proxy代理   soft软件   IT 业界特快   norton 诺顿病毒库   代理列表   search FTP搜索   whois IP地理位置   blog 追求完美  
money理财   life生活   RSS聚合门户   firefox WEB浏览器   免费域名   typeset 假古文   AntiVirus 反病毒   ipcn 站点导航  

« squid refresh demo | Main | vsftpd - probably the most secure and fastest FTP server for UNIX-like systems »

March 31, 2004

[FWD] 802.1x:开创认证新时代

版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本声明。
https://windtear.net/archives/2004/03/31/000292.html

http://network.ccidnet.com/pub/article/c226_a51376_p1.html

当前页面位置:主页:网络通信:文章 

 
802.1x:开创认证新时代
作者:李瀛寰、马云飞    文章来源:中国计算机报 网络与通信  2003年06月23日  
 
一年半前,当一些网络公司向用户介绍802.1x协议时,大多数用户尚不知何为802.1x协议。而今天,802.1x协议已成为主流交换机的标准配置,它已是用户在选型时考察设备的一个指标。 

IEEE 802.1x出现于2001年6月,在国际上还是一个很“年轻”的标准和技术。而在短短的两年时间内,用户对802.1x协议从不了解到全然接受并视为网络建设当中必不可少的标准,是因为802.1x协议所带来的强大的认证能力。 

过去在IEEE 802 LAN 所定义的局域网环境中,只要存在物理的连接口,未经授权的网络设备就可以接入局域网,或者是未经授权的用户可以通过连接到局域网的设备进入网络。 

随着局域网技术的广泛应用,特别是在运营网络中的应用,对其安全认证的要求已经提到了议事日程上。如何既能够利用局域网技术简单、廉价的组网特点,同时又能够对用户或设备访问网络的合法性提供认证,是目前业界讨论的焦点。IEEE 802.1x 协议正是在这样的背景下提出的。 

除了传统有线以太网之外,在新兴的WLAN领域,用户对网络接入的移动性需求正空前高涨,他们迫切期望能够根据需要,随时随地通过就近的以太网端口或无线热点、而非始终基于给定的同一物理端口接入网络,这就意味着用户的网络必须提供一种能够随时对接入特定端口的用户合法性进行认证的、基于端口的网络接入控制(port-based network access control)认证方式。 

全新的认证方式 

传统的PPPoE与Web/Portal等认证方式显然无法承担这一重任。作为一种基于ATM的窄带网引入到宽带以太网的认证技术,PPPoE点到点的传输特点决定了这种认证方式无法很好地胜任宽带以太网与无线LAN用户数量激增与业务多样化的需求。在PPPoE认证中,认证系统必须将每个包进行拆解,以验证用户的合法性,一旦用户数量剧增或数据包增大、封装速度跟不上,就很容易形成网络瓶颈。而且这种认证方式的大量拆解包过程需要通过价格不菲的设备完成,因而增加了网络部署与运营成本。而Web/Portal作为一种基于业务类型的认证,尽管无需特定客户端软件,只需浏览器即可完成,极大地方便了用户。但由于这种认证方式需要七层协议支持,为实现二层连接与认证而跑到七层,不仅不符合网络逻辑,而且这种基于七层的认证对四层以下的网络问题往往检测不到,尤其是对断电、突发故障等必须在二层检测的异常离线情况往往束手无策。同时,在Web/Portal认证体系中,用户首先获得IP地址,再通过客户端认证,这无疑是对IP地址资源的极大浪费;而且分配IP地址的Web认证服务器对用户而言完全裸露,极易遭受恶意攻击,导致整个认证系统的瘫痪。 

在这种情况下,IEEE电气和电子工程师协会为解决基于端口的网络接入控制问题,研发出了新的802.1x协议,一举解决了PPPoE与Web/Portal等传统认证方式的不足,成为一种可以较为理想地满足当前日益增长的宽带以太网与无线LAN认证需求的新型认证解决方案。 

港湾网络企业网产品部总经理何达炳谈道:“802.1x协议基于LAN诞生,它与LAN是无缝融合的。802.1x利用了交换LAN架构的物理特性,实现了LAN端口上的设备认证。在认证过程中,LAN端口或者充当认证者,或者扮演请求者角色:在作为认证者时,LAN端口在需要用户通过该端口接入相应的服务之前,首先进行认证,如若认证失败则不允许接入;在作为请求者时,LAN端口则负责向认证服务器提交接入服务申请。” 

作为一种基于端口的网络接入控制技术,802.1x协议只关注LAN端口的开关,通过认证时,LAN端口打开,否则端口处于关闭状态。认证的结果仅仅是LAN端口状态的改变,不涉及传统认证技术必须考虑的IP地址协商与分配问题。因此,802.1x也是目前各种认证技术中最易实现的一种解决方案之一。 

与此同时,802.1x采用了RADIUS等标准安全协议实现用户身份集中验证以及动态密钥与账户管理,并在认证方式和认证体系结构上进行了优化,解决了传统方式带来的问题。因此,802.1x协议虽然源于IEEE 802.11无线以太网,主要为无线局域网提供点对点物理或逻辑端口的接入认证,但在宽带以太网领域同样可以大显身手,能够为宽带以太网提供一种便于网络运营与管理的新认证技术。 

总之,802.1x标准认证协议的出现,彻底解决了传统PPPoE和Web/Portal认证带来的问题,为运营商建设可运营、可管理的电信级宽带以太网提供了很好的支持。因此,从这个意义上来说,802.1x协议的出现标志着一个全新认证时代的到来,将对无线LAN与宽带以太网市场的发展产生极为深远的影响,必将进一步推动移动计算市场的发展。 

目前,这一技术已得到包括思科、微软等众多业内领先厂商的大力支持。其中,微软已在其新一代Windows XP操作系统增添了针对IEEE 802.1x安全协议的支持特性,借助IEEE 802.1x协议为用户提供身份验证服务,并允许通过验证的用户在无须执行额外登录的前提下访问公共网络。 

改写传统业务模式 

传统的PPPoE与Web/Portal等认证方式,认证、业务流不分,不仅给认证与业务处理带来了极大不便,而且也不同程度地增加了网络部署与运营成本。而802.1x认证技术却基于逻辑端口成功实现了认证流与业务流的分离。用户通过认证后,业务、认证流分离,系统对后续数据包无特殊处理,不仅可以有效消除网络瓶颈,而且使业务处理更为灵活。尤其在提供宽带组播等业务时,所有业务均不受认证方式限制,从根本上改变了传统业务模式。 

总结起来,IEEE 802.1x有以下五大优点: 

简洁高效:以太网技术内核,保持IP网络无连接特性,去除冗余昂贵的多业务网关设备,消除网络认证计费瓶颈和单点故障,易于支持多业务。 

容易实现:可在普通L3、L2、IP DSLAM上实现,网络综合造价低。 

安全可靠:在二层网络上实现用户认证,结合MAC、端口、账户和密码等;绑定技术具有很高的安全性。 

行业标准:IEEE标准,微软操作系统内置支持。 

易于运营:控制流和业务流完全分离,实现多业务运营,少量改造传统包月制等单一收费制网络即可升级成运营级网络。 

就用户的角度而言,802.1x认证的突出优点是简洁高效,基于纯以太网技术内核,去除了冗余昂贵的多业务网关设备,消除网络认证计费瓶颈和单点故障,易于支持多业务,解决了采用多业务网关时不便于开展视频业务的难题。另外,由于802.1x协议在二层网络上实现用户认证,不需要到达三层,不仅可以通过设备实现MAC、端口、账户和密码等绑定技术,而且设备整体性能要求不高,可在普通L3、L2、IP DSLAM上实现,可以有效降低网络构建成本。同时,由于802.1x实现了认证流与业务流的彻底分离,因而更易于进行多业务运营。 

笔者就802.1x协议采访了思科、实达、华为、港湾、北电网络、D-Link等公司的技术人员,他们普遍认为,802.1x协议对未来网络的发展主要体现在三方面:首先,作为一种可行的网络认证机制,消除了一个技术上的瓶颈,它为实现可运营的网络提供了安全基础;其次,在应用层面,802.1x具有了完备的用户认证、计费、管理功能,能大幅度降低网络综合建设成本,是构建可运营网络的实用可行的方案,正在成为以太城域网和宽带IP网的主流方案;第三,就协议本身而言,该协议组也正在不断完善发展,广泛的应用和迅速的推广,也必将推动协议本身的快速成熟。 

美国网件(NETGEAR)北方区技术支持经理刘志东还谈道,802.1x协议将使未来网络朝着更安全、更智能、更可靠的方向发展:对于有线网络,有了802.1x,LAN便不再是一道敞开的门;而对于无线网络,IEEE 802.1x将构成WAP和802.11i新无线安全标准重要的一部分。此外,802.1x协议为网络接入提供了更为智能化和人性化的差别化服务。而结合多种认证机制包括日志记录,提供更安全服务,使未来的用户信用管理更具有弹性。 

802.1x协议给用户带来最显著的好处是把不可能变成了可能,因为传统的认证解决方案不能保障足够的安全,因此大大制约了可运营网络的实现。此外,由于支持计费、管理功能,802.1x推动了网络、尤其是宽带网络的应用;另外,与PPPoE和VPN解决方案相比,802.1x在成本方面和速度方面有着显著的优势,有利于在现有网络的基础上进行改造实施;对于终端用户,它的效率优势也非常明显。基于这些优势考虑,802.1x在应用上必将快速普及,宽带IP网和所谓的业务型城域网都将获得极大的推动。 

802.1x协议的另一个好处就是保证了企业内网的安全。港湾网络的何达炳和思科产品市场经理陶欣认为,目前对交换网内部安全的关注很少,但是来自网络内部的威胁却是非常危险的。据数据统计:70%-80%的网络威胁来自企业内部。对企业网来讲,内部维护非常重要。在802.1x协议出来之前,内网安全考虑得非常少,用户没有授权。可以说,802.1x协议让网络资源有了真正的授权访问。目前,网络的安全技术包括访问控制列表、802.1x接入验证机制、扩展树增强保护、端口隔离、内部网防火墙、内部网VPN等,访问控制列表原先只在核心路由器才获使用,现在把它用于交换机,甚至是边缘交换机,把802.1x协议放于网络的最前端,无疑给网络加了一道安全屏障。 

802.1x 

进入快速普及阶段 

如果把一项新技术的应用分为开发实验阶段、初步应用阶段、迅速普及阶段、成熟应用阶段、衰退退出阶段五个阶段的话,目前802.1x已经开始进入快速普及阶段。至于大规模的应用,现在已经有所体现,在不久的将来可能就会“随处可见”。 

D-Link 公司认为,随着国内网络用户数量急剧增加和应用水平的提高,对网络安全性等方面的要求也更高,从而推动了802.1x技术的快速发展,这也使得国内网络厂商能够在802.1x的研发应用方面处于业界领先水平。由于对网络性能的极大改进以及对认证计费问题的圆满解决,IEEE802.1x引起了国内网络用户的充分重视。 

802.1x已经在国内教育信息网、宽带建设中得到了广泛的应用,并得到了客户认同和推动。随着网络不断发展、应用的多元化,原有的认证计费方式将很难实现,802.1x的实现简单、认证效率高、安全可靠、网络带宽利用率高,将显示出无比的优越性。国内外众多的交换机厂商所生产的二、三层接入交换机已经都支持802.1x协议。整个802.1x网络正在被大规模推广和应用中。 

华为公司认为,目前,802.1x主要集中在校园网、园区网,在城域网和企业中尚未得到大规模应用。只有在用户对网络安全的认识更深,对用户管理认证的需求更广泛,而且以太网上承载的业务日益丰富之后,802.1x认证强大的业务支持能力优势才会凸显,从而得到更广泛的应用。而且目前802.1x客户端支持的操作系统比较单一,只支持Windows系列,对于使用其他操作系统如Linux等的用户还不支持,所以802.1x大规模应用的另一个前提就是各种操作系统能够提供802.1x的客户端软件。 

802.1x协议: 

更适用于企业网 

当然,与任何新兴技术一样,802.1x认证方式也存在着部分问题与不足。这其中最突出的是802.1x协议源于IEEE 802.11无线以太网,设计的初衷是为无线局域网提供点对点物理或逻辑端口的接入认证,因此,将其引入宽带以太网后,不可避免地存在着一定的局限性。这方面最明显的例子是802.1x认证技术的操作对象是端口,合法用户接入端口之后,端口处于打开状态,因此其它用户通过该端口时,不需认证即可接入网络。这种方式应用于无线LAN接入认证并无不妥之处,因为在无线LAN中,认证之后建立起来的信道(端口)被独占,不存在被其它用户再次使用之虞。而相对于宽带以太网认证而言,这一特性却存在着很大的安全隐患,可能出现端口打开之后,其它用户无需认证就可自由接入、导致无法控制非法接入的问题。 

其次,这一认证方式要求系统内所有设备都必须支持802.1x协议,一定程度上加大了现有网络的改造难度。而且这一认证技术还需要安装特定客户端软件,增加了用户端的工作量。 

另外,由于除Windows XP外,原有的Windows版本均不支持802.1x协议,这也将在很大程度上影响802.1x的广泛应用。虽然目前也出现了部分第三方开发的、为原有Windows版本提供802.1x支持的软件,但效果似乎并不理想。 

对802.1x协议的应用方向,北电网络数据产品及方案部高级经理郑燕翔认为,802.1x协议更适合用于企业网,这是由于802.1x协议一定要部署在网络的最前端,这对电信网络的集中管理、集中收费有很大的限制。而802.1x协议本身并没有提到计费问题,这是802.1x协议致命的缺陷,虽然不少厂商推出了基于802.1x协议的计费方案,但这已在802.1x协议标准之外了。尤其是对运营商的可运营的网络来说,如果用802.1x协议认证,把对用户的控制、管理放到最边缘,除了对收费管理不利外,也限制了运营商对网络的可控权,随时添加可增收的新业务就变成了难事。郑燕翔认为,802.1x协议用于企业网更合适,运营商网络目前仍以PPPoE认证为主。 

(责任编辑:郁单曰) 
   
相关文章 
 802.1x实现差别化服务 (2002.11.01) 
 华中科大校园网试用802.1x技术 (2002.10.14) 

本blog WWW

Posted by windtear at March 31, 2004 11:05 PM

本站使用中的任何问题,请与 windtear @ windtear.net 联系
Copyright© 1999-2024 Windtear. All rights reserved.