无线认证解读.ppt

北京化工大学北方学院信息学院  无线认证方式分析 北研中心：曹立丹 认证概念 就是对接入的用户设备进行身份验证和控制的一种方式。如果认证通过，那么用户就可以访问，设备可以接入。如果认证不通过，用户访问被拒，设备也链接不成功。 常见的几种认证方式 一、802.1x 二、MAC 地址认证 三、web(portal)认证 四、AAA认证 五、Wifidog认证 一、802.1x认证 802.1x认证方式：802.1x是一种基于端口的网络接入控制协议。协议主要是为了解决无线局域网用户的接入认证问题。它的最终目的就是确定一个端口是否可用。这里所说的端口可以是物理端口，也可以是逻辑端口，端口就是一条“信道”。如果认证成功，就“打开”一个端口，允许所有报文通过，如果不成功，就“关闭”这个端口。此时，只允许802.1x的认证报文通过。 二、802.1x的体系结构 ? 三、802.1x 受控端口通常有三种模式：常开模式、协议控制模式（初始模式，出入非授权状态，仅允许认证报文EAPOL通过）、常关模式。 端口的接入控制方式： 一种基于设备的MAC地址，（设置同一端口能接入最大的MAC地址数）， 另一种是基于端口号（基于端口号的认证，是对使用同一端口的任意一用户进行验证。） 802.1x的认证流程 MAC地址认证不需要安装客户端。这种方式比较适合打印机这类无法安装客户端的设备。但是它必须有radius服务器。（用于存储客户端的用户名和密码）。MAC 只能用于认证而不能用于加密。配置允许被连入的无线网卡MAC地址，不在此清单的MAC地址无法连入。 MAC地址认证原理 Aruba只提供了MAC地址认证： MAC地址认证 AAA认证 AAA?是Authentication、Authorization、Accounting（认证、授权、计费）的简称，是网络安全的一种管理机制，提供了认证、授权、计费三种安全功能。 AAA体系结构 AAA认证 AAA一般采用客户机/服务器结构，客户端运行于NAS（Network Access Server，网络接入服务器）上，服务器上则集中管理用户信息。NAS对于用户来讲是服务器端，对于服务器来说是客户端。 Web认证（portal） Web认证是一种对用户访问网络的权限进行控制的身份认证方法，这种认证方法不需要用户安装专用的客户端认证软件，使用普通的浏览器软件就可以进行身份认证。 优点：无线终端不需要安装客户端，使用web浏览器即可 缺点：需要增加portal（推送认证的web界面）和radius服务器（用于储存客户端用户名和密码的设备） Wifidog认证（锐捷采用认证） WifiDog 是一款开源的用来实现无线认证的软件，可以集成到路由器或者网关中，对于连接到路由器或者网关的设备，使其先登录云端认证服务器，然后通过认证才能上网。 它是通过wifidog 程序和linux iptables防火墙实现接入用户的认证跳转和控制，在认证服务器方是通过php程序实现用户的认证流程和管理。优点：有开源代码，可以很方便的搭建认证系统，很容易移植到其他平台。缺点：通过iptables方式实现，性能比较差，整体拉低了路由器的数据包处理速度，协议比较繁琐，对认证服务器的造成性能损耗比较大，在安全方面都是明文传输，有一定的安全隐患。 Wifidog认证流程 感谢 Thank you！ 北京化工大学北方学院信息学院