8021x協(xié)議解析

1、8021x協(xié)議解析發(fā)布日期：2004-5-15瀏覽次數(shù): 802.1X協(xié)議是由(美)電氣與電子工程師協(xié)會提出，剛剛完成標(biāo)準(zhǔn)化的一個(gè)符合IEEE 802協(xié)議集的局域網(wǎng)接入控制協(xié)議，其全稱為基于端口的訪問控制協(xié)議。它能夠在利用IEEE 802局域網(wǎng)優(yōu)勢的基礎(chǔ)上提供一種對連接到局域網(wǎng)的用戶進(jìn)行認(rèn)證和授權(quán)的手段，達(dá)到了接受合法用戶接入，保護(hù)網(wǎng)絡(luò)安全的目的。 802.1x認(rèn)證，又稱EAPOE認(rèn)證，主要用于寬帶IP城域網(wǎng)。一、802.1x認(rèn)證技術(shù)的起源802.1x協(xié)議起源于802.11協(xié)議，后者是標(biāo)準(zhǔn)的無線局域網(wǎng)協(xié)議，802.1x協(xié)議的主要目的是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題。有線局域網(wǎng)通過固定線路

2、連接組建，計(jì)算機(jī)終端通過網(wǎng)線接入固定位置物理端口，實(shí)現(xiàn)局域網(wǎng)接入，這些固定位置的物理端口構(gòu)成有線局域網(wǎng)的封閉物理空間。但是，由于無線局域網(wǎng)的網(wǎng)絡(luò)空間具有開放性和終端可移動性，因此很難通過網(wǎng)絡(luò)物理空間來界定終端是否屬于該網(wǎng)絡(luò)，因此，如何通過端口認(rèn)證來防止其他公司的計(jì)算機(jī)接入本公司無線網(wǎng)絡(luò)就成為一項(xiàng)非?，F(xiàn)實(shí)的問題，802.1x正是基于這一需求而出現(xiàn)的一種認(rèn)證技術(shù)。也就是說，對于有線局域網(wǎng)，該項(xiàng)認(rèn)證沒有存在的意義。由此可以看出，802.1x協(xié)議并不是為寬帶IP城域網(wǎng)量身定做的認(rèn)證技術(shù)，將其應(yīng)用于寬帶IP城域網(wǎng)，必然會有其局限性，下面將詳細(xì)說明該認(rèn)證技術(shù)的特點(diǎn)，并與PPPOE認(rèn)證、VLANWEB認(rèn)證進(jìn)

3、行比較，并分析其在寬帶IP城域網(wǎng)中的應(yīng)用。二、802.1x認(rèn)證技術(shù)的特點(diǎn)802.1x協(xié)議僅僅關(guān)注端口的打開與關(guān)閉，對于合法用戶（根據(jù)帳號和密碼）接入時(shí)，該端口打開，而對于非法用戶接入或沒有用戶接入時(shí)，則該端口處于關(guān)閉狀態(tài)。認(rèn)證的結(jié)果在于端口狀態(tài)的改變，而不涉及通常認(rèn)證技術(shù)必須考慮的IP地址協(xié)商和分配問題，是各種認(rèn)證技術(shù)中最簡化的實(shí)現(xiàn)方案。802.1x認(rèn)證技術(shù)的操作粒度為端口，合法用戶接入端口之后，端口處于打開狀態(tài)，因此其它用戶（合法或非法）通過該端口時(shí)，不需認(rèn)證即可接入網(wǎng)絡(luò)。對于無線局域網(wǎng)接入而言，認(rèn)證之后建立起來的信道（端口）被獨(dú)占，不存在其它用戶再次使用的問題，但是，如果802.1x認(rèn)證技

4、術(shù)用于寬帶IP城域網(wǎng)的認(rèn)證，就存在端口打開之后，其它用戶（合法或非法）可自由接入和無法控制的問題。接入認(rèn)證通過之后，IP數(shù)據(jù)包在二層普通MAC幀上傳送，認(rèn)證后的數(shù)據(jù)流和沒有認(rèn)證的數(shù)據(jù)流完全一樣，這是由于認(rèn)證行為僅在用戶接入的時(shí)刻進(jìn)行，認(rèn)證通過后不再進(jìn)行合法性檢查。表1和表2分別羅列出802.1x協(xié)議與PPPOE、VLANWEB的性能比較。表1：802.1x與PPPOE認(rèn)證的技術(shù)比較的指令，允許用戶的業(yè)務(wù)流通過端口訪問網(wǎng)絡(luò)。否則，反饋認(rèn)證失敗的消息，并保持交換機(jī)端口的關(guān)閉狀態(tài)，只允許認(rèn)證信息數(shù)據(jù)通過而不允許業(yè)務(wù)數(shù)據(jù)通過。 這里要提出的一個(gè)值得注意的地方是: 在客戶端與認(rèn)證服務(wù)器交換口令信息的時(shí)候

5、，沒有將口令以明文直接送到網(wǎng)絡(luò)上進(jìn)行傳輸，而是對口令信息進(jìn)行了不可逆的加密算法處理，使在網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒂辛烁叩陌踩Ｕ希沤^了由于下級接入設(shè)備所具有的廣播特性而導(dǎo)致敏感信息泄漏的問題。 在802.1X解決方案中，通常采用基于MAC地址的端口訪問控制模式。采用此種模式將會帶來降低用戶建網(wǎng)成本、降低認(rèn)證服務(wù)器性能要求的優(yōu)點(diǎn)。對于此種訪問控制方式，應(yīng)當(dāng)采用相應(yīng)的手段來防止由于MAC、IP地址假冒所發(fā)生的網(wǎng)絡(luò)安全問題。 1. 對于假冒MAC地址的情況 當(dāng)認(rèn)證交換機(jī)的一個(gè)物理端口下面再級連一臺接入級交換機(jī)，而該臺接入交換機(jī)上的甲用戶已經(jīng)通過認(rèn)證并正常使用網(wǎng)絡(luò)資源，則此時(shí)在認(rèn)證交換機(jī)的該物理端口中

6、就已將甲用戶終端設(shè)備的MAC地址設(shè)定為允許發(fā)送業(yè)務(wù)數(shù)據(jù)。假如同一臺接入交換機(jī)下的乙用戶將自己的MAC地址修改得與甲用戶的MAC地址相同，則即使乙用戶沒有經(jīng)過認(rèn)證過程也能夠使用網(wǎng)絡(luò)資源了，這樣就給網(wǎng)絡(luò)安全帶來了漏洞。針對此種情況，港灣網(wǎng)絡(luò)交換機(jī)在實(shí)現(xiàn)了802.1X認(rèn)證、授權(quán)功能的交換機(jī)上通過MAC地址+IP地址的綁定功能來阻止假冒MAC地址的用戶非法訪問。對于動態(tài)分配IP地址的網(wǎng)絡(luò)系統(tǒng)，由于非法用戶無法預(yù)先獲知其他用戶將會分配到的IP地址，因此他即使知道某一用戶的MAC地址也無法偽造IP地址，也就無法冒充合法用戶訪問網(wǎng)絡(luò)資源。 對于靜態(tài)分配地址的方案，由于具有同一IP地址的兩臺終端設(shè)備必然會造成

7、IP地址沖突，因此同時(shí)假冒MAC地址和IP地址的方法也是不可行的。 當(dāng)假冒者和合法用戶分屬于認(rèn)證交換機(jī)兩個(gè)不同的物理端口，則假冒者即使知道合法用戶的MAC地址，而由于該MAC地址不在同一物理端口，因此，假冒者還是無法進(jìn)入網(wǎng)絡(luò)系統(tǒng)。 2. 對于假冒IP地址的情況 由于802.1X采用了基于二層的認(rèn)證方式，因此，當(dāng)采用動態(tài)地址分配方案時(shí)，只有用戶認(rèn)證通過后，才能夠分配到IP網(wǎng)絡(luò)地址。 對于靜態(tài)地址分配策略，如果假冒了IP地址，而沒有能夠通過認(rèn)證，也不會與正在使用該地址的合法用戶發(fā)生地址沖突。 如果用戶能夠通過認(rèn)證，但假冒了其他用戶的IP地址，則通過在認(rèn)證交換機(jī)上采用IP地址+MAC地址綁定的方式來

8、控制用戶的訪問接入。這使得假冒用戶無法進(jìn)行正常的業(yè)務(wù)通信，從而達(dá)到了防止IP地址被篡改、假冒的目的。 3. 對于用戶口令失竊、擴(kuò)散的處理 在使用802.1X認(rèn)證協(xié)議的系統(tǒng)中，用戶口令失竊和口令擴(kuò)散的情況非常多，對于這類情況，能夠通過在認(rèn)證服務(wù)器上限定同時(shí)接入具有同一用戶名和口令認(rèn)證信息的請求數(shù)量來達(dá)到控制用戶接入，避免非法訪問網(wǎng)絡(luò)系統(tǒng)的目的。 五、總結(jié)802.1x協(xié)議僅僅提供了一種用戶接入認(rèn)證的手段，并簡單地通過控制接入端口的開/關(guān)狀態(tài)來實(shí)現(xiàn)，這種簡化適用于無線局域網(wǎng)的接入認(rèn)證、點(diǎn)對點(diǎn)物理或邏輯端口的接入認(rèn)證，而在可運(yùn)營、可管理的寬帶IP城域網(wǎng)中作為一種認(rèn)證方式具有一定的局限性。表2：802.

9、1x與VLANWEB認(rèn)證的技術(shù)比較三、寬帶IP城域網(wǎng)中的認(rèn)證技術(shù)分析寬帶IP城域網(wǎng)建設(shè)越來越強(qiáng)調(diào)網(wǎng)絡(luò)的可運(yùn)營性和可管理性，具體包括：對用戶的認(rèn)證、計(jì)費(fèi)，IP地址分配、全方位安全機(jī)制，對業(yè)務(wù)的支持能力和運(yùn)營能力等方面。其中用戶認(rèn)證技術(shù)是可運(yùn)營、可管理網(wǎng)絡(luò)的關(guān)鍵。從嚴(yán)格意義上講，認(rèn)證功能包括：識別和鑒權(quán)，對用戶的準(zhǔn)確有效識別，對用戶權(quán)限的下發(fā)、確認(rèn)和控制，這些構(gòu)成了用戶計(jì)費(fèi)和各種安全機(jī)制實(shí)施的前提以及多業(yè)務(wù)支持和發(fā)展的基礎(chǔ)。因此，寬帶IP城域網(wǎng)中認(rèn)證技術(shù)的采用必須遵循網(wǎng)絡(luò)的可運(yùn)營、可管理要求。實(shí)踐證明，PPPOE認(rèn)證技術(shù)、VLANWEB認(rèn)證技術(shù)均可很好地支撐寬帶網(wǎng)絡(luò)的計(jì)費(fèi)、安全、運(yùn)營和管理要求。對

10、于802.1x認(rèn)證技術(shù)，根據(jù)其定位和特點(diǎn)，在寬帶城域網(wǎng)中實(shí)現(xiàn)用戶認(rèn)證遠(yuǎn)遠(yuǎn)達(dá)不到可運(yùn)營、可管理要求，加之應(yīng)用又少，為了完備用戶的認(rèn)證、管理功能，還需要進(jìn)行大量協(xié)議之外的工作，目前僅有少數(shù)幾個(gè)二/三層交換機(jī)廠家在寬帶IP城域網(wǎng)中推廣此項(xiàng)方式，將802.1x技術(shù)附著在L2/L3產(chǎn)品上，使L2/L3產(chǎn)品具備BAS用戶認(rèn)證和管理功能。如上所述，這種認(rèn)證方式僅僅能夠基于端口的認(rèn)證，而且不是全程認(rèn)證，與其它BAS功能（計(jì)費(fèi)、安全機(jī)制、多業(yè)務(wù)支持）難以融合，因而不能稱為電信級認(rèn)證解決方案。在城域網(wǎng)建設(shè)初期，大家對可運(yùn)營、可管理性的認(rèn)識還不是很一致，802.1x認(rèn)證技術(shù)可能會有一定的市場空間，隨著寬帶IP城域網(wǎng)

11、建設(shè)的逐步成熟和對可管理的關(guān)注，基于端口開關(guān)狀態(tài)的802.1x認(rèn)證技術(shù)不會成為主流。四、8021x協(xié)議工作機(jī)制以太網(wǎng)技術(shù)“連通和共享”的設(shè)計(jì)初衷使目前由以太網(wǎng)構(gòu)成的網(wǎng)絡(luò)系統(tǒng)面臨著很多安全問題。IEEE 802.1X協(xié)議正是在基于這樣的背景下被提出來的，成為解決局域網(wǎng)安全問題的一個(gè)有效手段。 在802.1X協(xié)議中，只有具備了以下三個(gè)元素才能夠完成基于端口的訪問控制的用戶認(rèn)證和授權(quán)。 1. 客戶端：一般安裝在用戶的工作站上，當(dāng)用戶有上網(wǎng)需求時(shí)，激活客戶端程序，輸入必要的用戶名和口令，客戶端程序?qū)统鲞B接請求。 2. 認(rèn)證系統(tǒng)：在以太網(wǎng)系統(tǒng)中指認(rèn)證交換機(jī)，其主要作用是完成用戶認(rèn)證信息的上傳、下達(dá)工

12、作，并根據(jù)認(rèn)證的結(jié)果打開或關(guān)閉端口。 3. 認(rèn)證服務(wù)器：通過檢驗(yàn)客戶端發(fā)送來的身份標(biāo)識（用戶名和口令）來判別用戶是否有權(quán)使用網(wǎng)絡(luò)系統(tǒng)提供的網(wǎng)絡(luò)服務(wù)，并根據(jù)認(rèn)證結(jié)果向交換機(jī)發(fā)出打開或保持端口關(guān)閉的狀態(tài)。 在具有802.1X認(rèn)證功能的網(wǎng)絡(luò)系統(tǒng)中，當(dāng)一個(gè)用戶需要對網(wǎng)絡(luò)資源進(jìn)行訪問之前必須先要完成以下的認(rèn)證過程。 1. 當(dāng)用戶有上網(wǎng)需求時(shí)打開802.1X客戶端程序，輸入已經(jīng)申請、登記過的用戶名和口令，發(fā)起連接請求。此時(shí)，客戶端程序?qū)l(fā)出請求認(rèn)證的報(bào)文給交換機(jī)，開始啟動一次認(rèn)證過程。 2. 交換機(jī)收到請求認(rèn)證的數(shù)據(jù)幀后，將發(fā)出一個(gè)請求幀要求用戶的客戶端程序?qū)⑤斎氲挠脩裘蜕蟻怼?3. 客戶端程序響應(yīng)交換機(jī)發(fā)出的請求，將用戶名信息通過數(shù)據(jù)幀送給交換機(jī)。交換機(jī)將客戶端送上來的數(shù)據(jù)幀經(jīng)過封包處理后送給認(rèn)證服務(wù)器進(jìn)行處理。 4. 認(rèn)證服務(wù)器收到交換機(jī)轉(zhuǎn)發(fā)上來的用戶名信息后，將該信息與數(shù)據(jù)庫中的用戶名表相比對，找到該用戶名對應(yīng)的口令信息，用隨