基于802.1X和DFW的网络安全研究及NAC系统的设计与(12)

基于802.1X和DFW的网络安全研究及NAC系统的设计与实现

2.1.1 客户端系统(Supplicant System)

客户端系统一般为一个用户终端系统，是802.1X协议的被认证对象，可以是直接接入认证服务网络的单个用户计算机，也可以是连入认证服务网络设备的一个局域网中的某个用户计算机。该计算机通常需要安装一个客户端软件，用户通过启动这个客户端软件发起请求进行802.1X协议的认证或应答来自认证服务器的要求认证命令。为支持基于端口的接入控制，客户系统必须支持EAPOL（Extensible Authentication Protocol Over LAN）协议。

客户端的主要功能包括：

● 启动认证过程，并使用户输入的用户名和密码与认证系统进行认证信息交互； ● 认证成功后，响应认证系统的重新认证请求；

● 下线时，通知认证系统关闭相应端口。

2.1.2 认证系统(Authenticator System)

认证系统指在LAN连接的一端用于认证另一端设备的实体，通常为支持IEEE

802.1X协议的网络接入设备如边缘交换机或无线接入设备。该设备对应于不同用户的端口（可以是物理端口，也可以是用户设备的MAC地址）有两个逻辑端口：受控端口（Controlled Port）和不受控端口（Controlled Port）。不受控端口始终处于双向连通状态，主要用来传递EAPOL协议帧，可保证客户端始终可以发出和接受认证。受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。认证系统在客户端和认证服务器间充当代理角色(proxy)。认证系统与客户端间通过EAPOL协议进行通讯，与认证服务器间通过EAPoRADIUS(Extensible Authentication Protocol Over RADIUS)或EAP承载在其他高层协议上，以便穿越复杂的网络到达认证服务器;认证系统要求客户端提供Identity，接收到后将EAP报文承载在RADIUS格式的报文中，再发送到认证服务器，返回等同;认证系统根据认证结果控制端口是否可用。

2.1.3 认证服务器

认证服务器通常是RADIUS（Remote Authentication Dial In User Service），是提供认证服务的实体。它对客户进行实际认证，认证服务器核实客户identity，通知认证系统是否允许客户端访问LAN和交换机提供的服务，接受认证系统传递过来的认证需求，认证完成后将认证结果下发给认证系统，完成对端口的管理。认证服务器可以存储有