基于802.1x認(rèn)證技術(shù)的應(yīng)用分析

1、基于8021x認(rèn)證技術(shù)的應(yīng)用分析、引言802.1X協(xié)議起源于802.11協(xié)議，后者是IEEE的無(wú)線局域網(wǎng)協(xié)議，制訂802.1x協(xié)議的初衷是為了解決無(wú)線局域網(wǎng)用戶的接入認(rèn)證問(wèn)題。IEEE802LAN協(xié)議定義的局域網(wǎng)并不提供接入認(rèn)證，只要用戶能接入局域網(wǎng)控制設(shè)備(如LANSwitch)，就可以訪問(wèn)局域網(wǎng)中的設(shè)備或資源。這在早期企業(yè)網(wǎng)有線LAN應(yīng)用環(huán)境下并不存在明顯的安全隱患。隨著移動(dòng)辦公及駐地網(wǎng)運(yùn)營(yíng)等應(yīng)用的大規(guī)模發(fā)展，服務(wù)提供者需要對(duì)用戶的接入進(jìn)行控制和配置。尤其是WLAN的應(yīng)用和LAN接入在電信網(wǎng)上大規(guī)模開展，有必要對(duì)端口加以控制以實(shí)現(xiàn)用戶級(jí)的接入控制，802.lx就是IEEE為了解決基于端口的

2、接入控制(Port-BasedNetworkAccessContro1)而定義的一個(gè)標(biāo)準(zhǔn)。二、802.1x認(rèn)證體系802.1x是一種基于端口的認(rèn)證協(xié)議，是一種對(duì)用戶進(jìn)行認(rèn)證的方法和策略。端口可以是一個(gè)物理端口，也可以是一個(gè)邏輯端口(如VLAN)。對(duì)于無(wú)線局域網(wǎng)來(lái)說(shuō)，一個(gè)端口就是一個(gè)信道。802.1x認(rèn)證的最終目的就是確定一個(gè)端口是否可用。對(duì)于一個(gè)端口，如果認(rèn)證成功那么就“打開”這個(gè)端口，允許所有的報(bào)文通過(guò)；如果認(rèn)證不成功就使這個(gè)端口保持“關(guān)閉”，即只允許802.1x的認(rèn)證協(xié)議報(bào)文通過(guò)。802.1x的體系結(jié)構(gòu)如圖1所示。它的體系結(jié)構(gòu)中包括三個(gè)部分，即請(qǐng)求者系統(tǒng)、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器系統(tǒng)三部分:圖

3、1802.1x認(rèn)證的體系結(jié)構(gòu)請(qǐng)求者系統(tǒng)請(qǐng)求者是位于局域網(wǎng)鏈路一端的實(shí)體，由連接到該鏈路另一端的認(rèn)證系統(tǒng)對(duì)其進(jìn)行認(rèn)證。請(qǐng)求者通常是支持802.1x認(rèn)證的用戶終端設(shè)備，用戶通過(guò)啟動(dòng)客戶端軟件發(fā)起802.lx認(rèn)證，后文的認(rèn)證請(qǐng)求者和客戶端二者表達(dá)相同含義。認(rèn)證系統(tǒng)認(rèn)證系統(tǒng)對(duì)連接到鏈路對(duì)端的認(rèn)證請(qǐng)求者進(jìn)行認(rèn)證。認(rèn)證系統(tǒng)通常為支持8O2.lx協(xié)議的網(wǎng)絡(luò)設(shè)備，它為請(qǐng)求者提供服務(wù)端口，該端口可以是物理端口也可以是邏輯端口，一般在用戶接入設(shè)備（如LANSwitch和AP）上實(shí)現(xiàn)802.1x認(rèn)證。后文的認(rèn)證系統(tǒng)、認(rèn)證點(diǎn)和接入設(shè)備三者表達(dá)相同含義。認(rèn)證服務(wù)器系統(tǒng)認(rèn)證服務(wù)器是為認(rèn)證系統(tǒng)提供認(rèn)證服務(wù)的實(shí)體，建議使用R

4、ADIUS服務(wù)器來(lái)實(shí)現(xiàn)認(rèn)證服務(wù)器的認(rèn)證和授權(quán)功能。請(qǐng)求者和認(rèn)證系統(tǒng)之間運(yùn)行802.1x定義的EAPO（ExtensibleAuthenticationProtocoloverLAN）協(xié)議。當(dāng)認(rèn)證系統(tǒng)工作于中繼方式時(shí)，認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間也運(yùn)行EAP協(xié)議，EAP幀中封裝認(rèn)證數(shù)據(jù)，將該協(xié)議承載在其它高層次協(xié)議中（如RADIUS），以便穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù)器；當(dāng)認(rèn)證系統(tǒng)工作于終結(jié)方式時(shí)，認(rèn)證系統(tǒng)終結(jié)EAPoL消息，并轉(zhuǎn)換為其它認(rèn)證協(xié)議（如RADIUS），傳遞用戶認(rèn)證信息給認(rèn)證服務(wù)器系統(tǒng)。認(rèn)證系統(tǒng)每個(gè)物理端口內(nèi)部包含有受控端口和非受控端口。非受控端口始終處于雙向連通狀態(tài)，主要用來(lái)傳遞EAPo

5、L協(xié)議幀，可隨時(shí)保證接收認(rèn)證請(qǐng)求者發(fā)出的EAPoL認(rèn)證報(bào)文；受控端口只有在認(rèn)證通過(guò)的狀態(tài)下才打開，用于傳遞網(wǎng)絡(luò)資源和服務(wù)。三、802.1x認(rèn)證流程基于802.1x的認(rèn)證系統(tǒng)在客戶端和認(rèn)證系統(tǒng)之間使用EAPOL格式封裝EAP協(xié)議傳送認(rèn)證信息，認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間通過(guò)RADIUS協(xié)議傳送認(rèn)證信息。由于EAP協(xié)議的可擴(kuò)展性，基于EAP協(xié)議的認(rèn)證系統(tǒng)可以使用多種不同的認(rèn)證算法，如EAP-MD5，EAP-TLS，EAP-SIM，EAP-TTLS以及EAP-AKA等認(rèn)證方法。以EAP-MD5為例，描述802.1x的認(rèn)證流程。EAP-MD5是一種單向認(rèn)證機(jī)制，可以完成網(wǎng)絡(luò)對(duì)用戶的認(rèn)證，但認(rèn)證過(guò)程不支持加

6、密密鑰的生成。基于EAP-MD5的802.1x認(rèn)證系統(tǒng)功能實(shí)體協(xié)議棧如圖2所示?；贓AP-MD5的802.1x認(rèn)證流程如圖3所示，認(rèn)證流程包括以下步驟：FAPMD5*+4EAP-MD5EAPQLEAPOLRADIUSRADIUSwviwctticomdnUDPUDPIPIPMACMACMACMACF1IYPHYPHYPHY笄戶塔接入設(shè)備RADIUS圖2基于EAP-MD5的802.1x認(rèn)證系統(tǒng)功能實(shí)體協(xié)議棧HAPoL湎EAP-ResponseJIDAcwss-Request/EAP-Rtpvnsc/IDAjccess-ChaJ(engaEAF-RcucsLMDi-ChaJkncEAP-Requ

7、esyMD5-ChallengeEARResponse/MDS-Challenge(ehalSenKcdpassword)Accesfl-RequesVEAP-Rjesponse/lD(ChallengedPassword)EAl-ShccewFailuxe竹配辿址DHCP分配地址計(jì)費(fèi)開蛤計(jì)費(fèi)開捲咄卓ii費(fèi)幵端應(yīng)答ACcess-Acccpt(AcceptZRfljectJi/EAP-Su&cess/FaiIure點(diǎn)擊查看大圖圖3基于EAP-MD5的802.1x認(rèn)證流程(1)客戶端向接入設(shè)備發(fā)送一個(gè)EAPoL-Start報(bào)文，開始802.1x認(rèn)證接入；(2)接入設(shè)備向客戶端發(fā)送EAP-Reque

8、st/Identity報(bào)文，要求客戶端將用戶名送上來(lái)；(3)客戶端回應(yīng)一個(gè)EAP-Response/Identity給接入設(shè)備的請(qǐng)求，其中包括用戶名；(4)接入設(shè)備將EAP-Response/Identity報(bào)文封裝到RADIUSAccess-Request報(bào)文中，發(fā)送給認(rèn)證服務(wù)器；認(rèn)證服務(wù)器產(chǎn)生一個(gè)Challenge，通過(guò)接入設(shè)備將RADIUSAccess-Challenge報(bào)文發(fā)送給客戶端，其中包含有EAP-Request/MD5-Challenge；接入設(shè)備通過(guò)EAP-Request/MD5-Challenge發(fā)送給客戶端，要求客戶端進(jìn)行認(rèn)證；客戶端收到EAP-Request/MD5-C

9、hallenge報(bào)文后，將密碼和Challenge做MD5算法后的Challenged-Pass-Word，在EAP-Response/MD5-Challenge回應(yīng)給接入設(shè)備;(8)接入設(shè)備將Challenge,ChallengedPassword和用戶名一起送到RADIUS服務(wù)器，由RADIUS服務(wù)器進(jìn)行認(rèn)證：RADIUS服務(wù)器根據(jù)用戶信息，做MD5算法，判斷用戶是否合法，然后回應(yīng)認(rèn)證成功/失敗報(bào)文到接入設(shè)備。如果成功，攜帶協(xié)商參數(shù)，以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán)。如果認(rèn)證失敗，則流程到此結(jié)束;如果認(rèn)證通過(guò)，用戶通過(guò)標(biāo)準(zhǔn)的DHCP協(xié)議(可以是DHCPRelay)，通過(guò)接入設(shè)備獲取規(guī)劃的I

10、P地址;如果認(rèn)證通過(guò)，接入設(shè)備發(fā)起計(jì)費(fèi)開始請(qǐng)求給RADIUS用戶認(rèn)證服務(wù)器；RADIUS用戶認(rèn)證服務(wù)器回應(yīng)計(jì)費(fèi)開始請(qǐng)求報(bào)文。用戶上線完畢。四、802.1X認(rèn)證組網(wǎng)應(yīng)用按照不同的組網(wǎng)方式，802.1X認(rèn)證可以采用集中式組網(wǎng)(匯聚層設(shè)備集中認(rèn)證)、分布式組網(wǎng)(接入層設(shè)備分布認(rèn)證)和本地認(rèn)證組網(wǎng)。不同的組網(wǎng)方式下，802.1X認(rèn)證系統(tǒng)實(shí)現(xiàn)的網(wǎng)絡(luò)位置有所不同。1.802.1X集中式組網(wǎng)(匯聚層設(shè)備集中認(rèn)證)802.1X集中式組網(wǎng)方式是將802.1X認(rèn)證系統(tǒng)端放到網(wǎng)絡(luò)位置較高的LANSwitch設(shè)備上，這些LANSwitch為匯聚層設(shè)備。其下掛的網(wǎng)絡(luò)位置較低的LANSwitch只將認(rèn)證報(bào)文透?jìng)鹘o作為80

11、2.lx認(rèn)證系統(tǒng)端的網(wǎng)絡(luò)位置較高的LANSwitch設(shè)備，集中在該設(shè)備上進(jìn)行802.1X認(rèn)證處理。這種組網(wǎng)方式的優(yōu)點(diǎn)在于802.1X采用集中管理方式，降低了管理和維護(hù)成本。匯聚層設(shè)備集中認(rèn)證如圖4所示。耳urvcT4川戶通過(guò)認(rèn)址后，從DFICP我得即抱址用戶轄丄帀F1發(fā)起認(rèn)證S用戸軼桝怕庖乩后.璐以正常誹問(wèn)Fntemct罡嫌1舉訛務(wù)性為認(rèn)iil：.系縮.，|RADIUSServerfil售嗣用聲認(rèn)證2捋入設(shè)堿口通過(guò)認(rèn)ill前不並彷問(wèn)訃何堤方.并且不施藍(lán)褂IP地址圖4802.1x集中式組網(wǎng)（匯聚層設(shè)備集中認(rèn)證）2.802.1x分布式組網(wǎng)（接入層設(shè)備分布認(rèn)證）802.1X分布式組網(wǎng)是把8O2.lx

12、認(rèn)證系統(tǒng)端放在網(wǎng)絡(luò)位置較低的多個(gè)LANSwitch設(shè)備上，這些LANSwitch作為接入層邊緣設(shè)備。認(rèn)證報(bào)文送給邊緣設(shè)備，進(jìn)行802.1X認(rèn)證處理。這種組網(wǎng)方式的優(yōu)點(diǎn)在于，它采用中/高端設(shè)備與低端設(shè)備認(rèn)證相結(jié)合的方式，可滿足復(fù)雜網(wǎng)絡(luò)環(huán)境的認(rèn)證。認(rèn)證任務(wù)分配到眾多的設(shè)備上，減輕了中心設(shè)備的負(fù)荷。接入層設(shè)備分布認(rèn)證如圖5所示。WEBScnpcrIdMCPserve/ADJUSServercomcnCort豬球終綁接扎說(shuō)希作為認(rèn)證泉統(tǒng):1用戶發(fā)起認(rèn)址5L3血過(guò)棗辟置證押制衛(wèi)受6用戸適過(guò)認(rèn)證費(fèi)從DHCP獲徘TP地址2EAFciL玖day鑼用戶皓.匚J：二/A接入設(shè)備與RADIUSServerZ配合用成

13、用門認(rèn)證7用戶獲那1P矩塑局頁(yè)以疋常哺甸bttrtet贅源圖5802.1X分布式組網(wǎng)（接入層設(shè)備分布認(rèn)證）802.lx分布式組網(wǎng)方式非常適用于受控組播等特性的應(yīng)用，建議采用分布式組網(wǎng)對(duì)受控組播業(yè)務(wù)進(jìn)行認(rèn)證。如果采用集中式組網(wǎng)將受控組播認(rèn)證設(shè)備端放在匯聚設(shè)備上，從組播服務(wù)器下行的流在到達(dá)匯聚設(shè)備之后，由于認(rèn)證系統(tǒng)還下掛接入層設(shè)備，將無(wú)法區(qū)分最終用戶，若打開該受控端口，則匯聚層端口以下的所有用戶都能夠訪問(wèn)到受控組播消息源。反之，如果采用分布式組網(wǎng)，則從組播服務(wù)器來(lái)的組播流到達(dá)接入層認(rèn)證系統(tǒng)，可以實(shí)現(xiàn)組播成員的精確粒度控制。3.802.1x本地認(rèn)證組網(wǎng)802.1x的AAA認(rèn)證可以在本地進(jìn)行，而不用到

14、遠(yuǎn)端認(rèn)證服務(wù)器上去認(rèn)證。這種本地認(rèn)證的組網(wǎng)方式在專線用戶或小規(guī)模應(yīng)用環(huán)境中非常適用。它的優(yōu)點(diǎn)在于節(jié)約成本，不需要單獨(dú)購(gòu)置昂貴的服務(wù)器，但隨著用戶數(shù)目的增加，還需要由本地認(rèn)證向RADIUS認(rèn)證遷移。五、結(jié)束語(yǔ)802.1x認(rèn)證系統(tǒng)提供了一種用戶接入認(rèn)證的手段，它僅關(guān)注端口的打開與關(guān)閉。對(duì)于合法用戶（根據(jù)賬號(hào)和密碼）接入時(shí)，該端口打開，而對(duì)于非法用戶接入或沒(méi)有用戶接入時(shí)，則使端口處于關(guān)閉狀態(tài)。認(rèn)證的結(jié)果在于端口狀態(tài)的改變，而不涉及其它認(rèn)證技術(shù)所考慮的IP地址協(xié)商和分配問(wèn)題，是各種認(rèn)證技術(shù)中最為簡(jiǎn)化的實(shí)現(xiàn)方案。必須注意到802.1x認(rèn)證技術(shù)的操作顆粒度為端口，合法用戶接入端口之后，端口始終處于打開狀態(tài)

15、，此時(shí)其它用戶（合法或非法）通過(guò)該端口接入時(shí)，不需認(rèn)證即可訪問(wèn)網(wǎng)絡(luò)資源。對(duì)于無(wú)線局域網(wǎng)接入而言，認(rèn)證之后建立起來(lái)的信道（端口）被獨(dú)占，不存在其它用戶非法使用的問(wèn)題。但如果8O2.lx認(rèn)證技術(shù)應(yīng)用于寬帶IP城域網(wǎng)，就存在端口打開之后，其它用戶（合法或非法）可自由接入且難以控制的問(wèn)題。因此，在提出可運(yùn)營(yíng)、可管理要求的寬帶IP城域網(wǎng)中如何使用該認(rèn)證技術(shù)，還需要謹(jǐn)慎分析所適用的場(chǎng)合，并考慮與其它信息綁定組合認(rèn)證的可能性。802.1xEAP認(rèn)證過(guò)程1當(dāng)用戶有上網(wǎng)需求時(shí)打開802.1X客戶端程序，輸入用戶名和口令，發(fā)起連接請(qǐng)求。此時(shí)客戶端程序?qū)l(fā)出請(qǐng)求認(rèn)證的報(bào)文給交換機(jī)，啟動(dòng)一次認(rèn)證過(guò)程。如下：Frame

16、90(64bytesonwire,64bytescaptured)ArrivalTime:Nov27,200616:27:33.446030000Timedeltafrompreviouspacket:3.105345000secondsTimesincereferenceorfirstframe:5.082965000secondsFrameNumber:90PacketLength:64bytesCaptureLength:64bytesEthernetII,Src:00:e0:4c:d7:65:cd,Dst:01:80:c2:00:00:03Destination:01:80:c2:00

17、:00:03(Spanning-tree-(for-bridges)_03)Source:00:e0:4c:d7:65:cd(RealtekS_d7:65:cd)Type:802.1XAuthentication(0 x888e)Trailer:A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5.Framechecksequence:0 xa5a5a5a5(incorrect,shouldbe0 xcc6d5b40)802.1xAuthenticationVersion:1Type:Start(1)Length:0交換機(jī)在收到請(qǐng)求認(rèn)證的數(shù)據(jù)幀后，將發(fā)出一個(gè)EAP-Request/

18、Identitybaowe請(qǐng)求幀要求客戶端程序發(fā)送用戶輸入的用戶名。Frame91(64bytesonwire,64bytescaptured)ArrivalTime:Nov27,200616:27:33.447236000Timedeltafrompreviouspacket:0.001206000secondsTimesincereferenceorfirstframe:5.084171000secondsFrameNumber:91PacketLength:64bytesCaptureLength:64bytesEthernetII,Src:00:03:0f:01:3a:5a,Dst:0

19、0:e0:4c:d7:65:cdDestination:00:e0:4c:d7:65:cd(RealtekS_d7:65:cd)Source:00:03:0f:01:3a:5a(DigitalC_01:3a:5a)Type:802.1XAuthentication(0 x888e)Trailer:A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5.Framechecksequence:0 xa5a5a5a5(incorrect,shouldbe0 x7d263869)802.1xAuthenticationVersion:1Type:EAPPacket(0)Length:5Ext

20、ensibleAuthenticationProtocolCode:Request(1)Id:1Length:5Type:IdentityRFC3748(1)客戶端程序響應(yīng)交換機(jī)的請(qǐng)求，將包含用戶名信息的一個(gè)EAP-Response/Identity送給交換機(jī)，交換機(jī)將客戶端送來(lái)的數(shù)據(jù)幀經(jīng)過(guò)封包處理后生成RADIUSAccess-Request報(bào)文送給認(rèn)證服務(wù)器進(jìn)行處理。Frame148(77bytesonwire,77bytescaptured)ArrivalTime:Nov27,200616:27:36.446199000Timedeltafrompreviouspacket:2.9989

21、63000secondsTimesincereferenceorfirstframe:8.083134000secondsFrameNumber:148PacketLength:77bytesCaptureLength:77bytesEthernetII,Src:00:e0:4c:d7:65:cd,Dst:01:80:c2:00:00:03Destination:01:80:c2:00:00:03(Spanning-tree-(for-bridges)_03)Source:00:e0:4c:d7:65:cd(RealtekS_d7:65:cd)Type:802.1XAuthentication

22、(0 x888e)802.1xAuthenticationVersion:1Type:EAPPacket(0)Length:59ExtensibleAuthenticationProtocolCode:Response(2)Id:1Length:13Type:IdentityRFC3748(1)Identity(8bytes):03051020認(rèn)證服務(wù)器收到交換機(jī)轉(zhuǎn)發(fā)上來(lái)的用戶名信息后，將該信息與數(shù)據(jù)庫(kù)中的用戶名表相比對(duì)，找到該用戶名對(duì)應(yīng)的口令信息，用隨機(jī)生成的一個(gè)加密字Challenge對(duì)它進(jìn)行加密處理(MD5)，通過(guò)接入設(shè)備將RADIUSAccess-Challenge報(bào)文發(fā)送給客戶端，其

23、中包含有EAP-Request/MD5-Challenge。Frame154(64bytesonwire,64bytescaptured)ArrivalTime:Nov27,200616:27:36.567003000Timedeltafrompreviouspacket:0.120804000secondsTimesincereferenceorfirstframe:8.203938000secondsFrameNumber:154PacketLength:64bytesCaptureLength:64bytesEthernetII,Src:00:03:0f:01:3a:5a,Dst:00:

24、e0:4c:d7:65:cdDestination:00:e0:4c:d7:65:cd(RealtekS_d7:65:cd)Source:00:03:0f:01:3a:5a(DigitalC_01:3a:5a)Type:802.1XAuthentication(0 x888e)Trailer:A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5.Framechecksequence:0 xa5a5a5a5(incorrect,shouldbe0 x4ec1ac73)802.1xAuthenticationVersion:1Type:EAPPacket(0)Length:22Exte

25、nsibleAuthenticationProtocolCode:Request(1)Id:2Length:22Type:MD5-ChallengeRFC3748(4)Value-Size:16Value:1CBFEE2149E38D2928DABB4772D285EB客戶端收到EAP-Request/MD5-Challenge報(bào)文后，用該加密字對(duì)口令部分進(jìn)行加密處理(MD5)給交換機(jī)發(fā)送在EAP-Response/MD5-Challenge回應(yīng)，交換機(jī)將Challenge，ChallengedPassword和用戶名一起送到RADIUS服務(wù)器進(jìn)行認(rèn)證。Frame199(94bytesonwi

26、re,94bytescaptured)ArrivalTime:Nov27,200616:27:39.446161000Timedeltafrompreviouspacket:2.879158000secondsTimesincereferenceorfirstframe:11.083096000secondsFrameNumber:199PacketLength:94bytesCaptureLength:94bytesEthernetII,Src:00:e0:4c:d7:65:cd,Dst:01:80:c2:00:00:03Destination:01:80:c2:00:00:03(Spanning-tree-(for-bridges)_03)Source:00:e0:4c:d7:65:cd(RealtekS_d7:65:cd)Type:802.1XAuthentication(0 x888e)802.1xAuthent