網(wǎng)絡(luò)身份認(rèn)證技術(shù).ppt

1、身份驗(yàn)證與網(wǎng)絡(luò)接入控制,主要內(nèi)容,AAA RADIUS 802.1x,課程議題,基本概念,AAA Authentication、Authorization、Accounting驗(yàn)證、授權(quán)、記費(fèi) PAPPassword Authentication Protocol 密碼驗(yàn)證協(xié)議 CHAP Challenge-Handshake Authentication Protocol 盤(pán)問(wèn)握手驗(yàn)證協(xié)議 NASNetwork Access Server 網(wǎng)絡(luò)接入服務(wù)器 RADIUS Remote Authentication Dial In User Service 遠(yuǎn)程驗(yàn)證撥入用戶服務(wù)（遠(yuǎn)程撥入用戶驗(yàn)證

2、服務(wù)）,AAA介紹,AAA（Authentication、Authorization、Accounting，認(rèn)證、授權(quán)、計(jì)費(fèi)）提供了對(duì)認(rèn)證、授權(quán)和計(jì)費(fèi)功能的一致性框架 AAA 是一個(gè)提供網(wǎng)絡(luò)訪問(wèn)控制安全的模型，通常用于用戶登錄設(shè)備或接入網(wǎng)絡(luò)。 AAA主要解決的是網(wǎng)絡(luò)安全訪問(wèn)控制的問(wèn)題 相對(duì)與其他的本地身份認(rèn)證、端口安全等安全策略，AAA能夠提供更高等級(jí)的安全保護(hù)。,AAA介紹-cont.,Authentication：認(rèn)證模塊可以驗(yàn)證用戶是否可獲得訪問(wèn)權(quán)。 Authorization：授權(quán)模塊可以定義用戶可使用哪些服務(wù)或這擁有哪些權(quán)限。 Accounting：計(jì)費(fèi)模塊可以記錄用戶使用網(wǎng)絡(luò)資源的

3、情況?？蓪?shí)現(xiàn)對(duì)用戶使用網(wǎng)絡(luò)資源情況的記帳、統(tǒng)計(jì)、跟蹤。,AAA基本模型,AAA基本模型中分為用戶、NAS、認(rèn)證服務(wù)器三個(gè)部分 用戶向NAS設(shè)備發(fā)起連接請(qǐng)求 NAS設(shè)備將用戶的請(qǐng)求轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器 認(rèn)證服務(wù)器返回認(rèn)證結(jié)果信息給NAS設(shè)備 NAS設(shè)備根據(jù)認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果對(duì)用戶采取相應(yīng)認(rèn)證、授權(quán)、計(jì)費(fèi)的操作,AAA的認(rèn)證功能,AAA 服務(wù)器,本地認(rèn)證,遠(yuǎn)端認(rèn)證,AAA的授權(quán)功能,RADIUS 服務(wù)器,本地授權(quán),遠(yuǎn)端授權(quán),AAA的計(jì)費(fèi)功能,遠(yuǎn)端計(jì)費(fèi),RADIUS 服務(wù)器/TACACS服務(wù)器,課程議題,RADIUS ( Remote Authentication Dial In User Ser

4、vice 遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù))是在網(wǎng)絡(luò)接入設(shè)備和認(rèn)證服務(wù)器之間進(jìn)行認(rèn)證授權(quán)計(jì)費(fèi)和配置信息的協(xié)議,RADIUS協(xié)議特點(diǎn),客戶/服務(wù)器模型：網(wǎng)絡(luò)接入設(shè)備（NAS）通常作為RADIUS服務(wù)器的客戶端。 安全性：RADIUS服務(wù)器與NAS之間使用共享密鑰對(duì)敏感信息進(jìn)行加密，該密鑰不會(huì)在網(wǎng)絡(luò)上傳輸。 可擴(kuò)展的協(xié)議設(shè)計(jì)：RADIUS使用屬性-長(zhǎng)度-值（AVP，Attribute-Length-Value）數(shù)據(jù)封裝格式，用戶可以自定義其他的私有屬性，擴(kuò)展RADIUS的應(yīng)用。 靈活的鑒別機(jī)制：RADIUS服務(wù)器支持多種方式對(duì)用戶進(jìn)行認(rèn)證，支持PAP、CHAP、UNIX login等多種認(rèn)證方式。,RADIU

5、S: BasicsAuthentication Data Flow,ISP User Database,ISP Modem Pool,User dials modem pool and establishes connection,UserID: bobPassword: ge55gep,UserID: bobPassword: ge55gepNAS-ID: 207.12.4.1,Select UserID=bob,Bobpassword=ge55gepTimeout=3600other attributes,Access-AcceptUser-Name=bobother attributes

6、,Framed-Address=217.213.21.5,The Internet,ISP RADIUS Server,Internet PPP connection established,RADIUS: BasicsAuthentication Data Flow,ISP AccountingDatabase,ISP Modem Pool,Acct-Status-Type=StartUser-Name=bobFramed-Address=217.213.21.5.,Sun May 10 20:47:41 1998 Acct-Status-Type=Start User-Name=bob F

7、ramed-Address=217.213.21.5 .,The Internet,ISP RADIUS Server,Internet PPP connection established,Acknowledgement,The Accounting “Start” Record,RADIUS: BasicsAuthentication Data Flow,ISP AccountingDatabase,ISP Modem Pool,The Internet,ISP RADIUS Server,Internet PPP connection established,Acct-Status-Ty

8、pe=StopUser-Name=bobAcct-Session-Time=1432.,Sun May 10 20:50:49 1998 Acct-Status-Type=Stop User-Name=bob Acct-Session-Time=1432 .,Acknowledgement,The Accounting “Stop” Record,User Disconnects,驗(yàn)證,當(dāng)用戶想要通過(guò)某個(gè)網(wǎng)絡(luò)(如電話網(wǎng))與 NAS建立連接從而獲得訪問(wèn)其他網(wǎng)絡(luò)的權(quán)利時(shí)，NAS可以選擇在NAS上進(jìn)行本地認(rèn)證計(jì)費(fèi)，或把用戶信息傳遞給RADIUS服務(wù)器，由Radius進(jìn)行認(rèn)證計(jì)費(fèi)； RADIUS 協(xié)議

9、規(guī)定了NAS與RADIUS 服務(wù)器之間如何傳遞用戶信息和記賬信息； RADIUS服務(wù)器負(fù)責(zé)接收用戶的連接請(qǐng)求，完成驗(yàn)證，并把傳遞服務(wù)給用戶所需的配置信息返回給NAS。,本地（NAS）驗(yàn)證PAP方式：,PAP（Password Authentication Protocol）是密碼驗(yàn)證協(xié)議的簡(jiǎn)稱，是認(rèn)證協(xié)議的一種。 用戶以明文的形式把用戶名和他的密碼傳遞給NAS，NAS根據(jù)用戶名在NAS端查找本地?cái)?shù)據(jù)庫(kù)，如果存在相同的用戶名和密碼表明驗(yàn)證通過(guò),否則表明驗(yàn)證未通過(guò)。,本地（NAS）驗(yàn)證CHAP方式,CHAP（Challenge Handshake Authentication Protocol）是

10、盤(pán)問(wèn)握手驗(yàn)證協(xié)議的簡(jiǎn)稱，是我們使用的另一種認(rèn)證協(xié)議。 Secret Password = MD5（Chap ID + Password + challenge）,本地（NAS）驗(yàn)證CHAP方式,當(dāng)用戶請(qǐng)求上網(wǎng)時(shí)，服務(wù)器產(chǎn)生一個(gè)16字節(jié)的隨機(jī)碼（challenge）給用戶（同時(shí)還有一個(gè)ID號(hào)，本地路由器的 host name）。用戶端得到這個(gè)包后使用自己獨(dú)用的設(shè)備或軟件對(duì)傳來(lái)的各域進(jìn)行加密，生成一個(gè)Secret Password傳給NAS。NAS根據(jù)用戶名查找自己本地的數(shù)據(jù)庫(kù)，得到和用戶端進(jìn)行加密所用的一樣的密碼，然后根據(jù)原來(lái)的16字節(jié)的隨機(jī)碼進(jìn)行加密，將其結(jié)果與Secret Password作

11、比較，如果相同表明驗(yàn)證通過(guò)，如果不相同表明驗(yàn)證失敗。 Secret Password = MD5（Chap ID + Password + challenge）,遠(yuǎn)端（Radius）驗(yàn)證PAP方式：,遠(yuǎn)端認(rèn)證PAP,Secret password =Password XOR MD5（Challenge Key） (Challenge就是Radius報(bào)文中的Authenticator),我查 我算 我驗(yàn),遠(yuǎn)端（Radius）驗(yàn)證CHAP方式：,遠(yuǎn)端認(rèn)證CHAP,Secret password = MD5（Chap ID + Password + challenge）,我查 我算 我驗(yàn),認(rèn)證過(guò)程,

12、課程議題,概述,IEEE802.1x（Port-Based Network Access Control）是一個(gè)基于端口的網(wǎng)絡(luò)訪問(wèn)控制標(biāo)準(zhǔn)，為L(zhǎng)AN接入提供點(diǎn)對(duì)點(diǎn)式的安全接入。 基于端口的網(wǎng)絡(luò)接入控制（Port Based Network Access Control） 只有用戶通過(guò)認(rèn)證，端口才被”開(kāi)放“，否則端口處于”關(guān)閉“狀態(tài) 802.1X的認(rèn)證的最終目的就是確定一個(gè)端口是否可用。對(duì)于一個(gè)端口，如果認(rèn)證成功那么就“打開(kāi)”這個(gè)端口，允許文所有的報(bào)文通過(guò)；如果認(rèn)證不成功就使這個(gè)端口保持“關(guān)閉”，此時(shí)只允許802.1X的認(rèn)證報(bào)文EAPOL（Extensible Authentication Pr

13、otocol over LAN）通過(guò)。,802.1x認(rèn)證體系,802.1x是一個(gè)Client/Server結(jié)構(gòu) 802.1x認(rèn)證體系中的組件 懇求者系統(tǒng)（Supplicant System） 認(rèn)證系統(tǒng)（Authenticator System） 認(rèn)證服務(wù)器系統(tǒng)（Authentication Server System）,802.1x認(rèn)證組件,懇求者系統(tǒng)（Supplicant） 也稱為客戶端（Client） 通常為支持802.1x認(rèn)證的用戶終端設(shè)備 安裝802.1x客戶端軟件 Ruijie Supplicant Windows XP 認(rèn)證系統(tǒng)（Authenticatior System） 對(duì)懇求

14、者進(jìn)行認(rèn)證 作為懇求者與認(rèn)證服務(wù)器之間的“中介” 為懇求者提供服務(wù)端口（物理、邏輯） 非受控端口 始終處于雙向連通狀態(tài)，用來(lái)傳遞EAPoL協(xié)議幀,802.1x認(rèn)證組件,受控端口 只有在認(rèn)證通過(guò)的狀態(tài)下才打開(kāi)，用于傳遞網(wǎng)絡(luò)資源和服務(wù) 認(rèn)證通過(guò)之前只允許EAPoL（Extensible Authentication Protocol overLAN）幀通過(guò) 認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間也運(yùn)行EAP 認(rèn)證系統(tǒng)將EAP幀封裝到RADIUS報(bào)文中發(fā)送給認(rèn)證服務(wù)器,802.1X機(jī)制,Controlled,Un-Controlled,非受控端口主要是用來(lái)連接認(rèn)證服務(wù)器，以便保證服務(wù)器與交換機(jī)的正常通訊,連接在受

15、控端口的用戶只有通過(guò)認(rèn)證才能訪問(wèn)網(wǎng)絡(luò)資源,EAPOL,EAPOL,802.1x認(rèn)證組件,認(rèn)證服務(wù)器系統(tǒng)（Authentication Server System） 提供認(rèn)證服務(wù) 通常是一個(gè)RADIUS服務(wù)器 將認(rèn)證結(jié)果返回給認(rèn)證系統(tǒng),EAP,EAP（ExtensibleAuthentication Protocol） 懇求者與認(rèn)證系統(tǒng)之間使用 EAP承載認(rèn)證信息 EAP幀被封裝到LAN協(xié)議中（例如Ethernet），即EAPoL,802.1x工作機(jī)制,在客戶端與交換機(jī)之間，EAP協(xié)議報(bào)文（承載認(rèn)證信息）直接被封裝到LAN協(xié)議中 在交換機(jī)與RADIUS服務(wù)器之間，EAP協(xié)議報(bào)文被封裝到RADIU

16、S報(bào)文中，即EAPoRADIUS報(bào)文 交換機(jī)在整個(gè)認(rèn)證過(guò)程中不參與認(rèn)證，所有的認(rèn)證工作都由RADIUS服務(wù)器完成 當(dāng)RADIUS服務(wù)器對(duì)客戶端身份進(jìn)行認(rèn)證后，將認(rèn)證結(jié)果（接受或拒絕） 返回給交換機(jī)，交換機(jī)根據(jù)認(rèn)證結(jié)果決定受控端口的狀態(tài),802.1X認(rèn)證過(guò)程,常用的認(rèn)證計(jì)費(fèi)技術(shù)/方式,PPPoE + Radius WEB Portal + Radius 802.1X + Radius,PPPoE認(rèn)證計(jì)費(fèi)技術(shù),Internet,核心三層交換機(jī),PPPoE的BAS設(shè)備,二層的樓棟交換機(jī),PPPoE的客戶端軟件,Radius服務(wù)器,瓶頸！,DHCP+Web認(rèn)證計(jì)費(fèi)技術(shù),Internet,核心交換機(jī),W

17、eb Portal的BAS設(shè)備,Radius服務(wù)器,普通的接入交換機(jī),用戶,瓶頸！,802.1X認(rèn)證計(jì)費(fèi)技術(shù),802.1X交換機(jī),認(rèn)證報(bào)文流,業(yè)務(wù)數(shù)據(jù)流,Internet,Radius服務(wù)器,核心交換機(jī),匯聚交換機(jī),高效！,匯聚交換機(jī),接入層啟用802.1x,接入層啟用802.1x,接入層啟用802.1x,拓?fù)湫枨?客戶端主機(jī)需支持802.1x客戶端 接入層（Access）交換機(jī)需支持802.1x 支持標(biāo)準(zhǔn)RADIUS協(xié)議的RADIUS服務(wù)器 配置要點(diǎn) 接入層連接客戶端主機(jī)的訪問(wèn)端口需要啟用802.1x認(rèn)證,某公司 總部和分公司之間通過(guò)PPP鏈路連接，為了提高接入網(wǎng)絡(luò)的安全性，公司要求各分公司通過(guò)PP