[摘要]介紹802.1x協(xié)議的體系結(jié)構(gòu)及認(rèn)證機(jī)理。并針對(duì)多種設(shè)備，給出不同的測(cè)試方法，文后總結(jié)和介紹802.1x的安全問(wèn)題。

[關(guān)鍵詞]802.1x 認(rèn)證 分析

中圖分類(lèi)號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671－7597（2009）0310038－01

一、目前廣泛采用的認(rèn)證模式及其簡(jiǎn)單介紹

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，INTERNET主干網(wǎng)的不斷擴(kuò)容，加之信息化的建設(shè)，網(wǎng)絡(luò)已經(jīng)成為工作、生活中不可或缺的一部分。當(dāng)前主流的上網(wǎng)認(rèn)證方式有3種：PPPOE、WEB/PORTAL、802.1X。

PPPOE(PPP OVER ETHERNET)是90年代后期由REDBACK、ROUTERWARE、WORLDCOM三家公司在IETF RFC的基礎(chǔ)上聯(lián)合開(kāi)發(fā)的一個(gè)以太網(wǎng)點(diǎn)對(duì)點(diǎn)協(xié)議。PPPOE認(rèn)證需要將PPP協(xié)議再次封裝到以太網(wǎng)中，網(wǎng)絡(luò)封裝開(kāi)銷(xiāo)很大，容易造成網(wǎng)絡(luò)瓶頸。PPPOE使用廣播報(bào)文發(fā)起認(rèn)證，容易引起廣播風(fēng)暴。PPPOE認(rèn)證系統(tǒng)需要外接BAS服務(wù)器對(duì)用戶的每個(gè)數(shù)據(jù)報(bào)文進(jìn)行拆包識(shí)別和封裝轉(zhuǎn)發(fā)，認(rèn)證報(bào)文和業(yè)務(wù)數(shù)據(jù)均需經(jīng)過(guò)BAS，容易引起網(wǎng)絡(luò)瓶頸。加上PPPOE協(xié)議本身是基于點(diǎn)對(duì)點(diǎn)的會(huì)話，因此無(wú)法實(shí)現(xiàn)組播業(yè)務(wù)。

WEB/PORTAL認(rèn)證的絕對(duì)優(yōu)勢(shì)在于它不需要用戶安裝特定的客戶端軟件，有效降低了網(wǎng)絡(luò)維護(hù)的工作量。但是WEB認(rèn)證采用的是第7層應(yīng)用層協(xié)議，而網(wǎng)絡(luò)認(rèn)證是采用的第2層連接。因此WEB/PORTAL認(rèn)證用戶連接性較差，不容易檢測(cè)用戶離線，基于時(shí)間的計(jì)費(fèi)較難實(shí)現(xiàn)。比如斷電、突發(fā)故障等異常離線情況必須在2層做檢測(cè)，而WEB/PORTAL對(duì)此毫無(wú)辦法。

二、802.1x的協(xié)議分析

（一）802.1x的簡(jiǎn)單介紹

IEEE802.1x協(xié)議稱為基于端口的訪問(wèn)控制協(xié)議(Port based network access control protoco1)，由IEEE(Institute of Electrical and Electronics Engineers)于2001年6月提出的，它以操作粒度為端口，提供了一種基于端口的網(wǎng)絡(luò)接入控制技術(shù)，在設(shè)備的物理接入級(jí)對(duì)接入設(shè)備進(jìn)行認(rèn)證和控制。

802.1x協(xié)議是基于Client／Server的訪問(wèn)控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶／設(shè)備通過(guò)接入端口訪問(wèn)LAN／MAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前，802.1x對(duì)連接到交換機(jī)端口上的用戶／設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過(guò)之前，802.1x只允許EAPoL（基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議）數(shù)據(jù)通過(guò)設(shè)備連接的交換機(jī)端口；認(rèn)證通過(guò)以后，正常的數(shù)據(jù)可以順利地通過(guò)以太網(wǎng)端口。

（二）802.1x的體系結(jié)構(gòu)

802.1x由認(rèn)證服務(wù)器（Authentication）、認(rèn)證系統(tǒng)（Authenticator）和客戶端系統(tǒng)（Supplicant）組成。

認(rèn)證服務(wù)器一般為RADIUS服務(wù)器。在認(rèn)證服務(wù)器上，一般存儲(chǔ)有用戶的帳號(hào)、密碼、所處網(wǎng)絡(luò)的邏輯方位、優(yōu)先級(jí)及用戶的訪問(wèn)控制信息等。認(rèn)證系統(tǒng)為支持802.1X協(xié)議的網(wǎng)絡(luò)設(shè)備。

認(rèn)證系統(tǒng)中支持兩種邏輯端口，受控端口(Controlled Port)和非受控端口(Uncontrolled Port)。受控端口只有在認(rèn)證通過(guò)的狀態(tài)下才打開(kāi)，用于傳遞網(wǎng)絡(luò)資源和服務(wù)。非受控端口始終處于雙向連通狀態(tài)，主要用來(lái)傳遞EAPOL協(xié)議幀，可保證客戶端始終可以發(fā)出或接受認(rèn)證。

客戶端系統(tǒng)一般為一個(gè)用戶終端系統(tǒng)，該終端系統(tǒng)通常要安裝一個(gè)客戶端軟件，用戶通過(guò)啟動(dòng)這個(gè)客戶端軟件發(fā)起IEEE 802.1x協(xié)議的認(rèn)證過(guò)程。為支持基于端口的接入控制，客戶端系統(tǒng)需支持EAPOL(extensible authentication protocol overLAN)協(xié)議。

（三）802.1x協(xié)議的標(biāo)準(zhǔn)認(rèn)證過(guò)程

1．802.1x客戶端發(fā)送一個(gè)請(qǐng)求認(rèn)證的報(bào)文(EAPOL-Start)發(fā)送給認(rèn)證系統(tǒng)，這是802.1x認(rèn)證的發(fā)起。2．認(rèn)證系統(tǒng)在收到請(qǐng)求報(bào)文后，發(fā)送報(bào)文給客戶端，要求客戶端發(fā)送認(rèn)證信息。3．客戶端響應(yīng)認(rèn)證系統(tǒng)的要求，將用戶信息傳送給認(rèn)證系統(tǒng)；認(rèn)證系統(tǒng)經(jīng)過(guò)封裝、處理后將該數(shù)據(jù)轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器。4．認(rèn)證服務(wù)器收到認(rèn)證系統(tǒng)轉(zhuǎn)發(fā)的報(bào)文后，對(duì)用戶信息用隨機(jī)產(chǎn)生的加密字進(jìn)行加密處理（802.1x默認(rèn)采用MD5加密），同時(shí)將該加密字封裝成數(shù)據(jù)包傳送給認(rèn)證系統(tǒng)，由認(rèn)證系統(tǒng)轉(zhuǎn)發(fā)給客戶端。5．客戶端收到加密字后，用該加密字對(duì)用戶口令進(jìn)行加密，并通過(guò)認(rèn)證系統(tǒng)傳送給認(rèn)證服務(wù)器。6．認(rèn)證服務(wù)器匹配客戶端傳送的用戶名和密碼，如符合，返回一個(gè)成功信息，并打開(kāi)認(rèn)證系統(tǒng)的端口，允許非802.1x數(shù)據(jù)流通過(guò)；否則，返回失敗信息，認(rèn)證系統(tǒng)的端口狀態(tài)維持不變。

三、802.1x在曉莊學(xué)院的測(cè)試以及技術(shù)處理

（一）曉莊校園網(wǎng)網(wǎng)絡(luò)拓?fù)涫疽鈭D

曉莊學(xué)院學(xué)生公寓均采用DHCP動(dòng)態(tài)分配IP地址，接入設(shè)備為銳捷和港灣的二層交換機(jī)。認(rèn)證服務(wù)器采用北京億郵的認(rèn)證服務(wù)器。

（二）802.1x技術(shù)測(cè)試方法

由于對(duì)802.1X認(rèn)識(shí)的差異性及對(duì)802.1X不同的私有函數(shù)擴(kuò)展，實(shí)際測(cè)試過(guò)程中，802.1X的標(biāo)準(zhǔn)認(rèn)證過(guò)程沒(méi)有辦法解決曉莊學(xué)院的實(shí)際需求。在測(cè)試過(guò)程中，對(duì)于港灣設(shè)備，采用認(rèn)證和計(jì)費(fèi)相分離的方法；對(duì)于銳捷的設(shè)備，采用了在客戶端兩次發(fā)布同一報(bào)文的方法。

四、802.1x的安全性認(rèn)識(shí)

由于802.1x采用單向認(rèn)證，即認(rèn)證系統(tǒng)只認(rèn)證用戶，并無(wú)法認(rèn)證認(rèn)證者本身的合法性。使得位于合法用戶與認(rèn)證服務(wù)器之間的攻擊者，可以攔截802.1X報(bào)文，并對(duì)該報(bào)文進(jìn)行修改，達(dá)到攻擊者偽裝成合法認(rèn)證者的目的。

由于認(rèn)證報(bào)文與業(yè)務(wù)數(shù)據(jù)之間缺少狀態(tài)轉(zhuǎn)換信息的交流，給攻擊者留下了獲取游離信息（包含MAC地址信息等）的機(jī)會(huì)，使得攻擊者可以利用這段時(shí)間，在合法用戶身份認(rèn)證通過(guò)后，利用該游離信息非法竊取本應(yīng)屬于合法用戶的正當(dāng)IP地址，從而獲得網(wǎng)絡(luò)使用權(quán)限。

參考文獻(xiàn)：

[1]吳紹興、鄭柯、項(xiàng)延鐵,路由器安全與AAA認(rèn)證的研究與應(yīng)用,南陽(yáng)師范學(xué)院學(xué)報(bào)（自然科學(xué)版）,2004.3.

[2]李巍,利用動(dòng)態(tài)VLAN技術(shù)與802.1x認(rèn)證構(gòu)建安全靈活的局域網(wǎng),中國(guó)金融電腦,2005.

[3]王謙,利用802.1x協(xié)議實(shí)現(xiàn)局域網(wǎng)接入的可控管理,江蘇電機(jī)工程,2005.

作者簡(jiǎn)介：

蔣振兵，男，江蘇省泰州市興化市，本科，研究方向計(jì)算機(jī)科學(xué)與技術(shù)。