基于IEEE 802.1x的网络准入控制系统设计与实现.docVIP

基于IEEE 802.1x的网络准入控制系统设计与实现 　　【 摘 要 】 为确保本地网络资源的安全，可在网络边界处部署防火墙、安全认证网关等设备，但局域网内用户可未经授权访问关键的IT资源，占用宝贵的网络资源甚至发起攻击。为解决这个问题，本文设计了一种基于IEEE 802.1x的网络准入控制系统，深入分析了802.1x协议及网络准入控制系统体系结构，通过将802.1x与RADIUS认证服务器结合构建了一个高效、可靠的内部网络802.1x/EAP接入方案，并在网络环境下进行了实验。 　　【 关键词 】 认证；准入；安全 　　1 802.1x协议 　　802.1x协议是一种数据链路层身份验证协议，发送认证协议数据包对连接到交换机端口上的用户/设备进行身份认证，认证通过后才允许正常的数据通过交换机端口，控制着对内部网络接入点的访问。使用802.1X协议的优势有几点。 　　（1）实现简单：802.1x可以借助CISCO RADIUS服务器实现身份认证功能，在小规模网络环境下也可采用本地认证的方式，网络综合造价成本低。 　　（2）安全可靠：802.1x身份认证方式可结合MAC地址、端口、VLAN等绑定技术并封装用户名/密码，安全性较高。 　　（3）行业标准：802.1X协议是IEEE标准技术，微软Windows XP 、Linux等客户端操作系统和Cisco、华为、H3C等网络设备IOS都提供了对该协议的支持。 　　2 网络准入控制系统体系结构 　　基于802.1x的网络准入控制系统能够对局域网内的计算机进行控制。如图1所示，802.1x用户身份认证系统有四个组件。 　　（1）客户端系统 客户端使用客户端软件向接入端发起802.lx认证请求。在客户端和接入端之间使用EAPOL格式封装EAP协议数据传送认证信息，包括EAP-MD5、PEAP和 EAP-TLS三种认证方式。 　　（2）接入端系统 接入端对客户端进行认证。接入端设备包括可控端口和不可控端口，只有在通过802.1X认证后业务数据才允许通过可控端口，而不可控端口则不受限制，允许所有的协议数据和业务数据通过。 　　（3）认证服务器系统 认证服务器为接入端提供认证服务，使用RADIUS协议双向传送认证信息。 　　（4）安全基础设施 安全基础设施包括认证机构CA、注册机构RA、LDAP存储库等组件，用于提供对其他系统中的实体可信授权验证服务。 　　3 网络准入控制系统部署 　　（1）客户端系统 　　客户端通常是支持802.1x认证的用户设备，如个人计算机。客户端启动客户端软件向接入端发起802.lx认证请求，合法用户通过认证后可访问本地网络资源。对未安装规定安全客户端软件的，可设置为持续弹出对话框提示安装。 　　在Windows XP操作系统中802.1x设置方法为：打开网络连接属性，在“身份验证”选项卡中勾选“启用IEEE 802.1X身份验证”，选择EAP类型（有MD5-质询、受保护的EAP（PEAP）、智能卡或其他证书三种类型）。若网络连接属性里没有“身份验证”选项卡，则需在操作系统中开启Wired AutoConfig服务。 　　传统802.1x使用MD5-Challenge认证，在接入网络时只输用户名和口令，为增强安全性可选择采用数字证书的PEAP和 EAP-TLS方式。 　　（2）接入端系统 　　接入端通常为支持802.lx协议的交换机等网络设备。在Cisco交换机上基本配置方式如下： 　　（config）#aaa new-model //启动AAA。 　　（config）#radius-server host XX.XX.XX.XX key //配置RADIUS服务器地址及密钥。 　　（config）#aaa authentication dot1x default group radius //配置802.1x默认认证方法为RADIUS。 　　（config）#dot1x system-auth-control //在交换机上全局启用802.1x认证。 　　（config）#int fa0/1 　　（config-if）#switchport mode access 　　（config-if）#dot1x port-control auto //设置接口的802.1x状态。 　　（config-if）#dot1x host-mode multi-host //通过Hub等方式在交换机端口下连接多台PC时需要配置这个命令，默认只支持对一台PC认证[1]。 　　（3）认证服务器系统 　　认证服务器采用RADIUS认证方式，这就要求所有参与认证的网络设备配置RADIUS认证方式。值得注意的是，为支持802.