陳金明，曾煒

?

基于802.1x的信息網(wǎng)絡(luò)接入控制安全認(rèn)證系統(tǒng)設(shè)計(jì)

陳金明，曾煒

摘 要：介紹了一種基于802.1x協(xié)議的信息網(wǎng)絡(luò)接入控制安全認(rèn)證系統(tǒng)，首先重點(diǎn)論證了認(rèn)證系統(tǒng)及組成的總體設(shè)計(jì)，其次指出了該系統(tǒng)的關(guān)鍵技術(shù)，最后總結(jié)了該系統(tǒng)對(duì)信息網(wǎng)絡(luò)接入控制和安全認(rèn)證的一些優(yōu)點(diǎn)。

關(guān)鍵詞：802.1x協(xié)議 信息網(wǎng)絡(luò) 接入控制 安全認(rèn)證

0 引言

隨著信息網(wǎng)絡(luò)的不斷延伸和不同種類(lèi)終端的接入，對(duì)終端和用戶的合法、有效性認(rèn)證成為迫在眉睫的工作。當(dāng)前，我國(guó)各級(jí)信息網(wǎng)絡(luò)接入控制及安全認(rèn)證還是各自為政，沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)，很多單位還沒(méi)有采取接入控制及認(rèn)證措施，信息網(wǎng)絡(luò)的接入還存在很大的安全隱患，應(yīng)該引起我們高度的重視。本文所介紹的安全認(rèn)證系統(tǒng)能完成對(duì)入網(wǎng)計(jì)算機(jī)終端、上網(wǎng)人員的認(rèn)證，能阻止非授權(quán)計(jì)算機(jī)終端、非授權(quán)用戶訪問(wèn)信息網(wǎng)絡(luò)的資源，從而實(shí)現(xiàn)對(duì)信息網(wǎng)絡(luò)的入網(wǎng)進(jìn)行有效管理。

1 認(rèn)證系統(tǒng)設(shè)計(jì)

為保障信息網(wǎng)絡(luò)的互聯(lián)互通和安全可靠，在不改變其網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上，按照802.1x體系結(jié)構(gòu)，對(duì)信息網(wǎng)絡(luò)的接入控制安全認(rèn)證系統(tǒng)進(jìn)行了總體設(shè)計(jì)。

1.1 認(rèn)證系統(tǒng)總體結(jié)構(gòu)

認(rèn)證系統(tǒng)硬件實(shí)體主要由認(rèn)證服務(wù)器、認(rèn)證設(shè)備、認(rèn)證客戶端3部分組成。認(rèn)證系統(tǒng)采用基于802.1x協(xié)議和Radius協(xié)議實(shí)現(xiàn)對(duì)服務(wù)器、認(rèn)證設(shè)備和客戶端3方的協(xié)調(diào)控制。對(duì)于客戶端來(lái)說(shuō)，認(rèn)證設(shè)備是控制訪問(wèn)網(wǎng)絡(luò)的接入設(shè)備。而對(duì)于服務(wù)器來(lái)說(shuō)，認(rèn)證設(shè)備是請(qǐng)求入網(wǎng)和下線的客戶端代理。在客戶端和認(rèn)證設(shè)備之間按照可擴(kuò)展認(rèn)證（Extensible Authenticalcen PretocolEAP），協(xié)議進(jìn)行交互，當(dāng)信息由認(rèn)證設(shè)備向服務(wù)器發(fā)送以及服務(wù)器做出回應(yīng)時(shí)，信息的內(nèi)容和格式按照Radius協(xié)議進(jìn)行封裝。

入網(wǎng)用戶利用標(biāo)準(zhǔn)的802.1x協(xié)議，通過(guò)EAPOL-START幀格式發(fā)起入網(wǎng)認(rèn)證，提供相應(yīng)的用戶名，認(rèn)證服務(wù)器通過(guò)認(rèn)證設(shè)備發(fā)給入網(wǎng)用戶“挑戰(zhàn)質(zhì)詢”幀，用戶將自己的認(rèn)證密碼等關(guān)鍵信息通過(guò)挑戰(zhàn)質(zhì)詢中的“認(rèn)證字”等信息一起，利用MD5報(bào)文摘要加密算法進(jìn)行信息加密，生成不可逆的新的“認(rèn)證字”，然后通過(guò)網(wǎng)絡(luò)發(fā)給認(rèn)證服務(wù)器，服務(wù)器利用同樣的方法生成加密“認(rèn)證字”，并進(jìn)行比較，并判別無(wú)線用戶是否合法，只有合法的用戶才能授權(quán)該用戶訪問(wèn)網(wǎng)絡(luò)的權(quán)利。

參照802.1x體系結(jié)構(gòu)，認(rèn)證系統(tǒng)總體結(jié)構(gòu)包括三個(gè)方面的內(nèi)容，即安全認(rèn)證客戶端軟件、認(rèn)證服務(wù)器及用戶信息管理軟件、認(rèn)證設(shè)備端軟件。系統(tǒng)采用工程化的方法，按照軟件工程的步驟，利用統(tǒng)一建模語(yǔ)言UML工具，重點(diǎn)介紹認(rèn)證客戶端軟件和認(rèn)證服務(wù)器軟件的設(shè)計(jì)。

1.2 認(rèn)證客戶端設(shè)計(jì)

客戶端能識(shí)別所在的環(huán)境，配置相應(yīng)的參數(shù)，提供用戶認(rèn)證信息，按照協(xié)議的會(huì)話過(guò)程與認(rèn)證設(shè)備進(jìn)行交互，同時(shí)讀取認(rèn)證的狀態(tài)，提示用戶是否通過(guò)認(rèn)證?？蛻舳送ㄟ^(guò)對(duì)話框，輸入入網(wǎng)用戶的相關(guān)信息，如用戶名、密碼、ID號(hào)等相關(guān)信息，利用EAP-MD5進(jìn)行封裝，傳輸給接入設(shè)備，并通過(guò)接入設(shè)備作為代理與認(rèn)證服務(wù)器通信，實(shí)現(xiàn)客戶端的認(rèn)證請(qǐng)求及回答。并提示認(rèn)證是否成功等相關(guān)信息。

客戶端認(rèn)證模塊層次結(jié)構(gòu)主要有：物理層、數(shù)據(jù)鏈路層、Winpcap驅(qū)動(dòng)、協(xié)議處理層（原始數(shù)據(jù)讀寫(xiě)接口、協(xié)議分析、協(xié)議封裝）、應(yīng)用層等。如圖1所示：

圖1　客戶端認(rèn)證模塊的層次結(jié)構(gòu)

客戶端各模塊的功能如下：

1.物理層，主要是通過(guò)相同的信號(hào)及編碼方式、物理尺寸等功能實(shí)現(xiàn)客戶終端與網(wǎng)絡(luò)的互聯(lián)。

2.鏈路層，主要通過(guò)介質(zhì)訪問(wèn)控制協(xié)議、收發(fā)數(shù)據(jù)幀，實(shí)現(xiàn)鏈路之間的無(wú)差錯(cuò)傳輸。

3.WinPcap驅(qū)動(dòng)層，在鏈路層之上，監(jiān)聽(tīng)網(wǎng)絡(luò)的收發(fā)。

4.協(xié)議處理層，能分析收到的認(rèn)證信息，根據(jù)其字段含義進(jìn)行相應(yīng)的處理；也能根據(jù)應(yīng)用層的要求，完成協(xié)議包的封裝，并交給下層進(jìn)行傳輸。

5.應(yīng)用層，實(shí)現(xiàn)人機(jī)接口，提供主界面，獲取認(rèn)證信息，顯示認(rèn)證成功或失敗的狀態(tài)等。

1.3 認(rèn)證服務(wù)器設(shè)計(jì)

認(rèn)證服務(wù)器是系統(tǒng)的核心，它具備對(duì)用戶的認(rèn)證、授權(quán)、審計(jì)（計(jì)賬）以及日志功能。服務(wù)器端能夠處理認(rèn)證設(shè)備發(fā)送的用戶認(rèn)證請(qǐng)求，在用戶身份通過(guò)驗(yàn)證之后授予用戶訪問(wèn)網(wǎng)絡(luò)的權(quán)限。通過(guò)審計(jì)功能可以實(shí)現(xiàn)對(duì)用戶上線、下線的監(jiān)控，同時(shí)通過(guò)向數(shù)據(jù)庫(kù)寫(xiě)入日志以便于后期對(duì)用戶行為進(jìn)行安全審計(jì)。

認(rèn)證服務(wù)器端需要設(shè)計(jì)的軟件主要包括認(rèn)證服務(wù)軟件和數(shù)據(jù)管理系統(tǒng)。認(rèn)證服務(wù)軟件由服務(wù)偵聽(tīng)子系統(tǒng)、報(bào)文處理子系統(tǒng)、認(rèn)證授權(quán)子系統(tǒng)、審計(jì)子系統(tǒng)、日志子系統(tǒng)組成。服務(wù)器端軟件體系結(jié)構(gòu)如圖2所示：

圖2　服務(wù)器端軟件體系結(jié)構(gòu)

1.4 認(rèn)證設(shè)備端設(shè)計(jì)

認(rèn)證設(shè)備是終端用戶與認(rèn)證服務(wù)器之間的橋梁和代理。認(rèn)證系統(tǒng)使用EAP協(xié)議，來(lái)實(shí)現(xiàn)客戶端、認(rèn)證設(shè)備和認(rèn)證服務(wù)器之間認(rèn)證信息的交換。在客戶端與認(rèn)證設(shè)備之間，EAP協(xié)議報(bào)文使用EAPOL封裝格式，直接承載于本地網(wǎng)絡(luò)環(huán)境中。在認(rèn)證設(shè)備與RADIUS服務(wù)器之間，可以使用兩種方式來(lái)交換信息。一種是EAP協(xié)議報(bào)文由設(shè)備端進(jìn)行中繼；另一種是EAP協(xié)議報(bào)文由設(shè)備端進(jìn)行終結(jié)，采用包含PAP或CHAP屬性的報(bào)文與RADIUS服務(wù)器進(jìn)行認(rèn)證交互。

認(rèn)證設(shè)備主要由代理層、驅(qū)動(dòng)層和物理層組成：

物理層，主要是通過(guò)相同的信號(hào)及編碼方式、物理尺寸等功能實(shí)現(xiàn)與網(wǎng)絡(luò)的互聯(lián)。

驅(qū)動(dòng)層，實(shí)現(xiàn)認(rèn)證協(xié)議幀的收發(fā)。

代理層，分析收到的認(rèn)證信息，并根據(jù)其字段含義進(jìn)行相應(yīng)的處理和轉(zhuǎn)發(fā)。代理層能根據(jù)認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果控制認(rèn)證設(shè)備的物理端口狀態(tài)、授權(quán)方式、受控方向及接入控制方式等功能。

2 關(guān)鍵技術(shù)

為了保證接入控制安全認(rèn)證系統(tǒng)滿足跨地區(qū)、跨部門(mén)的大規(guī)模網(wǎng)絡(luò)的安全可靠運(yùn)行，系統(tǒng)在管理機(jī)制、并行處理、加密解密以及雙機(jī)備份等關(guān)鍵技術(shù)上采用相應(yīng)的措施。

2.1 分級(jí)分類(lèi)信息管理機(jī)制

針對(duì)信息網(wǎng)絡(luò)三級(jí)管理機(jī)制，每一級(jí)有相應(yīng)的管理人員和終端使用人員組成，每一級(jí)人員均具有相應(yīng)的唯一代碼ID，并設(shè)置不同的管理級(jí)別和相應(yīng)的權(quán)限。對(duì)于特殊用途的信息，如視頻終端等，采用基于MAC地址、流量類(lèi)型等相應(yīng)的訪問(wèn)控制策略，提高入網(wǎng)的安全機(jī)制。

2.2 服務(wù)器并行請(qǐng)求處理技術(shù)

系統(tǒng)采用了服務(wù)器并行請(qǐng)求處理技術(shù)提高用戶接入認(rèn)證的效率。當(dāng)大量用戶同時(shí)接入網(wǎng)絡(luò)的時(shí)候，認(rèn)證服務(wù)器會(huì)面臨高度并發(fā)的接入請(qǐng)求。為了最大限度滿足用戶的需求，提高接入認(rèn)證的效率，系統(tǒng)采用多線程機(jī)制實(shí)現(xiàn)對(duì)請(qǐng)求的并行處理。服務(wù)器處理的接入請(qǐng)求主要包括認(rèn)證設(shè)備向服務(wù)器提交的認(rèn)證請(qǐng)求和審計(jì)請(qǐng)求。因此服務(wù)器系統(tǒng)可根據(jù)請(qǐng)求的類(lèi)型將處理的請(qǐng)求分發(fā)給不同的線程進(jìn)行處理。在服務(wù)器面臨的請(qǐng)求量較大時(shí)，系統(tǒng)可進(jìn)一步擴(kuò)展線程隊(duì)列，提高請(qǐng)求處理的效率。

2.3 加密解密技術(shù)

認(rèn)證服務(wù)器與認(rèn)證設(shè)備之間的信息交互在Radius協(xié)議的基礎(chǔ)上對(duì)敏感信息進(jìn)行加密，基于MD5的報(bào)文摘要算法對(duì)數(shù)據(jù)包完整性進(jìn)行檢測(cè)。首先，認(rèn)證設(shè)備和服務(wù)器之間設(shè)有共享密鑰機(jī)制。系統(tǒng)利用共享密鑰和基于MD5算法對(duì)報(bào)文中的數(shù)據(jù)進(jìn)行加密處理，而共享密鑰不通過(guò)網(wǎng)絡(luò)傳輸。其次，認(rèn)證授權(quán)和審計(jì)采用了認(rèn)證碼機(jī)制。接入認(rèn)證設(shè)備和服務(wù)器之間交互的報(bào)文中含有16個(gè)字節(jié)的認(rèn)證碼，在共享密鑰的生命周期內(nèi)是一個(gè)不可預(yù)測(cè)的唯一值,用于對(duì)報(bào)文進(jìn)行簽名和口令加密，實(shí)現(xiàn)安全性檢查?？蛻舳税l(fā)出的請(qǐng)求包中的認(rèn)證碼為請(qǐng)求認(rèn)證碼；服務(wù)器發(fā)出的響應(yīng)包中的認(rèn)證碼為響應(yīng)認(rèn)證碼。

2.4 雙服務(wù)器備份機(jī)制

系統(tǒng)引入雙服務(wù)器備份機(jī)制提高認(rèn)證的可靠性。系統(tǒng)接入與身份認(rèn)證控制系統(tǒng)對(duì)于保障用戶安全接入信息系統(tǒng)至關(guān)重要，其中某些部件發(fā)生錯(cuò)誤會(huì)引起系統(tǒng)的失效。為了保證系統(tǒng)能夠穩(wěn)定可靠的運(yùn)轉(zhuǎn)，采取了雙服務(wù)器備份的機(jī)制實(shí)現(xiàn)系統(tǒng)容錯(cuò)，雙服務(wù)器之間采用心跳線進(jìn)行通信和同步。當(dāng)主服務(wù)器長(zhǎng)時(shí)間沒(méi)有響應(yīng)（可能是負(fù)荷過(guò)重）時(shí)，認(rèn)證設(shè)備即認(rèn)為其失效。此時(shí)，認(rèn)證設(shè)備會(huì)向備用服務(wù)器發(fā)起請(qǐng)求。這樣，既保證了容錯(cuò)，又可以減輕單個(gè)服務(wù)器的負(fù)載。

3 總結(jié)

本設(shè)計(jì)采用的認(rèn)證系統(tǒng)具有一些獨(dú)到的優(yōu)點(diǎn)。即客戶端與認(rèn)證設(shè)備之間直接連接，沒(méi)有中間節(jié)點(diǎn)，不會(huì)受到中間人的截獲分析和入侵攻擊；系統(tǒng)采用挑戰(zhàn)質(zhì)詢加密認(rèn)證方式，安全可靠性高；系統(tǒng)采用的802.1x協(xié)議是一個(gè)通用的標(biāo)準(zhǔn)協(xié)議，易于擴(kuò)展和移植，且不依賴于終端使用的平臺(tái)（如不同的操作系統(tǒng)）；認(rèn)證代理和認(rèn)證服務(wù)器之間的報(bào)文可以穿越多層路由器，滿足大型網(wǎng)絡(luò)認(rèn)證需要；該系統(tǒng)成本低廉，現(xiàn)有的交換設(shè)備基本上都支持802.1x協(xié)議，不需要額外增加設(shè)備和投資，如果都采用這種認(rèn)證方式，相對(duì)于TGA008/009型基于IP的認(rèn)證設(shè)備而言，可節(jié)省數(shù)十億人民幣的資金，經(jīng)濟(jì)效益十分顯著；系統(tǒng)可以通過(guò)透?jìng)魍ǖ老螺d安裝客戶端認(rèn)證程序，可以通過(guò)瀏覽器方式進(jìn)行管理，安裝快捷，管理方便。

參考文獻(xiàn)

[1] 張玉清.網(wǎng)絡(luò)攻擊與防御技術(shù)[M].北京：清華大學(xué)出版社，2012.

[2] 唐正軍.網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[M].北京：電子工業(yè)出版社，2012.

[3] 陳金明.指揮信息系統(tǒng)無(wú)線延伸的安全認(rèn)證問(wèn)題研究與設(shè)計(jì)[R].武漢：國(guó)防信息學(xué)院，2013.

Safety Authentication System for Information Network Access Control Based on 802.1x Protocol

Chen Jinming, Zeng Wei
(PLA Academy of National Defense Information, Wuhan 430010, China)

Abstract:This paper introduces a system of information network safety authentication based on 802.1x protocol. First, it focuses on design of system architecture and components , and then it points out key technologies of the system; last, it summarizes design advantages of system of information network access control and safety authentication.

Key words:802.1x Protocol; Information Network; Access Control; Safety Authentication

收稿日期：（2015.09.22）

作者簡(jiǎn)介：陳金明（1967-），男，國(guó)防信息學(xué)院信息化指揮系，副教授 ，碩士，研究方向：網(wǎng)絡(luò)存儲(chǔ)、信息安全等，武漢，430010 曾 煒（1987-），男，國(guó)防信息學(xué)院信息化指揮系，助教，碩士研究生，研究方向：信息安全，武漢，430010

文章編號(hào)：1007-757X(2016)02-0061-02

中圖分類(lèi)號(hào)：TP311

文獻(xiàn)標(biāo)志碼：A