基于802.1x協(xié)議的網(wǎng)絡(luò)接入認(rèn)證方式的分析

牧軍 朱歡歡

摘要：網(wǎng)絡(luò)接入認(rèn)證是保障網(wǎng)絡(luò)系統(tǒng)整體安全的重要一環(huán)，本文主要介紹了目前依然使用非常廣泛的基于802.1x協(xié)議的網(wǎng)絡(luò)接入認(rèn)證方式。首先介紹802.1X協(xié)議的概況和體系結(jié)構(gòu)，接著簡(jiǎn)單介紹802.1X協(xié)議基于端口的接入控制方式及流程，并適當(dāng)分析。

關(guān)鍵詞：802.1X；接入網(wǎng)；接入認(rèn)證控制

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2018）07-0033-01

1 概述

接入網(wǎng)[1]一般泛指用戶終端到骨干網(wǎng)之間的所有網(wǎng)絡(luò)設(shè)備，是靠用戶最近的一段網(wǎng)絡(luò)。由于很多的攻擊行為都是由接入終端自身存在不安全因素，因此接入網(wǎng)的安全性一直都是值得關(guān)注的重點(diǎn)。目前常用的接入認(rèn)證的方式[2]有PPPoE接入認(rèn)證、IEEE802.1X接入認(rèn)證、MAC接入認(rèn)證等，其中基于802.1x協(xié)議的接入認(rèn)證依然是目前最常使用的一種。

802.1X簡(jiǎn)稱dot1x，是一種網(wǎng)絡(luò)認(rèn)證協(xié)議，設(shè)備通過對(duì)應(yīng)端口接入網(wǎng)絡(luò)，dot1x協(xié)議從端口層面上認(rèn)證所接入的所有用戶設(shè)備，并對(duì)其實(shí)現(xiàn)用戶級(jí)別的接入控制。用戶設(shè)備在連接上端口之后，只有通過了協(xié)議的認(rèn)證才能夠接入網(wǎng)絡(luò)訪問局域網(wǎng)中的資源，否則將拒絕訪問。

2 802.1x的體系結(jié)構(gòu)

802.1X協(xié)議采用了非常經(jīng)典的C/S結(jié)構(gòu)，由客戶端、設(shè)備端和認(rèn)證服務(wù)器（RADIUS）這三個(gè)部分組成。

其中客戶端可以是任何能夠發(fā)起802.1X認(rèn)證請(qǐng)求并且支持EAPOL協(xié)議的用戶終端設(shè)備，通常情況下要先安裝上相應(yīng)的客戶端軟件。設(shè)備端一般是網(wǎng)絡(luò)設(shè)備，提供一些端口供用戶側(cè)的客戶端接入。認(rèn)證服務(wù)器與設(shè)備端相連，能夠?yàn)樵O(shè)備端提供認(rèn)證服務(wù)，除此之外還同時(shí)提供授權(quán)和計(jì)費(fèi)功能（即常說的AAA），通常是一個(gè)RADIUS（遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)器）。

3 802.1x基于端口的認(rèn)證方式

設(shè)備端為用戶提供非受控與受控兩種端口用來接入網(wǎng)絡(luò)。非受控端口一直保持在雙向連通狀態(tài)。受控端口根據(jù)認(rèn)證的結(jié)果可以處在兩種不同的狀態(tài)：授權(quán)和非授權(quán)。當(dāng)端口處在授權(quán)狀態(tài)下時(shí)，可以進(jìn)行業(yè)務(wù)報(bào)文的收發(fā)，雙向連通；在非授權(quán)狀態(tài)下，設(shè)備端無(wú)法從用戶側(cè)接收任何種類的報(bào)文。

用戶側(cè)與設(shè)備端和認(rèn)證服務(wù)器之間傳遞認(rèn)證信息使用的協(xié)議為EAP協(xié)議，具體有以下兩種實(shí)現(xiàn)方式：

（1）EAP中繼方式：用戶通向設(shè)備端發(fā)送EAP包，設(shè)備端以EAPOR格式將其完整的封裝在RADIUS報(bào)文中，然后發(fā)送給RADUIS服務(wù)器，服務(wù)器從RADUIS報(bào)文中解析出經(jīng)過兩層封裝的用戶信息進(jìn)行驗(yàn)證。在這種認(rèn)證方式下，設(shè)備端的工作量比較小，不用管從用戶側(cè)發(fā)來的認(rèn)證信息內(nèi)容是什么都不需要對(duì)其進(jìn)行分析處理。（2）EAP終結(jié)方式：這種方式與EPA中繼不同的是設(shè)備端要對(duì)從客戶端接收到的認(rèn)證報(bào)文進(jìn)行分析，從中提取必要的認(rèn)證信息，再把提取出來的認(rèn)證信息封裝成標(biāo)準(zhǔn)的RADIUS報(bào)文格式發(fā)送給認(rèn)證服務(wù)器。因?yàn)橐谠O(shè)備端進(jìn)行報(bào)文分析和重新封裝，所以對(duì)設(shè)備端要求要高，而且設(shè)備端需要進(jìn)行的工作較多。

4 802.1x的認(rèn)證過程

下面以客戶端主動(dòng)發(fā)起認(rèn)證的方式簡(jiǎn)單介紹一下EAP中繼認(rèn)證的過程，其簡(jiǎn)要的流程示意圖如圖1所示。

（1）用戶通過支持802.1x的客戶端發(fā)出EAPOL-Start報(bào)文，發(fā)起連接請(qǐng)求；（2）設(shè)備端收到請(qǐng)求后返回對(duì)應(yīng)報(bào)文要求用戶輸入用戶名；（3）用戶收到設(shè)備端返回的報(bào)文后向其發(fā)送包含用戶信息的數(shù)據(jù)幀；（4）設(shè)備端對(duì)這個(gè)數(shù)據(jù)幀做一定的處理后發(fā)送給認(rèn)證服務(wù)器；（5）認(rèn)證服務(wù)器根據(jù)用戶信息從數(shù)據(jù)庫(kù)中找到對(duì)應(yīng)的密碼信息，隨機(jī)產(chǎn)生一個(gè)加密字對(duì)其進(jìn)行加密處理后將加密字返回給設(shè)備端然后轉(zhuǎn)發(fā)給用戶側(cè)；（6）用戶側(cè)收到這個(gè)加密字后，使用加密字對(duì)用戶輸入的密碼進(jìn)行不可逆的加密處理，然后通過設(shè)備端傳送給認(rèn)證服務(wù)器；（7）認(rèn)證服務(wù)器將收到的密碼信息和本地查詢出來的密碼信息進(jìn)行對(duì)比，相同則用戶通過認(rèn)證。

5 結(jié)語(yǔ)

基于802.1x協(xié)議的接入認(rèn)證方式實(shí)現(xiàn)了認(rèn)證流和業(yè)務(wù)流分離，簡(jiǎn)化后續(xù)對(duì)數(shù)據(jù)包的處理工作。

參考文獻(xiàn)

[1]陳永紅，李建岐，白杰，黃畢堯.終端通信接入網(wǎng)建設(shè)和運(yùn)行模式探討[J].供用電，2018，35（03）：32-36.

[2]徐方南，蘇星曄.網(wǎng)絡(luò)接入認(rèn)證技術(shù)研究[J].中國(guó)新通信，2017，19（05）：56.