基于802.1x的企业网络准入控制技术

基于802.1x的企业网络准入控制技术

作者：梁运德

来源：《电子世界》2013年第14期

【摘要】局域网非法接入问题已经对大型企业内网网络安全造成巨大威胁，控制非授权终端接入网络及限制相关授权终端访问授权资源是确保网络与信息安全的重要手段。本网讨论了内网安全准入的相关技术，并提出一种网络准入的系统解决方案。

【关键词】安全；802.1x；网络准入

1.引言

随着企业信息化发展的不断深入，企业对信息系统的依赖程度越来越高，信息与网络安全直接影响到企业生产、经营及管理活动，甚至直接影响企业未来发展。目前，企业信息与网络安全面临各类威胁，既有来自外部的，也有来自内部的。外部威胁主要通过互联网进行网络入侵、黑客攻击、病毒传播等恶意行为。内部威胁主要用户安全意识薄弱，因存储介质、文件共享等途径感染病毒风险。对于外部威胁，可使用防火墙、网关杀毒等设备进行安全防护；对于内部威胁作，则可通提升用户信息安全意识、加强终端安全管理等措施进行防护。

然而，随着信息化建设的深入，作为信息化建设的基础设施-计算机网络，其规模也随着信息化建设而不断扩大。企业网络规模的扩大、信息接入点增多、分布范围广，使信息接入点管控难度大。从而容易出现非法用户接入企业内部网络，其不但可以毫无限制的访问内网资源，窃取企业内部秘密信息，造成信息泄露，而且可能发起主动攻击或因携带病毒、蠕虫等因素而造成整个网络与信息系统瘫痪的风险，对企业信息与网络安全造成巨大威胁。IEEE802.1x 是基于端口的访问控制协议，网络端口启用802.1x，采用主动威胁防护，从源头做起，在终端接入网络之前，对终端进行身份验证，同时检查是否符合网络接入安全策略要求；接入之后，同时对用户进行权限识别，根据身份认证，确认用户对内网资源的访问权限。

2.802.1x协议

IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1x协议。后来，随着技术的发展，802.1x协议被广泛应用在以太网上，作为一种接入控制机制。

802.1X协议是一种基于端口的网络接入控制协议（port based network access control protocol），即是指在接入设备的端口处对终端设备进行认证和控制，限制没有权限的用户或设备获取未授权网络访问权限。

用户、终端设备在接入局域网，获取网络访问权限之前，实施802.1x协议的网络设备会对接入的用户或设备进行权限认证。网络设备的端口此时处于关闭状态，但允许EAPoL数据包通过。EAPOL是802.1X协议定义的一种报文封装格式，主要用于在客户端和设备端之间传

送EAP协议报文，以允许EAP协议报文在LAN上传送，从而将用户认证信息传送至认证服务器。

如果认证通过，在交换机打开端口，允许业务数据通过；如果认真失败，则保持端口关闭状态，或者执行其他安全策略，如打开端口，并将该端口划分至客户vlan中。

2.1 802.1x协议的体系结构

802.1x协议主要由三部分组成：客户端（supplicant system）、认证系统（authentic-ator system）、认证服务器（authentication server system）。图1描述了三者之间的关系以及互相之间的通信过程。

（1）客户端一般为一个用户终端，该终端一般安装一个认证软件，用户通过允许该软件发起802.1x协议认证。客户端要求支持EAPOL协议，以实现基于端口的接入控制。

（2）认证系统为通常为网络设备，即网络交换机，客户端网络设备接入局域网。认证系统中支持两种逻辑端口，受控端口（Controlled Port）和非受控端口（Uncontrolled Port）。受控端口只有在认证通过的状态下才打开，用于传递业务数据。非受控端口一直处于打开状态，用于收发EAPOL协议帧，通过非受控端口，用户或设备能正常发送或接收认证请求。

（3）认证服务器一般为RADIUS服务器。在认证服务器上保存用户的帐号、密码、以及用户的权限等信息，主要实现对用户进行认证、审计、授权、计费等功能。

2.2 802.1x协议的认证过程

802.1x协议的认证过程有两种，分别是EAP中继模式和EAP终结模式，以下为简要说明EAP中继模式认证过程：

（1）客户端发送认证请求报文到网络交换机；

（2）交换机收到报文后，发送报文要求客户端提供认证信息；

（3）客户端收到交换机报文后将用户信息发送给交换机；交换机收到用户信息，将其转发给认证服务器。

（4）认证服务器收到交换机发送的报文后，根据用户信息随机产生的一个加密密码，并将其发送给交换机，交换机再将该密码发送个客户端。

（5）客户端收到加密密码后对用户的密码进行加密，然后通过交换机发送给认证服务器。