基于802.1x協議的網絡接入認證方式的分析

牧軍 朱歡歡

摘要：網絡接入認證是保障網絡系統整體安全的重要一環，本文主要介紹了目前依然使用非常廣泛的基于802.1x協議的網絡接入認證方式。首先介紹802.1X協議的概況和體系結構，接著簡單介紹802.1X協議基于端口的接入控制方式及流程，并適當分析。

關鍵詞：802.1X；接入網；接入認證控制

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2018）07-0033-01

1 概述

接入網[1]一般泛指用戶終端到骨干網之間的所有網絡設備，是靠用戶最近的一段網絡。由于很多的攻擊行為都是由接入終端自身存在不安全因素，因此接入網的安全性一直都是值得關注的重點。目前常用的接入認證的方式[2]有PPPoE接入認證、IEEE802.1X接入認證、MAC接入認證等，其中基于802.1x協議的接入認證依然是目前最常使用的一種。

802.1X簡稱dot1x，是一種網絡認證協議，設備通過對應端口接入網絡，dot1x協議從端口層面上認證所接入的所有用戶設備，并對其實現用戶級別的接入控制。用戶設備在連接上端口之后，只有通過了協議的認證才能夠接入網絡訪問局域網中的資源，否則將拒絕訪問。

2 802.1x的體系結構

802.1X協議采用了非常經典的C/S結構，由客戶端、設備端和認證服務器（RADIUS）這三個部分組成。

其中客戶端可以是任何能夠發起802.1X認證請求并且支持EAPOL協議的用戶終端設備，通常情況下要先安裝上相應的客戶端軟件。設備端一般是網絡設備，提供一些端口供用戶側的客戶端接入。認證服務器與設備端相連，能夠為設備端提供認證服務，除此之外還同時提供授權和計費功能（即常說的AAA），通常是一個RADIUS（遠程認證撥號用戶服務器）。

3 802.1x基于端口的認證方式

設備端為用戶提供非受控與受控兩種端口用來接入網絡。非受控端口一直保持在雙向連通狀態。受控端口根據認證的結果可以處在兩種不同的狀態：授權和非授權。當端口處在授權狀態下時，可以進行業務報文的收發，雙向連通；在非授權狀態下，設備端無法從用戶側接收任何種類的報文。

用戶側與設備端和認證服務器之間傳遞認證信息使用的協議為EAP協議，具體有以下兩種實現方式：

（1）EAP中繼方式：用戶通向設備端發送EAP包，設備端以EAPOR格式將其完整的封裝在RADIUS報文中，然后發送給RADUIS服務器，服務器從RADUIS報文中解析出經過兩層封裝的用戶信息進行驗證。在這種認證方式下，設備端的工作量比較小，不用管從用戶側發來的認證信息內容是什么都不需要對其進行分析處理。（2）EAP終結方式：這種方式與EPA中繼不同的是設備端要對從客戶端接收到的認證報文進行分析，從中提取必要的認證信息，再把提取出來的認證信息封裝成標準的RADIUS報文格式發送給認證服務器。因為要在設備端進行報文分析和重新封裝，所以對設備端要求要高，而且設備端需要進行的工作較多。

4 802.1x的認證過程

下面以客戶端主動發起認證的方式簡單介紹一下EAP中繼認證的過程，其簡要的流程示意圖如圖1所示。

（1）用戶通過支持802.1x的客戶端發出EAPOL-Start報文，發起連接請求；（2）設備端收到請求后返回對應報文要求用戶輸入用戶名；（3）用戶收到設備端返回的報文后向其發送包含用戶信息的數據幀；（4）設備端對這個數據幀做一定的處理后發送給認證服務器；（5）認證服務器根據用戶信息從數據庫中找到對應的密碼信息，隨機產生一個加密字對其進行加密處理后將加密字返回給設備端然后轉發給用戶側；（6）用戶側收到這個加密字后，使用加密字對用戶輸入的密碼進行不可逆的加密處理，然后通過設備端傳送給認證服務器；（7）認證服務器將收到的密碼信息和本地查詢出來的密碼信息進行對比，相同則用戶通過認證。

5 結語

基于802.1x協議的接入認證方式實現了認證流和業務流分離，簡化后續對數據包的處理工作。

參考文獻

[1]陳永紅，李建岐，白杰，黃畢堯.終端通信接入網建設和運行模式探討[J].供用電，2018，35（03）：32-36.

[2]徐方南，蘇星曄.網絡接入認證技術研究[J].中國新通信，2017，19（05）：56.