基于802.1x認證技術(shù)的應(yīng)用分析

田輝　張彤



　　摘要　介紹了基于802.1x的認證體系機構(gòu)，對EAP-MD5算法的802.1x認證協(xié)議棧和認證流程進行了討論，并對不同應(yīng)用環(huán)境下的組網(wǎng)模型進行了分析。



　　關(guān)鍵詞　802.1x　LAN　EAP　受控端口　組網(wǎng)模型



一、引言



　　802.1x協(xié)議起源于802.11協(xié)議，后者是IEEE的無線局域網(wǎng)協(xié)議，制訂802.1x協(xié)議的初衷是為了解決無線局域網(wǎng)用戶的接入認證問題。IEEE802LAN協(xié)議定義的局域網(wǎng)并不提供接入認證，只要用戶能接入局域網(wǎng)控制設(shè)備(如LANS witch)，就可以訪問局域網(wǎng)中的設(shè)備或資源。這在早期企業(yè)網(wǎng)有線LAN應(yīng)用環(huán)境下并不存在明顯的安全隱患。



　　隨著移動辦公及駐地網(wǎng)運營等應(yīng)用的大規(guī)模發(fā)展，服務(wù)提供者需要對用戶的接入進行控制和配置。尤其是WLAN的應(yīng)用和LAN接入在電信網(wǎng)上大規(guī)模開展，有必要對端口加以控制以實現(xiàn)用戶級的接入控制，802.lx就是IEEE為了解決基于端口的接入控制(Port-Based Network Access Contro1)而定義的一個標準。



二、802.1x認證體系



　　802.1x是一種基于端口的認證協(xié)議，是一種對用戶進行認證的方法和策略。端口可以是一個物理端口，也可以是一個邏輯端口(如VLAN)。對于無線局域網(wǎng)來說，一個端口就是一個信道。802.1x認證的最終目的就是確定一個端口是否可用。對于一個端口，如果認證成功那么就“打開”這個端口，允許所有的報文通過；如果認證不成功就使這個端口保持“關(guān)閉”，即只允許802.1x的認證協(xié)議報文通過。



　　802.1x的體系結(jié)構(gòu)如圖1所示。它的體系結(jié)構(gòu)中包括三個部分，即請求者系統(tǒng)、認證系統(tǒng)和認證服務(wù)器系統(tǒng)三部分：








　　1.請求者系統(tǒng)



　　請求者是位于局域網(wǎng)鏈路一端的實體，由連接到該鏈路另一端的認證系統(tǒng)對其進行認證。請求者通常是支持802.1x認證的用戶終端設(shè)備，用戶通過啟動客戶端軟件發(fā)起802.lx認證，后文的認證請求者和客戶端二者表達相同含義。



　　2.認證系統(tǒng)



　　認證系統(tǒng)對連接到鏈路對端的認證請求者進行認證。認證系統(tǒng)通常為支持802.lx協(xié)議的網(wǎng)絡(luò)設(shè)備，它為請求者提供服務(wù)端口，該端口可以是物理端口也可以是邏輯端口，一般在用戶接入設(shè)備(如LAN Switch和AP)上實現(xiàn)802.1x認證。后文的認證系統(tǒng)、認證點和接入設(shè)備三者表達相同含義。



　　3.認證服務(wù)器系統(tǒng)



　　認證服務(wù)器是為認證系統(tǒng)提供認證服務(wù)的實體，建議使用RADIUS服務(wù)器來實現(xiàn)認證服務(wù)器的認證和授權(quán)功能。



　　請求者和認證系統(tǒng)之間運行802.1x定義的EAPO (Extensible Authentication Protocolover LAN)協(xié)議。當(dāng)認證系統(tǒng)工作于中繼方式時，認證系統(tǒng)與認證服務(wù)器之間也運行EAP協(xié)議，EAP幀中封裝認證數(shù)據(jù)，將該協(xié)議承載在其它高層次協(xié)議中(如RADIUS)，以便穿越復(fù)雜的網(wǎng)絡(luò)到達認證服務(wù)器；當(dāng)認證系統(tǒng)工作于終結(jié)方式時，認證系統(tǒng)終結(jié)EAPoL消息，并轉(zhuǎn)換為其它認證協(xié)議(如RADIUS)，傳遞用戶認證信息給認證服務(wù)器系統(tǒng)。



　　認證系統(tǒng)每個物理端口內(nèi)部包含有受控端口和非受控端口。非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞EAPoL協(xié)議幀，可隨時保證接收認證請求者發(fā)出的EAPoL認證報文；受控端口只有在認證通過的狀態(tài)下才打開，用于傳遞網(wǎng)絡(luò)資源和服務(wù)。



三、802.1x認證流程



　　基于802.1x的認證系統(tǒng)在客戶端和認證系統(tǒng)之間使用EAPOL格式封裝EAP協(xié)議傳送認證信息，認證系統(tǒng)與認證服務(wù)器之間通過RADIUS協(xié)議傳送認證信息。由于EAP協(xié)議的可擴展性，基于EAP協(xié)議的認證系統(tǒng)可以使用多種不同的認證算法，如EAP-MD5，EAP-TLS，EAP-SIM，EAP-TTLS以及EAP-AKA等認證方法。



　　以EAP-MD5為例，描述802.1x的認證流程。EAP-MD5是一種單向認證機制，可以完成網(wǎng)絡(luò)對用戶的認證，但認證過程不支持加密密鑰的生成�；�于EAP-MD5的802.1x認證系統(tǒng)功能實體協(xié)議棧如圖2所示。基于EAP-MD5的802.1x認證流程如圖3所示，認證流程包括以下步驟：













　　(1)客戶端向接入設(shè)備發(fā)送一個EAPoL-Start報文，開始802.1x認證接入；



　　(2)接入設(shè)備向客戶端發(fā)送EAP-Request/Identity報文，要求客戶端將用戶名送上來；



　　(3)客戶端回應(yīng)一個EAP-Response/Identity給接入設(shè)備的請求，其中包括用戶名；



　　(4)接入設(shè)備將EAP-Response/Identity報文封裝到RADIUS Access-Request報文中，發(fā)送給認證服務(wù)器；



　　(5)認證服務(wù)器產(chǎn)生一個Challenge，通過接入設(shè)備將RADIUS Access-Challenge報文發(fā)送給客戶端，其中包含有EAP-Request/MD5-Challenge；



　　(6)接入設(shè)備通過EAP-Request/MD5-Challenge發(fā)送給客戶端，要求客戶端進行認證；



　　(7)客戶端收到EAP-Request/MD5-Challenge報文后，將密碼和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回應(yīng)給接入設(shè)備；



　　(8)接入設(shè)備將Challenge，Challenged Password和用戶名一起送到RADIUS服務(wù)器，由RADIUS服務(wù)器進行認證：



　　(9)RADIUS服務(wù)器根據(jù)用戶信息，做MD5算法，判斷用戶是否合法，然后回應(yīng)認證成功/失敗報文到接入設(shè)備。如果成功，攜帶協(xié)商參數(shù)，以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán)。如果認證失敗，則流程到此結(jié)束；



　　(10)如果認證通過，用戶通過標準的DHCP協(xié)議(可以是DHCP Relay)，通過接入設(shè)備獲取規(guī)劃的IP地址；



　　(11)如果認證通過，接入設(shè)備發(fā)起計費開始請求給RADIUS用戶認證服務(wù)器；



　　(12)RADIUS用戶認證服務(wù)器回應(yīng)計費開始請求報文。用戶上線完畢。



四、802.1x認證組網(wǎng)應(yīng)用



　　按照不同的組網(wǎng)方式，802.1x認證可以采用集中式組網(wǎng)(匯聚層設(shè)備集中認證)、分布式組網(wǎng)(接入層設(shè)備分布認證)和本地認證組網(wǎng)。不同的組網(wǎng)方式下，802.1x認證系統(tǒng)實現(xiàn)的網(wǎng)絡(luò)位置有所不同。



　　1.802.1x集中式組網(wǎng)(匯聚層設(shè)備集中認證)



　　802.1x集中式組網(wǎng)方式是將802.1x認證系統(tǒng)端放到網(wǎng)絡(luò)位置較高的LAN Switch設(shè)備上，這些LAN Switch為匯聚層設(shè)備。其下掛的網(wǎng)絡(luò)位置較低的LAN Switch只將認證報文透傳給作為802.lx認證系統(tǒng)端的網(wǎng)絡(luò)位置較高的LAN Switch設(shè)備，集中在該設(shè)備上進行802.1x認證處理。這種組網(wǎng)方式的優(yōu)點在于802.1x采用集中管理方式，降低了管理和維護成本。匯聚層設(shè)備集中認證如圖4所示。








　　2.802.1x分布式組網(wǎng)(接入層設(shè)備分布認證)



　　802.1x分布式組網(wǎng)是把802.lx認證系統(tǒng)端放在網(wǎng)絡(luò)位置較低的多個LAN Switch設(shè)備上，這些LAN Switch作為接入層邊緣設(shè)備。認證報文送給邊緣設(shè)備，進行802.1x認證處理。這種組網(wǎng)方式的優(yōu)點在于，它采用中/高端設(shè)備與低端設(shè)備認證相結(jié)合的方式，可滿足復(fù)雜網(wǎng)絡(luò)環(huán)境的認證。認證任務(wù)分配到眾多的設(shè)備上，減輕了中心設(shè)備的負荷。接入層設(shè)備分布認證如圖5所示。








　　802.lx分布式組網(wǎng)方式非常適用于受控組播等特性的應(yīng)用，建議采用分布式組網(wǎng)對受控組播業(yè)務(wù)進行認證。如果采用集中式組網(wǎng)將受控組播認證設(shè)備端放在匯聚設(shè)備上，從組播服務(wù)器下行的流在到達匯聚設(shè)備之后，由于認證系統(tǒng)還下掛接入層設(shè)備，將無法區(qū)分最終用戶，若打開該受控端口，則匯聚層端口以下的所有用戶都能夠訪問到受控組播消息源。反之，如果采用分布式組網(wǎng)，則從組播服務(wù)器來的組播流到達接入層認證系統(tǒng)，可以實現(xiàn)組播成員的精確粒度控制。



　　3.802.1x本地認證組網(wǎng)



　　802.1x的AAA認證可以在本地進行，而不用到遠端認證服務(wù)器上去認證。這種本地認證的組網(wǎng)方式在專線用戶或小規(guī)模應(yīng)用環(huán)境中非常適用。它的優(yōu)點在于節(jié)約成本，不需要單獨購置昂貴的服務(wù)器，但隨著用戶數(shù)目的增加，還需要由本地認證向RADIUS認證遷移。



五、結(jié)束語



　　802.1x認證系統(tǒng)提供了一種用戶接入認證的手段，它僅關(guān)注端口的打開與關(guān)閉。對于合法用戶(根據(jù)賬號和密碼)接入時，該端口打開，而對于非法用戶接入或沒有用戶接入時，則使端口處于關(guān)閉狀態(tài)。認證的結(jié)果在于端口狀態(tài)的改變，而不涉及其它認證技術(shù)所考慮的IP地址協(xié)商和分配問題，是各種認證技術(shù)中最為簡化的實現(xiàn)方案。



　　必須注意到802.1x認證技術(shù)的操作顆粒度為端口，合法用戶接入端口之后，端口始終處于打開狀態(tài)，此時其它用戶(合法或非法)通過該端口接入時，不需認證即可訪問網(wǎng)絡(luò)資源。對于無線局域網(wǎng)接入而言，認證之后建立起來的信道(端口)被獨占，不存在其它用戶非法使用的問題。但如果802.lx認證技術(shù)應(yīng)用于寬帶IP城域網(wǎng)，就存在端口打開之后，其它用戶(合法或非法)可自由接入且難以控制的問題。因此，在提出可運營、可管理要求的寬帶IP城域網(wǎng)中如何使用該認證技術(shù)，還需要謹慎分析所適用的場合，并考慮與其它信息綁定組合認證的可能性。




摘自　泰爾網(wǎng)