802.1x认证技术简介

1 背景

  以太网的高性价比和媒体的特性使其逐渐成为家庭、企业局域网、电信级城域网的主导接入技术,而且随着10 Gbit/s以太网技术的出现,以太网技术在广域网范围内也将获得一席之地,电信运营商和宽带接入提供商开始提供基于以太或纯以太的接入业务。对于以太网络中多数业务来说,运营商无法从物理上完全控制客户端设备或者媒介。运营商要实现对宽带业务的可运营、可管理,就必须从逻辑上对用户或者用户设备进行控制。该控制过程主要通过对用户和用户设备的认证和授权来实施。一般来说,需要进行认证和授权的业务种类包括:

  (1)提供给多用户系统的以太城域网业务。这些业务包括典型的TLS业务、L2或者L3的VPN业务。在该业务组网环境中,客户前端交换机由同一建筑物内的多个用户共享。

  (2)在以IEEE 802.11a和IEEE 802.1b提供无线以太接入的热点地区(如机场、商场、学校和餐厅等),需要基于每个用户设备或者用户进行接入认证.以防止非授权用户接入。

  (3)基于ATM RFC 1483的DSL业务和IP以太接入网。

  (4)基于EFM(Ethernet in the First Mile,IEEE 802.3ah)EPON接入和EoVDSL等业务。

  (5)基于以太的cahle的共享RF信道接入方式。

  2 IEEE 802.1x协议技术分析

  IEEE在2001正式颁布了IEEE 802.1x标准,用于基于以太的局域网、城域网和各种宽带接入手段的用户/设备接入认证。这种认证采用基于以太网端口的用户访问控制技术,只有网络系统允许并授权的用户可以访问网络系统的各种业务(如以太网连接、网络层路由、Internet接入等业务),既可以克服PPPoE方式的诸多问题,又避免了引入集中式宽带接入服务器所带来的巨大投资。

  802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/MAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。

  用户侧的以太网交换机上放置一个扩展认证协议(EAP)代理,用户PC机运行EAPoL(EAP over LAN)的客户端软件与交换机通信。网络访问技术的核心部分是PAE(端口访问实体)。在访问控制流程中,端口访问实体包括:认证者(对接入的用户/设备进行认证的端口)、请求者(被认证的用户/设备)和认证服务器(根据认证者的信息,对请求访问网络资源的用户/设备执行实际认证功能的设备)3部分。

  以太网的每个物理端口分为受控和不受控两个逻辑端口,物理端口收到的每个帧都被送到受控和不受控端口。对受控端口的访问,受限于受控端口的授权状态。认证者的PAE根据认证服务器认证过程的结果,控制“受控端口”的授权/未授权状态。处在未授权状态的控制端口,拒绝用户/设备的访问。

  2.1 802.1x认证特点

  基于以太网端口认证的802.1x协议有如下特点:

  (1)IEEE 802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本。

  (2)借用了在RAS系统中常用的EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容。

  (3)802 1x的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能,从而可以实现业务与认证分离,由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制,业务报文直接承载在正常的二层报文上通过可控端口进行交换,其通过认证后的数据包是无需封装的纯数据包。

  (4)可以使用现有的后台认证系统降低部署的成本,并有丰富的业务支持。

  (5)可以映射不同的用户认证等级到不同的VLAN。

  (6)可以使交换端口和无线LAN具有安全的认证接入功能。

  2.2 802.1x应用环境

  2.2.1 交换式以太网络环境

  随着以太网技术的不断演进,局域网和城域网的网络架构演变为一种全交换的网络环境。在交换式以太网络中,用户设备一般通过一个专用的5类线和接入以太网交换机的端口直接连接,一般一个用户设备对应接入以太网交换机一个物理端口。在这种网络架构中接入以太网交换机的物理端口可以敏锐的觉察到用户设备的使用情况,并且根据设备和线路的状况,作出对设备认证状态的判断,采取相应的动作。这种网络结构面临的最大问题就是“搭载“情况的发生。所谓“搭载”就是指在采用802.1x认证时,如果用户网络和接入以太网交换机中间采用了共享设备,那么只要用户网络上的一个设备/用户通过了接入交换机的认证,开放了端口的网络访问权限,那么该用户网络上其他的未认证授权用户/设备都可以获得网络访问的权限。

  对于交换式以太网络,用户和网络之间采用点到点的物理连接,用户彼此之间通过VLAN隔离,此网络环境下,网络管理控制的关键是用户接入控制,802.1x不需要提供过多的安全机制。

  2.2.2 共享式网络环境

  当802.1x应用于共享式的网络环境时,为了防止在共享式网络环境中出现类似“搭载”的问题,有必要将PAE实体由物理端口进一步扩展为多个互相独立的逻辑端口。逻辑端口和用户/设备形成一一对应关系,并且各逻辑端口之间的认证过程和结果相互独立。在共享式网络中,用户之间共享接入物理媒介,接入网络的管理控制必须兼顾用户接入控制和用户数据安全,可以采用的安全措施是对EAPoL和用户的其他数据进行加密封装。

  以无线局域网IEEE 802.1la和802.11b为例的共享式以太网络环境中,客户设备和特定的AP之间需要建立关联关系,基于客户设备和AP设备MAC地址,客户设备和AP之间的关联还包括一个单播会话键。由于客户设备的MAC地址是惟一的,所以基于客户设备和AP之间的MAC地址关联和单播会话键是惟一的。该键在AP上为每个无线分区中的终端创立了互相独立的逻辑端口。逻辑端口建立以后,AP就可以采取802.1x对属于互相独立的逻辑端口的用户终端的认证。EAP-TLS和EAP-TTLS等认证解决方案还可以解决无线局域网中使用静态WEP所带来的安全性问题。使用EAP-TLS和EAP-TILLS,用户可以在每次连接动态生成新的WEP密钥。而且在用户连接其间,还可以按照一定间隔动态产生新密钥。在实际网络环境中,可以通过加速WEP密钥重分配周期,弥补WEP静态分配密钥导致的安全性缺陷。

  2.3 802.1x认证的安全性分析

  IEEE 802.1x和PPP一样采用了EAP协议作为认证信息交互机制,EAP消息封装在EAPoL分组中。作为一种认证消息承载机制,EAP可以允许认证者和请求者之间采用灵活的方案进行认证,并且对将来出现的更先进、合理的认证技术具有很好的兼容性。EAP的这些特性主要通过扩展EAP中厂家定义的“EAP类型”域实现,“EAP类型”域中定义的认证类型可以满足不同层次认证的安全需要。目前可以采用的EAP类型有EAP-MD5、EAP-TLS、EAP-TFLS、PEAP和LEAP。

  EAP-MD5方式是通过RADIUS服务器提供简单的集中用户认证。其服务器不需要证书或者无线工作站中的其他安全信息,用户注册时该服务器只是检查用户名和口令,若匹配就通知允许该客户端访问网络服务。由于EAP-MD5只提供认证,因此为安全起见,应该与标准802.11安全协议WEP/WEP2组合使用,采用40位/128位共享密钥实现加密。这是一种单向认证机制,只能保证客户端到服务器的认证,并不保证服务器到客户端的认证。

  EAP-TLS方式提供了一种基于证书的双向认证,除了在连接建立时主机和服务器之间分配的会话号(Session ID)之外,它需要通过安全连接在客户侧和服务器侧的事先发布的认证证书。EAP-TLS既提供认证,又提供动态会话钥匙分发。RA-DIUS服务器需要支持EAP-TLS认证和认证证书的管理能力。TLS支持双向认证,也就是网络(EAP-TLS服务器)认证终端用户(Client),终端用户认证网络。只有在双向认证通过以后,服务器才向接入认证点发送EAP-Success消息,指示用户终端可以收发数据流。这个消息同时触发对数据流的加密,在加密密钥建立之前,终端不发送数据。

  EAP-TTLS是一种允许传统基于用户名和密码的认证机制方式,类似于CHAP(Challenge Handshake Authentication Protocol)、PAP、一次性密码(One Time Password)和EAP认证协同工作的认证机制。客户端使用TTLS服务器提供的数字证书对网络端进行认证,这个过程是对安全Web服务器方式的模拟。认证隧道一旦建立,就开始对安全终端用户进行认证。EAP-TTLS可以保证无线接入媒体中终端用户的一致性,防止匿名用户非法使用网络。和EAP-TLS一样,只有在双向认证通过以后,服务器才向接入认证点发送EAP-Success消息,指示用户终端可以收发数据流。这个消息同时触发对数据流的加密,在加密密钥建立之前,终端不发送数据。

  2.4 802.1x认证的优势

  综合IEEE 802.1x的技术特点,它具有如下几点优势:

  (1)简洁高效。纯以太网技术内核保持了IP网络无连接特性,不需要进行协议间的多层封装,去除了不必要的开销和冗余昂贵的多业务网关设备,消除网络认证计费瓶颈和单点故障,易于支持多业务和新兴流媒体业务。

  (2)容易实现。可在普通L3、L2、IP DSLAM上实现,网络综合造价成本低,保留了传统AAA认证的网络架构,可以利用现有的RADIUS设备。

  (3)安全可靠。在二层网络上实现用户认证,结合MAC、端口、账户、VLAN和密码等,绑定技术具有很高的安全性。在无线局域网网络环境中802.1x结合EAP-TLS、EAP-TTLS,可以实现对WEP证书密钥的动态分配,克服无线局域网接入中的安全漏洞。

  (4)行业标准。IEEE标准和以太网标准同源,可以实现和以太网技术的无缝融合,几乎所有的主流数据设备厂商的设备(包括路由器、交换机和无线AP等)都提供对该协议的支持。客户端方面,Linux和微软的Windows XP操作系统都已经支持该协议。

  (5)应用灵活。可以灵活控制认证的颗粒度,用于对单个用户连接、用户ID或者是对接入设备进行认证,认证的层次可以灵活地进行组合,满足特定的接入技术或者是业务的需要。

  (6)易于运营。控制流和业务流完全分离,易于实现跨平台多业务运营,少量改造传统包月制等单一收费制网络即可升级成运营级网络,而且网络的运营成本也有望降低。

  3 802.1x在电信级IP宽带网络中的应用建议

  802.1x认证在电信级宽带网络中应用的总体架构如图2所示。根据前面对802.1x技术特点及技术优势的分析,笔者认为电信级网络中应用802.1x应遵循下列5项原则。

  3.1 以WLAN为应用突破口

  802.1x认证技术在电信级宽带网中的应用宜以(WLAN为突破口。802.1x技术从一开始就对基于WLAN提供认证的技术进行了大量的研究和探索,WLAN设备大量应用的时间段和802.1x协议标准产生也基本同步,目前多数厂商的WLAN AP设备都可以支持802.1x认证;从技术上考虑,WLAN是一种共享式的以太接入网络,它所面临的安全性问题和用户控制都要比基于有线的以太接入方式难以解决。WLAN作为宽带网上的新应用,运营商没有什么历史包袱,在网络减少和设备选型时不受现有网络条件的牵制。以上种种原因决定了WLAN是802.1x技术应用的排头兵。

  3.2 认证边缘化、分布化

  认证边缘化充分发挥了802.1x基于端口认证的优势。所谓认证边缘化是指将认证设备在网络中的位置设置为直接与用户设备/网络接口,边缘化的认证设备可以感知、监控认证设备和用户设备之间链路连接状态,根据链路状态变化,认证设备可以采取相应的策略,主动要求用户/设备发起认证。对链路状态的感知能力也是运营商进行网络故障检测和网络运行维护工作顺利开展的基础,可以说实现了认证的边缘化也就解决了宽带接入网络中线路维护和故障诊断困难的难题。用户可以在本地接入网段实现隔离,不需要像集中认证方式那样,在用户到接入认证服务器之间的二层网络都需要进行用户隔离,减少了交换机运行VLAN的复杂度,也使网络流量的规划、管理、控制更加容易。认证边缘化意味着认证设备的分布化,可以避免采用集中式的PPPoE认证带来的网络性能和网络可靠性瓶颈。

  3.3 用户管理集中化

  虽然802.1x采用分布式认证,但在用户管理时建议仍采用集中方式。集中式的用户管理的范围包括有线接入用户和无线接入用户。集中认证一方面易于管理维护,保证了单个管理域内用户信息的一致性;另一方面,集中统一的用户管理为不同接入手段的用户账户之间进行漫游提供了前提条件,而且用户在不同网络或者接入类型之间切换时面对的是统一的界面。PPPoE认证中也采用集中式的用户管理,802.1x通过对现有的RADIUS设备进行升级,可以完整地继承PPPoE的认证体系,避免对网络结构进行大规模调整,工程易实现。

  3.4 多业务接入,兼顾网络技术特点

  802.1x是IEEE以太协议族中的一个组成部分,应用范围涵盖WLAN、xDSL、5类线、Cable和EPON等纯以太或者基于以太的多业务接入方式。以xDSL技术为例,一方面EoVDSL等纯以太的xDSL接入手段出现,另一方面在基于ATM的xDSL技术中,IP DSLAM的出现及其三层路由功能需求,使802.1x成为满足需求的最佳选择。值得注意的是,交换式以太网络和共享式以太网络有不同的技术特点,在应用802.1x时要兼顾。

  3.5 逐步取代PPPoE

  802.1x技术代表了电信级宽带网络发展的趋势,即认证和业务分离,支持多业务。PPPoE的缺陷注定其是过渡者角色。事实上,当初PPPoE也是作为一种权宜之计应用到宽带网络接入认证中的,但是802.1x取代PPPoE是一个渐进的过程。网络现状是我们不得不考虑的问题,其中最主要的问题是楼道交换机功能简单,不支持802.1x。解决这个问题可以考虑采用如下途径:一是对楼道交换机进行软件升级,使其支持802.1x;二是对802.1x协议进行改进,使EAP可以承载在VLAN上,在汇聚层交换机进行802.1x认证,下游二层交换机采用VLAN进行用户隔离。最终,认证边缘化要求面向用户的接入设备,可以直接实现对用户接入的管理和控制。

  4 结论

  随着以太网技术在宽带网内应用范围的日益广泛,各种基于以太网技术的业务应运而生,成为宽带网络业务主体,在宽带接入领域内,纯以太网或者与以太网相关的接入技术已经成为接入网发展的大趋势。802.1x技术作为IEEE协议族的一个组成部分,在以太网络环境中提供了一种基于端口、认证和业务分离、高灵活性、强适应性的接入控制手段。相比现阶段广泛应用的PPPoE解决方案,802.1x不仅具有和以太网技术天生的良好兼容性,还具有出色的多业务支持能力和多样化的统计计费能力。不过,现阶段802.1x应用于电信级宽带网络还存在着一些缺陷,但是随着其不断完善、成熟,802.1x协议将成为电信级宽带网络中不可或缺的部分。
文章录入:csh    责任编辑:csh

(0)

相关推荐

  • 802.1x认证技术简介

    1 背景 以太网的高性价比和媒体的特性使其逐渐成为家庭.企业局域网.电信级城域网的主导接入技术,而且随着10 Gbit/s以太网技术的出现,以太网技术在广域网范围内也将获得一席之地,电信运营商和宽带接入提供商开始提供基于以太或纯以太的接入业务.对于以太网络中多数业务来说,运营商无法从物理上完全控制客户端设备或者媒介.运营商要实现对宽带业务的可运营.可管理,就必须从逻辑上对用户或者用户设备进行控制.该控制过程主要通过对用户和用户设备的认证和授权来实施.一般来说,需要进行认证和授权的业务种类包括:

  • JSP技术简介

    一. JSP 技术概述 在 Sun 正式发布 JSP(JavaServer Pages) 之后,这种新的 Web 应用开发技术很快引起了人们的关注. JSP 为创建高度动态的 Web 应用提供了一个独特的开发环境.按照 Sun 的说法, JSP 能够适应市场上包括 Apache WebServer . IIS4.0 在内的 85% 的服务器产品.即使您对 ASP "一往情深",我们认为,关注 JSP 的发展仍旧很有必要. ㈠ JSP 与 ASP 的简单比较 JSP 与 Microsof

  • iOS Touch ID指纹识别技术简介

    Touch ID简介: 苹果公司在iPhone 5S手机中推出了指纹识别功能,提高手机安全性的同时也方便了用户操作.其功能是通过Touch ID实现的,从iOS 8系统开始,苹果开发一些Touch ID的API使得开发人员可以在自己的应用程序中调用指纹识别功能. Touch ID功能就是指纹识别密码.使用指纹识别功能需要先进入设置-Touch ID 与密码中根据提示添加指纹. 从iOS 8系统开始开放了Touch ID的验证接口功能,在应用程序中可以判断输入的Touch ID是否设置持有者的To

  • ASP基础入门第一篇(ASP技术简介)

    本文将以如何建立基于IIS 的ASP 动态网站为中心向大家一步一步地揭示动态商业网站设计的真正奥秘.为了使各位能够全面.细致地掌握 ASP 的开发技巧,本文今后将采取连载的形式,手把手地教你如何建立属于自己 ASP 动态网站.由于本文是作者根据自己的学习和实践经验并结合了一些外文资料而写成的,因此不免会有一些偏颇,希望各位见谅. Microsoft Active Server Pages 即我们所称的ASP ,其实是一套微软开发的服务器端脚本环境, ASP 内含于 IIS 3.0 和 4.0 之

  • 如何解决Windows Vista中无法通过锐捷认证上网的问题

    许多学校在寝室里上网都需要一个认证软件,连上内网之后才能通过VPN上外网,而在Windows Vista下面这些个软件可能工作不正常,从而在Windows Vista里不能上网.很不幸,我们学校就是其中这一. 寝室上网需要先用锐捷连上内网,再通过VPN连接外网.刚开始的时候,弄了半天,锐捷客户端硬是不能获取网卡信息,然后在Windows Vista里右下角的网络图标提示信息显示为"未识别的网络",然后VPN拨号不可用. 在网上翻了一大会,终于给找到了解决办法,下面是步骤: 1. 下载并

  • 华为S2100-EI系列以太网交换机

    Quidway® S2100-EI系列智能接入交换机采用高性能的ASIC实现线速的L2层交换,具备灵活的带宽分配和安全的接入控制功能,并提供丰富的管理手段,适用于居民小区.宾馆.企业等提供高速Ethernet接入以及为企业网络提供桌面或工作组级的交换服务.    S2100-EI系列智能接入交换机,包括:S2108-EI.S2116-EI.S2126-EI.        全线速的二层交换:6.4G/6.4G/9.6Gbps的总线带宽为交换机所有的端口提供二层线速交换能力,保证所有端口无阻塞的进

  • 如何实现城域汇聚层以太网用户认证

    对于以太网络中多数业务来说,运营商无法从物理上完全控制客户端设备或者媒介.运营商要实现对宽带业务的可运营.可管理,就必须从逻辑上对用户或者用户设备进行控制. 该控制过程主要通过对用户和用户设备的认证和授权完成. 以太网用户接入认证技术需求分析 面临着基于以太业务应用的日益广泛,迫切需要一种适应以太网多业务承载需求,兼顾以太接入灵活性和扩展性好的特点,并能确保以太接入安全性.支持运营商对接入用户进行控制和管理的接入认证技术. 以太技术和接入认证技术的结合要求网络接入控制完成以下功能: 网络的接入控

  • 多WAN口宽带路由器技术与应用

    "口"多"量"大--多WAN口宽带路由器技术与应用 泥土越多,佛像就塑得越大,根基也就越牢固,故有"泥多佛大"一说:多WAN口宽带路由器的出现,使用户可以获得的总带宽增大,网络也因此更稳定,故"口多量大"就是本文所阐述的真谛. 市场经过大发展之后面对的将是激烈的竞争,对网吧等一些用户也一样,如何通过低成本来实现高速.稳定的接入是在竞争中获胜的关键,多WAN口宽带路由器可以立大功. 那么,多WAN口宽带路由器到底是什么东西?是昙

  • Python的Flask框架的简介和安装方法

    请在开始使用 Flask 之前阅读本文.也希望本文能够回答关于 Flask 项目的初衷以及目标,以及 flask 适用的场景(情境)等问题. 什么是 "微"? "微" ("Micro") 并不是意味着把整个 Web 应用放入到一个 Python 文件,尽管确实可以这么做.当然"微" ("Micro") 也不是意味 Flask 的功能上是不足的.微框架中的 "微" ("Micro

  • Apache服务器的用户认证

    经常上网的读者会遇到这种情况:访问一些网站的某些资源时,浏览器弹出一个对话框,要求输入用户名和密码来获取对资源的访问.这就是用户认证的一种技术.用户认证是保护网络系统资源的第一道防线,它控制着所有登录并检查访问用户的合法性,其目标是仅让合法用户以合法的权限访问网络系统的资源.基本的用户认证技术是"用户名+密码". Apache是目前流行的Web服务器,可运行在Linux.Unix.Windows等操作系统下,它可以很好地解决"用户名+密码"的认证问题.Apache用

随机推荐