【基于802.1x认证技术的应用分析】一、引言
802.1x协议起源于802.11协议,后者是IEEE的无线局域网协议,制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题 。IEEE802LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备(如LANS witch),就可以访问局域网中的设备或资源 。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患 。
随着移动办公及驻地网运营等应用的大规模发展,服务提供者需要对用户的接入进行控制和配置 。尤其是WLAN的应用和LAN接入在电信网上大规模开展,有必要对端口加以控制以实现用户级的接入控制,802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准 。
二、802.1x认证体系
802.1x是一种基于端口的认证协议,是一种对用户进行认证的方法和策略 。端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN) 。对于无线局域网来说,一个端口就是一个信道 。802.1x认证的最终目的就是确定一个端口是否可用 。对于一个端口,假如认证成功那么就“打开”这个端口,答应所有的报文通过;假如认证不成功就使这个端口保持“关闭”,即只答应802.1x的认证协议报文通过 。
802.1x的体系结构如图1所示 。它的体系结构中包括三个部分,即请求者系统、认证系统和认证服务器系统三部分:
图1 802.1x认证的体系结构
1.请求者系统
请求者是位于局域网链路一端的实体,由连接到该链路另一端的认证系统对其进行认证 。请求者通常是支持802.1x认证的用户终端设备,用户通过启动客户端软件发起802.lx认证,后文的认证请求者和客户端二者表达相同含义 。
2.认证系统
认证系统对连接到链路对端的认证请求者进行认证 。认证系统通常为支持802.lx协议的网络设备,它为请求者提供服务端口,该端口可以是物理端口也可以是逻辑端口,一般在用户接入设备(如LAN Switch和AP)上实现802.1x认证 。后文的认证系统、认证点和接入设备三者表达相同含义 。
3.认证服务器系统
认证服务器是为认证系统提供认证服务的实体,建议使用RADIUS服务器来实现认证服务器的认证和授权功能 。
请求者和认证系统之间运行802.1x定义的EAPO (Extensible Authentication Protocolover LAN)协议 。当认证系统工作于中继方式时,认证系统与认证服务器之间也运行EAP协议,EAP帧中封装认证数据,将该协议承载在其它高层次协议中(如RADIUS),以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时,认证系统终结EAPoL消息,并转换为其它认证协议(如RADIUS),传递用户认证信息给认证服务器系统 。
认证系统每个物理端口内部包含有受控端口和非受控端口 。非受控端口始终处于双向连通状态,主要用来传递EAPoL协议帧,可随时保证接收认证请求者发出的EAPoL认证报文;受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务 。
三、802.1x认证流程
基于802.1x的认证系统在客户端和认证系统之间使用EAPOL格式封装EAP协议传送认证信息,认证系统与认证服务器之间通过RADIUS协议传送认证信息 。由于EAP协议的可扩展性,基于EAP协议的认证系统可以使用多种不同的认证算法,如EAP-MD5,EAP-TLS,EAP-SIM,EAP-TTLS以及EAP-AKA等认证方法 。
以EAP-MD5为例,描述802.1x的认证流程 。EAP-MD5是一种单向认证机制,可以完成网络对用户的认证,但认证过程不支持加密密钥的生成 。基于EAP-MD5的802.1x认证系统功能实体协议栈如图2所示 。基于EAP-MD5的802.1x认证流程如图3所示,认证流程包括以下步骤:
推荐阅读
- 基于射频无线的数据采集系统及其应用
- WCDMA成为3G主流标准
- 基于手机无线局域网的架构与应用
- Cookie是什么意思 Cookie是什么
- GPRS网络结构
- 什么是无线局域网Wi-Fi认证?
- 基于网络的嵌入式MPEG-2远程视频监控系统的实现
- 管理体系认证是什么意思
- WiMAX技术应用定位和优势
- 基于uCLinux的嵌入式无线IPSec VPN网关