网络身份认证技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
用用 (PPP)
验验验验、授授
NAS (Radius Client)
验验验验、授授
Radius Server
网络安全设备与技术
oy network!
认证过程
网络安全设备与技术
oy network!
课程议题
网络安全设备与技术
oy network!
概述
IEEE802.1x(Port-Based Network Access Control)是一个基 于端口的网络访问控制标准,为LAN接入提供点对点式 的安全接入。 基于端口的网络接入控制(Port Based Network Access Control) 只有用户通过认证,端口才被”开放“, 否则端口处于”关闭“状态 802.1X的认证的最终目的就是确定一个端口是否可用。 对于一个端口,如果认证成功那么就“打开”这个端 口,允许文所有的报文通过;如果认证不成功就使这 个端口保持“关闭”,此时只允许802.1X的认证报文 EAPOL(Extensible Authentication Protocol over LAN)通过。
oy network!
验证
当用户想要通过某个网络(如电话网 与 NAS建立连接从 当用户想要通过某个网络 如电话网)与 建立连接从 如电话网 而获得访问其他网络的权利时, 可以选择在NAS上 而获得访问其他网络的权利时,NAS可以选择在 可以选择在 上 进行本地认证计费,或把用户信息传递给RADIUS服务 进行本地认证计费,或把用户信息传递给 服务 进行认证计费; 器,由Radius进行认证计费; 进行认证计费 RADIUS 协议规定了 协议规定了NAS与RADIUS 服务器之间如何传递 与 用户信息和记账信息; 用户信息和记账信息; RADIUS服务器负责接收用户的连接请求,完成验证, 服务器负责接收用户的连接请求,完成验证, 服务器负责接收用户的连接请求 并把传递服务给用户所需的配置信息返回给NAS。 并把传递服务给用户所需的配置信息返回给 。
The Internet
User dials modem pool and establishes connection
Internet PPP connection established
网络安全设备与技术
oy network!
RADIUS: Basics
Authentication Data Flow
网络安全设备与技术
oy network!
AAA基本模型 基本模型
AAA基本模型中分为用户、 基本模型中分为用户、 基本模型中分为用户 NAS、认证服务器三个部分 、 用户向NAS设备发起连接请 求 NAS设备将用户的请求转发 给认证服务器 认证服务器返回认证结果信 息给NAS设备 NAS设备根据认证服务器返 回的认证结果对用户采取相 应认证、授权、计费的操作
ISP Modem Pool
ISP RADIUS Server
ISP Accounting Database
The Internet User Disconnects Internet PPP connection established
The Accounting “Stop” Record
网络安全设备与技术
oy network!
身份验证与网络接入控制
网络安全设备与技术
oy network!
主要内容
AAA RADIUS 802.1x
网络安全设备与技术
oy network!
课程议题
网络安全设备与技术
oy network!
基本概念
AAA Authentication、Authorization、Accounting验证、 、 、 验证、 验证 授权、 授权、记费 PAP Password Authentication Protocol 密码验证协议 CHAP Challenge-Handshake Authentication Protocol 盘问握手验证协议 NAS Network Access Server 网络接入服务器 RADIUS Remote Authentication Dial In User Service 远程验证拨入用户服务(远程拨入用户验证服务) 远程验证拨入用户服务(远程拨入用户验证服务)
Secret password = MD5(Chap ID + Password + challenge) 我查…… 我算…… 我验……
Username,Secret Password, Challenge,CHAP ID
Challenge、主主主、CHAP ID
CHAP ID,Username,Secret Password
RADIUS: Basics
Authentication Data Flow
Sun May 10 20:50:49 1998 Acct-Status-Type=Stop User-Name=bob Acct-Session-Time=1432 … ... Acct-Status-Type=Stop User-Name=bob Acct-Session-Time=1432 … ... Acknowledgement
网络安全设备与技术
oy network!
本地( 方式: 本地(NAS)验证 )验证——PAP方式: 方式
PAP(Password Authentication Protocol)是密码验证协议的 简称,是认证协议的一种。 用户以明文的形式把用户名和他的密码传递给NAS, NAS根据用户名在NAS端查找本地数据库,如果存在相 同的用户名和密码表明验证通过,否则表明验证未通过 。 Username,Password
oy network!
RADIUS协议特点 协议特点
客户/服务器模型:网络接入设备(NAS)通常作为 RADIUS服务器的客户端。 安全性:RADIUS服务器与NAS之间使用共享密钥对敏感 信息进行加密,该密钥不会在网络上传输。 可扩展的协议设计:RADIUS使用属性-长度-值(AVP, Attribute-Length-Value)数据封装格式,用户可以自定义 其他的私有属性,扩展RADIUS的应用。 灵活的鉴别机制:RADIUS服务器支持多种方式对用户 进行认证,支持PAP、CHAP、UNIX login等多种认证方式 。
网络安全设备与技术
oy network!
AAA的认证功能 的认证功能
AAA 服务器 本地认证 远端认证
网络安全设备与技术
oy network!
AAA的授权功能 的授权功能
RADIUS 服务器 本地授权 远端授权
网络安全设备与技术
oy network!
AAA的计费功能 的计费功能
RADIUS 服务器 服务器/TACACS服务器 服务器 远端计费
ISP Modem Pool
ISP RADIUS Server
ISP Accounting Database
The Internet
Internet PPP connection established
The Accounting “Start” Record
网络安全设备与技术
oy network!
Sun May 10 20:47:41 1998 Acct-Status-Type=Start User-Name=bob Framed-Address=217.213.21.5 … ... Acct-Status-Type=Start User-Name=bob Framed-Address=217.213.21.5 … ... Acknowledgement
网络安全设备与技术
oy network!
AAA介绍 介绍-cont. 介绍
Authentication:认证模块可以验证用户是否可获得访问 权。 Authorization:授权模块可以定义用户可使用哪些服务 或这拥有哪些权限。 Accounting:计费模块可以记录用户使用网络资源的情 况。可实现对用户使用网络资源情况的记帐、统计、 跟踪。
网络安全设备与技术
ห้องสมุดไป่ตู้
oy network!
AAA介绍 介绍
AAA(Authentication、Authorization、Accounting,认证、授 权、计费)提供了对认证、授权和计费功能的一致性 框架 AAA 是一个提供网络访问控制安全的模型,通常用于用 户登录设备或接入网络。 AAA主要解决的是网络安全访问控制的问题 相对与其他的本地身份认证、端口安全等安全策略, AAA能够提供更高等级的安全保护。
网络安全设备与技术
oy network!
远端认证——PAP
远端( 方式: 远端(Radius)验证 )验证——PAP方式: 方式
Secret password =Password XOR MD5(Challenge + Key) (Challenge就是Radius报文中的Authenticator) 我查…… 我算…… 我验……
网络安全设备与技术
oy network!
课程议题
网络安全设备与技术
oy network!
RADIUS ( Remote Authentication Dial In User Service 远程认证 拨号用户服务)是在网络接入设备和认证服务器之间进 行认证授权计费和配置信息的协议
网络安全设备与技术
网络安全设备与技术
oy network!
RADIUS: Basics
Authentication Data Flow
ISP User Database ISP Modem Pool
UserID: bob Password: ge55gep NAS-ID: 207.12.4.1 Select UserID=bob
Key Username,Password Challenge Username,Secret Password Key
用用 (PPP)
验验验验 验验验验
NAS (Radius Client)
Radius Server
网络安全设备与技术
oy network!
远端认证——CHAP
远端( 方式: 远端(Radius)验证 )验证——CHAP方式: 方式
Challenge、主主主、CHAP ID
CHAP ID、Username、Secret Password
用用 (PPP)
验验验验
NAS (Radius Client)
网络安全设备与技术
oy network!
本地( 本地(NAS)验证 )验证——CHAP方 方 式
当用户请求上网时,服务器产生一个16字节的随机码 当用户请求上网时,服务器产生一个 字节的随机码 (challenge)给用户(同时还有一个 号,本地路由器 )给用户(同时还有一个ID号 )。用户端得到这个包后使用自己独用的 的 host name)。用户端得到这个包后使用自己独用的 )。 设备或软件对传来的各域进行加密,生成一个Secret 设备或软件对传来的各域进行加密,生成一个 Password传给 传给NAS。NAS根据用户名查找自己本地的数 传给 。 根据用户名查找自己本地的数 据库,得到和用户端进行加密所用的一样的密码, 据库,得到和用户端进行加密所用的一样的密码,然 后根据原来的16字节的随机码进行加密 字节的随机码进行加密, 后根据原来的 字节的随机码进行加密,将其结果与 Secret Password作比较,如果相同表明验证通过,如果 作比较, 作比较 如果相同表明验证通过, 不相同表明验证失败。 不相同表明验证失败。 Secret Password = MD5(Chap ID + Password + challenge) ( )
UserID: bob Password: ge55gep
Access-Accept User-Name=bob [other attributes]
ISP RADIUS Server
Bob password=ge55gep Timeout=3600 [other attributes]
Framed-Address=217.213.21.5
用用 (PPP)
验验验验
NAS (Radius Client)
网络安全设备与技术
oy network!
本地( 本地(NAS)验证 )验证——CHAP方 方 式
CHAP(Challenge Handshake Authentication Protocol)是 ( ) 盘问握手验证协议的简称, 盘问握手验证协议的简称,是我们使用的另一种认证 协议。 协议。 Secret Password = MD5(Chap ID + Password + challenge) ( )