802.1X協議是IEEE802 LAN/WAN委員會爲了解決無線局域網網絡安全問題提出的。後來該協議作爲局域網端口的一個普通接入控制機制應用於以太網中,主要用於解決以太網內認證和安全方面的問題,在局域網接入設備的端口這一級對所接入的設備進行認證和控制。
802.1X 體系結構
802.1X的系統是採用典型的Client/Server體系結構,包括三個實體,如圖所示。
1) 客戶端:局域網中的一個實體,多爲普通計算機,用戶通過客戶端軟件發起802.1X認證,並由設備端對其進行認證。客戶端軟件必須爲支持802.1X認證的用戶終端設備。
2) 設備端:通常爲支持802.1X協議的網絡設備,如本交換機,爲客戶端提供接入局域網的物理/邏輯端口,並對客戶端進行認證。
3) 認證服務器:爲設備端提供認證服務的實體,例如可以使用RADIUS服務器來實現認證服務器的認證和授權功能。該服務器可以存儲客戶端的相關信息,並實現對客戶端的認證和授權。爲了保證認證系統的穩定,可以爲網絡設置一個備份認證服務器。當主認證服務器出現故障時,備份認證服務器可以接替認證服務器的工作,保證認證系統的穩定。
802.1X 認證工作機制
IEEE 802.1X認證系統使用EAP(Extensible Authentication Protocol,可擴展認證協議)來實現客戶端、設備端和認證服務器之間認證信息的交換。
1) 在客戶端與設備端之間,EAP協議報文使用EAPOL封裝格式,直接承載於LAN環境中。
2) 在設備端與RADIUS服務器之間,可以使用兩種方式來交換信息。一種是EAP協議報文使用EAPOR(EAP over RADIUS)封裝格式承載於RADIUS協議中;另一種是設備端終結EAP協議報文,採用包含PAP(Password Authentication Protocol,密碼驗證協議)或CHAP(Challenge Handshake Authentication Protocal,質詢握手驗證協議)屬性的報文與RADIUS服務器進行認證。
3) 當用戶通過認證後,認證服務器會把用戶的相關信息傳遞給設備端,設備端根據RADIUS服務器的指示(Accept或Reject)決定受控端口的授權/非授權狀態。
802.1X 認證過程
認證過程可以由客戶端主動發起,也可以由設備端發起。一方面當設備端探測到有未經過認證的用戶使用網絡時,就會主動向客戶端發送EAP-Request/Identity報文,發起認證;另一方面客戶端可以通過客戶端軟件向設備端發送EAPOL-Start報文,發起認證。
802.1X系統支持EAP中繼方式和EAP終結方式與遠端RADIUS服務器交互完成認證。以下關於兩種認證方式的過程描述,都以客戶端主動發起認證爲例。
1. EAP中繼方式
EAP中繼方式是IEEE 802.1X標準規定的,將EAP(擴展認證協議)承載在其它高層協議中,如EAP over RADIUS,以便擴展認證協議報文穿越複雜的網絡到達認證服務器。一般來說,EAP中繼方式需要RADIUS服務器支持EAP屬性:EAP-Message和Message-Authenticator。本交換機支持的EAP中繼方式是EAP-MD5,EAP-MD5認證過程如圖所示。
1) 當用戶有訪問網絡需求時打開802.1X客戶端程序,輸入已經申請、登記過的用戶名和密碼,發起連接請求(EAPOL-Start報文)。此時,客戶端程序將發出請求認證的報文給設備端,開始啓動一次認證過程。
2) 設備端收到請求認證的數據幀後,將發出一個請求幀(EAP-Request/Identity報文)要求用戶的客戶端程序發送輸入的用戶名。
3) 客戶端程序響應設備端發出的請求, 將用戶名信息通過數據幀(EAP-Response/Identity報文)發送給設備端。設備端將客戶端發送的數據幀經過封包處理後(RADIUS Access-Request報文)送給認證服務器進行處理。
4) RADIUS服務器收到設備端轉發的用戶名信息後,將該信息與數據庫中的用戶名錶對比,找到該用戶名對應的密碼信息,用隨機生成的一個加密字對它進行加密處理,同時也將此加密字通過RADIUS Access-Challenge報文發送給設備端,由設備端轉發給客戶端程序。
5) 客戶端程序收到由設備端傳來的加密字(EAP-Request/MD5 Challenge報文)後,用該加密字對密碼部分進行加密處理(此種加密算法通常是不可逆的,生成EAP-Response/MD5 Challenge報文),並通過設備端傳給認證服務器。
6) RADIUS服務器將收到的已加密的密碼信息(RADIUS Access-Request報文)和本地經過加密運算後的密碼信息進行對比,如果相同,則認爲該用戶爲合法用戶,反饋認證通過的消息(RADIUS Access-Accept報文和EAP-Success報文)。
7) 設備收到認證通過消息後將端口改爲授權狀態,允許用戶通過端口訪問網絡。在此期間,設備端會通過向客戶端定期發送握手報文的方法,對用戶的在線情況進行監測。缺省情況下,兩次握手請求報文都得不到客戶端應答,設備端就會讓用戶下線,防止用戶因爲異常原因下線而設備無法感知。
8) 客戶端也可以發送EAPOL-Logoff報文給設備端,主動要求下線,設備端把端口狀態從授權狀態改變成未授權狀態。
1. EAP終結方式
EAP終結方式將EAP報文在設備端終結並映射到RADIUS報文中,利用標準RADIUS協議完成認證、授權和計費。設備端與RADIUS服務器之間可以採用PAP或者CHAP認證方法。本交換機支持的EAP終結方式是PAP,PAP認證過程如圖所示。
在PAP模式中,交換機對用戶口令信息進行加密,然後把用戶名、隨機加密字和客戶端加密後的口令信息一起轉發給認證服務器進行相關的認證處理;而在EAP-MD5模式中,隨機加密字由認證服務器產生,交換機只負責把認證信息報文封裝後轉發。
802.1X 定時器
802.1X認證過程中會啓動多個定時器以控制接入用戶、設備以及RADIUS服務器之間進行合理、有序的交互。本交換機中的802.1X定時器主要有以下三種:
1) 客戶端認證超時定時器 :當交換機向客戶端發送報文後,交換機啓動此定時器,若在該定時器設置的時長內,交換機沒有收到客戶端的響應,交換機將重發該報文。
2) 認證服務器超時定時器 :當交換機向認證服務器發送報文後,交換機啓動此定時器,若在該定時器設置的時長內,交換機沒有收到認證服務器的響應,交換機將重發認證請求報文。
3) 靜默定時器 :對用戶認證失敗以後,交換機需要靜默一段時間(該時間由靜默定時器設置),在靜默期間,交換機不再處理該用戶的認證請求。