一、引言
802.1x協議起源于802.11協議��,后者是IEEE的無線局域網協議����,制訂802.1x協議的初衷是為了解決無線局域網用戶的接入認證問題����。IEEE802LAN協議定義的局域網并不提供接入認證,只要用戶能接入局域網控制設備(如LANS witch)���,就可以訪問局域網中的設備或資源���。這在早期企業網有線LAN應用環境下并不存在明顯的安全隱患���。
隨著移動辦公及駐地網運營等應用的大規模發展,服務提供者需要對用戶的接入進行控制和配置��。尤其是WLAN的應用和LAN接入在電信網上大規模開展���,有必要對端口加以控制以實現用戶級的接入控制����,802.lx就是IEEE為了解決基于端口的接入控制(Port-Based Network access Contro1)而定義的一個標準����。
二�����、802.1x認證體系
802.1x是一種基于端口的認證協議�����,是一種對用戶進行認證的方法和策略���。端口可以是一個物理端口���,也可以是一個邏輯端口(如VLAN)�。對于無線局域網來說�,一個端口就是一個信道。802.1x認證的最終目的就是確定一個端口是否可用����。對于一個端口,假如認證成功那么就“打開”這個端口�,答應所有的報文通過;假如認證不成功就使這個端口保持“關閉”����,即只答應802.1x的認證協議報文通過。
802.1x的體系結構如圖1所示���。它的體系結構中包括三個部分���,即請求者系統、認證系統和認證服務器系統三部分:
圖1 802.1x認證的體系結構
1�、請求者系統
請求者是位于局域網鏈路一端的實體,由連接到該鏈路另一端的認證系統對其進行認證�����。請求者通常是支持802.1x認證的用戶終端設備,用戶通過啟動客戶端軟件發起802.lx認證���,后文的認證請求者和客戶端二者表達相同含義���。
2、認證系統
認證系統對連接到鏈路對端的認證請求者進行認證���。認證系統通常為支持802.lx協議的網絡設備���,它為請求者提供服務端口,該端口可以是物理端口也可以是邏輯端口���,一般在用戶接入設備(如LAN Switch和AP)上實現802.1x認證。后文的認證系統�、認證點和接入設備三者表達相同含義。
3��、認證服務器系統
認證服務器是為認證系統提供認證服務的實體��,建議使用RADIUS服務器來實現認證服務器的認證和授權功能�。請求者和認證系統之間運行802.1x定義的 EAPO (Extensible Authentication PRotocolover LAN)協議���。當認證系統工作于中繼方式時,認證系統與認證服務器之間也運行EAP協議���,EAP幀中封裝認證數據����,將該協議承載在其它高層次協議中(如 RADIUS)����,以便穿越復雜的網絡到達認證服務器;當認證系統工作于終結方式時����,認證系統終結EAPoL消息,并轉換為其它認證協議(如 RADIUS)���,傳遞用戶認證信息給認證服務器系統���。
認證系統每個物理端口內部包含有受控端口和非受控端口。非受控端口始終處于雙向連通狀態�����,主要用來傳遞EAPoL協議幀,可隨時保證接收認證請求者發出的EAPoL認證報文�����;受控端口只有在認證通過的狀態下才打開����,用于傳遞網絡資源和服務。
三���、802.1x認證流程
基于802.1x的認證系統在客戶端和認證系統之間使用EAPOL格式封裝EAP協議傳送認證信息��,認證系統與認證服務器之間通過RADIUS協議傳送認證信息����。由于EAP協議的可擴展性���,基于EAP協議的認證系統可以使用多種不同的認證算法,如EAP-md5�,EAP-TLS,EAP-SIM����,EAP- TTLS以及EAP-AKA等認證方法��。
以EAP-MD5為例��,描述802.1x的認證流程�����。EAP-MD5是一種單向認證機制��,可以完成網絡對用戶的認證�,但認證過程不支持加密密鑰的生成�����?;贓AP-MD5的802.1x認證系統功能實體協議棧如圖2所示?;贓AP-MD5的802.1x認證流程如圖3所示,認證流程包括以下步驟:
圖2 基于EAP-MD5的802.1x認證系統功能實體協議棧
圖3 基于EAP-MD5的802.1x認證流程
(1) 客戶端向接入設備發送一個EAPoL-Start報文�,開始802.1x認證接入;
(2) 接入設備向客戶端發送EAP-Request/Identity報文�,要求客戶端將用戶名送上來;
(3) 客戶端回應一個EAP-Response/Identity給接入設備的請求����,其中包括用戶名��;
(4) 接入設備將EAP-Response/Identity報文封裝到RADIUS Access-Request報文中���,發送給認證服務器;
(5) 認證服務器產生一個Challenge�����,通過接入設備將RADIUS Access-Challenge報文發送給客戶端����,其中包含有EAP-Request/MD5-Challenge;
(6) 接入設備通過EAP-Request/MD5-Challenge發送給客戶端��,要求客戶端進行認證�����;
(7) 客戶端收到EAP-Request/MD5-Challenge報文后����,將密碼和Challenge做MD5算法后的Challenged-Pass-Word,在EAP-Response/MD5-Challenge回應給接入設備�;
(8) 接入設備將Challenge,Challenged Password和用戶名一起送到RADIUS服務器��,由RADIUS服務器進行認證���;
(9) RADIUS服務器根據用戶信息����,做MD5算法�,判定用戶是否合法,然后回應認證成功/失敗報文到接入設備���。假如成功���,攜帶協商參數,以及用戶的相關業務屬性給用戶授權��。假如認證失敗�����,則流程到此結束��;
(10) 假如認證通過���,用戶通過標準的DHCP協議(可以是DHCP Relay)���,通過接入設備獲取規劃的ip地址��;
(11) 假如認證通過�����,接入設備發起計費開始請求給RADIUS用戶認證服務器�����;
(12) RADIUS用戶認證服務器回應計費開始請求報文�����。用戶上線完畢����。
QQread.com 推出各大專業服務器評測 linux服務器的安全性能 SUN服務器 HP服務器 DELL服務器 IBM服務器 聯想服務器 浪潮服務器 曙光服務器 同方服務器 華碩服務器 寶德服務器
四����、802.1x認證組網應用
按照不同的組網方式,802.1x認證可以采用集中式組網(匯聚層設備集中認證)�����、分布式組網(接入層設備分布認證)和本地認證組網。不同的組網方式下����,802.1x認證系統實現的網絡位置有所不同���。
1�、802.1x集中式組網(匯聚層設備集中認證)
802.1x集中式組網方式是將802.1x認證系統端放到網絡位置較高的LAN Switch設備上���,這些LAN Switch為匯聚層設備���。其下掛的網絡位置較低的LAN Switch只將認證報文透傳給作為802.lx認證系統端的網絡位置較高的LAN Switch設備,集中在該設備上進行802.1x認證處理��。這種組網方式的優點在于802.1x采用集中治理方式�����,降低了治理和維護成本�����。匯聚層設備集中認證如圖4所示。
圖4 802.1x集中式組網(匯聚層設備集中認證)
2�、802.1x分布式組網(接入層設備分布認證)
802.1x分布式組網是把802.lx認證系統端放在網絡位置較低的多個LAN Switch設備上,這些LAN Switch作為接入層邊緣設備�����。認證報文送給邊緣設備����,進行802.1x認證處理。這種組網方式的優點在于�,它采用中/高端設備與低端設備認證相結合的方式,可滿足復雜網絡環境的認證����。認證任務分配到眾多的設備上,減輕了中心設備的負荷����。接入層設備分布認證如圖5所示。
圖5 802.1x分布式組網(接入層設備分布認證)
802.lx分布式組網方式非常適用于受控組播等特性的應用��,建議采用分布式組網對受控組播業務進行認證�。假如采用集中式組網將受控組播認證設備端放在匯聚設備上,從組播服務器下行的流在到達匯聚設備之后����,由于認證系統還下掛接入層設備�����,將無法區分最終用戶�,若打開該受控端口�����,則匯聚層端口以下的所有用戶都能夠訪問到受控組播消息源���。反之,假如采用分布式組網����,則從組播服務器來的組播流到達接入層認證系統,可以實現組播成員的精確粒度控制�。
3、802.1x本地認證組網
802.1x的AAA認證可以在本地進行�����,而不用到遠端認證服務器上去認證�。這種本地認證的組網方式在專線用戶或小規模應用環境中非常適用��。它的優點在于節約成本���,不需要單獨購置昂貴的服務器,但隨著用戶數目的增加����,還需要由本地認證向RADIUS認證遷移。
五�、結束語
802.1x認證系統提供了一種用戶接入認證的手段,它僅關注端口的打開與關閉���。對于合法用戶(根據賬號和密碼)接入時�����,該端口打開����,而對于非法用戶接入或沒有用戶接入時�����,則使端口處于關閉狀態。認證的結果在于端口狀態的改變�,而不涉及其它認證技術所考慮的IP地址協商和分配問題,是各種認證技術中最為簡化的實現方案���。
必須注重到802.1x認證技術的操作顆粒度為端口�����,合法用戶接入端口之后���,端口始終處于打開狀態,此時其它用戶(合法或非法)通過該端口接入時���,不需認證即可訪問網絡資源。對于無線局域網接入而言���,認證之后建立起來的信道(端口)被獨占�,不存在其它用戶非法使用的問題�。但假如802.lx認證技術應用于寬帶IP城域網,就存在端口打開之后���,其它用戶(合法或非法)可自由接入且難以控制的問題�����。因此�����,在提出可運營�、可治理要求的寬帶IP城域網中如何使用該認證技術,還需要謹慎分析所適用的場合���,并考慮與其它信息綁定組合認證的可能性��。
