802.1x協(xié)議起源于802.11協(xié)議，后者是IEEE的無線局域網(wǎng)協(xié)議， 制訂802.1x協(xié)議的初衷是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題。IEEE802LAN協(xié)議定義的局域網(wǎng)并不提供接入認(rèn)證，只要用戶能接入局域網(wǎng)控制 設(shè)備 (如LANS witch) ，就可以訪問局域網(wǎng)中的設(shè)備或資源。這在早期企業(yè)網(wǎng)有線LAN應(yīng)用環(huán)境下并不存在明顯的安全隱患。但是隨著移動(dòng)辦公及駐地網(wǎng)運(yùn)營等應(yīng)用的大規(guī)模發(fā)展，服務(wù)提供者需要對(duì)用戶的接入進(jìn)行控制和配置。尤其是WLAN的應(yīng)用和LAN接入在電信網(wǎng)上大規(guī)模開展，有必 要對(duì)端口加以控制以實(shí)現(xiàn)用戶級(jí)的接入控制，802.lx就是IEEE為了解決基于端口的接入控制 (Port-Based Network Access Contro1) 而定義的一個(gè)標(biāo)準(zhǔn)。
　　IEEE 802.1X是根據(jù)用戶ID或設(shè)備，對(duì)網(wǎng)絡(luò)客戶端(或端口)進(jìn)行鑒權(quán)的標(biāo)準(zhǔn)。該流程被稱為“端口級(jí)別的鑒權(quán)”。它采用RADIUS(遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù))方法，并將其劃分為三個(gè)不同小組:請求方、認(rèn)證方和授權(quán)服務(wù)器。
　　820.1X 標(biāo)準(zhǔn)應(yīng)用于試圖連接到端口或其它設(shè)備(如Cisco Catalyst交換機(jī)或Cisco Aironet系列接入點(diǎn))(認(rèn)證方)的終端設(shè)備和用戶(請求方)。認(rèn)證和授權(quán)都通過鑒權(quán)服務(wù)器(如Cisco Secure ACS)后端通信實(shí)現(xiàn)。IEEE 802.1X提供自動(dòng)用戶身份識(shí)別，集中進(jìn)行鑒權(quán)、密鑰管理和LAN連接配置。 整個(gè)802.1x 的實(shí)現(xiàn)設(shè)計(jì)三個(gè)部分，請求者系統(tǒng)、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器系統(tǒng)。
一下分別介紹三者的具體內(nèi)容:
請求者系統(tǒng)
　　請求者是位于局域網(wǎng)鏈路一端的實(shí)體，由連接到該鏈路另一端的認(rèn)證系統(tǒng)對(duì)其進(jìn)行認(rèn)證。請求者通常是支持802.1x認(rèn)證的用戶終端設(shè)備，用戶通過啟動(dòng)客戶端軟件發(fā)起802.1x認(rèn)證，后文的認(rèn)證請求者和客戶端二者表達(dá)相同含義。
　　認(rèn)證系統(tǒng)
　　認(rèn)證系統(tǒng)對(duì)連接到鏈路對(duì)端的認(rèn)證請求者進(jìn)行認(rèn)證。認(rèn)證系統(tǒng)通常為支持802. 1x協(xié)議的網(wǎng)絡(luò)設(shè)備，它為請求者提供服務(wù)端口，該端口可以是物理端口也可以 是邏輯端口，一般在用戶接入設(shè)備 (如LAN Switch和AP) 上實(shí)現(xiàn)802.1x認(rèn)證。倎文的認(rèn)證系統(tǒng)、認(rèn)證點(diǎn)和接入設(shè)備三者表達(dá)相同含義。
　　認(rèn)證服務(wù)器系統(tǒng)
　　認(rèn)證服務(wù)器是為認(rèn)證系統(tǒng)提供認(rèn)證服務(wù)的實(shí)體，建議使用RADIUS服務(wù)器來實(shí)現(xiàn)認(rèn)證服務(wù)器的認(rèn)證和授權(quán)功能。
　　請求者和認(rèn)證系統(tǒng)之間運(yùn)行802.1x定義的EAPO (Extensible Authentication Protocolover LAN)協(xié)議。當(dāng)認(rèn)證系統(tǒng)工作于中繼方式時(shí)，認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間也運(yùn)行EAP協(xié)議，EAP幀中封裝認(rèn)證數(shù)據(jù)，將該協(xié)議承載在其它高層次協(xié)議中(如 RADIUS)，以便穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù)器;當(dāng)認(rèn)證系統(tǒng)工作于終結(jié)方式時(shí)，認(rèn)證系統(tǒng)終結(jié)EAPoL消息，并轉(zhuǎn)換為其它認(rèn)證協(xié)議(如 RADIUS)，傳遞用戶認(rèn)證信息給認(rèn)證服務(wù)器系統(tǒng)。
　　認(rèn)證系統(tǒng)每個(gè)物理端口內(nèi)部包含有受控端口和非受控端口。非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞EAPoL協(xié)議幀，可隨時(shí)保證接收認(rèn)證請求者發(fā)出的EAPoL認(rèn)證報(bào)文;受控端口只有在認(rèn)證通過的狀態(tài)下才打開，用于傳遞網(wǎng)絡(luò)資源和服務(wù)。
　　整個(gè)802.1x的認(rèn)證過程可以描述如下
　　(1) 客戶端向接入設(shè)備發(fā)送一個(gè)EAPoL-Start報(bào)文，開始802.1x認(rèn)證接入;
　　(2) 接入設(shè)備向客戶端發(fā)送EAP-Request/Identity報(bào)文，要求客戶端將用戶名送上來;
　　(3) 客戶端回應(yīng)一個(gè)EAP-Response/Identity給接入設(shè)備的請求，其中包括用戶名;
　　(4) 接入設(shè)備將EAP-Response/Identity報(bào)文封裝到RADIUS Access-Request報(bào)文中，發(fā)送給認(rèn)證服務(wù)器;
　　(5) 認(rèn)證服務(wù)器產(chǎn)生一個(gè)Challenge，通過接入設(shè)備將RADIUS Access-Challenge報(bào)文發(fā)送給客戶端，其中包含有EAP-Request/MD5-Challenge;
　　(6) 接入設(shè)備通過EAP-Request/MD5-Challenge發(fā)送給客戶端，要求客戶端進(jìn)行認(rèn)證
　　(7) 客戶端收到EAP-Request/MD5-Challenge報(bào)文后，將密碼和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回應(yīng)給接入設(shè)備
　　(8) 接入設(shè)備將Challenge，Challenged Password和用戶名一起送到RADIUS服務(wù)器，由RADIUS服務(wù)器進(jìn)行認(rèn)證
　　(9)RADIUS服務(wù)器根據(jù)用戶信息，做MD5算法，判斷用戶是否合法，然后回應(yīng)認(rèn)證成功/失敗報(bào)文到接入設(shè)備。如果成功，攜帶協(xié)商參數(shù)，以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán)。如果認(rèn)證失敗，則流程到此結(jié)束;
　　(10) 如果認(rèn)證通過，用戶通過標(biāo)準(zhǔn)的DHCP協(xié)議 (可以是DHCP Relay) ，通過接入設(shè)備獲取規(guī)劃的IP地址;
　　(11) 如果認(rèn)證通過，接入設(shè)備發(fā)起計(jì)費(fèi)開始請求給RADIUS用戶認(rèn)證服務(wù)器;
　　(12)RADIUS用戶認(rèn)證服務(wù)器回應(yīng)計(jì)費(fèi)開始請求報(bào)文。用戶上線完畢。

最新評(píng)論