接入控制只允許授權接入網路的使用者所使用的終端接入網路,相應的協議ppp協議(其中ppp本身是載體協議,口令鑑別協議pap、挑戰握手協議chap,ip控制協議ipcp);802.1x標準/wpa2(其中擴充套件鑑別協議eap)。訪問控制只允許每乙個使用者訪問授權該使用者訪問的網路資源,由kerberos協議實現。接入控制的核心的身份鑑別,訪問控制的核心是身份鑑別和授權。
身份鑑別
身份鑑別定義:驗證主題真實身份與其所聲稱的身份是否符合符合的過程,主體可以是使用者、程序和主機。(身份鑑別過程也實現防重放、防假冒)
身份鑑別分類:單向鑑別,雙向鑑別、三方鑑別。
主體身份標識資訊:秘鑰、使用者名稱和口令、證書和私鑰。
點對點協議(ppp)既是基於點對點通道的鏈路層協議,又是接入控制協議。接入控制裝置完成對終端的接入控制過程中需要與終端交換資訊,由於終端與控制裝置之間的傳輸路徑是點對點語音通道,因此,需要將終端和接入控制裝置之間的相互交換的資訊封裝成適合點對點語音通道傳輸的格式,ppp就很合適。
物理鏈路停止:
物理鏈路停止狀態表明沒有建立終端a與接入控制裝置之間的語音通道,終端a和接入控制裝置在使用者線上檢測不到載波訊號。該狀態既是ppp開始的狀態,也是ppp結束狀態。
ppp鏈路建立:
終端a與接入控制裝置之間的點對點語音通道建立之後,ppp進入ppp鏈路建立階段。該過程是為終端a與接入控制裝置之間完成使用者身份鑑別、ip位址分配進行的引數協商過程。一是協商指定用於鑑別使用者身份的鑑別協議,二是在資料傳輸之前,約定一些引數。
使用者身份鑑別:
使用者身份鑑別協議有pap和chap兩種協議,
pap認證:
終端a以明文的方式(安全隱患)向接入控制裝置傳送啟動終端a接入internet的過程的使用者輸入的使用者名稱和口令。
接入控制裝置接收到使用者名稱和口令之後,檢索註冊使用者庫,如果該使用者名稱和口令與註冊使用者庫中使用者名稱和口令相同,確定啟動終端接入internet的使用者是註冊使用者,並向終端傳送鑑別成功幀。
chap認證:
接入控制裝置為了確定啟動終端a接入internet的過程是註冊使用者,先向終端a傳送乙個隨機數c。
終端a接收到隨機數之後,將隨機數與口令p串接在一起,然後將使用者名稱和md5(c||p)傳送給接入控制裝置。
接入控制裝置根據使用者名稱找到對應口令p』,計算出md5(c||p』),如果接收到的md5(c||p)等於md5(c||p』),表明啟動終端a接入internet的過程的使用者輸入的使用者名稱和口令與註冊使用者庫中某對使用者名稱和口令相同,接入控制裝置向終端a傳送鑑別成功幀。
網路層協議配置:
ip控制協議(ipcp)的作用是為終端a動態分配ip位址等網路資訊。接入控制裝置為終端a分配乙個全球ip位址,並且在路由表中增添一項路由項,將該ip位址和終端a與接入控制裝置之間的語音通道綁在一起。終端a可以利用該ip位址訪問internet。
該階段如果發生以下情況:一是終端a和接入控制裝置無法通過使用者線檢測到載波訊號,二是為終端a分配ip位址失敗。 ppp進入終止ppp鏈路階段。
終止ppp鏈路:
該階段,終端a和接入控制裝置釋放建立ppp鏈路是分配的資源,ppp回到物理鏈路階段。
一、引入擴充套件鑑別協議(eap)的原因
身份鑑別過程需要在示證者和鑑別者之間傳輸鑑別協議pdu,鑑別協議需要封裝成適合互連示證者和鑑別者的網路傳輸的鏈路層幀格式。為了避免建立多種應用環境和多種鑑別協議兩兩之間的繫結關係,將多種鑑別協議對應的pdu統一封裝成擴充套件鑑別協議(eap)報文,然後將eap報文封裝成不同型別傳輸網路對應的鏈路層幀格式。
二、802.1x實現接入控制過程:
802.1x是一種實現使用者身份鑑別(通過eap),並開通連線有乙太網接入許可權的使用者終端的埠的接入控制協議。它的目的在於通過身份鑑別過程確定連線使用者終端的埠是否開通,開通該埠,表示乙太網交換機可以**從該埠輸入輸出的資料幀。
eap實現身份鑑別:
802.1x操作過程:
乙個物理埠被虛化成兩個埠,乙個是受控埠,另乙個是非受控埠,用於接收eap報文和其他廣播報文。
受控埠只有在完成使用者身份鑑別之後,才能從非授權狀態轉變為授權埠,提供正常的輸入輸出服務,使用者通過離線或者退出操作將受控埠從授權狀態變為非授權狀態。
非受控埠一直允許接受eap報文或者廣播幀,並將接收到的eap報文提交給埠接入實體(pae),有pae根絕鑑別者的功能配置,或者直接進行鑑別操作或者**eap報文。在完成對接入埠身份鑑別之後,該埠才能正常輸入輸出資料幀。
訪問控制:一種對使用者訪問伺服器資源過程實施控制的安全機制,其核心是身份鑑別和授權。
kerberos的由來:分布式應用環境下,同一使用者可能具有多個應用伺服器的訪問授權,同乙個應用伺服器也有多個授權訪問的使用者,同一使用者一次事務中可能需要訪問多個授權訪問的應用伺服器,kerberos用於實現這一情況下的訪問控制。
基於kerberos的訪問控制,使用者的身份鑑別和使用者訪問許可權鑑別是分開的。鑑別伺服器只負責對使用者的身份進行鑑別,要判斷使用者是否有權訪問指定應用伺服器由票據授權伺服器tgs完成。
用鑑別伺服器實現使用者身份鑑別:
使用者c向鑑別伺服器as傳送包含使用者名稱(id)c、票據授權伺服器名(id)tgs和這一次份鑑別有效時間times的身份鑑別請求。
鑑別伺服器as通過檢索授權使用者列表1找到使用者名稱(id)c及對應的口令(pw)c,只要確認使用者c知道口令,就能確定使用者c的使用者名為(id)c。as通過推導出使用者c與as之間的共享秘鑰(k)c,同樣客戶端通過使用者c輸入的口令推導出共享秘鑰(k)c。然後向使用者c傳送票據(ticket)tgs:1.該票據由鑑別伺服器簽發,用於向票據授權伺服器證明使用者c的身份,2.該票據由使用者c擁有。
獲取訪問應用伺服器票據:
網路安全課 11 訪問控制
開放某一層所提供的服務用以保證系統或資料傳輸足夠的安全性 根據iso7498 2,安全服務包括 1.實體認證 entity authentication 2.資料保密性 data confidentiality 3.資料完整性 data integrity 4.防抵賴 non repudiation...
工業控制網路安全
在資訊化和工業化深度結合,即兩化融合的趨勢下,智慧型製造也應運而生,例如現在的電廠都推行智慧型電廠。在工業生產環境利用感測裝置獲取各環節 各裝置的資訊,利用計算機自動化採集用於搭建管控平台,亦或是利用龐大的資料進行建模,分析工業生產環境所存在的問題 系統所存在的脆弱性等,這樣的做法在工控行業越來越常...
安全和訪問控制
ldap提供很複雜的不同層次的訪問控制或者aci。因這些訪問可以在伺服器端控制,這比用客戶端的軟體保證資料的安全可安全多了。可以完成 給予使用者改變他們自己的 號碼和家庭位址的權 限,但是限制他們對其它資料 如,職務名稱,經理的登入名,等等 只有 唯讀 權 限。禁止任何人查詢ldap伺服器上的使用者...