802.1x

原创 2007年10月12日 17:28:00

802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/MAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。

    网络访问技术的核心部分是PAE(端口访问实体)。在访问控制流程中,端口访问实体包含3部分:认证者--对接入的用户/设备进行认证的端口;请求者--被认证的用户/设备;认证服务器--根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。

    以太网的每个物理端口被分为受控和不受控的两个逻辑端口,物理端口收到的每个帧都被送到受控和不受控端口。对受控端口的访问,受限于受控端口的授权状态。认证者的PAE根据认证服务器认证过程的结果,控制"受控端口"的授权/未授权状态。处在未授权状态的控制端口将拒绝用户/设备的访问。

    1.802.1x认证特点

    基于以太网端口认证的802.1x协议有如下特点:IEEE802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本;借用了在RAS系统中常用的EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能,从而可以实现业务与认证的分离,由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制,业务报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;可以使用现有的后台认证系统降低部署的成本,并有丰富的业务支持;可以映射不同的用户认证等级到不同的VLAN;可以使交换端口和无线LAN具有安全的认证接入功能。

    2.802.1x工作过程

  (1.当用户有上网需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。
  (2.交换机收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。
  (3.客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。
  (4.认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给交换机,由交换机传给客户端程序。
  (5.客户端程序收到由交换机传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过交换机传给认证服务器。
  (6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反馈认证失败的消息,并保持交换机端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。

    3.802.1x应用环境特点

    (1)交换式以太网络环境

    对于交换式以太网络中,用户和网络之间采用点到点的物理连接,用户彼此之间通过VLAN隔离,此网络环境下,网络管理控制的关键是用户接入控制,802.1x不需要提供过多的安全机制。

    (2)共享式网络环境

    当802.1x应用于共享式的网络环境时,为了防止在共享式的网络环境中出现类似“搭载”的问题,有必要将PAE实体由物理端口进一步扩展为多个互相独立的逻辑端口。逻辑端口和用户/设备形成一一对应关系,并且各逻辑端口之间的认证过程和结果相互独立。在共享式网络中,用户之间共享接入物理媒介,接入网络的管理控制必须兼顾用户接入控制和用户数据安全,可以采用的安全措施是对EAPoL和用户的其它数据进行加密封装。在实际网络环境中,可以通过加速WEP密钥重分配周期,弥补WEP静态分配秘钥导致的安全性的缺陷。

    4.802.1x认证的安全性分析

    802.1x协议中,有关安全性的问题一直是802.1x反对者攻击的焦点。实际上,这个问题的确困扰了802.1x技术很长一段时间,甚至限制了802.1x技术的应用。但技术的发展为这个问题给出了答案:802.1x结合EAP,可以提供灵活、多样的认证解决方案。
4.802.1x认证的优势

    综合IEEE802.1x的技术特点,其具有的优势可以总结为以下几点。

    简洁高效:纯以太网技术内核,保持了IP网络无连接特性,不需要进行协议间的多层封装,去除了不必要的开销和冗余;消除网络认证计费瓶颈和单点故障,易于支持多业务和新兴流媒体业务。

    容易实现:可在普通L3、L2、IPDSLAM上实现,网络综合造价成本低,保留了传统AAA认证的网络架构,可以利用现有的RADIUS设备。

    安全可靠:在二层网络上实现用户认证,结合MAC、端口、账户、VLAN和密码等;绑定技术具有很高的安全性,在无线局域网网络环境中802.1x结合EAP-TLS,EAP-TTLS,可以实现对WEP证书密钥的动态分配,克服无线局域网接入中的安全漏洞。

    行业标准:IEEE标准,和以太网标准同源,可以实现和以太网技术的无缝融合,几乎所有的主流数据设备厂商在其设备,包括路由器、交换机和无线AP上都提供对该协议的支持。在客户端方面微软WindowsXP操作系统内置支持,Linux也提供了对该协议的支持。

    应用灵活:可以灵活控制认证的颗粒度,用于对单个用户连接、用户ID或者是对接入设备进行认证,认证的层次可以进行灵活的组合,满足特定的接入技术或者是业务的需要。

    易于运营:控制流和业务流完全分离,易于实现跨平台多业务运营,少量改造传统包月制等单一收费制网络即可升级成运营级网络,而且网络的运营成本也有望降低。


Template:Expand IEEE 802.1X是IEEE制定关于用户接入网络的认证标准(注意:此处X是大写,详细请参看IEEE关于命名的解释)。它的全称是“基于端口的网络接入控制”。于2001年标准化,之后为了配合无线网络的接入进行修订改版,于2004年完成。

IEEE 802.1X协议在用户接入网络(可以是以太网,也可以是Wi-Fi网)之前运行,运行于网络中的MAC层。EAP协议RADIUS协议。cs:IEEE 802.1X de:IEEE 802.1x en:IEEE 802.1X es:IEEE 802.1X fi:802.1x fr:IEEE 802.1X it:IEEE 802.1x pl:802.1X 
 

802.11结合802.1x、RADIUS提升WLAN安全性

转载:http://www.doxing.com/list.asp?id=187 虽然眼下很多人都在谈论着无线局域网,而且据悉在美国已经有不少公共场合开始为公众提供无线接入服务,国内也有越来...
  • zhangxinrun
  • zhangxinrun
  • 2013年08月29日 19:17
  • 1796

基于端口的访问控制协议802.1X

802.1x认证介绍 802.1x协议作为局域网端口的接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。 802.1x 协议是一种基于端口的网络接入控制协议,“基于端口的网...
  • u010951938
  • u010951938
  • 2016年02月29日 22:19
  • 1291

浅谈802.1X认证

一、起源 802.1x协议起源于802.11协议,后者是标准的无线局域网协议。802.1x协议的主要目的是为了解决局域网用户的接入认证问题,现在已经开始被应用于一般的有线LAN的接入。在802.1x出...
  • u013181216
  • u013181216
  • 2016年05月25日 12:03
  • 5661

802.1X协议的工作机制流程详解

参考:http://blog.csdn.net/phunxm/article/details/9389661 802.1X协议是一种基于端口的网络接入控制协议,“基于端口的网络接入控...
  • zxygww
  • zxygww
  • 2016年07月28日 15:29
  • 934

全面解析802.1x认证原理

802.1x协议是一种基于端口的网络接入控制协议,所以具体的802.1x认证功能必须在设备端口上进行配置,对端口上接入的用户设备通过认证来控制对网络资源的访问。802.1x认证系统采用网络应用系统典型...
  • lycb_gz
  • lycb_gz
  • 2013年12月24日 09:10
  • 32827

【网络安全】802.1X技术基础

1 前言 802.1X作为一种基于端口的用户访问控制安全机制,因其低成本、良好的业务连续性和扩充性以及较高的安全性和灵活性,自从2001年6月正式成为IEEE 802系列标准以来便迅速受到了设备制造商...
  • anda0109
  • anda0109
  • 2014年11月29日 21:04
  • 3157

linux mint下安装hostapd并配置802.1X认证

本实验的目的是在Linux Mint18的环境下安装hostapd来实现802.1x,其中mint作为AP路由的功能。...
  • nuaa_llf
  • nuaa_llf
  • 2017年01月26日 23:04
  • 342

802.1X协议的工作机制流程详解

802.1X协议的工作机制流程详解 802.1X协议是一种基于端口的网络接入控制协议,“基于端口的网络接入控制”是指在局域网接入设备的端口这一级,对所接入的用户设备进行认证和控制。作为一个认证协议,...
  • phunxm
  • phunxm
  • 2013年07月20日 11:52
  • 8606

802.1X用户身份验证过程

802.1X用户身份验证过程 802.1X为任何局域网,包括无线局域网提供了一个用户认证的框架,当工作站与接入点关联成功,工作站就可以 开始进行802.1X帧交换过程,尝试取得授权。802.1X认证交...
  • csdn_zyp2015
  • csdn_zyp2015
  • 2017年02月07日 17:55
  • 1300

Linux下802.1连接问题解决方案

操作系统:Ubuntu Kylin 14.04 LTS 出现问题: 校园网各种连不上,各种客户端各种问题 解决方案: 偶然看到这个帖子:http://wiki.ubuntu.org.cn/inde...
  • qq_20336817
  • qq_20336817
  • 2015年01月17日 16:49
  • 764
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:802.1x
举报原因:
原因补充:

(最多只允许输入30个字)