802.1X

百科解釋

   802.1x協(xié)議是基于Client/Server的訪問控制和認證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問LAN/WLAN。在獲得交換機或LAN提供的各種業(yè)務(wù)之前，802.1x對連接到交換機端口上的用戶/設(shè)備進行認證。在認證通過之前，802.1x只允許EAPoL（基于局域網(wǎng)的擴展認證協(xié)議）數(shù)據(jù)通過設(shè)備連接的交換機端口；認證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。

網(wǎng)絡(luò)訪問技術(shù)的核心部分是PAE（端口訪問實體）。在訪問控制流程中，端口訪問實體包含3部分：認證者--對接入的用戶/設(shè)備進行認證的端口；請求者--被認證的用戶/設(shè)備；認證服務(wù)器--根據(jù)認證者的信息，對請求訪問網(wǎng)絡(luò)資源的用戶/設(shè)備進行實際認證功能的設(shè)備。

以太網(wǎng)的每個物理端口被分為受控和不受控的兩個邏輯端口，物理端口收到的每個幀都被送到受控和不受控端口。對受控端口的訪問，受限于受控端口的授權(quán)狀態(tài)。認證者的PAE根據(jù)認證服務(wù)器認證過程的結(jié)果，控制"受控端口"的授權(quán)/未授權(quán)狀態(tài)。處在未授權(quán)狀態(tài)的控制端口將拒絕用戶/設(shè)備的訪問。

1.802.1x認證特點

基于以太網(wǎng)端口認證的802.1x協(xié)議有如下特點：IEEE802.1x協(xié)議為二層協(xié)議，不需要到達三層，對設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本；借用了在RAS系統(tǒng)中常用的EAP（擴展認證協(xié)議），可以提供良好的擴展性和適應(yīng)性，實現(xiàn)對傳統(tǒng)PPP認證架構(gòu)的兼容；802.1x的認證體系結(jié)構(gòu)中采用了"可控端口"和"不可控端口"的邏輯功能，從而可以實現(xiàn)業(yè)務(wù)與認證的分離，由RADIUS和交換機利用不可控的邏輯端口共同完成對用戶的認證與控制，業(yè)務(wù)報文直接承載在正常的二層報文上通過可控端口進行交換，通過認證之后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包；可以使用現(xiàn)有的后臺認證系統(tǒng)降低部署的成本，并有豐富的業(yè)務(wù)支持；可以映射不同的用戶認證等級到不同的VLAN；可以使交換端口和無線LAN具有安全的認證接入功能。

2.802.1x工作過程

　�。�1.當(dāng)用戶有上網(wǎng)需求時打開802.1X客戶端程序，輸入已經(jīng)申請、登記過的用戶名和口令，發(fā)起連接請求。此時，客戶端程序?qū)l(fā)出請求認證的報文給交換機，開始啟動一次認證過程。
　�。�2.交換機收到請求認證的數(shù)據(jù)幀后，將發(fā)出一個請求幀要求用戶的客戶端程序?qū)⑤斎氲挠脩裘蜕蟻怼?
　　（3.客戶端程序響應(yīng)交換機發(fā)出的請求，將用戶名信息通過數(shù)據(jù)幀送給交換機。交換機將客戶端送上來的數(shù)據(jù)幀經(jīng)過封包處理后送給認證服務(wù)器進行處理。
　　（4.認證服務(wù)器收到交換機轉(zhuǎn)發(fā)上來的用戶名信息后，將該信息與數(shù)據(jù)庫中的用戶名表相比對，找到該用戶名對應(yīng)的口令信息，用隨機生成的一個加密字對它進行加密處理，同時也將此加密字傳送給交換機，由交換機傳給客戶端程序。
　�。�5.客戶端程序收到由交換機傳來的加密字后，用該加密字對口令部分進行加密處理（此種加密算法通常是不可逆的），并通過交換機傳給認證服務(wù)器。
　�。�6.認證服務(wù)器將送上來的加密后的口令信息和其自己經(jīng)過加密運算后的口令信息進行對比，如果相同，則認為該用戶為合法用戶，反饋認證通過的消息，并向交換機發(fā)出打開端口的指令，允許用戶的業(yè)務(wù)流通過端口訪問網(wǎng)絡(luò)。否則，反饋認證失敗的消息，并保持交換機端口的關(guān)閉狀態(tài)，只允許認證信息數(shù)據(jù)通過而不允許業(yè)務(wù)數(shù)據(jù)通過。

3.802.1x應(yīng)用環(huán)境特點

(1)交換式以太網(wǎng)絡(luò)環(huán)境

對于交換式以太網(wǎng)絡(luò)中，用戶和網(wǎng)絡(luò)之間采用點到點的物理連接，用戶彼此之間通過VLAN隔離，此網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)管理控制的關(guān)鍵是用戶接入控制，802.1x不需要提供過多的安全機制。

(2)共享式網(wǎng)絡(luò)環(huán)境

當(dāng)802.1x應(yīng)用于共享式的網(wǎng)絡(luò)環(huán)境時，為了防止在共享式的網(wǎng)絡(luò)環(huán)境中出現(xiàn)類似“搭載”的問題，有必要將PAE實體由物理端口進一步擴展為多個互相獨立的邏輯端口。邏輯端口和用戶/設(shè)備形成一一對應(yīng)關(guān)系，并且各邏輯端口之間的認證過程和結(jié)果相互獨立。在共享式網(wǎng)絡(luò)中，用戶之間共享接入物理媒介，接入網(wǎng)絡(luò)的管理控制必須兼顧用戶接入控制和用戶數(shù)據(jù)安全，可以采用的安全措施是對EAPoL和用戶的其它數(shù)據(jù)進行加密封裝。在實際網(wǎng)絡(luò)環(huán)境中，可以通過加速WEP密鑰重分配周期，彌補WEP靜態(tài)分配秘鑰導(dǎo)致的安全性的缺陷。

4.802.1x認證的安全性分析

802.1x協(xié)議中，有關(guān)安全性的問題一直是802.1x反對者攻擊的焦點。實際上，這個問題的確困擾了802.1x技術(shù)很長一段時間，甚至限制了802.1x技術(shù)的應(yīng)用。但技術(shù)的發(fā)展為這個問題給出了答案：802.1x結(jié)合EAP，可以提供靈活、多樣的認證解決方案。
4.802.1x認證的優(yōu)勢

綜合IEEE802.1x的技術(shù)特點，其具有的優(yōu)勢可以總結(jié)為以下幾點。

簡潔高效：純以太網(wǎng)技術(shù)內(nèi)核，保持了IP網(wǎng)絡(luò)無連接特性，不需要進行協(xié)議間的多層封裝，去除了不必要的開銷和冗余；消除網(wǎng)絡(luò)認證計費瓶頸和單點故障，易于支持多業(yè)務(wù)和新興流媒體業(yè)務(wù)。

容易實現(xiàn)：可在普通L3、L2、IPDSLAM上實現(xiàn)，網(wǎng)絡(luò)綜合造價成本低，保留了傳統(tǒng)AAA認證的網(wǎng)絡(luò)架構(gòu)，可以利用現(xiàn)有的RADIUS設(shè)備。

安全可靠：在二層網(wǎng)絡(luò)上實現(xiàn)用戶認證，結(jié)合MAC、端口、賬戶、VLAN和密碼等；綁定技術(shù)具有很高的安全性，在無線局域網(wǎng)網(wǎng)絡(luò)環(huán)境中802.1x結(jié)合EAP－TLS，EAP－TTLS,可以實現(xiàn)對WEP證書密鑰的動態(tài)分配，克服無線局域網(wǎng)接入中的安全漏洞。

行業(yè)標(biāo)準(zhǔn)：IEEE標(biāo)準(zhǔn)，和以太網(wǎng)標(biāo)準(zhǔn)同源，可以實現(xiàn)和以太網(wǎng)技術(shù)的無縫融合，幾乎所有的主流數(shù)據(jù)設(shè)備廠商在其設(shè)備，包括路由器、交換機和無線AP上都提供對該協(xié)議的支持。在客戶端方面微軟WindowsXP操作系統(tǒng)內(nèi)置支持，Linux也提供了對該協(xié)議的支持。

應(yīng)用靈活：可以靈活控制認證的顆粒度，用于對單個用戶連接、用戶ID或者是對接入設(shè)備進行認證，認證的層次可以進行靈活的組合，滿足特定的接入技術(shù)或者是業(yè)務(wù)的需要。

易于運營：控制流和業(yè)務(wù)流完全分離，易于實現(xiàn)跨平臺多業(yè)務(wù)運營，少量改造傳統(tǒng)包月制等單一收費制網(wǎng)絡(luò)即可升級成運營級網(wǎng)絡(luò)，而且網(wǎng)絡(luò)的運營成本也有望降低。

Template:Expand IEEE 802.1X是IEEE制定關(guān)于用戶接入網(wǎng)絡(luò)的認證標(biāo)準(zhǔn)（注意：此處X是大寫，詳細請參看IEEE關(guān)于命名的解釋）。它的全稱是“基于端口的網(wǎng)絡(luò)接入控制”。于2001年標(biāo)準(zhǔn)化，之后為了配合無線網(wǎng)絡(luò)的接入進行修訂改版，于2004年完成。

IEEE 802.1X協(xié)議在用戶接入網(wǎng)絡(luò)（可以是以太網(wǎng)，也可以是Wi-Fi網(wǎng)）之前運行，運行于網(wǎng)絡(luò)中的MAC層。EAP協(xié)議RADIUS協(xié)議。cs:IEEE 802.1X de:IEEE 802.1x en:IEEE 802.1X es:IEEE 802.1X fi:802.1x fr:IEEE 802.1X it:IEEE 802.1x pl:802.1X

IEEE802.1x協(xié)議具有完備的用戶認證、管理功能，可以很好的支撐寬帶網(wǎng)絡(luò)的計費、安全、運營和管理要求，對寬帶IP城域網(wǎng)等電信級網(wǎng)絡(luò)的運營和管理具有極大的優(yōu)勢。IEEE802.1x協(xié)議對認證方式和認證體系結(jié)構(gòu)上進行了優(yōu)化，解決了傳統(tǒng)PPPOE和WEB/PORTAL認證方式帶來的問題，更加適合在寬帶以太網(wǎng)中的使用。

通信詞典解釋