校園網認證系統的安全分析與研究

柏軍洋，杜慶東

（沈陽師范大學科信軟件學院，沈陽 110034）

校園網認證系統的安全分析與研究

柏軍洋，杜慶東

（沈陽師范大學科信軟件學院，沈陽 110034）

校園網是數字化校園的網絡基礎設施，扮演著非常重要的角色。校園網認證系統能夠高效的統一管理校園網，為全校師生提供豐富而全面的數字化服務。但是相關廠商及客戶的網絡安全意識還不完善，造成高校校園網的安全問題日益突出，對其網絡安全的研究已經刻不容緩。在分析與研究大學校園認證系統所存在的安全隱患時，通過嗅探抓包以及逆向工程等手段，破解了客戶端程序的對稱加密算法，從而得到校園網用戶賬號及密碼。由于加密算法還不夠完備，造成密鑰泄露，讓校園網面臨較大的安全風險。最終參考OSI七層模型架構對其校園網認證系統所存在的安全漏洞進行了系統的分類，也相應的提出了改善校園網安全的措施，以降低校園網安全風險。

校園網；認證系統；網絡安全；加密算法；OSI七層模型

0 引 言

隨著社會的不斷進步，互聯網在人們生活學習中所扮演的角色越來越重要。在高校校園，為方便廣大師生上網需求，學校組建相應校園網基礎設施，為師生提供完善全面的數字化信息平臺。由于網絡的開放性，在網絡提供給師生便利的同時，也帶來了安全隱患。產生這些安全隱患的根本原因是由于目前校園網普遍采用的認證方式較為初級（例如認證的用戶名和密碼），安全性較為簡單（容易受到惡意攻擊、程式破解，以及用戶名盜用、共享上網等），所采用的加密算法和安全體系結構也相對落后。要解決這些安全問題，必須從協議和體系架構上加以改進，完善校園網認證系統。

1 校園網認證系統

校園網作為高校信息化平臺的基礎設施，承擔著重要功能。如何高效安全的管理校園網，一直是所研究的熱點。從技術上說，高校必須根據自身網絡規模、運營特點等，選擇最適合的校園網認證系統，從而對校園網進行安全而高效的管理。以太網是目前世界各地廣泛使用的局域網標準，校園網一般承建在以太網之上，下面介紹幾種基本的以太網接入認證方式。

1.1 以太網接入認證方式

目前比較流行的以太網接入認證方式有3種，PPPo E認證模式［1］、Web／Portal認證模式［2］以及802.1X認證模式［3］。

1）PPPoE認證模式

PPPoE（Point-to-Point Protocol over Ethernet）是以PPP（Point-to-Point Protocol）協議為載體，在以太網中提供邏輯的點到點的連接。通過PPPoE協議，ISP服務商能夠實現對每個接入用戶的控制管理和計費。此認證方式多見于小區，例如撥號上網的ADSL用戶。

2）Web／Portal認證模式

Web／Portal認證是一種業務類型的認證。用戶通常被定位到Portal Server認證頁面，BAS認證完成之后，RADIUS計費服務器［4］開始計費。此認證方式基于應用層協議，建網成本高，易用性差，開放性不夠好，應用較少。

3）802.1X認證模式

802.1 X協議是基于Client／Server（客戶／服務器）的訪問控制和認證協議。它可以限制未經授權的用戶／設備通過接入端口（access port）訪問LAN／WLAN。在認證通過之前，802.1X只允許EAPo L（基于局域網的擴展認證協議）數據通過設備連接的交換機端口；認證通過以后，正常的數據可以順利地通過以太網端口。此種認證方式為兩層協議，對設備整體性能要求不高，只要支持802.1X協議即可。能較好的支持多業務和流媒體業務，應用最為廣泛。

1.2 Srun 3000認證系統

某大學校園網采用深瀾軟件公司Srun 3000安全認證網絡管理計費系統［5］，該認證系統支持Web／Portal認證模式和802.1X認證模式。相比其他認證系統，該認證系統能高效率的管理用戶和控制網絡。

Srun 3000認證計費系統由用戶客戶端，認證服務器，計費服務器，數據庫服務器以及管理員服務器組成。其認證系統框架如圖1所示。

Srun 3000認證系統工作流程如下：

1）用戶發送上網請求，請求中包括用戶名和密碼；

2）Srun 3000收到上網請求，向中心數據庫服務器查詢用戶信息；

3）中心數據庫通過用戶認證，返回認證成功信息給認證服務器；

4）認證服務器完成認證過程，向計費服務器發送用戶信息，并同時返回用戶合法信息；5）用戶完成認證。

2 Srun 3000認證系統安全隱患

圖1 Srun 3000認證系統框架

2.1 Srun 3000認證系統客戶端認證算法分析

Srun 3000認證系統客戶端是采用二進制代碼形式發布，攻擊者常利用靜態反匯編工具或動態調試工具等逆向分析手段對其進行分析破解［6］。本文通過Ollydbg［7］動態調試工具對其跟蹤分析，認證算法流程圖如圖2所示。

2.2 Srun 3000認證系統客戶端加密算法分析

在認證過程中，用戶名字段是明文傳輸，密碼字段等用戶關鍵信息則是經過加密。數據加密技術，是對信息進行保護的最實用最可靠的方法之一，也是網絡安全技術中的核心技術［8］。

數據加密算法有很多種，目前可以歸為對稱加密算法和非對稱加密算法。在加密和解密過程中使用同一密鑰的為對稱加密算法，使用不同的密鑰則稱為非對稱加密算法。對稱算法具有安全性高、加解密速度快的優點，缺點是必須保證密鑰的安全，管理密鑰隨著網絡規模的擴大而變得非常困難。非對稱加密算法更安全，但算法復雜，加密數據效率較低。通常實際應用中，將對稱加密和非對稱加密結合使用［9］。

經Ollydbg動態分析［10］Srun 3000認證系統客戶端程序，得到其加密算法（部分）流程圖，如圖3所示。其為對稱加密算法［11］。

圖2 Srun 3000認證算法流程圖

圖3 Srun 3000認證系統客戶端加密算法（部分）流程圖

從圖3可以看出，加密算法核心部分采用了簡單的邏輯運算（異或、與等），導致算法能被逆向分析解密。而且MAC地址也是通過同一加密算法加密，導致密鑰（即系統時間戳timestamp）泄露。

按照密碼系統模型［12］，用E表示加密（Encryption），D表示解密（Decryption），m表示消息（message），c表示密文（cipher），k表示密鑰（key）?，F將對稱加密算法的加密過程表示為Ek（m）＝c，對應解密過程表示為Dk（c）＝m。

以下用p表示用戶輸入密碼（password），t表示用戶系統時間戳（timestamp），mac表示用戶MAC地址。

Srun 3000認證系統客戶端加密過程如下：

1）Et（p）＝c1（得到密碼密文）；

2）Et（mac）＝c2（得到MAC地址密文）。

由于算法的可逆可推導出解密算法，可以通過c2，mac得到時間戳t（即密鑰），Dmac（c2）＝t。

因此可以通過以下方法解密密文得到用戶輸入密碼：

1）Dmac（c2）＝t（得到密鑰）；

2）Dt（c1）＝p（得到明文密碼）。

只需運行Sniffer工具進行Packet sniffing［13］，得到用戶POST［14］加密后的數據和客戶端MAC地址即可（在局域網環境中，這是非常容易得到的）。

例如：校園網用戶Alice上網需要通過Srun 3000進行認證，Alice輸入用戶名和密碼后點擊登陸，數據將加密后通過局域網傳輸到認證服務器?，F在局域網內有一竊聽者Eve（擁有解密算法程序），通過sniff之后得到了Alice POST加密后的數據，如下：

并且sniff到的數據包報頭中有客戶端MAC地址：00：0c：29：be：c4：50

表1是對sniff到的數據進行整理后的表格。

表1 Eve sniff得到的有效數據

現在Eve通過以下步驟解密得到Alice的認證密碼：

1）由MAC地址密文和MAC地址，解密得到密鑰（時間戳timestamp）；

2）由密碼密文和密鑰，解密得到密碼明文。如圖4所示（僅為測試所用，并非實際用戶名和密碼）。

圖4 Eve解密sniff數據得到Alice認證密碼

3 安全風險及應對措施

參照OSI七層協議框架［15］，現將Srun 3000認證系統在每一層的安全風險及應對措施總結為表2。

表2 Srun 3000校園網認證系統安全風險評估

4 結 語

校園網在管理和規劃等方面還存在著一些問題。首先，校園網的組織結構比較復雜，體現在網絡需求多樣性、地理區域多樣性以及網絡基礎設施多樣性等特點。第二，校園網的使用用戶規模大，群體廣。用戶使用時間呈現相對集中的狀況，突發性的網絡需求容易導致校園網網絡擁塞。第三，校園網的帶寬需求較高。校園網用戶的需求體現在視頻、下載等高帶寬消費網絡應用。第四，校園網的維護及管理難度大。因為校園網用戶集中在學生群體，社交活動豐富，容易導致非法和不健康信息的傳播，因此校園網的管理和維護非常困難。

廠商及用戶的網絡安全意識相對薄弱，是造成校園網安全風險的直接原因。面對校園網中存在的潛在安全風險，必須及時采取有效措施來防止網絡安全事件的發生。網絡安全無處不在，也沒有絕對的安全，只有從各層次不斷加強網絡的安全性，才能盡量保證校園網的可用性、保密性以及完整性。

［1］MAMAKOS L，LIDL K，EVARTS J，et al.A Method for Transmitting PPP Over Ethernet（PPPo E）［EB／OL］.（1999-02-01）［2012-09-20］.http：∥www.ietf.org／rfc／rfc2516.txt.

［2］崔煒榮.校園網接入認證系統的研究與分析［J］.電子世界，2012（13）：119-120.

［3］CROCKER L，ROSS D，JANSSON K，et al.IEEE 802.1X［G／OL］.（2012-08-08）［2012-09-22］.http：∥en.wikipedia.org／w／index.php？title＝IEEE＿802.1X＆oldid＝521792211.

［4］白曉梅.一種網絡認證計費的設計與實現［J］.沈陽師范大學學報：自然科學版，2010，28（2）：236-237.

［5］深瀾軟件.網絡管理計費［EB／OL］.（2012-03-24）［2012-09-19］.http：∥www.srun.com.

［6］尚濤，谷大武.軟件防反匯編技術研究［J］.計算機應用研究，2009，26（12）：4553-4557.

［7］YUSCHUK O.Olly Dbg［EB／OL］.（2010-06-04）［2012-09-19］.http：∥www.ollydbg.de.

［8］鄭加鋒.淺談互聯網安全與信息加密技術［J］.情報探索，2005（1）：68-69.

［9］王昭，段云所，陳鐘.數據加密算法的原理與應用［J］.網絡安全技術與應用，2001（2）：58-64.

［10］梅宏，王千祥，張路，等.軟件分析技術進展［J］.計算機學報，2009，32（9）：1702-1708.

［11］沈昌祥，張煥國，馮登國，等.信息安全綜述［J］.中國科學（E輯：信息科學），2007，37（2）：130-131.

［12］袁樹雄，韓鳳英.密碼學基礎研究［J］.科技資訊，2008（15）：18.

［13］ANSARI S，RAJEEV S G，CHANDRASHEKAR H S.Packet sniffing：A brief introduction［J］.IEEE POTENTIALS，2003，21（5）：17-19.

［14］FIELDING R T，GETTYS J，MOGUL J C，et al.Hypertext Transfer Protocol—HTTP／1.1［EB／OL］.（1999-06-01）［2012-09-25］.http：∥www.ietf.org／rfc／rfc2616.txt.

［15］伍勁峰.OSI七層參考模型解析［J］.軟件導刊，2006（17）：46-47.

Security analysis on campus network authentication system

BAI Junyang，DU Qingdong

（Software College，Shenyang Normal University，Shenyang 110034，China）

The campus network found as an infrastructure in digital campus network plays a significant role.The campus network authentication system is aimed at managing campus network efficiently and provides rich and comprehensive digital services for teachers and students.However，because of the vendors and users lack of network security consciousness，the campus network security issues have become increasingly prominent，and network security research is desperately needed.The paper studies the security risks of an anonymous university network authentication system.We have cracked the symmetric encryption algorithm of client program by sniffing，capture packets and reverse engineering，which led us to get the campus network username and password.Because the encryption algorithms are not strong enough，resulting in key leakage，thus the campus network face greater security risks.At last we classify security vulnerabilities of campus network authentication system by reference to the OSI 7-layer model，and recommend measures to improve the security of the campus network，and to minimize security risks.

campus network；authentication system；network security；encryption algorithm；OSI 7-layer model

TP309.7

A

10.3969／j.issn.1673-5862.2013.02.030

1673-5862（2013）02-0263-05

2012-10-23。

國家自然科學基金資助項目（31170380）。

柏軍洋（1988-），男，湖南衡陽人，沈陽師范大學碩士研究生；杜慶東（1971-），男，遼寧錦州人，沈陽師范大學教授，博士，碩士研究生導師。