浅析802.1x认证技术

2001年，IEEE 802.1x LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1x协议，并在2004年完成该协议标准化。因具有普适性，在以太网中被广泛应用，主要用于解决以太网用户安全接入认证问题。

802.1x是一种基于端口的网络接入控制协议（Port-Based Network Access Control Protocol），未经授权的用户终端接入网络设备端口，如果认证通过，将获得权限访问网络中的资源；如果不能通过认证，则无法访问。

802.1x认证系统是基于Client/Server架构，包括3个实体，如下图：

认证客户端：用户侧网络实体，用于接入网络访问资源，一般为用户终端设备，用户可以通过启动客户端软件发起802.1x认证。客户端必须支持EAPoL（Extensible Authentication Protocol over LAN，局域网上的可扩展认证协议）。

认证设备：网络侧网络实体，用于连接和认证用户客户端，通常为支持802.1x协议的网络设备，为客户端提供接入局域网的端口，该端口可以是物理端口（有线网），也可以是逻辑端口（无线网）。

认证设备为认证客户端提供接入局域网的端口，这个端口被划分为两个逻辑端口：受控端口和非受控端口。认证设备对认证客户端执行认证，并根据认证结果（Accept或Reject）对受控端口的授权或非授权状态进行相应的控制。

认证服务器：提供认证服务的网络实体，用于实现对认证客户端进行认证、授权和计费，通常为RADIUS服务器或TACACS服务器。

认证客户端与认证设备之间的认证触发方式分为两种：

① 认证客户端主动触发：主动向认证设备发送报文来触发认证。

② 认证设备主动触发：定时向认证客户端发送报文来触发认证。

802.1x认证系统使用EAP（Extensible Authentication Protocol，可扩展认证协议），用来实现认证客户端、认证设备和认证服务器之间认证信息的交互。

客户端与认证设备之间：为了安全考虑，不能直接在局域网环境中传输，而是将EAP协议报文封装成EAPoL格式后进行传输。

认证设备与认证服务器之间：认证设备使用EAP中继方式或EAP终结方式来交换认证信息。

802.1x认证过程分为EAP中继方式和EAP终结方式两种：

① 发送用户名信息

用户访问网络时，启动802.1x客户端功能，输入已经申请注册过的用户名和密码，认证客户端将用户名信息发送给认证设备，认证设备封装后转发送给认证服务器。

② 发送密码信息

认证服务器将用户名与数据库对比后，找到该用户对应的密码信息，生成随机加密字经认证设备转发给认证客户端。客户端用加密字处理过的密码通过认证设备传给认证服务器。

③ 认证通过

认证服务器收到已加密的密码信息经过处理后与本地密码对比，二者相同，该用户合法，通知认证设备。认证设备收到通过的消息后将接入端口改为授权状态，允许用户访问网络资源。认证设备通过向认证客户端定期发送握手报文的手段，监测用户在线情况。

④ 被动下线

认证设备监测用户是否在线，如果未得到认证客户端应答，认证设备将用户强制下线，防止认证设备对用户异常下线无感知。

⑤ 主动下线

认证客户端准备下线时，发送报文告知认证设备，主动要求下线。认证设备端口状态从授权变更为非授权状态，同时发送报文告知客户端下线。

与EAP中继方式相比，唯一区别就是随机加密字由认证设备生成，认证设备会把用户名、加密字和认证客户端加密后的密码信息一起发送给认证服务器，认证服务器再进行相关认证处理。

在一些企业中，任何用户终端能够通过无线SSID或连接网线的方式自动获得IP，在自动弹出的Web/Portal页面上输入自己的用户名密码，接入到企业办公网络，无差别访问网络资源。

企业IT管理者要求将所有接入的终端资产进行纳管和区分，需求如下：

? 终端资产：区分企业配发的终端、个人自备终端

? 账号：外部访客通过自助获取，企业用户通过提前申请获取

? 访问权限：不同部门、不同类型的用户对应不同VLAN、能获取对应的网段IP、带宽资源及访问权限

? 审计：能对所有用户登录日志进行审计

在认证设备即接入交换机上配置802.1x认证、认证策略、认证域、接口dot1x等相关内容，结合第三方认证系统配置相关策略，如同步组织架构、下发VLAN、下发ACL等，实现上述功能需求。

企业终端，例如办公笔记本电脑，安装了第三方802.1x客户端软件。如下图：

个人终端，例如个人笔记本电脑、手机等，可使用系统自带的802.1x软件申请接入。如下图：

作者：王小瑾

排版设计：王蔚棋

手绘插画：岳   媛