沈鑫剡编著(网络安全)教材配套ppt课件第5章.pptx

《沈鑫剡编著(网络安全)教材配套ppt课件第5章.pptx》由会员分享，可在线阅读，更多相关《沈鑫剡编著(网络安全)教材配套ppt课件第5章.pptx（59页珍藏版）》请在三一办公上搜索。

1、网络安全,第五章,第5章 接入控制和访问控制,本章主要内容身份鉴别；Internet接入控制过程；EAP和802.1x；RADIUS；Kerberos和访问控制过程。,5.1 身份鉴别,本讲主要内容身份鉴别定义和分类；主体身份标识信息；单向鉴别过程；双向鉴别过程；第三方鉴别过程。,一、 身份鉴别定义和分类,1定义 身份鉴别是验证主体的真实身份与其所声称的身份是否符合的过程，主体可以是用户、进程和主机等。,一、 身份鉴别定义和分类,2分类 身份鉴别方式可以分为单向鉴别、双向鉴别和第三方鉴别三种。,单向鉴别,双向鉴别,第三方鉴别,二、主体身份标识信息,1密钥 主体拥有某个密钥x，只要主体能够证明自

2、己知道密钥x，主体的身份就得到证明。2用户名和口令 这种标识信息主要用于标识用户，为每一个授权用户分配用户名和口令，某个用户只要能够证明自己知道某个授权用户对应的用户名和口令，就能证明该用户是授权用户。,二、主体身份标识信息,3证书和私钥 证书可以证明主体x与公钥PK之间的绑定关系，如果主体x能够证明自己知道与公钥PK对应的私钥SK，就能证明自己是主体x。,三、单向鉴别过程,1基于共享密钥 主体A只需证明自己知道共享密钥K，即可证明自己身份。,三、单向鉴别过程,2基于用户名和口令 主体A只需证明自己知道某个授权用户对应的用户名和口令，即可证明自己身份。,三、单向鉴别过程,3基于证书和私钥 主体

3、A与公钥PKA之间的绑定已经得到权威结构证明，主体A只要证明自己知道PKA对应的私钥SKA，即可证明自己身份。,四、双向鉴别过程,1基于共享密钥 每一方不仅需要证明自己知道共享密钥，还需证明对方知道共享密钥。,四、双向鉴别过程,2基于用户名和口令 用户A不仅需要证明自己知道某个授权用户对应的用户名和口令，还需对方证明知道该用户名对应的口令。,四、双向鉴别过程,3基于证书和私钥 用户A和用户B与各自公钥之间的绑定得到权威机构证明，且用户A和用户B能够证明自己知道公钥对应的私钥。,五、第三方鉴别过程,1引出第三方鉴别的原因 无需鉴别者拥有用于证明公钥与示证者之间绑定关系的证书。由权威机构提供与示证

4、者绑定的公钥。且公钥与示证者之间的绑定关系由权威机构予以证明。,五、第三方鉴别过程,五、第三方鉴别过程,2鉴别过程 用户A和用户B与公钥之间的绑定关系由公钥管理机构提供且证明。用户A和用户B只需证明知道公钥对应的私钥。,5.2 Internet接入控制过程,本讲主要内容终端接入Internet需要解决的问题；PPP与接入控制过程。,一、终端接入Internet需要解决的问题,1终端访问网络资源的基本条件,建立终端A与路由器之间的传输路径；终端A完成网络信息配置过程；路由器路由表中建立对应路由项。,一、终端接入Internet需要解决的问题,2终端接入Internet的先决条件,终端接入Inte

5、rnet前，必须证明使用终端的用户是注册用户；在确定使用终端的用户是注册用户的前提下，由接入控制设备完成对终端分配网络信息，建立将终端的IP地址和终端与接入控制设备之间的传输路径绑定在一起的路由项的过程。,一、终端接入Internet需要解决的问题,3路由器与接入控制设备的区别,接入控制设备除了普通路由器的功能外，还具有以下接入控制功能：鉴别终端A用户的身份；为终端A动态分配IP地址；建立将终端A的IP地址和终端A与接入控制设备之间的传输路径绑定在一起的路由项等。,一、终端接入Internet需要解决的问题,4终端接入Internet过程,建立终端A与接入控制设备之间的传输路径；接入控制设备完

6、成身份鉴别过程；动态配置终端A的网络信息；动态创建终端A对应的路由项。,二、 PPP与接入控制过程,1PPP作为接入控制协议的原因,拨号接入过程建立点对点语音信道点对点语音信道与PPP PPP帧就是适合点对点语音信道传输的帧格式,二、 PPP与接入控制过程,2与接入控制相关的协议,（1） PPP帧结构,二、 PPP与接入控制过程,2与接入控制相关的协议,（2）用户身份鉴别协议用用户名和口令标识用户身份；身份鉴别过程需要向接入控制设备证明自己知道某个授权用户对应的用户名和口令；CHAP防止泄露口令。,二、 PPP与接入控制过程,2与接入控制相关的协议,（3）IPCP IP控制协议（IPCP）的作

7、用是为终端A动态分配IP地址等网络信息。,二、 PPP与接入控制过程,3PPP接入控制过程,接入控制过程由五个阶段组成，分别是物理链路停止、PPP链路建立、用户身份鉴别、网络层协议配置和终止PPP链路等。,5.3EAP和802.1X,本讲主要内容引出EAP的原因；EAP操作过程；EAP over PPP；802.1x操作过程。,一、引出EAP的原因,1鉴别协议和载体协议 PPP本身并不是一种鉴别协议，而是一种用于传输鉴别协议鉴别用户身份所需消息的载体协议，具体的鉴别过程由鉴别协议完成，如PPP支持的PAP和CHAP。,一、引出EAP的原因,2应用环境和鉴别协议独立发展引发的问题和解决思路,多种

8、应用环境和多种鉴别协议两两组合带来的复杂性。,一、引出EAP的原因,2应用环境和鉴别协议独立发展引发的问题和解决思路,先定义一种和应用环境无关的、用于传输鉴别协议消息的载体协议，所有应用环境和鉴别协议都和这种载体协议绑定。,二、 EAP操作过程,1EAP操作模型,鉴别者负责对用户身份进行鉴别，用户只有通过鉴别者的身份鉴别后才能接入。 鉴别者向用户发送请求报文，用户向鉴别者回送响应报文。请求报文和响应报文的内容与双方采用的鉴别机制有关，不同的鉴别机制有着不同的请求/响应过程，有的鉴别机制可能需要经过多次请求/响应过程才能完成用户身份鉴别。,二、 EAP操作过程,2EAP报文格式,编码字段给出报文

9、的类型；标识符字段用来匹配请求和响应报文；长度字段给出EAP报文总的长度；数据字段的第1个字节是类型字段，用于给出数据类型。,三、 EAP over PPP,1PPP封装EAP报文过程,三、 EAP over PPP,2鉴别过程,根据CHAP交换鉴别信息； 鉴别信息交换过程通过EAP请求/响应过程完成； EAP报文封装成PPP帧。,四、802.1X操作过程,1802.1X操作模型,用户接入以太网方式,四、802.1X操作过程,1802.1X操作模型,一个物理端口被虚化成2个虚端口，一个是受控端口，只有在成功完成用户身份鉴别后，才能提供正常的输入输出服务。另一个是非受控端口，用于接收EAP报文和

10、其他广播报文。,四、802.1X操作过程,2EAPOL报文类型和封装格式,版本字段值目前固定为2，报文类型表明封装在MAC帧中的报文类型，目前定义了5中报文类型。报文体长度和报文体由报文类型决定。,四、802.1X操作过程,3802.1X鉴别接入用户身份的过程,四、802.1X操作过程,4以太网接入控制过程,当某个用户希望接入Internet时，通过发送EAPOL-Start发起鉴别过程。一旦成功完成用户身份鉴别过程，交换机将该终端的MAC地址列入接收到EAP报文的端口对应的访问控制列表，并将访问控制设置为允许访问。,5.4 RADIUS,本章主要内容RADIUS功能；RADIUS消息格式、类

11、型和封装过程；RADIUS应用。,一、RADIUS功能,1本地鉴别和统一鉴别,1本地鉴别和统一鉴别 本地鉴别方式由接入控制设备完成对接入用户的身份鉴别过程，因此，对于允许同一用户多点接入Internet的情况，如果采用本地鉴别方式，每一个接入控制设备中需要存储所有接入用户的身份标识信息。 统一鉴别方式设置鉴别服务器，由鉴别服务器统一管理用户，完成对用户的身份鉴别、授权和计费操作。,一、RADIUS功能,一、RADIUS功能,2身份标识信息传输协议 为了完成鉴别者和鉴别服务器之间的EAP报文传输过程，必须定义一种载体协议。 由于鉴别者和鉴别服务器之间的传输通路往往是由路由器互连的多段链路层传输路

12、径组成的，因此，必须用IP以上的协议作为载体协议，远程鉴别拨入用户服务（RADIUS）是一种可以实现接入控制设备等鉴别者与鉴别服务器之间双向身份鉴别和身份标识信息鉴别者与鉴别服务器之间安全传输的应用层协议。,二、RADIUS消息格式、类型和封装过程,1RADIUS消息封装过程,RADIUS属于应用层协议，因此，RADIUS消息先封装成传输层报文，然后把传输层报文封装成IP分组。,二、RADIUS消息格式、类型和封装过程,2RADIUS消息格式和类型,编码字段给出RADIUS消息类型，目前主要定义了4种RADIUS消息。请求接入消息用于传输用户提供的身份标识信息，如用户名、口令等。允许接入消息表

13、明鉴别服务器完成对用户的身份鉴别，允许用户接入网络。拒绝接入消息表明用户提供的身份标识信息无法使鉴别服务器完成对用户的身份鉴别，鉴别服务器拒绝用户接入网络。挑战接入消息或者需要用户通过请求接入消息提供更多的身份标识信息，或者需要用户根据约定的鉴别机制对挑战接入消息中包含的数据进行运算，并将运算结果通过请求接入消息提供给鉴别服务器。,二、RADIUS消息格式、类型和封装过程,2RADIUS消息格式和类型,标识符字段用于匹配请求接入消息和对应的响应消息。 长度字段给出RADIUS消息的总长。 鉴别信息字段用于鉴别发送响应消息的鉴别服务器，响应消息中的鉴别信息MD5（响应消息对应请求接入消息的鉴别信

14、息共享密钥K），响应消息指响应消息中除鉴别信息字段外的所有其他字段信息，包括编码、标识符、长度和所有属性字段。 属性字段给出用户身份标识信息和NAS标识信息。,二、RADIUS消息格式、类型和封装过程,2RADIUS消息格式和类型,RADIUS消息交换过程,三、RADIUS应用,RADIUS和EAP协调完成用户身份鉴别过程,5.5 Kerberos和访问控制过程,本讲主要内容访问控制过程；鉴别服务器实施统一身份鉴别机制；Kerberos身份鉴别和访问控制过程。,一、访问控制过程,1基于共享密钥的访问控制过程,访问控制的基础是身份鉴别和授权；用共享密钥鉴别身份；授权用户列表进行授权。,一、访问控

15、制过程,1基于共享密钥的访问控制过程,解决的安全问题：防止其他非授权用户通过冒充授权用户非法访问应用服务器；防止其他非授权用户通过盗用授权用户的IP地址非法访问应用服务器；防止非法用户通过嗅探或截获授权用户的访问请求，实施重放攻击。因此鉴别信息=EKC,S（IDCADCTSEQ）IDC是用户名，ADC是用户终端IP地址，T是时间戳，SEQ是序号。,一、访问控制过程,2应用服务器鉴别用户身份的缺陷,一是每一个应用服务器都需建立包含所有授权用户信息的授权用户列表； 二是一次事务中，多个应用服务器可能需要重复多次鉴别某个用户的身份； 三是不容易实现双向鉴别，只有应用服务器对用户的单向身份鉴别过程。,

16、二、鉴别服务器实施统一身份鉴别机制,1统一鉴别方式的访问控制过程,设置统一的鉴别服务器，鉴别服务器中给出授权用户身份标识信息和授权访问的应用服务器；鉴别服务器通过用户C与鉴别服务器之间的共享密钥KC,AS实现对用户C的身份鉴别；应用服务器1和2通过与鉴别服务器之间的共享密钥K1,AS和K2,AS建立信任关系；票据1必须证实两点：一是票据1由鉴别服务器签发，二是用户C具有访问应用服务器1的权限，且票据1中的信息能够证明票据1的拥有者是用户C；鉴别信息1向应用服务器证实该访问请求确实由用户C发送票据1EK1,AS（IDCADCKC,1TSTE）；鉴别信息1EKC,1（IDCADCTSEQ）。,二、

17、鉴别服务器实施统一身份鉴别机制,2鉴别服务器实施用户权限鉴别的缺陷 一是一次事务中，如果用户需要访问多个应用服务器，同样需要进行多次身份鉴别过程。二是将用户身份标识信息和用户访问权限集中在鉴别服务器中，会使得鉴别服务器成为应用系统的性能瓶颈。,二、鉴别服务器实施统一身份鉴别机制,三、 Kerberos身份鉴别和访问控制过程,用户身份鉴别鉴别服务器发送给用户C的票据TicketTGS证实：一是票据TicketTGS由鉴别服务器签发，用于向票据授权服务器证明用户C的身份，二是该票据由用户C拥有；用户C通过证明已经获得会话密钥KC,TGS证明自己是用户C。,三、 Kerberos身份鉴别和访问控制过

18、程,获取访问应用服务器票据票据TicketTGS用于证实票据确实由鉴别服务器签发，由用户C拥有，用于证明用户C的身份和用户C访问票据授权服务器TGS的权限；鉴别信息用于证实访问权限鉴别请求确实由用户C生成和发送；票据TicketV表明用户C具有访问应用服务器IDV的权限。,三、 Kerberos身份鉴别和访问控制过程,访问应用服务器票据TicketV证实用户C具有访问应用服务器的权限；鉴别信息AUTHC2证实该访问请求确实由用户C生成和发送；应用服务器IDV用票据授权服务器TGS动态生成的用户C与应用服务器IDV之间的会话密钥KC,V来证实自己的身份。,三、 Kerberos身份鉴别和访问控制过程,