802.1x/EAP-PEAP認證方法的研究與應用

牛曉妍

（長治醫(yī)學院 計算機中心，山西 長治 046000）

802.1x/EAP-PEAP認證方法的研究與應用

牛曉妍

（長治醫(yī)學院 計算機中心，山西 長治 046000）

安全問題是影響無線網(wǎng)絡發(fā)展的一個重要因素。IEEE802.1x協(xié)議的主要目的是解決無線局域網(wǎng)用戶的接入認證問題。文章主要討論了802.1x協(xié)議、EAP協(xié)議、PEAP協(xié)議。最后采用目前流行的一些免費軟件，如MySQL，OpenSSL，F(xiàn)reeRadius等構建了一個簡單、實效、可靠的基于802.1x/EAP-PEAP認證方案。

無線局域網(wǎng)；802.1x；EAP；PEAP；認證

1 引言

隨著信息技術的飛速發(fā)展，人們對網(wǎng)絡通信的需求不斷提高。近年來，無線網(wǎng)絡逐漸成為一種較為普遍的網(wǎng)絡訪問方式，但是將無線網(wǎng)絡接入傳統(tǒng)的Internet中存在很多安全隱患。2001年6月，IEEE802LAN/WAN委員會通過了基于端口訪問控制的接入管理協(xié)議標準IEEE802.1x。它能夠在利用IEEE802LAN的優(yōu)勢基礎上提供一種對連接到局域網(wǎng)設備或用戶進行認證和授權的手段。

2 802.1x體系簡介

IEEE802.1x的體系結構中包括三個部分：Supplicant System，申請者；Authenticator System，認證者系統(tǒng)AP；Authentication Server System，認證服務器。三者之間的關系及相互通信如圖1所示。

Supplicant System-Client（客戶端）是指LAN所連接的實體，它向認證系統(tǒng)發(fā)起請求，對其身份的合法性進行檢驗。

Authenticator System--Switch（邊緣交換機或無線接入設備）是指在LAN連接的一端用于認證另一端設備的實體，它在申請者和認證服務器之間充當代理（proxy）角色。

圖1 IEEE802.1x三部分相互關系

Authentication Server System，為認證系統(tǒng)提供認證服務的實體。這里認證服務器所提供的服務指通過驗證客戶端發(fā)送來的身份標識，判斷這個申請者是否有權使用認證系統(tǒng)提供的網(wǎng)絡服務。這個設備代表認證者負責真正的認證和授權。它以數(shù)據(jù)庫形式包含網(wǎng)絡上所有用戶的簡要信息。能夠用這個信息去認證和授權連接認證者端口上的用戶。

3 EAP協(xié)議簡介

使用可擴展的身份驗證協(xié)議EAP即Extensible Authentication Protocol，定義了802.1x協(xié)議中三個主要實體間的通信機制。EAP支持多種認證協(xié)議以保證認證過程中的信息安全，常用的有EAP-MD5、EAP-TLS、EAP-PEAP等。EAP-MD5是一種基于口令的身份認證，支持客戶端到服務器之間的單向認證；EAP-TLS是基于數(shù)字證書的身份認證，支持雙向認證，但需要PKI系統(tǒng)的支持，安全性高，部署成本也很高；EAP-PEAP相對安全，部署方便，使用比較廣泛。

4 PEAP協(xié)議簡介

EAP家族新成員Protected EAP（受保護的可擴展的身份驗證協(xié)議PEAP），使用傳輸級別安全性協(xié)議TLS在正在驗證的PEAP客戶端（如：無線計算機）和PEAP身份驗證器（如：遠程驗證撥號用戶服務RADIUS服務器）之間建立加密通道，并且提供EAP客戶端和身份驗證器之間的EAP身份驗證。PEAP部署只需要安裝服務器端證書，不需要安裝客戶端證書。

5 基于802.1x/EAP-PEAP的應用方案

該方案采用Red Hat Linux9.0操作系統(tǒng)作為服務器平臺，信息存儲采用免費數(shù)據(jù)庫MySQL 5.1.31，證書使用OpenSSL 1.0.0，RADlUS服務器采用最新版本免費軟件FreeRadius 2.1.11。

具體設計過程如下。

5.1 安裝服務器環(huán)境

5.1.1 安裝openssl

Openssl給客戶端和服務器提供安全連接。如果沒有安裝openssl，那么radius無法運行。從www.openssl.org網(wǎng)站上下載并進行安裝。

參考命令如下：

5.1.2 安裝mysql數(shù)據(jù)庫

從www.mysql.org網(wǎng)站上下載并進行安裝mysql數(shù)據(jù)庫。安裝結束后創(chuàng)建radius數(shù)據(jù)庫，并且修改root密碼以及允許遠程機器用root用戶連接mysql數(shù)據(jù)庫。

安裝mysql數(shù)據(jù)庫需要下面兩個文件：

5.1.3 安裝freeradius

從www.freeradius.org網(wǎng)站下載最新版本的freeradius2.1.11進行安裝。

參考命令如下:

5.2 配置服務器環(huán)境（#為注釋語句）

5.2.1 配置mysql數(shù)據(jù)庫

#創(chuàng)建radius數(shù)據(jù)庫

mysql＞create database radius;

#打開mysql數(shù)據(jù)庫

mysql＞usemysqld;

#設置mysql數(shù)據(jù)庫的root密碼

mysql-u root-p

#在mysql中建立radius數(shù)據(jù)庫

mysql＞upoate laser set password=aassword（'密碼'）where user'root';

#允許遠程機器用root用戶連接mysql數(shù)據(jù)庫

mysql＞updateuser sethost='%'where user='root'；

#在radius數(shù)據(jù)庫中建立用戶信息

運行：

#插入一條做測試的用戶記錄

在radcheck表中，運行：

執(zhí)行完上述命令后，退出mysql數(shù)據(jù)庫，并重新啟動mysql數(shù)據(jù)庫。

5.2.2 配置freeradius

配置freeradius是本方案最重要的部分，freeradius的配置文件存放在/user/local/etc/raddb目錄下，具體操作內容如下所示：

（1）編輯clients.conf文件，添加無線AP的信息

（2）編輯sql.conf文件，使radius可以訪問mysql

（3）編輯eap.conf文件，把openssl生成的數(shù)字證書導入radius服務器

6 總結

IEEE802.1x認證需要網(wǎng)絡服務系統(tǒng)和網(wǎng)絡之間的會話，這一會話使用IETF的EAP認證協(xié)議，而PEAP協(xié)議作為擴展EAP協(xié)議，為EAP驗證協(xié)議提供額外的安全性，例如EAP-MSCHAPv2協(xié)議，該協(xié)議可以通過PEAP提供的TLS加密通道得以實現(xiàn)，從而為無線局域網(wǎng)提供更高的安全性。

［1］IEEE Standard 802.1x-2001,standard of portbased network access control［S］.

［2］袁建國等.802.1X/EAP-PEAP的研究與應用［J］.計算機工程與設計，2006，（10）：1819-1820.

［3］賈立波等.802.1X/PEAP認證方法的研究與應用［J］.網(wǎng)絡安全技術與應用，2009，（5）：80、81、85.

［4］龔發(fā)根等.基于活動目錄的802.1X/EAP-PEAP的應用研究［J］.計算機技術與發(fā)展，2011，（1）：154-157.

［5］羅漢云等.802.1X認證技術分析［J］.安慶師范學院學報，2009，（1）：52-54.

［6］陳群等.無線局域網(wǎng)安全認證的 EAP 策略［J］.計算機技術與發(fā)展，2008，（9）：123-126.

Research and App lication of 802.1x/EAP-PEAP Authentication M ethod

NIU Xiao-yan
（Computer Center，ChangzhiMedical College，Changzhi Shanxi 046000）

Nowadays，WLAN is applied more and morewidely，and its security becomes an very important factor determining its future.IEEE802.1x protocol is designed for resolving the access authentication of thewireless lan.Then this papermainly discusses the 802.1x protocol，EAP protocol，PEAP protocol.Finally，itbuilts an application scheme of implementing 802.1x/EAP-PEAP with popular and free software，including MySQL，OpenSSL，F(xiàn)reeRadius etc.This application scheme is simple ，reliable and effective.

WLAN；802.1x；EAP；PEAP；authentication

TN926+.1

A

1673-2014（2011）05-0039-03

2011—05—15

牛曉妍（1977— ），女，山西長治人，碩士，講師，主要從事計算機網(wǎng)絡的教學與研究。

（責任編輯 單麥琴）