亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        802.1x認(rèn)證技術(shù)的基礎(chǔ)應(yīng)用分析

        2009-04-09 03:17:18蔣振兵
        新媒體研究 2009年5期
        關(guān)鍵詞:報(bào)文端口客戶端

        [摘要]介紹802.1x協(xié)議的體系結(jié)構(gòu)及認(rèn)證機(jī)理。并針對(duì)多種設(shè)備,給出不同的測(cè)試方法,文后總結(jié)和介紹802.1x的安全問(wèn)題。

        [關(guān)鍵詞]802.1x 認(rèn)證 分析

        中圖分類(lèi)號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)0310038-01

        一、目前廣泛采用的認(rèn)證模式及其簡(jiǎn)單介紹

        隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,INTERNET主干網(wǎng)的不斷擴(kuò)容,加之信息化的建設(shè),網(wǎng)絡(luò)已經(jīng)成為工作、生活中不可或缺的一部分。當(dāng)前主流的上網(wǎng)認(rèn)證方式有3種:PPPOE、WEB/PORTAL、802.1X。

        PPPOE(PPP OVER ETHERNET)是90年代后期由REDBACK、ROUTERWARE、WORLDCOM三家公司在IETF RFC的基礎(chǔ)上聯(lián)合開(kāi)發(fā)的一個(gè)以太網(wǎng)點(diǎn)對(duì)點(diǎn)協(xié)議。PPPOE認(rèn)證需要將PPP協(xié)議再次封裝到以太網(wǎng)中,網(wǎng)絡(luò)封裝開(kāi)銷(xiāo)很大,容易造成網(wǎng)絡(luò)瓶頸。PPPOE使用廣播報(bào)文發(fā)起認(rèn)證,容易引起廣播風(fēng)暴。PPPOE認(rèn)證系統(tǒng)需要外接BAS服務(wù)器對(duì)用戶的每個(gè)數(shù)據(jù)報(bào)文進(jìn)行拆包識(shí)別和封裝轉(zhuǎn)發(fā),認(rèn)證報(bào)文和業(yè)務(wù)數(shù)據(jù)均需經(jīng)過(guò)BAS,容易引起網(wǎng)絡(luò)瓶頸。加上PPPOE協(xié)議本身是基于點(diǎn)對(duì)點(diǎn)的會(huì)話,因此無(wú)法實(shí)現(xiàn)組播業(yè)務(wù)。

        WEB/PORTAL認(rèn)證的絕對(duì)優(yōu)勢(shì)在于它不需要用戶安裝特定的客戶端軟件,有效降低了網(wǎng)絡(luò)維護(hù)的工作量。但是WEB認(rèn)證采用的是第7層應(yīng)用層協(xié)議,而網(wǎng)絡(luò)認(rèn)證是采用的第2層連接。因此WEB/PORTAL認(rèn)證用戶連接性較差,不容易檢測(cè)用戶離線,基于時(shí)間的計(jì)費(fèi)較難實(shí)現(xiàn)。比如斷電、突發(fā)故障等異常離線情況必須在2層做檢測(cè),而WEB/PORTAL對(duì)此毫無(wú)辦法。

        二、802.1x的協(xié)議分析

        (一)802.1x的簡(jiǎn)單介紹

        IEEE802.1x協(xié)議稱為基于端口的訪問(wèn)控制協(xié)議(Port based network access control protoco1),由IEEE(Institute of Electrical and Electronics Engineers)于2001年6月提出的,它以操作粒度為端口,提供了一種基于端口的網(wǎng)絡(luò)接入控制技術(shù),在設(shè)備的物理接入級(jí)對(duì)接入設(shè)備進(jìn)行認(rèn)證和控制。

        802.1x協(xié)議是基于Client/Server的訪問(wèn)控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過(guò)接入端口訪問(wèn)LAN/MAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前,802.1x對(duì)連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過(guò)之前,802.1x只允許EAPoL(基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)數(shù)據(jù)通過(guò)設(shè)備連接的交換機(jī)端口;認(rèn)證通過(guò)以后,正常的數(shù)據(jù)可以順利地通過(guò)以太網(wǎng)端口。

        (二)802.1x的體系結(jié)構(gòu)

        802.1x由認(rèn)證服務(wù)器(Authentication)、認(rèn)證系統(tǒng)(Authenticator)和客戶端系統(tǒng)(Supplicant)組成。

        認(rèn)證服務(wù)器一般為RADIUS服務(wù)器。在認(rèn)證服務(wù)器上,一般存儲(chǔ)有用戶的帳號(hào)、密碼、所處網(wǎng)絡(luò)的邏輯方位、優(yōu)先級(jí)及用戶的訪問(wèn)控制信息等。認(rèn)證系統(tǒng)為支持802.1X協(xié)議的網(wǎng)絡(luò)設(shè)備。

        認(rèn)證系統(tǒng)中支持兩種邏輯端口,受控端口(Controlled Port)和非受控端口(Uncontrolled Port)。受控端口只有在認(rèn)證通過(guò)的狀態(tài)下才打開(kāi),用于傳遞網(wǎng)絡(luò)資源和服務(wù)。非受控端口始終處于雙向連通狀態(tài),主要用來(lái)傳遞EAPOL協(xié)議幀,可保證客戶端始終可以發(fā)出或接受認(rèn)證。

        客戶端系統(tǒng)一般為一個(gè)用戶終端系統(tǒng),該終端系統(tǒng)通常要安裝一個(gè)客戶端軟件,用戶通過(guò)啟動(dòng)這個(gè)客戶端軟件發(fā)起IEEE 802.1x協(xié)議的認(rèn)證過(guò)程。為支持基于端口的接入控制,客戶端系統(tǒng)需支持EAPOL(extensible authentication protocol overLAN)協(xié)議。

        (三)802.1x協(xié)議的標(biāo)準(zhǔn)認(rèn)證過(guò)程

        1.802.1x客戶端發(fā)送一個(gè)請(qǐng)求認(rèn)證的報(bào)文(EAPOL-Start)發(fā)送給認(rèn)證系統(tǒng),這是802.1x認(rèn)證的發(fā)起。2.認(rèn)證系統(tǒng)在收到請(qǐng)求報(bào)文后,發(fā)送報(bào)文給客戶端,要求客戶端發(fā)送認(rèn)證信息。3.客戶端響應(yīng)認(rèn)證系統(tǒng)的要求,將用戶信息傳送給認(rèn)證系統(tǒng);認(rèn)證系統(tǒng)經(jīng)過(guò)封裝、處理后將該數(shù)據(jù)轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器。4.認(rèn)證服務(wù)器收到認(rèn)證系統(tǒng)轉(zhuǎn)發(fā)的報(bào)文后,對(duì)用戶信息用隨機(jī)產(chǎn)生的加密字進(jìn)行加密處理(802.1x默認(rèn)采用MD5加密),同時(shí)將該加密字封裝成數(shù)據(jù)包傳送給認(rèn)證系統(tǒng),由認(rèn)證系統(tǒng)轉(zhuǎn)發(fā)給客戶端。5.客戶端收到加密字后,用該加密字對(duì)用戶口令進(jìn)行加密,并通過(guò)認(rèn)證系統(tǒng)傳送給認(rèn)證服務(wù)器。6.認(rèn)證服務(wù)器匹配客戶端傳送的用戶名和密碼,如符合,返回一個(gè)成功信息,并打開(kāi)認(rèn)證系統(tǒng)的端口,允許非802.1x數(shù)據(jù)流通過(guò);否則,返回失敗信息,認(rèn)證系統(tǒng)的端口狀態(tài)維持不變。

        三、802.1x在曉莊學(xué)院的測(cè)試以及技術(shù)處理

        (一)曉莊校園網(wǎng)網(wǎng)絡(luò)拓?fù)涫疽鈭D

        曉莊學(xué)院學(xué)生公寓均采用DHCP動(dòng)態(tài)分配IP地址,接入設(shè)備為銳捷和港灣的二層交換機(jī)。認(rèn)證服務(wù)器采用北京億郵的認(rèn)證服務(wù)器。

        (二)802.1x技術(shù)測(cè)試方法

        由于對(duì)802.1X認(rèn)識(shí)的差異性及對(duì)802.1X不同的私有函數(shù)擴(kuò)展,實(shí)際測(cè)試過(guò)程中,802.1X的標(biāo)準(zhǔn)認(rèn)證過(guò)程沒(méi)有辦法解決曉莊學(xué)院的實(shí)際需求。在測(cè)試過(guò)程中,對(duì)于港灣設(shè)備,采用認(rèn)證和計(jì)費(fèi)相分離的方法;對(duì)于銳捷的設(shè)備,采用了在客戶端兩次發(fā)布同一報(bào)文的方法。

        四、802.1x的安全性認(rèn)識(shí)

        由于802.1x采用單向認(rèn)證,即認(rèn)證系統(tǒng)只認(rèn)證用戶,并無(wú)法認(rèn)證認(rèn)證者本身的合法性。使得位于合法用戶與認(rèn)證服務(wù)器之間的攻擊者,可以攔截802.1X報(bào)文,并對(duì)該報(bào)文進(jìn)行修改,達(dá)到攻擊者偽裝成合法認(rèn)證者的目的。

        由于認(rèn)證報(bào)文與業(yè)務(wù)數(shù)據(jù)之間缺少狀態(tài)轉(zhuǎn)換信息的交流,給攻擊者留下了獲取游離信息(包含MAC地址信息等)的機(jī)會(huì),使得攻擊者可以利用這段時(shí)間,在合法用戶身份認(rèn)證通過(guò)后,利用該游離信息非法竊取本應(yīng)屬于合法用戶的正當(dāng)IP地址,從而獲得網(wǎng)絡(luò)使用權(quán)限。

        參考文獻(xiàn):

        [1]吳紹興、鄭柯、項(xiàng)延鐵,路由器安全與AAA認(rèn)證的研究與應(yīng)用,南陽(yáng)師范學(xué)院學(xué)報(bào)(自然科學(xué)版),2004.3.

        [2]李巍,利用動(dòng)態(tài)VLAN技術(shù)與802.1x認(rèn)證構(gòu)建安全靈活的局域網(wǎng),中國(guó)金融電腦,2005.

        [3]王謙,利用802.1x協(xié)議實(shí)現(xiàn)局域網(wǎng)接入的可控管理,江蘇電機(jī)工程,2005.

        作者簡(jiǎn)介:

        蔣振兵,男,江蘇省泰州市興化市,本科,研究方向計(jì)算機(jī)科學(xué)與技術(shù)。

        猜你喜歡
        報(bào)文端口客戶端
        基于J1939 協(xié)議多包報(bào)文的時(shí)序研究及應(yīng)用
        一種端口故障的解決方案
        CTCS-2級(jí)報(bào)文數(shù)據(jù)管理需求分析和實(shí)現(xiàn)
        淺析反駁類(lèi)報(bào)文要點(diǎn)
        縣級(jí)臺(tái)在突發(fā)事件報(bào)道中如何應(yīng)用手機(jī)客戶端
        孵化垂直頻道:新聞客戶端新策略
        基于Vanconnect的智能家居瘦客戶端的設(shè)計(jì)與實(shí)現(xiàn)
        端口阻塞與優(yōu)先級(jí)
        ATS與列車(chē)通信報(bào)文分析
        初識(shí)電腦端口
        電腦迷(2015年6期)2015-05-30 08:52:42
        国产一级免费黄片无码AV| 国产强被迫伦姧在线观看无码| 欧美肥胖老妇做爰videos| 国产欧美日韩午夜在线观看 | 91九色中文视频在线观看| 在线观看视频播放| 人人狠狠综合久久亚洲婷婷| 亚洲国产不卡av一区二区三区| 第一九区另类中文字幕| 国产av无码专区亚洲av蜜芽| 国产在线一91区免费国产91| 二区三区亚洲精品国产| 亚洲国产精品av在线| 99在线精品免费视频九九视| 亚洲国产A∨无码影院| 亚洲精品国产av成人网| 老师开裆丝袜喷水视频| 亚洲精品一区二区三区大桥未久| 午夜不卡亚洲视频| 成人大片免费在线观看视频 | 久久精品国产亚洲av大全| 国产精品系列亚洲第一| 少妇熟女天堂网av天堂| 欧美老妇多毛xxxxx极瑞视频| 亚洲中文无码av在线| av东京热一区二区三区| 91伦理片视频国产精品久久久| 亚洲av蜜桃永久无码精品| 国产成人亚洲精品电影| 中文字幕熟女激情50路| 日本高清视频wwww色| 午夜无码大尺度福利视频| 国产一区二区三区蜜桃av| 欧美最猛性xxxx| 免费a级毛片出奶水| 精品久久久久久国产潘金莲| 亚洲av迷人一区二区三区| 中国丰满熟妇xxxx性| 一区五码在线| 国产精品亚洲一区二区三区在线| 亚洲伊人一本大道中文字幕|