IEEE802.1x技术白皮书V10(1)

IEEE802.1x技术白皮书V10北京港湾网络有限公司产品部2002年2月目录第一部分IEEE802.1X协议介绍..............................................................................11协议的开发背景....................................................................................................12几个名词的定义....................................................................................................13工作机制................................................................................................................33.1各组成部分的功能.........................................................................................33.2受控和非受控的访问（Controlledanduncontrolledaccess）....................53.3IEEE802.1x协议的体系结构........................................................................83.4IEEE802.1x协议的工作机制......................................................................103.5协议实现内容...............................................................................................143.6基本的认证过程............................................................................................183.7几个注意的问题...........................................................................................194几种认证方式的比较..........................................................................................204.1PPPOE认证..................................................................................................204.2WEB认证......................................................................................................214.3802.1x认证....................................................................................................234.4小结几种认证方式的比较...........................................................................25第二部分IEEE802.1X协议在港湾网络的应用....................................................261IEEE802.1X解决方案.........................................................................................261.1端口控制模式...............................................................................................261.2802.1x解决方案............................................................................................272IEEE802.1X应用方案.........................................................................................282.1802.1x认证应用在新建小区........................................................................282.2802.1x认证应用在旧小区............................................................................303港湾802.1X认证计费系统介绍........................................................................333.1计费管理系统功能.......................................................................................343.2港湾计费管理系统解决方案.......................................................................35第三部分港湾802.1X认证应用案例......................................................................401802.1X在宁波网通的应用...................................................................................402802.1X在通化电信的应用..................................................................................41IEEE802.1x技术白皮书V101第一部分IEEE802.1x协议介绍1协议的开发背景在IEEE802LAN所定义的局域网环境中，只要存在物理的连接口，未经授权的网络设备就可以接入局域网，或者是未经授权的用户可以通过连接到局域网的设备进入网络。例如：一个可以访问公共网络的大厦的办公网，或者是某个组织机构与其他组织连接的网络。在这样的网络环境中，往往不希望未经授权的设备或用户连接到网络，使用网络提供的服务。后来，随着局域网技术的广泛应用，特别是在运营网络中的应用，对其安全认证的要求已经提到了议事日程上。如何既能够利用局域网技术简单、廉价的组网特点，同时又能够对用户或设备访问网络的合法性提供认证，是目前业界讨论的焦点。IEEE802.1x协议正是在这样的背景下提出的。IEEE802.1x称为基于端口的访问控制协议（Portbasednetworkaccesscontrolprotocol）。基于端口的访问控制（Portbasednetworkaccesscontrol）能够在利用IEEE802LAN的优势基础上提供一种对连接到局域网（LAN）设备或用户进行认证和授权的手段。通过这种方式的认证，能够在LAN这种多点访问环境中提供一种点对点的识别用户的方式。这里端口是指连接到LAN的一个单点结构，可以是被认证系统的MAC地址，也可以是服务器或网络设备连接LAN的物理端口，或者是在IEEE802.11无线LAN环境中定义的工作站和访问点。2几个名词的定义以下的名词为802.1x协议中的重要组成部分：Supplicant客户端客户端指LAN所连接的一端的实体（entity），它向认证系统（Authenticator如下）发起请求，对其身份的合法性进行检验。Authenticator认证系统认证系统指在LAN连接的一端用于认证另一端设备的实体（entity）。AuthenticationServer认证服务器IEEE802.1x技术白皮书V102认证服务器指为认证系统提供认证服务的实体。这里认证服务器所提供的服务是指通过检验客户端发送来的身份标识，来判断该请求者是否有权使用认证系统所提供的网络服务。注意——认证服务器与认证系统配合工作，可以集成在一起，也可以分开放在认证系统通过网络可以远程访问的地方。NetworkAccessPort网络访问端口网络访问端口指用户系统连接到LAN的访问端口。访问端口可以是物理端口，例如连接到用户的网络设备端口；也可以是逻辑端口，例如用户设备的MAC地址。注意——下文所指的端口均可以是物理端口或用户设备的MAC地址，如果设备支持全程VLAN，也可以指VLANID。PortAccessEntity(PAE)端口访问实体指一个端口的相关协议实体。PAE能够支持的功能包括：客户端（Supplicant）完成的功能、认证系统（Authenticator）完成的功能或者两者功能同时具备。System系统系统是指通过一个或更多端口连接到LAN的设备，例如：终端、服务器、交换机或路由器等设备都称为系统。IEEE802.1x技术白皮书V103图2—1IEEE802.1X认证体系组成部分3工作机制下面将描述基于端口访问控制的结构框架，以及访问控制功能和设备实体之间的关系：3.1各组成部分的功能3.1.1系统（Systems）、端口（Ports）连接到LAN的设备（这里指2.6定义的系统System）通常与LAN会有一个或多个连接点（这里指2.4定义的网络访问端口）。注意1——一个终端一般通过网卡与LAN有一个连接点（有些终端如服务IEEE802.1x技术白皮书V104器可能会有多个网卡，与网络有多个连接）；一个网络设备与网络一般有两个或多个连接点一个系统的端口与网络连接，该系统就可以通过这个端口获得其他系统的服务，同时也可以为其他系统提供服务。基于端口的访问控制能够控制系统的端口状态，以保证只为授权的用户开放自己的服务。注意2——一个系统提供的服务包括根据MAC地址的转发功能，网络层的路由功能，文件服务器的功能等。为了便于描述基于端口的访问控制过程，一个系统的端口（确切的讲应该是协议实体PAE）可以在整个控制过程中充当多个不同的角色。如下为在基于端口访问控制过程中，端口所充当的角色：a)Authenticator(2.2).在允许用户访问之前执行认证的端口，该端口充当认证系统的角色；b)Supplicant(2.1).访问认证系统所提供服务的端口，该端口充当客户端的角色；c)AuthenticationServer(2.3).认证服务器代表认证系统执行对用户身份的合法性进行检验功能从以上描述可以看出，为了完成一个认证过程，所有的三个角色是必须的。一个特定系统可以承担一种或多种角色；例如：一个认证系统和认证服务器能集成在一个系统中，实现认证功能而无需设置专门的外置认证服务器。同样，一个端口在一个认证过程中充当客户端的角色，而在另一个认证过程中可能充当认证系统的角