2024年6月2日发(作者:)
802.1x
802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口
访问LAN/MAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备
进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交
换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
网络访问技术的核心部分是PAE(端口访问实体)。在访问控制流程中,端口访问实体包含3部分:认证
者--对接入的用户/设备进行认证的端口;请求者--被认证的用户/设备;认证服务器--根据认证者的信息,对
请求访问网络资源的用户/设备进行实际认证功能的设备。
以太网的每个物理端口被分为受控和不受控的两个逻辑端口,物理端口收到的每个帧都被送到受控和不受
控端口。对受控端口的访问,受限于受控端口的授权状态。认证者的PAE根据认证服务器认证过程的结果,
控制"受控端口"的授权/未授权状态。处在未授权状态的控制端口将拒绝用户/设备的访问。
1.802.1x认证特点
基于以太网端口认证的802.1x协议有如下特点:IEEE802.1x协议为二层协议,不需要到达三层,对设备
的整体性能要求不高,可以有效降低建网成本;借用了在RAS系统中常用的EAP(扩展认证协议),可以
提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;802.1x的认证体系结构中采用了"可控端
口"和"不可控端口"的逻辑功能,从而可以实现业务与认证的分离,由RADIUS和交换机利用不可控的逻辑
端口共同完成对用户的认证与控制,业务报文直接承载在正常的二层报文上通过可控端口进行交换,通过
认证之后的数据包是无需封装的纯数据包;可以使用现有的后台认证系统降低部署的成本,并有丰富的业
务支持;可以映射不同的用户认证等级到不同的VLAN;可以使交换端口和无线LAN具有安全的认证接入
功能。
2.802.1x应用环境特点
(1)交换式以太网络环境
对于交换式以太网络中,用户和网络之间采用点到点的物理连接,用户彼此之间通过VLAN隔离,此网络
环境下,网络管理控制的关键是用户接入控制,802.1x不需要提供过多的安全机制。
(2)共享式网络环境
当802.1x应用于共享式的网络环境时,为了防止在共享式的网络环境中出现类似“搭载”的问题,有必要将
PAE实体由物理端口进一步扩展为多个互相独立的逻辑端口。逻辑端口和用户/设备形成一一对应关系,并
且各逻辑端口之间的认证过程和结果相互独立。在共享式网络中,用户之间共享接入物理媒介,接入网络
的管理控制必须兼顾用户接入控制和用户数据安全,可以采用的安全措施是对EAPoL和用户的其它数据进
行加密封装。在实际网络环境中,可以通过加速WEP密钥重分配周期,弥补WEP静态分配秘钥导致的安
全性的缺陷。
3.802.1x认证的安全性分析
802.1x协议中,有关安全性的问题一直是802.1x反对者攻击的焦点。实际上,这个问题的确困扰了802.1x
技术很长一段时间,甚至限制了802.1x技术的应用。但技术的发展为这个问题给出了答案:802.1x结合
EAP,可以提供灵活、多样的认证解决方案。
4.802.1x认证的优势
综合IEEE802.1x的技术特点,其具有的优势可以总结为以下几点。
简洁高效:纯以太网技术内核,保持了IP网络无连接特性,不需要进行协议间的多层封装,去除了不必要
的开销和冗余;消除网络认证计费瓶颈和单点故障,易于支持多业务和新兴流媒体业务。
容易实现:可在普通L3、L2、IPDSLAM上实现,网络综合造价成本低,保留了传统AAA认证的网络架构,
可以利用现有的RADIUS设备。
安全可靠:在二层网络上实现用户认证,结合MAC、端口、账户、VLAN和密码等;绑定技术具有很高的
安全性,在无线局域网网络环境中802.1x结合EAP-TLS,EAP-TTLS,可以实现对WEP证书密钥的动
态分配,克服无线局域网接入中的安全漏洞。
行业标准:IEEE标准,和以太网标准同源,可以实现和以太网技术的无缝融合,几乎所有的主流数据设备
厂商在其设备,包括路由器、交换机和无线AP上都提供对该协议的支持。在客户端方面微软WindowsXP
操作系统内置支持,Linux也提供了对该协议的支持。
应用灵活:可以灵活控制认证的颗粒度,用于对单个用户连接、用户ID或者是对接入设备进行认证,认证
的层次可以进行灵活的组合,满足特定的接入技术或者是业务的需要。
易于运营:控制流和业务流完全分离,易于实现跨平台多业务运营,少量改造传统包月制等单一收费制网
络即可升级成运营级网络,而且网络的运营成本也有望降低。
802.1x协议认证技术分析(转)
2006年12月28日 星期四 11:56 A.M.
802.1X协议是由(美)电气与电子工程师协会提出,刚刚完成标准化的一个符
合IEEE 802协议集的局域网接入控制协议,其全称为基于端口的访问控制协议。
它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进
行认证和授权的手段,达到了接受合法用户接入,保护网络安全的目的。 802.1x
认证,又称EAPOE认证,主要用于宽带IP城域网。
一、802.1x认证技术的起源
802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x
协议的主要目的是为了解决无线局域网用户的接入认证问题。
有线局域网通过固定线路连接组建,计算机终端通过网线接入固定位置物理
端口,实现局域网接入,这些固定位置的物理端口构成有线局域网的封闭物理空
间。但是,由于无线局域网的网络空间具有开放性和终端可移动性,因此很难通
过网络物理空间来界定终端是否属于该网络,因此,如何通过端口认证来防止其
他公司的计算机接入本公司无线网络就成为一项非常现实的问题,802.1x正是
基于这一需求而出现的一种认证技术。也就是说,对于有线局域网,该项认证没
有存在的意义。
由此可以看出,802.1x协议并不是为宽带IP城域网量身定做的认证技术,
将其应用于宽带IP城域网,必然会有其局限性,下面将详细说明该认证技术的
特点,并与PPPOE认证、VLAN+WEB认证进行比较,并分析其在宽带IP城域网
中的应用。
二、802.1x认证技术的特点
802.1x协议仅仅关注端口的打开与关闭,对于合法用户(根据帐号和密码)
接入时,该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关
闭状态。认证的结果在于端口状态的改变,而不涉及通常认证技术必须考虑的
IP地址协商和分配问题,是各种认证技术中最简化的实现方案。
802.1x认证技术的操作粒度为端口,合法用户接入端口之后,端口处于打
开状态,因此其它用户(合法或非法)通过该端口时,不需认证即可接入网络。
对于无线局域网接入而言,认证之后建立起来的信道(端口)被独占,不存在其
它用户再次使用的问题,但是,如果802.1x认证技术用于宽带IP城域网的认证,
就存在端口打开之后,其它用户(合法或非法)可自由接入和无法控制的问题。
接入认证通过之后,IP数据包在二层普通MAC帧上传送,认证后的数据流
和没有认证的数据流完全一样,这是由于认证行为仅在用户接入的时刻进行,认
证通过后不再进行合法性检查。
表1和表2分别罗列出802.1x协议与PPPOE、VLAN+WEB的性能比较。
表1:802.1x与PPPOE认证的技术比较
表2:802.1x与VLAN+WEB认证的技术比较
三、宽带IP城域网中的认证技术分析
宽带IP城域网建设越来越强调网络的可运营性和可管理性,具体包括:对
用户的认证、计费,IP地址分配、全方位安全机制,对业务的支持能力和运营
能力等方面。其中用户认证技术是可运营、可管理网络的关键。从严格意义上讲,
认证功能包括:识别和鉴权,对用户的准确有效识别,对用户权限的下发、确认
和控制,这些构成了用户计费和各种安全机制实施的前提以及多业务支持和发展
的基础。因此,宽带IP城域网中认证技术的采用必须遵循网络的可运营、可管
理要求。
实践证明,PPPOE认证技术、VLAN+WEB认证技术均可很好地支撑宽带网络
的计费、安全、运营和管理要求。对于802.1x认证技术,根据其定位和特点,
在宽带城域网中实现用户认证远远达不到可运营、可管理要求,加之应用又少,
为了完备用户的认证、管理功能,还需要进行大量协议之外的工作,目前仅有少
数几个二/三层交换机厂家在宽带IP城域网中推广此项方式,将802.1x技术附
着在L2/L3产品上,使L2/L3产品具备BAS用户认证和管理功能。如上所述,这
种认证方式仅仅能够基于端口的认证,而且不是全程认证,与其它BAS功能(计
费、安全机制、多业务支持)难以融合,因而不能称为电信级认证解决方案。
在城域网建设初期,大家对可运营、可管理性的认识还不是很一致,802.1x
认证技术可能会有一定的市场空间,随着宽带IP城域网建设的逐步成熟和对可
管理的关注,基于端口开关状态的802.1x认证技术不会成为主流。
四、802.1x协议工作机制
以太网技术“连通和共享”的设计初衷使目前由以太网构成的网络系统面
临着很多安全问题。IEEE 802.1X协议正是在基于这样的背景下被提出来的,成
为解决局域网安全问题的一个有效手段。
在802.1X协议中,只有具备了以下三个元素才能够完成基于端口的访问控
制的用户认证和授权。
客户端:一般安装在用户的工作站上,当用户有上网需求时,激活客户端程
序,输入必要的用户名和口令,客户端程序将会送出连接请求。
认证系统:在以太网系统中指认证交换机,其主要作用是完成用户认证信息
的上传、下达工作,并根据认证的结果打开或关闭端口。
认证服务器:通过检验客户端发送来的身份标识(用户名和口令)来判别用
户是否有权使用网络系统提供的网络服务,并根据认证结果向交换机发出打开或
保持端口关闭的状态。
在具有802.1X认证功能的网络系统中,当一个用户需要对网络资源进行访
问之前必须先要完成以下的认证过程。
当用户有上网需求时打开802.1X客户端程序,输入已经申请、登记过的用
户名和口令,发起连接请求。此时,客户端程序将发出请求认证的报文给交换机,
开始启动一次认证过程。
交换机收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序
将输入的用户名送上来。
客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机。
交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。
认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用
户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进
行加密处理,同时也将此加密字传送给交换机,由交换机传给客户端程序。
客户端程序收到由交换机传来的加密字后,用该加密字对口令部分进行加密
处理(此种加密算法通常是不可逆的),并通过交换机传给认证服务器。
认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令
信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并
向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反
馈认证失败的消息,并保持交换机端口的关闭状态,只允许认证信息数据通过而
不允许业务数据通过。
这里要提出的一个值得注意的地方是: 在客户端与认证服务器交换口令信
息的时候,没有将口令以明文直接送到网络上进行传输,而是对口令信息进行了
不可逆的加密算法处理,使在网络上传输的敏感信息有了更高的安全保障,杜绝
了由于下级接入设备所具有的广播特性而导致敏感信息泄漏的问题。
在802.1X解决方案中,通常采用基于MAC地址的端口访问控制模式。采用
此种模式将会带来降低用户建网成本、降低认证服务器性能要求的优点。对于此
种访问控制方式,应当采用相应的手段来防止由于MAC、IP地址假冒所发生的网
络安全问题。
对于假冒MAC地址的情况
当认证交换机的一个物理端口下面再级连一台接入级交换机,而该台接入交
换机上的甲用户已经通过认证并正常使用网络资源,则此时在认证交换机的该物
理端口中就已将甲用户终端设备的MAC地址设定为允许发送业务数据。假如同一
台接入交换机下的乙用户将自己的MAC地址修改得与甲用户的MAC地址相同,则
即使乙用户没有经过认证过程也能够使用网络资源了,这样就给网络安全带来了
漏洞。针对此种情况,港湾网络交换机在实现了802.1X认证、授权功能的交换
机上通过MAC地址+IP地址的绑定功能来阻止假冒MAC地址的用户非法访问。
对于动态分配IP地址的网络系统,由于非法用户无法预先获知其他用户将
会分配到的IP地址,因此他即使知道某一用户的MAC地址也无法伪造IP地址,
也就无法冒充合法用户访问网络资源。
对于静态分配地址的方案,由于具有同一IP地址的两台终端设备必然会造
成IP地址冲突,因此同时假冒MAC地址和IP地址的方法也是不可行的。
当假冒者和合法用户分属于认证交换机两个不同的物理端口,则假冒者即使
知道合法用户的MAC地址,而由于该MAC地址不在同一物理端口,因此,假冒者
还是无法进入网络系统。
对于假冒IP地址的情况
由于802.1X采用了基于二层的认证方式,因此,当采用动态地址分配方案
时,只有用户认证通过后,才能够分配到IP网络地址。
对于静态地址分配策略,如果假冒了IP地址,而没有能够通过认证,也不
会与正在使用该地址的合法用户发生地址冲突。
如果用户能够通过认证,但假冒了其他用户的IP地址,则通过在认证交换
机上采用IP地址+MAC地址绑定的方式来控制用户的访问接入。这使得假冒用户
无法进行正常的业务通信,从而达到了防止IP地址被篡改、假冒的目的。
对于用户口令失窃、扩散的处理
在使用802.1X认证协议的系统中,用户口令失窃和口令扩散的情况非常多,
对于这类情况,能够通过在认证服务器上限定同时接入具有同一用户名和口令认
证信息的请求数量来达到控制用户接入,避免非法访问网络系统的目的。
五、总结
802.1x协议仅仅提供了一种用户接入认证的手段,并简单地通过控制接入
端口的开/关状态来实现,这种简化适用于无线局域网的接入认证、点对点物理
或逻辑端口的接入认证,而在可运营、可管理的宽带IP城域网中作为一种认证
方式具有一定的局限性。
发布评论