【正文】 .....................................................................6 第三章 AAA 的簡介 .............................................................. 8 什么是 AAA ............................................................................................................................8 AAA 的三種服務 ...............................................................................................................9 AAA 的優(yōu)點 ............................................................................................................................9 AAA 認證 ...............................................................................................................................9 第四章 RADIUS 協(xié)議 ............................................................ 10 什么是 RADIUS 協(xié)議 ........................................................................................................... 10 RADIUS 協(xié)議簡介 ................................................................................................................ 10 RADIUS 的歷史 .................................................................................................................... 10 RADIUS 的基本工作原理 ..................................................................................................... 11 RADIUS 的基本消息交互流程 ............................................................................................. 12 客戶端 /服務器模式 ...................................................................................................... 13 第五章 實現(xiàn)基于 校園網(wǎng)的 AAA 認證 ........................................ 14 設備選型 ............................................................................................................................ 14 校園網(wǎng)中基于 的設計與實現(xiàn) ................................................................................. 14 總 結 ........................................................................ 18 XXXXXXX 學院 計算機網(wǎng)絡專業(yè)畢業(yè)設計 v 參考文獻 ....................................................................... 19 致 謝 ................................................................... 20 XXXXXXX 學院 計算機網(wǎng)絡專業(yè)畢業(yè)設計 1 引 言 在校園網(wǎng)中有效的身份認證是能夠?qū)崿F(xiàn)校園網(wǎng)對有限資源的重分配 ， 真實可靠的網(wǎng)絡身份認證體系一方面能夠讓具有惡意行為的惡意者在做有害的行為之前有所顧忌 ，可杜絕對校園網(wǎng)的一些危害； 另一方面也可以讓校園網(wǎng)網(wǎng)絡管理者在安全事件發(fā)生后能準確及時地找到肇事者 ，是 在一定程度上防止具有 惡意行為的事件的再次發(fā)生 。 而且高校校園網(wǎng)是高校信息化建設的基礎，只有在一個安全可靠、性能良好和管理完善的校園網(wǎng)絡，才能使高校的信息化建設順利進行。學生宿舍上網(wǎng)的最大問題就是上網(wǎng)的認證方式和計費管理 。 這種狀況表現(xiàn) 有 ： 1) 校園網(wǎng)必須 要求實現(xiàn)實名 制 入網(wǎng) ， 防止 他人 盜用 ， 禁止發(fā)生各種帶有惡意操作的行為 ； 2) 校園網(wǎng)應該 要求能夠有效地防止 用戶對其它入網(wǎng) 用戶 、 網(wǎng)絡設備進行非法操作 和欺騙攻擊 ， 如 arp攻擊和廣播風暴 ； 3) 校園網(wǎng)應該 要求能夠有效地防止 某些 非 法授權 ，以防 他人 使用次 身份或二次代理現(xiàn)象 ； 4) 校園網(wǎng)應該 要求 入網(wǎng) 認證本身對 現(xiàn)有的 網(wǎng)絡帶寬 有較小的占用率 ， 而 內(nèi)網(wǎng)用戶 應該 不受限制地 使用網(wǎng)絡 ； 5) 校園 網(wǎng)要 能夠?qū)崿F(xiàn)有線無線的一體化 入網(wǎng) 認證 方式 ； 6) 校園網(wǎng)的 業(yè)務數(shù)據(jù)和管理數(shù)據(jù)的 必須分開管理 。 但由于政策和管理模式 的各有 不同 ， 所采取的技術方案和管理制度也 較為 相同 。 主要是受制于學校的設備缺陷，其更新速度慢 、 設備參數(shù)較低 、 會使大量的 IP地址出現(xiàn)盜用現(xiàn)象 ，如 arp攻擊猖獗 、 廣播風暴明顯 ，這樣就會 給用戶和管理者帶來諸多 的不便 。 這種方法比較適合 CERNET流量計費政策 ， 但是無法防止用戶通過代理訪問外部資源 ， 不能防止外來用戶濫用校園網(wǎng)中的資源 ， 對于校內(nèi)發(fā)生的安全事件也無法追查和落地 。 使用 PPPOE撥 號認證訪問 由于 PPPOE采用 的是 動態(tài)分配 IP地址 上網(wǎng)形 式 ， 所以 用戶撥號后無需手動配置 IP地址 、 網(wǎng)關 、 域名等 ， 它們都 是自動生成 ， 便 不 會存 在 有 用戶自行更改 IP地址的問題 ， 這樣 對用戶管理 比較 方便 。 ，后者是 IEEE的無線局域網(wǎng)協(xié)議， 制訂 之 初 的 原因 是為了解決 無線網(wǎng) 接入認證 的 問題 。 有線 LAN在 早期的 企業(yè)網(wǎng)中的 應用環(huán)境下 ， 安全隱患 并不明顯 。尤其是 WLAN的應用和 LAN接入在電信網(wǎng)上大規(guī)模開展，有必要對端口加以控制以實現(xiàn)用戶級的接入控制， IEEE為了解決基于端口的接入控制(PortBased Network Access Contro1)而定義的一 個標準。該流程被稱為“端口級別的鑒權”。 標準應用于試圖連接到端口或其它設備 (如 Cisco Catalyst交換機或 Cisco Airo系列接入點 )(認證方 )的終端設備和用戶 (請求方 )。 IEEE 提供自動用戶身份識別，集中進行 鑒權、密鑰管理和 LAN連接配置。 基于以太網(wǎng)端口認證的 的 特點 ： 以 純 以 太網(wǎng)技術的 內(nèi)核，保持了 使用 IP 地址 網(wǎng) 絡 連接特性， 是 不需要進行協(xié)議間的多層封裝， 使其減少 了不必要的開銷和冗余； 也 消除 了 網(wǎng)絡認證計費瓶頸和 單點故障， 更便于 支持多業(yè)務和新興流媒體業(yè)務。 ：在二層 的 網(wǎng)絡上實現(xiàn)用戶認證，結合 了 MAC 地址 、端口號 、賬戶、 VLAN 和密碼等； 便成了 安全性 較高的 綁定技術，在無線 局 域網(wǎng)網(wǎng)絡環(huán)境中 的 結合 EAP－ TLS， EAP－ TTLS,可以實現(xiàn)對 WEP 證書密鑰的動態(tài)分配，克服 了 無線局域網(wǎng) 在 接入中 存在 的安全漏洞。在客戶端方面微軟windows XP 操作系統(tǒng)內(nèi)置支持， Linux 也提供了對該協(xié)議的支持。 ：控制流和業(yè)務流 的 完全分離，易于多業(yè)務跨平臺實現(xiàn) 與運 營，少量 的 改造傳統(tǒng)包月制等單一收費制網(wǎng)絡即可升級成運營級網(wǎng)絡了， 而且網(wǎng)絡的運營成本也有 所 降低。 它是最終用戶所扮演的角色 ， 一般是個人 的 PC機 。 懇請者 所使用的軟件必須是 符合 IEEE 的標準 軟件 。 該設備的職責是根據(jù)客戶端當前的認證狀態(tài) 來 控制其與網(wǎng)絡的連接狀態(tài) 。 因此 ， 設備 扮演 著兩種角色，一是 的認證者的角色 ， 二是 扮演 著 RADIUS Client角色 。 而要訪問網(wǎng)絡資原的用戶只有在 連接 到 受控端口才可使其訪問 ； 如要讓 用戶無須經(jīng)過認證便可以直接訪問網(wǎng)絡資源 便使其連接到非受控端口便可 。 認證服務器 會保存用戶的 用戶名 和 密碼 ， 以及相應的授權信息 ， 一臺服務器 還 可以對多臺認證者提供認證服務 ， 這樣就可以實現(xiàn)對 多用戶的集中管理 。 在實際應用中 ３ 者為工作站 （ client）、 交換機 （ work access server）和 Radius－ Server。 各種驗證服務都可以通過這種協(xié)議運行 ， 包括用戶名 ／ 口令 、 Kerberos、 數(shù)字證書 和 一次性口令等服務 。 圖 ３ 個角色之間的關系 圖 ２ .2 EAP和 EAPol工作過程 EAP本身并不為流量傳輸明確規(guī)定任何保護機制 ， 相反 ， EAP內(nèi)運行的驗證協(xié)議 （ 在 RFC2284當中定義為驗證類型 ） 為安全操作提供了數(shù)據(jù)的機密性和完整性 。 如果成功 ， 則 攜帶協(xié)商參數(shù) ， 以及用戶的相關業(yè)務屬性給用戶授權 。 到 此 ， 用戶上線 認證 完畢 ， 并 獲得授權 ， 則 開始正常使用網(wǎng)絡 資原 。 AAA一般采用的模式是客戶機 /服務器結構，客戶端是運行于 NAS（ Network Access Server 網(wǎng)絡接入服務器） 上 ， 服務器上則能集中管理用戶信息。 AAA的基本組網(wǎng)結構如下圖 . 圖 AAA的基本組網(wǎng)結構示意圖 在 用戶想要通過某網(wǎng)絡與 NAS 建立連接，從而獲得訪問其它網(wǎng)絡的權利或取得某些網(wǎng)絡資源的 權利時， NAS 就 起到了驗證用戶或?qū)B接的作用。 圖 的 AAA 基本組網(wǎng)結構中有兩臺服務器，用戶可以根據(jù)實際組網(wǎng)需求來決定認證、授權、計費功能 是分別由通過哪個 的服務器來實現(xiàn)。 XXXXXXX 學院 計算機網(wǎng)絡專業(yè)畢業(yè)設計 9 AAA的三種服務 認證： 是 確認遠端訪問用戶的身份，判斷訪問者是否為合法的網(wǎng) 絡用戶； 授權： 則是 對不同用戶賦予不同的權限， 和 限制用戶可以使用的服務。 當然，用戶可以只使用 AAA 提供的一種或兩種安全服務。但是如果希望對員工是否會訪問網(wǎng) 絡資原 的情況進行記錄，那么 則 還需要配置計費服務器。 AAA可以通過多種協(xié)議來實現(xiàn)，目前設備支持基于 RADIUS協(xié)議 來實現(xiàn) AAA，在實際應用中，最常使用 RADIUS協(xié)議 AAA的優(yōu)點 ? 靈活易控 ? 標準化的認證方 式 ? 多重備用系統(tǒng) AAA認證 ? 對 enablef 進行認證：用戶從用戶狀態(tài)轉入到特權狀態(tài)時， 網(wǎng)絡設備需要的一種安全論證方法 。 ? 對 ppp 進行認證：鏈路建立階段進行的認證，驗證成功之后才會進入NCP（如 IPCP、 IPXCP、 BCP）的協(xié)商過程。 基于 的高校校園網(wǎng) AAA 認證設計與實現(xiàn) 10 第四章 RADIUS 協(xié)議 什么是 RADIUS協(xié)議 圖 radius的認證過程 RADIUS： Remote Authentication Dial In User Service，遠程用戶撥號認證系統(tǒng)由 RFC2865， RFC2866 定義，是目前應用最廣泛的 AAA 協(xié)議 。該協(xié)議定義了基于 UDP的RADIUS幀格式及其消息傳輸機制，并規(guī)定 UDP端口 181 1813分別作為認證、計費端口。它 都 通過認證授權來提供接入服務，通過計費來收集