校園網(wǎng)安全接入統(tǒng)一認證系統(tǒng)演示文件

1、1 校園網(wǎng)安全接入解決方案 -安全可控接入、穩(wěn)定可靠便捷安全可控接入、穩(wěn)定可靠便捷 校園網(wǎng)安全接入統(tǒng)一認證系統(tǒng)校園網(wǎng)安全接入統(tǒng)一認證系統(tǒng)2校園網(wǎng)特點 當前n接入方式接入方式：有線、無線（增長趨勢）n應(yīng)用應(yīng)用：資源共享、學(xué)術(shù)研究、bbs n安全：安全： （1）非法用戶接入 （2）用戶通信信息泄露 （3）非法用戶訪問內(nèi)網(wǎng)敏感信息、 討論區(qū)散布非法言論 、 dos 、 n地域地域： 下屬學(xué)院眾多、校區(qū)物理分散 用戶需要身份認證，通信信息需要保密，認證要實現(xiàn)統(tǒng)一 3 需求現(xiàn)狀n傳統(tǒng)的認證方式 (pppoe，web/porta1)需要對校園網(wǎng)中的用戶數(shù)據(jù)進行頻繁的處理，嚴重影響了網(wǎng)絡(luò)性能，難以做到網(wǎng)絡(luò)的

2、安全性、性能和成本的統(tǒng)一 nieee 802.1x協(xié)議為二層協(xié)議，不需要到達三層，對設(shè)備的整體性能要求不高 ，可以有效降低建網(wǎng)成本。n通過具體的eap認證方式，可提供強加密方法的無線客戶端和服務(wù)器之間雙向認證，并生成保護無線傳輸?shù)膭討B(tài)加密密鑰，具有可靠的安全性 n目錄服務(wù)可以解決認證統(tǒng)一性的問題4解決方案解決方案-802.1x + radius + -802.1x + radius + ldapldap解決方案5802.1x協(xié)議體系結(jié)構(gòu)客戶端系統(tǒng)客戶端系統(tǒng)eapol lan/wlan認證系統(tǒng)認證系統(tǒng)非受控非受控端口端口受控受控端口端口客戶端系統(tǒng)客戶端系統(tǒng)pae認證系統(tǒng)認證系統(tǒng)提供的服務(wù)提供的服

3、務(wù)認證系統(tǒng)認證系統(tǒng)pae認證服務(wù)器認證服務(wù)器認證服務(wù)器認證服務(wù)器6 802.1x提供了一種基于端口的網(wǎng)絡(luò)接入控制技術(shù)，通過在交換機或ap的端口上對接入用戶進行訪問控制。通過此方式的認證，能夠在lan這種多點訪問環(huán)境中提供一種點對點識別用戶的方式。 這里的端口是指連接到lan的一個單點結(jié)構(gòu)，可以是被認證系統(tǒng)的mac地址，也可以是服務(wù)器或nas上連接lan的物理端口,或者ieee 802.11wlan環(huán)境中定義的工作站和訪問點。 802.1x端口7radius aaanradius是基于挑戰(zhàn)應(yīng)答方式檢驗和鑒別用戶的一種訪問控制協(xié)議，可以提供集中式認證、可控制的授權(quán)以及詳細的記費信息。radius認

4、證使用1812端口，計費使用1813端口。radius是應(yīng)用層的協(xié)議，在傳輸層它被封裝在udp的報文中，進而封裝進ip包。 8 目錄服務(wù)ldapn為了實現(xiàn)統(tǒng)一認證，即需要將校園網(wǎng)各個應(yīng)用系統(tǒng)用戶的身份認證信息實現(xiàn)統(tǒng)一管理。將如此多的信息統(tǒng)一管理，并要方便用戶的查詢，一般就需用到目錄服務(wù)。9 系統(tǒng)整體結(jié)構(gòu)圖 10eap接入認證系統(tǒng)客戶端網(wǎng)絡(luò)設(shè)備操作模塊認證方式配置模塊認證模塊設(shè)備顯示設(shè)備變更設(shè)備獲取md5tls認證方式的設(shè)置配置文件的操作保存載入查看當前狀態(tài)的判定數(shù)據(jù)包的收發(fā)認證狀態(tài)的轉(zhuǎn)移離線模塊登錄模塊定期重連 客戶端子系統(tǒng)模塊劃分 標準ieee 802.1x客戶端 11 便捷 可擴展性可擴展

5、性 安全性 靈活性 標準ieee 802.1x客戶端 12n認證過程中，采用消息摘要或公鑰數(shù)字證書機制，保護用戶認證信息n認證通過后，作為wpa,wpa2客戶端， 在nas和客戶端間建立動態(tài)會話密鑰安全性 標準ieee 802.1x客戶端 13n用戶無需了解802.1x任何相關(guān)技術(shù)細節(jié) 只要記住用戶名，密碼或安裝一下證書n用戶的配置信息只需在第一次使用時設(shè)置一次，以后不必再重設(shè)便捷性便捷性 標準ieee 802.1x客戶端 14n采用模塊化設(shè)計逐層分解可括展性可括展性tlsmd5peapextensible authentication protocal(eap)eapol802.11 wir

6、eless lan802.3etherneteaplayerdata linklayerauthenticationlayereapollayerlayerapplication layer 標準ieee 802.1x客戶端 15 客戶端pae狀態(tài)機設(shè)計 標準ieee 802.1x客戶端 16 客戶端實現(xiàn) n開發(fā)工具包 platform sdk、openssl 、winpcap nwindows xp平臺上利用集成開發(fā)工具vc 6.0 標準ieee 802.1x客戶端 17 802.1x服務(wù)器端服務(wù)器端子系統(tǒng)模塊劃分18 服務(wù)器端設(shè)計cn=personscn=lucycn=lilycn=張三.

7、基本信息授權(quán)信息基本信息授權(quán)信息圖2.20 用戶組織結(jié)構(gòu)圖服務(wù)器端設(shè)計主要是數(shù)據(jù)庫的設(shè)計 802.1x服務(wù)器端19 服務(wù)器端實現(xiàn)nlinux開源軟件 linux redhat 9.0 + freeradius 1.1.4 +openldap 2.3.19+ openssl 0.9.8j + apache 2.6+phpldapadmin n開源軟件的安裝與配置 802.1x服務(wù)器端20客戶端軟件測試和結(jié)果分析 客戶端系統(tǒng)supplicant硬件平臺：x86 pc + tl_321g wlan usb adapter軟件平臺：winxp sp2 + w2aaasupplicant_1.0.exe

8、+winpcap 4.0.exe認證系統(tǒng)nas 硬件：cisco aironet 802.1 a/b/g access point服務(wù)器系統(tǒng)硬件平臺：x86 + realtek rtl 8139/810 x family fast ethernet nic 軟件平臺：linux redhat 9.0 + freeradius 1.1.4 +openldap 2.3.19 + openssl 0.9.8j + apache 2.6另外，需要一套數(shù)字證書，包括root.der，root.pem，client.p12，server.pem。在客戶端系統(tǒng)，將 root.der安裝到受信任的根證書存儲區(qū)

9、，將 client.p12安裝到個人存儲區(qū)，并將其設(shè)置為可導(dǎo)出的；在服務(wù)器系統(tǒng)，將root.pem和server.pem放置到相應(yīng)目錄下。21 eap-md5測試結(jié)果和分析 22eap-md5測試結(jié)果和分析23 eap-tls測試結(jié)果和分析 24eap-tls測試結(jié)果和分析25802.1x 的缺陷與改進n根本一點：基于 8021x及 radius協(xié)議的認證采用的 “可控端 口”和 “不可 控端口”的邏輯功能實質(zhì)是一把雙刃劍 ，在它實現(xiàn)了業(yè)務(wù)流與認證流分離的同時，也帶來了認證通過之后不可控制的問題與缺陷， 即在認證通過之后，可控端口一直處于打開狀態(tài)，使得同 vlan里面的非法用戶與合法 用戶一起能夠通過串接 hub接入并使用網(wǎng)絡(luò) ，即使在認證過程中加入了對 mac、ip 乃至 vlanid以及