利用802.1x協議實現局域網接入的可控管理

2013-12-12 10:24:39 電力信息化　點擊量：評論 (0)

摘　要：802 1x協議可以為企業內聯網提供一種安全的用戶管理方式。本文介紹了802．1x協議體系結構，重點分析了協議的工作原理及機制，并與目前流行的寬帶認證方式進行了比較，最后給出了其在企業局域網接入中實際

摘　要：802.1x協議可以為企業內聯網提供一種安全的用戶管理方式。本文介紹了802．1x協議體系結構，重點分析了協議的工作原理及機制，并與目前流行的寬帶認證方式進行了比較，最后給出了其在企業局域網接入中實際應用的方案及配置方法。

關鍵詞：802.1x協議；認證；局域網；接入

一、　引　言

近年來，電力企業的網絡建設已經有一定的規模，隨著信息技術的廣泛應用，網絡與信息系統的基礎性、安全性作用日益增強，網絡與信息安全已經成為電網安全的重要組成部分。但是，由于傳統的以太網接入方式采用廣播機制，其安全性較差，一旦用戶接入企業內聯網，就意味著其擁有了訪問所有網絡資源的權限，所以對接入用戶的可控管理成為信息安全建設的一個非常緊迫與現實的問題。802.1x正是基于這一需求而出現的一種認證技術。其實現基于以太網交換機，可以對用戶進行認證、授權，從而提供了一種實用、安全的接入用戶管理方式。本文主要介紹802．1x協議的基本原理及其在企業局域網中的應用實例。

二、802．1x協議結構和基本原理

2.1 802．1x協議

90年代后期，IEEE802 LAN／WAN委員會為解決無線局域網網絡安全問題，提出了802．1x協議。后來，802．1x協議作為局域網端口的一個普通接入控制機制用在以太網中，主要解決以太網內認證和安全方面的問題。802．1x協議稱為基于端口的訪問控制協議（port based network access control protocol），該協議的核心內容如圖1所示。

靠近用戶一側的以太網交換機上放置一個EAP（Extensible Authentication Protocol）代理，用戶PC機運行EAPoE（EAP Over Ethernet）的客戶端軟件與交換機通信。初始狀態下，交換機上的所有端口處于關閉狀態，只有802．1x數據流才能通過，而另外一些類型的網絡數據流，如動態主機配置協議、超文本傳輸協議（HTTP）、文件傳輸協議（FTP）、簡單郵件傳輸協議（SMTP）和郵局協議（POP3）等都被禁止傳輸。

當用戶通過EAPoE登錄交換機時，交換機將用戶同時提供的用戶名口令傳送到后臺的Radius認證服務器上。如果用戶名及口令通過了驗證，則相應的以太網端口打開，允許用戶訪問。

2．2　802．1x協議的體系結構

802．1x協議的體系結構包括3個重要部分：客戶端（supplicant system）、認證系統（authenticator system）、認證服務器（authentication server system）。圖2描述了三者之間的關系以及互相之間的通信。

客戶端系統一般為一個用戶終端系統，該終端系統通常要安裝一個客戶端軟件，用戶通過啟動這個客戶端軟件發起IEEE 802.1x協議的認證過程

上一頁 1 2 3 4 5 6 7 下一頁