利用802.1x協(xié)議實(shí)現(xiàn)局域網(wǎng)接入的可控管理

2013-12-12 10:24:39 電力信息化　點(diǎn)擊量：評(píng)論 (0)

摘　要：802 1x協(xié)議可以為企業(yè)內(nèi)聯(lián)網(wǎng)提供一種安全的用戶管理方式。本文介紹了802．1x協(xié)議體系結(jié)構(gòu)，重點(diǎn)分析了協(xié)議的工作原理及機(jī)制，并與目前流行的寬帶認(rèn)證方式進(jìn)行了比較，最后給出了其在企業(yè)局域網(wǎng)接入中實(shí)際

摘　要：802.1x協(xié)議可以為企業(yè)內(nèi)聯(lián)網(wǎng)提供一種安全的用戶管理方式。本文介紹了802．1x協(xié)議體系結(jié)構(gòu)，重點(diǎn)分析了協(xié)議的工作原理及機(jī)制，并與目前流行的寬帶認(rèn)證方式進(jìn)行了比較，最后給出了其在企業(yè)局域網(wǎng)接入中實(shí)際應(yīng)用的方案及配置方法。

關(guān)鍵詞：802.1x協(xié)議；認(rèn)證；局域網(wǎng)；接入

一、　引　言

近年來(lái)，電力企業(yè)的網(wǎng)絡(luò)建設(shè)已經(jīng)有一定的規(guī)模，隨著信息技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、安全性作用日益增強(qiáng)，網(wǎng)絡(luò)與信息安全已經(jīng)成為電網(wǎng)安全的重要組成部分。但是，由于傳統(tǒng)的以太網(wǎng)接入方式采用廣播機(jī)制，其安全性較差，一旦用戶接入企業(yè)內(nèi)聯(lián)網(wǎng)，就意味著其擁有了訪問(wèn)所有網(wǎng)絡(luò)資源的權(quán)限，所以對(duì)接入用戶的可控管理成為信息安全建設(shè)的一個(gè)非常緊迫與現(xiàn)實(shí)的問(wèn)題。802.1x正是基于這一需求而出現(xiàn)的一種認(rèn)證技術(shù)。其實(shí)現(xiàn)基于以太網(wǎng)交換機(jī)，可以對(duì)用戶進(jìn)行認(rèn)證、授權(quán)，從而提供了一種實(shí)用、安全的接入用戶管理方式。本文主要介紹802．1x協(xié)議的基本原理及其在企業(yè)局域網(wǎng)中的應(yīng)用實(shí)例。

二、802．1x協(xié)議結(jié)構(gòu)和基本原理

2.1 802．1x協(xié)議

90年代后期，IEEE802 LAN／WAN委員會(huì)為解決無(wú)線局域網(wǎng)網(wǎng)絡(luò)安全問(wèn)題，提出了802．1x協(xié)議。后來(lái)，802．1x協(xié)議作為局域網(wǎng)端口的一個(gè)普通接入控制機(jī)制用在以太網(wǎng)中，主要解決以太網(wǎng)內(nèi)認(rèn)證和安全方面的問(wèn)題。802．1x協(xié)議稱為基于端口的訪問(wèn)控制協(xié)議（port based network access control protocol），該協(xié)議的核心內(nèi)容如圖1所示。

靠近用戶一側(cè)的以太網(wǎng)交換機(jī)上放置一個(gè)EAP（Extensible Authentication Protocol）代理，用戶PC機(jī)運(yùn)行EAPoE（EAP Over Ethernet）的客戶端軟件與交換機(jī)通信。初始狀態(tài)下，交換機(jī)上的所有端口處于關(guān)閉狀態(tài)，只有802．1x數(shù)據(jù)流才能通過(guò)，而另外一些類型的網(wǎng)絡(luò)數(shù)據(jù)流，如動(dòng)態(tài)主機(jī)配置協(xié)議、超文本傳輸協(xié)議（HTTP）、文件傳輸協(xié)議（FTP）、簡(jiǎn)單郵件傳輸協(xié)議（SMTP）和郵局協(xié)議（POP3）等都被禁止傳輸。

當(dāng)用戶通過(guò)EAPoE登錄交換機(jī)時(shí)，交換機(jī)將用戶同時(shí)提供的用戶名口令傳送到后臺(tái)的Radius認(rèn)證服務(wù)器上。如果用戶名及口令通過(guò)了驗(yàn)證，則相應(yīng)的以太網(wǎng)端口打開(kāi)，允許用戶訪問(wèn)。

2．2　802．1x協(xié)議的體系結(jié)構(gòu)

802．1x協(xié)議的體系結(jié)構(gòu)包括3個(gè)重要部分：客戶端（supplicant system）、認(rèn)證系統(tǒng)（authenticator system）、認(rèn)證服務(wù)器（authentication server system）。圖2描述了三者之間的關(guān)系以及互相之間的通信。

客戶端系統(tǒng) 一般為一個(gè)用戶終端系統(tǒng)，該終端系統(tǒng)通常要安裝一個(gè)客戶端軟件，用戶通過(guò)啟動(dòng)這個(gè)客戶端軟件發(fā)起IEEE 802.1x協(xié)議的認(rèn)證過(guò)程

上一頁(yè) 1 2 3 4 5 6 7 下一頁(yè)

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊