802.1x安全性的分析以及改进方案.pdfVIP

802.1x 安全性的分析以及改进方案 杨燮卿，马跃，孙敏 北京邮电大学计算机科学与技术学院，北京 (100876) E-mail：yangxieqing@ 摘 要：本文简单阐述了 802.1x 协议的体系结构及其在以太网中的用户认证过程，指出了 802.1x 的不安全因素，即存在中间人攻击，并提出了改进措施和建议。 关键词：802.1x，认证，攻击 1. 引言 随着Internet 的普及，网络已成为我们生活中重要的部分。大量用户的接入，不仅要求 对用户完善的管理功能，并且要求实现对用户的差别化服务，这些控制过程或功能主要通过 对用户和用户设备的认证和授权来实现。由此，基于以太网接入的各种认证技术应运而生。 其中，尤以IEEE 802.1x 标准最为突出。 IEEE 802.1x 标准提供了一种独立于网络服务类型的基于网络端口访问接入控制 （Port-based Access Control ）的标准，用于基于以太网的局域网、广域网和无线网等用户和 用户设备的接入认证。在实际应用中，802.1x 虽然能克服一系列局域网接入中的安全漏洞， 但也存在一些安全隐患。 2. 802.1x 的体系结构及工作机制 2.1 802.1x 认证体系结构 802.1x 基于端口的接入控制利用了IEEE802.3 LAN 架构的物理接入特征，为连接到LAN 端口并具有点对点接入特征的设备提供认证和授权，并且防止设备在认证和授权失败的情形 下接入网络。802.1x 定义了两类协议接入实体（Protocol Access Entity 简称PAE ）——请求 [1] 认证者PAE （Supplicant PAE）和认证点PAE （Authenticator PAE ） ，它们是与端口相关 联的协议实体，执行与认证机制相关的算法和协议。 认证请求者PAE 可以主动向认证点发送认证请求和下线请求消息。认证点PAE 负责对 用户进行认证或者将认证请求转发给认证服务器（Authenticator Server ），由认证服务器来 对用户进行认证，并根据认证结果相应地控制受控端口的授权/非授权状态。 基于端口的网络接入控制将认证点为认证请求者提供服务的端口分为两个虚端口，受控 端口和非受控端口[1] 。非受控端口（Uncontrolled Port ）始终处于双向连通状态，专用于传递 EAP 认证报文；受控端口（Controlled Port ）在授权状态下处于连通状态，用于传递用户数 据。 2.2 实际应用模型 在实际应用中，由于认证点PAE 处理复杂认证的性能较弱，一般采用RADIUS （Remote Authentication Dial-In User Service ）作为认证服务器，来提高认证过程的效率，加强认证的 能力。同时，RADIUS 服务器也提供计费服务，对请求接入的用户进行计费。 如图1 所示，认证请求者向认证点提交用户的认证的信息，它们之间采用EAPOL （EAP Over LANs，将EAP 消息封装在以太网帧中，所有的认证信息，包括用户名、密码、认证 成功和失败，都被封装在EAP 消息内[2] ）进行通讯，认证点将收到的认证信息封装在RADIUS -1- 消息内（RADIUS 也支持EAP 消息的封装，可以将EAP 消息完整的放置在RADIUS 属性中 [3] ），再把RADIUS 报文封装在UDP 中进行传输，认证点通过RADIUS 返回的认证的结果， 将受控端口打开或是关闭，以控制相应用户是否能访问网络。 图1 802.1x 实际应用模型 2.3 802.1x 工作机制 Authenticatio