评价网 > 科教论文 > 工学毕业论文 > 计算机应用论文 > 正文

一种改进的IEEE802.1x认证机制(1)

2015-09-27 01:00 摘要： 本文主要介绍了IEEE802.1x的体系结构和认证流程，分析了它的缺陷，从数据完整性保护角度出发，在EAPOL包中增加了一个Protection字段，提出了SDVIA(Source Data Verity and Integrity Authentication，数据真实性和完整性认证)认证。该认证技术可以弥补IEEE802.1x认证协议设计上存在的缺陷，有效地预防中间人和会话劫持攻击。
关键词： IEEE802.1x；EAPOL；RADIUS；SDVIA

1 引言 有线局域网通过固定线路连接组建，计算机终端通过网络接入固定位置物理端口，实现局域网接入，数据传输直接送到目的地，这里没有直接控制到端口的方法，也不需要控制到端口，这些固定位置的物理端口构成有线局域网的封闭物理空间。但是，由于无线局域网的网络空间具有开放性和终端可移动性，因此很难通过网络物理空间来界定终端是否属于该网络。随着无线局域网的广泛应用，如何通过端口认证来实现用户级的接入控制就成为一项非常现实的问题。IEEE802.1x正是基于这一需求而出现的一种认证技术[1]。 IEEE802.1x协议，称为基于端口的访问控制协议(Port Based Network Access Control Protocol)，是由IEEE于2001年6月提出的，符合IEEE802协议集的局域网接入控制协议，主要目的是为了解决无线局域网用户的接入认证问题，能够在利用IEEE802局域网优势的基础上提供一种对连接到局域网用户的认证和授权手段，达到接收合法用户输入，保护网络安全的目的。2 IEEE802.1x体系结构[2] 　IEEE802.1x协议的体系结构包括3个重要部分：客户端、认证系统和认证服务器。图1就是IEEE802.1x的体系结构。
1)客户端 客户端，也就是申请者，一般是一个用户移动终端，如安装有网卡的PC机。该终端系统通常要安装一个客户端软件，用户通过启动这个客户端软件发起IEEE 802. 1x认证。为了支持基于端口的接入控制，客户端系统需要支持EAPOL协议。 2)认证系统 认证系统在802.1网络中就是接入点，在认证过程中只起到“透传”的功能，所有的认证工作在客户端和认证服务器上完成。 认证系统通常为支持802.l x协议的网络设备(比如无线交换机)，它为请求者提供服务端口，该端口可以是物理端口也可以是逻辑端口，一般在用户接入设备(如LAN Switch和AP)上实现802.1x认证。后文的认证系统、认证点和接入设备三者表达相同含义。 接入点在认证过程中虽然只起到“透传”的功能，但是在认证之前，它可以把申请者的数据分到两个逻辑端口中：控制端口和非控制端口，如图2所示。 （科教论文网 lw.nseaC.Com编辑发布）
非控制端口始终处于连通状态，它不需要授权，随时可以与网络中的其它机器进行数据交换，主要用来传递EAPOL协议帧，保证可以随时接收客户端申请者发出的认证请求。控制端口只有在认证通过的状态下才打开，用于传递网络资源和服务，有双向受控和仅输入受控两种方式，以适应不同的应用环境。 图2中申请者1没有通过身份认证，控制端口不通，处于未授权状态。申请者2通过身份认证，控制端口连通，处于授权状态。 3)认证服务器 通常为RADIUS (Remote Authentication Dial In User Service)服务器，该服务器存储有关用户的信息，比如用户的身份标识和密码等等。当用户进行认证时，认证系统需要通过认证服务器来验证用户是否合法。如果用户合法，认证服务器通知认证系统，用户已经通过认证，把可控端口打开。此后，用户就可以正常地通过端口访问认证系统所提供的服务。认证系统和RADIUS服务器之间通过承载于RADIUS协议之上的EAP协议进行通信。3 IEEE802.1x的EAP认证过程 1)IEEE802.1x认证过程 IEEE802.1x采用EAP点对点协议认证，EAP消息被封装在IEEE802.1x消息中，称做EAPOL。EAP消息有EAP请求，EAP响应，EAP成功通知和EAP失败通知四类。其中，只有EAP请求消息是可以在认证系统和接入客户端系统之间直接发送，其它的消息都是从认证服务器发给客户端系统，或者从客户端系统发给鉴权服务器的，认证系统只是完成中转和协议转换(认证系统与客户端系统之间用EAPOL承载，客户端系统与认证服务器之间用其它高层协议，如RADIUS)。 图3描述的是由客户端系统发起认证请求，一次口令交换下，鉴权成功的消息流。其中，实线代表EAPOL数据帧的交换，虚线代表认证系统与认证服务器间的高层协议，采用RADIUS协议。