網(wǎng)絡(luò)身份認證技術(shù).ppt

1、身份驗證與網(wǎng)絡(luò)接入控制,主要內(nèi)容,AAA RADIUS 802.1x,課程議題,基本概念,AAA Authentication、Authorization、Accounting驗證、授權(quán)、記費 PAPPassword Authentication Protocol 密碼驗證協(xié)議 CHAP Challenge-Handshake Authentication Protocol 盤問握手驗證協(xié)議 NASNetwork Access Server 網(wǎng)絡(luò)接入服務(wù)器 RADIUS Remote Authentication Dial In User Service 遠程驗證撥入用戶服務(wù)（遠程撥入用戶驗證

2、服務(wù)）,AAA介紹,AAA（Authentication、Authorization、Accounting，認證、授權(quán)、計費）提供了對認證、授權(quán)和計費功能的一致性框架 AAA 是一個提供網(wǎng)絡(luò)訪問控制安全的模型，通常用于用戶登錄設(shè)備或接入網(wǎng)絡(luò)。 AAA主要解決的是網(wǎng)絡(luò)安全訪問控制的問題 相對與其他的本地身份認證、端口安全等安全策略，AAA能夠提供更高等級的安全保護。,AAA介紹-cont.,Authentication：認證模塊可以驗證用戶是否可獲得訪問權(quán)。 Authorization：授權(quán)模塊可以定義用戶可使用哪些服務(wù)或這擁有哪些權(quán)限。 Accounting：計費模塊可以記錄用戶使用網(wǎng)絡(luò)資源的

3、情況。可實現(xiàn)對用戶使用網(wǎng)絡(luò)資源情況的記帳、統(tǒng)計、跟蹤。,AAA基本模型,AAA基本模型中分為用戶、NAS、認證服務(wù)器三個部分 用戶向NAS設(shè)備發(fā)起連接請求 NAS設(shè)備將用戶的請求轉(zhuǎn)發(fā)給認證服務(wù)器 認證服務(wù)器返回認證結(jié)果信息給NAS設(shè)備 NAS設(shè)備根據(jù)認證服務(wù)器返回的認證結(jié)果對用戶采取相應(yīng)認證、授權(quán)、計費的操作,AAA的認證功能,AAA 服務(wù)器,本地認證,遠端認證,AAA的授權(quán)功能,RADIUS 服務(wù)器,本地授權(quán),遠端授權(quán),AAA的計費功能,遠端計費,RADIUS 服務(wù)器/TACACS服務(wù)器,課程議題,RADIUS ( Remote Authentication Dial In User Ser

4、vice 遠程認證撥號用戶服務(wù))是在網(wǎng)絡(luò)接入設(shè)備和認證服務(wù)器之間進行認證授權(quán)計費和配置信息的協(xié)議,RADIUS協(xié)議特點,客戶/服務(wù)器模型：網(wǎng)絡(luò)接入設(shè)備（NAS）通常作為RADIUS服務(wù)器的客戶端。 安全性：RADIUS服務(wù)器與NAS之間使用共享密鑰對敏感信息進行加密，該密鑰不會在網(wǎng)絡(luò)上傳輸。 可擴展的協(xié)議設(shè)計：RADIUS使用屬性-長度-值（AVP，Attribute-Length-Value）數(shù)據(jù)封裝格式，用戶可以自定義其他的私有屬性，擴展RADIUS的應(yīng)用。 靈活的鑒別機制：RADIUS服務(wù)器支持多種方式對用戶進行認證，支持PAP、CHAP、UNIX login等多種認證方式。,RADIU

5、S: BasicsAuthentication Data Flow,ISP User Database,ISP Modem Pool,User dials modem pool and establishes connection,UserID: bobPassword: ge55gep,UserID: bobPassword: ge55gepNAS-ID: 207.12.4.1,Select UserID=bob,Bobpassword=ge55gepTimeout=3600other attributes,Access-AcceptUser-Name=bobother attributes

6、,Framed-Address=217.213.21.5,The Internet,ISP RADIUS Server,Internet PPP connection established,RADIUS: BasicsAuthentication Data Flow,ISP AccountingDatabase,ISP Modem Pool,Acct-Status-Type=StartUser-Name=bobFramed-Address=217.213.21.5.,Sun May 10 20:47:41 1998 Acct-Status-Type=Start User-Name=bob F

7、ramed-Address=217.213.21.5 .,The Internet,ISP RADIUS Server,Internet PPP connection established,Acknowledgement,The Accounting “Start” Record,RADIUS: BasicsAuthentication Data Flow,ISP AccountingDatabase,ISP Modem Pool,The Internet,ISP RADIUS Server,Internet PPP connection established,Acct-Status-Ty

8、pe=StopUser-Name=bobAcct-Session-Time=1432.,Sun May 10 20:50:49 1998 Acct-Status-Type=Stop User-Name=bob Acct-Session-Time=1432 .,Acknowledgement,The Accounting “Stop” Record,User Disconnects,驗證,當用戶想要通過某個網(wǎng)絡(luò)(如電話網(wǎng))與 NAS建立連接從而獲得訪問其他網(wǎng)絡(luò)的權(quán)利時，NAS可以選擇在NAS上進行本地認證計費，或把用戶信息傳遞給RADIUS服務(wù)器，由Radius進行認證計費； RADIUS 協(xié)議

9、規(guī)定了NAS與RADIUS 服務(wù)器之間如何傳遞用戶信息和記賬信息； RADIUS服務(wù)器負責接收用戶的連接請求，完成驗證，并把傳遞服務(wù)給用戶所需的配置信息返回給NAS。,本地（NAS）驗證PAP方式：,PAP（Password Authentication Protocol）是密碼驗證協(xié)議的簡稱，是認證協(xié)議的一種。 用戶以明文的形式把用戶名和他的密碼傳遞給NAS，NAS根據(jù)用戶名在NAS端查找本地數(shù)據(jù)庫，如果存在相同的用戶名和密碼表明驗證通過,否則表明驗證未通過。,本地（NAS）驗證CHAP方式,CHAP（Challenge Handshake Authentication Protocol）是

10、盤問握手驗證協(xié)議的簡稱，是我們使用的另一種認證協(xié)議。 Secret Password = MD5（Chap ID + Password + challenge）,本地（NAS）驗證CHAP方式,當用戶請求上網(wǎng)時，服務(wù)器產(chǎn)生一個16字節(jié)的隨機碼（challenge）給用戶（同時還有一個ID號，本地路由器的 host name）。用戶端得到這個包后使用自己獨用的設(shè)備或軟件對傳來的各域進行加密，生成一個Secret Password傳給NAS。NAS根據(jù)用戶名查找自己本地的數(shù)據(jù)庫，得到和用戶端進行加密所用的一樣的密碼，然后根據(jù)原來的16字節(jié)的隨機碼進行加密，將其結(jié)果與Secret Password作

11、比較，如果相同表明驗證通過，如果不相同表明驗證失敗。 Secret Password = MD5（Chap ID + Password + challenge）,遠端（Radius）驗證PAP方式：,遠端認證PAP,Secret password =Password XOR MD5（Challenge Key） (Challenge就是Radius報文中的Authenticator),我查 我算 我驗,遠端（Radius）驗證CHAP方式：,遠端認證CHAP,Secret password = MD5（Chap ID + Password + challenge）,我查 我算 我驗,認證過程,

12、課程議題,概述,IEEE802.1x（Port-Based Network Access Control）是一個基于端口的網(wǎng)絡(luò)訪問控制標準，為LAN接入提供點對點式的安全接入。 基于端口的網(wǎng)絡(luò)接入控制（Port Based Network Access Control） 只有用戶通過認證，端口才被”開放“，否則端口處于”關(guān)閉“狀態(tài) 802.1X的認證的最終目的就是確定一個端口是否可用。對于一個端口，如果認證成功那么就“打開”這個端口，允許文所有的報文通過；如果認證不成功就使這個端口保持“關(guān)閉”，此時只允許802.1X的認證報文EAPOL（Extensible Authentication Pr

13、otocol over LAN）通過。,802.1x認證體系,802.1x是一個Client/Server結(jié)構(gòu) 802.1x認證體系中的組件 懇求者系統(tǒng)（Supplicant System） 認證系統(tǒng)（Authenticator System） 認證服務(wù)器系統(tǒng)（Authentication Server System）,802.1x認證組件,懇求者系統(tǒng)（Supplicant） 也稱為客戶端（Client） 通常為支持802.1x認證的用戶終端設(shè)備 安裝802.1x客戶端軟件 Ruijie Supplicant Windows XP 認證系統(tǒng)（Authenticatior System） 對懇求

14、者進行認證 作為懇求者與認證服務(wù)器之間的“中介” 為懇求者提供服務(wù)端口（物理、邏輯） 非受控端口 始終處于雙向連通狀態(tài)，用來傳遞EAPoL協(xié)議幀,802.1x認證組件,受控端口 只有在認證通過的狀態(tài)下才打開，用于傳遞網(wǎng)絡(luò)資源和服務(wù) 認證通過之前只允許EAPoL（Extensible Authentication Protocol overLAN）幀通過 認證系統(tǒng)與認證服務(wù)器之間也運行EAP 認證系統(tǒng)將EAP幀封裝到RADIUS報文中發(fā)送給認證服務(wù)器,802.1X機制,Controlled,Un-Controlled,非受控端口主要是用來連接認證服務(wù)器，以便保證服務(wù)器與交換機的正常通訊,連接在受

15、控端口的用戶只有通過認證才能訪問網(wǎng)絡(luò)資源,EAPOL,EAPOL,802.1x認證組件,認證服務(wù)器系統(tǒng)（Authentication Server System） 提供認證服務(wù) 通常是一個RADIUS服務(wù)器 將認證結(jié)果返回給認證系統(tǒng),EAP,EAP（ExtensibleAuthentication Protocol） 懇求者與認證系統(tǒng)之間使用 EAP承載認證信息 EAP幀被封裝到LAN協(xié)議中（例如Ethernet），即EAPoL,802.1x工作機制,在客戶端與交換機之間，EAP協(xié)議報文（承載認證信息）直接被封裝到LAN協(xié)議中 在交換機與RADIUS服務(wù)器之間，EAP協(xié)議報文被封裝到RADIU

16、S報文中，即EAPoRADIUS報文 交換機在整個認證過程中不參與認證，所有的認證工作都由RADIUS服務(wù)器完成 當RADIUS服務(wù)器對客戶端身份進行認證后，將認證結(jié)果（接受或拒絕） 返回給交換機，交換機根據(jù)認證結(jié)果決定受控端口的狀態(tài),802.1X認證過程,常用的認證計費技術(shù)/方式,PPPoE + Radius WEB Portal + Radius 802.1X + Radius,PPPoE認證計費技術(shù),Internet,核心三層交換機,PPPoE的BAS設(shè)備,二層的樓棟交換機,PPPoE的客戶端軟件,Radius服務(wù)器,瓶頸！,DHCP+Web認證計費技術(shù),Internet,核心交換機,W

17、eb Portal的BAS設(shè)備,Radius服務(wù)器,普通的接入交換機,用戶,瓶頸！,802.1X認證計費技術(shù),802.1X交換機,認證報文流,業(yè)務(wù)數(shù)據(jù)流,Internet,Radius服務(wù)器,核心交換機,匯聚交換機,高效！,匯聚交換機,接入層啟用802.1x,接入層啟用802.1x,接入層啟用802.1x,拓撲需求 客戶端主機需支持802.1x客戶端 接入層（Access）交換機需支持802.1x 支持標準RADIUS協(xié)議的RADIUS服務(wù)器 配置要點 接入層連接客戶端主機的訪問端口需要啟用802.1x認證,某公司 總部和分公司之間通過PPP鏈路連接，為了提高接入網(wǎng)絡(luò)的安全性，公司要求各分公司通過PP