基于Linux 環境的IEEE802.1x認證與客戶端編程

【摘 要】IEEE802.1x是基于端口的網絡接入控制協議，它提供了一個可靠的用戶認證和密鑰分發框架，與上層的EAP配合實現認證，并能與后臺Radius認證服務器進行通訊，更有效實現有線城域網AAA（Authentication認證、Authorization授權、Accounting計費）策略；并且802.1x協議起源于802.11協議，主要用于解決無線局域網用戶的接入認證鑒權問題，而Wi_Fi聯盟公布的WPA（Wi-Fi Protected Access）是IEEE802.11i標準的一個子集，其核心就是IEEE802.1X和TKIP文章主要解決802.11和802x協議的結合，并對有線無線混合或單一形態的網絡安全認證提出應用方案，并在Linux環境下使用Libpcap和Libnet庫函數編程實現客戶認證機制，有效地阻止非法用戶的入侵。

【關鍵詞】無線局域網;802.1x;AAA認證;擴展身份驗證協議】

1．無線局域網的安全與認證演變

IEEE802.11（IEEE標準）無線局域網的安全一般采用業務組標識符（SSID）和物理地址（MAC）過濾。對于802.11業務組標識符（SSID），接入點AP可以用一個服務集標識SSID（Service Set Identifier）或ESSID（Extensible Service Set Identifier）來配置，與接入點有關的網卡必須知道SSID以便在網絡中發送和接收數據，這是一個非常脆弱的安全手段，因為SSID通過明文在大氣中傳送，甚至被接入點廣播，所有的網卡和接入點都知道SSID。物理地址（MAC）過濾屬于硬件認證，而不是用戶認證。這種方式要求AP中的MAC地址列表必需隨時更新，目前都是手工操作，擴展能力差，因此只適合小型網絡規模。

TKIP（Temporal Key Integrity Protocol）是新一代的加密技術，對現有的WEP進行了改進，在IEEE 802.11i規范中，動態密鑰完整性協議（TKIP）負責處理無線安全問題的加密部分。TKIP盡管可以解決許多WEP存在的問題，但卻不能解決最糟糕的問題：所有人都在無線局域網上不斷重復使用一個眾所周知的密鑰。為了解決這個問題，TKIP生成混合到每個包密鑰中的基本密鑰。無線站每次與接入點建立聯系時，就生成一個新基本密鑰，這個基本密鑰通過將特定的會話內容與用接入點和無線站生成的一些隨機數以及接入點和無線站的MAC地址進行散列處理來產生。但采用802.1x認證，這個會話內容是特定的，而且由認證服務器安全地傳送給無線站，也就解決了TKIP的缺陷。

2．802.1x協議的工作機制

IIEEE 802.1x協議的體系結構主要包括三部分實體：客戶端Supplicant System、認證系統Authenticator System、認證服務器Authentication Server System?？蛻舳讼到y一般為安裝有客戶端軟件的用戶終端系統，用戶通過客戶端軟件發起802.1x協議認證過程，認證通過后可以發起IP地址請求。

（1）客戶端：一般為一個用戶終端系統，該終端系統通常要安裝一個客戶端軟件，用戶通過啟動這個客戶端軟件發起IEEE 802.1x協議的認證過程。

（2）認證系統：通常為支持IEEE 802.1x協議的網絡設備。利用802.1x，EAP（Extensible Authentication Protocal可擴展的身份驗證協議）可以用來在申請者和身份驗證服務器之間傳遞驗證信息對應于不同用戶的端口有兩個邏輯端口：受控（controlled Port）端口和非受控端口（uncontrolled Port）。第一個邏輯接入點（非受控端口），允許驗證者和 LAN 上其它計算機之間交換數據，而無需考慮計算機的身份驗證狀態如何。非受控端口始終處于雙向連通狀態（開放狀態），主要用來傳遞EAPOL（Extensible Authentication Protocal Over Lan 局域網擴展認證協議，一般指EAP消息幀）協議幀，可保證客戶端始終可以發出或接受認證。第二個邏輯接入點（受控端口），允許經驗證的 LAN 用戶和驗證者之間交換數據。受控端口平時處于關閉狀態，只有在客戶端認證通過時才打開，用于傳遞數據和提供服務。受控端口可配置為雙向受控、僅輸入受控兩種方式，以適應不同的應用程序。如果用戶未通過認證，則受控端口處于未認證（關閉）狀態，則用戶無法訪問認證系統提供的服務。

（3）認證服務器：通常為RADIUS（Remote Authentication Dial-In Service）服務器，該服務器可以存儲有關用戶的信息，比如用戶名和口令、用戶所屬的VLAN、優先級、用戶的訪問控制列表等。當用戶通過認證后，認證服務器會把用戶的相關信息傳遞給認證系統，由認證系統構建動態的訪問控制列表，用戶的后續數據流就將接受上述參數的監管。

3.802.1x協議的認證過程

3.1 802.1x認證雙工模型

IEEE 802.1x 稱為基于端口的訪問控制協議。能夠在利用IEEE 802 LAN的優勢基礎上提供一種對連接到局域網（LAN）設備或用戶進行認證和授權的手段。通過這種方式的認證，能夠在 LAN 這種多點訪問環境中提供一種點對點的識別用戶的方式。IEEE802.1x識別的控制端口可以是連接到LAN的一個單點結構、被認證系統的MAC地址、服務器或網絡設備連接LAN的物理端口、IEEE 802.11 無線 LAN 環境中定義的工作站和訪問點，能夠靈活有效的對802.11無線局域網和有線以太網絡進行驗證與網絡訪問權限。802.1x協議僅僅關注端口的打開與關閉，對于合法用戶接入時，打開端口；對于非法用戶接入或沒有用戶接入時，則端口處于關閉狀態。802.1x協議實質上是基于端口對接入的合法性進行認證，進而決定允許或拒絕資源接入網絡。它認證體系結構中，引入了“受控端口”與“不受控端口”概念，將一個物理LAN端口定義為“受控端口”與“不受控端口”兩類邏輯LAN接入點。不受控端口只能傳送認證的協議報文，受控端口傳送業務報文。

3.2 802.1x認證過程

利用IEEE 802.1x可以進行身份驗證，如果計算機要求在不管用戶是否登錄網絡的情況下都訪問網絡資源，可以指定計算機是否嘗試訪問該網絡的身份驗證。以下步驟描述了利用接入點AP和RADIUS服務器對移動節點進行身份驗證的基本方法。如果沒有有效的身份驗證密鑰，AP會禁止所有的網絡流量通過。

4．結束語

802.1x協議僅僅提供了一種用戶接入認證的手段，并簡單地通過控制接入端口的開/關狀態來實現，這種簡化適用于無線局域網的接入認證、點對點物理或邏輯端口的接入認證。802.11與802.1x的結合提供健壯的安全無線環境和完善有線無線混合網絡交互認證。本文的創新點在于基于IEEE802.1x/EAP協議規范，采用無線網絡端口控制技術，提出了一種結合有線與無線網絡的認證系統的設計和實現方案，并給出認證客戶端（基于Windows下）和認證者（基于Linux下）具體實現編程，該系統通過認證檢查能有效的阻止非法用戶入侵，提高了PWLAN的安全性能。 [科]

【參考文獻】

［１］曹萍，裴文江.EAP-FAST在公共無線局域網安全接入控制中的研究及實現[J].中國工程科學，2005，7(12)：78-82．