Radius与802.1x2.ppt

* 身份认证概述 身份认证（Authentication）是系统审查用户身份的过程，从而确定该用户是否具有对某种资源的访问和使用权限。 身份认证通过标识和鉴别用户的身份，提供一种判别和确认用户身份的机制。 计算机网络中的身份认证是通过将一个证据与实体身份绑定来实现的。实体可能是用户、主机、应用程序甚至是进程。证据与身份之间是一一对应的关系，双方通信过程中，一方实体向另一方实体提供这个证据证明自已的身份，另一方通过相应的机制来验证证据，以确定该实体是否与证据所显示的身份一致。 身份认证概述——AAA 在计算机网络安全领域，将认证、授权与审计统称为AAA或3A，即英文Authentication（认证）、Authorization（授权）和Accounting（审计）。 1． 认证 认证是一个解决确定某一个用户或其他实体是否被允许访问特定的系统或资源的问题。 2．授权 授权是指当用户或实体的身份被确定为合法后，赋予该用户的系统访问或资源使用权限。 3． 审计 审计也称为记帐（Accounting）或审核，出于安全考虑，所有用户的行为都要留下记录，以便进行核查。 身份认证概述——AAA 用户访问系统资源的过程 IEE802.1x协议与RADIUS服务器 IEEE 802.1x是一个基于端口的网络访问控制协议，该协议的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能，从而实现认证与业务的分离，保证了网络传输的效率。 IEE802.1x协议与RADIUS服务器 RADIUS（Remote Authentication Dial In User Service，远程用户拨号认证服务）服务器提供了三种基本的功能： 认证（Authentication）、授权（Authorization）和审计 （Accounting），即提供了3A功能。 RADIUS协议采用了客户机/服务器（C/S）工作模式。 1. 网络接入服务器（Network Access Server，NAS）是RADIUS的客户端，它负责将用户的验证信息传递给指定的RADIUS服务器，然后处理返回的响应。 2. RADIUS服务器负责接收用户的连接请求，并验证用户身份，然后返回所有必须要配置的信息给客户端用户，也可以作为其他RADIUS服务器或其他类认证服务器的代理客户端。 3. 服务器和客户端之间传输的所有数据通过使用共享密钥来验证，客户端和RADIUS服务器之间的用户密码经过加密发送，提供了密码使用的安全性。 IEE802.1x协议与RADIUS服务器 RADIUS 系统的组成 802.1x EAP认证过程 1、 当用户有上网需求时打开802.1X客户端程序，输入用户名和口令，发起连接请求。此时客户端程序将发出请求认证的报文给交换机，启动一次认证过程。 2、 交换机在收到请求认证的数据帧后，将发出一个EAP-Request/Identitybaowe请求帧要求客户端程序发送用户输入的用户名。 3、 客户端程序响应交换机的请求，将包含用户名信息的一个EAP-Response/Identity送给交换机，交换机将客户端送来的数据帧经过封包处理后生成RADIUS Access-Request报文送给认证服务器进行处理。 802.1x EAP认证过程 4、 认证服务器收到交换机转发上来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字Challenge对它进行加密处理（MD5），通过接入设备将RADIUS Access-Challenge报文发送给客户端，其中包含有EAP-Request/MD5-Challenge。 5、客户端收到EAP-Request/MD5-Challenge报文后，用该加密字对口令部分进行加密处理（MD5）给交换机发送在EAP-Response/MD5-Challenge回应，交换机将Challenge，Challenged Password和用户名一起送到RADIUS 服务器进行认证。 6、认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比，判断用户是否合法，然后回应认证成功/失败报文到接入设备。如果认证成功，则向交换机发出打开端口的指令，允许用户的业务流通过端口访问网络。否则，保持交换机端口的关闭状态，只允许认证信息数据通过。 系统组成与系统规划 一个完整的基于IEEE 802.1x的认证系统由认证客户端、认证者和认证服务器3部分（角色）组成。 1．认证客户端 认证客户端是最终用户所扮演的角色，一般是个人计算机。认证客户端必须运行符合IEEE802.1x 客户端标准