IEEE802.1x协议和应用.pptVIP

IEEE 802.1x协议及应用 第八组 主讲：汤砚晗 Contents 术语解释 RADIUS：Remote Authentication Dial In User Service，远程用户拨号认证系统，可以简单将其理解成一个存储有用户的用户名密码的服务器，能够对一些查询进行响应，从而得知用户是否合法【RFC2865】【RFC2866】 EAP：Extentional Authentication Protocol,可扩展的认证协议，这是一个能够为没有接入网络的设备提供认证及网络接入的服务，工作于OSI七层模型中的数据链路层。之所以称其为“可扩展的”，是因为协议只是规定了一个框架，允许企业根据实际需要自行定制，但是它要求企业自己的标准符合IEEE标准中对于安全性的要求【RFC3748】 EAPOL：EAP Over LAN，能够在局域网上传输EAP报文的协议 DOS：Denial Of Service，拒绝服务攻击。这是一个很广泛的概念，通常认为使服务不能正常完成的攻击都是DOS，譬如一群流氓要使一位客户不能在餐馆正常吃饭，那么他们可以伪装成老板告诉客户餐馆打烊，踢馆让餐馆瘫痪，伪装成老板收钱，阻止服务员上菜，等等，都可以成为拒绝服务攻击。 1.IEEE 802.1x概述 802.1X是由IEEE提出的基于端口的网络访问控制标准【2001】。它能够提供一种对连接到局域网的用户进行认证和授权的手段，达到了接受合法用户接入，保护网络安全的目的。 基于802.1x的认证，又称EAPOE认证，因为这个协议依赖于EAP实现 通常，802.1x协议、802.1x认证、EAP协议都可以认为是同一个意思 IEEE802.1x认证组成 802.1X认证包括三个部分:请求方、认证方、认证服务器。请求方就是希望接入局域网/无线局域网来上网的设备，譬如一台笔记本，有时候也指设备上运行的客户端软件；认证方则是管理接入的设备，譬如以太网交换机或者无线接入点；认证服务器就是一个运行有支持RADIUS和EAP的软件的主机。 在认证过程中认证方起到了关键作用。它将网络接入端口分成两个逻辑端口：受控端口和非受控端口，非受控端口始终对用户开放，只允许用于传送认证信息，认证通过之后，受控端口才会打开，用户才能正常访问网络服务。这种方式可以通过某些方法实现，譬如防火墙。 802.1x认证示意图 2. 802.1x认证详述 802.1x认证主要依赖EAP及EAPOL协议实现，请求方与认证方之间传送的是EAPOL报文，认证方与认证服务器之间传送的是EAP报文，在此先介绍EAP及EAPOL报文 EAPOL报文格式 EAP报文格式 认证流程(一个例子，并不代表其他的应用也是如此） 1.当用户有上网需求时，打开IEEE 802.1x的客户端程序，输入已经申请登记过的用户名和口令，发起连接请求。此时，客户端程序发出请求认证的报文给认证方（可以是一个交换机），开始启动一次认证。 2.认证方收到请求认证的数据帧后，向客户端发送EAP-Requst/Identity。要求客户端程序将用户名送上来。 3.客户端收到EAP-Requst/Identity后，响应认证方的请求回应一个EAP-Response/Identity，其中包括用户名。 4.认证方收到Response/Identity后将该报文封装到RADIUS Access-Request报文中，发送给认证服务器。 5.认证服务器接收到认证方转发上来的用户名信息后，产生一个Challenge，通过接入设备将RADIUS Access-Challenge报文发送给客户端，其中包含有EAP-Request/MD5-Challenge（一个随机生成的密钥，通常为32位）； 6.认证方通过EAP-Request/MD5-Challenge发送给客户端，要求客户端进行认证； 7.客户端收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenged-Password，在EAP-Response/MD5-Challenge回应给认证方； 8.认证方将Challenge，Challenged Password和用户名一起送到RADIUS服务器，由RADIUS服务器进行认证. 9.RADIUS服务器根据用户信息，做MD5算法，判断用户是否合法。然后回应认证成功/失败报文到接入设备。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束； 10.如果认证通过，用户通过标准的DHCP协议(可以是DHCP Relay)，通过接入设备获取规划的IP地址，认证方发起计费开始请求给RADIUS用户认证服务器； 11.RADIUS用户认证服