基于主机标识802.1x认证协议安全性改进.docVIP

基于主机标识802.1x认证协议安全性改进 　　摘 要:针对802.1x认证不能防止IP和MAC地址同时被盗用的缺陷,对该协议作改进#65377;由于IP地址和MAC地址均可被修改,故不能唯一地标识一台主机,然而用户上网浏览网页或传输文件等都离不开自己的硬盘,硬盘序列号是可以读取且不能修改的,将用户的硬盘序列号作为其唯一的标识加入到认证方式中就可以做到防止非法盗用IP和MAC地址上网或进行攻击活动#65377; 　　关键词:网络安全;802.1x认证;IP地址;MAC地址 　　中图分类号:TP393.08文献标识码:A 　　 　　1 引 言 　　 　　局域网正在广泛地应用于学校#65380;企业#65380;居民小区等各种地方,而随着网络应用范围的扩大和提供的网络服务不断增多,局域网的安全问题变得越来越突出#65377;人们迫切希望提高局域网的安全性,对局域网接入用户以及得到的服务进行控制#65377;802.1x 协议是IEEE2001年3月通过的标准草案,是当前比较流行的局域网用户接入控制协议#65377; 　　在大学的校园网中,普遍都采用802.1x认证体系#65377;它给每一个注册的用户分配一个IP地址,用户名和密码,用802.1x进行认证和计费#65377;但由于是采用基于主机IP地址的计费方式,所以有大量的IP盗用现象#65377;IP盗用就是指有主机盗用合法用户的IP地址进行联网通信的现象#65377; 　　为了防止IP盗用和利用盗用的IP地址进行欺骗,校园网管理中心一般采用IP地址与用户的网卡物理地址绑定进行认证#65377;然而,这种方式也并不可靠,之所以不可靠,是因为MAC地址是可以修改的#65377;既然MAC可以修改,绑定MAC地址也变得毫无意义#65377; 　　如果同时把主机的IP地址和MAC地址都改成和注册的合法用户一样,那么该主机也可以上网,这就是IP-MAC对的盗用#65377;主要有下面两种情况:①当注册用户不上网时,如果另一台主机将其IP地址改成和注册用户的一样,并且同时将其MAC地址也改成和该注册用户的MAC地址一样,如果再得知其用户名和密码,就可以盗用别人的IP用客户端进行认证上网#65377;更糟的是,这样还可以别人的名义进行攻击其他主机而不会被发现真正的元凶#65377;②注册用户认证后,用集线器或交换机连在一起的主机将其IP地址和MAC地址改成和注册用户一样,从而可以和注册用户一起上网#65377; 　　进行IP或IP-MAC盗用一方面给运营商带来了损失,另一方面盗用者可以做其他的非法的活动而不会被发现#65377;为了防止盗用带来的的危害,本文对802.1x协议作了一些改进,首先让客户端自动读取硬盘的序列号并且作为主机的标识加入到认证信息中,同时也将硬盘序列号加密后加到帧的头部(假设用DiskID表示该字段),从而当交换机从端口接收到帧时,可以根据DiskID字段进行过滤,只允许合法的帧通过#65377;这样就可以防止非注册用户上网,也就不可能冒用别人的IP地址进行攻击活动#65377; 　　计算技术与自动化2007年6月第26卷第2期谢向文等:基于主机标识的802.1x认证协议的安全性改进 　　 　　2 802.1x 认证 　　 　　2.1 关于802.1x认证协议 　　随着人们对网络边缘安全的日益重视,802.1x认证正在逐渐被广大用户接受并使用,尤其是在产业园区和高校宿舍区#65377; 　　802.1x的边缘安全是通过启用802.1x功能的交换机来实现的#65377;802.1x是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说一个“端口”就是一条信道)#65377;802.1x的认证的最终目的就是确定一个端口是否可用#65377;其每个物理端口内部又分为受控端口和非受控端口,非受控端口只负责处理认证数据包,受控端口负责处理业务数据#65377;登陆前,用户只能够通过非受控端口发送和接收认证数据包(802.1x格式),而其他格式的数据包则无法通过受控端口;登陆后,受控端口对用户开放,接受数据的传输#65377; 　　认证时,首先客户端软件发送请求,交换机把接收到的认证信息传递给中心的认证服务器#65377;认证服务器负责信息的核对(比如用户名#65380;密码#65380;MAC#65380;IP等的核对)#65377;认证结束后,除了每隔一段时间处理一次在线确认数据包外,用户的正常网络应用与802.1x没有任何关系,这就是所谓的认证流和业务流的分离#65377; 　　2.2 目前在802.1x认证方式下防止盗用的主要手段 　　由于采用802.1x普遍存在I