[摘要]介紹802.1x協(xié)議的體系結(jié)構(gòu)及認證機理。并針對多種設備，給出不同的測試方法，文后總結(jié)和介紹802.1x的安全問題。

[關鍵詞]802.1x 認證 分析

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0310038－01

一、目前廣泛采用的認證模式及其簡單介紹

隨著計算機網(wǎng)絡技術的不斷發(fā)展，INTERNET主干網(wǎng)的不斷擴容，加之信息化的建設，網(wǎng)絡已經(jīng)成為工作、生活中不可或缺的一部分。當前主流的上網(wǎng)認證方式有3種：PPPOE、WEB/PORTAL、802.1X。

PPPOE(PPP OVER ETHERNET)是90年代后期由REDBACK、ROUTERWARE、WORLDCOM三家公司在IETF RFC的基礎上聯(lián)合開發(fā)的一個以太網(wǎng)點對點協(xié)議。PPPOE認證需要將PPP協(xié)議再次封裝到以太網(wǎng)中，網(wǎng)絡封裝開銷很大，容易造成網(wǎng)絡瓶頸。PPPOE使用廣播報文發(fā)起認證，容易引起廣播風暴。PPPOE認證系統(tǒng)需要外接BAS服務器對用戶的每個數(shù)據(jù)報文進行拆包識別和封裝轉(zhuǎn)發(fā)，認證報文和業(yè)務數(shù)據(jù)均需經(jīng)過BAS，容易引起網(wǎng)絡瓶頸。加上PPPOE協(xié)議本身是基于點對點的會話，因此無法實現(xiàn)組播業(yè)務。

WEB/PORTAL認證的絕對優(yōu)勢在于它不需要用戶安裝特定的客戶端軟件，有效降低了網(wǎng)絡維護的工作量。但是WEB認證采用的是第7層應用層協(xié)議，而網(wǎng)絡認證是采用的第2層連接。因此WEB/PORTAL認證用戶連接性較差，不容易檢測用戶離線，基于時間的計費較難實現(xiàn)。比如斷電、突發(fā)故障等異常離線情況必須在2層做檢測，而WEB/PORTAL對此毫無辦法。

二、802.1x的協(xié)議分析

（一）802.1x的簡單介紹

IEEE802.1x協(xié)議稱為基于端口的訪問控制協(xié)議(Port based network access control protoco1)，由IEEE(Institute of Electrical and Electronics Engineers)于2001年6月提出的，它以操作粒度為端口，提供了一種基于端口的網(wǎng)絡接入控制技術，在設備的物理接入級對接入設備進行認證和控制。

802.1x協(xié)議是基于Client／Server的訪問控制和認證協(xié)議。它可以限制未經(jīng)授權的用戶／設備通過接入端口訪問LAN／MAN。在獲得交換機或LAN提供的各種業(yè)務之前，802.1x對連接到交換機端口上的用戶／設備進行認證。在認證通過之前，802.1x只允許EAPoL（基于局域網(wǎng)的擴展認證協(xié)議）數(shù)據(jù)通過設備連接的交換機端口；認證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。

（二）802.1x的體系結(jié)構(gòu)

802.1x由認證服務器（Authentication）、認證系統(tǒng)（Authenticator）和客戶端系統(tǒng)（Supplicant）組成。

認證服務器一般為RADIUS服務器。在認證服務器上，一般存儲有用戶的帳號、密碼、所處網(wǎng)絡的邏輯方位、優(yōu)先級及用戶的訪問控制信息等。認證系統(tǒng)為支持802.1X協(xié)議的網(wǎng)絡設備。

認證系統(tǒng)中支持兩種邏輯端口，受控端口(Controlled Port)和非受控端口(Uncontrolled Port)。受控端口只有在認證通過的狀態(tài)下才打開，用于傳遞網(wǎng)絡資源和服務。非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞EAPOL協(xié)議幀，可保證客戶端始終可以發(fā)出或接受認證。

客戶端系統(tǒng)一般為一個用戶終端系統(tǒng)，該終端系統(tǒng)通常要安裝一個客戶端軟件，用戶通過啟動這個客戶端軟件發(fā)起IEEE 802.1x協(xié)議的認證過程。為支持基于端口的接入控制，客戶端系統(tǒng)需支持EAPOL(extensible authentication protocol overLAN)協(xié)議。

（三）802.1x協(xié)議的標準認證過程

1．802.1x客戶端發(fā)送一個請求認證的報文(EAPOL-Start)發(fā)送給認證系統(tǒng)，這是802.1x認證的發(fā)起。2．認證系統(tǒng)在收到請求報文后，發(fā)送報文給客戶端，要求客戶端發(fā)送認證信息。3．客戶端響應認證系統(tǒng)的要求，將用戶信息傳送給認證系統(tǒng)；認證系統(tǒng)經(jīng)過封裝、處理后將該數(shù)據(jù)轉(zhuǎn)發(fā)給認證服務器。4．認證服務器收到認證系統(tǒng)轉(zhuǎn)發(fā)的報文后，對用戶信息用隨機產(chǎn)生的加密字進行加密處理（802.1x默認采用MD5加密），同時將該加密字封裝成數(shù)據(jù)包傳送給認證系統(tǒng)，由認證系統(tǒng)轉(zhuǎn)發(fā)給客戶端。5．客戶端收到加密字后，用該加密字對用戶口令進行加密，并通過認證系統(tǒng)傳送給認證服務器。6．認證服務器匹配客戶端傳送的用戶名和密碼，如符合，返回一個成功信息，并打開認證系統(tǒng)的端口，允許非802.1x數(shù)據(jù)流通過；否則，返回失敗信息，認證系統(tǒng)的端口狀態(tài)維持不變。

三、802.1x在曉莊學院的測試以及技術處理

（一）曉莊校園網(wǎng)網(wǎng)絡拓撲示意圖

曉莊學院學生公寓均采用DHCP動態(tài)分配IP地址，接入設備為銳捷和港灣的二層交換機。認證服務器采用北京億郵的認證服務器。

（二）802.1x技術測試方法

由于對802.1X認識的差異性及對802.1X不同的私有函數(shù)擴展，實際測試過程中，802.1X的標準認證過程沒有辦法解決曉莊學院的實際需求。在測試過程中，對于港灣設備，采用認證和計費相分離的方法；對于銳捷的設備，采用了在客戶端兩次發(fā)布同一報文的方法。

四、802.1x的安全性認識

由于802.1x采用單向認證，即認證系統(tǒng)只認證用戶，并無法認證認證者本身的合法性。使得位于合法用戶與認證服務器之間的攻擊者，可以攔截802.1X報文，并對該報文進行修改，達到攻擊者偽裝成合法認證者的目的。

由于認證報文與業(yè)務數(shù)據(jù)之間缺少狀態(tài)轉(zhuǎn)換信息的交流，給攻擊者留下了獲取游離信息（包含MAC地址信息等）的機會，使得攻擊者可以利用這段時間，在合法用戶身份認證通過后，利用該游離信息非法竊取本應屬于合法用戶的正當IP地址，從而獲得網(wǎng)絡使用權限。

參考文獻：

[1]吳紹興、鄭柯、項延鐵,路由器安全與AAA認證的研究與應用,南陽師范學院學報（自然科學版）,2004.3.

[2]李巍,利用動態(tài)VLAN技術與802.1x認證構(gòu)建安全靈活的局域網(wǎng),中國金融電腦,2005.

[3]王謙,利用802.1x協(xié)議實現(xiàn)局域網(wǎng)接入的可控管理,江蘇電機工程,2005.

作者簡介：

蔣振兵，男，江蘇省泰州市興化市，本科，研究方向計算機科學與技術。