802.1x協議起源於802.11協議,後者是ieee的無線區域網協議, 制訂802.1x協議的初衷是為了解決無線區域網使用者的接入認證問題。ieee802lan協議定義的區域網並不提供接入認證,只要使用者能接入區域網控制 裝置 (如lans witch) ,就可以訪問區域網中的裝置或資源。這在早期企業網有線lan應用環境下並不存在明顯的安全隱患。但是隨著移動辦公及駐地網運營等應用的大規模發展,服務提供者需要對使用者的接入進行控制和配置。尤其是wlan的應用和lan接入在電信網上大規模開展,有必 要對埠加以控制以實現使用者級的接入控制,802.lx就是ieee為了解決基於埠的接入控制 (port-based network access contro1) 而定義的乙個標準。
ieee 802.1x是根據使用者id或裝置,對網路客戶端(或埠)進行鑑權的標準。該流程被稱為「埠級別的鑑權」。它採用radius(遠端認證撥號使用者服務)方法,並將其劃分為三個不同小組:請求方、認證方和授權伺服器。
820.1x 標準應用於試圖連線到埠或其它裝置(如cisco catalyst交換機或cisco aironet系列接入點)(認證方)的終端裝置和使用者(請求方)。認證和授權都通過鑑權伺服器(如cisco secure acs)後端通訊實現。ieee 802.1x提供自動使用者身份識別,集中進行鑑權、金鑰管理和lan連線配置。
如上所屬,整個802.1x 的實現設計三個部分,請求者系統、認證系統和認證伺服器系統。一下分別介紹三者的具體內容:
請求者系統
請求者是位於區域網鏈路一端的實體,由連線到該鏈路另一端的認證系統對其進行認證。請求者通常是支援802.1x認證的使用者終端裝置,使用者通過啟動客戶端軟體發起802.lx認證,後文的認證請求者和客戶端二者表達相同含義。
認證系統
認證系統對連線到鏈路對端的認證請求者進行認證。認證系統通常為支援802. lx協議的網路裝置,它為請求者提供服務埠,該埠可以是物理埠也可以 是邏輯埠,一般在使用者接入裝置 (如lan switch和ap) 上實現802.1x認證。倎文的認證系統、認證點和接入裝置三者表達相同含義。
認證伺服器系統
認證伺服器是為認證系統提供認證服務的實體,建議使用radius伺服器來實現認證伺服器的認證和授權功能。
請求者和認證系統之間執行802.1x定義的eapo (extensible authentication protocolover lan)協議。當認證系統工作於中繼方式時,認證系統與認證伺服器之間也執行eap協議,eap幀中封裝認證資料,將該協議承載在其它高層次協議中(如 radius),以便穿越複雜的網路到達認證伺服器;當認證系統工作於終結方式時,認證系統終結eapol訊息,並轉換為其它認證協議(如 radius),傳遞使用者認證資訊給認證伺服器系統。
認證系統每個物理埠內部包含有受控埠和非受控埠。非受控埠始終處於雙向連通狀態,主要用來傳遞eapol協議幀,可隨時保證接收認證請求者發出的eapol認證報文;受控埠只有在認證通過的狀態下才開啟,用於傳遞網路資源和服務。
整個802.1x的認證過程可以描述如下
(1) 客戶端向接入裝置傳送乙個eapol-start報文,開始802.1x認證接入;
(2) 接入裝置向客戶端傳送eap-request/identity報文,要求客戶端將使用者名稱送上來;
(3) 客戶端回應乙個eap-response/identity給接入裝置的請求,其中包括使用者名稱;
(4) 接入裝置將eap-response/identity報文封裝到radius access-request報文中,傳送給認證伺服器;
(5) 認證伺服器產生乙個challenge,通過接入裝置將radius access-challenge報文傳送給客戶端,其中包含有eap-request/md5-challenge;
(6) 接入裝置通過eap-request/md5-challenge傳送給客戶端,要求客戶端進行認證
(7) 客戶端收到eap-request/md5-challenge報文後,將密碼和challenge做md5演算法後的challenged-pass-word,在eap-response/md5-challenge回應給接入裝置
(8) 接入裝置將challenge,challenged password和使用者名稱一起送到radius伺服器,由radius伺服器進行認證
(9)radius伺服器根據使用者資訊,做md5演算法,判斷使用者是否合法,然後回應認證成功/失敗報文到接入裝置。如果成功,攜帶協商引數,以及使用者的相關業務屬性給使用者授權。如果認證失敗,則流程到此結束;
(10) 如果認證通過,使用者通過標準的dhcp協議 (可以是dhcp relay) ,通過接入裝置獲取規劃的ip位址;
(11) 如果認證通過,接入裝置發起計費開始請求給radius使用者認證伺服器;
(12)radius使用者認證伺服器回應計費開始請求報文。使用者上線完畢。
基於802 1x認證技術的應用分析
來自 一 引言 802.1x協議起源於802.11協議,後者是ieee的無線區域網協議,制訂802.1x協議的初衷是為了解決無線區域網使用者的接入認證問題。ieee802lan協議定義的區域網並不提供接入認證,只要使用者能接入區域網控制裝置 如lans witch 就可以訪問區域網中的裝置或資源。這...
802 1X協議介紹(認證) ielab
802.1x的認證觸發方式 802.1x的認證過程可以由客戶端主動發起,也可以由裝置端發起。裝置支援的認證觸發方式包括以下兩種 1.客戶端主動觸發方式2.裝置端主動觸發方式 裝置會每隔n秒 例如30秒 主動向客戶端傳送eap request identity報文來觸發認證,這種觸發方式用於支援不能主...
802 1X協議介紹(認證) ielab
802.1x的認證觸發方式 802.1x的認證過程可以由客戶端主動發起,也可以由裝置端發起。裝置支援的認證觸發方式包括以下兩種 1.客戶端主動觸發方式 另外,由於網路中有些裝置不支援上述的組播報文,使得認證裝置無法收到客戶端的認證請求,因此裝置端還支援廣播觸發方式,即,可以接收客戶端傳送的目的位址為...