802.1x協議起源於802.11協議,後者是IEEE的無線局域網協議,制訂802.1x協議的初衷是爲了解決無線局域網用戶的接入認證問題。IEEE802LAN協議定義的局域網並不提供接入認證,只要用戶能接入局域網控制設備(如LANS witch),就可以訪問局域網中的設備或資源。這在早期企業網有線LAN應用環境下並不存在明顯的安全隱患。
隨着移動辦公及駐地網運營等應用的大規模發展,服務提供者需要對用戶的接入進行控制和配置。尤其是WLAN的應用和LAN接入在電信網上大規模開展,有必要對端口加以控制以實現用戶級的接入控制,802.lx就是IEEE爲了解決基於端口的接入控制(Port-Based Network Access Contro1)而定義的一個標準。
二、802.1x認證體系
802.1x是一種基於端口的認證協議,是一種對用戶進行認證的方法和策略。端口可以是一個物理端口,也可以是一個邏輯端口(如VLAN)。對於無線局域網來說,一個端口就是一個信道。802.1x認證的最終目的就是確定一個端口是否可用。對於一個端口,如果認證成功那麼就“打開”這個端口,允許所有的報文通過;如果認證不成功就使這個端口保持“關閉”,即只允許802.1x的認證協議報文通過。
802.1x的體系結構如圖1所示。它的體系結構中包括三個部分,即請求者系統、認證系統和認證服務器系統三部分:
圖1 802.1x認證的體系結構
1.請求者系統
請求者是位於局域網鏈路一端的實體,由連接到該鏈路另一端的認證系統對其進行認證。請求者通常是支持802.1x認證的用戶終端設備,用戶通過啓動客戶端軟件發起802.lx認證,後文的認證請求者和客戶端二者表達相同含義。
2.認證系統
認證系統對連接到鏈路對端的認證請求者進行認證。認證系統通常爲支持802.lx協議的網絡設備,它爲請求者提供服務端口,該端口可以是物理端口也可以是邏輯端口,一般在用戶接入設備(如LAN Switch和AP)上實現802.1x認證。後文的認證系統、認證點和接入設備三者表達相同含義。
3.認證服務器系統
認證服務器是爲認證系統提供認證服務的實體,建議使用RADIUS服務器來實現認證服務器的認證和授權功能。
請求者和認證系統之間運行802.1x定義的EAPoL (Extensible Authentication Protocolover LAN)協議。當認證系統工作於中繼方式時,認證系統與認證服務器之間也運行EAP協議,EAP幀中封裝認證數據,將該協議承載在其它高層次協議中(如RADIUS),以便穿越複雜的網絡到達認證服務器;當認證系統工作於終結方式時,認證系統終結EAPoL消息,並轉換爲其它認證協議(如RADIUS),傳遞用戶認證信息給認證服務器系統。
認證系統每個物理端口內部包含有受控端口和非受控端口。非受控端口始終處於雙向連通狀態,主要用來傳遞EAPoL協議幀,可隨時保證接收認證請求者發出的EAPoL認證報文;受控端口只有在認證通過的狀態下才打開,用於傳遞網絡資源和服務。
三、802.1x認證流程
基於802.1x的認證系統在客戶端和認證系統之間使用EAPOL格式封裝EAP協議傳送認證信息,認證系統與認證服務器之間通過RADIUS協議傳送認證信息。由於EAP協議的可擴展性,基於EAP協議的認證系統可以使用多種不同的認證算法,如EAP-MD5,EAP-TLS,EAP-SIM,EAP-TTLS以及EAP-AKA等認證方法。
以EAP-MD5爲例,描述802.1x的認證流程。EAP-MD5是一種單向認證機制,可以完成網絡對用戶的認證,但認證過程不支持加密密鑰的生成。基於EAP-MD5的802.1x認證系統功能實體協議棧如圖2所示。基於EAP-MD5的802.1x認證流程如圖3所示,認證流程包括以下步驟:
圖2 基於EAP-MD5的802.1x認證系統功能實體協議棧
圖3 基於EAP-MD5的802.1x認證流程
(1)客戶端向接入設備發送一個EAPoL-Start報文,開始802.1x認證接入;
(2)接入設備向客戶端發送EAP-Request/Identity報文,要求客戶端將用戶名送上來;
(3)客戶端迴應一個EAP-Response/Identity給接入設備的請求,其中包括用戶名;
(4)接入設備將EAP-Response/Identity報文封裝到RADIUS Access-Request報文中,發送給認證服務器;
(5)認證服務器產生一個Challenge,通過接入設備將RADIUS Access-Challenge報文發送給客戶端,其中包含有EAP-Request/MD5-Challenge;
(6)接入設備通過EAP-Request/MD5-Challenge發送給客戶端,要求客戶端進行認證;
(7)客戶端收到EAP-Request/MD5-Challenge報文後,將密碼和Challenge做MD5算法後的Challenged-Pass-word,在EAP-Response/MD5-Challenge迴應給接入設備;
(8)接入設備將Challenge,Challenged Password和用戶名一起送到RADIUS服務器,由RADIUS服務器進行認證:
(9)RADIUS服務器根據用戶信息,做MD5算法,判斷用戶是否合法,然後迴應認證成功/失敗報文到接入設備。如果成功,攜帶協商參數,以及用戶的相關業務屬性給用戶授權。如果認證失敗,則流程到此結束;
(10)如果認證通過,用戶通過標準的DHCP協議(可以是DHCP Relay),通過接入設備獲取規劃的IP地址;
(11)如果認證通過,接入設備發起計費開始請求給RADIUS用戶認證服務器;
(12)RADIUS用戶認證服務器迴應計費開始請求報文。用戶上線完畢。
四、802.1x認證組網應用
按照不同的組網方式,802.1x認證可以採用集中式組網(匯聚層設備集中認證)、分佈式組網(接入層設備分佈認證)和本地認證組網。不同的組網方式下,802.1x認證系統實現的網絡位置有所不同。
1.802.1x集中式組網(匯聚層設備集中認證)
802.1x集中式組網方式是將802.1x認證系統端放到網絡位置較高的LAN Switch設備上,這些LAN Switch爲匯聚層設備。其下掛的網絡位置較低的LAN Switch只將認證報文透傳給作爲802.lx認證系統端的網絡位置較高的LAN Switch設備,集中在該設備上進行802.1x認證處理。這種組網方式的優點在於802.1x採用集中管理方式,降低了管理和維護成本。匯聚層設備集中認證如圖4所示。
圖4 802.1x集中式組網(匯聚層設備集中認證)
2.802.1x分佈式組網(接入層設備分佈認證)
802.1x分佈式組網是把802.lx認證系統端放在網絡位置較低的多個LAN Switch設備上,這些LAN Switch作爲接入層邊緣設備。認證報文送給邊緣設備,進行802.1x認證處理。這種組網方式的優點在於,它採用中/高端設備與低端設備認證相結合的方式,可滿足複雜網絡環境的認證。認證任務分配到衆多的設備上,減輕了中心設備的負荷。接入層設備分佈認證如圖5所示。
圖5 802.1x分佈式組網(接入層設備分佈認證)
802.lx分佈式組網方式非常適用於受控組播等特性的應用,建議採用分佈式組網對受控組播業務進行認證。如果採用集中式組網將受控組播認證設備端放在匯聚設備上,從組播服務器下行的流在到達匯聚設備之後,由於認證系統還下掛接入層設備,將無法區分最終用戶,若打開該受控端口,則匯聚層端口以下的所有用戶都能夠訪問到受控組播消息源。反之,如果採用分佈式組網,則從組播服務器來的組播流到達接入層認證系統,可以實現組播成員的精確粒度控制。
3.802.1x本地認證組網
802.1x的AAA認證可以在本地進行,而不用到遠端認證服務器上去認證。這種本地認證的組網方式在專線用戶或小規模應用環境中非常適用。它的優點在於節約成本,不需要單獨購置昂貴的服務器,但隨着用戶數目的增加,還需要由本地認證向RADIUS認證遷移。
五、結束語
802.1x認證系統提供了一種用戶接入認證的手段,它僅關注端口的打開與關閉。對於合法用戶(根據賬號和密碼)接入時,該端口打開,而對於非法用戶接入或沒有用戶接入時,則使端口處於關閉狀態。認證的結果在於端口狀態的改變,而不涉及其它認證技術所考慮的IP地址協商和分配問題,是各種認證技術中最爲簡化的實現方案。
必須注意到802.1x認證技術的操作顆粒度爲端口,合法用戶接入端口之後,端口始終處於打開狀態,此時其它用戶(合法或非法)通過該端口接入時,不需認證即可訪問網絡資源。對於無線局域網接入而言,認證之後建立起來的信道(端口)被獨佔,不存在其它用戶非法使用的問題。但如果802.lx認證技術應用於寬帶IP城域網,就存在端口打開之後,其它用戶(合法或非法)可自由接入且難以控制的問題。因此,在提出可運營、可管理要求的寬帶IP城域網中如何使用該認證技術,還需要謹慎分析所適用的場合,並考慮與其它信息綁定組合認證的可能性。