WLAN中802.1x协议的安全和应用研究

4  802.1x协议的特点
　　IEEE 802.1x具有以下主要优点：
　　(1)实现简单。IEEE 802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本。
　　(2)认证和业务数据分离。IEEE 802.1x的认证体系结构中采用了"受控端口"和"非受控端口"的逻辑功能，从而可以实现业务与认证的分离。用户通过认证后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求，业务可以很灵活，尤其在开展宽带组播等方面的业务有很大的优势，所有业务都不受认证方式限制。

IEEE 802.1x同时具有以下不足

802.1x认证是需要网络服务的系统和网络之间的会话，这一会话使用IETF的EAP(Extensible Authentication Protocol)认证协议。协议描述了认证机制的体系结构框架使得能够在802.11实体之间发送EAP包，并为在AP和工作站间的高层认证协议建立了必要条件。对MAC地址的认证对802.1x来说是最基本的，如果没有高层的每包认证机制，认证端口没有办法标识网络申请者或其包。而且实验证明802.1x由于其设计缺陷其安全性已经受到威胁，常见的攻击有中间人MIM攻击和会话攻击。

所以802.11与802.1x的简单结合并不能提供健壮的安全无线环境，必须有高层的清晰的交互认证协议来加强。幸运的是，802.1x为实现高层认证提供了基本架构。

5  802.1x认证协议的应用

IEEE 802.1x 使用标准安全协议(如RADIUS)提供集中的用户标识、身份验证、动态密钥管理和记帐。802.1x身份验证可以增强安全性。IEEE 802.1x身份验证提供对802.11无线网络和对有线以太网网络的经验证的访问权限。IEEE 802.1x 通过提供用户和计算机标识、集中的身份验证以及动态密钥管理，可将无线网络安全风险减小到最低程度。在此执行下，作为 RADIUS 客户端配置的无线接入点将连接请求和记帐邮件发送到中央 RADIUS 服务器。中央 RADIUS 服务器处理此请求并准予或拒绝连接请求。如果准予请求，根据所选身份验证方法，该客户端获得身份验证，并且为会话生成唯一密钥。IEEE 802.1x为可扩展的身份验证协议 EAP 安全类型提供的支持使您能够使用诸如智能卡、证书以及 Message Digest 5 (MD5) 算法这样的身份验证方法。

扩展身份验证协议EAP是一个支持身份验证信息通过多种机制进行通信的协议。利用802.1x，EAP可以用来在申请者和身份验证服务器之间传递验证信息。这意味着EAP消息需要通过LAN介质直接进行封装。认证者负责在申请者和身份验证服务器之间转递消息。身份验证服务器可以是一台远程身份验证拨入用户服务(RADIUS)服务器。

以下举一个例子，说明对申请者进行身份验证所需经过的步骤：
　　(1)认证者发送一个EAP - Request/Identity(请求/身份)消息给申请者。
　　(2)申请者发送一个EAP - Response/Identity(响应/身份)以及它的身份给认证者。认证者将收到的消息转发给身份验证服务器。
　　(3)身份验证服务器利用一个包含口令问询的EAP - Request消息通过认证者对申请者做出响应。
　　(4)申请者通过认证者将它对口令问询的响应发送给身份验证服务器。
　　(5)如果身份验证通过，授权服务器将通过认证者发送一个EAP - Success响应给申请者。认证者可以使用"Success"(成功)响应将受控制端口的状态设置为"已授权"。

6  802.1x与智能卡

智能卡通常用在安全性要求比较高的场合，并与认证协议的应用相结合。这首先是由于智能卡能够保护并安全的处理敏感数据；而智能卡能保护密钥也是相当重要的，一切秘密寓于密钥之中，为了能达到密码所提供的安全服务，密钥绝对不能被泄密，但为安全原因所增加的成本却不能太多。

智能卡自身硬件的资源极为有限。用其实现安全系统面临着存储器容量和计算能力方面受到的限制。目前市场上的大多数智能卡有128到1024字节的RAM，1 k到16 k字节的EEPROM，6 k到16 k字节的ROM，CPU通常为8比特的，典型的时钟频率为3.57 MHz。任何存储或者是处理能力的增强都意味着智能卡成本的大幅度提高。

另外智能卡的数据传送是相对慢的，为提高应用的效率，基本的数据单元必须要小，这样可以减少智能卡与卡终端之间的数据流量，其传送时间的减少则意味着实用性的增强。

将802.1x与智能卡的应用相结合的优点是：认证更加安全；生成和管理密钥方便；节省内存空间；节省带宽，提高实用性；节省处理时间，而不需要增加硬件的处理等方面。802.1x安全认证协议所带来的各优点恰好弥补了智能卡硬件的各种局限，不仅能有效地降低智能卡的生产成本，也能提高智能卡的实用性。

7  发展方向和趋势

802.11无线局域网目前的安全标准主要有两大发展主流：

(1)WPA。802.1x协议仅仅提供了一种用户接入认证的手段，并简单地通过控制接入端口的开/关状态来实现，这种简化适用于无线局域网的接入认证、点对点物理或逻辑端口的接入认证。WPA(Wi-Fi 受保护访问)是一种新的基于IEEE标准的安全解决方法。Wi-Fi 联盟经过努力，于 2002 年 10 月下旬宣布了基于此标准的解决方法，以便开发更加稳定的无线 LAN 安全解决方法来满足 802.11的要求。WPA 包括 802.1x 验证和 TKIP 加密(一种更高级和安全的 WEP 加密形式)，以进一步形成和完善IEEE 802.11i标准。

(2)WAPI。我国已于2003年12月1日起强制执行了新的无线局域网安全国家标准―无线局域网鉴别和保密基础结构WAPI(WLAN Authentication and Privacy Infrastructure)。WAPI由无线局域网鉴别基础结构WAI(WLAN Authentication Infrastructure)和无线局域网保密基础结构WPI(WLAN Privacy Infrastructure)组成。WAPI与已有安全机制相比具有其独特优点，充分体现了国家标准的先进性。WAPI与已有安全机制相比在很多方面都进行了改进。它已由ISO/IEC授权的IEEE Registration Authority审查获得认可，分配了用于WAPI协议的以太网类型字段，这也是我国目前在该领域惟一获得批准的协议。WAPI采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法，分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。