网络配置与应用★学习目标★ 熟悉身份认证的概念 熟悉IEEE802.1x协议的工作特点 掌握基于WindowsServer2003的Radius服务器的安装和配置方法 掌握交换机上IEEE802.1x及相关协议的启用和配置方法 掌握Radius认证系统的应用和故障排除方法重点难点 掌握基于WindowsServer2003的Radius服务器的安装和配置方法 掌握交换机上IEEE802.1x及相关协议的启用和配置方法 掌握Radius认证系统的应用和故障排除方法 10.1.1身份认证的概念 身份认证（Authentication）是系统审查用户身份的过程，从而确定该用户是否具有对某种资源的访问和使用权限。身份认证通过标识和鉴别用户的身份，提供一种判别和确认用户身份的机制。身份认证需要依赖其他相关技术，确认系统访问者的身份和权限，使计算机和网络系统的访问策略能够可靠、有效地执行，防止攻击者假冒合法用户获得资源的访问权限，从而保证系统和数据的安全以及授权访问者的合法利益。 计算机网络中的身份认证是通过将一个证据与实体身份绑定来实现的。实体可能是用户、主机、应用程序甚至是进程。证据与身份之间是一一对应的关系，双方通信过程中，一方实体向另一方实体提供这个证据证明自已的身份，另一方通过相应的机制来验证证据，以确定该实体是否与证据所显示的身份一致。 10.1.2认证、授权与审计 在计算机网络安全领域，将认证、授权与审计统称为AAA或3A，即英文Authentication（认证）、Authorization（授权）和Accounting（审计）。 1．认证 认证是一个解决确定某一个用户或其他实体是否被允许访问特定的系统或资源的问题。 2．授权 授权是指当用户或实体的身份被确定为合法后，赋予该用户的系统访问或资源使用权限。3．审计 审计也称为记帐（Accounting）或审核，出于安全考虑，所有用户的行为都要留下记录，以便进行核查。 安全性评估（securityassessment）是审计操作的进一步扩展。在安全性评估中，专业人员对网络中容易受到入侵者攻击的部分进行内部检查，对网络存在的薄弱环节进行阶段性评估。通过对评估结果的分析，既可以发现网络中存在的设计缺陷，也可以为今后的网络调整提供权威的数据支撑。用户对资源的访问过程如图1所示 IEEE802.1x是一个基于端口的网络访问控制协议，该协议的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能，从而实现认证与业务的分离，保证了网络传输的效率。 IEEE802系列局域网（LAN）标准占据着目前局域网应用的主要份额，但是传统的IEEE802体系定义的局域网不提供接入认证，只要用户能接入集线器、交换机等控制设备，用户就可以访问局域网中其他设备上的资源，这是一个安全隐患，同时也不便于实现对局域网接入用户的管理。IEEE802.1x是一种基于端口的网络接入控制技术，在局域网设备的物理接入级对接入设备（主要是计算机）进行认证和控制。连接在交换机端口上的用户设备如果能通过认证，就可以访问局域网内的资源，也可以接入外部网络（如Internet）；如果不能通过认证，则无法访问局域网内部的资源，同样也无法接入Internet，相当于物理上断开了连接。 IEEE802.1x协议采用现有的可扩展认证协议（ExtensibleAuthenticationProtocol，EAP），它是IETF提出的PPP协议的扩展，最早是为解决基于IEEE802.11标准的无线局域网的认证而开发的。虽然IEEE802.1x定义了基于端口的网络接入控制协议，但是在实际应用中该协议仅适用于接入设备与接入端口间的点到点的连接方式，其中端口可以是物理端口，也可以是逻辑端口。典型的应用方式有两种：一种是以太网交换机的一个物理端口仅连接一个计算机；另一种是基于无线局域网（WLAN）的接入方式。其中，前者是基于物理端口的，而后者是基于逻辑端口的。目前，几乎所有的以太网交换机都支持IEEE802.1x协议。 10.2.2RADIUS服务器 RADIUS（RemoteAuthenticationDialInUserService，远程用户拨号认证服务）服务器提供了三种基本的功能：认证（Authentication）、授权（Authorization）和审计（Accounting），即提供了3A功能。其中审计也称为“记账”或“计费”。 RADIUS协议采用了客户机/服务器（C/S）工作模式。网络接入服务器（NetworkAccessServer，NAS）是RADIUS的客户端，它负责将用户的验证信息传递给指定的RADIUS服务器，然后处理返回的响应。RADIUS服务器负责接收用户的连接请求，并验证用户身份，然后返回所有必须要配置的信息