８０２．１ｘ认证技术的基础应用分析

2009-04-09蒋振兵

新媒体研究 2009年5期

关键词：报文端口客户端

[摘要]介绍802.1x协议的体系结构及认证机理。并针对多种设备，给出不同的测试方法，文后总结和介绍802.1x的安全问题。

[关键词]802.1x 认证分析

中图分类号：TP3文献标识码：A文章编号：1671－7597（2009）0310038－01

一、目前广泛采用的认证模式及其简单介绍

随着计算机网络技术的不断发展，INTERNET主干网的不断扩容，加之信息化的建设，网络已经成为工作、生活中不可或缺的一部分。当前主流的上网认证方式有3种：PPPOE、WEB/PORTAL、802.1X。

PPPOE(PPP OVER ETHERNET)是90年代后期由REDBACK、ROUTERWARE、WORLDCOM三家公司在IETF RFC的基础上联合开发的一个以太网点对点协议。PPPOE认证需要将PPP协议再次封装到以太网中，网络封装开销很大，容易造成网络瓶颈。PPPOE使用广播报文发起认证，容易引起广播风暴。PPPOE认证系统需要外接BAS服务器对用户的每个数据报文进行拆包识别和封装转发，认证报文和业务数据均需经过BAS，容易引起网络瓶颈。加上PPPOE协议本身是基于点对点的会话，因此无法实现组播业务。

WEB/PORTAL认证的绝对优势在于它不需要用户安装特定的客户端软件，有效降低了网络维护的工作量。但是WEB认证采用的是第7层应用层协议，而网络认证是采用的第2层连接。因此WEB/PORTAL认证用户连接性较差，不容易检测用户离线，基于时间的计费较难实现。比如断电、突发故障等异常离线情况必须在2层做检测，而WEB/PORTAL对此毫无办法。

二、802.1x的协议分析

（一）802.1x的简单介绍

IEEE802.1x协议称为基于端口的访问控制协议(Port based network access control protoco1)，由IEEE(Institute of Electrical and Electronics Engineers)于2001年6月提出的，它以操作粒度为端口，提供了一种基于端口的网络接入控制技术，在设备的物理接入级对接入设备进行认证和控制。

802.1x协议是基于Client／Server的访问控制和认证协议。它可以限制未经授权的用户／设备通过接入端口访问LAN／MAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户／设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

（二）802.1x的体系结构

802.1x由认证服务器（Authentication）、认证系统（Authenticator）和客户端系统（Supplicant）组成。

认证服务器一般为RADIUS服务器。在认证服务器上，一般存储有用户的帐号、密码、所处网络的逻辑方位、优先级及用户的访问控制信息等。认证系统为支持802.1X协议的网络设备。

认证系统中支持两种逻辑端口，受控端口(Controlled Port)和非受控端口(Uncontrolled Port)。受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。非受控端口始终处于双向连通状态，主要用来传递EAPOL协议帧，可保证客户端始终可以发出或接受认证。

客户端系统一般为一个用户终端系统，该终端系统通常要安装一个客户端软件，用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。为支持基于端口的接入控制，客户端系统需支持EAPOL(extensible authentication protocol overLAN)协议。

（三）802.1x协议的标准认证过程

1．802.1x客户端发送一个请求认证的报文(EAPOL-Start)发送给认证系统，这是802.1x认证的发起。2．认证系统在收到请求报文后，发送报文给客户端，要求客户端发送认证信息。3．客户端响应认证系统的要求，将用户信息传送给认证系统；认证系统经过封装、处理后将该数据转发给认证服务器。4．认证服务器收到认证系统转发的报文后，对用户信息用随机产生的加密字进行加密处理（802.1x默认采用MD5加密），同时将该加密字封装成数据包传送给认证系统，由认证系统转发给客户端。5．客户端收到加密字后，用该加密字对用户口令进行加密，并通过认证系统传送给认证服务器。6．认证服务器匹配客户端传送的用户名和密码，如符合，返回一个成功信息，并打开认证系统的端口，允许非802.1x数据流通过；否则，返回失败信息，认证系统的端口状态维持不变。

三、802.1x在晓庄学院的测试以及技术处理

（一）晓庄校园网网络拓扑示意图