8021x認證技術(shù)分析及其應(yīng)用建議

802.1x認證技術(shù)分析及其應(yīng)用建議C2004年8月23日13:28通信世界網(wǎng)中國電信集團北京研究院毛擁華一、 技術(shù)背景以太網(wǎng)的高性價比和媒體獨立的特性使其逐漸成為家庭、企業(yè)局域網(wǎng)、電信級城域網(wǎng)的主導(dǎo)接入技術(shù)，而且隨著10G以太網(wǎng)技術(shù)的出現(xiàn)，以太網(wǎng)技術(shù)在廣域網(wǎng)范圍內(nèi)也將獲得一席之地。電信運營商和寬帶接入提供商也開始提供基于以太或者純以太的接入業(yè)務(wù)，但對于以太網(wǎng)絡(luò)中多數(shù)業(yè)務(wù)來說，運營商無法從物理上完全控制客戶端設(shè)備或者媒介。運營商要實現(xiàn)對寬帶業(yè)務(wù)的可運營、可管理，就必須從邏輯上對用戶或者用戶設(shè)備進行控制。該控制過程主要通過對用戶和用戶設(shè)備的認證和授權(quán)完成。一般來說，需要進行認證和授權(quán)的業(yè)務(wù)種類包括：提供給多用戶系統(tǒng)的以太城域網(wǎng)業(yè)務(wù)，這些業(yè)務(wù)包括典型的TLS業(yè)務(wù)，L2或者是L3的VPN，在該業(yè)務(wù)組網(wǎng)環(huán)境中，客戶前端交換機由同一建筑物內(nèi)的多個用戶共享；在以IEEE802.11a和IEEE802.11b提供無線以太接入的熱點地區(qū)，像機場、商場、學(xué)校和餐廳等，需要基于每個用戶設(shè)備或者用戶進行接入認證，防止非授權(quán)用戶接入；基于ATMRFC1483的xDSL業(yè)務(wù)和IP以太接入網(wǎng)；基于EFM(EthernetintheFirstMile，IEEE802.3ah)EPON接入和EoVDSL等業(yè)務(wù)；基于以太Cable的共享RF信道接入方式。二、 電信級IP寬帶網(wǎng)用戶接入認證技術(shù)需求分析隨著基于以太業(yè)務(wù)應(yīng)用的日益廣泛，迫切需要一種能適應(yīng)以太網(wǎng)多業(yè)務(wù)承載需求，兼顧以太接入靈活性和擴展性好的特點，并能確保以太接入安全性、支持運營商對接入用戶進行控制和管理的接入認證技術(shù)。以太技術(shù)和接入認證技術(shù)的結(jié)合要求網(wǎng)絡(luò)接入控制完成以下功能。網(wǎng)絡(luò)的接入控制與網(wǎng)絡(luò)提供的業(yè)務(wù)類型無關(guān)，即無論是有線接入業(yè)務(wù)或者是無線接入業(yè)務(wù)，或者其它形式的公眾以太接入業(yè)務(wù)，都采用一個通用的接入認證解決方案；電信級IP接入網(wǎng)絡(luò)要求對用戶進行嚴格的控制和管理，包括控制用戶對網(wǎng)絡(luò)的訪問、用戶身份識別對于用戶來說，只需要面對單一的認證界面，用戶可以實現(xiàn)在多種網(wǎng)絡(luò)接入業(yè)務(wù)間漫游;對于新興業(yè)務(wù)的支持也是選擇認證技術(shù)時要考慮的一個重要因素，認證技術(shù)必須保證在現(xiàn)有的認證體系下對新興業(yè)務(wù)的支持；對于運營商而言，通用的認證解決方案可以簡化遠程接入VPN的安全管理，將用戶認證的范疇延伸到LAN范圍內(nèi)；適應(yīng)電信級IP寬帶網(wǎng)接入控制需求的認證技術(shù)將簡化運營商網(wǎng)絡(luò)認證的體系結(jié)構(gòu)，降低運營商用于培訓(xùn)和維護的費用，減少運營成本。按照Internet網(wǎng)絡(luò)分層模型，在協(xié)議每一層都可以針對用戶或者設(shè)備進行網(wǎng)絡(luò)接入的認證、鑒權(quán)。無論從對現(xiàn)有設(shè)備的改動、多協(xié)議的支持、網(wǎng)絡(luò)安全還是網(wǎng)絡(luò)控制能力來看，鏈路層認證的優(yōu)勢突出，快速、簡單和成本低廉也是它的優(yōu)勢。多數(shù)的鏈路層協(xié)議像PPP和IEEE802都可以支持基于鏈路層的認證技術(shù)?？蛻粼谡J證之前不需要進行服務(wù)器的定位，不需要獲得IP地址。網(wǎng)絡(luò)接入設(shè)備只需要有限的3層功能，可以輕易實現(xiàn)和AAA的結(jié)合，從而提供豐富、靈活的認證方式和計費手段。在多協(xié)議網(wǎng)絡(luò)環(huán)境中，基于鏈路層的認證可以實現(xiàn)對上層應(yīng)用的完全透明，也就是說可以實現(xiàn)和新的網(wǎng)絡(luò)層協(xié)議（比如IPv6）的兼容。鏈路層認證處理減小了認證包處理的延時，保證了關(guān)鍵性應(yīng)用的服務(wù)質(zhì)量。三、IEEE802.1X協(xié)議技術(shù)分析意識到PPPoE在用于純以太網(wǎng)絡(luò)環(huán)境接入控制中的種種缺陷，IEEE在2001正式頒布了IEEE802.1X標(biāo)準，用于基于以太的局域網(wǎng)、城域網(wǎng)和各種寬帶接入手段的用戶/設(shè)備接入認證。該協(xié)議最初假定的應(yīng)用環(huán)境是交換式以太網(wǎng)中，但是在標(biāo)準化過程中也考慮到了像801.11b和Cable接入等共享式以太網(wǎng)絡(luò)應(yīng)用環(huán)境對認證的要求。802.1X認證采用基于以太網(wǎng)端口的用戶訪問控制技術(shù)，可以克服PPPoE方式帶來的諸多問題，并避免引入集中式寬帶接入服務(wù)器所帶來的巨大投資。在傳統(tǒng)以太網(wǎng)設(shè)備基礎(chǔ)上，基于端口的網(wǎng)絡(luò)訪問控制技術(shù)采用IEEE802.1X協(xié)議，提供了對基于以太網(wǎng)的點到點連接的端口用戶進行認證和授權(quán)的能力，從而使以太網(wǎng)設(shè)備達到電信運營要求。用戶側(cè)的以太網(wǎng)交換機上放置一個擴展認證協(xié)議（EAP）代理，用戶PC機運行EAPoL（EAPoverLAN）的客戶端軟件與交換機通信。基于端口的網(wǎng)絡(luò)訪問技術(shù)的基本思想是網(wǎng)絡(luò)系統(tǒng)可以控制面向最終用戶的以太網(wǎng)端口，使得只有網(wǎng)絡(luò)系統(tǒng)允許并授權(quán)的用戶可以訪問網(wǎng)絡(luò)系統(tǒng)的各種業(yè)務(wù)（如以太網(wǎng)連接，網(wǎng)絡(luò)層路由，Internet接入等業(yè)務(wù)）。802.1X協(xié)議是基于Client/Server的訪問控制和認證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問LAN/MANo在獲得交換機或LAN提供的各種業(yè)務(wù)之前，802.1x對連接到交換機端口上的用戶/設(shè)備進行認證。在認證通過之前，802.1X只允許EAPoL（基于局域網(wǎng)的擴展認證協(xié)議）數(shù)據(jù)通過設(shè)備連接的交換機端口；認證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。網(wǎng)絡(luò)訪問技術(shù)的核心部分是PAE(端口訪問實體)。在訪問控制流程中，端口訪問實體包含3部分:認證者一對接入的用戶/設(shè)備進行認證的端口；請求者一被認證的用戶/設(shè)備；認證服務(wù)器一根據(jù)認證者的信息，對請求訪問網(wǎng)絡(luò)資源的用戶/設(shè)備進行實際認證功能的設(shè)備。以太網(wǎng)的每個物理端口被分為受控和不受控的兩個邏輯端口，物理端口收到的每個幀都被送到受控和不受控端口。對受控端口的訪問，受限于受控端口的授權(quán)狀態(tài)。認證者的PAE根據(jù)認證服務(wù)器認證過程的結(jié)果，控制"受控端口”的授權(quán)/未授權(quán)狀態(tài)。處在未授權(quán)狀態(tài)的控制端口將拒絕用戶/設(shè)備的訪問。1.802.1x認證特點基于以太網(wǎng)端口認證的802.1x協(xié)議有如下特點：IEEE802.1X協(xié)議為二層協(xié)議，不需要到達三層，對設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本；借用了在RAS系統(tǒng)中常用的EAP(擴展認證協(xié)議)，可以提供良好的擴展性和適應(yīng)性，實現(xiàn)對傳統(tǒng)PPP認證架構(gòu)的兼容；802.1x的認證體系結(jié)構(gòu)中采用了''可控端口”和"不可控端口''的邏輯功能，從而可以實現(xiàn)業(yè)務(wù)與認證的分離，由RADIUS和交換機利用不可控的邏輯端口共同完成對用戶的認證與控制，業(yè)務(wù)報文直接承載在正常的二層報文上通過可控端口進行交換，通過認證之后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包；可以使用現(xiàn)有的后臺認證系統(tǒng)降低部署的成本，并有豐富的業(yè)務(wù)支持；可以映射不同的用戶認證等級到不同的VLAN；可以使交換端口和無線LAN具有安全的認證接入功能。2.802.1X應(yīng)用環(huán)境特點交換式以太網(wǎng)絡(luò)環(huán)境對于交換式以太網(wǎng)絡(luò)中，用戶和網(wǎng)絡(luò)之間采用點到點的物理連接，用戶彼此之間通過VLAN隔離，此網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)管理控制的關(guān)鍵是用戶接入控制，802.1x不需要提供過多的安全機制。共享式網(wǎng)絡(luò)環(huán)境當(dāng)802.1x應(yīng)用于共享式的網(wǎng)絡(luò)環(huán)境時，為了防止在共享式的網(wǎng)絡(luò)環(huán)境中出現(xiàn)類似“搭載”的問題，有必要將PAE實體由物理端口進一步擴展為多個互相獨立的邏輯端口。邏輯端口和用戶/設(shè)備形成一一對應(yīng)關(guān)系，并且各邏輯端口之間的認證過程和結(jié)果相互獨立。在共享式網(wǎng)絡(luò)中，用戶之間共享接入物理媒介，接入網(wǎng)絡(luò)的管理控制必須兼顧用戶接入控制和用戶數(shù)據(jù)安全，可以采用的安全措施是對EAPoL和用戶的其它數(shù)據(jù)進行加密封裝。在實際網(wǎng)絡(luò)環(huán)境中，可以通過加速WEP密鑰重分配周期，彌補WEP靜態(tài)分配秘鑰導(dǎo)致的安全性的缺陷。3.802.1x認證的安全性分析802.1x協(xié)議中，有關(guān)安全性的問題一直是802.1x反對者攻擊的焦點。實際上，這個問題的確困擾了802.1X技術(shù)很長一段時間，甚至限制了802.1X技術(shù)的應(yīng)用。但技術(shù)的發(fā)展為這個問題給出了答案:802.1X結(jié)合EAP，可以提供靈活、多樣的認證解決方案。IEEE802.1X和PPP一樣采用了EAP協(xié)議作為認證信息交互機制，EAP消息封裝在EAPOL分組中。EAP作為一種認證消息承載機制可以允許認證者和請求者之間采用靈活的方案進行認證，并且對將來出現(xiàn)的更先進合理的認證技術(shù)具有很好的兼容性°EAP的這些特性主要通過擴展EAP中廠家定義的“EAP類型”域?qū)崿F(xiàn)，“EAP類型”域中定義的認證類型，可以滿足不同層次認證的安全需要。目前可以采用的EAP類型包括：LEAP、PEAP、EAP-MD5、EAP-TTLS。具體的EAP不同層次認證如圖1所示。4.802.1X認證的優(yōu)勢綜合IEEE802.1X的技術(shù)特點，其具有的優(yōu)勢可以總結(jié)為以下幾點。簡潔高效：純以太網(wǎng)技術(shù)內(nèi)核，保持了IP網(wǎng)絡(luò)無連接特性，不需要進行協(xié)議間的多層封裝，去除了不必要的開銷和冗余；消除網(wǎng)絡(luò)認證計費瓶頸和單點故障，易于支持多業(yè)務(wù)和新興流媒體業(yè)務(wù)。容易實現(xiàn)：可在普通L3、L2、IPDSLAM上實現(xiàn)，網(wǎng)絡(luò)綜合造價成本低，保留了傳統(tǒng)AAA認證的網(wǎng)絡(luò)架構(gòu)，可以利用現(xiàn)有的RADIUS設(shè)備。安全可靠：在二層網(wǎng)絡(luò)上實現(xiàn)用戶認證，結(jié)合MAC、端口、賬戶、VLAN和密碼等；綁定技術(shù)具有很高的安全性，在無線局域網(wǎng)網(wǎng)絡(luò)環(huán)境中802.1x結(jié)合EAP-TLS，EAP-TTLS，可以實現(xiàn)對WEP證書密鑰的動態(tài)分配，克服無線局域網(wǎng)接入中的安全漏洞。行業(yè)標(biāo)準：IEEE標(biāo)準，和以太網(wǎng)標(biāo)準同源，可以實現(xiàn)和以太網(wǎng)技術(shù)的無縫融合，幾乎所有的主流數(shù)據(jù)設(shè)備廠商在其設(shè)備，包括路由器、交換機和無線AP上都提供對該協(xié)議的支持。在客戶端方面微軟WindowsXP操作系統(tǒng)內(nèi)置支持，Linux也提供了對該協(xié)議的支持。

應(yīng)用靈活：可以靈活控制認證的顆粒度，用于對單個用戶連接、用戶ID或者是對接入設(shè)備進行認證，認證的層次可以進行靈活的組合，滿足特定的接入技術(shù)或者是業(yè)務(wù)的需要。易于運營：控制流和業(yè)務(wù)流完全分離，易于實現(xiàn)跨平臺多業(yè)務(wù)運營，少量改造傳統(tǒng)包月制等單一收費制網(wǎng)絡(luò)即可升級成運營級網(wǎng)絡(luò)，而且網(wǎng)絡(luò)的運營成本也有望降低。四、802.1x在電信級IP寬帶網(wǎng)絡(luò)中的應(yīng)用建議-城域匯聚交換機-城域匯聚交換機-WLANAP@2802.1xU證在電信嫁寬帶網(wǎng)結(jié)中應(yīng)用的總體架構(gòu)圖2為802.1x認證在電信級寬帶網(wǎng)絡(luò)中應(yīng)用的總體架構(gòu)。根據(jù)上文對802.1x技術(shù)特點及技術(shù)優(yōu)勢的分析，筆者認為電信級網(wǎng)絡(luò)中應(yīng)用802.1x可以采用以下策略：以WLAN為應(yīng)用突破口802.1x認證技術(shù)在電信級寬帶網(wǎng)中的應(yīng)用以WLAN為突破口。802.1x技術(shù)從一開始就對基于WLAN提供認證的技術(shù)進行了大量的研究和探索；WLAN設(shè)備大量應(yīng)用的時間段和802.1x協(xié)議標(biāo)準產(chǎn)生基本同步，目前多數(shù)廠商的WLANAP設(shè)備都可以支持802.1x認證；從技術(shù)上考慮，WLAN是一種共享式的以太接入網(wǎng)絡(luò)，其面臨的安全性問題的解決和用戶控制都要比基于有線的以太接入方式難解決；基于WLAN和3G移動網(wǎng)絡(luò)的新型業(yè)務(wù)和應(yīng)用層出不窮，尤其是基于組播技術(shù)的各種應(yīng)用，原有的PPPoE認證在支持這些新業(yè)務(wù)時有明顯缺陷，迫切需要一種新性認證技術(shù)，滿足業(yè)務(wù)發(fā)展的需求；WLAN作為寬帶網(wǎng)上的新應(yīng)用，運營商沒有什么歷史包袱，在網(wǎng)絡(luò)減少和設(shè)備選型時不受現(xiàn)有網(wǎng)絡(luò)條件的牽制。以上種種原因決定了WLAN是802.1x技術(shù)應(yīng)用的排頭兵。認證邊緣化、分布化認證邊緣化充分發(fā)揮了802.1x基于端口認證的優(yōu)勢。所謂認證邊緣化是指將認證設(shè)備的網(wǎng)絡(luò)中的位置設(shè)置為直接和用戶設(shè)備/網(wǎng)絡(luò)接口，邊緣化的認證設(shè)備可以感知、監(jiān)控認證設(shè)備和用戶設(shè)備之間鏈路連接狀態(tài)，根據(jù)鏈路狀態(tài)變化，認證設(shè)備可以采取相應(yīng)的策略，主動要求用戶/設(shè)備發(fā)起認證。對鏈路狀態(tài)的感知能力也是運營商進行網(wǎng)絡(luò)故障檢測和網(wǎng)絡(luò)運行維護工作順利開展的基礎(chǔ)，可以說實現(xiàn)了認證的邊緣化也就解決了寬帶接入網(wǎng)絡(luò)中線路維護和故障診斷困難的難題。用戶可以在本地接入網(wǎng)段實現(xiàn)隔離，不需要像集中認證方式那樣，在用戶到接入認證服務(wù)器之間的二層網(wǎng)絡(luò)都進行用戶隔離，減少了交換機運行VLAN的復(fù)雜度，也使網(wǎng)絡(luò)的流量的規(guī)劃、管理、控制更加容易。認證邊緣化意味著認證設(shè)備的分布化，可以避免采用集中式的PPPoE認證帶來的網(wǎng)絡(luò)性能和網(wǎng)絡(luò)可靠性的瓶頸。用戶管理集中化雖然802.1x采用分布式的認證，但是在用戶管理時建議仍采用集中方式。集中式的用戶管理的范圍包括有線接入用戶和無線接入用戶。集中認證一方面易于管理維護，保證了單個管理域內(nèi)用戶信息的一致性；另一方面，集中統(tǒng)一的用戶管理為不同接入手段的用戶賬戶之間進行漫游提供了前提條件，而且用戶在不同網(wǎng)絡(luò)或者接入類型之間切換時面對的是統(tǒng)一的界面。PPPoE認證中也采用的是集中式的用戶管理，802.1x通過對現(xiàn)有的RADIUS設(shè)備進行升級，可以完整的繼承PPPoE的認證體系，避免了對網(wǎng)絡(luò)結(jié)構(gòu)進行大規(guī)模調(diào)整，工程易實現(xiàn)。多業(yè)務(wù)接入，兼顧網(wǎng)絡(luò)技術(shù)特點802.1x是IEEE以太協(xié)議族中的一個組成部分，應(yīng)用范圍涵蓋WLAN、xDSL、5類線、Cable和EPON等等純以太或者基于以太的多業(yè)務(wù)接入方式。以xDSL技術(shù)為例，一方面EoVDSL等純以太的xDSL接入手段出現(xiàn)；另一方面，在基于ATM的xDSL技術(shù)中，IPDSLAM的出現(xiàn)及其三層路由功能需求，使802.1x成為滿足需求的最佳選擇。值得注意的是，交換式以太網(wǎng)絡(luò)和共享式以太網(wǎng)絡(luò)有不同的網(wǎng)絡(luò)技術(shù)特點，在應(yīng)用802.1x時要兼顧。逐步取代PPPoE802.1x技術(shù)代表了電信級寬帶網(wǎng)絡(luò)發(fā)展的趨勢，即認證、業(yè)務(wù)分離和支持多業(yè)務(wù)。PPPoE的缺陷注定了其過渡者的角色，事實上當(dāng)初PPPoE也是作為一種權(quán)宜之計應(yīng)用到寬帶網(wǎng)絡(luò)接入認證中的。但是802.1x取代PPPoE是一個漸進的過程，網(wǎng)絡(luò)現(xiàn)狀是我們不得不考慮的問題，其中最主要的問題是樓道交換機功能簡單，不支持802.1x。解決這個問題可以考慮采用如下途徑：方案一，對樓道交換機進行軟件升級，使其支持802.1x；方案二，對802.1x協(xié)議進行改進，使EAP可以承載在VLAN上，在匯聚層交換機進行802.1x認證，下游二層交換機采用VLAN進行用戶隔離，最終，認證邊緣化要求面向用戶的接入設(shè)備可以直接實現(xiàn)對用戶接入的管理和控制。方案二可以作為實現(xiàn)目