2012 年 2 月
总第 223 期
基于 的端口认证解析
郭丽春 黄金波
(辽宁工程技术大学应用技术学院 阜新 123000)
摘 要 协议是基于 ClientlServer 的访问控制和认证协议。提供对集中式用户标识、身份验证、动态密钥管理和计帐
的支持来提高安全性。在企业局域网的组建中可以在接入层和汇聚层布署认证方案,为企业局域网的安全管理提供了有效的技术
支持。
关键词 端口 安全 认证
中图分类号 TP391 文献标识码 A 文章编号 111110-5954
Authentication of the Port Based on
Guo Lichun Huang Jinbo
(Applied Technology College, Liaoning Technical University Fuxin 123000 )
Abstract agreement is based on Client/Server, the agreement increased safety from userlD, identity au一
thentication, dynamic key management and billing. We can deploy the certification schemes in enterprise LAN's access
layer and convergence layer, to provide effective technical suppo眈 for ente甲rise LAN's security management.
Keywords Port Security Certification
随着计算机网络应用的深入、网络规模的不断扩大数据存 有权使用网络系统提供的网络服务,并根据认证结果对交换机
储容量日益增加,网络病毒和恶意攻击等网络安全事件不断发 端口的状态进行控制。
生,用户对网络安全性能的要求越来越高,目前已经成为网络管 基于交换式以太网的物理特性,利用交换机完成用
理的重要内容。交换机做为局域网的关键设备,负责设备的接入 户访问网络系统的安全认证。 系统将接入层设备端口分
和用户数据和转发,如果未经授权的用户或设备通过交换机端 为非授权端口和授权端口。授权端口只有在认证通过后才打开,
口进入网络就会给企业造成潜在的安全威胁。 用于传递网络资源和服务。在认证过程中,交换机以太网端口充
一、关于 协议 当认证者或请求者。实施端口认证时,对需要接人的用户首先进
协议是基于 ClientlServer 的访问控制和认证协 行认证,如果认证失败,用户不允许接入;实施认证请求时,交换
议。它可以限制未经授权的用户和设备通过接入端口访问网络, 机以太网端口负责向认证服务器提交用户接入服务申请,信任
是基于端口的网络接入控制规范。 身份认证用于对有线 的用户才允许接入网络。
以太网和无线 网络进行经过身份认证的网络访问。 三、 认证机制及其优点
通过提供对集中式用户标识、身份验证、动态密钥管理和计帐的 IEEE 是一种链路层验证机制协议,控制着对网络访
支持来提高安全性。 问端口即网络连接点的访问,如实施在无线接入点的物理交换
二、 协议认证要素 端口或逻辑端口。通过控制网络访问,用户可以在多层安全架构
在 协议中,只有具备客户端、认证系统、认证服 部署第一道防线。在连接设备得到验证之前,网络访问权完全被
务器三个要素才能实现基于端口的访问控制的用户认证。 禁止。得到验证之后,用户可以被提供第二层交换机服务以外的
客户端:一般安装在用户的工作站上,当用户访问网络时, 附加服务。这些服务包括第 3 层过滤和第 4 层过滤,而不仅仅是
激活客户端程序,输入相应的用户名和口令,客户端程序将会送 简单的"开/关(on/of[)"服务O 链路层验证方案的一个优点是,它
出连接请求。 只要求存在链路层连接,客户端不需要分配供验证用的第三层
认证系统:在交换式以太网中由认证交换机实现,完成用户 地址,因而降低了风险。此外,链路层验证涉及了所有能够在链
认证信息的转发,并根据认证的结果打开或关闭端口。 路上工作的协议,从而不必为每种协议提供网络层验证。
认证服务器:检验客户端发送来的身份信息,判别用户是否 还能够使执行点尽可能地接近网络边缘,因此可以针对连接设
办公自动化杂志. 23 .
词汇
备的特定:苛求定制细粒度访问规则。
四、 认证方案
1 、基于接入层 802 . 1x 认证方案
201 2 年 2 月
接入层交换机采用支持 IEEE802. l x 认证功能的设备,在连
接计算机的各喘口启用 IEEE802. 1 x 认证,实现对用户访问网络
的控制。 拓扑结构如图 l 所示。
骨平屠设矗
E撞屠市设蔷
撞λ店设备
(直持802. h:认证者)
用户
{主持802 . 1x喜户蜻}
圈 1 基于接入层 IEEE802 . 1x 认证方案
在基于接入层的认证中,交换机端口被设置成受控端口,完
成对接人用户的控制,用户必须通过认证才能访问网络资源。 由
每台交换机接人的客户端较少,认证速度快。负责认证的交换
机之间相互独立,交换机的重启等操用不会影响到其他交换机
连接的客户。 但在每台交换机上都布署 JEEE802. 1 x 认证增加了
管理员的工作量和管理难度。
2、基于汇聚层 802 . 1x 认证方案
在基于汇聚层 802. 1 x 认证方案中,接入层设备无需支持
802. l x 认证功能,但汇聚层设备必须支持 802. 1x 认证功能,并
在连接接入层设备的各端口启用 IEEE802. 1 x 认证 ,实现对用户
访问网络的控制。 拓扑结构如图 2 所示。
在此认证方案中,交换机与 RAD1US Server 相连的端口且
联端口配置成非受控端口,保证交换机与服务器正常通信 ,允
许认证通过的用户访问网络资源。 连接接入层交换机的端口要
设旦成斐'控端口,使得用户必须通过认证才能访问网络资源。在
总第 223 期 Vocabulary
骨干层设备
汇後层设备
(支持802 . 1x认证者}
接入层设备
{要能遗传E伊侃'自)
用户
(支持802 . 1x客户蝙}
图 2 基于汇聚层 IEEE802 . 1x 认证方案
认证配置,减轻了管理员的工作量,降低了管理和维护成本,便
于网络管理。同时,在组网方案中接入层设备可以选择非网管型
交换机,减少网络造价。
五、结束语
802 .l x 认证系统提供了一种用户接人认证的手段,该协议
适用于接人设备与接入端'口间点到点的连接方式,其中喘口可
以是物理端口.也可以是逻辑端口 。主要功能是限制未授权设备
通过以太网交换机的公共端口访问局域网。 通过这种基于二层
或三层以太网交换机的用户管理方法,使网络管理和组建变得
简单,并可同时实现业务的集中控制和分散实现。 d
参考文献
川刘晓辉.网络安全管理实践{町电子工期业出版社, 2007
年 3 月 .
[2]柏钢,蔡彤军,王正.基于以太网端口的用户访问控制
技术[且 中兴通讯 2010 .
[3] 回炼,张彤.基于 x 认证技术的应用分析rn元钱
资讯网.2005 .
[4] 汤海晨.基于 协议在局域网安全中的应用[刀. <福
建电脑}2oo9 年第 10 期
作者简介
大规模的网络中,由于 802. l x 认证集中子汇聚层设备之上,若 郭丽春( 1976斗,女,内蒙古呼伦贝尔盟人,副教授、研究生
汇聚层设备发生故障,将导致用户不能正常访问网络。但用户管 学历、硕士。
迎集中于 RADfUS Server 上,网络管理员不必负责接人设备的
(上接第 35 页)
简单快速。 客户端软件消耗资源低 ,且自动安静工作,不打扰用
户工作。
五、实施效果
公司实施主动防御系统一年多来,取得了明显的效果。具体
体现在 :
l 、系统采用恶意代码行为算法库、深度检测l 、深度防御、深
度修复 、6 个主动防御引擎等核心技术,主机安全保障可靠,能
动有效防御己知、特别是未知病毒、木马、蠕虫等恶意代码对
计算机的入侵和攻击 ,保障业务系统正常、稳定、安全运行,保障
企业信息资产安全。
黄金波( 1966斗 ,吉林省农安人,副教授,硕士学位。
的三大防御对象实现六层体系式防御,依靠直观图形数据分析
统计,拓扑化管理机制,使管理员能全局掌控安全态势,精准定
位安全事故点,应急H向应安全威胁。
3 、提供完备的安全事件统计报表,便捷了安全管理,完善了
安全审计评估机制。客户端以 100 分制方式,安全度量'终端安全
状态,简便、直观
4、全智能自动检测、分析和l消除主机恶意代码,无需终端用
户介入,丝毫不影响用户的工作及心情。
作者简介
刘冬喜 商车成都机车车辆有限公司,信息中心,高级工程
2、系统在统一威胁管理平台上采用的四大支撑技术对网络 师。
.24 . 办公自动化杂志
