国产探花免费观看_亚洲丰满少妇自慰呻吟_97日韩有码在线_资源在线日韩欧美_一区二区精品毛片,辰东完美世界有声小说,欢乐颂第一季,yy玄幻小说排行榜完本

首頁(yè) > 網(wǎng)管 > 局域網(wǎng) > 正文

無線局域網(wǎng)認(rèn)證技術(shù)的應(yīng)用分析(1)

2019-11-05 03:09:51
字體:
供稿:網(wǎng)友

 一、引言

802.1x協(xié)議起源于802.11協(xié)議,后者是IEEE的無線局域網(wǎng)協(xié)議,制訂802.1x協(xié)議的初衷是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題。IEEE802LAN協(xié)議定義的局域網(wǎng)并不提供接入認(rèn)證,只要用戶能接入局域網(wǎng)控制設(shè)備(如LANS witch),就可以訪問局域網(wǎng)中的設(shè)備或資源。這在早期企業(yè)網(wǎng)有線LAN應(yīng)用環(huán)境下并不存在明顯的安全隱患。

隨著移動(dòng)辦公及駐地網(wǎng)運(yùn)營(yíng)等應(yīng)用的大規(guī)模發(fā)展,服務(wù)提供者需要對(duì)用戶的接入進(jìn)行控制和配置。尤其是WLAN的應(yīng)用和LAN接入在電信網(wǎng)上大規(guī)模開展,有必要對(duì)端口加以控制以實(shí)現(xiàn)用戶級(jí)的接入控制,802.lx就是IEEE為了解決基于端口的接入控制(Port-Based Network access Contro1)而定義的一個(gè)標(biāo)準(zhǔn)。

二、802.1x認(rèn)證體系

802.1x是一種基于端口的認(rèn)證協(xié)議,是一種對(duì)用戶進(jìn)行認(rèn)證的方法和策略。端口可以是一個(gè)物理端口,也可以是一個(gè)邏輯端口(如VLAN)。對(duì)于無線局域網(wǎng)來說,一個(gè)端口就是一個(gè)信道。802.1x認(rèn)證的最終目的就是確定一個(gè)端口是否可用。對(duì)于一個(gè)端口,假如認(rèn)證成功那么就“打開”這個(gè)端口,答應(yīng)所有的報(bào)文通過;假如認(rèn)證不成功就使這個(gè)端口保持“關(guān)閉”,即只答應(yīng)802.1x的認(rèn)證協(xié)議報(bào)文通過。

802.1x的體系結(jié)構(gòu)如圖1所示。它的體系結(jié)構(gòu)中包括三個(gè)部分,即請(qǐng)求者系統(tǒng)、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器系統(tǒng)三部分:

無線局域網(wǎng)認(rèn)證技術(shù)的應(yīng)用分析(1)


圖1 802.1x認(rèn)證的體系結(jié)構(gòu)


1、請(qǐng)求者系統(tǒng)

請(qǐng)求者是位于局域網(wǎng)鏈路一端的實(shí)體,由連接到該鏈路另一端的認(rèn)證系統(tǒng)對(duì)其進(jìn)行認(rèn)證。請(qǐng)求者通常是支持802.1x認(rèn)證的用戶終端設(shè)備,用戶通過啟動(dòng)客戶端軟件發(fā)起802.lx認(rèn)證,后文的認(rèn)證請(qǐng)求者和客戶端二者表達(dá)相同含義。

2、認(rèn)證系統(tǒng)

認(rèn)證系統(tǒng)對(duì)連接到鏈路對(duì)端的認(rèn)證請(qǐng)求者進(jìn)行認(rèn)證。認(rèn)證系統(tǒng)通常為支持802.lx協(xié)議的網(wǎng)絡(luò)設(shè)備,它為請(qǐng)求者提供服務(wù)端口,該端口可以是物理端口也可以是邏輯端口,一般在用戶接入設(shè)備(如LAN Switch和AP)上實(shí)現(xiàn)802.1x認(rèn)證。后文的認(rèn)證系統(tǒng)、認(rèn)證點(diǎn)和接入設(shè)備三者表達(dá)相同含義。

3、認(rèn)證服務(wù)器系統(tǒng)

認(rèn)證服務(wù)器是為認(rèn)證系統(tǒng)提供認(rèn)證服務(wù)的實(shí)體,建議使用RADIUS服務(wù)器來實(shí)現(xiàn)認(rèn)證服務(wù)器的認(rèn)證和授權(quán)功能。請(qǐng)求者和認(rèn)證系統(tǒng)之間運(yùn)行802.1x定義的 EAPO (Extensible Authentication PRotocolover LAN)協(xié)議。當(dāng)認(rèn)證系統(tǒng)工作于中繼方式時(shí),認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間也運(yùn)行EAP協(xié)議,EAP幀中封裝認(rèn)證數(shù)據(jù),將該協(xié)議承載在其它高層次協(xié)議中(如 RADIUS),以便穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù)器;當(dāng)認(rèn)證系統(tǒng)工作于終結(jié)方式時(shí),認(rèn)證系統(tǒng)終結(jié)EAPoL消息,并轉(zhuǎn)換為其它認(rèn)證協(xié)議(如 RADIUS),傳遞用戶認(rèn)證信息給認(rèn)證服務(wù)器系統(tǒng)。

認(rèn)證系統(tǒng)每個(gè)物理端口內(nèi)部包含有受控端口和非受控端口。非受控端口始終處于雙向連通狀態(tài),主要用來傳遞EAPoL協(xié)議幀,可隨時(shí)保證接收認(rèn)證請(qǐng)求者發(fā)出的EAPoL認(rèn)證報(bào)文;受控端口只有在認(rèn)證通過的狀態(tài)下才打開,用于傳遞網(wǎng)絡(luò)資源和服務(wù)。

三、802.1x認(rèn)證流程

基于802.1x的認(rèn)證系統(tǒng)在客戶端和認(rèn)證系統(tǒng)之間使用EAPOL格式封裝EAP協(xié)議傳送認(rèn)證信息,認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間通過RADIUS協(xié)議傳送認(rèn)證信息。由于EAP協(xié)議的可擴(kuò)展性,基于EAP協(xié)議的認(rèn)證系統(tǒng)可以使用多種不同的認(rèn)證算法,如EAP-md5,EAP-TLS,EAP-SIM,EAP- TTLS以及EAP-AKA等認(rèn)證方法。

以EAP-MD5為例,描述802.1x的認(rèn)證流程。EAP-MD5是一種單向認(rèn)證機(jī)制,可以完成網(wǎng)絡(luò)對(duì)用戶的認(rèn)證,但認(rèn)證過程不支持加密密鑰的生成?;贓AP-MD5的802.1x認(rèn)證系統(tǒng)功能實(shí)體協(xié)議棧如圖2所示?;贓AP-MD5的802.1x認(rèn)證流程如圖3所示,認(rèn)證流程包括以下步驟:

無線局域網(wǎng)認(rèn)證技術(shù)的應(yīng)用分析(1)


圖2 基于EAP-MD5的802.1x認(rèn)證系統(tǒng)功能實(shí)體協(xié)議棧


無線局域網(wǎng)認(rèn)證技術(shù)的應(yīng)用分析(1)


圖3 基于EAP-MD5的802.1x認(rèn)證流程



(1)  客戶端向接入設(shè)備發(fā)送一個(gè)EAPoL-Start報(bào)文,開始802.1x認(rèn)證接入;

(2)  接入設(shè)備向客戶端發(fā)送EAP-Request/Identity報(bào)文,要求客戶端將用戶名送上來;

(3)  客戶端回應(yīng)一個(gè)EAP-Response/Identity給接入設(shè)備的請(qǐng)求,其中包括用戶名;

(4)  接入設(shè)備將EAP-Response/Identity報(bào)文封裝到RADIUS Access-Request報(bào)文中,發(fā)送給認(rèn)證服務(wù)器;

(5)  認(rèn)證服務(wù)器產(chǎn)生一個(gè)Challenge,通過接入設(shè)備將RADIUS Access-Challenge報(bào)文發(fā)送給客戶端,其中包含有EAP-Request/MD5-Challenge;

(6)  接入設(shè)備通過EAP-Request/MD5-Challenge發(fā)送給客戶端,要求客戶端進(jìn)行認(rèn)證;

(7)  客戶端收到EAP-Request/MD5-Challenge報(bào)文后,將密碼和Challenge做MD5算法后的Challenged-Pass-Word,在EAP-Response/MD5-Challenge回應(yīng)給接入設(shè)備;

(8)  接入設(shè)備將Challenge,Challenged Password和用戶名一起送到RADIUS服務(wù)器,由RADIUS服務(wù)器進(jìn)行認(rèn)證;

(9)  RADIUS服務(wù)器根據(jù)用戶信息,做MD5算法,判定用戶是否合法,然后回應(yīng)認(rèn)證成功/失敗報(bào)文到接入設(shè)備。假如成功,攜帶協(xié)商參數(shù),以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán)。假如認(rèn)證失敗,則流程到此結(jié)束;

(10)  假如認(rèn)證通過,用戶通過標(biāo)準(zhǔn)的DHCP協(xié)議(可以是DHCP Relay),通過接入設(shè)備獲取規(guī)劃的ip地址;

(11)  假如認(rèn)證通過,接入設(shè)備發(fā)起計(jì)費(fèi)開始請(qǐng)求給RADIUS用戶認(rèn)證服務(wù)器;

(12)  RADIUS用戶認(rèn)證服務(wù)器回應(yīng)計(jì)費(fèi)開始請(qǐng)求報(bào)文。用戶上線完畢。

QQread.com 推出各大專業(yè)服務(wù)器評(píng)測(cè) linux服務(wù)器的安全性能 SUN服務(wù)器 HP服務(wù)器 DELL服務(wù)器 IBM服務(wù)器 聯(lián)想服務(wù)器 浪潮服務(wù)器 曙光服務(wù)器 同方服務(wù)器 華碩服務(wù)器 寶德服務(wù)器


四、802.1x認(rèn)證組網(wǎng)應(yīng)用

按照不同的組網(wǎng)方式,802.1x認(rèn)證可以采用集中式組網(wǎng)(匯聚層設(shè)備集中認(rèn)證)、分布式組網(wǎng)(接入層設(shè)備分布認(rèn)證)和本地認(rèn)證組網(wǎng)。不同的組網(wǎng)方式下,802.1x認(rèn)證系統(tǒng)實(shí)現(xiàn)的網(wǎng)絡(luò)位置有所不同。

1、802.1x集中式組網(wǎng)(匯聚層設(shè)備集中認(rèn)證)

802.1x集中式組網(wǎng)方式是將802.1x認(rèn)證系統(tǒng)端放到網(wǎng)絡(luò)位置較高的LAN Switch設(shè)備上,這些LAN Switch為匯聚層設(shè)備。其下掛的網(wǎng)絡(luò)位置較低的LAN Switch只將認(rèn)證報(bào)文透?jìng)鹘o作為802.lx認(rèn)證系統(tǒng)端的網(wǎng)絡(luò)位置較高的LAN Switch設(shè)備,集中在該設(shè)備上進(jìn)行802.1x認(rèn)證處理。這種組網(wǎng)方式的優(yōu)點(diǎn)在于802.1x采用集中治理方式,降低了治理和維護(hù)成本。匯聚層設(shè)備集中認(rèn)證如圖4所示。

無線局域網(wǎng)認(rèn)證技術(shù)的應(yīng)用分析(1)



圖4 802.1x集中式組網(wǎng)(匯聚層設(shè)備集中認(rèn)證)



2、802.1x分布式組網(wǎng)(接入層設(shè)備分布認(rèn)證)

802.1x分布式組網(wǎng)是把802.lx認(rèn)證系統(tǒng)端放在網(wǎng)絡(luò)位置較低的多個(gè)LAN Switch設(shè)備上,這些LAN Switch作為接入層邊緣設(shè)備。認(rèn)證報(bào)文送給邊緣設(shè)備,進(jìn)行802.1x認(rèn)證處理。這種組網(wǎng)方式的優(yōu)點(diǎn)在于,它采用中/高端設(shè)備與低端設(shè)備認(rèn)證相結(jié)合的方式,可滿足復(fù)雜網(wǎng)絡(luò)環(huán)境的認(rèn)證。認(rèn)證任務(wù)分配到眾多的設(shè)備上,減輕了中心設(shè)備的負(fù)荷。接入層設(shè)備分布認(rèn)證如圖5所示。

無線局域網(wǎng)認(rèn)證技術(shù)的應(yīng)用分析(1)



圖5 802.1x分布式組網(wǎng)(接入層設(shè)備分布認(rèn)證)



802.lx分布式組網(wǎng)方式非常適用于受控組播等特性的應(yīng)用,建議采用分布式組網(wǎng)對(duì)受控組播業(yè)務(wù)進(jìn)行認(rèn)證。假如采用集中式組網(wǎng)將受控組播認(rèn)證設(shè)備端放在匯聚設(shè)備上,從組播服務(wù)器下行的流在到達(dá)匯聚設(shè)備之后,由于認(rèn)證系統(tǒng)還下掛接入層設(shè)備,將無法區(qū)分最終用戶,若打開該受控端口,則匯聚層端口以下的所有用戶都能夠訪問到受控組播消息源。反之,假如采用分布式組網(wǎng),則從組播服務(wù)器來的組播流到達(dá)接入層認(rèn)證系統(tǒng),可以實(shí)現(xiàn)組播成員的精確粒度控制。

3、802.1x本地認(rèn)證組網(wǎng)

802.1x的AAA認(rèn)證可以在本地進(jìn)行,而不用到遠(yuǎn)端認(rèn)證服務(wù)器上去認(rèn)證。這種本地認(rèn)證的組網(wǎng)方式在專線用戶或小規(guī)模應(yīng)用環(huán)境中非常適用。它的優(yōu)點(diǎn)在于節(jié)約成本,不需要單獨(dú)購(gòu)置昂貴的服務(wù)器,但隨著用戶數(shù)目的增加,還需要由本地認(rèn)證向RADIUS認(rèn)證遷移。

五、結(jié)束語(yǔ)

802.1x認(rèn)證系統(tǒng)提供了一種用戶接入認(rèn)證的手段,它僅關(guān)注端口的打開與關(guān)閉。對(duì)于合法用戶(根據(jù)賬號(hào)和密碼)接入時(shí),該端口打開,而對(duì)于非法用戶接入或沒有用戶接入時(shí),則使端口處于關(guān)閉狀態(tài)。認(rèn)證的結(jié)果在于端口狀態(tài)的改變,而不涉及其它認(rèn)證技術(shù)所考慮的IP地址協(xié)商和分配問題,是各種認(rèn)證技術(shù)中最為簡(jiǎn)化的實(shí)現(xiàn)方案。

必須注重到802.1x認(rèn)證技術(shù)的操作顆粒度為端口,合法用戶接入端口之后,端口始終處于打開狀態(tài),此時(shí)其它用戶(合法或非法)通過該端口接入時(shí),不需認(rèn)證即可訪問網(wǎng)絡(luò)資源。對(duì)于無線局域網(wǎng)接入而言,認(rèn)證之后建立起來的信道(端口)被獨(dú)占,不存在其它用戶非法使用的問題。但假如802.lx認(rèn)證技術(shù)應(yīng)用于寬帶IP城域網(wǎng),就存在端口打開之后,其它用戶(合法或非法)可自由接入且難以控制的問題。因此,在提出可運(yùn)營(yíng)、可治理要求的寬帶IP城域網(wǎng)中如何使用該認(rèn)證技術(shù),還需要謹(jǐn)慎分析所適用的場(chǎng)合,并考慮與其它信息綁定組合認(rèn)證的可能性。



發(fā)表評(píng)論 共有條評(píng)論
用戶名: 密碼:
驗(yàn)證碼: 匿名發(fā)表
主站蜘蛛池模板: 和静县| 汝州市| 武汉市| 义马市| 富川| 宣威市| 裕民县| 余江县| 汤原县| 伊吾县| 栖霞市| 微博| 淮南市| 忻城县| 开封市| 周口市| 马龙县| 芜湖县| 城口县| 郑州市| 柘荣县| 临洮县| 临海市| 三都| 长宁县| 嫩江县| 仪征市| 华蓥市| 牟定县| 滦平县| 吉水县| 新丰县| 黑水县| 上杭县| 南安市| 临漳县| 响水县| 英吉沙县| 潍坊市| 南昌市| 潍坊市|