802.1x協議起源於802.11協議,後者是IEEE的無線局域網協議, 制訂802.1x協議的初衷是爲了解決無線局域網用戶的接入認證問題。IEEE802LAN協議定義的局域網並不提供接入認證,只要用戶能接入局域網控制
設備 (如LANS witch)就可以訪問局域網中的設備或資源。這在早期企業網有線LAN應用環境下並不存在明顯的安全隱患。但是隨着移動辦公及駐地網運營等應用的大規模發展,服務提供者需要對用戶的接入進行控制和配置。尤其是WLAN的應用和LAN接入在電信網上大規模開展,有必 要對端口加以控制以實現用戶級的接入控制,802.lx就是IEEE爲了解決基於端口的接入控制 (Port-Based Network Access Contro1) 而定義的一個標準。
基本原理
IEEE 802.1X是根據用戶ID或設備,對網絡客戶端(或端口)進行鑑權的標準。該流程被稱爲“端口級別的鑑權”。它採用RADIUS(遠程認證撥號用戶服務)方法,並將其劃分爲三個不同小組:請求方、認證方和授權服務器。
802.1X 標準應用於試圖連接到端口或其它設備(如Cisco Catalyst交換機或Cisco Aironet系列接入點)(認證方)的終端設備和用戶(請求方)。認證和授權都通過鑑權服務器(如Cisco Secure ACS)後端通信實現。IEEE 802.1X提供自動用戶身份識別,集中進行鑑權、密鑰管理和LAN連接配置。 整個802.1x 的實現設計三個部分,請求者系統、認證系統和認證服務器系統。
請求者系統
請求者是位於局域網鏈路一端的實體,由連接到該鏈路另一端的認證系統對其進行認證。請求者通常是支持802.1x認證的用戶終端設備,用戶通過啓動客戶端軟件發起802.1x認證,後文的認證請求者和客戶端二者表達相同含義。
認證系統
認證系統對連接到鏈路對端的認證請求者進行認證。認證系統通常爲支持802. 1x協議的網絡設備,它爲請求者提供服務端口,該端口可以是物理端口也可以 是邏輯端口,一般在用戶接入設備 (如LAN Switch和AP) 上實現802.1x認證。倎文的認證系統、認證點和接入設備三者表達相同含義。
認證服務器系統
認證服務器是爲認證系統提供認證服務的實體,建議使用RADIUS服務器來實現認證服務器的認證和授權功能。
請求者和認證系統之間運行802.1x定義的EAPO (Extensible Authentication Protocolover LAN)協議。當認證系統工作於中繼方式時,認證系統與認證服務器之間也運行EAP協議,EAP幀中封裝認證數據,將該協議承載在其它高層次協議中(如 RADIUS),以便穿越複雜的網絡到達認證服務器;當認證系統工作於終結方式時,認證系統終結EAPoL消息,並轉換爲其它認證協議(如 RADIUS),傳遞用戶認證信息給認證服務器系統。
認證系統每個物理端口內部包含有受控端口和非受控端口。非受控端口始終處於雙向連通狀態,主要用來傳遞EAPoL協議幀,可隨時保證接收認證請求者發出的EAPoL認證報文;受控端口只有在認證通過的狀態下才打開,用於傳遞網絡資源和服務。
認證過程
(1) 客戶端向接入設備發送一個EAPoL-Start報文,開始802.1x認證接入;
(2) 接入設備向客戶端發送EAP-Request/Identity報文,要求客戶端將用戶名送上來;
(3) 客戶端迴應一個EAP-Response/Identity給接入設備的請求,其中包括用戶名;
(4) 接入設備將EAP-Response/Identity報文封裝到RADIUS Access-Request報文中,發送給認證服務器;
(5) 認證服務器產生一個Challenge,通過接入設備將RADIUS Access-Challenge報文發送給客戶端,其中包含有EAP-Request/MD5-Challenge;
(6) 接入設備通過EAP-Request/MD5-Challenge發送給客戶端,要求客戶端進行認證
(7) 客戶端收到EAP-Request/MD5-Challenge報文後,將密碼和Challenge做MD5算法後的Challenged-Pass-word,在EAP-Response/MD5-Challenge迴應給接入設備
(8) 接入設備將Challenge,Challenged Password和用戶名一起送到RADIUS服務器,由RADIUS服務器進行認證
(9)RADIUS服務器根據用戶信息,做MD5算法,判斷用戶是否合法,然後迴應認證成功/失敗報文到接入設備。如果成功,攜帶協商參數,以及用戶的相關業務屬性給用戶授權。如果認證失敗,則流程到此結束;
(10) 如果認證通過,用戶通過標準的DHCP協議 (可以是DHCP Relay) ,通過接入設備獲取規劃的IP地址;
(11) 如果認證通過,接入設備發起計費開始請求給RADIUS用戶認證服務器;
(12)RADIUS用戶認證服務器迴應計費開始請求報文。用戶上線完畢。
