浅谈802.1x标准和Radius协议的扩展应用问题
开篇:润墨网以专业的文秘视角,为您筛选了一篇浅谈802.1x标准和Radius协议的扩展应用问题范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:本文重点就802.1x标准和radius协议的应用中存在的问题进行介绍,后就此类问题提出相应的扩展方法。
关键词:802.1x标准;Radius协议;扩展应用
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 13-0000-01
Extensions Application of 802.1x Standard and Radius Protocol
Zhu Yanfeng
(National Computer Information Security Management Center Guangdong Sub-Center,Guangzhou510650,China)
Abstract:This article focuses on the 802.1x standard and the Radius protocol application problems are introduced,such problems after the expansion of the corresponding method.
Keywords:802.1x standard;Radius protocol;Extended application
一、802.1x及Radius的概念
802.1x指的是基于端口的访问控制协议,此协议主要对IEEE 802 LAN优势进行利用,为连接到局域网的用户提供了认证以及授权的手段。
Radius即为Remote Access Dail-In User Service,指的是将Radius在802.1x网络中进行应用以提供一种完整安全的网络认证授权计费的解决途径。
二、802.1x标准和Radius协议应用中所存在的主要问题
(一)802.1x标准在应用中存在的问题
1.一旦某用户将802.1x相应设备中的物理端口打开时,将会导致在同一端口连接的其他的用户不必经过认证即可进行网络的使用,因而使得提供商无法根据粒度对用户进行认证以及费用的计算。2.建网的成本相对较高。用户需对当前所接入的网络进行改造,同时将全部接入层的交换机进行相应的携带有802.1x功能的相关交换机的更换。
(二)Radius协议在应用中存在的问题
1.若网络中某客户遭受到了非法的攻击,此时由于其占用的网络带宽过多而引起整个网络的流量出现异常,甚至阻塞网络引起网络的瘫痪。2.Radius协议中缺乏控制上网时限的属性,若一个账号被申请,则此账号将长期有效,且客户的认证通过之后无时间限制对网络进行使用,有时可能并不实用。如校园网中无法控制某些整晚上网的学生,还无法对毕业生用户进行上网有效期的设置。3.采用DHCP服务器进行IP地址的分配,仅当用户通过PC1的认证之后方可分配到相应的IP网络地址,虽然确保了网络的安全性,但客户进行认证过程中无法对IP进行绑定,此时PC2、PC3以及PC4都可通过PC1账号来上网,因而对整个网络带来了安全隐患。
三、802.1x标准和Radius协议的扩展应用
(一)对802.1x标准的扩展
对此标准进行扩展,将802.1x设备上各物理端口设计为下图1的结构:
图1:802.1x端口的扩展设计图
如图所示,一个物理端口上包括了受控端口以及非受控端口,而非受控端口仅对802.1x所认证的报文开放,而其他所有数据的报文均无法通过此端口。受控端口有三种状态:(1)当Auth Controlled Port Control设置为Force Unauthorized时,此状态为非认证状态,此时网络连接会断开。(2)而设置为Force Authorized时即为认证状态,因而网络将连接。(3)当此值设置为Auto时,网络连接情况同用户的认证情况相一致,此时,若用户通过了认证则逻辑通道将打开,设备此时会对用户的信息进行记录,此时流经此端口的任何数据报进行转发之前都会通过Mac的过滤,此时对于用户即可进行粒度管理。
(二)对Radius协议的扩展
1.对用户的上下行带宽进行限制。对用户使用网络带宽进行有效的限制是实现网络可控的一条途径。Radius协议中本无此属性,可通过Radius协议的可扩展性对所需的属性进行扩展。可通过如下方法实现对用户上下行带宽的限制:对Uplink-Bandwidth属性进行扩展以实现对用户上行带宽的限制,同时对Downlink-Bandwidth属性进行扩展来对用户下行带宽进行分配。此两种属性分别对用户所允许的上、下行带宽描述进行了储存,其值应设置为整形且长度低于四字节,单位可设为kbps或bps。而对于没有预先进行上下行带宽配置的用户来说,其上网时系统一旦探测到其流量异常即可强制其下线,接着在Radius Server的用户属性中对其上下行宽带进行配置。
2.控制用户的上网时限。在Radius协议中本无上网时限属性,但具有Session-Timeout属性,可通过此属性实现对用户账号的有效期及其上网时间段的有效控制。具体实现方法如下所述:(1)控制账号的有效期。为便于进行局域网络的管理可将用户账号设成为有时间限制的属性,管理员可通过对过期账号进行定期的清理确保整个局域网的安全性。可在Radius协议中进行Expiration属性的扩展,此属性可实现对用户密码超时的时间描述的存储,例如,06 Jun 2010表示的是2010年6月6号之后密码就超时了。认证时只需将当前系统的日期对比用户的Expiration日期,即可对此日期是否过期进行判断了,若没超期即认证通过,否则认证失败。(2)限制使用网络的时间段。为提高网络利用率,便于对局域网络进行管理应限制用户的上网时间段。可进行logintime属性的扩展,此属性时间格式是“|”或“,”所隔离开的串。天可为Mo、Tu、We、Th、Fr、Sa以及Su,分别指代周一到周日,而wk指工作日,即周一至周五。“Any”或“Al”代表每天。如Wk2210-0800,Sa,Su2305-1735指的是允许用户在每工作日从晚22:10至早8:00上网,而周六全天,周日从晚23:05至下午17:35。用户进行认证的时候,仅需将系统时间同用户的logintime值进行对比,若系统时间超过了规定时间,则认证失败;反之时间跨段将会传至Access-Accept报文中并返回到NAS,通过NAS的设置可对用户的在上网时间进行控制,一旦规定时间到了就会强制其下线。(3)绑定VLAN。在较复杂的局域网的应用过程中常采用DHCP对IP地址进行动态分配的方式实现用户上网IP的分配。虽然动态分配更灵活,但是会导致用户认证过程中无法实现对IP的绑定。为解决此问题可对其绑定元素进行扩展以确保用户认证的安全性。可扩展VLAN-IP-Address属性,将用户的账号同和其相连接的NAS端口所属的VLAN的IP地址进行绑定,实现对用户身份的唯一确定。
参考文献:
[1]黄永锋.RADIUS和802.1x的扩展应用[J].计算机工程与设计,2010,3
[2]陆谊.Radius协议扩展应用新研究[J].金卡工程,2011,4
[作者简介]祝彦峰(1979.1-),吉林伊通人,网络工程师,计算机科学与技术专业,毕业于长春工业大学。