WLAN中802.1x協(xié)議的安全和應(yīng)用研究

WLAN中802.1x協(xié)議的安全和應(yīng)用研究

摘要首先分析了802.11無(wú)線局域網(wǎng)的組網(wǎng)原理和基本安全手段，重點(diǎn)討論了廣泛應(yīng)用的安全協(xié)議―IEEE802.1x認(rèn)證協(xié)議，最后簡(jiǎn)單地介紹了IEEE802.1x協(xié)議的特點(diǎn)、應(yīng)用和發(fā)展方向。關(guān)鍵詞無(wú)線局域網(wǎng)，802.1x，認(rèn)證服務(wù)器，安全協(xié)議，WAPI1802.11無(wú)線局域網(wǎng)的安全機(jī)制802.11無(wú)線局域網(wǎng)運(yùn)作模式基本分為兩種：點(diǎn)對(duì)點(diǎn)（AdHoc）模式和基本（Infrastructure）模式。點(diǎn)對(duì)點(diǎn)模式指無(wú)線網(wǎng)卡和無(wú)線網(wǎng)卡之間的直接通信方式。只要PC插上無(wú)線網(wǎng)卡即可與另一具有無(wú)線網(wǎng)卡的PC連接，這是一種便捷的連接方式，最多可連接256個(gè)移動(dòng)節(jié)點(diǎn)?；灸Ｊ街笩o(wú)線網(wǎng)絡(luò)規(guī)模擴(kuò)充或無(wú)線和有線網(wǎng)絡(luò)并存的通信方式，這也是802.11最常用的方式。此時(shí)，插上無(wú)線網(wǎng)卡的移動(dòng)節(jié)點(diǎn)需通過(guò)接入點(diǎn)AP（AccessPoint）與另一臺(tái)移動(dòng)節(jié)點(diǎn)連接。接入點(diǎn)負(fù)責(zé)頻段管理及漫游管理等工作，一個(gè)接入點(diǎn)最多可連接1024個(gè)移動(dòng)節(jié)點(diǎn)。當(dāng)無(wú)線網(wǎng)絡(luò)節(jié)點(diǎn)擴(kuò)增時(shí)，網(wǎng)絡(luò)存取速度會(huì)隨著范圍擴(kuò)大和節(jié)點(diǎn)的增加而變慢，此時(shí)添加接入點(diǎn)可以有效控制和管理頻寬與頻段。與有線網(wǎng)絡(luò)相比較，無(wú)線網(wǎng)絡(luò)的安全問(wèn)題具有以下特點(diǎn)：（1）信道開(kāi)放，無(wú)法阻止攻擊者竊聽(tīng)，惡意修改并轉(zhuǎn)發(fā)；（2）傳輸媒質(zhì)―無(wú)線電波在空氣中的傳播會(huì)因多種原因（例如障礙物）發(fā)生信號(hào)衰減，導(dǎo)致信息的不穩(wěn)定，甚至?xí)G失；（3）需要常常移動(dòng)設(shè)備（尤其是移動(dòng)用戶），設(shè)備容易丟失或失竊；（4）用戶不必與網(wǎng)絡(luò)進(jìn)行實(shí)際連接，使得攻擊者偽裝合法用戶更容易。由于上述特點(diǎn)，利用WLAN進(jìn)行通信必須具有較高的通信保密能力。802.11無(wú)線局域網(wǎng)本身提供了一些基本的安全機(jī)制。802.11接入點(diǎn)AP可以用一個(gè)服務(wù)集標(biāo)識(shí)SSID（ServiceSetIdentifier）或ESSID（ExtensibleServiceSetIdentifier）來(lái)配置。與接入點(diǎn)有關(guān)的網(wǎng)卡必須知道SSID以便在網(wǎng)絡(luò)中發(fā)送和接收數(shù)據(jù)。但這是一個(gè)非常脆弱的安全手段。因?yàn)镾SID通過(guò)明文在大氣中傳送，甚至被接入點(diǎn)廣播，所有的網(wǎng)卡和接入點(diǎn)都知道SSID。802.11的安全性主要包括以有線同等保密WEP（WiredEquivalentPrivacy）算法為基礎(chǔ)的身份驗(yàn)證服務(wù)和加密技術(shù)。WEP是一套安全服務(wù)，用來(lái)防止802.11網(wǎng)絡(luò)受到未授權(quán)用戶的訪問(wèn)。啟用WEP時(shí)，可以指定用于加密的網(wǎng)絡(luò)密鑰，也可自動(dòng)提供網(wǎng)絡(luò)密鑰。如果親自指定密鑰，還可以指定密鑰長(zhǎng)度（64位或128位）、密鑰格式（ASCII字符或十六進(jìn)制數(shù)字）和密鑰索引（存儲(chǔ)特定密鑰的位置）。原理上密鑰長(zhǎng)度越長(zhǎng)，密鑰應(yīng)該越安全。思科公司的ScottFluhrer與Weizmann研究院的ItsikMantin和Adihamir合作并發(fā)表了題為《RC4秘鑰時(shí)序算法缺點(diǎn)》的論文，講述了關(guān)于WEP標(biāo)準(zhǔn)的嚴(yán)重攻擊問(wèn)題。另外，這一安全機(jī)制的一個(gè)主要限制是標(biāo)準(zhǔn)沒(méi)有規(guī)定一個(gè)分配密鑰的管理協(xié)議。這就假定了共享密鑰是通過(guò)獨(dú)立于802.11的秘密渠道提供給移動(dòng)節(jié)點(diǎn)。當(dāng)這種移動(dòng)節(jié)點(diǎn)的數(shù)量龐大時(shí)，將是一個(gè)很大的挑戰(zhàn)。2802.1x協(xié)議的體系IEEE802.1x協(xié)議起源于802.11，其主要目的是為了解決無(wú)線局域網(wǎng)用戶的接入認(rèn)證問(wèn)題。802.1x協(xié)議又稱為基于端口的訪問(wèn)控制協(xié)議，可提供對(duì)802.11無(wú)線局域網(wǎng)和對(duì)有線以太網(wǎng)絡(luò)的驗(yàn)證的網(wǎng)絡(luò)訪問(wèn)權(quán)限。802.1x協(xié)議僅僅關(guān)注端口的打開(kāi)與關(guān)閉，對(duì)于合法用戶接入時(shí)，打開(kāi)端口；對(duì)于非法用戶接入或沒(méi)有用戶接入時(shí)，則端口處于關(guān)閉狀態(tài)。IEEE802.1x協(xié)議的體系結(jié)構(gòu)主要包括三部分實(shí)體：客戶端SupplicantSystem、認(rèn)證系統(tǒng)AuthenticatorSystem、認(rèn)證服務(wù)器AuthenticationServerSystem。（1）客戶端：一般為一個(gè)用戶終端系統(tǒng)，該終端系統(tǒng)通常要安裝一個(gè)客戶端軟件，用戶通過(guò)啟動(dòng)這個(gè)客戶端軟件發(fā)起IEEE802.1x協(xié)議的認(rèn)證過(guò)程。（2）認(rèn)證系統(tǒng)：通常為支持IEEE802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備。該設(shè)備對(duì)應(yīng)于不同用戶的端口有兩個(gè)邏輯端口：受控（controlledPort）端口和非受控端口（uncontrolledPort）。第一個(gè)邏輯接入點(diǎn)（非受控端口），允許驗(yàn)證者和LAN上其它計(jì)算機(jī)之間交換數(shù)據(jù)，而無(wú)需考慮計(jì)算機(jī)的身份驗(yàn)證狀態(tài)如何。非受控端口始終處于雙向連通狀態(tài)（開(kāi)放狀態(tài)），主要用來(lái)傳遞EAPOL協(xié)議幀，可保證客戶端始終可以發(fā)出或接受認(rèn)證。第二個(gè)邏輯接入點(diǎn)（受控端口），允許經(jīng)驗(yàn)證的LAN用戶和驗(yàn)證者之間交換數(shù)據(jù)。受控端口平時(shí)處于關(guān)閉狀態(tài)，只有在客戶端認(rèn)證通過(guò)時(shí)才打開(kāi)，用于傳遞數(shù)據(jù)和提供服務(wù)。受控端口可配置為雙向受控、僅輸入受控兩種方式，以適應(yīng)不同的應(yīng)用程序。如果用戶未通過(guò)認(rèn)證，則受控端口處于未認(rèn)證（關(guān)閉）狀態(tài)，則用戶無(wú)法訪問(wèn)認(rèn)證系統(tǒng)提供的服務(wù)。（3）認(rèn)證服務(wù)器：通常為RADIUS服務(wù)器，該服務(wù)器可以存儲(chǔ)有關(guān)用戶的信息，比如用戶名和口令、用戶所屬的VLAN、優(yōu)先級(jí)、用戶的訪問(wèn)控制列表等。當(dāng)用戶通過(guò)認(rèn)證后，認(rèn)證服務(wù)器會(huì)把用戶的相關(guān)信息傳遞給認(rèn)證系統(tǒng)，由認(rèn)證系統(tǒng)構(gòu)建動(dòng)態(tài)的訪問(wèn)控制列表，用戶的后續(xù)數(shù)據(jù)流就將接受上述參數(shù)的監(jiān)管。3802.1x協(xié)議的認(rèn)證過(guò)程利用IEEE802.1x可以進(jìn)行身份驗(yàn)證，如果計(jì)算機(jī)要求在不管用戶是否登錄網(wǎng)絡(luò)的情況下都訪問(wèn)網(wǎng)絡(luò)資源，可以指定計(jì)算機(jī)是否嘗試訪問(wèn)該網(wǎng)絡(luò)的身份驗(yàn)證。以下步驟描述了利用接入點(diǎn)AP和RADIUS服務(wù)器對(duì)移動(dòng)節(jié)點(diǎn)進(jìn)行身份驗(yàn)證的基本方法。如果沒(méi)有有效的身份驗(yàn)證密鑰，AP會(huì)禁止所有的網(wǎng)絡(luò)流量通過(guò)。（1）當(dāng)一個(gè)移動(dòng)節(jié)點(diǎn)（申請(qǐng)者）進(jìn)入一個(gè)無(wú)線AP認(rèn)證者的覆蓋范圍時(shí)，無(wú)線AP會(huì)向移動(dòng)節(jié)點(diǎn)發(fā)出一個(gè)問(wèn)詢。（2）在受到來(lái)自AP的問(wèn)詢之后，移動(dòng)節(jié)點(diǎn)做出響應(yīng)，告知自己的身份。（3）AP將移動(dòng)節(jié)點(diǎn)的身份轉(zhuǎn)發(fā)給RADIUS身份驗(yàn)證服務(wù)器，以便啟動(dòng)身份驗(yàn)證服務(wù)。（4）RADIUS服務(wù)器請(qǐng)求移動(dòng)節(jié)點(diǎn)發(fā)送它的憑據(jù)，并且指定確認(rèn)移動(dòng)節(jié)點(diǎn)身份所需憑據(jù)的類型。（5）移動(dòng)節(jié)點(diǎn)將它的憑據(jù)發(fā)送給RADIUS。（6）在對(duì)移動(dòng)節(jié)點(diǎn)憑據(jù)的有效性進(jìn)行了確認(rèn)之后，RADIUS服務(wù)器將身份驗(yàn)證密鑰發(fā)送給AP。該身份驗(yàn)證密鑰將被加密，只有AP能夠讀出該密鑰。（在移動(dòng)節(jié)點(diǎn)和RADIUS服務(wù)器之間傳遞的請(qǐng)求通過(guò)AP的“非控制”端口進(jìn)行傳遞，因?yàn)橐苿?dòng)節(jié)點(diǎn)不能直接與RADIUS服務(wù)器建立聯(lián)系。AP不允許STA移動(dòng)節(jié)點(diǎn)通過(guò)“受控制”端口傳送數(shù)據(jù)，因?yàn)樗€沒(méi)有經(jīng)過(guò)身份驗(yàn)證。）（7）AP使用從RADIUS服務(wù)器處獲得的身份驗(yàn)證密鑰保護(hù)移動(dòng)節(jié)點(diǎn)數(shù)據(jù)的安全傳輸--特定于移動(dòng)節(jié)點(diǎn)的單播會(huì)話密鑰以及多播/全局身份驗(yàn)證密鑰。全局身份驗(yàn)證密鑰必須被加密。這要求所使用的EAP方法必須能夠生成一個(gè)加密密鑰，這也是身份驗(yàn)證過(guò)程的一個(gè)組成部分。傳輸層安全TLS（TransportLevelSecurity）協(xié)議提供了兩點(diǎn)間的相互身份驗(yàn)證、完整性保護(hù)、密鑰對(duì)協(xié)商以及密鑰交換。我們可以使用EAP-TLS在EAP內(nèi)部提供TLS機(jī)制。移動(dòng)節(jié)點(diǎn)可被要求周期性地重新認(rèn)證以保持一定的安全級(jí)。4802.1x協(xié)議的特點(diǎn)IEEE802.1x具有以下主要優(yōu)點(diǎn)：（1）實(shí)現(xiàn)簡(jiǎn)單。IEEE802.1x協(xié)議為二層協(xié)議，不需要到達(dá)三層，對(duì)設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本。（2）認(rèn)證和業(yè)務(wù)數(shù)據(jù)分離。IEEE802.1x的認(rèn)證體系結(jié)構(gòu)中采用了“受控端口”和“非受控端口”的邏輯功能，從而可以實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證的分離。用戶通過(guò)認(rèn)證后，業(yè)務(wù)流和認(rèn)證流實(shí)現(xiàn)分離，對(duì)后續(xù)的數(shù)據(jù)包處理沒(méi)有特殊要求，業(yè)務(wù)可以很靈活，尤其在開(kāi)展寬帶組播等方面的業(yè)務(wù)有很大的優(yōu)勢(shì)，所有業(yè)務(wù)都不受認(rèn)證方式限制。IEEE802.1x同時(shí)具有以下不足802.1x認(rèn)證是需要網(wǎng)絡(luò)服務(wù)的系統(tǒng)和網(wǎng)絡(luò)之間的會(huì)話，這一會(huì)話使用IETF的EAP（ExtensibleAuthenticationProtocol）認(rèn)證協(xié)議。協(xié)議描述了認(rèn)證機(jī)制的體系結(jié)構(gòu)框架使得能夠在802.11實(shí)體之間發(fā)送EAP包，并為在AP和工作站間的高層認(rèn)證協(xié)議建立了必要條件。對(duì)MAC地址的認(rèn)證對(duì)802.1x來(lái)說(shuō)是最基本的，如果沒(méi)有高層的每包認(rèn)證機(jī)制，認(rèn)證端口沒(méi)有辦法標(biāo)識(shí)網(wǎng)絡(luò)申請(qǐng)者或其包。而且實(shí)驗(yàn)證明802.1x由于其設(shè)計(jì)缺陷其安全性已經(jīng)受到威脅，常見(jiàn)的攻擊有中間人MIM攻擊和會(huì)話攻擊。所以802.11與802.1x的簡(jiǎn)單結(jié)合并不能提供健壯的安全無(wú)線環(huán)境，必須有高層的清晰的交互認(rèn)證協(xié)議來(lái)加強(qiáng)。幸運(yùn)的是，802.1x為實(shí)現(xiàn)高層認(rèn)證提供了基本架構(gòu)。5802.1x認(rèn)證協(xié)議的應(yīng)用IEEE802.1x使用標(biāo)準(zhǔn)安全協(xié)議（如RADIUS）提供集中的用戶標(biāo)識(shí)、身份驗(yàn)證、動(dòng)態(tài)密鑰管理和記帳。802.1x身份驗(yàn)證可以增強(qiáng)安全性。IEEE802.1x身份驗(yàn)證提供對(duì)802.11無(wú)線網(wǎng)絡(luò)和對(duì)有線以太網(wǎng)網(wǎng)絡(luò)的經(jīng)驗(yàn)證的訪問(wèn)權(quán)限。IEEE802.1x通過(guò)提供用戶和計(jì)算機(jī)標(biāo)識(shí)、集中的身份驗(yàn)證以及動(dòng)態(tài)密鑰管理，可將無(wú)線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)減小到最低程度。在此執(zhí)行下，作為RADIUS客戶端配置的無(wú)線接入點(diǎn)將連接請(qǐng)求和記帳郵件發(fā)送到中央RADIUS服務(wù)器。中央RADIUS服務(wù)器處理此請(qǐng)求并準(zhǔn)予或拒絕連接請(qǐng)求。如果準(zhǔn)予請(qǐng)求，根據(jù)所選身份驗(yàn)證方法，該客戶端獲得身份驗(yàn)證，并且為會(huì)話生成唯一密鑰。IEEE802.1x為可擴(kuò)展的身份驗(yàn)證協(xié)議EAP安全類型提供的支持使您能夠使用諸如智能卡、證書(shū)以及MessageDigest5(MD5)算法這樣的身份驗(yàn)證方法。擴(kuò)展身份驗(yàn)證協(xié)議EAP是一個(gè)支持身份驗(yàn)證信息通過(guò)多種機(jī)制進(jìn)行通信的協(xié)議。利用802.1x，EAP可以用來(lái)在申請(qǐng)者和身份驗(yàn)證服務(wù)器之間傳遞驗(yàn)證信息。這意味著EAP消息需要通過(guò)LAN介質(zhì)直接進(jìn)行封裝。認(rèn)證者負(fù)責(zé)在申請(qǐng)者和身份驗(yàn)證服務(wù)器之間轉(zhuǎn)遞消息。身份驗(yàn)證服務(wù)器可以是一臺(tái)遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)（RADIUS）服務(wù)器。以下舉一個(gè)例子，說(shuō)明對(duì)申請(qǐng)者進(jìn)行身份驗(yàn)證所需經(jīng)過(guò)的步驟：（1）認(rèn)證者發(fā)送一個(gè)EAP-Request/Identity（請(qǐng)求/身份）消息給申請(qǐng)者。（2）申請(qǐng)者發(fā)送一個(gè)EAP-Response/Identity（響應(yīng)/身份）以及它的身份給認(rèn)證者。認(rèn)證者將收到的消息轉(zhuǎn)發(fā)給身份驗(yàn)證服務(wù)器。（3）身份驗(yàn)證服務(wù)器利用一個(gè)包含口令問(wèn)詢的EAP-Request消息通過(guò)認(rèn)證者對(duì)申請(qǐng)者做出響應(yīng)。（4）申請(qǐng)者通過(guò)認(rèn)證者將它對(duì)口令問(wèn)詢的響應(yīng)發(fā)送給身份驗(yàn)證服務(wù)器。（5）如果身份驗(yàn)證通過(guò)，授權(quán)服務(wù)器將通過(guò)認(rèn)證者發(fā)送一個(gè)EAP-Success響應(yīng)給申請(qǐng)者。認(rèn)證者可以使用“Success”（成功）響應(yīng)將受控制端口的狀態(tài)設(shè)置為“已授權(quán)”。6802.1x與智能卡智能卡通常用在安全性要求比較高的場(chǎng)合，并與認(rèn)證協(xié)議的應(yīng)用相結(jié)合。這首先是由于智能卡能夠保護(hù)并安全的處理敏感數(shù)據(jù)；而智能卡能保護(hù)密鑰也是相當(dāng)重要的，一切秘密寓于密鑰之中，為了能達(dá)到密碼所提供的安全服務(wù)，密鑰絕對(duì)不能被泄密，但為安全原因所增加的成本卻不能太多。智能卡自身硬件的資源極為有限。用其實(shí)現(xiàn)安全系統(tǒng)面臨著存儲(chǔ)器容量和計(jì)算能力方面受到的限制。目前市場(chǎng)上的大多數(shù)智能卡有128到1024字節(jié)的RAM，1k到16k字節(jié)的EEPROM，6k到16k字節(jié)的ROM，CPU通常為8比特的，典型的時(shí)鐘頻率為3.57MHz。任何存儲(chǔ)或者是處理能力的增強(qiáng)都意味著智能卡成本的大幅度提高。另外智能卡的數(shù)據(jù)傳送是相對(duì)慢的，為提高應(yīng)用的效率，基本的數(shù)據(jù)單元必須要小，這樣可以減少智能卡與卡終端之間的數(shù)據(jù)流量，其傳送時(shí)間的減少則意味著實(shí)用性的增強(qiáng)。將802.1x與智能卡的應(yīng)用相結(jié)合的優(yōu)點(diǎn)是：認(rèn)證更加安全；生成和管理密鑰方便；節(jié)省內(nèi)存空間；節(jié)省帶寬，提高實(shí)用性；節(jié)省處理時(shí)間，而不需要增加硬件的處理等方面。802.1x安全認(rèn)證協(xié)議所帶來(lái)的各優(yōu)點(diǎn)恰好彌補(bǔ)了智能卡硬件的各種局限，不僅能有效地降低智能卡的生產(chǎn)成本，也能提高智能卡的實(shí)用性。7發(fā)展方向和趨勢(shì)802.11無(wú)線局域網(wǎng)目前的安全標(biāo)準(zhǔn)主要有兩大發(fā)展主流：（1）WPA。802.1x協(xié)議僅僅提供了一種用戶接入認(rèn)證的手段，并簡(jiǎn)單地通過(guò)控制接入端口的開(kāi)/關(guān)狀態(tài)來(lái)實(shí)現(xiàn)，這種簡(jiǎn)化適用于無(wú)線局域網(wǎng)的接入認(rèn)證、點(diǎn)對(duì)點(diǎn)物理或邏輯端口的接入認(rèn)證。WPA（Wi-Fi受保護(hù)訪問(wèn)）是一種新的基于IEEE標(biāo)準(zhǔn)的安全解決方法。Wi-Fi聯(lián)盟經(jīng)過(guò)努力，于2002年10月下旬宣布了基于此標(biāo)準(zhǔn)的解決方法，以便開(kāi)發(fā)更加穩(wěn)定的無(wú)線LAN安全解決方法來(lái)滿足802.11的要求。WPA包括802.1x驗(yàn)證和TKIP加密（一種更高級(jí)和安全的WEP加密形式），以進(jìn)一步形成和完善IEEE802.11i標(biāo)準(zhǔn)。（2）WAPI。我國(guó)已于2003年12月1日起強(qiáng)制執(zhí)行了新的無(wú)線局域網(wǎng)安全國(guó)家標(biāo)準(zhǔn)―無(wú)線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)WAPI（WLANAuthenticationandPrivacyInfrastructure）。WAPI由無(wú)線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)WAI（WLANAuthenticationInfrastructure）和無(wú)線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)WPI（WLANPrivacyInfrastructure）組成。WAPI與已有安全機(jī)制相比具有其獨(dú)特優(yōu)點(diǎn)，充分體現(xiàn)了國(guó)家標(biāo)準(zhǔn)的先進(jìn)性。WAPI與已有安全機(jī)制相比在很多方面都進(jìn)行了改進(jìn)。它已由ISO/IEC授權(quán)的IEEERegistrationAuthority審查獲得認(rèn)可，分配了用于WAPI協(xié)議的以太網(wǎng)類型字段，這也是我國(guó)目前在該領(lǐng)域惟一獲得批準(zhǔn)的協(xié)議。WAPI采用國(guó)家密碼管理委員會(huì)辦公室批準(zhǔn)的公開(kāi)密鑰體制的橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法，分別用于WLAN設(shè)備的數(shù)字證書(shū)、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密，從而實(shí)現(xiàn)設(shè)備的身份鑒別、鏈路驗(yàn)證、訪問(wèn)控制和用戶信息在無(wú)線傳輸狀態(tài)下的加密保護(hù)。