校園網(wǎng)安全接入統(tǒng)一認(rèn)證系統(tǒng)演示文件_第1頁(yè)
校園網(wǎng)安全接入統(tǒng)一認(rèn)證系統(tǒng)演示文件_第2頁(yè)
校園網(wǎng)安全接入統(tǒng)一認(rèn)證系統(tǒng)演示文件_第3頁(yè)
校園網(wǎng)安全接入統(tǒng)一認(rèn)證系統(tǒng)演示文件_第4頁(yè)
校園網(wǎng)安全接入統(tǒng)一認(rèn)證系統(tǒng)演示文件_第5頁(yè)
已閱讀5頁(yè),還剩22頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、1 校園網(wǎng)安全接入解決方案 -安全可控接入、穩(wěn)定可靠便捷安全可控接入、穩(wěn)定可靠便捷 校園網(wǎng)安全接入統(tǒng)一認(rèn)證系統(tǒng)校園網(wǎng)安全接入統(tǒng)一認(rèn)證系統(tǒng)2校園網(wǎng)特點(diǎn) 當(dāng)前n接入方式接入方式:有線、無(wú)線(增長(zhǎng)趨勢(shì))n應(yīng)用應(yīng)用:資源共享、學(xué)術(shù)研究、bbs n安全:安全: (1)非法用戶(hù)接入 (2)用戶(hù)通信信息泄露 (3)非法用戶(hù)訪問(wèn)內(nèi)網(wǎng)敏感信息、 討論區(qū)散布非法言論 、 dos 、 n地域地域: 下屬學(xué)院眾多、校區(qū)物理分散 用戶(hù)需要身份認(rèn)證,通信信息需要保密,認(rèn)證要實(shí)現(xiàn)統(tǒng)一 3 需求現(xiàn)狀n傳統(tǒng)的認(rèn)證方式 (pppoe,web/porta1)需要對(duì)校園網(wǎng)中的用戶(hù)數(shù)據(jù)進(jìn)行頻繁的處理,嚴(yán)重影響了網(wǎng)絡(luò)性能,難以做到網(wǎng)絡(luò)的

2、安全性、性能和成本的統(tǒng)一 nieee 802.1x協(xié)議為二層協(xié)議,不需要到達(dá)三層,對(duì)設(shè)備的整體性能要求不高 ,可以有效降低建網(wǎng)成本。n通過(guò)具體的eap認(rèn)證方式,可提供強(qiáng)加密方法的無(wú)線客戶(hù)端和服務(wù)器之間雙向認(rèn)證,并生成保護(hù)無(wú)線傳輸?shù)膭?dòng)態(tài)加密密鑰,具有可靠的安全性 n目錄服務(wù)可以解決認(rèn)證統(tǒng)一性的問(wèn)題4解決方案解決方案-802.1x + radius + -802.1x + radius + ldapldap解決方案5802.1x協(xié)議體系結(jié)構(gòu)客戶(hù)端系統(tǒng)客戶(hù)端系統(tǒng)eapol lan/wlan認(rèn)證系統(tǒng)認(rèn)證系統(tǒng)非受控非受控端口端口受控受控端口端口客戶(hù)端系統(tǒng)客戶(hù)端系統(tǒng)pae認(rèn)證系統(tǒng)認(rèn)證系統(tǒng)提供的服務(wù)提供的服

3、務(wù)認(rèn)證系統(tǒng)認(rèn)證系統(tǒng)pae認(rèn)證服務(wù)器認(rèn)證服務(wù)器認(rèn)證服務(wù)器認(rèn)證服務(wù)器6 802.1x提供了一種基于端口的網(wǎng)絡(luò)接入控制技術(shù),通過(guò)在交換機(jī)或ap的端口上對(duì)接入用戶(hù)進(jìn)行訪問(wèn)控制。通過(guò)此方式的認(rèn)證,能夠在lan這種多點(diǎn)訪問(wèn)環(huán)境中提供一種點(diǎn)對(duì)點(diǎn)識(shí)別用戶(hù)的方式。 這里的端口是指連接到lan的一個(gè)單點(diǎn)結(jié)構(gòu),可以是被認(rèn)證系統(tǒng)的mac地址,也可以是服務(wù)器或nas上連接lan的物理端口,或者ieee 802.11wlan環(huán)境中定義的工作站和訪問(wèn)點(diǎn)。 802.1x端口7radius aaanradius是基于挑戰(zhàn)應(yīng)答方式檢驗(yàn)和鑒別用戶(hù)的一種訪問(wèn)控制協(xié)議,可以提供集中式認(rèn)證、可控制的授權(quán)以及詳細(xì)的記費(fèi)信息。radius認(rèn)

4、證使用1812端口,計(jì)費(fèi)使用1813端口。radius是應(yīng)用層的協(xié)議,在傳輸層它被封裝在udp的報(bào)文中,進(jìn)而封裝進(jìn)ip包。 8 目錄服務(wù)ldapn為了實(shí)現(xiàn)統(tǒng)一認(rèn)證,即需要將校園網(wǎng)各個(gè)應(yīng)用系統(tǒng)用戶(hù)的身份認(rèn)證信息實(shí)現(xiàn)統(tǒng)一管理。將如此多的信息統(tǒng)一管理,并要方便用戶(hù)的查詢(xún),一般就需用到目錄服務(wù)。9 系統(tǒng)整體結(jié)構(gòu)圖 10eap接入認(rèn)證系統(tǒng)客戶(hù)端網(wǎng)絡(luò)設(shè)備操作模塊認(rèn)證方式配置模塊認(rèn)證模塊設(shè)備顯示設(shè)備變更設(shè)備獲取md5tls認(rèn)證方式的設(shè)置配置文件的操作保存載入查看當(dāng)前狀態(tài)的判定數(shù)據(jù)包的收發(fā)認(rèn)證狀態(tài)的轉(zhuǎn)移離線模塊登錄模塊定期重連 客戶(hù)端子系統(tǒng)模塊劃分 標(biāo)準(zhǔn)ieee 802.1x客戶(hù)端 11 便捷 可擴(kuò)展性可擴(kuò)展

5、性 安全性 靈活性 標(biāo)準(zhǔn)ieee 802.1x客戶(hù)端 12n認(rèn)證過(guò)程中,采用消息摘要或公鑰數(shù)字證書(shū)機(jī)制,保護(hù)用戶(hù)認(rèn)證信息n認(rèn)證通過(guò)后,作為wpa,wpa2客戶(hù)端, 在nas和客戶(hù)端間建立動(dòng)態(tài)會(huì)話密鑰安全性 標(biāo)準(zhǔn)ieee 802.1x客戶(hù)端 13n用戶(hù)無(wú)需了解802.1x任何相關(guān)技術(shù)細(xì)節(jié) 只要記住用戶(hù)名,密碼或安裝一下證書(shū)n用戶(hù)的配置信息只需在第一次使用時(shí)設(shè)置一次,以后不必再重設(shè)便捷性便捷性 標(biāo)準(zhǔn)ieee 802.1x客戶(hù)端 14n采用模塊化設(shè)計(jì)逐層分解可括展性可括展性tlsmd5peapextensible authentication protocal(eap)eapol802.11 wir

6、eless lan802.3etherneteaplayerdata linklayerauthenticationlayereapollayerlayerapplication layer 標(biāo)準(zhǔn)ieee 802.1x客戶(hù)端 15 客戶(hù)端pae狀態(tài)機(jī)設(shè)計(jì) 標(biāo)準(zhǔn)ieee 802.1x客戶(hù)端 16 客戶(hù)端實(shí)現(xiàn) n開(kāi)發(fā)工具包 platform sdk、openssl 、winpcap nwindows xp平臺(tái)上利用集成開(kāi)發(fā)工具vc 6.0 標(biāo)準(zhǔn)ieee 802.1x客戶(hù)端 17 802.1x服務(wù)器端服務(wù)器端子系統(tǒng)模塊劃分18 服務(wù)器端設(shè)計(jì)cn=personscn=lucycn=lilycn=張三.

7、基本信息授權(quán)信息基本信息授權(quán)信息圖2.20 用戶(hù)組織結(jié)構(gòu)圖服務(wù)器端設(shè)計(jì)主要是數(shù)據(jù)庫(kù)的設(shè)計(jì) 802.1x服務(wù)器端19 服務(wù)器端實(shí)現(xiàn)nlinux開(kāi)源軟件 linux redhat 9.0 + freeradius 1.1.4 +openldap 2.3.19+ openssl 0.9.8j + apache 2.6+phpldapadmin n開(kāi)源軟件的安裝與配置 802.1x服務(wù)器端20客戶(hù)端軟件測(cè)試和結(jié)果分析 客戶(hù)端系統(tǒng)supplicant硬件平臺(tái):x86 pc + tl_321g wlan usb adapter軟件平臺(tái):winxp sp2 + w2aaasupplicant_1.0.exe

8、+winpcap 4.0.exe認(rèn)證系統(tǒng)nas 硬件:cisco aironet 802.1 a/b/g access point服務(wù)器系統(tǒng)硬件平臺(tái):x86 + realtek rtl 8139/810 x family fast ethernet nic 軟件平臺(tái):linux redhat 9.0 + freeradius 1.1.4 +openldap 2.3.19 + openssl 0.9.8j + apache 2.6另外,需要一套數(shù)字證書(shū),包括root.der,root.pem,client.p12,server.pem。在客戶(hù)端系統(tǒng),將 root.der安裝到受信任的根證書(shū)存儲(chǔ)區(qū)

9、,將 client.p12安裝到個(gè)人存儲(chǔ)區(qū),并將其設(shè)置為可導(dǎo)出的;在服務(wù)器系統(tǒng),將root.pem和server.pem放置到相應(yīng)目錄下。21 eap-md5測(cè)試結(jié)果和分析 22eap-md5測(cè)試結(jié)果和分析23 eap-tls測(cè)試結(jié)果和分析 24eap-tls測(cè)試結(jié)果和分析25802.1x 的缺陷與改進(jìn)n根本一點(diǎn):基于 8021x及 radius協(xié)議的認(rèn)證采用的 “可控端 口”和 “不可 控端口”的邏輯功能實(shí)質(zhì)是一把雙刃劍 ,在它實(shí)現(xiàn)了業(yè)務(wù)流與認(rèn)證流分離的同時(shí),也帶來(lái)了認(rèn)證通過(guò)之后不可控制的問(wèn)題與缺陷, 即在認(rèn)證通過(guò)之后,可控端口一直處于打開(kāi)狀態(tài),使得同 vlan里面的非法用戶(hù)與合法 用戶(hù)一起能夠通過(guò)串接 hub接入并使用網(wǎng)絡(luò) ,即使在認(rèn)證過(guò)程中加入了對(duì) mac、ip 乃至 vlanid以及

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論