利用802.1x協(xié)議實現(xiàn)局域網(wǎng)接入的可控管理

2013-12-12 10:24:39 電力信息化　點擊量：評論 (0)

摘　要：802 1x協(xié)議可以為企業(yè)內聯(lián)網(wǎng)提供一種安全的用戶管理方式。本文介紹了802．1x協(xié)議體系結構，重點分析了協(xié)議的工作原理及機制，并與目前流行的寬帶認證方式進行了比較，最后給出了其在企業(yè)局域網(wǎng)接入中實際

摘　要：802.1x協(xié)議可以為企業(yè)內聯(lián)網(wǎng)提供一種安全的用戶管理方式。本文介紹了802．1x協(xié)議體系結構，重點分析了協(xié)議的工作原理及機制，并與目前流行的寬帶認證方式進行了比較，最后給出了其在企業(yè)局域網(wǎng)接入中實際應用的方案及配置方法。

關鍵詞：802.1x協(xié)議；認證；局域網(wǎng)；接入

一、　引　言

近年來，電力企業(yè)的網(wǎng)絡建設已經(jīng)有一定的規(guī)模，隨著信息技術的廣泛應用，網(wǎng)絡與信息系統(tǒng)的基礎性、安全性作用日益增強，網(wǎng)絡與信息安全已經(jīng)成為電網(wǎng)安全的重要組成部分。但是，由于傳統(tǒng)的以太網(wǎng)接入方式采用廣播機制，其安全性較差，一旦用戶接入企業(yè)內聯(lián)網(wǎng)，就意味著其擁有了訪問所有網(wǎng)絡資源的權限，所以對接入用戶的可控管理成為信息安全建設的一個非常緊迫與現(xiàn)實的問題。802.1x正是基于這一需求而出現(xiàn)的一種認證技術。其實現(xiàn)基于以太網(wǎng)交換機，可以對用戶進行認證、授權，從而提供了一種實用、安全的接入用戶管理方式。本文主要介紹802．1x協(xié)議的基本原理及其在企業(yè)局域網(wǎng)中的應用實例。

二、802．1x協(xié)議結構和基本原理

2.1 802．1x協(xié)議

90年代后期，IEEE802 LAN／WAN委員會為解決無線局域網(wǎng)網(wǎng)絡安全問題，提出了802．1x協(xié)議。后來，802．1x協(xié)議作為局域網(wǎng)端口的一個普通接入控制機制用在以太網(wǎng)中，主要解決以太網(wǎng)內認證和安全方面的問題。802．1x協(xié)議稱為基于端口的訪問控制協(xié)議（port based network access control protocol），該協(xié)議的核心內容如圖1所示。

靠近用戶一側的以太網(wǎng)交換機上放置一個EAP（Extensible Authentication Protocol）代理，用戶PC機運行EAPoE（EAP Over Ethernet）的客戶端軟件與交換機通信。初始狀態(tài)下，交換機上的所有端口處于關閉狀態(tài)，只有802．1x數(shù)據(jù)流才能通過，而另外一些類型的網(wǎng)絡數(shù)據(jù)流，如動態(tài)主機配置協(xié)議、超文本傳輸協(xié)議（HTTP）、文件傳輸協(xié)議（FTP）、簡單郵件傳輸協(xié)議（SMTP）和郵局協(xié)議（POP3）等都被禁止傳輸。

當用戶通過EAPoE登錄交換機時，交換機將用戶同時提供的用戶名口令傳送到后臺的Radius認證服務器上。如果用戶名及口令通過了驗證，則相應的以太網(wǎng)端口打開，允許用戶訪問。

2．2　802．1x協(xié)議的體系結構

802．1x協(xié)議的體系結構包括3個重要部分：客戶端（supplicant system）、認證系統(tǒng)（authenticator system）、認證服務器（authentication server system）。圖2描述了三者之間的關系以及互相之間的通信。

客戶端系統(tǒng) 一般為一個用戶終端系統(tǒng)，該終端系統(tǒng)通常要安裝一個客戶端軟件，用戶通過啟動這個客戶端軟件發(fā)起IEEE 802.1x協(xié)議的認證過程

上一頁 1 2 3 4 5 6 7 下一頁