802.1x协议解析文档
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
802.1x协议解析
发布日期:2004-5-15 浏览次数: 1704
802.1X协议是由(美)电气与电子工程师协会提出,刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议,其全称为基于端口的访问控制协议。它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段,达到了接受合法用户接入,保护网络安全的目的。802.1x认证,又称EAPOE认证,主要用于宽带IP城域网。
一、802.1x认证技术的起源
802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。
有线局域网通过固定线路连接组建,计算机终端通过网线接入固定位置物理端口,实现局域网接入,这些固定位置的物理端口构成有线局域网的封闭物理空间。但是,由于无线局域网的网络空间具有开放性和终端可移动性,因此很难通过网络物理空间来界定终端是否属于该网络,因此,如何通过端口认证来防止其他公司的计算机接入本公司无线网络就成为一项非常现实的问题,802.1x正是基于这一需求而出现的一种认证技术。也就是说,对于有线局域网,该项认证没有存在的意义。
由此可以看出,802.1x协议并不是为宽带IP城域网量身定做的认证技术,将其应用于宽带IP城域网,必然会有其局限性,下面将详细说明该认证技术的特点,并与PPPOE 认证、VLAN+WEB认证进行比较,并分析其在宽带IP城域网中的应用。
二、802.1x认证技术的特点
802.1x协议仅仅关注端口的打开与关闭,对于合法用户(根据帐号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。认证的结果在于端口状态的改变,而不涉及通常认证技术必须考虑的IP地址协商和分配问题,是各种认证技术中最简化的实现方案。
802.1x认证技术的操作粒度为端口,合法用户接入端口之后,端口处于打开状态,因此其它用户(合法或非法)通过该端口时,不需认证即可接入网络。对于无线局域网接入而言,认证之后建立起来的信道(端口)被独占,不存在其它用户再次使用的问题,
但是,如果802.1x认证技术用于宽带IP城域网的认证,就存在端口打开之后,其它用户(合法或非法)可自由接入和无法控制的问题。
接入认证通过之后,IP数据包在二层普通MAC帧上传送,认证后的数据流和没有认证的数据流完全一样,这是由于认证行为仅在用户接入的时刻进行,认证通过后不再进行合法性检查。
表1和表2分别罗列出802.1x协议与PPPOE、VLAN+WEB的性能比较。
表1:802.1x与PPPOE认证的技术比较
表2:802.1x与VLAN+WEB认证的技术比较
实践证明,PPPOE认证技术、VLAN+WEB认证技术均可很好地支撑宽带网络的计费、安全、运营和管理要求。对于802.1x认证技术,根据其定位和特点,在宽带城域网中实现用户认证远远达不到可运营、可管理要求,加之应用又少,为了完备用户的认证、管理功能,还需要进行大量协议之外的工作,目前仅有少数几个二/三层交换机厂家在宽带IP城域网中推广此项方式,将802.1x技术附着在L2/L3产品上,使L2/L3产品具备BAS用户认证和管理功能。如上所述,这种认证方式仅仅能够基于端口的认证,而且不是全程认证,与其它BAS功能(计费、安全机制、多业务支持)难以融合,因而不能称为电信级认证解决方案。
在城域网建设初期,大家对可运营、可管理性的认识还不是很一致,802.1x认证技术可能会有一定的市场空间,随着宽带IP城域网建设的逐步成熟和对可管理的关注,基于端口开关状态的802.1x认证技术不会成为主流。
四、802.1x协议工作机制
以太网技术“连通和共享”的设计初衷使目前由以太网构成的网络系统面临着很多安全
问题。IEEE 802.1X协议正是在基于这样的背景下被提出来的,成为解决局域网安全问题的一个有效手段。
在802.1X协议中,只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。
1.客户端:一般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,
输入必要的用户名和口令,客户端程序将会送出连接请求。
2.认证系统:在以太网系统中指认证交换机,其主要作用是完成用户认证信息的
上传、下达工作,并根据认证的结果打开或关闭端口。
3.认证服务器:通过检验客户端发送来的身份标识(用户名和口令)来判别用户
是否有权使用网络系统提供的网络服务,并根据认证结果向交换机发出打开或
保持端口关闭的状态。
在具有802.1X认证功能的网络系统中,当一个用户需要对网络资源进行访问之前必须先要完成以下的认证过程。
1.当用户有上网需求时打开80
2.1X客户端程序,输入已经申请、登记过的用户名
和口令,发起连接请求。此时,客户端程序将发出请求认证的报文给交换机,
开始启动一次认证过程。
2.交换机收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将
输入的用户名送上来。
3.客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机。交
换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。
4.认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户
名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进
行加密处理,同时也将此加密字传送给交换机,由交换机传给客户端程序。
5.客户端程序收到由交换机传来的加密字后,用该加密字对口令部分进行加密处
理(此种加密算法通常是不可逆的),并通过交换机传给认证服务器。
认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反馈认证失败的消息,并保持交换机端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。
这里要提出的一个值得注意的地方是: 在客户端与认证服务器交换口令信息的时候,没有将口令以明文直接送到网络上进行传输,而是对口令信息进行了不可逆的加密算法处理,使在网络上传输的敏感信息有了更高的安全保障,杜绝了由于下级接入设备所具有的广播特性而导致敏感信息泄漏的问题。
在802.1X解决方案中,通常采用基于MAC地址的端口访问控制模式。采用此种模式将会带来降低用户建网成本、降低认证服务器性能要求的优点。对于此种访问控制方式,应当采用相应的手段来防止由于MAC、IP地址假冒所发生的网络安全问题。
1.对于假冒MAC地址的情况
当认证交换机的一个物理端口下面再级连一台接入级交换机,而该台接入交换
机上的甲用户已经通过认证并正常使用网络资源,则此时在认证交换机的该物
理端口中就已将甲用户终端设备的MAC地址设定为允许发送业务数据。假如同
一台接入交换机下的乙用户将自己的MAC地址修改得与甲用户的MAC地址相
同,则即使乙用户没有经过认证过程也能够使用网络资源了,这样就给网络安
全带来了漏洞。针对此种情况,港湾网络交换机在实现了802.1X认证、授权功
能的交换机上通过MAC地址+IP地址的绑定功能来阻止假冒MAC地址的用户
非法访问。
对于动态分配IP地址的网络系统,由于非法用户无法预先获知其他用户将会分