论文部分内容阅读
摘要:无线局域网作为一种无线接入技术得到了迅速的发展,但是它的安全机制却存在很大的安全隐患。如何保证无线局域网的安全性已成为目前重要的研究课题。其中,认证机制是安全机制的重要内容。无线局域网采用IEEE 802.1x协议认证。本文针对IEEE802.1x协议容易受到中间人攻击和会话截取的缺陷,提出了协议的改进方案。主要在现有的IEEE802.1x协议的基础上增加客户端和接入点AP之间的相互认证。
关键词:无线局域网;IEEE 802.1x;EAP;双向认证
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)08-00ppp-0c
1 IEEE802.1x协议的缺陷
无线局域网(Wireless Local Area Network,WLAN)是计算机网络与无线通信技术相结合的产物,是在不采用传统电缆线的同时,提供传统有线局域网的所有功能。无线局域网在为用户带来方便的同时,也存在着许多安全上的问题,主要是易受窃听。
无线局域网的安全威胁除了系统问题外,一般是通过认证、加密技术来提高其安全性。而认证方面是采用IEEE802.1x标准下的共享密钥认证方式,但这种认证方式的主要缺陷是客户端和AP接入点之间缺乏相互认证。
图1所示的示意图说明了攻击者是如何利用IEEE802.1缺陷,通过假装合法请求用户来访问网络的。
其中AP Serial ID域为3个字节(Octets),Lasttime域是标准的时间戳,为8个字节(Octets),这样就同时可以保持该消息的32位对齐。
同样,经改进后的EAP-Request/Identity消息格式如表2所示:
表2 改进后的EAP-Request/Identity消息格式
3 IEEE802.1x协议认证改进方案的软件实现
由上面的讨论可知,本改进方案的实现是由客户端、AP接入点,RADIUS认证服务器三个部分组成。重点是在Linux操作系统环境下,在客户端和AP接入点之间软件的实现。
3.1 AP接入点的软件实现
3.1.1 主函数设计
主函数设计顺序如图2所示。
图2 主函数设计顺序
主函数初始从用户界面读入认证信息,然后等待请求,同时打开链路层接收包线程,并进行如下处理:如果是未经认证用户发送的请求EAP-Start,则进入用户认证模块;如果收到的数据包是EAP-Logoff类型,表示用户想退出网络;如果用户通过标准的IEEE802.1x认证,则进入改进方案的第六步实现客户端和AP之间的双向认证。通过认证后则发送带上AP序列号、Lasttime等EAP-Success消息,经客户端确认后完成认证,客户端就可以成功登录网络。
3.1.2 认证模块的实现
在标准的IEEE802.1x认证方式中,AP接入点不需要了解EAP上层协议,只需简单作为后端服务器的透明传输代理,将客户端数据包传递给RADIUS服务器即可,只有在本改进方案的第二步骤和第七步骤中,需要带上AP接入点自己的序列号和Lasttime时间戳。
最后,参照IEEE802.1x协议中认证系统状态机来进行程序设计。
3.2 客户端的实现
由于本文提出的改进方案是基于IEEE802.1x的认证机制,所以程序主要工作在认证机制这一块。主控模块进行模式选择,参数设置。接着调用认证模块,实现IEEE802.1x的状态机,其中对应状态机中的各个状态的功能分别用函数实现, EXIT过程包含了收包线程的关闭,返回认证结果给主控模块;认证成功,则进入安全连接阶段。客户端的主函数顺序图3所示:
图3 客户端顺序图
AP接入点和客户端程序都是在linux环境下用C语言实现。由于freeradius是开放的源代码,并带有很多功能函数,如radius.c、rbtree. c、 md5.c、filters.c, hmac.c等等,大大提高了程序的开发效率。由于篇幅有限,本文省略了源代码。
4 IEEE802.1x认证协议改进方案的优缺点
IEEE802.1x认证协议改进方案的实现,解决了客户端和AP接入点之间的相互认证问题,有效地阻止中间人攻击和会话截取攻击。与原有EEE802.1x协议比较,它具有以下特点:
(1)由于采用了强制认证方式,故提高了认证安全性。
(2)过程简单,没有使用EAP-TLS,在客户端和访问控制点之间没有公共密钥认证。
(3)兼容性高,降低实现难度。
1)改进方案是建立在原有的IEEE802.1x认证协议基础之上的,能够和原来的IEEE802.1x很好地兼容;
2)AP接入点的序列号和时间戳Lasttime是捎带在AP接入点发给客户端的EAP-Request消息中的,充分利用了原来的消息流程,没有添加额外的开销,提高了效率,同时也增强了兼容性。
该改进方案也有以下不足之处:
(1)由于增加了协议的交互步骤,也就相应地增加了一定的时间开销和复杂度。
(2)要求在AP接入点和客户端分别与RADIUS服务器拥有一个共享的密钥k1和k2,这些共享密钥的来源必须安全可靠。
(3)要实现本改进方案,客户端、AP接入点和RADIUS服务器都必须支持加密/解密算法AES-CBC和单向哈希(HASH)算法MD5,而且都能够产生128位的伪随机数,对这些设备都提出了一定的要求。
(4)需要在客户端软件添加新的数据结构AP信息表。
参考文献:
[1]刘蕾,张建军.无线局域网的安全[J].互联网世界,2002,(2).
[2]亨区峰,曾奖亨,刘乃安.无线局域网[M].北京:电子工业出版社,1996.
[3]曹秀英,耿嘉,沈平.无线局域网安全系统[M].北京:电子工业出版社,2004.
[4]吉建峰.基于802. 1 x的无线局域网的接入认证研究与应用[D].南京:河海大学,2004.
关键词:无线局域网;IEEE 802.1x;EAP;双向认证
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)08-00ppp-0c
1 IEEE802.1x协议的缺陷
无线局域网(Wireless Local Area Network,WLAN)是计算机网络与无线通信技术相结合的产物,是在不采用传统电缆线的同时,提供传统有线局域网的所有功能。无线局域网在为用户带来方便的同时,也存在着许多安全上的问题,主要是易受窃听。
无线局域网的安全威胁除了系统问题外,一般是通过认证、加密技术来提高其安全性。而认证方面是采用IEEE802.1x标准下的共享密钥认证方式,但这种认证方式的主要缺陷是客户端和AP接入点之间缺乏相互认证。
图1所示的示意图说明了攻击者是如何利用IEEE802.1缺陷,通过假装合法请求用户来访问网络的。
其中AP Serial ID域为3个字节(Octets),Lasttime域是标准的时间戳,为8个字节(Octets),这样就同时可以保持该消息的32位对齐。
同样,经改进后的EAP-Request/Identity消息格式如表2所示:
表2 改进后的EAP-Request/Identity消息格式
3 IEEE802.1x协议认证改进方案的软件实现
由上面的讨论可知,本改进方案的实现是由客户端、AP接入点,RADIUS认证服务器三个部分组成。重点是在Linux操作系统环境下,在客户端和AP接入点之间软件的实现。
3.1 AP接入点的软件实现
3.1.1 主函数设计
主函数设计顺序如图2所示。
图2 主函数设计顺序
主函数初始从用户界面读入认证信息,然后等待请求,同时打开链路层接收包线程,并进行如下处理:如果是未经认证用户发送的请求EAP-Start,则进入用户认证模块;如果收到的数据包是EAP-Logoff类型,表示用户想退出网络;如果用户通过标准的IEEE802.1x认证,则进入改进方案的第六步实现客户端和AP之间的双向认证。通过认证后则发送带上AP序列号、Lasttime等EAP-Success消息,经客户端确认后完成认证,客户端就可以成功登录网络。
3.1.2 认证模块的实现
在标准的IEEE802.1x认证方式中,AP接入点不需要了解EAP上层协议,只需简单作为后端服务器的透明传输代理,将客户端数据包传递给RADIUS服务器即可,只有在本改进方案的第二步骤和第七步骤中,需要带上AP接入点自己的序列号和Lasttime时间戳。
最后,参照IEEE802.1x协议中认证系统状态机来进行程序设计。
3.2 客户端的实现
由于本文提出的改进方案是基于IEEE802.1x的认证机制,所以程序主要工作在认证机制这一块。主控模块进行模式选择,参数设置。接着调用认证模块,实现IEEE802.1x的状态机,其中对应状态机中的各个状态的功能分别用函数实现, EXIT过程包含了收包线程的关闭,返回认证结果给主控模块;认证成功,则进入安全连接阶段。客户端的主函数顺序图3所示:
图3 客户端顺序图
AP接入点和客户端程序都是在linux环境下用C语言实现。由于freeradius是开放的源代码,并带有很多功能函数,如radius.c、rbtree. c、 md5.c、filters.c, hmac.c等等,大大提高了程序的开发效率。由于篇幅有限,本文省略了源代码。
4 IEEE802.1x认证协议改进方案的优缺点
IEEE802.1x认证协议改进方案的实现,解决了客户端和AP接入点之间的相互认证问题,有效地阻止中间人攻击和会话截取攻击。与原有EEE802.1x协议比较,它具有以下特点:
(1)由于采用了强制认证方式,故提高了认证安全性。
(2)过程简单,没有使用EAP-TLS,在客户端和访问控制点之间没有公共密钥认证。
(3)兼容性高,降低实现难度。
1)改进方案是建立在原有的IEEE802.1x认证协议基础之上的,能够和原来的IEEE802.1x很好地兼容;
2)AP接入点的序列号和时间戳Lasttime是捎带在AP接入点发给客户端的EAP-Request消息中的,充分利用了原来的消息流程,没有添加额外的开销,提高了效率,同时也增强了兼容性。
该改进方案也有以下不足之处:
(1)由于增加了协议的交互步骤,也就相应地增加了一定的时间开销和复杂度。
(2)要求在AP接入点和客户端分别与RADIUS服务器拥有一个共享的密钥k1和k2,这些共享密钥的来源必须安全可靠。
(3)要实现本改进方案,客户端、AP接入点和RADIUS服务器都必须支持加密/解密算法AES-CBC和单向哈希(HASH)算法MD5,而且都能够产生128位的伪随机数,对这些设备都提出了一定的要求。
(4)需要在客户端软件添加新的数据结构AP信息表。
参考文献:
[1]刘蕾,张建军.无线局域网的安全[J].互联网世界,2002,(2).
[2]亨区峰,曾奖亨,刘乃安.无线局域网[M].北京:电子工业出版社,1996.
[3]曹秀英,耿嘉,沈平.无线局域网安全系统[M].北京:电子工业出版社,2004.
[4]吉建峰.基于802. 1 x的无线局域网的接入认证研究与应用[D].南京:河海大学,2004.