高　輝

[摘 要]在這個(gè)信息化時(shí)代,寬帶網(wǎng)接入以及無(wú)線(xiàn)網(wǎng)絡(luò)逐漸成為網(wǎng)絡(luò)技術(shù)的熱點(diǎn)。但是在接入認(rèn)證方面,被廣泛運(yùn)用的PPPoE認(rèn)證有其自身的缺陷。IEEE802.1委員會(huì)提出的802.1X協(xié)議,用于基于以太網(wǎng)交換機(jī),可以對(duì)用戶(hù)進(jìn)行認(rèn)證、授權(quán),從而提供了一種更實(shí)用、更安全的用戶(hù)管理方式。

802.lX 協(xié)議提供了一套對(duì)接入到網(wǎng)絡(luò)的設(shè)備進(jìn)行認(rèn)證、授權(quán)的機(jī)制,認(rèn)證所使用的EAP0L(EAP encapsulation over LAN)幀承載于以太報(bào)文之上,很容易應(yīng)用于以太網(wǎng)環(huán)境。因此將802.1X應(yīng)用于交換機(jī),通過(guò)交換機(jī)對(duì)局域網(wǎng)用戶(hù)進(jìn)行管理是一種常見(jiàn)的用戶(hù)管理策略。同時(shí),802.1X也是交換機(jī)安全策略的一部分,可以有效防止非法用戶(hù)訪(fǎng)問(wèn)沒(méi)有授權(quán)的資源。

本文提出了將802.1X集成到現(xiàn)有的內(nèi)網(wǎng)管理系統(tǒng)中的設(shè)計(jì)方案,將802.1X的基于端口的控制擴(kuò)展為基于用戶(hù)的控制,實(shí)現(xiàn)內(nèi)網(wǎng)管理系統(tǒng)對(duì)802.1X的檢測(cè),對(duì)局域網(wǎng)內(nèi)用戶(hù)接入認(rèn)證、訪(fǎng)問(wèn)授權(quán)、安全鑒別等服務(wù),使內(nèi)網(wǎng)管理系統(tǒng)具有更強(qiáng)的終端安全管理的功能。

[關(guān)鍵詞]802.lX;PPPoE;IEEE802.1;端口接入訪(fǎng)問(wèn)控制協(xié)議;EAP0L

一、802.1X協(xié)議的原理體系結(jié)構(gòu)

1.IEEE802.1X源于IEEE802.11無(wú)線(xiàn)以太網(wǎng)(EAPOW),它是一種位于第2層的端口接入訪(fǎng)問(wèn)控制協(xié)議(Port based network access control protocol)。這里的端口可以是一個(gè)物理端口,也可以是1個(gè)邏輯端口(如VLAN)。對(duì)于無(wú)線(xiàn)局域網(wǎng)來(lái)說(shuō)1個(gè)接口就是1個(gè)信道。802.1x實(shí)際上是一個(gè)傳輸機(jī)制,對(duì)基于IEEE802.x技術(shù)的網(wǎng)絡(luò)(包括局域網(wǎng)和無(wú)線(xiàn)局域網(wǎng))提供標(biāo)準(zhǔn)化的認(rèn)證服務(wù),而真正的認(rèn)證過(guò)程發(fā)生在802.lx的上層協(xié)議EAP(Extensible Authentication Protoco),即可擴(kuò)展的認(rèn)證協(xié)議。該協(xié)議最初是作為PPP的擴(kuò)展而創(chuàng)建,用以開(kāi)發(fā)新的網(wǎng)絡(luò)訪(fǎng)問(wèn)身份驗(yàn)證方法。

2.802.lX協(xié)議的體系結(jié)構(gòu)由3部分成客戶(hù)端(suPPlicant)、認(rèn)證系統(tǒng)(authenticator)和認(rèn)證服務(wù)器 (authentication server)。

(1) 客戶(hù)端。 (suPPlicant)客戶(hù)端通 常是指支持802,1X認(rèn)證的用戶(hù)終端設(shè)備,它通過(guò)啟動(dòng)802.1X客戶(hù)端軟件發(fā)起802.1X認(rèn)證,以請(qǐng)求訪(fǎng)問(wèn)受控的網(wǎng)絡(luò)資源。

(2)認(rèn)證系統(tǒng)。(authenticator)認(rèn)證系統(tǒng)通常為支持802.1X協(xié)議的網(wǎng)絡(luò)設(shè)備,它為請(qǐng)求者提供服務(wù)端口,該端口可以是物理端口也可以是邏輯端口。一般在用戶(hù)接入設(shè)備(如LAN switch 和AP)上實(shí)現(xiàn)802.IX認(rèn)證。認(rèn)證 系 統(tǒng) 根據(jù)不同因素(包括物理因素、MAC等)形成邏輯通道,包括“受控端口”和“非受控端口”?！胺鞘芸囟丝凇笔冀K處于雙向連通狀態(tài),用于傳送認(rèn)證信息(EAPOL協(xié)議幀,可隨時(shí)保證接收請(qǐng)求者發(fā)出的EAPOL認(rèn)證報(bào)文);“受控端口”只有在認(rèn)證通過(guò)的狀態(tài)下才打開(kāi),用于傳遞網(wǎng)絡(luò)資源和服務(wù)。

(3)認(rèn)證服務(wù)器。(authentication server)認(rèn)證服務(wù)器接收來(lái)自請(qǐng)求者的認(rèn)證請(qǐng)求,根據(jù)存儲(chǔ)在數(shù)據(jù)庫(kù)中的用戶(hù)認(rèn)證信息(包括用戶(hù)名、密碼、ACL等)來(lái)驗(yàn)證用戶(hù)是否合法。若認(rèn)證通過(guò),將上述信息轉(zhuǎn)至認(rèn)證系統(tǒng),由認(rèn)證系統(tǒng)動(dòng)態(tài)構(gòu)建ACL,對(duì)用戶(hù)訪(fǎng)問(wèn)進(jìn)行管理,一般采用RADIUS服務(wù)器來(lái)實(shí)現(xiàn)802.lX認(rèn)證和授權(quán)功能。

802.lX 實(shí) 際的認(rèn)證過(guò)程在請(qǐng)求者和認(rèn)證服務(wù)器之間發(fā)生,而位于中間位置的認(rèn)證者工作于中繼方式,它只負(fù)責(zé)在請(qǐng)求者和認(rèn)證服務(wù)器之間轉(zhuǎn)發(fā)認(rèn)證信息。802.lX采用可擴(kuò)展驗(yàn)證協(xié)議(extensible authentication Protocol,EAP)來(lái)封裝傳輸于請(qǐng)求者和認(rèn)證服務(wù)器之間的認(rèn)證信息,但EAP幀在請(qǐng)求者和認(rèn)證者之間被EAPOL(extensible authentication protocol over LAN)協(xié)議承載,而在認(rèn)證者和認(rèn)證服務(wù)器之間被其他高層次協(xié)議(如RADIUS)承載,以便穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù)器。

二、認(rèn)證流程

EAP協(xié)議具有可擴(kuò)展性,802.1X認(rèn)證系統(tǒng)支持多種認(rèn)證算法,如EAP-MDS,EAP-TLS,EAP-SIM,EAP-TTLS以及EAP一AKA等。

為了保護(hù)用戶(hù)在以太網(wǎng)中傳送單播和廣播信息包不被位于同一物理網(wǎng)段內(nèi)的其他用戶(hù)偵聽(tīng),可以把每個(gè)用戶(hù)限制在一個(gè)交換機(jī)端口內(nèi),這樣就從物理上隔絕了每個(gè)用戶(hù)的信息包,實(shí)現(xiàn)了用戶(hù)數(shù)據(jù)的保密性。為了對(duì)用戶(hù)的進(jìn)行認(rèn)證和授權(quán),采用802.1X協(xié) 議與Radius服務(wù)器對(duì)用戶(hù)進(jìn)行認(rèn)證,授權(quán)和計(jì)費(fèi)。

整個(gè)系統(tǒng)由邊緣交換機(jī)、中心交換機(jī)、Radius服務(wù)器、用戶(hù)PC機(jī)等部分組成,另外還有網(wǎng)管工作站、VOD服務(wù)器、文件服務(wù)器和路由器等設(shè)備來(lái)維持網(wǎng)絡(luò)的正常運(yùn)營(yíng)。邊緣交換機(jī)位于網(wǎng)絡(luò)的邊緣,用戶(hù)直接與邊緣交換機(jī)的端口相連,這些端口全部配置為802.1X認(rèn)證管理,這些端口在初始化時(shí)處于阻塞狀態(tài),除了802.1X 的控制協(xié)議報(bào)文,所有其他的信息報(bào)在端口出口處都將被丟棄。下面細(xì)描述一下用戶(hù)的認(rèn)證過(guò)程:

(1) 當(dāng)用戶(hù)有上網(wǎng)需求時(shí)打開(kāi)802.1X客戶(hù)端程序,輸入用戶(hù)名和口令,發(fā)起連接請(qǐng)求,此時(shí),客戶(hù)端程序?qū)⒄?qǐng)求認(rèn)證的報(bào)文〔EAPOL-start)發(fā)給交換機(jī),開(kāi)始啟動(dòng)一次認(rèn)證過(guò)程。

(2)交換機(jī)收到請(qǐng)求認(rèn)證的數(shù)據(jù)后,將發(fā)出一個(gè)請(qǐng)求技(EAP-Request/Id)要求用戶(hù)的客戶(hù)端程序?qū)⑤斎氲挠脩?hù)名送上來(lái)。

(3) 客戶(hù)端程序響應(yīng)交換機(jī)發(fā)出的請(qǐng)求,將用戶(hù)名信息通過(guò)數(shù)據(jù)恢(EAP-Response/Id))給交換機(jī)。交換機(jī)將客戶(hù)端送上來(lái)的數(shù)據(jù)經(jīng)過(guò)封包(Radius-Access-Request)處理后送給Radius服務(wù)器進(jìn)行處理。

(4) Radius服務(wù)器收到交換機(jī)轉(zhuǎn)發(fā)上來(lái)的用戶(hù)名信息后,將該信息與數(shù)據(jù)庫(kù)中的用戶(hù)名表相比對(duì),找到該用戶(hù)名的口令信息,用隨機(jī)生成的一個(gè)加密字

對(duì)它進(jìn)行加密處理,同時(shí)也將此加密字Radius-Access-Challcngc)傳送給交換機(jī),由交換機(jī)傳給客戶(hù)端程序;

(5)客戶(hù)端程序收到由交換機(jī)傳來(lái)的加密字后,用該加密字對(duì)口令部分進(jìn)行加密處理(此種加密算法通常是不可逆的)并把結(jié)果(EAP-Respnnse)通過(guò)交換機(jī)傳給認(rèn)證服務(wù)器。

(6) 認(rèn)證服務(wù)器將送上來(lái)的加密后的口令信息和其自己經(jīng)過(guò)加密運(yùn)算后的口令信息進(jìn)行對(duì)比,如果相同,則認(rèn)為該用戶(hù)為合法用戶(hù),反饋認(rèn)證通過(guò)的消息(Radius-Access-Accept),并向交換機(jī)發(fā)出打開(kāi)端口的指令,允許用戶(hù)的業(yè)務(wù)流通過(guò)端口訪(fǎng)問(wèn)網(wǎng)絡(luò)。否則,反鎖認(rèn)證失敗的消息 ,并保持交換機(jī)端口的關(guān)閉狀態(tài),只允許認(rèn)證信息數(shù)據(jù)通過(guò)而不允許業(yè)務(wù)數(shù)據(jù)通過(guò)。

(7)當(dāng)用戶(hù)要求下線(xiàn)或者是用戶(hù)系統(tǒng)關(guān)機(jī)等需要斷開(kāi)網(wǎng)絡(luò)連接時(shí),請(qǐng)求方發(fā)送一個(gè)斷網(wǎng)請(qǐng)求(EAP-Logof)給認(rèn)證方,然后認(rèn)證方立即把端口設(shè)為非受控狀態(tài)(Uncontrolled Port),從而斷開(kāi)連接。另外802A X還支持計(jì)費(fèi)功能,當(dāng)端口打開(kāi)后,認(rèn)證方發(fā)送一個(gè)Accounting-Start消息給Radius服務(wù)器;端口關(guān)閉時(shí),認(rèn)證方發(fā)送一個(gè)Accounting-Stop消息給Radius服務(wù)器,這樣,運(yùn)營(yíng)商就可以生成賬單,向用戶(hù)收費(fèi)了。

(8)驗(yàn)證設(shè)備通過(guò)定期的檢測(cè)保證鏈路的激活。如果用戶(hù)異常死機(jī),則驗(yàn)證設(shè)備在發(fā)起多次檢測(cè)后,自動(dòng)認(rèn)為用戶(hù)已經(jīng)下線(xiàn),于是向認(rèn)證服務(wù)器發(fā)送終止計(jì)費(fèi)的信息。

三、802.1X協(xié)議與其他管理方案的分析和比較

與P PPPOE和DHCP+Web方式相比,802.IX 認(rèn)證方式是一種完全不同的認(rèn)證和訪(fǎng)問(wèn)控制技術(shù)。

(1)計(jì)費(fèi)的準(zhǔn)確性:對(duì)于PPPOE方式和802.1X 方式,在用戶(hù)認(rèn)證通過(guò)后,由寬帶接入服務(wù)器BAS或是認(rèn)證方向Radius服務(wù)器發(fā)送計(jì)費(fèi)開(kāi)始包,在用戶(hù)下線(xiàn)后向Radius服務(wù)器發(fā)送計(jì)費(fèi)結(jié)束包。計(jì)費(fèi)系統(tǒng)便可根據(jù)計(jì)費(fèi)起始包、結(jié)束包進(jìn)行按時(shí)、按流量進(jìn)行實(shí)時(shí)計(jì)費(fèi)。這種方式,計(jì)費(fèi)數(shù)據(jù)很準(zhǔn)確。對(duì)于DHCP+Web方式,用戶(hù)認(rèn)證通過(guò)后,由接入服務(wù)器向Radius服務(wù)器發(fā)送計(jì)費(fèi)開(kāi)始包,當(dāng)用戶(hù)需要下線(xiàn)時(shí),需要通過(guò)點(diǎn)擊Web頁(yè)面掛斷按鈕,觸發(fā)寬帶接入服務(wù)器向Radius服務(wù)器發(fā)送計(jì)費(fèi)結(jié)束包。這種在正常情況下,計(jì)費(fèi)數(shù)據(jù)較準(zhǔn)確。但如果用戶(hù)是異常下線(xiàn),接入服務(wù)器需要根據(jù)用戶(hù)的最大空閑時(shí)間來(lái)判斷用戶(hù)是否下線(xiàn),這時(shí)可能會(huì)使最后的計(jì)費(fèi)結(jié)束包的時(shí)間比用戶(hù)實(shí)際的下線(xiàn)時(shí)間要多出一段時(shí)間,從而造成計(jì)費(fèi)數(shù)據(jù)的不準(zhǔn)確。

(2)可管理性:對(duì)于PPPoE方式,寬帶接入服務(wù)器與Radius服務(wù)器配合,可以進(jìn)行一定程度的服務(wù)質(zhì)量控制,能夠?qū)崿F(xiàn)限速和QOS等功能。對(duì)于DHCP+Web方式,當(dāng)采用旁路方式的網(wǎng)絡(luò)架構(gòu)時(shí),不能對(duì)用戶(hù)進(jìn)行類(lèi)似帶寬管理等管理手段。如果是直路的網(wǎng)絡(luò)架構(gòu),可以根據(jù)用戶(hù)的不詞,對(duì)帶寬進(jìn)行不同等級(jí)的限速控制。802.1X方 式是直路式控制,可以在交換機(jī)上實(shí)現(xiàn)流量控制,另外,802.IX 還能對(duì)用戶(hù)實(shí)現(xiàn)遠(yuǎn)程喚醒和遠(yuǎn)程控制等功能。

(3)功能特點(diǎn):采用PPPOE方式時(shí)寬帶接入服務(wù)器要頻繁地進(jìn)行解包操作,當(dāng)用戶(hù)接入請(qǐng)求多時(shí)很可能會(huì)成為網(wǎng)絡(luò)的瓶頸。對(duì)于DHCP千Web,如果是網(wǎng)絡(luò)旁路的架構(gòu),不會(huì)影響到網(wǎng)絡(luò)的性能。如果是直路的架構(gòu),則有可能會(huì)成為網(wǎng)絡(luò)的瓶頸。802.IX 在交換機(jī)中實(shí)現(xiàn)網(wǎng)絡(luò)控制,認(rèn)證在2層進(jìn)行,協(xié)議開(kāi)銷(xiāo)很小,不會(huì)對(duì)網(wǎng)絡(luò)性能造成影響。綜上所述,基于PPPoE的認(rèn)證方式,可管理性強(qiáng),計(jì)費(fèi)準(zhǔn)確,代價(jià)就是PPPoE本身限制了網(wǎng)絡(luò)環(huán)境以及組播業(yè)務(wù)的開(kāi)展。而DHCP+Web方式的認(rèn)證,對(duì)網(wǎng)絡(luò)環(huán)境不會(huì)造成任何影響,但在整個(gè)網(wǎng)絡(luò)的用戶(hù)可管理性、異常情況下計(jì)費(fèi)準(zhǔn)確度等方面都存在一定問(wèn)題。而802.1X方式由于是采用的源于以太網(wǎng)的技術(shù),故能比較好地實(shí)現(xiàn)用戶(hù)管理功能。

實(shí)施認(rèn)證計(jì)費(fèi)系統(tǒng)包括建立安全認(rèn)證計(jì)費(fèi)管理系統(tǒng)和在支持802.1x協(xié)議的匯聚或接入交換機(jī)啟用認(rèn)證支持。

(1)安全認(rèn)證計(jì)費(fèi)管理系統(tǒng)

通過(guò)購(gòu)置硬件服務(wù)器和相關(guān)軟件,建立安全認(rèn)證計(jì)費(fèi)管理系統(tǒng),這是整個(gè)認(rèn)證計(jì)費(fèi)系統(tǒng)的后臺(tái)支持服務(wù).在各個(gè)校區(qū)安裝安全認(rèn)證計(jì)費(fèi)管理系統(tǒng)平臺(tái),系統(tǒng)進(jìn)行互為實(shí)時(shí)備份,支持必要的跨校區(qū)用戶(hù)漫游。兩個(gè)校區(qū)分別安裝安全認(rèn)證系統(tǒng),實(shí)現(xiàn)分布式認(rèn)證,如圖所示。認(rèn)證計(jì)費(fèi)系統(tǒng)要有合理的備份機(jī)制和數(shù) 據(jù)同步機(jī)制;要求該系統(tǒng)做到分布式認(rèn)證,并實(shí)施統(tǒng)一集中管理,策略統(tǒng)一下發(fā);實(shí)現(xiàn)用戶(hù)有效控制;支持跨校區(qū)用戶(hù)漫游。

(2)安全認(rèn)證交換機(jī)

在不改變現(xiàn)有校園網(wǎng)拓?fù)浣Y(jié)構(gòu)的情況下,安裝必要的支持802.1x協(xié)議的接入交換機(jī),或在樓宇匯聚交換機(jī)啟用802.1x協(xié)議,做到分布式接入控制,實(shí)現(xiàn)用戶(hù)有效控制。

認(rèn)證實(shí)施過(guò)程應(yīng)盡量平滑過(guò)渡,安裝、更換樓宇匯聚、接入交換機(jī),逐一啟用認(rèn)證。在部分學(xué)生宿舍未安裝新接人交換機(jī)的區(qū)域,可考慮安裝安全認(rèn)證接人交換機(jī),在接入層啟用安全接入控制,實(shí)施網(wǎng)絡(luò)拓?fù)鋱D;校園網(wǎng)內(nèi)有一部分區(qū)域,已分別安裝了接入交換設(shè)備,對(duì)于這一區(qū)域,只需在樓宇匯聚更換數(shù)量不多的新交換機(jī),在樓宇匯聚啟用安全接入控制,實(shí)施網(wǎng)絡(luò)拓?fù)鋱D。這樣,即可以保護(hù)學(xué)校的現(xiàn)有投資,使可用的設(shè)備在后續(xù)的使用中繼續(xù)發(fā)揮作用,不會(huì)被盲目淘汰。根據(jù)學(xué)校的發(fā)展規(guī)模、資金情況來(lái)進(jìn)一步完善學(xué)校的網(wǎng)絡(luò)建設(shè),最終使整個(gè)學(xué)校的網(wǎng)絡(luò)不斷完善、成熟。在教師住宅區(qū)、教學(xué)辦公區(qū)實(shí)施認(rèn)證系統(tǒng)后,逐步在學(xué)生宿舍區(qū)實(shí)施認(rèn)證。

結(jié)束語(yǔ)

隨著我國(guó)信息化建設(shè)的不斷推進(jìn)和深人,在網(wǎng)絡(luò)邊緣實(shí)施接入控制的重要性日益凸現(xiàn),IEEE802.1x因其良好的擴(kuò)展性、認(rèn)證的邊緣化、分布化和對(duì)用戶(hù)管理的集中化等諸多優(yōu)點(diǎn),較好地解決了這方面的問(wèn)題。因此可以預(yù)見(jiàn),基于802.1x的接人訪(fǎng)問(wèn)控制方法將會(huì)是今后發(fā)展的一個(gè)重要方向。

參考文獻(xiàn) :

[1] IEEEStd 802.1x-2001,I E E E StandardforLocaland metropolitan area networks-Port-Based NetworkAccess Control.

[2] R F C 3748,Extensible AuthenticationProtocol(EAP),June 2004.

[3] 華為itzero. 3Com 802.1x技術(shù)白皮書(shū)[EB/OL].http://w w w. c o m /Article/Hardware_Area/Doc_hw_3com/200409/1875.html.

[4] 802. 1x協(xié)議及其在寬帶接人中的應(yīng)用[EB/OL].http://www.net130.com/ 2004/6-6/222941.html.

[5] 802.lx 認(rèn)證技術(shù)分析及其應(yīng)用建議[EB/OL].http://www.cww.net.cn/technique/Article.asp?id=16208.

(編輯/穆楊)