基于主机标识的802.1x认证协议的安全性改进.docVIP

基于主机标识的802. lx认证协议的安全性改进 :针对802. lx认证不能防止IP和MAC地址同时被盗用的缺陷， 对该协议作改进？由于IP地址和MAC地址均可被修改，故不能唯一地标 识一台主机，然而用户上网浏览网页或传输文件等都离不开自己的硬 盘，硬盘序列号是可以读取且不能修改的，将用户的硬盘序列号作为其 唯一的标识加入到认证方式中就可以做到防止非法盗用IP和MAC地址 上网或进行攻击活动？ 关键词：网络安全;802. lx认证；IP地址;MAC地址 :TP393. 08:A 1引言 局域网正在广泛地应用于学校？企业?居民小区等各种地方，而随 着网络应用范围的扩大和提供的网络服务不断增多，局域网的安全问 题变得越来越突出？人们迫切希望提高局域网的安全性，对局域网接入 用户以及得到的服务进行控制？802. lx协议是IEEE2001年3月通过的 标准草案，是当前比较流行的局域网用户接入控制协议？ 在大学的校园网中，普遍都采用802. lx认证体系？它给每一个注 册的用户分配一个IP地址，用户名和密码，用802. lx进行认证和计费? 但由于是采用基于主机IP地址的计费方式,所以存大量的IP盗用现 象?IP盗用就是指有主机盗用合法用户的IP地址进行联网通信的现 象？ 为了防止IP盗用和利用盗用的IP地址进行欺骗，校园网管理中心 一般采用IP地址与用户的网卡物理地址绑定进行认证?然而，这种方 式也并不可靠，之所以不可靠,是因为MAC地址是可以修改的？既然MAC 可以修改，绑定MAC地址也变得毫无意义？ 如果同时把主机的IP地址和MAC地址都改成和注册的合法用户一 样，那么该主机也可以上网，这就是IP-MAC对的盗用？主要有下面两种 情况:①当注册用户不上网时,如果另一台主机将其IP地址改成和注 册用户的一样，并且同吋将其MAC地址也改成和该注册用户的MAC地址 一样，如果再得知其用户名和密码，就可以盗用别人的IP用客户端进 行认证上网？更糟的是，这样还可以别人的名义进行攻击其他主机而不 会被发现真正的元凶?②注册用户认证后，用集线器或交换机连在一起 的主机将其IP地址和MAC地址改成和注册用户一样,从而可以和注册 用户一起上网？ 进行IP或IP-MAC盗用一方面给运营商带来了损失，另一方面盗用 者可以做其他的非法的活动而不会被发现?为了防止盗用带来的的危 害，本文对802. lx协议作了 一些改进，首先让客户端自动读取硬盘的 序列号并且作为主机的标识加入到认证信息中，同时也将硬盘序列号 加密后加到帧的头部（假设用DiskID表示该字段），从而当交换机从端 口接收到帧时，可以根据DiskID字段进行过滤，只允许合法的帧通过? 这样就可以防止非注册用户上网，也就不可能冒用别人的IP地址进行 攻击活动？ 计算技术与自动化2007年6月第26卷第2期谢向文等:基于主机 标识的802. lx认证协议的安全性改进 2 802. lx 认证 2. 1关于802. lx认证协议 随着人们对网络边缘安全的日益重视,802. lx认证正在逐渐被广 大用户接受并使用，尤其是在产业.园区和高校宿舍区？ 802. lx的边缘安全是通过启用802. lx功能的交换机来实现 的?802. lx是基于端口的认证策略（这里的端口可以是一个实实在在 的物理端口也可以是一个就像VLAN —样的逻辑端口，对于无线局域网 来说一个“端门”就是一条信道）？802. lx的认证的最终目的就是确定 一个端口是否可用？其每个物理端口内部又分为受控端口和非受控端 U,非受控端U只负责处理认证数据包，受控端U负责处理业务数据? 登陆前，用户只能够通过非受控端口发送和接收认证数据包（802. lx 格式），而其他格式的数据包则无法通过受控端口；登陆后，受控端口对 用户开放，接受数据的传输？ 认证时，首先客户端软件发送请求，交换机把接收到的认证信息传 递给中心的认证服务器？认证服务器负责信息的核对（比如用户名？密 码?MAC?IP等的核对）？认证结束后，除了每隔一段时问处理一次在线 确认数据包外，用户的正常网络应用与802. lx没右任何关系，这就是 所谓的认证流和业务流的分离？ 2.2 0前在802. lx认证方式下防止盗用的主要手段 由于采用802. lx普遍存在IP盗用的现象，现在一般会做一些改进? 最常用的方法是:将IP地址与MAC地址绑定，或者是将IP地址，MAC地 址以及端U号进行绑定？ 通过禁止所有交换机的MAC地址自学习功能，并在认证通过时由 认证服务器下发MAC绑定指令给相关的交换机，避免用户自行在接入 端门下接私人的11UB，使用一台计算机通过认证，多台计算机共同上 网？ 但是这样也不能完全解决问题?如果将一台主机的IP地址改成和 一个注册用户的一样，并且同时将其