网络身份认证技术.ppt

课程议题IEEE802.1x（Port-BasedNetworkAccessControl）是一个基于端口的网络访问控制标准，为LAN接入提供点对点式的安全接入。基于端口的网络接入控制（PortBasedNetworkAccessControl）只有用户通过认证，端口才被”开放“，否则端口处于”关闭“状态802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（ExtensibleAuthenticationProtocoloverLAN）通过。概述802.1x认证体系802.1x是一个Client/Server结构????802.1x认证体系中的组件????恳求者系统（SupplicantSystem）????认证系统（AuthenticatorSystem）????认证服务器系统（AuthenticationServerSystem）802.1x认证组件恳求者系统（Supplicant）????也称为客户端（Client）????通常为支持802.1x认证的用户终端设备????安装802.1x客户端软件??RuijieSupplicant??WindowsXP????认证系统（AuthenticatiorSystem）????对恳求者进行认证????作为恳求者与认证服务器之间的“中介”????为恳求者提供服务端口（物理、逻辑）????非受控端口 ??始终处于双向连通状态，用来传递EAPoL协议帧802.1x认证组件受控端口??只有在认证通过的状态下才打开，用于传递网络资源和服务????认证通过之前只允许EAPoL（ExtensibleAuthenticationProtocoloverLAN）帧通过????认证系统与认证服务器之间也运行EAP????认证系统将EAP帧封装到RADIUS报文中发送给认证服务器802.1X机制ControlledUn-Controlled非受控端口主要是用来连接认证服务器，以便保证服务器与交换机的正常通讯连接在受控端口的用户只有通过认证才能访问网络资源EAPOLEAPOL802.1x认证组件认证服务器系统（AuthenticationServerSystem）????提供认证服务????通常是一个RADIUS服务器????将认证结果返回给认证系统????恳求者与认证系统之间使用EAP（ExtensibleAuthenticationProtocol）????EAP帧被封装到LAN协议中（例如Ethernet），即EAPoLEAP承载认证信息EAPoynetwork!J网络安全设备与技术oynetwork!J网络安全设备与技术oynetwork!J网络安全设备与技术oynetwork!J网络安全设备与技术扮演认证者角色的设备有两种类型的端口：受控端口（controlledPort）和非受控端口（uncontrolledPort）。连接在受控端口的用户只有通过认证才能访问网络资源；而连接在非受控端口的用户无须经过认证便可以直接访问网络资源。我们把用户连接在受控端口上，便可以实现对用户的控制；非受控端口主要是用来连接认证服务器，以便保证服务器与交换机的正常通讯。认证服务器通常为RADIUS服务器，认证过程中与认证者配合，为用户提供认证服务。认证服务器保存了用户名及密码，以及相应的授权信息，一台服务器可以对多台认证者提供认证服务，这样就可以实现对用户的集中管理。认证服务器还负责管理从认证者发来的记帐数据。实达网络科技公司实现的802.1x的设备完全兼容标准的RadiusServer，如MicroSoftwin2000Server自带的RadiusServer及Linux下的FreeRadiusServer。1)???????当用户有上网需求时，用户打开802.1X客户端程序，输入已经申请、登记的用户名和口令，发起连接。此时，客户端程序（Supplicant）将发出“请求认证”的报文给交换机（Authenticator），开始启动一次认证过程。2)???????交换机收到“请求认证”的数据帧后，将发出一个请求帧，要求用户的客户端程序将输入的用户名送上来。3)???????客户端程序相应交换机发出的请求，将“用户名”信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包（IP数据包）处理