802.1X協議是由(美)電氣與電子工程師協會提出,剛剛完成標準化的一個符合IEEE 802協議集的局域網接入控制協議,其全稱爲基於端口的訪問控制協議。它能夠在利用IEEE 802局域網優勢的基礎上提供一種對連接到局域網的用戶進行認證和授權的手段,達到了接受合法用戶接入,保護網絡安全的目的。 802.1x認證,又稱EAPOE認證,主要用於寬帶IP城域網。
一、802.1x協議工作機制
以太網技術“連通和共享”的設計初衷使目前由以太網構成的網絡系統面臨着很多安全問題。IEEE 802.1X協議正是在基於這樣的背景下被提出來的,成爲解決局域網安全問題的一個有效手段。
在802.1X協議中,只有具備了以下三個元素才能夠完成基於端口的訪問控制的用戶認證和授權。
1.客戶端:一般安裝在用戶的工作站上,當用戶有上網需求時,激活客戶端程序,輸入必要的用戶名和口令,客戶端程序將會送出連接請求。
2.認證系統:在以太網系統中指認證交換機,其主要作用是完成用戶認證信息的上傳、下達工作,並根據認證的結果打開或關閉端口。
3.認證服務器:通過檢驗客戶端發送來的身份標識(用戶名和口令)來判別用戶是否有權使用網絡系統提供的網絡服務,並根據認證結果向交換機發出打開或保持端口關閉的狀態。
在具有802.1X認證功能的網絡系統中,當一個用戶需要對網絡資源進行訪問之前必須先要完成以下的認證過程。
1.當用戶有上網需求時打開802.1X客戶端程序,輸入已經申請、登記過的用戶名和口令,發起連接請求。此時,客戶端程序將發出請求認證的報文給交換機,開始啓動一次認證過程。
2.交換機收到請求認證的數據幀後,將發出一個請求幀要求用戶的客戶端程序將輸入的用戶名送上來。
3.客戶端程序響應交換機發出的請求,將用戶名信息通過數據幀送給交換機。交換機將客戶端送上來的數據幀經過封包處理後送給認證服務器進行處理。
4.認證服務器收到交換機轉發上來的用戶名信息後,將該信息與數據庫中的用戶名錶相比對,找到該用戶名對應的口令信息,用隨機生成的一個加密字對它進行加密處理,同時也將此加密字傳送給交換機,由交換機傳給客戶端程序。
5.客戶端程序收到由交換機傳來的加密字後,用該加密字對口令部分進行加密處理(此種加密算法通常是不可逆的),並通過交換機傳給認證服務器。
6.認證服務器將送上來的加密後的口令信息和其自己經過加密運算後的口令信息進行對比,如果相同,則認爲該用戶爲合法用戶,反饋認證通過的消息,並向交換機發出打開端口的指令,允許用戶的業務流通過端口訪問網絡。否則,反饋認證失敗的消息,並保持交換機端口的關閉狀態,只允許認證信息數據通過而不允許業務數據通過。
這裏要提出的一個值得注意的地方是: 在客戶端與認證服務器交換口令信息的時候,沒有將口令以明文直接送到網絡上進行傳輸,而是對口令信息進行了不可逆的加密算法處理,使在網絡上傳輸的敏感信息有了更高的安全保障,杜絕了由於下級接入設備所具有的廣播特性而導致敏感信息泄漏的問題。
二、802.1X的安全性
在802.1X解決方案中,通常採用基於MAC地址的端口訪問控制模式。採用此種模式將會帶來降低用戶建網成本、降低認證服務器性能要求的優點。對於此種訪問控制方式,應當採用相應的手段來防止由於MAC、IP地址假冒所發生的網絡安全問題。
1.對於假冒MAC地址的情況
當認證交換機的一個物理端口下面再級連一臺接入級交換機,而該臺接入交換機上的甲用戶已經通過認證並正常使用網絡資源,則此時在認證交換機的該物理端口中就已將甲用戶終端設備的MAC地址設定爲允許發送業務數據。
當認證交換機的一個物理端口下面再級連一臺接入級交換機,而該臺接入交換機上的甲用戶已經通過認證並正常使用網絡資源,則此時在認證交換機的該物理端口中就已將甲用戶終端設備的MAC地址設定爲允許發送業務數據。
假如同一臺接入交換機下的乙用戶將自己的MAC地址修改得與甲用戶的MAC地址相同,則即使乙用戶沒有經過認證過程也能夠使用網絡資源了,這樣就給網絡安全帶來了漏洞。針對此種情況,網絡交換機在實現了802.1X認證、授權功能的交換機上通過MAC地址+IP地址的綁定功能來阻止假冒MAC地址的用戶非法訪問。
對於動態分配IP地址的網絡系統,由於非法用戶無法預先獲知其他用戶將會分配到的IP地址,因此他即使知道某一用戶的MAC地址也無法僞造IP地址,也就無法冒充合法用戶訪問網絡資源。
對於靜態分配地址的方案,由於具有同一IP地址的兩臺終端設備必然會造成IP地址衝突,因此同時假冒MAC地址和IP地址的方法也是不可行的。
當假冒者和合法用戶分屬於認證交換機兩個不同的物理端口,則假冒者即使知道合法用戶的MAC地址,而由於該MAC地址不在同一物理端口,因此,假冒者還是無法進入網絡系統。
2.對於假冒IP地址的情況
由於802.1X採用了基於二層的認證方式,因此,當採用動態地址分配方案時,只有用戶認證通過後,才能夠分配到IP網絡地址。
由於802.1X採用了基於二層的認證方式,因此,當採用動態地址分配方案時,只有用戶認證通過後,才能夠分配到IP網絡地址。
對於靜態地址分配策略,如果假冒了IP地址,而沒有能夠通過認證,也不會與正在使用該地址的合法用戶發生地址衝突。 如果用戶能夠通過認證,但假冒了其他用戶的IP地址,則通過在認證交換機上採用IP地址+MAC地址綁定的方式來控制用戶的訪問接入。這使得假冒用戶無法進行正常的業務通信,從而達到了防止IP地址被篡改、假冒的目的。
3.對於用戶口令失竊、擴散的處理
在使用802.1X認證協議的系統中,用戶口令失竊和口令擴散的情況非常多,對於這類情況,能夠通過在認證服務器上限定同時接入具有同一用戶名和口令認證信息的請求數量來達到控制用戶接入,避免非法訪問網絡系統的目的。