用户登录  |  用户注册
首 页商业源码原创产品编程论坛
当前位置:PB创新网文章中心编程技巧计算机网络

WLAN中802.1x协议的安全和应用研究

减小字体 增大字体 作者:佚名  来源:本站整理  发布时间:2009-01-10 10:09:19
服务器对移动节点进行身份验证的基本方法。如果没有有效的身份验证密钥,AP会禁止所有的网络流量通过。
(1)当一个移动节点(申请者)进入一个无线AP认证者的覆盖范围时,无线AP会向移动节点发出一个问询。
(2)在受到来自AP的问询之后,移动节点做出响应,告知自己的身份。
(3)AP将移动节点的身份转发给RADIUS身份验证服务器,以便启动身份验证服务。
(4)RADIUS服务器请求移动节点发送它的凭据,并且指定确认移动节点身份所需凭据的类型。
(5)移动节点将它的凭据发送给RADIUS。
(6)在对移动节点凭据的有效性进行了确认之后,RADIUS服务器将身份验证密钥发送给AP。该身份验证密钥将被加密,只有AP能够读出该密钥。(在移动节点和RADIUS服务器之间传递的请求通过AP的“非控制”端口进行传递,因为移动节点不能直接与RADIUS服务器建立联系。AP不允许STA移动节点通过“受控制”端口传送数据,因为它还没有经过身份验证。)
(7)AP使用从RADIUS服务器处获得的身份验证密钥保护移动节点数据的安全传输--特定于移动节点的单播会话密钥以及多播/全局身份验证密钥。
全局身份验证密钥必须被加密。这要求所使用的EAP方法必须能够生成一个加密密钥,这也是身份验证过程的一个组成部分。传输层安全TLS(Transport Level Security)协议提供了两点间的相互身份验证、完整性保护、密钥对协商以及密钥交换。我们可以使用EAP-TLS在EAP内部提供TLS机制。
移动节点可被要求周期性地重新认证以保持一定的安全级。
4  802.1x协议的特点
IEEE 802.1x具有以下主要优点:
(1)实现简单。IEEE 802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本。
(2)认证和业务数据分离。IEEE 802.1x的认证体系结构中采用了“受控端口”和“非受控端口”的逻辑功能,从而可以实现业务与认证的分离。用户通过认证后,业务流和认证流实现分离,对后续的数据包处理没有特殊要求,业务可以很灵活,尤其在开展宽带组播等方面的业务有很大的优势,所有业务都不受认证方式限制。
IEEE 802.1x同时具有以下不足
802.1x认证是需要网络服务的系统和网络之间的会话,这一会话使用IETF的EAP(Extensible Authentication Protocol)认证协议。协议描述了认证机制的体系结构框架使得能够在802.11实体之间发送EAP包,并为在AP和工作站间的高层认证协议建立了必要条件。对MAC地址的认证对802.1x来说是最基本的,如果没有高层的每包认证机制,认证端口没有办法标识网络申请者或其包。而且实验证明802.1x由于其设计缺陷其安全性已经受到威胁,常见的攻击有中间人MIM攻击和会话攻击。
所以802.11与802.1x的简单结合并不能提供健壮的安全无线环境,必须有高层的清晰的交互认证协议来加强。幸运的是,802.1x为实现高层认证提供了基本架构。
5  802.1x认证协议的应用
IEEE 802.1x 使用标准安全协议(如RADIUS)提供集中的用户标识、身份验证、动态密钥管理和记帐。802.1x身份验证可以增强安全性。IEEE 802.1x身份验证提供对802.11无线网络和对有线以太网网络的经验证的访问权限。IEEE 802.1x 通过提供用户和计算机标识、集中的身份验证以及动态密钥管理,可将无线网络安全风险减小到最低程度。在此执行下,作为 RADIUS 客户端配置的无线接入点将连接请求和记帐邮件发送到中央 RADIUS 服务器。中央 RADIUS 服务器处理此请求并准予或拒绝连接请求。如果准予请求,根据所选身份验证方法,该客户端获得身份验证,并且为会话生成唯一密钥。IEEE 802.1x为可扩展的身份验证协议 EAP 安全类型提供的支持使您能够使用诸如智能卡、证书以及 Message Digest 5 (MD5) 算法这样的身份验证方法。
扩展身份验证协议EAP是一个支持身份验证信息通过多种机制进行通信的协议。利用802.1x,EAP可以用来在申请者和身份验证服务器之间传递验证信息。这意味着EAP消息需要通过LAN介质直接进行封装。认证者负责在申请者和身份验证服务器之间转递消息。身份验证服务器可以是一台远程身份验证拨入用户服务(RADIUS)服务器。
以下举一个例子,说明对申请者进行身份验证所需经过的步骤:
(1)认证者发送一个EAP - Request/Identity(请求/身份)消息给申请者。
(2)申请者发送一个EAP - Response/Identity(响应/身份)以及它的身份给认证者。认证者将收到的消息转发给身份验证服务器。
(3)身份验证服务器利用一个包含口令问询的EAP - Request消息通过认证者对申请者做出响应。
(4)申请者通过认证者将它对口令问询的响应发送给身份验证服务器。
(5)如果身份验证通过,授权服务器将通过认证者发送一个EAP - Success响应给申请者。认证者可以使用“Success”(成功)响应将受控制端口的状态设置为“已授权”。
6  802.1x与智能卡
智能卡通常用在安全性要求比较高的场合,并与认证协议的应用相结合。这首先是由于智能卡能够保护并安全的处理敏感数据;而智能卡能保护密钥也是相当重要的,一切秘密寓于密钥之中,为了能达到密码所提供的安全服务,密钥绝对不能被泄密,

上一页  [1] [2] [3]  下一页

Tags:

作者:佚名

文章评论评论内容只代表网友观点,与本站立场无关!

   评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
PB创新网ourmis.com】Copyright © 2000-2009 . All Rights Reserved .
页面执行时间:54,281.25000 毫秒
Email:ourmis@126.com QQ:2322888 蜀ICP备05006790号