忆龙2009:从802.1x客户端状态机看微软验证客户端的变化

最新推荐文章于 2023-03-16 21:47:44 发布
最新推荐文章于 2023-03-16 21:47:44 发布
阅读量4.1k 收藏 1
点赞数
分类专栏: 网络 文章标签: 微软 windows xp authentication ui timer
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elong_2009/article/details/4705053
版权

       802.1x标准经过IEEE标准化组织的修订,目前已经出台了802.1x-2004规范,相比802.1x-2001,在一些细节方面进行了修订。部分状态机做了调整,其中,指导验证客户端开发的SUPPLICANT的状态机也进行了修改,这直接会影响到802.1x客户端软件的具体实现。针对windows xp系统,我们将对supplicant backend 状态机所进行的一些修改,来认识微软公司对其客户端所进行的修改。

 

       802.1x定义了很多种类型的状态机,包括:TIMER、AUTHENTICATOR、SUPPLICANT、REAUTHENTICATION、CONTROLLED DIRECTION等,今天我们只讨论SUPPLICANT的BACKEND状态机所进行的一些部分修改。

 

       使用过windows xp自带802.1x验证客户端的都知道,该客户端集成在网络连接中,用户无法通过类似“AUTHENTICATION”按钮主动发起认证。验证过程需要通过交换机发出的EAP-IDENTITY REQUEST报文来触发。为了适应微软客户端的这个特点,各个交换机厂家在其交换机上设计了组播触发功能及DHCP触发功能。

 

       所谓组播触发功能,就是开启了802.1x功能的交换机,会周期性主动向端口发送EAP-IDENTITY REQUEST报文,由于该报文的目的地址是01-80-c2-00-00-03,属于组播MAC的范围,因此通常将该功能叫做组播触发。如下图所示,在802.1x-2001规范时,微软的客户端在收到该报文后,会弹出一个用户名密码输入界面(UI界面),用户可以在此输入用户名及密码,然后完成验证,此时状态机处于REQUEST状态。

 

       很明显,如果交换机不主动发出这个报文,那么用户将没有机会输入用户名及密码,也就无法完成802.1x的身份验证过程。

 

       一次典型的组播触发过程如下:

      (1)PC<----EAP-IDENTITY REQUEST<----SWITCH,交换机进行组播触发

       弹出UI界面等待用户输入正确的用户名及密码

      (2)PC---->EAP-IDENTITY RESPONSE---->SWITCH,客户端进行响应,将身份信息发给交换机

       交换机检测到该报文,说明用户希望上线

      (3)PC<----EAP-IDENTITY REQUEST<----SWITCH,交换机建立该用户的相关信息,并再次向用户发出请求

      (4)PC---->EAP-IDENTITY RESPONSE---->SWITCH,客户端立即进行响应,将身份信息发给交换机,此时不会再弹出UI界面,用户不需再次输入用户名密码

      (5)PC<----EAP-MD5 CHALLENGE REQUEST<----SWITCH,交换机向客户端发出挑战报文,继续验证过程

      (6)PC---->EAP-MD5 CHALLENGE RESPONSE---->SWITCH,客户端回应挑战报文

      交换机根据这些信息完成AAA验证,如果验证成功,则向用户回应成功报文。

      (7)PC<----EAP-SUCCESS<----SWITCH,验证成功,用户上线。

 

       与此类似,DHCP触发功能完成的也是类似的功能。当用户采用DHCP方式动态获取IP地址时,会向交换机发出DHCP DISCOVER报文,交换机收到该报文后,知道用户已经开机,需要上线完成身份认证,因此主动向连着该用户PC的端口发出EAP-IDENTITY REQUEST报文,同样,xp收到该报文后也会弹出用户名密码窗口。验证过程与上面七步基本一样,只需要在第一步前增加一步:PC---->DHCP DISCOVER---->SWITCH,其它过程是完全一样的。

 

       与组播触发不同的是,组播触发是交换机周期性向使能了802.1x功能的端口发送EAP-IDENTITY REQUEST报文,此时对应的端口下可能并没有希望上线认证的用户,因此其目的MAC为上述提到的BPDU MAC;而通过DHCP触发的认证请求,交换机已经明确知道用户的MAC地址,因此该EAP-IDENTITY REQUEST报文为单播报文。

 

       在windows xp sp2之前,这种设计是有益的。如果没有这样的设计,交换机将无法与微软的验证客户端配合使用。

 

       在用户输入正确的用户名及密码之后,PC向交换机发送EAP-IDENTITY RESPONSE报文。该报文携带了用户的身份信息。从下图我们看到,在802.1x-2001规范中,这时状态机处于RESPONSE状态,我们注意到,在这个状态下,如果再次收到EAP-IDENTITY REQUEST报文(图中aReq),状态会再次变迁到REQUEST状态。

 

 

 

 

 

 

        从windows xp sp3开始,微软的验证客户端进行了修改,这主要也是为了适应802.1x-2004规范。我们注意到(如下图),从RESPONSE状态已经无法直接回到REQUEST状态。而且,微软对收到EAP-IDENTITY REQUEST 报文有了更明确的处理原则(在xp sp3版本之前并无此约定):无论何时(除了已经保存了用户名密码信息之外),只要收到EAP-IDENTITY REQUEST报文,都需要弹出UI界面,提示用户输入用户名及密码。

 

       微软这种改变有什么好处吗?原来,在xp sp2时,即使收到EAP-IDENTITY REQUEST报文,通常只会在第一次弹出UI界面,如果用户在此次验证过程中失败,此后会根据EAP-IDENTITY REQUEST随机性地弹出该UI界面,这样对于用户来说,感觉就是微软的的密码界面很难控制,不知道究竟什么时候会弹出,很多用户因此会无所适从。有时需要将网线从端口上拔出或禁用并重新启用网络连接才能再次弹出UI界面以完成验证过程。这种设计给用户造成了很大的困扰。

 

       802.1x-2001规范对于有初始用户界面,主动发起EAP-START报文的客户端来说并没有什么问题,但是对于像微软这样的设计,就比较难以满足要求了,802.1x-2004对此进行了修改,此修改并不会影响其它第三方有初始用户界面的客户端。但对于微软验证客户端却意义重大。

 

      按此修改的xp sp3不再会有用户找不到用户名密码输入窗的窘况。

 

 

 

 

        这种修改意味着交换机组播触发及DHCP触发功能的终结。从windows xp sp3开始,为了适应微软客户端而专门设计的这些功能也将失去了意义。而且,如果用户使用xp sp3验证客户端,交换机同时开启了组播触发功能,还会对验证流程产生不利的影响。在前面的博文:windows xp sp3 新版802.1x客户端默认属性改变引起的认证失败,已经有描述,这里不再详述。

 

 

 

 

 

 

 

 

 

 

 

忆龙2009
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
Wi-Fi 安全协议 - 802.1X
狼牙的博客~
11-06 2251
802.1X 身份认证 EAP 是一种架构协议,允许协议设计人员打造自己的EAP 认证方式,EAP并未强制链路的协议。 802.1X 协议讨论的是 EAP在局域网内的实现,即EAPOL (EAP Over LAN ),802.1X是基于局域网的扩展认证协议。 802.1X 协议定义了报文封装格式,称为EAPOL报文,用于客户端和认证系统之间的EAP协议报文传输,以允许EAP协议报文在LAN上传送...
IEEE 802.1x 协议 2010和2004标准
02-11
该压缩包包含了802.1x协议的2004版本和2010版本,均具有参考价值。
802.1X技术白皮书_中文
09-18
IEEE802.1x(Port-Based Network Access Control)是一个基于端口的网络存取控制标准,为LAN接入提供点对点式的安全接入。这是IEEE标准委员会针对以太网的安全缺陷而专门制定的标准,能够在利用IEEE 802 LAN的优势基础上,提供一种对连接到局域网设备或用户进行认证的手段。 IEEE 802.1x 标准定义了一种基于“客户端——服务器”(Client-Server)模式实现了限制未认证用户对网络的访问。客户端要访问网络必须先通过认证服务器的认证。 在客户端通过认证之前,只有EAPOL报文(Extensible Authentication Protocol over LAN)可以在网络上通行。在认证成功之后,正常的数据流便可在网络上通行。 802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。 802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。
CISCO交换机配置AAA、802.1X以及VACL
01-02
CISCO交换机配置AAA、802.1X以及VACL CISCO交换机配置AAA、802.1X以及VACL 一 启用AAA、禁用Telnet 以及启用 ssh 1.启用aaa身份验证,以进行SSH访问: Switch# conf t Switch(config)# aaa new-model 2.配置主机名 Switch(config)# hostname sw1 3.配置本地用户名口令,以便在带外服务器不可用时能够访问交换机 sw1(config)# username cisco password cisco 4.配置SSH sw1(config)# ipdomain-name cisco.com sw1(config)# crypto key generate rsa 5.配置交换机,使得只能通过SSH以带内方式访问交换机 sw1(config)# line vty 0 15 sw1(config-line)# transport input ssh sw1(config-line)# exit sw1(config)# exit 二 配置vty的aaa身份验证方式,首先使用radius 服务器,如果服务器不可用,使用本地用户名口令数据库 sw1(config)# aaa authentication login TEST group radius line sw1(config)# line vty 0 15 sw1(config-line)# login authentication TEST sw1(config-line)# exit 三 在接口上配置802.1x 1.为radius身份验证启用802.1x sw1(config)# aaa authentication dot1x default group radius 2.全局启用802.1x sw1(config)#dot1x system-auth-control 3.在接口上配置802.1x sw1(config)# int range fa0/2 - 10 sw1(config-if-range)# swtichport access vlan 10 sw1(config-if-range)# dot1x port-control auto 四 配置vacl以丢弃所有通过tcp端口8889进入的桢 1.配置一个acl,以判断数据包是否通过tcp端口8889进入: sw1(config)# access-list 100 permit tcp any any eq 8889 2.配置vlan访问映射表: sw1(config)# vlan access-map DROP_WORM 100 sw1(config-access-map)# match ip address 100 sw1(config-access-map)# action drop sw1(config-access-map)# exit 3.将vlan访问表应用于合适的vlan sw1(config)#vlan filter DROP_WORM vlan 10-20 802.1x工程笔记 在某网络测试时,工作笔记。 一、802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。 1、802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。 2、802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道) 3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。 二、802.1X的认证体系分为三部分结构: Supplicant System,客户端(PC/网络设备) Authenticator System,认证系统 Authentication Server System,认证服务器 三、认证过程 1、认证通过前,通道的状态为unauthorized,此时只能通过EAPOL的802.1X认证报文;2、认证通过时,通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等; 3、认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。 4、Supplicant System- Client(客户端)是—需要接入LAN,及享受switch提供服务的设备(如PC机),客户端需要支持EAPOL协议,客户端必须运行802.1X客户端软件,如:802.1X-complain、Windows XP等 四、配置 1、先配置switch到radius server的通讯 全局启用802.1x身份验证功能 Switch# configure terminal Switch(config)# aaa new-model Switch(config)# aaa authentication dot1x {default} method1[method2...] 指定radius服务器和密钥 switch(config)#radius-server host ip_add key string 2、在port上起用802.1x Switch# configure terminal Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# dot1x port-control auto Switch(config-if)# end 802.1x的安全机制 编者按:IEEE 802.1x作为一种新生的链路层验证机制协议,其原理、组成、工作进程以及功能等到底如何呢?本文揭示了这项协议在网络安全方面的运行机理及其突出应用。 虽然大多数组织的IT基础设施已经加强了边界防御,但其内部仍然容易受到攻击。这种脆弱性具体表现为内部用户可未经授权访问或者恶意破坏关键的IT资源。作为全面的“深层防御”安全架构的一部分,关键内部基础设施的访问权只能提供给授权用户。 局域网(LAN)历来是大门敞开。IEEE 802.1x这项最新标准定义了为LAN实施访问控制的机制,允许授权用户进来,而把非授权用户拒之门外。因此,有了802.1x,LAN便不再是一道敞开的门,其本身也成为安全架构和政策执行的一个重要部分,并有助于消除来自组织内部的安全威胁。 802.1x验证机制及其优点 IEEE 802.1x是一种链路层验证机制协议,控制着对网络访问端口即网络连接点的访问,如实施在无线接入点的物理交换端口或逻辑端口。通过控制网络访问,用户可以在多层安全架构部署第一道防线。在连接设备得到验证之前,网络访问权完全被禁止。得到验证之后,用户可以被提供第2层交换机通常提供的服务以外的附加服务。这些服务包括第3层过滤、速率限制和第4层过滤,而不仅仅是简单的“开/关(on/off)”服务。 链路层验证方案的一个优点是,它只要求存在链路层连接,客户端(在802.1x中称为请求者)不需要分配供验证用的第3层地址,因而降低了风险。此外,链路层验证涉及了所有能够在链路上工作的协议,从而不必为每种协议提供网络层验证802.1x还能够使执行点尽可能地接近网络边缘,因此可以针对连接设备的特定需求定制细粒度访问规则。 IEEE 802.1x的组成 IEEE 802.1x定义了下列逻辑单元: 网络访问端口:即网络上的连接点,它可能是物理端口,也可能是逻辑端口。 请求者:连接到网络、请求其服务的设备,通常是终端站。请求者是请求验证的设备,但也有可能是一种网络设备。 验证者:为验证服务提供便利的网络单元,验证者实际上并不提供验证服务,它充当请求者和验证服务器之间的代理,并且充当政策执行点。 端口访问实体:参与验证过程的固件。请求者和验证者都拥有端口访问实体(PAE)单元,请求者的PAE负责对验证信息请求做出响应,验证者的PAE负责与请求者之间的通信,代理授予通过验证服务器验证的证书,并且控制端口的授权状态。 验证服务器:提供向验证者申请验证服务的实体,它根据证书提供授权,既可以同验证者放在一起,也可以放在远地。 扩展验证协议(EAP) 由于使用了扩展验证协议(EAP),802.1x在请求者和验证者之间采用的实际验证机制相当灵活。EAP原先是为点对点(PPP)链路上的应用而定义的, 在因特网工程任务组的请求评论文档(RFC)2284中得到了明确定义。 基于以上所述,IEEE定义了一种封装模式,允许EAP通过LAN传输,EAP over LAN(EAPoL)于是应运而生。各种验证服务都可以通过这种协议运行,包括用户名/口令、Kerberos、数字证书、一次性口令和生物检测术等服务。EAP数据包在请求者和验证者之间的链路层上传输,并通过验证者与验证服务器之间的IP/RADIUS连接。 EAP本身并不为流量传输明确规定任何保护机制,如加密等。相反,EAP内运行的验证协议(在RFC 2284当中定义为验证类型)为安全操作提供了数据的机密性和完整性。验证类型的一个例子就是EAP传输层安全(EAP-TLS),它利用了在RFC 2246中明确定义的传输层协议(TLS)。 受控端口和不受控端口 802.1x标准定义了两种逻辑抽象:受控端口和不受控端口。这两种端口都连接到网络访问端口上。受控端口提供了访问请求者所用的网络服务的功能,根据验证操作成功与否实现打开或关闭操作。不受控端口始终处于连接状态,为验证服务的进行提供了始终连通的状态。受控端口需验证通过后才处于连接状态,从而提供给请求者网络服务。 802.1x的工作过程 802.1x的工作相当简单。值得注意的是请求者和验证者之间的流量通过EAPoL传输,验证者与验证服务器之间的流量则通过RADIUS传输。 开始时,受控端口处于中断状态,所以请求者无法访问LAN本身。请求者向验证者发出EAPoL起始消息,或者验证者会向请求者发出EAP请求身份消息。请求者接到请求身份消息后,就会把证书提供给验证者,然后验证者进行封装后把RADIUS数据包里面的消息发送给验证服务器。 RADIUS服务器随后向请求者发出质问请求,该请求由验证者充当代理。请求者对质问做出响应后,验证者又一次充当数据通过验证服务器的代理。验证服务器确认证书后,就会做出请求者可不可以使用LAN服务的决定。只要让受控端口由中断状态转换到连接状态,即可实现这一步。 增强授权功能 因为802.1x只明确规定了基本的开/关功能,其他功能甚少,大多数安全专家提到了AAA,即验证、授权和审计,而802.1x仅仅提供了最基本的验证功能,即开/关。部分厂商于是提供了另一层保护,因为许多组织需要比“开/关”所能够实现的更高一级的细粒度。厂商为受控端口增添逻辑以提高保真度,从而大大增强了授权功能。这种所谓的授权服务可以提供高保真度的第2、第3和第4层过滤功能,而且可以进行扩展,以获得动态自我配置的数据包过滤防火墙。授权服务可以提供如下的一些服务: ● 第2层协议过滤,去除了网络中不接受的第2层协议。 ● 第3层过滤,对提供特定单元访问权的网络执行逻辑视图。 ● 第4层过滤,禁止不允许的协议进入网络。 ● 速率限制,控制可能有害的信息进入网络的速率。 如果利用为每个端口进行编程的授权服务,就能针对特定用户或用户级制订相应的细粒度安全策略,为它们提供仅供访问所需服务的功能,其它服务一概禁止。 举一例,即使网络管理员能访问SNMP,会计部门的人却没有理由同样能访问。如果有可能确定一个用户属于哪个组,那么在验证期间就可以实施特定的授权策略。就本例而言,SNMP访问权应该授予网络管理组的成员,不然需收回权限,从而防止网络管理员之外的人无意或恶意对网络设备乱加配置。 CISCO交换机配置AAA、802.1X以及VACL 一 启用AAA、禁用Telnet 以及启用 ssh 1.启用aaa身份验证,以进行SSH访问: Switch# conf t Switch(config)# aaa new-model 2.配置主机名 Switch(config)# hostname sw1 3.配置本地用户名口令,以便在带外服务器不可用时能够访问交换机 sw1(config)# username cisco password cisco 4.配置SSH sw1(config)# ipdomain-name cisco.com sw1(config)# crypto key generate rsa 5.配置交换机,使得只能通过SSH以带内方式访问交换机 sw1(config)# line vty 0 15 sw1(config-line)# transport input ssh sw1(config-line)# exit sw1(config)# exit 二 配置vty的aaa身份验证方式,首先使用radius 服务器,如果服务器不可用,使用本地用户名口令数据库 sw1(config)# aaa authentication login TEST group radius line sw1(config)# line vty 0 15 sw1(config-line)# login authentication TEST sw1(config-line)# exit 三 在接口上配置802.1x 1.为radius身份验证启用802.1x sw1(config)# aaa authentication dot1x default group radius 2.全局启用802.1x sw1(config)#dot1x system-auth-control 3.在接口上配置802.1x sw1(config)# int range fa0/2 - 10 sw1(config-if-range)# swtichport access vlan 10 sw1(config-if-range)# dot1x port-control auto 四 配置vacl以丢弃所有通过tcp端口8889进入的桢 1.配置一个acl,以判断数据包是否通过tcp端口8889进入: sw1(config)# access-list 100 permit tcp any any eq 8889 2.配置vlan访问映射表: sw1(config)# vlan access-map DROP_WORM 100 sw1(config-access-map)# match ip address 100 sw1(config-access-map)# action drop sw1(config-access-map)# exit 3.将vlan访问表应用于合适的vlan sw1(config)#vlan filter DROP_WORM vlan 10-20 802.1x工程笔记 在某网络测试时,工作笔记。 一、802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。 1、802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。 2、802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道) 3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。 二、802.1X的认证体系分为三部分结构: Supplicant System,客户端(PC/网络设备) Authenticator System,认证系统 Authentication Server System,认证服务器 三、认证过程 1、认证通过前,通道的状态为unauthorized,此时只能通过EAPOL的802.1X认证报文;2、认证通过时,通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等; 3、认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。 4、Supplicant System- Client(客户端)是—需要接入LAN,及享受switch提供服务的设备(如PC机),客户端需要支持EAPOL协议,客户端必须运行802.1X客户端软件,如:802.1X-complain、Windows XP等 四、配置 1、先配置switch到radius server的通讯 全局启用802.1x身份验证功能 Switch# configure terminal Switch(config)# aaa new-model Switch(config)# aaa authentication dot1x {default} method1[method2...] 指定radius服务器和密钥 switch(config)#radius-server host ip_add key string 2、在port上起用802.1x Switch# configure terminal Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# dot1x port-control auto Switch(config-if)# end 802.1x的安全机制 编者按:IEEE 802.1x作为一种新生的链路层验证机制协议,其原理、组成、工作进程以及功能等到底如何呢?本文揭示了这项协议在网络安全方面的运行机理及其突出应用。 虽然大多数组织的IT基础设施已经加强了边界防御,但其内部仍然容易受到攻击。这种脆弱性具体表现为内部用户可未经授权访问或者恶意破坏关键的IT资源。作为全面的“深层防御”安全架构的一部分,关键内部基础设施的访问权只能提供给授权用户。 局域网(LAN)历来是大门敞开。IEEE 802.1x这项最新标准定义了为LAN实施访问控制的机制,允许授权用户进来,而把非授权用户拒之门外。因此,有了802.1x,LAN便不再是一道敞开的门,其本身也成为安全架构和政策执行的一个重要部分,并有助于消除来自组织内部的安全威胁。 802.1x验证机制及其优点 IEEE 802.1x是一种链路层验证机制协议,控制着对网络访问端口即网络连接点的访问,如实施在无线接入点的物理交换端口或逻辑端口。通过控制网络访问,用户可以在多层安全架构部署第一道防线。在连接设备得到验证之前,网络访问权完全被禁止。得到验证之后,用户可以被提供第2层交换机通常提供的服务以外的附加服务。这些服务包括第3层过滤、速率限制和第4层过滤,而不仅仅是简单的“开/关(on/off)”服务。 链路层验证方案的一个优点是,它只要求存在链路层连接,客户端(在802.1x中称为请求者)不需要分配供验证用的第3层地址,因而降低了风险。此外,链路层验证涉及了所有能够在链路上工作的协议,从而不必为每种协议提供网络层验证802.1x还能够使执行点尽可能地接近网络边缘,因此可以针对连接设备的特定需求定制细粒度访问规则。 IEEE 802.1x的组成 IEEE 802.1x定义了下列逻辑单元: 网络访问端口:即网络上的连接点,它可能是物理端口,也可能是逻辑端口。 请求者:连接到网络、请求其服务的设备,通常是终端站。请求者是请求验证的设备,但也有可能是一种网络设备。 验证者:为验证服务提供便利的网络单元,验证者实际上并不提供验证服务,它充当请求者和验证服务器之间的代理,并且充当政策执行点。 端口访问实体:参与验证过程的固件。请求者和验证者都拥有端口访问实体(PAE)单元,请求者的PAE负责对验证信息请求做出响应,验证者的PAE负责与请求者之间的通信,代理授予通过验证服务器验证的证书,并且控制端口的授权状态。 验证服务器:提供向验证者申请验证服务的实体,它根据证书提供授权,既可以同验证者放在一起,也可以放在远地。 扩展验证协议(EAP) 由于使用了扩展验证协议(EAP),802.1x在请求者和验证者之间采用的实际验证机制相当灵活。EAP原先是为点对点(PPP)链路上的应用而定义的, 在因特网工程任务组的请求评论文档(RFC)2284中得到了明确定义。 基于以上所述,IEEE定义了一种封装模式,允许EAP通过LAN传输,EAP over LAN(EAPoL)于是应运而生。各种验证服务都可以通过这种协议运行,包括用户名/口令、Kerberos、数字证书、一次性口令和生物检测术等服务。EAP数据包在请求者和验证者之间的链路层上传输,并通过验证者与验证服务器之间的IP/RADIUS连接。 EAP本身并不为流量传输明确规定任何保护机制,如加密等。相反,EAP内运行的验证协议(在RFC 2284当中定义为验证类型)为安全操作提供了数据的机密性和完整性。验证类型的一个例子就是EAP传输层安全(EAP-TLS),它利用了在RFC 2246中明确定义的传输层协议(TLS)。 受控端口和不受控端口 802.1x标准定义了两种逻辑抽象:受控端口和不受控端口。这两种端口都连接到网络访问端口上。受控端口提供了访问请求者所用的网络服务的功能,根据验证操作成功与否实现打开或关闭操作。不受控端口始终处于连接状态,为验证服务的进行提供了始终连通的状态。受控端口需验证通过后才处于连接状态,从而提供给请求者网络服务。 802.1x的工作过程 802.1x的工作相当简单。值得注意的是请求者和验证者之间的流量通过EAPoL传输,验证者与验证服务器之间的流量则通过RADIUS传输。 开始时,受控端口处于中断状态,所以请求者无法访问LAN本身。请求者向验证者发出EAPoL起始消息,或者验证者会向请求者发出EAP请求身份消息。请求者接到请求身份消息后,就会把证书提供给验证者,然后验证者进行封装后把RADIUS数据包里面的消息发送给验证服务器。 RADIUS服务器随后向请求者发出质问请求,该请求由验证者充当代理。请求者对质问做出响应后,验证者又一次充当数据通过验证服务器的代理。验证服务器确认证书后,就会做出请求者可不可以使用LAN服务的决定。只要让受控端口由中断状态转换到连接状态,即可实现这一步。 增强授权功能 因为802.1x只明确规定了基本的开/关功能,其他功能甚少,大多数安全专家提到了AAA,即验证、授权和审计,而802.1x仅仅提供了最基本的验证功能,即开/关。部分厂商于是提供了另一层保护,因为许多组织需要比“开/关”所能够实现的更高一级的细粒度。厂商为受控端口增添逻辑以提高保真度,从而大大增强了授权功能。这种所谓的授权服务可以提供高保真度的第2、第3和第4层过滤功能,而且可以进行扩展,以获得动态自我配置的数据包过滤防火墙。授权服务可以提供如下的一些服务: ● 第2层协议过滤,去除了网络中不接受的第2层协议。 ● 第3层过滤,对提供特定单元访问权的网络执行逻辑视图。 ● 第4层过滤,禁止不允许的协议进入网络。 ● 速率限制,控制可能有害的信息进入网络的速率。 如果利用为每个端口进行编程的授权服务,就能针对特定用户或用户级制订相应的细粒度安全策略,为它们提供仅供访问所需服务的功能,其它服务一概禁止。 举一例,即使网络管理员能访问SNMP,会计部门的人却没有理由同样能访问。如果有可能确定一个用户属于哪个组,那么在验证期间就可以实施特定的授权策略。就本例而言,SNMP访问权应该授予网络管理组的成员,不然需收回权限,从而防止网络管理员之外的人无意或恶意对网络设备乱加配置。 发表于: 2010-03-01,修改于: 2010-03-01 08:56 已浏览168次,有评论0条 推荐 投诉
802.1X-2004.pdf和802.1X-2010.pdf
05-29
5.9 Authenticator options............................................................................................................. 14 5.10 MKA requirements ................................................................................................................ 15 5.11 MKA options ......................................................................................................................... 15 5.12 Virtual port requirements....................................................................................................... 16 5.13 Virtual port options................................................................................................................ 16 5.14 Announcement transmission requirements............................................................................ 16 5.15 Announcement transmission options ..................................................................................... 17 5.16 Announcement reception requirements ................................................................................. 17 5.17 Announcement reception options .......................................................................................... 17 5.18 Requirements for SNMP access to the PAE MIB ................................................................. 17 5.19 Options for SNMP access to the PAE MIB........................................................................... 17 5.20 PAC requirements.................................................................................................................. 17 5.21 System recommendations ...................................................................................................... 18 5.22 Prohibitions............................................................................................................................ 18 6. Principles of port-based network access control operation ............................................................... 19 6.1 Port-based network access control architecture..................................................................... 19 6.2 Key hierarchy......................................................................................................................... 21 6.3 Port Access Entity (PAE) ...................................................................................................... 25 6.4 Port Access Controller (PAC)................................................................................................ 29 6.5 Link aggregation .................................................................................................................... 31 6.6 Use of this standard by IEEE Std 802.11............................................................................... 32 7. Port-based network access control applications ................................................................................ 33
牛人编写的802.1x客户端程序
12-21
牛人编写的802.1x客户端程序,很牛的一个人,下去看看吧
Windows域与802.1X协议统一认证解决方案
weixin_34116110的博客
10-17 652
Windows域与802.1X协议统一认证解决方案 【课程星级】★★★★★ 【实验名称】Windows域与802.1X协议统一认证解决方案 【实验目的】使管理人员了解Windows域与802.1X协议结合进行统一认证的配置方法。 【背景描述】 随着局域网的迅速发展,办公用户的网络安全问题日益突出。目前,各企业面临的安全威胁之一就是外围设备非法接入到内部网络后的破坏性...
hostapd wpa_supplicant madwifi详细分析(十三)——EAPOL(802.1X-2004/IEEE Std 802.1X-2010)
奔跑的路
08-07 5551
这篇文章主要介绍EAPOL,关于它的详细定义可以到802.1X-2004/IEEE Std 802.1X-2010两个文档里面查询。 如果有阅读前面一篇文章,应该会了解EAPOL在局域网中是用来为EAP服务的,它主要用来装载EAP数据包,完成802.1x的认证过程。EAPOL也工作在LLC层,现在我们来了解一下。 一、总概 1.使用范围 为了让无线局域网中的设备能够安全的连接通信,802.
802.1X认证
热门推荐
qq_32044265的博客
06-02 1万+
802.1X协议是一种基于端口的网络接入控制协议(Portbased networkaccess control protocol)。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级验证用户身份并控制其访问权限。 本文主要介绍802.1x的原理和配置
身份认证——802.1x认证和MAC认证讲解
m0_49864110的博客
03-16 5472
用户通过802.1x客户端输入用户和密码来向接入设备发送EAPoL-Start报文来触发认证,接入控制器收到客户端发送的EAPoL-Start报文之后,会向客户端发送EAP-Request/Identity报文,要求用户发送身份标识。EAP中继方式中,用来对用户密码进行加密处理的挑战字由认证服务器生成,设备端只是负责将EAP报文封装在RADIUS报文中透传认证服务器,整个认证处理都由认证服务器来完成。其实就是接入控制端主动触发进行802.1x认证,不过不通过用户密码认证了,而是通过MAC进行认证。
H3C S5800交换机配合Windows XP SP3的802.1X客户端认证,用户认证通过后很快掉线
linyuejiang的专栏
09-08 3161
H3C S5800交换机配合Windows XP SP3的802.1X客户端认证,用户认证通过后很快掉线 一、 组网: 在某项目售前测试中,H3C S5800交换机作为接入层交换机,直接连接用户PC。 用户使用Windows XP自带802.1X客户端
802.1X认证客户端测试必备软件xClient
11-21
802.1X认证客户端测试必备软件xClient 802.1X认证客户端测试必备软件xClient 802.1X认证客户端测试必备软件xClient
802.1X客户端软件
03-06
802.1X客户端软件 港湾网络客户端
802.1x认证客户端802.1x认证客户端802.1x认证客户端802.1x认证客户端
10-24
802.1x认证客户端802.1x认证客户端802.1x认证客户端802.1x认证客户端802.1x认证客户端802.1x认证客户端802.1x认证客户端
802.1x WINDOWS 客户端
05-14
第三方的802.1x接入软件,可以在WINDOWS XP, WIN7上运行,支持有线和无线网络
802.1x_reconnect:AppleScript系统偏好设置UI重新连接802.1x
05-09
在Mac OS X 10.10“ Yosemite”中,存在一个问题,其中802.1x连接在从睡眠状态唤醒后将不会自动重新连接。 这是一个被广泛报道的问题 ,但是似乎没有来自Apple的修复程序。 我们找到的最直接的解决方法是手动单击...
vue-dotnet-validator:使用vue.js的.NET数据注释的客户端验证
05-14
此软件包(从0.3.0版开始)需要vue2.x。 安装 npm install vue-dotnet-validator 用法 使用此库需要在应用程序的两个位置(JavaScript和razor cshtml模板)上进行更改。 JavaScript 这将注册vue组件,以便Vue.js...
jvc-cli:CLI jeuxvideo.com 客户端
05-31
CLI 客户端。 警告 与状态相同。 用法 登录/注销 jvc login [] jvc logout 在登录操作期间,系统会提示您输入密码,并且可能会要求您输入验证码。 验证码图像将下载到一个临时文件中,并使用打开。 私人信息 jvc ...
802.1x认证,RADIUS认证
asufeiya的博客
07-15 6267
IEEE 802.1X IEEE 802.1X是IEEE制定关于用户接入网络的认证标准(注意:此处X是大写[1]),全称是“基于端口的网络接入控制”,属于IEEE 802.1网络协议组的一部分。于2001年标准化,之后为了配合无线网络的接入进行修订改版,于2004年完成。它为想要连接到LAN或WLAN的设备提供了一种认证机制。 IEEE 802.1X协议在用户接入网络(可以是以太网/802.3或者WLAN网)之前运行,运行于网络中的数据链路层,EAP协议RADIUS协议。 IEEE 802.1X定义了
802.1x 客户端 命令行模式
最新发布
02-01
802.1x客户端是在网络设备上启用802.1x认证的程序,用于提供命令行模式的配置和管理。 在802.1x客户端的命令行模式下,用户可以使用一系列命令来配置和管理客户端的认证设置。以下是一些常见的命令以及它们的功能:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值