在城域网建设初期,大家对可运营、可治理性的熟悉还不是很一致,802.1x认证技术可能会有一定的市场空间,随着宽带IP城域网建设的逐步成熟和对可治理的关注,基于端口开关状态的802.1x认证技术不会成为主流 。
四、802.1x协议工作机制
以太网技术“连通和共享”的设计初衷使目前由以太网构成的网络系统面临着很多安全问题 。IEEE 802.1X协议正是在基于这样的背景下被提出来的,成为解决局域网安全问题的一个有效手段 。
在802.1X协议中,只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权 。
1.客户端:一般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求 。
2.认证系统:在以太网系统中指认证交换机,其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口 。
3.认证服务器:通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络服务,并根据认证结果向交换机发出打开或保持端口关闭的状态 。
在具有802.1X认证功能的网络系统中,当一个用户需要对网络资源进行访问之前必须先要完成以下的认证过程 。
在具有802.1X认证功能的网络系统中,当一个用户需要对网络资源进行访问之前必须先要完成以下的认证过程 。
1.当用户有上网需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求 。此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程 。
2.交换机收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来 。
3.客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机 。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理 。
4.认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给交换机,由交换机传给客户端程序 。
5.客户端程序收到由交换机传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过交换机传给认证服务器 。
6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,假如相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打开端口的指令,答应用户的业务流通过端口访问网络 。否则,反馈认证失败的消息,并保持交换机端口的关闭状态,只答应认证信息数据通过而不答应业务数据通过 。
这里要提出的一个值得注重的地方是: 在客户端与认证服务器交换口令信息的时候,没有将口令以明文直接送到网络上进行传输,而是对口令信息进行了不可逆的加密算法处理,使在网络上传输的敏感信息有了更高的安全保障,杜绝了由于下级接入设备所具有的广播特性而导致敏感信息泄漏的问题 。
在802.1X解决方案中,通常采用基于MAC地址的端口访问控制模式 。采用此种模式将会带来降低用户建网成本、降低认证服务器性能要求的优点 。对于此种访问控制方式,应当采用相应的手段来防止由于MAC、IP地址假冒所发生的网络安全问题 。
1.对于假冒MAC地址的情况
当认证交换机的一个物理端口下面再级连一台接入级交换机,而该台接入交换机上的甲用户已经通过认证并正常使用网络资源,则此时在认证交换机的该物理端口中就已将甲用户终端设备的MAC地址设定为答应发送业务数据 。假如同一台接入交换机下的乙用户将自己的MAC地址修改得与甲用户的MAC地址相同,则即使乙用户没有经过认证过程也能够使用网络资源了,这样就给网络安全带来了漏洞 。针对此种情况,港湾网络交换机在实现了802.1X认证、授权功能的交换机上通过MAC地址 IP地址的绑定功能来阻止假冒MAC地址的用户非法访问 。
推荐阅读
- TCP/IP协议处理 由“软”转“硬”
- 在Vovida的基础上实现自己的SIP协议栈①
- TCP/IP协议中的三个参数
- 802.1x协议工作机制
- QoS 的协议与结构
- 剖析TCP和UDP协议
- TCP协议的拥塞控制策略及改进
- 802.17和城域环网协议
- 轻松学习SNMP协议之入门篇
- PPP协议涉及到的几个典型压缩技术