趙躍華+錢(qián)強(qiáng)

摘 要：無(wú)線局域網(wǎng)（Wireless Local Area Network，WLAN）是一種開(kāi)放網(wǎng)絡(luò)，更易面臨各種安全風(fēng)險(xiǎn)，最典型的是非法用戶對(duì)無(wú)線接入點(diǎn)的入侵。因此，建立一個(gè)安全、完善的無(wú)線局域網(wǎng)應(yīng)用環(huán)境尤為必要。針對(duì)IEEE 802.1x認(rèn)證方式中EAP-TLS協(xié)議無(wú)法提供客戶端和認(rèn)證系統(tǒng)之間的雙向認(rèn)證從而造成中間人攻擊和拒絕服務(wù)攻擊的缺陷，通過(guò)在EAP-TLS協(xié)議的關(guān)鍵數(shù)據(jù)幀上引入身份ID機(jī)制實(shí)現(xiàn)對(duì)數(shù)據(jù)幀來(lái)源和真實(shí)性的驗(yàn)證，對(duì)客戶端和認(rèn)證系統(tǒng)之間傳輸?shù)乃蠩APOL幀的關(guān)鍵字段作加密處理，實(shí)現(xiàn)數(shù)據(jù)幀類(lèi)型的隱藏，進(jìn)而有效地增強(qiáng)EAP-TLS協(xié)議抵御攻擊的能力。

關(guān)鍵詞：IEEE 802.1x協(xié)議；EAP-TLS協(xié)議；Dos攻擊；信息安全

DOIDOI：10.11907/rjdk.171463

中圖分類(lèi)號(hào)：TP309

文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)文章編號(hào)：1672-7800（2017）008-0174-05

0 引言

隨著信息技術(shù)的發(fā)展，WLAN設(shè)備在人們的學(xué)習(xí)、工作及生活中逐漸普及，無(wú)線局域網(wǎng)功能配置于各種各樣的移動(dòng)終端上[1]，為用戶營(yíng)造了更加舒適、便捷的互聯(lián)網(wǎng)接入環(huán)境，但同時(shí)也引發(fā)了一些新的安全問(wèn)題。其原因在于：無(wú)線局域網(wǎng)的載體是電磁波，其網(wǎng)絡(luò)連接和傳輸使用的是射頻技術(shù)，因此它在面臨來(lái)自有線傳輸介質(zhì)相同的網(wǎng)絡(luò)層和傳輸層的攻擊時(shí)，還面臨針對(duì)WLAN協(xié)議標(biāo)準(zhǔn)的攻擊。比如針對(duì)校驗(yàn)傳輸數(shù)據(jù)完整性的循環(huán)冗余校驗(yàn)機(jī)制攻擊、有線等效加密方法的IV重攻擊、RC4的弱密鑰攻擊，以及安全驗(yàn)證中的偽裝無(wú)線接入點(diǎn)攻擊、偽裝移動(dòng)站攻擊、中間人攻擊等[2-3]。其中，2001年電氣和電子工程師協(xié)會(huì)針對(duì)無(wú)線局域網(wǎng)用戶接入認(rèn)證的攻擊推出了802.1x協(xié)議，但是該協(xié)議在使用EAP-TLS認(rèn)證方式時(shí)，非法用戶可以很容易地發(fā)起中間人攻擊和拒絕服務(wù)攻擊[4-5]。

1 IEEE802.1x協(xié)議體系

IEEE 802.1x協(xié)議是無(wú)線局域網(wǎng)為了解決安全認(rèn)證問(wèn)題的增強(qiáng)協(xié)議，其主要由客戶端、認(rèn)證系統(tǒng)、認(rèn)證服務(wù)器3部分內(nèi)容構(gòu)成。

（1）客戶端。大多數(shù)都安裝了客戶端軟件的終端系統(tǒng)，用戶首先啟動(dòng)客戶端系統(tǒng)，然后由系統(tǒng)啟用IEEE802.1x進(jìn)行身份驗(yàn)證。

（2）認(rèn)證系統(tǒng)。一般是指能夠使用802.1x協(xié)議的產(chǎn)品，該產(chǎn)品有兩個(gè)邏輯端口：非受控端口和受控端口。非受控端口從始至終都是雙向貫通的，這樣做的目的是傳輸EAPOL消息以保障客戶端隨時(shí)能夠收到和發(fā)出驗(yàn)證信息。而受控端口一般都是屬于停用狀態(tài)，客戶端驗(yàn)證成功時(shí)才開(kāi)啟該端口為用戶提供服務(wù)及傳遞信息。

（3）認(rèn)證服務(wù)器。一般是RADIUS服務(wù)器，用戶加密后的密碼、用戶名、訪問(wèn)控制列表、用戶所屬的虛擬局域網(wǎng)和優(yōu)先等級(jí)等信息都存儲(chǔ)在認(rèn)證服務(wù)器上，與用戶相關(guān)的信息在用戶認(rèn)證過(guò)后，認(rèn)證服務(wù)器會(huì)將其傳給認(rèn)證系統(tǒng)。IEEE 802.1x體系結(jié)構(gòu)如圖1所示。

2 EAP-TLS協(xié)議

EAP-TLS是針對(duì)傳輸層且基于證書(shū)的雙向認(rèn)證安全協(xié)議[7]。IEEE802.1x雖然在安全認(rèn)證方面屬于高層次解決方案，但是在認(rèn)證過(guò)程中欠缺交互性，僅僅是認(rèn)證服務(wù)器對(duì)客戶端的合法性進(jìn)行簡(jiǎn)單驗(yàn)證，而客戶端卻沒(méi)有對(duì)認(rèn)證服務(wù)器的身份進(jìn)行認(rèn)證，導(dǎo)致其過(guò)程容易遭受中間人攻擊，因此認(rèn)證方式存在著明顯缺陷。IEEE 802.11采用WEP共享加密密鑰，密鑰需要人工手動(dòng)更改，不僅操作不便，而且很容易泄露[8]。而EAP-TLS 協(xié)議在Radius和客戶端之間以證書(shū)為基礎(chǔ)相互驗(yàn)證，且認(rèn)證服務(wù)器和客戶端之間的驗(yàn)證過(guò)程是雙向的，能動(dòng)態(tài)生成加密數(shù)據(jù)的對(duì)稱(chēng)密鑰。因此，對(duì)于IEEE 802.1x協(xié)議使用EAP-TLS作為認(rèn)證類(lèi)型在很大程度上彌補(bǔ)了其單向認(rèn)證的不足。

3 EAP-TLS協(xié)議的安全缺陷

EAP-TLS以數(shù)字證書(shū)為基礎(chǔ)實(shí)現(xiàn)了客戶端和認(rèn)證服務(wù)器身份的互相驗(yàn)證，盡管這樣做在很大程度上彌補(bǔ)了IEEE 802.1x協(xié)議的不足，但其仍然忽視了認(rèn)證系統(tǒng)與客戶端之間的認(rèn)證，以致于攻擊者跳過(guò)EAP-TLS協(xié)議從而實(shí)現(xiàn)中間人攻擊和拒絕服務(wù)攻擊。

3.1 拒絕服務(wù)攻擊

在用戶和認(rèn)證系統(tǒng)之間，攻擊者偽裝成一個(gè)合法用戶，獲取客戶端與認(rèn)證系統(tǒng)傳輸?shù)乃袛?shù)據(jù)，監(jiān)視客戶端與認(rèn)證系統(tǒng)的驗(yàn)證過(guò)程。當(dāng)監(jiān)測(cè)到認(rèn)證系統(tǒng)給客戶端發(fā)送EAP-Success消息時(shí)，由于該數(shù)據(jù)幀使用明文傳輸，攻擊者可以解析出該數(shù)據(jù)幀，同時(shí)向客戶端傳輸EAPOL-Logoff信息，客戶端收到EAPOL-Logoff消息后，會(huì)主動(dòng)斷開(kāi)與認(rèn)證系統(tǒng)的連接，由于客戶端尚未完成通信任務(wù)，因而它會(huì)向認(rèn)證系統(tǒng)發(fā)起新的認(rèn)證請(qǐng)求。客戶端在被攻擊者以相同的方式多次攻擊后，認(rèn)證服務(wù)器對(duì)客戶端設(shè)置的認(rèn)證次數(shù)達(dá)到閾值，非受控端口被認(rèn)證服務(wù)器關(guān)停，而拒絕向客戶端提供認(rèn)證服務(wù)。拒絕服務(wù)攻擊流程如圖2所示。

3.2 中間人攻擊

在發(fā)起中間人攻擊時(shí)，攻擊者同樣是在客戶端與認(rèn)證系統(tǒng)之間，扮演合法用戶的角色，監(jiān)視客戶端和認(rèn)證系統(tǒng)的驗(yàn)證過(guò)程。在監(jiān)測(cè)認(rèn)證系統(tǒng)給客戶端發(fā)送的EAP-Success消息時(shí)，攻擊者立即給客戶端發(fā)送以攻擊者M(jìn)AC地址構(gòu)造的EAPOL-Logoff消息，客戶端收到EAPOL-Logoff消息后立即斷開(kāi)與認(rèn)證系統(tǒng)的連接并重新發(fā)起認(rèn)證，該認(rèn)證的發(fā)起對(duì)象為攻擊者。攻擊者將客戶端的認(rèn)證信息轉(zhuǎn)發(fā)給合法認(rèn)證系統(tǒng)，再將從合法認(rèn)證系統(tǒng)收到的消息轉(zhuǎn)發(fā)給客戶端，這樣就可以實(shí)現(xiàn)對(duì)中轉(zhuǎn)數(shù)據(jù)的篡改、偽造和丟棄，從而實(shí)現(xiàn)中間人攻擊。中間人攻擊流程如圖3所示。

4 EAP-TLS協(xié)議改進(jìn)與分析

4.1 EAP-TLS協(xié)議改進(jìn)方案

通過(guò)上述分析可知，攻擊者對(duì)EAP-TLS采取的系列攻擊都是在客戶端和認(rèn)證系統(tǒng)完成雙向認(rèn)證之后進(jìn)行的，因此客戶端不會(huì)對(duì)攻擊者發(fā)來(lái)的消息作任何驗(yàn)證，默認(rèn)它是合法認(rèn)證系統(tǒng)發(fā)來(lái)的消息，而且EAP-Success幀和EAPOL-Logoff幀均采用明文發(fā)送，攻擊者正是基于以上兩點(diǎn)缺陷才能輕易冒充認(rèn)證系統(tǒng)或者客戶端發(fā)送EAP-Success幀和EAPOL-ogoff幀，從而實(shí)現(xiàn)拒絕服務(wù)攻擊和中間人攻擊。endprint