以太网技术和接入认证技术的结合要求网络接入控制完成以下
功能:
◆网络的接入控制与网络提供的业务类型无关,即无论是有线接入业务或者是无线接入业务,或者其他形式的公众以太接入业务,都采用一个通用的接入认证解决方案
◆电信级IP接入网络要求对用户进行严格的控制和管理,包括控
制用户对网络的访问、用户身份识别;
◆对于用户来说,只需要面对单一的认证界面,用户可以实现在多种网络接入业务间漫游
◆对于新兴业务的支持也是选择认证技术时要考虑的一个重要因素,认证技术必须保证在现有的认证体系下对新兴业务的支持。
◆对于运营商而言,通用的认证解决方案可以简化远程接入VPN的安全管理,将用户认证的范畴延伸到LAN范围内。
◆适应电信级1P宽带网接入控制需求的认证技术将简化运营商网络认证的体系结构,降低运营商用于培训和维护的费用,减少运营成本。
按照Internet网络分层模型,在协议每一层都可以针对用户或者设备进行网络接入的认证、鉴权。无论从对现有设备的改动、多协议的支持、网络安全还是网络控制能力来看,链路层认证的优势突出,快速、简单和成本低廉也是它的优势。多数的链路层协议像PP和IE802都可以支持基于链路层的认证技术。客户在认证之前不需要进行服务器的定位,不需要获得IP地址。网络接入设备只需要有限的层功能,可以轻易实现和AA的结合,从而提供丰富、灵活的认证方式和计费手段。在多协议网络环境中,基于链路层的认证可以实现对上层应用的完全透明,也就是说可以实现和新的网络层协议(比如IPv6)的兼容。链路层认证处理减小了认证包处理的延时,保证了关键性应用的服务质量在IEEE8O2LAN所定义的局域网环境中,只要存在物理的连接口,未经授权的网络设备就可以接入局域网,或者是未经授权的用户可以通过连接到局域网的设备进入网络。所以在校园网管理中,经常发生IP盗用、IP地址冲突、账号盗用、使用代理、用户欠费、非法设备接入等情况。
采用传统的IP与MAC绑定或IP与端口绑定的方式虽然可以在一定程度上解决此类问题,但随着用户数的急剧增加和对业务多样性要求的提高,网络的安全性问题日益突出。由于传统认证方式对校园网中用户数据包烦琐的处理造成了网络传输瓶颈,而通过增加其他网络设备来解决传输瓶颈势必造成网络成本的提升,因此无法满足用户对网络安全性、高效性和低成本的要求,给校园网管理带来极大的难度。采用802.1X认证计费系统后,可以对接入用户进行账号与IP、MAC、端口等多元素绑定,对学生用户进行多元素复合绑定,以唯一确定用户。网络中的非法用户由于无法通过认证,支持802.1X的交換机的端口在物理上将把此用户隔离在网各之。用计帶管看可以有效地自动探测并屏蔽各种形式的代理服务器,包括单网卡代理,双网卡代理,终端服务代理或者HTP、Socket等各种代理形式,避免个账号多人同时使用,减少安全隐患。
由于网站建设认证系统采用了受控端口和不受控端口。认证报文与业务报文互不干扰,因此认证计费效率高,对用户的认证和计费不会对网络性能造成瓶颈;用户不会因认证而降低网络访问效率:用户不启动客户端,其上连端口是禁止状态,与外界的网络是隔离状态,避兔了原有网络实时在线,经常被扫描的情况。日志服务器记录有用户完整的访问记录,包括源IP、目的IP、源端口、目的端口、源MAC、目的MAC、访问开始时间、访问结束时间、发送流量、接受流量等,通过日志管理查询系统,可以对日志进行管理和查询。
>>> 查看《认证管理的基本功能》更多相关资讯 <<<
本文地址:http://tcgq.cn/news/html/3666.html