宽带接入技术7.1解读.ppt

实质上不是一个具体的认证协议，而是认证协议的封装协议 原本在LCP协商阶段就要确定认证方式 * 只是一个概念模型 * 低层：可以包括PPP、有线或无线的IEEE802局域网、UDP和TCP。不要求其下层提供可靠性和安全性保证 EAP层：向EAP Peer/Authenticator层递交或接收来自EAP Peer/Authenticator层的EAP报文 EAP Peer/Authenticator层：EAP Peer为被认证提供Peer功能，仅接收EAP请求、成功或失败分组。EAP Authenticator层为认证方提供Authenticator功能，仅接收EAP响应分组。 * 1、EAP-TLS协议是一个客户/服务器协议，其客户和服务器分别具有不同数字证书。在接入网中使用该协议时，不仅网络方面要认证接入用户的合法性，接入用户也需要认证网络方得合法性。接入用户和网络方提供的NAS既是EAP Peer 又是EAP Authenticator * 1、EAP-TLS协议是一个客户/服务器协议，其客户和服务器分别具有不同数字证书。在接入网中使用该协议时，不仅网络方面要认证接入用户的合法性，接入用户也需要认证网络方得合法性。接入用户和网络方提供的NAS既是EAP Peer 又是EAP Authenticator * EAP包括四种分组：请求、响应、成功和失败 EAP是一种停等协议，Authenticator必须在收到对上一次请求的有效响应后才能向Peer发送新的请求 * * IEEE LAN标准中没有为接入LAN的用户提供接入管理机制，任何用户都可以未经许可的接入并访问LAN。这是在接入网中使用LAN技术接入用户的一个重要障碍。 解决LAN用户接入管理问题的方法之一是使用PPPoE技术。另一种方法是使用802.1X协议—专为802LAN用户的接入管理协议标准，“基于端口的网络接口控制”，为LAN用户提供AAA管理中的认证和授权功能。 端口：是用来连接客户系统和认证系统的LAN端口。在WLAN中多个无线站点接在一个AP的同一个无线端口上，形成一种点到多点的接入方式。为了便于单独控制每个无线站点的接入，协议将端口概念从物理扩展到了逻辑，在每个AP的物理端口上为每个无线站点创建一个逻辑端口，在每个逻辑端口上对每个对应的无线站点进行802.1X接入控制。 * * * 协议中使用NAS * 客户和服务器之间的协议就是AAA协议。 认证：验证用户身份的合法性。基本假设是用户具有一个无歧义的身份凭证：用户名、口令、密钥或指纹等。AAA服务器将用户提供的认证数据和数据库中存储的用户数据相比较，如果相符，就允许其接入。否则就认为认证失败，拒绝接入 授权：用户接入后允许使用哪些服务，有哪些特权。该功能包括向用户提供IP地址，调研筛选过滤器确定能支持的应用或协议 记账：它提供采集用户资源信息的方法，这些信息可进一步用于计费、审计和网络规划。 * 客户和服务器之间的协议就是AAA协议。 认证：验证用户身份的合法性。基本假设是用户具有一个无歧义的身份凭证：用户名、口令、密钥或指纹等。AAA服务器将用户提供的认证数据和数据库中存储的用户数据相比较，如果相符，就允许其接入。否则就认为认证失败，拒绝接入 授权：用户接入后允许使用哪些服务，有哪些特权。该功能包括向用户提供IP地址，调研筛选过滤器确定能支持的应用或协议 记账：它提供采集用户资源信息的方法，这些信息可进一步用于计费、审计和网络规划。 * 最为广泛使用的AAA协议是RADIUS协议。 其典型应用环境如图，为客户/服务器结构。客户位于NAS中，服务器位于网络主机中。客户和服务器的所有通信都采用共享密钥认证。 * 在AAA管理的初期阶段，用户的认证和授权主要由接入设备完成。这种分布式管理模式在用户数量较少时能很好的满足要求，但当用户数量达到一定规模后，接入设备之间的用户管理数据共享就成为很大的问题。由于不可能限制用户主机必须通过某台特定的接入设备接入，所以一个用户的信息必然存在于多个接入设备之上，给用户信息的维护带来了很大的麻烦。解决这个问题的方法就是将用户信息集中存放在一个地方，有一个权威机构—AAA服务器来进行集中管理。协议为这种集中管理机制设计了一个 为客户/服务器结构。客户位于NAS中，服务器位于网络主机中。客户和服务器的所有通信都采用共享密钥认证。 * 用户接入网络时，用户通过接入协议将其接入请求信息送交给NAS NAS并不对信息进行处理和响应，而是作为RADIUS客户将用户接入请求信息传递给指定的RADIUS认证服务器 RADIUS认证服务器负责接收用户的接入请求，并根据预先设置在用户管理数据库中的用户接入管理信息认证用户，向NAS返回所有为用户提供接入服务