网络之中,对于接入用户我们是需要有身份验证的。那么对于局域网的IEEE 802.1x协议的相关认证体系我们就来详细的叙述一下。通过对这方面的认证过程的学习,相信大家对这个内容能有一个比较清晰的流程概念。
802.1x协议的体系
IEEE 802.1x协议起源于802.11, 其主要目的是为了解决无线局域网用户的接入认证问题。802.1x 协议又称为基于端口的访问控制协议,可提供对802.11无线局域网和对有线以太网络的验证的网络访问权限。802.1x协议仅仅关注端口的打开与关闭,对于合法用户接入时,打开端口;对于非法用户接入或没有用户接入时,则端口处于关闭状态。
IEEE 802.1x协议的体系结构主要包括三部分实体:客户端Supplicant System、认证系统Authenticator System、认证服务器Authentication Server System。
(1)客户端:一般为一个用户终端系统,该终端系统通常要安装一个客户端软件,用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。
(2)认证系统:通常为支持IEEE 802.1x协议的网络设备。该设备对应于不同用户的端口有两个逻辑端口:受控(controlled Port)端口和非受控端口(uncontrolled Port)。***个逻辑接入点(非受控端口),允许验证者和 LAN 上其它计算机之间交换数据,而无需考虑计算机的身份验证状态如何。非受控端口始终处于双向连通状态(开放状态),主要用来传递EAPOL协议帧,可保证客户端始终可以发出或接受认证。第二个逻辑接入点(受控端口),允许经验证的 LAN 用户和验证者之间交换数据。受控端口平时处于关闭状态,只有在客户端认证通过时才打开,用于传递数据和提供服务。受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用程序。如果用户未通过认证,则受控端口处于未认证(关闭)状态,则用户无法访问认证系统提供的服务。
(3)认证服务器:通常为RADIUS服务器,该服务器可以存储有关用户的信息,比如用户名和口令、用户所属的VLAN、优先级、用户的访问控制列表等。当用户通过认证后,认证服务器会把用户的相关信息传递给认证系统,由认证系统构建动态的访问控制列表,用户的后续数据流就将接受上述参数的监管。
802.1x协议的认证过程
利用IEEE 802.1x可以进行身份验证,如果计算机要求在不管用户是否登录网络的情况下都访问网络资源,可以指定计算机是否尝试访问该网络的身份验证。以下步骤描述了利用接入点AP和RADIUS服务器对移动节点进行身份验证的基本方法。如果没有有效的身份验证密钥,AP会禁止所有的网络流量通过。
(1)当一个移动节点(申请者)进入一个无线AP认证者的覆盖范围时,无线AP会向移动节点发出一个问询。
(2)在受到来自AP的问询之后,移动节点做出响应,告知自己的身份。
(3)AP将移动节点的身份转发给RADIUS身份验证服务器,以便启动身份验证服务。
(4)RADIUS服务器请求移动节点发送它的凭据,并且指定确认移动节点身份所需凭据的类型。
(5)移动节点将它的凭据发送给RADIUS。
(6)在对移动节点凭据的有效性进行了确认之后,RADIUS服务器将身份验证密钥发送给AP。该身份验证密钥将被加密,只有AP能够读出该密钥。(在移动节点和RADIUS服务器之间传递的请求通过AP的“非控制”端口进行传递,因为移动节点不能直接与RADIUS服务器建立联系。AP不允许STA移动节点通过“受控制”端口传送数据,因为它还没有经过身份验证。)
(7)AP使用从RADIUS服务器处获得的身份验证密钥保护移动节点数据的安全传输--特定于移动节点的单播会话密钥以及多播/全局身份验证密钥。
IEEE 802.1x协议的全局身份验证密钥必须被加密。这要求所使用的EAP方法必须能够生成一个加密密钥,这也是身份验证过程的一个组成部分。传输层安全TLS(Transport Level Security)协议提供了两点间的相互身份验证、完整性保护、密钥对协商以及密钥交换。我们可以使用EAP-TLS在EAP内部提供TLS机制。移动节点可被要求周期性地重新认证以保持一定的安全级。
