WLAN中802.1x协议的安全和应用研究

1  802.11无线局域网的安全机制

802.11无线局域网运作模式基本分为两种：点对点(Ad Hoc)模式和基本(Infrastructure)模式。点对点模式指无线网卡和无线网卡之间的直接通信方式。只要PC插上无线网卡即可与另一具有无线网卡的PC连接，这是一种便捷的连接方式，最多可连接256个移动节点。基本模式指无线网络规模扩充或无线和有线网络并存的通信方式，这也是802.11最常用的方式。此时，插上无线网卡的移动节点需通过接入点AP(Access Point)与另一台移动节点连接。接入点负责频段管理及漫游管理等工作，一个接入点最多可连接1024个移动节点。当无线网络节点扩增时，网络存取速度会随着范围扩大和节点的增加而变慢，此时添加接入点可以有效控制和管理频宽与频段。
 
　　与有线网络相比较，无线网络的安全问题具有以下特点：(1)信道开放，无法阻止攻击者窃听，恶意修改并转发；(2)传输媒质―无线电波在空气中的传播会因多种原因(例如障碍物)发生信号衰减，导致信息的不稳定，甚至会丢失；(3)需要常常移动设备(尤其是移动用户)，设备容易丢失或失窃；(4)用户不必与网络进行实际连接，使得攻击者伪装合法用户更容易。由于上述特点，利用WLAN进行通信必须具有较高的通信保密能力。

802.11无线局域网本身提供了一些基本的安全机制。802.11接入点AP可以用一个服务集标识SSID(Service Set Identifier)或ESSID(Extensible Service Set Identifier)来配置。与接入点有关的网卡必须知道SSID以便在网络中发送和接收数据。但这是一个非常脆弱的安全手段。因为SSID通过明文在大气中传送，甚至被接入点广播，所有的网卡和接入点都知道SSID。

802.11的安全性主要包括以有线同等保密WEP(Wired Equivalent Privacy)算法为基础的身份验证服务和加密技术。WEP 是一套安全服务，用来防止 802.11 网络受到未授权用户的访问。启用 WEP 时，可以指定用于加密的网络密钥，也可自动提供网络密钥。如果亲自指定密钥，还可以指定密钥长度(64 位或 128 位)、密钥格式(ASCII 字符或十六进制数字)和密钥索引(存储特定密钥的位置)。原理上密钥长度越长，密钥应该越安全。思科公司的Scott Fluhrer与Weizmann研究院的Itsik Mantin和Adi hamir合作并发表了题为《RC4秘钥时序算法缺点》的论文，讲述了关于WEP标准的严重攻击问题。

另外，这一安全机制的一个主要限制是标准没有规定一个分配密钥的管理协议。这就假定了共享密钥是通过独立于802.11的秘密渠道提供给移动节点。当这种移动节点的数量庞大时，将是一个很大的挑战。

2  802.1x协议的体系
　　IEEE 802.1x协议起源于802.11， 其主要目的是为了解决无线局域网用户的接入认证问题。802.1x 协议又称为基于端口的访问控制协议，可提供对802.11无线局域网和对有线以太网络的验证的网络访问权限。802.1x协议仅仅关注端口的打开与关闭，对于合法用户接入时，打开端口；对于非法用户接入或没有用户接入时，则端口处于关闭状态。

IEEE 802.1x协议的体系结构主要包括三部分实体：客户端Supplicant System、认证系统Authenticator System、认证服务器Authentication Server System。
　　(1)客户端：一般为一个用户终端系统，该终端系统通常要安装一个客户端软件，用户通过启动这个客户端软件发起IEEE 802.1x协议的认证过程。
　　(2)认证系统：通常为支持IEEE 802.1x协议的网络设备。该设备对应于不同用户的端口有两个逻辑端口：受控(controlled Port)端口和非受控端口(uncontrolled Port)。第一个逻辑接入点(非受控端口)，允许验证者和 LAN 上其它计算机之间交换数据，而无需考虑计算机的身份验证状态如何。非受控端口始终处于双向连通状态(开放状态)，主要用来传递EAPOL协议帧，可保证客户端始终可以发出或接受认证。第二个逻辑接入点(受控端口)，允许经验证的 LAN 用户和验证者之间交换数据。受控端口平时处于关闭状态，只有在客户端认证通过时才打开，用于传递数据和提供服务。受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用程序。如果用户未通过认证，则受控端口处于未认证(关闭)状态，则用户无法访问认证系统提供的服务。
　　(3)认证服务器：通常为RADIUS服务器，该服务器可以存储有关用户的信息，比如用户名和口令、用户所属的VLAN、优先级、用户的访问控制列表等。当用户通过认证后，认证服务器会把用户的相关信息传递给认证系统，由认证系统构建动态的访问控制列表，用户的后续数据流就将接受上述参数的监管。

3  802.1x协议的认证过程
　　利用IEEE 802.1x可以进行身份验证，如果计算机要求在不管用户是否登录网络的情况下都访问网络资源，可以指定计算机是否尝试访问该网络的身份验证。以下步骤描述了利用接入点AP和RADIUS服务器对移动节点进行身份验证的基本方法。如果没有有效的身份验证密钥，AP会禁止所有的网络流量通过。

(1)当一个移动节点(申请者)进入一个无线AP认证者的覆盖范围时，无线AP会向移动节点发出一个问询。
　　(2)在受到来自AP的问询之后，移动节点做出响应，告知自己的身份。
　　(3)AP将移动节点的身份转发给RADIUS身份验证服务器，以便启动身份验证服务。
　　(4)RADIUS服务器请求移动节点发送它的凭据，并且指定确认移动节点身份所需凭据的类型。
　　(5)移动节点将它的凭据发送给RADIUS。
　　(6)在对移动节点凭据的有效性进行了确认之后，RADIUS服务器将身份验证密钥发送给AP。该身份验证密钥将被加密，只有AP能够读出该密钥。(在移动节点和RADIUS服务器之间传递的请求通过AP的"非控制"端口进行传递，因为移动节点不能直接与RADIUS服务器建立联系。AP不允许STA移动节点通过"受控制"端口传送数据，因为它还没有经过身份验证。)
　　(7)AP使用从RADIUS服务器处获得的身份验证密钥保护移动节点数据的安全传输--特定于移动节点的单播会话密钥以及多播/全局身份验证密钥。

全局身份验证密钥必须被加密。这要求所使用的EAP方法必须能够生成一个加密密钥，这也是身份验证过程的一个组成部分。传输层安全TLS(Transport Level Security)协议提供了两点间的相互身份验证、完整性保护、密钥对协商以及密钥交换。我们可以使用EAP-TLS在EAP内部提供TLS机制。

　　移动节点可被要求周期性地重新认证以保持一定的安全级。

来源：中国教育和科研计算机网