是否可获得访问权。Authorization:授权模块可以定义用户可使用哪些服务或这拥有哪些权限。Accounting:计费模块可以记录用户使用网络资源的情况。可实现对用户
3、使用网络资源情况的记帐、统计、跟踪。,AAA基本模型,AAA基本模型中分为用户、NAS、认证服务器三个部分用户向NAS设备发起连接请求NAS设备将用户的请求转发给认证服务器认证服务器返回认证结果信息给NAS设备NAS设备根据认证服务器返回的认证结果对用户采取相应认证、授权、计费的操作,AAA的认证功能,AAA 服务器,本地认证,远端认证,AAA的授权功能,RADIUS 服务器,本地授权,远端授权,AAA的计费功能,远端计费,RADIUS 服务器/TACACS服务器,课程议题,RADIUS(Remote Authentication Dial In User Service 远程认证拨号用户服务
4、)是在网络接入设备和认证服务器之间进行认证授权计费和配置信息的协议,RADIUS协议特点,客户/服务器模型:网络接入设备(NAS)通常作为RADIUS服务器的客户端。安全性:RADIUS服务器与NAS之间使用共享密钥对敏感信息进行加密,该密钥不会在网络上传输。可扩展的协议设计:RADIUS使用属性-长度-值(AVP,Attribute-Length-Value)数据封装格式,用户可以自定义其他的私有属性,扩展RADIUS的应用。灵活的鉴别机制:RADIUS服务器支持多种方式对用户进行认证,支持PAP、CHAP、UNIX login等多种认证方式。,RADIUS:BasicsAuthentica
5、tion Data Flow,ISP User Database,ISP Modem Pool,User dials modem pool and establishes connection,UserID:bobPassword:ge55gep,UserID,Select UserID=bob,Bobpassword=ge55gepTimeout=3600other attributes,Access-AcceptUser-Name=bobother attributes,The Internet,ISP RADIUS Server,Internet PPP connection estab
6、lished,RADIUS:BasicsAuthentication Data Flow,ISP AccountingDatabase,ISP Modem Pool,Acct-Status-Type=StartUser-Name=bobFramed-Address=217.213.21.5.,Sun May 10 20:47:41 1998 Acct-Status-Type=Start User-Name=bob Framed-Address=217.213.21.5.,The Internet,ISP RADIUS Server,Internet PPP connection establi
7、shed,Acknowledgement,The Accounting“Start”Record,RADIUS:BasicsAuthentication Data Flow,ISP AccountingDatabase,ISP Modem Pool,The Internet,ISP RADIUS Server,Internet PPP connection established,Acct-Status-Type=StopUser-Name=bobAcct-Session-Time=1432.,Sun May 10 20:50:49 1998 Acct-Status-Type=Stop Use
8、r-Name=bob Acct-Session-Time=1432.,Acknowledgement,The Accounting“Stop”Record,User Disconnects,验证,当用户想要通过某个网络(如电话网)与 NAS建立连接从而获得访问其他网络的权利时,NAS可以选择在NAS上进行本地认证计费,或把用户信息传递给RADIUS服务器,由Radius进行认证计费;RADIUS 协议规定了NAS与RADIUS 服务器之间如何传递用户信息和记账信息;RADIUS服务器负责接收用户的连接请求,完成验证,并把传递服务给用户所需的配置信息返回给NAS。,本地(NAS)验证PAP方式:
9、,PAP(Password Authentication Protocol)是密码验证协议的简称,是认证协议的一种。用户以明文的形式把用户名和他的密码传递给NAS,NAS根据用户名在NAS端查找本地数据库,如果存在相同的用户名和密码表明验证通过,否则表明验证未通过。,本地(NAS)验证CHAP方式,CHAP(Challenge Handshake Authentication Protocol)是盘问握手验证协议的简称,是我们使用的另一种认证协议。Secret Password=MD5(Chap ID+Password+challenge),本地(NAS)验证CHAP方式,当用户请求上网时,服
10、务器产生一个16字节的随机码(challenge)给用户(同时还有一个ID号,本地路由器的 host name)。用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密,生成一个Secret Password传给NAS。NAS根据用户名查找自己本地的数据库,得到和用户端进行加密所用的一样的密码,然后根据原来的16字节的随机码进行加密,将其结果与Secret Password作比较,如果相同表明验证通过,如果不相同表明验证失败。Secret Password=MD5(Chap ID+Password+challenge),远端(Radius)验证PAP方式:,远端认证PAP,Secret
11、 password=Password XOR MD5(Challenge Key)(Challenge就是Radius报文中的Authenticator),我查我算我验,远端(Radius)验证CHAP方式:,远端认证CHAP,Secret password=MD5(Chap ID+Password+challenge),我查我算我验,认证过程,课程议题,概述,IEEE802.1x(Port-Based Network Access Control)是一个基于端口的网络访问控制标准,为LAN接入提供点对点式的安全接入。基于端口的网络接入控制(Port Based Network Access
12、Control)只有用户通过认证,端口才被”开放“,否则端口处于”关闭“状态802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。,802.1x认证体系,802.1x是一个Client/Server结构 802.1x认证体系中的组件 恳求者系统(Supplicant System)认证系统(Authenticator System)认证服务器系统(
13、Authentication Server System),802.1x认证组件,恳求者系统(Supplicant)也称为客户端(Client)通常为支持802.1x认证的用户终端设备 安装802.1x客户端软件 Ruijie Supplicant Windows XP 认证系统(Authenticatior System)对恳求者进行认证 作为恳求者与认证服务器之间的“中介”为恳求者提供服务端口(物理、逻辑)非受控端口 始终处于双向连通状态,用来传递EAPoL协议帧,802.1x认证组件,受控端口 只有在认证通过的状态下才打开,用于传递网络资源和服务 认证通过之前只允许EAPoL(Exten
14、sible Authentication Protocol overLAN)帧通过 认证系统与认证服务器之间也运行EAP 认证系统将EAP帧封装到RADIUS报文中发送给认证服务器,802.1X机制,Controlled,Un-Controlled,非受控端口主要是用来连接认证服务器,以便保证服务器与交换机的正常通讯,连接在受控端口的用户只有通过认证才能访问网络资源,EAPOL,EAPOL,802.1x认证组件,认证服务器系统(Authentication Server System)提供认证服务 通常是一个RADIUS服务器 将认证结果返回给认证系统,EAP,EAP(ExtensibleAu
15、thentication Protocol)恳求者与认证系统之间使用EAP承载认证信息 EAP帧被封装到LAN协议中(例如Ethernet),即EAPoL,802.1x工作机制,在客户端与交换机之间,EAP协议报文(承载认证信息)直接被封装到LAN协议中 在交换机与RADIUS服务器之间,EAP协议报文被封装到RADIUS报文中,即EAPoRADIUS报文 交换机在整个认证过程中不参与认证,所有的认证工作都由RADIUS服务器完成 当RADIUS服务器对客户端身份进行认证后,将认证结果(接受或拒绝)返回给交换机,交换机根据认证结果决定受控端口的状态,802.1X认证过程,常用的认证计费技术/方
16、式,PPPoE+RadiusWEB Portal+Radius802.1X+Radius,PPPoE认证计费技术,Internet,核心三层交换机,PPPoE的BAS设备,二层的楼栋交换机,PPPoE的客户端软件,Radius服务器,瓶颈!,DHCP+Web认证计费技术,Internet,核心交换机,Web Portal的BAS设备,Radius服务器,普通的接入交换机,用户,瓶颈!,802.1X认证计费技术,802.1X交换机,认证报文流,业务数据流,Internet,Radius服务器,核心交换机,汇聚交换机,高效!,汇聚交换机,接入层启用802.1x,接入层启用802.1x,接入层启用8
17、02.1x,拓扑需求 客户端主机需支持802.1x客户端 接入层(Access)交换机需支持802.1x 支持标准RADIUS协议的RADIUS服务器配置要点 接入层连接客户端主机的访问端口需要启用802.1x认证,某公司 总部和分公司之间通过PPP链路连接,为了提高接入网络的安全性,公司要求各分公司通过PPP链路接入公司总部时都要进行认证,为了不影响路由器的性能,考虑通过RADIUS服务器进行AAA认证。,某企业 网络管理员为了防止有公司外部的用户将电脑接入到公司网络中,造成公司信息资源受到损失,希望员工的电脑在接入到公司网络之前进行身份验证,只有具有合法身份凭证的用户才可以接入到公司网络。,某企业 网络管理员为了防止有公司外部的用户将电脑接入到公司网络中,造成公司信息资源受到损失,希望员工的电脑在接入到公司网络之前进行身份验证,只有具有合法身份凭证的用户才可以接入到公司网络。网络管理员考虑在分布层部署802.1x,安全网络接入。,
