隨著網(wǎng)絡(luò)的普及和企業(yè)信息化的深入，企業(yè)內(nèi)各種業(yè)務(wù)對網(wǎng)絡(luò)的依靠性越來越大。企業(yè)的各種信息都跑在企業(yè)網(wǎng)內(nèi)部，一旦商業(yè)機(jī)密信息泄漏或者被不該看到的人看到，企業(yè)的正常運轉(zhuǎn)就會發(fā)生嚴(yán)重的后果。

大部分企業(yè)網(wǎng)選擇了以太網(wǎng)技術(shù)。以太網(wǎng)靈活性高，技術(shù)相對簡單，易于實現(xiàn)，但是以太網(wǎng)技術(shù)“連通和共享”的設(shè)計初衷使目前由以太網(wǎng)構(gòu)成的網(wǎng)絡(luò)系統(tǒng)在解決內(nèi)部身份識別的問題上存在很多先天不足。俗話說得好，“先天不足后天補(bǔ)”，802.1x技術(shù)恰好是彌補(bǔ)這個問題的一劑良藥。

當(dāng)前各種身份認(rèn)證技術(shù)的缺點

很多企業(yè)網(wǎng)采用用戶名/口令的方式實現(xiàn)身份驗證。對于遠(yuǎn)程辦公，如員工撥號上網(wǎng)，異地分支機(jī)構(gòu)網(wǎng)上辦公等，一般都采用在內(nèi)部辦公網(wǎng)上安裝撥號服務(wù)器，異地分支機(jī)構(gòu)、外出員工或合作伙伴使用計算機(jī)、Modem（調(diào)制解調(diào)器）等設(shè)備，通過電話線路與撥號服務(wù)器相連，實現(xiàn)對內(nèi)部辦公網(wǎng)的訪問。而遠(yuǎn)程辦公的身份認(rèn)證和權(quán)限控制則與企業(yè)內(nèi)部網(wǎng)絡(luò)相同。

上面的各種方式很大程度上解決了遠(yuǎn)程辦公和溝通中常見的身份識別問題，但卻存在很大的隱患。

1．用戶名/口令方式易被破解。網(wǎng)上隨處可得的免費口令破解軟件，使普通人都能輕易變成黑客，極大地增加了口令破解的風(fēng)險。

2．很多網(wǎng)絡(luò)安全設(shè)備自身的權(quán)限控制功能并不精確。如防火墻的權(quán)限控制只能精確到機(jī)器，而無法精確到人；服務(wù)器的權(quán)限控制則只能針對自身應(yīng)用系統(tǒng)，而無法擴(kuò)展。

3．撥號服務(wù)器為內(nèi)部網(wǎng)絡(luò)增加了一條不安全通道和額外負(fù)擔(dān)。在內(nèi)部網(wǎng)絡(luò)防火墻后面架設(shè)撥號服務(wù)器相當(dāng)于在防火墻上開了一條“自由”通道，而這條通道的防護(hù)很少，將成為系統(tǒng)安全中最薄弱的環(huán)節(jié)。

傳統(tǒng)的企業(yè)網(wǎng)身份認(rèn)證技術(shù)是采用PPPoE和Web/Portal認(rèn)證方式。 PPPoE是從基于ATM的窄帶網(wǎng)引入到寬帶以太網(wǎng)的。由此可以看出，PPPoE并不是為寬帶以太網(wǎng)量身定做的認(rèn)證技術(shù)，將其應(yīng)用于寬帶以太網(wǎng)，必然會有一定的局限性。雖然它的實現(xiàn)方式比較靈活，在窄帶網(wǎng)中也有較豐富的應(yīng)用經(jīng)驗，但是，它的封裝方式也造成了寬帶以太網(wǎng)的種種問題。在PPPoE認(rèn)證中，認(rèn)證系統(tǒng)必須將每個包進(jìn)行拆解才能判定和識別用戶是否合法，一旦用戶增多或者數(shù)據(jù)包增大，封裝速度必然跟不上，就會成為網(wǎng)絡(luò)的瓶頸。

Web/Portal認(rèn)證是基于業(yè)務(wù)類型的認(rèn)證，不需要安裝其他客戶端軟件，只需要瀏覽器就能完成，就用戶來說較為方便。但是由于Web認(rèn)證遵從的是7層協(xié)議，從邏輯上來說為了達(dá)到網(wǎng)絡(luò)第二層的連接而跑到第七層做認(rèn)證，這首先不符合網(wǎng)絡(luò)邏輯。其次由于認(rèn)證走的是7層協(xié)議，對設(shè)備必然提出更高要求，增加了建網(wǎng)成本。第三，Web方式認(rèn)證是在認(rèn)證前就為用戶分配了ip地址，對目前網(wǎng)絡(luò)珍貴的IP地址來說造成了浪費，而且分配IP地址的DHCP（動態(tài)地址分配協(xié)議）對用戶而言是完全裸露的，輕易導(dǎo)致惡意攻擊，而企業(yè)網(wǎng)一旦受攻擊而癱瘓，整個網(wǎng)絡(luò)也就沒法認(rèn)證了。為了解決易受攻擊問題，就必須加裝一個防火墻，這樣一來又大大增加了建網(wǎng)成本。

IEEE 802.1x協(xié)議正是在基于這樣的背景下被提出來的，因而成為解決局域網(wǎng)安全問題的一個有效手段。

802.1x的優(yōu)勢

802.1x協(xié)議是由（美）電氣與電子工程師協(xié)會提出，剛剛完成標(biāo)準(zhǔn)化的一個符合IEEE 802協(xié)議集的局域網(wǎng)接入控制協(xié)議，其全稱為基于端口的訪問控制協(xié)議。它能夠在利用IEEE 802局域網(wǎng)優(yōu)勢的基礎(chǔ)上提供一種對連接到局域網(wǎng)的用戶進(jìn)行認(rèn)證和授權(quán)的手段，達(dá)到了接受合法用戶接入，保護(hù)網(wǎng)絡(luò)安全的目的。

IEEE 802.1x是一種鏈路層驗證機(jī)制協(xié)議，控制著對網(wǎng)絡(luò)訪問端口即網(wǎng)絡(luò)連接點的訪問。通過控制網(wǎng)絡(luò)訪問，用戶可以在多層安全架構(gòu)部署第一道防線。在連接設(shè)備得到驗證之前，網(wǎng)絡(luò)訪問權(quán)完全被禁止。得到驗證之后，用戶才可以被提供第二層交換機(jī)通常提供的服務(wù)以外的附加服務(wù)。這些服務(wù)包括第三層過濾、速率限制和第四層過濾，而不僅僅是簡單的“開/關(guān)”服務(wù)。

鏈路層驗證方案的一個優(yōu)點是，它只要求存在鏈路層連接，客戶端（在802.1x中稱為請求者）不需要分配供驗證用的第三層地址，因而降低了風(fēng)險。此外，鏈路層驗證涉及了所有能夠在鏈路上工作的協(xié)議，從而不必為每種協(xié)議提供網(wǎng)絡(luò)層驗證。802.1x還能夠使執(zhí)行點盡可能地接近網(wǎng)絡(luò)邊緣，因此可以針對連接設(shè)備的特定需求定制細(xì)粒度訪問規(guī)則。

在802.1x協(xié)議中，只有具備了以下三個元素才能夠完成基于端口的訪問控制的用戶認(rèn)證和授權(quán)。

1.客戶端：一般安裝在用戶的工作站上，當(dāng)用戶有上網(wǎng)需求時，激活客戶端程序，輸入必要的用戶名和口令，客戶端程序?qū)统鲞B接請求。

2.認(rèn)證系統(tǒng)：在以太網(wǎng)系統(tǒng)中指認(rèn)證交換機(jī)，其主要作用是完成用戶認(rèn)證信息的上傳、下達(dá)工作，并根據(jù)認(rèn)證的結(jié)果打開或關(guān)閉端口。

3.認(rèn)證服務(wù)器：通過檢驗客戶端發(fā)送來的身份標(biāo)識（用戶名和口令）來判別用戶是否有權(quán)使用網(wǎng)絡(luò)系統(tǒng)提供的網(wǎng)絡(luò)服務(wù)，并根據(jù)認(rèn)證結(jié)果向交換機(jī)發(fā)出打開或保持端口關(guān)閉的狀態(tài)。

802.1x驗證有效解決客戶端非法行為

1.防止客戶端代理

在企業(yè)網(wǎng)中，代理服務(wù)器可謂防不勝防，采用傳統(tǒng)的網(wǎng)關(guān)身份認(rèn)證的方式很難對代理服務(wù)進(jìn)行防范。在網(wǎng)絡(luò)中假如私自搭建了代理服務(wù)器，那么很多非授權(quán)終端就可以通過同一個代理服務(wù)器取得對網(wǎng)絡(luò)的訪問權(quán)。而在服務(wù)器端看來，這些訪問都來自正常的一個終端機(jī)器的訪問。802.1x客戶端由于部署在客戶終端上，它能在應(yīng)用層識別代理行為，從而在終端客戶機(jī)上阻止代理行為的發(fā)生。假如一個終端上發(fā)生了代理行為，802.1x客戶端將拒絕此終端的入網(wǎng)身份認(rèn)證請求（如圖1所示）。