基于802.1x/EAP的WLAN安全認(rèn)證機(jī)制

摘 要： 目前飛機(jī)與地面機(jī)場之間WLAN的應(yīng)用部署日益廣泛，但對其安全接入通信卻沒有提過較為合理的設(shè)計和規(guī)劃，由WLAN引起的安全漏洞給飛機(jī)與地面之間信息傳遞帶來很大的隱患。主要介紹EAP認(rèn)證方法以及基于802.1x/EAP無線局域網(wǎng)的安全認(rèn)證機(jī)制。

關(guān)鍵詞： WLAN； 802.1x協(xié)議； EAP認(rèn)證方法； 安全認(rèn)證

中圖分類號： TN915.08?34 文獻(xiàn)標(biāo)識碼： A 文章編號： 1004?373X（2013）19?0088?03

0 引 言

在國內(nèi)的企業(yè)、商業(yè)領(lǐng)域，WLAN（Wireless Local Area Network，無線局域網(wǎng)）的應(yīng)用越來越廣泛。WLAN的應(yīng)用將成為現(xiàn)代網(wǎng)絡(luò)發(fā)展的主要趨勢。在美國，WLAN的市場需求在過去的一年中迅猛增長，即使比較偏遠(yuǎn)的縣級城市已經(jīng)被超級WiFi所覆蓋。WLAN在全球幾乎都已家喻戶曉，老百姓、企業(yè)以及政府都對WLAN的產(chǎn)品及應(yīng)用極力嘗試使用。

WLAN之所以受到歡迎是由于非常易于安裝，靈活使用，不需要線纜，可以安裝在很多有線網(wǎng)絡(luò)不適合安裝的地方，況且WLAN也不需要長期的高額維護(hù)費用。

WLAN雖然有很多優(yōu)點，但是對于一些網(wǎng)絡(luò)規(guī)模大，應(yīng)用復(fù)雜，安全性需求較高的網(wǎng)絡(luò)建設(shè)領(lǐng)域，WLAN的應(yīng)用要受到一定的限制。如果WLAN的認(rèn)證、傳輸加密等安全性能夠得到很好的解決，那么這一技術(shù)在很多領(lǐng)域都將得到廣泛的應(yīng)用。本文重點就基于EAP/802.1x的無線網(wǎng)絡(luò)安全認(rèn)證機(jī)制方面進(jìn)行討論。

1 IEEE 802.1x協(xié)議

IEEE 802.1x協(xié)議是基于Client/Server模式的認(rèn)證和訪問控制協(xié)議。可以對未經(jīng)授權(quán)接入的客戶端掃描周邊可用的接入點AP進(jìn)行連接請求的限制，客戶端在獲得接入網(wǎng)絡(luò)之前，IEEE 802.1x將認(rèn)證試圖接入網(wǎng)絡(luò)的Client相關(guān)信息。認(rèn)證成功之前，除了認(rèn)證信息數(shù)據(jù)通信外不允許任何其他信息通信。認(rèn)證成功之后，交換機(jī)端口將被打開，客戶端發(fā)送的信息通過已打開的交換機(jī)端口進(jìn)入到網(wǎng)絡(luò)。

IEEE 802.1x協(xié)議認(rèn)證體系結(jié)構(gòu)由客戶端系統(tǒng)、認(rèn)證系統(tǒng)以及認(rèn)證服務(wù)器系統(tǒng)3部分構(gòu)成。IEEE 802.1x體系結(jié)構(gòu)如圖1所示。

客戶端PAE通過基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議EAPOL接入到LAN，并要求認(rèn)證系統(tǒng)提供相關(guān)的服務(wù)設(shè)備。WLAN通信中客戶端一般指筆記本電腦。

認(rèn)證系統(tǒng)通過網(wǎng)絡(luò)訪問端口提供給客戶端系統(tǒng)請求的服務(wù)設(shè)備，該服務(wù)設(shè)備有兩個邏輯端口，一個是非受控端，另一個是受控端。認(rèn)證成功后非受控端才會處于打開狀態(tài)，用來進(jìn)行消息通信；受控端也稱作授權(quán)端口，始終是打開狀態(tài)，客戶端系統(tǒng)隨時可以發(fā)送或接收認(rèn)證信息。WLAN通信中常用的接入設(shè)備為AP。

認(rèn)證服務(wù)器是整個IEEE 802.1x認(rèn)證體系結(jié)構(gòu)的核心部分，主要負(fù)責(zé)完成對客戶端信息的認(rèn)證。LAN通信中認(rèn)證服務(wù)器一般是指RADIUS服務(wù)器。

2 EAP協(xié)議和認(rèn)證方法

EAP（Extensible Authentication Protocol，可擴(kuò)展認(rèn)證協(xié)議）是通過使用遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng)服務(wù)器（RADIUS）實現(xiàn)Client和認(rèn)證服務(wù)器相互驗證。

EAP報文包的格式見表1。

（1）Code：占 8位，用于表示EAP報文包的類型。Code二進(jìn)制碼為00000001代表請求，二進(jìn)制碼為00000010代表應(yīng)答，二進(jìn)制碼為00000011代表成功，二進(jìn)制碼為00000100代表失敗；

（2）ID：占8位，用于表示請求報文和應(yīng)答報文是否匹配；

（3）Length：占16位，用于表示EAP報文包的長度，包括Code部分、Identifie部分、Length部分和Data部分的全部長度；超出Code、Identifie、Length和Data全部長度的部分作為鏈路層的填充部分，接收端應(yīng)忽略超出的部分；

（4）Data：占0位或[n]位，其格式由Code確定，成功和失敗類型的報文包不包含Code部分，相應(yīng)Length值為4；請求和響應(yīng)類型的報文包格式由所選的EAP認(rèn)證類型決定。

WLAN接入的安全性保障是非常必要的，EAP認(rèn)證方法的選擇也是非常重要的，最常使用的EAP認(rèn)證方法有EAP?MD5（Message?Digest 5）、EAP?TLS （Transport Level Security）、輕量級的擴(kuò)展認(rèn)證協(xié)議（LEAP）和EAP?TTLS （Tunneled TLS）四種。

EAP?MD5（消息摘要）是一種非常簡單的EAP認(rèn)證方法，它只支持無線客戶端與網(wǎng)絡(luò)單方向認(rèn)證，并不是一個可靠的認(rèn)證方法。EAP?MD5認(rèn)證流程如圖2所示。

EAP?TLS（傳輸層安全）是一種基于證書、提供相互認(rèn)證和密鑰交換的驗證，是非常安全的認(rèn)證方法。它可以動態(tài)生成基于用戶和會話的WEP密鑰來保障Client與AP之間的正常通信。但是該類型認(rèn)證需要Client和RADIUS雙方的管理證書，對于較大的無線網(wǎng)絡(luò)安裝，任務(wù)是比較繁重的。EAP?TLS認(rèn)證流程圖如圖3所示。

EAP?TTLS（隧道傳輸層安全）是由Funk Software and Certicom開發(fā)的，作為EAP?TLS的擴(kuò)展。EAP?TTLS通過建立一個安全的 “隧道”為Client與RADIUS之間提供基于證書的相互認(rèn)證。與EAP?TLS不同的是EAP?TTLS僅需要服務(wù)器方面的證書。EAP?TTLS認(rèn)證流程如圖4所示。

EAP?PEAP（保護(hù)的擴(kuò)展認(rèn)證協(xié)議）支持802.11無線網(wǎng)絡(luò)提供一種安全傳輸認(rèn)證數(shù)據(jù)的方法。PEAP和TTLS類似也是提供了安全“隧道”來實現(xiàn)Client和RADIUS之間的通信。PEAP只需使用RADIUS一邊的證書來認(rèn)證Client，使安全無線網(wǎng)絡(luò)的執(zhí)行和管理得到了簡化了。EAP?PEAP認(rèn)證流程如圖5所示。

3 基于802.1x/EAP認(rèn)證機(jī)制

一個無線網(wǎng)絡(luò)安全方案重點是提供集中認(rèn)證和動態(tài)密鑰分配。并且是基于IEEE 802.11i點到點結(jié)構(gòu)，使用IEEE 802.1x和EAP提供這一增強功能。圖6描述了EAP認(rèn)證過程。

無線客戶端掃描周邊可用的AP，嘗試請求與AP進(jìn)行連接。交換機(jī)在收到請求認(rèn)證的數(shù)據(jù)幀后，將發(fā)出EAP?Request請求幀要求客戶端提供網(wǎng)絡(luò)登錄證書（用戶ID和密碼，用戶ID和一次性密碼（OTP），或數(shù)字證書）。客戶端接收到請求幀后將包含網(wǎng)絡(luò)證書的幀發(fā)送給交換機(jī)，交換機(jī)收到數(shù)據(jù)幀后將它封裝處理生成報文發(fā)送給RADIUS服務(wù)器進(jìn)行處理。使用IEEE 802.1x和EAP，無線客戶端和RADIUS服務(wù)器通過AP實現(xiàn)兩個階段的相互認(rèn)證。在EAP認(rèn)證的第一階段，RADIUS服務(wù)器驗證客戶端證書。在第二階段，通過客戶端驗證RADIUS服務(wù)器證書完成相互驗證。

EAP兩個階段相互認(rèn)證成功之后，將會產(chǎn)生一個特殊密鑰，Client加載該密鑰并使用該密鑰進(jìn)行登錄。RADIUS服務(wù)器通過有線LAN將這個密鑰（稱為會話密鑰）發(fā)送到AP，AP通過這個會話密鑰加密廣播密鑰，并將這一加密的密鑰發(fā)送至客戶端，客戶端使用會話密鑰對其解密。如果會話時間超出，EAP會定義集中策略控制并觸發(fā)重新認(rèn)證和生成新的密鑰。 會話密鑰和廣播密鑰都會在固定的時間間隔內(nèi)被改變。EAP認(rèn)證末端的RADIUS服務(wù)器為AP指定會話密鑰超時時間，且廣播密鑰循環(huán)時間可以在AP上進(jìn)行設(shè)置。

4 結(jié) 論

隨著無線網(wǎng)絡(luò)的迅速發(fā)展，IEEE 802.1x安全認(rèn)證技術(shù)也得到了普遍使用。EAP認(rèn)證方式支持更多、更廣泛、更靈活的認(rèn)證機(jī)制。WLAN的高安全性更易于管理，采用最新的安全技術(shù)，支持先進(jìn)的EAP認(rèn)證方法，是提高WLAN安全性接入的有效措施。對WLAN安全性技術(shù)和機(jī)制進(jìn)行分析研究，有助于提高有特定需求的場所無線網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩浴２粩嗟膶W(xué)習(xí)和研究新的WLAN安全認(rèn)證技術(shù)，以此推動WLAN技術(shù)在飛機(jī)上的應(yīng)用和發(fā)展，促進(jìn)飛機(jī)與地面機(jī)場之間網(wǎng)絡(luò)的安全、健康發(fā)展。

參考文獻(xiàn)

[1] 倪源，彭志威，王育民.增強的無線局域網(wǎng)安全技術(shù)分析[DB/OL]. [[2004?01?09].]http：//www.baidu.com/link？url=whPZyYypFaQSE?8Xna0F2mZHrOqVPk.

[2] 胡寧.什么是802.1協(xié)議[DB/OL]. [2009?01?05]. http：//blog.sina.com.cn/s/blog_5da8a53d0100bpok.html.

[3] 史創(chuàng)明.WLAN安全技術(shù)方案分析[J].電腦知識與技術(shù)，2005（10）：23?25.

[4] 高淑玲.WLAN安全方案探析[J].安陽工學(xué)院學(xué)報，2005（6）：64?66.

[5] 蒲芳，郭放.基于802.1x認(rèn)證的寬帶接入系統(tǒng)的設(shè)計與實現(xiàn)[J].微型電腦應(yīng)用，2004，20（7）：28?31

[6] 向宏，冉令平，周賢林.基于狀態(tài)檢測的無線網(wǎng)絡(luò)安全模型研究與應(yīng)用[J].軟件導(dǎo)刊，2006（11）：30?32.

[7] 陳曉峰.802.1x/PEAP認(rèn)證方法的研究和分析[J].赤峰學(xué)院學(xué)報，2012，28（7）：20?22.

[8] 張東黎.無線網(wǎng)絡(luò)完全與認(rèn)證[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2005（4）：60?62.

[9] 郭軍.基于OTP技術(shù)的EAP認(rèn)證方案的研究與設(shè)計[J/OL].[2009?03?01].http：//www.doc88.com/p?98677867901.html.

[10] 李曉光.WLAN接入點設(shè)備的研究與實現(xiàn)[D].南京：南京郵電學(xué)院，2005.