802.1X的接入認證是當(dāng)前網(wǎng)絡(luò)接入認證方式的熱點,在園區(qū)網(wǎng)絡(luò)中廣泛應(yīng)用。本文介紹802.1X協(xié)議的認證體系結(jié)構(gòu)以及認證流程,分析了其存在管理幀和控制幀明文傳輸及單向認證的設(shè)計缺陷,易受中間人攻擊、會話劫持攻擊和拒絕服務(wù)攻擊等安全威脅,并針對這些問題提出了改進方案。 

【文章來源】：福建電腦. 2020,36(06)

【文章頁數(shù)】：4 頁

【部分圖文】：

802.1x認證系統(tǒng)結(jié)構(gòu)

802.1x認證系統(tǒng)采用EAP協(xié)議來進行信息交換，在客戶端與設(shè)備端之間通過EAPOL協(xié)議來封裝EAP報文，而在設(shè)備端與認證服務(wù)器之間可采用EAP中繼和EAP終結(jié)兩種方式進行報文交換。兩種方式認證流程基本相似。本文以EAP中繼方式為例闡述802.1X基本認證流程。在EAP中繼方式認證的過程中，設(shè)備端起一個中繼代理的角色，用于轉(zhuǎn)發(fā)客戶端和認證服務(wù)器之間的交互報文，在客戶端與設(shè)備端之間通過EAPOR協(xié)議來封裝報文。整個認證過程如圖2所示[3-4]:(1）用戶運行客戶端程序，填寫用戶名和密碼信息后，發(fā)起接入網(wǎng)絡(luò)請求�？蛻舳税l(fā)出認證請求報文EAPOL-Start給設(shè)備端，開啟認證過程。

通過上述分析可以得知，攻擊者之所以能實現(xiàn)中間人攻擊、會話劫持攻擊和拒絕服務(wù)攻擊，關(guān)鍵在于客戶端不能對管理幀和控制幀的來源真實性進行認證。因為這些幀是明文傳輸?shù)模铱蛻舳瞬粚υO(shè)備端和認證服務(wù)器進行身份認證，因此要避免此類攻擊威脅，客戶端必須確保管理幀和控制幀來源的真實性、可靠性[11]。本文提出的改進方案是采用基于公鑰密碼體制的雙向認證機制實現(xiàn)客戶端和認證服務(wù)器的雙向認證[12]，并使用共享密鑰對客戶端和設(shè)備端之間傳遞的所有數(shù)據(jù)幀進行加密，保證了數(shù)據(jù)幀傳輸?shù)谋Ｃ苄�，增加了攻擊者偽造�?shù)據(jù)的難度。此外，利用客戶端和認證服務(wù)器的私鑰對部分管理幀和控制幀進行簽名，保證數(shù)據(jù)幀來源的真實性和完整性。假設(shè)在認證開始之前，客戶端和設(shè)備端的共享密鑰已通過安全通道進行分發(fā)，并且客戶端和認證服務(wù)器的公鑰密碼已公布，雙方均已知曉，改進后的具體流程如圖3所示。流程圖中所用符號說明：K為客戶端與設(shè)備端的共享會話密鑰，IDC為客戶端身份標(biāo)識，NC為客戶端臨時交互號，NS、NS1認證服務(wù)器臨時交互號，PUC、PRC為客戶端的公鑰、私鑰，PUS、PRS為認證服務(wù)器的公鑰、私鑰，M為當(dāng)前發(fā)送的數(shù)據(jù)幀。

【參考文獻】：
期刊論文
[1]基于802.1x協(xié)議的網(wǎng)絡(luò)接入認證方式的分析[J]. 牧軍,朱歡歡.  數(shù)字技術(shù)與應(yīng)用. 2018(07)
[2]基于公鑰密碼體制的802.1x雙向認證研究[J]. 蔣華,張樂乾,阮玲玲.  計算機應(yīng)用與軟件. 2016(02)
[3]基于802.1x校園網(wǎng)接入認證的安全性分析與防御[J]. 王志剛,孟罡,向飛.  計算機安全. 2014(06)
[4]基于IEEE 802.1x的局域網(wǎng)安全接入認證[J]. 張少芳,田華.  計算機光盤軟件與應(yīng)用. 2013(04)
[5]IEEE802.1x協(xié)議中EAP-TLS認證協(xié)議的安全性分析與改進[J]. 何定養(yǎng),王玉柱,鄭賢路,盧繼明,肖洋.  后勤工程學(xué)院學(xué)報. 2011(01)
[6]基于802.1x協(xié)議的Radius認證原理及實現(xiàn)[J]. 華鑌,曹娜.  信息技術(shù). 2010(04)

碩士論文
[1]基于802.1X的終端接入控制技術(shù)研究與優(yōu)化[D]. 黃浩.長安大學(xué) 2018
[2]基于EAPTLS的無線局域網(wǎng)接入控制技術(shù)的研究與改進[D]. 付金平.長安大學(xué) 2014
[3]基于IEEE 802.1X/EAP-TLS安全認證協(xié)議的研究和改進[D]. 王巧.電子科技大學(xué) 2009
[4]802.1x安全性的研究與改進[D]. 喬葉.大連海事大學(xué) 2008
[5]基于IEEE802.1x安全認證協(xié)議的缺陷分析與改進[D]. 王躍峰.武漢理工大學(xué) 2008



本文編號：3231314