8021x.docx

1、8021x一、引言 802.1x协议起源于802.11协议，后者是IEEE的无线局域网协议，制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE802LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制设备(如LANS witch)，就可以访问局域网中的设备或资源。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。 随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行控制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必要对端口加以控制以实现用户级的接入控制，802.lx就是IEEE为了解决基于端口的接入控制(Po

2、rt-Based Network Access Contro1)而定义的一个标准。 二、802.1x认证体系 802.1x是一种基于端口的认证协议，是一种对用户进行认证的方法和策略。端口可以是一个物理端口，也可以是一个逻辑端口(如VLAN)。对于无线局域网来说，一个端口就是一个信道。802.1x认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，即只允许802.1x的认证协议报文通过。 802.1x的体系结构如图1所示。它的体系结构中包括三个部分，即请求者系统、认证系统和认证服务器系统三部分： 图

3、1802.1x认证的体系结构 1.请求者系统 请求者是位于局域网链路一端的实体，由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持802.1x认证的用户终端设备，用户通过启动客户端软件发起802.lx认证，后文的认证请求者和客户端二者表达相同含义。 2.认证系统 认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802.lx协议的网络设备，它为请求者提供服务端口，该端口可以是物理端口也可以是逻辑端口，一般在用户接入设备(如LAN Switch和AP)上实现802.1x认证。后文的认证系统、认证点和接入设备三者表达相同含义。 3.认证服务器系统 认证服务器是为认证系统提供

4、认证服务的实体，建议使用RADIUS服务器来实现认证服务器的认证和授权功能。 请求者和认证系统之间运行802.1x定义的EAPO (Extensible Authentication Protocolover LAN)协议。当认证系统工作于中继方式时，认证系统与认证服务器之间也运行EAP协议，EAP帧中封装认证数据，将该协议承载在其它高层次协议中(如RADIUS)，以便穿越复杂的网络到达认证服务器；当认证系统工作于终结方式时，认证系统终结EAPoL消息，并转换为其它认证协议(如RADIUS)，传递用户认证信息给认证服务器系统。 认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终

5、处于双向连通状态，主要用来传递EAPoL协议帧，可随时保证接收认证请求者发出的EAPoL认证报文；受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。 三、802.1x认证流程 基于802.1x的认证系统在客户端和认证系统之间使用EAPOL格式封装EAP协议传送认证信息，认证系统与认证服务器之间通过RADIUS协议传送认证信息。由于EAP协议的可扩展性，基于EAP协议的认证系统可以使用多种不同的认证算法，如EAP-MD5，EAP-TLS，EAP-SIM，EAP-TTLS以及EAP-AKA等认证方法。 以EAP-MD5为例，描述802.1x的认证流程。EAP-MD5是一种单向认证机制，

6、可以完成网络对用户的认证，但认证过程不支持加密密钥的生成。基于EAP-MD5的802.1x认证系统功能实体协议栈如图2所示。基于EAP-MD5的802.1x认证流程如图3所示，认证流程包括以下步骤： 图2基于EAP-MD5的802.1x认证系统功能实体协议栈 图3基于EAP-MD5的802.1x认证流程 (1)客户端向接入设备发送一个EAPoL-Start报文，开始802.1x认证接入； (2)接入设备向客户端发送EAP-Request/Identity报文，要求客户端将用户名送上来； (3)客户端回应一个EAP-Response/Identity给接入设备的请求，其中包括用户名； (4)接入

7、设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中，发送给认证服务器； (5)认证服务器产生一个Challenge，通过接入设备将RADIUS Access-Challenge报文发送给客户端，其中包含有EAP-Request/MD5-Challenge； (6)接入设备通过EAP-Request/MD5-Challenge发送给客户端，要求客户端进行认证； (7)客户端收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Respons

8、e/MD5-Challenge回应给接入设备； (8)接入设备将Challenge，Challenged Password和用户名一起送到RADIUS服务器，由RADIUS服务器进行认证： (9)RADIUS服务器根据用户信息，做MD5算法，判断用户是否合法，然后回应认证成功/失败报文到接入设备。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束； (10)如果认证通过，用户通过标准的DHCP协议(可以是DHCP Relay)，通过接入设备获取规划的IP地址； (11)如果认证通过，接入设备发起计费开始请求给RADIUS用户认证服务器； (12)RADIUS

9、用户认证服务器回应计费开始请求报文。用户上线完毕。 四、802.1x认证组网应用 按照不同的组网方式，802.1x认证可以采用集中式组网(汇聚层设备集中认证)、分布式组网(接入层设备分布认证)和本地认证组网。不同的组网方式下，802.1x认证系统实现的网络位置有所不同。 1.802.1x集中式组网(汇聚层设备集中认证) 802.1x集中式组网方式是将802.1x认证系统端放到网络位置较高的LAN Switch设备上，这些LAN Switch为汇聚层设备。其下挂的网络位置较低的LAN Switch只将认证报文透传给作为802.lx认证系统端的网络位置较高的LAN Switch设备，集中在该设备上

10、进行802.1x认证处理。这种组网方式的优点在于802.1x采用集中管理方式，降低了管理和维护成本。汇聚层设备集中认证如图4所示。 图4802.1x集中式组网(汇聚层设备集中认证) 2.802.1x分布式组网(接入层设备分布认证) 802.1x分布式组网是把802.lx认证系统端放在网络位置较低的多个LAN Switch设备上，这些LAN Switch作为接入层边缘设备。认证报文送给边缘设备，进行802.1x认证处理。这种组网方式的优点在于，它采用中/高端设备与低端设备认证相结合的方式，可满足复杂网络环境的认证。认证任务分配到众多的设备上，减轻了中心设备的负荷。接入层设备分布认证如图5所示。

11、图5802.1x分布式组网(接入层设备分布认证) 802.lx分布式组网方式非常适用于受控组播等特性的应用，建议采用分布式组网对受控组播业务进行认证。如果采用集中式组网将受控组播认证设备端放在汇聚设备上，从组播服务器下行的流在到达汇聚设备之后，由于认证系统还下挂接入层设备，将无法区分最终用户，若打开该受控端口，则汇聚层端口以下的所有用户都能够访问到受控组播消息源。反之，如果采用分布式组网，则从组播服务器来的组播流到达接入层认证系统，可以实现组播成员的精确粒度控制。 3.802.1x本地认证组网 802.1x的AAA认证可以在本地进行，而不用到远端认证服务器上去认证。这种本地认证的组网方式在专线

12、用户或小规模应用环境中非常适用。它的优点在于节约成本，不需要单独购置昂贵的服务器，但随着用户数目的增加，还需要由本地认证向RADIUS认证迁移。 五、结束语 802.1x认证系统提供了一种用户接入认证的手段，它仅关注端口的打开与关闭。对于合法用户(根据账号和密码)接入时，该端口打开，而对于非法用户接入或没有用户接入时，则使端口处于关闭状态。认证的结果在于端口状态的改变，而不涉及其它认证技术所考虑的IP地址协商和分配问题，是各种认证技术中最为简化的实现方案。 必须注意到802.1x认证技术的操作颗粒度为端口，合法用户接入端口之后，端口始终处于打开状态，此时其它用户(合法或非法)通过该端口接入时，

13、不需认证即可访问网络资源。对于无线局域网接入而言，认证之后建立起来的信道(端口)被独占，不存在其它用户非法使用的问题。但如果802.lx认证技术应用于宽带IP城域网，就存在端口打开之后，其它用户(合法或非法)可自由接入且难以控制的问题。因此，在提出可运营、可管理要求的宽带IP城域网中如何使用该认证技术，还需要谨慎分析所适用的场合，并考虑与其它信息绑定组合认证的可能性。802.1X协议是由(美)电气与电子工程师协会提出，刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议，其全称为基于端口的访问控制协议。它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行

14、认证和授权的手段，达到了接受合法用户接入，保护网络安全的目的。 802.1x认证，又称EAPOE认证，主要用于宽带IP城域网。一、802.1x认证技术的起源802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。有线局域网通过固定线路连接组建，计算机终端通过网线接入固定位置物理端口，实现局域网接入，这些固定位置的物理端口构成有线局域网的封闭物理空间。但是，由于无线局域网的网络空间具有开放性和终端可移动性，因此很难通过网络物理空间来界定终端是否属于该网络，因此，如何通过端口认证来防止其他公司的计算机接入本公司无线网络就

15、成为一项非常现实的问题，802.1x正是基于这一需求而出现的一种认证技术。也就是说，对于有线局域网，该项认证没有存在的意义。由此可以看出，802.1x协议并不是为宽带IP城域网量身定做的认证技术，将其应用于宽带IP城域网，必然会有其局限性，下面将详细说明该认证技术的特点，并与PPPOE认证、VLANWEB认证进行比较，并分析其在宽带IP城域网中的应用。二、802.1x认证技术的特点802.1x协议仅仅关注端口的打开与关闭，对于合法用户（根据帐号和密码）接入时，该端口打开，而对于非法用户接入或没有用户接入时，则该端口处于关闭状态。认证的结果在于端口状态的改变，而不涉及通常认证技术必须考虑的IP地

16、址协商和分配问题，是各种认证技术中最简化的实现方案。802.1x认证技术的操作粒度为端口，合法用户接入端口之后，端口处于打开状态，因此其它用户（合法或非法）通过该端口时，不需认证即可接入网络。对于无线局域网接入而言，认证之后建立起来的信道（端口）被独占，不存在其它用户再次使用的问题，但是，如果802.1x认证技术用于宽带IP城域网的认证，就存在端口打开之后，其它用户（合法或非法）可自由接入和无法控制的问题。接入认证通过之后，IP数据包在二层普通MAC帧上传送，认证后的数据流和没有认证的数据流完全一样，这是由于认证行为仅在用户接入的时刻进行，认证通过后不再进行合法性检查。表1和表2分别罗列出80

17、2.1x协议与PPPOE、VLANWEB的性能比较。表1：802.1x与PPPOE认证的技术比较 表2：802.1x与VLANWEB认证的技术比较 三、宽带IP城域网中的认证技术分析宽带IP城域网建设越来越强调网络的可运营性和可管理性，具体包括：对用户的认证、计费，IP地址分配、全方位安全机制，对业务的支持能力和运营能力等方面。其中用户认证技术是可运营、可管理网络的关键。从严格意义上讲，认证功能包括：识别和鉴权，对用户的准确有效识别，对用户权限的下发、确认和控制，这些构成了用户计费和各种安全机制实施的前提以及多业务支持和发展的基础。因此，宽带IP城域网中认证技术的采用必须遵循网络的可运营、可管

18、理要求。实践证明，PPPOE认证技术、VLANWEB认证技术均可很好地支撑宽带网络的计费、安全、运营和管理要求。对于802.1x认证技术，根据其定位和特点，在宽带城域网中实现用户认证远远达不到可运营、可管理要求，加之应用又少，为了完备用户的认证、管理功能，还需要进行大量协议之外的工作，目前仅有少数几个二/三层交换机厂家在宽带IP城域网中推广此项方式，将802.1x技术附着在L2/L3产品上，使L2/L3产品具备BAS用户认证和管理功能。如上所述，这种认证方式仅仅能够基于端口的认证，而且不是全程认证，与其它BAS功能（计费、安全机制、多业务支持）难以融合，因而不能称为电信级认证解决方案。在城域网

19、建设初期，大家对可运营、可管理性的认识还不是很一致，802.1x认证技术可能会有一定的市场空间，随着宽带IP城域网建设的逐步成熟和对可管理的关注，基于端口开关状态的802.1x认证技术不会成为主流。四、8021x协议工作机制以太网技术“连通和共享”的设计初衷使目前由以太网构成的网络系统面临着很多安全问题。IEEE 802.1X协议正是在基于这样的背景下被提出来的，成为解决局域网安全问题的一个有效手段。 在802.1X协议中，只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。 客户端：一般安装在用户的工作站上，当用户有上网需求时，激活客户端程序，输入必要的用户名和口令，客户端程

20、序将会送出连接请求。 认证系统：在以太网系统中指认证交换机，其主要作用是完成用户认证信息的上传、下达工作，并根据认证的结果打开或关闭端口。 认证服务器：通过检验客户端发送来的身份标识（用户名和口令）来判别用户是否有权使用网络系统提供的网络服务，并根据认证结果向交换机发出打开或保持端口关闭的状态。 在具有802.1X认证功能的网络系统中，当一个用户需要对网络资源进行访问之前必须先要完成以下的认证过程。 当用户有上网需求时打开802.1X客户端程序，输入已经申请、登记过的用户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。 交换机收到请求认证的数据帧后，

21、将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。 客户端程序响应交换机发出的请求，将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。 认证服务器收到交换机转发上来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给交换机，由交换机传给客户端程序。 客户端程序收到由交换机传来的加密字后，用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的），并通过交换机传给认证服务器。 认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进

22、行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息，并向交换机发出打开端口的指令，允许用户的业务流通过端口访问网络。否则，反馈认证失败的消息，并保持交换机端口的关闭状态，只允许认证信息数据通过而不允许业务数据通过。 这里要提出的一个值得注意的地方是: 在客户端与认证服务器交换口令信息的时候，没有将口令以明文直接送到网络上进行传输，而是对口令信息进行了不可逆的加密算法处理，使在网络上传输的敏感信息有了更高的安全保障，杜绝了由于下级接入设备所具有的广播特性而导致敏感信息泄漏的问题。 在802.1X解决方案中，通常采用基于MAC地址的端口访问控制模式。采用此种模式将会带来降低用户建网成本、

23、降低认证服务器性能要求的优点。对于此种访问控制方式，应当采用相应的手段来防止由于MAC、IP地址假冒所发生的网络安全问题。 对于假冒MAC地址的情况 当认证交换机的一个物理端口下面再级连一台接入级交换机，而该台接入交换机上的甲用户已经通过认证并正常使用网络资源，则此时在认证交换机的该物理端口中就已将甲用户终端设备的MAC地址设定为允许发送业务数据。假如同一台接入交换机下的乙用户将自己的MAC地址修改得与甲用户的MAC地址相同，则即使乙用户没有经过认证过程也能够使用网络资源了，这样就给网络安全带来了漏洞。针对此种情况，港湾网络交换机在实现了802.1X认证、授权功能的交换机上通过MAC地址+IP

24、地址的绑定功能来阻止假冒MAC地址的用户非法访问。对于动态分配IP地址的网络系统，由于非法用户无法预先获知其他用户将会分配到的IP地址，因此他即使知道某一用户的MAC地址也无法伪造IP地址，也就无法冒充合法用户访问网络资源。 对于静态分配地址的方案，由于具有同一IP地址的两台终端设备必然会造成IP地址冲突，因此同时假冒MAC地址和IP地址的方法也是不可行的。 当假冒者和合法用户分属于认证交换机两个不同的物理端口，则假冒者即使知道合法用户的MAC地址，而由于该MAC地址不在同一物理端口，因此，假冒者还是无法进入网络系统。 对于假冒IP地址的情况 由于802.1X采用了基于二层的认证方式，因此，当

25、采用动态地址分配方案时，只有用户认证通过后，才能够分配到IP网络地址。 对于静态地址分配策略，如果假冒了IP地址，而没有能够通过认证，也不会与正在使用该地址的合法用户发生地址冲突。 如果用户能够通过认证，但假冒了其他用户的IP地址，则通过在认证交换机上采用IP地址+MAC地址绑定的方式来控制用户的访问接入。这使得假冒用户无法进行正常的业务通信，从而达到了防止IP地址被篡改、假冒的目的。 对于用户口令失窃、扩散的处理 在使用802.1X认证协议的系统中，用户口令失窃和口令扩散的情况非常多，对于这类情况，能够通过在认证服务器上限定同时接入具有同一用户名和口令认证信息的请求数量来达到控制用户接入，避免非法访问网络系统的目的。 五、总结802.1x协议仅仅提供了一种用户接入认证的手段，并简单地通过控制接入端口的开/关状态来实现，这种简化适用于无线局域网的接入认证、点对点物理或逻辑端口的接入认证，而在可运营、可管理的宽带IP城域网中作为一种认证方式具有一定的局限性。