基于802.1x認證技術的應用分析

2019-11-05 02:32:10

字體：大中小

來源：轉載

供稿：網友

一、引言

　　802.1x協議起源于802.11協議，后者是IEEE的無線局域網協議，制訂802.1x協議的初衷是為了解決無線局域網用戶的接入認證問題。IEEE802LAN協議定義的局域網并不提供接入認證，只要用戶能接入局域網控制設備(如LANS witch)，就可以訪問局域網中的設備或資源。這在早期企業網有線LAN應用環境下并不存在明顯的安全隱患。

　　隨著移動辦公及駐地網運營等應用的大規模發展，服務提供者需要對用戶的接入進行控制和配置。尤其是WLAN的應用和LAN接入在電信網上大規模開展，有必要對端口加以控制以實現用戶級的接入控制，802.lx就是IEEE為了解決基于端口的接入控制(Port-Based Network access Contro1)而定義的一個標準。

二、802.1x認證體系

　　802.1x是一種基于端口的認證協議，是一種對用戶進行認證的方法和策略。端口可以是一個物理端口，也可以是一個邏輯端口(如VLAN)。對于無線局域網來說，一個端口就是一個信道。802.1x認證的最終目的就是確定一個端口是否可用。對于一個端口，假如認證成功那么就“打開”這個端口，答應所有的報文通過；假如認證不成功就使這個端口保持“關閉”，即只答應802.1x的認證協議報文通過。

　　802.1x的體系結構如圖1所示。它的體系結構中包括三個部分，即請求者系統、認證系統和認證服務器系統三部分：

圖1　802.1x認證的體系結構

　　1.請求者系統

　　請求者是位于局域網鏈路一端的實體，由連接到該鏈路另一端的認證系統對其進行認證。請求者通常是支持802.1x認證的用戶終端設備，用戶通過啟動客戶端軟件發起802.lx認證，后文的認證請求者和客戶端二者表達相同含義。

　　2.認證系統

　　認證系統對連接到鏈路對端的認證請求者進行認證。認證系統通常為支持802.lx協議的網絡設備，它為請求者提供服務端口，該端口可以是物理端口也可以是邏輯端口，一般在用戶接入設備(如LAN Switch和AP)上實現802.1x認證。后文的認證系統、認證點和接入設備三者表達相同含義。

　　3.認證服務器系統

　　認證服務器是為認證系統提供認證服務的實體，建議使用RADIUS服務器來實現認證服務器的認證和授權功能。

　　請求者和認證系統之間運行802.1x定義的EAPO (Extensible Authentication PRotocolover LAN)協議。當認證系統工作于中繼方式時，認證系統與認證服務器之間也運行EAP協議，EAP幀中封裝認證數據，將該協議承載在其它高層次協議中(如RADIUS)，以便穿越復雜的網絡到達認證服務器；當認證系統工作于終結方式時，認證系統終結EAPoL消息，并轉換為其它認證協議(如RADIUS)，傳遞用戶認證信息給認證服務器系統。

　　認證系統每個物理端口內部包含有受控端口和非受控端口。非受控端口始終處于雙向連通狀態，主要用來傳遞EAPoL協議幀，可隨時保證接收認證請求者發出的EAPoL認證報文；受控端口只有在認證通過的狀態下才打開，用于傳遞網絡資源和服務。

三、802.1x認證流程

　　基于802.1x的認證系統在客戶端和認證系統之間使用EAPOL格式封裝EAP協議傳送認證信息，認證系統與認證服務器之間通過RADIUS協議傳送認證信息。由于EAP協議的可擴展性，基于EAP協議的認證系統可以使用多種不同的認證算法，如EAP-md5，EAP-TLS，EAP-SIM，EAP-TTLS以及EAP-AKA等認證方法。

　　以EAP-MD5為例，描述802.1x的認證流程。EAP-MD5是一種單向認證機制，可以完成網絡對用戶的認證，但認證過程不支持加密密鑰的生成?；贓AP-MD5的802.1x認證系統功能實體協議棧如圖2所示?；贓AP-MD5的802.1x認證流程如圖3所示，認證流程包括以下步驟：

圖2　基于EAP-MD5的802.1x認證系統功能實體協議棧

點擊查看大圖

圖3　基于EAP-MD5的802.1x認證流程

　　(1)客戶端向接入設備發送一個EAPoL-Start報文，開始802.1x認證接入；

　　(2)接入設備向客戶端發送EAP-Request/Identity報文，要求客戶端將用戶名送上來；

　　(3)客戶端回應一個EAP-Response/Identity給接入設備的請求，其中包括用戶名；

　　(4)接入設備將EAP-Response/Identity報文封裝到RADIUS Access-Request報文中，發送給認證服務器；

　　(5)認證服務器產生一個Challenge，通過接入設備將RADIUS Access-Challenge報文發送給客戶端，其中包含有EAP-Request/MD5-Challenge；

　　(6)接入設備通過EAP-Request/MD5-Challenge發送給客戶端，要求客戶端進行認證；

　　(7)客戶端收到EAP-Request/MD5-Challenge報文后，將密碼和Challenge做MD5算法后的Challenged-Pass-Word，在EAP-Response/MD5-Challenge回應給接入設備；

　　(8)接入設備將Challenge，Challenged Password和用戶名一起送到RADIUS服務器，由RADIUS服務器進行認證：

　　(9)RADIUS服務器根據用戶信息，做MD5算法，判定用戶是否合法，然后回應認證成功/失敗報文到接入設備。假如成功，攜帶協商參數，以及用戶的相關業務屬性給用戶授權。假如認證失敗，則流程到此結束；

　　(10)假如認證通過，用戶通過標準的DHCP協議(可以是DHCP Relay)，通過接入設備獲取規劃的ip地址；

　　(11)假如認證通過，接入設備發起計費開始請求給RADIUS用戶認證服務器；

　　(12)RADIUS用戶認證服務器回應計費開始請求報文。用戶上線完畢。

四、802.1x認證組網應用

　　按照不同的組網方式，802.1x認證可以采用集中式組網(匯聚層設備集中認證)、分布式組網(接入層設備分布認證)和本地認證組網。不同的組網方式下，802.1x認證系統實現的網絡位置有所不同。

　　1.802.1x集中式組網(匯聚層設備集中認證)

　　802.1x集中式組網方式是將802.1x認證系統端放到網絡位置較高的LAN Switch設備上，這些LAN Switch為匯聚層設備。其下掛的網絡位置較低的LAN Switch只將認證報文透傳給作為802.lx認證系統端的網絡位置較高的LAN Switch設備，集中在該設備上進行802.1x認證處理。這種組網方式的優點在于802.1x采用集中治理方式，降低了治理和維護成本。匯聚層設備集中認證如圖4所示。

圖4　802.1x集中式組網(匯聚層設備集中認證)

　　2.802.1x分布式組網(接入層設備分布認證)

　　802.1x分布式組網是把802.lx認證系統端放在網絡位置較低的多個LAN Switch設備上，這些LAN Switch作為接入層邊緣設備。認證報文送給邊緣設備，進行802.1x認證處理。這種組網方式的優點在于，它采用中/高端設備與低端設備認證相結合的方式，可滿足復雜網絡環境的認證。認證任務分配到眾多的設備上，減輕了中心設備的負荷。接入層設備分布認證如圖5所示。

圖5　802.1x分布式組網(接入層設備分布認證)

　　802.lx分布式組網方式非常適用于受控組播等特性的應用，建議采用分布式組網對受控組播業務進行認證。假如采用集中式組網將受控組播認證設備端放在匯聚設備上，從組播服務器下行的流在到達匯聚設備之后，由于認證系統還下掛接入層設備，將無法區分最終用戶，若打開該受控端口，則匯聚層端口以下的所有用戶都能夠訪問到受控組播消息源。反之，假如采用分布式組網，則從組播服務器來的組播流到達接入層認證系統，可以實現組播成員的精確粒度控制。

　　3.802.1x本地認證組網

　　802.1x的AAA認證可以在本地進行，而不用到遠端認證服務器上去認證。這種本地認證的組網方式在專線用戶或小規模應用環境中非常適用。它的優點在于節約成本，不需要單獨購置昂貴的服務器，但隨著用戶數目的增加，還需要由本地認證向RADIUS認證遷移。

五、結束語

　　802.1x認證系統提供了一種用戶接入認證的手段，它僅關注端口的打開與關閉。對于合法用戶(根據賬號和密碼)接入時，該端口打開，而對于非法用戶接入或沒有用戶接入時，則使端口處于關閉狀態。認證的結果在于端口狀態的改變，而不涉及其它認證技術所考慮的IP地址協商和分配問題，是各種認證技術中最為簡化的實現方案。

　　必須注重到802.1x認證技術的操作顆粒度為端口，合法用戶接入端口之后，端口始終處于打開狀態，此時其它用戶(合法或非法)通過該端口接入時，不需認證即可訪問網絡資源。對于無線局域網接入而言，認證之后建立起來的信道(端口)被獨占，不存在其它用戶非法使用的問題。但假如802.lx認證技術應用于寬帶IP城域網，就存在端口打開之后，其它用戶(合法或非法)可自由接入且難以控制的問題。因此，在提出可運營、可治理要求的寬帶IP城域網中如何使用該認證技術，還需要謹慎分析所適用的場合，并考慮與其它信息綁定組合認證的可能性。

上一篇：用于移動通信設備的MPL物理層技術

下一篇：史上最小口袋型AP 輕松升級無線網絡