淺談８０２．１Ｘ認證在校園網中的應用

高　輝

[摘 要]在這個信息化時代,寬帶網接入以及無線網絡逐漸成為網絡技術的熱點。但是在接入認證方面,被廣泛運用的PPPoE認證有其自身的缺陷。IEEE802.1委員會提出的802.1X協議,用于基于以太網交換機,可以對用戶進行認證、授權,從而提供了一種更實用、更安全的用戶管理方式。

802.lX 協議提供了一套對接入到網絡的設備進行認證、授權的機制,認證所使用的EAP0L(EAP encapsulation over LAN)幀承載于以太報文之上,很容易應用于以太網環境。因此將802.1X應用于交換機,通過交換機對局域網用戶進行管理是一種常見的用戶管理策略。同時,802.1X也是交換機安全策略的一部分,可以有效防止非法用戶訪問沒有授權的資源。

本文提出了將802.1X集成到現有的內網管理系統中的設計方案,將802.1X的基于端口的控制擴展為基于用戶的控制,實現內網管理系統對802.1X的檢測,對局域網內用戶接入認證、訪問授權、安全鑒別等服務,使內網管理系統具有更強的終端安全管理的功能。

[關鍵詞]802.lX;PPPoE;IEEE802.1;端口接入訪問控制協議;EAP0L

一、802.1X協議的原理體系結構

1.IEEE802.1X源于IEEE802.11無線以太網(EAPOW),它是一種位于第2層的端口接入訪問控制協議(Port based network access control protocol)。這里的端口可以是一個物理端口,也可以是1個邏輯端口(如VLAN)。對于無線局域網來說1個接口就是1個信道。802.1x實際上是一個傳輸機制,對基于IEEE802.x技術的網絡(包括局域網和無線局域網)提供標準化的認證服務,而真正的認證過程發生在802.lx的上層協議EAP(Extensible Authentication Protoco),即可擴展的認證協議。該協議最初是作為PPP的擴展而創建,用以開發新的網絡訪問身份驗證方法。

2.802.lX協議的體系結構由3部分成客戶端(suPPlicant)、認證系統(authenticator)和認證服務器 (authentication server)。

(1) 客戶端。 (suPPlicant)客戶端通 常是指支持802,1X認證的用戶終端設備,它通過啟動802.1X客戶端軟件發起802.1X認證,以請求訪問受控的網絡資源。

(2)認證系統。(authenticator)認證系統通常為支持802.1X協議的網絡設備,它為請求者提供服務端口,該端口可以是物理端口也可以是邏輯端口。一般在用戶接入設備(如LAN switch 和AP)上實現802.IX認證。認證 系 統 根據不同因素(包括物理因素、MAC等)形成邏輯通道,包括“受控端口”和“非受控端口”。“非受控端口”始終處于雙向連通狀態,用于傳送認證信息(EAPOL協議幀,可隨時保證接收請求者發出的EAPOL認證報文);“受控端口”只有在認證通過的狀態下才打開,用于傳遞網絡資源和服務。

(3)認證服務器。(authentication server)認證服務器接收來自請求者的認證請求,根據存儲在數據庫中的用戶認證信息(包括用戶名、密碼、ACL等)來驗證用戶是否合法。若認證通過,將上述信息轉至認證系統,由認證系統動態構建ACL,對用戶訪問進行管理,一般采用RADIUS服務器來實現802.lX認證和授權功能。

802.lX 實 際的認證過程在請求者和認證服務器之間發生,而位于中間位置的認證者工作于中繼方式,它只負責在請求者和認證服務器之間轉發認證信息。802.lX采用可擴展驗證協議(extensible authentication Protocol,EAP)來封裝傳輸于請求者和認證服務器之間的認證信息,但EAP幀在請求者和認證者之間被EAPOL(extensible authentication protocol over LAN)協議承載,而在認證者和認證服務器之間被其他高層次協議(如RADIUS)承載,以便穿越復雜的網絡到達認證服務器。

二、認證流程

EAP協議具有可擴展性,802.1X認證系統支持多種認證算法,如EAP-MDS,EAP-TLS,EAP-SIM,EAP-TTLS以及EAP一AKA等。

為了保護用戶在以太網中傳送單播和廣播信息包不被位于同一物理網段內的其他用戶偵聽,可以把每個用戶限制在一個交換機端口內,這樣就從物理上隔絕了每個用戶的信息包,實現了用戶數據的保密性。為了對用戶的進行認證和授權,采用802.1X協 議與Radius服務器對用戶進行認證,授權和計費。

整個系統由邊緣交換機、中心交換機、Radius服務器、用戶PC機等部分組成,另外還有網管工作站、VOD服務器、文件服務器和路由器等設備來維持網絡的正常運營。邊緣交換機位于網絡的邊緣,用戶直接與邊緣交換機的端口相連,這些端口全部配置為802.1X認證管理,這些端口在初始化時處于阻塞狀態,除了802.1X 的控制協議報文,所有其他的信息報在端口出口處都將被丟棄。下面細描述一下用戶的認證過程:

(1) 當用戶有上網需求時打開802.1X客戶端程序,輸入用戶名和口令,發起連接請求,此時,客戶端程序將請求認證的報文〔EAPOL-start)發給交換機,開始啟動一次認證過程。

(2)交換機收到請求認證的數據后,將發出一個請求技(EAP-Request/Id)要求用戶的客戶端程序將輸入的用戶名送上來。

(3) 客戶端程序響應交換機發出的請求,將用戶名信息通過數據恢(EAP-Response/Id))給交換機。交換機將客戶端送上來的數據經過封包(Radius-Access-Request)處理后送給Radius服務器進行處理。

(4) Radius服務器收到交換機轉發上來的用戶名信息后,將該信息與數據庫中的用戶名表相比對,找到該用戶名的口令信息,用隨機生成的一個加密字

對它進行加密處理,同時也將此加密字Radius-Access-Challcngc)傳送給交換機,由交換機傳給客戶端程序;

(5)客戶端程序收到由交換機傳來的加密字后,用該加密字對口令部分進行加密處理(此種加密算法通常是不可逆的)并把結果(EAP-Respnnse)通過交換機傳給認證服務器。

(6) 認證服務器將送上來的加密后的口令信息和其自己經過加密運算后的口令信息進行對比,如果相同,則認為該用戶為合法用戶,反饋認證通過的消息(Radius-Access-Accept),并向交換機發出打開端口的指令,允許用戶的業務流通過端口訪問網絡。否則,反鎖認證失敗的消息 ,并保持交換機端口的關閉狀態,只允許認證信息數據通過而不允許業務數據通過。

(7)當用戶要求下線或者是用戶系統關機等需要斷開網絡連接時,請求方發送一個斷網請求(EAP-Logof)給認證方,然后認證方立即把端口設為非受控狀態(Uncontrolled Port),從而斷開連接。另外802A X還支持計費功能,當端口打開后,認證方發送一個Accounting-Start消息給Radius服務器;端口關閉時,認證方發送一個Accounting-Stop消息給Radius服務器,這樣,運營商就可以生成賬單,向用戶收費了。

(8)驗證設備通過定期的檢測保證鏈路的激活。如果用戶異常死機,則驗證設備在發起多次檢測后,自動認為用戶已經下線,于是向認證服務器發送終止計費的信息。

三、802.1X協議與其他管理方案的分析和比較

與P PPPOE和DHCP+Web方式相比,802.IX 認證方式是一種完全不同的認證和訪問控制技術。

(1)計費的準確性:對于PPPOE方式和802.1X 方式,在用戶認證通過后,由寬帶接入服務器BAS或是認證方向Radius服務器發送計費開始包,在用戶下線后向Radius服務器發送計費結束包。計費系統便可根據計費起始包、結束包進行按時、按流量進行實時計費。這種方式,計費數據很準確。對于DHCP+Web方式,用戶認證通過后,由接入服務器向Radius服務器發送計費開始包,當用戶需要下線時,需要通過點擊Web頁面掛斷按鈕,觸發寬帶接入服務器向Radius服務器發送計費結束包。這種在正常情況下,計費數據較準確。但如果用戶是異常下線,接入服務器需要根據用戶的最大空閑時間來判斷用戶是否下線,這時可能會使最后的計費結束包的時間比用戶實際的下線時間要多出一段時間,從而造成計費數據的不準確。

(2)可管理性:對于PPPoE方式,寬帶接入服務器與Radius服務器配合,可以進行一定程度的服務質量控制,能夠實現限速和QOS等功能。對于DHCP+Web方式,當采用旁路方式的網絡架構時,不能對用戶進行類似帶寬管理等管理手段。如果是直路的網絡架構,可以根據用戶的不詞,對帶寬進行不同等級的限速控制。802.1X方 式是直路式控制,可以在交換機上實現流量控制,另外,802.IX 還能對用戶實現遠程喚醒和遠程控制等功能。

(3)功能特點:采用PPPOE方式時寬帶接入服務器要頻繁地進行解包操作,當用戶接入請求多時很可能會成為網絡的瓶頸。對于DHCP千Web,如果是網絡旁路的架構,不會影響到網絡的性能。如果是直路的架構,則有可能會成為網絡的瓶頸。802.IX 在交換機中實現網絡控制,認證在2層進行,協議開銷很小,不會對網絡性能造成影響。綜上所述,基于PPPoE的認證方式,可管理性強,計費準確,代價就是PPPoE本身限制了網絡環境以及組播業務的開展。而DHCP+Web方式的認證,對網絡環境不會造成任何影響,但在整個網絡的用戶可管理性、異常情況下計費準確度等方面都存在一定問題。而802.1X方式由于是采用的源于以太網的技術,故能比較好地實現用戶管理功能。

實施認證計費系統包括建立安全認證計費管理系統和在支持802.1x協議的匯聚或接入交換機啟用認證支持。

(1)安全認證計費管理系統

通過購置硬件服務器和相關軟件,建立安全認證計費管理系統,這是整個認證計費系統的后臺支持服務.在各個校區安裝安全認證計費管理系統平臺,系統進行互為實時備份,支持必要的跨校區用戶漫游。兩個校區分別安裝安全認證系統,實現分布式認證,如圖所示。認證計費系統要有合理的備份機制和數 據同步機制;要求該系統做到分布式認證,并實施統一集中管理,策略統一下發;實現用戶有效控制;支持跨校區用戶漫游。

(2)安全認證交換機

在不改變現有校園網拓撲結構的情況下,安裝必要的支持802.1x協議的接入交換機,或在樓宇匯聚交換機啟用802.1x協議,做到分布式接入控制,實現用戶有效控制。

認證實施過程應盡量平滑過渡,安裝、更換樓宇匯聚、接入交換機,逐一啟用認證。在部分學生宿舍未安裝新接人交換機的區域,可考慮安裝安全認證接人交換機,在接入層啟用安全接入控制,實施網絡拓撲圖;校園網內有一部分區域,已分別安裝了接入交換設備,對于這一區域,只需在樓宇匯聚更換數量不多的新交換機,在樓宇匯聚啟用安全接入控制,實施網絡拓撲圖。這樣,即可以保護學校的現有投資,使可用的設備在后續的使用中繼續發揮作用,不會被盲目淘汰。根據學校的發展規模、資金情況來進一步完善學校的網絡建設,最終使整個學校的網絡不斷完善、成熟。在教師住宅區、教學辦公區實施認證系統后,逐步在學生宿舍區實施認證。

結束語

隨著我國信息化建設的不斷推進和深人,在網絡邊緣實施接入控制的重要性日益凸現,IEEE802.1x因其良好的擴展性、認證的邊緣化、分布化和對用戶管理的集中化等諸多優點,較好地解決了這方面的問題。因此可以預見,基于802.1x的接人訪問控制方法將會是今后發展的一個重要方向。

參考文獻 :

[1] IEEEStd 802.1x-2001,I E E E StandardforLocaland metropolitan area networks-Port-Based NetworkAccess Control.

[2] R F C 3748,Extensible AuthenticationProtocol(EAP),June 2004.

[3] 華為itzero. 3Com 802.1x技術白皮書[EB/OL].http://w w w. c o m /Article/Hardware_Area/Doc_hw_3com/200409/1875.html.

[4] 802. 1x協議及其在寬帶接人中的應用[EB/OL].http://www.net130.com/ 2004/6-6/222941.html.

[5] 802.lx 認證技術分析及其應用建議[EB/OL].http://www.cww.net.cn/technique/Article.asp?id=16208.

(編輯/穆楊)