802．1x协议解析

802.1X协议是由(美)电气与电子工程师协会提出，刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议，其全称为基于端口的访问控制协议。它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段，达到了接受合法用户接入，保护网络安全的目的。 802.1x认证，又称EAPOE认证，主要用于宽带IP城域网。

一、802.1x认证技术的起源
802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。

有线局域网通过固定线路连接组建，计算机终端通过网线接入固定位置物理端口，实现局域网接入，这些固定位置的物理端口构成有线局域网的封闭物理空间。但是，由于无线局域网的网络空间具有开放性和终端可移动性，因此很难通过网络物理空间来界定终端是否属于该网络，因此，如何通过端口认证来防止其他公司的计算机接入本公司无线网络就成为一项非常现实的问题，802.1x正是基于这一需求而出现的一种认证技术。也就是说，对于有线局域网，该项认证没有存在的意义。

由此可以看出，802.1x协议并不是为宽带IP城域网量身定做的认证技术，将其应用于宽带IP城域网，必然会有其局限性，下面将详细说明该认证技术的特点，并与PPPOE认证、VLAN＋WEB认证进行比较，并分析其在宽带IP城域网中的应用。

二、802.1x认证技术的特点
802.1x协议仅仅关注端口的打开与关闭，对于合法用户（根据帐号和密码）接入时，该端口打开，而对于非法用户接入或没有用户接入时，则该端口处于关闭状态。认证的结果在于端口状态的改变，而不涉及通常认证技术必须考虑的IP地址协商和分配问题，是各种认证技术中最简化的实现方案。

802.1x认证技术的操作粒度为端口，合法用户接入端口之后，端口处于打开状态，因此其它用户（合法或非法）通过该端口时，不需认证即可接入网络。对于无线局域网接入而言，认证之后建立起来的信道（端口）被独占，不存在其它用户再次使用的问题，但是，如果802.1x认证技术用于宽带IP城域网的认证，就存在端口打开之后，其它用户（合法或非法）可自由接入和无法控制的问题。

接入认证通过之后，IP数据包在二层普通MAC帧上传送，认证后的数据流和没有认证的数据流完全一样，这是由于认证行为仅在用户接入的时刻进行，认证通过后不再进行合法性检查。
表1和表2分别罗列出802.1x协议与PPPOE、VLAN＋WEB的性能比较。

表1：802.1x与PPPOE认证的技术比较


表2：802.1x与VLAN＋WEB认证的技术比较

三、宽带IP城域网中的认证技术分析
宽带IP城域网建设越来越强调网络的可运营性和可管理性，具体包括：对用户的认证、计费，IP地址分配、全方位安全机制，对业务的支持能力和运营能力等方面。其中用户认证技术是可运营、可管理网络的关键。从严格意义上讲，认证功能包括：识别和鉴权，对用户的准确有效识别，对用户权限的下发、确认和控制，这些构成了用户计费和各种安全机制实施的前提以及多业务支持和发展的基础。因此，宽带IP城域网中认证技术的采用必须遵循网络的可运营、可管理要求。

实践证明，PPPOE认证技术、VLAN＋WEB认证技术均可很好地支撑宽带网络的计费、安全、运营和管理要求。对于802.1x认证技术，根据其定位和特点，在宽带城域网中实现用户认证远远达不到可运营、可管理要求，加之应用又少，为了完备用户的认证、管理功能，还需要进行大量协议之外的工作，目前仅有少数几个二/三层交换机厂家在宽带IP城域网中推广此项方式，将802.1x技术附着在L2/L3产品上，使L2/L3产品具备BAS用户认证和管理功能。如上所述，这种认证方式仅仅能够基于端口的认证，而且不是全程认证，与其它BAS功能（计费、安全机制、多业务支持）难以融合，因而不能称为电信级认证解决方案。

在城域网建设初期，大家对可运营、可管理性的认识还不是很一致，802.1x认证技术可能会有一定的市场空间，随着宽带IP城域网建设的逐步成熟和对可管理的关注，基于端口开关状态的802.1x认证技术不会成为主流。

四、802．1x协议工作机制
以太网技术“连通和共享”的设计初衷使目前由以太网构成的网络系统面临着很多安全问题。IEEE 802.1X协议正是在基于这样的背景下被提出来的，成为解决局域网安全问题的一个有效手段。
在802.1X协议中，只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。

1. 客户端：一般安装在用户的工作站上，当用户有上网需求时，激活客户端程序，输入必要的用户名和口令，客户端程序将会送出连接请求。
2. 认证系统：在以太网系统中指认证交换机，其主要作用是完成用户认证信息的上传、下达工作，并根据认证的结果打开或关闭端口。
3. 认证服务器：通过检验客户端发送来的身份标识（用户名和口令）来判别用户是否有权使用网络系统提供的网络服务，并根据认证结果向交换机发出打开或保持端口关闭的状态。

在具有802.1X认证功能的网络系统中，当一个用户需要对网络资源进行访问之前必须先要完成以下的认证过程。

1. 当用户有上网需求时打开802.1X客户端程序，输入已经申请、登记过的用户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。
2. 交换机收到请求认证的数据帧后，将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。
3. 客户端程序响应交换机发出的请求，将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。
4. 认证服务器收到交换机转发上来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给交换机，由交换机传给客户端程序。
5. 客户端程序收到由交换机传来的加密字后，用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的），并通过交换机传给认证服务器。

   标签：

   版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
   特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有