基于802.1x的企业网络终端准入系统研究及设计
发布时间:2021-03-31 05:22
近年来,与网络信息系统相关的安全事件持续增多,病毒、木马等程序的恶意入侵和攻击不断对企业网络系统造成威胁。很多企业在网络和信息系统规模逐渐扩大的同时,面临着缺乏对接入企业内部网络终端有效管控和因终端操作系统、安全配置不合规而导致的企业整体网络安全风险增加的问题。如何按照企业制定的统一规则进行用户终端的入网安全管控,并实现接入终端自主进行安全合规配置,已经成为这些企业在网络安全建设和升级中都必须面对的一个重要问题。本文的主要工作如下:(1)分析了企业办公网络存在的终端接入安全问题及需求,研究了RADIUS认证协议、802.1x认证、802.1x准入控制等常用技术。(2)研究了企业办公网络准入控制实现流程以及建立网络准入控制系统的方法,设计了基于网络准入和应用准入安全分层防护的企业办公网络终端准入控制系统,实现了企业网络终端接入管控策略、技术与管理的结合。(3)给出了基于802.1x的准入控制系统整体流程及系统架构,设计和实现了身份认证、终端安全项合规检查、阻断与隔离、重定向与修复等功能模块。(4)结合河南某航空运输企业办公网络环境,测试了所设计的准入控制系统整体流程及核心功能。测试结果表...
【文章来源】:郑州大学河南省 211工程院校
【文章页数】:75 页
【学位级别】:硕士
【部分图文】:
终端安全接入问题受到企业关注度
2企业内网安全与终端准入控制技术62企业内网安全与终端准入控制技术2.1企业TCP/IP分层的网络安全防护随着企业信息化程度的不断提高和网络规模的日益增长,企业在日常的生产经营的过程中无法避免地遭遇由网络黑客和不法人员所发起的网络入侵和网络攻击,而这些网络入侵和攻击大多是针对当下TCP/IP协议层所存在的安全缺陷和安全漏洞而进行的,所以一般企业在进行安全防护部署时会针对性地对TCP/IP各层进行相应的安全防护[8]。在图2.1中可以看出一般企业链路层安全、网络/IP层安全、应用层安全分层的网络安全模型。图2.1TCP/IP分层的网络安全模型在这些不同的TCP/IP层次上,企业可以相应地在认证、访问控制、数据完整性、保密性、抗抵赖、审计、可用性等层面进行一一对应的网络安全防护[9],如图2.2所示。
2企业内网安全与终端准入控制技术7图2.2TCP/IP不同层次的安全技术在对企业办公网络实施终端准入控制时,应该考虑到企业网络终端安全防护方面存在的不足,结合TCP/IP分层防护的理念,在不同的网络层次进行分析与设计。2.2802.1x相关准入控制技术2.2.1RADIUS认证协议远程用户拨号认证服务(RemoteAuthenticationDailInUserService,RADIUS)是一种具有典型C/S结构且应用广泛的认证、授权、记账(AAA)协议。一开始网络接入服务器(NetAccessServer,NAS)被指定为RADIUS认证系统中的客户端,现今RADIUS协议在市场上各类信息产品的网络接入认证模块中被频繁使用,目前来说只要安装了RADIUS软件就可以被称之为RADIUS客户端,比如任意一台支持RADIUS的电脑或网络设备。RADIUS协议提供了不同的认证方式供使用者选择,相对来讲其认证的机制灵活、可扩展[10]。在RADIUS协议的认证过程中,NAS会封装试图入网的终端用户所发送的账户口令信息,并将该信息转发给特定的RADIUS服务器,此时如果选用挑战握手认证协议(CHAP)的认证方式,则参与认证的客户端和RADIUS服务器双方需要按照相同的算法对密码进行加密并共享密钥,如MD5算法加密。已经共享了密钥的RADIUS服务器便能够利用共享密钥验证终端用户所发送的账户
本文编号:3110872
【文章来源】:郑州大学河南省 211工程院校
【文章页数】:75 页
【学位级别】:硕士
【部分图文】:
终端安全接入问题受到企业关注度
2企业内网安全与终端准入控制技术62企业内网安全与终端准入控制技术2.1企业TCP/IP分层的网络安全防护随着企业信息化程度的不断提高和网络规模的日益增长,企业在日常的生产经营的过程中无法避免地遭遇由网络黑客和不法人员所发起的网络入侵和网络攻击,而这些网络入侵和攻击大多是针对当下TCP/IP协议层所存在的安全缺陷和安全漏洞而进行的,所以一般企业在进行安全防护部署时会针对性地对TCP/IP各层进行相应的安全防护[8]。在图2.1中可以看出一般企业链路层安全、网络/IP层安全、应用层安全分层的网络安全模型。图2.1TCP/IP分层的网络安全模型在这些不同的TCP/IP层次上,企业可以相应地在认证、访问控制、数据完整性、保密性、抗抵赖、审计、可用性等层面进行一一对应的网络安全防护[9],如图2.2所示。
2企业内网安全与终端准入控制技术7图2.2TCP/IP不同层次的安全技术在对企业办公网络实施终端准入控制时,应该考虑到企业网络终端安全防护方面存在的不足,结合TCP/IP分层防护的理念,在不同的网络层次进行分析与设计。2.2802.1x相关准入控制技术2.2.1RADIUS认证协议远程用户拨号认证服务(RemoteAuthenticationDailInUserService,RADIUS)是一种具有典型C/S结构且应用广泛的认证、授权、记账(AAA)协议。一开始网络接入服务器(NetAccessServer,NAS)被指定为RADIUS认证系统中的客户端,现今RADIUS协议在市场上各类信息产品的网络接入认证模块中被频繁使用,目前来说只要安装了RADIUS软件就可以被称之为RADIUS客户端,比如任意一台支持RADIUS的电脑或网络设备。RADIUS协议提供了不同的认证方式供使用者选择,相对来讲其认证的机制灵活、可扩展[10]。在RADIUS协议的认证过程中,NAS会封装试图入网的终端用户所发送的账户口令信息,并将该信息转发给特定的RADIUS服务器,此时如果选用挑战握手认证协议(CHAP)的认证方式,则参与认证的客户端和RADIUS服务器双方需要按照相同的算法对密码进行加密并共享密钥,如MD5算法加密。已经共享了密钥的RADIUS服务器便能够利用共享密钥验证终端用户所发送的账户
本文编号:3110872
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3110872.html
