802.1x认证技术简介

1　背景
　　以太网的高性价比和媒体的特性使其逐渐成为家庭、企业局域网、电信级城域网的主导接入技术，而且随着10 Gbit/s以太网技术的出现，以太网技术在广域网范围内也将获得一席之地，电信运营商和宽带接入提供商开始提供基于以太或纯以太的接入业务。对于以太网络中多数业务来说，运营商无法从物理上完全控制客户端设备或者媒介。运营商要实现对宽带业务的可运营、可管理，就必须从逻辑上对用户或者用户设备进行控制。该控制过程主要通过对用户和用户设备的认证和授权来实施。一般来说，需要进行认证和授权的业务种类包括：
　　(1)提供给多用户系统的以太城域网业务。这些业务包括典型的TLS业务、L2或者L3的VPN业务。在该业务组网环境中，客户前端交换机由同一建筑物内的多个用户共享。
　　(2)在以IEEE 802.11a和IEEE 802.1b提供无线以太接入的热点地区(如机场、商场、学校和餐厅等)，需要基于每个用户设备或者用户进行接入认证.以防止非授权用户接入。
　　(3)基于ATM RFC 1483的DSL业务和IP以太接入网。
　　(4)基于EFM(Ethernet in the First Mile，IEEE 802.3ah)EPON接入和EoVDSL等业务。
　　(5)基于以太的cahle的共享RF信道接入方式。
　　2　IEEE 802.1x协议技术分析
　　IEEE在2001正式颁布了IEEE 802.1x标准，用于基于以太的局域网、城域网和各种宽带接入手段的用户/设备接入认证。这种认证采用基于以太网端口的用户访问控制技术，只有网络系统允许并授权的用户可以访问网络系统的各种业务(如以太网连接、网络层路由、Internet接入等业务)，既可以克服PPPoE方式的诸多问题，又避免了引入集中式宽带接入服务器所带来的巨大投资。
　　802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/MAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。
　　用户侧的以太网交换机上放置一个扩展认证协议(EAP)代理，用户PC机运行EAPoL(EAP over LAN)的客户端软件与交换机通信。网络访问技术的核心部分是PAE(端口访问实体)。在访问控制流程中，端口访问实体包括：认证者(对接入的用户/设备进行认证的端口)、请求者(被认证的用户/设备)和认证服务器(根据认证者的信息，对请求访问网络资源的用户/设备执行实际认证功能的设备)3部分。
　　以太网的每个物理端口分为受控和不受控两个逻辑端口，物理端口收到的每个帧都被送到受控和不受控端口。对受控端口的访问，受限于受控端口的授权状态。认证者的PAE根据认证服务器认证过程的结果，控制“受控端口”的授权/未授权状态。处在未授权状态的控制端口，拒绝用户/设备的访问。
　　2.1　802.1x认证特点
　　基于以太网端口认证的802.1x协议有如下特点：
　　(1)IEEE 802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本。
　　(2)借用了在RAS系统中常用的EAP(扩展认证协议)，可以提供良好的扩展性和适应性，实现对传统PPP认证架构的兼容。
　　(3)802 1x的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能，从而可以实现业务与认证分离，由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制，业务报文直接承载在正常的二层报文上通过可控端口进行交换，其通过认证后的数据包是无需封装的纯数据包。
　　(4)可以使用现有的后台认证系统降低部署的成本，并有丰富的业务支持。
　　(5)可以映射不同的用户认证等级到不同的VLAN。
　　(6)可以使交换端口和无线LAN具有安全的认证接入功能。
　　2.2　802.1x应用环境
　　2.2.1　交换式以太网络环境
　　随着以太网技术的不断演进，局域网和城域网的网络架构演变为一种全交换的网络环境。在交换式以太网络中，用户设备一般通过一个专用的5类线和接入以太网交换机的端口直接连接，一般一个用户设备对应接入以太网交换机一个物理端口。在这种网络架构中接入以太网交换机的物理端口可以敏锐的觉察到用户设备的使用情况，并且根据设备和线路的状况，作出对设备认证状态的判断，采取相应的动作。这种网络结构面临的最大问题就是“搭载“情况的发生。所谓“搭载”就是指在采用802.1x认证时，如果用户网络和接入以太网交换机中间采用了共享设备，那么只要用户网络上的一个设备/用户通过了接入交换机的认证，开放了端口的网络访问权限，那么该用户网络上其他的未认证授权用户/设备都可以获得网络访问的权限。
　　对于交换式以太网络，用户和网络之间采用点到点的物理连接，用户彼此之间通过VLAN隔离，此网络环境下，网络管理控制的关键是用户接入控制，802.1x不需要提供过多的安全机制。
　　2.2.2　共享式网络环境
　　当802.1x应用于共享式的网络环境时，为了防止在共享式网络环境中出现类似“搭载”的问题，有必要将PAE实体由物理端口进一步扩展为多个互相独立的逻辑端口。逻辑端口和用户/设备形成一一对应关系，并且各逻辑端口之间的认证过程和结果相互独立。在共享式网络中，用户之间共享接入物理媒介，接入网络的管理控制必须兼顾用户接入控制和用户数据安全，可以采用的安全措施是对EAPoL和用户的其他数据进行加密封装。
　　以无线局域网IEEE 802.1la和802.11b为例的共享式以太网络环境中，客户设备和特定的AP之间需要建立关联关系，基于客户设备和AP设备MAC地址，客户设备和AP之间的关联还包括一个单播会话键。由于客户设备的MAC地址是惟一的，所以基于客户设备和AP之间的MAC地址关联和单播会话键是惟一的。该键在AP上为每个无线分区中的终端创立了互相独立的逻辑端口。逻辑端口建立以后，AP就可以采取802.1x对属于互相独立的逻辑端口的用户终端的认证。EAP-TLS和EAP-TTLS等认证解决方案还可以解决无线局域网中使用静态WEP所带来的安全性问题。使用EAP-TLS和EAP-TILLS，用户可以在每次连接动态生成新的WEP密钥。而且在用户连接其间，还可以按照一定间隔动态产生新密钥。在实际网络环境中，可以通过加速WEP密钥重分配周期，弥补WEP静态分配密钥导致的安全性缺陷。
　　2.3　802.1x认证的安全性分析
　　IEEE 802.1x和PPP一样采用了EAP协议作为认证信息交互机制，EAP消息封装在EAPoL分组中。作为一种认证消息承载机制，EAP可以允许认证者和请求者之间采用灵活的方案进行认证，并且对将来出现的更先进、合理的认证技术具有很好的兼容性。EAP的这些特性主要通过扩展EAP中厂家定义的“EAP类型”域实现，“EAP类型”域中定义的认证类型可以满足不同层次认证的安全需要。目前可以采用的EAP类型有EAP-MD5、EAP-TLS、EAP-TFLS、PEAP和LEAP。

　　EAP-MD5方式是通过RADIUS服务器提供简单的集中用户认证。其服务器不需要证书或者无线工作站中的其他安全信息，用户注册时该服务器只是检查用户名和口令，若匹配就通知允许该客户端访问网络服务。由于EAP-MD5只提供认证，因此为安全起见，应该与标准802.11安全协议WEP/WEP2组合使用，采用40位/128位共享密钥实现加密。这是一种单向认证机制，只能保证客户端到服务器的认证，并不保证服务器到客户端的认证。
　　EAP-TLS方式提供了一种基于证书的双向认证，除了在连接建立时主机和服务器之间分配的会话号(Session ID)之外，它需要通过安全连接在客户侧和服务器侧的事先发布的认证证书。EAP-TLS既提供认证，又提供动态会话钥匙分发。RA-DIUS服务器需要支持EAP-TLS认证和认证证书的管理能力。TLS支持双向认证，也就是网络(EAP-TLS服务器)认证终端用户(Client)，终端用户认证网络。只有在双向认证通过以后，服务器才向接入认证点发送EAP-Success消息，指示用户终端可以收发数据流。这个消息同时触发对数据流的加密，在加密密钥建立之前，终端不发送数据。
　　EAP-TTLS是一种允许传统基于用户名和密码的认证机制方式，类似于CHAP(Challenge Handshake Authentication　Protocol)、PAP、一次性密码(One Time Password)和EAP认证协同工作的认证机制。客户端使用TTLS服务器提供的数字证书对网络端进行认证，这个过程是对安全Web服务器方式的模拟。认证隧道一旦建立，就开始对安全终端用户进行认证。EAP-TTLS可以保证无线接入媒体中终端用户的一致性，防止匿名用户非法使用网络。和EAP-TLS一样，只有在双向认证通过以后，服务器才向接入认证点发送EAP-Success消息，指示用户终端可以收发数据流。这个消息同时触发对数据流的加密，在加密密钥建立之前，终端不发送数据。
　　2.4　802.1x认证的优势
　　综合IEEE 802.1x的技术特点，它具有如下几点优势：
　　(1)简洁高效。纯以太网技术内核保持了IP网络无连接特性，不需要进行协议间的多层封装，去除了不必要的开销和冗余昂贵的多业务网关设备，消除网络认证计费瓶颈和单点故障，易于支持多业务和新兴流媒体业务。
　　(2)容易实现。可在普通L3、L2、IP DSLAM上实现，网络综合造价成本低，保留了传统AAA认证的网络架构，可以利用现有的RADIUS设备。
　　(3)安全可靠。在二层网络上实现用户认证，结合MAC、端口、账户、VLAN和密码等，绑定技术具有很高的安全性。在无线局域网网络环境中802.1x结合EAP-TLS、EAP-TTLS，可以实现对WEP证书密钥的动态分配，克服无线局域网接入中的安全漏洞。
　　(4)行业标准。IEEE标准和以太网标准同源，可以实现和以太网技术的无缝融合，几乎所有的主流数据设备厂商的设备(包括路由器、交换机和无线AP等)都提供对该协议的支持。客户端方面，Linux和微软的Windows XP操作系统都已经支持该协议。
　　(5)应用灵活。可以灵活控制认证的颗粒度，用于对单个用户连接、用户ID或者是对接入设备进行认证，认证的层次可以灵活地进行组合，满足特定的接入技术或者是业务的需要。
　　(6)易于运营。控制流和业务流完全分离，易于实现跨平台多业务运营，少量改造传统包月制等单一收费制网络即可升级成运营级网络，而且网络的运营成本也有望降低。
　　3　802.1x在电信级IP宽带网络中的应用建议
　　802.1x认证在电信级宽带网络中应用的总体架构如图2所示。根据前面对802.1x技术特点及技术优势的分析，笔者认为电信级网络中应用802.1x应遵循下列5项原则。
　　3.1　以WLAN为应用突破口
　　802.1x认证技术在电信级宽带网中的应用宜以(WLAN为突破口。802.1x技术从一开始就对基于WLAN提供认证的技术进行了大量的研究和探索，WLAN设备大量应用的时间段和802.1x协议标准产生也基本同步，目前多数厂商的WLAN AP设备都可以支持802.1x认证；从技术上考虑，WLAN是一种共享式的以太接入网络，它所面临的安全性问题和用户控制都要比基于有线的以太接入方式难以解决。WLAN作为宽带网上的新应用，运营商没有什么历史包袱，在网络减少和设备选型时不受现有网络条件的牵制。以上种种原因决定了WLAN是802.1x技术应用的排头兵。
　　3.2　认证边缘化、分布化
　　认证边缘化充分发挥了802.1x基于端口认证的优势。所谓认证边缘化是指将认证设备在网络中的位置设置为直接与用户设备/网络接口，边缘化的认证设备可以感知、监控认证设备和用户设备之间链路连接状态，根据链路状态变化，认证设备可以采取相应的策略，主动要求用户/设备发起认证。对链路状态的感知能力也是运营商进行网络故障检测和网络运行维护工作顺利开展的基础，可以说实现了认证的边缘化也就解决了宽带接入网络中线路维护和故障诊断困难的难题。用户可以在本地接入网段实现隔离，不需要像集中认证方式那样，在用户到接入认证服务器之间的二层网络都需要进行用户隔离，减少了交换机运行VLAN的复杂度，也使网络流量的规划、管理、控制更加容易。认证边缘化意味着认证设备的分布化，可以避免采用集中式的PPPoE认证带来的网络性能和网络可靠性瓶颈。
　　3.3　用户管理集中化
　　虽然802.1x采用分布式认证，但在用户管理时建议仍采用集中方式。集中式的用户管理的范围包括有线接入用户和无线接入用户。集中认证一方面易于管理维护，保证了单个管理域内用户信息的一致性；另一方面，集中统一的用户管理为不同接入手段的用户账户之间进行漫游提供了前提条件，而且用户在不同网络或者接入类型之间切换时面对的是统一的界面。PPPoE认证中也采用集中式的用户管理，802.1x通过对现有的RADIUS设备进行升级，可以完整地继承PPPoE的认证体系，避免对网络结构进行大规模调整，工程易实现。
　　3.4　多业务接入，兼顾网络技术特点
　　802.1x是IEEE以太协议族中的一个组成部分，应用范围涵盖WLAN、xDSL、5类线、Cable和EPON等纯以太或者基于以太的多业务接入方式。以xDSL技术为例，一方面EoVDSL等纯以太的xDSL接入手段出现，另一方面在基于ATM的xDSL技术中，IP DSLAM的出现及其三层路由功能需求，使802.1x成为满足需求的最佳选择。值得注意的是，交换式以太网络和共享式以太网络有不同的技术特点，在应用802.1x时要兼顾。
　　3.5　逐步取代PPPoE
　　802.1x技术代表了电信级宽带网络发展的趋势，即认证和业务分离，支持多业务。PPPoE的缺陷注定其是过渡者角色。事实上，当初PPPoE也是作为一种权宜之计应用到宽带网络接入认证中的，但是802.1x取代PPPoE是一个渐进的过程。网络现状是我们不得不考虑的问题，其中最主要的问题是楼道交换机功能简单，不支持802.1x。解决这个问题可以考虑采用如下途径：一是对楼道交换机进行软件升级，使其支持802.1x；二是对802.1x协议进行改进，使EAP可以承载在VLAN上，在汇聚层交换机进行802.1x认证，下游二层交换机采用VLAN进行用户隔离。最终，认证边缘化要求面向用户的接入设备，可以直接实现对用户接入的管理和控制。
　　4　结论
　　随着以太网技术在宽带网内应用范围的日益广泛，各种基于以太网技术的业务应运而生，成为宽带网络业务主体，在宽带接入领域内，纯以太网或者与以太网相关的接入技术已经成为接入网发展的大趋势。802.1x技术作为IEEE协议族的一个组成部分，在以太网络环境中提供了一种基于端口、认证和业务分离、高灵活性、强适应性的接入控制手段。相比现阶段广泛应用的PPPoE解决方案，802.1x不仅具有和以太网技术天生的良好兼容性，还具有出色的多业务支持能力和多样化的统计计费能力。不过，现阶段802.1x应用于电信级宽带网络还存在着一些缺陷，但是随着其不断完善、成熟，802.1x协议将成为电信级宽带网络中不可或缺的部分。