基于802.1x的信息網絡接入控制安全認證系統設計

陳金明，曾煒

?

基于802.1x的信息網絡接入控制安全認證系統設計

陳金明，曾煒

摘 要：介紹了一種基于802.1x協議的信息網絡接入控制安全認證系統，首先重點論證了認證系統及組成的總體設計，其次指出了該系統的關鍵技術，最后總結了該系統對信息網絡接入控制和安全認證的一些優點。

關鍵詞：802.1x協議 信息網絡 接入控制 安全認證

0 引言

隨著信息網絡的不斷延伸和不同種類終端的接入，對終端和用戶的合法、有效性認證成為迫在眉睫的工作。當前，我國各級信息網絡接入控制及安全認證還是各自為政，沒有統一的標準，很多單位還沒有采取接入控制及認證措施，信息網絡的接入還存在很大的安全隱患，應該引起我們高度的重視。本文所介紹的安全認證系統能完成對入網計算機終端、上網人員的認證，能阻止非授權計算機終端、非授權用戶訪問信息網絡的資源，從而實現對信息網絡的入網進行有效管理。

1 認證系統設計

為保障信息網絡的互聯互通和安全可靠，在不改變其網絡結構的基礎上，按照802.1x體系結構，對信息網絡的接入控制安全認證系統進行了總體設計。

1.1 認證系統總體結構

認證系統硬件實體主要由認證服務器、認證設備、認證客戶端3部分組成。認證系統采用基于802.1x協議和Radius協議實現對服務器、認證設備和客戶端3方的協調控制。對于客戶端來說，認證設備是控制訪問網絡的接入設備。而對于服務器來說，認證設備是請求入網和下線的客戶端代理。在客戶端和認證設備之間按照可擴展認證（Extensible Authenticalcen PretocolEAP），協議進行交互，當信息由認證設備向服務器發送以及服務器做出回應時，信息的內容和格式按照Radius協議進行封裝。

入網用戶利用標準的802.1x協議，通過EAPOL-START幀格式發起入網認證，提供相應的用戶名，認證服務器通過認證設備發給入網用戶“挑戰質詢”幀，用戶將自己的認證密碼等關鍵信息通過挑戰質詢中的“認證字”等信息一起，利用MD5報文摘要加密算法進行信息加密，生成不可逆的新的“認證字”，然后通過網絡發給認證服務器，服務器利用同樣的方法生成加密“認證字”，并進行比較，并判別無線用戶是否合法，只有合法的用戶才能授權該用戶訪問網絡的權利。

參照802.1x體系結構，認證系統總體結構包括三個方面的內容，即安全認證客戶端軟件、認證服務器及用戶信息管理軟件、認證設備端軟件。系統采用工程化的方法，按照軟件工程的步驟，利用統一建模語言UML工具，重點介紹認證客戶端軟件和認證服務器軟件的設計。

1.2 認證客戶端設計

客戶端能識別所在的環境，配置相應的參數，提供用戶認證信息，按照協議的會話過程與認證設備進行交互，同時讀取認證的狀態，提示用戶是否通過認證。客戶端通過對話框，輸入入網用戶的相關信息，如用戶名、密碼、ID號等相關信息，利用EAP-MD5進行封裝，傳輸給接入設備，并通過接入設備作為代理與認證服務器通信，實現客戶端的認證請求及回答。并提示認證是否成功等相關信息。

客戶端認證模塊層次結構主要有：物理層、數據鏈路層、Winpcap驅動、協議處理層（原始數據讀寫接口、協議分析、協議封裝）、應用層等。如圖1所示：

圖1　客戶端認證模塊的層次結構

客戶端各模塊的功能如下：

1.物理層，主要是通過相同的信號及編碼方式、物理尺寸等功能實現客戶終端與網絡的互聯。

2.鏈路層，主要通過介質訪問控制協議、收發數據幀，實現鏈路之間的無差錯傳輸。

3.WinPcap驅動層，在鏈路層之上，監聽網絡的收發。

4.協議處理層，能分析收到的認證信息，根據其字段含義進行相應的處理；也能根據應用層的要求，完成協議包的封裝，并交給下層進行傳輸。

5.應用層，實現人機接口，提供主界面，獲取認證信息，顯示認證成功或失敗的狀態等。

1.3 認證服務器設計

認證服務器是系統的核心，它具備對用戶的認證、授權、審計（計賬）以及日志功能。服務器端能夠處理認證設備發送的用戶認證請求，在用戶身份通過驗證之后授予用戶訪問網絡的權限。通過審計功能可以實現對用戶上線、下線的監控，同時通過向數據庫寫入日志以便于后期對用戶行為進行安全審計。

認證服務器端需要設計的軟件主要包括認證服務軟件和數據管理系統。認證服務軟件由服務偵聽子系統、報文處理子系統、認證授權子系統、審計子系統、日志子系統組成。服務器端軟件體系結構如圖2所示：

圖2　服務器端軟件體系結構

1.4 認證設備端設計

認證設備是終端用戶與認證服務器之間的橋梁和代理。認證系統使用EAP協議，來實現客戶端、認證設備和認證服務器之間認證信息的交換。在客戶端與認證設備之間，EAP協議報文使用EAPOL封裝格式，直接承載于本地網絡環境中。在認證設備與RADIUS服務器之間，可以使用兩種方式來交換信息。一種是EAP協議報文由設備端進行中繼；另一種是EAP協議報文由設備端進行終結，采用包含PAP或CHAP屬性的報文與RADIUS服務器進行認證交互。

認證設備主要由代理層、驅動層和物理層組成：

物理層，主要是通過相同的信號及編碼方式、物理尺寸等功能實現與網絡的互聯。

驅動層，實現認證協議幀的收發。

代理層，分析收到的認證信息，并根據其字段含義進行相應的處理和轉發。代理層能根據認證服務器返回的認證結果控制認證設備的物理端口狀態、授權方式、受控方向及接入控制方式等功能。

2 關鍵技術

為了保證接入控制安全認證系統滿足跨地區、跨部門的大規模網絡的安全可靠運行，系統在管理機制、并行處理、加密解密以及雙機備份等關鍵技術上采用相應的措施。

2.1 分級分類信息管理機制

針對信息網絡三級管理機制，每一級有相應的管理人員和終端使用人員組成，每一級人員均具有相應的唯一代碼ID，并設置不同的管理級別和相應的權限。對于特殊用途的信息，如視頻終端等，采用基于MAC地址、流量類型等相應的訪問控制策略，提高入網的安全機制。

2.2 服務器并行請求處理技術

系統采用了服務器并行請求處理技術提高用戶接入認證的效率。當大量用戶同時接入網絡的時候，認證服務器會面臨高度并發的接入請求。為了最大限度滿足用戶的需求，提高接入認證的效率，系統采用多線程機制實現對請求的并行處理。服務器處理的接入請求主要包括認證設備向服務器提交的認證請求和審計請求。因此服務器系統可根據請求的類型將處理的請求分發給不同的線程進行處理。在服務器面臨的請求量較大時，系統可進一步擴展線程隊列，提高請求處理的效率。

2.3 加密解密技術

認證服務器與認證設備之間的信息交互在Radius協議的基礎上對敏感信息進行加密，基于MD5的報文摘要算法對數據包完整性進行檢測。首先，認證設備和服務器之間設有共享密鑰機制。系統利用共享密鑰和基于MD5算法對報文中的數據進行加密處理，而共享密鑰不通過網絡傳輸。其次，認證授權和審計采用了認證碼機制。接入認證設備和服務器之間交互的報文中含有16個字節的認證碼，在共享密鑰的生命周期內是一個不可預測的唯一值,用于對報文進行簽名和口令加密，實現安全性檢查。客戶端發出的請求包中的認證碼為請求認證碼；服務器發出的響應包中的認證碼為響應認證碼。

2.4 雙服務器備份機制

系統引入雙服務器備份機制提高認證的可靠性。系統接入與身份認證控制系統對于保障用戶安全接入信息系統至關重要，其中某些部件發生錯誤會引起系統的失效。為了保證系統能夠穩定可靠的運轉，采取了雙服務器備份的機制實現系統容錯，雙服務器之間采用心跳線進行通信和同步。當主服務器長時間沒有響應（可能是負荷過重）時，認證設備即認為其失效。此時，認證設備會向備用服務器發起請求。這樣，既保證了容錯，又可以減輕單個服務器的負載。

3 總結

本設計采用的認證系統具有一些獨到的優點。即客戶端與認證設備之間直接連接，沒有中間節點，不會受到中間人的截獲分析和入侵攻擊；系統采用挑戰質詢加密認證方式，安全可靠性高；系統采用的802.1x協議是一個通用的標準協議，易于擴展和移植，且不依賴于終端使用的平臺（如不同的操作系統）；認證代理和認證服務器之間的報文可以穿越多層路由器，滿足大型網絡認證需要；該系統成本低廉，現有的交換設備基本上都支持802.1x協議，不需要額外增加設備和投資，如果都采用這種認證方式，相對于TGA008/009型基于IP的認證設備而言，可節省數十億人民幣的資金，經濟效益十分顯著；系統可以通過透傳通道下載安裝客戶端認證程序，可以通過瀏覽器方式進行管理，安裝快捷，管理方便。

參考文獻

[1] 張玉清.網絡攻擊與防御技術[M].北京：清華大學出版社，2012.

[2] 唐正軍.網絡入侵檢測系統的設計與實現[M].北京：電子工業出版社，2012.

[3] 陳金明.指揮信息系統無線延伸的安全認證問題研究與設計[R].武漢：國防信息學院，2013.

Safety Authentication System for Information Network Access Control Based on 802.1x Protocol

Chen Jinming, Zeng Wei
(PLA Academy of National Defense Information, Wuhan 430010, China)

Abstract:This paper introduces a system of information network safety authentication based on 802.1x protocol. First, it focuses on design of system architecture and components , and then it points out key technologies of the system; last, it summarizes design advantages of system of information network access control and safety authentication.

Key words:802.1x Protocol; Information Network; Access Control; Safety Authentication

收稿日期：（2015.09.22）

作者簡介：陳金明（1967-），男，國防信息學院信息化指揮系，副教授 ，碩士，研究方向：網絡存儲、信息安全等，武漢，430010 曾 煒（1987-），男，國防信息學院信息化指揮系，助教，碩士研究生，研究方向：信息安全，武漢，430010

文章編號：1007-757X(2016)02-0061-02

中圖分類號：TP311

文獻標志碼：A