干货解读-带你读懂无线802.1x认证
【802.1x认证】本文主要是对无线802.1X认证进行介绍,对无线802.1X认证系统中包含的认证角色和认证流程进行详细地说明。简单来说,无线802.1X认证的最终目的,就是确定接入到无线网络中的移动终端用户是否能被授权通过,拥有网络的访问权限,进而实现对接入实体的管控
1 无线802.1X认证概述
无线网络的数据传输是利用电磁波在空气中辐射传播,只要在AP(Access Point,无线接入点)覆盖的范围内,所有的无线认证客户端都可以接收到无线信号。无线网络的这种电磁辐射的传输方式是无线网络安全保密尤为突出的主要原因。
802.1X协议是基于端口的Client/Server模式的网络接入控制协议(Port based networkaccess control protocol)。通过其EAP(Extensible Authentication Protocol,可扩展认证协议)的认证框架,可实现在局域网接入接口这一级对所有入网客户端进行身份验证并控制其网络访问权限。
当802.1X应用在无线网接入认证时,在认证客户端和认证服务器间通过PEAP证书技术的加密机制建立一个安全通道,确保EAP内部的数据是使用证书加密的,从而提高802.1X认证在无线网应用中的安全性和可靠性。一般适用于新建网络、用户集中并且信息安全要求严格的场景。
2 无线802.1X认证的工作原理
2.1 无线802.1X认证系统
图2-1 无线802.1X认证系统(Fit AP场景)
.png)
图2-2 无线802.1X认证系统(Fat AP场景)
.png)
无线802.1X认证系统为典型的Client/Server结构,包括三个角色:认证客户端、接入设备和认证服务器。在无线802.1X认证协议中,需要以下三个角色同时参与才能够完成对无线网的访问控制以及对无线客户端的认证和授权。
● 认证客户端
一般指接入无线网络并发起接入认证的客户端设备,比如笔记本、安装有无线网卡的个人计算机、PDA手持终端、打印机、智能移动终端等。用户在认证客户端上关联无线802.1X认证的无线网络信号,输入必要的用户名和密码来触发认证。认证客户端必须运行符合802.1X客户端标准软件(如操作系统自带的802.1X客户端或者锐捷网络推出的符合标准的RG Supplicant软件)。
● 接入设备
接入设备通常是指支持802.1X协议的网络设备。在Fit AP无线场景中,接入设备是指AC设备(如图2-1),在Fat AP无线场景中,接入设备是指AP设备(如图2-2)。它为认证客户端提供接入无线网的端口(该端口可以是物理接口或者逻辑接口),充当认证客户端和认证服务器之间的中介。其主要作用是完成客户端认证信息的上传、下达工作,并根据客户端的身份验证状态控制其对网络的访问权限。
● 认证服务器
通过检验客户端发送来的身份标识(用户名和密码)来判别客户端是否有权使用网络系统提供的服务,并可根据网络实际部署需要实现对客户端授权与计费。
2.2 无线802.1X认证流程
无线802.1X认证的认证流程包含关联、认证、认证通过和下线4个阶段,下面简要介绍每个阶段的工作过程。
2.2.1 关联阶段
STA(Station,工作站点)上的认证客户端在探测到AP释放的无线信号后,主动发起关联请求,与接入设备交互协商出双方支持的通用速率、数据传输的密钥传递方式、加密方式等信息,完成关联过程。本阶段包含的报文交互过程如图2-3所示。
图2-3 关联阶段
2.2.2 认证阶段
无线802.1X的认证过程包含认证起始阶段、TLS通道建立阶段和通道内认证阶段3个过程。
● 在认证起始阶段,认证系统的3个角色之间通过EAP协议和Radius协议交互用户信息(含用户ID和用户名),其报文交互过程如图2-4中编号(1)~(7)所示。
● 在TLS通道建立阶段,认证系统的3个角色之间通过协商PEAP认证并建立TLS安全通道,其报文交互过程如图2-4中的编号(8)~(16)所示。
● 通道内认证阶段:在PEAP协议的TLS安全通道建立成功之后,认证系统的3个角色在TLS安全通道内完成接入认证过程,其报文交互过程如图2-4中的编号(17)~(28)所示。
图2-4 无线802.1X认证阶段
2.2.3 认证通过阶段
接入设备在接收到认证服务器的“Access Accept”报文之后,意味着本次认证通过。接入设备给认证服务器发起记账开始报文,通知服务器开始对该认证客户端进行计费,详细报文交互过程,如图2-5所示。
图2-5 80.21x认证成功阶段流程图
2.2.4 下线阶段
在认证下线阶段,认证客户端主动释放IP地址,发送下线报文“EAP Logoff”给接入设备。接入设备通过发起记账结束请求来通知认证服务器,终止该认证客户端的记账过程,详细报文交互过程,如图2-6所示。
图2-6 无线80.21x认证下线阶段
3 无线802.1X认证的技术优势
在办公网、生产网等总部-分支无线网场景中,为不影响业务产出效率,网络管理员对网络的可靠性提出更高的要求。通过部署无线802.1X认证逃生方案不仅保证网络安全性,也提升了企业网络的可靠性,常见部署环境如图3-1所示。
图3-1 总部-分支无线网认证场景
无线802.1X认证逃生方案的关键部署策略:在AC上部署两个无线信号下发给AP,其中一个信号启用802.1X认证功能,另一个信号设置为默认情况下对用户不可见,当CAPWAP断开链路后自动对用户可见。
在该场景下开启无线802.1X认证具备如下技术优势:
● 保证网络的安全性
由于无线客户端数据报文与有线相比,使用空气作为传输媒介,安全性较差。而无线802.1X协议通过认证客户端与认证服务器之间协商出空口密钥,对客户端数据报文进行加密,使得无线网络的安全性得到有效提高。
● 提升业务网的可靠性
目前绝大多数的认证客户端都具备自动保存认证账号密码的功能,因此,使用无线802.1X认证也只需在第一次认证上线时输入账号密码,后续再次关联无线信号时,无需再次提交账号密码,由认证客户端自动发起认证。在总部-分支无线网场景中,表现为当CAPWAP隧道从断开恢复为链接状态后,已认证通过的老用户可自动重新接入,对用户而言是无感知的,很好地保障了无线网的射频可靠性。
4 结论
本文对无线802.1X认证系统中包含的认证角色和认证流程进行详细地说明。简单来说,无线802.1X认证的最终目的,就是确定接入到无线网络中的移动终端用户是否能被授权通过,拥有网络的访问权限,进而实现对接入实体的管控。
相关链接
相关标签:
点赞
_947a0b8e46d7404886a362d676d59b47.webp "Wi-Fi 6双射频2.975Gbps室内放装型无线接入点,2.5G光口,RG-AP820-A(V3)")
_c2d40934a8e349dca69ead9dc63a999f.webp "Wi-Fi 6三射频6.817Gbps增强级高密放装型无线接入点,RG-AP850-I(V2)")
更多技术博文
-
一文帮助您了解如何进行风险辨识,确保计算机系统安全本文探讨了在计算机系统安全中的关键一环——如何进行风险辨识。通过系统化方法,识别和评估潜在的安全威胁和漏洞,从而全面了解系统中存在的潜在风险。采取多种方法,如安全漏洞扫描、安全威胁模拟等,有助于发现安全威胁,并为进一步的安全保护提供基础。
-
#知识百科
-
#安全
-
-
风险检测系统:如何保障计算机系统安全?本文探讨了风险检测系统在计算机安全中的关键作用。通过监测系统行为、分析网络流量等方式,风险检测系统能及时发现潜在安全威胁,提高系统安全性和稳定性。文章强调建立和使用风险检测系统是保护计算机系统安全的重要措施,对各个领域的安全保障具有重要意义。
-
#知识百科
-
#安全
-
-
企业办公场所智能化核心技术之POE网关是什么本文探讨了POE网关在提升企业办公智能化水平中的关键作用。通过以太网电缆为智能设备提供数据和电力,POE网关简化了设备管理流程,提高了工作效率,降低了总体成本。这项关键技术不仅满足了企业对智能化办公环境的需求,还为企业创造出更智能、高效、节能的办公环境。
-
#知识百科
-
#安全
-
-
一文带你了解POE交换机与POE路由器是什么?本文探讨了POE交换机和POE路由器在智能化办公环境中的关键作用。它们通过为智能设备提供电力和数据传输,实现了高效通信和智能管理。POE交换机简化了设备连接并提升了工作效率,而POE路由器作为核心枢纽,打造了灵活、可靠和安全的网络环境。
-
#交换机
-
#知识百科
-
