WLAN中802.1x协议的安全和应用研究.

1、WLAF 中 802.1x 协议的安全和应用研究1802.11 无线局域网的安全机制802.11 无线局域网运作模式基本分为两种：点对点（Ad Hoc）模式和基本（ Infrastructure ）模式。点对点模式指无线网卡和无线网卡之间的直接通信 方式。只要 PC 插上无线网卡即可与另一具有无线网卡的PC 连接，这是一种便捷的连接方式，最多可连接 256 个移动节点。基本模式指无线网络规模扩充或 无线和有线网络并存的通信方式，这也是 802.11 最常用的方式。此时，插上无 线网卡的移动节点需通过接入点 AP （ Access Point ）与另一台移动节点连接。 接入点负责频段管理及漫游管

2、理等工作，一个接入点最多可连接1024 个移动节点。当无线网络节点扩增时，网络存取速度会随着范围扩大和节点的增加而变 慢，此时添加接入点可以有效控制和管理频宽与频段。与有线网络相比较，无线网络的安全问题具有以下特点：（ 1）信道开放，无法 阻止攻击者窃听，恶意修改并转发；（2）传输媒质？。无线电波在空气中的传 播会因多种原因（例如障碍物）发生信号衰减，导致信息的不稳定，甚至会丢 失；（ 3）需要常常移动设备（尤其是移动用户），设备容易丢失或失窃；（ 4）用户不必与网络进行实际连接，使得攻击者伪装合法用户更容易。由于上 述特点，利用 WLANS 行通信必须具有较高的通信保密能力。802.11 无

3、线局域网本身提供了一些基本的安全机制。802.11 接入点 AP 可以用一个服务集标识 SSID（ Service Set Identifier）或 ESSID（ ExtensibleService Set Ide ntifier）来配置。与接入点有关的网卡必须知道 SSID 以便在网络中发送和接收数据。但这是一个非常脆弱的安全手段。因为SSID 通过明文在大气中传送，甚至被接入点广播，所有的网卡和接入点都知道SSID。802.11 的安全性主要包括以有线同等保密 WEP（Wired Equivalent Privacy）算法为基础的身份验证服务和加密技术。WEP 是一套安全服务，用来防止80

4、2.11 网络受到未授权用户的访问。启用 WEP 时，可以指定用于加密的网络 密钥，也可自动提供网络密钥。如果亲自指定密钥，还可以指定密钥长度（ 64 位或 128 位） 、密钥格式（ ASCII 字符或十六进制数字）和密钥索引（存储特 定密钥的位置）。原理上密钥长度越长，密钥应该越安全。思科公司的 ScottFluhrer 与 Weizma nr 研究院的 Itsik Man tin 和 Adi hamir 合作并发表了题为RC4 秘钥时序算法缺点的论文，讲述了关于 WE 标准的严重攻击问题。另外，这一安全机制的一个主要限制是标准没有规定一个分配密钥的管理协 议。这就假定了共享密钥是通过独立

5、于 802.11 的秘密渠道提供给移动节点。当 这种移动节点的数量庞大时，将是一个很大的挑战。2802.1x 协议的体系IEEE 802.1x 协议起源于 802.11 ， 其主要目的是为了解决无线局域网用户的接 入认证问题。 802.1x 协议又称为基于端口的访问控制协议，可提供对 802.11 无线局域网和对有线以太网络的验证的网络访问权限。 802.1x 协议仅仅关注端 口的打开与关闭，对于合法用户接入时，打开端口；对于非法用户接入或没有 用户接入时，则端口处于关闭状态。IEEE 802.1x 协议的体系结构主要包括三部分实体：客户端 SupplicantSystem、认证系统 Auth

6、enticator System 、认证服务器 AuthenticationServer System 。（1）客户端：一般为一个用户终端系统，该终端系统通常要安装一个客户端软 件，用户通过启动这个客户端软件发起 IEEE 802.1x 协议的认证过程。（2）认证系统：通常为支持 IEEE 802.1x 协议的网络设备。该设备对应于不同 用户的端口有两个逻辑端口：受控（ controlled Port ）端口和非受控端口 （ uncontrolledPort ）。第一个逻辑接入点（非受控端口），允许验证者和 LAN 上其它计算机之间交换数据，而无需考虑计算机的身份验证状态如何。非 受控端口始终

7、处于双向连通状态（开放状态），主要用来传递EAPO 协议帧，可保证客户端始终可以发出或接受认证。第二个逻辑接入点（受控端口），允 许经验证的 LAN 用户和验证者之间交换数据。受控端口平时处于关闭状态，只 有在客户端认证通过时才打开，用于传递数据和提供服务。受控端口可配置为 双向受控、仅输入受控两种方式，以适应不同的应用程序。如果用户未通过认 证，则受控端口处于未认证（关闭）状态，则用户无法访问认证系统提供的服 务。（3）认证服务器：通常为 RADIUS 服务器，该服务器可以存储有关用户的信 息，比如用户名和口令、用户所属的 VLAN 优先级、用户的访问控制列表等。 当用户通过认证后，认证服务

8、器会把用户的相关信息传递给认证系统，由认证 系统构建动态的访问控制列表，用户的后续数据流就将接受上述参数的监管。3802.1x 协议的认证过程利用 IEEE 802.1x 可以进行身份验证，如果计算机要求在不管用户是否登录网 络的情况下都访问网络资源，可以指定计算机是否尝试访问该网络的身份验 证。以下步骤描述了利用接入点 AP 和 RADIUS 服务器对移动节点进行身份验证 的基本方法。如果没有有效的身份验证密钥，AP 会禁止所有的网络流量通过。（1） 当一个移动节点（申请者）进入一个无线 AP 认证者的覆盖范围时，无线 AP会向移动节点发出一个问询。（2） 在受到来自 AP 的问询之后，移动

9、节点做出响应，告知自己的身份。（3） AP将移动节点的身份转发给 RADIUS身份验证服务器， 以便启动身份验证 服务。（4） RADIUS 艮务器请求移动节点发送它的凭据，并且指定确认移动节点身份 所需凭据的类型。（ 5）移动节点将它的凭据发送给 RADIUS。（6） 在对移动节点凭据的有效性进行了确认之后，RADIUS 艮务器将身份验证 密钥发送给 AP 该身份验证密钥将被加密，只有 AP 能够读出该密钥。（在移 动节点和RADIUS 艮务器之间传递的请求通过 AP 的“非控制”端口进行传递， 因为移动节点不能直接与 RADIUS 艮务器建立联系。AP 不允许 STA 移动节点通 过“受控

10、制”端口传送数据，因为它还没有经过身份验证。）（7） AP 使用从 RADIUS 艮务器处获得的身份验证密钥保护移动节点数据的安全传输- 特定于移动节点的单播会话密钥以及多播 / 全局身份验证密钥。全局身份验证密钥必须被加密。这要求所使用的EAP 方法必须能够生成一个加密密钥，这也是身份验证过程的一个组成部分。传输层安全 TLS （Transport LevelSecurity ）协议提供了两点间的相互身份验证、完整性保护、密钥对协 商以及密钥交换。我们可以使用 EAP-TLS 在 EAP 内部提供 TLS 机制。 移动节点可被要求周期性地重新认证以保持一定的安全级。4802.1x 协议的特点

11、IEEE 802.1x 具有以下主要优点：（1）实现简单。 IEEE 802.1x 协议为二层协议，不需要到达三层，对设备的整 体性能要求不高，可以有效降低建网成本。（2）认证和业务数据分离。 IEEE 802.1x 的认证体系结构中采用了“受控端 口”和“非受控端口”的逻辑功能，从而可以实现业务与认证的分离。用户通 过认证后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求，业 务可以很灵活，尤其在开展宽带组播等方面的业务有很大的优势，所有业务都 不受认证方式限制。IEEE 802.1x 同时具有以下不足802.1x 认证是需要网络服务的系统和网络之间的会话，这一会话使用 IETF 的

12、 EAP（ Extensible Authentication Protocol）认证协议。协议描述了认证机制的体系结构框架使得能够在 802.11 实体之间发送 EAP 包，并为在 AP 和工作站 间的高层认证协议建立了必要条件。对MAC 地址的认证对 802.1X 来说是最基本的，如果没有高层的每包认证机制，认证端口没有办法标识网络申请者或其 包。而且实验证明 802.1X 由于其设计缺陷其安全性已经受到威胁，常见的攻击 有中间人 MIM攻击和会话攻击。所以 802.11 与 802.1X 的简单结合并不能提供健壮的安全无线环境，必须有高 层的清晰的交互认证协议来加强。幸运的是， 802.

13、1X 为实现高层认证提供了基 本架构。5802.1X 认证协议的应用IEEE 802.1X 使用标准安全协议（如 RADIUS 提供集中的用户标识、身份验 证、动态密钥管理和记帐。 802.1X 身份验证可以增强安全性。 IEEE 802.1X 身 份验证提供对802.11 无线网络和对有线以太网网络的经验证的访问权限。 IEEE 802.1X 通过提供用户和计算机标识、集中的身份验证以及动态密钥管理，可将 无线网络安全风险减小到最低程度。在此执行下，作为 RADIUS 客户端配置的 无线接入点将连接请求和记帐邮件发送到中央 RADIUS 服务器。中央 RADIUS 服务器处理此请求并准予或拒

14、绝连接请求。如果准予请求，根据所选身份验证 方法，该客户端获得身份验证，并且为会话生成唯一密钥。 IEEE 802.1X 为可 扩展的身份验证协议 EAP 安全类型提供的支持使您能够使用诸如智能卡、证书 以及 Message Digest 5 （MD5） 算法这样的身份验证方法。扩展身份验证协议 EAP 是一个支持身份验证信息通过多种机制进行通信的协 议。利用 802.1X，EAP 可以用来在申请者和身份验证服务器之间传递验证信 息。这意味着EAP 消息需要通过 LAN 介质直接进行封装。认证者负责在申请者 和身份验证服务器之间转递消息。身份验证服务器可以是一台远程身份验证拨 入用户服务（RA

15、DIUS 服务器。 以下举一个例子，说明对申请者进行身份验证所需经过的步骤：（1） 认证者发送一个 EAP - Request/Identity （请求/身份）消息给申请者。（2） 申请者发送一个 EAP - Response/Identity（响应/ 身份）以及它的身份 给认证者。认证者将收到的消息转发给身份验证服务器。（3） 身份验证服务器利用一个包含口令问询的 EAP - Request 消息通过认证者 对申请者做出响应。（4） 申请者通过认证者将它对口令问询的响应发送给身份验证服务器。（5） 如果身份验证通过，授权服务器将通过认证者发送一个EAP - Success 响应给申请者。认证

16、者可以使用“ Success” （成功）响应将受控制端口的状态设置为“已授权”。6802.1x 与智能卡 智能卡通常用在安全性要求比较高的场合，并与认证协议的应用相结合。这首 先是由于智能卡能够保护并安全的处理敏感数据；而智能卡能保护密钥也是相 当重要的，一切秘密寓于密钥之中，为了能达到密码所提供的安全服务，密钥绝对不能被泄密，但为安全原因所增加的成本却不能太多。 智能卡自身硬件的资源极为有限。用其实现安全系统面临着存储器容量和计算 能力方面受到的限制。目前市场上的大多数智能卡有128 到 1024 字节的 RAM，1 k 至 U 16 k 字节的 EEPR0,M6 k 至 U 16 k 字节

17、的 ROM CPU!常为 8 比特的，典 型的时钟频率为 3.57 MHz。任何存储或者是处理能力的增强都意味着智能卡成 本的大幅度提高。 另外智能卡的数据传送是相对慢的,为提高应用的效率,基本的数据单元必须 要小,这样可以减少智能卡与卡终端之间的数据流量,其传送时间的减少则意 味着实用性的增强。将 802.1x 与智能卡的应用相结合的优点是：认证更加安全；生成和管理密钥方 便；节省内存空间；节省带宽,提高实用性；节省处理时间,而不需要增加硬 件的处理等方面。 802.1x 安全认证协议所带来的各优点恰好弥补了智能卡硬件 的各种局限,不仅能有效地降低智能卡的生产成本,也能提高智能卡的实用 性。

18、7发展方向和趋势802.11 无线局域网目前的安全标准主要有两大发展主流：（1）WPA。 802.1x 协议仅仅提供了一种用户接入认证的手段,并简单地通过控 制接入端口的开 / 关状态来实现,这种简化适用于无线局域网的接入认证、点对 点物理或逻辑端口的接入认证。WPA（Wi-Fi 受保护访问）是一种新的基于IEEE 标准的安全解决方法。 Wi-Fi 联盟经过努力，于 2002 年 10 月下旬宣布 了基于此标准的解决方法,以便开发更加稳定的无线 LAN 安全解决方法来满足 802.11 的要求。WPA 包括 802.1X 验证和 TKIP 加密（一种更高级和安全的 WEP 加密形式），以进一步

19、形成和完善 IEEE 802.11i 标准。（2）WAP。我国已于 2003 年 12 月 1 日起强制执行了新的无线局域网安全国家 标准?D 无线局域网鉴别和保密基础结构 WAPI （WLAN Authe nticatio n and PrivacyInfrastructure）。WAPI 由无线局域网鉴别基础结构 WAI （WLANAuthentication Infrastructure ）和无线局域网保密基础结构 WPI（WLAN PrivacyInfrastructure）组成。WAP 与已有安全机制相比具有其独特优点，充分体现了国家标准的先进性。WAP 与已有安全机制相比在很多方面都进行了 改进。它已由 ISO/IEC 授权的 IEEE Registration Authority 审查获得认可， 分配了用于 WAP协议的以太网类型字段，这也是我国目前在该领域惟一获得批 准的协议。WAP 采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲 线密码算法和秘密密钥体制的分组密码算法，分别用于WLA