801X技术白皮书

1、第一章802.1X简介2概述：2体系结构3端口PAE3受控端口3受控方向4工作机制4第二章802.1X中的EAPOL封装5EAPOLO式5各字段的含义5第三章802.1X的认证过程6认证过程6第四章802.1X中的主要状态机8设备端PAE状态机：8后台认证状态机：11客户端PAE状态机：13摘要：802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入(微软的WindowsXP,以及cisco,锐捷网络，北电等厂商的设备已经开始支持802.1X协议)。IEEE802LAN中，

2、用户只要能接到网络设备上，不需要经过认证和授权即可直接使用。这样，一个未经授权的用户，他可以没有任何阻碍地通过连接到局域网的设备进入网络。随着局域网技术的广泛应用，特别是在运营网络的出现，对网络的安全认证的需求已经提到了议事日程上。如何在以太网技术简单、廉价的组网特点的基础上，提供用户对网络或设备访问合法性认证的手段，已经成为业界关注的焦点。IEEE802.1x协议正是在这样的背景下提出的。关键词：authenticatorauthenticationserver:networkaccessport:portaccessentity(PAE):supplicant:systemEAPOL第一章

3、802.1X简介概述：IEEE802.1x(Port-BasedNetworkAccessControl)是一个基于端口的网络存取控制标准，为LAN接入提供点对点式的安全接入。这是IEEE标准委员会针对以太网的安全缺陷而专门制定的标准，能够在利用IEEE802LAN的优势基础上，提供一种对连接到局域网设备或用户进行认证的手段。IEEE802.1x标准定义了一种基于“客户端一一服务器"(Client-Server)模式实现了限制未认证用户对网络的访问。客户端要访问网络必须先通过认证服务器的认证。在客户端通过认证之前，只有EAPOL报文(ExtensibleAuthenticationP

4、rotocoloverLAN)可以在网络上通行。在认证成功之后，正常的数据流便可在网络上通行。802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略。802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL(ExtensibleAuthenticationProtocoloverLAN)通过。体系结构System（设备端），802.1X系统中共有三个实体：Supplication（客户端），AuthenticatorAuthentic

5、ationServerSystem（认证服务器）客户端是位于点对点局域网段一端的一个实体，由连接到该链接另一端的设备端对其进行认证。客户端一般为一个用户终端设备，用户启动客户端软件发起802.1X认证。设备端是位于点对点局域网段一端的一个实体，便于对连接到该链接另一端的实体进行认证，设备端一般是支持802.1X协议的网络设备，它为客户端提供接入局域网的端口，该端口可以是物理端口（如以太网交换机的一个以太口或AP的接入信道），也可以是逻辑口（如用户的Mac地址、VlanID等）。认证服务器是为设备端提供认证服务的实体。认证服务器用于实现用户的认证、授权、计费。端口PAE端口PAE为802.1X系

6、统中一个给定的设备端口执行算法和协议的实体对象。设备端口PAE利用认证服务器对需要接入局域网的客户端执行认证，并根据认证结果相应的控制受控端口的授权/非授权状态。客户端PAE负责响应设备端口的认证请求，向设备端提供用户的认证信息。客户端PAE也可以主动向设备端发送认证请求和下线请求。受控端口设备端为客户端提供接入局域网的端口，这个端口被划分为两个虚拟端口：受控端口和非受控端口。非受控端口始终处于双向连通状态，用于传递EAP认证报文。受控端口在授权状态下处于连通状态，用于传递业务报文。受控端口在非授权状态下处于断开状态，禁止传递任何报文。受控端口和非受控端口是同一端口的两个部分；任何到达该端口的

7、帧，在受控端口和非受控端口都是可见的，如图所示：设备端受控端口非受控端口十十授权/非授权TU总可掾作/X不可操作/ua而LAM/非受偿端口和受控端口受控方向受控端口在非授权状态下，可以被设置成单向受控和双向受控。实行双向受控时，禁止帧的发送和接收；实行单向受控时，禁止从客户端接收帧，但允许向客户端发送帧。默认情况下，受控端口实行双向受控。工作机制IEEE802.1X认证系统中利用EAP协议，作为客户端和认证服务器之间交互认证信息的手段。在客户端PAE和设备端PAE之间，EAP协议报文使用EAPOL封装格式，直接承载在LAN环境中。在设备端PAE和认证服务器之间，EAP协议报文承载在高层协议上，

8、如radius协议（以后用radius协议表示）。设备端PAE和认证功能是分离的，认证服务器可以采用多种不同的认证机制对客户端PAE进行认证，如MD5-challenge等。设备端PAE根据认证服务器的指示（accept或reject）来决定受控端口的授权/非授权状态，如图所示：RAD工US协议承载的IEEE802.IX认证系统的工作机制第二章802.1X中的EAPOL封装EAPOIM格式OctetNumber1-2345-67-N802.3/以太网中EAPOL帧格式PAEEthernetType(7.5.1)ProtocolVersion(7.5.3)PacketType(7.5.4)Pac

9、ketBodyLength(7.5.5)PacketBody(7.5.6)EAPOLframeformatfor802.3/Ethernet各字段的含义PAEEthernetType：该域表示使用协议类型，当其值为0x888e的时候表示使用EAPOL协议。ProtocolVersion:协议的版本号，如PacketType：报文类型，0x000x010x010x020x030x04表示是EAP包表示是EAP-START报文表示是EAP-LOGOFF报文表示EAPOL-Key.报文表示EAPOL-Encapsulated-ASF-Alert才艮文PacketBodyLength：PacketBo

10、dy的长度，2个字节PacketBody:该部分内容由PacketType决定，长度有PacketBodyLength决定。EA咆的PacketBody格式，如图所示:Code1Identifier2LengthData5-NOctetfJjnnberFigure7-4EAPpacketformatCode字段：此字段表示EAP报文的具体类型0x01Request0x02Response0x03Success0x04FailureIdentifer字段：它是用来匹配请求和应答报文用的，只有当请求的报文的标示符和应答的报文的标示符相同时，他们才表示是对应的关系Length字段：长度域表示了报文包

11、括了codeidentifierlengthdata这几个域的长度。Data字段：表示报文的所包含的数据信息。第三章802.1X的认证过程认证过程用户认证过程，如图所示:1 .当用户有上网需求时，打开IEEE802.1x客户端程序，输入已经申请、登记过的用户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。2 .交换机收到请求认证的数据帧后，将发出一个请求帧，要求用户的客户端程序将输入的用户名送上来。3 .客户端程序响应交换机发出的请求，将用户名信息通过数据帧送给交换机。4 .交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。5 .认证

12、服务器收到交换机转发上来的用户名信息后，将该信息与数据库中的用户名相比对，找到改用户名对应的口令信息，用随机生成的一个加密字对他进行加密处理，同时也将该加密字传送改交换机，6 .加密字由交换机传给客户端程序。7 .用户PC收到后，根据用户名、密码以及收到的随机数进行MD5算法获得摘要，然后把该摘要发送给交换机8 .认证服务器收到后，根据数据库中的用户名、密码、随机数算出MD5摘要，与收到的摘要做比较，如果相等，则认为该用户为合法用户，反馈认证通过的消息，并向交换机发出打开端口的指令，允许用户的业务流通过端口访问网络；否则，反馈认证失败的消息，并保持交换机端口关闭的状态，只允许认证信息流通过而不

13、允许业务数据通过。9 .交换机向客户发出失败或成功的消息10 .客户端PAE发送Eapol-logoff通知设备端PAE下线第四章802.1X中的主要状态机设备端PAE状态机：设备端PAE状态机包括以下几个状态:a) INITIALIZEb) DISCONNECTEDc) CONNECTINGd) AUTHENTICATINGe) AUTHENTICATEDf) ABORTINGg) HELDh) FORCE_AUTHi) FORCE_UNAUTH各个状态间的转化，如下图所示：riitiKlize|'polEnabedDISCONNECTE(quie'itieCONNTHENT

14、ICAIINGauth-aieasLogoffeapS:artfailconnecting后台状态respid状态，ponControl(porzhtode'=reAuthentcaie|eapStarl|eapLogoff|authTin>&odteapStartII=Auto)&&porConai)|etipLcgoif&&laathAbcrtlapLogof,&&lajthAiJortconnecting):,将再次进入txwhen时间内若还未收到直至U超过reauthmax次数后进入dissconnect当收到res

15、pond报文后，机启动，当认证成功则进入FigureS-8AuthenticatorPAEstatemachinerespid报状态，并发送取的Success=FALSEauthFail=FALSE;authTimeovt=falSE.jjinSiart-TRUEdisconnect状态进入:porlContro*=ForceUnaLttYMized)S3i2ortMcdeF=partcontrolj&&!(inftialize|!grtEt他led;portCoritrcForceAdtnorized：'&&(portMode!=portConfrol

16、)&&(initialize|ipodEnabted>交换机进入authenticating状态，此时authstar(QiMtien=0)|eepStertllreAjihenncatel&&i,re=.iM'Cojnt<=reAuthMa?:：portStfftus=UnadthorizedeapLogofT=FALSE;reAuthCount=比txanned-nIcumen：d：:ircicumertlsieaaS：art=FALSE;reAuthenticsrte=FALSEtxWhen=txPeriod：rxRespd-FALSt

17、xReqld-currentlc:ncireAjthCauntj.eapLogoff|(reAuthCcunt>reAiXhMax)整个过程：首先受控端口需要初始化后进入disconnect状态。rxReipId&&(reAuthCauntneAj：lMa<iThetollcwingabbreviaTion诩gedinth幅diagram:n(Kh(x=1+1;if(x>255)the11x=门HELDoortStatLi=quietWhile=qutetPerkKi;eapLogofl=FALSE：irc'.cdrrertldiIINITIc.i&q

18、uot;re'Y.d=ponwiodeFORCE_UNALTTHportStatus二Unaurhorized;pcrtMcde=ForceUnauthorized.tapSUrt-taCannedFaKcurreritlci.inc(curertid);_ALTHENCAEDporttatus-Authorized.reAuthCount=0;ncicurrentldiABORTINGauliAbort-T=?UE-inccunreritl<tiFORCE_AUTHportSta:u8-Adthorized:porf/O'de=cx-ceAbllorizedeapSta

19、rt=FALSE.UCannedSbOce&.cunre*rtld)inc(currerrtldl；iauthenticated状态，否则进入held状态，被中断则进入aborting状态。当进入held状态后，在quietperiod时间内交换机对eapol报文一概不处理，当quietperiod后直接进入connecting状态。Disconnect状态：该状态可来自于3个状态：Connecting、Authenticated、Aborting。当收到从客户端PAE发过来的eapol-logoff报文时，从这3个状态转换到Disconnect;当在Connecting状态时，重认证

20、次数(reAuthCount)大于最大重认证次数(reAuthMax),则转换到Disconnect;转换到Disconnect状态后，设置该受控端口的端口状态(portStatus)为非授权状态(Unauthorized),发送EAPFailure报文(由设备端PAE构造)给客户端PAEConnecting状态：该状态下，设备端PAE发送EAP-Request/Identity报文给客户端PAE当txWhen超时，或收到EAPOL-Start报文，或要求重认证reAuthenticate,则重新返回到Connecting状态。该状态可由Disconnect、Authenticated、HEL

21、DCONNECTINGABORTIN纵态转换而来。当收至UEAP-Response/Identity报文时，转换为AUTHENTICATING。AUTHENTICATE献态：该状态下，给BackendAuthentication状态机信号以告知开始认证过程，当收到Reject报文时，转换到Held状态；当收到Accept报文时，转换到Authenticated状态；当超时、收至Ureauthentication请求报文，或EAPOL-Start报文，或EAPOL-Logoff报文，贝U转换至UAborting状态。AUTHENTICATED态：如果收到reauthentication请求或EA

22、POL-Start报文，则转换到Connecting状态；如果收至ijEAPOL-Logoff报文，则转换到Disconnect状态。ABORTINGS:一旦认证中断，则转换到Connecting状态；如果收到EAPOL-Logoff报文，则转换到Disconnect状态。HELD犬态：该状态丢弃所有EAPOK文，该状态由Authencating状态转换而来，当quietWhile超时时，转换至UCONNECTING态。FORCE_AUTH态：只要满足下面4个条件，则该状态可由其它任何状态转换而来：a) portControl被设置为ForceAuthorized.b) portMode被设置

23、为非ForceAuthorized.(只要不是ForceAuthorized即可)c) Mac实体可用d)状态机未初始化此时端口状态为授权状态(Authorized),且EAPSuccess报文发送给客户端PAE,如果收至ijEAP-Start报文，贝U重新进入FORCE_AUTH态，并发送EAPSuccess报文给客户端PAEFORCEJUNAUTffi:只要满足下面4个条件，则该状态可由其它任何状态转换而来：a) portControl被设置为ForceUnauthorized.b) portMode被设置为非ForceUnauthorized.(只要不是ForceUnauthorized

24、即可)c) Mac实体可用d)状态机未初始化此时端口状态为非授权状态(Unauthorized)，且EAPFailure报文发送给客户端PAE如果收到EAP-Start报文，则重新进入FORCE_AUTH态，并发送EAPFailure报文给客户端PAE后台认证状态机：该状态机包括以下几个状态：a) REQUESTb) RESPONSEc) SUCCESSd) FAILe) TIMEOUTf) IDLEg) INITIALIZE各个状态间的转换，如图所示:portCorrtrOl!=Auto11|aifthScartFigure8-12BackendAuthentncationstatemach

25、ine整个过程：当交换机的状态机进入authenticting状态时后台状态机进入response状态，并将response报文发往认证服务器，如在servertimeout的时间内收到serverreq报文则进入request状态，进入request状态后如在收到rxResp则进入respond状态，否则超过一定次数后进入timeout状态。在进入respond状态后将对用户名和口令进行验证，成功则进入success状态，失败则进入fail状态，超过等待时间则进入timeout状态。Fail,success,timeout以及initialize状态最终都将进入IDLE状态，并等待着下一次认

26、证的开始。REQUESTS:如果重认证次数大于最大重认证次数后，则转换到TIMEOUT犬态；如果收到来自客户端PAE的EAPresponse报文，则转换到RESPONSE态。RESPONSE态：如果超时，则转换到到TIMEOUT状态；如果收到来自认证服务器的EAPSuccess或EAPFailure报文，则相应地转换到SUCCESSFAIL状态；如果再收到来自认证服务器的EAPRequest报文，则再转换到REQUEST态以中继requset报文给客户端PAESUCCESS®:发信号(authSuccess)给设备端PAE状态机以表示认证以认证成功结束，并发送EAPSuccess给客

27、户端PAE然后车专换为IDLE状态。FAIL状态：EAPFailure发信号(authFail)给设备端PAE状态机以表示认证以认证失败结束，并发送给客户端PAE然后车专换为IDLE状态TIMEOUT犬态：发信号(authTimeout)给设备端PAE状态机以表示由于超时而认证取消，如果端口为非认证状态，则发送EAPFailure报文给客户端PAE然后车专换为IDLE状态IDLE状态：此状态下，状态机正等待设备端PAE状态机新认证的信号。当authStart为TRUE则表示来自客户端的EAPResponse/Identity收到，则转换为RESPONS联态以中继EAPpacket报文给认证服务

28、器INITIALIZE状态：如果系统初始化，或设备端PAE状态机设置authAbort为True,发出了当前认证session终止，则该状态可由任何其他状态转换而来。一旦initialize和authAbort都为False,则转换为IDLE状态；客户端PAE状态机：客户端PAE状态机包括以下几个状态:a) LOGOFFb) DISCONNECTEDc) CONNECTINGd) ACQUIREDe) AUTHENTICATINGf) HELDg) AUTHENTICATED各个状态间的转换如图所示：.u骗儿的。丁1£收genenu&H：m：aze|旧七三”前屈，r：3ize

29、|m三卡BedTTvTrTfctojofr4rt-f厌piji-Liajtrrze:tot:g3FTUbU'_TiNtLItueapSLODBBb"FALSE：wpFH-FALSE；srtCcu吼.口；o:o*Cent-FALSE：3lr7bLSlC-25.uFSutLs-naiflrana&jHtLLn&ifiTe*necfried;iAEFSl-FALSE后Success-FALSE;&.jpz：3tLSeaJrmii!itit图ize!potrabedjUUterLcgcff&&logoffs就把以8e雕il|【m13zeIIro

30、'tEnaciK：£5“己1久&&注，加m;AlTTHEK'ICA-EZi噂心5项次疣:eaofall*FALSESJpS：J：Li-ALTTC-ZXUUPvNtUIINbS：*RTWStsr/EltJG；EtdtZojrt-茕3：二。：1reqid-FALSE;bStjrl,6tat»Vr*ff*-：ia，804COut士TJXCaHi-3Ut二乱力幅向淹*JU1PTE;s：3rlC:Jn-;e1IC-FALLEneqAUtt1-SA_SE：txRsptifnccivMia,prwiOLSdi;prevbUBic-neoeltdid.ui忖

31、二闯心Nil1匕a.ri'.vii-3jtreicd；-FALSE：蓑一如IbF钝R.钟0，电理。诔加;prwiQL»ia-rece>ean.ine*0mLTWVilWSupplicantPAEstatemachine整体过程：用户初始化进入dissconnect状态，而后进入connecting状态，当supplicant发出start报文后，将开始等待交换机的request报文。当时间超过starttimeout,supplicant将尝试重发start报文startcount次，如果startcount后，交换机还未发出request报文，supplicant将认

32、为自己已通过认证。假如在startcount内supplicant收到交换机发过来的request报文，则supplicant进入ACQUIRED态。此时supplicant将上传自己的用户名，并等待交换机的挑战报文，如果在authentication时间内还未收到挑战报文，则supplicant将进入connecting状态，即等待交换机的request报文。若supplicant收到交换机的挑战报文，则进入下一状态认证服务器和交换机的返回结果。当交换机返回结果为fail时，即supplicant收到了fail报文，则supplicant进入held状态。当heldwhile为0时，supplicant将重发start报文，而如果在heldwhile大于等于0时收到了交换机发来的request报文则直接进入ACQUIRE瞅态，重复上述过程。LOGOFFS:当要求logoff时进入该状态。发送EAPOL-Logoff报文给设备端PAE并进入dissconnec状态。DISCONNECTEDD态:当Mac实体不可用、系统初始化或重新初始化时，该状态可由任何状态转换而来，也可以当要求logoff时由LogOff转换而来。当初始化完毕并且Mac实体可用，则转换到CONNECTING状态。CONNECTING态：发送E