第7章认证技术与应用实验.pptVIP

计算机网络工程 王晓燕 第七章 认证技术与应用实验 1 AAA安全体系结构 2 Radius协议 3 Tacacs＋ 协议 4 tacacs+和Radius比较 5认证技术实验 7.1AAA安全体系结构 7.1.1背景 随着网络技术的不断发展及Internet应用的不断普及，越来越多的用户通过电话线将个人微机与网络接入服务器NAS互联，实现拨号访问Internet。 远程访问因其开放性，对用户的身份认帐和安全管理更加困难和复杂。 为了便于集中认证和管理拨入的用户，目前大多采用AAA（Authentication、Authorization和Accounting）安全体系。AAA是基于协同网络安全技术的访问控制概念，其目的是通过某种一致的办法来配置网络服务，控制用户对路由器或网络接入服务器的访问。目前AAA技术已经不限于对拨号用户的认证，它广泛应用于任何需要认证服务的网络中。 7.1.2AAA安全体系结构组成 1 鉴别（ Authentication ） 2 授权（ Authorization ） 3 记帐（ Accounting ） 1鉴别(Authentication) 此过程主要完成用户身份识别，并为该用户指派特权级别，控制该用户对网络资源和服务的访问与使用。在允许访问前，用户必须首先通过鉴别。鉴别服务验证终端用户或一个设备的联机身份，这里设备包括主机、服务器、交换机、路由器和其他联网部件。此任务通过使用登录、口令对话框、挑战和响应、消息支持和安全协议完成的。 2 授权（Authorization） 此过程决定用户或用户组可以访问的指定服务和网络资源，该过程也定义用户在资源上可以执行的操作。授权能够提供远程网络访问控制方法，包括一次性授权，支持用户组，支持IP，IPX,ARA和Telnet等。AAA授权使用多组属性和特权来描述每个用户被授权访问的资源，以及每个用户在哪些资源上可以采取合法动作。这些属性组和特权存储在数据库中－可以是本地数据库(位于NAS或路由器中)，也可以是远程数据库（位于安全服务器中）。 3 记帐（Accounting） 此过程主要是收集信息，以确定谁在使用哪些资源。记帐服务还会将收集到的访问信息发送到安全服务器，这些信息包括用户身份、开始和停止时间、执行的命令、数据包数目和字节数目等。在一个远程接入网络上，记帐也提供帐单服务。记帐服务对安全的贡献是审计追踪。 7.1.3AAA安全服务器 实现AAA安全的核心是AAA安全服务器，它存储实施AAA安全策略的访问控制信息，因此它通常被看成是一个数据库。 1 采用本地安全数据库的AAA 2 采用远程安全数据库的AAA 1采用本地安全数据库的AAA 如果只有少量用户通过一台或者2台NAS访问内部网络，可以考虑将用户名和口令安全信息存储在NAS上，这被称作在本地安全数据库上的本地认证。 要使用本地数据库进行认证，必须先在每台NAS上的本地安全数据库中用AAA命令为想要登录网络的每个用户建立用户名及其口令。 认证过程如下 （1）远程用户与NAS建立起一个PPP连接。 （2）NAS提示用户输入用户名和口令 （3）NAS通过本地数据库对收到的用户名和口令进行认证 （4）NAS根据其本地数据库中的认证值授权用户一定的网络服务和可访问的目的地 （5）NAS记录用户的通信数据量并按本地数据库中指定的格式编制审计记录 本地数据库上AAA的特点： （1）本地安全数据库上的本地认证适合于只有少量用户和NAS的小网络 （2）用户名、口令和授权参数被存储在NAS上的本地数据库中。 （3）根据本地安全数据库对远程用户进行认证和授权 （4）本地安全数据库对授权和审计的支持有限。 （5）用本地安全数据库对用户控制可节省安装和维护一个远程安全数据库的费用。 2采用远程安全数据库的AAA 当网络规模变大、远程用户数目和NAS数目增多时，比较方便的方法就是使用一个远程安全数据库来为网络中的各个NAS和路由器提供AAA服务。远程安全数据库能够使管理员集中管理远程用户，不必为增加和改变一个远程用户原型而去更新所有的NAS。远程安全数据库有助于在公司内建立和加强一致的远程访问策略。 通过远程安全数据库进行认证的工作过程： （1）用户和NAS建立起一条PPP连接 （2）NAS提示用户输入用户名和口令，用户对该提示进行回应 （3）NAS将用户名和口令传递给安全服务器 （4）远程安全数据库对用户进行认证并授权用户访问网络。该数据库会通过下载相应的命令，并激活NAS中的访问控制列表来配置NAS。 （5）NAS按照远程安全数据库中所指定的格式来编制审计记录，并将这些记录发送给安全服务器