發(fā)布時(shí)間：2021-06-15 15:28

　　802.1X的接入認(rèn)證是當(dāng)前網(wǎng)絡(luò)接入認(rèn)證方式的熱點(diǎn),在園區(qū)網(wǎng)絡(luò)中廣泛應(yīng)用。本文介紹802.1X協(xié)議的認(rèn)證體系結(jié)構(gòu)以及認(rèn)證流程,分析了其存在管理幀和控制幀明文傳輸及單向認(rèn)證的設(shè)計(jì)缺陷,易受中間人攻擊、會(huì)話劫持攻擊和拒絕服務(wù)攻擊等安全威脅,并針對這些問題提出了改進(jìn)方案。 

【文章來源】：福建電腦. 2020,36(06)

【文章頁數(shù)】：4 頁

【部分圖文】：

802.1x認(rèn)證系統(tǒng)結(jié)構(gòu)

802.1x認(rèn)證系統(tǒng)采用EAP協(xié)議來進(jìn)行信息交換，在客戶端與設(shè)備端之間通過EAPOL協(xié)議來封裝EAP報(bào)文，而在設(shè)備端與認(rèn)證服務(wù)器之間可采用EAP中繼和EAP終結(jié)兩種方式進(jìn)行報(bào)文交換。兩種方式認(rèn)證流程基本相似。本文以EAP中繼方式為例闡述802.1X基本認(rèn)證流程。在EAP中繼方式認(rèn)證的過程中，設(shè)備端起一個(gè)中繼代理的角色，用于轉(zhuǎn)發(fā)客戶端和認(rèn)證服務(wù)器之間的交互報(bào)文，在客戶端與設(shè)備端之間通過EAPOR協(xié)議來封裝報(bào)文。整個(gè)認(rèn)證過程如圖2所示[3-4]:(1）用戶運(yùn)行客戶端程序，填寫用戶名和密碼信息后，發(fā)起接入網(wǎng)絡(luò)請求�？蛻舳税l(fā)出認(rèn)證請求報(bào)文EAPOL-Start給設(shè)備端，開啟認(rèn)證過程。

通過上述分析可以得知，攻擊者之所以能實(shí)現(xiàn)中間人攻擊、會(huì)話劫持攻擊和拒絕服務(wù)攻擊，關(guān)鍵在于客戶端不能對管理幀和控制幀的來源真實(shí)性進(jìn)行認(rèn)證。因?yàn)檫@些幀是明文傳輸?shù)�，而且客戶端不對設(shè)備端和認(rèn)證服務(wù)器進(jìn)行身份認(rèn)證，因此要避免此類攻擊威脅，客戶端必須確保管理幀和控制幀來源的真實(shí)性、可靠性[11]。本文提出的改進(jìn)方案是采用基于公鑰密碼體制的雙向認(rèn)證機(jī)制實(shí)現(xiàn)客戶端和認(rèn)證服務(wù)器的雙向認(rèn)證[12]，并使用共享密鑰對客戶端和設(shè)備端之間傳遞的所有數(shù)據(jù)幀進(jìn)行加密，保證了數(shù)據(jù)幀傳輸?shù)谋Ｃ苄�，增加了攻擊者偽造�?shù)據(jù)的難度。此外，利用客戶端和認(rèn)證服務(wù)器的私鑰對部分管理幀和控制幀進(jìn)行簽名，保證數(shù)據(jù)幀來源的真實(shí)性和完整性。假設(shè)在認(rèn)證開始之前，客戶端和設(shè)備端的共享密鑰已通過安全通道進(jìn)行分發(fā)，并且客戶端和認(rèn)證服務(wù)器的公鑰密碼已公布，雙方均已知曉，改進(jìn)后的具體流程如圖3所示。流程圖中所用符號(hào)說明：K為客戶端與設(shè)備端的共享會(huì)話密鑰，IDC為客戶端身份標(biāo)識(shí)，NC為客戶端臨時(shí)交互號(hào)，NS、NS1認(rèn)證服務(wù)器臨時(shí)交互號(hào)，PUC、PRC為客戶端的公鑰、私鑰，PUS、PRS為認(rèn)證服務(wù)器的公鑰、私鑰，M為當(dāng)前發(fā)送的數(shù)據(jù)幀。

【參考文獻(xiàn)】：
期刊論文
[1]基于802.1x協(xié)議的網(wǎng)絡(luò)接入認(rèn)證方式的分析[J]. 牧軍,朱歡歡.  數(shù)字技術(shù)與應(yīng)用. 2018(07)
[2]基于公鑰密碼體制的802.1x雙向認(rèn)證研究[J]. 蔣華,張樂乾,阮玲玲.  計(jì)算機(jī)應(yīng)用與軟件. 2016(02)
[3]基于802.1x校園網(wǎng)接入認(rèn)證的安全性分析與防御[J]. 王志剛,孟罡,向飛.  計(jì)算機(jī)安全. 2014(06)
[4]基于IEEE 802.1x的局域網(wǎng)安全接入認(rèn)證[J]. 張少芳,田華.  計(jì)算機(jī)光盤軟件與應(yīng)用. 2013(04)
[5]IEEE802.1x協(xié)議中EAP-TLS認(rèn)證協(xié)議的安全性分析與改進(jìn)[J]. 何定養(yǎng),王玉柱,鄭賢路,盧繼明,肖洋.  后勤工程學(xué)院學(xué)報(bào). 2011(01)
[6]基于802.1x協(xié)議的Radius認(rèn)證原理及實(shí)現(xiàn)[J]. 華鑌,曹娜.  信息技術(shù). 2010(04)

碩士論文
[1]基于802.1X的終端接入控制技術(shù)研究與優(yōu)化[D]. 黃浩.長安大學(xué) 2018
[2]基于EAPTLS的無線局域網(wǎng)接入控制技術(shù)的研究與改進(jìn)[D]. 付金平.長安大學(xué) 2014
[3]基于IEEE 802.1X/EAP-TLS安全認(rèn)證協(xié)議的研究和改進(jìn)[D]. 王巧.電子科技大學(xué) 2009
[4]802.1x安全性的研究與改進(jìn)[D]. 喬葉.大連海事大學(xué) 2008
[5]基于IEEE802.1x安全認(rèn)證協(xié)議的缺陷分析與改進(jìn)[D]. 王躍峰.武漢理工大學(xué) 2008



本文編號(hào)：3231314