WLAN中802.1x协议的安全和应用研究.docVIP

WLAN中802.1x协议的安全和应用研究 　　 　　摘要首先分析了802.11无线局域网的组网原理和基本安全手段重点讨论了广泛应用的安全协议―IEEE802.1x认证协议最后简单地介绍了IEEE802.1x协议的特点、应用和发展方向 　　 　　关键词无线局域网802.1x认证服务器安全协议WAPI 　　 　　1802.11无线局域网的安全机制 　　 　　802.11无线局域网运作模式基本分为两种：点对点（AdHoc）模式和基本（Infrastructure）模式点对点模式指无线网卡和无线网卡之间的直接通信方式只要PC插上无线网卡即可与另一具有无线网卡的PC连接这是一种便捷的连接方式最多可连接256个移动节点基本模式指无线网络规模扩充或无线和有线网络并存的通信方式这也是802.11最常用的方式此时插上无线网卡的移动节点需通过接入点AP（AccessPoint）与另一台移动节点连接接入点负责频段管理及漫游管理等工作一个接入点最多可连接1024个移动节点当无线网络节点扩增时网络存取速度会随着范围扩大和节点的增加而变慢此时添加接入点可以有效控制和管理频宽与频段 　　 　　与有线网络相比较无线网络的安全问题具有以下特点：（1）信道开放无法阻止攻击者偷听恶意修改并转发；（2）传输媒质―无线电波在空气中的传播会因多种原因（例如障碍物）发生信号衰减导致信息的不稳定甚至会丢失；（3）需要常常移动设备（尤其是移动用户）设备容易丢失或失窃；（4）用户不必与网络进行实际连接使得攻击者伪装合法用户更容易由于上述特点利用WLAN进行通信必须具有较高的通信保密能力 　　 　　802.11无线局域网本身提供了一些基本的安全机制802.11接入点AP可以用一个服务集标识SSID（ServiceSetIdentifier）或ESSID（ExtensibleServiceSetIdentifier）来配置与接入点有关的网卡必须知道SSID以便在网络中发送和接收数据但这是一个非常脆弱的安全手段因为SSID通过明文在大气中传送甚至被接入点广播所有的网卡和接入点都知道SSID 　　 　　802.11的安全性主要包括以有线同等保密WEP（WiredEquivalentPrivacy）算法为基础的身份验证服务和加密技术WEP是一套安全服务用来防止802.11网络受到未授权用户的访问启用WEP时可以指定用于加密的网络密钥也可自动提供网络密钥如果亲自指定密钥还可以指定密钥长度（64位或128位）、密钥格式（ASCII字符或十六进制数字）和密钥索引（存储特定密钥的位置）原理上密钥长度越长密钥应该越安全思科公司的ScottFluhrer与Weizmann研究院的ItsikMantin和Adihamir合作并发表了题为《RC4秘钥时序算法缺点》的论文讲述了关于WEP标准的严重攻击问题 　　 　　另外这一安全机制的一个主要限制是标准没有规定一个分配密钥的管理协议这就假定了共享密钥是通过独立于802.11的秘密渠道提供给移动节点当这种移动节点的数量庞大时将是一个很大的挑战 　　 　　2802.1x协议的体系 　　 　　IEEE802.1x协议起源于802.11其主要目的是为了解决无线局域网用户的接入认证问题802.1x协议又称为基于端口的访问控制协议可提供对802.11无线局域网和对有线以太网络的验证的网络访问权限802.1x协议仅仅关注端口的打开与关闭对于合法用户接入时打开端口；对于非法用户接入或没有用户接入时则端口处于关闭状态 　　 　　IEEE802.1x协议的体系结构主要包括三部分实体：客户端SupplicantSystem、认证系统AuthenticatorSystem、认证服务器AuthenticationServerSystem 　　 　　（1）客户端：一般为一个用户终端系统该终端系统通常要安装一个客户端软件用户通过启动这个客户端软件发起IEEE802.1x协议的认证过程 　　 　　（2）认证系统：通常为支持IEEE802.1x协议的网络设备该设备对应于不同用户的端口有两个逻辑端口：受控（controlledPort）端口和非受控端口（uncontrolledPort）第一个逻辑接入点（非受控端口）允许验证者和LAN上其它计算机之间交换数据而无需考虑计算机的身份验证状态如何非受控端口始终处于双向连通状态（开放状态）主要用来传递EAPOL协议帧可保证客户端始终可以发出或接受认证第二个逻辑接入点（受控端口）允许经验证的LAN用户和验证者之间交换数据受控端口平时处于关闭状态只有在客户端认证通过时才打开用于传递数据和提供服务受控端口可配置为双向受控、仅输入受控两种方式以适应不同的应用程序如果用户未通过认证则受控端口处于未认证（关闭）状态则用户无法访问认证