摘 要:針對802.1x認證不能防止IP和MAC地址同時被盜用的缺陷，對該協(xié)議作改進#65377;由于IP地址和MAC地址均可被修改，故不能唯一地標識一臺主機，然而用戶上網(wǎng)瀏覽網(wǎng)頁或傳輸文件等都離不開自己的硬盤，硬盤序列號是可以讀取且不能修改的，將用戶的硬盤序列號作為其唯一的標識加入到認證方式中就可以做到防止非法盜用IP和MAC地址上網(wǎng)或進行攻擊活動#65377;

關(guān)鍵詞:網(wǎng)絡安全;802.1x認證;IP地址;MAC地址

中圖分類號:TP393.08文獻標識碼:A

1 引 言

局域網(wǎng)正在廣泛地應用于學校#65380;企業(yè)#65380;居民小區(qū)等各種地方，而隨著網(wǎng)絡應用范圍的擴大和提供的網(wǎng)絡服務不斷增多，局域網(wǎng)的安全問題變得越來越突出#65377;人們迫切希望提高局域網(wǎng)的安全性，對局域網(wǎng)接入用戶以及得到的服務進行控制#65377;802.1x 協(xié)議是IEEE2001年3月通過的標準草案，是當前比較流行的局域網(wǎng)用戶接入控制協(xié)議#65377;

在大學的校園網(wǎng)中，普遍都采用802.1x認證體系#65377;它給每一個注冊的用戶分配一個IP地址，用戶名和密碼，用802.1x進行認證和計費#65377;但由于是采用基于主機IP地址的計費方式，所以有大量的IP盜用現(xiàn)象#65377;IP盜用就是指有主機盜用合法用戶的IP地址進行聯(lián)網(wǎng)通信的現(xiàn)象#65377;

為了防止IP盜用和利用盜用的IP地址進行欺騙，校園網(wǎng)管理中心一般采用IP地址與用戶的網(wǎng)卡物理地址綁定進行認證#65377;然而，這種方式也并不可靠，之所以不可靠，是因為MAC地址是可以修改的#65377;既然MAC可以修改，綁定MAC地址也變得毫無意義#65377;

如果同時把主機的IP地址和MAC地址都改成和注冊的合法用戶一樣，那么該主機也可以上網(wǎng)，這就是IP-MAC對的盜用#65377;主要有下面兩種情況:①當注冊用戶不上網(wǎng)時，如果另一臺主機將其IP地址改成和注冊用戶的一樣，并且同時將其MAC地址也改成和該注冊用戶的MAC地址一樣，如果再得知其用戶名和密碼，就可以盜用別人的IP用客戶端進行認證上網(wǎng)#65377;更糟的是，這樣還可以別人的名義進行攻擊其他主機而不會被發(fā)現(xiàn)真正的元兇#65377;②注冊用戶認證后，用集線器或交換機連在一起的主機將其IP地址和MAC地址改成和注冊用戶一樣，從而可以和注冊用戶一起上網(wǎng)#65377;

進行IP或IP-MAC盜用一方面給運營商帶來了損失，另一方面盜用者可以做其他的非法的活動而不會被發(fā)現(xiàn)#65377;為了防止盜用帶來的的危害，本文對802.1x協(xié)議作了一些改進，首先讓客戶端自動讀取硬盤的序列號并且作為主機的標識加入到認證信息中，同時也將硬盤序列號加密后加到幀的頭部(假設用DiskID表示該字段)，從而當交換機從端口接收到幀時，可以根據(jù)DiskID字段進行過濾，只允許合法的幀通過#65377;這樣就可以防止非注冊用戶上網(wǎng)，也就不可能冒用別人的IP地址進行攻擊活動#65377;

計算技術(shù)與自動化2007年6月第26卷第2期謝向文等:基于主機標識的802.1x認證協(xié)議的安全性改進

2 802.1x 認證

2.1 關(guān)于802.1x認證協(xié)議

隨著人們對網(wǎng)絡邊緣安全的日益重視，802.1x認證正在逐漸被廣大用戶接受并使用，尤其是在產(chǎn)業(yè)園區(qū)和高校宿舍區(qū)#65377;

802.1x的邊緣安全是通過啟用802.1x功能的交換機來實現(xiàn)的#65377;802.1x是基于端口的認證策略(這里的端口可以是一個實實在在的物理端口也可以是一個就像VLAN一樣的邏輯端口，對于無線局域網(wǎng)來說一個“端口”就是一條信道)#65377;802.1x的認證的最終目的就是確定一個端口是否可用#65377;其每個物理端口內(nèi)部又分為受控端口和非受控端口，非受控端口只負責處理認證數(shù)據(jù)包，受控端口負責處理業(yè)務數(shù)據(jù)#65377;登陸前，用戶只能夠通過非受控端口發(fā)送和接收認證數(shù)據(jù)包(802.1x格式)，而其他格式的數(shù)據(jù)包則無法通過受控端口;登陸后，受控端口對用戶開放，接受數(shù)據(jù)的傳輸#65377;

認證時，首先客戶端軟件發(fā)送請求，交換機把接收到的認證信息傳遞給中心的認證服務器#65377;認證服務器負責信息的核對(比如用戶名#65380;密碼#65380;MAC#65380;IP等的核對)#65377;認證結(jié)束后，除了每隔一段時間處理一次在線確認數(shù)據(jù)包外，用戶的正常網(wǎng)絡應用與802.1x沒有任何關(guān)系，這就是所謂的認證流和業(yè)務流的分離#65377;

2.2 目前在802.1x認證方式下防止盜用的主要手段

由于采用802.1x普遍存在IP盜用的現(xiàn)象，現(xiàn)在一般會做一些改進#65377;最常用的方法是:將IP地址與MAC地址綁定，或者是將IP地址，MAC地址以及端口號進行綁定#65377;

通過禁止所有交換機的MAC地址自學習功能，并在認證通過時由認證服務器下發(fā)MAC綁定指令給相關(guān)的交換機，避免用戶自行在接入端口下接私人的HUB，使用一臺計算機通過認證，多臺計算機共同上網(wǎng)#65377;

但是這樣也不能完全解決問題#65377;如果將一臺主機的IP地址改成和一個注冊用戶的一樣，并且同時將其MAC地址也改成和該注冊用戶的MAC地址一樣，從而可以繞過此方法進行通信#65377;

2.3 在802.1x認證方式下綁定MAC地址和IP地址的缺陷

2.3.1 MAC地址的可修改性

根據(jù)IEEE組織的規(guī)定，網(wǎng)絡適配器的MAC地址應該是全球唯一的，其目的是保證在組建網(wǎng)絡時，選用具有任意MAC地址的網(wǎng)絡適配器，均不會造成物理地址的沖突#65377;雖然MAC地址存儲在EEPROM中并且唯一確定#65377;但是，在操作系統(tǒng)實現(xiàn)時，系統(tǒng)一般并不是每收發(fā)一幀，都直接從EEPROM中讀取MAC地址，而是在內(nèi)存中建立一塊緩存區(qū)，系統(tǒng)在這塊特定的緩沖區(qū)中獲取MAC地址作為發(fā)送報文的源地址#65377;這樣，用戶就可以通過操作系統(tǒng)修改實際發(fā)送的報文中的源MAC地址#65377;在Unix系統(tǒng)中， 網(wǎng)絡接口的物理地址是保存在與某一接口對應的網(wǎng)絡接口的數(shù)據(jù)結(jié)構(gòu)中#65377;正由于MAC地址可修改，才有可能出現(xiàn)IP地址#65380;MAC地址成對被盜用的現(xiàn)象#65377;

至于修改一臺主機的MAC地址，可以很容易實現(xiàn)#65377;例如，要將主機A中網(wǎng)卡的MAC地址，IP地址修改成被盜用設備—主機B的MAC地址，IP地址#65377;首先，在控制面板中選擇“網(wǎng)絡和撥號連接”，右擊對應網(wǎng)卡，選擇屬性，在屬性頁的“常規(guī)”頁中點擊“配置”按鈕#65377;在配置屬性頁中選擇“高級”，再在“屬性”欄中選擇“Network Address”，在“值”欄中選中輸入框，然后在輸入框中輸入被盜用的主機B的MAC地址，MAC地址就這樣修改成功了#65377;然后再將IP地址配置成被盜用的主機B的IP地址#65377;此外，通過修改注冊表，或者一些專門的修改工具都可以隨意地修改主機的MAC地址#65377;2.3.2 同時盜用IP地址和MAC地址上網(wǎng)的可行性

目前，網(wǎng)絡中普遍使用TCP/IP協(xié)議族，網(wǎng)絡應用程序一般都是運行在TCP或UDP之上#65377;TCP和UDP協(xié)議還包括了通信雙方的端口號，該端口號一般是按特定規(guī)則隨機生成的16位二進制數(shù)，這兩個二進制數(shù)相等的概率微乎其微#65377;因此，即使兩臺主機的IP地址和MAC地址都相等，但由于端口號不相等，主機會把端口號不匹配的報文丟棄#65377;而用戶層感覺不到TCP/UDP層的這種處理，所以用戶可以正常地使用服務，而不會受地址盜用的影響#65377;

另外，如果用戶采用的是自己或應用程序設置的端口號，這時，兩臺有相同的IP地址和MAC地址的主機同時啟動了兩個端口號相同的應用，會發(fā)生什么情況呢?這時有兩種可能#65377;當下層使用的是UDP協(xié)議時，會發(fā)生干擾#65377;當下層使用的是TCP協(xié)議時，由于TCP是一種面向連接的協(xié)議，TCP協(xié)議給每個報文生成一個32位的序列號，第一個報文序列號是隨機產(chǎn)生的，以后每個報文的序列號依次加1，同時TCP使用了一個接受窗口，其大小是16位#65377;由于接收窗口的最大值是2，而序列號的最大值是2，因此，容易得知一臺主機期望接收的報文的序列號正好也在另外一臺主機的接收范圍之內(nèi)的概率是1/2，這是一個小概率事件，完全可以被忽略，所以此時可以認為盜用和被盜用主機之間不會有干擾#65377;

3 在802.1x基礎上采用硬盤序列號標識的認證方式

3.1 關(guān)于硬盤序列號

由于IP和MAC都可以改變，都不能用來作為用戶端的唯一標識#65377;網(wǎng)絡通信最終要用操作系統(tǒng)，而操作系統(tǒng)又在硬盤上，因此可以把一個網(wǎng)絡終端看成存儲操作系統(tǒng)的那塊硬盤#65377;對于硬盤來說，其序列號是廠家為了區(qū)別產(chǎn)品而設置的，是唯一的，可讀的，具有唯一性和恒定性，是一個準確的終端標簽#65377;一個盤序列號的唯一性和恒定性有很多應用，例如，防止軟件的非法拷貝，在注冊的時候?qū)④浖a(chǎn)品號和硬盤序列號綁定起來，使得一個軟件在一臺機器上注冊后就不能在其他機器上注冊#65377;在安裝過程中可以將該硬盤序列號綁定起來，使得只能在該硬盤上運行，而且安裝文件也只在安裝的過程中與硬盤序列號綁定使得在其他機器上不能安裝#65377;這樣就做到了一個軟件只能在一臺機器上使用#65377;

3.2 硬盤序列號的獲取

在客戶端加以修改，使它可以讀取用戶的硬盤序列號，并且把這個序列號和用戶名#65380;密碼一起作為認證信息發(fā)送給服務器請求認證#65377;硬盤序列號讀取模塊使用ATA/APAPI的IDENTIFY DEVIC指令#65377;ATA/APAPI是國際組織T13起草和發(fā)布的IDE/UDMA硬盤及其他可移動存儲設備與主機接口的標準，至今已經(jīng)到了ATA/APAPI-7版本#65377;該接口標準規(guī)定了IDENTIFY DEVICE指令可以成功地獲得主機的硬盤序列號#65377;

3.3 以硬盤序列號作為標識的方法在防止盜用中的應用

3.3.1 加入到認證信息中

用戶申請帳號后的第一次上網(wǎng)時，認證服務器可以從認證消息中獲得用戶的硬盤序列號，然后把它保存在服務器的數(shù)據(jù)庫中#65377;這樣，不是注冊用戶的主機想進行認證時，由于客戶端讀取的硬盤序列號與服務器中保存的不同，認證就不能通過#65377;

3.3.2 在幀頭增加新的字段以存儲DiskID

要在客戶端讀取用戶系統(tǒng)所在硬盤的序列號，加入到認證信息中發(fā)給認證服務器，并且在發(fā)出的每一幀的頭部加一新的字段DiskID，使得交換機可以根據(jù)該字段進行過濾，需要在客戶端，設備段和認證服務器段都做一些改變#65377;

1)客戶端需要實現(xiàn)三個功能:a.讀取硬盤序列號;b.將硬盤序列號加密后(除了第一次外)作為認證信息之一發(fā)給認證服務器;c.將DiskID字段加到每一幀的頭部(如圖1，圖2)，Disk字段是將序列號字符串經(jīng)MD5加密后的16字節(jié)密文，并在DiskID字段的前面加一個2字節(jié)的Flag標志字段，此字段的值固定為0x0000，用來與傳統(tǒng)幀的類型字段相區(qū)別，表示此幀是帶有DiskID字段的新幀格式#65377;

2)在設備段也就是交換機端，只需要改變它的配置就可以了#65377;現(xiàn)在很多交換機都支持基于應用的包過濾功能，可以對交換機輸入幀前80字節(jié)范圍內(nèi)的64字節(jié)任意域設置過濾規(guī)則#65377;只要在交換機的每一個端口設置對幀頭部的DiskID域進行過濾，DiskID不匹配的幀不允許通過該端口，而不再需要將MAC 和IP地址綁定，就可以防止非法幀的傳播，非法用戶就不能再盜用別人的IP和MAC上網(wǎng)以及進行攻擊活動了#65377;

3)在認證服務器端需要在數(shù)據(jù)庫中加入注冊用戶的硬盤序列號作為其認證信息之一#65377;

3.4 使用硬盤序列號的可行性

也許有人會提出，由于硬盤序列號關(guān)系到主機的隱私，獲取用戶的硬盤序列號是否合理#65377;但是，由于我們所采取的使用方式及加密方法，使得這個措施是可行的#65377;首先，我們只是在內(nèi)網(wǎng)，特別是在大學校園網(wǎng)中采取這一方法，并且序列號只是被加在幀頭里面，轉(zhuǎn)發(fā)到外網(wǎng)之前會被去掉，所以用戶不用擔心會泄露到外網(wǎng)中#65377;其次，采用MD5對硬盤序列號進行加密，數(shù)據(jù)幀不會由于被竊聽到而泄露其硬盤序列號，用戶的硬盤序列號只是被認證服務器的管理員知道#65377;最后，在使用方愿意申請用戶之前讓他先了解關(guān)于要讀取硬盤序列號這個問題#65377;

4 總結(jié)

本文分析了802.1x在實際使用中(主要針對內(nèi)網(wǎng)和校園網(wǎng))存在的缺陷和問題，并且針對它的不足對802.1x協(xié)議作了一些改進#65377;由于MAC地址是可以改變的，而硬盤序列號是唯一的且不可更改，通過把注冊用戶的硬盤序列號作為該用戶的標識，加入到認證信息中一起發(fā)給認證服務器進行認證，同時將它加密后加到幀的頭部，在交換機端口設置對DiskID的過濾規(guī)則，而不再需要對MAC地址和IP地址進行綁定，就可以有效地防止一些盜用IP地址 和MAC地址的情況#65377;

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文。