淺談８０２．１Ｘ認證在校園網(wǎng)中的應用

高　輝

[摘 要]在這個信息化時代,寬帶網(wǎng)接入以及無線網(wǎng)絡逐漸成為網(wǎng)絡技術的熱點。但是在接入認證方面,被廣泛運用的PPPoE認證有其自身的缺陷。IEEE802.1委員會提出的802.1X協(xié)議,用于基于以太網(wǎng)交換機,可以對用戶進行認證、授權,從而提供了一種更實用、更安全的用戶管理方式。

802.lX 協(xié)議提供了一套對接入到網(wǎng)絡的設備進行認證、授權的機制,認證所使用的EAP0L(EAP encapsulation over LAN)幀承載于以太報文之上,很容易應用于以太網(wǎng)環(huán)境。因此將802.1X應用于交換機,通過交換機對局域網(wǎng)用戶進行管理是一種常見的用戶管理策略。同時,802.1X也是交換機安全策略的一部分,可以有效防止非法用戶訪問沒有授權的資源。

本文提出了將802.1X集成到現(xiàn)有的內(nèi)網(wǎng)管理系統(tǒng)中的設計方案,將802.1X的基于端口的控制擴展為基于用戶的控制,實現(xiàn)內(nèi)網(wǎng)管理系統(tǒng)對802.1X的檢測,對局域網(wǎng)內(nèi)用戶接入認證、訪問授權、安全鑒別等服務,使內(nèi)網(wǎng)管理系統(tǒng)具有更強的終端安全管理的功能。

[關鍵詞]802.lX;PPPoE;IEEE802.1;端口接入訪問控制協(xié)議;EAP0L

一、802.1X協(xié)議的原理體系結構

1.IEEE802.1X源于IEEE802.11無線以太網(wǎng)(EAPOW),它是一種位于第2層的端口接入訪問控制協(xié)議(Port based network access control protocol)。這里的端口可以是一個物理端口,也可以是1個邏輯端口(如VLAN)。對于無線局域網(wǎng)來說1個接口就是1個信道。802.1x實際上是一個傳輸機制,對基于IEEE802.x技術的網(wǎng)絡(包括局域網(wǎng)和無線局域網(wǎng))提供標準化的認證服務,而真正的認證過程發(fā)生在802.lx的上層協(xié)議EAP(Extensible Authentication Protoco),即可擴展的認證協(xié)議。該協(xié)議最初是作為PPP的擴展而創(chuàng)建,用以開發(fā)新的網(wǎng)絡訪問身份驗證方法。

2.802.lX協(xié)議的體系結構由3部分成客戶端(suPPlicant)、認證系統(tǒng)(authenticator)和認證服務器 (authentication server)。

(1) 客戶端。 (suPPlicant)客戶端通 常是指支持802,1X認證的用戶終端設備,它通過啟動802.1X客戶端軟件發(fā)起802.1X認證,以請求訪問受控的網(wǎng)絡資源。

(2)認證系統(tǒng)。(authenticator)認證系統(tǒng)通常為支持802.1X協(xié)議的網(wǎng)絡設備,它為請求者提供服務端口,該端口可以是物理端口也可以是邏輯端口。一般在用戶接入設備(如LAN switch 和AP)上實現(xiàn)802.IX認證。認證 系 統(tǒng) 根據(jù)不同因素(包括物理因素、MAC等)形成邏輯通道,包括“受控端口”和“非受控端口”?！胺鞘芸囟丝凇笔冀K處于雙向連通狀態(tài),用于傳送認證信息(EAPOL協(xié)議幀,可隨時保證接收請求者發(fā)出的EAPOL認證報文);“受控端口”只有在認證通過的狀態(tài)下才打開,用于傳遞網(wǎng)絡資源和服務。

(3)認證服務器。(authentication server)認證服務器接收來自請求者的認證請求,根據(jù)存儲在數(shù)據(jù)庫中的用戶認證信息(包括用戶名、密碼、ACL等)來驗證用戶是否合法。若認證通過,將上述信息轉至認證系統(tǒng),由認證系統(tǒng)動態(tài)構建ACL,對用戶訪問進行管理,一般采用RADIUS服務器來實現(xiàn)802.lX認證和授權功能。

802.lX 實 際的認證過程在請求者和認證服務器之間發(fā)生,而位于中間位置的認證者工作于中繼方式,它只負責在請求者和認證服務器之間轉發(fā)認證信息。802.lX采用可擴展驗證協(xié)議(extensible authentication Protocol,EAP)來封裝傳輸于請求者和認證服務器之間的認證信息,但EAP幀在請求者和認證者之間被EAPOL(extensible authentication protocol over LAN)協(xié)議承載,而在認證者和認證服務器之間被其他高層次協(xié)議(如RADIUS)承載,以便穿越復雜的網(wǎng)絡到達認證服務器。

二、認證流程

EAP協(xié)議具有可擴展性,802.1X認證系統(tǒng)支持多種認證算法,如EAP-MDS,EAP-TLS,EAP-SIM,EAP-TTLS以及EAP一AKA等。

為了保護用戶在以太網(wǎng)中傳送單播和廣播信息包不被位于同一物理網(wǎng)段內(nèi)的其他用戶偵聽,可以把每個用戶限制在一個交換機端口內(nèi),這樣就從物理上隔絕了每個用戶的信息包,實現(xiàn)了用戶數(shù)據(jù)的保密性。為了對用戶的進行認證和授權,采用802.1X協(xié) 議與Radius服務器對用戶進行認證,授權和計費。

整個系統(tǒng)由邊緣交換機、中心交換機、Radius服務器、用戶PC機等部分組成,另外還有網(wǎng)管工作站、VOD服務器、文件服務器和路由器等設備來維持網(wǎng)絡的正常運營。邊緣交換機位于網(wǎng)絡的邊緣,用戶直接與邊緣交換機的端口相連,這些端口全部配置為802.1X認證管理,這些端口在初始化時處于阻塞狀態(tài),除了802.1X 的控制協(xié)議報文,所有其他的信息報在端口出口處都將被丟棄。下面細描述一下用戶的認證過程:

(1) 當用戶有上網(wǎng)需求時打開802.1X客戶端程序,輸入用戶名和口令,發(fā)起連接請求,此時,客戶端程序將請求認證的報文〔EAPOL-start)發(fā)給交換機,開始啟動一次認證過程。

(2)交換機收到請求認證的數(shù)據(jù)后,將發(fā)出一個請求技(EAP-Request/Id)要求用戶的客戶端程序將輸入的用戶名送上來。

(3) 客戶端程序響應交換機發(fā)出的請求,將用戶名信息通過數(shù)據(jù)恢(EAP-Response/Id))給交換機。交換機將客戶端送上來的數(shù)據(jù)經(jīng)過封包(Radius-Access-Request)處理后送給Radius服務器進行處理。

(4) Radius服務器收到交換機轉發(fā)上來的用戶名信息后,將該信息與數(shù)據(jù)庫中的用戶名表相比對,找到該用戶名的口令信息,用隨機生成的一個加密字

對它進行加密處理,同時也將此加密字Radius-Access-Challcngc)傳送給交換機,由交換機傳給客戶端程序;

(5)客戶端程序收到由交換機傳來的加密字后,用該加密字對口令部分進行加密處理(此種加密算法通常是不可逆的)并把結果(EAP-Respnnse)通過交換機傳給認證服務器。

(6) 認證服務器將送上來的加密后的口令信息和其自己經(jīng)過加密運算后的口令信息進行對比,如果相同,則認為該用戶為合法用戶,反饋認證通過的消息(Radius-Access-Accept),并向交換機發(fā)出打開端口的指令,允許用戶的業(yè)務流通過端口訪問網(wǎng)絡。否則,反鎖認證失敗的消息 ,并保持交換機端口的關閉狀態(tài),只允許認證信息數(shù)據(jù)通過而不允許業(yè)務數(shù)據(jù)通過。

(7)當用戶要求下線或者是用戶系統(tǒng)關機等需要斷開網(wǎng)絡連接時,請求方發(fā)送一個斷網(wǎng)請求(EAP-Logof)給認證方,然后認證方立即把端口設為非受控狀態(tài)(Uncontrolled Port),從而斷開連接。另外802A X還支持計費功能,當端口打開后,認證方發(fā)送一個Accounting-Start消息給Radius服務器;端口關閉時,認證方發(fā)送一個Accounting-Stop消息給Radius服務器,這樣,運營商就可以生成賬單,向用戶收費了。

(8)驗證設備通過定期的檢測保證鏈路的激活。如果用戶異常死機,則驗證設備在發(fā)起多次檢測后,自動認為用戶已經(jīng)下線,于是向認證服務器發(fā)送終止計費的信息。

三、802.1X協(xié)議與其他管理方案的分析和比較

與P PPPOE和DHCP+Web方式相比,802.IX 認證方式是一種完全不同的認證和訪問控制技術。

(1)計費的準確性:對于PPPOE方式和802.1X 方式,在用戶認證通過后,由寬帶接入服務器BAS或是認證方向Radius服務器發(fā)送計費開始包,在用戶下線后向Radius服務器發(fā)送計費結束包。計費系統(tǒng)便可根據(jù)計費起始包、結束包進行按時、按流量進行實時計費。這種方式,計費數(shù)據(jù)很準確。對于DHCP+Web方式,用戶認證通過后,由接入服務器向Radius服務器發(fā)送計費開始包,當用戶需要下線時,需要通過點擊Web頁面掛斷按鈕,觸發(fā)寬帶接入服務器向Radius服務器發(fā)送計費結束包。這種在正常情況下,計費數(shù)據(jù)較準確。但如果用戶是異常下線,接入服務器需要根據(jù)用戶的最大空閑時間來判斷用戶是否下線,這時可能會使最后的計費結束包的時間比用戶實際的下線時間要多出一段時間,從而造成計費數(shù)據(jù)的不準確。

(2)可管理性:對于PPPoE方式,寬帶接入服務器與Radius服務器配合,可以進行一定程度的服務質(zhì)量控制,能夠實現(xiàn)限速和QOS等功能。對于DHCP+Web方式,當采用旁路方式的網(wǎng)絡架構時,不能對用戶進行類似帶寬管理等管理手段。如果是直路的網(wǎng)絡架構,可以根據(jù)用戶的不詞,對帶寬進行不同等級的限速控制。802.1X方 式是直路式控制,可以在交換機上實現(xiàn)流量控制,另外,802.IX 還能對用戶實現(xiàn)遠程喚醒和遠程控制等功能。

(3)功能特點:采用PPPOE方式時寬帶接入服務器要頻繁地進行解包操作,當用戶接入請求多時很可能會成為網(wǎng)絡的瓶頸。對于DHCP千Web,如果是網(wǎng)絡旁路的架構,不會影響到網(wǎng)絡的性能。如果是直路的架構,則有可能會成為網(wǎng)絡的瓶頸。802.IX 在交換機中實現(xiàn)網(wǎng)絡控制,認證在2層進行,協(xié)議開銷很小,不會對網(wǎng)絡性能造成影響。綜上所述,基于PPPoE的認證方式,可管理性強,計費準確,代價就是PPPoE本身限制了網(wǎng)絡環(huán)境以及組播業(yè)務的開展。而DHCP+Web方式的認證,對網(wǎng)絡環(huán)境不會造成任何影響,但在整個網(wǎng)絡的用戶可管理性、異常情況下計費準確度等方面都存在一定問題。而802.1X方式由于是采用的源于以太網(wǎng)的技術,故能比較好地實現(xiàn)用戶管理功能。

實施認證計費系統(tǒng)包括建立安全認證計費管理系統(tǒng)和在支持802.1x協(xié)議的匯聚或接入交換機啟用認證支持。

(1)安全認證計費管理系統(tǒng)

通過購置硬件服務器和相關軟件,建立安全認證計費管理系統(tǒng),這是整個認證計費系統(tǒng)的后臺支持服務.在各個校區(qū)安裝安全認證計費管理系統(tǒng)平臺,系統(tǒng)進行互為實時備份,支持必要的跨校區(qū)用戶漫游。兩個校區(qū)分別安裝安全認證系統(tǒng),實現(xiàn)分布式認證,如圖所示。認證計費系統(tǒng)要有合理的備份機制和數(shù) 據(jù)同步機制;要求該系統(tǒng)做到分布式認證,并實施統(tǒng)一集中管理,策略統(tǒng)一下發(fā);實現(xiàn)用戶有效控制;支持跨校區(qū)用戶漫游。

(2)安全認證交換機

在不改變現(xiàn)有校園網(wǎng)拓撲結構的情況下,安裝必要的支持802.1x協(xié)議的接入交換機,或在樓宇匯聚交換機啟用802.1x協(xié)議,做到分布式接入控制,實現(xiàn)用戶有效控制。

認證實施過程應盡量平滑過渡,安裝、更換樓宇匯聚、接入交換機,逐一啟用認證。在部分學生宿舍未安裝新接人交換機的區(qū)域,可考慮安裝安全認證接人交換機,在接入層啟用安全接入控制,實施網(wǎng)絡拓撲圖;校園網(wǎng)內(nèi)有一部分區(qū)域,已分別安裝了接入交換設備,對于這一區(qū)域,只需在樓宇匯聚更換數(shù)量不多的新交換機,在樓宇匯聚啟用安全接入控制,實施網(wǎng)絡拓撲圖。這樣,即可以保護學校的現(xiàn)有投資,使可用的設備在后續(xù)的使用中繼續(xù)發(fā)揮作用,不會被盲目淘汰。根據(jù)學校的發(fā)展規(guī)模、資金情況來進一步完善學校的網(wǎng)絡建設,最終使整個學校的網(wǎng)絡不斷完善、成熟。在教師住宅區(qū)、教學辦公區(qū)實施認證系統(tǒng)后,逐步在學生宿舍區(qū)實施認證。

結束語

隨著我國信息化建設的不斷推進和深人,在網(wǎng)絡邊緣實施接入控制的重要性日益凸現(xiàn),IEEE802.1x因其良好的擴展性、認證的邊緣化、分布化和對用戶管理的集中化等諸多優(yōu)點,較好地解決了這方面的問題。因此可以預見,基于802.1x的接人訪問控制方法將會是今后發(fā)展的一個重要方向。

參考文獻 :

[1] IEEEStd 802.1x-2001,I E E E StandardforLocaland metropolitan area networks-Port-Based NetworkAccess Control.

[2] R F C 3748,Extensible AuthenticationProtocol(EAP),June 2004.

[3] 華為itzero. 3Com 802.1x技術白皮書[EB/OL].http://w w w. c o m /Article/Hardware_Area/Doc_hw_3com/200409/1875.html.

[4] 802. 1x協(xié)議及其在寬帶接人中的應用[EB/OL].http://www.net130.com/ 2004/6-6/222941.html.

[5] 802.lx 認證技術分析及其應用建議[EB/OL].http://www.cww.net.cn/technique/Article.asp?id=16208.

(編輯/穆楊)