基于802.1X協(xié)議解決校園網(wǎng)安全的探索

童子方 李亦杰

海軍飛行學(xué)院 遼寧 125001

0 前言

802.1x協(xié)議是基于Client/Server的訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問LAN/WLAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前，802.1x對(duì)連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過之前，802.1x只允許 EAPoL(基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)數(shù)據(jù)通過設(shè)備連接的交換機(jī)端口；認(rèn)證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。

網(wǎng)絡(luò)訪問技術(shù)的核心部分是 PAE(端口訪問實(shí)體)。在訪問控制流程中，端口訪問實(shí)體包含 3部分：認(rèn)證者--對(duì)接入的用戶/設(shè)備進(jìn)行認(rèn)證的端口；請(qǐng)求者--被認(rèn)證的用戶/設(shè)備；認(rèn)證服務(wù)器—根據(jù)認(rèn)證者的信息，對(duì)請(qǐng)求訪問網(wǎng)絡(luò)資源的用戶/設(shè)備進(jìn)行實(shí)際認(rèn)證功能的設(shè)備。

以太網(wǎng)的每個(gè)物理端口被分為受控和不受控的兩個(gè)邏輯端口，物理端口收到的每個(gè)幀都被送到受控和不受控端口。對(duì)受控端口的訪問，受限于受控端口的授權(quán)狀態(tài)。認(rèn)證者的PAE根據(jù)認(rèn)證服務(wù)器認(rèn)證過程的結(jié)果，控制“受控端口”的授權(quán)/未授權(quán)狀態(tài)。處在未授權(quán)狀態(tài)的控制端口將拒絕用戶/設(shè)備的訪問。

1 802.1x認(rèn)證特點(diǎn)

基于以太網(wǎng)端口認(rèn)證的 802.1x協(xié)議有如下特點(diǎn)：IEEE802.1x協(xié)議為二層協(xié)議，不需要到達(dá)三層，對(duì)設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本；借用了在 RAS系統(tǒng)中常用的 EAP(擴(kuò)展認(rèn)證協(xié)議)，可以提供良好的擴(kuò)展性和適應(yīng)性，實(shí)現(xiàn)對(duì)傳統(tǒng)PPP認(rèn)證架構(gòu)的兼容；802.1x的認(rèn)證體系結(jié)構(gòu)中采用了“可控端口”和“不可控端口”的邏輯功能，從而可以實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證的分離，由RADIUS和交換機(jī)利用不可控的邏輯端口共同完成對(duì)用戶的認(rèn)證與控制，業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上通過可控端口進(jìn)行交換，通過認(rèn)證之后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包；可以使用現(xiàn)有的后臺(tái)認(rèn)證系統(tǒng)降低部署的成本，并有豐富的業(yè)務(wù)支持；可以映射不同的用戶認(rèn)證等級(jí)到不同的VLAN；可以使交換端口和無線LAN具有安全的認(rèn)證接入功能。

2 802.1x工作過程

（1）當(dāng)用戶有上網(wǎng)需求時(shí)打開802.1X客戶端程序，輸入已經(jīng)申請(qǐng)、登記過的用戶名和口令，發(fā)起連接請(qǐng)求。此時(shí)，客戶端程序?qū)l(fā)出請(qǐng)求認(rèn)證的報(bào)文給交換機(jī)，開始啟動(dòng)一次認(rèn)證過程。

（2）交換機(jī)收到請(qǐng)求認(rèn)證的數(shù)據(jù)幀后，將發(fā)出一個(gè)請(qǐng)求幀要求用戶的客戶端程序?qū)⑤斎氲挠脩裘蜕蟻怼?/p>

（3）客戶端程序響應(yīng)交換機(jī)發(fā)出的請(qǐng)求，將用戶名信息通過數(shù)據(jù)幀送給交換機(jī)。交換機(jī)將客戶端送上來的數(shù)據(jù)幀經(jīng)過封包處理后送給認(rèn)證服務(wù)器進(jìn)行處理。

（4）認(rèn)證服務(wù)器收到交換機(jī)轉(zhuǎn)發(fā)上來的用戶名信息后，將該信息與數(shù)據(jù)庫(kù)中的用戶名表相比對(duì)，找到該用戶名對(duì)應(yīng)的口令信息，用隨機(jī)生成的一個(gè)加密字對(duì)它進(jìn)行加密處理，同時(shí)也將此加密字傳送給交換機(jī)，由交換機(jī)傳給客戶端程序。

（5）客戶端程序收到由交換機(jī)傳來的加密字后，用該加密字對(duì)口令部分進(jìn)行加密處理(此種加密算法通常是不可逆的)，并通過交換機(jī)傳給認(rèn)證服務(wù)器。

（6）認(rèn)證服務(wù)器將送上來的加密后的口令信息和其自己經(jīng)過加密運(yùn)算后的口令信息進(jìn)行對(duì)比，如果相同，則認(rèn)為該用戶為合法用戶，反饋認(rèn)證通過的消息，并向交換機(jī)發(fā)出打開端口的指令，允許用戶的業(yè)務(wù)流通過端口訪問網(wǎng)絡(luò)。否則，反饋認(rèn)證失敗的消息，并保持交換機(jī)端口的關(guān)閉狀態(tài)，只允許認(rèn)證信息數(shù)據(jù)通過而不允許業(yè)務(wù)數(shù)據(jù)通過。

3 802.1x應(yīng)用環(huán)境特點(diǎn)

（1）交換式以太網(wǎng)絡(luò)環(huán)境

對(duì)于交換式以太網(wǎng)絡(luò)中，用戶和網(wǎng)絡(luò)之間采用點(diǎn)到點(diǎn)的物理連接，用戶彼此之間通過VLAN隔離，此網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)管理控制的關(guān)鍵是用戶接入控制，802.1x不需要提供過多的安全機(jī)制。

（2）共享式網(wǎng)絡(luò)環(huán)境

當(dāng)802.1x應(yīng)用于共享式的網(wǎng)絡(luò)環(huán)境時(shí)，為了防止在共享式的網(wǎng)絡(luò)環(huán)境中出現(xiàn)類似“搭載”的問題，有必要將PAE實(shí)體由物理端口進(jìn)一步擴(kuò)展為多個(gè)互相獨(dú)立的邏輯端口。邏輯端口和用戶/設(shè)備形成一一對(duì)應(yīng)關(guān)系，并且各邏輯端口之間的認(rèn)證過程和結(jié)果相互獨(dú)立。在共享式網(wǎng)絡(luò)中，用戶之間共享接入物理媒介，接入網(wǎng)絡(luò)的管理控制必須兼顧用戶接入控制和用戶數(shù)據(jù)安全，可以采用的安全措施是對(duì) EAPoL和用戶的其它數(shù)據(jù)進(jìn)行加密封裝。在實(shí)際網(wǎng)絡(luò)環(huán)境中，可以通過加速WEP密鑰重分配周期，彌補(bǔ)WEP靜態(tài)分配秘鑰導(dǎo)致的安全性的缺陷。

4 802.1x認(rèn)證的安全性分析

802.1x協(xié)議中，有關(guān)安全性的問題一直是802.1x反對(duì)者攻擊的焦點(diǎn)。實(shí)際上，這個(gè)問題的確困擾了802.1x技術(shù)很長(zhǎng)一段時(shí)間，甚至限制了802.1x技術(shù)的應(yīng)用。但技術(shù)的發(fā)展為這個(gè)問題給出了答案：802.1x結(jié)合EAP，可以提供靈活、多樣的認(rèn)證解決方案。

5 802.1x認(rèn)證的優(yōu)勢(shì)

綜合IEEE802.1x的技術(shù)特點(diǎn)，其具有的優(yōu)勢(shì)可以總結(jié)為以下幾點(diǎn)。

簡(jiǎn)潔高效：純以太網(wǎng)技術(shù)內(nèi)核，保持了IP網(wǎng)絡(luò)無連接特性，不需要進(jìn)行協(xié)議間的多層封裝，去除了不必要的開銷和冗余；消除網(wǎng)絡(luò)認(rèn)證計(jì)費(fèi)瓶頸和單點(diǎn)故障，易于支持多業(yè)務(wù)和新興流媒體業(yè)務(wù)。

容易實(shí)現(xiàn)：可在普通L3、L2、IPDSLAM上實(shí)現(xiàn)，網(wǎng)絡(luò)綜合造價(jià)成本低，保留了傳統(tǒng)AAA認(rèn)證的網(wǎng)絡(luò)架構(gòu)，可以利用現(xiàn)有的RADIUS設(shè)備。

安全可靠：在二層網(wǎng)絡(luò)上實(shí)現(xiàn)用戶認(rèn)證，結(jié)合 MAC、端口、賬戶、VLAN和密碼等；綁定技術(shù)具有很高的安全性，在無線局域網(wǎng)網(wǎng)絡(luò)環(huán)境中 802.1x結(jié)合 EAP－TLS，EAPTTLS，可以實(shí)現(xiàn)對(duì)WEP證書密鑰的動(dòng)態(tài)分配，克服無線局域網(wǎng)接入中的安全漏洞。

行業(yè)標(biāo)準(zhǔn)：IEEE標(biāo)準(zhǔn)，和以太網(wǎng)標(biāo)準(zhǔn)同源，可以實(shí)現(xiàn)和以太網(wǎng)技術(shù)的無縫融合，幾乎所有的主流數(shù)據(jù)設(shè)備廠商在其設(shè)備，包括路由器、交換機(jī)和無線AP上都提供對(duì)該協(xié)議的支持。在客戶端方面微軟 WindowsXP操作系統(tǒng)內(nèi)置支持，Linux也提供了對(duì)該協(xié)議的支持。

應(yīng)用靈活：可以靈活控制認(rèn)證的顆粒度，用于對(duì)單個(gè)用戶連接、用戶ID或者是對(duì)接入設(shè)備進(jìn)行認(rèn)證，認(rèn)證的層次可以進(jìn)行靈活的組合，滿足特定的接入技術(shù)或者是業(yè)務(wù)的需要。

易于運(yùn)營(yíng)：控制流和業(yè)務(wù)流完全分離，易于實(shí)現(xiàn)跨平臺(tái)多業(yè)務(wù)運(yùn)營(yíng)，少量改造傳統(tǒng)包月制等單一收費(fèi)制網(wǎng)絡(luò)即可升級(jí)成運(yùn)營(yíng)級(jí)網(wǎng)絡(luò)，而且網(wǎng)絡(luò)的運(yùn)營(yíng)成本也有望降低。

Template:Expand IEEE 802.1X是IEEE制定關(guān)于用戶接入網(wǎng)絡(luò)的認(rèn)證標(biāo)準(zhǔn)(注意：此處X是大寫，詳細(xì)請(qǐng)參看IEEE關(guān)于命名的解釋)。它的全稱是“基于端口的網(wǎng)絡(luò)接入控制”。于 2001年標(biāo)準(zhǔn)化，之后為了配合無線網(wǎng)絡(luò)的接入進(jìn)行修訂改版，于2004年完成。

IEEE 802.1X協(xié)議在用戶接入網(wǎng)絡(luò)(可以是以太網(wǎng)，也可以是Wi-Fi網(wǎng))之前運(yùn)行，運(yùn)行于網(wǎng)絡(luò)中的MAC層。EAP協(xié)議RADIUS協(xié)議。cs:IEEE 802.1X de:IEEE 802.1x en:IEEE 802.1X es:IEEE 802.1X fi:802.1x fr:IEEE 802.1X it:IEEE 802.1x pl:802.1X

IEEE802.1x協(xié)議具有完備的用戶認(rèn)證、管理功能，可以很好的支撐寬帶網(wǎng)絡(luò)的計(jì)費(fèi)、安全、運(yùn)營(yíng)和管理要求，對(duì)寬帶 IP城域網(wǎng)等電信級(jí)網(wǎng)絡(luò)的運(yùn)營(yíng)和管理具有極大的優(yōu)勢(shì)。IEEE802.1x協(xié)議對(duì)認(rèn)證方式和認(rèn)證體系結(jié)構(gòu)上進(jìn)行了優(yōu)化，解決了傳統(tǒng)PPPOE和WEB/PORTAL認(rèn)證方式帶來的問題，更加適合在寬帶以太網(wǎng)中的使用。

6 我院一個(gè)園區(qū)采用802.1X協(xié)議解決方案

6.1 網(wǎng)絡(luò)拓?fù)鋱D

圖1 網(wǎng)絡(luò)拓?fù)鋱D

6.2 工作原理

首先在認(rèn)證服務(wù)器制定認(rèn)證策略，建立各計(jì)算機(jī)用戶資料檔案。在每一個(gè)用戶上裝入一個(gè)客戶端小程序，服務(wù)器即可發(fā)現(xiàn)客戶端的用戶計(jì)算機(jī)，檢查客戶端是否得到授權(quán)允許登錄網(wǎng)絡(luò)，如果允許即可通過二層交換機(jī)上網(wǎng)訪問，或通過路由器到全軍綜合信息網(wǎng)訪問。如果未允許，及不可訪問內(nèi)網(wǎng)的各種應(yīng)用，也不可訪問全軍綜合信息網(wǎng)。

6.3 解決安全問題

（1）對(duì)用戶的身份進(jìn)行標(biāo)識(shí)和認(rèn)證，保證只有授權(quán)的用戶可以訪問校園網(wǎng)；符合上級(jí)對(duì)網(wǎng)絡(luò)真實(shí)身份登錄的要求；

（2）及時(shí)發(fā)現(xiàn)影響網(wǎng)絡(luò)運(yùn)行的異常行為的來源，以便采取控制措施減小對(duì)網(wǎng)絡(luò)的影響；

（3）一些安全事件的事后追查，有時(shí)也需要追蹤到用戶的身份，我院是在發(fā)現(xiàn)網(wǎng)絡(luò)病毒未能及時(shí)查處用戶身份后，下決心上這套系統(tǒng)的。

6.4 存在的不足

但是 802.1X的部署也給網(wǎng)絡(luò)的管理者和使用者都造成了一定的不便，主要是增加了工作強(qiáng)度和難度，這幾乎是不可避免的結(jié)果。

（1）需要考慮諸如相關(guān)的網(wǎng)絡(luò)設(shè)備是否支持 802.1X協(xié)議。

（2）與過去管理相對(duì)開放、寬松，網(wǎng)絡(luò)和設(shè)備的資產(chǎn)管理復(fù)雜現(xiàn)象，現(xiàn)在需要實(shí)現(xiàn)集中式、強(qiáng)制性的管理措施，用戶不習(xí)慣，有時(shí)不適應(yīng)。

（3）網(wǎng)絡(luò)管理工作強(qiáng)度增大，對(duì)每一個(gè)用戶逐個(gè)認(rèn)證，下發(fā)權(quán)限策略，一旦用戶更換位置或計(jì)算機(jī)需要從新認(rèn)證。

總之，802.1X在安全性方面的優(yōu)勢(shì)比較值得肯定，可以實(shí)現(xiàn)細(xì)粒度的身份認(rèn)證、細(xì)粒度的控制、安全事件的追蹤、集中管理用戶訪問權(quán)限(通過VLAN設(shè)置)、用戶安全狀態(tài)的檢查與更新。

可以說，基于802.1X的身份認(rèn)證技術(shù)和準(zhǔn)入控制思想給網(wǎng)絡(luò)管理者提供了一個(gè)美好的藍(lán)圖，在很大程度上滿足了管理者的需求。

[1]陳善為.校園網(wǎng)網(wǎng)絡(luò)安全分析及防范對(duì)策淺析.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2010.

[2]中國(guó)教育和科研計(jì)算機(jī)網(wǎng).教育信息化專欄.2010.

[3]銳捷網(wǎng)絡(luò).教育行業(yè)案例集.2010.

[4]銳捷網(wǎng)絡(luò).GSN網(wǎng)絡(luò)安全解決方案.2010.