终端安全防护技术研究（三）

2.6 终端接入管控

从终端安全防护的体系建设方面考虑，未经审批的终端主机接入涉密局域网会给局域网带来巨大的安全风险，攻击者很容易通过非法接入终端实现对涉密局域网发起攻击，包括窃取涉密资料、传播恶意软件。对入网终端进行接入认证和准入控制是弥补非法终端入网的重要环节。
终端接入管控是指对各类终端接入局域网进行设备身份认证和准入控制，在接入终端身份认证层面实现对入网终端身份的鉴别，准入控制层面基于设备准入策略对终端环境进行安全合规性检查并阻止违规终端入网。
在接入认证上，首先对终端身份进行标识，通常的终端身份标识有用户名和口令标识终端、设备指纹标识终端、设备证书标识终端等。网络接入认证常用的认证技术有基于802.1x的接入认证、基于PPOE协议的接入认证。

2.6.1 802.1x接入认证技术

802.1x协议是从交换机层面对网络接入实体进行认证的协议，交换机配置802.1x协议认证后，接入实体接入网络时，只能与交换机传输802.1x协议定义的协议报文，依托于802.1x协议报文完成对接入实体的认证后交换机才放行其他网络报文，允许实体接入。
基于802.1x 的认证系统在认证客户端和交换机之间使用EAPOL 格式封装EAP 协议传送认证信息，交换机与认证服务器之间通过RADIUS 协议传送认证信息。由于EAP 协议的可扩展性，基于EAP 协议的认证系统可以使用多种不同的认证算法，如EAP-MD5，EAP-TLS，EAP-SIM，EAP-TTLS 以及EAP-AKA 等认证方法。
以EAP-MD5为例，描述802.1x的认证流程。EAP-MD5是一种单向认证机制，可以完成网络对用户的认证，但认证过程不支持加密密钥的生成。基于EAP-MD5的802.1x认证流程如图所示，认证流程包括以下步骤：

图 2 802.1x认证流程
（1）客户端向接入设备（交换机）发送一个EAPOL-Start 报文，开始802.1x 认证接入；
（2）接入设备向客户端发送EAP-Request/Identity 报文，要求客户端将用户名送上来；
（3）客户端回应一个EAP-Response/Identity 给接入设备的请求，其中包括用户名；
（4）接入设备将EAP-Response/Identity 报文封装到Access.Request报文中，发送给认证服务器；
（5）认证服务器产生一个Challenge，通过接入设备将RADIUSAccess—Challenge 报文发送给客户端，其中包含有EAP-Request/MD5-Challen