基于ieee802.1x的端口認(rèn)證解析

1、基于IEEE8021X的端口認(rèn)證解析郭麗春黃金波(遼寧工程技術(shù)大學(xué)應(yīng)用技術(shù)學(xué)院阜新123000)摘要IEEE8021協(xié)議是基于clienerver的訪問控制和認(rèn)證協(xié)議。提供對(duì)集中式用戶標(biāo)識(shí)、身份驗(yàn)證、動(dòng)態(tài)密鑰管理和計(jì)帳的支持來提高安全性。在企業(yè)局域網(wǎng)的組建中可以在接人層和匯聚層布署認(rèn)證方案，為企業(yè)局域網(wǎng)的安全管理提供了有效的技術(shù)支持。關(guān)鍵詞端口安全認(rèn)證IEEES021X中圖分類號(hào)TP391文獻(xiàn)標(biāo)識(shí)碼A文章編號(hào)111110—5954AUt

2、hentiCatiOnofthePortBasedonIEEE8021XGuoLichunHuangJinbo(AppliedTechnologyCollege，LiaoningTechnicalUniversityFuxin123000)AbstractIEEE8021xa~eementisbasedonClient／Server，theageementincreasedsafetyfromuserID，identityau—then

3、ticationdynamickeymanagementandbillingWecandeploythecertificationschemesinenterpriseLAN’SaccesslayerandconvergencelayertoprovideeffectivetechnicalsupportforenterpriseLAN’SsecuritymanagementKeywordsPortSecurityCertificati

4、onIEEE8021X隨著計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的深入、網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大數(shù)據(jù)存儲(chǔ)容量日益增加，網(wǎng)絡(luò)病毒和惡意攻擊等網(wǎng)絡(luò)安全事件不斷發(fā)生，用戶對(duì)網(wǎng)絡(luò)安全性能的要求越來越高，目前已經(jīng)成為網(wǎng)絡(luò)管理的重要內(nèi)容。交換機(jī)做為局域網(wǎng)的關(guān)鍵設(shè)備，負(fù)責(zé)設(shè)備的接入和用戶數(shù)據(jù)和轉(zhuǎn)發(fā)，如果未經(jīng)授權(quán)的用戶或設(shè)備通過交換機(jī)端口進(jìn)入網(wǎng)絡(luò)就會(huì)給企業(yè)造成潛在的安全威脅。一、關(guān)于IEEE2081X協(xié)議IEEE8021x協(xié)議是基于Client／Server的訪問控制和認(rèn)證協(xié)議。它

5、可以限制未經(jīng)授權(quán)的用戶和設(shè)備通過接入端口訪問網(wǎng)絡(luò)，是基于端口的網(wǎng)絡(luò)接入控制規(guī)范。8021x身份認(rèn)證用于對(duì)有線以太網(wǎng)和無線IEEES0211網(wǎng)絡(luò)進(jìn)行經(jīng)過身份認(rèn)證的網(wǎng)絡(luò)訪問。通過提供對(duì)集中式用戶標(biāo)識(shí)、身份驗(yàn)證、動(dòng)態(tài)密鑰管理和計(jì)帳的支持來提高安全性。二、IEEE2081X協(xié)議認(rèn)證要素在IEEE2081X協(xié)議中，只有具備客戶端、認(rèn)證系統(tǒng)、認(rèn)證服務(wù)器三個(gè)要素才能實(shí)現(xiàn)基于端口的訪問控制的用戶認(rèn)證?？蛻舳耍阂话惆惭b在用戶的工作站上，當(dāng)用戶訪問網(wǎng)絡(luò)時(shí)，

6、激活客戶端程序，輸入相應(yīng)的用戶名和口令，客戶端程序?qū)?huì)送出連接請(qǐng)求。認(rèn)證系統(tǒng)：在交換式以太網(wǎng)中由認(rèn)證交換機(jī)實(shí)現(xiàn)，完成用戶認(rèn)證信息的轉(zhuǎn)發(fā)，并根據(jù)認(rèn)證的結(jié)果打開或關(guān)閉端口。認(rèn)證服務(wù)器：檢驗(yàn)客戶端發(fā)送來的身份信息，判別用戶是否有權(quán)使用網(wǎng)絡(luò)系統(tǒng)提供的網(wǎng)絡(luò)服務(wù)，并根據(jù)認(rèn)證結(jié)果對(duì)交換機(jī)端口的狀態(tài)進(jìn)行控制。8021x基于交換式以太網(wǎng)的物理特性，利用交換機(jī)完成用戶訪問網(wǎng)絡(luò)系統(tǒng)的安全認(rèn)證。8021x系統(tǒng)將接入層設(shè)備端口分為非授權(quán)端口和授權(quán)端口。授權(quán)端口只

7、有在認(rèn)證通過后才打開，用于傳遞網(wǎng)絡(luò)資源和服務(wù)。在認(rèn)證過程中，交換機(jī)以太網(wǎng)端口充當(dāng)認(rèn)證者或請(qǐng)求者。實(shí)施端口認(rèn)證時(shí)，對(duì)需要接入的用戶首先進(jìn)行認(rèn)證，如果認(rèn)證失敗，用戶不允許接人；實(shí)施認(rèn)證請(qǐng)求時(shí)，交換機(jī)以太網(wǎng)端口負(fù)責(zé)向認(rèn)證服務(wù)器提交用戶接入服務(wù)申請(qǐng)，信任的用戶才允許接入網(wǎng)絡(luò)。三、IEEE8021X認(rèn)證機(jī)制及其優(yōu)點(diǎn)IEEE8021x是一種鏈路層驗(yàn)證機(jī)制協(xié)議，控制著對(duì)網(wǎng)絡(luò)訪問端口即網(wǎng)絡(luò)連接點(diǎn)的訪問，如實(shí)施在無線接入點(diǎn)的物理交換端口或邏輯端口。通過控

8、制網(wǎng)絡(luò)訪問，用戶可以在多層安全架構(gòu)部署第一道防線。在連接設(shè)備得到驗(yàn)證之前，網(wǎng)絡(luò)訪問權(quán)完全被禁止。得到驗(yàn)證之后，用戶可以被提供第二層交換機(jī)服務(wù)以外的附加服務(wù)。這些服務(wù)包括第3層過濾和第4層過濾，而不僅僅是簡(jiǎn)單的“開／關(guān)(on／of)”服務(wù)。鏈路層驗(yàn)證方案的一個(gè)優(yōu)點(diǎn)是，它只要求存在鏈路層連接，客戶端不需要分配供驗(yàn)證用的第三層地址，因而降低了風(fēng)險(xiǎn)。此外，鏈路層驗(yàn)證涉及了所有能夠在鏈路上工作的協(xié)議，從而不必為每種協(xié)議提供網(wǎng)絡(luò)層驗(yàn)證。8021x還