- 1、本文档共16页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
常用准入认证技术原理分析课件
1 前言
在数据网络中,小型网络如企业网、家用网等,追求的是网络简单、开放,所有人可以自由接入和使用;而在中型及大型网络如城域网、政府网和电信数据网络中,用户关心的是网络的可运营和可管理,要管理每个用户的接入、业务使用、流量等等。
在可运营、可管理网络中,引入了针对用户管理的AAA技术,包括认证、授权和计费三个技术:
认证(Authentication):在用户开始使用网络时对其身份进行的确认动作
授权(Authorization):授权某用户以特定的方式与某网络系统通信
计费(Accounting):记录并提供关于经济活动的确切清单或数据
认证是识别用户身份的过程,而授权是根据认证识别后的用户情况授予对应的网络使用权限(QoS、带宽限制、访问权限、用户策略),而计费也是根据认证后的用户身份采用对应的计费策略并记录、提供计费信息(时长、流量、位置等等),三个技术紧密联系但又相互独立的。认证技术是用户管理最基本的技术。由于本次文档重点是普教行业的准入认证分析,不对计费系统进行赘述。
2 为什么使用认证
2.1 用户的困惑
在普教城域网中,服务提供商(教育局)关心的是网络可运营和可管理,要管理每个用户的接入、业务使用、流量等等。而数据网络中大量使用的是以太网交换机、路由器等设备,遵循的是典型的数据网络理念,追求的是网络简单、开放,自由接入和使用。怎么才能够在数据网络中针对用户进行运营、管理呢?最基本的技术就是通过认证识别用户身份。
2.2 成熟的认证技术
目前市面上最为普遍主流认证技术有三种:PPPoE认证、WEB认证和802.1X认证,这三种认证从标准状态、商用情况看,技术上都已经成熟。
3 认证方式简介
当前最为普遍主流认证技术有三种:PPPoE认证、WEB认证和802.1X认证。严格意义上讲,这三种认证技术并不是真正的认证方式,每种认证技术都支持两种以上的认证方式,具体认证技术和认证方式关系如下表所示:
认证技术 认证方式 PPPoE认证 PAP、CHAP、EAPCHAP 802.1X认证 EAP
PAP认证:密码认证协议,客户端直接发送包含用户名/口令的认证请求,服务器端处理并作回应。
CHAP认证:挑战握手协议,先由服务器端给客户端发送一个随机码challenge,客户端根据challenge,对自己掌握的口令、challenge、会话ID进行单向散例,即md5(password1,challenge,ppp_id),然后把这个结果发送给服务器端。服务器端从数据库中取出库存口令 password2,进行同样的算法,即md5(password2,challenge,ppp_id),最后,比较加密的结果是否相同;如相同,则认证通过。
EAP认证:可扩展的认证协议,EAP可以增加对许多身份验证方案的支持,其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身份验证。最安全的认证方法就是和智能卡一起使用的“可扩展身份验证协议—传输层安全协议”,即EAP-TLS认证。
4 认证技术原理分析
4.1 WEB接入认证原理
4.1.1认证系统架构
接入服务器对来自STA的HTTP请求重定向到POTRAL服务器中,利用PORTAL页面对用户进行认证。认证系统架构图如下:
基于WEB的认证系统架构
基于WEB的认证系统功能实现协议栈如下:
基于WEB的认证系统功能实体协议栈
4.1.2 WEB接入认证流程
用户在WEB认证之前,必须先通过DHCP、静态配置等获得IP地址。用户认真界面提交了用户名和密码之后,接入服务器与WEB认证服务器协调工作,对用户进行认证,其步骤如下:
VLAN用户接入流程(WEB认证)
1-4:用户通过DHCP协议获取地址的过程(静态用户手工配置地址即可);
5:用户访问WEB认证服务器的认证页面,并在其中输入用户名、密码,点击登陆按钮;
6:WEB认证服务器将用户的信息通过内部协议,通知接入服务器;
7:接入服务器到相应的AAA服务器对该用户进行认证;
8:AAA服务器返回认证结果给接入服务器;
9:入服务器将认证结果通知WEB认证服务器;
10:WEB认证服务器通过HTTP页面将认证结果通知用户;
11:如果认证成功用户即可正常访问互联网资源。
4.1.3 三层用户的WEB认证
用户没有与接入服务器接入服务器IP地址没有MAC地址信息,这种类型的用户称为三层认证用户。与二层认证用户不同的是三层认证用户的MAC地址接入服务器MAC、IP的绑定检查安全性不高容易仿冒;ARP请求不能穿透路由器因而不能对用户进行ARP探测确定是否在线。对此,接入服务器WEB认证,不能通过绑定认证等方式上线。另外,接入服务器接入服务器接入服务器IP包找到到达用户的新路径更新相关的信息。
IP报文触发三层用户上线的流程
您可能关注的文档
- 请输入19位充值卡密码课案.doc
- 诸暨中学2016学年第一学期高一语文期中试题卷课案.doc
- 常化酸洗机组施工组织设计7.30课件.doc
- 读书报告—企业中的大数据管理和应用课案.doc
- 常减压装置及沥青质量标准(马云龙)课件.pptx
- 读写对对碰(三年级)课案.doc
- 诺基亚手机设计课案.doc
- 常州科技型小微企业发展瓶颈及其突破路径的调研报告(敬丽华)课件.doc
- 带电粒子在磁场中的运动(磁聚焦)课件.ppt
- 读后感学生习作课案.docx
- 人教版九年级英语全一册单元速记•巧练Unit13【速记清单】(原卷版+解析).docx
- 人教版九年级英语全一册单元速记•巧练Unit9【速记清单】(原卷版+解析).docx
- 人教版九年级英语全一册单元速记•巧练Unit11【速记清单】(原卷版+解析).docx
- 人教版九年级英语全一册单元速记•巧练Unit14【单元测试·提升卷】(原卷版+解析).docx
- 人教版九年级英语全一册单元速记•巧练Unit8【速记清单】(原卷版+解析).docx
- 人教版九年级英语全一册单元速记•巧练Unit4【单元测试·提升卷】(原卷版+解析).docx
- 人教版九年级英语全一册单元速记•巧练Unit13【单元测试·基础卷】(原卷版+解析).docx
- 人教版九年级英语全一册单元速记•巧练Unit7【速记清单】(原卷版+解析).docx
- 苏教版五年级上册数学分层作业设计 2.2 三角形的面积(附答案).docx
- 人教版九年级英语全一册单元速记•巧练Unit12【单元测试·基础卷】(原卷版+解析).docx
最近下载
- 《红楼梦》之刘姥姥-统编版高中语文必修下册.pptx VIP
- 网络信息安全保障方案3篇.pdf
- 宏观经济学计算题大全.doc VIP
- 苏教版数学四年级上册第八单元认识射线、直线和角(课件).pptx
- 某市棚户区改造中区市政道路建设工程路面天然砂砾垫层施工方案.doc
- 淀粉制品公司风险分级管控与隐患排查治理双体系双控手册2022-2024.doc
- 福建省 政和县志.pdf
- 人工智能对学习、教学和教育的影响-The Impact of Artificial Intelligence on Learning, Teaching, and Education.docx
- 中越边广西龙邦镇护龙村跨国婚姻问题研究及对策.doc VIP
- 小学道德与法治六年级下册《我们生存的家园》教学设计及反思.doc
文档评论(0)