网络身份认证技术.ppt

身份验证与网络接入控制身份验证与网络接入控制主要内容主要内容nAAAnRADIUSn802.1x课程议题课程议题基本概念基本概念n AAA Authentication、、Authorization、、Accounting验证、授权、记费验证、授权、记费n PAPPassword Authentication Protocol 密密码验证协议码验证协议n CHAP Challenge-Handshake Authentication Protocoll盘问握手验证协议盘问握手验证协议n NASNetwork Access Server 网络接入服务器网络接入服务器n RADIUS Remote Authentication Dial In User Servicel远程验证拨入用户服务（远程拨入用户验证服务）远程验证拨入用户服务（远程拨入用户验证服务）AAA介绍介绍nAAA（Authentication、Authorization、Accounting，认证、授权、计费）提供了对认证、授权和计费功能的一致性框架nAAA 是一个提供网络访问控制安全的模型，通常用于用户登录设备或接入网络。

nAAA主要解决的是网络安全访问控制的问题n相对与其他的本地身份认证、端口安全等安全策略，AAA能够提供更高等级的安全保护AAA介绍介绍-cont.nAuthentication：认证模块可以验证用户是否可获得访问权nAuthorization：授权模块可以定义用户可使用哪些服务或这拥有哪些权限nAccounting：计费模块可以记录用户使用网络资源的情况可实现对用户使用网络资源情况的记帐、统计、跟踪AAA基本模型基本模型nAAA基本模型中分为用户、基本模型中分为用户、NAS、认证服务器三个部分、认证服务器三个部分n用户向NAS设备发起连接请求nNAS设备将用户的请求转发给认证服务器n认证服务器返回认证结果信息给NAS设备nNAS设备根据认证服务器返回的认证结果对用户采取相应认证、授权、计费的操作AAAAAA的认证功能的认证功能的认证功能的认证功能AAA 服务器服务器本地认证本地认证远端认证远端认证AAAAAA的授权功能的授权功能的授权功能的授权功能RADIUS 服务器服务器本地授权本地授权远端授权远端授权AAAAAA的计费功能的计费功能的计费功能的计费功能远端计费远端计费RADIUS 服务器服务器/TACACS服务器服务器课程议题课程议题nRADIUS ( Remote Authentication Dial In User Service 远程认证拨号用户服务)是在网络接入设备和认证服务器之间进行认证授权计费和配置信息的协议RADIUS协议特点协议特点n客户/服务器模型：网络接入设备（NAS）通常作为RADIUS服务器的客户端。

n安全性：RADIUS服务器与NAS之间使用共享密钥对敏感信息进行加密，该密钥不会在网络上传输n可扩展的协议设计：RADIUS使用属性-长度-值（AVP，Attribute-Length-Value）数据封装格式，用户可以自定义其他的私有属性，扩展RADIUS的应用n灵活的鉴别机制：RADIUS服务器支持多种方式对用户进行认证，支持PAP、CHAP、UNIX login等多种认证方式RADIUS: BasicsAuthentication Data FlowISP User DatabaseISP Modem PoolUser dials modem pool and establishes connectionUserID: bobPassword: ge55gepUserID: bobPassword: ge55gepNAS-ID: 207.12.4.1Select UserID=bobBobpassword=ge55gepTimeout=3600[other attributes]Access-AcceptUser-Name=bob[other attributes]Framed-Address=217.213.21.5The InternetISP RADIUS ServerInternet PPP connection establishedRADIUS: BasicsAuthentication Data FlowISP AccountingDatabaseISP Modem PoolAcct-Status-Type=StartUser-Name=bobFramed-Address=217.213.21.5…...Sun May 10 20:47:41 1998 Acct-Status-Type=Start User-Name=bob Framed-Address=217.213.21.5 … ...The InternetISP RADIUS ServerInternet PPP connection establishedAcknowledgementThe Accounting “Start” RecordRADIUS: BasicsAuthentication Data FlowISP AccountingDatabaseISP Modem PoolThe InternetISP RADIUS ServerInternet PPP connection establishedAcct-Status-Type=StopUser-Name=bobAcct-Session-Time=1432…...Sun May 10 20:50:49 1998 Acct-Status-Type=Stop User-Name=bob Acct-Session-Time=1432 … ...AcknowledgementThe Accounting “Stop” RecordUser Disconnects验证验证n当用户想要通过某个网络当用户想要通过某个网络(如网如网)与与 NAS建立连接建立连接从而获得访问其他网络的权利时，从而获得访问其他网络的权利时，NAS可以选择在可以选择在NAS上进行本地认证计费，或把用户信息传递给上进行本地认证计费，或把用户信息传递给RADIUS服务器，由服务器，由Radius进行认证计费；进行认证计费；nRADIUS 协议规定了协议规定了NAS与与RADIUS 服务器之间如何服务器之间如何传递用户信息和记账信息；传递用户信息和记账信息；nRADIUS服务器负责接收用户的连接请求，完成验证，服务器负责接收用户的连接请求，完成验证，并把传递服务给用户所需的配置信息返回给并把传递服务给用户所需的配置信息返回给NAS。

本地（本地（NAS）验证）验证——PAP方式：方式：nPAP（Password Authentication Protocol）是密码验证协议的简称，是认证协议的一种n用户以明文的形式把用户名和他的密码传递给NAS，NAS根据用户名在NAS端查找本地数据库，如果存在相同的用户名和密码表明验证通过,否则表明验证未通过 本地（本地（NAS）验证）验证——CHAP方式方式n CHAP（（Challenge Handshake Authentication Protocol）是盘问握手验证协议的简称，是我们使用）是盘问握手验证协议的简称，是我们使用的另一种认证协议的另一种认证协议nSecret Password = MD5（（Chap ID + Password + challenge）） 本地（本地（NAS）验证）验证——CHAP方式方式n当用户请求上网时，服务器产生一个当用户请求上网时，服务器产生一个16字节的随机码字节的随机码（（challenge）给用户（同时还有一个）给用户（同时还有一个ID号，本地路由号，本地路由器的器的 host name）用户端得到这个包后使用自己独）用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密，生成一个用的设备或软件对传来的各域进行加密，生成一个Secret Password传给传给NAS。

NAS根据用户名查找自根据用户名查找自己本地的数据库，得到和用户端进行加密所用的一样己本地的数据库，得到和用户端进行加密所用的一样的密码，然后根据原来的的密码，然后根据原来的16字节的随机码进行加密，字节的随机码进行加密，将其结果与将其结果与Secret Password作比较，如果相同表明作比较，如果相同表明验证通过，如果不相同表明验证失败验证通过，如果不相同表明验证失败nSecret Password = MD5（（Chap ID + Password + challenge）） 远端（远端（Radius））验证验证——PAP方式：方式：远端认证——PAPSecret password =Password XOR MD5（Challenge ＋ Key）(Challenge就是Radius报文中的Authenticator)我查……我算……我验…… 远端（远端（Radius））验证验证——CHAP方式：方式：远端认证——CHAPSecret password = MD5（Chap ID + Password + challenge）我查……我算……我验……认证过程认证过程课程议题课程议题概述概述nIEEE802.1x（Port-Based Network Access Control）是一个基于端口的网络访问控制标准，为LAN接入提供点对点式的安全接入。

l基于端口的网络接入控制（Port Based Network Access Control） 只有用户通过认证，端口才被”开放“，否则端口处于”关闭“状态n802.1X的认证的最终目的就是确定一个端口是否可用对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过802.1x认证体系认证体系n802.1x是一个Client/Server结构ကက 802.1x认证体系中的组件ကက 恳求者系统（Supplicant System）ကက 认证系统（Authenticator System）ကက 认证服务器系统（Authentication Server System）802.1x认证组件认证组件n恳求者系统（恳求者系统（Supplicant））lကကကက 也称为客户端（也称为客户端（Client））lကကကက 通常为支持通常为支持802.1x认证的用户终端设备认证的用户终端设备lကကကက 安装安装802.1x客户端软件客户端软件က က Ruijie Supplicantက က Windows XPnကကကက 认证系统（认证系统（Authenticatior System））ကကကက 对恳求者进行认证对恳求者进行认证ကကကက 作为恳求者与认证服务器之间的作为恳求者与认证服务器之间的“中介中介”ကကကက 为恳求者提供服务端口（物理、逻辑）为恳求者提供服务端口（物理、逻辑）ကကကက 非受控端口非受控端口က က 始终处于双向连通状态，用来传递始终处于双向连通状态，用来传递EAPoL协议帧协议帧802.1x认证组件认证组件n受控端口受控端口က က 只有在认证通过的状态下才打开，用于传递网络只有在认证通过的状态下才打开，用于传递网络资源和服务资源和服务lကကကက 认证通过之前只允许认证通过之前只允许EAPoL（（Extensible Authentication Protocol overLAN）帧通过）帧通过lကကကက 认证系统与认证服务器之间也运行认证系统与认证服务器之间也运行EAPlကကကက 认证系统将认证系统将EAP帧封装到帧封装到RADIUS报文中发送报文中发送给认证服务器给认证服务器802.1X机制机制ControlledUn-Controlled非受控端口主要是用来连接认证服务器，以便保非受控端口主要是用来连接认证服务器，以便保证服务器与交换机的正常通讯证服务器与交换机的正常通讯连接在受控端口的用户只有通过认证才能访问网连接在受控端口的用户只有通过认证才能访问网络资源络资源EAPOLEAPOL802.1x认证组件认证组件n认证服务器系统（认证服务器系统（Authentication Server System））lကကကက 提供认证服务提供认证服务lကကကက 通常是一个通常是一个RADIUS服务器服务器lကကကက 将认证结果返回给认证系统将认证结果返回给认证系统EAPnEAP（（ExtensibleAuthentication Protocol））lကကကက 恳求者与认证系统之间使用恳求者与认证系统之间使用nEAP承载认证信息承载认证信息lကကကက EAP帧被封装到帧被封装到LAN协议中（例如协议中（例如Ethernet），），即即EAPoL802.1x工作机制工作机制n在客户端与交换机之间，在客户端与交换机之间，EAP协议报文（承载认证信协议报文（承载认证信息）直接被封装到息）直接被封装到LAN协议中协议中lကကကက 在交换机与在交换机与RADIUS服务器之间，服务器之间，EAP协议报协议报文被封装到文被封装到RADIUS报文中，即报文中，即EAPoRADIUS报文报文lကကကက 交换机在整个认证过程中不参与认证，所有的交换机在整个认证过程中不参与认证，所有的认证工作都由认证工作都由RADIUS服务器完成服务器完成lကကကက 当当RADIUS服务器对客户端身份进行认证后，服务器对客户端身份进行认证后，将认证结果（接受或拒绝）将认证结果（接受或拒绝）n返回给交换机，交换机根据认证结果决定受控端口的状返回给交换机，交换机根据认证结果决定受控端口的状态态802.1X认证过认证过程程常用的常用的认证计费认证计费技技术术/方式方式nPPPoE + RadiusnWEB Portal + Radiusn802.1X + RadiusPPPoE认证计费认证计费技技术术Internet核心三层交换机核心三层交换机PPPoE的的BAS设备设备二层的楼栋交换机二层的楼栋交换机PPPoE的客户端软件的客户端软件Radius服务器服务器瓶颈！！瓶颈！！DHCP+Web认证计费认证计费技技术术Internet核心交换机核心交换机Web Portal的的BAS设备设备Radius服务器服务器普通的接入交换机普通的接入交换机用户用户瓶颈！！瓶颈！！802.1X认证计费认证计费技技术术802.1X交换机交换机认证报文流认证报文流业务数据流业务数据流InternetRadius服务器服务器核心交换机核心交换机汇聚交换机汇聚交换机高效！！高效！！汇聚交换机汇聚交换机接入层启用接入层启用802.1xn接入层启用802.1x接入层启用接入层启用802.1xn拓扑需求拓扑需求lကကကက 客户端主机需支持客户端主机需支持802.1x客户端客户端lကကကက 接入层（接入层（Access）交换机需支持）交换机需支持802.1xlကကကက 支持标准支持标准RADIUS协议的协议的RADIUS服务器服务器n配置要点配置要点lကကကက 接入层连接客户端主机的访问端口需要启用接入层连接客户端主机的访问端口需要启用802.1x认证认证n某公司某公司 总部和分公司之间通过总部和分公司之间通过PPP链路连接，为了提链路连接，为了提高接入网络的安全性，公司要求各分公司通过高接入网络的安全性，公司要求各分公司通过PPP链链路接入公司总部时都要进行认证，为了不影响路由器路接入公司总部时都要进行认证，为了不影响路由器的性能，考虑通过的性能，考虑通过RADIUS服务器进行服务器进行AAA认证。

认证n某企业某企业ကကကက 网络管理员为了防止有公司外部的用户将电脑网络管理员为了防止有公司外部的用户将电脑接入到公司网络中，造成公司信息资源受到损失，接入到公司网络中，造成公司信息资源受到损失，希望员工的电脑在接入到公司网络之前进行身份验希望员工的电脑在接入到公司网络之前进行身份验证，只有具有合法身份凭证的用户才可以接入到公证，只有具有合法身份凭证的用户才可以接入到公司网络n某企业某企业ကကကက 网络管理员为了防止有公司外部的用户将电脑接入到公网络管理员为了防止有公司外部的用户将电脑接入到公司网络中，造成公司信息资源受到损失，希望员工的电脑在司网络中，造成公司信息资源受到损失，希望员工的电脑在接入到公司网络之前进行身份验证，只有具有合法身份凭证接入到公司网络之前进行身份验证，只有具有合法身份凭证的用户才可以接入到公司网络网络管理员考虑在分布层部的用户才可以接入到公司网络网络管理员考虑在分布层部署署802.1x，安全网络接入安全网络接入。