浅析802.1x认证技术

前言

随着互联网应用的飞速发展,在企业办公环境、咖啡厅、图书馆等公共场所,用户使用手机、PAD或笔记本电脑等终端接入无线或有线网络,就可以顺利获得访问网络资源。但用户终端可能存在较大安全风险,同时公共场所局域网的网络环境也面临黑客恶意接入的安全威胁。

简单的接入机制带来了网络安全隐患。如何正确处理用户终端安全接入的问题?这就需要基础网络提供必要的安全认证机制。IEEE 802.1x(以下简称“802.1x”)认证是接入控制技术中的一种,可以很好地解决上述问题。

浅析802.1x认证技术

    什么是802.1x

2001年,IEEE 802.1x LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1x协议,并在2004年完成该协议标准化。因具有普适性,在以太网中被广泛应用,主要用于解决以太网用户安全接入认证问题。

802.1x

协议体系结构简述  

浅析802.1x认证技术

802.1x是一种基于端口的网络接入控制协议(Port-Based Network Access Control Protocol),未经授权的用户终端接入网络设备端口,如果认证通过,将获得权限访问网络中的资源;如果不能通过认证,则无法访问。

802.1x认证系统是基于Client/Server架构,包括3个实体,如下图:

浅析802.1x认证技术

802.1x协议体系结构图

认证客户端:用户侧网络实体,用于接入网络访问资源,一般为用户终端设备,用户可以通过启动客户端软件发起802.1x认证。客户端必须支持EAPoL(Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议)。

认证设备:网络侧网络实体,用于连接和认证用户客户端,通常为支持802.1x协议的网络设备,为客户端提供接入局域网的端口,该端口可以是物理端口(有线网),也可以是逻辑端口(无线网)。

认证设备为认证客户端提供接入局域网的端口,这个端口被划分为两个逻辑端口:受控端口和非受控端口。认证设备对认证客户端执行认证,并根据认证结果(Accept或Reject)对受控端口的授权或非授权状态进行相应的控制。

认证服务器:提供认证服务的网络实体,用于实现对认证客户端进行认证、授权和计费,通常为RADIUS服务器或TACACS服务器。

认证客户端与认证设备之间的认证触发方式分为两种:

① 认证客户端主动触发:主动向认证设备发送报文来触发认证。

② 认证设备主动触发:定时向认证客户端发送报文来触发认证。

802.1x认证系统使用EAP(Extensible Authentication Protocol,可扩展认证协议),用来实现认证客户端、认证设备和认证服务器之间认证信息的交互。

客户端与认证设备之间:为了安全考虑,不能直接在局域网环境中传输,而是将EAP协议报文封装成EAPoL格式后进行传输。

认证设备与认证服务器之间:认证设备使用EAP中继方式或EAP终结方式来交换认证信息。

浅析802.1x认证技术

      802.1x

      认证过程简述

802.1x认证过程分为EAP中继方式和EAP终结方式两种:

EAP

① 发送用户名信息

用户访问网络时,启动802.1x客户端功能,输入已经申请注册过的用户名和密码,认证客户端将用户名信息发送给认证设备,认证设备封装后转发送给认证服务器。

② 发送密码信息

认证服务器将用户名与数据库对比后,找到该用户对应的密码信息,生成随机加密字经认证设备转发给认证客户端。客户端用加密字处理过的密码通过认证设备传给认证服务器。

③ 认证通过

认证服务器收到已加密的密码信息经过处理后与本地密码对比,二者相同,该用户合法,通知认证设备。认证设备收到通过的消息后将接入端口改为授权状态,允许用户访问网络资源。认证设备通过向认证客户端定期发送握手报文的手段,监测用户在线情况。

④ 被动下线

认证设备监测用户是否在线,如果未得到认证客户端应答,认证设备将用户强制下线,防止认证设备对用户异常下线无感知。

⑤ 主动下线

认证客户端准备下线时,发送报文告知认证设备,主动要求下线。认证设备端口状态从授权变更为非授权状态,同时发送报文告知客户端下线。

EAP

与EAP中继方式相比,唯一区别就是随机加密字由认证设备生成,认证设备会把用户名、加密字和认证客户端加密后的密码信息一起发送给认证服务器,认证服务器再进行相关认证处理。

实际应用  

浅析802.1x认证技术

在一些企业中,任何用户终端能够通过无线SSID或连接网线的方式自动获得IP,在自动弹出的Web/Portal页面上输入自己的用户名密码,接入到企业办公网络,无差别访问网络资源。

企业IT管理者要求将所有接入的终端资产进行纳管和区分,需求如下:

? 终端资产:区分企业配发的终端、个人自备终端

? 账号:外部访客通过自助获取,企业用户通过提前申请获取

? 访问权限:不同部门、不同类型的用户对应不同VLAN、能获取对应的网段IP、带宽资源及访问权限

? 审计:能对所有用户登录日志进行审计

在认证设备即接入交换机上配置802.1x认证、认证策略、认证域、接口dot1x等相关内容,结合第三方认证系统配置相关策略,如同步组织架构、下发VLAN、下发ACL等,实现上述功能需求。

企业终端,例如办公笔记本电脑,安装了第三方802.1x客户端软件。如下图:

浅析802.1x认证技术

第三方802.1x客户端图标

浅析802.1x认证技术

第三方802.1x客户端软件

个人终端,例如个人笔记本电脑、手机等,可使用系统自带的802.1x软件申请接入。如下图:

浅析802.1x认证技术

笔记本电脑网卡自带802.1x 

浅析802.1x认证技术

手机网卡自带802.1x

浅析802.1x认证技术

总结

随着我国网络安全相关法规条例相继出台,同时国内外政治形势严峻,境内外攻击威胁加剧等等,从而推动了网络安全技术的快速发展,802.1x技术也得到了广泛应用。

目前,802.1x技术作为企业办公场所终端安全接入的解决方案,能够在终端未获得IP的情况下,对接入用户的身份进行认证和控制访问权限。解决了传统PPPOE和Web/Portal认证方式带来的安全问题,更加适合在企业中使用。

浅析802.1x认证技术

参考文献

[1] 802.1X:基于端口的网络接入控制标准[J]. 郑晓蕾,曹秀英.  通信技术. 2002(06)

[2]基于802.1x的局域网接入认证方案[J]. 刘海旺,邱卫东,黄征.  信息安全与通信保密. 2009(03)

[3]华为交换机 https://support.huawei.com/enterprise/zh/doc/EDOC1100194429

[4]802.1X技术基础 http://www.h3c.com/cn/d_201309/922103_30005_0.htm

[5]路由交换技术详解与实践 新华三大学 清华大学出版社 2018(07)

[6]802.1X网络准入控制技术的优势分析 https://www.leagsoft.com/doc/article/1797.html

浅析802.1x认证技术

作者:王小瑾

排版设计:王蔚棋

手绘插画:岳   媛

在看不好意思,那就点个赞吧

原创文章,作者:EBCloud,如若转载,请注明出处:https://www.sudun.com/ask/33378.html

(0)
EBCloud's avatarEBCloud
上一篇 2024年4月2日 下午3:28
下一篇 2024年4月2日 下午3:28

相关推荐

  • 秒换ip服务器

    网络安全加速行业是近年来崛起的一种新兴行业,它为企业提供了更加安全稳定的网络环境,受到了越来越多企业的青睐。而在这个行业中,有一种神秘的存在——“秒换ip服务器”,它能够帮助企业轻…

    行业资讯 2024年3月24日
    0
  • 屏蔽了的网站怎么能看,被屏蔽的网站如何打开

    首先,要恢复对被阻止网站的访问,您需要了解该网站被阻止的原因。是因为违反了相关法律还是被误判为垃圾网站?不同的原因需要不同的解决方案,所以为了有针对性地解决问题,首先要了解原因。 …

    行业资讯 2024年5月15日
    0
  • dip付费的意义,dip实际付费

    近两年,医保支付方式按照国家要求,全面开始实行医保付费方式改革,各地纷纷推出了DIP付费或者DRG付费,今天我简单说一下什么是DIP付费。 DIP付费其实很简

    行业资讯 2024年5月31日
    0
  • 如何利用云服务器进行网站建设和推广?

    云服务器,这个看似神秘的词汇,却是当今网站建设和推广领域不可或缺的重要工具。它拥有着令人惊叹的优势和广泛的适用场景,让网站建设和推广变得更加高效、灵活。但是,对于很多人来说,云服务…

    行业资讯 2024年3月20日
    0

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注