(国网信阳供电公司 河南信阳 464000)
关键字:认证 管理 局域网
引言
目前,电力系统局域网的认证管理方式主要是利用VLAN技术,配合IP地址和MAC地址的绑定,再加上静态分配IP地址进行的,优点非常明显,就是每个用户使用唯一的静态地址,网络管理人员对每个IP地址的使用情况都非常清楚,如果将未使用的空闲IP地址也通过交换机进行MAC地址的绑定,那么用户自己也不能随意更改IP地址。
传统局域网内认证管理方式的局限性
随着局域网的迅速发展,办公用户的网络安全问题日益突出。目前,各企业面临的安全威胁之一就是外围设备非法接入到内部网络后的破坏性攻击行为。
这种威胁在大中型企业的IT 环境中影响尤其明显。因此,建立内部网络接入防御体系势在必行。很多企事业单位已经建立了基于Windows域的信息管理系统,通过Windows域管理用户访问权限和应用执行权限。然而,基于Windows的权限控制只能作用到应用层,而无法实现对用户的物理访问权限的控制,比如对网络接入权限的控制,非法用户可随意接入用户网络,这就给企业网的网络和应用安全带来很多隐患。
简述802.1X认证技术的工作原理
802.1x协议是基于端口的认证协议,是一种对用户进行认证的方法和策略,端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。对于无线局域网来说,一个端口就是一个信道。802.1x认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,即只允许802.1x的认证协议报文通过。
802.1x协议工作在二层交换设备上,它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN。在获得交换机或LAN提供的各种业务之前,802.1x首先对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
二层交换设备上的每个物理端口被分为受控和不受控的两个逻辑端口,物理端口收到的每个帧都被送到受控和不受控端口。其中,不受控端口始终处于双向联通状态,主要用于传输认证信息。而受控端口的联通或断开是由该端口的授权状态决定的。
802.1x的体系结构如图1所示。它的体系结构中包括三个部分,即请求者系统、认证系统和认证服务器系统三部分:
请求者系统
请求者是位于局域网链路一端的实体,由连接到该链路另一端的认证系统对其进行认证。请求者通常是支持802.1x认证的用户终端设备,用户通过启动客户端软件发起802.lx认证,后文的认证请求者和客户端二者表达相同含义。
认证系统
认证系统对连接到链路对端的认证请求者进行认证。认证系统通常为支持802.lx协议的网络设备,它为请求者提供服务端口,该端口可以是物理端口也可以是逻辑端口,一般在用户接入设备(如LAN交换机和无线AP)上实现802.1x认证。
认证服务器系统
认证服务器是为认证系统提供认证服务的实体,一般使用RADIUS服务器来实现认证服务器的认证和授权功能。请求者和认证系统之间运行802.1x定义的EAPO (Extensible Authentication Protocolover LAN)协议。当认证系统工作于中继方式时,认证系统与认证服务器之间也运行EAP协议,EAP帧中封装认证数据,将该协议承载在其它高层次协议中(如RADIUS),以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时,认证系统终结EAPoL消息,并转换为其它认证协议(如RADIUS),传递用户认证信息给认证服务器系统。
802.1X认证的特点
基于以太网端口认证的802.1x协议有如下特点:
IEEE802.1x协议为二层协议,不需要到达三层,对设备的整体性
能要求不高,可以有效降低建网成本;
借用了在RAS系统中常用的EAP(扩展认证协议),可以提供良好的扩展性和适应性,实现对传统PPP认证架构的兼容;
802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能,从而可以实现业务与认证的分离,由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制,业务报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包;
802.1X认证的工作过程
当用户有上网需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。
交换机收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。
客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。
认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。
802.1X认证的安全性分析
802.1x协议中,有关安全性的问题一直是802.1x反对者攻击的焦点。实际上,这个问题的确困扰了802.1x技术很长一段时间,甚至限制了802.1x技术的应用。但技术的发展为这个问题给出了答案:802.1x结合EAP,可以提供灵活、多样的认证解决方案:
简洁高效:纯以太网技术内核,保持了IP网络无连接特性,不需要进行协议间的多层封装,去除了不必要的开销和冗余;消除网络认证计费瓶颈和单点故障.
安全可靠:在二层网络上实现用户认证,结合MAC、端口、账户、VLAN和密码等;绑定技术具有很高的安全性,在无线局域网网络环境中802.1x结合EAP-TLS,EAP-TTLS,可以实现对WEP证书密钥的动态分配,克服无线局域网接入中的安全漏洞。
行业标准:IEEE标准,和以太网标准同源,可以实现和以太网技术的无缝融合,几乎所有的主流数据设备厂商在其设备,包括路由器、交换机和无线AP上都提供对该协议的支持。
笔者在实际工作中已经通过802.1x 协议和活动目录技术相结合的方案,实现了设备接入的合法验证和管理,增强了网络的可控性和安全性,较大的减轻了网络管理人员的工作负担。
论文作者:张亮
论文发表刊物:《电力设备》2017年第6期
论文发表时间:2017/6/13
标签:端口论文; 协议论文; 用户论文; 交换机论文; 系统论文; 网络论文; 服务器论文; 《电力设备》2017年第6期论文;