1、身份驗證與網(wǎng)絡接入控制,主要內容,AAA RADIUS 802.1x,課程議題,基本概念,AAA Authentication、Authorization、Accounting驗證、授權、記費 PAPPassword Authentication Protocol 密碼驗證協(xié)議 CHAP Challenge-Handshake Authentication Protocol 盤問握手驗證協(xié)議 NASNetwork Access Server 網(wǎng)絡接入服務器 RADIUS Remote Authentication Dial In User Service 遠程驗證撥入用戶服務（遠程撥入用戶驗證

2、服務）,AAA介紹,AAA（Authentication、Authorization、Accounting，認證、授權、計費）提供了對認證、授權和計費功能的一致性框架 AAA 是一個提供網(wǎng)絡訪問控制安全的模型，通常用于用戶登錄設備或接入網(wǎng)絡。 AAA主要解決的是網(wǎng)絡安全訪問控制的問題 相對與其他的本地身份認證、端口安全等安全策略，AAA能夠提供更高等級的安全保護。,AAA介紹-cont.,Authentication：認證模塊可以驗證用戶是否可獲得訪問權。 Authorization：授權模塊可以定義用戶可使用哪些服務或這擁有哪些權限。 Accounting：計費模塊可以記錄用戶使用網(wǎng)絡資源的

3、情況?？蓪崿F(xiàn)對用戶使用網(wǎng)絡資源情況的記帳、統(tǒng)計、跟蹤。,AAA基本模型,AAA基本模型中分為用戶、NAS、認證服務器三個部分 用戶向NAS設備發(fā)起連接請求 NAS設備將用戶的請求轉發(fā)給認證服務器 認證服務器返回認證結果信息給NAS設備 NAS設備根據(jù)認證服務器返回的認證結果對用戶采取相應認證、授權、計費的操作,AAA的認證功能,AAA 服務器,本地認證,遠端認證,AAA的授權功能,RADIUS 服務器,本地授權,遠端授權,AAA的計費功能,遠端計費,RADIUS 服務器/TACACS服務器,課程議題,RADIUS ( Remote Authentication Dial In User Ser

4、vice 遠程認證撥號用戶服務)是在網(wǎng)絡接入設備和認證服務器之間進行認證授權計費和配置信息的協(xié)議,RADIUS協(xié)議特點,客戶/服務器模型：網(wǎng)絡接入設備（NAS）通常作為RADIUS服務器的客戶端。 安全性：RADIUS服務器與NAS之間使用共享密鑰對敏感信息進行加密，該密鑰不會在網(wǎng)絡上傳輸。 可擴展的協(xié)議設計：RADIUS使用屬性-長度-值（AVP，Attribute-Length-Value）數(shù)據(jù)封裝格式，用戶可以自定義其他的私有屬性，擴展RADIUS的應用。 靈活的鑒別機制：RADIUS服務器支持多種方式對用戶進行認證，支持PAP、CHAP、UNIX login等多種認證方式。,RADIU

5、S: BasicsAuthentication Data Flow,ISP User Database,ISP Modem Pool,User dials modem pool and establishes connection,UserID: bobPassword: ge55gep,UserID: bobPassword: ge55gepNAS-ID: 207.12.4.1,Select UserID=bob,Bobpassword=ge55gepTimeout=3600other attributes,Access-AcceptUser-Name=bobother attributes

6、,Framed-Address=217.213.21.5,The Internet,ISP RADIUS Server,Internet PPP connection established,RADIUS: BasicsAuthentication Data Flow,ISP AccountingDatabase,ISP Modem Pool,Acct-Status-Type=StartUser-Name=bobFramed-Address=217.213.21.5.,Sun May 10 20:47:41 1998 Acct-Status-Type=Start User-Name=bob F

7、ramed-Address=217.213.21.5 .,The Internet,ISP RADIUS Server,Internet PPP connection established,Acknowledgement,The Accounting “Start” Record,RADIUS: BasicsAuthentication Data Flow,ISP AccountingDatabase,ISP Modem Pool,The Internet,ISP RADIUS Server,Internet PPP connection established,Acct-Status-Ty

8、pe=StopUser-Name=bobAcct-Session-Time=1432.,Sun May 10 20:50:49 1998 Acct-Status-Type=Stop User-Name=bob Acct-Session-Time=1432 .,Acknowledgement,The Accounting “Stop” Record,User Disconnects,驗證,當用戶想要通過某個網(wǎng)絡(如電話網(wǎng))與 NAS建立連接從而獲得訪問其他網(wǎng)絡的權利時，NAS可以選擇在NAS上進行本地認證計費，或把用戶信息傳遞給RADIUS服務器，由Radius進行認證計費； RADIUS 協(xié)議

9、規(guī)定了NAS與RADIUS 服務器之間如何傳遞用戶信息和記賬信息； RADIUS服務器負責接收用戶的連接請求，完成驗證，并把傳遞服務給用戶所需的配置信息返回給NAS。,本地（NAS）驗證PAP方式：,PAP（Password Authentication Protocol）是密碼驗證協(xié)議的簡稱，是認證協(xié)議的一種。 用戶以明文的形式把用戶名和他的密碼傳遞給NAS，NAS根據(jù)用戶名在NAS端查找本地數(shù)據(jù)庫，如果存在相同的用戶名和密碼表明驗證通過,否則表明驗證未通過。,本地（NAS）驗證CHAP方式,CHAP（Challenge Handshake Authentication Protocol）是

10、盤問握手驗證協(xié)議的簡稱，是我們使用的另一種認證協(xié)議。 Secret Password = MD5（Chap ID + Password + challenge）,本地（NAS）驗證CHAP方式,當用戶請求上網(wǎng)時，服務器產(chǎn)生一個16字節(jié)的隨機碼（challenge）給用戶（同時還有一個ID號，本地路由器的 host name）。用戶端得到這個包后使用自己獨用的設備或軟件對傳來的各域進行加密，生成一個Secret Password傳給NAS。NAS根據(jù)用戶名查找自己本地的數(shù)據(jù)庫，得到和用戶端進行加密所用的一樣的密碼，然后根據(jù)原來的16字節(jié)的隨機碼進行加密，將其結果與Secret Password作

11、比較，如果相同表明驗證通過，如果不相同表明驗證失敗。 Secret Password = MD5（Chap ID + Password + challenge）,遠端（Radius）驗證PAP方式：,遠端認證PAP,Secret password =Password XOR MD5（Challenge Key） (Challenge就是Radius報文中的Authenticator),我查 我算 我驗,遠端（Radius）驗證CHAP方式：,遠端認證CHAP,Secret password = MD5（Chap ID + Password + challenge）,我查 我算 我驗,認證過程,

12、課程議題,概述,IEEE802.1x（Port-Based Network Access Control）是一個基于端口的網(wǎng)絡訪問控制標準，為LAN接入提供點對點式的安全接入。 基于端口的網(wǎng)絡接入控制（Port Based Network Access Control） 只有用戶通過認證，端口才被”開放“，否則端口處于”關閉“狀態(tài) 802.1X的認證的最終目的就是確定一個端口是否可用。對于一個端口，如果認證成功那么就“打開”這個端口，允許文所有的報文通過；如果認證不成功就使這個端口保持“關閉”，此時只允許802.1X的認證報文EAPOL（Extensible Authentication Pr

13、otocol over LAN）通過。,802.1x認證體系,802.1x是一個Client/Server結構 802.1x認證體系中的組件 懇求者系統(tǒng)（Supplicant System） 認證系統(tǒng)（Authenticator System） 認證服務器系統(tǒng)（Authentication Server System）,802.1x認證組件,懇求者系統(tǒng)（Supplicant） 也稱為客戶端（Client） 通常為支持802.1x認證的用戶終端設備 安裝802.1x客戶端軟件 Ruijie Supplicant Windows XP 認證系統(tǒng)（Authenticatior System） 對懇求

14、者進行認證 作為懇求者與認證服務器之間的“中介” 為懇求者提供服務端口（物理、邏輯） 非受控端口 始終處于雙向連通狀態(tài)，用來傳遞EAPoL協(xié)議幀,802.1x認證組件,受控端口 只有在認證通過的狀態(tài)下才打開，用于傳遞網(wǎng)絡資源和服務 認證通過之前只允許EAPoL（Extensible Authentication Protocol overLAN）幀通過 認證系統(tǒng)與認證服務器之間也運行EAP 認證系統(tǒng)將EAP幀封裝到RADIUS報文中發(fā)送給認證服務器,802.1X機制,Controlled,Un-Controlled,非受控端口主要是用來連接認證服務器，以便保證服務器與交換機的正常通訊,連接在受

15、控端口的用戶只有通過認證才能訪問網(wǎng)絡資源,EAPOL,EAPOL,802.1x認證組件,認證服務器系統(tǒng)（Authentication Server System） 提供認證服務 通常是一個RADIUS服務器 將認證結果返回給認證系統(tǒng),EAP,EAP（ExtensibleAuthentication Protocol） 懇求者與認證系統(tǒng)之間使用 EAP承載認證信息 EAP幀被封裝到LAN協(xié)議中（例如Ethernet），即EAPoL,802.1x工作機制,在客戶端與交換機之間，EAP協(xié)議報文（承載認證信息）直接被封裝到LAN協(xié)議中 在交換機與RADIUS服務器之間，EAP協(xié)議報文被封裝到RADIU

16、S報文中，即EAPoRADIUS報文 交換機在整個認證過程中不參與認證，所有的認證工作都由RADIUS服務器完成 當RADIUS服務器對客戶端身份進行認證后，將認證結果（接受或拒絕） 返回給交換機，交換機根據(jù)認證結果決定受控端口的狀態(tài),802.1X認證過程,常用的認證計費技術/方式,PPPoE + Radius WEB Portal + Radius 802.1X + Radius,PPPoE認證計費技術,Internet,核心三層交換機,PPPoE的BAS設備,二層的樓棟交換機,PPPoE的客戶端軟件,Radius服務器,瓶頸！,DHCP+Web認證計費技術,Internet,核心交換機,W

17、eb Portal的BAS設備,Radius服務器,普通的接入交換機,用戶,瓶頸！,802.1X認證計費技術,802.1X交換機,認證報文流,業(yè)務數(shù)據(jù)流,Internet,Radius服務器,核心交換機,匯聚交換機,高效！,匯聚交換機,接入層啟用802.1x,接入層啟用802.1x,接入層啟用802.1x,拓撲需求 客戶端主機需支持802.1x客戶端 接入層（Access）交換機需支持802.1x 支持標準RADIUS協(xié)議的RADIUS服務器 配置要點 接入層連接客戶端主機的訪問端口需要啟用802.1x認證,某公司 總部和分公司之間通過PPP鏈路連接，為了提高接入網(wǎng)絡的安全性，公司要求各分公司通過PP