校园网安全接入统一认证系统演示文件.ppt

校园网安全接入解决方案 --安全可控接入、稳定可靠便捷安全可控接入、稳定可靠便捷 　　　　　　　　校园网安全接入统一认证系统校园网安全接入统一认证系统1校园网特点 －－当前n接入方式接入方式：有线、无线（增长趋势）n应用应用：资源共享、学术研究、BBS… n安全：安全： （1）非法用户接入 （2）用户通信信息泄露 （3）非法用户访问内网敏感信息、 讨论区散布非法言论 、 DoS 、 …n地域地域： 下属学院众多、校区物理分散 用户需要身份认证，通信信息需要保密，认证要实现统一 2 需求现状n传统的认证方式 (PPPoE，Web/Porta1)需要对校园网中的用户数据进行频繁的处理，严重影响了网络性能，难以做到网络的安全性、性能和成本的统一 nIEEE 802.1X协议为二层协议，不需要到达三层，对设备的整体性能要求不高 ，可以有效降低建网成本。

n通过具体的EAP认证方式，可提供强加密方法的无线客户端和服务器之间双向认证，并生成保护无线传输的动态加密密钥，具有可靠的安全性 n目录服务可以解决认证统一性的问题3解决方案解决方案------802.1x + RADIUS + ------802.1x + RADIUS + LDAPLDAP解决方案4802.1x——协议体系结构客户端系统客户端系统EAPOL LAN/WLAN认证系统认证系统非受控非受控端口端口受控受控端口端口客户端系统客户端系统PAE认证系统认证系统提供的服务提供的服务认证系统认证系统PAE认证服务器认证服务器认证服务器认证服务器5 802.1x提供了一种基于端口的网络接入控制技术，通过在交换机或AP的端口上对接入用户进行访问控制通过此方式的认证，能够在LAN这种多点访问环境中提供一种点对点识别用户的方式 这里的端口是指连接到LAN的一个单点结构，可以是被认证系统的MAC地址，也可以是服务器或NAS上连接LAN的物理端口,或者IEEE 802.11WLAN环境中定义的工作站和访问点 802.1x——端口6RADIUS —— AAAnRADIUS是基于挑战／应答方式检验和鉴别用户的一种访问控制协议，可以提供集中式认证、可控制的授权以及详细的记费信息。

RADIUS认证使用1812端口，计费使用1813端口RADIUS是应用层的协议，在传输层它被封装在UDP的报文中，进而封装进IP包 7 目录服务——LDAPn为了实现统一认证，即需要将校园网各个应用系统用户的身份认证信息实现统一管理将如此多的信息统一管理，并要方便用户的查询，一般就需用到目录服务8 系统整体结构图 9EAP接入认证系统客户端网络设备操作模块认证方式配置模块认证模块设备显示设备变更设备获取MD5TLS认证方式的设置配置文件的操作保存载入查看当前状态的判定数据包的收发认证状态的转移离线模块登录模块定期重连 客户端子系统模块划分 标准IEEE 802.1x客户端 10 >便捷> 可扩展性可扩展性>安全性>灵活性 标准IEEE 802.1x客户端 11n认证过程中，采用消息摘要或公钥数字证书机制，保护用户认证信息n认证通过后，作为WPA,WPA2客户端， 在NAS和客户端间建立动态会话密钥>安全性 标准IEEE 802.1x客户端 12n用户无需了解802.1x任何相关技术细节 只要记住用户名，密码或安装一下证书n用户的配置信息只需在第一次使用时设置一次，以后不必再重设>便捷性便捷性 标准IEEE 802.1x客户端 13n采用模块化设计——逐层分解>可括展性可括展性 用户界面TLSMD5peapExtensible Authentication Protocal(EAP)EAPOL802.11 wireless Lan802.3EthernetEapLayerData LinkLayerAuthenticationLayerEAPOLLayerApplication Layer 标准IEEE 802.1x客户端 14 客户端PAE状态机设计 标准IEEE 802.1x客户端 15 客户端实现 n开发工具包 Platform SDK、OpenSSL 、WinPcap nWindows XP平台上利用集成开发工具VC 6.0 标准IEEE 802.1x客户端 16 802.1x服务器端服务器端子系统模块划分17 服务器端设计cn=personsCn=lucyCn=lilycn=张三......基本信息授权信息基本信息授权信息…………图2.20 用户组织结构图服务器端设计主要是数据库的设计 802.1x服务器端18 服务器端实现nLinux开源软件 Linux RedHat 9.0 + freeRadius 1.1.4 +openLDAP 2.3.19+ openSSL 0.9.8j + Apache 2.6+phpldapadmin n开源软件的安装与配置 802.1x服务器端19客户端软件测试和结果分析 客户端系统——Supplicant硬件平台：X86 PC + TL_321G WLAN USB Adapter软件平台：WinXP SP2 + W2AAASupplicant_1.0.exe+WinPcap 4.0.exe认证系统——NAS 硬件：Cisco Aironet 802.1 a/b/g Access Point服务器系统硬件平台：X86 + RealTek RTL 8139/810x Family Fast Ethernet NIC 软件平台：Linux RedHat 9.0 + freeRadius 1.1.4 +openLDAP 2.3.19 + openSSL 0.9.8j + Apache 2.6另外，需要一套数字证书，包括root.der，root.pem，client.p12，server.pem。

在客户端系统，将 root.der安装到受信任的根证书存储区，将 client.p12安装到个人存储区，并将其设置为可导出的；在服务器系统，将root.pem和server.pem放置到相应目录下20 EAP-MD5测试结果和分析 21EAP-MD5测试结果和分析22 EAP-TLS测试结果和分析 23EAP-TLS测试结果和分析24802.1x 的缺陷与改进n根本一点：基于 802．1X及 RADIUS协议的认证采用的 “可控端 口”和 “不可 控端口”的逻辑功能实质是一把双刃剑 ，在它实现了业务流与认证流分离的同时，也带来了认证通过之后不可控制的问题与缺陷， 即在认证通过之后，可控端口一直处于打开状态，使得同 VLAN里面的非法用户与合法 用户一起能够通过串接 HUB接入并使用网络 ，即使在认证过程中加入了对 MAC、IP 乃至 VLANID以及 NAS端口号等属性的绑 定，但仅对这些固化表示的认证也不能监管到认证通过后可控端口的状态 nDOS攻击：IEEE 802．1x没有提供 DoS保护，使得服务器容易耗尽计算资源以及存储资源，而且可能导致合法用户无法正常接入25EAP认证方式的缺陷与改进nEAP-MD5nEAP-TLS2627 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。