WLAN中802.1x協(xié)議的安全和應用研究

　　摘要 首先分析了802.11無(wú)線(xiàn)局域網(wǎng)的組網(wǎng)原理和基本安全手段，重點(diǎn)討論了廣泛應用的安全協(xié)議―IEEE 802.1x認證協(xié)議，最后簡(jiǎn)單地介紹了IEEE 802.1x協(xié)議的特點(diǎn)、應用和發(fā)展方向。

　　關(guān)鍵詞 無(wú)線(xiàn)局域網(wǎng)，802.1x，認證服務(wù)器，安全協(xié)議，WAPI

　　1 802.11無(wú)線(xiàn)局域網(wǎng)的安全機制

　　802.11無(wú)線(xiàn)局域網(wǎng)運作模式基本分為兩種：點(diǎn)對點(diǎn)（Ad Hoc）模式和基本（Infrastructure）模式。點(diǎn)對點(diǎn)模式指無(wú)線(xiàn)網(wǎng)卡和無(wú)線(xiàn)網(wǎng)卡之間的直接通信方式。只要PC插上無(wú)線(xiàn)網(wǎng)卡即可與另一具有無(wú)線(xiàn)網(wǎng)卡的PC連接，這是一種便捷的連接方式，最多可連接256個(gè)移動(dòng)節點(diǎn)�；�本模式指無(wú)線(xiàn)網(wǎng)絡(luò )規模擴充或無(wú)線(xiàn)和有線(xiàn)網(wǎng)絡(luò )并存的通信方式，這也是802.11最常用的方式。此時(shí)，插上無(wú)線(xiàn)網(wǎng)卡的移動(dòng)節點(diǎn)需通過(guò)接入點(diǎn)AP（Access Point）與另一臺移動(dòng)節點(diǎn)連接。接入點(diǎn)負責頻段管理及漫游管理等工作，一個(gè)接入點(diǎn)最多可連接1024個(gè)移動(dòng)節點(diǎn)。當無(wú)線(xiàn)網(wǎng)絡(luò )節點(diǎn)擴增時(shí)，網(wǎng)絡(luò )存取速度會(huì )隨著(zhù)范圍擴大和節點(diǎn)的增加而變慢，此時(shí)添加接入點(diǎn)可以有效控制和管理頻寬與頻段。

　　與有線(xiàn)網(wǎng)絡(luò )相比較，無(wú)線(xiàn)網(wǎng)絡(luò )的安全問(wèn)題具有以下特點(diǎn)：（1）信道開(kāi)放，無(wú)法阻止攻擊者偷聽(tīng)，惡意修改并轉發(fā)；（2）傳輸媒質(zhì)―無(wú)線(xiàn)電波在空氣中的傳播會(huì )因多種原因（例如障礙物）發(fā)生信號衰減，導致信息的不穩定，甚至會(huì )丟失；（3）需要常常移動(dòng)設備（尤其是移動(dòng)用戶(hù)），設備容易丟失或失竊；（4）用戶(hù)不必與網(wǎng)絡(luò )進(jìn)行實(shí)際連接，使得攻擊者偽裝合法用戶(hù)更容易。由于上述特點(diǎn)，利用WLAN進(jìn)行通信必須具有較高的通信保密能力。

　　802.11無(wú)線(xiàn)局域網(wǎng)本身提供了一些基本的安全機制。802.11接入點(diǎn)AP可以用一個(gè)服務(wù)集標識SSID（Service Set Identifier）或ESSID（Extensible Service Set Identifier）來(lái)配置。與接入點(diǎn)有關(guān)的網(wǎng)卡必須知道SSID以便在網(wǎng)絡(luò )中發(fā)送和接收數據。但這是一個(gè)非常脆弱的安全手段。因為SSID通過(guò)明文在大氣中傳送，甚至被接入點(diǎn)廣播，所有的網(wǎng)卡和接入點(diǎn)都知道SSID。

　　802.11的安全性主要包括以有線(xiàn)同等保密WEP（Wired Equivalent Privacy）算法為基礎的身份驗證服務(wù)和加密技術(shù)。WEP 是一套安全服務(wù)，用來(lái)防止 802.11 網(wǎng)絡(luò )受到未授權用戶(hù)的訪(fǎng)問(wèn)。啟用 WEP 時(shí)，可以指定用于加密的網(wǎng)絡(luò )密鑰，也可自動(dòng)提供網(wǎng)絡(luò )密鑰。如果親自指定密鑰，還可以指定密鑰長(cháng)度（64 位或 128 位）、密鑰格式（ASCII 字符或十六進(jìn)制數字）和密鑰索引（存儲特定密鑰的位置）。原理上密鑰長(cháng)度越長(cháng)，密鑰應該越安全。思科公司的Scott Fluhrer與Weizmann研究院的Itsik Mantin和Adi hamir合作并發(fā)表了題為《RC4秘鑰時(shí)序算法缺點(diǎn)》的論文，講述了關(guān)于WEP標準的嚴重攻擊問(wèn)題。

　　另外，這一安全機制的一個(gè)主要限制是標準沒(méi)有規定一個(gè)分配密鑰的管理協(xié)議。這就假定了共享密鑰是通過(guò)獨立于802.11的秘密渠道提供給移動(dòng)節點(diǎn)。當這種移動(dòng)節點(diǎn)的數量龐大時(shí)，將是一個(gè)很大的挑戰。

　　2 802.1x協(xié)議的體系

　　IEEE 802.1x協(xié)議起源于802.11， 其主要目的是為了解決無(wú)線(xiàn)局域網(wǎng)用戶(hù)的接入認證問(wèn)題。802.1x 協(xié)議又稱(chēng)為基于端口的訪(fǎng)問(wèn)控制協(xié)議，可提供對802.11無(wú)線(xiàn)局域網(wǎng)和對有線(xiàn)以太網(wǎng)絡(luò )的驗證的網(wǎng)絡(luò )訪(fǎng)問(wèn)權限。802.1x協(xié)議僅僅關(guān)注端口的打開(kāi)與關(guān)閉，對于合法用戶(hù)接入時(shí)，打開(kāi)端口；對于非法用戶(hù)接入或沒(méi)有用戶(hù)接入時(shí)，則端口處于關(guān)閉狀態(tài)。

　　IEEE 802.1x協(xié)議的體系結構主要包括三部分實(shí)體：客戶(hù)端Supplicant System、認證系統Authenticator System、認證服務(wù)器Authentication Server System。

　�。�1）客戶(hù)端：一般為一個(gè)用戶(hù)終端系統，該終端系統通常要安裝一個(gè)客戶(hù)端軟件，用戶(hù)通過(guò)啟動(dòng)這個(gè)客戶(hù)端軟件發(fā)起IEEE 802.1x協(xié)議的認證過(guò)程。

　�。�2）認證系統：通常為支持IEEE 802.1x協(xié)議的網(wǎng)絡(luò )設備。該設備對應于不同用戶(hù)的端口有兩個(gè)邏輯端口：受控（controlled Port）端口和非受控端口（uncontrolled Port）。第一個(gè)邏輯接入點(diǎn)（非受控端口），允許驗證者和 LAN 上其它計算機之間交換數據，而無(wú)需考慮計算機的身份驗證狀態(tài)如何。非受控端口始終處于雙向連通狀態(tài)（開(kāi)放狀態(tài)），主要用來(lái)傳遞EAPOL協(xié)議幀，可保證客戶(hù)端始終可以發(fā)出或接受認證。第二個(gè)邏輯接入點(diǎn)（受控端口），允許經(jīng)驗證的 LAN 用戶(hù)和驗證者之間交換數據。受控端口平時(shí)處于關(guān)閉狀態(tài)，只有在客戶(hù)端認證通過(guò)時(shí)才打開(kāi)，用于傳遞數據和提供服務(wù)。受控端口可配置為雙向受控、僅輸入受控兩種方式，以適應不同的應用程序。如果用戶(hù)未通過(guò)認證，則受控端口處于未認證（關(guān)閉）狀態(tài)，則用戶(hù)無(wú)法訪(fǎng)問(wèn)認證系統提供的服務(wù)。

　�。�3）認證服務(wù)器：通常為RADIUS服務(wù)器，該服務(wù)器可以存儲有關(guān)用戶(hù)的信息，比如用戶(hù)名和口令、用戶(hù)所屬的VLAN、優(yōu)先級、用戶(hù)的訪(fǎng)問(wèn)控制列表等。當用戶(hù)通過(guò)認證后，認證服務(wù)器會(huì )把用戶(hù)的相關(guān)信息傳遞給認證系統，由認證系統構建動(dòng)態(tài)的訪(fǎng)問(wèn)控制列表，用戶(hù)的后續數據流就將接受上述參數的監管。

　　3 802.1x協(xié)議的認證過(guò)程

　　利用IEEE 802.1x可以進(jìn)行身份驗證，如果計算機要求在不管用戶(hù)是否登錄網(wǎng)絡(luò )的情況下都訪(fǎng)問(wèn)網(wǎng)絡(luò )資源，可以指定計算機是否嘗試訪(fǎng)問(wèn)該網(wǎng)絡(luò )的身份驗證。以下步驟描述了利用接入點(diǎn)AP和RADIUS服務(wù)器對移動(dòng)節點(diǎn)進(jìn)行身份驗證的基本方法。如果沒(méi)有有效的身份驗證密鑰，AP會(huì )禁止所有的網(wǎng)絡(luò )流量通過(guò)。

　�。�1）當一個(gè)移動(dòng)節點(diǎn)（申請者）進(jìn)入一個(gè)無(wú)線(xiàn)AP認證者的覆蓋范圍時(shí)，無(wú)線(xiàn)AP會(huì )向移動(dòng)節點(diǎn)發(fā)出一個(gè)問(wèn)詢(xún)。

　�。�2）在受到來(lái)自AP的問(wèn)詢(xún)之后，移動(dòng)節點(diǎn)做出響應，告知自己的身份。

　�。�3）AP將移動(dòng)節點(diǎn)的身份轉發(fā)給RADIUS身份驗證服務(wù)器，以便啟動(dòng)身份驗證服務(wù)。

　�。�4）RADIUS服務(wù)器請求移動(dòng)節點(diǎn)發(fā)送它的憑據，并且指定確認移動(dòng)節點(diǎn)身份所需憑據的類(lèi)型。

　�。�5）移動(dòng)節點(diǎn)將它的憑據發(fā)送給RADIUS。

　�。�6）在對移動(dòng)節點(diǎn)憑據的有效性進(jìn)行了確認之后，RADIUS服務(wù)器將身份驗證密鑰發(fā)送給AP。該身份驗證密鑰將被加密，只有AP能夠讀出該密鑰。（在移動(dòng)節點(diǎn)和RADIUS服務(wù)器之間傳遞的請求通過(guò)AP的“非控制”端口進(jìn)行傳遞，因為移動(dòng)節點(diǎn)不能直接與RADIUS服務(wù)器建立聯(lián)系。AP不允許STA移動(dòng)節點(diǎn)通過(guò)“受控制”端口傳送

【W(wǎng)LAN中802.1x協(xié)議的安全和應用研究】相關(guān)文章：

WLAN中OFDM系統的陣列天線(xiàn)技術(shù)03-07

SSL協(xié)議的安全性分析和應用研究12-27

網(wǎng)絡(luò )安全技術(shù)在電子商務(wù)中的應用研究11-19

GPRS技術(shù)在ITS中的應用研究03-07

ZigBee在智能照明中的應用研究03-07

AAA技術(shù)在移動(dòng)IP中的應用研究03-07

標桿治理在現代企業(yè)中的應用研究03-20

標桿治理在發(fā)電企業(yè)節能中的應用研究02-26

多媒體在高校英語(yǔ)閱讀中的應用研究03-15