基于802.1X认证机制安全分析.docVIP

基于802.1X认证机制安全分析 　　【 摘 要 】 文章主要介绍了802.1X的认证体系结构和认证流程，分析了802.1X的设计缺陷及可能造成的安全威胁。 　　【 关键词 】 802.1X；认证；安全；攻击 　　Analysis of Security base on 802.1X Authentication Aechanism 　　Yang Jian-ping 　　（Taizhou Vocational School of Mechanical Electrical Technology TaizhouJiangsu 225300） 　　【 Abstract 】 This article mainly introduces the 802.1X certification system and certification process, analysis of the 802.1X design defect and possible security threats. 　　【 Keywords 】 802.1X; authentication; security; attack 　　1 引言 　　近年来随着以太网技术的不断发展，以快捷高效、接入灵活为优势的无线网络技术也得到了飞速的发展和广泛的应用。但是由于无线局域网络自身的特点，例如信道开放，这使得攻击者能够很容易的进行窃听，恶意修改并转发，因此网络安全性在无线局域网络中显得尤为重要。针对无线局域??络中出现的安全问题，IEEE在1999年制定了802.11标准，但802.11标准的加密方法和WEP在传输过程中容易遭到暴力破解和拒绝服务攻击(DoS)的威胁，为了解决这些问题，IEEE制定了基于端口的接入控制802.1X标准。802.1X认证系统提供了一种用户接入认证的手段，它仅关注端口的打开与关闭，所以在实际使用当中还是存在一定的安全隐患。 　　2 802.1X认证介绍 　　2.1 802.1X认证体系结构 　　802.1X认证体系使用EAP（Extensible Authentication Protocol，可扩展认证协议），来实现客户端、设备端和认证服务器之间认证信息的交换。其体系为典型的C/S结构，包括三个实体：客户端（Client）、设备端（Device）和认证服务器（Server）。 　　客户端是位于局域网段一端的一个实体，由该链路另一端的设备端对其进行认证。客户端一般为一个用户终端设备，用户可以通过启动客户端软件发起802.1X认证。 　　设备端是位于局域网段一端的另一个实体，对所连接的客户端进行认证。设备端通常为支持802.1X协议的网络设备，比如边缘交换机或无线接入访问（AP）设备，它为客户端提供接入局域网的端口，该端口可以是物理端口，也可以是逻辑端口。 　　认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用户进行认证、授权和计费，通常为RADIUS（远程认证拨号用户服务）服务器。 　　2.2 802.1X认证流程 　　802.1X认证支持EAP中继方式和EAP终结方式与远端RADIUS服务器交互完成认证。EAP终结方式与EAP中继方式的认证流程相比，不同之处就在于用来对用户密码信息进行加密处理的随机加密字由设备端生成，之后设备端会把用户名、随机加密字和客户端加密后的密码信息一起送给RADIUS服务器，进行相关的认证处理。 　　EAP认证流程。 　　（1）当用户有访问网络需求时打开802.1X客户端程序，输入已经申请、登记过的用户名和密码，发起连接请求。此时，客户端程序将发出请求认证的报文给设备端，开始启动一次认证过程。 　　（2）设备端收到请求认证的数据帧后，将发出一个请求帧要求用户的客户端程序发送输入的用户名。 　　（3）客户端程序响应设备端发出的请求，将用户名信息通过数据帧发送给设备端。设备端将客户端发送的数据帧经过封包处理后送给认证服务器进行处理。 　　（4） RADIUS服务器收到设备端转发的用户名信息后，将该信息与数据库中的用户名表对比，找到该用户名对应的密码信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字通过RADIUS Access-Challenge报文发送给设备端，由设备端转发给客户端程序。 　　（5）客户端程序收到由设备端传来的加密字后，用这种加密字对密码部分进行加密处理（此种加密算法通常是不可逆的），生成报文，并通过设备端传给认证服务器。 　　（6）RADIUS服务器将收到的已加密的密码信息和本地经过加密运算后的密码信息进行对比，如果相同，则认为该用户为合法用户，并反馈认证通过的消息。 　　（7）设备收到认证通过消息后将端口改为授权状态，允许用户通过端口访问网络。在此期间，设备端会通过向客户端