摘 要:802.1x协议草案可以为运营商提供一种安全的用户治理方式 。介绍了802.1x协议体系结构 , 重点分析了协议的工作原理及机制 , 并与目前流行的宽带认证方式进行了比较 , 最后给出了在宽带接入网中实际应用的方案 。
要害词:802.1x协议;认证;宽带接入
0 引 言
近年来 , 宽带网接入逐渐成为网络技术的热点 , 宽带网建设蓬勃发展 , 业务如火如荼 , 成为网络运营商新的经济增长点 。目前 , 广泛采用的宽带接入方式有HFC、xDSL、LAN接入等 , 其中 , 交换式以太网接入作为园区网建设的主流方案 , 以高带宽 , 技术成熟 , 成本低廉 , 易于建设和易于治理的优点 , 成为网络运营商优先采用的接入方式 。但是 , 传统的以太网接入方式由于采用广播机制 , 其安全性较差 , 限制了它在公用接入网络中的应用 。为了解决这个问题 , 目前广泛使用PPPoE或Web+DHCP的方案 , 但这两种方案都不能有效地解决认证安全问题 。IEEE802.1委员会提出的802.1x协议 , 其实现基于以太网交换机 , 可以对用户进行认证、授权 , 从而为运营商提供了一种更实用、更安全的用户治理方式 。本文主要介绍802.1x协议的基本原理及其在宽带接入网中的应用实例 。
1 802.1x协议结构和基本原理
1.1 802.1x协议
90年代后期 , IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题 , 提出了802.1x协议 。后来 , 802.1x协议作为局域网端口的一个普通接入控制机制用在以太网中 , 主要解决以太网内认证和安全方面的问题 。802.1x协议称为基于端口的访问控制协议(port based network Access controlprotocol) , 该协议的核心内容如图1所示 。
靠近用户一侧的以太网交换机上放置一个EAP(extensible authentication protocol)代理 , 用户PC机运行EAPoE(EAPover Ethernet)的客户端软件与交换机通信 。初始状态下 , 交换机上的所有端口处于关闭状态 , 只有802.1x数据流才能通过 , 而另外一些类型的网络数据流 , 如动态主机配置协议、超文本传输协议(HTTP)、文件传输协议(FTP)、简单邮件传输协议(SMTP)和邮局协议(POP3)等都被禁止传输 。
当用户通过EAPoE登录交换机时 , 交换机将用户同时提供的用户名口令传送到后台的Radius认证服务器上 。假如用户名及口令通过了验证 , 则相应的以太网端口打开 , 答应用户访问 。
1.2 802.1x协议的体系结构
802.1x协议的体系结构包括3个重要部分:客户端(supplicant system)、认证系统(authenticatorsystem)、认证服务器(authentication serversystem) 。图2描述了三者之间的关系以及互相之间的通信 。客户系统安装一个客户端软件 , 用户通过启动客户端软件发起802.1x协议的认证过程 。为支持基于端口的接入控制 , 客户端系统须支持EAPoL(EAPoverLAN)协议 。
认证系统通常为支持802.1x协议的网络设备 。该设备有2个逻辑端口:受控端口和不受控端口 , 对应于不同用户的端口 。不受控端口始终处于双向连通状态 , 主要用来传递EAPoL协议帧 , 保证客户端始终可以发出或接受认证;受控端口只有在认证通过之后才打开 , 用于传递网络资源和服务 。假如用户未通过认证 , 受控端口处于未认证状态 , 则用户无法访问认证系统提供的服务 。受控端口可配置为双向受控、仅输入受控2种方式 , 以适应不同的应用环境 。
认证系统的端口访问实体通过不受控端口与客户端端口访问实体进行通信 , 二者之间运行EAPoL协议 。认证系统的端口访问实体与认证服务器之间运行EAP协议 。EAP协议并不是认证系统和认证服务器通信的唯一方式 , 其他的通信通道也可以使用 。例如 , 假如认证系统和认证服务器集成在一起 , 2个实体之间的通信就可以不采用EAP协议 。
推荐阅读
- 软交换协议比较和发展趋势
- SIP SAP及SDP协议组合应用的研究
- 三 用协议分析工具学习TCP/IP
- 新版CCNA中文笔记连载-协议
- 二 用协议分析工具学习TCP/IP
- 一 用协议分析工具学习TCP/IP
- PPP协议链路操作的软件实现
- 通用多协议标记交换工作原理
- 多协议标志交换基本原理
- TCP/IP协议原理