基于802.1x協議的銀行信息安全認證系統的設計

摘 要 本文提出并進行基于802.1x協議的銀行信息安全認證系統的設計，旨在通過分析802.1x協議及其關鍵技術，針對其在具體的銀行領域內的應用，分析并對其的設計。

關鍵詞:802.1X協議 銀行信息安全

中圖分類號:TP393文獻標識碼:A

一、引言

目前對于銀行信息安全局域網絡一般來說，要求用戶接入局域網就可以訪問網絡上的設備或資源。但是已有的一些簡單認證或者沒有認證系統網絡從運營和控制管理的角度可看出這種模式存在用戶管理安全性問題。802.1x 是一種基于端口的認證協議，是一種對用戶進行認證的方法和策略。端口可以是一個物理端口，也可以是一個邏輯端口(如 VLAN)。對于一個端口，如果認證成功那么就“打開”這個端口，允許所有的報文通過;如果認證不成功就使這個端口保持“關閉”，即只允許802.1x 的認證協議報文通過。從而可以有效的防止不合法用戶的接入。這樣銀行信息安全就能夠得到極大地保護。

二、802.1x協議的端口控制原理

認證者對應于不同用戶的端口(可以是物理端口，也可以是用戶設備的MAC地址、VLAN、IP等)有兩個邏輯端口:控制端口和非控制端口。非控制端口始終處于雙向連通的狀態，不管是否處于授權狀態都允許申請者一和局域網中的其他機器進行數據交換，主要用來傳遞EAPOL協議幀，可保證隨時接受客戶端發出的認證EAPOL報文;控制端口只有在認證通過的狀態下才打開，用于傳遞網絡資源和服務，控制端口可配置為雙向受控和僅輸入受控兩種方式，以適應不同的應用環境。

值得注意的是，在IEEE 802. lx協議中的控制端口和非控制端口是邏輯上的理解，設備內部并不存在這樣的物理開關。對每個用戶而言，IEEE 802.1x協議均為其建立一條邏輯的認證通道，該邏輯通道其他用戶無法使用，不存在端口打開后被其他用戶利用的問題。這里所說的端口是一個邏輯上的廣義端口的概念的統稱，并非單指物理端口，應該包含有物理端口、MAC， VLAN， IP等識別用戶或用戶群的標識。

邏輯端口有三種控制狀態，端口的控制狀態決定了客戶端是否能接入網絡:強開狀態，端口一直維持授權狀態;強關狀態，端口一直維持未授權狀態:自動狀態，表明激活802. lx。初始化端口為未授權狀態，并通知設備管理模塊需要進行端口認證(缺省值)，后續討論都默認為該狀態。

當客戶機嘗試連接至AP時。控制端口被強制進入非授權狀態，在該狀態下，除了802. 1x報文外不允許任何業務輸入、輸出。當客戶通過認證后，端口狀態切換到授權狀態，允許客戶端通過端口進行正常通信，可以進行如DHCP， HTTP， FTP， SMTP， POP3等協議數據的傳輸。可見，802.1 x的認證過程就是控制系統的802. Ix邏輯端口認證狀態的過程。圖1是對802. 1 x協議體系結構的描述。

三、基于802.1x協議的銀行信息安全認證系統的設計

(一)基于802.1X的認證系統的業務流程的設計。

本文采用EAP 中繼轉發認證模式，它采用的是EAP-MD5 方法。EAP-MD5 即擴展驗證(Extensible Authentication Protocol)協議即所謂的 EAP中繼認證方式。這種認證方法的好處是質詢和計算過程交由服務器完成，從一定程度上減 輕了設備的負擔。

以設備端 PAE 對 EAP 報文進行中繼轉發為例，IEEE 802.1X 認證系統的基本業務流程如圖2所示。

1、客戶端向接入設備發送一個 EAPOL-Start 報文，開始 802.1x 認證接入;

2、接入設備向客戶端發送 EAP-Request/Identity 報文，要求客戶端將用戶名送上來;

3、客戶端回應一個 EAP-Response/Identity 給接入設備的請求，其中包括用戶名;

4、接入設備將 EAP-Response/Identity 報文封裝到 RADIUS Access-Request 報文中，發送給認證服務器;

5、認證服務器產生一個 Challenge，通過接入設備將 RADIUS Access-Challenge報文發送給客戶端，其中包含有 EAP-Request/MD5-Challenge;

6、接入設備通過 EAP-Request/MD5-Challenge 發送給客戶端，要求客戶端進行認證;

7、客戶端收到 EAP-Request/MD5-Challenge 報文后，將密碼和 Challenge 做 MD5算法后的 Challenged-Pass-word，在 EAP-Response/MD5-Challenge 回應給接入設備;

8、接入設備將 Challenge，Challenged Password 和用戶名一起送到 RADIUS 服務器，由 RADIUS 服務器進行認證;

9、 RADIUS 服務器根據用戶信息，做 MD5 算法，判斷用戶是否合法，然后回應認證成功/失敗報文到接入設備。如果成功，攜帶協商參數，以及用戶的相關業務屬性給用戶授權。如果認證失敗，則流程到此結束;

10、如果認證通過，用戶通過標準的 DHCP 協議 (可以是 DHCP Relay) ，通過接入設備獲取規劃的 IP 地址;

11、如果認證通過，接入設備發起計費開始請求給 RADIUS 用戶認證服務器;

12、RADIUS 用戶認證服務器回應計費開始請求報文。用戶上線完畢。

這種方式是 IEEE 802.1X 標準規定的，將擴展認證協議(EAP)承載在其他高層協議中，如 EAP over Radius，以便擴展認證協議報文穿越復雜的網絡到達認證服務器 。EAP 中繼方式需要 RADIUS 服務器支持 EAP 屬性:EAP_Message(79)和Message_Authenticator(80)。如華為 3com 公司的 CAMS 或者 Free RADIUS 組織的自由軟件等。

(二) 基于802.1X 的認證系統客戶端設計。

系統的總體結構如圖3 所示，由以下幾個模塊組成:

1、IEEE802.1X 服務器:包括兩部分:支持 IEEE802.1X 協議的網絡設備和RADIUS 服務器，用于對上網用戶的訪問進行認證控制。

2、LDAP 服務器:將合法用戶的基本信息，如用戶名、密碼等存儲在 LDAP 服務器中，對用戶的身份認證從 RADIUS 服務器中分離出來，單獨到 LDAP 服務器去進行認證。

3、IEEE 802.1X 客戶端:注冊用戶通過 IEEE8 02.1X 客戶端連接到網絡上。

4、Web 管理服務器:注冊用戶可以通過 Web 方式對自己的上網記錄進行查詢。管理員通過 Web 管理服務器對注冊用戶的上網情況進行統計和管理。

(三) 基于802.1X 的認證系統端口控制模塊設計。

認證系統即Authenticator，內部有受控端口(Controlled Port)和非受控端口(Uncontrolled Port)。非受控端口始終處于雙向連通狀態，主要用來傳遞EAP協議包，可保證Supplicant始終可以發出或接受認識.受控端口可配置為雙向受控、輸人受控兩種方式，以適應不同的應用環境。比如，當需要實現網絡喚醒時，就不能使用雙向受控。

不過，單向受控也要考慮到由此可能產生的安全間題。受控 端 口 也可以通過網管配置為“強制授權”或者“強制非授權”，在這種情況下就不需要認證過程。IEEE 802.1X支持受控端口授權狀態的老化功能，在任何時候重新進行認證，即可以請求Supplicant而在重認證過程中受控端口可以繼續保持“已授權”狀態，除非重認證失敗。重認證請求由Authenticator:發出。

四、 結論

本文詳細介紹了本系統的業務流程設計，提出了多種認證模式的比較。著重介紹了基于 802.1x 協議的網絡體系結構，進行了系統模塊的詳細設計，著重描述了 802.1x 的認證設計，并通過對系統存在的安全隱患的描述，提出了系統的安全性設計的重要性及可操作性。

(作者:上海交通大學 信息安全工程學院)

參考文獻:

[1]周賢偉， 白浩瀚， 覃伯平.基于密鑰服務器的IEEE802.11i密鑰更新方案.計算機工程與應用，2007，43(1).

[2] 李興國， 蔣玉明.基于802.1X的可管理、可運營寬帶校園網技術研究.計算機科學，2006，33(B12).

[3] 宋軍， 金艷華， 李嫄源， 李霖.IEEE802.11無線局域網MAC機制性能比較.計算機科學，2009，36(8).