收藏
下载资源

x安全性的以及改进方案

上传人:lcm****801 文档编号:89280707 上传时间:2019-05-22 格式:PDF 页数:5 大小:267.25KB
返回 下载 相关 举报
x安全性的以及改进方案_第1页
第1页 / 共5页
x安全性的以及改进方案_第2页
第2页 / 共5页
x安全性的以及改进方案_第3页
第3页 / 共5页
x安全性的以及改进方案_第4页
第4页 / 共5页
x安全性的以及改进方案_第5页
第5页 / 共5页
亲,该文档总共5页,全部预览完了,如果喜欢就下载吧!
资源描述

《x安全性的以及改进方案》由会员分享,可在线阅读,更多相关《x安全性的以及改进方案(5页珍藏版)》请在金锄头文库上搜索。

1、http:/ -1- 802.1x 安全性的分析以及改进方案安全性的分析以及改进方案 杨燮卿,马跃,孙敏 北京邮电大学计算机科学与技术学院,北京 (100876) E-mail: 摘摘 要:要:本文简单阐述了 802.1x 协议的体系结构及其在以太网中的用户认证过程,指出了 802.1x 的不安全因素,即存在中间人攻击,并提出了改进措施和建议。 关键词:关键词:802.1x,认证,攻击 1. 引言引言 随着 Internet 的普及,网络已成为我们生活中重要的部分。大量用户的接入,不仅要求 对用户完善的管理功能, 并且要求实现对用户的差别化服务, 这些控制过程或功能主要通过 对用户和用户设备的

2、认证和授权来实现。由此,基于以太网接入的各种认证技术应运而生。 其中,尤以 IEEE 802.1x 标准最为突出。 IEEE 802.1x 标准提供了一种独立于网络服务类型的基于网络端口访问接入控制 (Port-based Access Control)的标准,用于基于以太网的局域网、广域网和无线网等用户和 用户设备的接入认证。在实际应用中,802.1x 虽然能克服一系列局域网接入中的安全漏洞, 但也存在一些安全隐患。 2. 802.1x 的体系结构及工作机制的体系结构及工作机制 2.1 802.1x 认证体系结构认证体系结构 802.1x基于端口的接入控制利用了IEEE802.3 LAN架构

3、的物理接入特征, 为连接到LAN 端口并具有点对点接入特征的设备提供认证和授权, 并且防止设备在认证和授权失败的情形 下接入网络。802.1x 定义了两类协议接入实体(Protocol Access Entity 简称 PAE)请求 认证者 PAE(Supplicant PAE)和认证点 PAE(Authenticator PAE)1,它们是与端口相关 联的协议实体,执行与认证机制相关的算法和协议。 认证请求者 PAE 可以主动向认证点发送认证请求和下线请求消息。认证点 PAE 负责对 用户进行认证或者将认证请求转发给认证服务器(Authenticator Server),由认证服务器来 对用

4、户进行认证,并根据认证结果相应地控制受控端口的授权/非授权状态。 基于端口的网络接入控制将认证点为认证请求者提供服务的端口分为两个虚端口, 受控 端口和非受控端口1。非受控端口(Uncontrolled Port)始终处于双向连通状态,专用于传递 EAP 认证报文;受控端口(Controlled Port)在授权状态下处于连通状态,用于传递用户数 据。 2.2 实际应用模型实际应用模型 在实际应用中, 由于认证点 PAE 处理复杂认证的性能较弱, 一般采用 RADIUS (Remote Authentication Dial-In User Service)作为认证服务器,来提高认证过程的效率

5、,加强认证的 能力。同时,RADIUS 服务器也提供计费服务,对请求接入的用户进行计费。 如图 1 所示, 认证请求者向认证点提交用户的认证的信息, 它们之间采用 EAPOL (EAP Over LANs,将 EAP 消息封装在以太网帧中,所有的认证信息,包括用户名、密码、认证 成功和失败, 都被封装在 EAP 消息内2) 进行通讯, 认证点将收到的认证信息封装在 RADIUS http:/ -2- 消息内 (RADIUS 也支持 EAP 消息的封装, 可以将 EAP 消息完整的放置在 RADIUS 属性中 3) ,再把 RADIUS 报文封装在 UDP 中进行传输,认证点通过 RADIUS

6、返回的认证的结果, 将受控端口打开或是关闭,以控制相应用户是否能访问网络。 图 1 802.1x 实际应用模型 2.3 802.1x 工作机制工作机制 SupplicantAuthenticator Authentication Server EAP-Req/Identity EAP-Resp/MD5-Resp EAP-Req/MD5-Challenge RADIUS/Response EAP-Req/MD5-Challenge RADIUS/Request EAP-Resp/Identity EAP-Resp/Identity EAP-Req/Identity EAPOL-Start EAP

7、-Success RADIUS/Req EAP-Resp/MD5-Resp RADIUS/Accept EAP-Success 端口被授权 重新认证定时器超时 EAP-Resp/MD5-Resp EAP-Req/MD5-Challenge RADIUS/Response EAP-Req/MD5-Challenge RADIUS/Request EAP-Resp/Identity EAP-Resp/Identity EAP-Success RADIUS/Req EAP-Resp/MD5-Resp RADIUS/Accept EAP-Success 重新认证结束 EAP-Logoff 端口非授权

8、图 2 MD5 机制的 802.1x 认证过程 http:/ -3- 以 MD5 Challenge 机制为例,如图 2 所示,描述了由认证请求者 PAE 主动发起,并使 用 RADIUS 服务器进行认证的认证过程。其它认证协议的过程与此相似。 1) 认证请求者向认证点发出 EAPOL-Start 消息,要求开始认证。 2) 认证点收到 EAP-Start 消息后, 向请求者发送 EAP-Request/Identity, 开始进行认证。 3) 认证请求者 PAE 通过 EAP-Response/Identity 来响应认证点,认证点通过 RADIUS 消息(RADIUS Access-Req

9、uest(EAP-Response/Identity) ) ,将该认证信息转发给认 证服务器。 4) 认证服务器接收到认证请求后, 产生一个 MD5-Challenge 回送给认证点, 认证点再 把 MD5-Challenge 封装在 EAP-Request 中,发送给认证请求者。 5) 请求者把接收到的 Challenge 与共享密钥一起,使用 MD5 算法,生成 MD5-Response,并通过认证点回复给 RADIUS 服务器。 6) RADIUS 服务器用共享密钥和之前发送的 MD5-Challenge,通过 MD5 以同样的方 式来计算 MD5-Response,如果计算出来的 MD

10、5-Response 和接收到的一致,这表 明验证成功,否则验证失败。 7) RADIUS 服务器结束验证后,向认证点 PAE 发送 RADIUS Access-Accept (EAP-Success)消息,认证点 PAE 收到后,将受控端口设置为授权状态,并向请 求者发送 EAP-Success 消息,整个认证过程结束。 8) 在用户访问网络资源的时候,如果重新认证定时器超时,认证点 PAE 向请求者发 送认证消息(EAP-Request/Identity) ,检测用户的在线状态。如果没有应答,说明 用户已下线,则停止对用户的计费,并把端口设置为非授权状态。如果用户应答, 则重复上述(2)-

11、(7)的过程,检查用户的合法性。当用户下线时,向认证点 PAE 发送 EAPOL-Logoff 消息,认证点收到消息后,把对应的端口设置为非授权状态, 断开用户连接,并停止计费。 3. 802.1x 的安全性缺陷的安全性缺陷 802.1x 是不对称的协议, 它只提供了认证点对认证请求者的身份验证, 却没有认证请求 者对认证点的验证,使伪造 EAPOL-Start、EAPOL-Logoff 消息变得很方便4,这就容易导致 中间人攻击,从而窃取用户信息,或是抢占网络资源。 图 3 网络资源的盗用 http:/ -4- 如图 3 所示,定义 Supplicant 为认证请求者,Authenticat

12、or 为认证点,Attacker 为攻击 人。Attacker 通过配置两块网卡,将自己伪装成为接入认证点。当 Supplicant 请求接入网络 时, 由于 Attacker 比 Supplicant 更接近认证点 Authenticator, Supplicant 将所有的认证请求通 过 Attacker 传给 Authenticator。Authenticator 会把 Attacker 误认为是普通接入者,对其进行 认证和授权。此后,Supplicant 的报文都会传给 Attacker,Attacker 甚至能在真正的认证结束 前,通过伪造 EAP-Success 消息,误导 Sup

13、plicant 发送报文。 4. 改进方案改进方案 针对上述问题, 关键是要解决认证请求者对认证点进行认证, 以确信没有受到中间人的 攻击。所以,可以在认证请求者和认证点之间,使用预共享密钥的方法,来实现对认证点的 认证。 图 4 802.1x 协议的扩展 如图 4 所示,对 802.1x 做以下一些改动:在 Authenticator 对 Supplicant 认证通过之后, Authenticator 用预先共享的密钥,与自己的信息(比如,MAC 地址等)进行本地计算,从 而产生认证密钥 (Auth-Kc) ; 然后把生成的密钥放在 EAP-Success 消息里, 发送给 Supplic

14、ant; Supplicant 在本地也进行相同的计算,当收到 EAP-Success 消息后,将收到的 Kc 与自己计 算得到的 Kc 比较,若两者一致,那么相互认证成功,Supplicant 接入网络,否则认证不通 过,或者 Supplicant 察觉到存在中间攻击人,连接将不会被建立。 由于 Supplicant 对 Authenticator 的认证,是在接收到 EAP-Success 消息后进行的, Authenticator 的认证码放置在 EAP-Success 的消息中,不再采用多余的会话,因此不会对认 证过程产生额外的延时,也不会占用很大的网络带宽,这种方式简易而且容易实现。

15、 http:/ -5- 参考文献参考文献 1 IEEE Std 802.1xStandards for Local and Metropolitan Area Networks: Port-based Access Control, 2001 S. 2 RFC 2284PPP Extensible Authentication Protocol (EAP) , March 1998 S. 3 RFC 2865Remote Authentication Dial In User Service (RADIUS), April 1997 S. 4 Arunesh Mishra, William A

16、.Arbaugh An Initial Security Analysis of the IEEE802.1X Standard EB/OLhttp:/www.cs.umd.edu/waa/1x.pdf,6 Feb 2002. Analysis And Solution of 802.1x Security Yang Xieqing, Ma Yue, Sun Min Department of Computer Science and Technology, Beijing University of Posts and Telecommunications, Beijing, PRC (100876) Abstract This article explains the architecture

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号