RADIUS协议的扩展应用研究(1)(2)
2015-04-19 01:08
导读:图4应用网络拓朴图 (1)如果网络中某一用户受到非法攻击,此用户可能占用过多的网络带宽,从而导致整个网络流量异常,更严重者可能阻塞整个网络带
图4应用网络拓朴图
(1)如果网络中某一用户受到非法攻击,此用户可能占用过多的网络带宽,从而导致整个网络流量异常,更严重者可能阻塞整个网络带宽,导致网络瘫痪。如图4所示,假如PC1机子中毒了,那么他的上行和下行流量可能会出现异常,这就影响PC2使用网络,更有甚者会影响PC3,PC4使用网络。 (2)在RADIUS协议里面没有对上网时限进行控制的属性,如果PC1申请了一账号,那么这个账号将永久有效,而且用户通过认证后,可以不受时间限制的使用网络。在一些特定环境中,这就不实用了。比如在
校园网内,无法对那些通宵上网的学生进行控制,也无法对那些即将毕业的用户设置有效期。 (3)利用802.1x的基于二层的认证方式,本方案采用DHCP服务器分配IP地址,只有当用户PC1认证通过后,才能够分配到IP网络地址,这样提高了网络的安全性,但用户在认证时就不能绑定IP,同时PC2、PC3、PC4都可能使用PC1的账号上网,这就又给这个网络安全带来了隐患。3 RADIUS协议在实际应用中的扩展应用 如上所述,RADIUS协议在实际应用中存在的问题较多,要更好地实现RADIUS服务器对用户的控制管理就必须对其功能进行扩展,下面是具体的解决方法。3.1 限制用户上下行带宽 有效的限制用户使用网络带宽有时候是网络管理者追求网络可控的一个目标。大部分用户使用互联网都是下载的多,上传的少。因此我们可以设置用户的上行和下行带宽来更好的控制认证用户访问网络。在RADIUS标准里面并没有控制上行和下行带宽的属性,为了实现此功能,可以利用RADIUS协议的可扩展性扩展需要的私有属性。具体的限制用户上下行带宽可以这样实现: 扩展Uplink-Bandwidth属性用以限制用户的上行带宽,同时扩展Downlink-Bandwidth属性用以分配用户的下行带宽。这两个属性存储了用户被允许的上行和下行带宽的描述,这些属性的值应设置为整形,长度不超过四个字节,单位一般可以设为kbps或者bps。对于预先没有配置上下行带宽的用户在上网过程中,系统探测到此用户流量出现异常,可以先强制其下线,然后在RADIUS server的用户属性中配置用户的上行和下行带宽。当用户再次发起认共2页: 1 [2] 下一页 论文出处(作者):
(转载自http://zw.NSEAC.com科教作文网) 路由协议认证比较
Java安全机制在移动Agent中的应用
