WLAN中802.1x協議的安全和應用研究

摘要首先分析了802.11無線局域網的組網原理和基本安全手段，重點討論了廣泛應用的安全協議―IEEE802.1x認證協議，最后簡單地介紹了IEEE802.1x協議的特點、應用和發展方向。關鍵詞無線局域網，802.1x，認證服務器，安全協議，WAPI1802.11無線局域網的安全機制802.11無線局域網運作模式基本分為兩種：點對點（AdHoc）模式和基本（Infrastructure）模式。點對點模式指無線網卡和無線網卡之間的直接通信方式。只要PC插上無線網卡即可與另一具有無線網卡的PC連接，這是一種便捷的連接方式，最多可連接256個移動節點。基本模式指無線網絡規模擴充或無線和有線網絡并存的通信方式，這也是802.11最常用的方式。此時，插上無線網卡的移動節點需通過接入點AP（AccessPoint）與另一臺移動節點連接。接入點負責頻段管理及漫游管理等工作，一個接入點最多可連接1024個移動節點。當無線網絡節點擴增時，網絡存取速度會隨著范圍擴大和節點的增加而變慢，此時添加接入點可以有效控制和管理頻寬與頻段。與有線網絡相比較，無線網絡的安全問題具有以下特點：（1）信道開放，無法阻止攻擊者竊聽，惡意修改并轉發；（2）傳輸媒質―無線電波在空氣中的傳播會因多種原因（例如障礙物）發生信號衰減，導致信息的不穩定，甚至會丟失；（3）需要常常移動設備（尤其是移動用戶），設備容易丟失或失竊；（4）用戶不必與網絡進行實際連接，使得攻擊者偽裝合法用戶更容易。由于上述特點，利用WLAN進行通信必須具有較高的通信保密能力。802.11無線局域網本身提供了一些基本的安全機制。802.11接入點AP可以用一個服務集標識SSID（ServiceSetIdentifier）或ESSID（ExtensibleServiceSetIdentifier）來配置。與接入點有關的網卡必須知道SSID以便在網絡中發送和接收數據。但這是一個非常脆弱的安全手段。因為SSID通過明文在大氣中傳送，甚至被接入點廣播，所有的網卡和接入點都知道SSID。802.11的安全性主要包括以有線同等保密WEP（WiredEquivalentPrivacy）算法為基礎的身份驗證服務和加密技術。WEP是一套安全服務，用來防止802.11網絡受到未授權用戶的訪問。啟用WEP時，可以指定用于加密的網絡密鑰，也可自動提供網絡密鑰。如果親自指定密鑰，還可以指定密鑰長度（64位或128位）、密鑰格式（ASCII字符或十六進制數字）和密鑰索引（存儲特定密鑰的位置）。原理上密鑰長度越長，密鑰應該越安全。思科公司的ScottFluhrer與Weizmann研究院的ItsikMantin和Adihamir合作并發表了題為《RC4秘鑰時序算法缺點》的論文，講述了關于WEP標準的嚴重攻擊問題。另外，這一安全機制的一個主要限制是標準沒有規定一個分配密鑰的管理協議。這就假定了共享密鑰是通過獨立于802.11的秘密渠道提供給移動節點。當這種移動節點的數量龐大時，將是一個很大的挑戰。2802.1x協議的體系IEEE802.1x協議起源于802.11，其主要目的是為了解決無線局域網用戶的接入認證問題。802.1x協議又稱為基于端口的訪問控制協議，可提供對802.11無線局域網和對有線以太網絡的驗證的網絡訪問權限。802.1x協議僅僅關注端口的打開與關閉，對于合法用戶接入時，打開端口；對于非法用戶接入或沒有用戶接入時，則端口處于關閉狀態。IEEE802.1x協議的體系結構主要包括三部分實體：客戶端SupplicantSystem、認證系統AuthenticatorSystem、認證服務器AuthenticationServerSystem。（1）客戶端：一般為一個用戶終端系統，該終端系統通常要安裝一個客戶端軟件，用戶通過啟動這個客戶端軟件發起IEEE802.1x協議的認證過程。（2）認證系統：通常為支持IEEE802.1x協議的網絡設備。該設備對應于不同用戶的端口有兩個邏輯端口：受控（controlledPort）端口和非受控端口（uncontrolledPort）。第一個邏輯接入點（非受控端口），允許驗證者和LAN上其它計算機之間交換數據，而無需考慮計算機的身份驗證狀態如何。非受控端口始終處于雙向連通狀態（開放狀態），主要用來傳遞EAPOL協議幀，可保證客戶端始終可以發出或接受認證。第二個邏輯接入點（受控端口），允許經驗證的LAN用戶和驗證者之間交換數據。受控端口平時處于關閉狀態，只有在客戶端認證通過時才打開，用于傳遞數據和提供服務。受控端口可配置為雙向受控、僅輸入受控兩種方式，以適應不同的應用程序。如果用戶未通過認證，則受控端口處于未認證（關閉）狀態，則用戶無法訪問認證系統提供的服務。（3）認證服務器：通常為RADIUS服務器，該服務器可以存儲有關用戶的信息，比如用戶名和口令、用戶所屬的VLAN、優先級、用戶的訪問控制列表等。當用戶通過認證后，認證服務器會把用戶的相關信息傳遞給認證系統，由認證系統構建動態的訪問控制列表，用戶的后續數據流就將接受上述參數的監管。3802.1x協議的認證過程利用IEEE802.1x可以進行身份驗證，如果計算機要求在不管用戶是否登錄網絡的情況下都訪問網絡資源，可以指定計算機是否嘗試訪問該網絡的身份驗證。以下步驟描述了利用接入點AP和RADIUS服務器對移動節點進行身份驗證的基本方法。如果沒有有效的身份驗證密鑰，AP會禁止所有的網絡流量通過。（1）當一個移動節點（申請者）進入一個無線AP認證者的覆蓋范圍時，無線AP會向移動節點發出一個問詢。（2）在受到來自AP的問詢之后，移動節點做出響應，告知自己的身份。（3）AP將移動節點的身份轉發給RADIUS身份驗證服務器，以便啟動身份驗證服務。（4）RADIUS服務器請求移動節點發送它的憑據，并且指定確認移動節點身份所需憑據的類型。（5）移動節點將它的憑據發送給RADIUS。（6）在對移動節點憑據的有效性進行了確認之后，RADIUS服務器將身份驗證密鑰發送給AP。該身份驗證密鑰將被加密，只有AP能夠讀出該密鑰。（在移動節點和RADIUS服務器之間傳遞的請求通過AP的“非控制”端口進行傳遞，因為移動節點不能直接與RADIUS服務器建立聯系。AP不允許STA移動節點通過“受控制”端口傳送數據，因為它還沒有經過身份驗證。）（7）AP使用從RADIUS服務器處獲得的身份驗證密鑰保護移動節點數據的安全傳輸--特定于移動節點的單播會話密鑰以及多播/全局身份驗證密鑰。全局身份驗證密鑰必須被加密。這要求所使用的EAP方法必須能夠生成一個加密密鑰，這也是身份驗證過程的一個組成部分。傳輸層安全TLS（TransportLevelSecurity）協議提供了兩點間的相互身份驗證、完整性保護、密鑰對協商以及密鑰交換。我們可以使用EAP-TLS在EAP內部提供TLS機制。移動節點可被要求周期性地重新認證以保持一定的安全級。4802.1x協議的特點IEEE802.1x具有以下主要優點：（1）實現簡單。IEEE802.1x協議為二層協議，不需要到達三層，對設備的整體性能要求不高，可以有效降低建網成本。（2）認證和業務數據分離。IEEE802.1x的認證體系結構中采用了“受控端口”和“非受控端口”的邏輯功能，從而可以實現業務與認證的分離。用戶通過認證后，業務流和認證流實現分離，對后續的數據包處理沒有特殊要求，業務可以很靈活，尤其在開展寬帶組播等方面的業務有很大的優勢，所有業務都不受認證方式限制。IEEE802.1x同時具有以下不足802.1x認證是需要網絡服務的系統和網絡之間的會話，這一會話使用IETF的EAP（ExtensibleAuthenticationProtocol）認證協議。協議描述了認證機制的體系結構框架使得能夠在802.11實體之間發送EAP包，并為在AP和工作站間的高層認證協議建立了必要條件。對MAC地址的認證對802.1x來說是最基本的，如果沒有高層的每包認證機制，認證端口沒有辦法標識網絡申請者或其包。而且實驗證明802.1x由于其設計缺陷其安全性已經受到威脅，常見的攻擊有中間人MIM攻擊和會話攻擊。所以802.11與802.1x的簡單結合并不能提供健壯的安全無線環境，必須有高層的清晰的交互認證協議來加強。幸運的是，802.1x為實現高層認證提供了基本架構。5802.1x認證協議的應用IEEE802.1x使用標準安全協議（如RADIUS）提供集中的用戶標識、身份驗證、動態密鑰管理和記帳。802.1x身份驗證可以增強安全性。IEEE802.1x身份驗證提供對802.11無線網絡和對有線以太網網絡的經驗證的訪問權限。IEEE802.1x通過提供用戶和計算機標識、集中的身份驗證以及動態密鑰管理，可將無線網絡安全風險減小到最低程度。在此執行下，作為RADIUS客戶端配置的無線接入點將連接請求和記帳郵件發送到中央RADIUS服務器。中央RADIUS服務器處理此請求并準予或拒絕連接請求。如果準予請求，根據所選身份驗證方法，該客戶端獲得身份驗證，并且為會話生成唯一密鑰。IEEE802.1x為可擴展的身份驗證協議EAP安全類型提供的支持使您能夠使用諸如智能卡、證書以及MessageDigest5(MD5)算法這樣的身份驗證方法。擴展身份驗證協議EAP是一個支持身份驗證信息通過多種機制進行通信的協議。利用802.1x，EAP可以用來在申請者和身份驗證服務器之間傳遞驗證信息。這意味著EAP消息需要通過LAN介質直接進行封裝。認證者負責在申請者和身份驗證服務器之間轉遞消息。身份驗證服務器可以是一臺遠程身份驗證撥入用戶服務（RADIUS）服務器。以下舉一個例子，說明對申請者進行身份驗證所需經過的步驟：（1）認證者發送一個EAP-Request/Identity（請求/身份）消息給申請者。（2）申請者發送一個EAP-Response/Identity（響應/身份）以及它的身份給認證者。認證者將收到的消息轉發給身份驗證服務器。（3）身份驗證服務器利用一個包含口令問詢的EAP-Request消息通過認證者對申請者做出響應。（4）申請者通過認證者將它對口令問詢的響應發送給身份驗證服務器。（5）如果身份驗證通過，授權服務器將通過認證者發送一個EAP-Success響應給申請者。認證者可以使用“Success”（成功）響應將受控制端口的狀態設置為“已授權”。6802.1x與智能卡智能卡通常用在安全性要求比較高的場合，并與認證協議的應用相結合。這首先是由于智能卡能夠保護并安全的處理敏感數據；而智能卡能保護密鑰也是相當重要的，一切秘密寓于密鑰之中，為了能達到密碼所提供的安全服務，密鑰絕對不能被泄密，但為安全原因所增加的成本卻不能太多。智能卡自身硬件的資源極為有限。用其實現安全系統面臨著存儲器容量和計算能力方面受到的限制。目前市場上的大多數智能卡有128到1024字節的RAM，1k到16k字節的EEPROM，6k到16k字節的ROM，CPU通常為8比特的，典型的時鐘頻率為3.57MHz。任何存儲或者是處理能力的增強都意味著智能卡成本的大幅度提高。另外智能卡的數據傳送是相對慢的，為提高應用的效率，基本的數據單元必須要小，這樣可以減少智能卡與卡終端之間的數據流量，其傳送時間的減少則意味著實用性的增強。將802.1x與智能卡的應用相結合的優點是：認證更加安全；生成和管理密鑰方便；節省內存空間；節省帶寬，提高實用性；節省處理時間，而不需要增加硬件的處理等方面。802.1x安全認證協議所帶來的各優點恰好彌補了智能卡硬件的各種局限，不僅能有效地降低智能卡的生產成本，也能提高智能卡的實用性。7發展方向和趨勢802.11無線局域網目前的安全標準主要有兩大發展主流：（1）WPA。802.1x協議僅僅提供了一種用戶接入認證的手段，并簡單地通過控制接入端口的開/關狀態來實現，這種簡化適用于無線局域網的接入認證、點對點物理或邏輯端口的接入認證。WPA（Wi-Fi受保護訪問）是一種新的基于IEEE標準的安全解決方法。Wi-Fi聯盟經過努力，于2002年10月下旬宣布了基于此標準的解決方法，以便開發更加穩定的無線LAN安全解決方法來滿足802.11的要求。WPA包括802.1x驗證和TKIP加密（一種更高級和安全的WEP加密形式），以進一步形成和完善IEEE802.11i標準。（2）WAPI。我國已于2003年12月1日起強制執行了新的無線局域網安全國家標準―無線局域網鑒別和保密基礎結構WAPI（WLANAuthenticationandPrivacyInfrastructure）。WAPI由無線局域網鑒別基礎結構WAI（WLANAuthenticationInfrastructure）和無線局域網保密基礎結構WPI（WLANPrivacyInfrastructure）組成。WAPI與已有安全機制相比具有其獨特優點，充分體現了國家標準的先進性。WAPI與已有安全機制相比在很多方面都進行了改進。它已由ISO/IEC授權的IEEERegistrationAuthority審查獲得認可，分配了用于WAPI協議的以太網類型字段，這也是我國目前在該領域惟一獲得批準的協議。WAPI采用國家密碼管理委員會辦公室批準的公開密鑰體制的橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法，分別用于WLAN設備的數字證書、密鑰協商和傳輸數據的加解密，從而實現設備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態下的加密保護。