基于802.1X协议接入控制安全加固方案的设计与实现

发布时间：2020-03-21 09:40

【摘要】：随着计算机网络的高速发展,网络安全成为人们关注的焦点。802.1X协议作为以太网主要的接入认证协议,是保证网络边界完整性的起到重要作用,其协议本身较高的安全机制受到涉密程度较高的企事业单位的青睐。802.1X协议是一种基于端口接入控制技术,在以太网中广泛应用,主要用于解决接入设备认证方面的问题,提供了网络边界完整性保护,但基于802.1X接入控制解决方案在实际应用中存在哑终端MAC地址仿冒等安全问题,破坏了网络边界的完整性,导致非法设备接入窃取企业内部敏感数据,因此,如何设计一套基于802.1X协议接入控制安全解决方案,规避安全风险的需求十分迫切。本文分析了当前基于802.1X协议接入控制系统解决方案的不足,并提出解决思路,并利用DHCP协议的Option功能和TCP协议整合到基于802.1X接入控制解决方案,并考虑之间的关联性,设计出高安全的总体解决方案和总体认证流程,根据流程设计,提出了基于802.1X协议接入控制安全解决方案的软件总体架构,并对关键模块加以实现。本部设计和实现工作包括如下内容:1)通过在ISC-DHCP协议基础上,增加DHCP Option拓展功能与指纹库功能,并设置隔离IP功能,设计实现了基于接入设备指纹的DHCP指纹模块,通过对DHCP Option检查功能并与指纹库对比,实现对哑终端的MAC仿冒进行严格控制,通过使用分发隔离IP功能防止使用同一个HUB设备的接入终端的互相访问,防止敏感信息泄漏风险。2)设计并实现了基于网络指纹的TCP指纹模块并采用半次握手的设计理念,高效地对采集各个入网终端的TCP指纹,进行周期性地对在线终端进行指纹快照与当前TCP指纹状态进行比对,规避了接入设备在入网后进行篡改风险。3)设计并实现了多认证中心的RADIUS模块,为设备接入提供了PORTAL认证、MAB认证和802.1X认证等集中认证功能。本课题设计实现的“基于802.1X协议接入控制安全解决方案”从功能上都达到了设计要求,增强了基于802.1X协议接入控制的安全解决方案,解决了哑终端MAC地址仿冒等新的安全问题。
【图文】：

12图 2-2 EAP 协议认证过程抓包分析2.2 RADUIS 协议研究2.2.1 概述RADIUS（远程认证拨号用户服务） 23 是一种 C/S 协议，主要用于交换和认证服务器之间。该协议用于识别用户的名称和密码，如果用户认证成功，他们将能够使用授权的资源，并为他们支付上网费根据使用记录保存。也就是说，这个协议包括 3 种功能认证、授权和计费 AAA。数据包的格式包括代码、标识、长度、认证和属性，其大小分别为 1byte，1byte，2bytes，16 字节变量。2.2.2 协议体系结构在 UDP 数据字段（4）中封装了一个 RADIUS 包，其中 UDP 目的端口字段表示 1812（十进制）。当回复的产生，源和目的端口是相反的。这份备忘录记录了 RADIUS 协议。半径早部署是使用 UDP 端口号 1645，这与“datametrics”

图 2-3 RADIUS 的数据格式图1) Code该代码是一个字节，，并确定数据包的类型。当收到一个包无效的代码字段被丢弃。RADIUS Codes 分配认证报文主要如下： Access-Request：RADIUS 客户端发送认证请求报文到 RADIUS 服务器主要是携带用户的认证信息，RADIUS 服务器根据认证信息是否合法； Access-Accept：如果认证通过，则 RADIUS 服务器向 RADIUS 客户端发送 Access-Accept 报文。RADIUS 客户端收到后，被赋予相应的权限 Access-Reject：如果认证不通过，则 RADIUS 服务器向 RADIUS 客户端发送返回 Access-Reject 报文，用户认证失败； Access-Challenge：认证挑战报文。在 EAP 协议认证时，RADIUS 服务器接收到 RADIUS 客户端的 Access-Request 报文中携带的用户名信息后，随机生成一个 MD5 挑战字，通过 Access-Challenge 报文发送给客户端。客户端使用该挑战字对用户密码进行加密处理后，通过
【学位授予单位】：中国科学院大学(中国科学院工程管理与信息技术学院)
【学位级别】：硕士
【学位授予年份】：2017
【分类号】：TP393.08

【相似文献】

相关期刊论文 前10条

1 关焯荣;;统一接入控制技术在江门供电局的应用[J];电力信息化;2009年10期

2 邵鹏飞;杨焦峗;;“接口+编号”接入控制策略实现研究[J];科技信息(科学教研);2007年35期

3 龚文斌,甘仲民;无线移动通信系统中的呼叫接入控制[J];通信学报;2003年08期

4 龚文斌,甘仲民;卫星通信系统中的呼叫接入控制[J];电信技术;2002年10期

5 罗云;高勤;;基于用户群的园区网网络接入控制和认证策略[J];信息与电脑(理论版);2011年03期

6 黄岭;刘巍;;基于用户群的园区网网络接入控制和认证策略[J];中国教育信息化;2010年21期

7 道道;;弱电工程中网络接入控制的方案设计[J];网络与信息;2009年04期

8 桂宁,秦亮杰,薛跃荣;无线蜂窝网络呼叫接入控制仿真平台的设计与实现[J];计算机应用;2004年12期

9 詹鹏程;;WLAN接入控制机制的优化研究[J];中国信息化;2017年08期

10 ;BRAS面向业务接入控制层的发展[J];世界电信;2004年08期

相关会议论文 前10条

1 李华亮;;基于SDN的WLAN接入控制[A];中国通信学会信息通信网络技术委员会2015年年会论文集[C];2015年

2 涂鸿渐;陈前斌;;无线蜂窝网络的呼叫接入控制方案综述[A];第九届全国青年通信学术会议论文集[C];2004年

3 朱燕;何加铭;曾兴斌;;WiMAX通信协议研究[A];浙江省电子学会2008年学术年会论文集[C];2008年

4 谭凌鸿;何选森;;基于博弈的无线ad-hoc网络竞争接入方法研究[A];2008'中国信息技术与应用学术论坛论文集（二）[C];2008年

5 王兰芹;刘娜;李辉;;3G系统中呼叫接入控制算法研究[A];中国通信学会第六届学术年会论文集（中）[C];2009年

6 古挺锋;彭代渊;;TD-SCDMA系统接入控制算法研究[A];2006中国西部青年通信学术会议论文集[C];2006年

7 周春雷;;基于802.1X协议的网络接入控制系统的设计与实现[A];2009电力行业信息化年会论文集[C];2009年

8 黄晋;薛W

本文编号：2593142