第5讲 网络访问控制和云安全-(3)IEEE 802.1X基于端口的网络访问控制
IEEE802.1X标准
IEEE802.1X标准1、介绍 802.1X是⼀个IEEE标准,通过对⽤户进⾏基于端⼝的安全认证和对密钥的动态管理,从⽽实现保护⽤户⽤户的位置隐私和⾝份隐私以及有效保护通信过程中信息安全的⽬的。
在802.1X协议中,只有具备了以下三个元素才能够完成基于端⼝的访问控制的⽤户认证和授权。
1、客户端 ⼀般安装在⽤户的⼯作站上,当⽤户有上⽹需求时,激活客户端程序,输⼊必要的⽤户名和⼝令,客户端程序将会送出连接请求。
2、认证系统 在以太⽹系统中认证交换机,其主要作⽤是完成⽤户认证信息的上传、下达⼯作,并根据认证的结果打开或关闭端⼝。
在⽆线⽹络中就是⽆线接⼊点。
3、认证服务器 通过检验客户端发送来的⾝份标识(⽤户名和⼝令)来判断⽤户是否有权使⽤⽹络系统提供的⽹络服务,并根据认证结果向交换机发出打开或保持端⼝关闭的状态。
2、802.1X认证步骤 802.1X中EAP-TLS认证在实现的具体交互内容: 1、最初的802.1X通讯开始以⼀个⾮认证客户端设备尝试去连接⼀个认证端(如AP),客户端发送⼀个EAP起始消息。
然后开始客户端认证的⼀连串消息交换。
2、AP回复EAP请求⾝份消息。
3、客户端发送给认证服务器的EAP的响应信息包⾥包含了⾝份信息。
AP通过激活⼀个允许从客户端到AP有线端的认证服务器的EAP 包的端⼝,并关闭可其他所有的传输,像HTTP、DHCP和POP3包,直到AP通过认证服务器来验证⽤户端的⾝份。
4、认证服务器使⽤⼀种特殊的认证算法去验证客户端⾝份。
同样它也可以通过使⽤数字认证或其他类型的EAP认证。
5、认证服务器会发送同意或拒绝信息给这个AP。
6、AP发送⼀个EAP成功信息包(或拒绝信息包)给客户端 7、如果认证服务器认可这个客户端,那么AP将转换这个客户端到授权状态并转发其他的通信。
最重要的是,这个AP的软件是⽀持认证服务器⾥特定的EAP类型的,并且⽤户端设备的操作系统⾥或“Supplicant"(客户端设备)应⽤软件也要⽀持它。
802.1x介绍
802.1x介绍802.1x简介IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1x协议。
后来,802.1x协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。
802.1x协议是一种基于端口的网络接入控制协议(port based network access control protocol)。
“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。
连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源——相当于物理连接被断开。
802.1x的体系结构使用802.1x的系统为典型的Client/Server体系结构,包括三个实体,如图1所示分别为:Supplicant System(客户端)、Authenticator System(设备端)以及Authentication Server System(认证服务器)。
图1 802.1x认证系统的体系结构●客户端是位于局域网段一端的一个实体,由另一端的设备端对其进行认证。
客户端一般为一个用户终端设备,用户通过启动客户端软件发起802.1x认证。
客户端必须支持EAPOL(Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议)。
●设备端是位于局域网段一端的一个实体,对另一端的实体进行认证。
设备端通常为支持802.1x协议的网络设备,它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。
●认证服务器是为设备端提供认证服务的实体。
认证服务器用于实现对用户进行认证、授权和计费。
三个实体涉及如下三个基本概念:端口PAE、受控端口和受控方向。
1. 端口PAE(Port Access Entity,端口访问实体)端口PAE为802.1x系统中,在一个给定的设备端口上执行算法和协议操作的实体对象。
802.1x协议介绍
13
EAPOL封装
14
Radius概述
RADIUS定义 RADIUS 是Remote Authentication Dial In User Service (远程认证拨号用户服务)的简称。它是一种分布式的 c/s系统,能提供AAA功能。RADIUS技术可以保护网络不 受未授权访问的干扰,常被用在既要求较高性能,又要求 维持远程用户访问的各种网络环境中。 RADIUS使用的协议 RADIUS基于标准RFC2865,2866协议在UDP/IP层定义 了其帧格式及消息传输机制,并定义1812为认证端口, 1813为计费端口。
客 户 端 PAE EAPOL EAPOL-Start EAP-Request/Identity EAP-Response/Identity EAP-Request/MD5 Challenge EAP-Response/MD5 Challenge RADIUS Access-Request (CHAP-Response/MD5 Challenge) RADIUS Access-Accept (CHAP-Success) 端口被授权 握手请求报文 [EAP-Request/Identity] 握手应答报文 [EAP-Response/Identity] ...... EAPOL-Logoff 端口非授权 握手定时器超时 设 备 端 PAE RADIUS RADIUS服 务 器
PAE Ethernet Type: 888e Protocol Version: 1 Packet Type: 0 EAP-Packet 1 EAPOL-Start 2 EAPOL-Logoff 3 EAPOL-Key Packet Body Length: EAP 数据帧长度 Packet Body: EAP数据帧 内容,当Packet Type为 EAPOL-Start或EAPOLLogoff时,Packet Body部分 无特定内容,用全“0”填充。
基于802.1x协议的访问控制与网络安全
网络 服务商 的准人机 制在技术 飞速发展 的今 天 , 已经无 法保障合 法 的网络用户使 用 网络 资源 了 ,
用户名与密码被盗用 ,一个账 户多人 同时使用等 现象 ,对合法用户 已经造成 了严重威胁 。既能够 利用局域 网技术 简单 、廉价 的组 网特 点 ,同时又
认证控制实体 ( u et a r y e 指在 L N A t n ct s m) h i ost A
了8 21 0. x协议 的组成部 分以及 工作机制 ,总结 了 8 21 协议 的特 点与在 实际应 用中的不足之 处,分析 了“ 0. x 完整” 的
网络 接 入 控 制 具 备 的 条件 。 关 键 词 :访 问控 制 ;821 议 ; 网络 安 全 0. x协
中图分类号 :T 9 50 ;T 9 5 8 N 1. 7 N 1. o
IE 0 .x称 为 基 于 端 口 的 访 问 控 制 协 议 E E 8 21
( otb sd nt ok a cs cnrlpo c1。 基 于 P r ae e r ces o t rt o) w o o
端 口的访问控制 (o ae e o ces o t 1 P rbsdnt r acs cn o) t wk r
制。此处 的物理接人级指 的是交换机设备 的端 口 ( 口可以是物理端 口,也可以是逻辑端 口) 端 。
1 皿 E o .x的体 系 结构 的组 成 . 1 E8 21
已经成为当前各 网络建设 中不可忽视的首要问题。
当前计算机 网络面临很多安 全问题 :网络操
作系统 的安全漏洞 ,网络病毒 的破坏 ,黑客的入
文献标识码 :A
随着我 国经济与科技 的不 断发展 ,网络规模
802.1x认证(网络安全接入控制)
二层网管交换机应用——802.1x认证(网络安全接入控制)802.1x认证介绍802.1x协议作为局域网端口的接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。
802.1x 协议是一种基于端口的网络接入控制协议,“基于端口的网络接入控制”是指在局域网接入设备的端口这一级,对所接入的用户设备进行认证和控制。
连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
TL-SL5428 802.1x认证接入实现示例拓扑结构图中以TL-SG2224E做为中心交换机,TL-SL5428做为接入交换机,802.1x认证服务器接在TL-SG2224E上。
下面将介绍实现局域网中每台设备通过802.1x认证接入的配置过程。
1.搭建Radius认证服务器本文以试用版的WinRadius做为认证服务端。
(也可以在Windows Server 上搭建Radius认证服务器。
有关服务器的搭建方法请在网上参考相关资料)认证服务器上的配置:● 服务器IP地址:192.168.1.250● 认证端口:1812● 计费端口:1813● 密钥:fae● 服务器上设置用户账号2.配置TL-SL5428的802.1x功能● Radius配置将服务器上的相关设置对应配置在交换机上。
如果不需要进行上网计费,则不需要启用计费功能。
● 端口配置i. 不启用TL-SL5428级联端口(28端口)的802.1x认证,使认证服务器的在任何时候都能通过该端口接入网络以便认证客户端。
ii.配置其它需要认证的端口。
(TL-SL5428可同时支持基于MAC和Port的认证,这里均采用基于MAC的认证方式)注:● 如果端口的“状态”处于禁用,则该端口下的设备不需要进行认证,始终处于接入网络的状态。
● 控制类型中,“基于MAC”意为着该端口下的所有设备必需单独进行认证,认证通过后才能接入网络;“基于Port”意味着该端口下只要有一台设备认证通过,其它设备不再需要认证也能接入网络。
[计算机]IEEE 8021x协议及应用
![[计算机]IEEE 8021x协议及应用](https://img.taocdn.com/s3/m/fc0fc34b02768e9951e7383f.png)
联创对802.1x认证的安全优化
在联创协议中,“请求方”即宿舍中请求上网的计算机,
“认证方”即提供接入的交换机,“认证服务器”则在外 部网络上与交换机通讯,上面存有上网的卡号和密码 在接入设备上,将所有物理端口划分成一个个独立的 VLAN,使用户与接入设备之间的信道不会被其它用户监 听到,从而使得之前的大部分攻击基本无法实现(除非在 交换机与上网计算机之间搭建一条线路,如通过集线器) 由于已经从物理上使得攻击可能性小,联创802.1x协议在 交换机与用户之间的通讯安全性方面其实是非常脆弱的。 认证通过后,每隔20s左右服务器会对客端进行身份认证, 但这个认证主要是为了计费需要,安全性上不具有多大意 义。
法实现,譬如防火墙。
802.1x认证示意图
认证方
认证服务器
请求方
请求方与认证方之间通过EAPOL传递EAP报文,EAPOL报文在认证方那里封装成 EAP报文送往认证服务器,所以认证方与认证服务器之间传送的则是真正的EAP报 文,EAP报文这时可以被进一步通过其它报文封装,譬如TCP/UDP,以穿过复杂的 网络环境
7.客户端收到EAP-Request/MD5-Challenge报文后,将密码和
Challenge做MD5算法后的Challenged-Password,在EAPResponse/MD5-Challenge回应给认证方;
8.认证方将Challenge,Challenged Password和用户名一起送到
188021x8021x在联创协议中请求方即宿舍中请求上网的计算机认证方即提供接入的交换机认证服务器则在外部网络上与交换机通讯上面存有上网的卡号和密码在接入设备上将所有物理端口划分成一个个独立的vlan使用户与接入设备之间的信道不会被其它用户监听到从而使得之前的大部分攻击基本无法实现除非在交换机与上网计算机之间搭建一条线路如通过集线器由于已经从物理上使得攻击可能性小联创8021x协议在交换机与用户之间的通讯安全性方面其实是非常脆弱的
基于端口的访问控制--8021X用户接入管理
基于端口的访问控制--802.1X用户接入管理802.1X体系介绍802.1X是IEEE2001年6月通过的基于端口访问控制的接入管理协议标准。
IEEE 802 LAN 协议定义的局域网不提供接入认证,只要用户能接入局域网控制设备,如传统的LanSwitch,用户就可以访问局域网中的设备或资源,这是一个安全隐患。
对于移动办公,驻地网运营等应用,设备提供者希望能对用户的接入进行控制和配置,此外还存在计费的需求。
IEEE 802.1X是一种基于端口的网络接入控制技术,在 LAN 设备的物理接入级对接入设备进行认证和控制,此处的物理接入级指的是 LANSWITCH设备的端口。
连接在该类端口上的用户设备如果能通过认证,就可以访问 LAN 内的资源;如果不能通过认证,则无法访问 LAN 内的资源,相当于物理上断开连接。
IEEE 802.1X定义了基于端口的网络接入控制协议,需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。
典型的应用方式有:LanSwitch 的一个物理端口仅连接一个 End Station(基于物理端口); IEEE 802.11定义的无线 LAN 接入方式(基于逻辑端口)。
802.1X的体系结构如下图:IEEE 802.1X的体系结构中包括三个部分:Supplicant System,用户接入设备;Authenticator System,接入控制单元;Authentication Sever System,认证服务器。
在用户接入层设备(如LANSWITCH)实现 802.1X的认证系统部分,即Authenticator;802.1X的客户端一般安装在用户PC中,典型为Windows XP操作系统自带的客户端; 802.1X的认证服务器系统一般驻留在运营商的AAA中心。
Supplicant与Authenticator间运行 IEEE 802.1X定义的EAPOL协议;Authenticator 与 Authentication Sever 间同样运行 EAP 协议,EAP 帧中封装了认证数据,将该协议承载在其他高层次协议中,如 Radius,以便穿越复杂的网络到达认证服务器(EAP Relay)。
802.1x
一、引言802.1x协议起源于802.11协议,后者是IEEE的无线局域网协议,制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。
IEEE802LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备(如LANS witch),就可以访问局域网中的设备或资源。
这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。
随着移动办公及驻地网运营等应用的大规模収展,服务提供者需要对用户的接入迚行控制和配置。
尤其是WLAN的应用和LAN接入在甴信网上大规模开展,有必要对端口加以控制以实现用户级的接入控制,802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。
二、802.1x认证体系802.1x是一种基于端口的认证协议,是一种对用户迚行认证的方法和策略。
端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。
对于无线局域网来说,一个端口就是一个信道。
802.1x认证的最终目的就是确定一个端口是否可用。
对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,即只允许802.1x的认证协议报文通过。
802.1x的体系结构如图1所示。
它的体系结构中包括三个部分,即请求者系统、认证系统和认证服务器系统三部分:图1 802.1x认证的体系结构1.请求者系统请求者是位于局域网链路一端的实体,由连接到该链路另一端的认证系统对其迚行认证。
请求者通常是支持802.1x认证的用户终端设备,用户通过启动客户端软件収起802.lx认证,后文的认证请求者和客户端二者表达相同含义。
2.认证系统认证系统对连接到链路对端的认证请求者迚行认证。
认证系统通常为支持802.lx协议的网络设备,它为请求者提供服务端口,该端口可以是物理端口也可以是逻辑端口,一般在用户接入设备(如LANSwitch和AP)上实现802.1x认证。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
EAPOL-Start和EAPOL-Logoff报文的Length值都为0。
Packet Body: EAP数据帧内容,当Packet Type为EAPOL-Start或
EAPOL-Logoff时,Packet Body部分无特定内容,用全“0”填充。
EAPOL frame format for 802.3/Ethernet
2
Packet Body Length
➢2 EAPOL-Logoff:退出请求帧,仅在客户端和认证方之间存在 ➢3 EAPOL-Key
N
Packet Body
Packet Body Length: 2字节,表示数据长度,也就是“Packet Body” 字段的长度,单位为字节。如果为0,则表示没有后面的数据域。
网络与信息安全
7
EAPOL帧格式
EAP在LAN的报文(简称EAPOL)封装格式在IEEE-802.1X协议中定义
字节数
PAE Ethernet Type: 2字节,表示协议类型,为0x888E Protocol Version: 1字节,表示EAPOL帧的发送方所支持的协议版本 号
2
PAE Ethernet Type
网络与信息安全
Network and information security
主讲 陈付龙
安徽师范大学 计算机与信息学院 网络与信息安全安徽省重点实验室
(2020年)
第5讲 网络访问控制和云安全
5.1 网络访问控制 5.2 可扩展认证协议 5.3 IEEE 802.1X基于端口的网络访问控制 5.4 云计算 5.5 云安全风险和对策 5.6 云端数据保护 5.7 云安全即服务
口上的用户/设备进行认证。 • 在认证通过之前,802.1x只允许EAPOL(基于局域网的扩展认证协议
)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以 顺利地通过以太网端口。
3
网络与信息安全
3
802.1X的起源
• 802.1X协议起源于802.11协议,后者是标准的无线局域网 协议,802.1X协议的主要目的是为了解决无线局域网用户 的接入认证问题,但由于它的原理对于所有符合IEEE 802 标准的局域网具有普适性,因此后来它在有线局域网中也 得到了广泛的应用。
802.1x认证示意图
认证方 请求方
网络与信息安全
认证服务器
9
IEEE 802.1X认证过程
(1) 客户端向接入设备发送一个EAPoL-Start报文,开始802.1X认证接入;
(2) 接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;
(3) 客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名;
(4) 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,发送给认证服务器;
(5) 认证服务器产生一个Challenge,通过接入设备将RADIUS Access-Challenge报文发送给接入设备,其中包含有EAP-Request/MD5-Challenge;
• 认证者内部有受控端口(Controlled Port)和非受 控端口(Uncontrolled Port)。
非受控端口 始终处于双 向连通状态, 不必经过任 何授权就可 以访问或传 递网络资源
和服务。
受控端口必 须经过授权 才能访问或 传递网络资 源和服务。 这种方式可 以通过某些 方法实现, 譬如防火墙。
• EAPOL(EAP over LAN),支持客户端PAE和设备端PAE在LAN 环境中进行EAP报文的交换。
• 作用于网络层,适用于Wi-Fi、以太网等IEEE 802标准的局 域网。
• RADIUS:Remote Authentication Dial In User Service,远程 用户拨号认证系统,可以简单将其理解成一个存储有用 户的用户名密码的服务器,能够对一些查询进行响应, 从而得知用户是否合法。
网络与信息安全
5
802.1X认证实体
请求方
• 希望接入局域 网/无线局域网 来上网的设备, 譬如一台笔记 本,有时候也 指设备上运行 的客户端软件
认证方
• 管理接入的设 备,譬如以太 网交换机或者 无线接入点
认证服务器(AS)
• 一个运行有支 持RADIUS和EAP 的软件的主机
网络与信息安全
6
受控端口VS未受控端口
(6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证
(7) 客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备
(10) 如果认证通过,用户通过标准的DHCP协议 (可以是DHCP Relay) ,通过接入设备获取规划的IP地址;
(11) 如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器;
(12)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕
网络与信息安全
10
网络与信息安全
2
5.3 IEEE 802.1X基于端口的网络访问控制
• 802.1x协议是基于Client/Server的访问控制和认证协议。 • 它 可 以限 制未 经 授权 的用 户 /设 备通过 接 入端 口 (access port) 访 问
LAN/WLAN。 • 在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端
网络与信息安全
8
请求方与认证方 之间通过 EAPOL传递 EAP报文, EAPOL报文在 认证方那里封装 成EAP报文送往 认证服务器,所 以认证方与认证 服务器之间传送 的则是真正的 EAP报文,EAP 报文这时可以被 进一步通过其它 报文封装,譬如 TCP/UDP,以 穿过复杂的网络 环境(将在第七 章讲述相关安全 问题)。
(8) 接入设备将Challenge,Challenged Password和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证
(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结准,标准的起草者包 括Microsoft,Cisco,Extreme,Nortel等。
• 主要定义了EAPOL协议
网络与信息安全
4
EAPOL协议/局域网上的可扩展认证协议
• PAE(port access entity)是指认证机制中负责处理算法和协 议的实体。
Packet Type:1字节,表示EAPOL数据帧类型 ➢0 EAP-Packet:认证信息帧,用于承载认证信息,该类型的帧在
1
Protocol Version
1
Packet Type
认证方重新封装并承载于RADIUS等协议上,便于穿越复杂的网 络到达认证服务器 ➢1 EAPOL-Start:认证发起帧,仅在客户端和认证方之间存在