【摘 要】IEEE802.1x是基于端口的網(wǎng)絡(luò)接入控制協(xié)議，它提供了一個可靠的用戶認(rèn)證和密鑰分發(fā)框架，與上層的EAP配合實現(xiàn)認(rèn)證，并能與后臺Radius認(rèn)證服務(wù)器進(jìn)行通訊，更有效實現(xiàn)有線城域網(wǎng)AAA（Authentication認(rèn)證、Authorization授權(quán)、Accounting計費）策略；并且802.1x協(xié)議起源于802.11協(xié)議，主要用于解決無線局域網(wǎng)用戶的接入認(rèn)證鑒權(quán)問題，而Wi_Fi聯(lián)盟公布的WPA（Wi-Fi Protected Access）是IEEE802.11i標(biāo)準(zhǔn)的一個子集，其核心就是IEEE802.1X和TKIP文章主要解決802.11和802x協(xié)議的結(jié)合，并對有線無線混合或單一形態(tài)的網(wǎng)絡(luò)安全認(rèn)證提出應(yīng)用方案，并在Linux環(huán)境下使用Libpcap和Libnet庫函數(shù)編程實現(xiàn)客戶認(rèn)證機(jī)制，有效地阻止非法用戶的入侵。

【關(guān)鍵詞】無線局域網(wǎng);802.1x;AAA認(rèn)證;擴(kuò)展身份驗證協(xié)議】

1．無線局域網(wǎng)的安全與認(rèn)證演變

IEEE802.11（IEEE標(biāo)準(zhǔn)）無線局域網(wǎng)的安全一般采用業(yè)務(wù)組標(biāo)識符（SSID）和物理地址（MAC）過濾。對于802.11業(yè)務(wù)組標(biāo)識符（SSID），接入點AP可以用一個服務(wù)集標(biāo)識SSID（Service Set Identifier）或ESSID（Extensible Service Set Identifier）來配置，與接入點有關(guān)的網(wǎng)卡必須知道SSID以便在網(wǎng)絡(luò)中發(fā)送和接收數(shù)據(jù)，這是一個非常脆弱的安全手段，因為SSID通過明文在大氣中傳送，甚至被接入點廣播，所有的網(wǎng)卡和接入點都知道SSID。物理地址（MAC）過濾屬于硬件認(rèn)證，而不是用戶認(rèn)證。這種方式要求AP中的MAC地址列表必需隨時更新，目前都是手工操作，擴(kuò)展能力差，因此只適合小型網(wǎng)絡(luò)規(guī)模。

TKIP（Temporal Key Integrity Protocol）是新一代的加密技術(shù)，對現(xiàn)有的WEP進(jìn)行了改進(jìn)，在IEEE 802.11i規(guī)范中，動態(tài)密鑰完整性協(xié)議（TKIP）負(fù)責(zé)處理無線安全問題的加密部分。TKIP盡管可以解決許多WEP存在的問題，但卻不能解決最糟糕的問題：所有人都在無線局域網(wǎng)上不斷重復(fù)使用一個眾所周知的密鑰。為了解決這個問題，TKIP生成混合到每個包密鑰中的基本密鑰。無線站每次與接入點建立聯(lián)系時，就生成一個新基本密鑰，這個基本密鑰通過將特定的會話內(nèi)容與用接入點和無線站生成的一些隨機(jī)數(shù)以及接入點和無線站的MAC地址進(jìn)行散列處理來產(chǎn)生。但采用802.1x認(rèn)證，這個會話內(nèi)容是特定的，而且由認(rèn)證服務(wù)器安全地傳送給無線站，也就解決了TKIP的缺陷。

2．802.1x協(xié)議的工作機(jī)制

IIEEE 802.1x協(xié)議的體系結(jié)構(gòu)主要包括三部分實體：客戶端Supplicant System、認(rèn)證系統(tǒng)Authenticator System、認(rèn)證服務(wù)器Authentication Server System?？蛻舳讼到y(tǒng)一般為安裝有客戶端軟件的用戶終端系統(tǒng)，用戶通過客戶端軟件發(fā)起802.1x協(xié)議認(rèn)證過程，認(rèn)證通過后可以發(fā)起IP地址請求。

（1）客戶端：一般為一個用戶終端系統(tǒng)，該終端系統(tǒng)通常要安裝一個客戶端軟件，用戶通過啟動這個客戶端軟件發(fā)起IEEE 802.1x協(xié)議的認(rèn)證過程。

（2）認(rèn)證系統(tǒng)：通常為支持IEEE 802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備。利用802.1x，EAP（Extensible Authentication Protocal可擴(kuò)展的身份驗證協(xié)議）可以用來在申請者和身份驗證服務(wù)器之間傳遞驗證信息對應(yīng)于不同用戶的端口有兩個邏輯端口：受控（controlled Port）端口和非受控端口（uncontrolled Port）。第一個邏輯接入點（非受控端口），允許驗證者和 LAN 上其它計算機(jī)之間交換數(shù)據(jù)，而無需考慮計算機(jī)的身份驗證狀態(tài)如何。非受控端口始終處于雙向連通狀態(tài)（開放狀態(tài)），主要用來傳遞EAPOL（Extensible Authentication Protocal Over Lan 局域網(wǎng)擴(kuò)展認(rèn)證協(xié)議，一般指EAP消息幀）協(xié)議幀，可保證客戶端始終可以發(fā)出或接受認(rèn)證。第二個邏輯接入點（受控端口），允許經(jīng)驗證的 LAN 用戶和驗證者之間交換數(shù)據(jù)。受控端口平時處于關(guān)閉狀態(tài)，只有在客戶端認(rèn)證通過時才打開，用于傳遞數(shù)據(jù)和提供服務(wù)。受控端口可配置為雙向受控、僅輸入受控兩種方式，以適應(yīng)不同的應(yīng)用程序。如果用戶未通過認(rèn)證，則受控端口處于未認(rèn)證（關(guān)閉）狀態(tài)，則用戶無法訪問認(rèn)證系統(tǒng)提供的服務(wù)。

（3）認(rèn)證服務(wù)器：通常為RADIUS（Remote Authentication Dial-In Service）服務(wù)器，該服務(wù)器可以存儲有關(guān)用戶的信息，比如用戶名和口令、用戶所屬的VLAN、優(yōu)先級、用戶的訪問控制列表等。當(dāng)用戶通過認(rèn)證后，認(rèn)證服務(wù)器會把用戶的相關(guān)信息傳遞給認(rèn)證系統(tǒng)，由認(rèn)證系統(tǒng)構(gòu)建動態(tài)的訪問控制列表，用戶的后續(xù)數(shù)據(jù)流就將接受上述參數(shù)的監(jiān)管。

3.802.1x協(xié)議的認(rèn)證過程

3.1 802.1x認(rèn)證雙工模型

IEEE 802.1x 稱為基于端口的訪問控制協(xié)議。能夠在利用IEEE 802 LAN的優(yōu)勢基礎(chǔ)上提供一種對連接到局域網(wǎng)（LAN）設(shè)備或用戶進(jìn)行認(rèn)證和授權(quán)的手段。通過這種方式的認(rèn)證，能夠在 LAN 這種多點訪問環(huán)境中提供一種點對點的識別用戶的方式。IEEE802.1x識別的控制端口可以是連接到LAN的一個單點結(jié)構(gòu)、被認(rèn)證系統(tǒng)的MAC地址、服務(wù)器或網(wǎng)絡(luò)設(shè)備連接LAN的物理端口、IEEE 802.11 無線 LAN 環(huán)境中定義的工作站和訪問點，能夠靈活有效的對802.11無線局域網(wǎng)和有線以太網(wǎng)絡(luò)進(jìn)行驗證與網(wǎng)絡(luò)訪問權(quán)限。802.1x協(xié)議僅僅關(guān)注端口的打開與關(guān)閉，對于合法用戶接入時，打開端口；對于非法用戶接入或沒有用戶接入時，則端口處于關(guān)閉狀態(tài)。802.1x協(xié)議實質(zhì)上是基于端口對接入的合法性進(jìn)行認(rèn)證，進(jìn)而決定允許或拒絕資源接入網(wǎng)絡(luò)。它認(rèn)證體系結(jié)構(gòu)中，引入了“受控端口”與“不受控端口”概念，將一個物理LAN端口定義為“受控端口”與“不受控端口”兩類邏輯LAN接入點。不受控端口只能傳送認(rèn)證的協(xié)議報文，受控端口傳送業(yè)務(wù)報文。

3.2 802.1x認(rèn)證過程

利用IEEE 802.1x可以進(jìn)行身份驗證，如果計算機(jī)要求在不管用戶是否登錄網(wǎng)絡(luò)的情況下都訪問網(wǎng)絡(luò)資源，可以指定計算機(jī)是否嘗試訪問該網(wǎng)絡(luò)的身份驗證。以下步驟描述了利用接入點AP和RADIUS服務(wù)器對移動節(jié)點進(jìn)行身份驗證的基本方法。如果沒有有效的身份驗證密鑰，AP會禁止所有的網(wǎng)絡(luò)流量通過。

4．結(jié)束語

802.1x協(xié)議僅僅提供了一種用戶接入認(rèn)證的手段，并簡單地通過控制接入端口的開/關(guān)狀態(tài)來實現(xiàn)，這種簡化適用于無線局域網(wǎng)的接入認(rèn)證、點對點物理或邏輯端口的接入認(rèn)證。802.11與802.1x的結(jié)合提供健壯的安全無線環(huán)境和完善有線無線混合網(wǎng)絡(luò)交互認(rèn)證。本文的創(chuàng)新點在于基于IEEE802.1x/EAP協(xié)議規(guī)范，采用無線網(wǎng)絡(luò)端口控制技術(shù)，提出了一種結(jié)合有線與無線網(wǎng)絡(luò)的認(rèn)證系統(tǒng)的設(shè)計和實現(xiàn)方案，并給出認(rèn)證客戶端（基于Windows下）和認(rèn)證者（基于Linux下）具體實現(xiàn)編程，該系統(tǒng)通過認(rèn)證檢查能有效的阻止非法用戶入侵，提高了PWLAN的安全性能。 [科]

【參考文獻(xiàn)】

［１］曹萍，裴文江.EAP-FAST在公共無線局域網(wǎng)安全接入控制中的研究及實現(xiàn)[J].中國工程科學(xué)，2005，7(12)：78-82．