百科解釋
802.1x協(xié)議是基于Client/Server的訪問控制和認證協(xié)議。它可以限制未經授權的用戶/設備通過接入端口訪問LAN/WLAN。在獲得交換機或LAN提供的各種業(yè)務之前,802.1x對連接到交換機端口上的用戶/設備進行認證。在認證通過之前,802.1x只允許EAPoL(基于局域網的擴展認證協(xié)議)數(shù)據(jù)通過設備連接的交換機端口;認證通過以后,正常的數(shù)據(jù)可以順利地通過以太網端口。 網絡訪問技術的核心部分是PAE(端口訪問實體)。在訪問控制流程中,端口訪問實體包含3部分:認證者--對接入的用戶/設備進行認證的端口;請求者--被認證的用戶/設備;認證服務器--根據(jù)認證者的信息,對請求訪問網絡資源的用戶/設備進行實際認證功能的設備。 以太網的每個物理端口被分為受控和不受控的兩個邏輯端口,物理端口收到的每個幀都被送到受控和不受控端口。對受控端口的訪問,受限于受控端口的授權狀態(tài)。認證者的PAE根據(jù)認證服務器認證過程的結果,控制"受控端口"的授權/未授權狀態(tài)。處在未授權狀態(tài)的控制端口將拒絕用戶/設備的訪問。 1.802.1x認證特點 基于以太網端口認證的802.1x協(xié)議有如下特點:IEEE802.1x協(xié)議為二層協(xié)議,不需要到達三層,對設備的整體性能要求不高,可以有效降低建網成本;借用了在RAS系統(tǒng)中常用的EAP(擴展認證協(xié)議),可以提供良好的擴展性和適應性,實現(xiàn)對傳統(tǒng)PPP認證架構的兼容;802.1x的認證體系結構中采用了"可控端口"和"不可控端口"的邏輯功能,從而可以實現(xiàn)業(yè)務與認證的分離,由RADIUS和交換機利用不可控的邏輯端口共同完成對用戶的認證與控制,業(yè)務報文直接承載在正常的二層報文上通過可控端口進行交換,通過認證之后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包;可以使用現(xiàn)有的后臺認證系統(tǒng)降低部署的成本,并有豐富的業(yè)務支持;可以映射不同的用戶認證等級到不同的VLAN;可以使交換端口和無線LAN具有安全的認證接入功能。 2.802.1x工作過程 (1.當用戶有上網需求時打開802.1X客戶端程序,輸入已經申請、登記過的用戶名和口令,發(fā)起連接請求。此時,客戶端程序將發(fā)出請求認證的報文給交換機,開始啟動一次認證過程。 。2.交換機收到請求認證的數(shù)據(jù)幀后,將發(fā)出一個請求幀要求用戶的客戶端程序將輸入的用戶名送上來。 。3.客戶端程序響應交換機發(fā)出的請求,將用戶名信息通過數(shù)據(jù)幀送給交換機。交換機將客戶端送上來的數(shù)據(jù)幀經過封包處理后送給認證服務器進行處理。 。4.認證服務器收到交換機轉發(fā)上來的用戶名信息后,將該信息與數(shù)據(jù)庫中的用戶名表相比對,找到該用戶名對應的口令信息,用隨機生成的一個加密字對它進行加密處理,同時也將此加密字傳送給交換機,由交換機傳給客戶端程序。 (5.客戶端程序收到由交換機傳來的加密字后,用該加密字對口令部分進行加密處理(此種加密算法通常是不可逆的),并通過交換機傳給認證服務器。 。6.認證服務器將送上來的加密后的口令信息和其自己經過加密運算后的口令信息進行對比,如果相同,則認為該用戶為合法用戶,反饋認證通過的消息,并向交換機發(fā)出打開端口的指令,允許用戶的業(yè)務流通過端口訪問網絡。否則,反饋認證失敗的消息,并保持交換機端口的關閉狀態(tài),只允許認證信息數(shù)據(jù)通過而不允許業(yè)務數(shù)據(jù)通過。 3.802.1x應用環(huán)境特點 (1)交換式以太網絡環(huán)境 對于交換式以太網絡中,用戶和網絡之間采用點到點的物理連接,用戶彼此之間通過VLAN隔離,此網絡環(huán)境下,網絡管理控制的關鍵是用戶接入控制,802.1x不需要提供過多的安全機制。 (2)共享式網絡環(huán)境 當802.1x應用于共享式的網絡環(huán)境時,為了防止在共享式的網絡環(huán)境中出現(xiàn)類似“搭載”的問題,有必要將PAE實體由物理端口進一步擴展為多個互相獨立的邏輯端口。邏輯端口和用戶/設備形成一一對應關系,并且各邏輯端口之間的認證過程和結果相互獨立。在共享式網絡中,用戶之間共享接入物理媒介,接入網絡的管理控制必須兼顧用戶接入控制和用戶數(shù)據(jù)安全,可以采用的安全措施是對EAPoL和用戶的其它數(shù)據(jù)進行加密封裝。在實際網絡環(huán)境中,可以通過加速WEP密鑰重分配周期,彌補WEP靜態(tài)分配秘鑰導致的安全性的缺陷。 4.802.1x認證的安全性分析 802.1x協(xié)議中,有關安全性的問題一直是802.1x反對者攻擊的焦點。實際上,這個問題的確困擾了802.1x技術很長一段時間,甚至限制了802.1x技術的應用。但技術的發(fā)展為這個問題給出了答案:802.1x結合EAP,可以提供靈活、多樣的認證解決方案。 4.802.1x認證的優(yōu)勢 綜合IEEE802.1x的技術特點,其具有的優(yōu)勢可以總結為以下幾點。 簡潔高效:純以太網技術內核,保持了IP網絡無連接特性,不需要進行協(xié)議間的多層封裝,去除了不必要的開銷和冗余;消除網絡認證計費瓶頸和單點故障,易于支持多業(yè)務和新興流媒體業(yè)務。 容易實現(xiàn):可在普通L3、L2、IPDSLAM上實現(xiàn),網絡綜合造價成本低,保留了傳統(tǒng)AAA認證的網絡架構,可以利用現(xiàn)有的RADIUS設備。 安全可靠:在二層網絡上實現(xiàn)用戶認證,結合MAC、端口、賬戶、VLAN和密碼等;綁定技術具有很高的安全性,在無線局域網網絡環(huán)境中802.1x結合EAP-TLS,EAP-TTLS,可以實現(xiàn)對WEP證書密鑰的動態(tài)分配,克服無線局域網接入中的安全漏洞。 行業(yè)標準:IEEE標準,和以太網標準同源,可以實現(xiàn)和以太網技術的無縫融合,幾乎所有的主流數(shù)據(jù)設備廠商在其設備,包括路由器、交換機和無線AP上都提供對該協(xié)議的支持。在客戶端方面微軟WindowsXP操作系統(tǒng)內置支持,Linux也提供了對該協(xié)議的支持。 應用靈活:可以靈活控制認證的顆粒度,用于對單個用戶連接、用戶ID或者是對接入設備進行認證,認證的層次可以進行靈活的組合,滿足特定的接入技術或者是業(yè)務的需要。 易于運營:控制流和業(yè)務流完全分離,易于實現(xiàn)跨平臺多業(yè)務運營,少量改造傳統(tǒng)包月制等單一收費制網絡即可升級成運營級網絡,而且網絡的運營成本也有望降低。 Template:Expand IEEE 802.1X是IEEE制定關于用戶接入網絡的認證標準(注意:此處X是大寫,詳細請參看IEEE關于命名的解釋)。它的全稱是“基于端口的網絡接入控制”。于2001年標準化,之后為了配合無線網絡的接入進行修訂改版,于2004年完成。 IEEE 802.1X協(xié)議在用戶接入網絡(可以是以太網,也可以是Wi-Fi網)之前運行,運行于網絡中的MAC層。EAP協(xié)議RADIUS協(xié)議。cs:IEEE 802.1X de:IEEE 802.1x en:IEEE 802.1X es:IEEE 802.1X fi:802.1x fr:IEEE 802.1X it:IEEE 802.1x pl:802.1X IEEE802.1x協(xié)議具有完備的用戶認證、管理功能,可以很好的支撐寬帶網絡的計費、安全、運營和管理要求,對寬帶IP城域網等電信級網絡的運營和管理具有極大的優(yōu)勢。IEEE802.1x協(xié)議對認證方式和認證體系結構上進行了優(yōu)化,解決了傳統(tǒng)PPPOE和WEB/PORTAL認證方式帶來的問題,更加適合在寬帶以太網中的使用。
移動通信網 | 通信人才網 | 更新日志 | 團隊博客 | 免責聲明 | 關于詞典 | 幫助