淺析IEEE 802.1x及其客戶端軟件

【摘要】針對無線局域網(wǎng)有多種認(rèn)證方法可以應(yīng)用,IEEE 802.1x標(biāo)準(zhǔn)就是其中的一種,它是一種基于端口的訪問控制協(xié)議,包括三部分:客戶端、訪問點和認(rèn)證服務(wù)器。本文側(cè)重于客戶端,對現(xiàn)有的IEEE 802.1x的客戶端軟件進(jìn)行了描述、比較和分析。

【關(guān)鍵詞】IEEE 802.1x;客戶端;認(rèn)證

1. IEEE 802.1x

隨著IEEE 802.11無線局域網(wǎng)的迅速發(fā)展,通過應(yīng)用無線通訊技術(shù),公司和個人都獲益匪淺。公司們降低了布線的成本,并且為他們的員工提供了極大的便利。普通用戶通過使用筆記本電腦或者個人數(shù)字助理(PDA),通過無線局域網(wǎng),可以在舒適的環(huán)境中方便的享受各種網(wǎng)絡(luò)服務(wù)。

當(dāng)一個用戶試圖訪問IEEE 802.11網(wǎng)絡(luò)的時候,一個常見的安全特性就是在提供給用戶的設(shè)備任何服務(wù)之前,需要對用戶的無線設(shè)備進(jìn)行認(rèn)證。目前針對無線局域網(wǎng)有多種認(rèn)證方法,本文側(cè)重研究IEEE 802.1x標(biāo)準(zhǔn)。

什么是IEEE 802.1x? 根據(jù)802.1X-2004標(biāo)準(zhǔn),對IEEE 802.1x的描述如下:

它是一種基于端口的網(wǎng)絡(luò)訪問控制,利用IEEE 802局域網(wǎng)架構(gòu)的特性,為具有點對點連接特性的從屬于局域網(wǎng)端口的設(shè)備提供一種認(rèn)證和授權(quán)的方法。如果對設(shè)備的認(rèn)證和授權(quán)失敗,則阻止設(shè)備訪問。這里的端口指的是從屬于局域網(wǎng)架構(gòu)的單個節(jié)點。" 【1】

由此可見,IEEE 802.1x為通過IEEE 802局域網(wǎng)和無線局域網(wǎng)進(jìn)行互聯(lián)的設(shè)備提供了一致的認(rèn)證和授權(quán)機(jī)制。通常來說,IEEE 802.1x包含三個實體【1】: 客戶端、認(rèn)證端、認(rèn)證服務(wù)器。

客戶端是一個實體,通常是某個點對點網(wǎng)絡(luò)的一端,并尋求被鏈路另一端的認(rèn)證端認(rèn)證。有許多名稱經(jīng)常被用來描述這個實體,例如"用戶","客戶端","認(rèn)證點"。在本文中我們用"客戶端"來描述這個實體。

認(rèn)證端是一個實體,位于點對點網(wǎng)絡(luò)的另一端,負(fù)責(zé)對連接到鏈路另一端的實體進(jìn)行認(rèn)證。因此認(rèn)證端控制著客戶端的網(wǎng)絡(luò)訪問。

認(rèn)證服務(wù)器為認(rèn)證端提供認(rèn)證服務(wù),這個服務(wù)決定,在客戶端向認(rèn)證服務(wù)器出示自己的身份以后,是否能夠獲得訪問認(rèn)證端所在系統(tǒng)提供服務(wù)的授權(quán)。因此認(rèn)證服務(wù)器的職責(zé)是做授權(quán)決定,而認(rèn)證端的職責(zé)是執(zhí)行這個決定。

盡管我們主要關(guān)注的是應(yīng)用802.1x到無線局域網(wǎng)領(lǐng)域,從802.1x的定義我們可以看出,802.1x最初的開發(fā)是應(yīng)用到有線局域網(wǎng)和使用點對點協(xié)議的撥號連接,防止一些人將網(wǎng)線接到墻上就可以獲得網(wǎng)絡(luò)連接除非他們獲得授權(quán)。在一個撥號的點對點協(xié)議的情況下,三個實體的關(guān)系如圖1所示。

如圖1所示,客戶端希望通過連接網(wǎng)絡(luò)訪問服務(wù)器訪問網(wǎng)絡(luò),我們首先假定一開始客戶端沒有訪問網(wǎng)絡(luò)的權(quán)限,因此網(wǎng)絡(luò)訪問服務(wù)器(NAS)一開始阻止客戶端訪問網(wǎng)絡(luò)。網(wǎng)絡(luò)訪問服務(wù)器沒有權(quán)利決定是否讓客戶端訪問網(wǎng)絡(luò)。而這個決定基于認(rèn)證數(shù)據(jù)庫中的數(shù)據(jù),由認(rèn)證服務(wù)器決定。因此,網(wǎng)絡(luò)訪問服務(wù)器中的認(rèn)證端在將開關(guān)的狀態(tài)變?yōu)殚]合之前(也就是授予客戶端訪問網(wǎng)絡(luò)的權(quán)限),需要和認(rèn)證服務(wù)器進(jìn)行溝通。只有客戶端被認(rèn)證服務(wù)器成功認(rèn)證之后,網(wǎng)絡(luò)訪問服務(wù)器才閉合開關(guān)允許客戶端訪問網(wǎng)絡(luò)。

當(dāng)應(yīng)用IEEE 802.1x到無線局域網(wǎng)領(lǐng)域,訪問點(AP)取代了網(wǎng)絡(luò)訪問服務(wù)器,無線鏈路取代了物理連接,客戶端和AP之間的無線通訊基于可擴(kuò)展認(rèn)證協(xié)議(EAP)或者更精確說基于局域網(wǎng)的可擴(kuò)展認(rèn)證協(xié)議。在無線局域網(wǎng)中三個實體的關(guān)系如圖2所示。

在圖2中,無線設(shè)備,例如一個PDA或者一個筆記本電腦,是一個想要訪問網(wǎng)絡(luò)的客戶端。為了得到授權(quán),他必須回應(yīng)認(rèn)證端的數(shù)據(jù)請求。注意認(rèn)證端不單單是訪問點,但是他可以是訪問點的一個組成部分。在圖2中,認(rèn)證端包含在訪問點之內(nèi),但是他也可以由其它的設(shè)備來實現(xiàn)。在有線局域網(wǎng)的情況下,一旦認(rèn)證服務(wù)器認(rèn)證了客戶端,認(rèn)證端將允許客戶端訪問網(wǎng)絡(luò),來自被認(rèn)證客戶端的所有數(shù)據(jù)包可以通過(邏輯端口)開關(guān)。

基于可擴(kuò)展認(rèn)證協(xié)議,IEEE 802.1x為無線局域網(wǎng)提供了許多認(rèn)證機(jī)制。其中的一些認(rèn)證機(jī)制如下【2】:

"可擴(kuò)展認(rèn)證協(xié)議-消息摘要5 (EAP-MD5)【3】

"基于證書的方法例如可擴(kuò)展認(rèn)證協(xié)議-傳輸層安全(EAP-TLS)【4】

"可擴(kuò)展認(rèn)證協(xié)議-隧道模式 傳輸層安全(EAP-TTLS)【5】

"輕型可擴(kuò)展認(rèn)證協(xié)議 (LEAP)

"基于智能卡的方法例如可擴(kuò)展認(rèn)證協(xié)議-用戶辨別模式(EAP-SIM)

"基于密碼的方法例如可擴(kuò)展認(rèn)證協(xié)議-一次性密碼(EAP-OTP)

"受保護(hù)的可擴(kuò)展認(rèn)證協(xié)議(PEAP)【6】

2. 什么是客戶端

術(shù)語客戶端是IEEE 802.1x標(biāo)準(zhǔn)中一個基本的概念。一般說來,客戶端是一個尋求被認(rèn)證端認(rèn)證的實體。客戶端可以通過點對點協(xié)議,IEEE 802.3,或者IEEE 802.11鏈路連接到認(rèn)證端。而在實際應(yīng)用當(dāng)中,客戶端是由操作系統(tǒng)廠商或者第三方廠商開發(fā)的軟件,安裝在終端用戶的計算機(jī)上。例如微軟為Windows XP, ME, 甚至更早期的版本提供了客戶端。此外,還有一些802.1x的客戶端軟件,其中一些是商用的,而另外的一些可以免費獲得,其中有一些甚至是開源產(chǎn)品,源代碼是公開的。一些研究網(wǎng)絡(luò)安全技術(shù)的公司已經(jīng)相互合作,建立了OpenSEA聯(lián)盟來開發(fā)開源的802.1x客戶端軟件【7】。接下來我們將描述比較和分析現(xiàn)有的IEEE 802.1x客戶端軟件。

3. 現(xiàn)有的IEEE 802.1x客戶端軟件

"思科安全服務(wù)客戶端

思科安全服務(wù)客戶端(前身是Meetinghouse數(shù)據(jù)通信公司出品的AEGIS SecureConnect【8】)為訪問有線和無線網(wǎng)絡(luò)提供了802.1x的客戶端認(rèn)證。它支持多種操作系統(tǒng),包括:Windows,Linux, 和MacOS。它也支持多種EAP認(rèn)證方法包括MD5, TLS, TTLS和LEAP。除此之外,做為思科聯(lián)合無線網(wǎng)絡(luò)的一部分,安全服務(wù)客戶端具備以下優(yōu)點【9】:

(1)簡化了有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的管理

(2)改善了網(wǎng)絡(luò)安全

(3)降低了網(wǎng)絡(luò)運營的總成本

"Juniper Network Odyssey訪問客戶端

Funk軟件的兩個著名產(chǎn)品是Odyssey訪問客戶端和Steel-Belted Radius【10】。Odessey訪問客戶端是一個適用于有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)的802.1x 客戶端。Steel-Belted Radius是一個認(rèn)證服務(wù)器【11】。但是Funk軟件被Juniper網(wǎng)絡(luò)收購了, Juniper網(wǎng)絡(luò)的Odessey訪問客戶端是一個企業(yè)級的802.1x 客戶端,并且很好的支持無線局域網(wǎng)的安全協(xié)議【12】。它可以應(yīng)用與Windows 98/ME/2000/XP, 并且它支持MD5和LEAP EAP認(rèn)證方法。Juniper具有以下優(yōu)點【13】:

(1)它是一個安全的802.1x客戶端可用于企業(yè)和政府機(jī)構(gòu)等。

(2)它使用WPA2協(xié)議來保護(hù)無線鏈路上用戶的身份和網(wǎng)絡(luò)數(shù)據(jù)。

(3)它降低了企業(yè)的成本。

"微軟802.1x客戶端

微軟Windows 2000,Windows XP, and Windows Server 2003家族為IEEE 802.1x 客戶端提供了嵌入的支持。微軟的客戶端支持MD5和TLS EAP認(rèn)證方法。

以上介紹了最流行的商用的802.1x 客戶端軟件。下面介紹一些開源的和免費的客戶端軟件。主要有三種開源的軟件:XSupplicant【13】, wpa_supplicant【14】, 和Wire1x【15】. XSupplicant和wpa_supplicant主要使用在像Unix,Linux這樣的操作系統(tǒng)上。而Wire1x是為各種各樣的Windows平臺而設(shè)計的。關(guān)于這三種客戶端軟件的詳細(xì)介紹如下:

"XSupplicant

XSupplicant是Open1X 項目的產(chǎn)物。Open1X 項目的目標(biāo)是開發(fā)IEEE 802.1x協(xié)議的開源實現(xiàn),項目側(cè)重于客戶端和認(rèn)證端的開發(fā)。XSupplicant是一個802.1x的實現(xiàn)可以用于有線局域網(wǎng)和無線局域網(wǎng)。XSupplicant使用了模塊式架構(gòu),這樣新的認(rèn)證方法可以很容易的被添加。而且新的安全機(jī)制可以被集成到原有的系統(tǒng)中。最新版本的XSupplicant支持Linux/BSD和蘋果計算機(jī)的Mac OS, 并且擁有圖形用戶界面。

XSupplicant支持以下EAP認(rèn)證方法:EAP-MD5, LEAP, EAP-MSCHAPv2,EAP-AKA,EAP-SIM,EAP-TLS,EAP-TTLS, EAP-OTP, EAP-PEAP (v0和v1)。

基于存在的XSupplicant,六個網(wǎng)絡(luò)和安全技術(shù)公司(Extreme Networks, Identity Engines, Infoblox, Symantec Corporation, TippingPoint, and Trapeze Networks) 建立了一個名為OpenSEA聯(lián)盟的組織用來從事開源802.1x客戶端的開發(fā)。這個聯(lián)盟的目標(biāo)是開發(fā)一個開源的802.1x客戶端,不僅具備XSupplicant的優(yōu)點,而且拓展了它的功能支持其它平臺。

"Wpa_supplicant

Wpa_supplicant是一個免費的IEEE 802.1x客戶端軟件,支持多種操作系統(tǒng),包括:Linux,BSD, 蘋果計算機(jī)的Mac OS, 以及微軟的Windows操作系統(tǒng)。它同時支持(無線受保護(hù)訪問)WPA和WPA2(IEEE 802.11i / RSN)。Wpa_supplicant被設(shè)計成在后臺運行來控制無線連接。同時擁有圖形用戶界面和命令行界面來監(jiān)聽運行的客戶端。通過這些用戶界面,用戶可以看到所有可得到的網(wǎng)絡(luò)。Wpa_supplicant支持以下的WPA/IEEE 802.11i 特性:

"WPA 和全部的 IEEE 802.11i/RSN/WPA2

"WPA 和EAP (例如RADIUS認(rèn)證服務(wù)器)

"CCMP, TKIP, WEP的密鑰管理

"WPA-PSK 和WPA2-PSK (預(yù)先共享密鑰)

Wpa_supplicant也支持很多EAP認(rèn)證方法,包括EAP-AKA, EAP-SIM, EAP-PSK, EAP-FAST, EAP-PAX, EAP-SAKE, EAP-IKEv2,EAP-TLS, EAP-TTLS, EAP-PEAP(PEAPv0和PEAPv1),LEAP(需要特殊的驅(qū)動支持)。

"WIRE1X

WIRE1X是另一個開源實現(xiàn)的IEEE 802.1x客戶端軟件,由臺灣國立清華大學(xué)無線網(wǎng)絡(luò)研究及工程實驗室開發(fā)。盡管WIRE1X的實現(xiàn)基于Open1x,這個客戶端是設(shè)計用來在不同的微軟Windows操作系統(tǒng)下運行。和微軟自帶的IEEE 802.1x 客戶端軟件相比,用戶可以更加方便安全的訪問網(wǎng)絡(luò)。目前,WIRE1X支持Windows Vista,Windows XP, Windows 2000, Windows ME, and Windows 98,支持的EAP認(rèn)證方法包括AKA, MD5, SIM, TLS, TTLS, PEAP, MSCHAPv2。

和微軟的客戶端軟件相比,WIRE1X支持更多的EAP認(rèn)證方法。此外,WIRE1X的用戶界面友好,使用方便,用戶可以很容易地完成安裝和配置。因此,WIRE1X比微軟的客戶端軟件更加實用,應(yīng)用的更加廣泛。

4. 結(jié)論

本文對IEEE 802.1x標(biāo)準(zhǔn)進(jìn)行了詳細(xì)的介紹,側(cè)重于客戶端部分,闡釋了客戶端的定義和作用,對現(xiàn)有的客戶端軟件進(jìn)行了比較和分析。對于一般用戶來說,開源免費的客戶端軟件無疑是一個不錯的選擇,用戶可根據(jù)自己的使用習(xí)慣選擇不同的客戶端軟件。

【參考文獻(xiàn)】

[1] IEEE, "IEEE Standards for Local and Metropolitan Area Networks: Standard for

Port Based Network Access Control", IEEE Std 802.1x-2004, October 2004, available at: http://standards.ieee.org/getieee802/download/802.1X-2004.pdf.

[2] 王裕平, 劉義文, 陳志成. "WIRE1x的設(shè)計與實現(xiàn)", 臺灣國立清華大學(xué),availableat:wire.cs.nthu.edu.tw/wire1x/TANET03.pdf.

[3] W. Simpson, "PPP Challenge Handshake Authentication Protocol (CHAP)", RFC 1994, August 1996, available at:http://www.ietf.org/rfc/rfc1994.txt?number=1994.

[4] B. Aboba and D. Simon, "PPP EAP TLS Authentication Protocol", RFC 2716, October 1999, available at: http://www.ietf.org/rfc/rfc2716.txt?number=2716.

[5] Paul Funk, "EAP Tunneled TLS Authentication Protocol (EAP-TTLS)", March2002, available at: http://www.ietf.org/proceedings/02mar/slides/eap-1/.

[6] H. Andersson, S. Josefsson, G. Zorn, and B. Aboba, "Protected Extensible Authentication Protocol (PEAP)", Internet Draft, October 2001, available at: http://ietfreport.isoc.org/all-ids/draft-josefsson-pppext-eap-tls-eap-01.txt.

[7] OpenSEA Alliance Formed by Leading Vendors to Develop and Distribute Open Source 802.1X Supplicant, available at: http://www.openseaalliance.org/index.php?option=com_content&task=view&id=6&Itemid=40.

[8] AEGIS (network), available at: http://en.wikipedia.org/wiki/AEGIS_(network).

[9] Cisco Systems Completes Acquisition of Meetinghouse Data Communications,availableat: http://newsroom.cisco.com/dlls/2006/corp_081606.html.

[10] Juniper Networks Odyssey Access Client, available at: http://www.juniper.net/products_and_serices/aaa_and_802_1x/odyssey/odyssey_access_client/index.html.

[11] Sean Michael Kerner, "Network Access Heats Up With 802.1x Funk", July 2006, available at: http://www.internetnews.com/security/article.php/3620336.

[12] Juniper Networks Completes Acquisition of Funk Software, available at: http://www.juniper.net/company/presscenter/pr/2005/pr-051201.html.

[13] IEEE 802.1x Open Source Implementation, available at: http://open1x.sourceforge.net/.

[14] Linux WPA/WPA2/IEEE 802.1X Supplicant, available at: http://hostap.epitest.fi/wpa_supplicant/.

[15] Wire1x, available at: http://wire.cs.nthu.edu.tw/wire1x/.

作者簡介:

張恒翀(1981.10--),男,山東煙臺,瑞典皇家理工大學(xué) 信息與通信技術(shù)學(xué)院,已獲理學(xué)碩士(網(wǎng)絡(luò)工程專業(yè))在讀媒體管理碩士研究生,研究方向: 信息技術(shù)