802.1x认证技术
--- 基于端口的访问控制--802.1X用户接入管理
1. 802.1X体系介绍
802.1X是IEEE2001年6月通过的基于端口访问控制的接入管理协议标准。 IEEE 802 LAN 协议定义的局域网不提供接入认证只要用户能接入局域网控制设备如传统的LanSwitch 用户就可以访问局域网中的设备或资源,这是一个安全隐患。对于移动办公驻地网运营等应用设备提供者希望能对用户的接入进行控制和配置,此外还存在计费的需求。
IEEE 802.1X是一种基于端口的网络接入控制技术,在LAN 设备的物理接入级对接入设备进行认证和控制。此处的物理接入级指的是LANSWITCH设备的端口,连接在该类端口上的用户设备如果能通过认证就可以访问LAN 内的资源,如果不能通过认证则无法访问LAN 内的资源相当于物理上断开连接。
IEEE 802.1X定义了基于端口的网络接入控制协议,需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。典型的应用方式有:LanSwitch 的一个物理端口仅连接一个End Station 基于物理端口;IEEE 802.11定义的无线LAN 接入方式基于逻辑端口
IEEE 802.1X的体系结构中包括三个部分:Supplicant System,用户接入设备;Authenticator System, 接入控制单元;Authentication Sever System ,认证服务器。
在用户接入层设备如LANSWITCH)实现802.1X的认证系统部,分即Authenticator 802.1X的客户端一般安装在用户PC中。典型为Windows XP操作系统自带的客户端 802.1X的认证服务器系统一般驻留在运营商的AAA中心。
Supplicant 与Authenticator 间运行IEEE 802.1X 定义的EAPOL 协议;Authenticator 与Authentication Sever 间同样运行EAP 协议,EAP 帧中封装了认证数据,将该协议承载在其他高层次协议中,如Radius ,以便穿越复杂的网络到达认证服务器EAP Relay。
Authenticator 每个物理端口内部有受控端口Controlled Port 和非受控端口unControlledPort。非受控端口始终处于双向连通状态,主要用来传递EAPOL 协议。帧可保证随时接收Supplicant发出的认证EAPoL报文,受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。受控端口可配置为双向受控仅输入受控两种方式以适应不同的应用环境。输入受控方式应用在需要桌面管理的场合例如管理员远程唤醒一台计算机。
2. 802.1X认证过程简介
802.1X 通过EAP 承载认证信息共定义了如下EAP 包类型:
1) EAP-Packet 认证信息帧用于承载认证信息
2) EAPOL-Start 认证发起帧Supplicant 和Authenticator 均可以发起
3) EAPOL-Logoff 退出请求帧可主动终止已认证状态
4) EAPOL-Key 密钥信息帧支持对EAP 报文的加密
5) EAPOL-Encapsulated-ASF-Alert 用于支持Alert Standard Forum ASF 的Alerting 消息
其中EAPOL-Start EAPOL-Logoff 和EAPOL-Key 仅在Supplicant 和Authenticator 间存在,在交换机和认证服务器间EAP-Packet报文重新封装承载于Radius协议之上,以便穿越复杂的网络到达认证服务器,EAPOL-Encapsulated-ASF-Alert 封装与网管相关信息。例如各种告警信息由Authenticator 终结。
3. 802.1X的特点
* 认证协议承载于二层网络上不需要到达三层
* 通过接入认证控制用户进入网络和获得服务
* 需要客户端支持(类似于PPPoE)
* 业务报文直接承载在正常的二层报文上对后续的网络处理没有特殊要求 |