网络接入安全.docxVIP

网络接入安全认证技术的概述：身份认证可分为用户与系统间的认证和系统与系统之间的认证身份认证的基本方式可以基于下述一个或几个因素的组合：所知（Knowledge）：即用户所知道的或所掌握的知识，如口令；所有（Possesses）：用户所拥有的某个秘密信息，如智能卡中存储的用户个人化参数，访问系统资源时必须要有智能卡；特征（Characteristics）：用户所具有的生物及动作特征，如指纹、声音、视网膜扫描等。根据在认证中采用的因素的多少，可以分为单因素认证、双因素认证、多因素认证等方法。身份认证系统所采用的方法考虑因素越多，认证的可靠性就越高。认证机制与协议一案而言，用于用户身份认证的技术分为两类：简单的认证机制和强认证机制 。简单的认证中认证方只对被认证方的名字和口令进行一致的验证。常用的认证机制1.基于口令的认证机制2.挑战/响应认证挑战/响应方式的身份认证机制就是每次认证时认证服务器端都给客户端发送一个不同的“挑战”码，客户端程序收到这个“挑战”码，根据客户端和服务器之间共享的密钥信息，以及服务器端发送的“挑战”码做出相应的“应答”。服务器根据应答的结果确定是否接受客户端的身份声明。从本质上讲，这种机制实际上也是一次性口令的一种。 3.EAP认证机制EAP（Extensible Authentication Protocol）扩展认证协议在RFC2248中定义，是一个普遍使用的认证机制，它常被用于无线网络或点到点的连接中。EAP不仅可以用于无线局域网，而且可以用于有线局域网，但它在无线局域网中使用的更频繁。使用认证机制的认证协议 许多协议包括：RaDIUS协议、TACAcs 认证协议、Kerberos认证协议、LDAP认证协议RADIUS认证协议：目的是为拨号用户提供认证和计费，后来经过多次改进形成了一个通用的AAA协议。RADIUS协议认证机制灵活，，能够支持各种认证方法对用户进行认证。可以采用上述任何一种认证机制。RADIUS是一种可扩展的协议，它进行的全部工作都是基于属性进行的，由于属性可扩展性，因此很容易支持不同的认证方式。RADIUS协议通过UDP协议进行通信，RADIUS服务器的1812端口负责认证，1813端口负责计费工作。采用UDP的基本考虑是因为NAS和RADIUS服务器大多在同一个局域网中，使用UDP更加快捷方便。TACACS认证协议 基于UDP的访问控制协议，对其改进后，形成了新的AAA协议，其认证、授权和计费是分离的，使用的是传输层的TCP协议，端口是49，允许任意长度和内容的认证变化，具有很强的扩展性，并且客户端可以使用任何认证机制。由于TACACS的认证与其他的服务是分开的，所以认证不是强制的。Kerberos认证协议Kerberos是解决分布式网络认证而设计的第三方认证协议，Kerberos基于对称密码技术，网络上的每个实体持有不同的密钥，是否知道该密钥便是身份的证明。LDAP协议是基于X.500标准的，支持TCP/IP，是一个目录服务协议，不是一个单纯的认证协议，对用户进行授权认证是LDAP协议的一个典型应用。目录服务其实也是一种数据库系统，只是这种数据库是一种树形结构，而不是通常使用的关系数据库。接入认证技术IEEE 802.1X接入认证技术802.1X是为了解决无线网络中的安全问题而提出出来的，目前的802.1X协议作为局域网接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。802.1X协议是一种基于端口的网络接入控制协议。“基于端口的网络接入控制”是指，在局域网接入设备的端口这一级，对所接入的用户设备通过认证来控制对网络资源的访问。802.1X可以与不同的认证协议结合实现对接入用户的认证，目前在使用802.1X接入时常与RADIUS配合实现对接入用户的认证与授权。802.1X技术可以扩展到基于MAC地址对用户接入进行控制，即对共用同一个物理端口的多个用户分别进行认证控制。802.1X是基于端口的访问控制接入管理协议标准。Portal接入认证技术也称作web认证技术，一般将portal认证的网站称为门户网站。是一种三层网络接入认证，在认证之前，用户要首先获得地址，这点与802.1X不同。用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后才可以使用互联网资源。按照网络中实施Portal认证的网络层次来分，Portal的认证方式分为两种：二层认证方式和三层认证方式。前者在二层接口上启用Portal功能，而后者是在三层接口上启用Portal功能。MAC接入认证技术MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，是一种二层网络接入认证技术，与802.1X以及Portal不同，用户不需要安装任何客户端软件就可