基于802.1x协议的网络接入认证方式的分析

牧军 朱欢欢

摘要：网络接入认证是保障网络系统整体安全的重要一环，本文主要介绍了目前依然使用非常广泛的基于802.1x协议的网络接入认证方式。首先介绍802.1X协议的概况和体系结构，接着简单介绍802.1X协议基于端口的接入控制方式及流程，并适当分析。

关键词：802.1X；接入网；接入认证控制

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2018）07-0033-01

1 概述

接入网[1]一般泛指用户终端到骨干网之间的所有网络设备，是靠用户最近的一段网络。由于很多的攻击行为都是由接入终端自身存在不安全因素，因此接入网的安全性一直都是值得关注的重点。目前常用的接入认证的方式[2]有PPPoE接入认证、IEEE802.1X接入认证、MAC接入认证等，其中基于802.1x协议的接入认证依然是目前最常使用的一种。

802.1X简称dot1x，是一种网络认证协议，设备通过对应端口接入网络，dot1x协议从端口层面上认证所接入的所有用户设备，并对其实现用户级别的接入控制。用户设备在连接上端口之后，只有通过了协议的认证才能够接入网络访问局域网中的资源，否则将拒绝访问。

2 802.1x的体系结构

802.1X協议采用了非常经典的C/S结构，由客户端、设备端和认证服务器（RADIUS）这三个部分组成。

其中客户端可以是任何能够发起802.1X认证请求并且支持EAPOL协议的用户终端设备，通常情况下要先安装上相应的客户端软件。设备端一般是网络设备，提供一些端口供用户侧的客户端接入。认证服务器与设备端相连，能够为设备端提供认证服务，除此之外还同时提供授权和计费功能（即常说的AAA），通常是一个RADIUS（远程认证拨号用户服务器）。

3 802.1x基于端口的认证方式

设备端为用户提供非受控与受控两种端口用来接入网络。非受控端口一直保持在双向连通状态。受控端口根据认证的结果可以处在两种不同的状态：授权和非授权。当端口处在授权状态下时，可以进行业务报文的收发，双向连通；在非授权状态下，设备端无法从用户侧接收任何种类的报文。

用户侧与设备端和认证服务器之间传递认证信息使用的协议为EAP协议，具体有以下两种实现方式：

（1）EAP中继方式：用户通向设备端发送EAP包，设备端以EAPOR格式将其完整的封装在RADIUS报文中，然后发送给RADUIS服务器，服务器从RADUIS报文中解析出经过两层封装的用户信息进行验证。在这种认证方式下，设备端的工作量比较小，不用管从用户侧发来的认证信息内容是什么都不需要对其进行分析处理。（2）EAP终结方式：这种方式与EPA中继不同的是设备端要对从客户端接收到的认证报文进行分析，从中提取必要的认证信息，再把提取出来的认证信息封装成标准的RADIUS报文格式发送给认证服务器。因为要在设备端进行报文分析和重新封装，所以对设备端要求要高，而且设备端需要进行的工作较多。

4 802.1x的认证过程

下面以客户端主动发起认证的方式简单介绍一下EAP中继认证的过程，其简要的流程示意图如图1所示。

（1）用户通过支持802.1x的客户端发出EAPOL-Start报文，发起连接请求；（2）设备端收到请求后返回对应报文要求用户输入用户名；（3）用户收到设备端返回的报文后向其发送包含用户信息的数据帧；（4）设备端对这个数据帧做一定的处理后发送给认证服务器；（5）认证服务器根据用户信息从数据库中找到对应的密码信息，随机产生一个加密字对其进行加密处理后将加密字返回给设备端然后转发给用户侧；（6）用户侧收到这个加密字后，使用加密字对用户输入的密码进行不可逆的加密处理，然后通过设备端传送给认证服务器；（7）认证服务器将收到的密码信息和本地查询出来的密码信息进行对比，相同则用户通过认证。

5 结语

基于802.1x协议的接入认证方式实现了认证流和业务流分离，简化后续对数据包的处理工作。

参考文献

[1]陈永红，李建岐，白杰，黄毕尧.终端通信接入网建设和运行模式探讨[J].供用电，2018，35（03）：32-36.

[2]徐方南，苏星晔.网络接入认证技术研究[J].中国新通信，2017，19（05）：56.