基于IEEE 802.1x的局域网安全接入认证
摘 要:作为被广泛应用的局域网内部认证协议,ieee 802.1x通过对接入的终端用户进行身份的认证来确保用户身份的合法性,防范来自局域网内部的攻击。文章通过对ieee 802.1x技术的认证原理、流程以及配置进行介绍,使网络管理员对ieee 802.1x有较深入的理解,并能使用其来保护局域网的安全。
关键词:ieee 802.1x;可扩展认证协议;认证;报文 中图分类号:tp393.1 文献标识码:a 文章编号:1007-9599 (2013) 04-0000-03 1 引言
网络安全在早期主要关注于对来自需要保护的局域网外部的网络窃听和攻击进行防范,因此产生了诸如访问控制列表技术、技术以及防火墙技术等各种保护局域网免受外部攻击的技术。但随着网络规模的不断增大以及网络攻击方式的多样化,如何防范来自局域网内部的攻击收到越来越多的关注。在传统网络中,局域网内部用户和主机被认为是安全可靠的,因此用户只要可以连接到局域网内交换机的物理端口,就可以访问整个局域网中的所有资源,这显然会造成非法用户的侵入以及合法用户的越权非法操作。要解决该问题,就需要对终端用户的接入进行控制,即在局域网接入设备的端口一级对所接入的设备进行认证和控制。在网络中,通过ieee 802.1x协议来实现这一功能。
2 ieee 802.1x的体系结构
ieee 802.1x采用c/s结构,在其体系结构中包含客户端(supplicant system)、设备端(authenticator system)和认证服务器(authentication server system)三个实体[1],具体如图1所示。
客户端是位于局域网一端的一个实体,由该链路另一端的设备端对其进行认证。客户端一般为pc机,客户端通过启动ieee 802.1x客户端软件发起802.1x认证,客户端需要支持局域网上的可扩展认证协议(extensible authentication protocol over lan,eapol)。
设备端是位于局域网另一端的一个实体,用于对所连接的客户端进行认证。设备端一般为接入交换机,它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。 认证服务器是为设备端提供认证服务的实体,用于实现对客户端的认证、授权和计费,一般是radius服务器。 3 可扩展认证协议
可扩展认证协议(extensible authentication protocol,eap)在ieee 802.1x认证系统中被用来在客户端、设备端和认证服务器之间交换认证信息[2]。其中在客户端pae和设备端pae之间,eap协议报文使用eapol进行封装,直接承载于以太网环境中;而在设备端pae和认证服务器之间则可以承载于radius协议中。如图2
所示。
3.1 eapol报文结构
eapol通过对eap报文进行封装,使其可以在以太网上进行传送。eapol的报文结构如图3所示[3]。 eapol报文中的各项参数说明如下:
(1)pae ethernet type:表示协议类型,ieee 802.1x分配的协议类型为0x888e。长度为2个字节。
(2)protocol version:表示协议的版本号,长度为1个字节。 (3)type:表示eapol数据帧的类型,长度为1个字节。eapol数据帧的类型如表1所示。
其中,eapol-start和eapol-logoff报文中不包含packet body字段。
(4)length:表示packet body字段的长度,单位为字节。eapol-start和eapol-logoff报文中的length字段取值为0。长度为2个字节。
(5)packet body:表示eap报文内容,不同类型的eapol数据帧具有不同的格式。 3.2 eap报文结构
eap-packet报文中的packet body部分即为eap报文,其报文结构如图4所示。
eap报文中的各项参数说明如下:
(1)code:表示eap报文的类型,共有四种,分别是:request、response、success和failure。长度为1个字节。
(2)identifier:用于匹配request消息和response消息,长度为1个字节。
(3)length:eap报文的长度,包括code、identifier、length和data的全部内容,单位为字节。其取值与eapol报文中的length字段的取值相同。长度为2个字节。
(4)data:eap的数据信息,其中success和failure类型的eap报文中没有data字段,request和response类型的eap报文中的data字段包括type和type data两部分。其中type字段表示eap的认证类型,取值为1时代表identity,用来查询对方的身份;取值为4时代表md5-challenge,类似于ppp的chap协议,包含质询消息。type data字段的内容由type字段来决定,不同eap认证类型的type data字段的取值不同。 4 ieee 802.1x认证流程
ieee 802.1x的具体认证流程如图5所示[4]。
(1)在用户有访问网络的需求时,打开ieee 802.1x客户端程序输入用户名和密码,客户端程序向设备端发送eapol-start报文,开始启动一次认证过程。
(2)设备端收到来自客户端的eapol-start报文后,向客户端发出eap-request/identity报文,要求客户端发送输入的用户名,
来查询客户端的身份。
(3)客户端响应设备端的用户身份查询请求,将用户名信息通过eap-response/identity报文发送给设备端。
(4)设备端收到客户端发来的eap-response/identity报文后,暂存其中的用户名信息,随机生成一个加密字并将其通过eap-request/md5-challenge报文发送给客户端。
(5)客户端收到设备端发来的eap-request/md5-challenge报文后,使用其中的随机加密字对密码进行加密处理,并将加密后的密码通过eap-response/md5-challenge报文发送给设备端。 (6)设备端从接收到的eap-response/md5-challenge报文中获得客户端使用随机加密字加密的密码,然后将该密码和暂存的用户名以及随机加密字通过radius access-request报文发送给radius服务器。
(7)radius服务器从收到的radius access-request报文中获取用户名、加密密码和加密字信息,并将获取的用户名与其数据库中的用户名进行比对,找到该用户名对应的密码,然后使用获取的随机加密字对密码进行加密处理,并将加密处理结果与获取的加密密码进行比对,若两者相同,则认为用户合法,向设备端发送radius access-accept报文。设备端接收到该报文后,向客户端发送eap-success报文,通知客户端ieee 802.1x认证通过,同时将受控端口的状态改为授权状态,允许用户通过该端口访问网络。
(8)用户下线时,客户端向设备端发送eapol-logoff报文,设备端将受控端口的状态由授权状态改为非授权状态,不再允许用户通过该端口访问网络。 5 ieee 802.1x认证实现
假设某局域网如图6所示,为不涉及企业的私密性,企业内部网络仅给出一个网段,且所有ip地址均使用私有地址。要求配置ieee 802.1x认证,使pc1需要通过认证才可以访问外部网络,认证用户名和密码分别为network和123456;设备端配置的aaa域名为study;设备端与radius服务器之间的共享密钥为test。 6 结束语
通过上面的配置验证可知,在启用了ieee 802.1x认证后,客户端主机在接入到局域网中以后还必须要输入正确的用户名和密码经过认证后才可以连接外部网络。否则,即使存在到达局域网内交换机的物理连接,客户端依然无法访问网络,从而确保了局域网内部用户的合法性,有效避免了来自局域网内部的攻击。 参考文献:
[1]杭州华三通信技术有限公司.路由与交换技术.第1卷(下册)[m].北京:清华大学出版社,2011.
[2]石颖.基于eap-tls认证的无线网络安全接入[j].计算机安全,2009,9:26-30.
[3]杭州华三通信技术有限公司.e126&e126a以太网交换机电子
手册[eb/ol].(2010-9-13)[2012-11-19].http://www.h3c.com.cn.
[4]antoon w.rufi. network security[m].北京:人民邮电出版社.2009.
[作者简介]张少芳(1982.11-),男,汉族,河北宁晋人,讲师,硕士,主要研究方向为网络安全与管理、网络集成技术;田华(1973.05-),女,汉族,辽宁本溪人,副教授,硕士,主要研究方向为网络安全与管理。
[基金项目]河北省教育厅自然科学项目,项目编号:z2009463,项目名称:中小企业低投入网络安全与管理方案研究。