【精品】嵌入式8021x协议在WLAN接入认证中的应用研究.doc

【精品】嵌入式8021x协议在WLAN接入认证中的应用研究 南京航空航天大学硕士学位论文嵌入式802.1x协议在WLAN接入认证中的应用研究姓名?陈伟申请学位级别?硕士专业?计算机应用技术指导教师?丁秋林xx0101南京航空航天大学硕士学位论文i摘要随着信息技术的快速发展?网络应用已经在全球得以推广。 无线局域网结合了无线通信技术和计算机网络的优势?实现在一定范围内的无线网络通信。 对于无线局域网?安全是一个非常重要的课题。 同时由于无线局域网发展迅速?各种协议和标准也在不断完善中?对无线局域网安全问题的探讨将会一直持续下去。 本文的研究主要针对无线局域网的接入认证过程。 首先分析了无线局域网安全处理方法中的缺陷和不足?采用接入认证机制来提高它的安全性。 比较了现有主要接入认证技术?选用较完善的802.1x作为接入认证框架。 提出嵌入式认证系统的体系结构?该嵌入式认证系统采用ARM芯片作为硬件平台?类L i n ux的嵌入式操作系统u cL i n ux为软件平台?在该平台上实现了基于802.1x协议框架的EAP扩展认证协议。 另外?为了进一步提高WL AN的安全?采用I P+MAC的地址过滤机制来实现系统对端口的控制?用单向加密算法加密传送用户密码。 同时?为了提高授权信息的检索效率?本文采用了缓存机制。 采用本文提出的设计方案的嵌入式认证系统能够避免主要的安全威胁?有效的保护了WL AN的安全。 关键词?无线局域网?接入认证?802.1x协议?ARM嵌入式?EAP嵌入式802.1x协议在WLAN接入认证中的应用研究iiABSTRACT Withthe rapid development of the puter technology,work applicationis beingwidely appliedto dailylife.The wireless LAN uses the advantages of bothwireless munication technology andwork to carry outthe wirelessmunication withwork in a certain distance.For wirelesswork,the securityis veryimportant.WLAN is in theperiod ofrapid development,many standardsand protocolsare beingimproved to enhance securities.The discussionof the security onWLAN willbe on.The paperresearch the aess authenticationprocedure of the WLAN.At thebeginning ofthe paper,the deficiencyofthe WLANs basicsecurity policyis analyzed?so theaess authenticationis proposedtoenhanceits security.Several present aess authentication technologies arepared,the802.1x is selected toact as the authentication protocol frameworkbecause it is consideredto bebetter.Then theembedded authentication system isput forward.This systemuse theARM as the hardwareplatform andthe ucLinuxas theoperation system,the extendauthenticationprotocolbased on802.1x is implemented on this environment.In addition,to advance theWLANs security,the IP+MAC datafiltrate method is introducedto controlthe port;the encryption technologies areadopted toprotect theusers password.Meanwhile,cache mechanismis broughtforward toimprove thequery efficiencyon theauthentication information.The analysisindicates that embedded authentication system canprotect theWLAN frommain safetythreats effectively.Key words:WLAN,Aess Authentication,802.1x protocol,Embedded ARM?EAP承诺书本人郑重声明?所呈交的学位论文?是本人在导师指导下?独立进行研究工作所取得的成果。 尽我所知?除文中已经注明引用的内容外?本学位论文的研究成果不包含任何他人享有著作权的内容。 对本论文所涉及的研究工作做出贡献的其他个人和集体?均已在文中以明确方式标明。 本人授权南京航空航天大学可以有权保留送交论文的复印件?允许论文被查阅和借阅,可以将学位论文的全部或部分内容编入有关数据库进行检索?可以采用影印、缩印或其他复制手段保存论文。 但是?网络信息的获取离不开快捷的网络接入手段?特别是移动信息处理设备的不断发展?要求有全新的网络接入概念“I n te r ne t无线接入”。 目前普遍看好的无线接入技术是3G?而3G对于数据通信有着先天不足?首先是建设周期长?投资大?不能立即满足用户的需求1。 我国目前还没有建设商用的3G网络?也没有I SP拿到3G牌照。 其次?3G网络接入速率不理想。 鉴于无线接入技术目前发展现状和将来的发展趋势?无线局域网?WL AN?无疑是一个理想的选择。 WL AN技术在运营优势?降低资金和运营成本?具有很大特点。 建筑物联网的成本大幅度降低。 可以根据组织需求来调整网络?甚至每天调整?使之满足不同层次的需求?在给定位置部署高集中度无线访问点(AP)要比增加有限的网络端口数容易得多。 构建基础结构再也不需要考虑资金?您可以轻松地将无线网络基础结构移动到新的建筑物?相反?密布的有线线路是固定的?不易调整。 无线局域网具有传输速率高、组网容易、成本相对低等优点?最初是设计用作有线局域网的延伸和补充的?因此不具备可运营接入网所必须的一些机制?如安全和方便的计费体系?针对这些情况提出了一些相应的解决措施?比如802.1x认证方案。 802.1x协议是由(美)电气与电子工程师协会?I EEE?提出?已经完成标准化的一个符合I EEE802协议集的局域网接入控制协议?其全称为基于端口的访问控制协议2。 它能够在利用I EEE802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段?达到了接受合法用户接入?同时保护网络安全的目的。 802.1x认证是一个完整的接入认证框架?引入了PPP协议定义的扩展认证协议EAP(Ex tensib leAu th en ti ca ti onPr otocol)。 众所周知?传统的PPP协议都采用PAP/CHAP或Mi crosoft的MS-CHAP认证方式3?他们都是基于用户名/口令或Ch al len ge/Re sp ons e?对口令加密?方式?嵌入式802.1x协议在WLAN接入认证中的应用研究2而作为扩展认证协议?EAP可以采用更多的认证机制?比如MD 5、一次性口令、智能卡、公共密钥等等?从而获得更高级别的安全。 实际上802.1x的认证层次包括两方面?客户端到802.1x认证端?认证端到认证服务器。 802.1x定义客户端到认证端采用EAP ov e rL AN协议?认证端到认证服务器采用EAP ov er RADI US协议。 以上分析可以看出?采用802.1x作为WL AN接入认证机制是一个较好的方案。 1.2研究背景I EEE802.11B提供了两种手段来保证WL AN的安全45。 一种是服务配置标志符?SSI D?另外一种是有线等效保密协议?WEP协议?。 但是这两种方式有自身的缺陷?在安全方面非常脆弱。 服务配置标识符?SSI D?的方式中?无线客户端如果得到无线接入点?AP?的SSI D?就获得了网络的访问权。 这是服务配置标识符的缺陷。 xx年?A.stu bb ledf ie ld?J.I on ni dlis和A.D.Ru bin发表“Us ingth e Fl uh rer,Ma n tin,a nd Sha mir Att ac ktoBr ea kWEP”6?该文中分析了WEP协议的缺陷。 在使用WEP协议的方式中?在链路层采用RC4对称加密技术?用户的密钥必须与AP的密钥相同时才能获准访问网络的资源?从而防止非授权用户的监听以及非法用户的访问。 WEP协议采用的RC4是一种对称的加密。 属于同一802.11的设备?包括无线网卡、无线接入点AP?被设置成拥有同一个共享密钥?这个密钥在实际中就是一个密码或者是密码产生的。 生成密钥流的RC4算法本身存在弱密钥性。 所谓弱密钥?就是密钥和输出之间存在超出一定的相关性。 攻击者受到足够多的加密包以后?就可以对它们进行分析?只需尝试很少的密钥就可以将密钥破解。 除了明显的优点外?WL AN的安全缺陷可能会严重影响效果。 不幸的是?安全问题时常出现。 很多最新部署的WL AN根本没有采用安全措施。 其中大部分使用的WL AN硬件是基于所谓“第一代”的无线安全标准。 更严重的是?很多WL AN制造商的实施方案本身就是根据比较脆弱的标准?进而带来很多缺陷。 现有WL AN标准?电气和电子工程师协会(I EEE)802.11标准?的最初版本并未给安全设计带来任何改善。 原因在于?美国政府限制性的控制策略不重视强加密?安全不是热点问题?采纳无线技术也尚南京航空航天大学硕士学位论文3未成熟4。 因此?按照今天的标准?802.11安全功能的不充分不足为奇。 802.11的主要安全威胁是?1)偷听传输的数据?可能导致机密数据泄漏、曝光未保护的用户凭据、身份被盗用等。 它还允许有经验的恶意用户收集您的I T系统相关信息?然后利用这些信息攻击其他情况下不易遭到攻击的系统或数据。 2)中途截获或修改传输数据?如果攻击者可访问网络?他可插入恶意计算机来中途截获、修改或延迟两个合法方的通信。 3)哄骗?现有网络访问允许恶意用户使用在网络外同样有效的方法来发送表面上似乎合法用户的数据?例如?哄骗的电子邮件消息?。 人们?包括系统管理员?一般都倾向于相信这是网内的用户?而不愿相信它公司网络以外。 4)下载?入侵者最邪恶的举动是利用您的网络作为自己访问In ter 的自由访问点。 这虽不像其他威胁那么有杀伤力?但至少会降低合法用户的可用服务等级。 5)拒绝服务(Do S)?别有用心的恶意用户有多种选择。 无线电级信号干扰可通过简单的技术?如微波炉?发出。 复杂的攻击多是针对低层无线协议本身?不很复杂的攻击则通过向WL AN发送大量的随机数据而使网络堵塞。 WL AN的安全缺陷已经极大的阻碍了无线局域网的发展。 为此?三年前?I EEE出台了802.1x标准。 802.1x协议起源于802.11协议?后者是标准的无线局域网协议?802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题6。 xx年?J ae-Wo oL ee在Se cu r i ty Agen t Model Using In ter activeAu th en ti ca ti on Da t ab as e7中?提出建立一个交互认证代理模型?这个代理增加了基于用户I D和密码的交互认证过程来保证客户的安全。 在用户请求一个信息处理过程之前?首先发送一个从认证数据库获取的认证字(Au th en ti ca ti on Key)。 代理系统要求用户出示认证字以便识别授权用户。 认证系统可以使用两个密码来提供更高级的安全保护?一个是用户自己的密码?另外一个是认证字。 当用户第一次获取权限后?认证字就存在用户数据库中?以后用户请求一个事务时?认证数据库都要透明地获取这个认证字。 代理可以修改这个认证数据库?如果非授权用户使用认证字请求事务?代理能够检测这种入侵?因为可以通过存储的认证密码来判断。 该文章提出了建立认证数据库?以实嵌入式802.1x协议在WLAN接入认证中的应用研究4现授权的统一管理。 本文提出的嵌入式认证系统参考了这一模型。 目前?国内对嵌入式认证系统的研究处于初级阶段。 xx年?彭伟在文献8中在主机上模拟实现了802.1x的部分功能?同年?吉建峰在文献9仅仅从理论上分析了802.1x在无线局域网接入认证中的研究?都没有在嵌入式设备上讨论如何实现一个基于802.1x协议的认证系统?本文提出嵌入式认证系统EAS?Emb eddedAu th en ti ca ti on System?的体系结构?该系统在ARM芯片上实现?ucL in ux为嵌入式操作系统平台?在该平台上讨论如何实现了802.1x接入认证协议。 另外?对于EAS的安全弱点?本文也给出了相应的解决方案。 1.3课题本文以南京远洋船舶信息集成系统为课题。 现代船舶管理概念在国外已有多年历史?它是顺应船舶航运企业对管理的需求逐步形成的一套行之有效的管理思想?模式和方法?该信息集成系统主要的设计思路是依照现代船舶管理思想?结合本项目用户的基本情况和具体要求?运用先进的计算机?网络?数据库?船岸通信等现代信息技术实现船舶机务管理、航运生产管理和船员管理。 在该信息集成系统的实施过程中?船、岸信息交互是一个难点问题?每条船相当于一个移动的用户终端?不可能和岸上的信息中心保持有线连接?岸上信息中心在接收到于移动终端的联网请求时?必须判断这个移动终端是否是合法的用户。 这需要岸上信息中心的接入点有认证功能?以防止非法用户进入网络?相应的?船上的移动终端也要对岸上的无线接入点?AP?认证?防止假冒AP从终端获取机密信息。 本文针对这个问题设计了嵌入式认证系统EAS?在ARM嵌入式系统上实现802.1x认证协议?以解决船、岸信息交互的安全问题。 同时?这种WL AN接入管理模式对于其他领域的WL AN管理同样有非常好的参考价值。 1.4论文结构论文结构如下?第一章?绪论?无线局域网安全现状和课题背景、意义?以及论文的主要内容和结构。 第二章?重点介绍了当前主要接入认证技术?详细介绍了802.1x南京航空航天大学硕士学位论文5认证协议框架的工作机制、认证过程和技术优势。 第三章?EAS系统的总体设计?包括拓扑结构的描述和模块的划分?对于信息的安全传送?对比了几种常用的解决方案?并为EAS选择了合适的策略?最后对EAS系统的安全性进行分析。 第四章?阐述在嵌入式设备上如何实现EAS?设计了EAS的工作流程?提出了基于地址的数据过滤引擎?最后给出授权信息的管理机制。 第五章?是802.1x协议实现的主体?主要工作为划分协议的功能模块及各模块主要功能函数?根据标准EAP协议包格式?定义了EAS系统中的协议包格式及主要数据结构。 第六章?对EAS系统的测试及分析。 第七章?总结与展望?对本文作者所做的工作进行总结?对今后的工作提出了自己的设想。 最后是致谢和参考文献。 嵌入式802.1x协议在WLAN接入认证中的应用研究6第二章现有主要接入认证技术2.1接入认证概述认证统称为AAA认证?即?Au th en ti ca ti on鉴别?Au th o r iz a ti on授权?Ac co u n ting记帐。 认证的主要作用在于控制用户接入?区分用户?为用户服务提供依据10。 三个功能分别为?1)认证(Au th enti ca ti on)?验证用户的身份与可使用的网络服务?2)授权(Au th o r iz a ti on)?依据认证结果开放网络服务给用户?3)计帐(Ao unting)?记录用户对各种网络服务的用量?并提供给计费系统。 如果没有实现合理的3A接入控制?宽带网络只能提供基于端口、包月制的资费方案?如果没有基于用户身份的认证?也很难建立增值服务的发展空间。 因此随着业务竞争越趋激烈?3A接入控制已成为宽带运营商的首要之务。 目前在数据接入运营领域?主要有几种基于用户的接入认证方式?分别是MAC/VL AN、PPPo E、802.1x、WEB/VL AN、WEB/I P。 下面分别对这几种方式进行对比。 2.2MAC/VLAN接入认证MAC/VL AN是通过用户的MAC地址或VL ANI D来确认用户身份?属于最早期的宽带认证技术。 MAC/VL AN的认证不需要客户端软件?也不需要用户输入口令及代号?对用户非常友好。 但是由于MAC/VL AN不存在用户登录的认证过程?因此无法计算时长?只能支持包月制的资费方案?同时在推动增值服务时也存在着很大的计费争议?因此本文中不再讨论。 2.3PPPoE接入认证PPPo E通常与AT MRo uter结合成为Br oa db a ndRAS?后来开始有厂家在BRAS上提供GB或F E的端口?以支持基于以太网络的宽带接入。 南京航空航天大学硕士学位论文7PPPo E要求在客户端设置PPPo E客户端软件?从接入认证角度来看?PPPo E与大家熟悉的窄带拨入相同?都是在客户端起一个PPP联机?以拨号方式拨入PPPo E服务器31。 虽然PPPo E技术普遍应用在ADSL接入认证?但是在以太网络上却面临了许多问题?1)网络规划问题在客户端进行拨号时?首先会发出广播包以找寻PPPo E服务器?待收到响应后即建立PPP连接?因此PPPo E服务器与客户端必须存在一个二层网络。 这在ADSL不成问题?因为每个客户端与PPPo E服务器间都存在一个单独的PVC电路。 但是在以太网路上?PPPo E服务器却需要与成千上万名客户端在同一个二层网络?而二层网络越大管理越困难?问题也越多。 如果每个小区甚至楼宇就使用一个三层网络?却又存在PPPo E服务器的成本与管理问题。 2)封包分割问题通常路由器或客户端的MT U都是设定成1500By te?由于PPPo E在将I P封包封装在一个Et h er Frame内?因此封包的Pa yl oa d就只剩下1492By te?碰上大小为1500By te的封包时?就必需将封包分割。 根据实际应用的数据显示?封包分割会对路由器及客户端的I P封包传输造成50%以上的额外压力。 3)客户端CPU负载问题由于PPPo E对每一个I P封包都要封装在Eth er Frame内?因此网络流量越大?耗用客户端的CPU效能就越多。 因此对需要高带宽的多媒体应用非常不利。 4)客户支持问题PPPo E技术的另一个问题是客户端必需要有专用软件?不论在安装、设定及升级上都比较复杂?客服成本非常昂贵。 虽然这不算一个技术上的问题?但是在实施上却有可能造成很大的困扰。 2.4WEB/VLAN接入认证WEB/VL AN技术是从MAC/VL AN改良而来的接入控制技术。 当用户尚未完成认证时?用户的VL AN只能到达交换机内置或外接的WEB认证模块。 当用户通过认证后?WEB认证模块再命令交换机将用户的VL ANI D打开。 WEB/VL AN技术提供了基于用户身份的认证?在客户端也不需要配置特别的客户端软件。 但是WEB/VL AN仍然存在着下述的问题?嵌入式802.1x协议在WLAN接入认证中的应用研究81)实施条件问题WEB/VL AN的授权是通过VL AN的开关实施?因此实施的基本条件是每个用户都必需要有一个单独的VL AN?而且要终结在WEB/VL AN交换机上。 当已部署的楼宇层交换机不支持VL ANT runk功能时?就无法实施基于WEB/VL AN的用户认证。 2)网络规划问题WEB/VL AN跟PPPo E类似?要求在客户端与WEB/VL AN服务器存在一个二层网络?二层网络越大管理越困难?问题也越多。 如果每个小区甚至楼宇就使用一个WEB/VL AN交换机?却又存在部署成本与管理问题。 3)开机爆量问题这个问题出现在较早期的WEB/VL AN交换机上?主要是因为早期的WEB/VL AN交换机采用外置的WEB认证模块?当用户完成认证后?WEB认证模块必需通过T el Sc ri pt或SNMP Set命令将用户的VL AN打开。 由于开机瞬间会有大量用户同时进行认证?造成交换机无法承受大量的命令而产生死机现象。 2.5WEB/IP接入认证WEB/I P跟WEB/VL AN技术非常类似?当用户尚未完成认证时?用户的I P只能到达路由器内置的WEB认证模块。 当用户通过认证后?WEB认证模块再将用户的I P地址加入WEB/I P路由器的授权表。 跟其它技术相比?WEB/I P技术具备了以下的特点?1)工程实施WEB/I P技术的授权粒度为I P?跟以太驻地网的DHCP架构可以进行无缝连接?因此实施迅速。 另外由于采用三层结构?可以将WEB/I P路由器部署在POP点以汇聚多个小区的认证需求?对初期开通率低的城域网可以有效节省建置成本。 2)客户支持WEB/I P不需要特定的客户端软件?客服的工作量大大减少。 3)网络性能WEB/I P没有PPPo E/PPT P/L2T P的封包封装问题?对客户端CPU没有负担?可以有效支持VOD等宽带应用。 4)封包分割WEB/I P没有PPPo E/PPT P/L2T P的封包封装问题?自然也没有因为南京航空航天大学硕士学位论文9MT U改变产生的封包分割问题?不会增加路由器或客户端的负担。 在WEB/I P技术发展的初期?存在一些如对用户上网时间计算不精确、对用户私接无法控制等情况?目前这些问题在一些流行的接入控制器上都得到了很好的解决。 2.6802.1x接入认证2.6.1802.1x认证技术的起源有线局域网通过固定线路连接组建?计算机终端通过网线接入固定位置物理端口?实现局域网接入?这些固定位置的物理端口构成有线局域网的封闭物理空间。 但是?由于无线局域网的网络空间具有开放性和终端可移动性?因此很难通过网络物理空间来界定终端是否属于该网络?因此?如何通过端口认证来防止其他公司的计算机接入本公司无线网络就成为一项非常现实的问题?802.1x正是基于这一需求而出现的一种认证技术。 也就是说?对于有线局域网?该项认证没有太大存在的意义。 由此可以看出?802.1x协议并不是为宽带I P城域网量身定做的认证技术?将其应用于宽带I P城域网?必然会有其局限性?下面将详细说明该认证技术的特点。 2.6.2802.1x认证技术的特点802.1x协议仅仅关注端口的打开与关闭?对于合法用户?根据帐号和密码?接入时?该端口打开?而对于非法用户接入或没有用户接入时?则该端口处于关闭状态。 认证的结果在于端口状态的改变?而不涉及通常认证技术必须考虑的I P地址协商和分配问题?是各种认证技术中最简化的实现方案9。 802.1x认证技术的操作粒度为端口?合法用户接入端口之后?端口处于打开状态?因此其它用户?合法或非法?通过该端口时?不需认证即可接入网络。 对于无线局域网接入而言?认证之后建立起来的信道?端口?被独占?不存在其它用户再次使用的问题?但是?如果802.1x认证技术用于宽带I P城域网的认证?就存在端口打开之后?其它用户?合法或非法?可自由接入和无法控制的问题。 嵌入式802.1x协议在WLAN接入认证中的应用研究10接入认证通过之后?I P数据包在二层普通MAC帧上传送?认证后的数据流和没有认证的数据流完全一样?这是由于认证行为仅在用户接入的时刻进行?认证通过后不再进行合法性检查。 2.6.3802.1x协议工作机制以太网技术“连通和共享”的设计初衷使目前由以太网构成的网络系统面临着很多安全问题。 I EEE802.1x协议正是在基于这样的背景下被提出来的?成为解决局域网安全问题的一个有效手段。 在802.1x协议中?只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。 1)客户端(Su pp li ca nt)?一般安装在用户的工作站上?当用户有上网需求时?激活客户端程序?输入必要的用户名和口令?客户端程序将会送出连接请求。 2)认证系统(Au th enti ca to r)?在以太网系统中指认证交换机?其主要作用是完成用户认证信息的上传、下达工作?并根据认证的结果打开或关闭端口。 3)认证服务器(Au th enti ca ti on Ser ver)?通过检验客户端发送来的身份标识?用户名和口令?来判别用户是否有权使用网络系统提供的网络服务?并根据认证结果向交换机发出打开或保持端口关闭的状态。 2.6.4802.1x协议的端口访问802.1x协议的精华是对受控和非受控端口的访问?如图2.1所示?认证系统Au th enti ca to r的端口分两个逻辑端口?受控端口和非受控端口。 受控端口传递业务报文。 如果用户通过认证?则受控端口状态为已认证状态?可以传递业务报文。 如果用户未通过认证?则受控端口为未认证状态?不能传送业务报文。 不受控端口只能传送认证的协议报文?而不管此时受控端口的状态是已认证(Au th oriz ed)还是未认证(Un auth oriz ed)状态。 南京航空航天大学硕士学位论文11LAN非认证非受控端口受控端口认证方图2.1802.1x两个逻辑端口当用户未通过认证时?受控端口处于开路?端口状态为未认证状态?此时AP的功能是关闭的?也就是说AP无法像传统的通过查找目标MAC地址来进行数据的交换?用户的业务报文也无法通过。 当用户通过认证后?受控端口闭合?端口状态为通过认证状态?此时AP的交换功能打开?就和传统的交换方式一样?用户的业务报文可以通过。 2.6.5802.1x协议体系结构如图2.2?客户端系统一般为用户终端系统?该终端系统通常安装一个客户端软件?用户通过启动这个软件发起802.1x协议的认证过程。 为支持基于端口的接入认证?客户端系统需支持EAPOL协议。 认证系统为支持802.1x协议的网络设备?该设备对应于不同用户的端口?可以是物理端口?也可以是用户设备的MAC地址?有两个逻辑端口?受控端口?Co ntrolled Port?和非受控端口?Un controlled Port?。 不受控端口始终处于双向连接状态?主要用来传输EAPOL协议帧?可以保证客户端始可以发出或接受认证。 受控端口只有在认证通过的状态下才打开?用户传输网络资源和服务。 受控端口可配置为双向受控、仅输入受控两种方式?以适应不同的应用环境。 如果用户未通过认证?则受控端口处于未认证状态?用户无法访问认证系统提供的服务。 嵌入式802.1x协议在WLAN接入认证中的应用研究12图2.2802.1x协议体系结构认证系统的PAE通过不受控端口与Su pp li ca nt PAE进行通信?二者之间运行EAPOL协议。 认证系统的PAE与认证服务器之间运行EAPon Radiu s协议。 认证系统和认证服务器之间的通信通过网络进行?也可以使用其他的通信信道?例如?如果认证系统和认证服务器集成在一起?二个实体之间的通信就可以不采用EAP协议。 认证服务器通常为RADIUS服务器?该服务器可以存储有关用户的信息?比如用户所属的VL AN、优先级和用户访问控制列表。 当用户通过认证后?认证服务器会把用户的相关信息传递给认证系统?由认证系统构建动态的访问控制列表?用户的后续流量就将接受上述参数的监管。 2.6.6802.1x的认证过程在具有802.1x认证功能的网络系统中?当一个用户需要对网络资源进行访问之前必须先要完成以下的认证过程6。 Supplicant PAEServices Offeredby Authenticators SystemAuthenticator PAEAuthenticator SystemControlled PortUncontrolled PortAuthentication ServerAuthentication ServerSystem EAPprotocol ExchangeEAPOL LANSupplicant System南京航空航天大学硕士学位论文13SUPPLICANT PAEAUTHENTICATOR PAEAUTHENTICATION SERVEREAP-Request/IdentityEAP-Response/Identity Aess-RequestAess-Challenge EAP-Request EAP-Response Aess-RequestAess-Aepted EAP-Suess EAPOL-Logoff图2.3802.1x协议认证过程1)当用户有上网需求时打开802.1x客户端程序?输入已经申请、登记过的用户名和口令?发起连接请求。 此时?客户端程序将发出请求认证的报文给交换机?开始启动一次认证过程。 2)交换机收到请求认证的数据帧后?将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。 3)客户端程序响应交换机发出的请求?将用户名信息通过数据帧送给交换机。 交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。 4)认证服务器收到交换机转发上来的用户名信息后?将该信息与数据库中的用户名表相比对?找到该用户名对应的口令信息?用随机生成的一个加密字对它进行加密处理?同时也将此加密字传送给交换机?由交换机传给客户端程序。 5)客户端程序收到由交换机传来的加密字后?用该加密字对口令部分进行加密处理?此种加密算法通常是不可逆的?并通过交换机传给认证服务器。 6)认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比?如果相同?则认为该用户为合法用户?反馈认证通过的消息?并向交换机发出打开端口的指令?允许用户的业嵌入式802.1x协议在WLAN接入认证中的应用研究14务流通过端口访问网络。 否则?反馈认证失败的消息?并保持交换机端口的关闭状态?只允许认证信息数据通过而不允许业务数据通过。 这里要提出的一个值得注意的地方是:在客户端与认证服务器交换口令信息的时候?没有将口令以明文直接送到网络上进行传输?而是对口令信息进行了不可逆的加密算法处理?使在网络上传输的敏感信息有了更高的安全保障?杜绝了由于下级接入设备所具有的广播特性而导致敏感信息泄漏的问题。 2.6.7802.1x的其他问题在802.1x解决方案中?通常采用基于MAC地址的端口访问控制模式。 采用此种模式将会带来降低用户建网成本、降低认证服务器性能要求的优点。 对于此种访问控制方式?应当采用相应的手段来防止由于MAC、I P地址假冒所发生的网络安全问题17。 1)对于假冒MAC地址的情况当认证交换机的一个物理端口下面再级连一台接入级交换机?而该台接入交换机上的甲用户已经通过认证并正常使用网络资源?则此时在认证交换机的该物理端口中就已将甲用户终端设备的MAC地址设定为允许发送业务数据。 假如同一台接入交换机下的乙用户将自己的MAC地址修改得与甲用户的MAC地址相同?则即使乙用户没有经过认证过程也能够使用网络资源了?这样就给网络安全带来了漏洞。 针对此种情况?网络交换机在实现了802.1x认证、授权功能的交换机上通过MAC地址+I P地址的绑定功能来阻止假冒MAC地址的用户非法访问。 对于动态分配I P地址的网络系统?由于非法用户无法预先获知其他用户将会分配到的I P地址?因此他即使知道某一用户的MAC地址也无法伪造I P地址?也就无法冒充合法用户访问网络资源。 对于静态分配地址的方案?由于具有同一I P地址的两台终端设备必然会造成I P地址冲突?因此同时假冒MAC地址和I P地址的方法也是不可行的。 当假冒者和合法用户分属于认证交换机两个不同的物理端口?则假冒者即使知道合法用户的MAC地址?而由于该MAC地址不在同一物理端口?因此?假冒者还是无法进入网络系统。 2)对于假冒I P地址的情况由于802.1x采用了基于二层的认证方式?因此?当采用动态地址分配方案时?只有用户认证通过后?才能够分配到I P网络地址。 对南京航空航天大学硕士学位论文15于静态地址分配策略?如果假冒了I P地址?而没有能够通过认证?也不会与正在使用该地址的合法用户发生地址冲突。 如果用户能够通过认证?但假冒了其他用户的I P地址?则通过在认证交换机上采用I P地址+MAC地址绑定的方式来控制用户的访问接入。 这使得假冒用户无法进行正常的业务通信?从而达到了防止I P地址被篡改、假冒的目的。 3)对于用户口令失窃、扩散的处理在使用802.1x认证协议的系统中?用户口令失窃和口令扩散的情况非常多?对于这类情况?能够通过在认证服务器上限定同时接入具有同一用户名和口令认证信息的请求数量来达到控制用户接入?避免非法访问网络系统的目的。 不像有线网路通过固定线路连接组建?无线网路的网络空间具有开放性和终端可移动性?因此很难通过固定线路来界定网络。 而802.1x协议起源于802.11协议?后者是标准的无线局域网协议?802.1x协议的主要目的是通过认证和加密来防止非法接入企业无线网络。 目前大家在观察的是802.1x本来是企业级的技术方案?当应用在电信服务上是否会有一些无法预见的问题。 目前已发现的问题如下?1)客户端CPU负载问题802.1x为了解决无线网络在空中传送的安全性问题?采用了高度的加密规范?需要占用客户端大量的CPU效能以进行加解密。 针对这个问题?目前业界的看法是未来802.1x的加解密必需在网卡上通过硬件实现?802.1x才能支持宽带应用与服务。 2)标准规范问题目前802.1x的规范有70%以上都尚未确认?因此目前所有宣称支持802.1x的厂家都是基于猜测来设计产品?运营商部署802.1x的风险仍然很高。 此外虽然许多交换机厂商都承诺未来可通过软件升级来支持802.1x?但是大多数交换机的CPU性能比客户端的Pe ntiu m还差?因此业界的看法是未来支持802.1x的交换机必需具备硬件加解密?才具备宽带运营的实用性。 3)网络规划问题根据目前已确认的规范?802.1x认证技术的操作粒度为端口?合法用户接入端口之后端口处于打开状态?因此其它同一端口的用户不需认证即可接入网络。 因此在实施上?必需在楼宇层交换机支持802.1x协议。 在实施上?这些低价、不具备硬件加解密功能的楼宇层交换机嵌入式802.1x协议在WLAN接入认证中的应用研究16未来是否能够升级支持802.1x?或者升级后能否提供足够的网络性能都是个问题。 4)客户支持问题跟PPPo E类似?802.1x必需安装特定的客户端软件或是使用Wi nd ows XP?对没有I T支持的普通用户来说仍然是一个比较复杂的问题?因此运营商仍然存在相当的客户支持压力。 2.7小结本章概述了接入认证的相关问题?分析了现有主要的认证机制各自的特点?详细的介绍了802.1x协议的特点及工作机制。 通过比较表明?基于端口的认证协议能够降低建网成本、降低认证服务器性能要求等优点?同时?能够有效地保证网络避免常见的