本站小編為你精心準(zhǔn)備了網(wǎng)絡(luò)接入認(rèn)證模式參考范文，愿這些范文能點(diǎn)燃您思維的火花，激發(fā)您的寫(xiě)作靈感。歡迎深入閱讀并收藏。

摘要：網(wǎng)絡(luò)接入認(rèn)證是保障網(wǎng)絡(luò)整體安全的先決條件，也是其重要的一環(huán)，目前在實(shí)際生產(chǎn)實(shí)踐活動(dòng)中可以在多個(gè)環(huán)節(jié)用不同的方式來(lái)保證網(wǎng)絡(luò)的安全，現(xiàn)就將在網(wǎng)絡(luò)接入環(huán)節(jié)闡述如何基于802.1X協(xié)議來(lái)把好網(wǎng)絡(luò)安全的入口關(guān)。

關(guān)鍵詞：接入認(rèn)證；分析；實(shí)現(xiàn)

網(wǎng)絡(luò)安全至關(guān)重要，現(xiàn)將介紹使用802.1X實(shí)施端口級(jí)的接入認(rèn)證。802.1X認(rèn)證，又稱(chēng)基于端口的訪問(wèn)控制協(xié)議認(rèn)證，是由IEEE提出的一個(gè)符合802協(xié)議集的局域網(wǎng)接入控制協(xié)議。802.1X最初是為無(wú)線局域網(wǎng)認(rèn)證設(shè)計(jì)的，但對(duì)有線網(wǎng)來(lái)說(shuō)只要接入交換機(jī)支持802.1X協(xié)議也是可行的。

在802.1X協(xié)議中，必須同時(shí)具備客戶(hù)端、接入認(rèn)證交換機(jī)和認(rèn)證服務(wù)器才能夠完成基于端口的訪問(wèn)控制的用戶(hù)認(rèn)證和授權(quán)。認(rèn)證過(guò)程如下：

（1）當(dāng)用戶(hù)有上網(wǎng)需求時(shí)客戶(hù)端將請(qǐng)求認(rèn)證的報(bào)文信息發(fā)給接入認(rèn)證交換機(jī)，開(kāi)始啟動(dòng)一次全新的認(rèn)證過(guò)程。

（2）接入認(rèn)證交換機(jī)收到請(qǐng)求認(rèn)證的報(bào)文信息后，將發(fā)出一個(gè)請(qǐng)求幀要求用戶(hù)的客戶(hù)端程序?qū)⒂脩?hù)名送上來(lái)。

（3）客戶(hù)端程序響應(yīng)交換機(jī)發(fā)出的請(qǐng)求，將用戶(hù)名信息通過(guò)數(shù)據(jù)幀送給接入認(rèn)證交換機(jī)，接入認(rèn)證交換機(jī)將客戶(hù)端發(fā)送過(guò)來(lái)的數(shù)據(jù)幀經(jīng)過(guò)封包處理后傳送給認(rèn)證服務(wù)器進(jìn)行處理。

（4）認(rèn)證服務(wù)器收到接入認(rèn)證交換機(jī)傳送過(guò)來(lái)的用戶(hù)名信息后，將該信息與數(shù)據(jù)庫(kù)中的用戶(hù)名表相比對(duì)，找到該用戶(hù)名對(duì)應(yīng)的口令信息，用隨機(jī)生成的一個(gè)加密字對(duì)它進(jìn)行加密處理，同時(shí)也將此加密字傳送給接入認(rèn)證交換機(jī)，由接入認(rèn)證交換機(jī)傳給客戶(hù)端程序。

（5）客戶(hù)端程序收到由接入認(rèn)證交換機(jī)傳過(guò)來(lái)的加密字后，用該加密字對(duì)口令部分進(jìn)行加密處理，并通過(guò)接入認(rèn)證交換機(jī)傳送給認(rèn)證服務(wù)器，此過(guò)程中的加密算法為不可逆算法，充分地保障了網(wǎng)絡(luò)上敏感信息的安全度。

（6）認(rèn)證服務(wù)器將送過(guò)來(lái)的加密后的口令信息和其自己經(jīng)過(guò)加密運(yùn)算后的口令信息進(jìn)行比對(duì)，如果相同，則認(rèn)為該用戶(hù)為合法用戶(hù)，反饋認(rèn)證通過(guò)的消息，并向交換機(jī)發(fā)出打開(kāi)端口的指令，允許用戶(hù)的數(shù)據(jù)流通過(guò)端口訪問(wèn)網(wǎng)絡(luò)。否則，反饋認(rèn)證失敗的消息，并保持交換機(jī)端口的關(guān)閉狀態(tài)。

基于RADIUS方式的IAS認(rèn)證服務(wù)器+Foundry接入交換機(jī)的模式來(lái)描述整個(gè)認(rèn)證系統(tǒng)的基本設(shè)置過(guò)程。

1IAS的安裝配置過(guò)程

第一步：在DC上安裝IAS服務(wù)。

第二步：定義認(rèn)證客戶(hù)端。在IAS管理界面中，在客戶(hù)端上右擊，選擇創(chuàng)建新的客戶(hù)端為交換機(jī)輸入名稱(chēng)及其IP地址或DNS名稱(chēng)在客戶(hù)端-供應(yīng)商中選擇“RADIUSStandard”，輸入用于識(shí)別交換機(jī)的共享密碼，這個(gè)密碼必須與交換機(jī)中確定RADIUS服務(wù)器的密碼一致，勾選“請(qǐng)求必須包括消息消息驗(yàn)證程序?qū)傩浴薄?/p>

第三步：創(chuàng)建遠(yuǎn)程訪問(wèn)策略實(shí)施訪問(wèn)管理。在IAS管理界面中，右擊“遠(yuǎn)程訪問(wèn)策略”，創(chuàng)建新的遠(yuǎn)程訪問(wèn)策略并選擇連接類(lèi)型雙擊新建的策略，添加“Day-and-Time-Restriction”設(shè)置許可訪問(wèn)的時(shí)段。

第四步：開(kāi)啟遠(yuǎn)程訪問(wèn)記錄。在IAS管理界面中選擇“遠(yuǎn)程訪問(wèn)記錄”，打開(kāi)“本地文件”屬性。

在“設(shè)置”頁(yè)中選擇需要記錄的信息；在“日志文件”頁(yè)卡中，設(shè)置文件格式為IAS格式，選擇創(chuàng)建新日志時(shí)間。第五步：設(shè)置可逆加密格式的密碼來(lái)支持EAP-MD5。在DC上選擇“ActiveDirectory用戶(hù)和計(jì)算機(jī)”，在AD域名上右鍵選擇屬性。

選擇“組策略”頁(yè)，編輯“默認(rèn)域策略”。

在“計(jì)算機(jī)配置/Windows設(shè)置/安全設(shè)置/帳戶(hù)策略/密碼策略”樹(shù)中，啟用“用可還原的加密來(lái)存儲(chǔ)密碼”項(xiàng)。

第六步：為用戶(hù)設(shè)置撥入和可逆加密密碼許可。用戶(hù)帳號(hào)屬性中選擇“撥入”頁(yè)，勾選“允許撥入”項(xiàng)選擇“帳戶(hù)”頁(yè)，勾選“使用可逆的加密保存密碼”選項(xiàng)

2接入認(rèn)證交換機(jī)的配置過(guò)程

接入認(rèn)證交換機(jī)的配置可以使用CLI、Telnet、超級(jí)終端撥入以及瀏覽器訪問(wèn)等多種方法。瀏覽器訪問(wèn)方式最便捷：登陸交換機(jī)的管理界面，在左側(cè)樹(shù)形管理菜單中的安全設(shè)置菜單項(xiàng)中設(shè)定認(rèn)證順序、服務(wù)器地址、端口、共享的密碼、傳輸數(shù)和超時(shí)時(shí)間，并對(duì)各端口信息進(jìn)行逐一設(shè)定。

3客戶(hù)端訪問(wèn)網(wǎng)絡(luò)的驗(yàn)證過(guò)程

基于802.1x的認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間通過(guò)RADIUS協(xié)議傳送認(rèn)證信息，由于EAP協(xié)議的可擴(kuò)展性，基于EAP協(xié)議的認(rèn)證系統(tǒng)可以使用多種不同的認(rèn)證算法，如EAP-MD5，EAP-TLS，EAP-TTLS，PEAP以及LEAP等認(rèn)證方法。

802.1x認(rèn)證協(xié)議已經(jīng)得到了很多軟件廠商的重視，紛紛推出了大量的認(rèn)證客戶(hù)端軟件，微軟也不例外，在WindowsXPSP2中已經(jīng)整合了802.1x客戶(hù)端軟件，無(wú)需再另外安裝客戶(hù)端軟件，只要網(wǎng)絡(luò)連接的屬性中啟用此網(wǎng)絡(luò)的802.1x驗(yàn)證即可。設(shè)置完成的客戶(hù)端再次接入交換機(jī)時(shí)，系統(tǒng)會(huì)提示需要用戶(hù)名和密碼，只有合法用戶(hù)才可以正常訪問(wèn)網(wǎng)絡(luò)資源。

至此為止，完成了整套認(rèn)證系統(tǒng)的分析與設(shè)置，可以使得網(wǎng)絡(luò)的安全性得到了更深層次的保障。