8021X研究.docxVIP

802.1X研究作者：caijun.Li时间：2015-5-8关键词802.1X 认证第一章概述IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1X协议。后来，802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。802.1X协议是一种基于端口的网络接入控制协议（port based network access control protocol）。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源——相当于物理连接被断开。1.1 802.1X的体系结构802.1X系统为典型的Client/Server结构，如图?1所示，包括三个实体：Supplicant System（客户端）、Authenticator System（设备端）以及Authentication Server System（认证服务器）。图 1?802.1X认证系统的体系结构?客户端是位于局域网段一端的一个实体，由该链路另一端的设备端对其进行认证。客户端一般为一个用户终端设备，用户可以通过启动客户端软件发起802.1X认证。客户端必须支持EAPOL（Extensible Authentication Protocol over LAN，局域网上的可扩展认证协议）。设备端是位于局域网段一端的另一个实体，对所连接的客户端进行认证。设备端通常为支持802.1X协议的网络设备，它为客户端提供接入局域网的端口，该端口可以是物理端口，也可以是逻辑端口。?认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用户进行认证、授权和计费，通常为RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）服务器。1.2 802.1X的认证方式IEEE 802.1x认证系统利用EAP（Extensible Authentication Protocol，可扩展认证协议），作为在客户端、设备端和认证服务器之间交换认证信息的手段。l??????????????在客户端PAE与设备端PAE之间，EAP协议报文使用EAPOL封装格式，直接承载于LAN环境中。l??????????????在设备端PAE与RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）服务器之间，EAP协议报文可以使用EAPOR封装格式（EAP over RADIUS），承载于RADIUS协议中；也可以由设备端PAE进行终结，在设备端PAE与RADIUS服务器之间传送包含PAP（Password Authentication Protocol，密码验证协议）或CHAP（Challenge Handshake Authentication Protocal，质询握手验证协议）属性的报文。802.1X认证系统使用EAP（Extensible Authentication Protocol，可扩展认证协议），来实现客户端、设备端和认证服务器之间认证信息的交换。在客户端与设备端之间，EAP协议报文使用EAPOL封装格式，直接承载于LAN环境中。在设备端与RADIUS服务器之间，可以使用两种方式来交换信息。一种是EAP协议报文由设备端进行中继，使用EAPOR（EAP over RADIUS）封装格式承载于RADIUS协议中；另一种是EAP协议报文由设备端进行终结，采用包含PAP（Password Authentication Protocol，密码验证协议）或CHAP（Challenge Handshake Authentication Protocal，质询握手验证协议）属性的报文与RADIUS服务器进行认证交互。?认证服务器通常为RADIUS服务器，该服务器可以存储有关用户的信息。例如，用户名、密码以及用户所属的VLAN、CAR参数、优先级、用户的访问控制列表等。?当用户通过认证后，认证服务器会把用户的相关信息传递给设备端，设备端PAE根据RADIUS服务器的指示（Accept或Reject）决定受控端口的授权/非授权状态。图2 802.1x认证系统的工作机制1.3 802.1X的基本概念1.?端口PAE（Port Access Entity，端口访问实体）端口PAE为802.1x系统中，在一个给定的设备端口上执行算法和协议操作的实体对象。设备端PAE利用认证服务器对需要接入局域网的客户端执行认证，并根据认证结果相应地控制受控端口的授权/非授权状态。客户