網(wǎng)絡(luò)安全與信息加密技術(shù)-第十六章

1、 第16章 網(wǎng)絡(luò)訪問(wèn)控制和云安全 第17章 傳輸層安全 第18章 無(wú)線網(wǎng)絡(luò)安全 第19章 電子郵件安全 第20章 IP安全性q本章我們從兩個(gè)重要的方面討論網(wǎng)絡(luò)安全：網(wǎng)絡(luò)訪問(wèn)控制本章我們從兩個(gè)重要的方面討論網(wǎng)絡(luò)安全：網(wǎng)絡(luò)訪問(wèn)控制和云安全。我們首先總體上介紹網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)，總結(jié)和云安全。我們首先總體上介紹網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)，總結(jié)它的主要元素和涉及的相關(guān)技術(shù)。接著我們會(huì)討論可擴(kuò)展它的主要元素和涉及的相關(guān)技術(shù)。接著我們會(huì)討論可擴(kuò)展的認(rèn)證協(xié)議和的認(rèn)證協(xié)議和IEEE 802.1X，他們是兩種廣泛，他們是兩種廣泛實(shí)施實(shí)施的標(biāo)準(zhǔn)，的標(biāo)準(zhǔn)，是許多網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)的基礎(chǔ)。是許多網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)的基礎(chǔ)。q本章后半部

2、分講述云安全相關(guān)內(nèi)容。首先總體上介紹云計(jì)本章后半部分講述云安全相關(guān)內(nèi)容。首先總體上介紹云計(jì)算相關(guān)知識(shí)，接著討論云安全問(wèn)題。算相關(guān)知識(shí)，接著討論云安全問(wèn)題。q網(wǎng)絡(luò)網(wǎng)絡(luò)訪問(wèn)訪問(wèn)控制控制(network Access Control, NAC)是對(duì)網(wǎng)絡(luò)訪是對(duì)網(wǎng)絡(luò)訪問(wèn)管理的總稱(chēng)。問(wèn)管理的總稱(chēng)。NAC在用戶(hù)登錄網(wǎng)絡(luò)的時(shí)候進(jìn)行認(rèn)證，決定其在用戶(hù)登錄網(wǎng)絡(luò)的時(shí)候進(jìn)行認(rèn)證，決定其可以獲取可以獲取哪些哪些數(shù)據(jù)及可以執(zhí)行哪些行為。數(shù)據(jù)及可以執(zhí)行哪些行為。NAC同時(shí)還檢測(cè)用戶(hù)同時(shí)還檢測(cè)用戶(hù)的計(jì)算機(jī)及移動(dòng)設(shè)備的計(jì)算機(jī)及移動(dòng)設(shè)備(終端終端)的安全情況。的安全情況。1. 網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)的組成元素網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)的組成元素

3、一個(gè)網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)的組成元素有：q訪問(wèn)請(qǐng)求者訪問(wèn)請(qǐng)求者(AR)：AR是試圖訪問(wèn)網(wǎng)絡(luò)的節(jié)點(diǎn)。它可能是是試圖訪問(wèn)網(wǎng)絡(luò)的節(jié)點(diǎn)。它可能是NAC系統(tǒng)管理的任何設(shè)備，包括工作站、服務(wù)器、打印設(shè)備、攝像系統(tǒng)管理的任何設(shè)備，包括工作站、服務(wù)器、打印設(shè)備、攝像機(jī)及其他具有機(jī)及其他具有IP的設(shè)備。的設(shè)備。AR通常通常被認(rèn)為是請(qǐng)求者或者簡(jiǎn)單說(shuō)被認(rèn)為是請(qǐng)求者或者簡(jiǎn)單說(shuō)是客戶(hù)端。是客戶(hù)端。16.1 網(wǎng)絡(luò)訪問(wèn)控制q策略服務(wù)器：策略服務(wù)器：根據(jù)根據(jù)AR的信息和企業(yè)制定的策略，策略服務(wù)器的信息和企業(yè)制定的策略，策略服務(wù)器決定哪些訪問(wèn)是被允許的。策略服務(wù)器通常依賴(lài)后臺(tái)系統(tǒng)，包決定哪些訪問(wèn)是被允許的。策略服務(wù)器通常依賴(lài)后臺(tái)系統(tǒng)

4、，包括反病毒軟件、括反病毒軟件、補(bǔ)丁補(bǔ)丁管理系統(tǒng)及用來(lái)幫助決定主機(jī)環(huán)境的用戶(hù)管理系統(tǒng)及用來(lái)幫助決定主機(jī)環(huán)境的用戶(hù)字典。字典。q網(wǎng)絡(luò)接入服務(wù)器網(wǎng)絡(luò)接入服務(wù)器(NAS)：NAS是一個(gè)接入控制點(diǎn)，為用戶(hù)遠(yuǎn)程是一個(gè)接入控制點(diǎn)，為用戶(hù)遠(yuǎn)程連接企業(yè)的內(nèi)部網(wǎng)絡(luò)提供訪問(wèn)控制。通常它也被稱(chēng)為媒體網(wǎng)關(guān)，連接企業(yè)的內(nèi)部網(wǎng)絡(luò)提供訪問(wèn)控制。通常它也被稱(chēng)為媒體網(wǎng)關(guān)，遠(yuǎn)程訪問(wèn)服務(wù)器或者策略服務(wù)器。一個(gè)遠(yuǎn)程訪問(wèn)服務(wù)器或者策略服務(wù)器。一個(gè)NAS可能包含自己的認(rèn)可能包含自己的認(rèn)證服務(wù)器，或是依賴(lài)策略服務(wù)器提供的認(rèn)證服務(wù)。證服務(wù)器，或是依賴(lài)策略服務(wù)器提供的認(rèn)證服務(wù)。q下圖是一張常見(jiàn)的網(wǎng)絡(luò)接入圖。下圖是一張常見(jiàn)的網(wǎng)絡(luò)接入圖。q許多許

5、多不同種類(lèi)的不同種類(lèi)的AR通過(guò)向相應(yīng)的通過(guò)向相應(yīng)的NAS申請(qǐng)，來(lái)嘗試訪問(wèn)企業(yè)申請(qǐng)，來(lái)嘗試訪問(wèn)企業(yè)網(wǎng)絡(luò)。第一步通常是對(duì)網(wǎng)絡(luò)。第一步通常是對(duì)AR進(jìn)行認(rèn)證。認(rèn)證通常包括一些安全進(jìn)行認(rèn)證。認(rèn)證通常包括一些安全協(xié)議和密鑰的使用。協(xié)議和密鑰的使用。NAS可能執(zhí)行這個(gè)認(rèn)證過(guò)程，也可能只在可能執(zhí)行這個(gè)認(rèn)證過(guò)程，也可能只在認(rèn)證認(rèn)證過(guò)程擔(dān)當(dāng)中介過(guò)程擔(dān)當(dāng)中介的作用。在之后的過(guò)程中，認(rèn)證發(fā)生在請(qǐng)求的作用。在之后的過(guò)程中，認(rèn)證發(fā)生在請(qǐng)求者和認(rèn)證服務(wù)器之間。認(rèn)證服務(wù)器是策略服務(wù)器的一部分或者者和認(rèn)證服務(wù)器之間。認(rèn)證服務(wù)器是策略服務(wù)器的一部分或者通過(guò)認(rèn)證服務(wù)器接入的通過(guò)認(rèn)證服務(wù)器接入的。q認(rèn)證過(guò)程提供多種目的的服務(wù)。它驗(yàn)證

6、請(qǐng)求者所聲明的身份，認(rèn)證過(guò)程提供多種目的的服務(wù)。它驗(yàn)證請(qǐng)求者所聲明的身份，使得策略服務(wù)器能夠由身份決定使得策略服務(wù)器能夠由身份決定AR所擁有的權(quán)限。認(rèn)證的過(guò)所擁有的權(quán)限。認(rèn)證的過(guò)程可以程可以會(huì)會(huì)產(chǎn)生會(huì)話密鑰，來(lái)確保在企業(yè)網(wǎng)絡(luò)上用戶(hù)和資源之間產(chǎn)生會(huì)話密鑰，來(lái)確保在企業(yè)網(wǎng)絡(luò)上用戶(hù)和資源之間的安全通信。的安全通信。q通常，策略服務(wù)器或輔助服務(wù)器會(huì)對(duì)通常，策略服務(wù)器或輔助服務(wù)器會(huì)對(duì)AR進(jìn)行檢查，決定進(jìn)行檢查，決定AR是是否可以進(jìn)行遠(yuǎn)程交互連接的訪問(wèn)。這些檢查否可以進(jìn)行遠(yuǎn)程交互連接的訪問(wèn)。這些檢查(又稱(chēng)為健康、適又稱(chēng)為健康、適配、配、篩選篩選或評(píng)估檢查或評(píng)估檢查)需要對(duì)用戶(hù)系統(tǒng)上的軟件進(jìn)行認(rèn)證，來(lái)需要對(duì)

7、用戶(hù)系統(tǒng)上的軟件進(jìn)行認(rèn)證，來(lái)確定其是否符合企業(yè)制定的安全配置基本要求。比如，用戶(hù)的確定其是否符合企業(yè)制定的安全配置基本要求。比如，用戶(hù)的反惡意軟件必須是最新的，操作系統(tǒng)補(bǔ)丁要打滿(mǎn)，遠(yuǎn)程主機(jī)必反惡意軟件必須是最新的，操作系統(tǒng)補(bǔ)丁要打滿(mǎn)，遠(yuǎn)程主機(jī)必須是由企業(yè)擁有并控制的。這些檢查必須在須是由企業(yè)擁有并控制的。這些檢查必須在AR獲得訪問(wèn)企業(yè)獲得訪問(wèn)企業(yè)網(wǎng)絡(luò)的授權(quán)之前進(jìn)行。在這些檢查結(jié)果的基礎(chǔ)上，企業(yè)可以決網(wǎng)絡(luò)的授權(quán)之前進(jìn)行。在這些檢查結(jié)果的基礎(chǔ)上，企業(yè)可以決定遠(yuǎn)程計(jì)算機(jī)是否可以進(jìn)行交互遠(yuǎn)程訪問(wèn)。如果一個(gè)用戶(hù)具有定遠(yuǎn)程計(jì)算機(jī)是否可以進(jìn)行交互遠(yuǎn)程訪問(wèn)。如果一個(gè)用戶(hù)具有可接受的授權(quán)憑證，但遠(yuǎn)程計(jì)算機(jī)并沒(méi)有

8、通過(guò)安全檢查，用戶(hù)可接受的授權(quán)憑證，但遠(yuǎn)程計(jì)算機(jī)并沒(méi)有通過(guò)安全檢查，用戶(hù)和遠(yuǎn)程計(jì)算機(jī)的網(wǎng)絡(luò)訪問(wèn)會(huì)被拒絕，或者在隔離網(wǎng)絡(luò)中進(jìn)行受和遠(yuǎn)程計(jì)算機(jī)的網(wǎng)絡(luò)訪問(wèn)會(huì)被拒絕，或者在隔離網(wǎng)絡(luò)中進(jìn)行受限的訪問(wèn)，這使得授權(quán)用戶(hù)能夠修復(fù)安全缺陷。上圖展示了隔限的訪問(wèn)，這使得授權(quán)用戶(hù)能夠修復(fù)安全缺陷。上圖展示了隔離網(wǎng)絡(luò)的組成，通常包括策略服務(wù)器和離網(wǎng)絡(luò)的組成，通常包括策略服務(wù)器和AR相關(guān)的適用性服務(wù)相關(guān)的適用性服務(wù)器，也可能包含不需要常規(guī)安全門(mén)限的應(yīng)用服務(wù)器。器，也可能包含不需要常規(guī)安全門(mén)限的應(yīng)用服務(wù)器。q一旦一旦AR經(jīng)過(guò)授權(quán)，明確了在企業(yè)網(wǎng)絡(luò)訪問(wèn)中的級(jí)別，經(jīng)過(guò)授權(quán)，明確了在企業(yè)網(wǎng)絡(luò)訪問(wèn)中的級(jí)別，NAS就就會(huì)使會(huì)使AR

9、能夠與企業(yè)網(wǎng)絡(luò)中的資源進(jìn)行交互。能夠與企業(yè)網(wǎng)絡(luò)中的資源進(jìn)行交互。NAS可能會(huì)為了可能會(huì)為了執(zhí)行安全策略傳遞它的每次交換，也可能使用其他的方法限制執(zhí)行安全策略傳遞它的每次交換，也可能使用其他的方法限制AR的權(quán)限。的權(quán)限。2. 網(wǎng)絡(luò)訪問(wèn)實(shí)施方法網(wǎng)絡(luò)訪問(wèn)實(shí)施方法實(shí)施方法是為了控制對(duì)企業(yè)網(wǎng)絡(luò)的訪問(wèn)而實(shí)施在實(shí)施方法是為了控制對(duì)企業(yè)網(wǎng)絡(luò)的訪問(wèn)而實(shí)施在AR上的行為。許上的行為。許多供應(yīng)商支持多種實(shí)施方法，允許用戶(hù)使用一個(gè)或多種方法的組合多供應(yīng)商支持多種實(shí)施方法，允許用戶(hù)使用一個(gè)或多種方法的組合來(lái)進(jìn)行配置。下面將介紹常見(jiàn)的來(lái)進(jìn)行配置。下面將介紹常見(jiàn)的NAC實(shí)施方法。實(shí)施方法。qIEEE 802.1X：這是一個(gè)

10、鏈路層協(xié)議，它在一個(gè)端口被分配這是一個(gè)鏈路層協(xié)議，它在一個(gè)端口被分配IP之前執(zhí)行授權(quán)。之前執(zhí)行授權(quán)。IEEE 802.1X使用可授權(quán)訪問(wèn)協(xié)議進(jìn)行授權(quán)。使用可授權(quán)訪問(wèn)協(xié)議進(jìn)行授權(quán)。q虛擬本地局域網(wǎng)虛擬本地局域網(wǎng)(VLAN)：企業(yè)網(wǎng)絡(luò)是一系列有聯(lián)系的企業(yè)網(wǎng)絡(luò)是一系列有聯(lián)系的LAN組組成的網(wǎng)絡(luò)。通過(guò)這種方式，它在邏輯上被分割為一系列虛擬的成的網(wǎng)絡(luò)。通過(guò)這種方式，它在邏輯上被分割為一系列虛擬的LAN。NAC系統(tǒng)根據(jù)設(shè)備是否需要安全修復(fù)、只需要網(wǎng)絡(luò)訪問(wèn)系統(tǒng)根據(jù)設(shè)備是否需要安全修復(fù)、只需要網(wǎng)絡(luò)訪問(wèn)或需要訪問(wèn)企業(yè)資源決定哪些或需要訪問(wèn)企業(yè)資源決定哪些VLAN來(lái)管理相應(yīng)的來(lái)管理相應(yīng)的AR。VLAN可被動(dòng)地創(chuàng)立

11、，可被動(dòng)地創(chuàng)立，VLAN中服務(wù)器和中服務(wù)器和AR之間的成員關(guān)系可重疊。之間的成員關(guān)系可重疊。也就是說(shuō)，一個(gè)服務(wù)器或也就是說(shuō)，一個(gè)服務(wù)器或AR可以屬于一個(gè)或多個(gè)可以屬于一個(gè)或多個(gè)VLAN。q防火墻：防火墻：一個(gè)防火墻提供一個(gè)表單。它允許或拒絕企業(yè)主機(jī)和一個(gè)防火墻提供一個(gè)表單。它允許或拒絕企業(yè)主機(jī)和外部用戶(hù)之間的網(wǎng)絡(luò)流量。外部用戶(hù)之間的網(wǎng)絡(luò)流量。qDHCP管理：管理：動(dòng)態(tài)主機(jī)配置協(xié)議是一個(gè)可以給主機(jī)動(dòng)態(tài)分配動(dòng)態(tài)主機(jī)配置協(xié)議是一個(gè)可以給主機(jī)動(dòng)態(tài)分配IP的網(wǎng)絡(luò)協(xié)議。一個(gè)的網(wǎng)絡(luò)協(xié)議。一個(gè)DHCP服務(wù)器收到服務(wù)器收到DHCP請(qǐng)求，然后進(jìn)行請(qǐng)求，然后進(jìn)行IP分配。因此，分配。因此，NAC的實(shí)施發(fā)生在以子網(wǎng)和

12、的實(shí)施發(fā)生在以子網(wǎng)和IP分配為基礎(chǔ)的分配為基礎(chǔ)的IP層。一個(gè)層。一個(gè)DHCP服務(wù)器的安裝和配置是簡(jiǎn)單的，但是它受限于服務(wù)器的安裝和配置是簡(jiǎn)單的，但是它受限于多種形式的多種形式的IP欺騙，提供了受限的安全性。欺騙，提供了受限的安全性。還有很多其他的實(shí)施方法被供應(yīng)商支持。還有很多其他的實(shí)施方法被供應(yīng)商支持。q可擴(kuò)展認(rèn)證協(xié)議可擴(kuò)展認(rèn)證協(xié)議(EAP)在在RFC 3748中定義。它是一個(gè)網(wǎng)絡(luò)訪中定義。它是一個(gè)網(wǎng)絡(luò)訪問(wèn)和授權(quán)協(xié)議的框架。問(wèn)和授權(quán)協(xié)議的框架。EAP提供了許多協(xié)議消息，他們可以封提供了許多協(xié)議消息，他們可以封裝多種認(rèn)證方法，在客戶(hù)和認(rèn)證服務(wù)器之間使用。裝多種認(rèn)證方法，在客戶(hù)和認(rèn)證服務(wù)器之間使用

13、。EAP可以在可以在多種網(wǎng)絡(luò)和鏈路層設(shè)備進(jìn)行操作，包括點(diǎn)到點(diǎn)鏈路、多種網(wǎng)絡(luò)和鏈路層設(shè)備進(jìn)行操作，包括點(diǎn)到點(diǎn)鏈路、LAN及其及其他網(wǎng)絡(luò)?？梢赃m應(yīng)多種鏈路和網(wǎng)絡(luò)的認(rèn)證需求。下圖展示了組他網(wǎng)絡(luò)。可以適應(yīng)多種鏈路和網(wǎng)絡(luò)的認(rèn)證需求。下圖展示了組成成EAP的協(xié)議層次。的協(xié)議層次。16.2 可擴(kuò)展認(rèn)證協(xié)議1. 認(rèn)證方法認(rèn)證方法qEAP支持多種認(rèn)證方法，這就是支持多種認(rèn)證方法，這就是EAP可擴(kuò)展的含義所在?？蓴U(kuò)展的含義所在。EAP在客戶(hù)端系統(tǒng)和認(rèn)證服務(wù)器之間為認(rèn)證信息交換提供了一個(gè)通在客戶(hù)端系統(tǒng)和認(rèn)證服務(wù)器之間為認(rèn)證信息交換提供了一個(gè)通用的傳輸服務(wù)?；镜挠玫膫鬏敺?wù)。基本的EAP傳輸服務(wù)通過(guò)使用一個(gè)特殊的認(rèn)

14、證傳輸服務(wù)通過(guò)使用一個(gè)特殊的認(rèn)證協(xié)議、方法進(jìn)行擴(kuò)展。這些協(xié)議會(huì)同時(shí)裝在協(xié)議、方法進(jìn)行擴(kuò)展。這些協(xié)議會(huì)同時(shí)裝在EAP客戶(hù)端和認(rèn)證客戶(hù)端和認(rèn)證服務(wù)器上。服務(wù)器上。許多方法都規(guī)定可以在許多方法都規(guī)定可以在EAP上工作。下面是一些常見(jiàn)的上工作。下面是一些常見(jiàn)的EAP支持方支持方法：法：qEAP-TLS(EAP Transport Layer Security)：EAP-TLS(RFC 5216)定義了定義了TLS協(xié)議協(xié)議(第第17章將會(huì)介紹章將會(huì)介紹)如何封裝在如何封裝在EAP消息消息中。中。EAP-TLS使用使用TLS中的握手協(xié)議，而非它的加密方法?？椭械奈帐謪f(xié)議，而非它的加密方法。客戶(hù)端和服務(wù)器使

15、用其數(shù)字證書(shū)進(jìn)行相互認(rèn)證?？蛻?hù)端通過(guò)使用戶(hù)端和服務(wù)器使用其數(shù)字證書(shū)進(jìn)行相互認(rèn)證?？蛻?hù)端通過(guò)使用服務(wù)器的主密鑰加密一個(gè)隨機(jī)數(shù)，產(chǎn)生一個(gè)預(yù)主服務(wù)器的主密鑰加密一個(gè)隨機(jī)數(shù)，產(chǎn)生一個(gè)預(yù)主(Pre-master)密鑰，并將其發(fā)往服務(wù)器。客戶(hù)端和服務(wù)器都使用預(yù)主密鑰產(chǎn)密鑰，并將其發(fā)往服務(wù)器?？蛻?hù)端和服務(wù)器都使用預(yù)主密鑰產(chǎn)生相同的密鑰。生相同的密鑰。qEAP-TTLS(EAP Tunneled TLS)：EAP-TTLS和和EAP-TLS基基本相同，不同之處在于服務(wù)器首先要通過(guò)證書(shū)向客戶(hù)端證明自本相同，不同之處在于服務(wù)器首先要通過(guò)證書(shū)向客戶(hù)端證明自己。與己。與EAP-TLS中相同，它使用密鑰建立一個(gè)安全的連

16、接中相同，它使用密鑰建立一個(gè)安全的連接(“隧道隧道”)，但這個(gè)連接用來(lái)對(duì)客戶(hù)進(jìn)行認(rèn)證，可能的話，服，但這個(gè)連接用來(lái)對(duì)客戶(hù)進(jìn)行認(rèn)證，可能的話，服務(wù)器會(huì)再次使用務(wù)器會(huì)再次使用EAP方法或是老方法方法或是老方法如如PAP(口令認(rèn)證協(xié)議口令認(rèn)證協(xié)議)和和CHAP(挑戰(zhàn)挑戰(zhàn)-握手認(rèn)證協(xié)議握手認(rèn)證協(xié)議)。EA-TTLS在在RFC5281中有詳中有詳細(xì)的定義。細(xì)的定義。qEAP-GPSK(EAP Generalized Pre-Shared Key)：EAP-GPSK在在RFC 5433中定義。它是一種使用交互認(rèn)證的中定義。它是一種使用交互認(rèn)證的EAP方方法，會(huì)話密鑰由預(yù)共享秘鑰法，會(huì)話密鑰由預(yù)共享秘鑰(P

17、SK)產(chǎn)生。產(chǎn)生。EAP-GPSK制定了一制定了一個(gè)基于預(yù)共享密鑰的個(gè)基于預(yù)共享密鑰的EAP方法，采用了基于密鑰的密碼算法。方法，采用了基于密鑰的密碼算法。因此，在消息流和計(jì)算開(kāi)銷(xiāo)方面十分有效，但是它要求客戶(hù)端因此，在消息流和計(jì)算開(kāi)銷(xiāo)方面十分有效，但是它要求客戶(hù)端和服務(wù)器之間存在預(yù)共享秘鑰。它為成功進(jìn)行交互認(rèn)證提供了和服務(wù)器之間存在預(yù)共享秘鑰。它為成功進(jìn)行交互認(rèn)證提供了受保護(hù)的安全信道，它是為在如受保護(hù)的安全信道，它是為在如IEEE 802.11這種不安全網(wǎng)絡(luò)這種不安全網(wǎng)絡(luò)上進(jìn)行認(rèn)證設(shè)計(jì)的。上進(jìn)行認(rèn)證設(shè)計(jì)的。EAP-GPSK不需要公鑰密鑰交換。這種不需要公鑰密鑰交換。這種EAP方法協(xié)議交換最少

18、可以方法協(xié)議交換最少可以4步完成。步完成。qEAP-IKEv2：它的基礎(chǔ)是第它的基礎(chǔ)是第20章會(huì)講到的互聯(lián)網(wǎng)密鑰交換協(xié)章會(huì)講到的互聯(lián)網(wǎng)密鑰交換協(xié)議版本議版本2(IKEv2)。它支持交互認(rèn)證，會(huì)話密鑰建立使用了多。它支持交互認(rèn)證，會(huì)話密鑰建立使用了多種方法，它在種方法，它在RFC 5106中進(jìn)行定義。中進(jìn)行定義。2. EAP交換交換q無(wú)論在認(rèn)證中使用何種方法，認(rèn)證信息和認(rèn)證協(xié)議信息都會(huì)包無(wú)論在認(rèn)證中使用何種方法，認(rèn)證信息和認(rèn)證協(xié)議信息都會(huì)包含在含在EAP消息中。消息中。qRFC3748定義了定義了EAP消息交換的目標(biāo)是成功的認(rèn)證。在消息交換的目標(biāo)是成功的認(rèn)證。在RFC 3748中，成功的認(rèn)證是指

19、在一次中，成功的認(rèn)證是指在一次EAP消息交換中，根認(rèn)證者消息交換中，根認(rèn)證者根據(jù)認(rèn)證結(jié)果決定是否允許客戶(hù)訪問(wèn)及客戶(hù)端決定是否進(jìn)行訪根據(jù)認(rèn)證結(jié)果決定是否允許客戶(hù)訪問(wèn)及客戶(hù)端決定是否進(jìn)行訪問(wèn)。認(rèn)證者的決定通常包括認(rèn)證和授權(quán)?？蛻?hù)端可能通過(guò)了認(rèn)問(wèn)。認(rèn)證者的決定通常包括認(rèn)證和授權(quán)?？蛻?hù)端可能通過(guò)了認(rèn)證者的認(rèn)證，但訪問(wèn)可能會(huì)因?yàn)椴呗栽虮徽J(rèn)證者拒絕。證者的認(rèn)證，但訪問(wèn)可能會(huì)因?yàn)椴呗栽虮徽J(rèn)證者拒絕。下圖展示了一個(gè)典型的EAP使用。下面將介紹它的組件：qEAP請(qǐng)求者請(qǐng)求者(EAP peer)：嘗試訪問(wèn)網(wǎng)絡(luò)的客戶(hù)計(jì)算機(jī)。嘗試訪問(wèn)網(wǎng)絡(luò)的客戶(hù)計(jì)算機(jī)。qEAP認(rèn)證者認(rèn)證者(EAP authenticator)：一

20、個(gè)接入點(diǎn)或一個(gè)接入點(diǎn)或NAS。他們。他們要求提前進(jìn)行認(rèn)證，以便接入到網(wǎng)絡(luò)。要求提前進(jìn)行認(rèn)證，以便接入到網(wǎng)絡(luò)。q認(rèn)證服務(wù)器認(rèn)證服務(wù)器(Authenticator server)：它是一個(gè)服務(wù)器計(jì)算機(jī)，它是一個(gè)服務(wù)器計(jì)算機(jī)，它利用它利用EAP方法和方法和EAP客戶(hù)端進(jìn)行交互，認(rèn)證客戶(hù)端的信息，客戶(hù)端進(jìn)行交互，認(rèn)證客戶(hù)端的信息，授權(quán)其訪問(wèn)網(wǎng)絡(luò)。典型地，授權(quán)服務(wù)器是一個(gè)提供遠(yuǎn)端用戶(hù)接授權(quán)其訪問(wèn)網(wǎng)絡(luò)。典型地，授權(quán)服務(wù)器是一個(gè)提供遠(yuǎn)端用戶(hù)接入認(rèn)證服務(wù)入認(rèn)證服務(wù)(RADIUS)的服務(wù)器。的服務(wù)器。q認(rèn)證服務(wù)器作為后臺(tái)服務(wù)器可以為許多認(rèn)證服務(wù)器作為后臺(tái)服務(wù)器可以為許多EAP認(rèn)證者提供認(rèn)證客認(rèn)證者提供認(rèn)證客戶(hù)的

21、服務(wù)。戶(hù)的服務(wù)。EAP認(rèn)證者進(jìn)一步?jīng)Q定是否給客戶(hù)端提供接入，這認(rèn)證者進(jìn)一步?jīng)Q定是否給客戶(hù)端提供接入，這也被稱(chēng)為也被稱(chēng)為EAP轉(zhuǎn)移模式。有時(shí)認(rèn)證者可能會(huì)代替轉(zhuǎn)移模式。有時(shí)認(rèn)證者可能會(huì)代替EAP服務(wù)器，服務(wù)器，如此在如此在EAP執(zhí)行過(guò)程中就只包含兩部分。執(zhí)行過(guò)程中就只包含兩部分。q第一第一步，通常使用一個(gè)底層協(xié)議步，通常使用一個(gè)底層協(xié)議(如如PPP協(xié)議或協(xié)議或IEEE 802.1X)來(lái)連接來(lái)連接EAP認(rèn)證者。認(rèn)證者。EAP客戶(hù)端在這層操作的軟件實(shí)體被稱(chēng)為客戶(hù)端在這層操作的軟件實(shí)體被稱(chēng)為請(qǐng)求者。請(qǐng)求者。EAP消息對(duì)于每種選定的消息對(duì)于每種選定的EAP方法包含適當(dāng)信息。它方法包含適當(dāng)信息。它會(huì)在會(huì)在E

22、AP客戶(hù)端和認(rèn)證服務(wù)器之間進(jìn)行交換?？蛻?hù)端和認(rèn)證服務(wù)器之間進(jìn)行交換。EAP消息應(yīng)該包含以下幾個(gè)部分：消息應(yīng)該包含以下幾個(gè)部分：q編碼編碼(code)：指明指明EAP包的類(lèi)型，共有包的類(lèi)型，共有4種：種： (1)Request；(2)Response；(3)Success；(4)Failure。q標(biāo)志符標(biāo)志符(Identifier)：用于匹配用于匹配Request消息和消息和Response消消息。息。q長(zhǎng)度長(zhǎng)度(Length)：EAP包的長(zhǎng)度，包含了包的長(zhǎng)度，包含了Code、Identifier、Length和和Data域。域。q數(shù)據(jù)數(shù)據(jù)(Data)：包含涉及認(rèn)證的信息。通常包含涉及認(rèn)證的信息

23、。通常Data域包含域包含Type域域和和Type-Data域，其中域，其中Type域指明了所包含數(shù)據(jù)的類(lèi)型。域指明了所包含數(shù)據(jù)的類(lèi)型。Success和和Failure消息不包含消息不包含Data域。域。qEAP認(rèn)證交換過(guò)程如下所述：在底層交換建立了認(rèn)證交換過(guò)程如下所述：在底層交換建立了EAP所需連接所需連接后，認(rèn)證者向客戶(hù)端發(fā)送一個(gè)對(duì)于其身份的請(qǐng)求，客戶(hù)端會(huì)返后，認(rèn)證者向客戶(hù)端發(fā)送一個(gè)對(duì)于其身份的請(qǐng)求，客戶(hù)端會(huì)返回一個(gè)帶有其身份信息的回應(yīng)。通信過(guò)程會(huì)遵從一系列流程，回一個(gè)帶有其身份信息的回應(yīng)。通信過(guò)程會(huì)遵從一系列流程，為了完成認(rèn)證信息的交換，流程由一系列認(rèn)證者的請(qǐng)求和客戶(hù)為了完成認(rèn)證信息的交

24、換，流程由一系列認(rèn)證者的請(qǐng)求和客戶(hù)端的回應(yīng)組成。請(qǐng)求端的回應(yīng)組成。請(qǐng)求-應(yīng)答交換的次數(shù)取決于驗(yàn)證方式。會(huì)話應(yīng)答交換的次數(shù)取決于驗(yàn)證方式。會(huì)話將在出現(xiàn)以下兩種情況時(shí)終止將在出現(xiàn)以下兩種情況時(shí)終止； (1)認(rèn)證者認(rèn)為該客戶(hù)認(rèn)證者認(rèn)為該客戶(hù)端端不能不能通過(guò)認(rèn)證，發(fā)送通過(guò)認(rèn)證，發(fā)送Failure消息；消息；(2)認(rèn)證者認(rèn)為認(rèn)證成功，發(fā)送認(rèn)證者認(rèn)為認(rèn)證成功，發(fā)送Success消息。消息。q下圖給出了一個(gè)下圖給出了一個(gè)EAP交換的例子。交換的例子。q圖中有圖中有一一個(gè)從客戶(hù)端發(fā)送到認(rèn)證者的消息或信號(hào)，但并沒(méi)有顯個(gè)從客戶(hù)端發(fā)送到認(rèn)證者的消息或信號(hào)，但并沒(méi)有顯示，它使用非示，它使用非EAP協(xié)議，請(qǐng)求一個(gè)協(xié)議，

25、請(qǐng)求一個(gè)EAP交換來(lái)獲得網(wǎng)絡(luò)接入。交換來(lái)獲得網(wǎng)絡(luò)接入。一個(gè)例子就是下一節(jié)討論的一個(gè)例子就是下一節(jié)討論的IEEE 802.1X。認(rèn)證者和客戶(hù)端交。認(rèn)證者和客戶(hù)端交互中首次互中首次Request和和Response消息是關(guān)于身份的，認(rèn)證者請(qǐng)消息是關(guān)于身份的，認(rèn)證者請(qǐng)求客戶(hù)端的身份，客戶(hù)端在應(yīng)答消息中聲明自己的身份。應(yīng)答求客戶(hù)端的身份，客戶(hù)端在應(yīng)答消息中聲明自己的身份。應(yīng)答通過(guò)認(rèn)證者傳遞到認(rèn)證服務(wù)器。其余的通過(guò)認(rèn)證者傳遞到認(rèn)證服務(wù)器。其余的EAP交換在客戶(hù)端和認(rèn)交換在客戶(hù)端和認(rèn)證服務(wù)器之間進(jìn)行。證服務(wù)器之間進(jìn)行。q在收到身份在收到身份Response消息消息后，服務(wù)器選擇一種后，服務(wù)器選擇一種EAP

26、方法，并方法，并發(fā)送第一個(gè)發(fā)送第一個(gè)EAP消息，這個(gè)消息的消息，這個(gè)消息的Type域與這種域與這種EAP方法相方法相關(guān)聯(lián)。如果客戶(hù)端支持這種關(guān)聯(lián)。如果客戶(hù)端支持這種EAP方法，就會(huì)回應(yīng)一個(gè)這種方法方法，就會(huì)回應(yīng)一個(gè)這種方法的應(yīng)答消息。如果不支持，客戶(hù)端發(fā)送一個(gè)的應(yīng)答消息。如果不支持，客戶(hù)端發(fā)送一個(gè)NAK，服務(wù)器或者，服務(wù)器或者選擇另一種選擇另一種EAP方法或者發(fā)送方法或者發(fā)送Failure消息結(jié)束這次連接。選消息結(jié)束這次連接。選擇的擇的EAP方法決定了請(qǐng)求方法決定了請(qǐng)求-應(yīng)答交換的次數(shù)。在交換中進(jìn)行了應(yīng)答交換的次數(shù)。在交換中進(jìn)行了包括密鑰材料等適當(dāng)認(rèn)證信息的交換。當(dāng)服務(wù)器認(rèn)證認(rèn)證成功包括密鑰材

27、料等適當(dāng)認(rèn)證信息的交換。當(dāng)服務(wù)器認(rèn)證認(rèn)證成功或認(rèn)證失敗時(shí)，交換結(jié)束?；蛘J(rèn)證失敗時(shí)，交換結(jié)束。qIEEE 802.1X基于端口的網(wǎng)絡(luò)訪問(wèn)控制是為基于端口的網(wǎng)絡(luò)訪問(wèn)控制是為L(zhǎng)AN提供訪問(wèn)控制提供訪問(wèn)控制設(shè)計(jì)的。表設(shè)計(jì)的。表16.1簡(jiǎn)要定義了在簡(jiǎn)要定義了在IEEE 802.1X表中使用的關(guān)鍵表中使用的關(guān)鍵詞。詞。Supplicant，network access point，authentication分別對(duì)應(yīng)分別對(duì)應(yīng)EAP中的中的peer，authenticator，authentication sever。q直到直到AS(使用一個(gè)認(rèn)證協(xié)議使用一個(gè)認(rèn)證協(xié)議)認(rèn)證一個(gè)請(qǐng)求者，認(rèn)證者只是在認(rèn)證一個(gè)請(qǐng)求

28、者，認(rèn)證者只是在AS和請(qǐng)求者之間傳遞控制和認(rèn)證消息。此時(shí)和請(qǐng)求者之間傳遞控制和認(rèn)證消息。此時(shí)802.1X控制信道控制信道是通暢的，是通暢的，802.11數(shù)據(jù)信道是擁擠的。一旦請(qǐng)求者認(rèn)證被通數(shù)據(jù)信道是擁擠的。一旦請(qǐng)求者認(rèn)證被通過(guò)，并被分配了密鑰，認(rèn)證者就能轉(zhuǎn)發(fā)請(qǐng)求者的數(shù)據(jù)，但是其過(guò)，并被分配了密鑰，認(rèn)證者就能轉(zhuǎn)發(fā)請(qǐng)求者的數(shù)據(jù)，但是其受限于預(yù)定義的請(qǐng)求者訪問(wèn)權(quán)限。在這種情況下，數(shù)據(jù)受限于預(yù)定義的請(qǐng)求者訪問(wèn)權(quán)限。在這種情況下，數(shù)據(jù)信道信道就就通暢了。通暢了。16.3 IEEE 802.1X基于端口的網(wǎng)絡(luò)訪問(wèn)控制q正如下圖所示：正如下圖所示：802.1X使用了受控端口使用了受控端口和非受控端口的概念。

29、端和非受控端口的概念。端口是認(rèn)證者和相關(guān)物理網(wǎng)口是認(rèn)證者和相關(guān)物理網(wǎng)絡(luò)連接定義的邏輯實(shí)體。絡(luò)連接定義的邏輯實(shí)體。每個(gè)邏輯端口對(duì)應(yīng)這兩種每個(gè)邏輯端口對(duì)應(yīng)這兩種物理端口中的一個(gè)。一個(gè)物理端口中的一個(gè)。一個(gè)非受控端口允許協(xié)議數(shù)據(jù)非受控端口允許協(xié)議數(shù)據(jù)單元單元(PDU)在在AS和請(qǐng)求和請(qǐng)求者之間交換，無(wú)須考慮請(qǐng)者之間交換，無(wú)須考慮請(qǐng)求者的認(rèn)證狀態(tài)。求者的認(rèn)證狀態(tài)。q一個(gè)受控端口只有在請(qǐng)求者的狀態(tài)允許這次交換時(shí)，才允許一個(gè)受控端口只有在請(qǐng)求者的狀態(tài)允許這次交換時(shí)，才允許PDU在網(wǎng)絡(luò)上其他系統(tǒng)和請(qǐng)求者之間進(jìn)行交換。在網(wǎng)絡(luò)上其他系統(tǒng)和請(qǐng)求者之間進(jìn)行交換。q802.1X定義的一個(gè)基本元素稱(chēng)為定義的一個(gè)基本元素稱(chēng)為EAPOL(EAP over LAN)。EAPOL工作在網(wǎng)絡(luò)層，在鏈路層使用工作在網(wǎng)絡(luò)層，在鏈路層使用IEEE802 LAN，比如以，比如以太網(wǎng)或太網(wǎng)或WiFi。EAPOL能使用請(qǐng)求者連接到認(rèn)證者，并支持能使用請(qǐng)求者連接到認(rèn)證者，并支持EAP認(rèn)證數(shù)據(jù)包的交換。認(rèn)證數(shù)據(jù)包的交換。q下下表中展示了最常用的表中展示了最常用的EAPOL數(shù)據(jù)包。數(shù)據(jù)包。幀類(lèi)型幀類(lèi)型定義定義EAPOL-EAPEAPOL-EAP包含一個(gè)被封裝的EAP包EAPOL-StartEAPOL-Start請(qǐng)求者能發(fā)送這個(gè)包，不用等待認(rèn)證者的挑戰(zhàn)EAPOL-LogoffEAPOL