來自:
一、引言
802.1x協議起源於802.11協議,後者是ieee的無線區域網協議,制訂802.1x協議的初衷是為了解決無線區域網使用者的接入認證問題。ieee802lan協議定義的區域網並不提供接入認證,只要使用者能接入區域網控制裝置(如lans witch),就可以訪問區域網中的裝置或資源。這在早期企業網有線lan應用環境下並不存在明顯的安全隱患。
隨著移動辦公及駐地網運營等應用的大規模發展,服務提供者需要對使用者的接入進行控制和配置。尤其是wlan的應用和lan接入在電信網上大規模開展,有必要對埠加以控制以實現使用者級的接入控制,802.lx就是ieee為了解決基於埠的接入控制(port-based network access contro1)而定義的乙個標準。
二、802.1x認證體系
802.1x是一種基於埠的認證協議,是一種對使用者進行認證的方法和策略。埠可以是乙個物理埠,也可以是乙個邏輯埠(如vlan)。對於無線區域網來說,乙個埠就是乙個通道。802.1x認證的最終目的就是確定乙個埠是否可用。對於乙個埠,如果認證成功那麼就「開啟」這個埠,允許所有的報文通過;如果認證不成功就使這個埠保持「關閉」,即只允許802.1x的認證協議報文通過。
802.1x的體系結構如圖1所示。它的體系結構中包括三個部分,即請求者系統、認證系統和認證伺服器系統三部分:
圖1 802.1x認證的體系結構
1.請求者系統
請求者是位於區域網鏈路一端的實體,由連線到該鏈路另一端的認證系統對其進行認證。請求者通常是支援802.1x認證的使用者終端裝置,使用者通過啟動客戶端軟體發起802.lx認證,後文的認證請求者和客戶端二者表達相同含義。
2.認證系統
認證系統對連線到鏈路對端的認證請求者進行認證。認證系統通常為支援802.lx協議的網路裝置,它為請求者提供服務埠,該埠可以是物理埠也可以是邏輯埠,一般在使用者接入裝置(如lan switch和ap)上實現802.1x認證。後文的認證系統、認證點和接入裝置三者表達相同含義。
3.認證伺服器系統
認證伺服器是為認證系統提供認證服務的實體,建議使用radius伺服器來實現認證伺服器的認證和授權功能。
請求者和認證系統之間執行802.1x定義的eapo (extensible authentication protocolover lan)協議。當認證系統工作於中繼方式時,認證系統與認證伺服器之間也執行eap協議,eap幀中封裝認證資料,將該協議承載在其它高層次協議中(如radius),以便穿越複雜的網路到達認證伺服器;當認證系統工作於終結方式時,認證系統終結eapol訊息,並轉換為其它認證協議(如radius),傳遞使用者認證資訊給認證伺服器系統。
認證系統每個物理埠內部包含有受控埠和非受控埠。非受控埠始終處於雙向連通狀態,主要用來傳遞eapol協議幀,可隨時保證接收認證請求者發出的eapol認證報文;受控埠只有在認證通過的狀態下才開啟,用於傳遞網路資源和服務。
三、802.1x認證流程
基於802.1x的認證系統在客戶端和認證系統之間使用eapol格式封裝eap協議傳送認證資訊,認證系統與認證伺服器之間通過radius協議傳送認證資訊。由於eap協議的可擴充套件性,基於eap協議的認證系統可以使用多種不同的認證演算法,如eap-md5,eap-tls,eap-sim,eap-ttls以及eap-aka等認證方法。
以eap-md5為例,描述802.1x的認證流程。eap-md5是一種單向認證機制,可以完成網路對使用者的認證,但認證過程不支援加密金鑰的生成。基於eap-md5的802.1x認證系統功能實體協議棧如圖2所示。基於eap-md5的802.1x認證流程如圖3所示,認證流程包括以下步驟:
圖2 基於eap-md5的802.1x認證系統功能實體協議棧
圖3 基於eap-md5的802.1x認證流程
(1)客戶端向接入裝置傳送乙個eapol-start報文,開始802.1x認證接入;
(2)接入裝置向客戶端傳送eap-request/identity報文,要求客戶端將使用者名稱送上來;
(3)客戶端回應乙個eap-response/identity給接入裝置的請求,其中包括使用者名稱;
(4)接入裝置將eap-response/identity報文封裝到radius access-request報文中,傳送給認證伺服器;
(5)認證伺服器產生乙個challenge,通過接入裝置將radius access-challenge報文傳送給客戶端,其中包含有eap-request/md5-challenge;
(6)接入裝置通過eap-request/md5-challenge傳送給客戶端,要求客戶端進行認證;
(7)客戶端收到eap-request/md5-challenge報文後,將密碼和challenge做md5演算法後的challenged-pass-word,在eap-response/md5-challenge回應給接入裝置;
(8)接入裝置將challenge,challenged password和使用者名稱一起送到radius伺服器,由radius伺服器進行認證:
(9)radius伺服器根據使用者資訊,做md5演算法,判斷使用者是否合法,然後回應認證成功/失敗報文到接入裝置。如果成功,攜帶協商引數,以及使用者的相關業務屬性給使用者授權。如果認證失敗,則流程到此結束;
(10)如果認證通過,使用者通過標準的dhcp協議(可以是dhcp relay),通過接入裝置獲取規劃的ip位址;
(11)如果認證通過,接入裝置發起計費開始請求給radius使用者認證伺服器;
(12)radius使用者認證伺服器回應計費開始請求報文。使用者上線完畢。
四、802.1x認證組網應用
按照不同的組網方式,802.1x認證可以採用集中式組網(匯聚層裝置集中認證)、分布式組網(接入層裝置分布認證)和本地認證組網。不同的組網方式下,802.1x認證系統實現的網路位置有所不同。
1.802.1x集中式組網(匯聚層裝置集中認證)
802.1x集中式組網方式是將802.1x認證系統端放到網路位置較高的lan switch裝置上,這些lan switch為匯聚層裝置。其下掛的網路位置較低的lan switch只將認證報文透傳給作為802.lx認證系統端的網路位置較高的lan switch裝置,集中在該裝置上進行802.1x認證處理。這種組網方式的優點在於802.1x採用集中管理方式,降低了管理和維護成本。匯聚層裝置集中認證如圖4所示。
圖4 802.1x集中式組網(匯聚層裝置集中認證)
2.802.1x分布式組網(接入層裝置分布認證)
802.1x分布式組網是把802.lx認證系統端放在網路位置較低的多個lan switch裝置上,這些lan switch作為接入層邊緣裝置。認證報文送給邊緣裝置,進行802.1x認證處理。這種組網方式的優點在於,它採用中/高階裝置與低端裝置認證相結合的方式,可滿足複雜網路環境的認證。認證任務分配到眾多的裝置上,減輕了中心裝置的負荷。接入層裝置分布認證如圖5所示。
圖5 802.1x分布式組網(接入層裝置分布認證)
802.lx分布式組網方式非常適用於受控組播等特性的應用,建議採用分布式組網對受控組播業務進行認證。如果採用集中式組網將受控組播認證裝置端放在匯聚裝置上,從組播伺服器下行的流在到達匯聚裝置之後,由於認證系統還下掛接入層裝置,將無法區分終端使用者,若開啟該受控埠,則匯聚層埠以下的所有使用者都能夠訪問到受控組播訊息源。反之,如果採用分布式組網,則從組播伺服器來的組播流到達接入層認證系統,可以實現組播成員的精確粒度控制。
3.802.1x本地認證組網
802.1x的aaa認證可以在本地進行,而不用到遠端認證伺服器上去認證。這種本地認證的組網方式在專線使用者或小規模應用環境中非常適用。它的優點在於節約成本,不需要單獨購置昂貴的伺服器,但隨著使用者數目的增加,還需要由本地認證向radius認證遷移。
五、結束語
802.1x認證系統提供了一種使用者接入認證的手段,它僅關注埠的開啟與關閉。對於合法使用者(根據賬號和密碼)接入時,該埠開啟,而對於非法使用者接入或沒有使用者接入時,則使埠處於關閉狀態。認證的結果在於埠狀態的改變,而不涉及其它認證技術所考慮的ip位址協商和分配問題,是各種認證技術中最為簡化的實現方案。
必須注意到802.1x認證技術的操作顆粒度為埠,合法使用者接入埠之後,埠始終處於開啟狀態,此時其它使用者(合法或非法)通過該埠接入時,不需認證即可訪問網路資源。對於無線區域網接入而言,認證之後建立起來的通道(埠)被獨佔,不存在其它使用者非法使用的問題。但如果802.lx認證技術應用於寬頻ip都會網路,就存在埠開啟之後,其它使用者(合法或非法)可自由接入且難以控制的問題。因此,在提出可運營、可管理要求的寬頻ip都會網路中如何使用該認證技術,還需要謹慎分析所適用的場合,並考慮與其它資訊繫結組合認證的可能性。
802 1x網路訪問認證技術
802.1x協議起源於802.11協議,後者是ieee的無線區域網協議,制訂802.1x協議的初衷是為了解決無線區域網使用者的接入認證問題。ieee802lan協議定義的區域網並不提供接入認證,只要使用者能接入區域網控制 裝置 如lans witch 就可以訪問區域網中的裝置或資源。這在早期企業網有...
802 1X協議介紹(認證) ielab
802.1x的認證觸發方式 802.1x的認證過程可以由客戶端主動發起,也可以由裝置端發起。裝置支援的認證觸發方式包括以下兩種 1.客戶端主動觸發方式2.裝置端主動觸發方式 裝置會每隔n秒 例如30秒 主動向客戶端傳送eap request identity報文來觸發認證,這種觸發方式用於支援不能主...
802 1X協議介紹(認證) ielab
802.1x的認證觸發方式 802.1x的認證過程可以由客戶端主動發起,也可以由裝置端發起。裝置支援的認證觸發方式包括以下兩種 1.客戶端主動觸發方式 另外,由於網路中有些裝置不支援上述的組播報文,使得認證裝置無法收到客戶端的認證請求,因此裝置端還支援廣播觸發方式,即,可以接收客戶端傳送的目的位址為...