基于802.1x协议用户认证研究.docVIP

基于802.1x协议用户认证研究 　　摘 要： 校园网大量用户的接入带来了对接入用户的认证问题。IEEE 802.1x协议是一种基于端口的网络接入控制协议，能够对所接入的设备进行认证和控制。锐捷SAM系统运用基于802.1x协议，采用“入网即认证”的用户管理模式，实行用户访问任何资源（包括校园网资源）之前都需要认证的用户身份认证机制，从而确保满足对信息安全管理的需要，成功地实现了建造安全可靠的校园网的目的。 　　关键词： 802.1x协议； 认证； 锐捷SAM； 网络安全 　　中图分类号：TP393.1 文献标志码：A 文章编号：1006-8228（2013）11-26-02 　　0 引言 　　伴随着教育信息化在高校的广泛普及，校园网络规模不断扩大，接入校园网的计算机台数以几何级规模增长[1]。大量用户的接入带来了校园网安全问题。校园网用户的认证能保障校园网接入的安全性及网络资源使用合理性。802.1x是基于端口的接入控制，为连接到局域网端口并具有P2P接入特征的设备提供认证和授权，并且防止设备在认证和授权失败的情形下接入网络，能够建造安全可靠的校园网环境。 　　1 802.1x技术综述 　　802.1x协议的客户机/服务器体系结构，包括三个实体，客户端、设备端、认证服务器[2]。它可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。 　　1.1 802.1x体系结构 　　802.1x在局域网和城域网中提供基于端口的网络接入控制，旨在为局域网网络环境提供一种灵活的接入控制方法。802.1x协议的体系结构包括三个重要的部分，分别是客户端（Supplicant）、认证系统（Authenticator）和认证服务器（AuthenticationServer），如图1所示。 　　客户端系统：一般为一个用户终端系统，该终端系统通常要安装一个客户端软件，用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程，为了支持基于端口的接入控制，客户端系统需支持EAPOL协议，因为客户端和认证系统之间采用EAPOL协议进行通信。 　　认证系统：通常为支持IEEE 802.1x协议的网络设备，该设备对应于不同用户的端口（可以是物理端口，也可以是用户设备的MAC地址、VLAN、IP等），每一个端口都有两个逻辑端口：受控端口和不受控端口。不受控端口始终处于双向连通状态，主要用来传递EAPOL协议帧，可保证客户端始终可以发出或接受认证；受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。 　　认证服务器：通常为RADIUS服务器，该服务器可以存储有关用户的信息，比如用户所属的VLAN、用户的访问控制列表、用户名、密码等。当用户通过认证后，认证服务器会把用户的相关信息传递给认证系统，由认证系统构建动态的访问控制列表，用户的后续流量就将接受上述参数的监管。认证系统和RADIUS服务器之间通过EAP 协议进行通信。 　　1.2 802.1x工作过程[3] 　　当用户有上网需求时打开802.1x客户端程序，输入已经申请、登记过的用户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。 　　交换机收到请求认证的数据帧后，将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。 　　客户端程序响应交换机发出的请求，将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。 　　认证服务器收到交换机转发上来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给交换机，由交换机传给客户端程序。 　　客户端程序收到由交换机传来的加密字后，用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的），并通过交换机传给认证服务器。 　　认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息，并向交换机发出打开端口的指令，允许用户的业务流通过端口访问网络。否则，反馈认证失败的消息，并保持交换机端口的关闭状态，只允许认证信息数据通过而不允许业务数据通过。 　　1.3 802.1x优点[3] 　　802.1X协议在以太网中的引入，解决了传统的认证方式带来的问题，消除了网络瓶颈，减轻了网络封装开销，降低了建网成本。IEEE