本站原创摘 要:网络基础架构的建设完成,代表着网络“铺路”阶段已经告一段落,接下来的工作,就是如何丰富网络的应用,来让这条宽阔的马路上车水马龙,物尽其用.而正是随着越来越多的、越来越重要的应用的上线,使得网络管理工作越来越艰巨,网络安全问题越来越突出.其中,网络身份的确认问题尤为重要.构建一个安全的身份认证体系刻不容缓.本文通过对802.1X协及基于802.1X协议的身份认证体系相关概念的阐述,结合在某医院的应用实例,探讨该体系对保护医院网络安全起到的重要作用.
关 键 词:802.1X身份认证网络安全RADIUS怎么写作器交换机
中图分类号:TP393.18文献标识码:A文章编号:1007-9416(2013)12-0087-01
1引言
802.1x协议是基于Client/Server的访问控制和认证协议.身份认证是在计算机网络中确认操作者身份的过程.基于802.1x协议的身份认证体系是根据用户ID,对网络客户端进行鉴权,它采用远程认证拨号用户怎么写作方法,并将其划分为三个不同小组:请求方、认证方和认证怎么写作器.利用该体系可以解决目前大多数医院对于局域网内用户匿名入网,用户上网行为无法受到监控,在发生安全事件后无法准确定位到人等网络安全问题.
2基于802.1x协议的身份认证体系
根据用户ID,对网络客户端进行鉴权,采用RADIUS方法,并在体系中分配三个不同角色:请求者、认证者和认证怎么写作器.请求者是处于整个网络链路中末端的实体,例如一台安装了支802.1x身份认证系统的PC机.由连接在该链路中的认证系统对其进行认证,用户通过启动客户端软件发起802.1x认证.认证者通常为支持802.1x协议的网络设备,例如一台支持802.1x协议的接入层交换机.它对请求接入网络的请求者进行认证,并为其提供怎么写作端口,该端口可以是物理端口也可以是逻辑端口.认证怎么写作器是为认证系统提供认证怎么写作的实体,通常使用RADIUS怎么写作器,该怎么写作器可以存储相关用户信息,例如ip地址、mac地址、端口等.将这些信息与认证者系统发来的请求者信息进行比对,从而完成认证和授权的过程.
3医院网络管理面临的安全威胁
在没有完善的身份认证系统的医院网络环境中,管理者需要面对诸多安全威胁.(1)匿名入网.管理者无法确认在网络中运行的计算机是否合法,究竟有没有医院以外的不法人员擅自将计算机接入医院网络也不得为知.(2)用户上网行为无法受到监控.在网内所有计算机可以随意访问怎么写作器的资源,即使能够在怎么写作器端制定出一些策略加以防范,但是随着应用系统的不算增加,往往防不胜防.(3)在发生安全事件后无法准确定位到人,给安全事件的排查带来很大的难度.
4基于802.1X协议的身份认证体系在医院网络管理中的应用实践
某医院采用了基于802.1X协议和Radius协议的身份验证体系,以防范上文所提及的网络安全威胁.该体系通过与网络交换机的联动,实现了对于用户访问网络的身份的控制.同时,采用用户名、、用户IP、用户MAC、认证交换机IP、认证交换机端口号等多达6个元素的灵活绑定,来保障用户的身份正确性及唯一性,根据用户身份的不同,给于用户相应等级的网络访问权限.同时记录用户使用网络情况的日志,便于日后进行追查.
4.1部署方式
将身份认证系统客户端软件部署在网络中的所有计算机中,这些安装了身份认证系统的计算机就成为了该体系中的请求者.它们处于网络的最末端,即在支持802.1X的接入层交换机上进行身份认证,此时接入交换机起到了认证者的作用.同时,在核心交换机上接入认证怎么写作器,以完成用户信息存储、核对、授权的过程.采用强制客户端的方式进行主机完整性检查等安全管理,即无法使用该体系进行身份认证的终端将无法使用网路资源.这种部署模式的好处在于,认证设备处于网络最边缘,能够控制的粒度最细,对用户端的管理权限最强.
4.2用户认证上线过程
当用户请求接入网络时,安装了认证系统客户端的计算机通过RADIUS协议并使用“三次握手”的方式与接入交换机建立连接,进行身份认证的过程.当认证怎么写作器接收到相关用户的信息时,将与已经存储在怎么写作器上的信息进行比对,并将符合该用户权限等级的规则配置打包成EAP报文附加在SNMPset报文中,并将SNMPset报文向交换机下发.交换机截取收到的SNMP报文中的用户配置,通过EAPOL报文发送给认证系统客户端.在完成以上认证过程后,用户即可在允许的范围使用网络资源.
4.3强制用户下线过程
认证怎么写作器将通知用户下线信息打包成EAPfailure报文附加在SNMPset报文中,并将SNMPset报文向交换机下发.交换机截取P中的EAPfailure报文发送给认证系统客户端.客户端接受到信息后将主机下线,并发送EAPlogoff报文给认证怎么写作器.认证怎么写作器通过SNMP报文拆卸和用户相关的访问控制策略.通过强制下线的功能可以有效的阻止正在窃取重要资料的主机,或者正在攻击网络的主机,以最快的速度保护网络安全,避免更严重的损失.
5结语
通过本次研究,不难看出,基于802.1X协议的身份认证体系确实能够为医院的网络安全提供有力的保障.消除网络中匿名接入、无法追查网络使用情况等不安全因素,让不法分子难以遁形.但是网络安全仅仅依靠身份认证系统是远远不够的,而且随着信息技术的发展,目前看似可靠的系统也可能存在安全漏洞,故此我们应该在将未来的工作中继续学习与研究,探讨出更安全的网络管理方案.