关于局域网的身份认证技术有哪些可行方案？

关于局域网的身份认证技术有哪些可行方案？~

IEEE802LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制 设备 (如LANS witch)就可以访问局域网中的设备或资源。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。但是随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行控制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必 要对端口加以控制以实现用户级的接入控制，802.lx就是IEEE为了解决基于端口的接入控制 (Port-Based Network Access Contro1) 而定义的一个标准。
基本原理 IEEE 802.1X是根据用户ID或设备，对网络客户端(或端口)进行鉴权的标准。该流程被称为“端口级别的鉴权”。它采用RADIUS(远程认证拨号用户服务)方法，并将其划分为三个不同小组:请求方、认证方和授权服务器。
802.1X 标准应用于试图连接到端口或其它设备(如Cisco Catalyst交换机或Cisco Aironet系列接入点)(认证方)的终端设备和用户(请求方)。认证和授权都通过鉴权服务器(如Cisco Secure ACS)后端通信实现。IEEE 802.1X提供自动用户身份识别，集中进行鉴权、密钥管理和LAN连接配置。 整个802.1x 的实现设计三个部分，请求者系统、认证系统和认证服务器系统。
请求者系统 请求者是位于局域网链路一端的实体，由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持802.1x认证的用户终端设备，用户通过启动客户端软件发起802.1x认证，后文的认证请求者和客户端二者表达相同含义。
认证系统 认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802. 1x协议的网络设备，它为请求者提供服务端口，该端口可以是物理端口也可以 是逻辑端口，一般在用户接入设备 (如LAN Switch和AP) 上实现802.1x认证。倎文的认证系统、认证点和接入设备三者表达相同含义。
认证服务器系统 认证服务器是为认证系统提供认证服务的实体，建议使用RADIUS服务器来实现认证服务器的认证和授权功能。
请求者和认证系统之间运行802.1x定义的EAPO (Extensible Authentication Protocolover LAN)协议。当认证系统工作于中继方式时，认证系统与认证服务器之间也运行EAP协议，EAP帧中封装认证数据，将该协议承载在其它高层次协议中(如 RADIUS)，以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时，认证系统终结EAPoL消息，并转换为其它认证协议(如 RADIUS)，传递用户认证信息给认证服务器系统。
认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态，主要用来传递EAPoL协议帧，可随时保证接收认证请求者发出的EAPoL认证报文;受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。

认证过程
(1) 客户端向接入设备发送一个EAPoL-Start报文，开始802.1x认证接入;
(2) 接入设备向客户端发送EAP-Request/Identity报文，要求客户端将用户名送上来;
(3) 客户端回应一个EAP-Response/Identity给接入设备的请求，其中包括用户名;
(4) 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中，发送给认证服务器;
(5) 认证服务器产生一个Challenge，通过接入设备将RADIUS Access-Challenge报文发送给客户端，其中包含有EAP-Request/MD5-Challenge;
(6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端，要求客户端进行认证
(7) 客户端收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回应给接入设备
(8) 接入设备将Challenge，Challenged Password和用户名一起送到RADIUS服务器，由RADIUS服务器进行认证
(9)RADIUS服务器根据用户信息，做MD5算法，判断用户是否合法，然后回应认证成功/失败报文到接入设备。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束;
(10) 如果认证通过，用户通过标准的DHCP协议 (可以是DHCP Relay) ，通过接入设备获取规划的IP地址;
(11) 如果认证通过，接入设备发起计费开始请求给RADIUS用户认证服务器;
(12)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕。

第一种方法：
电脑-控制面板-管理工具-安全设置-本地安全策略-安全选项 中“网络访问：本地帐户的共享和安全模式”（默认是来宾）改为“经典”即可。然后连机点击对方的时候，用户那一栏是可以自己填的，可以用对方电脑上的任何已经开启了的用户进行登陆。不过需要注意的一点是在这个安全选项中还有一项那就是“帐户：使用空白密码的本地帐户只允许进行控制台登陆”

第二种方法：用guest访问
先来看一下“Guest”的问题，可以说，启动“Guest”帐户的方法并没有错，但为什么还是不能访问呢？这是因为Windows XP对“Guest”帐户以及“Guest”帐户的访问权限作出的限制导致而成。

限制1：默认状态下，Windows XP中禁用了“Guest”帐户；

限制2：默认状态下，Windows XP的“本地安全策略”中禁止“Guest”帐户从网络访问本机；

限制3：默认状态下，Windows XP的“本地安全策略”启用了“使用空白密码的本地帐户只允许进行控制台登录”，由于“Guest”帐号默认并没有设置密码，从而导致“Guest”用户不能从网络进行登录。

明确了导致问题的原因之后，解决问题就变得容易起来，只要突破以上所述的三种限制，即可以从根本上解决局域网中用户访问验证问题。

对策1：依次点击“开始→控制面板→管理工具”，打开“管理工具”窗口，双击“本地安全策略”项，打开“本地安全策略”设置窗口。点击左侧功能栏中的“本地策略→安全选项”，然后在右侧窗口中找到并双击“帐户：来宾帐户状态”项，在弹出的“帐户：来宾帐户状态 属性”窗口中勾选“已启用”项，点击“应用”按钮确认操作。经过如上操作之后，系统中的“Guest”帐户就已经被启用了。

提示：启用“Guest”帐户也可以按照以下操作设置。打开“控制面板”，双击其中的“用户帐户”项，在弹出的“用户帐户”窗口中点击“Guest”项，在接下来出现的窗口中点击“启用来宾帐户”按钮，启动“Guest”帐户。

对策2：在“本地安全策略”设置窗口的左侧功能栏中点击“本地策略→用户权利指派”，在右侧窗口中找到并双击“拒绝从网络访问这台计算机”项，随即弹出 “拒绝从网络访问这台计算机 属性”窗口，在此窗口列表中单击选择“Guest”项，点击“删除”按钮，解除对“Guest”帐户的网络访问限制。

对策3：在“本地安全策略”设置窗口的左侧功能栏中点击“本地策略→安全选项”，在右侧窗口中找到并双击“帐户：使用空白密码的本地帐户只谲诈进行控制台登录”项，在弹出的“帐户：使用空白密码的本地帐户只谲诈进行控制台登录 属性”窗口中勾选“已禁用”项，然后点击“应用”按钮确认操作。经过如上操作后，没有密码的“Guest”帐户也被赋予了网络登录的权限。

IEEE802LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制 设备 (如LANS witch)就可以访问局域网中的设备或资源。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。但是随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行控制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必 要对端口加以控制以实现用户级的接入控制，802.lx就是IEEE为了解决基于端口的接入控制 (Port-Based Network Access Contro1) 而定义的一个标准。 基本原理 IEEE 802.1X是根据用户ID或设备，对网络客户端(或端口)进行鉴权的标准。该流程被称为“端口级别的鉴权”。它采用RADIUS(远程认证拨号用户服务)方法，并将其划分为三个不同小组:请求方、认证方和授权服务器。 802.1X 标准应用于试图连接到端口或其它设备(如Cisco Catalyst交换机或Cisco Aironet系列接入点)(认证方)的终端设备和用户(请求方)。认证和授权都通过鉴权服务器(如Cisco Secure ACS)后端通信实现。IEEE 802.1X提供自动用户身份识别，集中进行鉴权、密钥管理和LAN连接配置。 整个802.1x 的实现设计三个部分，请求者系统、认证系统和认证服务器系统。 编辑本段具体内容 请求者系统 请求者是位于局域网链路一端的实体，由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持802.1x认证的用户终端设备，用户通过启动客户端软件发起802.1x认证，后文的认证请求者和客户端二者表达相同含义。 认证系统 认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802. 1x协议的网络设备，它为请求者提供服务端口，该端口可以是物理端口也可以 是逻辑端口，一般在用户接入设备 (如LAN Switch和AP) 上实现802.1x认证。倎文的认证系统、认证点和接入设备三者表达相同含义。 认证服务器系统 认证服务器是为认证系统提供认证服务的实体，建议使用RADIUS服务器来实现认证服务器的认证和授权功能。 请求者和认证系统之间运行802.1x定义的EAPO (Extensible Authentication Protocolover LAN)协议。当认证系统工作于中继方式时，认证系统与认证服务器之间也运行EAP协议，EAP帧中封装认证数据，将该协议承载在其它高层次协议中(如 RADIUS)，以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时，认证系统终结EAPoL消息，并转换为其它认证协议(如 RADIUS)，传递用户认证信息给认证服务器系统。 认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态，主要用来传递EAPoL协议帧，可随时保证接收认证请求者发出的EAPoL认证报文;受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。 认证过程 (1) 客户端向接入设备发送一个EAPoL-Start报文，开始802.1x认证接入; (2) 接入设备向客户端发送EAP-Request/Identity报文，要求客户端将用户名送上来; (3) 客户端回应一个EAP-Response/Identity给接入设备的请求，其中包括用户名; (4) 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中，发送给认证服务器; (5) 认证服务器产生一个Challenge，通过接入设备将RADIUS Access-Challenge报文发送给客户端，其中包含有EAP-Request/MD5-Challenge; (6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端，要求客户端进行认证 (7) 客户端收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回应给接入设备 (8) 接入设备将Challenge，Challenged Password和用户名一起送到RADIUS服务器，由RADIUS服务器进行认证 (9)RADIUS服务器根据用户信息，做MD5算法，判断用户是否合法，然后回应认证成功/失败报文到接入设备。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束; (10) 如果认证通过，用户通过标准的DHCP协议 (可以是DHCP Relay) ，通过接入设备获取规划的IP地址; (11) 如果认证通过，接入设备发起计费开始请求给RADIUS用户认证服务器; (12)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕。

---

澄江县13763793520： 关于局域网的身份认证技术有哪些可行方案?？
骑畏迈平： 802.1x

澄江县13763793520： 例举3种网络环境下的身份认证方法(协议)？
骑畏迈平： 一个就是普通的帐号密码方式 一个是帐号固定,随机密码的方式或者口令卡的方式 还有一个就是U盾证实验证的方式

澄江县13763793520： 常用的网络安全技术有哪些 - ？
骑畏迈平： 大型复杂的网络必须有一个全面的网络安全体系. 一、防火墙技术 在网关上安装防火墙,分组过滤和ip伪装,监视网络内外的通信. 二、用户身份验证技术 不同用户分设不同权限,并定期检查. 三、入侵检测技术 四、口令管理 每个用户设置...

澄江县13763793520： 无线局域网的技术与安全论文,? - ？
骑畏迈平： 通常计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网.但有线网络在某些场合要受到布线的限制:布线、改线工程量大;线路容易损坏;网中的各节点不可移动.特别是当要把相离较远的节点联接起来时,架设专用通信线路的布线...

澄江县13763793520： 怎样通过局域网身份认证才能上网 - ？
骑畏迈平： 要用域控制,技术要求比较高.一台电脑安装win2003做域控 另一台安装isa做身份认证.

澄江县13763793520： 身份验证的方法主要有哪些? ？
骑畏迈平： 身份验证的方法有很多,基本上可分为:基于共享密钥的身份验证、基于生物学特征的身份验证和基于公开密钥加密算法的身份验证

澄江县13763793520： 现在好用的网络准入认证系统都有哪些 - ？
骑畏迈平： 网络准入这一概念是由思科发起、后续由华为、联软、北信源等多家厂商根据此概念,基于在NACC、802.1x、EOU、WebAuth、MAB、IAB的基础上进行自主研发的一门新兴技术.其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害,为企业建设一套网络安全体系. 用户身份认证 从接入层对访问的用户进行最小授权控制,根据用户身份严格控制用户对内部网络访问范围,确保企业内网资源安全.

澄江县13763793520： 怎样增强企业内网的用户认证方式? - ？
骑畏迈平： 平时与对外客户来往,外来的笔记本电脑或者一些智能化的终端设备就需要接入企业内网中,这就会给公司带来一定得风险. 我对科盾的网络认证授权子系统印象深刻,认证手段就包括了身份认证、口令认证、U-KEY认证、支持第三方数字签名认证等等方式,外来电脑需要通过合法身份才能接入内网,同时结合权限管控,分配外来设备的使用范围,事后提供全程的日至审计.给内网提供一个非常安全的环境,完全可以避免泄密发生.

澄江县13763793520： 请问关于计算机网络的认证有些什么? - ？
骑畏迈平： IT专业技术认证是进入IT行业的“敲门砖”.由国际著名IT企业颁发的的职业证书,证明了你具有某种专业IT技能,为国际承认并通用.这些国际著名IT企业为:Microsoft、Oracle、Cisco、Sun、Novell等.就拿微软公司来说,它在全球范围内所...

澄江县13763793520： 计算机网络安全维护包含哪些?解决办法? - ？
骑畏迈平： 包括:(1)网络实体安全:如计算机的物理条件、物理环境及设施的安全标准,计算机硬件、附属设备及网络传输线路的安装及配置等.(2)软件安全:如保护网络系统不被非法侵入,系统软件与应用软件不被非法复制、篡改、不受病毒的侵害等...