詞語(yǔ)解釋 | 本詞語(yǔ)解釋貢獻(xiàn)者:wx_10274510
802.1X是IEEE 802.1系列標(biāo)準(zhǔn)中的一個(gè)子集,是一種安全認(rèn)證機(jī)制,用于網(wǎng)絡(luò)認(rèn)證和安全管理。它可以幫助網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)中認(rèn)證用戶(hù),確保只有授權(quán)用戶(hù)才能訪(fǎng)問(wèn)網(wǎng)絡(luò)。 802.1X認(rèn)證機(jī)制主要由三部分組成:客戶(hù)端(例如計(jì)算機(jī))、認(rèn)證服務(wù)器(例如RADIUS服務(wù)器)和接入點(diǎn)(例如交換機(jī))。當(dāng)客戶(hù)端試圖連接到接入點(diǎn)時(shí),接入點(diǎn)會(huì)要求客戶(hù)端進(jìn)行認(rèn)證,然后客戶(hù)端將認(rèn)證請(qǐng)求發(fā)送到認(rèn)證服務(wù)器。認(rèn)證服務(wù)器接收到認(rèn)證請(qǐng)求后,會(huì)檢查客戶(hù)端提供的用戶(hù)名和密碼,如果用戶(hù)名和密碼正確,認(rèn)證服務(wù)器會(huì)發(fā)送一個(gè)認(rèn)證成功的消息給接入點(diǎn),接入點(diǎn)收到認(rèn)證成功的消息后,會(huì)允許客戶(hù)端訪(fǎng)問(wèn)網(wǎng)絡(luò)。 802.1X機(jī)制的應(yīng)用非常廣泛,可以用于企業(yè)網(wǎng)絡(luò)的認(rèn)證和安全管理,也可以用于無(wú)線(xiàn)局域網(wǎng)(WLAN)的認(rèn)證,以及用于網(wǎng)絡(luò)訪(fǎng)問(wèn)控制(NAC)的認(rèn)證。此外,802.1X還可以用于虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)的認(rèn)證,以及認(rèn)證桌面訪(fǎng)問(wèn)(DA)的認(rèn)證。 總的來(lái)說(shuō),802.1X是一種安全的認(rèn)證機(jī)制,可以幫助網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)中認(rèn)證用戶(hù),確保只有授權(quán)用戶(hù)才能訪(fǎng)問(wèn)網(wǎng)絡(luò),應(yīng)用非常廣泛,可以用于企業(yè)網(wǎng)絡(luò)的認(rèn)證和安全管理,也可以用于無(wú)線(xiàn)局域網(wǎng)(WLAN)的認(rèn)證,以及用于網(wǎng)絡(luò)訪(fǎng)問(wèn)控制(NAC)的認(rèn)證,以及虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)的認(rèn)證,以及認(rèn)證桌面訪(fǎng)問(wèn)(DA)的認(rèn)證。 802.1x協(xié)議是基于Client/Server的訪(fǎng)問(wèn)控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶(hù)/設(shè)備通過(guò)接入端口訪(fǎng)問(wèn)LAN/WLAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前,802.1x對(duì)連接到交換機(jī)端口上的用戶(hù)/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過(guò)之前,802.1x只允許EAPoL(基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)數(shù)據(jù)通過(guò)設(shè)備連接的交換機(jī)端口;認(rèn)證通過(guò)以后,正常的數(shù)據(jù)可以順利地通過(guò)以太網(wǎng)端口。 網(wǎng)絡(luò)訪(fǎng)問(wèn)技術(shù)的核心部分是PAE(端口訪(fǎng)問(wèn)實(shí)體)。在訪(fǎng)問(wèn)控制流程中,端口訪(fǎng)問(wèn)實(shí)體包含3部分:認(rèn)證者--對(duì)接入的用戶(hù)/設(shè)備進(jìn)行認(rèn)證的端口;請(qǐng)求者--被認(rèn)證的用戶(hù)/設(shè)備;認(rèn)證服務(wù)器--根據(jù)認(rèn)證者的信息,對(duì)請(qǐng)求訪(fǎng)問(wèn)網(wǎng)絡(luò)資源的用戶(hù)/設(shè)備進(jìn)行實(shí)際認(rèn)證功能的設(shè)備。 以太網(wǎng)的每個(gè)物理端口被分為受控和不受控的兩個(gè)邏輯端口,物理端口收到的每個(gè)幀都被送到受控和不受控端口。對(duì)受控端口的訪(fǎng)問(wèn),受限于受控端口的授權(quán)狀態(tài)。認(rèn)證者的PAE根據(jù)認(rèn)證服務(wù)器認(rèn)證過(guò)程的結(jié)果,控制"受控端口"的授權(quán)/未授權(quán)狀態(tài)。處在未授權(quán)狀態(tài)的控制端口將拒絕用戶(hù)/設(shè)備的訪(fǎng)問(wèn)。 1.802.1x認(rèn)證特點(diǎn) 基于以太網(wǎng)端口認(rèn)證的802.1x協(xié)議有如下特點(diǎn):IEEE802.1x協(xié)議為二層協(xié)議,不需要到達(dá)三層,對(duì)設(shè)備的整體性能要求不高,可以有效降低建網(wǎng)成本;借用了在RAS系統(tǒng)中常用的EAP(擴(kuò)展認(rèn)證協(xié)議),可以提供良好的擴(kuò)展性和適應(yīng)性,實(shí)現(xiàn)對(duì)傳統(tǒng)PPP認(rèn)證架構(gòu)的兼容;802.1x的認(rèn)證體系結(jié)構(gòu)中采用了"可控端口"和"不可控端口"的邏輯功能,從而可以實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證的分離,由RADIUS和交換機(jī)利用不可控的邏輯端口共同完成對(duì)用戶(hù)的認(rèn)證與控制,業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上通過(guò)可控端口進(jìn)行交換,通過(guò)認(rèn)證之后的數(shù)據(jù)包是無(wú)需封裝的純數(shù)據(jù)包;可以使用現(xiàn)有的后臺(tái)認(rèn)證系統(tǒng)降低部署的成本,并有豐富的業(yè)務(wù)支持;可以映射不同的用戶(hù)認(rèn)證等級(jí)到不同的VLAN;可以使交換端口和無(wú)線(xiàn)LAN具有安全的認(rèn)證接入功能。 2.802.1x工作過(guò)程 。1.當(dāng)用戶(hù)有上網(wǎng)需求時(shí)打開(kāi)802.1X客戶(hù)端程序,輸入已經(jīng)申請(qǐng)、登記過(guò)的用戶(hù)名和口令,發(fā)起連接請(qǐng)求。此時(shí),客戶(hù)端程序?qū)l(fā)出請(qǐng)求認(rèn)證的報(bào)文給交換機(jī),開(kāi)始啟動(dòng)一次認(rèn)證過(guò)程。 。2.交換機(jī)收到請(qǐng)求認(rèn)證的數(shù)據(jù)幀后,將發(fā)出一個(gè)請(qǐng)求幀要求用戶(hù)的客戶(hù)端程序?qū)⑤斎氲挠脩?hù)名送上來(lái)。 (3.客戶(hù)端程序響應(yīng)交換機(jī)發(fā)出的請(qǐng)求,將用戶(hù)名信息通過(guò)數(shù)據(jù)幀送給交換機(jī)。交換機(jī)將客戶(hù)端送上來(lái)的數(shù)據(jù)幀經(jīng)過(guò)封包處理后送給認(rèn)證服務(wù)器進(jìn)行處理。 。4.認(rèn)證服務(wù)器收到交換機(jī)轉(zhuǎn)發(fā)上來(lái)的用戶(hù)名信息后,將該信息與數(shù)據(jù)庫(kù)中的用戶(hù)名表相比對(duì),找到該用戶(hù)名對(duì)應(yīng)的口令信息,用隨機(jī)生成的一個(gè)加密字對(duì)它進(jìn)行加密處理,同時(shí)也將此加密字傳送給交換機(jī),由交換機(jī)傳給客戶(hù)端程序。 。5.客戶(hù)端程序收到由交換機(jī)傳來(lái)的加密字后,用該加密字對(duì)口令部分進(jìn)行加密處理(此種加密算法通常是不可逆的),并通過(guò)交換機(jī)傳給認(rèn)證服務(wù)器。 。6.認(rèn)證服務(wù)器將送上來(lái)的加密后的口令信息和其自己經(jīng)過(guò)加密運(yùn)算后的口令信息進(jìn)行對(duì)比,如果相同,則認(rèn)為該用戶(hù)為合法用戶(hù),反饋認(rèn)證通過(guò)的消息,并向交換機(jī)發(fā)出打開(kāi)端口的指令,允許用戶(hù)的業(yè)務(wù)流通過(guò)端口訪(fǎng)問(wèn)網(wǎng)絡(luò)。否則,反饋認(rèn)證失敗的消息,并保持交換機(jī)端口的關(guān)閉狀態(tài),只允許認(rèn)證信息數(shù)據(jù)通過(guò)而不允許業(yè)務(wù)數(shù)據(jù)通過(guò)。 3.802.1x應(yīng)用環(huán)境特點(diǎn) (1)交換式以太網(wǎng)絡(luò)環(huán)境 對(duì)于交換式以太網(wǎng)絡(luò)中,用戶(hù)和網(wǎng)絡(luò)之間采用點(diǎn)到點(diǎn)的物理連接,用戶(hù)彼此之間通過(guò)VLAN隔離,此網(wǎng)絡(luò)環(huán)境下,網(wǎng)絡(luò)管理控制的關(guān)鍵是用戶(hù)接入控制,802.1x不需要提供過(guò)多的安全機(jī)制。 (2)共享式網(wǎng)絡(luò)環(huán)境 當(dāng)802.1x應(yīng)用于共享式的網(wǎng)絡(luò)環(huán)境時(shí),為了防止在共享式的網(wǎng)絡(luò)環(huán)境中出現(xiàn)類(lèi)似“搭載”的問(wèn)題,有必要將PAE實(shí)體由物理端口進(jìn)一步擴(kuò)展為多個(gè)互相獨(dú)立的邏輯端口。邏輯端口和用戶(hù)/設(shè)備形成一一對(duì)應(yīng)關(guān)系,并且各邏輯端口之間的認(rèn)證過(guò)程和結(jié)果相互獨(dú)立。在共享式網(wǎng)絡(luò)中,用戶(hù)之間共享接入物理媒介,接入網(wǎng)絡(luò)的管理控制必須兼顧用戶(hù)接入控制和用戶(hù)數(shù)據(jù)安全,可以采用的安全措施是對(duì)EAPoL和用戶(hù)的其它數(shù)據(jù)進(jìn)行加密封裝。在實(shí)際網(wǎng)絡(luò)環(huán)境中,可以通過(guò)加速WEP密鑰重分配周期,彌補(bǔ)WEP靜態(tài)分配秘鑰導(dǎo)致的安全性的缺陷。 4.802.1x認(rèn)證的安全性分析 802.1x協(xié)議中,有關(guān)安全性的問(wèn)題一直是802.1x反對(duì)者攻擊的焦點(diǎn)。實(shí)際上,這個(gè)問(wèn)題的確困擾了802.1x技術(shù)很長(zhǎng)一段時(shí)間,甚至限制了802.1x技術(shù)的應(yīng)用。但技術(shù)的發(fā)展為這個(gè)問(wèn)題給出了答案:802.1x結(jié)合EAP,可以提供靈活、多樣的認(rèn)證解決方案。 4.802.1x認(rèn)證的優(yōu)勢(shì) 綜合IEEE802.1x的技術(shù)特點(diǎn),其具有的優(yōu)勢(shì)可以總結(jié)為以下幾點(diǎn)。 簡(jiǎn)潔高效:純以太網(wǎng)技術(shù)內(nèi)核,保持了IP網(wǎng)絡(luò)無(wú)連接特性,不需要進(jìn)行協(xié)議間的多層封裝,去除了不必要的開(kāi)銷(xiāo)和冗余;消除網(wǎng)絡(luò)認(rèn)證計(jì)費(fèi)瓶頸和單點(diǎn)故障,易于支持多業(yè)務(wù)和新興流媒體業(yè)務(wù)。 容易實(shí)現(xiàn):可在普通L3、L2、IPDSLAM上實(shí)現(xiàn),網(wǎng)絡(luò)綜合造價(jià)成本低,保留了傳統(tǒng)AAA認(rèn)證的網(wǎng)絡(luò)架構(gòu),可以利用現(xiàn)有的RADIUS設(shè)備。 安全可靠:在二層網(wǎng)絡(luò)上實(shí)現(xiàn)用戶(hù)認(rèn)證,結(jié)合MAC、端口、賬戶(hù)、VLAN和密碼等;綁定技術(shù)具有很高的安全性,在無(wú)線(xiàn)局域網(wǎng)網(wǎng)絡(luò)環(huán)境中802.1x結(jié)合EAP-TLS,EAP-TTLS,可以實(shí)現(xiàn)對(duì)WEP證書(shū)密鑰的動(dòng)態(tài)分配,克服無(wú)線(xiàn)局域網(wǎng)接入中的安全漏洞。 行業(yè)標(biāo)準(zhǔn):IEEE標(biāo)準(zhǔn),和以太網(wǎng)標(biāo)準(zhǔn)同源,可以實(shí)現(xiàn)和以太網(wǎng)技術(shù)的無(wú)縫融合,幾乎所有的主流數(shù)據(jù)設(shè)備廠商在其設(shè)備,包括路由器、交換機(jī)和無(wú)線(xiàn)AP上都提供對(duì)該協(xié)議的支持。在客戶(hù)端方面微軟WindowsXP操作系統(tǒng)內(nèi)置支持,Linux也提供了對(duì)該協(xié)議的支持。 應(yīng)用靈活:可以靈活控制認(rèn)證的顆粒度,用于對(duì)單個(gè)用戶(hù)連接、用戶(hù)ID或者是對(duì)接入設(shè)備進(jìn)行認(rèn)證,認(rèn)證的層次可以進(jìn)行靈活的組合,滿(mǎn)足特定的接入技術(shù)或者是業(yè)務(wù)的需要。 易于運(yùn)營(yíng):控制流和業(yè)務(wù)流完全分離,易于實(shí)現(xiàn)跨平臺(tái)多業(yè)務(wù)運(yùn)營(yíng),少量改造傳統(tǒng)包月制等單一收費(fèi)制網(wǎng)絡(luò)即可升級(jí)成運(yùn)營(yíng)級(jí)網(wǎng)絡(luò),而且網(wǎng)絡(luò)的運(yùn)營(yíng)成本也有望降低。 Template:Expand IEEE 802.1X是IEEE制定關(guān)于用戶(hù)接入網(wǎng)絡(luò)的認(rèn)證標(biāo)準(zhǔn)(注意:此處X是大寫(xiě),詳細(xì)請(qǐng)參看IEEE關(guān)于命名的解釋?zhuān)。它的全稱(chēng)是“基于端口的網(wǎng)絡(luò)接入控制”。于2001年標(biāo)準(zhǔn)化,之后為了配合無(wú)線(xiàn)網(wǎng)絡(luò)的接入進(jìn)行修訂改版,于2004年完成。 IEEE 802.1X協(xié)議在用戶(hù)接入網(wǎng)絡(luò)(可以是以太網(wǎng),也可以是Wi-Fi網(wǎng))之前運(yùn)行,運(yùn)行于網(wǎng)絡(luò)中的MAC層。EAP協(xié)議RADIUS協(xié)議。cs:IEEE 802.1X de:IEEE 802.1x en:IEEE 802.1X es:IEEE 802.1X fi:802.1x fr:IEEE 802.1X it:IEEE 802.1x pl:802.1X IEEE802.1x協(xié)議具有完備的用戶(hù)認(rèn)證、管理功能,可以很好的支撐寬帶網(wǎng)絡(luò)的計(jì)費(fèi)、安全、運(yùn)營(yíng)和管理要求,對(duì)寬帶IP城域網(wǎng)等電信級(jí)網(wǎng)絡(luò)的運(yùn)營(yíng)和管理具有極大的優(yōu)勢(shì)。IEEE802.1x協(xié)議對(duì)認(rèn)證方式和認(rèn)證體系結(jié)構(gòu)上進(jìn)行了優(yōu)化,解決了傳統(tǒng)PPPOE和WEB/PORTAL認(rèn)證方式帶來(lái)的問(wèn)題,更加適合在寬帶以太網(wǎng)中的使用。 基于客戶(hù)端/服務(wù)器的訪(fǎng)問(wèn)控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的 用戶(hù)/設(shè)備通過(guò)接入端口訪(fǎng)問(wèn) LAN/WLAN。當(dāng)客戶(hù)端與 AP 關(guān)聯(lián)后, 是 否可以使用 AP 提供的無(wú)線(xiàn)服務(wù)要取決于 802.1x 的認(rèn)證結(jié)果。如 果客戶(hù) 端能通過(guò)認(rèn)證,就可以訪(fǎng)問(wèn) WLAN 中的資源;如果不能通過(guò) 認(rèn)證,則 無(wú)法訪(fǎng)問(wèn) WLAN 中的資源。
802.1x協(xié)議是基于Client/Server的訪(fǎng)問(wèn)控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶(hù)/設(shè)備通過(guò)接入端口訪(fǎng)問(wèn)LAN/WLAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前,802.1x對(duì)連接到交換機(jī)端口上的用戶(hù)/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過(guò)之前,802.1x只允許EAPoL(基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)數(shù)據(jù)通過(guò)設(shè)備連接的交換機(jī)端口;認(rèn)證通過(guò)以后,正常的數(shù)據(jù)可以順利地通過(guò)以太網(wǎng)端口。 網(wǎng)絡(luò)訪(fǎng)問(wèn)技術(shù)的核心部分是PAE(端口訪(fǎng)問(wèn)實(shí)體)。在訪(fǎng)問(wèn)控制流程中,端口訪(fǎng)問(wèn)實(shí)體包含3部分:認(rèn)證者--對(duì)接入的用戶(hù)/設(shè)備進(jìn)行認(rèn)證的端口;請(qǐng)求者--被認(rèn)證的用戶(hù)/設(shè)備;認(rèn)證服務(wù)器--根據(jù)認(rèn)證者的信息,對(duì)請(qǐng)求訪(fǎng)問(wèn)網(wǎng)絡(luò)資源的用戶(hù)/設(shè)備進(jìn)行實(shí)際認(rèn)證功能的設(shè)備。 以太網(wǎng)的每個(gè)物理端口被分為受控和不受控的兩個(gè)邏輯端口,物理端口收到的每個(gè)幀都被送到受控和不受控端口。對(duì)受控端口的訪(fǎng)問(wèn),受限于受控端口的授權(quán)狀態(tài)。認(rèn)證者的PAE根據(jù)認(rèn)證服務(wù)器認(rèn)證過(guò)程的結(jié)果,控制"受控端口"的授權(quán)/未授權(quán)狀態(tài)。處在未授權(quán)狀態(tài)的控制端口將拒絕用戶(hù)/設(shè)備的訪(fǎng)問(wèn)。 1.802.1x認(rèn)證特點(diǎn) 基于以太網(wǎng)端口認(rèn)證的802.1x協(xié)議有如下特點(diǎn):IEEE802.1x協(xié)議為二層協(xié)議,不需要到達(dá)三層,對(duì)設(shè)備的整體性能要求不高,可以有效降低建網(wǎng)成本;借用了在RAS系統(tǒng)中常用的EAP(擴(kuò)展認(rèn)證協(xié)議),可以提供良好的擴(kuò)展性和適應(yīng)性,實(shí)現(xiàn)對(duì)傳統(tǒng)PPP認(rèn)證架構(gòu)的兼容;802.1x的認(rèn)證體系結(jié)構(gòu)中采用了"可控端口"和"不可控端口"的邏輯功能,從而可以實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證的分離,由RADIUS和交換機(jī)利用不可控的邏輯端口共同完成對(duì)用戶(hù)的認(rèn)證與控制,業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上通過(guò)可控端口進(jìn)行交換,通過(guò)認(rèn)證之后的數(shù)據(jù)包是無(wú)需封裝的純數(shù)據(jù)包;可以使用現(xiàn)有的后臺(tái)認(rèn)證系統(tǒng)降低部署的成本,并有豐富的業(yè)務(wù)支持;可以映射不同的用戶(hù)認(rèn)證等級(jí)到不同的VLAN;可以使交換端口和無(wú)線(xiàn)LAN具有安全的認(rèn)證接入功能。 2.802.1x工作過(guò)程 。1.當(dāng)用戶(hù)有上網(wǎng)需求時(shí)打開(kāi)802.1X客戶(hù)端程序,輸入已經(jīng)申請(qǐng)、登記過(guò)的用戶(hù)名和口令,發(fā)起連接請(qǐng)求。此時(shí),客戶(hù)端程序?qū)l(fā)出請(qǐng)求認(rèn)證的報(bào)文給交換機(jī),開(kāi)始啟動(dòng)一次認(rèn)證過(guò)程。 。2.交換機(jī)收到請(qǐng)求認(rèn)證的數(shù)據(jù)幀后,將發(fā)出一個(gè)請(qǐng)求幀要求用戶(hù)的客戶(hù)端程序?qū)⑤斎氲挠脩?hù)名送上來(lái)。 (3.客戶(hù)端程序響應(yīng)交換機(jī)發(fā)出的請(qǐng)求,將用戶(hù)名信息通過(guò)數(shù)據(jù)幀送給交換機(jī)。交換機(jī)將客戶(hù)端送上來(lái)的數(shù)據(jù)幀經(jīng)過(guò)封包處理后送給認(rèn)證服務(wù)器進(jìn)行處理。 。4.認(rèn)證服務(wù)器收到交換機(jī)轉(zhuǎn)發(fā)上來(lái)的用戶(hù)名信息后,將該信息與數(shù)據(jù)庫(kù)中的用戶(hù)名表相比對(duì),找到該用戶(hù)名對(duì)應(yīng)的口令信息,用隨機(jī)生成的一個(gè)加密字對(duì)它進(jìn)行加密處理,同時(shí)也將此加密字傳送給交換機(jī),由交換機(jī)傳給客戶(hù)端程序。 。5.客戶(hù)端程序收到由交換機(jī)傳來(lái)的加密字后,用該加密字對(duì)口令部分進(jìn)行加密處理(此種加密算法通常是不可逆的),并通過(guò)交換機(jī)傳給認(rèn)證服務(wù)器。 。6.認(rèn)證服務(wù)器將送上來(lái)的加密后的口令信息和其自己經(jīng)過(guò)加密運(yùn)算后的口令信息進(jìn)行對(duì)比,如果相同,則認(rèn)為該用戶(hù)為合法用戶(hù),反饋認(rèn)證通過(guò)的消息,并向交換機(jī)發(fā)出打開(kāi)端口的指令,允許用戶(hù)的業(yè)務(wù)流通過(guò)端口訪(fǎng)問(wèn)網(wǎng)絡(luò)。否則,反饋認(rèn)證失敗的消息,并保持交換機(jī)端口的關(guān)閉狀態(tài),只允許認(rèn)證信息數(shù)據(jù)通過(guò)而不允許業(yè)務(wù)數(shù)據(jù)通過(guò)。 3.802.1x應(yīng)用環(huán)境特點(diǎn) (1)交換式以太網(wǎng)絡(luò)環(huán)境 對(duì)于交換式以太網(wǎng)絡(luò)中,用戶(hù)和網(wǎng)絡(luò)之間采用點(diǎn)到點(diǎn)的物理連接,用戶(hù)彼此之間通過(guò)VLAN隔離,此網(wǎng)絡(luò)環(huán)境下,網(wǎng)絡(luò)管理控制的關(guān)鍵是用戶(hù)接入控制,802.1x不需要提供過(guò)多的安全機(jī)制。 (2)共享式網(wǎng)絡(luò)環(huán)境 當(dāng)802.1x應(yīng)用于共享式的網(wǎng)絡(luò)環(huán)境時(shí),為了防止在共享式的網(wǎng)絡(luò)環(huán)境中出現(xiàn)類(lèi)似“搭載”的問(wèn)題,有必要將PAE實(shí)體由物理端口進(jìn)一步擴(kuò)展為多個(gè)互相獨(dú)立的邏輯端口。邏輯端口和用戶(hù)/設(shè)備形成一一對(duì)應(yīng)關(guān)系,并且各邏輯端口之間的認(rèn)證過(guò)程和結(jié)果相互獨(dú)立。在共享式網(wǎng)絡(luò)中,用戶(hù)之間共享接入物理媒介,接入網(wǎng)絡(luò)的管理控制必須兼顧用戶(hù)接入控制和用戶(hù)數(shù)據(jù)安全,可以采用的安全措施是對(duì)EAPoL和用戶(hù)的其它數(shù)據(jù)進(jìn)行加密封裝。在實(shí)際網(wǎng)絡(luò)環(huán)境中,可以通過(guò)加速WEP密鑰重分配周期,彌補(bǔ)WEP靜態(tài)分配秘鑰導(dǎo)致的安全性的缺陷。 4.802.1x認(rèn)證的安全性分析 802.1x協(xié)議中,有關(guān)安全性的問(wèn)題一直是802.1x反對(duì)者攻擊的焦點(diǎn)。實(shí)際上,這個(gè)問(wèn)題的確困擾了802.1x技術(shù)很長(zhǎng)一段時(shí)間,甚至限制了802.1x技術(shù)的應(yīng)用。但技術(shù)的發(fā)展為這個(gè)問(wèn)題給出了答案:802.1x結(jié)合EAP,可以提供靈活、多樣的認(rèn)證解決方案。 4.802.1x認(rèn)證的優(yōu)勢(shì) 綜合IEEE802.1x的技術(shù)特點(diǎn),其具有的優(yōu)勢(shì)可以總結(jié)為以下幾點(diǎn)。 簡(jiǎn)潔高效:純以太網(wǎng)技術(shù)內(nèi)核,保持了IP網(wǎng)絡(luò)無(wú)連接特性,不需要進(jìn)行協(xié)議間的多層封裝,去除了不必要的開(kāi)銷(xiāo)和冗余;消除網(wǎng)絡(luò)認(rèn)證計(jì)費(fèi)瓶頸和單點(diǎn)故障,易于支持多業(yè)務(wù)和新興流媒體業(yè)務(wù)。 容易實(shí)現(xiàn):可在普通L3、L2、IPDSLAM上實(shí)現(xiàn),網(wǎng)絡(luò)綜合造價(jià)成本低,保留了傳統(tǒng)AAA認(rèn)證的網(wǎng)絡(luò)架構(gòu),可以利用現(xiàn)有的RADIUS設(shè)備。 安全可靠:在二層網(wǎng)絡(luò)上實(shí)現(xiàn)用戶(hù)認(rèn)證,結(jié)合MAC、端口、賬戶(hù)、VLAN和密碼等;綁定技術(shù)具有很高的安全性,在無(wú)線(xiàn)局域網(wǎng)網(wǎng)絡(luò)環(huán)境中802.1x結(jié)合EAP-TLS,EAP-TTLS,可以實(shí)現(xiàn)對(duì)WEP證書(shū)密鑰的動(dòng)態(tài)分配,克服無(wú)線(xiàn)局域網(wǎng)接入中的安全漏洞。 行業(yè)標(biāo)準(zhǔn):IEEE標(biāo)準(zhǔn),和以太網(wǎng)標(biāo)準(zhǔn)同源,可以實(shí)現(xiàn)和以太網(wǎng)技術(shù)的無(wú)縫融合,幾乎所有的主流數(shù)據(jù)設(shè)備廠商在其設(shè)備,包括路由器、交換機(jī)和無(wú)線(xiàn)AP上都提供對(duì)該協(xié)議的支持。在客戶(hù)端方面微軟WindowsXP操作系統(tǒng)內(nèi)置支持,Linux也提供了對(duì)該協(xié)議的支持。 應(yīng)用靈活:可以靈活控制認(rèn)證的顆粒度,用于對(duì)單個(gè)用戶(hù)連接、用戶(hù)ID或者是對(duì)接入設(shè)備進(jìn)行認(rèn)證,認(rèn)證的層次可以進(jìn)行靈活的組合,滿(mǎn)足特定的接入技術(shù)或者是業(yè)務(wù)的需要。 易于運(yùn)營(yíng):控制流和業(yè)務(wù)流完全分離,易于實(shí)現(xiàn)跨平臺(tái)多業(yè)務(wù)運(yùn)營(yíng),少量改造傳統(tǒng)包月制等單一收費(fèi)制網(wǎng)絡(luò)即可升級(jí)成運(yùn)營(yíng)級(jí)網(wǎng)絡(luò),而且網(wǎng)絡(luò)的運(yùn)營(yíng)成本也有望降低。 Template:Expand IEEE 802.1X是IEEE制定關(guān)于用戶(hù)接入網(wǎng)絡(luò)的認(rèn)證標(biāo)準(zhǔn)(注意:此處X是大寫(xiě),詳細(xì)請(qǐng)參看IEEE關(guān)于命名的解釋?zhuān)。它的全稱(chēng)是“基于端口的網(wǎng)絡(luò)接入控制”。于2001年標(biāo)準(zhǔn)化,之后為了配合無(wú)線(xiàn)網(wǎng)絡(luò)的接入進(jìn)行修訂改版,于2004年完成。 IEEE 802.1X協(xié)議在用戶(hù)接入網(wǎng)絡(luò)(可以是以太網(wǎng),也可以是Wi-Fi網(wǎng))之前運(yùn)行,運(yùn)行于網(wǎng)絡(luò)中的MAC層。EAP協(xié)議RADIUS協(xié)議。cs:IEEE 802.1X de:IEEE 802.1x en:IEEE 802.1X es:IEEE 802.1X fi:802.1x fr:IEEE 802.1X it:IEEE 802.1x pl:802.1X IEEE802.1x協(xié)議具有完備的用戶(hù)認(rèn)證、管理功能,可以很好的支撐寬帶網(wǎng)絡(luò)的計(jì)費(fèi)、安全、運(yùn)營(yíng)和管理要求,對(duì)寬帶IP城域網(wǎng)等電信級(jí)網(wǎng)絡(luò)的運(yùn)營(yíng)和管理具有極大的優(yōu)勢(shì)。IEEE802.1x協(xié)議對(duì)認(rèn)證方式和認(rèn)證體系結(jié)構(gòu)上進(jìn)行了優(yōu)化,解決了傳統(tǒng)PPPOE和WEB/PORTAL認(rèn)證方式帶來(lái)的問(wèn)題,更加適合在寬帶以太網(wǎng)中的使用。 基于客戶(hù)端/服務(wù)器的訪(fǎng)問(wèn)控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的 用戶(hù)/設(shè)備通過(guò)接入端口訪(fǎng)問(wèn) LAN/WLAN。當(dāng)客戶(hù)端與 AP 關(guān)聯(lián)后, 是 否可以使用 AP 提供的無(wú)線(xiàn)服務(wù)要取決于 802.1x 的認(rèn)證結(jié)果。如 果客戶(hù) 端能通過(guò)認(rèn)證,就可以訪(fǎng)問(wèn) WLAN 中的資源;如果不能通過(guò) 認(rèn)證,則 無(wú)法訪(fǎng)問(wèn) WLAN 中的資源。
抱歉,此頁(yè)面的內(nèi)容受版權(quán)保護(hù),復(fù)制需扣除次數(shù),次數(shù)不足時(shí)需付費(fèi)購(gòu)買(mǎi)。
如需下載請(qǐng)點(diǎn)擊:點(diǎn)擊此處下載
掃碼付費(fèi)即可復(fù)制
ICD | BCCH | 半波 | 諾基亞1110 | 呼叫保持時(shí)間 | brew | baoc | 博通 | EAI | KCL | 光孤子通信 | 低速率編碼 |
移動(dòng)通信網(wǎng) | 通信人才網(wǎng) | 更新日志 | 團(tuán)隊(duì)博客 | 免責(zé)聲明 | 關(guān)于詞典 | 幫助