- 相關(guān)推薦
WLAN中802.1x協(xié)議的安全和應(yīng)用研究
摘要 首先分析了802.11無線局域網(wǎng)的組網(wǎng)原理和基本安全手段,重點討論了廣泛應(yīng)用的安全協(xié)議―IEEE 802.1x認(rèn)證協(xié)議,最后簡單地介紹了IEEE 802.1x協(xié)議的特點、應(yīng)用和發(fā)展方向。
關(guān)鍵詞 無線局域網(wǎng),802.1x,認(rèn)證服務(wù)器,安全協(xié)議,WAPI
1 802.11無線局域網(wǎng)的安全機(jī)制
802.11無線局域網(wǎng)運(yùn)作模式基本分為兩種:點對點(Ad Hoc)模式和基本(Infrastructure)模式。點對點模式指無線網(wǎng)卡和無線網(wǎng)卡之間的直接通信方式。只要PC插上無線網(wǎng)卡即可與另一具有無線網(wǎng)卡的PC連接,這是一種便捷的連接方式,最多可連接256個移動節(jié)點。基本模式指無線網(wǎng)絡(luò)規(guī)模擴(kuò)充或無線和有線網(wǎng)絡(luò)并存的通信方式,這也是802.11最常用的方式。此時,插上無線網(wǎng)卡的移動節(jié)點需通過接入點AP(Access Point)與另一臺移動節(jié)點連接。接入點負(fù)責(zé)頻段管理及漫游管理等工作,一個接入點最多可連接1024個移動節(jié)點。當(dāng)無線網(wǎng)絡(luò)節(jié)點擴(kuò)增時,網(wǎng)絡(luò)存取速度會隨著范圍擴(kuò)大和節(jié)點的增加而變慢,此時添加接入點可以有效控制和管理頻寬與頻段。
與有線網(wǎng)絡(luò)相比較,無線網(wǎng)絡(luò)的安全問題具有以下特點:(1)信道開放,無法阻止攻擊者偷聽,惡意修改并轉(zhuǎn)發(fā);(2)傳輸媒質(zhì)―無線電波在空氣中的傳播會因多種原因(例如障礙物)發(fā)生信號衰減,導(dǎo)致信息的不穩(wěn)定,甚至?xí)䜩G失;(3)需要常常移動設(shè)備(尤其是移動用戶),設(shè)備容易丟失或失竊;(4)用戶不必與網(wǎng)絡(luò)進(jìn)行實際連接,使得攻擊者偽裝合法用戶更容易。由于上述特點,利用WLAN進(jìn)行通信必須具有較高的通信保密能力。
802.11無線局域網(wǎng)本身提供了一些基本的安全機(jī)制。802.11接入點AP可以用一個服務(wù)集標(biāo)識SSID(Service Set Identifier)或ESSID(Extensible Service Set Identifier)來配置。與接入點有關(guān)的網(wǎng)卡必須知道SSID以便在網(wǎng)絡(luò)中發(fā)送和接收數(shù)據(jù)。但這是一個非常脆弱的安全手段。因為SSID通過明文在大氣中傳送,甚至被接入點廣播,所有的網(wǎng)卡和接入點都知道SSID。
802.11的安全性主要包括以有線同等保密WEP(Wired Equivalent Privacy)算法為基礎(chǔ)的身份驗證服務(wù)和加密技術(shù)。WEP 是一套安全服務(wù),用來防止 802.11 網(wǎng)絡(luò)受到未授權(quán)用戶的訪問。啟用 WEP 時,可以指定用于加密的網(wǎng)絡(luò)密鑰,也可自動提供網(wǎng)絡(luò)密鑰。如果親自指定密鑰,還可以指定密鑰長度(64 位或 128 位)、密鑰格式(ASCII 字符或十六進(jìn)制數(shù)字)和密鑰索引(存儲特定密鑰的位置)。原理上密鑰長度越長,密鑰應(yīng)該越安全。思科公司的Scott Fluhrer與Weizmann研究院的Itsik Mantin和Adi hamir合作并發(fā)表了題為《RC4秘鑰時序算法缺點》的論文,講述了關(guān)于WEP標(biāo)準(zhǔn)的嚴(yán)重攻擊問題。
另外,這一安全機(jī)制的一個主要限制是標(biāo)準(zhǔn)沒有規(guī)定一個分配密鑰的管理協(xié)議。這就假定了共享密鑰是通過獨立于802.11的秘密渠道提供給移動節(jié)點。當(dāng)這種移動節(jié)點的數(shù)量龐大時,將是一個很大的挑戰(zhàn)。
2 802.1x協(xié)議的體系
IEEE 802.1x協(xié)議起源于802.11, 其主要目的是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題。802.1x 協(xié)議又稱為基于端口的訪問控制協(xié)議,可提供對802.11無線局域網(wǎng)和對有線以太網(wǎng)絡(luò)的驗證的網(wǎng)絡(luò)訪問權(quán)限。802.1x協(xié)議僅僅關(guān)注端口的打開與關(guān)閉,對于合法用戶接入時,打開端口;對于非法用戶接入或沒有用戶接入時,則端口處于關(guān)閉狀態(tài)。
IEEE 802.1x協(xié)議的體系結(jié)構(gòu)主要包括三部分實體:客戶端Supplicant System、認(rèn)證系統(tǒng)Authenticator System、認(rèn)證服務(wù)器Authentication Server System。
。1)客戶端:一般為一個用戶終端系統(tǒng),該終端系統(tǒng)通常要安裝一個客戶端軟件,用戶通過啟動這個客戶端軟件發(fā)起IEEE 802.1x協(xié)議的認(rèn)證過程。
。2)認(rèn)證系統(tǒng):通常為支持IEEE 802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備。該設(shè)備對應(yīng)于不同用戶的端口有兩個邏輯端口:受控(controlled Port)端口和非受控端口(uncontrolled Port)。第一個邏輯接入點(非受控端口),允許驗證者和 LAN 上其它計算機(jī)之間交換數(shù)據(jù),而無需考慮計算機(jī)的身份驗證狀態(tài)如何。非受控端口始終處于雙向連通狀態(tài)(開放狀態(tài)),主要用來傳遞EAPOL協(xié)議幀,可保證客戶端始終可以發(fā)出或接受認(rèn)證。第二個邏輯接入點(受控端口),允許經(jīng)驗證的 LAN 用戶和驗證者之間交換數(shù)據(jù)。受控端口平時處于關(guān)閉狀態(tài),只有在客戶端認(rèn)證通過時才打開,用于傳遞數(shù)據(jù)和提供服務(wù)。受控端口可配置為雙向受控、僅輸入受控兩種方式,以適應(yīng)不同的應(yīng)用程序。如果用戶未通過認(rèn)證,則受控端口處于未認(rèn)證(關(guān)閉)狀態(tài),則用戶無法訪問認(rèn)證系統(tǒng)提供的服務(wù)。
。3)認(rèn)證服務(wù)器:通常為RADIUS服務(wù)器,該服務(wù)器可以存儲有關(guān)用戶的信息,比如用戶名和口令、用戶所屬的VLAN、優(yōu)先級、用戶的訪問控制列表等。當(dāng)用戶通過認(rèn)證后,認(rèn)證服務(wù)器會把用戶的相關(guān)信息傳遞給認(rèn)證系統(tǒng),由認(rèn)證系統(tǒng)構(gòu)建動態(tài)的訪問控制列表,用戶的后續(xù)數(shù)據(jù)流就將接受上述參數(shù)的監(jiān)管。
3 802.1x協(xié)議的認(rèn)證過程
利用IEEE 802.1x可以進(jìn)行身份驗證,如果計算機(jī)要求在不管用戶是否登錄網(wǎng)絡(luò)的情況下都訪問網(wǎng)絡(luò)資源,可以指定計算機(jī)是否嘗試訪問該網(wǎng)絡(luò)的身份驗證。以下步驟描述了利用接入點AP和RADIUS服務(wù)器對移動節(jié)點進(jìn)行身份驗證的基本方法。如果沒有有效的身份驗證密鑰,AP會禁止所有的網(wǎng)絡(luò)流量通過。
(1)當(dāng)一個移動節(jié)點(申請者)進(jìn)入一個無線AP認(rèn)證者的覆蓋范圍時,無線AP會向移動節(jié)點發(fā)出一個問詢。
。2)在受到來自AP的問詢之后,移動節(jié)點做出響應(yīng),告知自己的身份。
。3)AP將移動節(jié)點的身份轉(zhuǎn)發(fā)給RADIUS身份驗證服務(wù)器,以便啟動身份驗證服務(wù)。
。4)RADIUS服務(wù)器請求移動節(jié)點發(fā)送它的憑據(jù),并且指定確認(rèn)移動節(jié)點身份所需憑據(jù)的類型。
。5)移動節(jié)點將它的憑據(jù)發(fā)送給RADIUS。
。6)在對移動節(jié)點憑據(jù)的有效性進(jìn)行了確認(rèn)之后,RADIUS服務(wù)器將身份驗證密鑰發(fā)送給AP。該身份驗證密鑰將被加密,只有AP能夠讀出該密鑰。(在移動節(jié)點和RADIUS服務(wù)器之間傳遞的請求通過AP的“非控制”端口進(jìn)行傳遞,因為移動節(jié)點不能直接與RADIUS服務(wù)器建立聯(lián)系。AP不允許STA移動節(jié)點通過“受控制”端口傳送
【W(wǎng)LAN中802.1x協(xié)議的安全和應(yīng)用研究】相關(guān)文章:
WLAN中OFDM系統(tǒng)的陣列天線技術(shù)03-07
SSL協(xié)議的安全性分析和應(yīng)用研究12-27
網(wǎng)絡(luò)安全技術(shù)在電子商務(wù)中的應(yīng)用研究11-19
GPRS技術(shù)在ITS中的應(yīng)用研究03-07
AAA技術(shù)在移動IP中的應(yīng)用研究03-07
標(biāo)桿治理在現(xiàn)代企業(yè)中的應(yīng)用研究03-20