802 1x協議解析

802.1x協議是由(美)電氣與電子工程師協會提出，剛剛完成標準化的乙個符合ieee 802協議集的區域網接入控制協議，其全稱為基於埠的訪問控制協議。它能夠在利用ieee 802區域網優勢的基礎上提供一種對連線到區域網的使用者進行認證和授權的手段，達到了接受合法使用者接入，保護網路安全的目的。 802.1x認證，又稱eapoe認證，主要用於寬頻ip都會網路。。　　

一、802.1x認證技術的起源

802.1x協議起源於802.11協議，後者是標準的無線區域網協議，802.1x協議的主要目的是為了解決無線區域網使用者的接入認證問題。

有線區域網通過固定線路連線組建，計算機終端通過網線接入固定位置物理埠，實現區域網接入，這些固定位置的物理埠構成有線區域網的封閉物理空間。但是，由於無線區域網的網路空間具有開放性和終端可移動性，因此很難通過網路物理空間來界定終端是否屬於該網路，因此，如何通過埠認證來防止其他公司的計算機接入本公司無線網路就成為一項非常現實的問題，802.1x正是基於這一需求而出現的一種認證技術。也就是說，對於有線區域網，該項認證沒有存在的意義。

由此可以看出，802.1x協議並不是為寬頻ip都會網路量身定做的認證技術，將其應用於寬頻ip都會網路，必然會有其侷限性，下面將詳細說明該認證技術的特點，並與pppoe認證、vlan＋web認證進行比較，並分析其在寬頻ip都會網路中的應用。

二、802.1x認證技術的特點

802.1x協議僅僅關注埠的開啟與關閉，對於合法使用者（根據帳號和密碼）接入時，該埠開啟，而對於非法使用者接入或沒有使用者接入時，則該埠處於關閉狀態。認證的結果在於埠狀態的改變，而不涉及通常認證技術必須考慮的ip位址協商和分配問題，是各種認證技術中最簡化的實現方案。

802.1x認證技術的操作粒度為埠，合法使用者接入埠之後，埠處於開啟狀態，因此其它使用者（合法或非法）通過該埠時，不需認證即可接入網路。對於無線區域網接入而言，認證之後建立起來的通道（埠）被獨佔，不存在其它使用者再次使用的問題，但是，如果802.1x認證技術用於寬頻ip都會網路的認證，就存在埠開啟之後，其它使用者（合法或非法）可自由接入和無法控制的問題。

接入認證通過之後，ip資料報在二層普通mac幀上傳送，認證後的資料流和沒有認證的資料流完全一樣，這是由於認證行為僅在使用者接入的時刻進行，認證通過後不再進行合法性檢查。

表1和表2分別羅列出802.1x協議與pppoe、vlan＋web的效能比較。

表1：802.1x與pppoe認證的技術比較

表2：802.1x與vlan＋web認證的技術比較

三、寬頻ip都會網路中的認證技術分析

寬頻ip都會網路建設越來越強調網路的可運營性和可管理性，具體包括：對使用者的認證、計費，ip位址分配、全方位安全機制，對業務的支援能力和運營能力等方面。其中使用者認證技術是可運營、可管理網路的關鍵。從嚴格意義上講，認證功能包括：識別和鑑權，對使用者的準確有效識別，對使用者許可權的下發、確認和控制，這些構成了使用者計費和各種安全機制實施的前提以及多業務支援和發展的基礎。因此，寬頻ip都會網路中認證技術的採用必須遵循網路的可運營、可管理要求。

實踐證明，pppoe認證技術、vlan＋web認證技術均可很好地支撐寬頻網路的計費、安全、運營和管理要求。對於802.1x認證技術，根據其定位和特點，在寬頻都會網路中實現使用者認證遠遠達不到可運營、可管理要求，加之應用又少，為了完備使用者的認證、管理功能，還需要進行大量協議之外的工作，目前僅有少數幾個二/三層交換機廠家在寬頻ip都會網路中推廣此項方式，將802.1x技術附著在l2/l3產品上，使l2/l3產品具備bas使用者認證和管理功能。如上所述，這種認證方式僅僅能夠基於埠的認證，而且不是全程認證，與其它bas功能（計費、安全機制、多業務支援）難以融合，因而不能稱為電信級認證解決方案。

在都會網路建設初期，大家對可運營、可管理性的認識還不是很一致，802.1x認證技術可能會有一定的市場空間，隨著寬頻ip都會網路建設的逐步成熟和對可管理的關注，基於埠開關狀態的802.1x認證技術不會成為主流。

四、802．1x協議工作機制

乙太網技術「連通和共享」的設計初衷使目前由乙太網構成的網路系統面臨著很多安全問題。ieee 802.1x協議正是在基於這樣的背景下被提出來的，成為解決區域網安全問題的乙個有效手段。

在802.1x協議中，只有具備了以下三個元素才能夠完成基於埠的訪問控制的使用者認證和授權。

1.客戶端：一般安裝在使用者的工作站上，當使用者有上網需求時，啟用客戶端程式，輸入必要的使用者名稱和口令，客戶端程式將會送出連線請求。

2.認證系統：在乙太網系統中指認證交換機，其主要作用是完成使用者認證資訊的上傳、下達工作，並根據認證的結果開啟或關閉埠。

3.認證伺服器：通過檢驗客戶端傳送來的身份標識（使用者名稱和口令）來判別使用者是否有權使用網路系統提供的網路服務，並根據認證結果向交換機發出開啟或保持埠關閉的狀態。

在具有802.1x認證功能的網路系統中，當乙個使用者需要對網路資源進行訪問之前必須先要完成以下的認證過程。

1.當使用者有上網需求時開啟802.1x客戶端程式，輸入已經申請、登記過的使用者名稱和口令，發起連線請求。此時，客戶端程式將發出請求認證的報文給交換機，開始啟動一次認證過程。

2.交換機收到請求認證的資料幀後，將發出乙個請求幀要求使用者的客戶端程式將輸入的使用者名稱送上來。

3.客戶端程式響應交換機發出的請求，將使用者名稱資訊通過資料幀送給交換機。交換機將客戶端送上來的資料幀經過封包處理後送給認證伺服器進行處理。

4.認證伺服器收到交換機**上來的使用者名稱資訊後，將該資訊與資料庫中的使用者名稱表相比對，找到該使用者名稱對應的口令資訊，用隨機生成的乙個加密字對它進行加密處理，同時也將此加密字傳送給交換機，由交換機傳給客戶端程式。

5.客戶端程式收到由交換機傳來的加密字後，用該加密字對口令部分進行加密處理（此種加密演算法通常是不可逆的），並通過交換機傳給認證伺服器。

6.認證伺服器將送上來的加密後的口令資訊和其自己經過加密運算後的口令資訊進行對比，如果相同，則認為該使用者為合法使用者，反饋認證通過的訊息，並向交換機發出開啟埠的指令，允許使用者的業務流通過埠訪問網路。否則，反饋認證失敗的訊息，並保持交換機埠的關閉狀態，只允許認證資訊資料通過而不允許業務資料通過。

這裡要提出的乙個值得注意的地方是: 在客戶端與認證伺服器交換口令資訊的時候，沒有將口令以明文直接送到網路上進行傳輸，而是對口令資訊進行了不可逆的加密演算法處理，使在網路上傳輸的敏感資訊有了更高的安全保障，杜絕了由於下級接入裝置所具有的廣播特性而導致敏感資訊洩漏的問題。

在802.1x解決方案中，通常採用基於mac位址的埠訪問控制模式。採用此種模式將會帶來降低使用者建網成本、降低認證伺服器效能要求的優點。對於此種訪問控制方式，應當採用相應的手段來防止由於mac、ip位址假冒所發生的網路安全問題。

1.對於假冒mac位址的情況

當認證交換機的乙個物理埠下面再級連一台接入級交換機，而該台接入交換機上的甲使用者已經通過認證並正常使用網路資源，則此時在認證交換機的該物理埠中就已將甲使用者終端裝置的mac位址設定為允許傳送業務資料。假如同一臺接入交換機下的乙使用者將自己的mac位址修改得與甲使用者的mac位址相同，則即使乙使用者沒有經過認證過程也能夠使用網路資源了，這樣就給網路安全帶來了漏洞。針對此種情況，港灣網路交換機在實現了802.1x認證、授權功能的交換機上通過mac位址+ip位址的繫結功能來阻止假冒mac位址的使用者非法訪問。

對於動態分配ip位址的網路系統，由於非法使用者無法預先獲知其他使用者將會分配到的ip位址，因此他即使知道某一使用者的mac位址也無法偽造ip位址，也就無法冒充合法使用者訪問網路資源。

對於靜態分配位址的方案，由於具有同一ip位址的兩台終端裝置必然會造成ip位址衝突，因此同時假冒mac位址和ip位址的方法也是不可行的。

當假冒者和合法使用者分屬於認證交換機兩個不同的物理埠，則假冒者即使知道合法使用者的mac位址，而由於該mac位址不在同一物理埠，因此，假冒者還是無法進入網路系統。

2.對於假冒ip位址的情況

由於802.1x採用了基於二層的認證方式，因此，當採用動態位址分配方案時，只有使用者認證通過後，才能夠分配到ip網路位址。

對於靜態位址分配策略，如果假冒了ip位址，而沒有能夠通過認證，也不會與正在使用該位址的合法使用者發生位址衝突。

如果使用者能夠通過認證，但假冒了其他使用者的ip位址，則通過在認證交換機上採用ip位址+mac位址繫結的方式來控制使用者的訪問接入。這使得假冒使用者無法進行正常的業務通訊，從而達到了防止ip位址被篡改、假冒的目的。

3.對於使用者口令失竊、擴散的處理

在使用802.1x認證協議的系統中，使用者口令失竊和口令擴散的情況非常多，對於這類情況，能夠通過在認證伺服器上限定同時接入具有同一使用者名稱和口令認證資訊的請求數量來達到控制使用者接入，避免非法訪問網路系統的目的。

802 1x協議解析

802 1x協議解析

802 1x協議解析 pdf格式

802 1X協議介紹（認證） ielab

802 1x協議解析

802 1x協議解析

802 1x協議解析 pdf格式

802 1X協議介紹（認證） ielab

相關推薦