WLAN中802.1x协议〈计算机〉之安全和应用研究

1、WLAN中802.1x协议计算机之安全和应用研究    802.11无线局域网运作模式基本分为两种：点对点（Ad Hoc）模式和基本（Infrastructure）模式。点对点模式指无线网卡和无线网卡之间之直接通信方式。只要PC插上无线网卡即可与另一具有无线网卡之PC连接，这是一种便捷之连接方式，最多可连接256个移动节点。基本模式指无线网络规模扩充或无线和有线网络并存之通信方式，这也是802.11最常用之方式。此时，插上无线网卡之移动节点需通过接入点AP（Access Point）与另一台移动节点连接。接入点负责频段管理及漫游管理等工作，一个接入点最多

2、可连接1024个移动节点。当无线网络节点扩增时，网络存取速度会随着范围扩大和节点之增加而变慢，此时添加接入点可以有效控制和管理频宽与频段。与有线网络相比较，无线网络之安全问题具有以下特点：（1）信道开放，无法阻止攻击者窃听，恶意修改并转发；（2）传输媒质无线电波在空气中之传播会因多种原因（例如障碍物）发生信号衰减，导致信息之不稳定，甚至会丢失；（3）需要常常移动设备（尤其是移动用户），设备容易丢失或失窃；（4）用户不必与网络进行实际连接，使得攻击者伪装合法用户更容易。由于上述特点，利用WLAN进行通信必须具有较高之通信保密能力。802.11无线局域网本身提供了一些基本之安全机制。802.11接

3、入点AP可以用一个服务集标识SSID（Service Set Identifier）或ESSID（Extensible Service Set Identifier）来配置。与接入点有关之网卡必须知道SSID以便在网络中发送和接收数据。但这是一个非常脆弱之安全手段。因为SSID通过明文在大气中传送，甚至被接入点广播，所有之网卡和接入点都知道SSID。802.11之安全性主要包括以有线同等保密WEP（Wired Equivalent Privacy）算法为基础之身份验证服务和加密技术。WEP 是一套安全服务，用来防止 802.11 网络受到未授权用户之访问。启用 WEP 时，可以指定用于加密之网

4、络密钥，也可自动提供网络密钥。如果亲自指定密钥，还可以指定密钥长度（64 位或 128 位）、密钥格式（ASCII 字符或十六进制数字）和密钥索引（存储特定密钥之位置）。原理上密钥长度越长，密钥应该越安全。思科公司之Scott Fluhrer与Weizmann研究院之Itsik Mantin和Adi hamir合作并发表了题为RC4秘钥时序算法缺点之论文，讲述了关于WEP标准之严重攻击问题。另外，这一安全机制之一个主要限制是标准没有规定一个分配密钥之管理协议。这就假定了共享密钥是通过独立于802.11之秘密渠道提供给移动节点。当这种移动节点之数量庞大时，将是一个很大之挑战。2  80

5、2.1x协议之体系IEEE 802.1x协议起源于802.11， 其主要目之是为了解决无线局域网用户之接入认证问题。802.1x 协议又称为基于端口之访问控制协议，可提供对802.11无线局域网和对有线以太网络之验证之网络访问权限。802.1x协议仅仅关注端口之打开与关闭，对于合法用户接入时，打开端口；对于非法用户接入或没有用户接入时，则端口处于关闭状态。IEEE 802.1x协议之体系结构主要包括三部分实体：客户端Supplicant System、认证系统Authenticator System、认证服务器Authentication Server System。（1）客户端：一般为一个用

6、户终端系统，该终端系统通常要安装一个客户端软件，用户通过启动这个客户端软件发起IEEE 802.1x协议之认证过程。（2）认证系统：通常为支持IEEE 802.1x协议之网络设备。该设备对应于不同用户之端口有两个逻辑端口：受控（controlled Port）端口和非受控端口（uncontrolled Port）。第一个逻辑接入点（非受控端口），允许验证者和 LAN 上其它计算机之间交换数据，而无需考虑计算机之身份验证状态如何。非受控端口始终处于双向连通状态（开放状态），主要用来传递EAPOL协议帧，可保证客户端始终可以发出或接受认证。第二个逻辑接入点（受控端口），允许经验证之 LAN 用户和

7、验证者之间交换数据。受控端口平时处于关闭状态，只有在客户端认证通过时才打开，用于传递数据和提供服务。受控端口可配置为双向受控、仅输入受控两种方式，以适应不同之应用程序。如果用户未通过认证，则受控端口处于未认证（关闭）状态，则用户无法访问认证系统提供之服务。 （3）认证服务器：通常为RADIUS服务器，该服务器可以存储有关用户之信息，比如用户名和口令、用户所属之VLAN、优先级、用户之访问控制列表等。当用户通过认证后，认证服务器会把用户之相关信息传递给认证系统，由认证系统构建动态之访问控制列表，用户之后续数据流就将接受上述参数之监管。3  802.1x协议之认证过程利用IEEE 802

8、.1x可以进行身份验证，如果计算机要求在不管用户是否登录网络之情况下都访问网络资源，可以指定计算机是否尝试访问该网络之身份验证。以下步骤描述了利用接入点AP和RADIUS服务器对移动节点进行身份验证之基本方法。如果没有有效之身份验证密钥，AP会禁止所有之网络流量通过。（1）当一个移动节点（申请者）进入一个无线AP认证者之覆盖范围时，无线AP会向移动节点发出一个问询。（2）在受到来自AP之问询之后，移动节点做出响应，告知自己之身份。（3）AP将移动节点之身份转发给RADIUS身份验证服务器，以便启动身份验证服务。 （4）RADIUS服务器请求移动节点发送它之凭据，并且指定确认移动节点身份所需凭据

9、之类型。 （5）移动节点将它之凭据发送给RADIUS。（6）在对移动节点凭据之有效性进行了确认之后，RADIUS服务器将身份验证密钥发送给AP。该身份验证密钥将被加密，只有AP能够读出该密钥。（在移动节点和RADIUS服务器之间传递之请求通过AP之“非控制”端口进行传递，因为移动节点不能直接与RADIUS服务器建立联系。AP不允许STA移动节点通过“受控制”端口传送数据，因为它还没有经过身份验证。）（7）AP使用从RADIUS服务器处获得之身份验证密钥保护移动节点数据之安全传输-特定于移动节点之单播会话密钥以及多播/全局身份验证密钥。全局身份验证密钥必须被加密。这要求所使用之EAP方法必须能够

10、生成一个加密密钥，这也是身份验证过程之一个组成部分。传输层安全TLS（Transport Level Security）协议提供了两点间之相互身份验证、完整性保护、密钥对协商以及密钥交换。我们可以使用EAP-TLS在EAP内部提供TLS机制。移动节点可被要求周期性地重新认证以保持一定之安全级。4  802.1x协议之特点IEEE 802.1x具有以下主要优点：（1）实现简单。IEEE 802.1x协议为二层协议，不需要到达三层，对设备之整体性能要求不高，可以有效降低建网成本。（2）认证和业务数据分离。IEEE 802.1x之认证体系结构中采用了“受控端口”和“非受控端口”之逻辑功能，

11、从而可以实现业务与认证之分离。用户通过认证后，业务流和认证流实现分离，对后续之数据包处理没有特殊要求，业务可以很灵活，尤其在开展宽带组播等方面之业务有很大之优势，所有业务都不受认证方式限制。IEEE 802.1x同时具有以下不足802.1x认证是需要网络服务之系统和网络之间之会话，这一会话使用IETF之EAP（Extensible Authentication Protocol）认证协议。协议描述了认证机制之体系结构框架使得能够在802.11实体之间发送EAP包，并为在AP和工作站间之高层认证协议建立了必要条件。对MAC地址之认证对802.1x来说是最基本之，如果没有高层之每包认证机制，认证端

12、口没有办法标识网络申请者或其包。而且实验证明802.1x由于其设计缺陷其安全性已经受到威胁，常见之攻击有中间人MIM攻击和会话攻击。所以802.11与802.1x之简单结合并不能提供健壮之安全无线环境，必须有高层之清晰之交互认证协议来加强。幸运之是，802.1x为实现高层认证提供了基本架构。5  802.1x认证协议之应用IEEE 802.1x 使用标准安全协议（如RADIUS）提供集中之用户标识、身份验证、动态密钥管理和记帐。802.1x身份验证可以增强安全性。IEEE 802.1x身份验证提供对802.11无线网络和对有线以太网网络之经验证之访问权限。IEEE 802.1x 通过

13、提供用户和计算机标识、集中之身份验证以及动态密钥管理，可将无线网络安全风险减小到最低程度。在此执行下，作为 RADIUS 客户端配置之无线接入点将连接请求和记帐邮件发送到中央 RADIUS 服务器。中央 RADIUS 服务器处理此请求并准予或拒绝连接请求。如果准予请求，根据所选身份验证方法，该客户端获得身份验证，并且为会话生成唯一密钥。IEEE 802.1x为可扩展之身份验证协议 EAP 安全类型提供之支持使您能够使用诸如智能卡、证书以及 Message Digest 5 (MD5) 算法这样之身份验证方法。扩展身份验证协议EAP是一个支持身份验证信息通过多种机制进行通信之协议。利用802.1

14、x，EAP可以用来在申请者和身份验证服务器之间传递验证信息。这意味着EAP消息需要通过LAN介质直接进行封装。认证者负责在申请者和身份验证服务器之间转递消息。身份验证服务器可以是一台远程身份验证拨入用户服务（RADIUS）服务器。以下举一个例子，说明对申请者进行身份验证所需经过之步骤： （1）认证者发送一个EAP - Request/Identity（请求/身份）消息给申请者。（2）申请者发送一个EAP - Response/Identity（响应/身份）以及它之身份给认证者。认证者将收到之消息转发给身份验证服务器。（3）身份验证服务器利用一个包含口令问询之EAP - Request消息通过认

15、证者对申请者做出响应。（4）申请者通过认证者将它对口令问询之响应发送给身份验证服务器。（5）如果身份验证通过，授权服务器将通过认证者发送一个EAP - Success响应给申请者。认证者可以使用“Success”（成功）响应将受控制端口之状态设置为“已授权”。6  802.1x与智能卡智能卡通常用在安全性要求比较高之场合，并与认证协议之应用相结合。这首先是由于智能卡能够保护并安全之处理敏感数据；而智能卡能保护密钥也是相当重要之，一切秘密寓于密钥之中，为了能达到密码所提供之安全服务，密钥绝对不能被泄密，但为安全原因所增加之成本却不能太多。智能卡自身硬件之资源极为有限。用其实现安全系统面

16、临着存储器容量和计算能力方面受到之限制。目前市场上之大多数智能卡有128到1024字节之RAM，1 k到16 k字节之EEPROM，6 k到16 k字节之ROM，CPU通常为8比特之，典型之时钟频率为3.57 MHz。任何存储或者是处理能力之增强都意味着智能卡成本之大幅度提高。另外智能卡之数据传送是相对慢之，为提高应用之效率，基本之数据单元必须要小，这样可以减少智能卡与卡终端之间之数据流量，其传送时间之减少则意味着实用性之增强。将802.1x与智能卡之应用相结合之优点是：认证更加安全；生成和管理密钥方便；节省内存空间；节省带宽，提高实用性；节省处理时间，而不需要增加硬件之处理等方面。802.1

17、x安全认证协议所带来之各优点恰好弥补了智能卡硬件之各种局限，不仅能有效地降低智能卡之生产成本，也能提高智能卡之实用性。7  发展方向和趋势802.11无线局域网目前之安全标准主要有两大发展主流：（1）WPA。802.1x协议仅仅提供了一种用户接入认证之手段，并简单地通过控制接入端口之开/关状态来实现，这种简化适用于无线局域网之接入认证、点对点物理或逻辑端口之接入认证。WPA（Wi-Fi 受保护访问）是一种新之基于IEEE标准之安全解决方法。Wi-Fi 联盟经过努力，于 2002 年 10 月下旬宣布了基于此标准之解决方法，以便开发更加稳定之无线 LAN 安全解决方法来满足 802.11之要求。WPA 包括 802.1x 验证和 TKIP 加密（一种更高级和安全之 WEP 加密形式），以进一步形成和完善IEEE 802.11i标准。（2）WAPI。我国已于2003年12月1日起强制执行了新之无线局域网安全国家标准无线局域网鉴别和保密基础结构WAPI（WLAN Authentication and Privacy Infrastructure）。WAPI由无线局域网鉴别基础结构WAI（WLAN Authentication Infrastructure）和无线局域网保密基础结构WPI（WLAN Privacy Infra