基于802.1xEAPWLAN安全认证机制.docVIP

基于802.1xEAPWLAN安全认证机制 　　摘 要： 目前飞机与地面机场之间WLAN的应用部署日益广泛，但对其安全接入通信却没有提过较为合理的设计和规划，由WLAN引起的安全漏洞给飞机与地面之间信息传递带来很大的隐患。主要介绍EAP认证方法以及基于802.1x/EAP无线局域网的安全认证机制。 　　关键词： WLAN； 802.1x协议； EAP认证方法； 安全认证 　　中图分类号： TN915.08?34 文献标识码： A 文章编号： 1004?373X（2013）19?0088?03 　　0 引 言 　　在国内的企业、商业领域，WLAN（Wireless Local Area Network，无线局域网）的应用越来越广泛。WLAN的应用将成为现代网络发展的主要趋势。在美国，WLAN的市场需求在过去的一年中迅猛增长，即使比较偏远的县级城市已经被超级WiFi所覆盖。WLAN在全球几乎都已家喻户晓，老百姓、企业以及政府都对WLAN的产品及应用极力尝试使用。 　　WLAN之所以受到欢迎是由于非常易于安装，灵活使用，不需要线缆，可以安装在很多有线网络不适合安装的地方，况且WLAN也不需要长期的高额维护费用。 　　WLAN虽然有很多优点，但是对于一些网络规模大，应用复杂，安全性需求较高的网络建设领域，WLAN的应用要受到一定的限制。如果WLAN的认证、传输加密等安全性能够得到很好的解决，那么这一技术在很多领域都将得到广泛的应用。本文重点就基于EAP/802.1x的无线网络安全认证机制方面进行讨论。 　　1 IEEE 802.1x协议 　　IEEE 802.1x协议是基于Client/Server模式的认证和访问控制协议。可以对未经授权接入的客户端扫描周边可用的接入点AP进行连接请求的限制，客户端在获得接入网络之前，IEEE 802.1x将认证试图接入网络的Client相关信息。认证成功之前，除了认证信息数据通信外不允许任何其他信息通信。认证成功之后，交换机端口将被打开，客户端发送的信息通过已打开的交换机端口进入到网络。 　　IEEE 802.1x协议认证体系结构由客户端系统、认证系统以及认证服务器系统3部分构成。IEEE 802.1x体系结构如图1所示。 　　客户端PAE通过基于局域网的扩展认证协议EAPOL接入到LAN，并要求认证系统提供相关的服务设备。WLAN通信中客户端一般指笔记本电脑。 　　认证系统通过网络访问端口提供给客户端系统请求的服务设备，该服务设备有两个逻辑端口，一个是非受控端，另一个是受控端。认证成功后非受控端才会处于打开状态，用来进行消息通信；受控端也称作授权端口，始终是打开状态，客户端系统随时可以发送或接收认证信息。WLAN通信中常用的接入设备为AP。 　　认证服务器是整个IEEE 802.1x认证体系结构的核心部分，主要负责完成对客户端信息的认证。LAN通信中认证服务器一般是指RADIUS服务器。 　　2 EAP协议和认证方法 　　EAP（Extensible Authentication Protocol，可扩展认证协议）是通过使用远程用户拨号认证系统服务器（RADIUS）实现Client和认证服务器相互验证。 　　EAP报文包的格式见表1。 　　（1）Code：占 8位，用于表示EAP报文包的类型。Code二进制码表请求，二进制码表应答，二进制码表成功，二进制码表失败； 　　（2）ID：占8位，用于表示请求报文和应答报文是否匹配； 　　（3）Length：占16位，用于表示EAP报文包的长度，包括Code部分、Identifie部分、Length部分和Data部分的全部长度；超出Code、Identifie、Length和Data全部长度的部分作为链路层的填充部分，接收端应忽略超出的部分； 　　（4）Data：占0位或[n]位，其格式由Code确定，成功和失败类型的报文包不包含Code部分，相应Length值为4；请求和响应类型的报文包格式由所选的EAP认证类型决定。 　　WLAN接入的安全性保障是非常必要的，EAP认证方法的选择也是非常重要的，最常使用的EAP认证方法有EAP?MD5（Message?Digest 5）、EAP?TLS （Transport Level Security）、轻量级的扩展认证协议（LEAP）和EAP?TTLS （Tunneled TLS）四种。 　　EAP?MD5（消息摘要）是一种非常简单的EAP认证方法，它只支持无线客户端与网络单方向认证，并不是一个可靠的认证方法。EAP?MD5认证流程如图2所示。 　　EAP?TLS（传输层安全）是一种基于证