信息系統(tǒng)安全知識(shí) 名詞解釋

1、名詞解釋NIDSNIDS是Network Intrusion Detection System 的縮寫(xiě)，即網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，主 要用于檢測(cè)Hacker或Cracker通過(guò)網(wǎng)絡(luò)進(jìn)行的入侵行為。NIDS的運(yùn)行方式有兩種， 一種是在目標(biāo)主機(jī)上運(yùn)行以監(jiān)測(cè)其本身的通信信息，另一種是在一臺(tái)單獨(dú)的機(jī)器上運(yùn) 行以監(jiān)測(cè)所有網(wǎng)絡(luò)設(shè)備的通信信息，比如 Hub、路由器。NIDS的功能：網(wǎng)管人員對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，以便隨時(shí)發(fā)現(xiàn)可能的入 侵行為，并進(jìn)行具體分析，及時(shí)、主動(dòng)地進(jìn)行干預(yù)，從而取得防患于未然的效果。 目前，NIDS產(chǎn)品可分為硬件和軟件兩種類(lèi)型。NIDS的功能測(cè)評(píng)內(nèi)容:NIDS提供的功能主要有數(shù)據(jù)的收集，

2、如數(shù)據(jù)包嗅探；事 件的響應(yīng)，如利用特征匹配或異常識(shí)別技術(shù)檢測(cè)攻擊，并產(chǎn)生響應(yīng)；事件的分析，如 協(xié)議分析、網(wǎng)絡(luò)流量分析；事件數(shù)據(jù)存儲(chǔ)，如記錄報(bào)警信息到數(shù)據(jù)庫(kù)。功能測(cè)評(píng)主要是對(duì)NIDS應(yīng)提供的功能進(jìn)行驗(yàn)證。例如在事件響應(yīng)測(cè)評(píng)中，要求NIDS在檢測(cè)到攻擊事件后能及時(shí)地根據(jù)設(shè)置的響應(yīng)方式作出響應(yīng)；在攻擊事件檢測(cè)能力測(cè)評(píng)中，則 要求NIDS能夠檢測(cè)到常見(jiàn)攻擊，如后門(mén)類(lèi)、FTP類(lèi)、HTTP類(lèi)、DNS類(lèi)、Mail類(lèi)、ICMP類(lèi)、Finger類(lèi)、RPC類(lèi)和DoS類(lèi)等；在控制臺(tái)功能測(cè)評(píng)中，則要求 NIDS控 制臺(tái)提供對(duì)網(wǎng)絡(luò)引擎、用戶(hù)角色以及數(shù)據(jù)庫(kù)的管理功能等。NIDS的安全性測(cè)評(píng)內(nèi)容:安全性測(cè)評(píng)依據(jù)入侵檢測(cè)保護(hù)

3、輪廓對(duì) NIDS的安全功 能做出測(cè)評(píng)，主要從安全審計(jì)、標(biāo)識(shí)和鑒別、安全管理、 TOE安全功能保護(hù)以及IDS 部件要求等方面進(jìn)行測(cè)評(píng)分析。功能測(cè)評(píng)以及安全性測(cè)評(píng)所采用的測(cè)試方法有： 功能測(cè)評(píng)一般采用驗(yàn)證法，即根 據(jù)產(chǎn)品本身的功能設(shè)置和使用說(shuō)明，通過(guò)運(yùn)用的測(cè)試工具來(lái)驗(yàn)證 NIDS的數(shù)據(jù)收集、 分析、響應(yīng)和控制臺(tái)管理等功能是否能夠正確實(shí)現(xiàn)；安全性測(cè)評(píng)則是綜合運(yùn)用驗(yàn)證法、 分析法來(lái)確認(rèn)NIDS是否滿(mǎn)足相關(guān)的安全功能要求。檢測(cè)NIDS對(duì)規(guī)避攻擊的檢測(cè)能力：規(guī)避就是對(duì)攻擊行為進(jìn)行偽裝，雖然攻擊目 標(biāo)機(jī)能夠識(shí)別這種偽裝后的攻擊行為， 但I(xiàn)DS卻不能有效地檢測(cè)該攻擊，從而使攻擊 者達(dá)到攻擊的目的。例如：將攻擊

4、數(shù)據(jù)包進(jìn)行分片，由于有些NIDS不能對(duì)IP分片進(jìn)行重組，或者超過(guò)了其處理能力，因此對(duì)該攻擊規(guī)避后可以躲過(guò)NIDS的檢測(cè)。目前規(guī)避技術(shù)有很多種，如數(shù)據(jù)包分片和URL Obfuscation。數(shù)據(jù)包分片測(cè)試檢測(cè)NIDS是否具備TCP/IP的重組能力，以及重組能力是否完善；測(cè)試使用專(zhuān)有的規(guī)避 測(cè)試工具對(duì)攻擊流量進(jìn)行分片、重疊、亂序處理，并向攻擊目標(biāo)轉(zhuǎn)發(fā)，驗(yàn)證NIDS是否能檢測(cè)到該攻擊。URL Obfuscation測(cè)試檢測(cè)NIDS能否抵抗常見(jiàn)的URL Obfuscation技術(shù)；測(cè)試使用專(zhuān)有的字符串處理和字符替代技術(shù)，對(duì)攻擊數(shù)據(jù)進(jìn)行偽 裝，并向攻擊目標(biāo)轉(zhuǎn)發(fā)，驗(yàn)證 NIDS是否能檢測(cè)到該攻擊。Kerb

5、eros目錄Kerbero s： 網(wǎng)絡(luò)認(rèn)證協(xié)議.1協(xié)議結(jié)構(gòu) Kerberos 信息1 Kerberos的組成Kerberos 缺陷Vista系統(tǒng)常用英文專(zhuān)業(yè)詞語(yǔ)Kerberos:網(wǎng)絡(luò)認(rèn)證協(xié)議（Kerberos: Network Authentication Protocol ）Kerberos這一名詞來(lái)源于希臘神話(huà)“三個(gè)頭的狗地獄之門(mén)守護(hù)者” Kerberos是一種網(wǎng)絡(luò)認(rèn)證協(xié)議，其設(shè)計(jì)目標(biāo)是通過(guò) 典系統(tǒng)為客戶(hù)機(jī)/服務(wù)器應(yīng)用 程序提供強(qiáng)大的認(rèn)證服務(wù)。該認(rèn)證過(guò)程的實(shí)現(xiàn)不依賴(lài)于主機(jī)操作系統(tǒng)的認(rèn)證，無(wú)需基 于主機(jī)地址的信任，不要求網(wǎng)絡(luò)上所有主機(jī)的物理安全，并假定網(wǎng)絡(luò)上傳送的數(shù)據(jù)包 可以被任意地讀取、修

6、改和插入數(shù)據(jù)。在以上情況下，Kerberos作為一種可信任的第三方認(rèn)證服務(wù)，是通過(guò)傳統(tǒng)的密碼技術(shù)（如：共享密鑰）執(zhí)行認(rèn)證服務(wù)的。認(rèn)證過(guò)程具體如下：客戶(hù)機(jī)向認(rèn)證服務(wù)器（ AS）發(fā)送請(qǐng)求，要求得到某服務(wù)器 的證書(shū)，然后 AS的響應(yīng)包含這些用 客戶(hù)端密鑰加密的證書(shū)。證書(shū)的構(gòu)成為:1）服務(wù)器 “ticket ” ；2）一個(gè)臨時(shí)加密密鑰（又稱(chēng)為會(huì)話(huà)密鑰 “session key”）?？蛻?hù)機(jī)將ticket （包 括用服務(wù)器密鑰加密的客戶(hù)機(jī)身份和一份會(huì)話(huà)密鑰的拷貝）傳送到服務(wù)器上。會(huì)話(huà)密 鑰可以（現(xiàn)已經(jīng)由客戶(hù)機(jī)和服務(wù)器共享）用來(lái)認(rèn)證客戶(hù)機(jī)或認(rèn)證服務(wù)器，也可用來(lái)為 通信雙方以后的通訊提供加密服務(wù)，或通過(guò)交換獨(dú)

7、立子會(huì)話(huà)密鑰為通信雙方提供進(jìn)一 步的通信加密服務(wù)。3）上述認(rèn)證交換過(guò)程需要只讀方式訪問(wèn) Kerberos數(shù)據(jù)庫(kù)。但有時(shí)，數(shù)據(jù)庫(kù)中 的記錄必須進(jìn)行修改，如添加新的規(guī)則或改變規(guī)則密鑰時(shí)。修改過(guò)程通過(guò)客戶(hù)機(jī)和第 三方Kerberos服務(wù)器（Kerberos管理器KADM）間的協(xié)議完成。有關(guān)管理協(xié)議在 此不作介紹。另外也有一種協(xié)議用于維護(hù)多份 Kerberos數(shù)據(jù)庫(kù)的拷貝，這可以認(rèn)為 是執(zhí)行過(guò)程中的細(xì)節(jié)問(wèn)題，并且會(huì)不斷改變以適應(yīng)各種不同數(shù)據(jù)庫(kù)技術(shù)。協(xié)議結(jié)構(gòu)Kerberos 信息*客戶(hù)機(jī)/服務(wù)器認(rèn)證交換 信息方向 信息類(lèi)型客戶(hù)機(jī)向Kerberos KRB_AS_REQ Kerberos 向客戶(hù)機(jī) KRB

8、_AS_REP 或 KRB_ERROR *客戶(hù)機(jī)/服務(wù)器認(rèn)證交換信息方向 信息類(lèi)型 客戶(hù)機(jī)向應(yīng)用服務(wù)器KRB_AP_REQ 可選項(xiàng)應(yīng)用服務(wù)器向客戶(hù)機(jī) KRB_AP_REP 或 KRB_ERRORR *票證授予服務(wù)（TGS）交換信息方向 信息類(lèi)型 客戶(hù)機(jī)向 Kerberos KRB_TGS_REQ Kerberos 向客戶(hù)機(jī) KRB_TGS_REP 或 KRB_ERROR * KRB_SAFE 交換 * KRB_PRIV 交換 * KRB_CRED 交換 Kerberos的是MIT為雅典娜（Athena）計(jì)劃開(kāi)發(fā)的認(rèn)證系統(tǒng)。Kerberos的組成Kerberos應(yīng)用程序庫(kù)：應(yīng)用程序接口，包括創(chuàng)建

9、和讀取認(rèn)證請(qǐng)求，以及創(chuàng)建safe message 和 private message 的子程序。加密/解密庫(kù)：DES等。Kerberos數(shù)據(jù)庫(kù)：記載了每個(gè) Kerberos用戶(hù)的名字，私有密鑰，截止信息（記 錄的有效時(shí)間，通常為幾年）等信息。數(shù)據(jù)庫(kù)管理程序：管理Kerberos數(shù)據(jù)庫(kù)KDBM服務(wù)器（數(shù)據(jù)庫(kù)管理服務(wù)器）:接受客戶(hù)端的請(qǐng)求對(duì)數(shù)據(jù)庫(kù)進(jìn)行操作。 認(rèn)證服務(wù)器（AS）:存放一個(gè)Kerberos數(shù)據(jù)庫(kù)的只讀的副本，用來(lái)完成 principle的認(rèn) 證，并生成會(huì)話(huà)密鑰.數(shù)據(jù)庫(kù)復(fù)制軟件：管理數(shù)據(jù)庫(kù)從KDBM服務(wù)所在的機(jī)器，到認(rèn)證服務(wù)器所在的 機(jī)器的復(fù)制工作，為了保持?jǐn)?shù)據(jù)庫(kù)的一致性，每隔一段時(shí)間就

10、需要進(jìn)行復(fù)制工 作. 用戶(hù)程序：登錄Kerberos，改變Kerberos密碼，顯示和破壞Kerberos標(biāo) 簽（ticket ）等工作。Microsoft Windows Server 2003操作系統(tǒng)上實(shí)現(xiàn)了 Kerberos5身份驗(yàn)證協(xié)議 Windows Server2003總是使用擴(kuò)展公鑰身份驗(yàn)證機(jī)制。KerBeros身份驗(yàn)證客戶(hù)端 作為 SSP （Security Support Provider ）通過(guò)訪問(wèn) SSPI （Security Support Provider Interface ）來(lái)實(shí)現(xiàn)身份驗(yàn)證。用戶(hù)身份驗(yàn)證初始化過(guò)程被集成在Winlogon這SSO（Single Si

11、gn-On ）體系中。Kerberos 缺陷1.失敗于單點(diǎn)：它需要中心服務(wù)器的持續(xù)響應(yīng)。當(dāng) Kerberos服務(wù)結(jié)束前，沒(méi)有 人可以連接到服務(wù)器。這個(gè)缺陷可以通過(guò)使用復(fù)合 Kerberos服務(wù)器和缺陷認(rèn)證機(jī)制 彌補(bǔ)。2.Kerberos要求參與通信的主機(jī)的時(shí)鐘同步。票據(jù)具有一定有效期，因此，如果 主機(jī)的時(shí)鐘與Kerberos服務(wù)器的時(shí)鐘不同步，認(rèn)證會(huì)失敗。默認(rèn)設(shè)置要求時(shí)鐘的時(shí) 間相差不超過(guò)10分鐘。在實(shí)踐中，通常用網(wǎng)絡(luò)時(shí)間協(xié)議 后臺(tái)程序來(lái)保持主機(jī)時(shí)鐘同步。3.管理協(xié)議并沒(méi)有標(biāo)準(zhǔn)化，在服務(wù)器實(shí)現(xiàn)工具中有一些差別。因?yàn)樗杏脩?hù)使用的密鑰都存儲(chǔ)于中心服務(wù)器中，危及服務(wù)器的安全的行為將 危及所有用戶(hù)的

12、密鑰。一個(gè)危險(xiǎn)客戶(hù)機(jī)將危及用戶(hù)密碼。802.1x802.1x協(xié)議是基于Client/Server的訪問(wèn)控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶(hù)/設(shè)備 通過(guò)接入端口 (access port)訪問(wèn)LAN/WLAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前， 802.1x對(duì)連接到交換機(jī)端口上的用戶(hù)/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過(guò)之前，802.1x只允許 EAPoL (基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)數(shù)據(jù)通過(guò)設(shè)備連接的交換機(jī)端口；認(rèn)證通過(guò)以后， 正常的數(shù)據(jù)可以順利地通過(guò)以太網(wǎng)端口。目錄802.1x協(xié)議802.1x認(rèn)證特點(diǎn)802.1x工作過(guò)程802.1x應(yīng)用環(huán)境特點(diǎn)802.1x認(rèn)證的安全性分析802.1x認(rèn)證的優(yōu)勢(shì)

13、802.1X認(rèn)證標(biāo)準(zhǔn)802.1X認(rèn)證模式802.1X思科交換機(jī)配詈802.1X協(xié)議3D 2 3so 2. LI802.1x協(xié)議是基于Client/Server的訪問(wèn)控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán) 的用戶(hù)/設(shè)備通過(guò)接入端口(access port)訪問(wèn)LAN/WLAN。在獲得交換機(jī)或LAN提供 的各種業(yè)務(wù)之前，802.1X對(duì)連接到交換機(jī)端口上的用戶(hù)/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過(guò) 之前，802.1X只允許EAPoL （基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議）數(shù)據(jù)通過(guò)設(shè)備連接的交 換機(jī)端口；認(rèn)證通過(guò)以后，正常的數(shù)據(jù)可以順利地通過(guò)以太網(wǎng)端口。網(wǎng)絡(luò)訪問(wèn)技術(shù)的核心部分是 PAE （端口訪問(wèn)實(shí)體）。在訪問(wèn)控制流程中，端口

14、訪 問(wèn)實(shí)體包含3部分：認(rèn)證者-對(duì)接入的用戶(hù)/設(shè)備進(jìn)行認(rèn)證的端口；請(qǐng)求者-被認(rèn)證的用 戶(hù)/設(shè)備；認(rèn)證服務(wù)器-根據(jù)認(rèn)證者的信息，對(duì)請(qǐng)求訪問(wèn) 網(wǎng)絡(luò)資源的用戶(hù)/設(shè)備進(jìn)行實(shí) 際認(rèn)證功能的設(shè)備。以太網(wǎng)的每個(gè)物理端口被分為受控和不受控的兩個(gè)邏輯端口，物理端口收到的每個(gè)幀都被送到受控和不受控端口。其中，不受控端口始終處于雙向聯(lián)通狀態(tài)，主要用 于傳輸認(rèn)證信息。而受控端口的聯(lián)通或斷開(kāi)是由該端口的授權(quán)狀態(tài)決定的。認(rèn)證者的 PAE根據(jù)認(rèn)證服務(wù)器認(rèn)證過(guò)程的結(jié)果， 控制受控端口 的授權(quán)/未授權(quán)狀態(tài)。處在未授 權(quán)狀態(tài)的控制端口將拒絕用戶(hù)/設(shè)備的訪問(wèn)。受控端口與不受控端口的劃分，分離了 認(rèn)證數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)，提高了系統(tǒng)的接入管

15、理和接入服務(wù)提供的工作效率。802.1X認(rèn)證特點(diǎn)基于以太網(wǎng)端口認(rèn)證的802.1X協(xié)議有如下特點(diǎn)：IEEE802.1X協(xié)議為二層協(xié)議， 不需要到達(dá)三層，對(duì)設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本；借用了在 RAS系統(tǒng)中常用的EAP （擴(kuò)展認(rèn)證協(xié)議），可以提供良好的擴(kuò)展性和適應(yīng)性，實(shí)現(xiàn)對(duì) 傳統(tǒng)PPP認(rèn)證架構(gòu)的兼容；802.1X的認(rèn)證體系結(jié)構(gòu)中采用了 可控端口 和不可控端 口的邏輯功能，從而可以實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證的分離，由RADIUS和交換機(jī)利用不可控的邏輯端口共同完成對(duì)用戶(hù)的認(rèn)證與控制，業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上通過(guò)可控端口進(jìn)行交換，通過(guò)認(rèn)證之后的數(shù)據(jù)包是無(wú)需封裝的純數(shù)據(jù)包；可以使用現(xiàn)有

16、的后臺(tái)認(rèn)證系統(tǒng)降低部署的成本，并有豐富的業(yè)務(wù)支持；可以映射不同的用戶(hù)認(rèn)證等 級(jí)到不同的VLAN ；可以使交換端口和無(wú)線LAN具有安全的認(rèn)證接入功能。802.1X工作過(guò)程（1.當(dāng)用戶(hù)有上網(wǎng)需求時(shí)打開(kāi)802.1X客戶(hù)端程序，輸入已經(jīng)申請(qǐng)、登記過(guò)的用 戶(hù)名和口令，發(fā)起連接請(qǐng)求。此時(shí)，客戶(hù)端程序?qū)l(fā)出請(qǐng)求認(rèn)證的報(bào)文給交換機(jī)，開(kāi) 始啟動(dòng)一次認(rèn)證過(guò)程。（2,交換機(jī)收到請(qǐng)求認(rèn)證的數(shù)據(jù)幀后，將發(fā)出一個(gè)請(qǐng)求幀要求用戶(hù)的客戶(hù)端程序 將輸入的用戶(hù)名送上來(lái)。（3.客戶(hù)端程序響應(yīng)交換機(jī)發(fā)出的請(qǐng)求，將用戶(hù)名信息通過(guò)數(shù)據(jù)幀送給交換機(jī)。 交換機(jī)將客戶(hù)端送上來(lái)的數(shù)據(jù)幀經(jīng)過(guò)封包處理后送給認(rèn)證服務(wù)器進(jìn)行處理。（4,認(rèn)證服務(wù)器收到交

17、換機(jī)轉(zhuǎn)發(fā)上來(lái)的用戶(hù)名信息后，將該信息與數(shù)據(jù)庫(kù)中的用 戶(hù)名表相比對(duì)，找到該用戶(hù)名對(duì)應(yīng)的口令信息，用隨機(jī)生成的一個(gè)加密字對(duì)它進(jìn)行加 密處理，同時(shí)也將此加密字傳送給交換機(jī)，由交換機(jī)傳給客戶(hù)端程序。（5.客戶(hù)端程序收到由交換機(jī)傳來(lái)的加密字后，用該加密字對(duì)口令部分進(jìn)行加密 處理（此種加密算法通常是不可逆的），并通過(guò)交換機(jī)傳給認(rèn)證服務(wù)器。(6.認(rèn)證服務(wù)器將送上來(lái)的加密后的口令信息和其自己經(jīng)過(guò)加密運(yùn)算后的口令 信息進(jìn)行對(duì)比，如果相同，則認(rèn)為該用戶(hù)為合法用戶(hù)，反饋認(rèn)證通過(guò)的消息，并向交 換機(jī)發(fā)出打開(kāi)端口的指令，允許用戶(hù)的業(yè)務(wù)流通過(guò)端口訪問(wèn)網(wǎng)絡(luò)。否則，反饋認(rèn)證失 敗的消息，并保持交換機(jī)端口的關(guān)閉狀態(tài)，只允許認(rèn)證

18、信息數(shù)據(jù)通過(guò)而不允許業(yè)務(wù)數(shù) 據(jù)通過(guò)。802.1X應(yīng)用環(huán)境特點(diǎn)交換式以太網(wǎng)絡(luò)環(huán)境對(duì)于交換式以太網(wǎng)絡(luò)中，用戶(hù)和網(wǎng)絡(luò)之間采用點(diǎn)到點(diǎn)的物理連接，用戶(hù)彼此之間通過(guò) VLAN隔離，此網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)管理控制的關(guān)鍵 是用戶(hù)接入控制，802.1x不需要提供過(guò)多的安全機(jī)制。共享式網(wǎng)絡(luò)環(huán)境當(dāng)802.1x應(yīng)用于共享式的網(wǎng)絡(luò)環(huán)境時(shí)，為了防止在共享式的網(wǎng)絡(luò)環(huán)境中出現(xiàn)類(lèi)似“搭載”的問(wèn)題，有必要將 PAE實(shí)體由物理端口進(jìn)一步擴(kuò)展 為多個(gè)互相獨(dú)立的邏輯端口。邏輯端口和用戶(hù)/設(shè)備形成一一對(duì)應(yīng)關(guān)系，并且各邏輯端口之間的認(rèn)證過(guò)程和結(jié)果相互獨(dú)立。在共享式網(wǎng)絡(luò)中，用戶(hù)之間共享接入物理媒介， 接入網(wǎng)絡(luò)的管理控制必須兼顧用戶(hù)接入控制和用戶(hù)

19、數(shù)據(jù)安全，可以采用的安全措施是對(duì)EAPoL和用戶(hù)的其它數(shù)據(jù)進(jìn)行加密封裝。在實(shí)際網(wǎng)絡(luò)環(huán)境中，可以通過(guò)加速WEP密鑰重分配周期，彌補(bǔ) WEP靜態(tài)分配秘鑰導(dǎo)致的安全性的缺陷。802.1X認(rèn)證的安全性分析802.1x協(xié)議中，有關(guān)安全性的問(wèn)題一直是802.1x反對(duì)者攻擊的焦點(diǎn)。實(shí)際上， 這個(gè)問(wèn)題的確困擾了 802.1x技術(shù)很長(zhǎng)一段時(shí)間，甚至限制了 802.1x技術(shù)的應(yīng)用。但 技術(shù)的發(fā)展為這個(gè)問(wèn)題給出了答案：802.1x結(jié)合EAP，可以提供靈活、多樣的認(rèn)證 解決方案。802.1X認(rèn)證的優(yōu)勢(shì)綜合IEEE802.1x的技術(shù)特點(diǎn)，其具有的優(yōu)勢(shì)可以總結(jié)為以下幾點(diǎn)。簡(jiǎn)潔高效：純以太網(wǎng)技術(shù)內(nèi)核，保持了IP網(wǎng)絡(luò)無(wú)連接特

20、性，不需要進(jìn)行協(xié)議間的多層封裝，去除了不必要的開(kāi)銷(xiāo)和冗余；消除網(wǎng)絡(luò)認(rèn)證計(jì)費(fèi)瓶頸和單點(diǎn)故障，易于 支持多業(yè)務(wù)和新興流媒體業(yè)務(wù)。容易實(shí)現(xiàn)：可在普通L3、L2、IPDSLAM上實(shí)現(xiàn)，網(wǎng)絡(luò)綜合誥價(jià)成本低，保留了 傳統(tǒng)AAA認(rèn)證的網(wǎng)絡(luò)架構(gòu)，可以利用現(xiàn)有的 RADIUS設(shè)備。安全可靠：在二層網(wǎng)絡(luò)上實(shí)現(xiàn)用戶(hù)認(rèn)證，結(jié)合 MAC、端口、賬戶(hù)、VLAN和密碼 等；綁定技術(shù)具有很高的安全性，在無(wú)線局域網(wǎng)網(wǎng)絡(luò)環(huán)境中802.1x結(jié)合EAP TLS，EAP TTLS,可以實(shí)現(xiàn)對(duì) WEP證書(shū)密鑰的動(dòng)態(tài)分配，克服無(wú)線局域網(wǎng)接入中的安全 漏洞。行業(yè)標(biāo)準(zhǔn)：IEEE標(biāo)準(zhǔn)，和以太網(wǎng)標(biāo)準(zhǔn)同源，可以實(shí)現(xiàn)和以太網(wǎng)技術(shù)的無(wú)縫融合， 幾乎所有

21、的主流數(shù)據(jù)設(shè)備廠商在其設(shè)備，包括路由器、交換機(jī)和無(wú)線AP上都提供對(duì) 該協(xié)議的支持。在客戶(hù)端方面 微軟WindowsXP操作系統(tǒng)內(nèi)置支持，Linux也提供了 對(duì)該協(xié)議的支持。應(yīng)用靈活：可以靈活控制認(rèn)證的顆粒度，用于對(duì)單個(gè)用戶(hù)連接、用戶(hù)ID或者是對(duì)接入設(shè)備進(jìn)行認(rèn)證，認(rèn)證的層次可以進(jìn)行靈活的組合，滿(mǎn)足特定的接入技術(shù)或者是 業(yè)務(wù)的需要。易于運(yùn)營(yíng)：控制流和業(yè)務(wù)流完全分離，易于實(shí)現(xiàn)跨平臺(tái)多業(yè)務(wù)運(yùn)營(yíng)，少量改造傳 統(tǒng)包月制等單一收費(fèi)制網(wǎng)絡(luò)即可升級(jí)成運(yùn)營(yíng)級(jí)網(wǎng)絡(luò)，而且網(wǎng)絡(luò)的運(yùn)營(yíng)成本也有望降低。802.1X認(rèn)證標(biāo)準(zhǔn)Template:Expand IEEE 802.1X是IEEE制定關(guān)于用戶(hù)接入網(wǎng)絡(luò)的認(rèn)證標(biāo)準(zhǔn) （注

22、意：此處X是大寫(xiě)，詳細(xì)請(qǐng)參看IEEE關(guān)于命名的解釋?zhuān)Ｋ娜Q(chēng)是“基于端口的網(wǎng) 絡(luò)接入控制”。于2001年標(biāo)準(zhǔn)化，之后為了配合 無(wú)線網(wǎng)絡(luò)的接入進(jìn)行修訂改版，于2004 年完成。IEEE 802.1X協(xié)議在用戶(hù)接入網(wǎng)絡(luò)（可以是以太網(wǎng)，也可以是 Wi-Fi網(wǎng)）之前運(yùn) 行，運(yùn)行于網(wǎng)絡(luò)中的MAC層。EAP 協(xié)議 RADIUS 協(xié)議。cs:IEEE 802.1X de:IEEE 802.1x en:IEEE 802.1X es:IEEE 802.1X fi:802.1x fr:IEEE 802.1X it:IEEE 802.1x pl:802.1XIEEE802.1x 協(xié)議具有完備的用戶(hù)認(rèn)證、管理功能，可以很好的支撐寬帶網(wǎng)絡(luò)的計(jì)費(fèi)、安全、運(yùn) 營(yíng)和管理要求，對(duì)寬帶IP城域網(wǎng)等電信級(jí)網(wǎng)絡(luò)的運(yùn)營(yíng)和管理具有極大的優(yōu)勢(shì)。IEEE802.1x協(xié)議對(duì)認(rèn)證方式和認(rèn)證體系結(jié)構(gòu)上進(jìn)行了優(yōu)化，解決了傳統(tǒng)PPPOE 和WEB/PORTAL認(rèn)證方式帶來(lái)的問(wèn)題，更加適合在寬帶以太網(wǎng)中的使用。802.1X認(rèn)證模式（1端口認(rèn)證模式在模式下只要連接到端口的某個(gè)設(shè)備通過(guò)認(rèn)證，其他設(shè)備則不需要認(rèn)證，就可以訪問(wèn)網(wǎng)絡(luò)資源。（2 MAC認(rèn)證模式該模式下連接到同一端口的每個(gè)設(shè)備都需要單獨(dú)進(jìn)行認(rèn)證。802.1X思科交換機(jī)配置（config）#aaa new-model 啟動(dòng) AAA。（config）#radius-serve