首 頁文檔資料下載資料維修視頻包年699元
請登錄  |  免費注冊
當前位置:精通維修下載 > 文檔資料 > 電子技術 > 通信與網絡
基于802.1X的校園網接入認證安全防御
來源:本站整理  作者:佚名  2012-05-18 11:19:51



隨著網絡用戶數量急劇增加,網絡管理問題和安全問題日趨嚴峻,針對校園網用戶多且分散、流動性強,用戶對網絡需求各異等特點,亟需營造一個安全可靠、可運營、可管理的網絡,給用戶提供一個便捷、暢通的網絡環境。為實現此目標,迫切需要一種合理、細致的管理機制和計費手段。接入認證系統和收費計費系統結合可達到此要求。

網絡上傳統的認證系統如PPPoE 和Web/Portal認證方式,越來越不適應網絡規模增大和用戶需求多樣性的要求,使得傳統認證的弊端日益突顯。基于此背景下,IEEE 802.1X通過對認證方式和認證體系結構進行優化,有效地解決了傳統PPPoE和Web/Portal認證方式帶來的問題,消除了網絡瓶頸,減輕了網絡封裝開銷,降低了建網成本,從而受到當前校園網選擇的熱捧。然而簡單的使用802.1X認證仍然存在一些安全隱患,故需要采用安全防御機制來解決。本文首先介紹了接入認證方式及利弊,然后闡述了802.1X原理及認證過程,接著詳細介紹了802.1X在校園網中存在的隱患,最后提出了兩種安全防御機制并可兼容802.1X認證。

接入認證方式及利弊

目前主要的接入認證方式有三種:PPPoE 認證方式、Web/Portal認證方式和802.1X 認證方式。

1.PPPoE 認證方式:PPPoE 是在IETF RFC標準基礎上研發的點對點協議,是目前應用最為普遍的家庭用戶接入方式之一。它將以太網技術、局域網和點對點協議的可擴展性及管理控制功能結合在一起,通過類似撥號方式,為用戶提供簡單方便的寬帶接入服務。此接入方式的優勢在于和原有窄帶網絡用戶接入認證體系一致,易于用戶接受。然而不足之處在于局端接入設備開銷大,容易形成單點瓶頸,且設備昂貴。

2.Web/Portal認證方式:Web認證運用廣泛,它依托于Web 瀏覽器,通過HTTP以及HTTPS協議和Web認證服務器進行交互認證。該認證方式可以很方便地利用Web服務器推出Portal和廣告等增值業務,有利于達到引導用戶和宣傳業務的效果。其優點在于不需要特定的客戶端軟件,可以降低運營成本,同時可提供Portal等增值業務。缺點是Web/Portal承載于7層協議之上,多采用出口網關設備,內網存在的安全隱患,如BBS論壇出現過激言論或某IP 攻擊服務器等行為都無法追蹤。

3.802.1X認證方式:802.1X認證,稱為基于端口的訪問控制協議認證,它將傳統的出口控制遷移到入口控制,實現對端口的用戶級的接入控制,對大規模的LAN接入和WLAN 應用有很好的安全防護作用。其優勢是認證與業務分離有利于解決網絡瓶頸,對設備的整體性能要求不高,有效降低建網成本。弱點是需要特定的客戶端,ARP攻擊、IP偽造等安全問題仍未解決。

802.1X原理及認證過程

802.1X是根據用戶賬號或設備,對網絡客戶端(或端口)進行鑒權的標準。此過程又叫做“端口級別的鑒權”,它只適合于此環境:接入用戶設備與接入端口間點到點的連接方式。其中的端口可以是物理的端口,也可以是用戶設備的MAC 地址。由于基于物理端口的控制方式需要認證交換機直接連接用戶來實現,提升了交換機成本,導致建網成本增加。在經費比較短缺的校園領域中,網絡認證目前普遍使用基于用戶設備的MAC地址控制方式。把用戶設備的MAC 地址看成端口,每個MAC地址有兩個邏輯端口:受控和不受控端口。MAC地址處于激活狀態是認證的前提條件,否則無法進行認證。在802.1X協議體系結構中,必須同時具備客戶端、接入認證交換機和認證服務器三者,才能夠完成基于端口的訪問控制的用戶認證和授權。認證過程如圖1所示。

圖1

[1] [2] [3] [4]  下一頁

關鍵詞:

文章評論評論內容只代表網友觀點,與本站立場無關!

   評論摘要(共 0 條,得分 0 分,平均 0 分)
Copyright © 2007-2017 down.gzweix.Com. All Rights Reserved .
頁面執行時間:214,050.80000 毫秒
体彩大乐透预测 青海11选5昨日走势图 北京快三和值推荐号码 七乐彩预测下期 票据理财平台如何盈利 北京赛车规律预测 股票指数的计算方法有哪几种 江西快三走势市图 山西11选五遗漏top10 河南快3走势图福彩网 天津时时彩时间 医药股有哪些股票代码 幸运农场软件手机版 南宁期货配资公司 浙江体彩历史开奖飞鱼 最好的股票配资平台电话 481走势图最近200期