欢迎来到三一办公! | 帮助中心 三一办公31ppt.com(应用文档模板下载平台)
三一办公
全部分类
  • 办公文档>
  • PPT模板>
  • 建筑/施工/环境>
  • 毕业设计>
  • 工程图纸>
  • 教育教学>
  • 素材源码>
  • 生活休闲>
  • 临时分类>
  • ImageVerifierCode 换一换
    首页 三一办公 > 资源分类 > PPT文档下载  

    用户接入管理协议.ppt

    • 资源ID:6370086       资源大小:783KB        全文页数:63页
    • 资源格式: PPT        下载积分:15金币
    快捷下载 游客一键下载
    会员登录下载
    三方登录下载: 微信开放平台登录 QQ登录  
    下载资源需要15金币
    邮箱/手机:
    温馨提示:
    用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)
    支付方式: 支付宝    微信支付   
    验证码:   换一换

    加入VIP免费专享
     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。

    用户接入管理协议.ppt

    第12章 用户接入管理协议,12.1 引言12.2 接入链路协议12.3 接入认证/控制协议12.4 接入管理协议12.5 小结和推荐资料,12.1 引言,接入网的核心功能之一是对用户进行接入管理参与用户接入管理的协议主要分为三个层次接入链路协议接入认证/控制协议以及接入管理协议,用户接入管理的协议模型,用户,BAS,接入管理服务器,接入管理协议,接入认证/控制协议,接入链路协议,物理层,接入链路协议,接入认证/控制协议,物理层,数据链路层,网络层,接入管理协议,物理层,接入链路协议,接入认证/控制协议,物理层,数据链路层,网络层,接入管理协议,12.2 接入链路协议,接入链路协议作用:提供链路通信服务提供或便于实现基于用户的接入控制功能典型的接入链路协议有:以太网协议:IEEE 802.3无线局域网协议(IEEE 802.11)PPP(Point-to-Point Protocol,点到点协议)PPPoE:以太网上的点到点协议)Point to Point Protocol over Ethernet本章主要介绍PPP和PPPoE协议。,PPP协议,概念Point-to-Point Protocol 点到点的协议目前使用的版本:RFC 1661协议作用范围点到点的链路上(数据链路)功能实现点到点链路的两个节点之间:数据链路的建立与拆除链路质量检测 身份认证等网络层协议协商与配置(如IP协议的IP地址等)两个子协议:LCP 与 NCP,PPP协议参考模型,PHY,PPP协议,物理层,PPP协议LCP,链路控制协议LCP Link Control Protocol链路建立链路参数协商(如MRU等)与配置是否认证或认证协议协商链路拆除等,数据链路层,PPP协议NCP,网络层控制协议NCP Network Control Protocol不同的网络层协议可复用在同一PPP链路上PPP为不同的网络层设计了相应的NCP如对应IP协议的NCP为IPCP对应IPX协议的NCP为IPXCP不同的NCP处理不同网络层特殊要求如IP地址分配等同一个PPP连接下可开启多个NCP,IPCP,IPXCP,其他,NCP,可选的认证获其他链路选项LCP,网络层,IP,IPX,其他,PPP的协议的封装格式,类似HDLC的UI帧(无编号帧),地址,控制,协议,数据,FCS,字节,11 变长 2,地址,控制,数据,FCS,HDLC UI帧,PPP 帧,固定值OxFF,固定值Ox03,封装数据的协议类型如:0 x0021:IP协议 0 x8021:IPCP协议,11 2 变长 2,字节,PPP的协议操作过程,链路死亡,链路建立,认证,网络层协议,链路终止,PPP协议的5个阶段及转换过程,PPP协议的五个阶段,链路消亡阶段物理层未准备好、PPP的初始阶段链路建立阶段,由LCP完成建立请求、协商MRU、认证协议、链路质量监测协议认证阶段,由LCP完成可选项,对用户身份的鉴别。是否选或选择何种认证协议在建立连接阶段协商网络层协议阶段,由NCP完成对网络层协议进行配置,如网络层地址(IP地址)分配链路终止阶段,由LCP完成可以在任何时候终止链路,链路的正常终止由LCP分组完成,一个NCP的关闭不一定引起链路的关闭,PPPoE协议,概念PPP Over Ethernet 以太网的点到点的协议目前使用的版本:RFC 2516PPPoE的引入PPP只适应点到点链路的接入控制点到多点链路PPP仍然适应吗?否!PPPoE可以实现对点到多点链路的接入控制PPPoE的功能对以太网上每个用户与NAS之间建立一条PPP会话通道每一条PPP会话通道有唯一的连接标识实现对太网上每个用户进行单独的管理,PPPoE接入模型,图中:接入桥接设备可为:交换机、ADSL Modem接入集中器可为:PPPoE服务器DSLAM(集成了PPPOE协议),主机,主机,主机,接入集中器Access Concentrator,主机,主机,ISP,局域网(以太网),PPP会话,桥接接入设备Bridging Access Device,PPPOE服务器,PPPoE协议分层模型,PPPoE分组(帧)格式,PPPoE协议封装在以太帧中(以太帧的载荷),字节,目的MAC地址,源MAC地址,类型,有效载荷(PPPoE分组),FCS,6 6 2 变长 4,PPPoE封装在以太帧中,版本,代码,类型,有效载荷,会话标识,比特,0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7,长度,PPPoE分组格式,固定值,不同阶段的分组类型,PPPoE 载荷长度,标识一个特定的PPPoE会话,发现阶段:为空会话阶段:PPP帧,PPPoE协议操作(运行)的两个阶段,两个阶段:PPPoE发现与PPP会话发现阶段主机广播一个PPPoE有效发现启动分组(PADI),寻找合适PPPoE服务器可能有多个服务器收到该消息,满足要求的服务器发送有效发现提供分组应答(PADO),否则不发应答主机选择一个合适的接入服务器,发有效发现请求分组(PADR)接入服务器向主机发送有效发现发现会话证实(PADS),为主机分配唯一的会话标识。发现过程结束,PPPoE协议操作(运行)的两个阶段,PPP会话阶段发现结束后,主机和PPPoE接入服务器建立点到点隧道,进入会话阶段PPP帧封装在PPPoE帧中而PPPoE帧封装在Ethernet帧中,通过以太网或其它接入网承载或运送,12.3 接入认证/控制协议,用于用户和BAS之间,实现对用户的认证和接入控制口令认证协议 PAP质询认证协议 CHAP可扩展的认证协议 EAP基于端口的接入认证与控制协议 802.1X,口令认证协议PAP,PAP(由RFC 1334描述)Password Authentication Protocol 口令认证协议PAP认证过程(在PPP的LCP阶段配置为采用PAP协议进行认证)被认证方向认证方发认证请求信息(明文)请求信息含“用户名、口令”Auth-Request认证方向被认证方发认证应答信息(明文)Auth-Ack or Auth-Nak,PAP认证的问题明文传输认证信息容易被窃取,存在安全隐患,质询认证协议 CHAP,CHAPChallenge Authentication Protocol质询认证协议由RFC 1994描述CHAP认证的特点认证信息采用密文传送采用共享密钥与PAP相比安全性更高认证所花时间更长,质询认证协议 CHAP,CHAP认证的交互过程 三次交互,2)响应(Response)(密文),1)质询(Challenge)(明文),3)认证成功/失败(Auth-Ack/Auth-Nak),1)由认证方向被认证方发送质询分组,质询值为长度不固定的随机字节流-随机数,)由被认证方向认证方发送响应分组,将质询值通过共享密钥加密后传送到对方,)由认证方向被认证方发送响应分组,认证方用共享密钥解密,正确发Ack,错误发Nak,质询认证协议 CHAP,1)加密算法是MD5哈希算法,)加密的字节流由CHAP质询分组标识、密钥和质询值组成,)CHAP认证交互过程在整个PPP链路中可以进行多次,4)协商后通常优先选用CHAP,可扩展认证协议 EAP,EAP的含义Extensible Authentication Protocol可扩展的认证协议由RFC 2284描述RFC 3748将EAP的应用从点到点链路(PPP)推广到IEEE 802网络并非一个具体的认证协议设计目标是把链路建立阶段的认证协议选择延迟到可选的PPP认证阶段是一个认证协议的封装协议定义了一种封装的框架、格式具体的认证协议和认证信息封装在EAP分组中,如 PAP over EAP、CHAP over EAP etc.迄今EAP支持的认证协议达42种,EAP协议分层模型,低层负责收发Peer和Authenticator间封装EAP分组的帧可以包括PPP,IEEE 802 LAN,UDP TCPEAP层由低层收发EAP分组,实现分组的重复性检测和重传向上层递交或接受EAP报文EAP Peer/Authenticator层EAP Peer层为被认证方提供Peer功能,接受EAP请求、成功或失败分组EAP Authenticator层为认证方提供Authenticator功能,接受EAP响应分组EAP方法层实现多种认证算法,收发EAP报文,支持分段与重组,EAP直通Authenticator,允许使用后台认证服务器,EAP协议交互过程,四种分组:Request/Response/Success/Failure停止-等待协议,EAP协议使用,EAP协议在PPP网络中的使用在LCP链路协商中将选择认证协议为EAP协议在协商通过后,即可在PPP认证阶段开始EAP协议交互,确定具体的认证机制EAP协议在IEEE802网络中的使用IEEE 802.1X,用户接入控制协议 802.1X,概念IEEE802.1X 基于端口的接入控制协议目前使用标准版本:IEEE Std 802.1X-2004一个专用于802网络用户接入认证与控制的协议接入要求LAN用户以点到点方式接入到LAN的端口上端口可以是物理端口(如以太网交换机端口)端口也可以是逻辑端口(如WLAN中的AP端口)功能为LAN用户提供接入认证及授权的服务功能,802.1X协议模型的三种实体,客户系统(Supplicant System)运行802.1X客户软件的用户终端系统认证系统(Authenticator System)为802.1X客户系统(即LAN用户)提供授权的接入服务,通常为支持802.1X协议的网络接入设备如支持802.1X的以太网交换机或AP认证服务器系统(Authentication Server System)为认证系统提供认证服务,如AAA服务器,802.1X的协议运行模型,PAE:Port Access Entity:端口接入实体,客户系统,认证系统,认证服务器系统,客户 PAE,提供授权 的服务,认证PAE,受控端口,认 证 服务器,LAN,不受控 端口,运行802.1X客户 软件的用户终端,支持802.1X的网络 接入设备为801.1x客户提供 授权的接入服务,为认证系统 提供认证服务,802.1X的不受控/受控端口,不受控端口传输认证信息始终连通受控端口传输用户业务数据受控方式:双向受控或仅输入受控端口默认状态为未授权状态,即断开状态双向受控:端口此时禁止收、发业务数据仅输入受控:端口此时只能发送数据通过认证后,处于授权状态,即接通状态,受控端口,不受控 端口,802.1X协议运行,协议运行实体客户PAE、认证PAE、认证服务器认证协议封装类型客户PAE与认证PAE之间:EAPOL(EAP Over LAN),通常是 EAP Over Ethernet认证PAE与认证服务器之间:EAP认证的发起者客户PAE或认证PAE,802.1X的认证与接入过程,1)客户PAE将认证信息由EAPOL封装,并通过认证系统的不受控端口传输到认证PAE2)认证PAE将认证信息由EAP封装传输到认证服务器3)认证服务器验证用户认证信息,并将认证结果返回到认证PAE(成功/失败)4)认证PAE将认证结果反馈给客户PAE认证成功:受控端口设为授权状态,向用户提供接入服务认证失败:受控端口继续断开,拒绝向用户提供接入服务,通过以太网交换机接入的交换式以太网每台主机以点到点方式接入到交换机每个端口接入点为交换机的物理端口通过AP接入的无线局域网每台无线主机以点到点方式 接入AP的同一无线端口控制端口为逻辑端口不同的逻辑端口可由 MAC地址区分,注:PC中安装客户PAE 交换机或AP中安装认证PAE,802.1X协议的应用,特点认证期用专用帧认证认证通过后,数据通路开通,数据可线速处理,开销小集中分布控制,分布程度大,需要接入交换机多认证通过后,不对数据帧逐帧检查(仍有隐患),802.1X接入控制的特点,802.1X客户,AAA服务器,核心网,认证通过,用户数据,认证数据,802.1X服务器,受控端口,非受控端口,概念RADIUS的含义协议的发展协议的功能协议模型协议运行报文格式和类型(自学)RADIUS代理协议应用,12.4 接入管理协议,RADIUS 的含义 Remote Authentication Dial In User Service 远程认证拨号用户服务协议标准:RFC2865,RFC2866扩展版本:RFC2867,RFC2868(支持隧道技术)等协议发展与应用范围最初仅针对拨号用户,实现AAA的管理功能现已发展成一种通用的、广泛使用的实现AAA功能的协议适用于各种方式接入的用户的集中管理相似协议-TACACS+,思科专有协议协议的功能对接入用户提供认证、授权和记帐功能支持对漫游用户的接入管理,用户接入管理协议 RADIUS,协议模型,LAN,用户,NAS,RADIUS server,接入 client,接入 server,RADIUS client,用户接 入 认证协议,RADIUS协议,用户管理数据库,用户接入管理协议 RADIUS,模型结构为集中/分布式协议作用范围:NAS与RADIUS服务器之间注意:RADIUS并未对用户与NAS之间的认证协议进行规定,用户接入管理协议 RADIUS,RADIUS 协议运行 NAS与RADIUS服务器之间的操作但必须有用户与NAS之间认证协议的配合 协议运行分为两个过程:认证操作(包括授权)记帐操作协议实体交互过程中采用重传机制,RADIUS协议报文格式,UDP传输,端口号是1812和1813,RADIUS协议报文格式(续),代码,RADIUS协议报文格式(续),属性,RADIUS协议报文格式(续),鉴别码请求鉴别码接入请求报文和记账请求报文中16字节的随机二进制数两个作用:计算响应鉴别码;用于MD5加密响应鉴别码接入许可/拒绝/质询和记账响应报文中用MD5运算而得:MD5(代码值+标识值+长度值+请求鉴别码+响应属性值+共享密钥),用户接入管理协议 RADIUS,认证操作操作实体NAS与RADIUS认证服务器认证操作的方式请求/响应方式质询/响应方式,用户接入管理协议 RADIUS,请求/响应方式(一问一答),用户名、口令,接入认证结果,用户,NAS,RADIUS认证服务器,接入请求报文,接入许可/拒绝报文,NAS从用户处获得用户认证信息NAS将认证信息生成一个RADIUS接入请求报文发向RADIUS认证服务器(含用户名、口令等)RADIUS认证服务器验证用户的合法性,并通过接入许可/拒绝报文回应NAS,接入许可/拒绝报文,接入质询报文,用户接入管理协议 RADIUS,质询/响应方式,用户名、口令,接入认证结果,用户,NAS,RADIUS认证服务器,接入请求报文,质询值,提示消息,响应值,接入请求报文,NAS第1次发出的接入请求报文中含用户名和口令信息NAS第2次发出的接入请求报文中将口令换成用户的质询响应值,用户接入管理协议 RADIUS,记帐请求报文,接入许可开始记帐,RADIUS记帐服务器,记帐响应报文,NAS,a)开始记帐,记帐请求报文,服务终止结束记帐,RADIUS记帐服务器,记帐响应报文,NAS,b)结束记帐,记帐操作操作实体:NAS与RADIUS记帐服务器操作时机:授权许可提供服务开始时和服务终止时,用户接入管理协议 RADIUS,RADIUS 代理一个RADIUS服务器可以同时为某些管理域的中继服务器和其它域的远程服务器一个中继服务器可以为多个远程服务器中继典型应用:为漫游用户提供接入AAA管理,用户接入管理协议 RADIUS,RADIUS 代理假设用户A的认证信息存放在一个远程服务器中,中继服务器,远程服务器,1)接入请求报文,NAS,2)接入请求报文,Diameter协议,Diameter协议由 组成一个基础协议RFC3588 Diameter Based Protocol一个AAA传输协议RFC3539 AAA Transport Profile一些应用协议,Diameter节点,三种类型:客户、服务器、代理三者都可主动发出请求消息,对等协议客户可以是NAS,也可以是HA归属代理或FA外地代理代理的四种类型DRL中继代理受托代理重定向代理协议转换代理,DRL中继代理,路由转发:基于Diameter路由表,Diameter受托代理,路由转发:基于Diameter路由表修改消息以实现资源控制、准入控制等策略,Diameter重定向代理,不中继Diameter消息重定向:告知Diameter消息的发送者到其目的地的明确路径,Diameter协议转换代理,实现Diameter协议和其他AAA协议间的协议转换,Diameter基础协议,包括Diameter消息格式及其收发、节点间的能力协商以及差错处理等可作为一个财务协议单独使用,但通常要和某个Diameter应用协议一起使用封装在TCP和SCTP协议中传送,3868端口,Diameter应用协议,利用基础协议提供的消息传送机制,规范相关节点的功能和消息内容,实现应用服务的AAADiameter MIP应用Diameter NAS应用Diameter EAP应用Diameter SIP应用Diameter 信用控制应用,Diameter MIP应用,Diameter服务器作为一个移动节点MN提供基于移动IPv4的AAA管理 MIP应用HA和FA作为Diameter客户,Diameter NAS应用定义了和RADIUS等传统AAA管理应用之间的交互Diameter EAP应用实现NAS和后台认证服务器之间的EAP分组承载Diameter SIP应用在SIP服务器中提供Diameter客户功能Diameter 信用控制应用实现对各种端用户业务的实时信用控制端用户业务包括网络接入、SIP服务、下载服务等,RADIUS固有的C/S模式限制了它的进一步发展;Diameter采用了peer-to-peer模式,peer的任何一端都可以发送消息以发起计费等功能或中断连接可靠的传输机制。RADIUS运行在UDP协议上,并且没有定义重传机制,而Diameter运行在可靠的传输协议TCP、SCTP之上失败恢复机制。RADIUS协议不支持失败恢复机制,而Diameter支持应用层确认,并且定义了失败恢复算法和相关的状态机,能够立即检测出传输错误大的属性数据空间。Diameter采用AVP(Attribute Value Pair)来传输Diameter 消息,属性空间足够大,Diameter和RADIUS比较,支持同步的大量用户的接入请求服务器初始化消息。RADIUS中只有客户能发出重认证请求,所以服务器不能根据需要重新认证。而Diameter服务器可以根据需要主动发起重认证Diameter还支持认证和授权分离。而RADIUS中认证与授权必须是成对出现的RADIUS仅仅在应用层上定义了一定的安全机制,但没有涉及到数据的机密性。Diameter要求必须支持IPsec以保证数据的机密性和完整性RADIUS没有明确的代理概念。Diameter加入代理来承担RADIUS服务器的proxy功能,Diameter和RADIUS比较(续),12.5小结和推荐资料,本章要点小结用户接入管理的功能(核心是AAA)用户接入管理的结构与特点分散、分布、集中、集中/分布用户接入管理的模型用户、NAS、AAA服务器接入链路协议PPP(协议功能、LCP和NCP的功能)PPPoE(协议功能、如何实现点对多点链路的单个用户的管理)接入认证协议PAPCHAP802.1X(实体、模型、协议运行原理)接入管理协议RADIAUS(模型、协议功能、作用范围、操作过程),推荐资料,1RFC 1661:PPP Protocol.1994-07.2RFC 2516:PPPoE Protocol.1999-02.3RFC 1334:PPP Authentication Protocols.1992-10.4RFC 1994:CHAP Protocol.1996-08.5RFC 3748:EAP Protocol.2004-06.6IEEE Std 802.1X-2004:Port-Based Network Access Control.2004-127RFC 2865:RADIUS.2000-06.8RFC 2866:RADIUS Accounting.2000-06.9RFC 3579:RADIUS Support For EAP.2003-09.10 RFC 3580:IEEE 802.1X RADIUS Usage Guidelines.2003-09.11 IETF.http:/12 IANA.http:/,

    注意事项

    本文(用户接入管理协议.ppt)为本站会员(小飞机)主动上传,三一办公仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知三一办公(点击联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




    备案号:宁ICP备20000045号-2

    经营许可证:宁B2-20210002

    宁公网安备 64010402000987号

    三一办公
    收起
    展开