IEEE 802.1x協(xié)議的特點
對于IEEE 802.1x協(xié)議在前面我們對它的基本情況已經(jīng)做了介紹。大家這個局域網(wǎng)的認(rèn)證協(xié)議的概念應(yīng)該有所掌握了,現(xiàn)在我們再來介紹一下它的特點以及不足之處,之后我們在對他的應(yīng)用進(jìn)行介紹。
IEEE 802.1x協(xié)議的特點
IEEE 802.1x具有以下主要優(yōu)點:
(1)實現(xiàn)簡單。IEEE 802.1x協(xié)議為二層協(xié)議,不需要到達(dá)三層,對設(shè)備的整體性能要求不高,可以有效降低建網(wǎng)成本。
(2)認(rèn)證和業(yè)務(wù)數(shù)據(jù)分離。IEEE 802.1x的認(rèn)證體系結(jié)構(gòu)中采用了“受控端口”和“非受控端口”的邏輯功能,從而可以實現(xiàn)業(yè)務(wù)與認(rèn)證的分離。用戶通過認(rèn)證后,業(yè)務(wù)流和認(rèn)證流實現(xiàn)分離,對后續(xù)的數(shù)據(jù)包處理沒有特殊要求,業(yè)務(wù)可以很靈活,尤其在開展寬帶組播等方面的業(yè)務(wù)有很大的優(yōu)勢,所有業(yè)務(wù)都不受認(rèn)證方式限制。
IEEE 802.1x協(xié)議同時具有以下不足
802.1x認(rèn)證是需要網(wǎng)絡(luò)服務(wù)的系統(tǒng)和網(wǎng)絡(luò)之間的會話,這一會話使用IETF的EAP(Extensible Authentication Protocol)認(rèn)證協(xié)議。協(xié)議描述了認(rèn)證機制的體系結(jié)構(gòu)框架使得能夠在802.11實體之間發(fā)送EAP包,并為在AP和工作站間的高層認(rèn)證協(xié)議建立了必要條件。對MAC地址的認(rèn)證對802.1x來說是最基本的,如果沒有高層的每包認(rèn)證機制,認(rèn)證端口沒有辦法標(biāo)識網(wǎng)絡(luò)申請者或其包。而且實驗證明802.1x由于其設(shè)計缺陷其安全性已經(jīng)受到威脅,常見的攻擊有中間人MIM攻擊和會話攻擊。
所以802.11與802.1x的簡單結(jié)合并不能提供健壯的安全無線環(huán)境,必須有高層的清晰的交互認(rèn)證協(xié)議來加強。幸運的是,802.1x為實現(xiàn)高層認(rèn)證提供了基本架構(gòu)。
IEEE 802.1x協(xié)議的應(yīng)用
IEEE 802.1x協(xié)議使用標(biāo)準(zhǔn)安全協(xié)議(如RADIUS)提供集中的用戶標(biāo)識、身份驗證、動態(tài)密鑰管理和記帳。802.1x身份驗證可以增強安全性。IEEE 802.1x身份驗證提供對802.11無線網(wǎng)絡(luò)和對有線以太網(wǎng)網(wǎng)絡(luò)的經(jīng)驗證的訪問權(quán)限。IEEE 802.1x通過提供用戶和計算機標(biāo)識、集中的身份驗證以及動態(tài)密鑰管理,可將無線網(wǎng)絡(luò)安全風(fēng)險減小到最低程度。在此執(zhí)行下,作為 RADIUS客戶端配置的無線接入點將連接請求和記帳郵件發(fā)送到中央 RADIUS 服務(wù)器。中央 RADIUS服務(wù)器處理此請求并準(zhǔn)予或拒絕連接請求。如果準(zhǔn)予請求,根據(jù)所選身份驗證方法,該客戶端獲得身份驗證,并且為會話生成唯一密鑰。IEEE 802.1x協(xié)議為可擴展的身份驗證協(xié)議EAP安全類型提供的支持使您能夠使用諸如智能卡、證書以及Message Digest 5(MD5) 算法這樣的身份驗證方法。
擴展身份驗證協(xié)議EAP是一個支持身份驗證信息通過多種機制進(jìn)行通信的協(xié)議。利用802.1x,EAP可以用來在申請者和身份驗證服務(wù)器之間傳遞驗證信息。這意味著EAP消息需要通過LAN介質(zhì)直接進(jìn)行封裝。認(rèn)證者負(fù)責(zé)在申請者和身份驗證服務(wù)器之間轉(zhuǎn)遞消息。身份驗證服務(wù)器可以是一臺遠(yuǎn)程身份驗證撥入用戶服務(wù)(RADIUS)服務(wù)器。
以下舉一個例子,說明對申請者進(jìn)行身份驗證所需經(jīng)過的步驟:
(1)認(rèn)證者發(fā)送一個EAP - Request/Identity(請求/身份)消息給申請者。
(2)申請者發(fā)送一個EAP - Response/Identity(響應(yīng)/身份)以及它的身份給認(rèn)證者。認(rèn)證者將收到的消息轉(zhuǎn)發(fā)給身份驗證服務(wù)器。
(3)身份驗證服務(wù)器利用一個包含口令問詢的EAP - Request消息通過認(rèn)證者對申請者做出響應(yīng)。
(4)申請者通過認(rèn)證者將它對口令問詢的響應(yīng)發(fā)送給身份驗證服務(wù)器。
(5)IEEE 802.1x協(xié)議規(guī)定如果身份驗證通過,授權(quán)服務(wù)器將通過認(rèn)證者發(fā)送一個EAP - Success響應(yīng)給申請者。認(rèn)證者可以使用“Success”(成功)響應(yīng)將受控制端口的狀態(tài)設(shè)置為“已授權(quán)”。
