1　背景

　　以太網的高性價比和媒體的特性使其逐漸成為家庭、企業(yè)局域網、電信級城域網的主導接入技術，而且隨著10 Gbit/s以太網技術的出現，以太網技術在廣域網范圍內也將獲得一席之地，電信運營商和寬帶接入提供商開始提供基于以太或純以太的接入業(yè)務。對于以太網絡中多數業(yè)務來說，運營商無法從物理上完全控制客戶端設備或者媒介。運營商要實現對寬帶業(yè)務的可運營、可管理，就必須從邏輯上對用戶或者用戶設備進行控制。該控制過程主要通過對用戶和用戶設備的認證和授權來實施。一般來說，需要進行認證和授權的業(yè)務種類包括：

　　(1)提供給多用戶系統的以太城域網業(yè)務。這些業(yè)務包括典型的TLS業(yè)務、L2或者L3的VPN業(yè)務。在該業(yè)務組網環(huán)境中，客戶前端交換機由同一建筑物內的多個用戶共享。

　　(2)在以IEEE 802.11a和IEEE 802.1b提供無線以太接入的熱點地區(qū)(如機場、商場、學校和餐廳等)，需要基于每個用戶設備或者用戶進行接入認證.以防止非授權用戶接入。

　　(3)基于ATM RFC 1483的DSL業(yè)務和IP以太接入網。

　　(4)基于EFM(Ethernet in the First Mile，IEEE 802.3ah)EPON接入和EoVDSL等業(yè)務。

　　(5)基于以太的cahle的共享RF信道接入方式。

　　2　IEEE 802.1x協議技術分析

　　IEEE在2001正式頒布了IEEE 802.1x標準，用于基于以太的局域網、城域網和各種寬帶接入手段的用戶/設備接入認證。這種認證采用基于以太網端口的用戶訪問控制技術，只有網絡系統允許并授權的用戶可以訪問網絡系統的各種業(yè)務(如以太網連接、網絡層路由、Internet接入等業(yè)務)，既可以克服PPPoE方式的諸多問題，又避免了引入集中式寬帶接入服務器所帶來的巨大投資。

　　802.1x協議是基于Client/Server的訪問控制和認證協議。它可以限制未經授權的用戶/設備通過接入端口訪問LAN/MAN。在獲得交換機或LAN提供的各種業(yè)務之前，802.1x對連接到交換機端口上的用戶/設備進行認證。在認證通過之前，802.1x只允許EAPoL(基于局域網的擴展認證協議)數據通過設備連接的交換機端口；認證通過以后，正常的數據可以順利地通過以太網端口。

　　用戶側的以太網交換機上放置一個擴展認證協議(EAP)代理，用戶PC機運行EAPoL(EAP over LAN)的客戶端軟件與交換機通信。網絡訪問技術的核心部分是PAE(端口訪問實體)。在訪問控制流程中，端口訪問實體包括：認證者(對接入的用戶/設備進行認證的端口)、請求者(被認證的用戶/設備)和認證服務器(根據認證者的信息，對請求訪問網絡資源的用戶/設備執(zhí)行實際認證功能的設備)3部分。

　　以太網的每個物理端口分為受控和不受控兩個邏輯端口，物理端口收到的每個幀都被送到受控和不受控端口。對受控端口的訪問，受限于受控端口的授權狀態(tài)。認證者的PAE根據認證服務器認證過程的結果，控制“受控端口”的授權/未授權狀態(tài)。處在未授權狀態(tài)的控制端口，拒絕用戶/設備的訪問。

　　2.1　802.1x認證特點

　　基于以太網端口認證的802.1x協議有如下特點：

　　(1)IEEE 802.1x協議為二層協議，不需要到達三層，對設備的整體性能要求不高，可以有效降低建網成本。

　　(2)借用了在RAS系統中常用的EAP(擴展認證協議)，可以提供良好的擴展性和適應性，實現對傳統PPP認證架構的兼容。

　　(3)802 1x的認證體系結構中采用了“可控端口”和“不可控端口”的邏輯功能，從而可以實現業(yè)務與認證分離，由RADIUS和交換機利用不可控的邏輯端口共同完成對用戶的認證與控制，業(yè)務報文直接承載在正常的二層報文上通過可控端口進行交換，其通過認證后的數據包是無需封裝的純數據包。

　　(4)可以使用現有的后臺認證系統降低部署的成本，并有豐富的業(yè)務支持。

　　(5)可以映射不同的用戶認證等級到不同的VLAN。

　　(6)可以使交換端口和無線LAN具有安全的認證接入功能。

　　2.2　802.1x應用環(huán)境

　　2.2.1　交換式以太網絡環(huán)境

　　隨著以太網技術的不斷演進，局域網和城域網的網絡架構演變?yōu)橐环N全交換的網絡環(huán)境。在交換式以太網絡中，用戶設備一般通過一個專用的5類線和接入以太網交換機的端口直接連接，一般一個用戶設備對應接入以太網交換機一個物理端口。在這種網絡架構中接入以太網交換機的物理端口可以敏銳的覺察到用戶設備的使用情況，并且根據設備和線路的狀況，作出對設備認證狀態(tài)的判斷，采取相應的動作。這種網絡結構面臨的最大問題就是“搭載“情況的發(fā)生。所謂“搭載”就是指在采用802.1x認證時，如果用戶網絡和接入以太網交換機中間采用了共享設備，那么只要用戶網絡上的一個設備/用戶通過了接入交換機的認證，開放了端口的網絡訪問權限，那么該用戶網絡上其他的未認證授權用戶/設備都可以獲得網絡訪問的權限。

　　對于交換式以太網絡，用戶和網絡之間采用點到點的物理連接，用戶彼此之間通過VLAN隔離，此網絡環(huán)境下，網絡管理控制的關鍵是用戶接入控制，802.1x不需要提供過多的安全機制。

　　2.2.2　共享式網絡環(huán)境

　　當802.1x應用于共享式的網絡環(huán)境時，為了防止在共享式網絡環(huán)境中出現類似“搭載”的問題，有必要將PAE實體由物理端口進一步擴展為多個互相獨立的邏輯端口。邏輯端口和用戶/設備形成一一對應關系，并且各邏輯端口之間的認證過程和結果相互獨立。在共享式網絡中，用戶之間共享接入物理媒介，接入網絡的管理控制必須兼顧用戶接入控制和用戶數據安全，可以采用的安全措施是對EAPoL和用戶的其他數據進行加密封裝。

　　以無線局域網IEEE 802.1la和802.11b為例的共享式以太網絡環(huán)境中，客戶設備和特定的AP之間需要建立關聯關系，基于客戶設備和AP設備MAC地址，客戶設備和AP之間的關聯還包括一個單播會話鍵。由于客戶設備的MAC地址是惟一的，所以基于客戶設備和AP之間的MAC地址關聯和單播會話鍵是惟一的。該鍵在AP上為每個無線分區(qū)中的終端創(chuàng)立了互相獨立的邏輯端口。邏輯端口建立以后，AP就可以采取802.1x對屬于互相獨立的邏輯端口的用戶終端的認證。EAP-TLS和EAP-TTLS等認證解決方案還可以解決無線局域網中使用靜態(tài)WEP所帶來的安全性問題。使用EAP-TLS和EAP-TILLS，用戶可以在每次連接動態(tài)生成新的WEP密鑰。而且在用戶連接其間，還可以按照一定間隔動態(tài)產生新密鑰。在實際網絡環(huán)境中，可以通過加速WEP密鑰重分配周期，彌補WEP靜態(tài)分配密鑰導致的安全性缺陷。

　　2.3　802.1x認證的安全性分析

　　IEEE 802.1x和PPP一樣采用了EAP協議作為認證信息交互機制，EAP消息封裝在EAPoL分組中。作為一種認證消息承載機制，EAP可以允許認證者和請求者之間采用靈活的方案進行認證，并且對將來出現的更先進、合理的認證技術具有很好的兼容性。EAP的這些特性主要通過擴展EAP中廠家定義的“EAP類型”域實現，“EAP類型”域中定義的認證類型可以滿足不同層次認證的安全需要。目前可以采用的EAP類型有EAP-MD5、EAP-TLS、EAP-TFLS、PEAP和LEAP。


　　EAP-MD5方式是通過RADIUS服務器提供簡單的集中用戶認證。其服務器不需要證書或者無線工作站中的其他安全信息，用戶注冊時該服務器只是檢查用戶名和口令，若匹配就通知允許該客戶端訪問網絡服務。由于EAP-MD5只提供認證，因此為安全起見，應該與標準802.11安全協議WEP/WEP2組合使用，采用40位/128位共享密鑰實現加密。這是一種單向認證機制，只能保證客戶端到服務器的認證，并不保證服務器到客戶端的認證。

　　EAP-TLS方式提供了一種基于證書的雙向認證，除了在連接建立時主機和服務器之間分配的會話號(Session ID)之外，它需要通過安全連接在客戶側和服務器側的事先發(fā)布的認證證書。EAP-TLS既提供認證，又提供動態(tài)會話鑰匙分發(fā)。RA-DIUS服務器需要支持EAP-TLS認證和認證證書的管理能力。TLS支持雙向認證，也就是網絡(EAP-TLS服務器)認證終端用戶(Client)，終端用戶認證網絡。只有在雙向認證通過以后，服務器才向接入認證點發(fā)送EAP-Success消息，指示用戶終端可以收發(fā)數據流。這個消息同時觸發(fā)對數據流的加密，在加密密鑰建立之前，終端不發(fā)送數據。

　　EAP-TTLS是一種允許傳統基于用戶名和密碼的認證機制方式，類似于CHAP(Challenge Handshake Authentication　Protocol)、PAP、一次性密碼(One Time Password)和EAP認證協同工作的認證機制?？蛻舳耸褂肨TLS服務器提供的數字證書對網絡端進行認證，這個過程是對安全Web服務器方式的模擬。認證隧道一旦建立，就開始對安全終端用戶進行認證。EAP-TTLS可以保證無線接入媒體中終端用戶的一致性，防止匿名用戶非法使用網絡。和EAP-TLS一樣，只有在雙向認證通過以后，服務器才向接入認證點發(fā)送EAP-Success消息，指示用戶終端可以收發(fā)數據流。這個消息同時觸發(fā)對數據流的加密，在加密密鑰建立之前，終端不發(fā)送數據。

　　2.4　802.1x認證的優(yōu)勢

　　綜合IEEE 802.1x的技術特點，它具有如下幾點優(yōu)勢：

　　(1)簡潔高效。純以太網技術內核保持了IP網絡無連接特性，不需要進行協議間的多層封裝，去除了不必要的開銷和冗余昂貴的多業(yè)務網關設備，消除網絡認證計費瓶頸和單點故障，易于支持多業(yè)務和新興流媒體業(yè)務。

　　(2)容易實現?？稍谄胀↙3、L2、IP DSLAM上實現，網絡綜合造價成本低，保留了傳統AAA認證的網絡架構，可以利用現有的RADIUS設備。

　　(3)安全可靠。在二層網絡上實現用戶認證，結合MAC、端口、賬戶、VLAN和密碼等，綁定技術具有很高的安全性。在無線局域網網絡環(huán)境中802.1x結合EAP-TLS、EAP-TTLS，可以實現對WEP證書密鑰的動態(tài)分配，克服無線局域網接入中的安全漏洞。

　　(4)行業(yè)標準。IEEE標準和以太網標準同源，可以實現和以太網技術的無縫融合，幾乎所有的主流數據設備廠商的設備(包括路由器、交換機和無線AP等)都提供對該協議的支持。客戶端方面，Linux和微軟的Windows XP操作系統都已經支持該協議。

　　(5)應用靈活?？梢造`活控制認證的顆粒度，用于對單個用戶連接、用戶ID或者是對接入設備進行認證，認證的層次可以靈活地進行組合，滿足特定的接入技術或者是業(yè)務的需要。

　　(6)易于運營。控制流和業(yè)務流完全分離，易于實現跨平臺多業(yè)務運營，少量改造傳統包月制等單一收費制網絡即可升級成運營級網絡，而且網絡的運營成本也有望降低。

　　3　802.1x在電信級IP寬帶網絡中的應用建議

　　802.1x認證在電信級寬帶網絡中應用的總體架構如圖2所示。根據前面對802.1x技術特點及技術優(yōu)勢的分析，筆者認為電信級網絡中應用802.1x應遵循下列5項原則。

　　3.1　以WLAN為應用突破口

　　802.1x認證技術在電信級寬帶網中的應用宜以(WLAN為突破口。802.1x技術從一開始就對基于WLAN提供認證的技術進行了大量的研究和探索，WLAN設備大量應用的時間段和802.1x協議標準產生也基本同步，目前多數廠商的WLAN AP設備都可以支持802.1x認證；從技術上考慮，WLAN是一種共享式的以太接入網絡，它所面臨的安全性問題和用戶控制都要比基于有線的以太接入方式難以解決。WLAN作為寬帶網上的新應用，運營商沒有什么歷史包袱，在網絡減少和設備選型時不受現有網絡條件的牽制。以上種種原因決定了WLAN是802.1x技術應用的排頭兵。

　　3.2　認證邊緣化、分布化

　　認證邊緣化充分發(fā)揮了802.1x基于端口認證的優(yōu)勢。所謂認證邊緣化是指將認證設備在網絡中的位置設置為直接與用戶設備/網絡接口，邊緣化的認證設備可以感知、監(jiān)控認證設備和用戶設備之間鏈路連接狀態(tài)，根據鏈路狀態(tài)變化，認證設備可以采取相應的策略，主動要求用戶/設備發(fā)起認證。對鏈路狀態(tài)的感知能力也是運營商進行網絡故障檢測和網絡運行維護工作順利開展的基礎，可以說實現了認證的邊緣化也就解決了寬帶接入網絡中線路維護和故障診斷困難的難題。用戶可以在本地接入網段實現隔離，不需要像集中認證方式那樣，在用戶到接入認證服務器之間的二層網絡都需要進行用戶隔離，減少了交換機運行VLAN的復雜度，也使網絡流量的規(guī)劃、管理、控制更加容易。認證邊緣化意味著認證設備的分布化，可以避免采用集中式的PPPoE認證帶來的網絡性能和網絡可靠性瓶頸。

　　3.3　用戶管理集中化

　　雖然802.1x采用分布式認證，但在用戶管理時建議仍采用集中方式。集中式的用戶管理的范圍包括有線接入用戶和無線接入用戶。集中認證一方面易于管理維護，保證了單個管理域內用戶信息的一致性；另一方面，集中統一的用戶管理為不同接入手段的用戶賬戶之間進行漫游提供了前提條件，而且用戶在不同網絡或者接入類型之間切換時面對的是統一的界面。PPPoE認證中也采用集中式的用戶管理，802.1x通過對現有的RADIUS設備進行升級，可以完整地繼承PPPoE的認證體系，避免對網絡結構進行大規(guī)模調整，工程易實現。

　　3.4　多業(yè)務接入，兼顧網絡技術特點

　　802.1x是IEEE以太協議族中的一個組成部分，應用范圍涵蓋WLAN、xDSL、5類線、Cable和EPON等純以太或者基于以太的多業(yè)務接入方式。以xDSL技術為例，一方面EoVDSL等純以太的xDSL接入手段出現，另一方面在基于ATM的xDSL技術中，IP DSLAM的出現及其三層路由功能需求，使802.1x成為滿足需求的最佳選擇。值得注意的是，交換式以太網絡和共享式以太網絡有不同的技術特點，在應用802.1x時要兼顧。

　　3.5　逐步取代PPPoE

　　802.1x技術代表了電信級寬帶網絡發(fā)展的趨勢，即認證和業(yè)務分離，支持多業(yè)務。PPPoE的缺陷注定其是過渡者角色。事實上，當初PPPoE也是作為一種權宜之計應用到寬帶網絡接入認證中的，但是802.1x取代PPPoE是一個漸進的過程。網絡現狀是我們不得不考慮的問題，其中最主要的問題是樓道交換機功能簡單，不支持802.1x。解決這個問題可以考慮采用如下途徑：一是對樓道交換機進行軟件升級，使其支持802.1x；二是對802.1x協議進行改進，使EAP可以承載在VLAN上，在匯聚層交換機進行802.1x認證，下游二層交換機采用VLAN進行用戶隔離。最終，認證邊緣化要求面向用戶的接入設備，可以直接實現對用戶接入的管理和控制。

　　4　結論

　　隨著以太網技術在寬帶網內應用范圍的日益廣泛，各種基于以太網技術的業(yè)務應運而生，成為寬帶網絡業(yè)務主體，在寬帶接入領域內，純以太網或者與以太網相關的接入技術已經成為接入網發(fā)展的大趨勢。802.1x技術作為IEEE協議族的一個組成部分，在以太網絡環(huán)境中提供了一種基于端口、認證和業(yè)務分離、高靈活性、強適應性的接入控制手段。相比現階段廣泛應用的PPPoE解決方案，802.1x不僅具有和以太網技術天生的良好兼容性，還具有出色的多業(yè)務支持能力和多樣化的統計計費能力。不過，現階段802.1x應用于電信級寬帶網絡還存在著一些缺陷，但是隨著其不斷完善、成熟，802.1x協議將成為電信級寬帶網絡中不可或缺的部分。
文章錄入：csh    責任編輯：csh 

最新評論