校園網安全接入統(tǒng)一認證系統(tǒng)演示文件

1、1 校園網安全接入解決方案 -安全可控接入、穩(wěn)定可靠便捷安全可控接入、穩(wěn)定可靠便捷 校園網安全接入統(tǒng)一認證系統(tǒng)校園網安全接入統(tǒng)一認證系統(tǒng)2校園網特點 當前n接入方式接入方式：有線、無線（增長趨勢）n應用應用：資源共享、學術研究、bbs n安全：安全： （1）非法用戶接入 （2）用戶通信信息泄露 （3）非法用戶訪問內網敏感信息、 討論區(qū)散布非法言論 、 dos 、 n地域地域： 下屬學院眾多、校區(qū)物理分散 用戶需要身份認證，通信信息需要保密，認證要實現統(tǒng)一 3 需求現狀n傳統(tǒng)的認證方式 (pppoe，web/porta1)需要對校園網中的用戶數據進行頻繁的處理，嚴重影響了網絡性能，難以做到網絡的

2、安全性、性能和成本的統(tǒng)一 nieee 802.1x協(xié)議為二層協(xié)議，不需要到達三層，對設備的整體性能要求不高 ，可以有效降低建網成本。n通過具體的eap認證方式，可提供強加密方法的無線客戶端和服務器之間雙向認證，并生成保護無線傳輸的動態(tài)加密密鑰，具有可靠的安全性 n目錄服務可以解決認證統(tǒng)一性的問題4解決方案解決方案-802.1x + radius + -802.1x + radius + ldapldap解決方案5802.1x協(xié)議體系結構客戶端系統(tǒng)客戶端系統(tǒng)eapol lan/wlan認證系統(tǒng)認證系統(tǒng)非受控非受控端口端口受控受控端口端口客戶端系統(tǒng)客戶端系統(tǒng)pae認證系統(tǒng)認證系統(tǒng)提供的服務提供的服

3、務認證系統(tǒng)認證系統(tǒng)pae認證服務器認證服務器認證服務器認證服務器6 802.1x提供了一種基于端口的網絡接入控制技術，通過在交換機或ap的端口上對接入用戶進行訪問控制。通過此方式的認證，能夠在lan這種多點訪問環(huán)境中提供一種點對點識別用戶的方式。 這里的端口是指連接到lan的一個單點結構，可以是被認證系統(tǒng)的mac地址，也可以是服務器或nas上連接lan的物理端口,或者ieee 802.11wlan環(huán)境中定義的工作站和訪問點。 802.1x端口7radius aaanradius是基于挑戰(zhàn)應答方式檢驗和鑒別用戶的一種訪問控制協(xié)議，可以提供集中式認證、可控制的授權以及詳細的記費信息。radius認

4、證使用1812端口，計費使用1813端口。radius是應用層的協(xié)議，在傳輸層它被封裝在udp的報文中，進而封裝進ip包。 8 目錄服務ldapn為了實現統(tǒng)一認證，即需要將校園網各個應用系統(tǒng)用戶的身份認證信息實現統(tǒng)一管理。將如此多的信息統(tǒng)一管理，并要方便用戶的查詢，一般就需用到目錄服務。9 系統(tǒng)整體結構圖 10eap接入認證系統(tǒng)客戶端網絡設備操作模塊認證方式配置模塊認證模塊設備顯示設備變更設備獲取md5tls認證方式的設置配置文件的操作保存載入查看當前狀態(tài)的判定數據包的收發(fā)認證狀態(tài)的轉移離線模塊登錄模塊定期重連 客戶端子系統(tǒng)模塊劃分 標準ieee 802.1x客戶端 11 便捷 可擴展性可擴展

5、性 安全性 靈活性 標準ieee 802.1x客戶端 12n認證過程中，采用消息摘要或公鑰數字證書機制，保護用戶認證信息n認證通過后，作為wpa,wpa2客戶端， 在nas和客戶端間建立動態(tài)會話密鑰安全性 標準ieee 802.1x客戶端 13n用戶無需了解802.1x任何相關技術細節(jié) 只要記住用戶名，密碼或安裝一下證書n用戶的配置信息只需在第一次使用時設置一次，以后不必再重設便捷性便捷性 標準ieee 802.1x客戶端 14n采用模塊化設計逐層分解可括展性可括展性tlsmd5peapextensible authentication protocal(eap)eapol802.11 wir

6、eless lan802.3etherneteaplayerdata linklayerauthenticationlayereapollayerlayerapplication layer 標準ieee 802.1x客戶端 15 客戶端pae狀態(tài)機設計 標準ieee 802.1x客戶端 16 客戶端實現 n開發(fā)工具包 platform sdk、openssl 、winpcap nwindows xp平臺上利用集成開發(fā)工具vc 6.0 標準ieee 802.1x客戶端 17 802.1x服務器端服務器端子系統(tǒng)模塊劃分18 服務器端設計cn=personscn=lucycn=lilycn=張三.

7、基本信息授權信息基本信息授權信息圖2.20 用戶組織結構圖服務器端設計主要是數據庫的設計 802.1x服務器端19 服務器端實現nlinux開源軟件 linux redhat 9.0 + freeradius 1.1.4 +openldap 2.3.19+ openssl 0.9.8j + apache 2.6+phpldapadmin n開源軟件的安裝與配置 802.1x服務器端20客戶端軟件測試和結果分析 客戶端系統(tǒng)supplicant硬件平臺：x86 pc + tl_321g wlan usb adapter軟件平臺：winxp sp2 + w2aaasupplicant_1.0.exe

8、+winpcap 4.0.exe認證系統(tǒng)nas 硬件：cisco aironet 802.1 a/b/g access point服務器系統(tǒng)硬件平臺：x86 + realtek rtl 8139/810 x family fast ethernet nic 軟件平臺：linux redhat 9.0 + freeradius 1.1.4 +openldap 2.3.19 + openssl 0.9.8j + apache 2.6另外，需要一套數字證書，包括root.der，root.pem，client.p12，server.pem。在客戶端系統(tǒng)，將 root.der安裝到受信任的根證書存儲區(qū)

9、，將 client.p12安裝到個人存儲區(qū)，并將其設置為可導出的；在服務器系統(tǒng)，將root.pem和server.pem放置到相應目錄下。21 eap-md5測試結果和分析 22eap-md5測試結果和分析23 eap-tls測試結果和分析 24eap-tls測試結果和分析25802.1x 的缺陷與改進n根本一點：基于 8021x及 radius協(xié)議的認證采用的 “可控端 口”和 “不可 控端口”的邏輯功能實質是一把雙刃劍 ，在它實現了業(yè)務流與認證流分離的同時，也帶來了認證通過之后不可控制的問題與缺陷， 即在認證通過之后，可控端口一直處于打開狀態(tài)，使得同 vlan里面的非法用戶與合法 用戶一起能夠通過串接 hub接入并使用網絡 ，即使在認證過程中加入了對 mac、ip 乃至 vlanid以及