1 背景
以太網的高性價比和媒體的特性使其逐漸成爲家庭、企業局域網、電信級城域網的主導接入技術,而且隨着10 Gbit/s以太網技術的出現,以太網技術在廣域網範圍內也將獲得一席之地,電信運營商和寬帶接入提供商開始提供基於以太或純以太的接入業務。對於以太網絡中多數業務來說,運營商無法從物理上完全控制客戶端設備或者媒介。運營商要實現對寬帶業務的可運營、可管理,就必須從邏輯上對用戶或者用戶設備進行控制。該控制過程主要通過對用戶和用戶設備的認證和授權來實施。一般來說,需要進行認證和授權的業務種類包括:
(1)提供給多用戶系統的以太城域網業務。這些業務包括典型的TLS業務、L2或者L3的VPN業務。在該業務組網環境中,客戶前端交換機由同一建築物內的多個用戶共享。
(2)在以IEEE 802.11a和IEEE 802.1b提供無線以太接入的熱點地區(如機場、商場、學校和餐廳等),需要基於每個用戶設備或者用戶進行接入認證.以防止非授權用戶接入。
(3)基於ATM RFC 1483的DSL業務和IP以太接入網。
(4)基於EFM(Ethernet in the First Mile,IEEE 802.3ah)EPON接入和EoVDSL等業務。
(5)基於以太的cahle的共享RF信道接入方式。
2 IEEE 802.1x協議技術分析
IEEE在2001正式頒佈了IEEE 802.1x標準,用於基於以太的局域網、城域網和各種寬帶接入手段的用戶/設備接入認證。這種認證採用基於以太網端口的用戶訪問控制技術,只有網絡系統允許並授權的用戶可以訪問網絡系統的各種業務(如以太網連接、網絡層路由、Internet接入等業務),既可以克服PPPoE方式的諸多問題,又避免了引入集中式寬帶接入服務器所帶來的巨大投資。
802.1x協議是基於Client/Server的訪問控制和認證協議。它可以限制未經授權的用戶/設備通過接入端口訪問LAN/MAN。在獲得交換機或LAN提供的各種業務之前,802.1x對連接到交換機端口上的用戶/設備進行認證。在認證通過之前,802.1x只允許EAPoL(基於局域網的擴展認證協議)數據通過設備連接的交換機端口;認證通過以後,正常的數據可以順利地通過以太網端口。
用戶側的以太網交換機上放置一個擴展認證協議(EAP)代理,用戶PC機運行EAPoL(EAP over LAN)的客戶端軟件與交換機通信。網絡訪問技術的核心部分是PAE(端口訪問實體)。在訪問控制流程中,端口訪問實體包括:認證者(對接入的用戶/設備進行認證的端口)、請求者(被認證的用戶/設備)和認證服務器(根據認證者的信息,對請求訪問網絡資源的用戶/設備執行實際認證功能的設備)3部分。
以太網的每個物理端口分爲受控和不受控兩個邏輯端口,物理端口收到的每個幀都被送到受控和不受控端口。對受控端口的訪問,受限於受控端口的授權狀態。認證者的PAE根據認證服務器認證過程的結果,控制“受控端口”的授權/未授權狀態。處在未授權狀態的控制端口,拒絕用戶/設備的訪問。
2.1 802.1x認證特點
基於以太網端口認證的802.1x協議有如下特點:
(1)IEEE 802.1x協議爲二層協議,不需要到達三層,對設備的整體性能要求不高,可以有效降低建網成本。
(2)借用了在RAS系統中常用的EAP(擴展認證協議),可以提供良好的擴展性和適應性,實現對傳統PPP認證架構的兼容。
(3)802 1x的認證體系結構中採用了“可控端口”和“不可控端口”的邏輯功能,從而可以實現業務與認證分離,由RADIUS和交換機利用不可控的邏輯端口共同完成對用戶的認證與控制,業務報文直接承載在正常的二層報文上通過可控端口進行交換,其通過認證後的數據包是無需封裝的純數據包。
(4)可以使用現有的後臺認證系統降低部署的成本,並有豐富的業務支持。
(5)可以映射不同的用戶認證等級到不同的VLAN。
(6)可以使交換端口和無線LAN具有安全的認證接入功能。
2.2 802.1x應用環境
2.2.1 交換式以太網絡環境
隨着以太網技術的不斷演進,局域網和城域網的網絡架構演變爲一種全交換的網絡環境。在交換式以太網絡中,用戶設備一般通過一個專用的5類線和接入以太網交換機的端口直接連接,一般一個用戶設備對應接入以太網交換機一個物理端口。在這種網絡架構中接入以太網交換機的物理端口可以敏銳的覺察到用戶設備的使用情況,並且根據設備和線路的狀況,作出對設備認證狀態的判斷,採取相應的動作。這種網絡結構面臨的最大問題就是“搭載“情況的發生。所謂“搭載”就是指在採用802.1x認證時,如果用戶網絡和接入以太網交換機中間採用了共享設備,那麼只要用戶網絡上的一個設備/用戶通過了接入交換機的認證,開放了端口的網絡訪問權限,那麼該用戶網絡上其他的未認證授權用戶/設備都可以獲得網絡訪問的權限。
對於交換式以太網絡,用戶和網絡之間採用點到點的物理連接,用戶彼此之間通過VLAN隔離,此網絡環境下,網絡管理控制的關鍵是用戶接入控制,802.1x不需要提供過多的安全機制。
2.2.2 共享式網絡環境
當802.1x應用於共享式的網絡環境時,爲了防止在共享式網絡環境中出現類似“搭載”的問題,有必要將PAE實體由物理端口進一步擴展爲多個互相獨立的邏輯端口。邏輯端口和用戶/設備形成一一對應關係,並且各邏輯端口之間的認證過程和結果相互獨立。在共享式網絡中,用戶之間共享接入物理媒介,接入網絡的管理控制必須兼顧用戶接入控制和用戶數據安全,可以採用的安全措施是對EAPoL和用戶的其他數據進行加密封裝。
以無線局域網IEEE 802.1la和802.11b爲例的共享式以太網絡環境中,客戶設備和特定的AP之間需要建立關聯關係,基於客戶設備和AP設備MAC地址,客戶設備和AP之間的關聯還包括一個單播會話鍵。由於客戶設備的MAC地址是惟一的,所以基於客戶設備和AP之間的MAC地址關聯和單播會話鍵是惟一的。該鍵在AP上爲每個無線分區中的終端創立了互相獨立的邏輯端口。邏輯端口建立以後,AP就可以採取802.1x對屬於互相獨立的邏輯端口的用戶終端的認證。EAP-TLS和EAP-TTLS等認證解決方案還可以解決無線局域網中使用靜態WEP所帶來的安全性問題。使用EAP-TLS和EAP-TILLS,用戶可以在每次連接動態生成新的WEP密鑰。而且在用戶連接其間,還可以按照一定間隔動態產生新密鑰。在實際網絡環境中,可以通過加速WEP密鑰重分配週期,彌補WEP靜態分配密鑰導致的安全性缺陷。
2.3 802.1x認證的安全性分析
IEEE 802.1x和PPP一樣採用了EAP協議作爲認證信息交互機制,EAP消息封裝在EAPoL分組中。作爲一種認證消息承載機制,EAP可以允許認證者和請求者之間採用靈活的方案進行認證,並且對將來出現的更先進、合理的認證技術具有很好的兼容性。EAP的這些特性主要通過擴展EAP中廠家定義的“EAP類型”域實現,“EAP類型”域中定義的認證類型可以滿足不同層次認證的安全需要。目前可以採用的EAP類型有EAP-MD5、EAP-TLS、EAP-TFLS、PEAP和LEAP。
EAP-MD5方式是通過RADIUS服務器提供簡單的集中用戶認證。其服務器不需要證書或者無線工作站中的其他安全信息,用戶註冊時該服務器只是檢查用戶名和口令,若匹配就通知允許該客戶端訪問網絡服務。由於EAP-MD5只提供認證,因此爲安全起見,應該與標準802.11安全協議WEP/WEP2組合使用,採用40位/128位共享密鑰實現加密。這是一種單向認證機制,只能保證客戶端到服務器的認證,並不保證服務器到客戶端的認證。
EAP-TLS方式提供了一種基於證書的雙向認證,除了在連接建立時主機和服務器之間分配的會話號(Session ID)之外,它需要通過安全連接在客戶側和服務器側的事先發布的認證證書。EAP-TLS既提供認證,又提供動態會話鑰匙分發。RA-DIUS服務器需要支持EAP-TLS認證和認證證書的管理能力。TLS支持雙向認證,也就是網絡(EAP-TLS服務器)認證終端用戶(Client),終端用戶認證網絡。只有在雙向認證通過以後,服務器才向接入認證點發送EAP-Success消息,指示用戶終端可以收發數據流。這個消息同時觸發對數據流的加密,在加密密鑰建立之前,終端不發送數據。
EAP-TTLS是一種允許傳統基於用戶名和密碼的認證機制方式,類似於CHAP(Challenge Handshake Authentication Protocol)、PAP、一次性密碼(One Time Password)和EAP認證協同工作的認證機制。客戶端使用TTLS服務器提供的數字證書對網絡端進行認證,這個過程是對安全Web服務器方式的模擬。認證隧道一旦建立,就開始對安全終端用戶進行認證。EAP-TTLS可以保證無線接入媒體中終端用戶的一致性,防止匿名用戶非法使用網絡。和EAP-TLS一樣,只有在雙向認證通過以後,服務器才向接入認證點發送EAP-Success消息,指示用戶終端可以收發數據流。這個消息同時觸發對數據流的加密,在加密密鑰建立之前,終端不發送數據。
2.4 802.1x認證的優勢
綜合IEEE 802.1x的技術特點,它具有如下幾點優勢:
(1)簡潔高效。純以太網技術內核保持了IP網絡無連接特性,不需要進行協議間的多層封裝,去除了不必要的開銷和冗餘昂貴的多業務網關設備,消除網絡認證計費瓶頸和單點故障,易於支持多業務和新興流媒體業務。
(2)容易實現。可在普通L3、L2、IP DSLAM上實現,網絡綜合造價成本低,保留了傳統AAA認證的網絡架構,可以利用現有的RADIUS設備。
(3)安全可靠。在二層網絡上實現用戶認證,結合MAC、端口、賬戶、VLAN和密碼等,綁定技術具有很高的安全性。在無線局域網網絡環境中802.1x結合EAP-TLS、EAP-TTLS,可以實現對WEP證書密鑰的動態分配,克服無線局域網接入中的安全漏洞。
(4)行業標準。IEEE標準和以太網標準同源,可以實現和以太網技術的無縫融合,幾乎所有的主流數據設備廠商的設備(包括路由器、交換機和無線AP等)都提供對該協議的支持。客戶端方面,Linux和微軟的Windows XP操作系統都已經支持該協議。
(5)應用靈活。可以靈活控制認證的顆粒度,用於對單個用戶連接、用戶ID或者是對接入設備進行認證,認證的層次可以靈活地進行組合,滿足特定的接入技術或者是業務的需要。
(6)易於運營。控制流和業務流完全分離,易於實現跨平臺多業務運營,少量改造傳統包月制等單一收費制網絡即可升級成運營級網絡,而且網絡的運營成本也有望降低。
3 802.1x在電信級IP寬帶網絡中的應用建議
802.1x認證在電信級寬帶網絡中應用的總體架構如圖2所示。根據前面對802.1x技術特點及技術優勢的分析,筆者認爲電信級網絡中應用802.1x應遵循下列5項原則。
3.1 以WLAN爲應用突破口
802.1x認證技術在電信級寬帶網中的應用宜以(WLAN爲突破口。802.1x技術從一開始就對基於WLAN提供認證的技術進行了大量的研究和探索,WLAN設備大量應用的時間段和802.1x協議標準產生也基本同步,目前多數廠商的WLAN AP設備都可以支持802.1x認證;從技術上考慮,WLAN是一種共享式的以太接入網絡,它所面臨的安全性問題和用戶控制都要比基於有線的以太接入方式難以解決。WLAN作爲寬帶網上的新應用,運營商沒有什麼歷史包袱,在網絡減少和設備選型時不受現有網絡條件的牽制。以上種種原因決定了WLAN是802.1x技術應用的排頭兵。
3.2 認證邊緣化、分佈化
認證邊緣化充分發揮了802.1x基於端口認證的優勢。所謂認證邊緣化是指將認證設備在網絡中的位置設置爲直接與用戶設備/網絡接口,邊緣化的認證設備可以感知、監控認證設備和用戶設備之間鏈路連接狀態,根據鏈路狀態變化,認證設備可以採取相應的策略,主動要求用戶/設備發起認證。對鏈路狀態的感知能力也是運營商進行網絡故障檢測和網絡運行維護工作順利開展的基礎,可以說實現了認證的邊緣化也就解決了寬帶接入網絡中線路維護和故障診斷困難的難題。用戶可以在本地接入網段實現隔離,不需要像集中認證方式那樣,在用戶到接入認證服務器之間的二層網絡都需要進行用戶隔離,減少了交換機運行VLAN的複雜度,也使網絡流量的規劃、管理、控制更加容易。認證邊緣化意味着認證設備的分佈化,可以避免採用集中式的PPPoE認證帶來的網絡性能和網絡可靠性瓶頸。
3.3 用戶管理集中化
雖然802.1x採用分佈式認證,但在用戶管理時建議仍採用集中方式。集中式的用戶管理的範圍包括有線接入用戶和無線接入用戶。集中認證一方面易於管理維護,保證了單個管理域內用戶信息的一致性;另一方面,集中統一的用戶管理爲不同接入手段的用戶賬戶之間進行漫遊提供了前提條件,而且用戶在不同網絡或者接入類型之間切換時面對的是統一的界面。PPPoE認證中也採用集中式的用戶管理,802.1x通過對現有的RADIUS設備進行升級,可以完整地繼承PPPoE的認證體系,避免對網絡結構進行大規模調整,工程易實現。
3.4 多業務接入,兼顧網絡技術特點
802.1x是IEEE以太協議族中的一個組成部分,應用範圍涵蓋WLAN、xDSL、5類線、Cable和EPON等純以太或者基於以太的多業務接入方式。以xDSL技術爲例,一方面EoVDSL等純以太的xDSL接入手段出現,另一方面在基於ATM的xDSL技術中,IP DSLAM的出現及其三層路由功能需求,使802.1x成爲滿足需求的最佳選擇。值得注意的是,交換式以太網絡和共享式以太網絡有不同的技術特點,在應用802.1x時要兼顧。
3.5 逐步取代PPPoE
802.1x技術代表了電信級寬帶網絡發展的趨勢,即認證和業務分離,支持多業務。PPPoE的缺陷註定其是過渡者角色。事實上,當初PPPoE也是作爲一種權宜之計應用到寬帶網絡接入認證中的,但是802.1x取代PPPoE是一個漸進的過程。網絡現狀是我們不得不考慮的問題,其中最主要的問題是樓道交換機功能簡單,不支持802.1x。解決這個問題可以考慮採用如下途徑:一是對樓道交換機進行軟件升級,使其支持802.1x;二是對802.1x協議進行改進,使EAP可以承載在VLAN上,在匯聚層交換機進行802.1x認證,下游二層交換機採用VLAN進行用戶隔離。最終,認證邊緣化要求面向用戶的接入設備,可以直接實現對用戶接入的管理和控制。
4 結論
隨着以太網技術在寬帶網內應用範圍的日益廣泛,各種基於以太網技術的業務應運而生,成爲寬帶網絡業務主體,在寬帶接入領域內,純以太網或者與以太網相關的接入技術已經成爲接入網發展的大趨勢。802.1x技術作爲IEEE協議族的一個組成部分,在以太網絡環境中提供了一種基於端口、認證和業務分離、高靈活性、強適應性的接入控制手段。相比現階段廣泛應用的PPPoE解決方案,802.1x不僅具有和以太網技術天生的良好兼容性,還具有出色的多業務支持能力和多樣化的統計計費能力。不過,現階段802.1x應用於電信級寬帶網絡還存在着一些缺陷,但是隨着其不斷完善、成熟,802.1x協議將成爲電信級寬帶網絡中不可或缺的部分。