沈鑫剡编著(网络安全)教材配套课件第5章

©2006工程兵工程学院计算机教研室网络安全第五章网络安全基础计算机网络安全第5章接入控制和访问控制本章主要内容身份鉴别；Internet接入控制过程；EAP和802.1x；RADIUS；Kerberos和访问控制过程。网络安全基础计算机网络安全5.1身份鉴别本讲主要内容身份鉴别定义和分类；主体身份标识信息；单向鉴别过程；双向鉴别过程；第三方鉴别过程。网络安全基础计算机网络安全一、身份鉴别定义和分类1．定义身份鉴别是验证主体的真实身份与其所声称的身份是否符合的过程，主体可以是用户、进程和主机等。网络安全基础计算机网络安全一、身份鉴别定义和分类2．分类身份鉴别方式可以分为单向鉴别、双向鉴别和第三方鉴别三种。主体A主体B身份鉴别主体A主体B身份鉴别主体A主体B身份标识信息第三方身份标识信息身份鉴别单向鉴别双向鉴别第三方鉴别网络安全基础计算机网络安全二、主体身份标识信息1．密钥主体拥有某个密钥x，只要主体能够证明自己知道密钥x，主体的身份就得到证明。2．用户名和口令这种标识信息主要用于标识用户，为每一个授权用户分配用户名和口令，某个用户只要能够证明自己知道某个授权用户对应的用户名和口令，就能证明该用户是授权用户。网络安全基础计算机网络安全二、主体身份标识信息3．证书和私钥证书可以证明主体x与公钥PK之间的绑定关系，如果主体x能够证明自己知道与公钥PK对应的私钥SK，就能证明自己是主体x。网络安全基础计算机网络安全三、单向鉴别过程1．基于共享密钥主体A只需证明自己知道共享密钥K，即可证明自己身份。主体A主体B①RB②EK（RB）网络安全基础计算机网络安全三、单向鉴别过程2．基于用户名和口令主体A只需证明自己知道某个授权用户对应的用户名和口令，即可证明自己身份。主体A主体B①RB②用户A，MD5（RB‖PASSA））用户名口令用户APASSA用户BPASSB…注册用户库网络安全基础计算机网络安全三、单向鉴别过程3．基于证书和私钥主体A与公钥PKA之间的绑定已经得到权威结构证明，主体A只要证明自己知道PKA对应的私钥SKA，即可证明自己身份。主体A主体B①RB②DSKA（RB））主体A的公钥是PKACA签名证书网络安全基础计算机网络安全四、双向鉴别过程1．基于共享密钥每一方不仅需要证明自己知道共享密钥，还需证明对方知道共享密钥。②EK（RA‖RB）主体A主体B①RB③EK（RA）网络安全基础计算机网络安全四、双向鉴别过程2．基于用户名和口令用户A不仅需要证明自己知道某个授权用户对应的用户名和口令，还需对方证明知道该用户名对应的口令。主体A主体B①RB②用户A，RA，MD5（RB‖PASSA））用户名口令用户APASSA用户BPASSB…注册用户库③MD5（RA‖PASSA））网络安全基础计算机网络安全四、双向鉴别过程3．基于证书和私钥用户A和用户B与各自公钥之间的绑定得到权威机构证明，且用户A和用户B能够证明自己知道公钥对应的私钥。主体A的公钥是PKACA签名证书②DSKA（RA‖RB）主体A主体B①RB③DSKB（RA）主体B的公钥是PKBCA签名证书网络安全基础计算机网络安全五、第三方鉴别过程1．引出第三方鉴别的原因无需鉴别者拥有用于证明公钥与示证者之间绑定关系的证书。由权威机构提供与示证者绑定的公钥。且公钥与示证者之间的绑定关系由权威机构予以证明。网络安全基础计算机网络安全五、第三方鉴别过程⑥EPKA（RA‖RB）主体A主体B③EPKB（主体A‖RA）⑦EPKB（RB）公钥管理机构①请求‖时间1②DSK（PKB‖请求‖时间1）⑤DSK（PKA‖请求‖时间2）④请求‖时间2主体名公钥主体APKA主体BPKB…公钥库网络安全基础计算机网络安全五、第三方鉴别过程2．鉴别过程用户A和用户B与公钥之间的绑定关系由公钥管理机构提供且证明。用户A和用户B只需证明知道公钥对应的私钥。网络安全基础计算机网络安全5.2Internet接入控制过程本讲主要内容终端接入Internet需要解决的问题；PPP与接入控制过程。网络安全基础计算机网络安全一、终端接入Internet需要解决的问题1．终端访问网络资源的基本条件终端A网络1网络2服务器路由器传输路径建立终端A与路由器之间的传输路径；终端A完成网络信息配置过程；路由器路由表中建立对应路由项。网络安全基础计算机网络安全一、终端接入Internet需要解决的问题2．终端接入Internet的先决条件终端接入Internet前，必须证明使用终端的用户是注册用户；在确定使用终端的用户是注册用户的前提下，由接入控制设备完成对终端分配网络信息，建立将终端的IP地址和终端与接入控制设备之间的传输路径绑定在一起的路由项的过程。接入网络Internet终端A接入控制设备服务器网络安全基础计算机网络安全一、终端接入Internet需要解决的问题3．路由器与接入控制设备的区别接入控制设备除了普通路由器的功能外，还具有以下接入控制功能：鉴别终端A用户的身份；为终端A动态分配IP地址；建立将终端A的IP地址和终端A与接入控制设备之间的传输路径绑定在一起的路由项等。网络安全基础计算机网络安全一、终端接入Internet需要解决的问题4．终端接入Internet过程建立终端A与接入控制设备之间的传输路径；接入控制设备完成身份鉴别过程；动态配置终端A的网络信息；动态创建终端A对应的路由项。网络安全基础计算机网络安全二、PPP与接入控制过程1．PPP作为接入控制协议的原因拨号接入过程建立点对点语音信道点对点语音信道与PPPPPP帧就是适合点对点语音信道传输的帧格式63636767PSTN16300终端AInternet接入控制设备点对点语音信道Modem网络安全基础计算机网络安全二、PPP与接入控制过程2．与接入控制相关的协议1112可变长217EFF037E标志地址控制协议信息CRC标志0021IP分组C023PAPPDUC223CHAPPDU8021IPCPPDUIP分组帧CHAP帧PAP帧IPCP帧（1）PPP帧结构网络安全基础计算机网络安全二、PPP与接入控制过程2．与接入控制相关的协议用户名、口令鉴别成功终端A接入控制设备(a)PAP鉴别过程MD5(C‖P)，用户名随机数C鉴别成功终端A接入控制设备(b)CHAP鉴别过程（2）用户身份鉴别协议用用户名和口令标识用户身份；身份鉴别过程需要向接入控制设备证明自己知道某个授权用户对应的用户名和口令；CHAP防止泄露口令。网络安全基础计算机网络安全二、PPP与接入控制过程2．与接入控制相关的协议（3）IPCPIP控制协议（IPCP）的作用是为终端A动态分配IP地址等网络信息。请求分配IP地址网络信息终端A接入控制设备网络安全基础计算机网络安全二、PPP与接入控制过程3．PPP接入控制过程接入控制过程由五个阶段组成，分别是物理链路停止、PPP链路建立、用户身份鉴别、网络层协议配置和终止PPP链路等。配置失败物理链路中断鉴别失败物理链路中断IP地址分配失败物理链路中断关闭PPP链路鉴别成功或不需要鉴别完成参数配置建立呼叫连接物理链路停止PPP链路建立用户身份鉴别别网络层协议配置终止PPP链路网络安全基础计算机网络安全5.3EAP和802.1X本讲主要内容引出EAP的原因；EAP操作过程；EAPoverPPP；802.1x操作过程。网络安全基础计算机网络安全一、引出EAP的原因1．鉴别协议和载体协议PPP本身并不是一种鉴别协议，而是一种用于传输鉴别协议鉴别用户身份所需消息的载体协议，具体的鉴别过程由鉴别协议完成，如PPP支持的PAP和CHAP。网络安全基础计算机网络安全一、引出EAP的原因2．应用环境和鉴别协议独立发展引发的问题和解决思路无线局域网以太网点对点网络OTPCHAPTLS应用环境鉴别协议多种应用环境和多种鉴别协议两两组合带来的复杂性。网络安全基础计算机网络安全一、引出EAP的原因2．应用环境和鉴别协议独立发展引发的问题和解决思路先定义一种和应用环境无关的、用于传输鉴别协议消息的载体协议，所有应用环境和鉴别协议都和这种载体协议绑定。CHAPTLS以太网无线局域网点对点网络EAPOTP鉴别机制鉴别用户身份的应用环境网络安全基础计算机网络安全用户鉴别者请求报文响应报文请求报文响应报文┇成功报文用户鉴别者请求报文响应报文请求报文响应报文┇失败报文二、EAP操作过程1．EAP操作模型鉴别者负责对用户身份进行鉴别，用户只有通过鉴别者的身份鉴别后才能接入。鉴别者向用户发送请求报文，用户向鉴别者回送响应报文。请求报文和响应报文的内容与双方采用的鉴别机制有关，不同的鉴别机制有着不同的请求/响应过程，有的鉴别机制可能需要经过多次请求/响应过程才能完成用户身份鉴别。网络安全基础计算机网络安全编码标识符数据长度类型相关数据类型1B1B2B1B1：身份4：CHAP5：OTP13：TLS二、EAP操作过程2．EAP报文格式编码字段给出报文的类型；标识符字段用来匹配请求和响应报文；长度字段给出EAP报文总的长度；数据字段的第1个字节是类型字段，用于给出数据类型。网络安全基础计算机网络安全三、EAPoverPPP1．PPP封装EAP报文过程C227编码1112可变长217EFF037E标志地址控制协议信息CRC标志长度类型4CHAP相关数据CHAP对应的EAP报文1121标识符网络安全基础计算机网络安全用户A接入控制设备（鉴别者）PPP（EAP请求（身份））PPP（EAP响应（用户A））PPP（EAP请求（challenge））PPP（EAP响应（MD5（标识符‖challenge‖口令）））PPP（EAP成功）用户名鉴别机制口令用户AEAP-CHAPPASS鉴别数据库三、EAPoverPPP2．鉴别过程根据CHAP交换鉴别信息；鉴别信息交换过程通过EAP请求/响应过程完成；EAP报文封装成PPP帧。网络安全基础计算机网络安全四、802.1X操作过程1．802.1X操作模型用户接入以太网方式水晶头双绞线缆交换机PC网络安全基础计算机网络安全四、802.1X操作过程1．802.1X操作模型一个物理端口被虚化成2个虚端口，一个是受控端口，只有在成功完成用户身份鉴别后，才能提供正常的输入输出服务。另一个是非受控端口，用于接收EAP报文和其他广播报文。LAN鉴别者提供的正常服务端口接入实体（PAE）用户鉴别服务器EAPOLEAPOLRADIUS鉴别者受控端口非受控端口网络安全基础计算机网络安全四、802.1X操作过程2．EAPOL报文类型和封装格式版本字段值目前固定为2，报文类型表明封装在MAC帧中的报文类型，目前定义了5中报文类型。报文体长度和报文体由报文类型决定。目的地址源地址类型：888E版本报文类型报文体长度报文体FCS6B6B2B1B1BB2B4B报文类型字段值报文类型描述0EAP报文报文体为EAP报文。1EAPOL-Start鉴别发起报文，用于由用户发起的鉴别过程。2EAPOL-Logoff退出报文，用于退出端口的授权状态。3EAPOL-Key密钥报文，用于交换密钥，用于无线局域网。4EAPOL-ASF-Alert报警报文，当受控端口处于非授权状态时，用于交换机接收报警消息。网络安全基础计算机网络安全四、802.1X操作过程3．802.1X鉴别接入用户身份的过程用户A交换机(鉴别者)EAPOL（EAP请求（身份））EAPOL（EAP响应（用户A））EAPOL（EAP请求（challenge））EAPOL（EAP响应（MD5（标识符‖challenge‖口令）））EAPOL（EAP成功）用户名鉴别机制口令用户AEAP-CHAPPASS鉴别数据库EAPOL-Start网络安全基础计算机网络安全1Internet分区交换机中心交换机接入控制设备楼内交换机光纤双绞线缆用户AMACA用户DMACDMACA允许访问MACD允许访问┇端口1访问控制列表楼内交换机四、802.1X操作过程4．以太网接入控制过程当某个用户希望接入Inte