[摘要]介紹802.1x協(xié)議的體系結(jié)構(gòu)及認(rèn)證機(jī)理。并針對(duì)多種設(shè)備,給出不同的測(cè)試方法,文后總結(jié)和介紹802.1x的安全問(wèn)題。
[關(guān)鍵詞]802.1x 認(rèn)證 分析
中圖分類(lèi)號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)0310038-01
一、目前廣泛采用的認(rèn)證模式及其簡(jiǎn)單介紹
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,INTERNET主干網(wǎng)的不斷擴(kuò)容,加之信息化的建設(shè),網(wǎng)絡(luò)已經(jīng)成為工作、生活中不可或缺的一部分。當(dāng)前主流的上網(wǎng)認(rèn)證方式有3種:PPPOE、WEB/PORTAL、802.1X。
PPPOE(PPP OVER ETHERNET)是90年代后期由REDBACK、ROUTERWARE、WORLDCOM三家公司在IETF RFC的基礎(chǔ)上聯(lián)合開(kāi)發(fā)的一個(gè)以太網(wǎng)點(diǎn)對(duì)點(diǎn)協(xié)議。PPPOE認(rèn)證需要將PPP協(xié)議再次封裝到以太網(wǎng)中,網(wǎng)絡(luò)封裝開(kāi)銷(xiāo)很大,容易造成網(wǎng)絡(luò)瓶頸。PPPOE使用廣播報(bào)文發(fā)起認(rèn)證,容易引起廣播風(fēng)暴。PPPOE認(rèn)證系統(tǒng)需要外接BAS服務(wù)器對(duì)用戶的每個(gè)數(shù)據(jù)報(bào)文進(jìn)行拆包識(shí)別和封裝轉(zhuǎn)發(fā),認(rèn)證報(bào)文和業(yè)務(wù)數(shù)據(jù)均需經(jīng)過(guò)BAS,容易引起網(wǎng)絡(luò)瓶頸。加上PPPOE協(xié)議本身是基于點(diǎn)對(duì)點(diǎn)的會(huì)話,因此無(wú)法實(shí)現(xiàn)組播業(yè)務(wù)。
WEB/PORTAL認(rèn)證的絕對(duì)優(yōu)勢(shì)在于它不需要用戶安裝特定的客戶端軟件,有效降低了網(wǎng)絡(luò)維護(hù)的工作量。但是WEB認(rèn)證采用的是第7層應(yīng)用層協(xié)議,而網(wǎng)絡(luò)認(rèn)證是采用的第2層連接。因此WEB/PORTAL認(rèn)證用戶連接性較差,不容易檢測(cè)用戶離線,基于時(shí)間的計(jì)費(fèi)較難實(shí)現(xiàn)。比如斷電、突發(fā)故障等異常離線情況必須在2層做檢測(cè),而WEB/PORTAL對(duì)此毫無(wú)辦法。
二、802.1x的協(xié)議分析
(一)802.1x的簡(jiǎn)單介紹
IEEE802.1x協(xié)議稱為基于端口的訪問(wèn)控制協(xié)議(Port based network access control protoco1),由IEEE(Institute of Electrical and Electronics Engineers)于2001年6月提出的,它以操作粒度為端口,提供了一種基于端口的網(wǎng)絡(luò)接入控制技術(shù),在設(shè)備的物理接入級(jí)對(duì)接入設(shè)備進(jìn)行認(rèn)證和控制。
802.1x協(xié)議是基于Client/Server的訪問(wèn)控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過(guò)接入端口訪問(wèn)LAN/MAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前,802.1x對(duì)連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過(guò)之前,802.1x只允許EAPoL(基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議)數(shù)據(jù)通過(guò)設(shè)備連接的交換機(jī)端口;認(rèn)證通過(guò)以后,正常的數(shù)據(jù)可以順利地通過(guò)以太網(wǎng)端口。
(二)802.1x的體系結(jié)構(gòu)
802.1x由認(rèn)證服務(wù)器(Authentication)、認(rèn)證系統(tǒng)(Authenticator)和客戶端系統(tǒng)(Supplicant)組成。
認(rèn)證服務(wù)器一般為RADIUS服務(wù)器。在認(rèn)證服務(wù)器上,一般存儲(chǔ)有用戶的帳號(hào)、密碼、所處網(wǎng)絡(luò)的邏輯方位、優(yōu)先級(jí)及用戶的訪問(wèn)控制信息等。認(rèn)證系統(tǒng)為支持802.1X協(xié)議的網(wǎng)絡(luò)設(shè)備。
認(rèn)證系統(tǒng)中支持兩種邏輯端口,受控端口(Controlled Port)和非受控端口(Uncontrolled Port)。受控端口只有在認(rèn)證通過(guò)的狀態(tài)下才打開(kāi),用于傳遞網(wǎng)絡(luò)資源和服務(wù)。非受控端口始終處于雙向連通狀態(tài),主要用來(lái)傳遞EAPOL協(xié)議幀,可保證客戶端始終可以發(fā)出或接受認(rèn)證。
客戶端系統(tǒng)一般為一個(gè)用戶終端系統(tǒng),該終端系統(tǒng)通常要安裝一個(gè)客戶端軟件,用戶通過(guò)啟動(dòng)這個(gè)客戶端軟件發(fā)起IEEE 802.1x協(xié)議的認(rèn)證過(guò)程。為支持基于端口的接入控制,客戶端系統(tǒng)需支持EAPOL(extensible authentication protocol overLAN)協(xié)議。
(三)802.1x協(xié)議的標(biāo)準(zhǔn)認(rèn)證過(guò)程
1.802.1x客戶端發(fā)送一個(gè)請(qǐng)求認(rèn)證的報(bào)文(EAPOL-Start)發(fā)送給認(rèn)證系統(tǒng),這是802.1x認(rèn)證的發(fā)起。2.認(rèn)證系統(tǒng)在收到請(qǐng)求報(bào)文后,發(fā)送報(bào)文給客戶端,要求客戶端發(fā)送認(rèn)證信息。3.客戶端響應(yīng)認(rèn)證系統(tǒng)的要求,將用戶信息傳送給認(rèn)證系統(tǒng);認(rèn)證系統(tǒng)經(jīng)過(guò)封裝、處理后將該數(shù)據(jù)轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器。4.認(rèn)證服務(wù)器收到認(rèn)證系統(tǒng)轉(zhuǎn)發(fā)的報(bào)文后,對(duì)用戶信息用隨機(jī)產(chǎn)生的加密字進(jìn)行加密處理(802.1x默認(rèn)采用MD5加密),同時(shí)將該加密字封裝成數(shù)據(jù)包傳送給認(rèn)證系統(tǒng),由認(rèn)證系統(tǒng)轉(zhuǎn)發(fā)給客戶端。5.客戶端收到加密字后,用該加密字對(duì)用戶口令進(jìn)行加密,并通過(guò)認(rèn)證系統(tǒng)傳送給認(rèn)證服務(wù)器。6.認(rèn)證服務(wù)器匹配客戶端傳送的用戶名和密碼,如符合,返回一個(gè)成功信息,并打開(kāi)認(rèn)證系統(tǒng)的端口,允許非802.1x數(shù)據(jù)流通過(guò);否則,返回失敗信息,認(rèn)證系統(tǒng)的端口狀態(tài)維持不變。
三、802.1x在曉莊學(xué)院的測(cè)試以及技術(shù)處理
(一)曉莊校園網(wǎng)網(wǎng)絡(luò)拓?fù)涫疽鈭D
曉莊學(xué)院學(xué)生公寓均采用DHCP動(dòng)態(tài)分配IP地址,接入設(shè)備為銳捷和港灣的二層交換機(jī)。認(rèn)證服務(wù)器采用北京億郵的認(rèn)證服務(wù)器。
(二)802.1x技術(shù)測(cè)試方法
由于對(duì)802.1X認(rèn)識(shí)的差異性及對(duì)802.1X不同的私有函數(shù)擴(kuò)展,實(shí)際測(cè)試過(guò)程中,802.1X的標(biāo)準(zhǔn)認(rèn)證過(guò)程沒(méi)有辦法解決曉莊學(xué)院的實(shí)際需求。在測(cè)試過(guò)程中,對(duì)于港灣設(shè)備,采用認(rèn)證和計(jì)費(fèi)相分離的方法;對(duì)于銳捷的設(shè)備,采用了在客戶端兩次發(fā)布同一報(bào)文的方法。
四、802.1x的安全性認(rèn)識(shí)
由于802.1x采用單向認(rèn)證,即認(rèn)證系統(tǒng)只認(rèn)證用戶,并無(wú)法認(rèn)證認(rèn)證者本身的合法性。使得位于合法用戶與認(rèn)證服務(wù)器之間的攻擊者,可以攔截802.1X報(bào)文,并對(duì)該報(bào)文進(jìn)行修改,達(dá)到攻擊者偽裝成合法認(rèn)證者的目的。
由于認(rèn)證報(bào)文與業(yè)務(wù)數(shù)據(jù)之間缺少狀態(tài)轉(zhuǎn)換信息的交流,給攻擊者留下了獲取游離信息(包含MAC地址信息等)的機(jī)會(huì),使得攻擊者可以利用這段時(shí)間,在合法用戶身份認(rèn)證通過(guò)后,利用該游離信息非法竊取本應(yīng)屬于合法用戶的正當(dāng)IP地址,從而獲得網(wǎng)絡(luò)使用權(quán)限。
參考文獻(xiàn):
[1]吳紹興、鄭柯、項(xiàng)延鐵,路由器安全與AAA認(rèn)證的研究與應(yīng)用,南陽(yáng)師范學(xué)院學(xué)報(bào)(自然科學(xué)版),2004.3.
[2]李巍,利用動(dòng)態(tài)VLAN技術(shù)與802.1x認(rèn)證構(gòu)建安全靈活的局域網(wǎng),中國(guó)金融電腦,2005.
[3]王謙,利用802.1x協(xié)議實(shí)現(xiàn)局域網(wǎng)接入的可控管理,江蘇電機(jī)工程,2005.
作者簡(jiǎn)介:
蔣振兵,男,江蘇省泰州市興化市,本科,研究方向計(jì)算機(jī)科學(xué)與技術(shù)。