ＩＥＥＥ　８０２．１ｘ协议认证方案的改进.docVIP

ＩＥＥＥ　８０２．１ｘ协议认证方案的改进 　　摘要：无线局域网作为一种无线接入技术得到了迅速的发展，但是它的安全机制却存在很大的安全隐患。如何保证无线局域网的安全性已成为目前重要的研究课题。其中，认证机制是安全机制的重要内容。无线局域网采用IEEE 802.1x协议认证。本文针对IEEE802.1x协议容易受到中间人攻击和会话截取的缺陷，提出了协议的改进方案。主要在现有的IEEE802.1x协议的基础上增加客户端和接入点AP之间的相互认证。 　　关键词：无线局域网；IEEE 802.1x；EAP；双向认证 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)08-00ppp-0c 　　 　　1 IEEE802.1x协议的缺陷 　　 　　无线局域网（Wireless Local Area Network，WLAN）是计算机网络与无线通信技术相结合的产物，是在不采用传统电缆线的同时，提供传统有线局域网的所有功能。无线局域网在为用户带来方便的同时，也存在着许多安全上的问题，主要是易受窃听。 　　无线局域网的安全威胁除了系统问题外，一般是通过认证、加密技术来提高其安全性。而认证方面是采用IEEE802.1x标准下的共享密钥认证方式，但这种认证方式的主要缺陷是客户端和AP接入点之间缺乏相互认证。 　　图1所示的示意图说明了攻击者是如何利用IEEE802.1缺陷，通过假装合法请求用户来访问网络的。 　　 　　图1 IEEE802.1x协议缺陷示意图 　　 　　从图中1可以看到，当攻击者等待合法客户端成功地完成认证之后，他将伪造连接的管理帧向合法用户端发送断开关联消息（disassociate message ）。当合法客户端收到此消息，进入断开关联状态时，而接入点AP仍然处于认证状态，攻击者这时就可以利用合法客户端的MAC地址来获得对网络的访问权。 　　本文针对IEEE802.1x协议的这种缺陷，提出了一种新的改进方案，即通过使用一个RADIUS服务器来实现客户端和AP之间的相互认证。 　　 　　2 IEEE802.1x协议认证改进方案的参数设置 　　 　　2.1 IEEE802.1x协议认证工作流程 　　IEEE802.1x协议认证工作过程分为六个步骤： 　　第一步：客户端向AP接入点发送连接请求消息EAP-start，开始启动认证过程。 　　第二步：AP接入点收到客户端的连接请求消息EAP-start后，回复EAP-request消息，要求客户端提供身份信息。 　　 第三步：客户端把用户的身份信息通过EAP-response消息告知AP接入点。 　　 第四步：AP接入点把客户端送上来的EAP-response消息经过封包处理成Access-Request消息后转发给认证服务器（这里通常是RADIUS服务器）。 　　第五步：RADIUS认证服务器根据特定的上层认证方式（如EAP-TLS，EAP-PEAP等等）回复Access-Challenge（里边包含了EAP-request）消息给AP接入点，AP接入点把这个消息转发给客户端。 　　第六步：如果客户端收到认证服务器经过AP接入点转发的认证成功的EAP-success消息，此时AP接入点会将其受控逻辑端口打开，这样客户端就可以正常接入网络，发送有关的消息。 　　2.2 IEEE802.1x协议认证改进方案的参数设置 　　本文的改进方案是在上述IEEE802.1x认证步骤的基础上，对其中的第二步和第六步进行相应的改进，并添加新的第七步。 　　第二步骤的改进方案为：AP接入点收到客户端的连接请求消息EAP-start后，回复EAP-Request/Identity消息，要求客户端提供身份信息，标准的EAP-Request/Identity消息的Type-Data域是空的。在本文的改进方案里，Type-Data域将捎带两个信息：一是AP接入点的序列号，用于标识AP接入点的唯一逻辑标识；二是Lasttime ，即AP接入点最后一次发送给请求连接的客户端断开连接的时间。改进后的Type-Data域如表1所示： 　　 　　表1 改进后的Type-Data域 　　 　　其中AP Serial ID域为3个字节（Octets），Lasttime域是标准的时间戳，为8个字节（Octets），这样就同时可以保持该消息的32位对齐。 　　同样，经改进后的EAP-Request/Identity消息格式如表2所示： 　　 　　表2 改进后的EAP-Request/Identity消息格式 　　 　　客户端收到AP接入点改进后的EAP-Request/Identity消息后，将AP接入点信息保存到AP信息表。