【摘要】：隨著計算機(jī)網(wǎng)絡(luò)的高速發(fā)展,網(wǎng)絡(luò)安全成為人們關(guān)注的焦點(diǎn)。802.1X協(xié)議作為以太網(wǎng)主要的接入認(rèn)證協(xié)議,是保證網(wǎng)絡(luò)邊界完整性的起到重要作用,其協(xié)議本身較高的安全機(jī)制受到涉密程度較高的企事業(yè)單位的青睞。802.1X協(xié)議是一種基于端口接入控制技術(shù),在以太網(wǎng)中廣泛應(yīng)用,主要用于解決接入設(shè)備認(rèn)證方面的問題,提供了網(wǎng)絡(luò)邊界完整性保護(hù),但基于802.1X接入控制解決方案在實際應(yīng)用中存在啞終端MAC地址仿冒等安全問題,破壞了網(wǎng)絡(luò)邊界的完整性,導(dǎo)致非法設(shè)備接入竊取企業(yè)內(nèi)部敏感數(shù)據(jù),因此,如何設(shè)計一套基于802.1X協(xié)議接入控制安全解決方案,規(guī)避安全風(fēng)險的需求十分迫切。本文分析了當(dāng)前基于802.1X協(xié)議接入控制系統(tǒng)解決方案的不足,并提出解決思路,并利用DHCP協(xié)議的Option功能和TCP協(xié)議整合到基于802.1X接入控制解決方案,并考慮之間的關(guān)聯(lián)性,設(shè)計出高安全的總體解決方案和總體認(rèn)證流程,根據(jù)流程設(shè)計,提出了基于802.1X協(xié)議接入控制安全解決方案的軟件總體架構(gòu),并對關(guān)鍵模塊加以實現(xiàn)。本部設(shè)計和實現(xiàn)工作包括如下內(nèi)容:1)通過在ISC-DHCP協(xié)議基礎(chǔ)上,增加DHCP Option拓展功能與指紋庫功能,并設(shè)置隔離IP功能,設(shè)計實現(xiàn)了基于接入設(shè)備指紋的DHCP指紋模塊,通過對DHCP Option檢查功能并與指紋庫對比,實現(xiàn)對啞終端的MAC仿冒進(jìn)行嚴(yán)格控制,通過使用分發(fā)隔離IP功能防止使用同一個HUB設(shè)備的接入終端的互相訪問,防止敏感信息泄漏風(fēng)險。2)設(shè)計并實現(xiàn)了基于網(wǎng)絡(luò)指紋的TCP指紋模塊并采用半次握手的設(shè)計理念,高效地對采集各個入網(wǎng)終端的TCP指紋,進(jìn)行周期性地對在線終端進(jìn)行指紋快照與當(dāng)前TCP指紋狀態(tài)進(jìn)行比對,規(guī)避了接入設(shè)備在入網(wǎng)后進(jìn)行篡改風(fēng)險。3)設(shè)計并實現(xiàn)了多認(rèn)證中心的RADIUS模塊,為設(shè)備接入提供了PORTAL認(rèn)證、MAB認(rèn)證和802.1X認(rèn)證等集中認(rèn)證功能。本課題設(shè)計實現(xiàn)的“基于802.1X協(xié)議接入控制安全解決方案”從功能上都達(dá)到了設(shè)計要求,增強(qiáng)了基于802.1X協(xié)議接入控制的安全解決方案,解決了啞終端MAC地址仿冒等新的安全問題。
【圖文】：

12圖 2-2 EAP 協(xié)議認(rèn)證過程抓包分析2.2 RADUIS 協(xié)議研究2.2.1 概述RADIUS（遠(yuǎn)程認(rèn)證撥號用戶服務(wù)） 23 是一種 C/S 協(xié)議，主要用于交換和認(rèn)證服務(wù)器之間。該協(xié)議用于識別用戶的名稱和密碼，如果用戶認(rèn)證成功，他們將能夠使用授權(quán)的資源，并為他們支付上網(wǎng)費(fèi)根據(jù)使用記錄保存。也就是說，這個協(xié)議包括 3 種功能認(rèn)證、授權(quán)和計費(fèi) AAA。數(shù)據(jù)包的格式包括代碼、標(biāo)識、長度、認(rèn)證和屬性，其大小分別為 1byte，1byte，2bytes，16 字節(jié)變量。2.2.2 協(xié)議體系結(jié)構(gòu)在 UDP 數(shù)據(jù)字段（4）中封裝了一個 RADIUS 包，其中 UDP 目的端口字段表示 1812（十進(jìn)制）。當(dāng)回復(fù)的產(chǎn)生，源和目的端口是相反的。這份備忘錄記錄了 RADIUS 協(xié)議。半徑早部署是使用 UDP 端口號 1645，這與“datametrics”

圖 2-3 RADIUS 的數(shù)據(jù)格式圖1) Code該代碼是一個字節(jié)，，并確定數(shù)據(jù)包的類型。當(dāng)收到一個包無效的代碼字段被丟棄。RADIUS Codes 分配認(rèn)證報文主要如下： Access-Request：RADIUS 客戶端發(fā)送認(rèn)證請求報文到 RADIUS 服務(wù)器主要是攜帶用戶的認(rèn)證信息，RADIUS 服務(wù)器根據(jù)認(rèn)證信息是否合法； Access-Accept：如果認(rèn)證通過，則 RADIUS 服務(wù)器向 RADIUS 客戶端發(fā)送 Access-Accept 報文。RADIUS 客戶端收到后，被賦予相應(yīng)的權(quán)限 Access-Reject：如果認(rèn)證不通過，則 RADIUS 服務(wù)器向 RADIUS 客戶端發(fā)送返回 Access-Reject 報文，用戶認(rèn)證失�。� Access-Challenge：認(rèn)證挑戰(zhàn)報文。在 EAP 協(xié)議認(rèn)證時，RADIUS 服務(wù)器接收到 RADIUS 客戶端的 Access-Request 報文中攜帶的用戶名信息后，隨機(jī)生成一個 MD5 挑戰(zhàn)字，通過 Access-Challenge 報文發(fā)送給客戶端。客戶端使用該挑戰(zhàn)字對用戶密碼進(jìn)行加密處理后，通過
【學(xué)位授予單位】：中國科學(xué)院大學(xué)(中國科學(xué)院工程管理與信息技術(shù)學(xué)院)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2017
【分類號】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 關(guān)焯榮;;統(tǒng)一接入控制技術(shù)在江門供電局的應(yīng)用[J];電力信息化;2009年10期

2 邵鵬飛;楊焦峗;;“接口+編號”接入控制策略實現(xiàn)研究[J];科技信息(科學(xué)教研);2007年35期

3 龔文斌,甘仲民;無線移動通信系統(tǒng)中的呼叫接入控制[J];通信學(xué)報;2003年08期

4 龔文斌,甘仲民;衛(wèi)星通信系統(tǒng)中的呼叫接入控制[J];電信技術(shù);2002年10期

5 羅云;高勤;;基于用戶群的園區(qū)網(wǎng)網(wǎng)絡(luò)接入控制和認(rèn)證策略[J];信息與電腦(理論版);2011年03期

6 黃嶺;劉巍;;基于用戶群的園區(qū)網(wǎng)網(wǎng)絡(luò)接入控制和認(rèn)證策略[J];中國教育信息化;2010年21期

7 道道;;弱電工程中網(wǎng)絡(luò)接入控制的方案設(shè)計[J];網(wǎng)絡(luò)與信息;2009年04期

8 桂寧,秦亮杰,薛躍榮;無線蜂窩網(wǎng)絡(luò)呼叫接入控制仿真平臺的設(shè)計與實現(xiàn)[J];計算機(jī)應(yīng)用;2004年12期

9 詹鵬程;;WLAN接入控制機(jī)制的優(yōu)化研究[J];中國信息化;2017年08期

10 ;BRAS面向業(yè)務(wù)接入控制層的發(fā)展[J];世界電信;2004年08期

相關(guān)會議論文 前10條

1 李華亮;;基于SDN的WLAN接入控制[A];中國通信學(xué)會信息通信網(wǎng)絡(luò)技術(shù)委員會2015年年會論文集[C];2015年

2 涂鴻漸;陳前斌;;無線蜂窩網(wǎng)絡(luò)的呼叫接入控制方案綜述[A];第九屆全國青年通信學(xué)術(shù)會議論文集[C];2004年

3 朱燕;何加銘;曾興斌;;WiMAX通信協(xié)議研究[A];浙江省電子學(xué)會2008年學(xué)術(shù)年會論文集[C];2008年

4 譚凌鴻;何選森;;基于博弈的無線ad-hoc網(wǎng)絡(luò)競爭接入方法研究[A];2008'中國信息技術(shù)與應(yīng)用學(xué)術(shù)論壇論文集（二）[C];2008年

5 王蘭芹;劉娜;李輝;;3G系統(tǒng)中呼叫接入控制算法研究[A];中國通信學(xué)會第六屆學(xué)術(shù)年會論文集（中）[C];2009年

6 古挺鋒;彭代淵;;TD-SCDMA系統(tǒng)接入控制算法研究[A];2006中國西部青年通信學(xué)術(shù)會議論文集[C];2006年

7 周春雷;;基于802.1X協(xié)議的網(wǎng)絡(luò)接入控制系統(tǒng)的設(shè)計與實現(xiàn)[A];2009電力行業(yè)信息化年會論文集[C];2009年

8 黃晉;薛W

本文編號：2593142