【摘要】IIMaster Degree Dissertation of Chongqing UniversityApplication and Study for Port Based NetworkAccess Control Protocol Based on IEEE802.1X——Realization For IEEE802.1X Protocol In TheEnthernet-NetworkMaster Degree Candidate:Xie BoSupervisor:Associate Prof.Yao JiaNingMajor:Computer Applications TechnologyCollege of Computer ScienceChongqing UniversityMay 2005
原文点击下载
中文摘要III摘要随着以太网技术的飞速发展,其应用也日益广泛。出于网络安全的考虑和计费的需要,网络管理者和运营商都明显地感到了对以太网端口进行控制的需求。在这样的背景下,802.1 X标准应运而生,从而为以太网环境提供了一种标准的基于端口的访问控制机制和认证手段。论文作者在对802.1 X协议进行了较深入的分析研究的基础上,对如何利用软件实现相关协议进行了探索。鉴于国产交换机中支持该认证协议的产品尚不多,论文作者选择了探讨和研究在微机环境中开发相关协议软件作为硕士研究课题。本论文较全面地分析了802.1X标准产生的背景、协议的设计思路、认证体系的特点和体系结构、以及该标准的应用前景。首先对应用于Internet网络层次体系结构的认证协议进行了阐述,并对目前业界普遍采用的几种认证方式进行了比较,重点对IEEE802.1X协议进行探讨研究,最后针对IEEE802.1X协议在推广与实现中所面临的楼道交换机不支持该协议的问题进行了专题研究,提出一种利用软件支撑模型,在客户端与认证服务器之间顺利实现EAP协议数据包交换,从而实现802.1X协议功能,达到IEEE802.1X认证目的。本文在针对模型中各模块具体功能与实现过程中着重用到了网络底层协议与数据包的封装与提取技术,结合C++、虚拟设备驱动程序(VxD)、WINSocket等软件实现所需功能。基于上述体系结构上的分析,论文进一步讨论了认证服务软件系统功能模块的划分,对系统具体实现进行了详尽的描述。论文最后讨论了对作者开发的模拟试验系统的测试工作,包括单元测试和集成测试的要求和测试步骤,较详细地列举了对部分模块进行的测试并得出结论。关键词:802.1X协议,RADIUS,认证,授权,PAE,AAA功能
中文摘要IV
英文摘要VABSTRACTContinuous progress in Ethernet techniques has made it a prominent networktechnology,not only for building up LANs,MANS,and WANs,but also for accessingthose networks.As a result,there is an urgent need for accesscontrol in an Ethernetenvironment,and finally in 2001,the standard of 802.1Xwas defined by an IEEE 802working group.IEEE 802.1X is a port based accesscontrol protocol,which provides astandard mechanism and authorization methodfor users connected to Ethernet ports.The work presented in this dissertation reflects author's understanding of IEEE802.1X based authentication system,and an experimental implementationof this protocolin microcomputers interconnected by an Ethernet LAN is described.This dissertation first provides a comprehensive study of the IEEE 802.1X.Themotivation and basic idea of this standard is briefly reviewed,its mainfeatures andfunctional components are analyzed in some detail.With regard tosystem presentation,the author has abstracted an 802.1X based authenticationsystem as having two visions:the generalized one(in broad sense)and the user’s vision(in narrow sense).A generalizedvision treats all the relevant componentsas a whole,therefore it comprises the functionsnecessarily been hosted in edge switches as well as those provided by the backstageauthentication server.Theuser's vision is one directly presented by edge switches,whilethe backstageserver is invisible to users.The two-vision view is helpful to appreciatetheworking principle and has guided the implementation described in this dissertation.According to the analysis of the system structure above,the thesis further discussedthe function mold of the authentication service software system,carrying out to carryon the detailed description to the system in a specific way.The dissertation discusses toexperiment test work of the system to the emulation that author develop finally,including the request for unit-test and gathering-test step,enumerated to the test result ofpart molds and get the conclusion at the last.Keywords:802.1X,Authorization,EAP,PAE,RADIUS,AAA
英文摘要VI
目录VII目录中文摘要.......................................................................................................................................III英文摘要........................................................................................................................................V1绪论.........................................................................................................................................11.1网络安全概述...........................................................................................................................11.1.1网络安全的概念................................................................................................................11.1.2网络存在的威胁................................................................................................................11.1.3针对网络中存在的威胁采取的主要措施........................................................................11.1.4数字证书(CA)系统.......................................................................................................31.2 IEEE802.1X概述.....................................................................................................................41.2.1 IEEE802.1X的体系结构....................................................................................................51.2.2 IEEE802.1X协议技术特点................................................................................................61.3 AAA协议概述...........................................................................................................................71.4 RADIUS协议与拨号用户接入认证系统框架........................................................................81.4.1 RADIUS协议概述.............................................................................................................91.4.2 RADIUS认证、授权.......................................................................................................101.4.3 RADIUS计费...................................................................................................................101.5本论文的主要研究内容与结构安排.....................................................................................112认证技术.................................................................................................................................132.1认证技术概述.........................................................................................................................132.1.1认证技术概念..................................................................................................................132.1.2体系结构..........................................................................................................................132.1.3几种主要认证技术介绍..................................................................................................142.1.4几种认证技术的比较......................................................................................................192.2 IEEE802.1X的学术意义及前景............................................................................................212.3本章小结.................................................................................................................................213制订课题研究目标,设计模型.................................................................................233.1设定研究目标.........................................................................................................................233.1.1主要协议介绍与它们之间的关系...................................................................................233.2设计模型.................................................................................................................................313.2.1 SupplicantPAE认证请求者..............................................................................................313.2.2代理认证系统PA(Proxy Authentication)...................................................................31
目录VIII3.3本章小结.................................................................................................................................354设计工具、算法介绍及编程实现............................................................................374.1使用的设计工具介绍.............................................................................................................374.2算法介绍.................................................................................................................................374.2.1单向散列函数..................................................................................................................374.2.2 MD5算法..........................................................................................................................374.3协议模型的实现.....................................................................................................................384.3.1 SupplicantPAE认证请求者PAE.....................................................................................384.4代理认证系统PA的实现......................................................................................................424.4.1认证者PAE模块M0.......................................................................................................424.4.2.RADIUS模块实现..........................................................................................................544.4.3数据库Database模块实现..............................................................................................604.5本章小结.................................................................................................................................615检测调试.................................................................................................................................635.1测试分类.................................................................................................................................635.1.1单元测试...........................................................................................................................635.1.2集成测试...........................................................................................................................655.2测试说明..................................................................................................................................655.2.1测试方法与测试集...........................................................................................................655.3测试结果.................................................................................................................................665.4本章小结.................................................................................................................................666总结.......................................................................................................................................676.1结论.....................................................................................................................................676.2对未来工作的改进.................................................................................................................67致谢.......................................................................................................................................69参考文献.......................................................................................................................................71附录.......................................................................................................................................73
1绪论11绪论1.1网络安全概述1.1.1网络安全的概念网络安全包括五个基本要素:机密性、完整性、可用性、可控性与可审查性。机密性:确保信息不暴露给未授权的实体或进程。完整性:只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。可控性:可以控制授权范围内的信息流向及行为方式。可审查性:对出现的网络安全问题提供调查的依据和手段。1.1.2网络存在的威胁一般认为,目前网络存在的威胁主要表现在:非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。信息泄漏或丢失:指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括,信息在传输中丢失或泄漏(如"黑客"们利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息,如用户口令、帐号等重要信息。),信息在存储介质中丢失或泄漏,通过建立隐蔽隧道等窃取敏感信息。破坏数据完整性:以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。拒绝服务攻击:它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。利用网络传播病毒:通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。1.1.3针对网络中存在的威胁采取的主要措施1.1.3.1鉴别
1绪论2鉴别是对网络中的主体进行验证的过程,通常有三种方法验证主体身份。一是只有该主体了解的秘密,如口令、密钥;二是主体携带的物品,如智能卡和令牌卡;三是只有该主体具有的独一无二的特征或能力,如指纹、声音、视网膜或签字等。口令机制:口令是相互约定的代码,假设只有用户和系统知道。口令有时由用户选择,有时由系统分配。通常情况下,用户先输入某种标志信息,比如用户名和ID号,然后系统询问用户口令,若口令与用户文件中的相匹配,用户即可进入访问。口令有多种,如一次性口令,系统生成一次性口令的清单,第一次时必须使用X,第二次时必须使用Y,第三次时用Z,这样一直下去;还有基于时间的口令,即访问使用的正确口令随时间变化,变化基于时间和一个秘密的用户钥匙。这样口令每分钟都在改变,使其更加难以猜测。智能卡:访问不但需要口令,也需要使用物理智能卡。在允许其进入系统之前检查是否允许其接触系统。智能卡大小形如信用卡,一般由微处理器、存储器及输入、输出设施构成。微处理器可计算该卡的一个唯一数(ID)和其它数据的加密形式。ID保证卡的真实性,持卡人就可访问系统。为防止智能卡遗失或被窃,许多系统需要卡和身份识别码(PIN)同时使用。若仅有卡而不知PIN码,则不能进入系统。智能卡比传统的口令方法进行鉴别更好,但其携带不方便,且开户费用较高。1.1.3.2数据传输安全技术数据传输加密技术目的是对传输中的数据流加密,以防止通信线路上的窃听、泄漏、篡改和破坏。如果以加密实现的通信层次来区分,加密可以在通信的三个不同层次来实现,即链路加密(位于OSI网络层以下的加密),节点加密,端到端加密(传输前对文件加密,位于OSI网络层以上的加密)。一般常用的是链路加密和端到端加密这两种方式。链路加密侧重于在通信链路上而不考虑信源和信宿,是对保密信息通过各链路采用不同的加密密钥提供安全保护。链路加密是面向节点的,对于网络高层主体是透明的,它对高层的协议信息(地址、检错、帧头帧尾)都加密,因此数据在传输中是密文的,但在中央节点必须解密得到路由信息。端到端加密则指信息由发送端自动加密,并进入TCP/IP数据包回封,然后作为不可阅读和不可识别的数据穿过互联网,当这些信息一旦到达目的地,将自动重组、解密,成为可读数据。端到端加密是面向网络高层主体的,它不对下层协议进行信息加密,协议信息以明文形式传输,用户数据在中央节点不需解密。数据完整性鉴别技术目前,对于动态传输的信息,许多协议确保信息完整性的方法大多是收错重传、丢弃后续包的办法,但黑客的攻击可以改变信息包内
1绪论3部的内容,所以应采取有效的措施来进行完整性控制。报文鉴别:与数据链路层的CRC控制类似,将报文名字段(或域)使用一定的操作组成一个约束值,称为该报文的完整性检测向量ICV(Integrated CheckVector)。然后将它与数据封装在一起进行加密,传输过程中由于侵入者不能对报文解密,所以也就不能同时修改数据并计算新的ICV,这样,接收方收到数据后解密并计算ICV,若与明文中的ICV不同,则认为此报文无效。校验和:一个最简单易行的完整性控制方法是使用校验和,计算出该文件的校验和值并与上次计算出的值比较。若相等,说明文件没有改变;若不等,则说明文件可能被未察觉的行为改变了。校验和方式可以查错,但不能保护数据。加密校验和:将文件分成小快,对每一块计算CRC校验值,然后再将这些CRC值加起来作为校验和。只要运用恰当的算法,这种完整性控制机制几乎无法攻破。但这种机制运算量大,并且昂贵,只适用于那些完整性要求保护极高的情况。消息完整性编码MIC(Message Integrity Code)使用简单单向散列函数计算消息的摘要,连同信息发送给接收方,接收方重新计算摘要,并进行比较验证信息在传输过程中的完整性。这种散列函数的特点是任何两个不同的输入不可能产生两个相同的输出。因此,一个被修改的文件不可能有同样的散列值。单向散列函数能够在不同的系统中高效实现。防抵赖技术它包括对源和目的地双方的证明,常用方法是数字签名,数字签名采用一定的数据交换协议,使得通信双方能够满足两个条件:接收方能够鉴别发送方所宣称的身份,发送方以后不能否认他发送过数据这一事实。通信的双方采用公钥体制,发方使用收方的公钥和自己的私钥加密的信息,只有收方凭借自己的私钥和发方的公钥解密之后才能读取明文,而对于收方的回执也是同样道理。另外实现防抵赖的途径还有:采用可信第三方的权标、使用时戳、采用一个在线的第三方、数字签名与时戳相结合等。1.1.4数字证书(CA)系统数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据,提供了一种在Internet上验证双方身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-----CA机构,又称为证书授权(Certificate Authority)中心发行的,用户可以在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循ITUT X.509国际标准。在保证网络安全的四大要素方面,即信息传输的保密性、数据交换的完整性、发送信息的不可否认性、用户身份的确定性,
1绪论4采用用数字证书,通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,从而保证信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己的信息不能抵赖。数字证书原理数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名,同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。在公开密钥密码体制中,常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积,加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥(公开密钥),想要推导出解密密钥(私密密钥),在计算上是不可能的。按现在的计算机技术水平,要破解目前采用的1024位RSA密钥,需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题,商户可以公开其公开密钥,而保留其私有密钥。用户可以用人人皆知的公开密钥对发送的信息进行加密,安全地传送给数据接收方,然后由对方用自己的私有密钥进行解密,同时用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。采用数字签名,能够确认以下两点:1.保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;2.保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。1.2 IEEE802.1X概述IEEE802.1X是IEEE为了解决基于端口的接入控制而定义的标准,被称为基于端口的访问控制协议(Port based network access control protocol)。802.1X标准的出现,解决了传统PPPoE(PPP Over Ethernet)和WEB/PORTAL认证带来的问题,为运营商建设可运营、可管理的电信级宽带以太网提供了良好的支持。当802.1X应用于交换式以太网环境时,它要求客户和与其直接相连的设备都支持802JX;而应用于共享式以太网环境时,还应对用户名、密码等关键信息进行加密传输。在运营过程中,运营商的网络设备可以随时要求客户重新进行验证。该协议适用于接入设备与接入端口间点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。主要功能是限制未授权设备(如用户计算机)通过以太网交换机的公共端口非法访问局域网。IEEE802.1X协议将一个以太网的物理端口划分为两个逻辑端
1绪论5口:受控端口(Controlled port)与非受控端口(Uncontrolled port)。非受控端口始终处于可通信状态,用于传输认证信息,受控端口用于传送正常的用户数据,但只有在该端口认证成功时,才能传输用户数据。1.2.1 IEEE802.1X的体系结构IEEE 802.1X的体系结构包括三部分:Supplicant System客户系统Authenticator System认证者系统Authentication Sever System认证服务系统客户系统是802.1X协议的被认证对象,可以是直接接入认证服务网络的单个用户计算机,也可以是连入认证服务网络设备的一个局域网中的某个用户计算机。该计算机通常需要安装一个客户端软件,用户通过启动客户端软件发起请求进行802.1X协议的认证或应答来自认证者系统的要求认证命令。为支持基于端口的接入控制,客户系统必须支持EAPOL(ExtensibleAuthenticationProtocolOverLAN)协议。认证者系统是指“支持IEEE 802.1X协议的网络设备的集合”。更确切地讲,它是在所讨论网域中的边界交换设备上支持802.1X的功能的抽象(非边界交换设备不一定需要支持802.1X的相关功能)。一方面,它寓于与客户系统直接相连的交换设备中,是直接与客户系统进行认证信息交互的设备,在客户眼中它就是认证服务系统〔虚像〕,而后台的认证服务器对客户是不可见的,另一方面,在直接与认证服务器系统相连的边界交换设备中的“认证者系统”又是客户系统请求认证服务的代理,在认证服务器系统的眼中,它就是“客户系统”(虚像)。换言之,在物理位置上分布的“认证者系统”作为整体扮演认证服务的中介的角色,而在客户系统一侧和认证服务器系统一侧又分别扮演“认证服务器代理”和“客户系统代理”的角色。一个支持802.1X协议的设备的端口(物理端口,以其MAC地址或IP地址作为端口的标识)概念上被分为两个逻辑端口:受控端口和非受控端口。非受控端口用于传递EAPOL协议帧,它始终处于双向连通状态以保证客户系统始终能够发出认证请求或接受认证服务信息。受控端口用于传递正常网络数据,非受控端口实质上是IEEE802.1X协议为端口用户建立的逻辑认证通道,该逻辑通道对用户是不可见的,因此,其他用户无法利用该逻辑的认证信息打开该用户的端口。鉴于802.1X本身并未定义具体的认证服务应用协议,而只是定义了与认证信息传输相关的协议,因此,要实现认证服务,还必须借助于其他认证服务应用协议。在本文讨论的802.1X的实现中,利用了RADIUS(Remote Authentication Dial in UserService)服务机制来实现802.1X体系结构中的认证应用系统。从这种意义上讲,一个完整的认证服务器实际上是由两部分组成:支持802.1X的认证服务器端口访问实体和