802.1X – Port-Based Network Access Control

介绍

本协议定义了一种基于端口的网络访问控制机制,使用IEEE 802.11局域网基 础介绍的物理特性,提供一种认证和授权连接到某个局域网端口的设备,网络 与设备之间具有点到点连接的特性,一旦认证失败,将会阻止设备通过该端口 访问网络。

常用术语

Port(Network Access Port)

A point of attachment, can be physical or logical. Physical: a physical LAN segment. Logical: an 802.11 IEEE association between a station and access point.

port access entity(PAE)

The Protocol entity associated with a Port. It can support the Protocol functionality associated with the Authenticator, the Supplicant, or both.

基于端口访问控制操作的原则

本节主要讨论基于端口访问控制的架构框架以及访问控制函数与设备的操作之 间的关系。

端口访问控制操作的目的

端口访问控制为系统原有功能提到了一种可选的扩展功能:提供了一种方法来 阻止未授权的Supplicants来访问系统提供的服务,同时也阻止某个 Supplicant试图访问一个未授权的系统。端口访问控制同时也为Supplicant 提供了一种方法来阻止未授权的系统连接它。

系统通过某个未授权的端口来控制访问。在未授权的状态下,对该端口的使 用是受限的,与之关联的参数是 OperControlledDirections

端口访问控制操作的范围

端口访问控制操作假定: 操作的端口为单一的Supplicant和单一的Authenticator提供了一个 点到点连接。这样,授权的决定可以以端口为基准做出。

系统、端口和系统角色

连接到一个LAN的设备称之为系统,而与LAN之间的一个或多个连接点,称之 为端口。端口或与之关联的PAE可以根据情况在某个访问控制交互中充当如下 两个角色之一:

  1. Authenticator
  2. Supplicant
  3. Authentication Server (AS)

受控和非受控访问

2016040801.png

图中的Attachment Point可以是物理端口,与可以是逻辑端口。

与受控端口相关的状态参数是: AuthControlledPortStatus 2016040802.png

接收和传输控制

有两个变量控制了受控的端口认证的数据传输方向 AdminControlledDirections , OperationalControlledDirections

  1. AdminControlledDirections=Both 通过受控端口的进入或出来的数据传输都需要进行认证。这种情况下  OperationalControlledDirections 的值也必须设置为Both。
  2. AdminControlledDirections=In 这种情况下,只对进入的数据传输进行认证。 OperationalControlledDirections 默认为In。 根据情况值也会发生 改变。

端口访问实体(Port Access Entity)

PAE执行与端口访问控制协议相关的算法和协议。

EAPOL

EAP Packets exchanged between Supplicant PAE and Authenticator PAE. EAP over LANs(EAPOL): the encapsulation Techniques that shall be used to carry EAP packets between Supplicant PAEs and Authenticator PAEs in a LAN environment.

EAPOL MPDU格式 for use with IEEE 802.3/Ethernet

2016040803.png

PAE Ethernet Type Value: 0x888E PAE Group Address: 01-80-C2-00-00-03

EAPOL MPDU格式 for 802.2 LLC

2016040804.png

SNAP-encoded Ethernet Type

1~3字节是标准的SNAP头部,值为: AA-AA-03 4~6字节是SNAP协议标识(PID),值为: 00-00-00 7~8字节为PAE Ethernet Type。

Protocol version

EAPOL协议的版本号,一个字节, 值为 0000 0002

Packet Type

2016040805.png

端口访问控制协议

协议操作

认证过程中的操作利用EAP作为Supplicant与Authenticator Server之间传递 认证信息的方式。EAP是一种支持多种认证机制的通用协议。

本标准中的方法就是要定义一种封装格式,允许EAP Message直接地通过LAN MAC服务来携带传输。这种封装格式,称为EAPoL,它用于Supplicant PAE与 Authenticator PAE之间的所有通信过程。

每个PAE由两部分组成: 一组PACP状态机以及状态机通信所依赖的Higher Layer。 对于Supplicant PAE, Higher Layer是由EAP功能模块组成,而对于 Authenticator PAE,Higher Layer则是EAP与AAA功能的组合。

状态机

PACP state machines

  • Port Timers state machine
  • Authenticator PAE(Port Access Entity) state machine
  • Authenticator Key Transmit state machine
  • Supplicant Key Transmit state machine
  • Key Receive state machine
  • Reauthentication Timer state machine
  • Backend Authentication state machine
  • Controlled Directions state machine
  • Supplicant PAE state machine
  • Supplicant Backend state machine

端口访问控制的管理

管理协议