维普资讯 http://www.cqvip.com 信息技术与信息亿 802.I x协议及其应用 802.1 x Protocol and its Application 罗丹 陈常嘉 LUO Dan CHEN Chang—jia Abstract With the development of broadband Ethernet,the traditional authentication technologies have could not satisfy the various needs of clients.Many access control technologies are proposed.802.1 x protocol is introduced including its wide applications to Ethernet. Keywords 802.1 x protocol Authentication EAPOL l 发展背景 种对连接到局域网的用户进行认证和授权的手段,达到接受 合法用户接入,保护网络安全的目的。802.1x就是IEEE为 在802.1x出现之前,企业网上有线LAN应用都没有直 了解决基于端口的接入控制而定义的一个标准 。 接控制到端口,也不需要控制到端口。但是随着无线LAN 802.1x认证的最终目的就是确定一个端口是否可用。 的应用以及LAN接入在电信网上大规模部署,有必要对端 对于一个端口,如果认证成功,那么就“打开”这个端口,允许 口加以控制,以实现用户级的接入控制,IEEE802.1X就是在 所有报文通过;如果认证不成功就使这个端口“关闭”,此时 这种情况下产生的,IEEE802.1X能够在利用IEEE802.1X 只允许802.1x的认证报文EAPOL通过 。 LAN的优势基础上,提供一种对连接到局域网设备或用户进 行认证的手段。网络管理者和网络运营服务者也迫切地需 3 802.1x的组成和认证 要一个更加全面、完善的认证管理系统,来解决日益严峻的 在802.1x协议中,只有具备了客户端(Supplicant Sys— 安全问题。 tem),认证系统(Authenticator System),认证服务器(Authenti— 2 802.1x简介 cation Server System)三个元素才能够完成基于端口的访问控 制的用户认证和授权 。这三个元素组成了802.1X的整个 802.1x协议,全称是基于端口的访问控制协议 J。 认证体系。如图1所示。 802.1x协议起源于802.11协议,后者是IEEE的无线局域网 注:图中PAE表示端I=/访问实体 协议。它能够在利用IEEE 802局域网优势的基础上提供一 客户端 认证系统 认证服务器 客户端PAE 设备提供的服务 设备端P^E k l -l认证服务器 I 受控端口非受控端口 \ t , / 局域网,无线局域网 / 图1 802.1X认证系统体系结构框图 北京交通大学电子信息工程学院 北京 100044 维普资讯 http://www.cqvip.com 萤融蟹 ■鲁息拄木与鲁息他 客户端位于对点局域网段一端的一个实体,一般为一个 用户终端设备,用户通过启动客户端软件发起802.1x认证 制端口的目的。 认证服务器是为设备端提供认证服务的实体。如RA. DIUS服务器可以对设备端进行认证、计费和授权控制(下面 都以RADIUS服务器为例)。 请求。客户端没有必要一定支持EAPOL协议。客户端PAE 负责相应设备端的认证请求,向设备端提交用户的认证信 息。客户端PAE也可以主动向设备端发送认证请求和下线 请求。 认证系统每个物理端口内部包含有受控端口和非受控 端口。非受控端口始终处于双向连通状态,主要用来传递 4 802.1X认证流程 请求者和认证系统之间运行802.1x定义的EAPOL 协议。 EAPOL协议帧,可随时保证接收认证请求者发出的EAPOL 认证报文;受控端口只有在认证通过的状态下才打开,用于 传递网络资源和服务。也就是说,Switch在客户和认证服务 器间充当代理角色。Switch与客户端间通过EAPOL报文通 信,Switch要求客户端提供identity,接受到后会把EAP报文 承载在RADIUS格式报文中,发送到认证服务器端,进行认 证。Switch根据返回认证结果控制端口是否可用,以达到控 客户端PAE EAPOL 当认证系统工作于中继方式时,认证系统与认证服务器 之间也运行EAP协议,在EAP帧中封装认证数据,将该协议 承载在RADIUS协议中,以便穿越复杂的网络到达认证服务 器。EAP扩展协议就是中继认证方式。它的特点是质询和 计算过程由服务器完成,从一定程度上减轻了设备的负担。 其认证流程如图2所示: 设备端PAE EAPOR RadiusHb[务器 EAPOL—Start r EAP—Request/Identity 1一 Radius Access~Reques t EAPyResponse/Ident ity r (EAP—Request/Ident ity) r Radius Access—Challenge EAP—Request/MD5 Chal lenge 1 1 (FAP—Request/MD5 Challenge) Radius Access~Request EAP—Resp0nse/ 6 Cha¨enge r (EAP—Request/MD5 Chal lenge) r Radius Access—Accept EAP—Success 1 (EAP—Success) 端口 被授权 握手 定时周期 EAP—Request/Identity 1 EAP—Resp0nse/Ident ity r EAPOL—Logoff 端口 非授权 图2 EAP中继业务流程 当认证系统工作于终结方式时,认证系统终结EAPOL 消息,并转换为RADIUS认证协议,传递用户认证信息给认 证服务器系统。CHAP认证方法是通过密文的方式进行传输 的。PAP认证方法的特点是密码通过明文的方式传输。终 维普资讯 http://www.cqvip.com 笪皇堡查量笪皇鱼麟 结方式的特点是可以采用Radius服务器保护用户已有的资 终结认证流程如图3所示: 源。PAP方式和CHAP方式都是采用的终结认证方式。其 EAPOL EAP0K 客户端PAE 设备端PAE RadiusH ̄务器 EAPOL—Start r EAP—Request/Identity 1 EAP—Response/Identity r EAP—Request/MD5 Chal lenge 1 RadiUS Access—Request EAP—Response/MD5 Chal lenge (CHAP—Response/MD5 Chal l enge) L -L r Radius Access—Accept EAP—SuCCess (CH^P—Success) 1' 1 端口 被授权 握手 定时周期 EAP—Request/Identity 1 EAP—Response/Identity r EAPOL—Logoff 端口 非授权 图3 CHAP终结业务流程 802.1x认证通过前,通道的状态为Unauthorized,此时只 访问控制模式…。采用此种模式将会带来降低用户建网成 能通过EAPOL的802.1x认证报文;认证通过时,通道的状 本、降低认证服务器性能要求的优点。对于此种访问控制方 态切换为authorized,此时从远端认证服务器可以传递用户的 式,应当采用相应的手段来防止由于MAC、IP地址假冒所发 信息,比如CAR参数、优先级、用户的访问控制列表等信息; 生的网络安全问题。 认证通过后,用户的流量就将接受上述参数的监管,此时该 对于动态分配IP地址的网络系统,由于非法用户无法 通道可以通过任何报文。 预先获知其他用户将会分配到的IP地址,因此他即使知道 如图可知,无论采用终结还是中继认证,客户端都要先 某一用户的MAC地址也无法伪造IP地址,也就无法冒充合 给认证系统发送EAPOL—Start报文开始进行认证,接入设 法用户访问网络资源。对于静态分配地址的方案,由于具有 备收到报文后给客户端发送EAP—Request/Identity请求,客 同一IP地址的两台终端设备必然会造成IP地址冲突,因此 户端这时回应相应的报文(其中包括用户名),最后收到EAP 同时假冒MAC地址和IP地址的方法也是不可行的。 —Success报文标志着认证成功。认证成功后,可以进行计 按照不同的组网方式,802.1x认证可以采用集中式组网 费、流量控制、限速等其他操作。 (汇聚层设备集中认证)、分布式组网(接人层设备分布认 5 802.1x认证的应用 证)和本地认证组网。 802.1x集中式组网方式是将802.1x认证系统端放到网 在802.1X解决方案中,通常采用基于MAC地址的端口 络位置较高的LAN Switch设备上,这些LAN Switch为汇聚 维普资讯 http://www.cqvip.com 售患技术与售患亿 层设备。其下挂的网络位置较低的LAN Switch只将认证报 文透传给作为802.1x认证系统端的网络位置较高的LAN Switch设备,集中在该设备上进行802.1x认证处理。这种组 网方式的优点在于802.1x采用集中管理方式,降低了管理 和维护成本。但同时也增加了网络位置较高的LAN Switch 设备的负担。 802.1x分布式组网是把802.1x认证系统端放在网络位 各种认证技术中最为简化的实现方案。同时,802.1x的认证 体系结构中采用了“可控端口”和“不可控端口”的逻辑功 能,从而可以实现业务与认证的分离。 802.1x协议的重认证可以解除用户上线后的安全隐患, 可以设置握手定时周期,定时向服务器发送重认证的请求, 核实用户特性,一旦服务器发现用户的某些固有属性有变, 就会强制用户下线。从文章第五部分可以看到802.1x认证 的应用的广泛性和实用性, 置较低的多个LAN Switch设备上,这些LAN Switch作为接 入层边缘设备。认证报文送给边缘设备,进行802.1x认证 处理。这种组网方式的优点在于,它采用中/高端设备与低 端设备认证相结合的方式,可满足复杂网络环境的认证。认 证任务分配到众多的设备上,减轻了中心设备的负荷。802. 1x分布式组网方式非常适用于受控组播等特性的应用。 本地认证不用到远端服务器上进行认证,只需要在本地 交换机上进行本地认证配置即可。这种本地认证的组网方 802.1x结合EAP,可以提供灵活、多样的认证解决方案。 802.1x协议不仅具有完备的用户认证、管理功能,很好地支 撑宽带网络的计费、安全、运营和管理要求,而且能结合EAD 防御系统、NEC等一起使用,易于支持多业务,拥有很好的发 展前景。 参考文献: [1] 马逵.无线局域网安全认证的关键技术_8o2.1X认证 系统的研究与实现.东南大学.2004—03—01. 式在专线用户或小规模应用环境中非常适用。它的优点在 于节约成本,不需要单独购置昂贵的服务器。 6结论 802.1x认证系统提供了一种用户接入认证的手段,它仅 关注端口的开关。对于合法用户(根据账号和密码)接入时, 该端口打开,而对于非法用户接入或没有用户接入时,则使 端口处于关闭状态。认证的结果在于端口状态的改变,而不 涉及其它认证技术所考虑的IP地址协商和分配问题,是 [2] Bernard Aboba,Ashwin Palekar,“IEEE 802.1X and RA— DIUS Security”,IEEE 802.1 1—01/657r0,November 2001, X认证技术介绍,广东通信技 [3] 张艳芬,林玮平.802.1术。2003—02. [4] 聂武超,张彦兴.802.1X认证技术分析,华为技术报,2002—02. ◆◆◆◆●●◆ ◆◆◆-◆●・◆◆●●◆・◆◆◆◆◆r一◆◆ ◆ ◆ ◆,●◆一-◆-◆◆・● ◆◆◆ (上接第42页) 4总结 面向服务体系结构是新型的软件体系结构,它将应用程 序的不同功能单元(称为服务)通过这些服务之间定义良好 的接口联系起来。在SOA中,一个服务封装了一些业务功 dtIloma8.CO.uk.2003. [2]Champion M,Rerris C,Newcomer E,etc.Web Service Architecture W3C Working Draft[EB/OL].http:// WWW.w3.org/TR/2003/WD—W8一arch一20021 1 14/. 2002. 能,并通过交换消息来实现关于这个服务的交互。文中分析 了SOA的基本结构及其操作,并以ECC协同商务平台中的 供应链管理子系统为例,详细分析了如何使用UML建模 SOA。但在日新月异的今天,SOA还在随着应用环境中的新 [3] 叶钰,应时,李伟斋,张韬.面向服务体系结构及其 系统构建研究[J],计算机应用研究,2005(2):32— 34. [4] 张友生.软件体系结构[M].清华大学出版社,2004: 51—53. 方法和新技术不断演化。同时,由于UML缺乏对捕获和创 建特定体系结构元素的支持,有必要对UML表示法进行扩 充。因此使用UML描述面向服务体系结构还需要不断地发 展、细化。另外,如何结合软件体系结构描述语言,使UML [5] 徐宝文,周毓明,卢红敏.UML与软件建模[M].清华 大学出版社,2006:146—147. [6] 杜彦斌.面向服务软件体系结构架构原理与范例研究 [D].北京:首都经济贸易大学,2005. 能够更好的描述SOA还需要更进一步的研究。 参考文献: ce—oriented Architecture, [1] Nikoo M,Thomas D. ServiWhere Do We Stnd? [EB/OL].htatp://consu1ting. [作者简介] 崔广林(1981~),男,硕士研究生,研究 方向为软件体系结构;王化雨,副教授,硕士生导师;白运会, 女,硕士研究生。 (收稿日期:2006—10—19)