背 景

辦公網(wǎng)承載著企業(yè)內(nèi)部眾多關(guān)鍵業(yè)務(wù)系統(tǒng)，如果終端連接到網(wǎng)絡(luò)中便可直接訪問辦公網(wǎng)絡(luò)資源，會帶來網(wǎng)絡(luò)被攻擊的風(fēng)險，企業(yè)內(nèi)部資料有可能被具有非法意圖的攻擊者竊取。如何保證用戶接入網(wǎng)絡(luò)的合規(guī)與合法性，早已成為業(yè)界關(guān)注的焦點。網(wǎng)絡(luò)接入認(rèn)證技術(shù)就是在這樣的背景下產(chǎn)生的。

多種網(wǎng)絡(luò)接入認(rèn)證方式

接入認(rèn)證的方式有很多種，在園區(qū)網(wǎng)中常見的有以下四種：

1、802.1X（Port-Based Network Access Control）認(rèn)證：

? 是一個基于端口的網(wǎng)絡(luò)存取控制標(biāo)準(zhǔn)，為LAN提供點對點式的安全接入；

? 802.1X的最終目的就是確認(rèn)一個物理端口或Wi-Fi連接是否可用，如果認(rèn)證成功就允許使用該物理端口或Wi-Fi連接。

2、Portal認(rèn)證：

? 也稱Web認(rèn)證，是一種對用戶訪問網(wǎng)絡(luò)的權(quán)限進行控制的認(rèn)證方法；

? 當(dāng)用戶需要訪問認(rèn)證服務(wù)器以外的其它網(wǎng)絡(luò)資源時，就必須通過瀏覽器在Portal服務(wù)器上進行身份認(rèn)證，只有認(rèn)證通過后才可以訪問相關(guān)網(wǎng)絡(luò)資源。

3、PPPoE（Point-to-Point Protocol Over Ethernet）認(rèn)證：

? 從窄帶技術(shù)演化而來，PPP最早就是專門為電話線上網(wǎng)而設(shè)計的，當(dāng)寬帶普及后，為了兼容以前的電話線用戶習(xí)慣，故在寬帶網(wǎng)絡(luò)中繼承了PPP技術(shù)；

? 當(dāng)客戶端要通過PPPoE上網(wǎng)時，它必須首先進行發(fā)現(xiàn)階段以識別對端的以太網(wǎng)MAC地址，并建立一個PPPoE ID，這樣才能成功建立一個會話，從而訪問網(wǎng)絡(luò)資源。

4、IPoE認(rèn)證：

? 又稱DHCP 認(rèn)證，使用DHCP配合其他技術(shù)實現(xiàn)認(rèn)證，如DHCP OPTION擴展字段進行認(rèn)證；

? IPoE認(rèn)證基于上網(wǎng)用戶的物理位置（唯一的VLAN ID/PVC ID）對用戶進行認(rèn)證和計費，用戶上網(wǎng)時無需輸入用戶名和密碼。

在企業(yè)辦公網(wǎng)場景中最常用到的就是802.1X認(rèn)證和Portal認(rèn)證。本文將對802.1X認(rèn)證技術(shù)和Portal認(rèn)證技術(shù)進行詳細(xì)講解。

802.1X認(rèn)證技術(shù)詳解

802.1X認(rèn)證系統(tǒng)構(gòu)成

如圖1所示，802.1X認(rèn)證系統(tǒng)由懇請者、認(rèn)證者、認(rèn)證服務(wù)器三個角色構(gòu)成。在實際應(yīng)用中，三者分別對應(yīng)為：客戶端（Client）、網(wǎng)絡(luò)接入控制設(shè)備(Network Access Server，NAS)、RADIUS Server。

▲圖1：802.1X認(rèn)證系統(tǒng)構(gòu)成

? 懇請者

懇請者是客戶端所扮演的角色；
它請求對網(wǎng)絡(luò)的訪問，并對認(rèn)證者的請求報文進行應(yīng)答；
懇請者必須運行符合802.1X客戶端標(biāo)準(zhǔn)的軟件（目前各操作系統(tǒng)均已集成支持）。

? 認(rèn)證者

認(rèn)證者在客戶端與認(rèn)證服務(wù)器之間，一般是交換機、AP等接入設(shè)備；

認(rèn)證者設(shè)備也稱為NAS，它要負(fù)責(zé)把從客戶端收到的認(rèn)證信息封裝成RADIUS格式的報文并轉(zhuǎn)發(fā)給RADIUS Server，同時要把從RADIUS Server收到的信息進行解析后轉(zhuǎn)發(fā)給客戶端；

認(rèn)證者設(shè)備有兩種類型的端口：受控端口（Controlled Port）和非受控端口（Uncontrolled Port）：

? 連接在受控端口的用戶只有通過認(rèn)證才能訪問網(wǎng)絡(luò)資源；

? 連接在非受控端口的用戶無須經(jīng)過認(rèn)證便可以直接訪問網(wǎng)絡(luò)資源。非受控端口主要是用來連接認(rèn)證服務(wù)器，以便保證服務(wù)器與設(shè)備的正常通訊。

? 認(rèn)證服務(wù)器

認(rèn)證服務(wù)器通常為RADIUS服務(wù)器，和認(rèn)證者配合完成認(rèn)證；

認(rèn)證服務(wù)器保存了用戶名和密碼，以及相應(yīng)的授權(quán)信息；

一臺服務(wù)器可以對多臺認(rèn)證者提供認(rèn)證服務(wù)，這樣就可以實現(xiàn)對用戶的集中管理。

802.1X認(rèn)證狀態(tài)機

認(rèn)證通過前（非授權(quán)狀態(tài)）

▲圖2：認(rèn)證通過前的端口狀態(tài)

如圖2，端口未認(rèn)證，受控端口開路，只允許EAPOL（Extensible Authentication Protocol over LAN）報文和廣播報文（DHCP,ARP）通過端口，不允許其它業(yè)務(wù)流通過。

? 認(rèn)證通過后（授權(quán)狀態(tài)）

▲圖3：認(rèn)證通過后的端口狀態(tài)

如圖3，認(rèn)證通過后，受控端口閉合，用戶的業(yè)務(wù)流可以順利通過。

? 認(rèn)證狀態(tài)的保持

認(rèn)證者可以定時要求客戶端重新認(rèn)證，時間可配置，重新認(rèn)證的過程對用戶是無感知的，即用戶不需要重新輸入密碼。

? 下線方式

1) 物理端口Down——拔插網(wǎng)線、關(guān)機、斷開Wi-Fi等；

2) 重新認(rèn)證不通過或超時；

3) 用戶主動下線；

4) 網(wǎng)管強制下線。

802.1X認(rèn)證基礎(chǔ)協(xié)議

▲圖4：設(shè)備間的報文交互

如圖4，客戶端和認(rèn)證者之間用EAPoL格式封裝EAP協(xié)議傳送認(rèn)證信息；認(rèn)證者與認(rèn)證服務(wù)器之間通過RADIUS協(xié)議傳送信息。

? EAPoL協(xié)議

802.1x協(xié)議定義了一種報文封裝格式，這種報文稱為EAPoL（EAP over LANs局域網(wǎng)上的擴展認(rèn)證協(xié)議）報文，主要用于在客戶端和認(rèn)證系統(tǒng)之間傳送EAP協(xié)議報文，以允許EAP協(xié)議報文在LAN上傳送。

▲圖5：EAPoL報文格式

EAPoL報文格式如圖5，下面將對報文各字段進行解釋：

● PAE（Port Access Entity）Ethernet Type：2字節(jié)，表示協(xié)議類型，為0x888E；

● Protocol Version：1字節(jié)，表示EAPOL幀的發(fā)送方所支持的協(xié)議版本號；

● Type：1字節(jié)，表示EAPoL數(shù)據(jù)幀類型，具體類型如圖6所示；

▲圖6：EAPoL數(shù)據(jù)幀類型

● Length：2字節(jié)，表示數(shù)據(jù)長度，也就是“Packet Body”字段的長度，單位為字節(jié)。如果為0，則表示沒有后面的數(shù)據(jù)域；

? EAPoL-Start和EAPoL-Logoff報文的Length值都為0

● Packet Body：表示數(shù)據(jù)內(nèi)容，根據(jù)不同的Type有不同的格式。

? EAP協(xié)議

當(dāng)EAPoL數(shù)據(jù)幀格式Type域為EAP-Packet時，Packet Body為EAP數(shù)據(jù)報文。

▲圖7：EAP報文格式

EAP報文格式如圖7，下面將對報文各字段進行解釋：

●Code：一個字節(jié)，指明EAP包的類型，共有4種，定義如下：

1——–Request

2——–Response

3——–Success

4——–Failure

由于該字段值只定義了1到4，如果EAP報文的該字段為其它值，則應(yīng)被認(rèn)證者和客戶端丟棄；

● Identifier：一個字節(jié)，用于應(yīng)答報文和請求報文之間進行匹配；

● Length：兩個字節(jié)，EAP包的長度，包含Code、Identifier、Length和Data域，單位為字節(jié)；

● Data：EAP數(shù)據(jù)包內(nèi)容，長度為零個或多個字節(jié)，由Code類型決定。Request和Response類型報文的Data域格式如圖8所示：

▲圖8：Request/Response Data域格式

Type：1個字節(jié)，標(biāo)識EAP的認(rèn)證類型，Type字段目前定義的值及其簡要說明如下：

? Type＝1 —-Identifier（用來詢問對端的身份）

? Type＝2 —-Notification（非必須的一個消息，傳送一些警告消息，比如提示密碼將要超期、OTP的順序號碼接近零以及認(rèn)證失敗的警告等）

? Type＝3 —-Nak (Response Only)（Request報文中的認(rèn)證類型不可接受時回復(fù)該類型的報文）

? Type＝4 —-MD5-Challenge（類似于CHAP中的MD5-Challenge，使用MD5算法）

? Type＝5 —-One-Time Password (OTP，一種密碼交互的方式）

? Type＝6 —-Generic Token Card（通用令牌卡類型，適用于各種需要用戶輸入信息的令牌卡的實現(xiàn)）

? Type＝254 —-Expanded Types（供廠商支持自己的擴展類型）

Type＝255 —-Experimental use（在實驗新的類型時使用）

Type Data：該字段的內(nèi)容由Type字段的值決定。

? RADIUS協(xié)議

RADIUS是AAA(Authentication、Authorization、Accounting)協(xié)議的一個實現(xiàn)，RADIUS協(xié)議規(guī)定了NAS與RADIUS服務(wù)器之間如何傳遞用戶信息和記賬信息，RADIUS服務(wù)器負(fù)責(zé)接收用戶的連接請求，完成驗證，并把傳遞服務(wù)給用戶所需的配置信息返回給NAS。

▲圖9：RADIUS報文格式

RADIUS報文格式如圖9，下面將對報文各字段進行解釋：

● Code：代指數(shù)據(jù)包的編號，標(biāo)識了該數(shù)據(jù)包是什么類型的，如果是未知類型的數(shù)據(jù)包就會被默認(rèn)丟棄，目前大致有以下幾種常用編號：

1—-Access-Request（接入請求，認(rèn)證用）

2—-Access-Accept （同意接入，認(rèn)證用）

3—-Access-Reject （拒絕接入，認(rèn)證用）

4—-Accounting-Request（計費請求，計費用）

5—-Accounting-Response （計費響應(yīng)，計費用）

11—-Access-Challenge （接入挑戰(zhàn)，認(rèn)證用）

● Identifier：RADIUS報文標(biāo)識；

● Length：RADIUS報文長度；

● Authenticator：用于RADIUS Client 和Server之間消息認(rèn)證的有效性，和密碼隱藏算法。

? 在Access-Request數(shù)據(jù)包中，Authenticator的值是16字節(jié)隨機數(shù)，被稱為請求認(rèn)證器，認(rèn)證字的值要不能被預(yù)測并且在一個共享密鑰的生命期內(nèi)唯一；

? 在Access-Accept、Access-Reject和Access-Challenge數(shù)據(jù)包中的Authenticator被稱為響應(yīng)認(rèn)證器，值定義為MD5(Code ID Length RequestAuth Attributes Secret)。

● Attributes：存儲用戶的信息，如用戶名，IP地址等。

802.1X認(rèn)證流程詳解

802.1X認(rèn)證過程如圖10：

▲圖10：802.1X認(rèn)證過程

1. 當(dāng)用戶訪問網(wǎng)絡(luò)時打開（Windows自帶客戶端可自動打開）802.1x客戶端程序，根據(jù)提示輸入已經(jīng)在RADIUS服務(wù)器中創(chuàng)建的用戶名和密碼，發(fā)起連接請求，此時，客戶端程序?qū)⑾蛟O(shè)備端發(fā)出認(rèn)證請求幀（EAPoL-Start），啟動認(rèn)證過程；

2. NAS收到該報文后，發(fā)送一個EAP-Request報文響應(yīng)客戶端的認(rèn)證請求，要求用戶提供用戶名信息；

3. 客戶端收到EAP-Request之后響應(yīng)一個EAP-Response報文，將用戶名封裝在EAP報文中發(fā)給NAS；

4. NAS將客戶端送來的EAP-Request報文與自己的設(shè)備IP、端口等相關(guān)信息一起封裝在RADIUS Access-Request報文中發(fā)給認(rèn)證服務(wù)；

5. 認(rèn)證服務(wù)器收到RADIUS Access-Request報文后進行驗證，如果該用戶的相關(guān)信息有效，則對該用戶發(fā)起一次認(rèn)證挑戰(zhàn)（RADIUS Access-Challenge），要求用戶提供密碼；

6. NAS收到這條RADIUS Access-Challenge報文后，將挑戰(zhàn)請求用EAP-Challenge Request轉(zhuǎn)發(fā)給客戶端；

7. 客戶端接到挑戰(zhàn)請求后，將用戶密碼進行MD5加密處理，并封裝在EAP-Challenge Response中返回給NAS；

8. NAS將用戶的EAP-Challenge Response封裝為RADIUS Access-Request報文轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器；

9. 認(rèn)證服務(wù)器對用戶的密碼進行驗證，如果驗證失敗，服務(wù)器將返回一條RADIUS Access-Reject報文，拒絕用戶的認(rèn)證請求；如果驗證通過，則發(fā)送一條RADIUS Access-Accept報文給交換機；

10. NAS在接到認(rèn)證服務(wù)器發(fā)來的RADIUS Access-Accept之后，解除對客戶端的訪問控制，同時發(fā)送一條EAP-Success報文給客戶端通知其認(rèn)證已經(jīng)成功；

11. NAS向認(rèn)證服務(wù)器發(fā)送一條RADIUS Accounting-Request（Start）報文，申請對該用戶進行記賬；

12. 認(rèn)證服務(wù)器接到請求后開始記賬，并向NAS返回一條RADIUS Accounting-Response報文，告知記賬操作已經(jīng)開始；

13. 用戶下線時，客戶端向NAS發(fā)送一條EAPoL-Logoff報文，申請下線；

14. NAS向認(rèn)證服務(wù)器發(fā)送RADIUS Accounting-Request（Stop）請求，申請對該用戶停止記賬；

15. 認(rèn)證服務(wù)器收到請求后停止記賬，同時響應(yīng)一條RADIUS Accounting-Response報文；

16. NAS發(fā)送一條EAPoL Failure消息給客戶端提示下線成功，并打開對該用戶的訪問控制。

Portal認(rèn)證技術(shù)詳解

Portal認(rèn)證，以其輕量、易部署等特點，受到很多企業(yè)用戶的歡迎。Portal認(rèn)證業(yè)務(wù)可以為管理者提供方便的管理功能，如要求所有用戶在門戶網(wǎng)站進行認(rèn)證，門戶網(wǎng)站可以開展企業(yè)個性化信息推廣業(yè)務(wù)等，為信息傳播提供一個良好的載體。

Portal認(rèn)證系統(tǒng)構(gòu)成

▲圖11：Portal認(rèn)證系統(tǒng)

? Client

認(rèn)證客戶端，通常是一個瀏覽器，運行HTTP協(xié)議，用戶通過瀏覽器上網(wǎng)時瀏覽器將發(fā)出HTTP請求。

? NAS

在網(wǎng)絡(luò)拓?fù)渲幸话闶墙尤雽釉O(shè)備，和用戶終端設(shè)備直接相連；
在NAS上需要啟動Portal認(rèn)證功能，NAS接收Portal Server發(fā)過來的用戶認(rèn)證信息，并向RADIUS Server發(fā)起認(rèn)證請求，根據(jù)認(rèn)證結(jié)果設(shè)置用戶是否可以上網(wǎng)，同時向Portal Server反饋認(rèn)證結(jié)果。

? Portal 服務(wù)器

提供Portal認(rèn)證頁面，和NAS交互認(rèn)證客戶端的認(rèn)證信息；
Portal 服務(wù)器向客戶端推送認(rèn)證頁面，用戶在認(rèn)證頁面上填入帳號、密碼等信息，提交到Portal服務(wù)器，Portal服務(wù)器提取其中的賬號信息，并將此信息發(fā)送到NAS，同時根據(jù)NAS反饋的認(rèn)證結(jié)果，通過頁面反饋給用戶；
Portal服務(wù)器可分為內(nèi)置Portal服務(wù)器和外置Portal服務(wù)器兩種。

? 通常交換機/AC會內(nèi)置Portal服務(wù)器。受限于接入設(shè)備存儲空間、功能和性能，內(nèi)置Portal服務(wù)器只適合功能簡單、接入人數(shù)少的場景；

? 如果需要實現(xiàn)微信接入、短信接入等復(fù)雜的功能，考慮到接入設(shè)備性能和認(rèn)證體驗，需要具有獨立于接入設(shè)備之外的硬件服務(wù)器來承載Portal認(rèn)證業(yè)務(wù)。

? RADIUS服務(wù)器

與NAS進行交互，提供基于RADIUS協(xié)議的用戶認(rèn)證，從而完成對用戶的認(rèn)證、計費和授權(quán)。

Portal認(rèn)證狀態(tài)機

? 認(rèn)證通過前

客戶端通過手動配置或DHCP獲取的一個公網(wǎng)IP進行認(rèn)證，通過認(rèn)證前用戶的所有HTTP請求都重定向（利用的是HTTP協(xié)議中的302報文的特性）到Portal服務(wù)器。

? 認(rèn)證通過后

接入設(shè)備會打開端口，允許用戶訪問被管理員授權(quán)的互聯(lián)網(wǎng)資源。

? 認(rèn)證狀態(tài)的保持

客戶端和Portal 服務(wù)器定時發(fā)送心跳報文交互，對于客戶端來說，4個心跳報文沒有收到答復(fù)，就認(rèn)為自己已經(jīng)下線，重新發(fā)起認(rèn)證；對于Portal服務(wù)器，在指定的時間內(nèi)沒有收到心跳報文，就認(rèn)為用戶下線，并通知接入設(shè)備將用戶下線。但在實際應(yīng)用中，以銳捷的交換機（交換機做NAS）為例，如果在一定時間內(nèi)沒有收到流量即認(rèn)為用戶下線。

? 下線方式

1) 物理端口Down——拔插網(wǎng)線、關(guān)機、斷開Wi-Fi等；

2) 重新認(rèn)證不通過或超時；

3) 用戶主動下線；

4) 網(wǎng)管強制下線。

Portal認(rèn)證基礎(chǔ)協(xié)議

? Portal協(xié)議

Portal協(xié)議是一種私有協(xié)議，承載于TCP上。Portal協(xié)議目前有兩個版本：Portal v1.0和Portal v2.0，v2.0協(xié)議是對原有v1.0協(xié)議存在的漏洞和不合理處進行部分完善：

1. 修改了報文格式，在AttrNum字段之后增加了16個字節(jié)的Authenticator字段；

2. 增加對所有協(xié)議報文的校驗，包括上線流程、下線流程和查詢流程；

3. 修改了TextInfo屬性，使其完全符合TLV【Tag（標(biāo)簽），Length（長度），Value（值）】格式。

若v1.0與v2.0有沖突的地方，目前均以v2.0版本為準(zhǔn)。

▲圖12：Portal報文格式

Portal報文如圖12，下面將對各字段進行解釋：

● Ver：協(xié)議的版本號，長度為 1 字節(jié)，Ver = 0x01或0x02；

● Type：定義報文的類型，長度為 1 字節(jié)；

● Pap/Chap ：Pap/Chap字段定義此用戶的認(rèn)證方式，長度為 1 字節(jié)，只對Type值為 0x03 的認(rèn)證請求報文有意義：

? Chap方式認(rèn)證－－－值為0x00

? Pap 方式認(rèn)證－－－值為0x01

● Rsv：Rsv目前為保留字段，長度為 1 字節(jié)，在所有報文中值為 0；

● SerialNo：報文的序列號，長度為 2 字節(jié)，由PortalServer隨機生成，該字段作用主要用于區(qū)別同類型但不同認(rèn)證流程中的報文；

● ReqID：2個字節(jié)，由認(rèn)證設(shè)備隨機生成，該字段作用主要用于區(qū)別同類型但不同認(rèn)證流程中的報文，該字段對于PAP認(rèn)證無意義，在Chap認(rèn)證中，該字段低8位作為Chap_Password 生成過程中MD5函數(shù)的輸入；

● UserIP：Portal用戶的IP地址，長度為 4 字節(jié)，其值由PortalServer根據(jù)其獲得的IP地址填寫，在所有的報文中此字段都要有具體的值；

● UserPort：該字段目前沒有用到，長度為 2 字節(jié)，在所有報文中其值為0；

● ErrCode：該字段和Type字段一起表示一定的意義，長度為 1字節(jié)，各組合意義如下表：

▲表1： ErrCode值表
說明：其中type類型為9、10的兩個報文其ErrCode的定義為v2.0新增定義。

● AttrNum：表示其后邊可變長度的屬性字段屬性的個數(shù)，長度為 1 字節(jié)，即最多可攜帶屬性255個屬性。

Portal認(rèn)證流程詳解

Portal認(rèn)證流程如下：

▲圖13：Portal認(rèn)證流程

1. 用戶通過標(biāo)準(zhǔn)的DHCP協(xié)議獲取到規(guī)劃的IP地址；

2. 用戶打開IE，訪問某個網(wǎng)站，發(fā)起HTTP請求；

3. NAS截獲用戶的HTTP請求，由于用戶沒有認(rèn)證過，就強制到Portal服務(wù)器；

4. Portal服務(wù)器向用戶終端推送Web認(rèn)證頁面；

5. 用戶在認(rèn)證頁面上填入帳號、密碼等信息，提交到Portal服務(wù)器；

6. Portal服務(wù)器將接收到的用戶認(rèn)證信息發(fā)給NAS；

7. NAS向RADIUS服務(wù)器發(fā)起RADIUS認(rèn)證；

8. RADIUS服務(wù)器根據(jù)用戶信息判斷用戶是否合法,向NAS返回認(rèn)證結(jié)果報文；

9. NAS返回認(rèn)證結(jié)果給Portal服務(wù)器；

10. Portal服務(wù)器根據(jù)認(rèn)證結(jié)果，推送認(rèn)證結(jié)果頁面；

11. Portal服務(wù)器回應(yīng)NAS收到認(rèn)證結(jié)果報文,如果認(rèn)證失敗，則流程到此結(jié)束；

12. 認(rèn)證如果成功，NAS發(fā)起計費開始請求給RADIUS服務(wù)器；

13. RADIUS服務(wù)器回應(yīng)計費開始響應(yīng)報文，并將響應(yīng)信息返回給NAS,用戶上線完畢，開始上網(wǎng)；

14. 在用戶上網(wǎng)過程中，為了保護用戶計費信息，每隔一段時間NAS就向RADIUS服務(wù)器發(fā)送記賬更新報文；

15. RADIUS服務(wù)器回應(yīng)實時計費確認(rèn)報文給NAS。

總 結(jié)

本文對802.1X 和Portal 認(rèn)證進行了工作原理和認(rèn)證流程的詳細(xì)闡述。簡單的說，802.1X認(rèn)證的最終目的，就是確定一個端口（物理端口或Wi-Fi連接）是否能被放通，從而實現(xiàn)對接入實體的管控。對于一個端口，如果認(rèn)證成功就打開這個端口，并提供網(wǎng)絡(luò)服務(wù)；如果認(rèn)證失敗就使這個端口保持關(guān)閉，不提供網(wǎng)絡(luò)服務(wù)。Portal認(rèn)證的本質(zhì)其實和802.1X一樣，都是基于認(rèn)證結(jié)果判斷接口是否可用。相對于802.1X認(rèn)證來說，Portal更輕量化，無需安裝客戶端軟件，瀏覽器即可完成認(rèn)證。同時，由于Portal服務(wù)器和用戶瀏覽器有頁面交互，用戶可以根據(jù)實際需求對認(rèn)證頁面進行定制，將認(rèn)證主頁建設(shè)為企業(yè)網(wǎng)內(nèi)部員工信息發(fā)布平臺。

值得注意的是，現(xiàn)在很多認(rèn)證方案都是基于這兩種認(rèn)證的，比如雙因子認(rèn)證（用戶名密碼 短信驗證碼）、無感知認(rèn)證（802.1X MAC或Portal MAC）、證書認(rèn)證（802.1X 證書或Portal 證書）、OTP認(rèn)證（802.1X 隨機驗證碼或Portal 隨機驗證碼）等。此外，還能通過認(rèn)證獲得不同的訪問權(quán)限。我們可以根據(jù)實際需求應(yīng)用不同的認(rèn)證方案，關(guān)于這些擴展技術(shù)方案的實現(xiàn)方式，我們將會在后續(xù)的文章中和大家分享。