计算机网络安全
网络安全基础
一、终端接入Internet需要解决的问题
1．终端访问网络资源的基本条件
传输路径 网络 1 路由器 网络 2 服务器
终端 A

建立终端A与路由器之间的传输路径； 终端A完成网络信息配置过程； 路由器路由表中建立对应路由项。
计算机网络安全
网络安全基础
一、终端接入Internet需要解决的问题
计算机网络安全
网络安全基础
二、主体身份标识信息
3．证书和私钥 证书可以证明主体x与公钥PK之间的绑定关 系，如果主体x能够证明自己知道与公钥PK对应 的私钥SK，就能证明自己是主体x。
计算机网络安全
网络安全基础
三、单向鉴别过程
①RB 主体 A ②EK（RB） 主体 B
1．基于共享密钥 主体A只需证明自己知道共享密钥K，即可证 明自己身份。
先定义一种和应用环境无关的、用于传输鉴别协议消息的 载体协议，所有应用环境和鉴别协议都和这种载体协议绑定。
计算机网络安全
网络安全基础
二、 EAP操作过程
1．EAP操作模型
鉴别者 用户 用户 鉴别者
鉴别者负责对用 户身份进行鉴别，用 户只有通过鉴别者的 身份鉴别后才能接入。
鉴别者向用户发 送请求报文，用户向 鉴别者回送响应报文。 请求报文和响应报文 的内容与双方采用的 鉴别机制有关，不同 的鉴别机制有着不同 的请求/响应过程， 有的鉴别机制可能需 要经过多次请求/响 应过程才能完成用户 身份鉴别。
③DSKB（RA）
3．基于证书和私钥 用户A和用户B与各自公钥之间的绑定得到权 威机构证明，且用户A和用户B能够证明自己知道 公钥对应的私钥。
计算机网络安全
网络安全基础
五、第三方鉴别过程
1．引出第三方鉴别的原因 无需鉴别者拥有用于证明公钥与示证者之间 绑定关系的证书。由权威机构提供与示证者绑定 的公钥。且公钥与示证者之间的绑定关系由权威 机构予以证明。
点对点语音信道 63636767 终端 A Modem 接入控制设备

PSTN
16300
Interne t
拨号接入过程

建立点对点语音信道
PPP帧就是适合点对点语音信道传输的帧格式
计算机网络安全

点对点语音信道与PPP

网络安全基础
二、 PPP与接入控制过程
2．与接入控制相关的协议
标志 地址 控制 协议 信息 CRC 标志
计算机网络安全
网络安全基础
一、终端接入Internet需要解决的问题
4．终端接入Internet过程

建立终端A与接入控制设备之间的传输路径； 接入控制设备完成身份鉴别过程；
动态配置端A的网络信息；
动态创建终端A对应的路由项。
计算机网络安全
网络安全基础
二、 PPP与接入控制过程
1．PPP作为接入控制协议的原因
③EK（RA）
1．基于共享密钥 每一方不仅需要证明自己知道共享密钥，还 需证明对方知道共享密钥。
计算机网络安全
网络安全基础
四、双向鉴别过程
①RB ②用户 A，RA，MD5（RB‖PASSA） ） ③MD5（RA‖PASSA） ） 注册用户库 用户名 口令 用户 A PASSA 用户 B PASSB …
计算机网络安全
网络安全基础
五、第三方鉴别过程
公钥库 主体名 公钥 主体 A PKA 主体 B PKB … 公钥管 理机构 ①请求‖时间 1 ②DSK（PKB‖请求‖时间 1） ⑤DSK（PKA‖请求‖时间 2） ③EPKB（主体 A‖RA） 主体 A ⑥EPKA（RA‖RB） 主体 B ④请求‖时间 2
标识符字段用来匹配请求和响应报文； 类型
1： 身份 4： CHAP 5： OTP 13：TLS
计算机网络安全
网络安全基础
三、 EAP over PPP
1．PPP封装EAP报文过程
标志 地址 控制 7E 1 FF 1 03 1 2 可变长 2 协议 信息 CRC 标志 7E 1
C227
编码 1
标识符 长度 类型 4 1 2 1
鉴别者 用户 鉴别者提供 的正常服务 受控端口 端口接入实 体（PAE） 非受控 端口 EAPOL LAN RADIUS 鉴别 服务器
EAPOL
一个物理端口被虚化成2个虚端口，一个是受控端口，只有在 成功完成用户身份鉴别后，才能提供正常的输入输出服务。另一个 是非受控端口，用于接收EAP报文和其他广播报文。
根据 CHAP交换鉴 别信息； 鉴别信 息交换过程 通过EAP请求 /响应过程完 成； EAP报 文封装成PPP 帧。
计算机网络安全
网络安全基础
四、802.1X操作过程
1．802.1X操作模型
交换机 水晶头 双绞线缆
PC
用户接入以 太网方式
计算机网络安全
网络安全基础
四、802.1X操作过程
1．802.1X操作模型
（3）IPCP IP控制协议（IPCP）的作用是为终端A动态分配IP地 址等网络信息。
计算机网络安全
网络安全基础
二、 PPP与接入控制过程
3．PPP接入控制过程
接入控制过程由五个阶 段组成，分别是物理链路停 止、PPP链路建立、用户身份 鉴别、网络层协议配置和终 止PPP链路等。
物理链路停止 建立呼叫连接
CHAP 相关数据
CHAP 对应的 EAP 报文
计算机网络安全
网络安全基础
三、 EAP over PPP
2．鉴别过程
鉴别数据库 用户名 用户 A 鉴别机制 口令
EAP-CHAP PASS 接入控制设备 （鉴别者）
用户 A
PPP（EAP 请求（身份） ） PPP（EAP 响应（用户 A） ） PPP（EAP 请求（challenge） ） PPP（EAP 响应（MD5（标识符‖challenge‖口令） ） ） PPP（EAP 成功）
⑦EPKB（RB）
计算机网络安全
网络安全基础
五、第三方鉴别过程
2．鉴别过程 用户A和用户B与公钥之间的绑定关系由 公钥管理机构提供且证明。用户A和用户B只需证 明知道公钥对应的私钥。
计算机网络安全
网络安全基础
5.2 Internet接入控制过程
本讲主要内容

终端接入Internet需要解决的问题； PPP与接入控制过程。
主体 A
身份鉴别
主体 B
单向鉴别
第三方 身份标 识信息 主体 A 身份鉴别 身份标 识信息
双向鉴别
主体 B
第三方鉴别
计算机网络安全
网络安全基础
二、主体身份标识信息
1．密钥 主体拥有某个密钥x，只要主体能够证明自 己知道密钥x，主体的身份就得到证明。 2．用户名和口令 这种标识信息主要用于标识用户，为每一个 授权用户分配用户名和口令，某个用户只要能够 证明自己知道某个授权用户对应的用户名和口令， 就能证明该用户是授权用户。
2．终端接入Internet的先决条件
接入网络 终端 A 接入控 制设备 Internet 服务器
终端接入Internet前，必须证明使用终端的用户 是注册用户；

在确定使用终端的用户是注册用户的前提下，由 接入控制设备完成对终端分配网络信息，建立将终 端的IP地址和终端与接入控制设备之间的传输路径 绑定在一起的路由项的过程。
三、单向鉴别过程
①RB 主体 A ②DSKA（RB） ） 主体 B 证书 主体 A 的公钥 是 PKA CA 签名
3．基于证书和私钥 主体A与公钥PKA之间的绑定已经得到权威结 构证明，主体A只要证明自己知道PKA对应的私钥 SKA，即可证明自己身份。
计算机网络安全
网络安全基础
四、双向鉴别过程
① RB 主体 A ②EK（RA‖RB） 主体 B
计算机网络安全
网络安全基础
一、引出EAP的原因
1．鉴别协议和载体协议 PPP本身并不是一种鉴别协议，而是一种用 于传输鉴别协议鉴别用户身份所需消息的载体协 议，具体的鉴别过程由鉴别协议完成，如PPP支 持的PAP和CHAP。
计算机网络安全
网络安全基础
一、引出EAP的原因
2．应用环境和鉴别协议独立发展引发的问题和解 决思路
计算机网络安全
网络安全基础
三、单向鉴别过程
注册用户库 ①RB 主体 A 主体 B 用户名 口令 用户 A PASSA 用户 B PASSB …
②用户 A，MD5（RB‖PASSA） ）
2．基于用户名和口令 主体A只需证明自己知道某个授权用户对应 的用户名和口令，即可证明自己身份。
计算机网络安全
网络安全基础
7E 1
FF 1
03 1 2 可变长 2
7E 1
（1） PPP帧结构
0021 IP 分组 IP 分组帧 PAP 帧 CHAP 帧 IPCP 帧
C023
PAP PDU
C223 8021
CHAP PDU IPCP PDU
计算机网络安全
网络安全基础
二、 PPP与接入控制过程
2．与接入控制相关的协议
用户名、口令 鉴别成功 终端 A (a)PAP 鉴别过程 接入控 制设备 (b)CHAP 鉴别过程 终端 A 随机数 C MD5(C‖P)，用户名 鉴别成功 接入控 制设备
计算机网络安全
网络安全基础
四、802.1X操作过程
2．EAPOL报文类型和封装格式
6B 6B 2B 类型： 888E 1B 1B 2B 报文体长度 报文体 4B FCS 目的地址 源地址 版本 报文类型 B
版本字段值目前固定为2，报文类型表明封装在MAC帧中的报文 类型，目前定义了5中报文类型。报文体长度和报文体由报文类型 决定。