网站原创摘 要: 目前飞机与地面机场之间WLAN的应用部署日益广泛,但对其安全接入通信却没有提过较为合理的设计和规划,由WLAN引起的安全漏洞给飞机与地面之间信息传递带来很大的隐患.主要介绍EAP认证方法以及基于802.1x/EAP无线局域网的安全认证机制.
关 键 词 : WLAN; 802.1x协议; EAP认证方法; 安全认证
中图分类号: TN915.0834 文献标识码: A 文章编号: 1004373X(2013)19008803
0 引 言
在国内的企业、商业领域,WLAN(Wireless Local Area Network,无线局域网)的应用越来越广泛.WLAN的应用将成为现代网络发展的主要趋势.在美国,WLAN的市场需求在过去的一年中迅猛增长,即使比较偏远的县级城市已经被超级WiFi所覆盖.WLAN在全球几乎都已家喻户晓,老百姓、企业以及政府都对WLAN的产品及应用极力尝试使用.
WLAN之所以受到欢迎是由于非常易于安装,灵活使用,不需要线缆,可以安装在很多有线网络不适合安装的地方,况且WLAN也不需要长期的高额维护费用.
WLAN虽然有很多优点,但是对于一些网络规模大,应用复杂,安全性需求较高的网络建设领域,WLAN的应用要受到一定的限制.如果WLAN的认证、传输加密等安全性能够得到很好的解决,那么这一技术在很多领域都将得到广泛的应用.本文重点就基于EAP/802.1x的无线网络安全认证机制方面进行讨论.
1.IEEE 802.1x协议
IEEE 802.1x协议是基于Client/Server模式的认证和访问控制协议.可以对未经授权接入的客户端扫描周边可用的接入点AP进行连接请求的限制,客户端在获得接入网络之前,IEEE 802.1x将认证试图接入网络的Client相关信息.认证成功之前,除了认证信息数据通信外不允许任何其他信息通信.认证成功之后,交换机端口将被打开,客户端发送的信息通过已打开的交换机端口进入到网络.
IEEE 802.1x协议认证体系结构由客户端系统、认证系统以及认证怎么写作器系统3部分构成.IEEE 802.1x体系结构如图1所示.
客户端PAE通过基于局域网的扩展认证协议EAPOL接入到LAN,并要求认证系统提供相关的怎么写作设备.WLAN通信中客户端一般指笔记本电脑.
认证系统通过网络访问端口提供给客户端系统请求的怎么写作设备,该怎么写作设备有两个逻辑端口,一个是非受控端,另一个是受控端.认证成功后非受控端才会处于打开状态,用来进行消息通信;受控端也称作授权端口,始终是打开状态,客户端系统随时可以发送或接收认证信息.WLAN通信中常用的接入设备为AP.
认证怎么写作器是整个IEEE 802.1x认证体系结构的核心部分,主要负责完成对客户端信息的认证.LAN通信中认证怎么写作器一般是指RADIUS怎么写作器.
2.EAP协议和认证方法
EAP(Extensible Authentication Protocol,可扩展认证协议)是通过使用远程用户拨号认证系统怎么写作器(RADIUS)实现Client和认证怎么写作器相互验证.
EAP报文包的格式见表1.
(1)Code:占 8位,用于表示EAP报文包的类型.Code二进制码为00000001代表请求,二进制码为00000010代表应答,二进制码为00000011代表成功,二进制码为00000100代表失败;
(2)ID:占8位,用于表示请求报文和应答报文是否匹配;
(3)Length:占16位,用于表示EAP报文包的长度,包括Code部分、Identifie部分、Length部分和Data部分的全部长度;超出Code、Identifie、Length和Data全部长度的部分作为链路层的填充部分,接收端应忽略超出的部分;
(4)Data:占0位或[n]位,其格式由Code确定,成功和失败类型的报文包不包含Code部分,相应Length值为4;请求和响应类型的报文包格式由所选的EAP认证类型决定.
WLAN接入的安全性保障是非常必要的,EAP认证方法的选择也是非常重要的,最常使用的EAP认证方法有EAPMD5(MessageDigest 5)、EAPTLS (Transport Level Security)、轻量级的扩展认证协议(LEAP)和EAPTTLS (Tunneled TLS)四种.
EAPMD5(消息摘 要 )是一种非常简单的EAP认证方法,它只支持无线客户端与网络单方向认证,并不是一个可靠的认证方法.EAPMD5认证流程如图2所示.
EAPTLS(传输层安全)是一种基于证书、提供相互认证和密钥交换的验证,是非常安全的认证方法.它可以动态生成基于用户和会话的WEP密钥来保障Client与AP之间的正常通信.但是该类型认证需要Client和RADIUS双方的管理证书,对于较大的无线网络安装,任务是比较繁重的.EAPTLS认证流程图如图3所示.
EAPTTLS(隧道传输层安全)是由Funk Software and Certi开发的,作为EAPTLS的扩展.EAPTTLS通过建立一个安全的 “隧道”为Client与RADIUS之间提供基于证书的相互认证.与EAPTLS不同的是EAPTTLS仅需要怎么写作器方面的证书.EAPTTLS认证流程如图4所示.
EAPPEAP(保护的扩展认证协议)支持802.11无线网络提供一种安全传输认证数据的方法.PEAP和TTLS类似也是提供了安全“隧道”来实现Client和RADIUS之间的通信.PEAP只需使用RADIUS一边的证书来认证Client,使安全无线网络的执行和管理得到了简化了.EAPPEAP认证流程如图5所示. 3 基于802.1x/EAP认证机制
一个无线网络安全方案重点是提供集中认证和动态密钥分配.并且是基于IEEE 802.11i点到点结构,使用IEEE 802.1x和EAP提供这一增强功能.图6描述了EAP认证过程.
无线客户端扫描周边可用的AP,尝试请求与AP进行连接.交换机在收到请求认证的数据帧后,将发出EAPRequest请求帧要求客户端提供网络登录证书(用户ID和,用户ID和一次性(OTP),或数字证书).客户端接收到请求帧后将包含网络证书的帧发送给交换机,交换机收到数据帧后将它封装处理生成报文发送给RADIUS怎么写作器进行处理.使用IEEE 802.1x和EAP,无线客户端和RADIUS怎么写作器通过AP实现两个阶段的相互认证.在EAP认证的第一阶段,RADIUS怎么写作器验证客户端证书.在第二阶段,通过客户端验证RADIUS怎么写作器证书完成相互验证.
EAP两个阶段相互认证成功之后,将会产生一个特殊密钥,Client加载该密钥并使用该密钥进行登录.RADIUS怎么写作器通过有线LAN将这个密钥(称为会话密钥)发送到AP,AP通过这个会话密钥加密广播密钥,并将这一加密的密钥发送至客户端,客户端使用会话密钥对其解密.如果会话时间超出,EAP会定义集中策略控制并触发重新认证和生成新的密钥. 会话密钥和广播密钥都会在固定的时间间隔内被改变.EAP认证末端的RADIUS怎么写作器为AP指定会话密钥超时时间,且广播密钥循环时间可以在AP上进行设置.
4.结 论
随着无线网络的迅速发展,IEEE 802.1x安全认证技术也得到了普遍使用.EAP认证方式支持更多、更广泛、更灵活的认证机制.WLAN的高安全性更易于管理,采用最新的安全技术,支持先进的EAP认证方法,是提高WLAN安全性接入的有效措施.对WLAN安全性技术和机制进行分析研究,有助于提高有特定需求的场所无线网络数据传输的安全性.不断的学习和研究新的WLAN安全认证技术,以此推动WLAN技术在飞机上的应用和发展,促进飞机与地面机场之间网络的安全、健康发展.