基于802.1x/EAP的WLAN安全認證機制

摘 要： 目前飛機與地面機場之間WLAN的應用部署日益廣泛，但對其安全接入通信卻沒有提過較為合理的設計和規劃，由WLAN引起的安全漏洞給飛機與地面之間信息傳遞帶來很大的隱患。主要介紹EAP認證方法以及基于802.1x/EAP無線局域網的安全認證機制。

關鍵詞： WLAN； 802.1x協議； EAP認證方法； 安全認證

中圖分類號： TN915.08?34 文獻標識碼： A 文章編號： 1004?373X（2013）19?0088?03

0 引 言

在國內的企業、商業領域，WLAN（Wireless Local Area Network，無線局域網）的應用越來越廣泛。WLAN的應用將成為現代網絡發展的主要趨勢。在美國，WLAN的市場需求在過去的一年中迅猛增長，即使比較偏遠的縣級城市已經被超級WiFi所覆蓋。WLAN在全球幾乎都已家喻戶曉，老百姓、企業以及政府都對WLAN的產品及應用極力嘗試使用。

WLAN之所以受到歡迎是由于非常易于安裝，靈活使用，不需要線纜，可以安裝在很多有線網絡不適合安裝的地方，況且WLAN也不需要長期的高額維護費用。

WLAN雖然有很多優點，但是對于一些網絡規模大，應用復雜，安全性需求較高的網絡建設領域，WLAN的應用要受到一定的限制。如果WLAN的認證、傳輸加密等安全性能夠得到很好的解決，那么這一技術在很多領域都將得到廣泛的應用。本文重點就基于EAP/802.1x的無線網絡安全認證機制方面進行討論。

1 IEEE 802.1x協議

IEEE 802.1x協議是基于Client/Server模式的認證和訪問控制協議。可以對未經授權接入的客戶端掃描周邊可用的接入點AP進行連接請求的限制，客戶端在獲得接入網絡之前，IEEE 802.1x將認證試圖接入網絡的Client相關信息。認證成功之前，除了認證信息數據通信外不允許任何其他信息通信。認證成功之后，交換機端口將被打開，客戶端發送的信息通過已打開的交換機端口進入到網絡。

IEEE 802.1x協議認證體系結構由客戶端系統、認證系統以及認證服務器系統3部分構成。IEEE 802.1x體系結構如圖1所示。

客戶端PAE通過基于局域網的擴展認證協議EAPOL接入到LAN，并要求認證系統提供相關的服務設備。WLAN通信中客戶端一般指筆記本電腦。

認證系統通過網絡訪問端口提供給客戶端系統請求的服務設備，該服務設備有兩個邏輯端口，一個是非受控端，另一個是受控端。認證成功后非受控端才會處于打開狀態，用來進行消息通信；受控端也稱作授權端口，始終是打開狀態，客戶端系統隨時可以發送或接收認證信息。WLAN通信中常用的接入設備為AP。

認證服務器是整個IEEE 802.1x認證體系結構的核心部分，主要負責完成對客戶端信息的認證。LAN通信中認證服務器一般是指RADIUS服務器。

2 EAP協議和認證方法

EAP（Extensible Authentication Protocol，可擴展認證協議）是通過使用遠程用戶撥號認證系統服務器（RADIUS）實現Client和認證服務器相互驗證。

EAP報文包的格式見表1。

（1）Code：占 8位，用于表示EAP報文包的類型。Code二進制碼為00000001代表請求，二進制碼為00000010代表應答，二進制碼為00000011代表成功，二進制碼為00000100代表失敗；

（2）ID：占8位，用于表示請求報文和應答報文是否匹配；

（3）Length：占16位，用于表示EAP報文包的長度，包括Code部分、Identifie部分、Length部分和Data部分的全部長度；超出Code、Identifie、Length和Data全部長度的部分作為鏈路層的填充部分，接收端應忽略超出的部分；

（4）Data：占0位或[n]位，其格式由Code確定，成功和失敗類型的報文包不包含Code部分，相應Length值為4；請求和響應類型的報文包格式由所選的EAP認證類型決定。

WLAN接入的安全性保障是非常必要的，EAP認證方法的選擇也是非常重要的，最常使用的EAP認證方法有EAP?MD5（Message?Digest 5）、EAP?TLS （Transport Level Security）、輕量級的擴展認證協議（LEAP）和EAP?TTLS （Tunneled TLS）四種。

EAP?MD5（消息摘要）是一種非常簡單的EAP認證方法，它只支持無線客戶端與網絡單方向認證，并不是一個可靠的認證方法。EAP?MD5認證流程如圖2所示。

EAP?TLS（傳輸層安全）是一種基于證書、提供相互認證和密鑰交換的驗證，是非常安全的認證方法。它可以動態生成基于用戶和會話的WEP密鑰來保障Client與AP之間的正常通信。但是該類型認證需要Client和RADIUS雙方的管理證書，對于較大的無線網絡安裝，任務是比較繁重的。EAP?TLS認證流程圖如圖3所示。

EAP?TTLS（隧道傳輸層安全）是由Funk Software and Certicom開發的，作為EAP?TLS的擴展。EAP?TTLS通過建立一個安全的 “隧道”為Client與RADIUS之間提供基于證書的相互認證。與EAP?TLS不同的是EAP?TTLS僅需要服務器方面的證書。EAP?TTLS認證流程如圖4所示。

EAP?PEAP（保護的擴展認證協議）支持802.11無線網絡提供一種安全傳輸認證數據的方法。PEAP和TTLS類似也是提供了安全“隧道”來實現Client和RADIUS之間的通信。PEAP只需使用RADIUS一邊的證書來認證Client，使安全無線網絡的執行和管理得到了簡化了。EAP?PEAP認證流程如圖5所示。

3 基于802.1x/EAP認證機制

一個無線網絡安全方案重點是提供集中認證和動態密鑰分配。并且是基于IEEE 802.11i點到點結構，使用IEEE 802.1x和EAP提供這一增強功能。圖6描述了EAP認證過程。

無線客戶端掃描周邊可用的AP，嘗試請求與AP進行連接。交換機在收到請求認證的數據幀后，將發出EAP?Request請求幀要求客戶端提供網絡登錄證書（用戶ID和密碼，用戶ID和一次性密碼（OTP），或數字證書）。客戶端接收到請求幀后將包含網絡證書的幀發送給交換機，交換機收到數據幀后將它封裝處理生成報文發送給RADIUS服務器進行處理。使用IEEE 802.1x和EAP，無線客戶端和RADIUS服務器通過AP實現兩個階段的相互認證。在EAP認證的第一階段，RADIUS服務器驗證客戶端證書。在第二階段，通過客戶端驗證RADIUS服務器證書完成相互驗證。

EAP兩個階段相互認證成功之后，將會產生一個特殊密鑰，Client加載該密鑰并使用該密鑰進行登錄。RADIUS服務器通過有線LAN將這個密鑰（稱為會話密鑰）發送到AP，AP通過這個會話密鑰加密廣播密鑰，并將這一加密的密鑰發送至客戶端，客戶端使用會話密鑰對其解密。如果會話時間超出，EAP會定義集中策略控制并觸發重新認證和生成新的密鑰。 會話密鑰和廣播密鑰都會在固定的時間間隔內被改變。EAP認證末端的RADIUS服務器為AP指定會話密鑰超時時間，且廣播密鑰循環時間可以在AP上進行設置。

4 結 論

隨著無線網絡的迅速發展，IEEE 802.1x安全認證技術也得到了普遍使用。EAP認證方式支持更多、更廣泛、更靈活的認證機制。WLAN的高安全性更易于管理，采用最新的安全技術，支持先進的EAP認證方法，是提高WLAN安全性接入的有效措施。對WLAN安全性技術和機制進行分析研究，有助于提高有特定需求的場所無線網絡數據傳輸的安全性。不斷的學習和研究新的WLAN安全認證技術，以此推動WLAN技術在飛機上的應用和發展，促進飛機與地面機場之間網絡的安全、健康發展。

參考文獻

[1] 倪源，彭志威，王育民.增強的無線局域網安全技術分析[DB/OL]. [[2004?01?09].]http：//www.baidu.com/link？url=whPZyYypFaQSE?8Xna0F2mZHrOqVPk.

[2] 胡寧.什么是802.1協議[DB/OL]. [2009?01?05]. http：//blog.sina.com.cn/s/blog_5da8a53d0100bpok.html.

[3] 史創明.WLAN安全技術方案分析[J].電腦知識與技術，2005（10）：23?25.

[4] 高淑玲.WLAN安全方案探析[J].安陽工學院學報，2005（6）：64?66.

[5] 蒲芳，郭放.基于802.1x認證的寬帶接入系統的設計與實現[J].微型電腦應用，2004，20（7）：28?31

[6] 向宏，冉令平，周賢林.基于狀態檢測的無線網絡安全模型研究與應用[J].軟件導刊，2006（11）：30?32.

[7] 陳曉峰.802.1x/PEAP認證方法的研究和分析[J].赤峰學院學報，2012，28（7）：20?22.

[8] 張東黎.無線網絡完全與認證[J].網絡安全技術與應用，2005（4）：60?62.

[9] 郭軍.基于OTP技術的EAP認證方案的研究與設計[J/OL].[2009?03?01].http：//www.doc88.com/p?98677867901.html.

[10] 李曉光.WLAN接入點設備的研究與實現[D].南京：南京郵電學院，2005.