久久―日本道色综合久久,亚洲欧美精品在线,狼狼色丁香久久婷婷综合五月,香蕉人人超,日本网站黄,国产在线观看不卡免费高清,无遮挡的毛片免费

在具有802.1X認證功能的網(wǎng)絡系統(tǒng)中，當一個用戶需要對網(wǎng)絡資源進行訪問之前必須先要完成以下的認證過程。

1. 當用戶有上網(wǎng)需求時打開802.1X客戶端程序，輸入已經(jīng)申請、登記過的用戶名和口令，發(fā)起連接請求。此時，客戶端程序?qū)l(fā)出請求認證的報文給交換機，開始啟動一次認證過程。
   
2. 交換機收到請求認證的數(shù)據(jù)幀后，將發(fā)出一個請求幀要求用戶的客戶端程序?qū)⑤斎氲挠脩裘蜕蟻怼?
   
3. 客戶端程序響應交換機發(fā)出的請求，將用戶名信息通過數(shù)據(jù)幀送給交換機。交換機將客戶端送上來的數(shù)據(jù)幀經(jīng)過封包處理后送給認證服務器進行處理。
   
4. 認證服務器收到交換機轉(zhuǎn)發(fā)上來的用戶名信息后，將該信息與數(shù)據(jù)庫中的用戶名表相比對，找到該用戶名對應的口令信息，用隨機生成的一個加密字對它進行加密處理，同時也將此加密字傳送給交換機，由交換機傳給客戶端程序。
   
5. 客戶端程序收到由交換機傳來的加密字后，用該加密字對口令部分進行加密處理（此種加密算法通常是不可逆的），并通過交換機傳給認證服務器。
   
6. 認證服務器將送上來的加密后的口令信息和其自己經(jīng)過加密運算后的口令信息進行對比，如果相同，則認為該用戶為合法用戶，反饋認證通過的消息，并向交換機發(fā)出打開端口的指令，允許用戶的業(yè)務流通過端口訪問網(wǎng)絡。否則，反饋認證失敗的消息，并保持交換機端口的關(guān)閉狀態(tài)，只允許認證信息數(shù)據(jù)通過而不允許業(yè)務數(shù)據(jù)通過。

這里要提出的一個值得注意的地方是: 在客戶端與認證服務器交換口令信息的時候，沒有將口令以明文直接送到網(wǎng)絡上進行傳輸，而是對口令信息進行了不可逆的加密算法處理，使在網(wǎng)絡上傳輸?shù)拿舾行畔⒂辛烁叩陌踩Ｕ?，杜絕了由于下級接入設備所具有的廣播特性而導致敏感信息泄漏的問題。

在802.1X解決方案中，通常采用基于MAC地址的端口訪問控制模式。采用此種模式將會帶來降低用戶建網(wǎng)成本、降低認證服務器性能要求的優(yōu)點。對于此種訪問控制方式，應當采用相應的手段來防止由于MAC、IP地址假冒所發(fā)生的網(wǎng)絡安全問題。

1. 對于假冒MAC地址的情況
   當認證交換機的一個物理端口下面再級連一臺接入級交換機，而該臺接入交換機上的甲用戶已經(jīng)通過認證并正常使用網(wǎng)絡資源，則此時在認證交換機的該物理端口中就已將甲用戶終端設備的MAC地址設定為允許發(fā)送業(yè)務數(shù)據(jù)。假如同一臺接入交換機下的乙用戶將自己的MAC地址修改得與甲用戶的MAC地址相同，則即使乙用戶沒有經(jīng)過認證過程也能夠使用網(wǎng)絡資源了，這樣就給網(wǎng)絡安全帶來了漏洞。針對此種情況，港灣網(wǎng)絡交換機在實現(xiàn)了802.1X認證、授權(quán)功能的交換機上通過MAC地址+IP地址的綁定功能來阻止假冒MAC地址的用戶非法訪問。
   
   對于動態(tài)分配IP地址的網(wǎng)絡系統(tǒng)，由于非法用戶無法預先獲知其他用戶將會分配到的IP地址，因此他即使知道某一用戶的MAC地址也無法偽造IP地址，也就無法冒充合法用戶訪問網(wǎng)絡資源。
   
   對于靜態(tài)分配地址的方案，由于具有同一IP地址的兩臺終端設備必然會造成IP地址沖突，因此同時假冒MAC地址和IP地址的方法也是不可行的。
   
   當假冒者和合法用戶分屬于認證交換機兩個不同的物理端口，則假冒者即使知道合法用戶的MAC地址，而由于該MAC地址不在同一物理端口，因此，假冒者還是無法進入網(wǎng)絡系統(tǒng)。
   
   
2. 對于假冒IP地址的情況
   由于802.1X采用了基于二層的認證方式，因此，當采用動態(tài)地址分配方案時，只有用戶認證通過后，才能夠分配到IP網(wǎng)絡地址。
   
   對于靜態(tài)地址分配策略，如果假冒了IP地址，而沒有能夠通過認證，也不會與正在使用該地址的合法用戶發(fā)生地址沖突。
   
   如果用戶能夠通過認證，但假冒了其他用戶的IP地址，則通過在認證交換機上采用IP地址+MAC地址綁定的方式來控制用戶的訪問接入。這使得假冒用戶無法進行正常的業(yè)務通信，從而達到了防止IP地址被篡改、假冒的目的。
   
3. 對于用戶口令失竊、擴散的處理
   
   在使用802.1X認證協(xié)議的系統(tǒng)中，用戶口令失竊和口令擴散的情況非常多，對于這類情況，能夠通過在認證服務器上限定同時接入具有同一用戶名和口令認證信息的請求數(shù)量來達到控制用戶接入，避免非法訪問網(wǎng)絡系統(tǒng)的目的。

五、總結(jié)
802.1x協(xié)議僅僅提供了一種用戶接入認證的手段，并簡單地通過控制接入端口的開/關(guān)狀態(tài)來實現(xiàn)，這種簡化適用于無線局域網(wǎng)的接入認證、點對點物理或邏輯端口的接入認證，而在可運營、可管理的寬帶IP城域網(wǎng)中作為一種認證方式具有一定的局限性。