IEEE802.1x技术白皮书V10

IEEE802.1x技术白皮书V10北京港湾网络有限公司产品部2002年2月目录第一部分IEEE802.1X协议介绍......................................11协议的开发背景..................................................12几个名词的定义..................................................13工作机制........................................................33.1各组成部分的功能............................................33.2受控和非受控的访问（Controlledanduncontrolledaccess）....53.3IEEE802.1x协议的体系结构..................................93.4IEEE802.1x协议的工作机制.................................113.5协议实现内容...............................................153.6基本的认证过程.............................................193.7几个注意的问题.............................................204几种认证方式的比较.............................................214.1PPPOE认证.................................................214.2WEB认证...................................................224.3802.1x认证................................................244.4小结几种认证方式的比较.....................................26第二部分IEEE802.1X协议在港湾网络的应用.........................271IEEE802.1X解决方案............................................271.1端口控制模式...............................................271.2802.1x解决方案............................................282IEEE802.1X应用方案............................................292.1802.1x认证应用在新建小区..................................292.2802.1x认证应用在旧小区....................................313港湾802.1X认证计费系统介绍....................................343.1计费管理系统功能...........................................353.2港湾计费管理系统解决方案...................................36第三部分港湾802.1X认证应用案例.................................411802.1X在宁波网通的应用.........................................412802.1X在通化电信的应用........................................42第一部分IEEE802.1x协议介绍1协议的开发背景在IEEE802LAN所定义的局域网环境中，只要存在物理的连接口，未经授权的网络设备就可以接入局域网，或者是未经授权的用户可以通过连接到局域网的设备进入网络。例如：一个可以访问公共网络的大厦的办公网，或者是某个组织机构与其他组织连接的网络。在这样的网络环境中，往往不希望未经授权的设备或用户连接到网络，使用网络提供的服务。后来，随着局域网技术的广泛应用，特别是在运营网络中的应用，对其安全认证的要求已经提到了议事日程上。如何既能够利用局域网技术简单、廉价的组网特点，同时又能够对用户或设备访问网络的合法性提供认证，是目前业界讨论的焦点。IEEE802.1x协议正是在这样的背景下提出的。IEEE802.1x称为基于端口的访问控制协议（Portbasednetworkaccesscontrolprotocol）。基于端口的访问控制（Portbasednetworkaccesscontrol）能够在利用IEEE802LAN的优势基础上提供一种对连接到局域网（LAN）设备或用户进行认证和授权的手段。通过这种方式的认证，能够在LAN这种多点访问环境中提供一种点对点的识别用户的方式。这里端口是指连接到LAN的一个单点结构，可以是被认证系统的MAC地址，也可以是服务器或网络设备连接LAN的物理端口，或者是在IEEE802.11无线LAN环境中定义的工作站和访问点。2几个名词的定义以下的名词为802.1x协议中的重要组成部分：Supplicant客户端客户端指LAN所连接的一端的实体（entity），它向认证系统（Authenticator如下）发起请求，对其身份的合法性进行检验。Authenticator认证系统认证系统指在LAN连接的一端用于认证另一端设备的实体（entity）。AuthenticationServer认证服务器认证服务器指为认证系统提供认证服务的实体。这里认证服务器所提供的服务是指通过检验客户端发送来的身份标识，来判断该请求者是否有权使用认证系统所提供的网络服务。注意——认证服务器与认证系统配合工作，可以集成在一起，也可以分开放在认证系统通过网络可以远程访问的地方。NetworkAccessPort网络访问端口网络访问端口指用户系统连接到LAN的访问端口。访问端口可以是物理端口，例如连接到用户的网络设备端口；也可以是逻辑端口，例如用户设备的MAC地址。注意——下文所指的端口均可以是物理端口或用户设备的MAC地址，如果设备支持全程VLAN，也可以指VLANID。PortAccessEntity(PAE)端口访问实体指一个端口的相关协议实体。PAE能够支持的功能包括：客户端（Supplicant）完成的功能、认证系统（Authenticator）完成的功能或者两者功能同时具备。System系统系统是指通过一个或更多端口连接到LAN的设备，例如：终端、服务器、交换机或路由器等设备都称为系统。图2—1IEEE802.1X认证体系组成部分3工作机制下面将描述基于端口访问控制的结构框架，以及访问控制功能和设备实体之间的关系：3.1各组成部分的功能3.1.1系统（Systems）、端口（Ports）连接到LAN的设备（这里指2.6定义的系统System）通常与LAN会有一个或多个连接点（这里指2.4定义的网络访问端口）。注意1——一个终端一般通过网卡与LAN有一个连接点（有些终端如服务器可能会有多个网卡，与网络有多个连接）；一个网络设备与网络一般有两个或多个连接点一个系统的端口与网络连接，该系统就可以通过这个端口获得其他系统的服务，同时也可以为其他系统提供服务。基于端口的访问控制能够控制系统的端口状态，以保证只为授权的用户开放自己的服务。注意2——一个系统提供的服务包括根据MAC地址的转发功能，网络层的路由功能，文件服务器的功能等。为了便于描述基于端口的访问控制过程，一个系统的端口（确切的讲应该是协议实体PAE）可以在整个控制过程中充当多个不同的角色。如下为在基于端口访问控制过程中，端口所充当的角色：a)Authenticator(2.2).在允许用户访问之前执行认证的端口，该端口充当认证系统的角色；b)Supplicant(2.1).访问认证系统所提供服务的端口，该端口充当客户端的角色；c)AuthenticationServer(2.3).认证服务器代表认证系统执行对用户身份的合法性进行检验功能从以上描述可以看出，为了完成一个认证过程，所有的三个角色是必须的。一个特定系统可以承担一种或多种角色；例如：一个认证系统和认证服务器能集成在一个系统中，实现认证功能而无需设置专门的外置认证服务器。同样，一个端口在一个认证过程中充当客户端的角色，而在另一个认证过程中可能充当认证系统的角色，例如：在一个桥接LAN中，一个新的交换设备添加到网络中，这个设备要能够对连接到其端口的设备实现认证，自身必须先通过其上端设备的认证（该新设备通过上端设备接入到LAN中）。注意3——尽管理论上认证服务器可以和认证系统集成在一起，但实际使用中都是分开成两个体系。3.1.2端口访问实体（PAE,PortAccessEntity）在客户端中，PAE主要负责响应来自认证系统建立信任关系的请求，称为客户端PAE。在认证系统中，PAE负责与客户端的通信，把从客户端收到的信息传送给认证服务器以便完成认证。该PAE称为认证系统PAE。认证系统PAE根据认证服务器提供的关于用户合法性的信息来控制受控端口（controlled下面会讲述）的状态是认证状态或未认证状态。3.2受控和非受控的访问（Controlledanduncontrolledaccess）IEEE802.1x协议的精华就是关于受控和非受控的访问，以下将详细描述关于受控和非受控的访问。3.2.1端口的类型如图3—1所示，认证系统的端口分成两个逻辑端口：受控端口和不受控端口。不受控端口只能传送认证的协议报文，而不管此时受控端口的状态是已认证状态（Autherized）还是未认证状态（Unautherized）。受控端口传送业务报文。如果用户通过认证，则受控端口的状态为已认证状态，可以传送业务报文。如果用户未通过认证，则受控端口的状态为未认证状态，不能传送业务报文。图3—1受控端口（ControlledPort）和不受控端口（UncontrolledPort）如图3—2所示，当用户未通过认证时，受控端口处于开路，端口状态为未认证状态，此时交换机的交换功能是关闭的，也就是说交换机无法像传统的通过查找目标MAC地址来进行交换，如果用户有业务报文是无法通过的。当用户通过认证后，受控端口闭合，端口状态为通过认证状态，此时交换机的交换功能打开，就和传统的交换方式一致了，用户的业务报文就可以顺利通过。端口的状态受相关的协议参数控制，如AuthControlledPortStatus参数控制交换功能的打开和关闭等，这里不做详细讲解。3.2.2端口控制方式对于端口的控制，可以有很多种方式。端口可以是物理的端口，也可以是用户设备的MAC地址，如果设备支持全程的VLAN，也可以把VLANID看成是端口。基于物理端口的控制方式，每个物理端口包含两个逻辑端口：受控端口和不受控端口。不受控端口传递认证的协议报文，受控端口传递业务报文。采用这种端口控制方式，则必须在与最终用户直接相连的交换机实现802.1x认证，在相图3—2受控端口的状态变化应的端口进行控制。这样会导致低端交换机的成本上升，势必增加整个网络的建网成本。另一种端口控制方式就是基于用户设备的MAC地址进行控制。把用户设备的MAC地址看成端口，每个MAC地址有两个逻辑端口：受控和不受控端口。如果用户要访问LAN的资源，则首先其MAC地址必须处于激活状态，然后才能有协议报文通过不受控的端口传递，开始整个认证过程。如果其MAC地址未激活或者被管理性的禁止，则无法进行认证。图3—3MAC地址的激活和禁止3.