网络接入认证模式浅析与实现.docxVIP

网络接入认证模式浅析与实现 摘要： 网络 接入认证是保障网络整体安全的先决条件，也是其重要的一环，目前在实际生产实践活动中可以在多个环节用不同的方式来保证网络的安全，现就将在网络接入环节阐述如何基于协议来把好网络安全的入口关。关键词：接入认证；分析；实现中图分类号：TP3 文献 标识码：A 文章编号：1006--0123-01 编辑。 网络安全至关重要，现将介绍使用实施端口级的接入认证。认证，又称基于端口的访问控制协议认证，是由IEEE提出的一个符合802协议集的局域网接入控制协议。最初是为无线局域网认证设计的，但对有线网来说只要接入交换机支持协议也是可行的。  在协议中，必须同时具备客户端、接入认证交换机和认证服务器才能够完成基于端口的访问控制的用户认证和授权。认证过程如下：  当用户有上网需求时客户端将请求认证的报文信息发给接入认证交换机，开始启动一次全新的认证过程。  接入认证交换机收到请求认证的报文信息后，将发出一个请求帧要求用户的客户端程序将用户名送上来。  客户端程序响应交换机发出的请求，将用户名信息通过数据帧送给接入认证交换机，接入认证交换机将客户端发送过来的数据帧经过封包处理后传送给认证服务器进行处理。  认证服务器收到接入认证交换机传送过来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给接入认证交换机，由接入认证交换机传给客户端程序。  客户端程序收到由接入认证交换机传过来的加密字后，用该加密字对口令部分进行加密处理，并通过接入认证交换机传送给认证服务器，此过程中的加密算法为不可逆算法，充分地保障了网络上敏感信息的安全度。  认证服务器将送过来的加密后的口令信息和其自己经过加密运算后的口令信息进行比对，如果相同，则认为该用户为合法用户，反馈认证通过的消息，并向交换机发出打开端口的指令，允许用户的数据流通过端口访问网络。否则，反馈认证失败的消息，并保持交换机端口的关闭状态。  基于RADIUS方式的IAS认证服务器+Foundry接入交换机的模式来描述整个认证系统的基本设置过程。  1IAS的安装配置过程  第一步：在DC上安装IAS服务。  第二步：定义认证客户端。在IAS管理界面中，在客户端上右击，选择创建新的客户端为交换机输入名称及其IP地址或DNS名称在客户端-供应商中选择“RADIUSStandard”，输入用于识别交换机的共享密码，这个密码必须与交换机中确定RADIUS服务器的密码一致，勾选“请求必须包括消息消息验证程序属性”。  第三步：创建远程访问策略实施访问管理。在IAS管理界面中，右击“远程访问策略”，创建新的远程访问策略并选择连接类型双击新建的策略，添加“Day-and-Time-Restriction”设置许可访问的时段。  第四步：开启远程访问记录。在IAS管理界面中选择“远程访问记录”，打开“本地文件”属性。 在“设置”页中选择需要记录的信息；在“日志文件”页卡中，设置文件格式为IAS格式，选择创建新日志时间。 第五步：设置可逆加密格式的密码来支持EAP-MD5。在DC上选择“ActiveDirectory用户和 计算 机”，在AD域名上右键选择属性。  选择“组策略”页，编辑“默认域策略”。 编辑。  在“计算机配置/Windows设置/安全设置/帐户策略/密码策略”树中，启用“用可还原的加密来存储密码”项。  第六步：为用户设置拨入和可逆加密密码许可。用户帐号属性中选择“拨入”页，勾选“允许拨入”项选择“帐户”页，勾选“使用可逆的加密保存密码”选项  接入认证交换机的配置过程  接入认证交换机的配置可以使用CLI、Telnet、超级终端拨入以及浏览器访问等多种方法。浏览器访问方式最便捷：登陆交换机的管理界面，在左侧树形管理菜单中的安全设置菜单项中设定认证顺序、服务器地址、端口、共享的密码、传输数和超时时间，并对各端口信息进行逐一设定。  客户端访问 网络 的验证过程  基于的认证系统与认证服务器之间通过RADIUS协议传送认证信息，由于EAP协议的可扩展性，基于EAP协议的认证系统可以使用多种不同的认证算法，如EAP-MD5，EAP-TLS，EAP-TTLS，PEAP以及LEAP等认证方法。  认证协议已经得到了很