802.1x协议研究与应用.ppt.pptVIP

802.1x是什么？— —直观印象 802.1x是什么？— — 定义 802.1x协议体系结构 端口的概念 交换机的每个物理端口内部有受控的服务端口(Controlled Port)和非受控的认证端口(unControlled Port)。 1）非受控端口始终处于双向连通态，主要用来传递 EAPOL协议 帧，可保证随时接收客户端发出的认证EAPOL报文。 2）受控端口只有在授权状态下连通，用于传递网络资源和服务。 受控端口在非授权状态下，根据受控方向的不同，可能单 向连通，也可能双向断开 802.1x协议体系结构（续） 认证系统的端口访问实体（PAE）通过不受控端口与客户端系统的端口访问实体（PAE）进行认证，二者之间运行EAPOL协议，EAPOL之上承载EAP协议。 EAP数据包内封装具体的认证信息 认证系统的（PAE）与认证服务器之间运行Radius协议， Radius协议之上承载EAP协议，EAP帧中封装了认证数据。 EAP协议 EAP (Extensible Authentication Protocol)最初设计用来PPP的接入认证 但是被许多其他接入认证所使用 LAN、WLAN (IEEE 802.1X), Bluetooth, … IETF EAP工作组 /html.charters/eap-charter.html 计费, 授权 EAP 的组成 很多 Request/Response 对; 由网络发出请求以 EAP-Request/Identity请求开始 以网络回应的 EAP-Success 或 EAP-Failure而结束 EAP协议 EAP-MD5基于口令的身份认证，支持客户端到服务器之间的单向认证 EAP-TLS基于数字证书的身份认证，支持双向认证，但需要PKI系统的支撑 在40余种EAP认证类型中， EAP-TLS安全性最高，部署成本最高； EAP-MD5安全性最低，相应部署成本相对较低。 802.1x通信实体协议栈 以EAP-MD5为例 802.1x的优势 IEEE 802．1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本， 采用的EAP扩展认证协议，可以提供良好的扩展性和适应性，实现对传统认证的兼容，可扩展如对IP与MAC的绑定与防代理功能等。 802．Ix的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能，从而可以实现业务流与认证流分离 总之，IEEE802.1x协议对认证方式和认证体系结构上进行了优化，解决了传统PPPOE和WEB/PORTAL认证方式带来的问题，更加适合在宽带以太网和WLAN中的使用。 EAP-MD5实验验证 802.1x协议认证流程(1) （1）客户机发起连接请求eapol-start 802.1x协议认证流程(2) 802.1x协议认证流程(3) 802.1x协议认证流程(4) 802.1x协议认证流程(5) 客户端收到EAP-Request/MD5-Challenge报文后，用该挑战信息对口令部分进行加密处理(MD5方式)生成EAP-Response/ MD5-Challenge响应包，通过NAS将其转送到RADIUS服务器进行认证。 802.1x协议认证流程(6) 服务器对客户机经NAS转送来的EAP-Response/MD5-Challenge进行验证，成功则返回success，Code值为3,接入认证过程顺利结束，用户被允许接入网络。 EAP-TLS 基于公钥证书机制 数据交互量很大 EAP-TLS测试 客户端共参与14次数据交互！ 时延是EAP-MD5的2倍 EAP-TLS的用武之地— —WLAN（Wireless Local Area Network)，能够为WLAN提供动态会话密钥。 802.1x与802.11i WEP 是1999年9月通过的 IEEE 802.11 标准的一部分 2001年8月，Fluhrer et al. 发表了针对 WEP 的密码分析，利用 RC4 密码算法和 IV 的使用方式的特性，结果在网络上偷听几个小时之后，就可以把 RC4的钥匙破解出来。 为了使WLAN技术从这种被动局面中解脱出来，IEEE 于2004年公布了新一代WLAN安全标准IEEE 802.11i ，这种安全标准为了增强WLAN的数据加密和认证性能，定义了RSN（Robust Security Network）和pre-RSN的概念，并且针对WEP加密机制的各种缺陷做了多方面的改进。其中 pre-RSN即Wi-Fi中的WPA, RSN即Wi-Fi中的WPA2。 IEEE 802.11i规定使用8