基于802.1x 篇1
近年来随着以太网技术的不断发展, 以快捷高效、接入灵活为优势的无线网络技术也得到了飞速的发展和广泛的应用。但是由于无线局域网络自身的特点, 例如信道开放, 这使得攻击者能够很容易的进行窃听, 恶意修改并转发, 因此网络安全性在无线局域网络中显得尤为重要。针对无线局域网络中出现的安全问题, IEEE在1999年制定了802.11标准, 但802.11标准的加密方法和WEP在传输过程中容易遭到暴力破解和拒绝服务攻击 (Do S) 的威胁, 为了解决这些问题, IEEE制定了基于端口的接入控制802.1X标准。802.1X认证系统提供了一种用户接入认证的手段, 它仅关注端口的打开与关闭, 所以在实际使用当中还是存在一定的安全隐患。
2 802.1X认证介绍
2.1 802.1X认证体系结构
802.1X认证体系使用EAP (Extensible Authentication Protocol, 可扩展认证协议) , 来实现客户端、设备端和认证服务器之间认证信息的交换。其体系为典型的C/S结构, 包括三个实体:客户端 (Client) 、设备端 (Device) 和认证服务器 (Server) , 如图所示。
客户端是位于局域网段一端的一个实体, 由该链路另一端的设备端对其进行认证。客户端一般为一个用户终端设备, 用户可以通过启动客户端软件发起802.1X认证。
设备端是位于局域网段一端的另一个实体, 对所连接的客户端进行认证。设备端通常为支持802.1X协议的网络设备, 比如边缘交换机或无线接入访问 (AP) 设备, 它为客户端提供接入局域网的端口, 该端口可以是物理端口, 也可以是逻辑端口。
认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用户进行认证、授权和计费, 通常为RADIUS (远程认证拨号用户服务) 服务器。
2.2 802.1X认证流程
802.1X认证支持EAP中继方式和EAP终结方式与远端RADIUS服务器交互完成认证。EAP终结方式与EAP中继方式的认证流程相比, 不同之处就在于用来对用户密码信息进行加密处理的随机加密字由设备端生成, 之后设备端会把用户名、随机加密字和客户端加密后的密码信息一起送给RADIUS服务器, 进行相关的认证处理。
EAP认证流程。
(1) 当用户有访问网络需求时打开802.1X客户端程序, 输入已经申请、登记过的用户名和密码, 发起连接请求。此时, 客户端程序将发出请求认证的报文给设备端, 开始启动一次认证过程。
(2) 设备端收到请求认证的数据帧后, 将发出一个请求帧要求用户的客户端程序发送输入的用户名。
(3) 客户端程序响应设备端发出的请求, 将用户名信息通过数据帧发送给设备端。设备端将客户端发送的数据帧经过封包处理后送给认证服务器进行处理。
(4) RADIUS服务器收到设备端转发的用户名信息后, 将该信息与数据库中的用户名表对比, 找到该用户名对应的密码信息, 用随机生成的一个加密字对它进行加密处理, 同时也将此加密字通过RADIUS Access-Challenge报文发送给设备端, 由设备端转发给客户端程序。
(5) 客户端程序收到由设备端传来的加密字后, 用这种加密字对密码部分进行加密处理 (此种加密算法通常是不可逆的) , 生成报文, 并通过设备端传给认证服务器。
(6) RADIUS服务器将收到的已加密的密码信息和本地经过加密运算后的密码信息进行对比, 如果相同, 则认为该用户为合法用户, 并反馈认证通过的消息。
(7) 设备收到认证通过消息后将端口改为授权状态, 允许用户通过端口访问网络。在此期间, 设备端会通过向客户端定期发送握手报文的方法, 对用户的在线情况进行监测。缺省情况下, 两次握手请求报文都得不到客户端应答, 设备端就会让用户下线, 防止用户因为异常原因下线而设备无法感知。
(8) 客户端也可以发送报文给设备端, 主动要求下线。设备端把端口状态从授权状态改变成未授权状态, 并向客户端发送EAP-Failure报文。
3 802.1X认证安全威胁
虽然802.1X认证可以增强WLAN安全性, 但由于其存在一定的设计缺陷从而使得WLAN安全受到一定的威胁。
3.1 中间人攻击
中间人攻击 (Man in the Middle Attack) 是一种间接的入侵攻击, 这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间, 这台计算机就称为中间人。
由于802.1X是一种不对称协议, 采用的是单向认证, 即802.1X仅设备端对客户端的身份进行认证, 并根据认证结果来确定是否向客户端提供服务, 但客户端并不对设备端的身份进行认证, 客户端始终认为设备端是一个受信任的实体, 这是802.1X设计的最大缺陷, 容易受到中间人攻击。攻击者可以假冒设备端发送EAP Success (802.1X定义了EAP数据包的格式) 数据包给合法的客户端, 由于802.1X没有客户端对设备端的身份认证机制, 客户端会无条件地转到认证完成状态, 把攻击者当作设备端, 进行数据传输, 攻击者就能截获用户端和设备端传输的所有数据, 还可以对双方传输的数据任意修改而客户端和设备端却不能够察觉。
3.2 拒绝服务攻击
所谓拒绝服务攻击 (Denial of Service Attack) , 就是通过向服务器发送大量垃圾信息或干扰信息的方式, 导致服务器无法向正常用户提供服务的攻击。
攻击者可以通过伪造EAP-Success或者EAP-Failure数据包, 使得客户端误以为通过认证或者停止服务, 或者是攻击者通过重放身份数据包, 使得认证服务器认为出现了相同的身份登录, 造成客户端的服务遭到停止或拒绝。另外当客户端不再需要认证系统提供服务, 要断开连接时, 如果有攻击者假冒客户端的MAC地址, 向认证服务器发送EAP Log off数据包, 认证服务器被欺骗, 关闭受控端, 终止向用户端提供服务。
4 结束语
802.1X基于端口的认证方式可以实现细粒度的访问控制, 可以在网络边缘彻底拒绝非授权用户对网络资源的访问。在服务器端, 可以记录每个用户上网使用的IP地址、交换机端口号、登录/退出时间等, 对网络非法行为或异常行为的追查也有很大作用。但由于自身设计上的一些缺陷, 带来了一定的安全隐患, 所以还需要进行不断的改进。
摘要:文章主要介绍了802.1X的认证体系结构和认证流程, 分析了802.1X的设计缺陷及可能造成的安全威胁。
关键词:802.1X,认证,安全,攻击
参考文献
[1]刘乃安.无线局域网原理技术与应用[M].西安:西安电子科技大学出版社, 2004.
[2]孙树峰, 石兴方.关于802.1x协议的攻击研究[J].网络安全技术与应用, 2002, (10) .
[3]吴越, 曹秀英.无线局域网安全技术研究[J].电信科学, 2002, (6) .
[4]马建峰, 朱建明等.无线局域网安全—方法与技术[M].中图分类号TP4305, 北京:机械工业出版社, 2005.
基于802.1x 篇2
关键词:802.1x协议,PKI认证技术,网络安全
1 802.1x协议和PKI数字证书技术
新的安全方案主要依靠IEEE802.1x协议对数据进行“早一步”的安全管理, PKI数字证书技术对用户进行身份识别和网络权限设定。
1.1 802.1x网络协议
IEEE 802.1x称为基于端口的访问控制协议。它能够在利用IEEE802 LAN的优势基础上提供一种对连接到网络设备或用户的认证和授权, 能够在LAN这种多点访问环境中提供一种点对点的识别用户的方式。IEEE802.1x对连接到交换机端口上的用户/设备进行认证, 可以限制未经授权的用户/设备通过接入端口访问LAN/MAN。其特性如下:
1) 802.1x协议是二层协议, 对设备的整体要求低, 对现有网络系统变动少, 可以有效降低建网成本。2) 802.1x协议借用了在RAS系统中常用的EAP (扩展认证协议) , 可以提供良好的扩展性和适应性。3) 802.1x协议的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能, 从而可以实现业务数据流与认证数据流的分离。4) 可以使用校园网现有的后台认证系统 (直接应用统一认证中心) , 降低部署的成本, 并有丰富的业务支持。5) 可以使无线LAN和有线网络端口具有安全的认证接入和无缝连接功能。
1.2 基于PKI数字证书体系的安全认证和身份识别技术
PKI是一种以公开密钥算法为基础, 统一解决密钥发布、管理和使用的系统, 该技术将用户信息与他的公开密钥绑定为一个整体, 然后使用可信的第三方对其进行数字签名。
网络内各系统的身份识别和认证功能均采用数字证书的方式进行系统管理, 其安全性、有效性、可信任度均远远超过了以往的用户名/口令的机制。而且在用户客户端使用数字证书时还可集成入一些应用系统的管理信息和权限设定等等。
2 基于802.1x协议和PKI体系的安全网络
新的安全网络体系由安全中心、网络接入层管理、安全客户端 (client) 三个部分组成。其网络拓朴简图如下所示:
2.1 网络安全中心
安全中心是整个网络的认证和身份识别的控制核心区, 以PKI体系为技术标准搭建的安全中心负责网络用户的数字证书的发放、变更、注销、升级, 所有身份识别的认证工作由该中心完成。用户进入网络时的802.1x认证服务也在安全中心完成。
在PKI体系下建设的安全中心, 包括:认证机构 (CA系统, 发放数字证书;注册服务RA系统, 用户身份认证;证书管理系统) , 证书库及目录服务;密钥备份与恢复系统;客房端证书处理系统等等。
2.2 网络接入层管理
网络上所有接入层的网络交换机开启802.1x的认证功能, 认证中心指向网络的安全中心。在IEEE802.1x协议的控制下, 网络接入层的每个物理端口分为受控和不受控两种逻辑端口, 物理端口收到的每个帧都被送到受控和不受控端口。对请求入网的认证信息, 通过不受控逻辑端口交认证中心审核和授权。有效数据通过受控逻辑端口进入网络;端口接收到无效数据、未授权数据时, 变为不受控逻辑端口, 拒绝数据进入网络。当用户能够进入网络后, 身份即已核实, 可根据数字证书的级别来进行权限内的工作。
网络系统的调整并不复杂, 只需在接入层交换机的端口上开启IEEE 802.1x认证功能既可 (接入层交换机必须支持IEEE 802.1x协议) , 认证中心指向CA认证中心。
2.3 安全客户端
虽然用户可以使用WEB方式进行认证, 但与客户端方式相比, WEB认证方式实用功能太少, 且对服务器依赖较大, 变相的加重了认证中心的工作负荷。建议采用客户端认证方式。
3 新安全网络的实施方案 (仿真)
3.1 仿真环境
作为仿真测试, 齐全的数字证书系统建设代价太大, 在本次仿真中以深信服科技的“SINFORM5600-SSSLVPN”设备来代替。该设备内置有较完备的CA认证中心, 支持基于硬件的HARDCA身份认证, 可以代替技术要求不多的普通认证中心, 在试验、仿真环境下, 最大程度减少计划外故障的可能性。CA认证中心 (SINFORM5600-S SSLVPN) 配置如下:
1) CA认证中心开启CA认证服务。在CA认证中心根据网络内资源, 将需要权限的数字资源根据权限层次分类建立。网内用户根据权限大小分组建好。按权限高低把用户组与数字资源组绑定。产生相应的数字资源设备的SSL设备证书。2) 网内数字资源设备向CA认证中心提出证书请求, 下载安装数字资源设备的根证书。导入的数字资源设备的根证书作好备份。
3.2 安全认证基本过程
用户在进入网络之前, 先在网络管理部门, 申请个人的数字证书, 在用户数字证书中已有用户在网内的使用权限。在上网前在自己所用电脑上安装好数字证书和上网客户端。
1) 用户开机后, 通过客户端软件发起请求, 查询网络上能处理EAPOL (EAP Ove r LAN) 数据包的设备;2) 接入层的交换机端口开启了IEEE802.1x认证, 能够处理EAPOL数据包。向客户端发送响应包, 并要求用户提供合法的身份标识。客户端收到验证设备的响应后, 会提供数字证书传给验证设备。由于此时客户端还未经过验证, 因此认证流只能从验证设备的未受控的逻辑端口经过。验证设备通过EAP协议将认证流转发到认证中心, 进行认证;3) 如果认证通过, 则认证系统将交换机的受控逻辑端口打开, 认证系统记录用户的相关信息, 根据用户的数字证书极限, 建立动态的ACL访问列表, 界定用户在网络中的权限;4) 用户在访问网內数字资源时, 提交自己的用户数字证书, 数字资源在验证后向用户发送设备数字证书, 极限通过后, 用户可以自由访问该数字资源内信息。在实际认证过程, 服务器端和用户端都不需要和CA做任何交互, 提高网络运行效率。
4 结语
在该安全体系的具体测试应用之中, 进入网络的用户在交换机的端口处就进行了关键的认证和授权工作;依靠数字证书, 用户再也不需要担心个人密码被别人知道后自己的个人资源受损, 全网安全性、可控性明显提高;再根据各单位的实际情况, 建立完备的管理制度, 进一步减少人为因素对网络安全的影响, 一个完整的安全体系就已成型。
参考文献
[1]宁宇鹏.PKI技术[M].北京:机械工业出版社, 2004.
基于802.1x 篇3
关键词:802.1x;局域网;网络安全;ARP;PKI
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2013) 06-0000-02
1引言
随着我国经济与科技的不断发展,局域网规模不断膨胀,入网用户不断增加。基于此背景下,传统的认证如PPPoE和Web/Portal弊端日益突显。IEEE 802.1x通过对认证方式和认证体系结构进行优化,有效地解决了传统PPPoE和Web/Portal认证方式带来的问题,消除了网络瓶颈,减轻了网络封装开销,降低了建网成本,从而受到局域网建设的热捧。然而在缺乏保护的共享式网段中,简单地使用标准802.1x协议,容易造成各种安全隐患,需要采用安全防御机制来解决完善。
2802.1x协议的安全性评估
802.1x协议的工作机制使其存在着潜在的安全隐患:
(1)802.1x不允许用户鉴别网络,根据标准,用户端口总是处于认证成功后的受控状态。而认证只是认证者对用户端的单向认证,这样使得可以实现MIM攻击。如果高层协议采用的也只是进行单向认证,装成接入点的某个人只要发送少量虚假的EAP数据包,整个框架就岌岌可危。
(2)根据IEEE组织的规定,网络适配器的MAC地址是全球唯一的,802.1x的安全机制是在MAC层来验证实体从而达到限制网络连接的目的。然而在无线局域网的情况下,攻击者可以冒充认证者欺骗访问者,或者冒充访问者欺骗认证者,从而获得用户的MAC地址信息。并且虽然MAC地址存储在EEPROM中并且唯一确定,但是,在操作系统实现时,系统一般是在内存中建立一块缓存区,系统在这块特定的缓冲区中获取MAC地址作为发送报文的源地址。这样,用户就可以通过操作系统修改实际发送的报文中的源MAC地址。正由于MAC地址比较容易伪造,同一接入端口下,非接入用户也可以接入网络,所以802.1x协议并不能提供完善的安全机制。
(3)IP地址分配和网络安全问题:802.1x协议是一个2层协议,只负责完成对用户端口的认证控制,对于完成端口认证后,用户进入三层IP网络后,需要继续解决用户IP地址分配、三层网络安全等问题,因此,单靠以太网交换机加802.1x,无法全面解决城域网以太接入的可运营、可管理以及接入安全性等方面的问题;
(4)客户端用户通过验证后,一切数据都将视为合法,传输设备不会对此客户端报文进行检查。如果此用户向网络发送病毒报文,将影响其他网络用户,导致网络的不稳定不安全。
总之,简单地使用标准802.1x协议,容易造成如ARP攻击、DOS攻击、IP地址伪造、MAC地址伪造、网络接入盗用等安全隐患。
这些安全隐患都有可能带来严重后果。以在局域网中较多可能发生的DOS攻击为例,它故意攻击网络协议的缺陷或直接通过某种手段耗尽被攻击对象的资源,目的是让目标计算机或网络无法捉供正常的服务或资源访问,使目标系统服务停止响应甚至朋溃,而在此攻击中并不入侵目标服务器或目标网络设备。
ARP攻击也是网络攻击中较常见的,它通过伪造IP地址和MAC地址实现ARP欺骗,能在网络中产生大量ARP通信造成网络阻塞,攻击者只需持续不断的发出ARP响应包便可以达到更改目标设备ARP缓存表的IP-MAC条目,使得网络中断或某些中间人受攻击。当然我们也可以进行安全防御,如通过抓包软件如Ethereal来进行抓包分析,获得如下一次ARP攻击抓包截图(如下图所示)。此时可看到攻击源基本确定为00-1b-fc-66-4d-6c的设备,然后根据MAC地址去查找其正确IP地址。
为解决ARP或IP/MAC欺骗攻击,也可以利用Snooping表项和静态绑定表检测IP、MAC的正确性,非法则通过软件或下发 ACL规则由硬件丢弃报文。
网络管理人员可以查找攻击源并进行处理,然而仅仅这样是不够的,如果只是被动地去查找攻击源,不仅是加大网络管理人员工作量的问题,甚至可能会造成局域网内部分网段网络瘫痪频繁发生。下面将介绍如何进行主动防御:
3安全主动防御体系的建立
3.1基于PKI数字证书技术建立安全网络
PKI技术以公开密钥算法为基础,通过第三方可信任机构--认证中心CA(Certificate Authority),把用户的公钥和用户的其他标识信息捆绑在一起,建立数字证书。通过把要传输的数字信息进行加密和签名,保证信息传输的机密性真实性、完整性和不可否认性,从而保证信息的安全传输。
可以通过以下步骤进行配置。以PKI体系为技术标准搭建安全中心,包括:认证机构(CA系统,发放数字证书;注册服务RA系统,用户身份认证;证书管理系统),证书库及目录服务;密钥备份与恢复系统;客房端证书处理系统等等。负责网络用户的数字证书的发放、变更、注销、升级,以及用户进入网络时的802.1x认证服务。然后进行网络系统的调整,只需在接入层交换机的端口上开启IEEE802.1x认证功能,认证中心指向CA认证中心。这样进入网络的用户在端口处就进行了关键的认证和授权工作;依靠数字证书,用户个人密码得到最大限度地保护。
在以PKI体系为技术部署准人身份认证后,通过检测,局域网的安全状况大为改善,大大提高了局域网的安全机制,减少了网络管理人员疲于奔命的状况。
3.2主动安全防御设置
安全的认证机制能够有效防止非法用户入侵网络,但是对少数恶意的合法用户或者“肉鸡”用户却缺少防范机制,因此还需要网络管理员进行进一步的安全防御设置。
为防止影子用户的出现,有必要用更多的信息绑定来防止盗用,如VLAN、PC标识或硬盘序列号等。
可以在路由器进行相应设置。在最终攻击目标的网络边界路由器上使用CAR限制,将流入网络的某一类数据包的总流量限制在一定的范围,从而可以保证其它数据的正常通过,可以有效防止会话劫持攻击、拒绝服务攻击等。在路由器中加入“ARP攻击主动防御”的功能,当网内受到错误的ARP广播包攻击时,路由器立即广播正确的ARP包去修正和消除攻击包的影响,也可以在此基础上增加 “ARP攻击源攻击跟踪”的功能。对于剩下的强悍的攻击,采用“日志”功能,提供信息方便用户跟踪攻击源,这样用户通过临时切断攻击电脑或者封杀发出攻击的程序,能够解决问题。
当然只有相对的安全,没有绝对的安全。基于802.1x认证的局域网安全机制研究是一项长期而艰巨的任务,需要我们不断深入探索。
参考文献:
[1]刘梅.基于802.1x的校园网接入认证安全防御[J].中国教育网络,2012(02):54-56.
[2]林冬茂.基于802.1x协议与数字证书的网络安全方案[J].科技风,2009(07):252.
[3]曾梦良,郑雪峰.基于接入层的网络安全解决方案研究[J].微计算机信息,2007(23):72-74.
[4]谢向文,费耀平,刘星沙.基于主机标识的802.1x认证协议的安全性改进[J].计算技术与自动化,2007(06):61-64.
[作者简介]李晓娟(1985.1-),女,助教,石家庄陆军指挥学院,主要从事工作:高数、C语言教学;网络维护、电脑维修;石甜甜(1984.12-),女,河北泊头人,助教,石家庄陆军指挥学院,主要从事工作:计算机设备保障及网络调试。
基于802.1x 篇4
一、引言
802.1x协议起源于802.11协议,后者是IEEE的无线局域网协议,制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE802LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备(如LANS witch),就可以访问局域网中的设备或资源。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。
随着移动办公及驻地网运营等应用的大规模发展,服务提供者需要对用户的接入进行控制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展,有必要对端口加以控制以实现用户级的接入控制,802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。
二、802.1x认证体系
802.1x是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。对于无线局域网来说,一个端口就是一个信道。802.1x认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,即只允许802.1x的认证协议报文通过。
802.1x的体系结构如图1所示。它的体系结构中包括三个部分,即请求者系统、认证系统和认证服务器系统三部分:
图1 802.1x认证的体系结构
1.请求者系统
请求者是位于局域网链路一端的实体,由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持802.1x认证的用户终端设备,用户通过启动客户端软件发起802.lx认证,后文的认证请求者和客户端二者表达相同含义。
2.认证系统
认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802.lx协议的网络设备,它为请求者提供服务端口,该端口可以是物理端口也可以是逻辑端口,一般在用户接入设备(如LAN Switch和AP)上实现802.1x认证。后文的认证系统、认证点和接入设备三者表达相同含义。
3.认证服务器系统
认证服务器是为认证系统提供认证服务的实体,建议使用RADIUS服务器来实现认证服务器的认证和授权功能。
请求者和认证系统之间运行802.1x定义的EAPO(Extensible Authentication Protocolover LAN)协议。当认证系统工作于中继方式时,认证系统与认证服务器之间也运行EAP协议,EAP帧中封装认证数据,将该协议承载在其它高层次协议中(如RADIUS),以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时,认证系统终结EAPoL消息,并转换为其它认证协议(如RADIUS),传递用户认证信息给认证服务器系统。
认证系统每个物理端口内部包含有受控端口和非受控端口。非受控端口始终处于双向连通状态,主要用来传递EAPoL协议帧,可随时保证接收认证请求者发出的EAPoL认证报文;受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。
三、802.1x认证流程
基于802.1x的认证系统在客户端和认证系统之间使用EAPOL格式封装EAP协议传送认证信息,认证系统与认证服务器之间通过RADIUS协议传送认证信息。由于EAP协议的可扩展性,基于EAP协议的认证系统可以使用多种不同的认证算法,如EAP-MD5,EAP-TLS,EAP-SIM,EAP-TTLS以及EAP-AKA等认证方法。
以EAP-MD5为例,描述802.1x的认证流程。EAP-MD5是一种单向认证机制,可以完成网络对用户的认证,但认证过程不支持加密密钥的生成。基于EAP-MD5的802.1x认证系统功能实体协议栈如图2所示。基于EAP-MD5的802.1x认证流程如图3所示,认证流程包括以下步骤:
图2 基于EAP-MD5的802.1x认证系统功能实体协议栈
点击查看大图
图3 基于EAP-MD5的802.1x认证流程
(1)客户端向接入设备发送一个EAPoL-Start报文,开始802.1x认证接入;
(2)接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;
(3)客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名;
(4)接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,发送给认证服务器;
(5)认证服务器产生一个Challenge,通过接入设备将RADIUS Access-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;
(6)接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证;
(7)客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-Word,在EAP-Response/MD5-Challenge回应给接入设备;
(8)接入设备将Challenge,Challenged Password和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证:
(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束;
(10)如果认证通过,用户通过标准的DHCP协议(可以是DHCP Relay),通过接入设备获取规划的IP地址;
(11)如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器;
(12)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕。
四、802.1x认证组网应用
按照不同的组网方式,802.1x认证可以采用集中式组网(汇聚层设备集中认证)、分布式组网(接入层设备分布认证)和本地认证组网。不同的组网方式下,802.1x认证系统实现的网络位置有所不同。
1.802.1x集中式组网(汇聚层设备集中认证)
802.1x集中式组网方式是将802.1x认证系统端放到网络位置较高的LAN Switch设备上,这些LAN Switch为汇聚层设备。其下挂的网络位置较低的LAN Switch只将认证报文透传给作为802.lx认证系统端的网络位置较高的LAN Switch设备,集中在该设备上进行802.1x认证处理。这种组网方式的优点在于802.1x采用集中管理方式,降低了管理和维护成本。汇聚层设备集中认证如图4所示。
图4 802.1x集中式组网(汇聚层设备集中认证)
2.802.1x分布式组网(接入层设备分布认证)
802.1x分布式组网是把802.lx认证系统端放在网络位置较低的多个LAN Switch设备上,这些LAN Switch作为接入层边缘设备。认证报文送给边缘设备,进行802.1x认证处理。这种组网方式的优点在于,它采用中/高端设备与低端设备认证相结合的方式,可满足复杂网络环境的认证。认证任务分配到众多的设备上,减轻了中心设备的负荷。接入层设备分布认证如图5所示。
图5 802.1x分布式组网(接入层设备分布认证)
802.lx分布式组网方式非常适用于受控组播等特性的应用,建议采用分布式组网对受控组播业务进行认证。如果采用集中式组网将受控组播认证设备端放在汇聚设备上,从组播服务器下行的流在到达汇聚设备之后,由于认证系统还下挂接入层设备,将无法区分最终用户,若打开该受控端口,则汇聚层端口以下的所有用户都能够访问到受控组播消息源。反之,如果采用分布式组网,则从组播服务器来的组播流到达接入层认证系统,可以实现组播成员的精确粒度控制。
3.802.1x本地认证组网
802.1x的AAA认证可以在本地进行,而不用到远端认证服务器上去认证。这种本地认证的组网方式在专线用户或小规模应用环境中非常适用。它的优点在于节约成本,不需要单独购置昂贵的服务器,但随着用户数目的增加,还需要由本地认证向RADIUS认证迁移。
五、结束语
802.1x认证系统提供了一种用户接入认证的手段,它仅关注端口的打开与关闭。对于合法用户(根据账号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则使端口处于关闭状态。认证的结果在于端口状态的改变,而不涉及其它认证技术所考虑的IP地址协商和分配问题,是各种认证技术中最为简化的实现方案。
必须注意到802.1x认证技术的操作颗粒度为端口,合法用户接入端口之后,端口始终处于打开状态,此时其它用户(合法或非法)通过该端口接入时,不需认证即可访问网络资源。对于无线局域网接入而言,认证之后建立起来的信道(端口)被独占,不存在其它用户非法使用的问题。但如果802.lx认证技术应用于宽带IP城域网,就存在端口打开之后,其它用户(合法或非法)可自由接入且难以控制的问题。因此,在提出可运营、可管理要求的宽带IP城域网中如何使用该认证技术,还需要谨慎分析所适用的场合,并考虑与其它信息绑定组合认证的可能性。
802.1x EAP认证过程
1.当用户有上网需求时打开802.1X客户端程序,输入用户名和口令,发起连接请求。此时客户端程序将发出请求认证的报文给交换机,启动一次认证过程。
如下:
Frame 90(64 bytes on wire, 64 bytes captured)
Arrival Time: Nov 27, 2006 16:27:33.446030000
Time delta from previous packet: 3.105345000 seconds
Time since reference or first frame: 5.082965000 seconds
Frame Number: 90
Packet Length: 64 bytes
Capture Length: 64 bytes Ethernet II, Src: 00:e0:4c:d7:65:cd, Dst: 01:80:c2:00:00:03
Destination: 01:80:c2:00:00:03(Spanning-tree-(for-bridges)_03)
Source: 00:e0:4c:d7:65:cd(RealtekS_d7:65:cd)
Type: 802.1X Authentication(0x888e)
Trailer: A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5...Frame check sequence: 0xa5a5a5a5(incorrect, should be 0xcc6d5b40)
802.1x Authentication
Version: 1
Type: Start(1)
Length: 0
2.交换机在收到请求认证的数据帧后,将发出一个EAP-Request/Identitybaowe请求帧要求客户端程序发送用户输入的用户名。
Frame 91(64 bytes on wire, 64 bytes captured)
Arrival Time: Nov 27, 2006 16:27:33.447236000
Time delta from previous packet: 0.001206000 seconds
Time since reference or first frame: 5.084171000 seconds
Frame Number: 91
Packet Length: 64 bytes
Capture Length: 64 bytes Ethernet II, Src: 00:03:0f:01:3a:5a, Dst: 00:e0:4c:d7:65:cd
Destination: 00:e0:4c:d7:65:cd(RealtekS_d7:65:cd)
Source: 00:03:0f:01:3a:5a(DigitalC_01:3a:5a)
Type: 802.1X Authentication(0x888e)
Trailer: A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5...Frame check sequence: 0xa5a5a5a5(incorrect, should be 0x7d263869)
802.1x Authentication
Version: 1
Type: EAP Packet(0)
Length: 5
Extensible Authentication Protocol
Code: Request(1)
Id: 1
Length: 5
Type: Identity [RFC3748](1)
3.客户端程序响应交换机的请求,将包含用户名信息的一个EAP-Response/Identity送给交换机,交换机将客户端送来的数据帧经过封包处理后生成RADIUS Access-Request报文
送给认证服务器进行处理。
Frame 148(77 bytes on wire, 77 bytes captured)
Arrival Time: Nov 27, 2006 16:27:36.446199000
Time delta from previous packet: 2.998963000 seconds
Time since reference or first frame: 8.083134000 seconds
Frame Number: 148
Packet Length: 77 bytes
Capture Length: 77 bytes Ethernet II, Src: 00:e0:4c:d7:65:cd, Dst: 01:80:c2:00:00:03
Destination: 01:80:c2:00:00:03(Spanning-tree-(for-bridges)_03)
Source: 00:e0:4c:d7:65:cd(RealtekS_d7:65:cd)
Type: 802.1X Authentication(0x888e)
802.1x Authentication
Version: 1
Type: EAP Packet(0)
Length: 59
Extensible Authentication Protocol
Code: Response(2)
Id: 1
Length: 13
Type: Identity [RFC3748](1)
Identity(8 bytes): 03051020
4.认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字Challenge对它进行加密处理(MD5),通过接入设备将RADIUS Access-Challenge报文发送给客户端,其中包含有
EAP-Request/MD5-Challenge。
Frame 154(64 bytes on wire, 64 bytes captured)
Arrival Time: Nov 27, 2006 16:27:36.567003000
Time delta from previous packet: 0.120804000 seconds
Time since reference or first frame: 8.203938000 seconds
Frame Number: 154
Packet Length: 64 bytes
Capture Length: 64 bytes Ethernet II, Src: 00:03:0f:01:3a:5a, Dst: 00:e0:4c:d7:65:cd
Destination: 00:e0:4c:d7:65:cd(RealtekS_d7:65:cd)
Source: 00:03:0f:01:3a:5a(DigitalC_01:3a:5a)
Type: 802.1X Authentication(0x888e)
Trailer: A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5A5...Frame check sequence: 0xa5a5a5a5(incorrect, should be 0x4ec1ac73)
802.1x Authentication
Version: 1
Type: EAP Packet(0)
Length: 22
Extensible Authentication Protocol
Code: Request(1)
Id: 2
Length: 22
Type: MD5-Challenge [RFC3748](4)
Value-Size: 16
Value: 1CBFEE2149E38D2928DABB4772D285EB
5.客户端收到EAP-Request/MD5-Challenge报文后,用该加密字对口令部分进行加密处理(MD5)给交换机发送在EAP-Response/MD5-Challenge回应,交换机将Challenge,Challenged Password和用户名一起送到RADIUS 服务器进行认证。
Frame 199(94 bytes on wire, 94 bytes captured)
Arrival Time: Nov 27, 2006 16:27:39.446161000
Time delta from previous packet: 2.879158000 seconds
Time since reference or first frame: 11.083096000 seconds
Frame Number: 199
Packet Length: 94 bytes
Capture Length: 94 bytes Ethernet II, Src: 00:e0:4c:d7:65:cd, Dst: 01:80:c2:00:00:03
Destination: 01:80:c2:00:00:03(Spanning-tree-(for-bridges)_03)
Source: 00:e0:4c:d7:65:cd(RealtekS_d7:65:cd)
Type: 802.1X Authentication(0x888e)
802.1x Authentication
Version: 1
Type: EAP Packet(0)
Length: 76
Extensible Authentication Protocol
Code: Response(2)
Id: 2
Length: 30
Type: MD5-Challenge [RFC3748](4)
Value-Size: 16
Value: CBAC378ABB609123D2BB412840AEC614
Extra data(8 bytes): ***0
6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果认证成功,则向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,保持交换机端口的关闭状态,只允许认证信息数据通过。
Frame 205(243 bytes on wire, 243 bytes captured)
Arrival Time: Nov 27, 2006 16:27:39.632706000
Time delta from previous packet: 0.186545000 seconds
Time since reference or first frame: 11.269641000 seconds
Frame Number: 205
Packet Length: 243 bytes
Capture Length: 243 bytes Ethernet II, Src: 00:03:0f:01:3a:5a, Dst: 00:e0:4c:d7:65:cd
Destination: 00:e0:4c:d7:65:cd(RealtekS_d7:65:cd)
Source: 00:03:0f:01:3a:5a(DigitalC_01:3a:5a)
Type: 802.1X Authentication(0x888e)
802.1x Authentication
Version: 1
Type: EAP Packet(0)
Length: 225
Extensible Authentication Protocol
Code: Success(3)
Id: 0
基于802.1x 篇5
有效的身份认证能够实现校园网有限资源的再分配, 真实可信的网络身份认证体系一方面能够让恶意者在做有害行为之前有所顾忌, 防微杜渐;另一方面也可以让校园网络管理者在安全事件发生后能准确及时地找到肇事者, 在一定程度上防止安全事件的再次发生。系统获取用户的身份后, 可以根据用户身份的不同, 分配不同的资源使用权限, 避免网络资源的滥用和管理混乱。
1高校校园网现状
随着国际、国内网络安全事件的不断升级和网络应用的普及, 由于用户群密集且活跃, 校园网成为安全问题的“重灾区”, 管理也更为复杂、困难。主要体现在:①要求实现实名入网, 防止盗用, 使得各种安全事件能够落地;②要求能够有效地防止对其它网络用户、网络设备产生压力和欺骗攻击, 如arp攻击和广播风暴;③要求能够有效地防止非合法授权使用他人身份或二次代理现象;④要求认证本身对网络带宽占用率消耗尽可能低, 内网能够不受限制地流畅访问;⑤能够实现有线无线的一体化认证;⑥业务数据和管理数据的分离。
高校校园网经过多年的发展, 逐渐形成了许多行之有效的身份认证技术和系统。但由于政策和管理模式不同, 所采取的技术方案和管理制度也不尽相同。
1.1静态IP入网
该种模式以静态IP分配模式进行组网, 往往采用二级网络模式, 核心以下都在一个vlan里。主要是受制于学校的设备更新速度慢、设备参数较低、带来的问题是出现大量的IP地址盗用现象, arp攻击猖獗、广播风暴明显, 给用户和管理人员带来诸多不便。
1.2校内开放访问
只在用户访问校外资源时进行认证, 一般在校园网出口处安装认证网关设备。这种方法比较适合CERNET流量计费政策, 但是无法防止用户通过代理访问外部资源, 不能防止外来用户滥用校园网中的资源, 对于校内发生的安全事件也无法追查和落地。
1.3基于MAC地址的认证
在三层交换机上登记用户的网卡地址, 只有授权的主机可以访问, 在用户数量较多的高校, 用户还可能频繁地修改Mac地址, 这种方式的管理难度很大。
1.4PPPOE方式拨号认证访问
PPPoE由于采用动态分配IP地址方式, 用户拨号后无需自行配置IP地址、网关、域名等, 它们均是自动生成, 不存在用户自行更改IP地址的问题, 对用户管理方便。但存在的不足是认证在包头和用户数据直接插入了PPPOE和PPP封装, 对一些特殊业务和网络利用率有一定影响。
1.5基于802.1x的认证访问
IEEE 802.1x是一种链路层验证机制协议, 控制着对网络访问端口即网络连接点的访问, 如实施在无线接入点的物理交换端口或逻辑端口。通过控制网络访问, 用户可以在多层安全架构部署第一道防线。在连接设备得到验证之前, 网络访问权完全被禁止。得到验证之后, 用户可以被提供附加服务。这些服务包括第三层过滤、速率限制和第四层过滤。
2基于802.1x认证的优势
基于以太网端口认证的802.1x协议有如下特点:①IEEE 802.1x协议为二层协议, 不需要到达三层, 对设备的整体性能要求不高, 可以有效降低建网成本;②借用EAP (扩展认证协议) , 可以提供良好的扩展性和适应性, 实现对传统PPP认证架构的兼容;③802 1x的认证体系结构中采用了“受控端口”和“非控端口”的逻辑功能, 从而可以实现业务与认证分离, 由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制, 业务报文直接承载在正常的二层报文上通过可控端口进行交换, 其通过认证后的数据包是无需封装的纯数据包;④可以使用现有的后台认证系统降低部署的成本, 并有丰富的业务支持;⑤可以映射不同的用户认证等级到不同的VLAN;⑥可以使交换端口和无线LAN具有安全的认证接入功能。
2.1802.1x的组成
IEEE 802.1x定义了下列几个角色:
请求者:连接到网络、请求其服务的设备, 通常是终端站。它是最终用户所扮演的角色, 一般是个人PC。它请求对网络服务的访问, 并对认证者的请求报文进行应答。恳请者必须运行符合IEEE 802.1x 客户端标准的软件。
认证者:认证者一般为交换机等接入设备。该设备的职责是根据客户端当前的认证状态控制其与网络的连接状态。该设备扮演着中介者的角色, 从客户端要求用户名, 核实从服务器端的认证信息, 并且转发给客户端。因此, 设备除了扮演IEEE802.1x 的认证者的角色, 还扮演RADIUS Client 角色。
该种设备有两种类型的端口:受控端口 (controlled Port) 和非受控端口 (uncontrolled Port) 。连接在受控端口的用户只有通过认证才能访问网络资源;而连接在非受控端口的用户无须经过认证便可以直接访问网络资源。
验证服务器:提供向验证者申请验证服务的实体, 认证服务器通常为RADIUS 服务器, 认证过程中与认证者配合, 为用户提供认证服务。认证服务器保存了用户名及密码, 以及相应的授权信息, 一台服务器可以对多台认证者提供认证服务, 这样就可以实现对用户的集中管理。认证服务器还负责管理从认证者发来的记帐数据。
在实际应用中3者为工作站 (client) 、交换机 (network access sever) 和Radius-Sever。
2.2802.1x扩展协议EAP工作工程
IEEE定义了一种封装模式, 允许EAP通过LAN传输, EAP over LAN (EAPoL) 于是应运而生。各种验证服务都可以通过这种协议运行, 包括用户名/口令、Kerberos、数字证书、一次性口令和生物检测技术等服务。EAP数据包在请求者和验证者之间的链路层上传输, 并通过验证者与验证服务器之间的IP/RADIUS连接。
EAP本身并不为流量传输明确规定任何保护机制, 相反, EAP内运行的验证协议 (在RFC 2284当中定义为验证类型) 为安全操作提供了数据的机密性和完整性。
2.3基于802.1x的AAA认证过程
(1) 客户端开启认证, 发送EAPOL-Start报文, 开始802.1X认证接入; (2) 接入设备收到EAPOL-Start报文后, 向客户端发送EAP-Request/Identity报文, 要求客户端将用户账号信息传送上来; (3) 客户端回应一个EAP-Response/Identity给接入设备的请求, 其中包括用户账号; (4) 接入设备将EAP-Response/Identity报文封装到RADI-US Access-Request报文中, 发送给认证服务器; (5) 认证服务器产生一个Challenge, 通过接入设备将RADIUS Access-Challenge报文发送给客户端, 其中包含有EAP-Request/MD5-Challenge; (6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端, 要求客户端进行认证; (7) 客户端收到EAP-Request/MD5-Challenge报文后, 将密码和Challenge做MD5算法后的Challenged-Pass-word, 在EAP-Response/MD5-Challenge回应给接入设备; (8) 接入设备将Challenge, Challenged Password和用户名一起传送到RADIUS服务器, 由RADIUS服务器进行认证; (9) RADIUS服务器根据用户信息, 做MD5算法, 判断用户是否合法, 然后回应认证成功/失败报文到接入设备。如果成功, 携带协商参数, 以及用户的相关业务属性给用户授权。如果认证失败, 则流程到此结束; (10) 如果认证通过, 用户通过标准的DHCP协议 (可以是DHCP Relay) , 通过接入设备获取规划的IP地址; (11) 如果认证通过, 接入设备发起计费开始请求给RADIUS用户认证服务器; (12) RA-DIUS用户认证服务器回应计费开始请求报文。
至此, 用户上线完毕, 获得授权, 开始正常使用网络。
3基于802.1X的AAA认证的设计与实现
3.1设备选型
实施中存在接入设备支持方面的问题, 使得在全校范围内推广实施802.1X接入控制有一定的难度。表现在, 校园网早期购买交换机品牌较多, 有的交换机支持802.1X、有的交换机不支持;802.1X分基本功能与扩展功能两部分, 许多802.1X控制功能是由其私有的扩展功能来实现的。不同厂家交换机802.1X扩展部分的功能不一样, 给全校实施802.1X控制措施带来困难。
在实施工程中, 我们选用同一家的产品, 对不同厂商的网络设备需要进行更换或改造。选择华为的93系列交换机作为汇聚, 33系列交换机作为接入层设备。
3.2模式选择
管理员通过配置IP授权模式来限定用户获得IP地址的方式。IP授权模式有4种:DISABLE模式、DHCPSERVER模式、RADIUS SERVER模式、SUPPLICANT模式。
由于涉及到学生在不同校区之间漫游, 以及学生群体的特殊性, 选择了DHCP SERVER模式, 同时通过在交换设备上启用DHCP SNOOPING指定DHCP信任端口来有效防止DHCP代理, 启用交换机的DHCP relay功能, 将dhcp上发到DHCP服务器进行统一处理。DHCPSERVER模式:用户的IP通过指定的DHCP SERVER获得, 对于DHCP模式可以使用DHCP relay option82实现802.1X的更为灵活的IP分配策略, 管理员通过配置设备的DHCP RELAY来限定用户访问的DHCP SERVER, 这样, 只有指定的DHCP SERVER分配的IP才是合法的。
3.3设计配置实现
3.3.1 AAA认证配置
dot1xenable
dot1xauthentication-method eap
aaa
accounting-scheme radius
accounting-mode radius
accounting realtime 3
domain default
authentication-scheme radius
accounting-scheme radius
radius-server AAA认证设备地址
3.3.2防“非法”代理配置
dhcp enable
dhcp snooping enable
dhcp snooping trusted interface GigabitEthernet0/0/1 (上行允许dhcp的端口)
dhcp-server DHCP服务器地址
交换机端口默认为不信任, 只有指定端口为信任端口, 才能从信任端口获取DHCP地址。
3.3.3交换设备端口隔离配置
port link-type access
port default vlan VLANID
undo ntdp enable
undo ndp enable
bpdu enable
dot1xenable
port-isolate enable group 1
3.3.4业务流和管理流分离
通过把业务流和管理流归到不同的VLAN, 这样业务数据和管理数据不再干扰, 保证了管理数据的稳定和畅通。网络采用典型的三层设计, 终端用户通过楼栋交换设备上指定的网关地址向上发出请求, 通过小区汇聚和核心交换设备向AAA服务器递交申请。凡涉及到用户的行为落地都可以由该次IP地址查询到所属楼栋和楼层, 为安全和管理提供了有力的技术保障。
3.3.5内网服务器访问保护
由于采用AAA实名认证, 只要通过认证的用户便可稳定、流畅的访问内网服务器。进行内外网隔离, 采用防火墙隔离, 内网、外网不能直接互相访问, 所有内网、外网之间的访问全部通过防火墙实现。只对授权用户访问外网进行流控, 对内网用户不作流量限制, 如果未通过认证, 则必须通过外网访问服务器, 并采取相应的身份识别和流量控制。这样, 一方面保障了校内资源的高效访问, 另一方面对未授权的访问进行有效的隔离。
3.3.6有线无线一体化
由于学生群体的流动性较强, 因此方案中采用有线无线一体化设计, 在学生寝室加设无线路由, 采用统一SSID命名, 路由器工作在AP模式下, 学生不管是通过有线还是无线连接上路由器, 都可以通过AAA方式以分配的有效账号进行登录。这种方式允许学生在校内网络覆盖的任何地方漫游, 保障了学生群网络使用的便利性。
参考文献
[1]周鹏, 李英, 李志蜀.基于AAA机制的校园网安全计费管理系统设计[J].天中学刊, 2010 (2) .
[2]彭伟.使用802.1x实现校园网认证[J].计算机应用, 2003 (3) .
[3]高祥, 周林.802.1x协议及其在宽带接入中的应用[J].重庆邮电学院学报:自然科学版, 2004 (1) .
[4]丰艳.基于Radius协议的VOIP认证/计费系统的设计与实现[J].计算机工程与设计, 2008 (13) .
[5]张敬伟, 周娅, 周德新.RADIUS在端口认证中的应用及其实现[J].计算机应用, 2004 (6) .
[6]吴伟斌.校园网AAA系统设计与实现[J].中国教育网络, 2007 (2) .
基于802.1x 篇6
802.1X是IEEE为了解决基于端口的接入控制(Port-Based Network Access Control)而定义的一个标准。为了提高以太网的安全性和运营维护需求,IEEE于2001年6月正式通过了标准,标准的起草者包括Microsoft,Cisco,Extreme,Nortel等著名企业。IEEE 802.IX协议定义了基于端口的网络接入控制协议(port based network access control)。它适用于以太网交换机的一个物理端口仅连接一个终端的组网,实现基于物理端口的访问控制;适用于IEEE 802.11定义的无线LAN接入方式,实现基于逻辑端口的访问控制;对802.1X端口进行了扩展,引入虚端口概念,以支持一个物理端口下多个终端的应用场合。
IEEE 802.1X认证系统体系结构
系统组成
IEEE 802.1X的体系结构中包括三个部分:Supplicant System-用户接入设备、Authenticator System-接入控制单元、Authentication Sever System-认证服务器。如图1所示。
802.1X体系与设备软件对应关系:Lanswitch设备需要实现802.1X的认证系统部分Authenticator System;终端(如PC)需要运行802.1X的客户端软件,例如Windows XP自带的802.1X客户端,或第三方厂商提供基于Windows操作系统的8 02.1X客户端软件;802.1X的认证服务器系统Authentication Server System,一般运行在AAA中心的服务器上,典型的产品为传统的Radius服务器。
系统模型
802.1X系统共有三个实体:客户端,认证系统(设备端),认证服务器。(注:传输介质为点到点以太网,如果采用共享式以太网,需要采用加密的方式传递密码,保证认证安全)。如图2所示。
受控端口概念
受控端口是802.1X系统的核心概念。Authenticator内部有受控端口(Controlled Port)和非受控端口(Uncontrolled Port)。如图3所示。非受控端口始终处于双向连通状态。
受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用环境。在输入受控方式下,在未认证通过时,网络可以向端口下的用户发送数据,但是用户不能向网络发送数据;认证通过后,用户可以向网络发送数据,网络也可以向用户发送数据。输入受控应用在集中桌面管理的应用场合。例如管理员即使在客户端关机的情况下也能将通过受控端口向用户计算机发送远程开机命令。
在非受控端口上,用户与交换机通过EAP报文完成认证交互过程。
在受控端口上,在用户未认证通过时,处于关闭状态,用户不能访问网络资源,或者仅可以受限访问很少部分的网络资源。如果用户配置成动态获取IP地址时,是不能获得IP地址的。在用户认证通过后,受控端口处于双向打开的状态,用户可以通过DHCP获取IP地址,并且根据在认证通过后认证服务器对用户的授权情况,用户可以访问部分或全部的网络资源。
受控端口又分为:(1)逻辑端口:可以是设备的一个物理端口,也可以是一个集群管理系统的一个物理端口,逻辑对应一个Authenticator PAE状态机实体。(2)逻辑端口+源MAC:这种类型的受控端口为每一个客户端创建一个Authenticator PAE状态机实体。每个物理端口上受控端口的个数是有限制的(可配置),当有客户端发送EAPOL-Start请求认证报文时提取客户端源MAC地址,做为受控端口的标识。客户端注销时对应的受控端口资源被释放。逻辑端口和逻辑端口+MAC的概念。如图4所示。
受控端口状态
端口的状态决定了客户端是否能接入网络,端口初始状态一般为非授权(unauthorized),在该状态下,除802.1X报文外不允许任何输入、输出通讯。当客户通过认证,则端口状态切换到授权状态(authorized),允许客户端通过端口进行正常通讯。
若客户端不支持8 0 2.1X,LANSwitch设备发起802.1X认证过程,客户端不响应,反复几次后停止,端口仍维持非授权状态,不允许客户端访问网络;
若LANSwitch设备端不支持802.1X,客户端通过发送EAPOL-start主动发起认证,设备端没有任何响应,反复几次后,客户端认为已通过认证,若端口是授权状态则可以访问网络。
端口认证模式
Force Authorized:常开模式。端口一直维持授权状态,设备端不主动发起认证,忽略所有客户端发起的认证请求;
ForceUnauthorized:常关模式。端口一直维持非授权状态,忽略所有客户端发起的认证请求;
Auto:协议控制模式。设置端口初始状态为非授权状态,使端口仅允许EAPOL报文收发,如果认证流程通过,认证通过后端口切换到授权状态;
特别说明的是:当前很多第三方厂商提供的802.1X子系统允许一个物理端口下有多个受控端口,并规定同一个物理端口下的所有受控端口必须遵循相同的端口认证模式。
对认证服务器的兼容
Authenticator系统与认证服务器的通信有多种方式:第一种是802.1X标准规定的EAPRELAY方式,将EAP承载在其他高层协议中,如EAP over Radius,以便EAP报文穿越复杂的网络到达认证服务器。这种方式的优点是LANSWITCH设备处理更简单,支持更多的认证方式;缺点是认证服务器必须支持EAP,而目前市场上大部分认证服务器都还不支持。
第二种是EAP终结方式(当前很多第三方厂商提供的802.1X子系统的扩展),将EAP在LANSWITCH设备终结并映射到Radius报文,利用Radius协议完成认证和计费。这种方式的优点是认证服务器无需升级,现有的Radius Server可以继续使用;缺点是增加了LANSWITCH设备处理负担,支持的加密认证算法有限,目前提供MD5-CHAP和PAP两种认证算法。
802.1X在企业网中的应用建议
802.1X集中式应用
对于用户规模较小的网络,可采用集中式组网的应用模式。802.1X集中式组网是把802.1X设备端放在网络位置较高的LANSWITCH设备上,这些LANSWITCH是汇聚层设备。其下挂的网络位置较低的LANSWTICH只把认证报文透传给作为802.1X设备端的网络位置较高的LANSWITCH设备,集中在该设备上进行802.1X认证处理。集中式的用户管理的范围包括有线接入用户和无线接入用户。集中认证一方面易于管理维护,保证了单个管理域内用户信息的一致性;另一方面,集中统一的用户管理为不同接入手段的用户账户之间进行数据同步提供了前提条件,而且用户在不同网络或者接入类型之间切换时面对的是统一的界面。802.lx通过对现有的RADIUS设备进行升级,可以完整的继承原有的认证体系,避免了对网络结构进行大规模调整,工程易实现,降低管理和维护成本。如图5所示。
802.1X分布式应用
当前,在用户较多的网络中,分布式组网的应用模式被普遍采用。802.lx分布式组网是把802.lx认证系统端放在网络位置较低的多个LAN Switch设备上,这些LAN Switch作为接入层边缘设备。认证报文送给边缘设备,进行802.lx认证处理。这种组网方式的优点在于,它采用中/高端设备与低端设备认证相结合的方式,可满足复杂网络环境的认证。802.lx分布式认证组网将认证任务分配到众多的设备上,减轻了中心设备的负荷。802.lx分布式组网方式非常适用于受控组播等特性的应用,建议采用分布式组网对受控组播业务进行认证。如果采用集中式组网将受控组播认证设备端放在汇聚设备上,从组播服务器下行的流在到达汇聚设备之后,由于认证系统还下挂接入层设备,将无法区分最终用户,若打开该受控端口,则汇聚层端口以下的所有用户都能够访问到受控组播消息源。反之,如果采用分布式组网,则从组播服务器来的组播流到达接入层认证系统,可以实现组播成员的精确粒度控制。
802.IX本地应用
802.1X的AAA认证,可以在本地进行,不用到远端认证服务器上去认证。在小企业中,经常会采用这种本地认证的组网方式。这种组网方式的优点是:节约成本,不需要单独购置昂贵的服务器。如图6所示。
全系统的解决方案
802.1X全系统的解决方案,包括用户客户端、认证设备端、认证服务器。认证设备上,支持内置认证服务器,降低了小型网络的建设成本和管理成本。同时,支持EAP终结和EAP透传两种模式,可以支持现有的Radius Server,保护用户的投资(目前,多数厂商产品只支持EAP透传)。
客户端软件,提供多平台的802.1X客户端软件(WINDOWS98/ME/2000/XP)等,并可基于用户特定需求进行定制开发。
认证服务器软件CAMS,与设备配合可灵活实现各种业务需求,如用户的VLAN配置,Qos参数配置等等。
扩展的安全机制
使用802.1X的握手机制可定期监测用户的在线情况,解决了有线网应用中的仿冒和时长计费准确性问题。原理简要介绍如下:客户端认证通过后,设备会周期性的向客户端发送握手请求报文,如果收到握手响应报文则认为用户在线,否则认为用户离开,这样可以最大限度的解决时长计费的准确性问题,保护用户的利益。另外,通过实时握手机制,在认证用户离开,而其它未认证用户继续使用网络的情况下,可以及时检测出这种情况,避免网络数据被非法用户访问。
灵活的端口控制方式
802.1X受控端口机制灵活,支持基于端口和基于MAC地址控制方式。基于端口的控制方式适用于端口出租类型的业务,而基于MAC地址的控制方式则可以实现对单个上网用户精确控制。综合使用这两种控制方式,可以适应各种不同的组网环境,如小区、校园、网吧等(其他厂商产品多数只支持基于端口的802.1X)。
支持多种多样的认证方法
使用现有的PAP,CHAP认证方式,可以最大限度的保护用户的投资,无须更新Radius服务器。
使用EAP透传方式的认证方式,可以支持众多的认证方法:如EAP TLS,PEAP等等,为用户选择认证方式提供最大的自由度。
总结
当前,新闻媒体为了向大众提供多媒体、互动、高效率、高可靠性的资讯信息,其信息系统越来越庞大和复杂(包括:广域网、园区网、各种网络应用系统等)。但是,相对于如此庞大的系统,终端计算机的管理和控制几乎等于零,这种局面为媒体的信息发布带来严重的安全隐患和资产管理问题(据调查47%网络安全事件是由桌面操作系统安全问题引起的)。因此,越来越多的新闻媒体,希望在管理大型异构网络环境中的计算机系统时,有更加简单有效的手段。
基于802.1x 篇7
关键词:802.1x,EAP,身份集,认证服务器,认证请求包,动态
0 引 言
本文内容来自于专利申请文献:实现交换设备端口级接入认证的方法,专利申请号201010553593.6。
802.1x协议是一种基于端口的网络接入控制协议。“基于端口的网络接入控制”指在局域网接入控制设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源——相当于连接被物理断开。基于802.1x协议的用户身份认证技术在国内外企业中都有广泛的应用,但是大多数都只实现了标准的认证方式,即对于所有开启802.1x认证的设备,使用全体认证用户信息组成的单一的用户集合。这种基本的设备IP-用户全集的绑定,在很多情况下难以满足复杂应用环境的对设备与用户接入的管理需求。本文提供了一种设备IP-设备端口(包含逻辑端口)-特定用户集的绑定方法,可有效细化对用户接入进行管理的粒度,配合可定制的B/S架构管理系统,能够明显提高网络接入控制与管理能力。
现有的基于802.1x协议的用户身份认证技术的产品对设备端与用户集的设定处于以下几种形式:
设备端以IP标识,用户集为单一全集。这种方案是当前大多产品的设定,并没有强调不同设备对不同组织/部门/类型的用户接入的可用性与区别化管理。
设备端以IP标识,部署多个认证服务器对应不同用户集合。这种方案成本较高,当希望经常改变用户集时,灵活性差;虽然可对设备与用户集进行管理,但同一设备端的认证方案单一,不能进行更细粒度的控制,这个缺点在部分企业级无线控制器的应用上体现的尤为明显。
设备端以IP为标识,限定每个设备与一个用户集绑定。在目前的结构化布线大楼里,一些公共场所的网络接入点,往往与办公室里的正式办公网络共享接入层交换机。在这种情况下,如果想要为同一个接入层交换机的多个不同端口配置不同认证身份集,对公共场所与办公室等不同区域的接入进行区别管理,原有技术不能满足要求,必须使用扩展交换机端口与用户集绑定的802.1x身份认证技术。
1 方案介绍
1.1 方案详解
客户端(PC)、设备端(RADIUS Client,通常为交换机或无线控制器)、认证服务器(RADIUS Server)之间的基本交互流程如图1所示。客户端的802.1x协议报文通过设备端,承载在RADIUS协议中发送给认证服务器。
其中,RADIUS Server通常要维护三个数据库,如图2所示。
第一个数据库“Users”用于存储用户信息(如用户名、口令以及使用的协议、IP地址等配置)。
第二个数据库“Clients”用于存储RADIUS客户端(如交换机)的信息(如共享密钥)。
第三个数据库“Dictionary”存储的信息用于解释RADIUS协议中的属性和属性值的含义。
RADIUS Server接收认证请求包,Radius协议报文除了解析并重新组装EAP-Message,提取用户名(User-Name)等属性,还发送如NAS-IP-Address、NAS-Port、Called-Station-Id、Calling-Station-Id等属性,利用NAS-Port等属性,扩展Client数据库内容,即可对设备端进行端口级区分。另外RADIUS Server可动态添加多种用户集方案。
交互步骤如下:
(1) 用户输入用户名和口令。
(2) RADIUS Client根据获取的用户名和口令,向RADIUS服务器发送认证请求包(Access-Request)。
(3) RADIUS Server解析认证请求包,提取NAS-IP-Address、NAS-Port等属性,在Clients数据库进行查询,如果有对应记录,就根据查询结果,访问Users数据库的指定的用户集,否则返回Access-Reject响应包。RADIUS Server再将该用户信息与Users数据库信息进行对比分析,如果认证成功,则将用户的权限信息以认证响应包(Access-Accept)发送给RADIUS Client;如果认证失败,则返回Access-Reject响应包。
(4) RADIUS Client根据接收到的认证结果接入/拒绝用户。如果可以接入用户,则RADIUS Client向RADIUS Server发送计费开始请求包(Accounting-Request),Status-Type取值为start。
(5) RADIUS服务器返回计费开始响应包(Accounting-Response)。
(6) 用户开始访问资源。
(7) RADIUS Client向RADIUS Server发送计费停止请求包(Accounting-Request),Status-Type取值为stop。
(8) RADIUS服务器返回计费结束响应包(Accounting-Response)。
(9) 用户访问资源结束。
从登录用户的角度看,认证逻辑如图3所示。
1.2 性能测试
本方案的认证方法完全在RADIUS服务器内部扩展实现,与认证端和设备端无关,考虑到在认证过程中引入交互设备端口检索可能带来的性能降低,对RADIUS服务器设计性能测试方法。
假设一个大型组织有32 000个终端需要认证上网,第一次模拟分16个交换机端口(对应16个身份集,每个身份集2 000个用户)进行认证,第二次模拟1个交换机端口(对应1个身份集,32 000个用户)进行认证,RADIUS服务器采用单线程串行工作,测试数据如表1所示。服务器配置如表2所示。
实验发现,因为分割了身份集,在大身份集的情况下,虽然身份集匹配多花了一点计算时间,但是身份集内部检索却节约了更多时间,所以引入细分身份集也可以成为大身份集情况下的提升认证速度的一个有效方法。
2 应用效果
本方案的控制程序可以部署在专业定制的硬件平台上,支持30×24小时不间断运行,为网络接入控制提供可信赖的运行环境。
本方案提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。
本方案细化了对用户接入进行管理的粒度,在各类交换机,尤其某些企业级无线控制器上,可用一台RADIUS Server支持对不同SSID配置独立认证方案,配合可定制的B/S架构管理系统,能够明显提高网络接入控制与管理能力。
当前一些802.1X的扩展技术,通常都是绑定认证端的IP、MAC与认证身份,这只是强化了对认证源的验证;但是在一些安全性要求更高的应用场景,更需要明确认证的路径,也就是从哪台交互设备、哪个物理端口接入,从而差异化的应用不同的网络访问策略,本方案为这种安全要求提供了有效的技术支撑。
本方案对RADIUS服务器核心认证交互过程进行了扩展,但对RADIUS服务器的性能影响较小。在同样的硬件条件下,与原有技术的RADIUS服务器相比,应用本方案后的RADIUS服务器提供的服务,其最大吞吐量、平均响应时间、等性能指标相差极小,可以认为没有影响。
3 结 语
本文介绍了交换机端口细分身份集的802.1X接入认证扩展技术,通过认证过程中的EAP-Message包进行重新组装和扩展,实现了交换机端口和不同的身份集进行绑定,从而可以控制不同用户可以接入的交换机端口,为企业进行更加细化的用户访问权限控制提供了完善的解决方案。本文的方案经过系统的验证和测试,功能上完全可以实现既定目标,同时在性能上不仅没有因为身份集的增多而受到影响,反而由于身份集的合理分解得到了一定的提升,从这个角度来讲,本方案也为企业改善802.1X接入认证系统的性能提供了一种解决方案。
参考文献
[1]董贞良,吕述望,王昭顺.基于802.1X的内安全管理系统认证模块设计[J].计算机工程,2007(12).
[2]IEEE Standard802.1x-2001[S].
[3]孟学军.802.1x认证管理方式分析及实现[J].现代计算机,2005(8).
[4]贾立波,陈利学,贾丛茂,等.802.1x/PEAP认证方法的研究和应用[J].网络安全技术与应用,2009(5).