论文部分内容阅读
[摘要]介绍802.1x协议的体系结构及认证机理。并针对多种设备,给出不同的测试方法,文后总结和介绍802.1x的安全问题。
[关键词]802.1x 认证 分析
中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)0310038-01
一、目前广泛采用的认证模式及其简单介绍
随着计算机网络技术的不断发展,INTERNET主干网的不断扩容,加之信息化的建设,网络已经成为工作、生活中不可或缺的一部分。当前主流的上网认证方式有3种:PPPOE、WEB/PORTAL、802.1X。
PPPOE(PPP OVER ETHERNET)是90年代后期由REDBACK、ROUTERWARE、WORLDCOM三家公司在IETF RFC的基础上联合开发的一个以太网点对点协议。PPPOE认证需要将PPP协议再次封装到以太网中,网络封装开销很大,容易造成网络瓶颈。PPPOE使用广播报文发起认证,容易引起广播风暴。PPPOE认证系统需要外接BAS服务器对用户的每个数据报文进行拆包识别和封装转发,认证报文和业务数据均需经过BAS,容易引起网络瓶颈。加上PPPOE协议本身是基于点对点的会话,因此无法实现组播业务。
WEB/PORTAL认证的绝对优势在于它不需要用户安装特定的客户端软件,有效降低了网络维护的工作量。但是WEB认证采用的是第7层应用层协议,而网络认证是采用的第2层连接。因此WEB/PORTAL认证用户连接性较差,不容易检测用户离线,基于时间的计费较难实现。比如断电、突发故障等异常离线情况必须在2层做检测,而WEB/PORTAL对此毫无办法。
二、802.1x的协议分析
(一)802.1x的简单介绍
IEEE802.1x协议称为基于端口的访问控制协议(Port based network access control protoco1),由IEEE(Institute of Electrical and Electronics Engineers)于2001年6月提出的,它以操作粒度为端口,提供了一种基于端口的网络接入控制技术,在设备的物理接入级对接入设备进行认证和控制。
802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/MAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
(二)802.1x的体系结构
802.1x由认证服务器(Authentication)、认证系统(Authenticator)和客户端系统(Supplicant)组成。
认证服务器一般为RADIUS服务器。在认证服务器上,一般存储有用户的帐号、密码、所处网络的逻辑方位、优先级及用户的访问控制信息等。认证系统为支持802.1X协议的网络设备。
认证系统中支持两种逻辑端口,受控端口(Controlled Port)和非受控端口(Uncontrolled Port)。受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,可保证客户端始终可以发出或接受认证。
客户端系统一般为一个用户终端系统,该终端系统通常要安装一个客户端软件,用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。为支持基于端口的接入控制,客户端系统需支持EAPOL(extensible authentication protocol overLAN)协议。
(三)802.1x协议的标准认证过程
1.802.1x客户端发送一个请求认证的报文(EAPOL-Start)发送给认证系统,这是802.1x认证的发起。2.认证系统在收到请求报文后,发送报文给客户端,要求客户端发送认证信息。3.客户端响应认证系统的要求,将用户信息传送给认证系统;认证系统经过封装、处理后将该数据转发给认证服务器。4.认证服务器收到认证系统转发的报文后,对用户信息用随机产生的加密字进行加密处理(802.1x默认采用MD5加密),同时将该加密字封装成数据包传送给认证系统,由认证系统转发给客户端。5.客户端收到加密字后,用该加密字对用户口令进行加密,并通过认证系统传送给认证服务器。6.认证服务器匹配客户端传送的用户名和密码,如符合,返回一个成功信息,并打开认证系统的端口,允许非802.1x数据流通过;否则,返回失败信息,认证系统的端口状态维持不变。
三、802.1x在晓庄学院的测试以及技术处理
(一)晓庄校园网网络拓扑示意图
晓庄学院学生公寓均采用DHCP动态分配IP地址,接入设备为锐捷和港湾的二层交换机。认证服务器采用北京亿邮的认证服务器。
(二)802.1x技术测试方法
由于对802.1X认识的差异性及对802.1X不同的私有函数扩展,实际测试过程中,802.1X的标准认证过程没有办法解决晓庄学院的实际需求。在测试过程中,对于港湾设备,采用认证和计费相分离的方法;对于锐捷的设备,采用了在客户端两次发布同一报文的方法。
四、802.1x的安全性认识
由于802.1x采用单向认证,即认证系统只认证用户,并无法认证认证者本身的合法性。使得位于合法用户与认证服务器之间的攻击者,可以拦截802.1X报文,并对该报文进行修改,达到攻击者伪装成合法认证者的目的。
由于认证报文与业务数据之间缺少状态转换信息的交流,给攻击者留下了获取游离信息(包含MAC地址信息等)的机会,使得攻击者可以利用这段时间,在合法用户身份认证通过后,利用该游离信息非法窃取本应属于合法用户的正当IP地址,从而获得网络使用权限。
参考文献:
[1]吴绍兴、郑柯、项延铁,路由器安全与AAA认证的研究与应用,南阳师范学院学报(自然科学版),2004.3.
[2]李巍,利用动态VLAN技术与802.1x认证构建安全灵活的局域网,中国金融电脑,2005.
[3]王谦,利用802.1x协议实现局域网接入的可控管理,江苏电机工程,2005.
作者简介:
蒋振兵,男,江苏省泰州市兴化市,本科,研究方向计算机科学与技术。
[关键词]802.1x 认证 分析
中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)0310038-01
一、目前广泛采用的认证模式及其简单介绍
随着计算机网络技术的不断发展,INTERNET主干网的不断扩容,加之信息化的建设,网络已经成为工作、生活中不可或缺的一部分。当前主流的上网认证方式有3种:PPPOE、WEB/PORTAL、802.1X。
PPPOE(PPP OVER ETHERNET)是90年代后期由REDBACK、ROUTERWARE、WORLDCOM三家公司在IETF RFC的基础上联合开发的一个以太网点对点协议。PPPOE认证需要将PPP协议再次封装到以太网中,网络封装开销很大,容易造成网络瓶颈。PPPOE使用广播报文发起认证,容易引起广播风暴。PPPOE认证系统需要外接BAS服务器对用户的每个数据报文进行拆包识别和封装转发,认证报文和业务数据均需经过BAS,容易引起网络瓶颈。加上PPPOE协议本身是基于点对点的会话,因此无法实现组播业务。
WEB/PORTAL认证的绝对优势在于它不需要用户安装特定的客户端软件,有效降低了网络维护的工作量。但是WEB认证采用的是第7层应用层协议,而网络认证是采用的第2层连接。因此WEB/PORTAL认证用户连接性较差,不容易检测用户离线,基于时间的计费较难实现。比如断电、突发故障等异常离线情况必须在2层做检测,而WEB/PORTAL对此毫无办法。
二、802.1x的协议分析
(一)802.1x的简单介绍
IEEE802.1x协议称为基于端口的访问控制协议(Port based network access control protoco1),由IEEE(Institute of Electrical and Electronics Engineers)于2001年6月提出的,它以操作粒度为端口,提供了一种基于端口的网络接入控制技术,在设备的物理接入级对接入设备进行认证和控制。
802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/MAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。
(二)802.1x的体系结构
802.1x由认证服务器(Authentication)、认证系统(Authenticator)和客户端系统(Supplicant)组成。
认证服务器一般为RADIUS服务器。在认证服务器上,一般存储有用户的帐号、密码、所处网络的逻辑方位、优先级及用户的访问控制信息等。认证系统为支持802.1X协议的网络设备。
认证系统中支持两种逻辑端口,受控端口(Controlled Port)和非受控端口(Uncontrolled Port)。受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,可保证客户端始终可以发出或接受认证。
客户端系统一般为一个用户终端系统,该终端系统通常要安装一个客户端软件,用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。为支持基于端口的接入控制,客户端系统需支持EAPOL(extensible authentication protocol overLAN)协议。
(三)802.1x协议的标准认证过程
1.802.1x客户端发送一个请求认证的报文(EAPOL-Start)发送给认证系统,这是802.1x认证的发起。2.认证系统在收到请求报文后,发送报文给客户端,要求客户端发送认证信息。3.客户端响应认证系统的要求,将用户信息传送给认证系统;认证系统经过封装、处理后将该数据转发给认证服务器。4.认证服务器收到认证系统转发的报文后,对用户信息用随机产生的加密字进行加密处理(802.1x默认采用MD5加密),同时将该加密字封装成数据包传送给认证系统,由认证系统转发给客户端。5.客户端收到加密字后,用该加密字对用户口令进行加密,并通过认证系统传送给认证服务器。6.认证服务器匹配客户端传送的用户名和密码,如符合,返回一个成功信息,并打开认证系统的端口,允许非802.1x数据流通过;否则,返回失败信息,认证系统的端口状态维持不变。
三、802.1x在晓庄学院的测试以及技术处理
(一)晓庄校园网网络拓扑示意图
晓庄学院学生公寓均采用DHCP动态分配IP地址,接入设备为锐捷和港湾的二层交换机。认证服务器采用北京亿邮的认证服务器。
(二)802.1x技术测试方法
由于对802.1X认识的差异性及对802.1X不同的私有函数扩展,实际测试过程中,802.1X的标准认证过程没有办法解决晓庄学院的实际需求。在测试过程中,对于港湾设备,采用认证和计费相分离的方法;对于锐捷的设备,采用了在客户端两次发布同一报文的方法。
四、802.1x的安全性认识
由于802.1x采用单向认证,即认证系统只认证用户,并无法认证认证者本身的合法性。使得位于合法用户与认证服务器之间的攻击者,可以拦截802.1X报文,并对该报文进行修改,达到攻击者伪装成合法认证者的目的。
由于认证报文与业务数据之间缺少状态转换信息的交流,给攻击者留下了获取游离信息(包含MAC地址信息等)的机会,使得攻击者可以利用这段时间,在合法用户身份认证通过后,利用该游离信息非法窃取本应属于合法用户的正当IP地址,从而获得网络使用权限。
参考文献:
[1]吴绍兴、郑柯、项延铁,路由器安全与AAA认证的研究与应用,南阳师范学院学报(自然科学版),2004.3.
[2]李巍,利用动态VLAN技术与802.1x认证构建安全灵活的局域网,中国金融电脑,2005.
[3]王谦,利用802.1x协议实现局域网接入的可控管理,江苏电机工程,2005.
作者简介:
蒋振兵,男,江苏省泰州市兴化市,本科,研究方向计算机科学与技术。