802.1x認證技術分析及其應用建議

2019-11-03 09:22:10

字體：大中小

來源：轉載

供稿：網友

中國電信集團北京研究院毛擁華

　　一、技術背景

　　以太網的高性價比和媒體獨立的特性使其逐漸成為家庭、企業局域網、電信級城域網的主導接入技術，而且隨著10G以太網技術的出現，以太網技術在廣域網范圍內也將獲得一席之地。電信運營商和寬帶接入提供商也開始提供基于以太或者純以太的接入業務，但對于以太網絡中多數業務來說，運營商無法從物理上完全控制客戶端設備或者媒介。運營商要實現對寬帶業務的可運營、可管理，就必須從邏輯上對用戶或者用戶設備進行控制。該控制過程主要通過對用戶和用戶設備的認證和授權完成。一般來說，需要進行認證和授權的業務種類包括：

　　1.提供給多用戶系統的以太城域網業務，這些業務包括典型的TLS業務，L2或者是L3的VPN，在該業務組網環境中，客戶前端交換機由同一建筑物內的多個用戶共享；

　　2.在以IEEE802.11a和IEEE802.11b提供無線以太接入的熱點地區，像機場、商場、學校和餐廳等，需要基于每個用戶設備或者用戶進行接入認證，防止非授權用戶接入；

　　3.基于ATMRFC1483的xDSL業務和ip以太接入網；

　　4.基于EFM(Ethernetinthe First Mile，IEEE 802.3ah) EPON接入和EoVDSL等業務；

　　5.基于以太Cable的共享RF信道接入方式。

　　二、電信級IP寬帶網用戶接入認證技術需求分析

　　隨著基于以太業務應用的日益廣泛，迫切需要一種能適應以太網多業務承載需求，兼顧以太接入靈活性和擴展性好的特點，并能確保以太接入安全性、支持運營商對接入用戶進行控制和管理的接入認證技術。

　　以太技術和接入認證技術的結合要求網絡接入控制完成以下功能。

　　1.網絡的接入控制與網絡提供的業務類型無關，即無論是有線接入業務或者是無線接入業務，或者其它形式的公眾以太接入業務，都采用一個通用的接入認證解決方案；

　　2.電信級IP接入網絡要求對用戶進行嚴格的控制和管理，包括控制用戶對網絡的訪問、用戶身份識別

　　3.對于用戶來說，只需要面對單一的認證界面，用戶可以實現在多種網絡接入業務間漫游；

　　4.對于新興業務的支持也是選擇認證技術時要考慮的一個重要因素，認證技術必須保證在現有的認證體系下對新興業務的支持；

　　5.對于運營商而言，通用的認證解決方案可以簡化遠程接入VPN的安全管理，將用戶認證的范疇延伸到LAN范圍內；

　　6.適應電信級IP寬帶網接入控制需求的認證技術將簡化運營商網絡認證的體系結構，降低運營商用于培訓和維護的費用，減少運營成本。

　　按照Internet網絡分層模型，在協議每一層都可以針對用戶或者設備進行網絡接入的認證、鑒權。無論從對現有設備的改動、多協議的支持、網絡安全還是網絡控制能力來看，鏈路層認證的優勢突出，快速、簡單和成本低廉也是它的優勢。多數的鏈路層協議像PPP和IEEE802都可以支持基于鏈路層的認證技術。客戶在認證之前不需要進行服務器的定位，不需要獲得IP地址。網絡接入設備只需要有限的3層功能，可以輕易實現和AAA的結合，從而提供豐富、靈活的認證方式和計費手段。在多協議網絡環境中，基于鏈路層的認證可以實現對上層應用的完全透明，也就是說可以實現和新的網絡層協議（比如IPv6）的兼容。鏈路層認證處理減小了認證包處理的延時，保證了關鍵性應用的服務質量。

　　三、IEEE802.1x協議技術分析

　　意識到PPPoE在用于純以太網絡環境接入控制中的種種缺陷，IEEE在2001正式頒布了IEEE802.1x標準，用于基于以太的局域網、城域網和各種寬帶接入手段的用戶/設備接入認證。該協議最初假定的應用環境是交換式以太網中，但是在標準化過程中也考慮到了像801.11b和Cable接入等共享式以太網絡應用環境對認證的要求。802.1x認證采用基于以太網端口的用戶訪問控制技術，可以克服PPPoE方式帶來的諸多問題，并避免引入集中式寬帶接入服務器所帶來的巨大投資。

　　在傳統以太網設備基礎上，基于端口的網絡訪問控制技術采用IEEE802.1x協議，提供了對基于以太網的點到點連接的端口用戶進行認證和授權的能力，從而使以太網設備達到電信運營要求。用戶側的以太網交換機上放置一個擴展認證協議（EAP）代理，用戶PC機運行EAPoL（EAPoverLAN）的客戶端軟件與交換機通信。基于端口的網絡訪問技術的基本思想是網絡系統可以控制面向最終用戶的以太網端口，使得只有網絡系統允許并授權的用戶可以訪問網絡系統的各種業務（如以太網連接，網絡層路由，Internet接入等業務）。

　　802.1x協議是基于Client/Server的訪問控制和認證協議。它可以限制未經授權的用戶/設備通過接入端口訪問LAN/MAN。在獲得交換機或LAN提供的各種業務之前，802.1x對連接到交換機端口上的用戶/設備進行認證。在認證通過之前，802.1x只允許EAPoL（基于局域網的擴展認證協議）數據通過設備連接的交換機端口；認證通過以后，正常的數據可以順利地通過以太網端口。

　　網絡訪問技術的核心部分是PAE（端口訪問實體）。在訪問控制流程中，端口訪問實體包含3部分：認證者--對接入的用戶/設備進行認證的端口；請求者--被認證的用戶/設備；認證服務器--根據認證者的信息，對請求訪問網絡資源的用戶/設備進行實際認證功能的設備。

　　以太網的每個物理端口被分為受控和不受控的兩個邏輯端口，物理端口收到的每個幀都被送到受控和不受控端口。對受控端口的訪問，受限于受控端口的授權狀態。認證者的PAE根據認證服務器認證過程的結果，控制"受控端口"的授權/未授權狀態。處在未授權狀態的控制端口將拒絕用戶/設備的訪問。

　　1.802.1x認證特點

　　基于以太網端口認證的802.1x協議有如下特點：IEEE802.1x協議為二層協議，不需要到達三層，對設備的整體性能要求不高，可以有效降低建網成本；借用了在RAS系統中常用的EAP（擴展認證協議），可以提供良好的擴展性和適應性，實現對傳統PPP認證架構的兼容；802.1x的認證體系結構中采用了"可控端口"和"不可控端口"的邏輯功能，從而可以實現業務與認證的分離，由RADIUS和交換機利用不可控的邏輯端口共同完成對用戶的認證與控制，業務報文直接承載在正常的二層報文上通過可控端口進行交換，通過認證之后的數據包是無需封裝的純數據包；可以使用現有的后臺認證系統降低部署的成本，并有豐富的業務支持；可以映射不同的用戶認證等級到不同的VLAN；可以使交換端口和無線LAN具有安全的認證接入功能。

　　2.802.1x應用環境特點

　　(1)交換式以太網絡環境

　　對于交換式以太網絡中，用戶和網絡之間采用點到點的物理連接，用戶彼此之間通過VLAN隔離，此網絡環境下，網絡管理控制的關鍵是用戶接入控制，802.1x不需要提供過多的安全機制。

　　(2)共享式網絡環境

　　當802.1x應用于共享式的網絡環境時，為了防止在共享式的網絡環境中出現類似“搭載”的問題，有必要將PAE實體由物理端口進一步擴展為多個互相獨立的邏輯端口。邏輯端口和用戶/設備形成一一對應關系，并且各邏輯端口之間的認證過程和結果相互獨立。在共享式網絡中，用戶之間共享接入物理媒介，接入網絡的管理控制必須兼顧用戶接入控制和用戶數據安全，可以采用的安全措施是對EAPoL和用戶的其它數據進行加密封裝。在實際網絡環境中，可以通過加速WEP密鑰重分配周期，彌補WEP靜態分配秘鑰導致的安全性的缺陷。

　　3.802.1x認證的安全性分析

　　802.1x協議中，有關安全性的問題一直是802.1x反對者攻擊的焦點。實際上，這個問題的確困擾了802.1x技術很長一段時間，甚至限制了802.1x技術的應用。但技術的發展為這個問題給出了答案：802.1x結合EAP，可以提供靈活、多樣的認證解決方案。

　　IEEE802.1x和PPP一樣采用了EAP協議作為認證信息交互機制，EAP消息封裝在EAPOL分組中。EAP作為一種認證消息承載機制可以允許認證者和請求者之間采用靈活的方案進行認證，并且對將來出現的更先進合理的認證技術具有很好的兼容性。EAP的這些特性主要通過擴展EAP中廠家定義的“EAP類型”域實現，“EAP類型”域中定義的認證類型，可以滿足不同層次認證的安全需要。目前可以采用的EAP類型包括：LEAP、PEAP、EAP-md5、EAP-TTLS。具體的EAP不同層次認證如圖1所示。

圖1EAP不同層次認證

　　4.802.1x認證的優勢

　　綜合IEEE802.1x的技術特點，其具有的優勢可以總結為以下幾點。

　　簡潔高效：純以太網技術內核，保持了IP網絡無連接特性，不需要進行協議間的多層封裝，去除了不必要的開銷和冗余；消除網絡認證計費瓶頸和單點故障，易于支持多業務和新興流媒體業務。

　　容易實現：可在普通L3、L2、IPDSLAM上實現，網絡綜合造價成本低，保留了傳統AAA認證的網絡架構，可以利用現有的RADIUS設備。

　　安全可靠：在二層網絡上實現用戶認證，結合MAC、端口、賬戶、VLAN和密碼等；綁定技術具有很高的安全性，在無線局域網網絡環境中802.1x結合EAP－TLS，EAP－TTLS,可以實現對WEP證書密鑰的動態分配，克服無線局域網接入中的安全漏洞。

　　行業標準：IEEE標準，和以太網標準同源，可以實現和以太網技術的無縫融合，幾乎所有的主流數據設備廠商在其設備，包括路由器、交換機和無線AP上都提供對該協議的支持。在客戶端方面微軟WindowsXP操作系統內置支持，linux也提供了對該協議的支持。

　　應用靈活：可以靈活控制認證的顆粒度，用于對單個用戶連接、用戶ID或者是對接入設備進行認證，認證的層次可以進行靈活的組合，滿足特定的接入技術或者是業務的需要。

　　易于運營：控制流和業務流完全分離，易于實現跨平臺多業務運營，少量改造傳統包月制等單一收費制網絡即可升級成運營級網絡，而且網絡的運營成本也有望降低。

　　四、802.1x在電信級IP寬帶網絡中的應用建議

　　圖2為802.1x認證在電信級寬帶網絡中應用的總體架構。根據上文對802.1x技術特點及技術優勢的分析，筆者認為電信級網絡中應用802.1x可以采用以下策略：

　　1.以WLAN為應用突破口

　　802.1x認證技術在電信級寬帶網中的應用以WLAN為突破口。802.1x技術從一開始就對基于WLAN提供認證的技術進行了大量的研究和探索；WLAN設備大量應用的時間段和802.1x協議標準產生基本同步，目前多數廠商的WLANAP設備都可以支持802.1x認證；從技術上考慮，WLAN是一種共享式的以太接入網絡，其面臨的安全性問題的解決和用戶控制都要比基于有線的以太接入方式難解決；基于WLAN和3G移動網絡的新型業務和應用層出不窮，尤其是基于組播技術的各種應用，原有的PPPoE認證在支持這些新業務時有明顯缺陷，迫切需要一種新性認證技術，滿足業務發展的需求；WLAN作為寬帶網上的新應用，運營商沒有什么歷史包袱，在網絡減少和設備選型時不受現有網絡條件的牽制。以上種種原因決定了WLAN是802.1x技術應用的排頭兵。

　　2.認證邊緣化、分布化

　　認證邊緣化充分發揮了802.1x基于端口認證的優勢。所謂認證邊緣化是指將認證設備的網絡中的位置設置為直接和用戶設備/網絡接口，邊緣化的認證設備可以感知、監控認證設備和用戶設備之間鏈路連接狀態，根據鏈路狀態變化，認證設備可以采取相應的策略，主動要求用戶/設備發起認證。對鏈路狀態的感知能力也是運營商進行網絡故障檢測和網絡運行維護工作順利開展的基礎，可以說實現了認證的邊緣化也就解決了寬帶接入網絡中線路維護和故障診斷困難的難題。用戶可以在本地接入網段實現隔離，不需要像集中認證方式那樣，在用戶到接入認證服務器之間的二層網絡都進行用戶隔離，減少了交換機運行VLAN的復雜度，也使網絡的流量的規劃、管理、控制更加容易。認證邊緣化意味著認證設備的分布化，可以避免采用集中式的PPPoE認證帶來的網絡性能和網絡可靠性的瓶頸。

　　3.用戶管理集中化

　　雖然802.1x采用分布式的認證，但是在用戶管理時建議仍采用集中方式。集中式的用戶管理的范圍包括有線接入用戶和無線接入用戶。集中認證一方面易于管理維護，保證了單個管理域內用戶信息的一致性；另一方面，集中統一的用戶管理為不同接入手段的用戶賬戶之間進行漫游提供了前提條件，而且用戶在不同網絡或者接入類型之間切換時面對的是統一的界面。PPPoE認證中也采用的是集中式的用戶管理，802.1x通過對現有的RADIUS設備進行升級，可以完整的繼承PPPoE的認證體系，避免了對網絡結構進行大規模調整，工程易實現。

　　4.多業務接入，兼顧網絡技術特點

　　802.1x是IEEE以太協議族中的一個組成部分，應用范圍涵蓋WLAN、xDSL、5類線、Cable和EPON等等純以太或者基于以太的多業務接入方式。以xDSL技術為例，一方面EoVDSL等純以太的xDSL接入手段出現；另一方面，在基于ATM的xDSL技術中，IPDSLAM的出現及其三層路由功能需求，使802.1x成為滿足需求的最佳選擇。值得注意的是，交換式以太網絡和共享式以太網絡有不同的網絡技術特點，在應用802.1x時要兼顧。

　　5.逐步取代PPPoE

　　802.1x技術代表了電信級寬帶網絡發展的趨勢，即認證、業務分離和支持多業務。PPPoE的缺陷注定了其過渡者的角色，事實上當初PPPoE也是作為一種權宜之計應用到寬帶網絡接入認證中的。但是802.1x取代PPPoE是一個漸進的過程，網絡現狀是我們不得不考慮的問題，其中最主要的問題是樓道交換機功能簡單，不支持802.1x。解決這個問題可以考慮采用如下途徑：方案一，對樓道交換機進行軟件升級，使其支持802.1x；方案二，對802.1x協議進行改進，使EAP可以承載在VLAN上，在匯聚層交換機進行802.1x認證，下游二層交換機采用VLAN進行用戶隔離，最終，認證邊緣化要求面向用戶的接入設備可以直接實現對用戶接入的管理和控制。方案二可以作為實現目標網絡的過渡。

　　五、電信級IP寬帶網認證技術存在的問題和發展的趨勢

　　隨著802.1x協議在基于以太的寬帶電信級接入網絡中應用范圍的延展和應用層次的深入，也暴露出了該協議一些不成熟、不完善和不適應現有網絡環境的方面，主要體現在對認證端口顆粒度控制方面。認證端口顆粒度控制更加靈活將是802.1x技術發展的趨勢。

　　基于802.1x的認證應該提供靈活的端口控制能力。這里所說的端口是一個邏輯上的廣義端口概念的統稱，并非單指物理端口，而是包含物理端口、MAC、VLAN等識別用戶或用戶群的標識。可以靈活的根據應用的情況、業務的要求，針對用戶的類型，選擇端口形式進行控制，有效地解決了運營遇到的用戶安全，用戶認證等問題。

　　六、結論

　　隨著以太網技術在寬帶網內應用范圍的日益廣泛，各種基于以太網技術的業務應運而生，成為寬帶網絡業務主體。在寬帶接入領域內，純以太網或者以太網相關的接入技術已經成為接入網發展的大趨勢，這種控制和管理一般通過對網絡接入進行控制、認證和授權實現。802.1x技術作為IEEE協議族的一個組成部分，在以太網絡環境中提供了一種基于端口、認證和業務分離，高靈活性，強適應性的接入控制手段。相比現階段廣泛應用的PPPoE解決方案，802.1x不僅具有和以太網技術天生的良好兼容性，還具有出色的多業務支持能力和多樣化的統計計費能力。現階段802.1x應用于電信級寬帶網絡還存在著一些缺陷，但是隨著其不斷完善、成熟，802.1x和802.1aa協議將成為電信級寬帶網絡中不可或缺的部分。

----《通信世界》