11网络安全技术(1)V22.ppt

Chapter11网络安全技术,ISSUE2.2,日期,杭州华三通信技术有限公司版权所有，未经授权不得使用与传播,,,了解网络安全一些基本概念掌握AAA技术,课程目标,学习完本课程，您应该能够,网络安全概述第二节AAA,目录,网络安全概述,网络安全是Internet必须面对的一个实际问题网络安全是一个综合性的技术网络安全具有两层含义保证内部局域网的安全（不被非法侵入）保护和外部进行数据交换的安全网络安全技术的完善和更新,常常从如下几个方面综合考虑整个网络的安全保护网络物理线路不会轻易遭受攻击有效识别合法的和非法的用户实现有效的访问控制保证内部网络的隐蔽性有效的防伪手段，重要的数据重点保护对网络设备、网络拓扑的安全管理病毒防范提高安全防范意识,网络安全关注的范围,网络安全的必要技术,针对网络存在的各种安全隐患，安全路由器必须具有如下安全特性可靠性和线路安全身份认证访问控制信息隐藏数据加密和防伪安全管理,网络安全概述第二节AAA,目录,AAA概述,AAA定义,验证（Authentication）授权（Authorization）计费（Accounting）,RADIUS概述,RADIUSRemoteAuthenticationDial-inUserService是当前流行的安全服务器协议实现AAA（授权Authorization、验证Authentication和计费Accounting）功能,RADIUS结构及基本原理,RADIUS协议采用客户机/服务器（Client/Server）结构，使用UDP协议作为传输协议RADIUS使用MD5加密算法对数据包进行数字签名，以及对口令进行加密RADIUS包机构灵活，扩展性好，采用UDP发送,,0,1,2,3,4,5,0,8,16,24,RADIUS工作过程I,RADIUS工作过程II,在RT1上需要配置（示意）如下信息在和用户相连的接口上配置利用PPPCHAP验证对方；使能AAA，并且配置AAA验证、计费协议使用Radius；配置Radius验证、计费服务器为S，并且配置它们和RT1之间的互相验证密钥为abc。在Radius服务器S上需要配置（示意）如下信息配置一个名称为RT1的Radius客户端，共享密钥为abc；在用户数据库中配置新的一行（用户名user1密码123IP地址10.0.0.2缺省网关10.0.0.1）。,RADIUS实现AAA的流程,,,,,用户上网,验证请求,验证授权通过,授权并允许用户上网,RADIUS验证与授权,验证、授权过程如下路由器将得到的用户信息打包向RADIUS服务器发送RADIUS服务器对用户进行验证合法用户返回访问接受包（用户授权信息）非法用户返回访问拒绝包路由器接受服务器的响应包访问接受包允许上网，使用其授权信息对用户进行处理访问拒绝包拒绝用户上网请求,RADIUS计费,每次计费过程包括计费请求、计费应答对一个用户的计费过程有计费信息计费失败处理,,,,,,,,,计费开始,实时计费,计费结束,会话时长,输入字节数,输出字节数,输入包数,输出包数,802.1X起源,来源802.1X协议起源于802.11协议，起初主要是为了解决无线局域网用户的接入认证问题。目的有线局域网通过固定线路形成固定的物理空间；但无线局域网具有开放性和终端可移动性，因此很难通过网络物理空间来界定终端是否属于某一网络。802.1x正是基于这一需求而出现的一种认证技术。作用形式操作粒度为端口；对于无线局域网接入认证之后建立起来的信道（端口）被独占。,802.1X的应用,IEEE802.11定义的无线LAN接入方式（基于逻辑端口）LanSwitch的一个物理端口仅连接一个EndStation（基于物理端口）华为-3ComVRP平台的802.1X软件子系统对802.1X协议认证方式进行了扩展，支持一个物理端口下多个EndStation的应用场合，多个EndStation的识别具体到其源MAC地址,EAP验证过程,,,,,,,PPPLCPACK/EAP,PPPEAP-Request/Identity,PPPEAP-Response/User1,PPPEAP-Request/Md5Challengerand,PPPEAP-Response/Md5（rand，abc）,PPPEAP-Success,PC,EAP,UsernameUser1Passwordabc,用户数据库,PPPLCPRequest/EAP,,,802.1X的系统组成,IEEE802.1X的体系结构包括三部分SupplicantSystem-用户接入设备AuthenticatorSystem-接入控制单元AuthenticationSeverSystem-认证服务器传输介质点对点以太网（如果是共享式以太网需要采用加密的方式传递认证信息）,,Supplicant,AuthenticaterSystem,ServicesofferedbyAuthenticatorsSystem,,AuthenticatorPAE,,AuthenticaterServer,,,,,,,,,非受控端口,受控端口,LAN,EAPOL,EAPprotocolexchangescarriersinhigherlayerprotocal,,802.1X认证系统图,EAPOverSomething,AuthenticationServer,Authenticator,EAPOL,Supplicant,EAPOL协议的消息格式,,,,802.1X的EAPOL认证过程,,EAPOL-Start,EAP-Request/Identity,EAP-Response/Identity,EAP-Request,EAP-Responsecredentials,EAP-Success,Radius-Access-Request,Radius-Access-Request,Radius-Access-Challenge,Radius-Access-Accept,网络安全基本概念AAA技术Radius技术802.1X技术,本章总结,