文章出處

802.1x協議起源于802.11協議,后者是IEEE的無線局域網協議, 制訂802.1x協議的初衷是為了解決無線局域網用戶的接入認證問題。IEEE802LAN協議定義的局域網并不提供接入認證,只要用戶能接入局域網控制 設備 (如LANS witch) ,就可以訪問局域網中的設備或資源。這在早期企業網有線LAN應用環境下并不存在明顯的安全隱患。但是隨著移動辦公及駐地網運營等應用的大規模發展,服務提供者需要對用戶的接入進行控制和配置。尤其是WLAN的應用和LAN接入在電信網上大規模開展,有必 要對端口加以控制以實現用戶級的接入控制,802.lx就是IEEE為了解決基于端口的接入控制 (Port-Based Network Access Contro1) 而定義的一個標準。
  IEEE 802.1X是根據用戶ID或設備,對網絡客戶端(或端口)進行鑒權的標準。該流程被稱為“端口級別的鑒權”。它采用RADIUS(遠程認證撥號用戶服務)方法,并將其劃分為三個不同小組:請求方、認證方和授權服務器。
  820.1X 標準應用于試圖連接到端口或其它設備(如Cisco Catalyst交換機或Cisco Aironet系列接入點)(認證方)的終端設備和用戶(請求方)。認證和授權都通過鑒權服務器(如Cisco Secure ACS)后端通信實現。IEEE 802.1X提供自動用戶身份識別,集中進行鑒權、密鑰管理和LAN連接配置。 整個802.1x 的實現設計三個部分,請求者系統、認證系統和認證服務器系統。
一下分別介紹三者的具體內容:
請求者系統

  請求者是位于局域網鏈路一端的實體,由連接到該鏈路另一端的認證系統對其進行認證。請求者通常是支持802.1x認證的用戶終端設備,用戶通過啟動客戶端軟件發起802.1x認證,后文的認證請求者和客戶端二者表達相同含義。

  認證系統

  認證系統對連接到鏈路對端的認證請求者進行認證。認證系統通常為支持802. 1x協議的網絡設備,它為請求者提供服務端口,該端口可以是物理端口也可以 是邏輯端口,一般在用戶接入設備 (如LAN Switch和AP) 上實現802.1x認證。倎文的認證系統、認證點和接入設備三者表達相同含義。

  認證服務器系統

  認證服務器是為認證系統提供認證服務的實體,建議使用RADIUS服務器來實現認證服務器的認證和授權功能。

  請求者和認證系統之間運行802.1x定義的EAPO (Extensible Authentication Protocolover LAN)協議。當認證系統工作于中繼方式時,認證系統與認證服務器之間也運行EAP協議,EAP幀中封裝認證數據,將該協議承載在其它高層次協議中(如 RADIUS),以便穿越復雜的網絡到達認證服務器;當認證系統工作于終結方式時,認證系統終結EAPoL消息,并轉換為其它認證協議(如 RADIUS),傳遞用戶認證信息給認證服務器系統。

  認證系統每個物理端口內部包含有受控端口和非受控端口。非受控端口始終處于雙向連通狀態,主要用來傳遞EAPoL協議幀,可隨時保證接收認證請求者發出的EAPoL認證報文;受控端口只有在認證通過的狀態下才打開,用于傳遞網絡資源和服務。

  整個802.1x的認證過程可以描述如下

  (1) 客戶端向接入設備發送一個EAPoL-Start報文,開始802.1x認證接入;

  (2) 接入設備向客戶端發送EAP-Request/Identity報文,要求客戶端將用戶名送上來;

  (3) 客戶端回應一個EAP-Response/Identity給接入設備的請求,其中包括用戶名;

  (4) 接入設備將EAP-Response/Identity報文封裝到RADIUS Access-Request報文中,發送給認證服務器;

  (5) 認證服務器產生一個Challenge,通過接入設備將RADIUS Access-Challenge報文發送給客戶端,其中包含有EAP-Request/MD5-Challenge;

  (6) 接入設備通過EAP-Request/MD5-Challenge發送給客戶端,要求客戶端進行認證

  (7) 客戶端收到EAP-Request/MD5-Challenge報文后,將密碼和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回應給接入設備

  (8) 接入設備將Challenge,Challenged Password和用戶名一起送到RADIUS服務器,由RADIUS服務器進行認證

  (9)RADIUS服務器根據用戶信息,做MD5算法,判斷用戶是否合法,然后回應認證成功/失敗報文到接入設備。如果成功,攜帶協商參數,以及用戶的相關業務屬性給用戶授權。如果認證失敗,則流程到此結束;

  (10) 如果認證通過,用戶通過標準的DHCP協議 (可以是DHCP Relay) ,通過接入設備獲取規劃的IP地址;

  (11) 如果認證通過,接入設備發起計費開始請求給RADIUS用戶認證服務器;

  (12)RADIUS用戶認證服務器回應計費開始請求報文。用戶上線完畢。
歡迎轉載:http://www.kanwencang.com/bangong/20161104/41297.html

文章列表


不含病毒。www.avast.com
arrow
arrow
    全站熱搜
    創作者介紹
    創作者 大師兄 的頭像
    大師兄

    IT工程師數位筆記本

    大師兄 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄