2022年网络接入安全 .pdf

网络接入安全认证技术的概述：身份认证可分为用户与系统间的认证和系统与系统之间的认证身份认证的基本方式可以基于下述一个或几个因素的组合：所知（ Knowledge） ：即用户所知道的或所掌握的知识，如口令；所有（Possesses） ：用户所拥有的某个秘密信息，如智能卡中存储的用户个人化参数，访问系统资源时必须要有智能卡；特征（Characteristics） ：用户所具有的生物及动作特征，如指纹、声音、视网膜扫描等。根据在认证中采用的因素的多少，可以分为单因素认证、 双因素认证、 多因素认证等方法。身份认证系统所采用的方法考虑因素越多，认证的可靠性就越高。认证机制与协议一案而言，用于用户身份认证的技术分为两类：简单的认证机制和强认证机制。简单的认证中认证方只对被认证方的名字和口令进行一致的验证。常用的认证机制1. 基于口令的认证机制2. 挑战 / 响应认证挑战/ 响应方式的身份认证机制就是每次认证时认证服务器端都给客户端发送一个不同的 “ 挑战” 码，客户端程序收到这个“ 挑战” 码，根据客户端和服务器之间共享的密钥信息，以及服务器端发送的“ 挑战” 码做出相应的 “ 应答” 。服务器根据应答的结果确定是否接受客户端的身份声明。从本质上讲， 这种机制实际上也是一次性口令的一种。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 7 页 - - - - - - - - - 3.EAP认证机制EAP（ExtensibleAuthenticationProtocol ） 扩展认证协议在 RFC2248中定义，是一个普遍使用的认证机制，它常被用于无线网络或点到点的连接中。EAP 不仅可以用于无线局域网，而且可以用于有线局域网，但它在无线局域网中使用的更频繁。使用认证机制的认证协议许多协议包括： RaDIUS 协议、 TACAcs认证协议、 Kerberos认证协议、LDAP认证协议RADIUS认证协议：目的是为拨号用户提供认证和计费，后来经过多次改进形成了一个通用的AAA 协议。 RADIUS协议认证机制灵活， ，能够支持各种认证方法对用户进行认证。可以采用上述任何一种认证机制。 RADIUS是一种可扩展的协议，它进行的全部工作都是基于属性进行的， 由于属性可扩展性， 因此很容易支持不同的认证方式。RADIUS协议通过UDP 协议进行通信，RADIUS服务器的1812端口负责认证， 1813端口负责计费工作。 采用 UDP 的基本考虑是因为 NAS 和 RADIUS服务器大多在同一个局域网中，使用UDP 更加快捷方便。TACACS认证协议基于 UDP 的访问控制协议， 对其改进后，形成了新的 AAA 协名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 7 页 - - - - - - - - - 议，其认证、授权和计费是分离的，使用的是传输层的TCP 协议，端口是 49 ，允许任意长度和内容的认证变化，具有很强的扩展性，并且客户端可以使用任何认证机制。由于TACACS的认证与其他的服务是分开的，所以认证不是强制的。Kerberos认证协议Kerberos是解 决 分 布式 网 络 认证 而 设计 的 第 三方 认 证 协议 ，Kerberos基于对称密码技术，网络上的每个实体持有不同的密钥，是否知道该密钥便是身份的证明。LDAP协议是基于 X.500标准的，支持 TCP/IP ，是一个目录服务协议，不是一个单纯的认证协议，对用户进行授权认证是LDAP 协议的一个典型应用。目录服务其实也是一种数据库系统，只是这种数据库是一种树形结构，而不是通常使用的关系数据库。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 7 页 - - - - - - - - - 接入认证技术IEEE 802.1X接入认证技术802.1X是为了解决无线网络中的安全问题而提出出来的，目前的802.1X协议作为局域网接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。802.1X协议是一种基于端口的网络接入控制协议。“ 基于端口的网络接入控制” 是指，在局域网接入设备的端口这一级，对所接入的用户设备通过认证来控制对网络资源的访问。802.1X可以与不同的认证协议结合实现对接入用户的认证，目前在使用802.1X接入时常与 RADIUS配合实现对接入用户的认证与授权。802.1X技术可以扩展到基于MAC 地址对用户接入进行控制，即对共用同一个物理端口的多个用户分别进行认证控制。802.1X是基于端口的访问控制接入管理协议标准。Portal接入认证技术也称作 web 认证技术，一般将 portal认证的网站称为门户网站。是一种三层网络接入认证，在认证之前，用户要首先获得地址，这点与 802.1X不同。用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。按照网络中实施Portal 认证的网络层次来分，Portal 的认证方式分为两种： 二层认证方式和三层认证方式。前者在二层接口上启用Portal 功能，而后者是在三层接口上启用Portal 功能。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 7 页 - - - - - - - - - MAC 接入认证技术MAC 地址认证是一种基于端口和MAC 地址对用户的网络访问权限进行控制的认证方法，是一种二层网络接入认证技术，与802.1X以及 Portal不同，用户不需要安装任何客户端软件就可进行认证。设备在启动了 MAC 地址认证的端口上首次检测到用户的MAC 地址以后，即启动对该用户的认证操作。认证过程中，不需要用户手动输入用户名或者密码。 若该用户认证成功， 则允许其通过端口访问网络资源，否则该用户的MAC 地址就被添加为静默MAC 。在静默时间内（可通过静默定时器配置） ，来自此 MAC 地址的用户报文到达时，设备直接做丢弃处理，以防止非法MAC 短时间内的重复认证。Triple接入认证技术在客户端形式多样的网络环境中， 不同客户端支持的接入认证方式有所不同，为灵活地适应这种网络环境中的多种认证需求，需要在接入用户的端口上对多种认证方式进行统一部署，使得用户可以选择任何一种适合的认证机制来进行认证， 且只需要成功通过一种方式的认证即可实现接入，无需通过多种认证。Triple认证方案可满足以上需求，允许在设备的二层端口上同时开启 Portal认证、MAC 地址认证和 802.1X认证功能，使得选用其中任意一种方式进行认证的客户端均可通过该端口接入网络。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 7 页 - - - - - - - - - 补充QOS 协议是指一个网络能够利用各种各样的基础技术向选定的网络通信提供更好的服务的能力。这些技术包括： 帧中继 （framerelay ） 、异步传输模式 （ATM ） 、以太网和 802.1网络、 sonet以及 ip- 路由网络Qos 功能可以提供更好的和更可预测的网络服务：支持专用宽带、改善损失特性、避免并且管理网络拥塞情况、规定网络通信流量、设置网络上的通信优先权Qos 的体系结构1.流量管控2.综合服务体系结构3.分级服务体系结构802.1X和 EAP 负责接入认证，使用的认证服务器是RADIUS 服务器，TKIP( 临时密钥完整性协议 )负责加密和密钥管理，MIC 是 64 位的数据完整性校验码。 在 802.1X认证过程中，认证服务器、客户端、认证系统是三个必不可少的组成部分。EAP （可扩展的认证头协议）是802.1X协议的基础，802.1X的验证信息在EAP 扩展头中传输。可以支持多种认证机制。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 7 页 - - - - - - - - - 802.1X协议体系结构包括三个方面：客户端、认证系统和认证服务器EAP 可扩展认证协议802.1x是通过 eap 实现的， eap 可扩展认证协议是ppp 点到点的通用协议，它可以支持多种认证机制。1.EAP_MD5认证方式：单向认证2.EAP_OTP一次性口令认证方式：防止重放攻击，也是单向协议3.EAP_TLS认证方式：既提供认证，又提供密钥分发，还提供数据完整性认证。RADIUS 协议802.1X中使用的认证协议是RADIUS协议，它是基于客户/ 服务器模型设计的802.1X认证的缺陷1. 中间人攻击2. 会话劫持3. 拒绝服务名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 7 页 - - - - - - - - -