第5讲 网络访问控制和云安全-(3)IEEE 802.1X基于端口的网络访问控制
IEEE802.1X标准
IEEE802.1X标准1、介绍 802.1X是⼀个IEEE标准,通过对⽤户进⾏基于端⼝的安全认证和对密钥的动态管理,从⽽实现保护⽤户⽤户的位置隐私和⾝份隐私以及有效保护通信过程中信息安全的⽬的。
在802.1X协议中,只有具备了以下三个元素才能够完成基于端⼝的访问控制的⽤户认证和授权。
1、客户端 ⼀般安装在⽤户的⼯作站上,当⽤户有上⽹需求时,激活客户端程序,输⼊必要的⽤户名和⼝令,客户端程序将会送出连接请求。
2、认证系统 在以太⽹系统中认证交换机,其主要作⽤是完成⽤户认证信息的上传、下达⼯作,并根据认证的结果打开或关闭端⼝。
在⽆线⽹络中就是⽆线接⼊点。
3、认证服务器 通过检验客户端发送来的⾝份标识(⽤户名和⼝令)来判断⽤户是否有权使⽤⽹络系统提供的⽹络服务,并根据认证结果向交换机发出打开或保持端⼝关闭的状态。
2、802.1X认证步骤 802.1X中EAP-TLS认证在实现的具体交互内容: 1、最初的802.1X通讯开始以⼀个⾮认证客户端设备尝试去连接⼀个认证端(如AP),客户端发送⼀个EAP起始消息。
然后开始客户端认证的⼀连串消息交换。
2、AP回复EAP请求⾝份消息。
3、客户端发送给认证服务器的EAP的响应信息包⾥包含了⾝份信息。
AP通过激活⼀个允许从客户端到AP有线端的认证服务器的EAP 包的端⼝,并关闭可其他所有的传输,像HTTP、DHCP和POP3包,直到AP通过认证服务器来验证⽤户端的⾝份。
4、认证服务器使⽤⼀种特殊的认证算法去验证客户端⾝份。
同样它也可以通过使⽤数字认证或其他类型的EAP认证。
5、认证服务器会发送同意或拒绝信息给这个AP。
6、AP发送⼀个EAP成功信息包(或拒绝信息包)给客户端 7、如果认证服务器认可这个客户端,那么AP将转换这个客户端到授权状态并转发其他的通信。
最重要的是,这个AP的软件是⽀持认证服务器⾥特定的EAP类型的,并且⽤户端设备的操作系统⾥或“Supplicant"(客户端设备)应⽤软件也要⽀持它。
802.1x介绍
802.1x介绍802.1x简介IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1x协议。
后来,802.1x协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。
802.1x协议是一种基于端口的网络接入控制协议(port based network access control protocol)。
“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。
连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源——相当于物理连接被断开。
802.1x的体系结构使用802.1x的系统为典型的Client/Server体系结构,包括三个实体,如图1所示分别为:Supplicant System(客户端)、Authenticator System(设备端)以及Authentication Server System(认证服务器)。
图1 802.1x认证系统的体系结构●客户端是位于局域网段一端的一个实体,由另一端的设备端对其进行认证。
客户端一般为一个用户终端设备,用户通过启动客户端软件发起802.1x认证。
客户端必须支持EAPOL(Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议)。
●设备端是位于局域网段一端的一个实体,对另一端的实体进行认证。
设备端通常为支持802.1x协议的网络设备,它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。
●认证服务器是为设备端提供认证服务的实体。
认证服务器用于实现对用户进行认证、授权和计费。
三个实体涉及如下三个基本概念:端口PAE、受控端口和受控方向。
1. 端口PAE(Port Access Entity,端口访问实体)端口PAE为802.1x系统中,在一个给定的设备端口上执行算法和协议操作的实体对象。
802.1x协议介绍
13
EAPOL封装
14
Radius概述
RADIUS定义 RADIUS 是Remote Authentication Dial In User Service (远程认证拨号用户服务)的简称。它是一种分布式的 c/s系统,能提供AAA功能。RADIUS技术可以保护网络不 受未授权访问的干扰,常被用在既要求较高性能,又要求 维持远程用户访问的各种网络环境中。 RADIUS使用的协议 RADIUS基于标准RFC2865,2866协议在UDP/IP层定义 了其帧格式及消息传输机制,并定义1812为认证端口, 1813为计费端口。
客 户 端 PAE EAPOL EAPOL-Start EAP-Request/Identity EAP-Response/Identity EAP-Request/MD5 Challenge EAP-Response/MD5 Challenge RADIUS Access-Request (CHAP-Response/MD5 Challenge) RADIUS Access-Accept (CHAP-Success) 端口被授权 握手请求报文 [EAP-Request/Identity] 握手应答报文 [EAP-Response/Identity] ...... EAPOL-Logoff 端口非授权 握手定时器超时 设 备 端 PAE RADIUS RADIUS服 务 器
PAE Ethernet Type: 888e Protocol Version: 1 Packet Type: 0 EAP-Packet 1 EAPOL-Start 2 EAPOL-Logoff 3 EAPOL-Key Packet Body Length: EAP 数据帧长度 Packet Body: EAP数据帧 内容,当Packet Type为 EAPOL-Start或EAPOLLogoff时,Packet Body部分 无特定内容,用全“0”填充。
基于802.1x协议的访问控制与网络安全
网络 服务商 的准人机 制在技术 飞速发展 的今 天 , 已经无 法保障合 法 的网络用户使 用 网络 资源 了 ,
用户名与密码被盗用 ,一个账 户多人 同时使用等 现象 ,对合法用户 已经造成 了严重威胁 。既能够 利用局域 网技术 简单 、廉价 的组 网特 点 ,同时又
认证控制实体 ( u et a r y e 指在 L N A t n ct s m) h i ost A
了8 21 0. x协议 的组成部 分以及 工作机制 ,总结 了 8 21 协议 的特 点与在 实际应 用中的不足之 处,分析 了“ 0. x 完整” 的
网络 接 入 控 制 具 备 的 条件 。 关 键 词 :访 问控 制 ;821 议 ; 网络 安 全 0. x协
中图分类号 :T 9 50 ;T 9 5 8 N 1. 7 N 1. o
IE 0 .x称 为 基 于 端 口 的 访 问 控 制 协 议 E E 8 21
( otb sd nt ok a cs cnrlpo c1。 基 于 P r ae e r ces o t rt o) w o o
端 口的访问控制 (o ae e o ces o t 1 P rbsdnt r acs cn o) t wk r
制。此处 的物理接人级指 的是交换机设备 的端 口 ( 口可以是物理端 口,也可以是逻辑端 口) 端 。
1 皿 E o .x的体 系 结构 的组 成 . 1 E8 21
已经成为当前各 网络建设 中不可忽视的首要问题。
当前计算机 网络面临很多安 全问题 :网络操
作系统 的安全漏洞 ,网络病毒 的破坏 ,黑客的入
文献标识码 :A
随着我 国经济与科技 的不 断发展 ,网络规模
802.1x认证(网络安全接入控制)
二层网管交换机应用——802.1x认证(网络安全接入控制)802.1x认证介绍802.1x协议作为局域网端口的接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。
802.1x 协议是一种基于端口的网络接入控制协议,“基于端口的网络接入控制”是指在局域网接入设备的端口这一级,对所接入的用户设备进行认证和控制。
连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
TL-SL5428 802.1x认证接入实现示例拓扑结构图中以TL-SG2224E做为中心交换机,TL-SL5428做为接入交换机,802.1x认证服务器接在TL-SG2224E上。
下面将介绍实现局域网中每台设备通过802.1x认证接入的配置过程。
1.搭建Radius认证服务器本文以试用版的WinRadius做为认证服务端。
(也可以在Windows Server 上搭建Radius认证服务器。
有关服务器的搭建方法请在网上参考相关资料)认证服务器上的配置:● 服务器IP地址:192.168.1.250● 认证端口:1812● 计费端口:1813● 密钥:fae● 服务器上设置用户账号2.配置TL-SL5428的802.1x功能● Radius配置将服务器上的相关设置对应配置在交换机上。
如果不需要进行上网计费,则不需要启用计费功能。
● 端口配置i. 不启用TL-SL5428级联端口(28端口)的802.1x认证,使认证服务器的在任何时候都能通过该端口接入网络以便认证客户端。
ii.配置其它需要认证的端口。
(TL-SL5428可同时支持基于MAC和Port的认证,这里均采用基于MAC的认证方式)注:● 如果端口的“状态”处于禁用,则该端口下的设备不需要进行认证,始终处于接入网络的状态。
● 控制类型中,“基于MAC”意为着该端口下的所有设备必需单独进行认证,认证通过后才能接入网络;“基于Port”意味着该端口下只要有一台设备认证通过,其它设备不再需要认证也能接入网络。
[计算机]IEEE 8021x协议及应用
![[计算机]IEEE 8021x协议及应用](https://img.taocdn.com/s3/m/fc0fc34b02768e9951e7383f.png)
联创对802.1x认证的安全优化
在联创协议中,“请求方”即宿舍中请求上网的计算机,
“认证方”即提供接入的交换机,“认证服务器”则在外 部网络上与交换机通讯,上面存有上网的卡号和密码 在接入设备上,将所有物理端口划分成一个个独立的 VLAN,使用户与接入设备之间的信道不会被其它用户监 听到,从而使得之前的大部分攻击基本无法实现(除非在 交换机与上网计算机之间搭建一条线路,如通过集线器) 由于已经从物理上使得攻击可能性小,联创802.1x协议在 交换机与用户之间的通讯安全性方面其实是非常脆弱的。 认证通过后,每隔20s左右服务器会对客端进行身份认证, 但这个认证主要是为了计费需要,安全性上不具有多大意 义。
法实现,譬如防火墙。
802.1x认证示意图
认证方
认证服务器
请求方
请求方与认证方之间通过EAPOL传递EAP报文,EAPOL报文在认证方那里封装成 EAP报文送往认证服务器,所以认证方与认证服务器之间传送的则是真正的EAP报 文,EAP报文这时可以被进一步通过其它报文封装,譬如TCP/UDP,以穿过复杂的 网络环境
7.客户端收到EAP-Request/MD5-Challenge报文后,将密码和
Challenge做MD5算法后的Challenged-Password,在EAPResponse/MD5-Challenge回应给认证方;
8.认证方将Challenge,Challenged Password和用户名一起送到
188021x8021x在联创协议中请求方即宿舍中请求上网的计算机认证方即提供接入的交换机认证服务器则在外部网络上与交换机通讯上面存有上网的卡号和密码在接入设备上将所有物理端口划分成一个个独立的vlan使用户与接入设备之间的信道不会被其它用户监听到从而使得之前的大部分攻击基本无法实现除非在交换机与上网计算机之间搭建一条线路如通过集线器由于已经从物理上使得攻击可能性小联创8021x协议在交换机与用户之间的通讯安全性方面其实是非常脆弱的
基于端口的访问控制--8021X用户接入管理
基于端口的访问控制--802.1X用户接入管理802.1X体系介绍802.1X是IEEE2001年6月通过的基于端口访问控制的接入管理协议标准。
IEEE 802 LAN 协议定义的局域网不提供接入认证,只要用户能接入局域网控制设备,如传统的LanSwitch,用户就可以访问局域网中的设备或资源,这是一个安全隐患。
对于移动办公,驻地网运营等应用,设备提供者希望能对用户的接入进行控制和配置,此外还存在计费的需求。
IEEE 802.1X是一种基于端口的网络接入控制技术,在 LAN 设备的物理接入级对接入设备进行认证和控制,此处的物理接入级指的是 LANSWITCH设备的端口。
连接在该类端口上的用户设备如果能通过认证,就可以访问 LAN 内的资源;如果不能通过认证,则无法访问 LAN 内的资源,相当于物理上断开连接。
IEEE 802.1X定义了基于端口的网络接入控制协议,需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。
典型的应用方式有:LanSwitch 的一个物理端口仅连接一个 End Station(基于物理端口); IEEE 802.11定义的无线 LAN 接入方式(基于逻辑端口)。
802.1X的体系结构如下图:IEEE 802.1X的体系结构中包括三个部分:Supplicant System,用户接入设备;Authenticator System,接入控制单元;Authentication Sever System,认证服务器。
在用户接入层设备(如LANSWITCH)实现 802.1X的认证系统部分,即Authenticator;802.1X的客户端一般安装在用户PC中,典型为Windows XP操作系统自带的客户端; 802.1X的认证服务器系统一般驻留在运营商的AAA中心。
Supplicant与Authenticator间运行 IEEE 802.1X定义的EAPOL协议;Authenticator 与 Authentication Sever 间同样运行 EAP 协议,EAP 帧中封装了认证数据,将该协议承载在其他高层次协议中,如 Radius,以便穿越复杂的网络到达认证服务器(EAP Relay)。
802.1x
一、引言802.1x协议起源于802.11协议,后者是IEEE的无线局域网协议,制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。
IEEE802LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备(如LANS witch),就可以访问局域网中的设备或资源。
这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。
随着移动办公及驻地网运营等应用的大规模収展,服务提供者需要对用户的接入迚行控制和配置。
尤其是WLAN的应用和LAN接入在甴信网上大规模开展,有必要对端口加以控制以实现用户级的接入控制,802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。
二、802.1x认证体系802.1x是一种基于端口的认证协议,是一种对用户迚行认证的方法和策略。
端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。
对于无线局域网来说,一个端口就是一个信道。
802.1x认证的最终目的就是确定一个端口是否可用。
对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,即只允许802.1x的认证协议报文通过。
802.1x的体系结构如图1所示。
它的体系结构中包括三个部分,即请求者系统、认证系统和认证服务器系统三部分:图1 802.1x认证的体系结构1.请求者系统请求者是位于局域网链路一端的实体,由连接到该链路另一端的认证系统对其迚行认证。
请求者通常是支持802.1x认证的用户终端设备,用户通过启动客户端软件収起802.lx认证,后文的认证请求者和客户端二者表达相同含义。
2.认证系统认证系统对连接到链路对端的认证请求者迚行认证。
认证系统通常为支持802.lx协议的网络设备,它为请求者提供服务端口,该端口可以是物理端口也可以是逻辑端口,一般在用户接入设备(如LANSwitch和AP)上实现802.1x认证。
IEEE802系列协议
IEEE802系列协议IEEE 802 系列协议IEEE802 协议是一种物理协议,因为有以下多种子协议,把这些协议汇集在一起就叫802协议集。
IEEE是电气和电子工程师协会(Institute of Electrical and Electronics Engineers)的简称,IEEE 组织主要负责有关电子和电气产品的各种标准的制定。
IEEE于1980年2月成立了IEEE 802委员会,专门研究和指定有关局域网的各种标准。
IEEE 802委员会不断增加,这些分委员会的职能如下:一、802.1X协议802.1X协议是由(美)电气与电子工程师协会提出,刚刚完成标准化的一个符合IEEE802协议集的局域网接入控制协议,全称为基于端口的访问控制协议。
能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段,达到了接受合法用户接入,保护网络安全的目的。
802.1x认证,又称EAPOE认证,主要用于宽带IP城域网。
802.1--高层及其交互工作。
提供高层标准的框架,包括端到端协议、网络互连、网络管理、路由选择、桥接和性能测量。
802.(基于端口的访问控制Port Based Network Access Control) ,协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。
802.1x协议仅仅提供了一种用户接入认证的手段,并简单地通过控制接入端口的开/关状态来实现,这种简化适用于无线局域网的接入认证、点对点物理或逻辑端口的接入认证,而在可运营、可管理的宽带IP城域网中作为一种认证方式具有一定的局限性。
IEEE 802.1d (生成树协议Spanning Tree)IEEE 802.1w, RSTP算法IEEE 802.1s, MSTP算法IEEE 802.1P,讲述的是交换机与优先级相关的流量处理的协议。
基于IEEE802.1X的端口认证解析
K y rs P r e wo d o t
S c ry e u t i
C r f ain et ct i i o
I E8 2 1 EE 0 .X
随着计算机 网络应用 的深入 、网络规模的不断扩大数据存 有权使用 网络系统提供 的网络服务 ,并 根据认证结果对交换机 储容量 日益增加 ,网络病毒和恶意攻击等网络安全事件不断发 端 口的状态进行控制 。 生, 用户对网络安 全性 能的要求越来越高 , 目前 已经 成为 网络管
AU h n ia i n o h r Ba e EEE8 2 1 t e t t f e Po t s d on I C O t 0 . X
Gu i u Hu n n o oLc n h a g ib J
( pi e h oo yCo ee La nn eh iaUnv r t Ap l dT c n lg l g , i igT c ncl iesy e l o i F xn u i 13 0 0 0) 2
是基于端 口的网络接入 控制规 范。8 21 身份认证用 于对有 线 的用户才允许接入网络。 0 .x 以太网和无线 IE S 21 E E 0 .1网络进行经过身份认证 的网络访问 。 通过 提供对集 中式用户标识 、 身份验证 、 动态密钥管理和计 帐的 支持来 提高安 全性 。
的支持来提高安全性 。在企业局域网的组建中可以在接人层 和汇 聚层布署认证方案 , 为企业局域 网的安全管理 提供 了有效的技术
支持 。 关键 词 端 口 安全 认证 IE S 21 E E0 . X
中图分类号 T 3 1 P 9
文献标识码
A
文章编号 1 1 1 — 9 4 1 10 5 5
l y ra d c n e g n ely r t o i fe tv e h i a u po o n e rs a e n o v r e c a e .opr vdeef ci etc n c ls p r fre t r i eLAN’ s c rt n g me t t p S e u iyma a e n .
IEEE8021XIEEE8021X介绍主要内容IEEE8021X协议
IEEE 802.1X孙峻文IEEE 802.1X 介绍•IEEE 802.1X是一个IEEE标准的基于端口的网络接入控制方法。
•它是IEEE 802.1网络协议组的一部分。
•它为希望接入LAN或WLAN的设备提供了一种验证机制。
主要内容•协议分析•抓包分析IEEE 802.1X协议IEEE 802.1X协议版本:•802.1X-2001•802.1X-2004•802.1X-2010IEEE 802.1X协议IEEE 802.1X封装了Extensible AuthenticationProtocol (EAP) over IEEE 802协议认证涉及三个参与者:•请求者(supplicant)•认证者(authenticator)•认证服务器(authentication server)IEEE 802.1X协议IEEE 802.1X协议请求者(supplicant)一个客户端设备(例如一台笔记本),它希望接入某个LAN/WLAN。
IEEE 802.1X协议认证者(authenticator)认证者的行为就像一个保卫网络的保安。
请求者的身份在被验证和授权之前是不能通过认证者进入被保护的网络。
IEEE 802.1X协议认证服务器(authentication server)认证者将凭证转发给认证服务器去验证。
如果认证服务器认为凭证是有效的,那么请求者将被允许进入被保护的网络资源。
IEEE 802.1X协议端口实体Port entities:802.1X-2001为认证端口定义了两个逻辑上的端口实体:•控制端口(controlled port)允许(授权状态)或阻止(非授权状态)网络通信进入或离开受控端口•非控制端口(uncontrolled port)发送或接收EAPOL帧,一直打开IEEE 802.1X协议典型的认证过程1.初始化Initialization2.开始Initiation3.协商Negotiation(EAP协商)4.认证Authentication IEEE 802.1X协议1.初始化Initialization当检测到一个新的请求者后,交换机(验证者)上的非受控端口被打开,受控端口设置在“非授权unauthorized”状态。
802.1x
或者超时;客户端发起EAP_Logoff 帧;网管 控制导致下线;
附录
设备(switch)端口有三种认证方式: (1)ForceAuthorized:端口一直维持授权状态, switch 的 Authenticator 不主动发起认证; (2)ForceUnauthorized:端口一直维持非授权状 态,忽略所有客户端发起的认证请求; (3)Auto: 激活802.1X,设置端口为非授权状态, 同时通知设备管理模块要求进行端口认证控制,使 端口仅允许EAPOL 报文收发,当发生UP 事件或接 收到EAPOL-start 报文,开始认证流程,请求客户 端Identify,并中继客户和认证服务器间的报文。认 证通过后端口切换到授权状态,在退出前可以进行 重认证。
传输数据包类型
其中 EAPOL-Start,EAPOL-Logoff 和 EAPOLKey 仅在 Supplicant 和 Authenticator 间存在, 在交换机和认证服务器间,EAP-Packet报文重新 封装承载于Radius协议之上,以便穿越复杂的网 络到达认证服务器。 EAPOL-Encapsulated-ASF-Alert 封装与网管相 关信息,例如各种告警信息,由 Authenticator 终 结。 认证通过之后的保持:认证端Authenticator 可以 定时要求Client 重新认证,时间可设。 重新认证的过程对User 是透明的(应该是User 不 需要重新输入密码)。
(也可以说连接在该类端口上的用户设备如果能通过认证,就可以访问 LAN 内的资源;如果不能通过认证,则无法访问 LAN 内的资源,相
当于物理上断开连接。)
1、IEEE802.1x体系介绍
基于Client/Server的访问控制和认证协议。
计算机论文:浅析IEEE 802.1x及其客户端软件
浅析IEEE 802.1x及其客户端软件【摘要】针对无线局域网有多种认证方法可以应用,IEEE 802.1x标准就是其中的一种,它是一种基于端口的访问控制协议,包括三部分:客户端、访问点和认证服务器。
本文侧重于客户端,对现有的IEEE 802.1x的客户端软件进行了描述、比较和分析。
【关键词】IEEE 802.1x;客户端;认证1. IEEE 802.1x随着IEEE 802.11无线局域网的迅速发展,通过应用无线通讯技术,公司和个人都获益匪浅。
公司们降低了布线的成本,并且为他们的员工提供了极大的便利。
普通用户通过使用笔记本电脑或者个人数字助理(PDA),通过无线局域网,可以在舒适的环境中方便的享受各种网络服务。
当一个用户试图访问IEEE 802.11网络的时候,一个常见的安全特性就是在提供给用户的设备任何服务之前,需要对用户的无线设备进行认证。
目前针对无线局域网有多种认证方法,本文侧重研究IEEE 802.1x标准。
什么是IEEE 802.1x? 根据802.1X-2004标准,对IEEE 802.1x的描述如下: 它是一种基于端口的网络访问控制,利用IEEE 802局域网架构的特性,为具有点对点连接特性的从属于局域网端口的设备提供一种认证和授权的方法。
如果对设备的认证和授权失败,则阻止设备访问。
这里的端口指的是从属于局域网架构的单个节点。
" 【1】由此可见,IEEE 802.1x为通过IEEE 802局域网和无线局域网进行互联的设备提供了一致的认证和授权机制。
通常来说,IEEE 802.1x包含三个实体【1】: 客户端、认证端、认证服务器。
客户端是一个实体,通常是某个点对点网络的一端,并寻求被链路另一端的认证端认证。
有许多名称经常被用来描述这个实体,例如"用户","客户端","认证点"。
在本文中我们用"客户端"来描述这个实体。
新的宽带认证方式——IEEE802.1x协议网络知识-电脑资料
新的宽带认证方式——IEEE802.1x协议网络知识-电脑资料随着宽带以太网建设规模的迅速扩大,网络上原有的认证系统已经不能很好地适应用户数量急剧增加和宽带业务多样性的要求,。
IEEE 802.1x协议对认证方式和认证体系结构进行了优化,解决了传统PPPoE和Web/Portal认证方式带来的问题,更适合在宽带以太网中的使用随着宽带以太网建设规模的迅速扩大,网络上原有的认证系统已经不能很好地适应用户数量急剧增加和宽带业务多样性的要求。
IEEE 802.1x协议对认证方式和认证体系结构进行了优化,解决了传统PPPoE和Web/Portal认证方式带来的问题,更适合在宽带以太网中的使用。
什么是IEEE 802.1x协议IEEE 802.1x 称为基于端口的访问控制协议(Port work a clearcase/" target="_blank" >ccess control protocol)。
IEEE 802.1x协议的体系结构包括三个重要的部分:Supplic ant System客户端、Authenticator System认证系统、Authentication Server System认证服务器。
客户端系统一般为一个用户终端系统,该终端系统通常要安装一个客户端软件,用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。
为支持基于端口的接入控制,客户端系统需支持EAPOL (Extensible Authentication Protocol Over LAN)协议。
认证系统通常为支持IEEE 802.1x协议的网络设备。
该设备对应于不同用户的端口(可以是物理端口,也可以是用户设备的MAC地址、VLAN、IP等)有两个逻辑端口:受控(controlled Port)端口和不受控端口(uncontrolled Port)。
不受控端口始终处于双向连通状态,主要用来传递 EAPOL 协议帧,可保证客户端始终可以发出或接受认证。
IEEE801.X
IEEE802.1x是IEEE2001年6月通过的基于端口访问控制的接入管理协议标准。
IEEE802系列LAN标准是目前居于主导地位的局域网络标准,传统的IEEE802协议定义的局域网不提供接入认证,只要用户能接入局域网控制设备,如传统的LanSwitch,用户就可以访问局域网中的设备或资源,这是一个安全隐患。
对于移动办公,驻地网运营等应用,设备提供者希望能对用户的接入进行控制和配置,此外还存在计费的需求。
IEEE802.1x是一种基于端口的网络接入控制技术,在LAN 设备的物理接入级对接入设备进行认证和控制,此处的物理接入级指的是LanSwitch设备的端口。
连接在该类端口上的用户设备如果能通过认证,就可以访问LAN 内的资源;如果不能通过认证,则无法访问LAN 内的资源,相当于物理上断开连接。
下面首先让我们了解一下IEEE802.1x端口访问控制协议的体系结构。
1.IEEE802.1x体系介绍虽然IEEE802.1x定义了基于端口的网络接入控制协议,但是需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。
典型的应用方式有:LanSwitch 的一个物理端口仅连接一个End Station,这是基于物理端口的;IEEE 802.11定义的无线LAN 接入方式是基于逻辑端口的。
图1 IEEE802.1x的体系结构IEEE802.1x的体系结构中包括三个部分:Supplicant System,用户接入设备;Authenticator System,接入控制单元;Authentication Sever System,认证服务器。
在用户接入层设备(如LanSwitch)实现IEEE802.1x的认证系统部分,即Authenticator;IEEE802.1x的客户端一般安装在用户PC中,典型的为Windows XP操作系统自带的客户端;IEEE802.1x的认证服务器系统一般驻留在运营商的AAA中心。
802.1x协议
802.1X协议是由(美)电气与电子工程师协会提出,刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议,其全称为基于端口的访问控制协议。
它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段,达到了接受合法用户接入,保护网络安全的目的。
802.1x 认证,又称EAPOE认证,主要用于宽带IP城域网。
一、802.1x认证技术的起源802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。
有线局域网通过固定线路连接组建,计算机终端通过网线接入固定位置物理端口,实现局域网接入,这些固定位置的物理端口构成有线局域网的封闭物理空间。
但是,由于无线局域网的网络空间具有开放性和终端可移动性,因此很难通过网络物理空间来界定终端是否属于该网络,因此,如何通过端口认证来防止其他公司的计算机接入本公司无线网络就成为一项非常现实的问题,802.1x 正是基于这一需求而出现的一种认证技术。
也就是说,对于有线局域网,该项认证没有存在的意义。
由此可以看出,802.1x协议并不是为宽带IP城域网量身定做的认证技术,将其应用于宽带IP城域网,必然会有其局限性,下面将详细说明该认证技术的特点,并与PPPOE认证、VLAN+WEB认证进行比较,并分析其在宽带IP城域网中的应用。
二、802.1x认证技术的特点802.1x协议仅仅关注端口的打开与关闭,对于合法用户(根据帐号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。
认证的结果在于端口状态的改变,而不涉及通常认证技术必须考虑的IP地址协商和分配问题,是各种认证技术中最简化的实现方案。
802.1x认证技术的操作粒度为端口,合法用户接入端口之后,端口处于打开状态,因此其它用户(合法或非法)通过该端口时,不需认证即可接入网络。
ieee802.1x协议原理
ieee802.1x协议原理IEEE 802.1x协议原理IEEE 802.1x是一种网络认证协议,用于保护网络免受未经授权的访问。
本文将探讨IEEE 802.1x协议的原理和工作机制。
1. 简介IEEE 802.1x是一种以太网认证协议,旨在实现网络接入控制(NAC)。
它提供了一种身份验证机制,以确保只有经过授权的设备和用户才能接入局域网。
2. 协议结构IEEE 802.1x协议由三个主要组件组成:客户端、认证服务器和网络交换机。
- 客户端:客户端是指连接到局域网的终端设备,如计算机、手机和平板电脑。
客户端向交换机发送认证请求,并根据来自认证服务器的响应采取相应的措施。
- 认证服务器:认证服务器是负责验证客户端身份的服务器。
它通常与RADIUS服务器一起使用,检查客户端提供的凭据,并返回认证结果给交换机。
- 交换机:交换机是网络的核心设备,负责转发数据包。
在IEEE 802.1x中,交换机扮演认证的角色,它会拦截客户端的数据流,并要求客户端进行认证。
3. 工作原理IEEE 802.1x协议的工作原理如下:- 交换机端口状态:初始状态下,交换机端口是关闭的,无法传输数据。
客户端连接到交换机的端口时,交换机会将端口设置为未授权状态。
- 客户端认证请求:客户端连接到交换机后,会发送一个EAPOL-Start消息,作为认证的起始点。
交换机收到消息后,将端口设置为认证状态。
- 挑战/响应过程:客户端在发送EAPOL-Start消息后,交换机会发送一个挑战请求(EAP-Request/Identity)给客户端。
客户端需要响应并发送其身份信息。
- 认证服务器验证:交换机将收到的身份信息发送到认证服务器进行验证。
服务器确定身份信息的有效性,并发送验证结果给交换机。
- 授权状态:根据认证结果,交换机将端口设置为授权状态或未授权状态。
如果认证成功,客户端可以继续通过交换机传输数据,否则端口将保持关闭状态。
4. 安全性IEEE 802.1x协议提供了一些安全特性,以确保网络的安全性: - 免受未经授权访问:借助IEEE 802.1x,仅经过认证的设备和用户可以接入网络,从而保护网络免受未经授权的访问。
基于802.1x协议的访问控制与网络安全
基于802.1x协议的访问控制与网络安全
司震宇
【期刊名称】《东北农业大学学报》
【年(卷),期】2007(038)005
【摘要】基于计算机网络中安全问题日益严重,802.1x协议的网络接入控制协议开始被广泛应用,文章阐述了802.1x协议的组成部分以及工作机制,总结了802.1x协议的特点与在实际应用中的不足之处,分析了"完整"的网络接入控制具备的条件.【总页数】3页(P672-674)
【作者】司震宇
【作者单位】东北农业大学网络中心,哈尔滨,150030
【正文语种】中文
【中图分类】TN915.07;TN915.08
【相关文献】
1.结合强制访问控制实现基于IPSec协议的网络安全模型 [J], 王春雷;张建伟;卢昱
2.802.1X:基于端口的访问控制协议 [J], 袁建国;方宁生;姜浩
3.基于802.1x协议与数字证书的网络安全方案探析 [J], 傅德军;傅正威
4.基于802.1x协议与数字证书的网络安全方案 [J], 林冬茂
5.基于802.1x协议与数字证书的网络安全方案探析 [J], 傅德军;傅正威
因版权原因,仅展示原文概要,查看原文内容请购买。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
EAPOL-Start和EAPOL-Logoff报文的Length值都为0。
Packet Body: EAP数据帧内容,当Packet Type为EAPOL-Start或
EAPOL-Logoff时,Packet Body部分无特定内容,用全“0”填充。
EAPOL frame format for 802.3/Ethernet
2
Packet Body Length
➢2 EAPOL-Logoff:退出请求帧,仅在客户端和认证方之间存在 ➢3 EAPOL-Key
N
Packet Body
Packet Body Length: 2字节,表示数据长度,也就是“Packet Body” 字段的长度,单位为字节。如果为0,则表示没有后面的数据域。
网络与信息安全
7
EAPOL帧格式
EAP在LAN的报文(简称EAPOL)封装格式在IEEE-802.1X协议中定义
字节数
PAE Ethernet Type: 2字节,表示协议类型,为0x888E Protocol Version: 1字节,表示EAPOL帧的发送方所支持的协议版本 号
2
PAE Ethernet Type
网络与信息安全
Network and information security
主讲 陈付龙
安徽师范大学 计算机与信息学院 网络与信息安全安徽省重点实验室
(2020年)
第5讲 网络访问控制和云安全
5.1 网络访问控制 5.2 可扩展认证协议 5.3 IEEE 802.1X基于端口的网络访问控制 5.4 云计算 5.5 云安全风险和对策 5.6 云端数据保护 5.7 云安全即服务
口上的用户/设备进行认证。 • 在认证通过之前,802.1x只允许EAPOL(基于局域网的扩展认证协议
)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以 顺利地通过以太网端口。
3
网络与信息安全
3
802.1X的起源
• 802.1X协议起源于802.11协议,后者是标准的无线局域网 协议,802.1X协议的主要目的是为了解决无线局域网用户 的接入认证问题,但由于它的原理对于所有符合IEEE 802 标准的局域网具有普适性,因此后来它在有线局域网中也 得到了广泛的应用。
802.1x认证示意图
认证方 请求方
网络与信息安全
认证服务器
9
IEEE 802.1X认证过程
(1) 客户端向接入设备发送一个EAPoL-Start报文,开始802.1X认证接入;
(2) 接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;
(3) 客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名;
(4) 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,发送给认证服务器;
(5) 认证服务器产生一个Challenge,通过接入设备将RADIUS Access-Challenge报文发送给接入设备,其中包含有EAP-Request/MD5-Challenge;
• 认证者内部有受控端口(Controlled Port)和非受 控端口(Uncontrolled Port)。
非受控端口 始终处于双 向连通状态, 不必经过任 何授权就可 以访问或传 递网络资源
和服务。
受控端口必 须经过授权 才能访问或 传递网络资 源和服务。 这种方式可 以通过某些 方法实现, 譬如防火墙。
• EAPOL(EAP over LAN),支持客户端PAE和设备端PAE在LAN 环境中进行EAP报文的交换。
• 作用于网络层,适用于Wi-Fi、以太网等IEEE 802标准的局 域网。
• RADIUS:Remote Authentication Dial In User Service,远程 用户拨号认证系统,可以简单将其理解成一个存储有用 户的用户名密码的服务器,能够对一些查询进行响应, 从而得知用户是否合法。
网络与信息安全
5
802.1X认证实体
请求方
• 希望接入局域 网/无线局域网 来上网的设备, 譬如一台笔记 本,有时候也 指设备上运行 的客户端软件
认证方
• 管理接入的设 备,譬如以太 网交换机或者 无线接入点
认证服务器(AS)
• 一个运行有支 持RADIUS和EAP 的软件的主机
网络与信息安全
6
受控端口VS未受控端口
(6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证
(7) 客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备
(10) 如果认证通过,用户通过标准的DHCP协议 (可以是DHCP Relay) ,通过接入设备获取规划的IP地址;
(11) 如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器;
(12)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕
网络与信息安全
10
网络与信息安全
2
5.3 IEEE 802.1X基于端口的网络访问控制
• 802.1x协议是基于Client/Server的访问控制和认证协议。 • 它 可 以限 制未 经 授权 的用 户 /设 备通过 接 入端 口 (access port) 访 问
LAN/WLAN。 • 在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端
网络与信息安全
8
请求方与认证方 之间通过 EAPOL传递 EAP报文, EAPOL报文在 认证方那里封装 成EAP报文送往 认证服务器,所 以认证方与认证 服务器之间传送 的则是真正的 EAP报文,EAP 报文这时可以被 进一步通过其它 报文封装,譬如 TCP/UDP,以 穿过复杂的网络 环境(将在第七 章讲述相关安全 问题)。
(8) 接入设备将Challenge,Challenged Password和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证
(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结准,标准的起草者包 括Microsoft,Cisco,Extreme,Nortel等。
• 主要定义了EAPOL协议
网络与信息安全
4
EAPOL协议/局域网上的可扩展认证协议
• PAE(port access entity)是指认证机制中负责处理算法和协 议的实体。
Packet Type:1字节,表示EAPOL数据帧类型 ➢0 EAP-Packet:认证信息帧,用于承载认证信息,该类型的帧在
1
Protocol Version
1
Packet Type
认证方重新封装并承载于RADIUS等协议上,便于穿越复杂的网 络到达认证服务器 ➢1 EAPOL-Start:认证发起帧,仅在客户端和认证方之间存在