WLAN中802.1x協議的安全和應用研究

WLAN中802.1x協議的安全和應用研究

　　摘要 首先分析了802.11無線局域網的組網原理和基本安全手段，重點討論了廣泛應用的安全協議―IEEE 802.1x認證協議，最后簡單地介紹了IEEE 802.1x協議的特點、應用和發展方向。

　　關鍵詞 無線局域網，802.1x，認證服務器，安全協議，WAPI

　　1 802.11無線局域網的安全機制

　　802.11無線局域網運作模式基本分為兩種：點對點（Ad Hoc）模式和基本（Infrastructure）模式。點對點模式指無線網卡和無線網卡之間的直接通信方式。只要PC插上無線網卡即可與另一具有無線網卡的PC連接，這是一種便捷的連接方式，最多可連接256個移動節點。基本模式指無線網絡規模擴充或無線和有線網絡并存的通信方式，這也是802.11最常用的方式。此時，插上無線網卡的移動節點需通過接入點AP（Access Point）與另一臺移動節點連接。接入點負責頻段管理及漫游管理等工作，一個接入點最多可連接1024個移動節點。當無線網絡節點擴增時，網絡存取速度會隨著范圍擴大和節點的增加而變慢，此時添加接入點可以有效控制和管理頻寬與頻段。

　　與有線網絡相比較，無線網絡的安全問題具有以下特點：（1）信道開放，無法阻止攻擊者偷聽，惡意修改并轉發；（2）傳輸媒質―無線電波在空氣中的傳播會因多種原因（例如障礙物）發生信號衰減，導致信息的不穩定，甚至會丟失；（3）需要常常移動設備（尤其是移動用戶），設備容易丟失或失竊；（4）用戶不必與網絡進行實際連接，使得攻擊者偽裝合法用戶更容易。由于上述特點，利用WLAN進行通信必須具有較高的通信保密能力。

　　802.11無線局域網本身提供了一些基本的安全機制。802.11接入點AP可以用一個服務集標識SSID（Service Set Identifier）或ESSID（Extensible Service Set Identifier）來配置。與接入點有關的網卡必須知道SSID以便在網絡中發送和接收數據。但這是一個非常脆弱的安全手段。因為SSID通過明文在大氣中傳送，甚至被接入點廣播，所有的網卡和接入點都知道SSID。

　　802.11的安全性主要包括以有線同等保密WEP（Wired Equivalent Privacy）算法為基礎的身份驗證服務和加密技術。WEP 是一套安全服務，用來防止 802.11 網絡受到未授權用戶的訪問。啟用 WEP 時，可以指定用于加密的網絡密鑰，也可自動提供網絡密鑰。如果親自指定密鑰，還可以指定密鑰長度（64 位或 128 位）、密鑰格式（ASCII 字符或十六進制數字）和密鑰索引（存儲特定密鑰的位置）。原理上密鑰長度越長，密鑰應該越安全。思科公司的Scott Fluhrer與Weizmann研究院的Itsik Mantin和Adi hamir合作并發表了題為《RC4秘鑰時序算法缺點》的論文，講述了關于WEP標準的嚴重攻擊問題。

　　另外，這一安全機制的一個主要限制是標準沒有規定一個分配密鑰的管理協議。這就假定了共享密鑰是通過獨立于802.11的秘密渠道提供給移動節點。當這種移動節點的數量龐大時，將是一個很大的挑戰。

　　2 802.1x協議的體系

　　IEEE 802.1x協議起源于802.11， 其主要目的是為了解決無線局域網用戶的接入認證問題。802.1x 協議又稱為基于端口的訪問控制協議，可提供對802.11無線局域網和對有線以太網絡的驗證的網絡訪問權限。802.1x協議僅僅關注端口的打開與關閉，對于合法用戶接入時，打開端口；對于非法用戶接入或沒有用戶接入時，則端口處于關閉狀態。

　　IEEE 802.1x協議的體系結構主要包括三部分實體：客戶端Supplicant System、認證系統Authenticator System、認證服務器Authentication Server System。

　　（1）客戶端：一般為一個用戶終端系統，該終端系統通常要安裝一個客戶端軟件，用戶通過啟動這個客戶端軟件發起IEEE 802.1x協議的認證過程。

　　（2）認證系統：通常為支持IEEE 802.1x協議的網絡設備。該設備對應于不同用戶的端口有兩個邏輯端口：受控（controlled Port）端口和非受控端口（uncontrolled Port）。第一個邏輯接入點（非受控端口），允許驗證者和 LAN 上其它計算機之間交換數據，而無需考慮計算機的身份驗證狀態如何。非受控端口始終處于雙向連通狀態（開放狀態），主要用來傳遞EAPOL協議幀，可保證客戶端始終可以發出或接受認證。第二個邏輯接入點（受控端口），允許經驗證的 LAN 用戶和驗證者之間交換數據。受控端口平時處于關閉狀態，只有在客戶端認證通過時才打開，用于傳遞數據和提供服務。受控端口可配置為雙向受控、僅輸入受控兩種方式，以適應不同的應用程序。如果用戶未通過認證，則受控端口處于未認證（關閉）狀態，則用戶無法訪問認證系統提供的服務。

　　（3）認證服務器：通常為RADIUS服務器，該服務器可以存儲有關用戶的信息，比如用戶名和口令、用戶所屬的VLAN、優先級、用戶的訪問控制列表等。當用戶通過認證后，認證服務器會把用戶的相關信息傳遞給認證系統，由認證系統構建動態的訪問控制列表，用戶的后續數據流就將接受上述參數的監管。

　　3 802.1x協議的認證過程

　　利用IEEE 802.1x可以進行身份驗證，如果計算機要求在不管用戶是否登錄網絡的情況下都訪問網絡資源，可以指定計算機是否嘗試訪問該網絡的身份驗證。以下步驟描述了利用接入點AP和RADIUS服務器對移動節點進行身份驗證的基本方法。如果沒有有效的身份驗證密鑰，AP會禁止所有的網絡流量通過。

　　（1）當一個移動節點（申請者）進入一個無線AP認證者的覆蓋范圍時，無線AP會向移動節點發出一個問詢。

　　（2）在受到來自AP的問詢之后，移動節點做出響應，告知自己的身份。

　　（3）AP將移動節點的身份轉發給RADIUS身份驗證服務器，以便啟動身份驗證服務。

　　（4）RADIUS服務器請求移動節點發送它的憑據，并且指定確認移動節點身份所需憑據的類型。

　　（5）移動節點將它的憑據發送給RADIUS。

　　（6）在對移動節點憑據的有效性進行了確認之后，RADIUS服務器將身份驗證密鑰發送給AP。該身份驗證密鑰將被加密，只有AP能夠讀出該密鑰。（在移動節點和RADIUS服務器之間傳遞的請求通過AP的“非控制”端口進行傳遞，因為移動節點不能直接與RADIUS服務器建立聯系。AP不允許STA移動節點通過“受控制”端口傳送

【WLAN中802.1x協議的安全和應用研究】相關文章：

WLAN中OFDM系統的陣列天線技術03-07

SSL協議的安全性分析和應用研究12-27

網絡安全技術在電子商務中的應用研究11-19

GPRS技術在ITS中的應用研究03-07

ZigBee在智能照明中的應用研究03-07

AAA技術在移動IP中的應用研究03-07

標桿治理在現代企業中的應用研究03-20

標桿治理在發電企業節能中的應用研究02-26

多媒體在高校英語閱讀中的應用研究03-15