无线安全认证协议IEEE802.1x改进.pdfVIP

无线安全认证协议IEEE802.1x 的改进1 王跃峰，李腊元 武汉理工大学高性能网络研究所，武汉（430063 ） E-mail ：wan.yue.feng@163.com 摘 要：本文主要介绍了IEEE802.1x 的体系结构和认证流程，分析了它的缺陷，从数据完 整性保护角度出发，在EAPOL 包中增加了一个Protection 字段，提出了SDVIA （Source Data Verity and Integrity Authentication ，数据真实性和完整性认证）认证。该认证技术可以弥补 IEEE802.1x 认证协议存在设计上的缺陷，有效的预防中间人和会话劫持攻击。 关键词： IEEE802.1x ，EAPOL ，RADIUS ，SDVIA 中图分类号：TP393 1．引言 有线局域网通过固定线路连接组建，计算机终端通过网络接入固定位置物理端口，实现 局域网接入，数据传输直接送到目的地，这里没有直接控制到端口的方法，也不需要控制到 端口，这些固定位置的物理端口构成有线局域网的封闭物理空间。但是，由于无线局域网的 网络空间具有开放性和终端可移动性，因此很难通过网络物理空间来界定终端是否属于该网 络。随着无线局域网的广泛应用，如何通过端口认证来实现用户级的接入控制就成为一项非 常现实的问题。IEEE802.1x 正是基于这一需求而出现的一种认证技术[1] 。 IEEE802.1x 协议，称为基于端口的访问控制协议（Port Based Network Access Control Protocol ），是由IEEE 于2001 年6 月提出的，符合IEEE802 协议集的局域网接入控制协议， 主要目的是为了解决无线局域网用户的接入认证问题，能够在利用 IEEE802 局域网优势的 基础上提供一种对连接到局域网用户的认证和授权手段，达到接收合法用户输入，保护网络 安全的目的。 2 ．IEEE802.1x 体系结构[2] IEEE802.1x 协议的体系结构包括3 个重要部分：客户端、认证系统和认证服务器。图1 就是IEEE802.1x 的体系结构。 1本课题得到国家自然科学基金项目（批准号）的资助。 -1- 1）客户端 客户端，也就是申请者，一般是一个用户移动终端，如安装有网卡的PC 机。该终端系 统通常要安装一个客户端软件，用户通过启动这个客户端软件发起IEEE 802. 1x 认证。为了 支持基于端口的接入控制，客户端系统需要支持EAPOL 协议。 2 ）认证系统 认证系统在 802.1 网络中就是接入点，在认证过程中只起到“透传”的功能，所有的认证 工作在客户端和认证服务器上完成。 认证系统通常为支持802.l x 协议的网络设备（比如无线交换机），它为请求者提供服务 端口，该端口可以是物理端口也可以是逻辑端口，一般在用户接入设备（如LAN Switch 和 AP ）上实现802.1x 认证。后文的认证系统、认证点和接入设备三者表达相同含义。 接入点在认证过程中虽然只起到“透传” 的功能，但是在认证之前，它可以把申请者的数 据分到两个逻辑端口中：控制端口和非控制端口，如图2 所示。 -2- 非控制端口始终处于连通状态，它不需要授权，随时可以与网络中的其他机器进行数据 交换，主要用来传递EAPOL 协议帧，保证可以随时接收客户端申请者发出的认证请求。控 制端口只有在认证通过的状态下才打开，用于传递网络资源和服务，有双向受控和仅输入受 控两种方式，以适应不同的应用环境。 图2 中申请者1 没有通过身份认证，控制端口不通，处于未授权状态。申请者2 通过身 份认证，控制端口连通，处于授权状态。 3 ）认证服务器 通常为RADIUS (Remote Authentication Dial In User Service)服务