无感知认证体系的探讨与思考.pdf

无感知认证体系的探讨与思考 北京建筑大学 牟综磊 汇报内容 1 无感知认证模型的分析 2 我校网络及无感知认证情况 3 无感知后的思考 2 无感知认证模型的分析 基于终端 基于用户 •MAC认证 •802.1x •DHCP触发 3 一、无感知认证模型的分析  基于终端的认证（MAC认证） NAS Client发起用户名 AAA获取MAC地址后查 通过该用户名检查相应 和密码都是MAC的认证 询该MAC注册对应的用 的策略实现校验 请求 户名 4 一、无感知认证模型的分析  基于终端的认证（MAC + Portal认证） 5 一、无感知认证模型的分析  基于终端的认证（MAC认证）  优点：适用多种终端，各种PC版本，手持终端，哑终端设备 （打印机等等）  缺点：MAC会被伪造  支持设备：AC ，BRAS  计费模式：联动网关计费，或是BRAS直接区分校内外流量计 费  安全：开放的SSID连接，中等安全，数据可以被侦听，用户密 码保存可以单向加密 6 一、无感知认证模型的分析  基于终端的认证（DHCP无感知认证） DCHP服务器分配地址，将 根据MAC注册的对应关系找 检验用户合法性和对应策略， IP+MAC对应关系提交认证 到对应的用户 网关上线 服务器（或DHCP报文侦听） 7 一、无感知认证模型的分析  基于终端的认证（DHCP无感知认证） 8 一、无感知认证模型的分析  基于终端的认证（DHCP无感知认证）  优点：适用多种终端，各种PC版本，手持终端，哑终端设备（打 印机等等）  缺点：MAC会被伪造，指纹也可能伪造，用户下线如果没有触发 DHCP分配地址或是续约，无法无感知上线  支持设备：DHCP Server （安全：开放的SSID连接，数据可以需 要接口），网关模式，不支持BRAS  计费模式：网关计费  安全：被侦听，用户密码保存可以单向加密 9 一、无感知认证模型的分析  基于用户的认证（802.1X无感知认证） 关联SSID第一次弹出用 认证报文通过EAP模式 检验用户合法性和对应 户名，密码输入框，再 加密传输到AAA服务器 策略，用户上线 次连接自动触发认证 10 一、无感知认证模型的分析  基于用户的认证（802.1X无感知认证） EAP中继认证