收藏
下载资源

网络身份认证技术

上传人:ji****72 文档编号:53535473 上传时间:2018-09-02 格式:PPT 页数:43 大小:7.35MB
返回 下载 相关 举报
网络身份认证技术_第1页
第1页 / 共43页
网络身份认证技术_第2页
第2页 / 共43页
网络身份认证技术_第3页
第3页 / 共43页
网络身份认证技术_第4页
第4页 / 共43页
网络身份认证技术_第5页
第5页 / 共43页
点击查看更多>>
资源描述

《网络身份认证技术》由会员分享,可在线阅读,更多相关《网络身份认证技术(43页珍藏版)》请在金锄头文库上搜索。

1、身份验证与网络接入控制,主要内容,AAA RADIUS 802.1x,课程议题,基本概念,AAA Authentication、Authorization、Accounting验证、授权、记费PAP Password Authentication Protocol 密码验证协议CHAP Challenge-Handshake Authentication Protocol 盘问握手验证协议NAS Network Access Server 网络接入服务器RADIUS Remote Authentication Dial In User Service 远程验证拨入用户服务(远程拨入用户验证服务

2、),AAA介绍,AAA(Authentication、Authorization、Accounting,认证、授权、计费)提供了对认证、授权和计费功能的一致性框架 AAA 是一个提供网络访问控制安全的模型,通常用于用户登录设备或接入网络。 AAA主要解决的是网络安全访问控制的问题 相对与其他的本地身份认证、端口安全等安全策略,AAA能够提供更高等级的安全保护。,AAA介绍-cont.,Authentication:认证模块可以验证用户是否可获得访问权。 Authorization:授权模块可以定义用户可使用哪些服务或这拥有哪些权限。 Accounting:计费模块可以记录用户使用网络资源的情况

3、。可实现对用户使用网络资源情况的记帐、统计、跟踪。,AAA基本模型,AAA基本模型中分为用户、NAS、认证服务器三个部分 用户向NAS设备发起连接请求 NAS设备将用户的请求转发给认证服务器 认证服务器返回认证结果信息给NAS设备 NAS设备根据认证服务器返回的认证结果对用户采取相应认证、授权、计费的操作,AAA的认证功能,AAA 服务器,本地认证,远端认证,AAA的授权功能,RADIUS 服务器,本地授权,远端授权,AAA的计费功能,远端计费,RADIUS 服务器/TACACS服务器,课程议题,RADIUS ( Remote Authentication Dial In User Servi

4、ce 远程认证拨号用户服务)是在网络接入设备和认证服务器之间进行认证授权计费和配置信息的协议,RADIUS协议特点,客户/服务器模型:网络接入设备(NAS)通常作为RADIUS服务器的客户端。 安全性:RADIUS服务器与NAS之间使用共享密钥对敏感信息进行加密,该密钥不会在网络上传输。 可扩展的协议设计:RADIUS使用属性-长度-值(AVP,Attribute-Length-Value)数据封装格式,用户可以自定义其他的私有属性,扩展RADIUS的应用。 灵活的鉴别机制:RADIUS服务器支持多种方式对用户进行认证,支持PAP、CHAP、UNIX login等多种认证方式。,RADIUS:

5、 Basics Authentication Data Flow,ISP User Database,ISP Modem Pool,User dials modem pool and establishes connection,UserID: bob Password: ge55gep,UserID: bob Password: ge55gep NAS-ID: 207.12.4.1,Select UserID=bob,Bob password=ge55gep Timeout=3600 other attributes,Access-Accept User-Name=bob other att

6、ributes,Framed-Address=217.213.21.5,The Internet,ISP RADIUS Server,Internet PPP connection established,RADIUS: Basics Authentication Data Flow,ISP Accounting Database,ISP Modem Pool,Acct-Status-Type=Start User-Name=bob Framed-Address=217.213.21.5 .,Sun May 10 20:47:41 1998 Acct-Status-Type=Start Use

7、r-Name=bob Framed-Address=217.213.21.5 .,The Internet,ISP RADIUS Server,Internet PPP connection established,Acknowledgement,The Accounting “Start” Record,RADIUS: Basics Authentication Data Flow,ISP Accounting Database,ISP Modem Pool,The Internet,ISP RADIUS Server,Internet PPP connection established,

8、Acct-Status-Type=Stop User-Name=bob Acct-Session-Time=1432 .,Sun May 10 20:50:49 1998 Acct-Status-Type=Stop User-Name=bob Acct-Session-Time=1432 .,Acknowledgement,The Accounting “Stop” Record,User Disconnects,验证,当用户想要通过某个网络(如电话网)与 NAS建立连接从而获得访问其他网络的权利时,NAS可以选择在NAS上进行本地认证计费,或把用户信息传递给RADIUS服务器,由Radius

9、进行认证计费; RADIUS 协议规定了NAS与RADIUS 服务器之间如何传递用户信息和记账信息; RADIUS服务器负责接收用户的连接请求,完成验证,并把传递服务给用户所需的配置信息返回给NAS。,本地(NAS)验证PAP方式:,PAP(Password Authentication Protocol)是密码验证协议的简称,是认证协议的一种。 用户以明文的形式把用户名和他的密码传递给NAS,NAS根据用户名在NAS端查找本地数据库,如果存在相同的用户名和密码表明验证通过,否则表明验证未通过。,本地(NAS)验证CHAP方式,CHAP(Challenge Handshake Authenti

10、cation Protocol)是盘问握手验证协议的简称,是我们使用的另一种认证协议。 Secret Password = MD5(Chap ID + Password + challenge),本地(NAS)验证CHAP方式,当用户请求上网时,服务器产生一个16字节的随机码(challenge)给用户(同时还有一个ID号,本地路由器的 host name)。用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密,生成一个Secret Password传给NAS。NAS根据用户名查找自己本地的数据库,得到和用户端进行加密所用的一样的密码,然后根据原来的16字节的随机码进行加密,将其结果

11、与Secret Password作比较,如果相同表明验证通过,如果不相同表明验证失败。 Secret Password = MD5(Chap ID + Password + challenge),远端(Radius)验证PAP方式:,远端认证PAP,Secret password =Password XOR MD5(Challenge Key) (Challenge就是Radius报文中的Authenticator),我查 我算 我验,远端(Radius)验证CHAP方式:,远端认证CHAP,Secret password = MD5(Chap ID + Password + challeng

12、e),我查 我算 我验,认证过程,课程议题,概述,IEEE802.1x(Port-Based Network Access Control)是一个基于端口的网络访问控制标准,为LAN接入提供点对点式的安全接入。 基于端口的网络接入控制(Port Based Network Access Control) 只有用户通过认证,端口才被”开放“,否则端口处于”关闭“状态 802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible

13、Authentication Protocol over LAN)通过。,802.1x认证体系,802.1x是一个Client/Server结构 802.1x认证体系中的组件 恳求者系统(Supplicant System) 认证系统(Authenticator System) 认证服务器系统(Authentication Server System),802.1x认证组件,恳求者系统(Supplicant) 也称为客户端(Client) 通常为支持802.1x认证的用户终端设备 安装802.1x客户端软件 Ruijie Supplicant Windows XP 认证系统(Authentic

14、atior System) 对恳求者进行认证 作为恳求者与认证服务器之间的“中介” 为恳求者提供服务端口(物理、逻辑) 非受控端口 始终处于双向连通状态,用来传递EAPoL协议帧,802.1x认证组件,受控端口 只有在认证通过的状态下才打开,用于传递网络资源和服务 认证通过之前只允许EAPoL(Extensible Authentication Protocol overLAN)帧通过 认证系统与认证服务器之间也运行EAP 认证系统将EAP帧封装到RADIUS报文中发送给认证服务器,802.1X机制,Controlled,Un-Controlled,非受控端口主要是用来连接认证服务器,以便保证

15、服务器与交换机的正常通讯,连接在受控端口的用户只有通过认证才能访问网络资源,EAPOL,EAPOL,802.1x认证组件,认证服务器系统(Authentication Server System) 提供认证服务 通常是一个RADIUS服务器 将认证结果返回给认证系统,EAP,EAP(ExtensibleAuthentication Protocol) 恳求者与认证系统之间使用 EAP承载认证信息 EAP帧被封装到LAN协议中(例如Ethernet),即EAPoL,802.1x工作机制,在客户端与交换机之间,EAP协议报文(承载认证信息)直接被封装到LAN协议中 在交换机与RADIUS服务器之间,EAP协议报文被封装到RADIUS报文中,即EAPoRADIUS报文 交换机在整个认证过程中不参与认证,所有的认证工作都由RADIUS服务器完成 当RADIUS服务器对客户端身份进行认证后,将认证结果(接受或拒绝) 返回给交换机,交换机根据认证结果决定受控端口的状态,802.1X认证过程,常用的认证计费技术/方式,PPPoE + RadiusWEB Portal + Radius802.1X + Radius,PPPoE认证计费技术,Internet,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号